Strumenti forensi Kali Linux

Kali Linux è un potente sistema operativo appositamente progettato per il tester di penetrazione e i professionisti della sicurezza. La maggior parte delle sue caratteristiche e strumenti sono realizzati per i ricercatori della sicurezza e i pentester, ma ha una scheda "forense" separata e una modalità "forense" separata per gli investigatori forensi.

La forense sta diventando molto importante nella sicurezza informatica per rilevare e fare backtrack Black Hat Criminals. È essenziale rimuovere le backdoor/malware dannose degli hacker e riporli di nuovo per evitare eventuali incidenti futuri. Nella modalità forense di Kali, il sistema operativo non monta alcuna partizione dal disco rigido del sistema e non lascia modifiche o impronte digitali sul sistema host.

Kali Linux viene fornito con applicazioni forensi popolari preinstallate preinstallate. Qui esamineremo alcuni famosi strumenti open source presenti in Kali Linux.

Estrattore di massa

Extractor Bulk è uno strumento in modo ricco in grado di estrarre informazioni utili come numeri di carta di credito, nomi di dominio, indirizzi IP, e-mail, numeri di telefono e URL da prove duri/file trovati durante l'indagine forense. È utile per analizzare l'immagine o il malware, aiuta anche nell'indagine informatica e nella cracking della password. Costruisce liste di parole in base alle informazioni trovate da prove che possono aiutare a cracking della password.

L'estrattore di massa è popolare tra gli altri strumenti per la sua velocità incredibile, la compatibilità e la completezza della piattaforma multipla. È veloce grazie alle sue caratteristiche multi-thread e ha la possibilità di scansionare qualsiasi tipo di media digitale che includa HDDS, SSD, telefoni cellulari, telecamere, schede SD e molti altri tipi.

Bulk Extractor ha seguenti funzionalità interessanti che lo rendono più preferibile,

• Ha l'interfaccia utente grafica chiamata "Visualizzatore di estrattori di massa" che viene utilizzato per interagire con l'estrattore di massa
• Ha più opzioni di output come la visualizzazione e l'analisi dei dati di output in istogramma.
• Può essere facilmente automatizzato utilizzando Python o altri linguaggi di scripting.
• Viene fornito con alcuni script pre-scritti che possono essere utilizzati per eseguire ulteriori scansioni
• Il suo multi-thread, può essere più veloce sui sistemi con più core CPU.

root@azad: ~# bulk_extractor - -help
Utilizzo: bulk_extractor [opzioni] ImageFile
esegue un estrattore sfuso e uscite per accompagnare un riepilogo di ciò che è stato trovato dove
Parametri richiesti:
ImageFile - Il file da estrarre
o -r filedir - ricorrere attraverso una directory di file
Ha supporto per i file E01
Ha il supporto per i file AFF
-o OUTDIR - Specifica la directory di output. Non deve esistere.
bulk_extractor crea questa directory.
Opzioni:
-I - Modalità Informazione. Fai un rapido campione casuale e stampa un rapporto.
-B Banner.txt- Aggiungi banner.TXT contenuto nella parte superiore di ogni file di output.
-r alert_list.txt - Un file contenente l'elenco di avviso di funzionalità da avvisare
(può essere un file di funzionalità o un elenco di Globs)
(può essere ripetuto.)
-w stop_list.txt - Un file contenente l'elenco di stop di funzionalità (elenco bianco
(può essere un file di funzionalità o un elenco di globi)
(può essere ripetuto.)
-F - Leggi un elenco di espressioni regolari da trovare
-F - Trova occorrenze di ; può essere ripetuto.
I risultati vanno a trovare.TXT
... Snip ..
Esempio di utilizzo
root@azad: ~# bulk_extractor -o output segreto.img

Autopsia

L'autopsia è una piattaforma utilizzata dagli investigatori informatici e dalle forze dell'ordine per condurre e segnalare le operazioni forensi. Combina molte singole utilità che vengono utilizzate per la forense e il recupero e fornisce loro l'interfaccia utente grafica.

L'autopsia è un prodotto open source, gratuito e multipiattaforma disponibile per Windows, Linux e altri sistemi operativi basati su Unix. L'autopsia può cercare e studiare i dati da dischi rigidi di più formati tra cui EXT2, EXT3, FAT, NTFS e altri.

È facile da usare e non è necessario installare in Kali Linux in quanto viene fornito con preinstallata e pre-configurata.

Dumpzilla

Dumpzilla è uno strumento di riga di comando multipiattaforma scritta in lingua Python 3 che viene utilizzata per scaricare le informazioni relative alla forense dai browser Web. Non estrae dati o informazioni, solo lo visualizza nel terminale che può essere convocato, risolto e memorizzato in file utilizzando comandi del sistema operativo. Attualmente supporta solo browser a base di Firefox come Firefox, Seamonkey, Iceweasel ecc.

Dumpzilla può ottenere le seguenti informazioni dai browser

• Può mostrare la navigazione in diretta dell'utente in schede/finestra.
• Download degli utenti, segnalibri e cronologia.
• Moduli web (ricerche, e -mail, commenti ...).
• Cache/miniature di siti precedentemente visitati.
• Componenti aggiuntivi / estensioni e percorsi o URL usati.
• Browser risparmiate password.
• Cookie e dati di sessione.

root@azad: ~# dumpzilla - -help
Uso: Python Dumpzilla.py browser_profile_directory [opzioni]
Opzioni:
--Tutto (mostra tutto tranne i dati DOM. Non estrae miniature o html 5 offline)
--Cookies [-Showdom -domain -Name -HostCookie -Access
-Crea -Secure -httponly -Range_last -Range_Create
"
--Autorizzazioni [-host]
--Download [-Range]
--Forms [-Value -Range_Forms]
--Storia [-url -title -date -range_history
-frequenza]
--Bookmarks [-Range_Bookmarks]
... Snip ..

Digital Forensics Framework - DFF

DFF è uno strumento di recupero dei file e una piattaforma di sviluppo forense scritta in Python e C++. Ha un set di strumenti e script con la riga di comando e l'interfaccia utente grafica. Viene utilizzato per svolgere indagini forensi e raccogliere e segnalare prove digitali.

È facile da usare e può essere utilizzato da professionisti informatici e neofiti per raccogliere e preservare le informazioni forensi digitali. Qui discuteremo alcune delle sue buone caratteristiche

• Può eseguire forensi e recupero su dispositivi locali e remoti.
• Sia la riga di comando che l'interfaccia utente grafica con viste e filtri grafici.
• Può recuperare partizioni e unità di macchina virtuale.
• Compatibile con molti file system e formati tra cui Linux e Windows.
• Può recuperare file nascosti ed eliminati.
• Può recuperare i dati dalla memoria temporanea come rete, processo ecc

root@azad: ~# dfff -h
DFF
Framework forense digitale
Utilizzo:/USR/Bin/DFF [Opzioni]
Opzioni:
-V -Version Visualizza la versione corrente
-G -Interfaccia grafica di lancio grafico
-B -Batch = FileName esegue il batch contenuto nel nome file
-L -Lingua = lang usa lang come lingua di interfaccia
-H -Help Visualizza questo messaggio di aiuto
-d -debug reindirizzamento IO alla console di sistema
--Verbosità = livello Impostare il livello di verbosità durante il debug [0-3]
-C - -config = FilePath Usa il file di configurazione da FilePath

Principale

Foremost è uno strumento di recupero basato sulla riga di comando più veloce e affidabile per recuperare i file perduti nelle operazioni forensi. Il principale ha la capacità di lavorare sulle immagini generate da DD, SafeBack, Encase, ecc. Il primo può recuperare EXE, JPG, PNG, GIF, BMP, AVI, MPG, WAV, PDF, OLE, RAR e molti altri tipi di file.

root@azad: ~# foremost -h
principale versione x.X.X Di Jesse Kornblum, Kris Kendall e Nick Mikus.
$ foremost [-v | -v | -h | -t | -q | -q | -a | -w-d] [-t ] [-S ] [-K "
[-B ] [-C ] [-o ] [-io -V - Visualizza informazioni sul copyright ed uscita
-T - Specificare il tipo di file. (-t jpeg, pdf ...)
-D - Attiva il rilevamento di blocchi indiretti (per system di file UNIX)
-I - Specificare il file di input (impostazione predefinita è stdin)
-A - Scrivi tutte le intestazioni, esegui alcun rilevamento degli errori (file corrotti)
-W - Scrivi solo il file di audit, non scrivere alcun file rilevato sul disco
-O - Imposta directory di output (impostazione predefinita su output)
-C - Imposta il file di configurazione da utilizzare (impostazione predefinita su.conf)
... Snip ..
Esempio di utilizzo
root@azad: ~# foremost -t exe, jpeg, pdf, png -i immagine file.dd
Elaborazione: immagine file.dd
... Snip ..

Conclusione

Kali, insieme ai suoi famosi strumenti di test di penetrazione, ha anche un'intera scheda dedicata alla "forense". Ha una modalità "forense" separata che è disponibile solo per USB in diretta in cui non monta le partizioni di Host. Kali è un po 'preferibile rispetto ad altre distro forensi come Caine a causa del suo supporto e una migliore compatibilità.