Figura 1: Kali Linux
In generale, quando si eseguono la forense su un sistema informatico, deve essere evitata qualsiasi attività che può modificare o modificare l'analisi dei dati del sistema. Altri desktop moderni di solito interferiscono con questo obiettivo, ma con Kali Linux attraverso il menu di avvio, è possibile abilitare una modalità forense speciale.
Strumento Binwalk:
Binwalk è uno strumento forense in Kali che cerca un'immagine binaria specificata per il codice e i file eseguibili. Identifica tutti i file che sono incorporati all'interno di qualsiasi immagine del firmware. Utilizza una libreria molto efficace nota come "libmagic", che risolve le firme magiche nell'utilità dei file unix.
Figura 2: strumento CLI Binwalk
Strumento di estrattore di massa:
Strumento di estrattore di massa estratti numeri di carta di credito, collegamenti URL, indirizzi e -mail, che vengono utilizzati prove digitali. Questo strumento ti consente di identificare gli attacchi di malware e intrusioni, indagini di identità, vulnerabilità informatiche e crack di password. La specialità di questo strumento è che non solo funziona con dati normali, ma funziona anche su dati compressi e dati incompleti o danneggiati.
Figura 3: strumento di riga di comando per estrattore di massa
Strumento Hashdeep:
Lo strumento Hashdeep è una versione modificata dello strumento di hashing DC3DD progettato appositamente per la forense digitale. Questo strumento include hashing automatico di file, i.e., SHA-1, SHA-256 e 512, Tiger, Whirlpool e MD5. Un file di registro di errore viene scritto automatico. I rapporti sui progressi sono generati con ogni output.
Figura 4: strumento di interfaccia CLI Hashdeep.
Strumento di salvataggio magico:
Magic Rescue è uno strumento forense che esegue operazioni di scansione su un dispositivo bloccato. Questo strumento utilizza byte magiche per estrarre tutti i tipi di file noti dal dispositivo. Questo apre i dispositivi per la scansione e la lettura dei tipi di file e mostra la possibilità di recuperare i file eliminati o corrotta. Può funzionare con ogni file system.
Figura 5: strumento di interfaccia di comando di salvataggio magico
Strumento di bisturi:
Questo strumento forense ritaglia tutti i file e indicizza quelle applicazioni che vengono eseguite su Linux e Windows. Lo strumento di cuoio capdera supporta l'esecuzione multithreading su più sistemi core, che aiutano nelle esecuzioni rapide. La scultura di file viene eseguita in frammenti come espressioni regolari o stringhe binarie.
Figura 6: strumento di intaglio forense del bisturi
Strumento Scrounge-NTFS:
Questa utilità forense aiuta a recuperare i dati da dischi ntfs corrotti o partizioni. Salva i dati da un file system corrotto a un nuovo file system di lavoro.
Figura 7: strumento di recupero dei dati forensi
Strumento GuyMager:
Questa utilità forense viene utilizzata per acquisire supporti per le immagini forensi e ha un'interfaccia utente grafica. Grazie alla sua elaborazione e compressione dei dati multi-thread, è uno strumento molto veloce. Questo strumento supporta anche la clonazione. Genera immagini piatte, AFF ed EWF. L'interfaccia utente è molto facile da usare.
Figura 8: Utilità forense GuyMager GUI
Strumento PDFID:
Questo strumento forense viene utilizzato nei file PDF. Lo strumento scansiona file PDF per parole chiave specifiche, che consentono di identificare i codici eseguibili quando viene aperto. Questo strumento risolve i problemi di base associati ai file PDF. I file sospetti vengono quindi analizzati con lo strumento PDF-Parser.
Figura 9: Utilità dell'interfaccia della linea di comando PDFID
Strumento PDF-Parser:
Questo strumento è uno degli strumenti forensi più importanti per i file PDF. PDF-Parser analizza un documento PDF e distingue gli elementi importanti utilizzati durante la sua analisi e questo strumento non rende quel documento PDF.
Figura 10: strumento forense PDF-Parser CLI
Strumento peepdf:
Uno strumento Python che esplora i documenti PDF per scoprire se è innocuo o distruttivo. Fornisce tutti gli elementi necessari per eseguire l'analisi PDF in un unico pacchetto. Mostra entità sospette e supporta vari codifica e filtri. Può anch'esso analizzare i documenti crittografati.
Figura 11: strumento Python Peepdf per l'indagine PDF.
Strumento di autopsia:
Un'autopsia è tutta in un'utilità forense per il recupero rapido dei dati e il filtro hash. Questo strumento ritaglia i file e i supporti eliminati da uno spazio non allocato usando PhotoRec. Può anche estrarre Exif Extension Multimedia. Scansioni di autopsia per l'indicatore di compromesso usando la libreria Stix. È disponibile nella riga di comando e nella GUI.
Figura 12: autopsia, tutto in un pacchetto di utilità forense
Strumento IMG_CAT:
Lo strumento IMG_CAT fornisce il contenuto di output di un file di immagine. I file di immagine recuperati avranno dati metadati e incorporati, che consente di convertirli in dati grezzi. Questi dati grezzi aiutano a convocare l'output per calcolare Hash MD5.
Figura 13: dati incorporati IMG_CAT al recupero dei dati grezzi e al convertitore.
Strumento ICAT:
ICAT è uno strumento Kit Sleuth (TSK) che crea un output di un file in base al suo identificatore o al suo numero di inode. Questo strumento forense è ultra-veloce e apre le immagini del file denominato e lo copia in output standard con un numero di inode specifico. Un inode è una delle strutture di dati del sistema Linux che memorizza dati e informazioni su un file Linux come proprietà, dimensioni del file e autorizzazioni di tipo, scrittura e lettura.
Figura 14: strumento di interfaccia basato sulla console ICAT
Strumento srch_strings:
Questo strumento cerca stringhe ASCII e Unicode vitali all'interno dei dati binari e quindi stampa la stringa di offset trovata in quei dati. Lo strumento SRCH_STRINGS estrae e recupererà le stringhe presenti in un file e dà il byte offset se chiamato.
Figura 15: strumento di recupero delle stringhe
Conclusione:
Questi 14 strumenti sono dotati di Kali Linux Live e immagini di installazione e sono open-source e liberamente disponibili. Nel caso di una versione precedente di Kali, suggerirei un aggiornamento all'ultima versione per ottenere questi strumenti direttamente. Ci sono molti altri strumenti forensi che tratteremo. Vedi la parte 2 di questo articolo qui.