Strumenti forensi Kali Linux Top

Dante Palumbo
Strumenti forensi Kali Linux Top

introduzione

L'ultima volta, abbiamo coperto 14 strumenti forensi presenti in Kali Linux e abbiamo spiegato il loro scopo e le loro capacità speciali. Oggi presenteremo 14 strumenti forensi, che provengono da una famosa biblioteca, "The Sleuth Kit" (TSK), confezionati all'interno dell'aggiornamento 2020 di Kali Linux. Puoi trovare questi strumenti nell'elenco a discesa forense sotto il nome Sleuth Kit Suite Strumenti nel menu Kali Whisker.

blkcalc

Lo strumento BLKCalc è uno strumento forense che converte punti disco non allocati in normali punti disco. Questo programma crea un numero di punti che mappa due immagini. Una di queste immagini è normale e l'altra contiene numeri di punti non allocati della prima immagine. Questo strumento può supportare molti tipi di file system. Se un file system non è definito all'inizio, BLKCalc ha la caratteristica unica dei metodi di autodezione per trovare il tipo di file system.

tsk_comparedir

Con l'aiuto dello strumento TSK_Comparedir, il contenuto dell'immagine viene confrontato con il contenuto della directory di confronto. Questo è lo strumento migliore nella fase di test per identificare i rootkit (codice o file dannosi). Il test rootkit viene eseguito confrontando il contenuto della directory locale con un dispositivo grezzo locale. Questi rootkit non sono nascosti quando si accede e leggi da un dispositivo grezzo.

tsk_gettimes

Lo strumento forense TSK_GetTimes si basa su una libreria di kit sleuth. Questo strumento raccoglie il Mac Times (pezzi di metadati del file system) da un'immagine disco specificata e converte i tempi in un file del corpo. Lo strumento TSK_GetTimes esamina ogni file system in una partizione o immagine del disco ed elabora i dati all'interno. L'output di questo strumento è i dati dell'immagine del disco in un formato del corpo del tempo Mac, che può quindi essere utilizzato come input per il sistema per generare una cronologia dell'attività del file. I dati vengono quindi stampati come file tramite il comando stdout.

blkcat

Lo strumento BLKCAT è uno strumento forense rapido ed efficiente confezionato all'interno di Kali. Lo scopo di questo strumento è visualizzare il contenuto dei dati memorizzati nell'immagine del disco di un file system. L'output visualizza il numero di unità di dati, a partire dall'indirizzo principale dell'unità e dalle stampe, in diversi formati che possono essere specificati e ordinati. Per impostazione predefinita, il formato di output è grezzo ed è anche chiamato DCAT.

tsk_loaddb

Lo strumento TSK_LoadDB carica i metadati dall'immagine del disco in un database SQLite, che è un database utilizzabile per l'analisi da parte di altri strumenti software. Il database è memorizzato nella directory di immagini per un facile accesso. Questo strumento supporta molti file system e può calcolare il valore di hash MD5 per ogni file.

blkstat

Lo strumento Kit Sleuth BLKSTAT visualizza tutte le informazioni relative alle unità di dati di un file system. Questo strumento restituisce i dati sullo stato di allocazione di un blocco o un settore di un file system. Questo strumento può utilizzare il comando ADDR, che mostra le statistiche di un dato, ed è anche chiamato DSTAT.

ffind

Lo strumento FFind utilizza un inode per cercare il nome di directory o file in un'immagine del disco. I file assegnati a un identificatore del file inode su una partizione disco hanno nomi; Per impostazione predefinita, questo strumento restituirà solo il nome che trova. Lo strumento FFind può persino trovare nomi di file eliminati, che è la capacità speciale di questo strumento. Inoltre, lo strumento FFind può anche trovare più nomi di file.

hfind

Lo strumento HFind cerca i valori di hash nei database hash. I valori di hash vengono cercati utilizzando l'algoritmo di ricerca binaria. Lo scopo di utilizzare questo algoritmo è consentire agli utenti di creare facilmente database hash e identificare rapidamente un file, sia noto o sconosciuto. Questo strumento utilizza la libreria NSRL e restituisce md5sum. Questo strumento è molto efficiente, in quanto crea un file indice già ordinato e ha voci a lunghezza fissa, il che rende la ricerca molto veloce.

fls

Il nome FLS prevede il termine "LS", che significa elencare il contenuto di una cartella. Lo strumento FLS elenca tutti i nomi dei file e le directory in un file di immagine e può persino mostrare nomi di file che sono stati recentemente rimossi. Se non viene utilizzato l'identificatore del file o l'inode, viene utilizzata la directory di root.

mmcat

Lo strumento MMCAT è uno strumento forense che restituisce il contenuto di una partizione attraverso la funzione di stampa. Questo strumento estrae tutti i dati in una partizione in un file separato.

Sigfind

Questo strumento trova la firma binaria presente all'interno di un file. Questa firma binaria si chiama hex_signature, che è presente in ogni file. Questo strumento può essere utilizzato per trovare superblocchi perduti, partizioni o tabelle di immagine e settori di avvio. Il formato esadecimale dovrebbe essere usato per trovare la firma binaria.

io trovo

Questo strumento cerca la struttura dei dati grezzi di un file, che viene assegnato in un'unità disco specifico o un nome file. A volte una di queste strutture di metadati può non essere allocata, ma questo strumento otterrà comunque i risultati.

Sorter

Lo strumento Sorter è uno strumento di script "Perl" che esegue l'ordinamento su un file system per disporlo in file allocati e non allocati, in base al tipo di file. Questo strumento esegue un comando su ogni file e ordina i file in base ai file di configurazione. I tipi di file includono file nascosti, file hash per database hash, file noti per essere buoni e quelli che dovrebbero essere modificati. I file di configurazione utilizzati, per impostazione predefinita, sono presi da dove è installato lo strumento, ma questo può essere modificato con le decisioni di runtime.

tsk_recover

Questo strumento trasferisce i file da una partizione disco in una directory di root locale. I file recuperati sono, per impostazione predefinita, solo file non allocati. Attraverso alcuni comandi, tutti i file possono essere esportati.

Conclusione

Questi 14 strumenti sono dotati di Kali Linux Live, nonché immagini di installazione, e sono open-source e liberamente disponibili. Questi strumenti sono disponibili nel menu Kali Whisker in una cartella chiamata Sleuth Kit Suite. Gli strumenti ricevono frequenti aggiornamenti da TSK per correzioni di bug minori.

Programmazione C
Cosa sta gestendo i file nella programmazione C?
La gestione dei file è un aspetto essenziale della programmazione C che consente agli sviluppatori d...
Nunzia Martini
C ++
Cos'è il tipo di dati Char in C ++
In C ++ il tipo di dati Char rappresenta i dati nel modulo dei caratteri. Questa variabile richiede ...
Domiziano Conte
Powershell
Come utilizzare il comando get-comand in PowerShell
Il cmdlet get-comand ottiene un elenco di comandi disponibili sul computer. Inoltre, può importare m...
Felicia Giuliani
Pitone
Panda al lattice
Nick Marini
Pitone
Filtro nan panda
Dr. Ursula Marini
Pitone
Python Count personaggi nella stringa
Nunzia Martini
Docker
Qual è lo scopo di una doccia.File YML in Docker?
Artemide Ricci
PHP
Come utilizzare la funzione Array_Reverse in PHP
Dr. Evita Damico
AWS
Qual è la differenza tra AWS Batch e Lambda?
Nunzia Martini
Oracle Database
Qual è lo scopo di Oracle Cerner?
Dr. Ursula Marini
JavaScript
Come controllare la versione dattiloscritto
Sig. Valdo Marchetti
c affilato
Qual è la differenza tra classe e oggetto in C#
Nick Marini
C ++
Cos'è l'indirizzo di memoria in C ++ e come trovarlo?
Felicia Giuliani