VAGLIARE è una distribuzione forense del computer creata da Sans forensics Team per eseguire il forense digitale. Questa distribuzione include la maggior parte degli strumenti richiesti per l'analisi forense digitale e gli esami di risposta agli incidenti. VAGLIARE è open-source e disponibile pubblicamente gratuitamente su Internet. Nel mondo digitale di oggi, in cui i crimini vengono commessi ogni giorno usando la tecnologia digitale, gli aggressori stanno diventando sempre più furtivi e sofisticati. Ciò può indurre le aziende a perdere dati importanti, con milioni di utenti esposti. Proteggere la tua organizzazione da questi attacchi richiede forti tecniche e conoscenze forensi nella tua strategia di difesa. VAGLIARE Fornisce strumenti forensi per le indagini di file system, memoria e rete per eseguire indagini forensi approfondite.
Nel 2007, VAGLIARE era disponibile per il download ed è stato codificato hard, quindi ogni volta che arrivava un aggiornamento, gli utenti dovevano scaricare la versione più recente. Con ulteriore innovazione nel 2014, VAGLIARE è diventato disponibile come pacchetto robusto su Ubuntu e ora può essere scaricato come workstation. Più tardi, nel 2017, una versione di VAGLIARE venne sul mercato consentendo una maggiore funzionalità e fornendo agli utenti la possibilità di sfruttare i dati da altre fonti. Questa versione più recente contiene più di 200 strumenti da terze parti e contiene un gestore di pacchetti che richiede agli utenti di digitare un solo comando per installare un pacchetto. Questa versione è più stabile, più efficiente e fornisce una migliore funzionalità in termini di analisi della memoria. VAGLIARE è script, il che significa che gli utenti possono combinare determinati comandi per farlo funzionare in base alle loro esigenze.
VAGLIARE Può eseguire su qualsiasi sistema in esecuzione su Ubuntu o Windows OS. SIFT supporta vari formati di prove, tra cui Aff, E01, e formato grezzo (Dd). Le immagini forensi di memoria sono anche compatibili con setaccio. Per i file system, SIFT supporta EXT2, EXT3 per Linux, HFS per Mac e Fat, V-Fat, MS-DOS e NTF per Windows.
Installazione
Affinché la workstation funzioni senza intoppi, è necessario avere una buona RAM, una buona CPU e un vasto spazio del disco rigido (si consiglia 15 GB). Esistono due modi per installare VAGLIARE:
VMware/VirtualBox
Per installare SIFT Workstation come macchina virtuale su VMware o VirtualBox, scarica il .ova File di formato dalla pagina seguente:
https: // digitale-formics.Sans.org/community/download Quindi, importa il file in VirtualBox facendo clic su Opzione di importazione. Dopo il completamento dell'installazione, utilizzare le seguenti credenziali per accedere:
Login = sansforensics
Password = forense
Ubuntu
Per installare SIFT Workstation sul tuo sistema Ubuntu, vai prima alla pagina seguente:
(Un messaggio di errore sulle righe formattate nel caso sopra può essere ignorato)
Sposta il file nella posizione /USR/Local/Bin/SIFT e dargli le autorizzazioni corrette usando il seguente comando:
ubuntu@ubuntu: ~ $ chmod 755/usr/local/bin/sot
Infine, esegui il comando seguente per completare l'installazione:
ubuntu@ubuntu: ~ $ sudo sift installa
Al termine dell'installazione, immettere le seguenti credenziali:
Login = sansforensics
Password = forense
Un altro modo per eseguire SIFT è semplicemente avviare l'ISO in un'unità avviabile ed eseguirlo come un sistema operativo completo.
Utensili
La workstation di SIFT è dotata di numerosi strumenti utilizzati per l'esame forense e di risposta agli incidenti approfonditi. Questi strumenti includono quanto segue:
Autopsy (strumento di analisi del file system)
L'autopsia è uno strumento utilizzato dall'esercito, dalle forze dell'ordine e da altre agenzie quando c'è un bisogno forense. L'autopsia è fondamentalmente una GUI per la famosa Sleuthkit. Sleuthkit prende solo istruzioni per la riga di comando. D'altra parte, l'autopsia rende lo stesso processo facile e intuitivo. Sulla digitazione quanto segue:
ubuntu@ubuntu: ~ $ autopsia Una schermata, come segue, apparirà: ================================================ Browser forense di autopsia http: // www.sleuthkit.org/autopsia/ ver 2.24 ================================================ Locker prove:/var/lib/autopsia Ora di inizio: mer 17 giugno 00:42:46 2020 Host remoto: LocalHost Porta locale: 9999 Apri un browser HTML sull'host remoto e incolla questo URL in esso: http: // localhost: 9999/autopsia
Sulla navigazione a http: // localhost: 9999/autopsia Su qualsiasi browser Web, vedrai la pagina qui sotto:
La prima cosa che devi fare è creare un caso, dargli un numero di caso e scrivere i nomi degli investigatori per organizzare le informazioni e le prove. Dopo aver inserito le informazioni e aver colpito il Prossimo pulsante, farai la pagina mostrata di seguito:
Questa schermata mostra ciò che hai scritto come numero di caso e informazioni sul caso. Queste informazioni sono archiviate in biblioteca /var/lib/autopsia/.
Sul clic Aggiungi host, Vedrai la seguente schermata, in cui puoi aggiungere le informazioni host, come nome, fuso orario e descrizione dell'host ..
Clicking Prossimo ti porterà a una pagina che richiede di fornire un'immagine. E01 (Formato di testimoni esperti), Aff (Formato forense avanzato), Dd (Formato grezzo) e le immagini forensi di memoria sono compatibili. Fornirai un'immagine e lascerai che l'autopsia faccia il suo lavoro.
ForeMost (strumento di intaglio file)
Se si desidera recuperare i file perduti a causa delle loro strutture di dati interne, intestazioni e piè di pagina, principale può essere utilizzata. Questo strumento prende input in diversi formati di immagini, come quelli generati usando DD, Encase, ecc. Esplora le opzioni di questo strumento utilizzando il seguente comando:
ubuntu@ubuntu: ~ $ foremost -h -D - Attiva il rilevamento di blocchi indiretti (per system di file UNIX) -I - Specificare il file di input (impostazione predefinita è stdin) -A - Scrivi tutte le intestazioni, esegui nessun rilevamento di errori (file corrotti) Ash -W - Scrivi solo il file di audit, non scrivere alcun file rilevato sul disco -O - Imposta directory di output (impostazione predefinita su output) -C - Imposta il file di configurazione da utilizzare (impostazione predefinita su.conf) -Q - Abilita la modalità rapida.
binwalk
Per gestire le biblioteche binarie, binwalk si usa. Questo strumento è una risorsa importante per coloro che sanno come usarlo. Binwalk è considerato lo strumento migliore disponibile per il reverse ingegneria ed estrazione di immagini del firmware. Binwalk è facile da usare e contiene enormi capacità dai un'occhiata a Binwalk Aiuto pagina per ulteriori informazioni utilizzando il seguente comando:
ubuntu@ubuntu: ~ $ binwalk - -help Utilizzo: binwalk [opzioni] [file1] [file2] [file3] .. Opzioni di scansione della firma: -B, -Signaggio Scansione File di destinazione per le firme dei file comuni -R, - -raw = Scan Target File (S) per la sequenza specificata di byte -A, -OPCODE Scansione dei file di destinazione per le firme Opcode eseguibili comuni -m, -magic = specifica un file magico personalizzato da utilizzare -B, -Dumb Disabilita parole chiave di firma intelligente -Io, -invalidi mostrano risultati contrassegnati come non validi -x, --exclude = escludere i risultati che corrispondono -y, -include = mostra solo i risultati che corrispondono Opzioni di estrazione: -E, -Extract Estrai automaticamente i tipi di file noti -D, -dd = estrarre firme, dare ai file un estensione ed eseguire -M, -matryoshka scansiva ricorsivamente file estratti -D, - -Depth = Limit Matryoshka Reput di ricorsione (impostazione predefinita: 8 livelli profondi) -C, - -Directory = Estrai file/cartelle in una directory personalizzata -J, - -size = limita la dimensione di ciascun file estratto -N, - -COUNT = Limita il numero di file estratti -R, - -RM Elimina i file intagliati dopo l'estrazione -Z, -Carve intaglio dati dai file, ma non eseguire utility di estrazione Opzioni di analisi dell'entropia: -E, --Nentropy Calcola l'entropia del file -F, -Usa un'analisi entropia più veloce, ma meno dettagliata -J, -salva la trama come png -Q, -Nlegend omettere la legenda dal grafico del diagramma entropico -N, -NON GIUNTI NON GENERA Un grafico del diagramma entropico -H, - -High = Impostare la soglia del trigger entropia a bordo in aumento (impostazione predefinita: 0.95) -L, - -Low = Imposta la soglia del trigger entropia di caduta (impostazione predefinita: 0.85) Opzioni binarie diverse: -W, - -hexdump eseguire un hexdump / diff di un file o file -G, -Green Mostra solo righe contenenti byte che sono le stesse tra tutti i file -Io -Red mostro solo righe contenenti byte che sono diverse tra tutti i file -U, -blu mostra solo righe contenenti byte che sono diverse tra alcuni file -W, -TERSE Diff tutti i file, ma visualizza solo un dump esagonale del primo file Opzioni di compressione grezza: -X, -Scansione deflata per flussi di compressione dello sgonfiaggio grezzo -Z, -LZMA Scansione per flussi di compressione LZMA grezzi -P, -Partial Esegui una scansione superficiale, ma più veloce -S, -stop fermati dopo il primo risultato Opzioni generali: -L, - -lunghezza = numero di byte da scansionare -o, --offset = start scant a questo file offset -O, -Base = Aggiungi un indirizzo di base a tutti gli offset stampati -K, --block = set size del blocco file -g, - -swap = retromarcia ogni n byte prima della scansione -f, - -log = log Risultati su file -C, - -CSV I risultati del registro sono presenti in formato CSV -T, -Term Formato Output per adattarsi alla finestra del terminale -Q, --quiet sopprime l'output su stdout -v, -verbose abilita output verbosio -H, -Help Show Help Output -A, -Finclude = solo file di scansione i cui nomi corrispondono a questo regex -p, - -fexclude = non scansionare i file i cui nomi corrispondono a questo regex -s, --status = abilita il server di stato sulla porta specificata
Volatilità (strumento di analisi della memoria)
La volatilità è uno strumento forense di analisi della memoria popolare utilizzato per ispezionare i dump di memoria volatili e per aiutare gli utenti a recuperare importanti dati archiviati in RAM al momento dell'incidente. Ciò può includere file modificati o processi eseguiti. In alcuni casi, la storia del browser può anche essere trovata usando la volatilità.
Se si dispone di un dump di memoria e si desidera conoscere il suo sistema operativo, usa il seguente comando:
ubuntu@ubuntu: ~ $ .vol.Py Imageino -f
L'output di questo comando darà un profilo. Quando si utilizza altri comandi, è necessario fornire questo profilo come perimetro.
Per ottenere l'indirizzo KDBG corretto, utilizzare il Kdbgscan Comando, che scansiona per le intestazioni KDBG, segna i profili di volatilità e si applica una volta per verificare che tutto vada bene per ridurre i positivi fasulli. La verbosità della resa e il numero di una volta che possono essere eseguiti dipende dal fatto che la volatilità possa scoprire un DTB. Quindi, nella possibilità di conoscere il profilo giusto o se si dispone di una raccomandazione del profilo da ImageInfo, assicurati di utilizzare il profilo corretto. Possiamo usare il profilo con il seguente comando:
ubuntu@ubuntu: ~ $ .vol.Py Profile = Kdbgscan -F
Per scansionare la regione di controllo del processore del kernel (KPCR) strutture, usa KPCRScan. Se si tratta di un sistema multiprocessore, ogni processore ha la propria regione di scansione del kernel.
Immettere il seguente comando per utilizzare KPCRSCAN:
ubuntu@ubuntu: ~ $ .vol.Py Profile = KPCRScan -F
Per scansionare Malwares e Rootkit, PSScan si usa. Questo strumento scansiona per processi nascosti collegati a rootkit.
Possiamo usare questo strumento inserendo il seguente comando:
ubuntu@ubuntu: ~ $ .vol.Py Profile = PSScan -F
Dai un'occhiata alla pagina Man per questo strumento con il comando di aiuto:
ubuntu@ubuntu: ~ $ volatilità -h Opzioni: -H, -Elenca tutte le opzioni disponibili e i loro valori predefiniti. I valori predefiniti possono essere impostati nel file di configurazione (/etc/volatilityrc) --conf-file =/home/usman/.volatilitlc File di configurazione basato sull'utente -D, -Debug Volatilità del debug --Plugins = plug -in Directory di plug -in aggiuntivi da utilizzare (colon separato) --Informazioni di stampa di informazioni su tutti gli oggetti registrati --cache-directory =/home/usman/.cache/volatilità Directory in cui vengono archiviati i file di cache --Cache Usa la memorizzazione nella cache --TZ = TZ Imposta il fuso orario (Olson) per la visualizzazione di timestamp Utilizzando PYTZ (se installato) o TZSET -F nome file, -Filename = nome file Nome file da utilizzare durante l'apertura di un'immagine --profilo = winxpsp2x86 Nome del profilo da caricare (usa - -Info per vedere un elenco di profili supportati) -L Posizione, -Location = posizione Una posizione urna da cui caricare uno spazio di indirizzo -w, - -write abilita il supporto di scrittura --DTB = DTB DTB Indirizzo --Shift = Maiusc Mac Kaslr Indirizzo di spostamento --output = output di testo in questo formato (il supporto è specifico per il modulo, vedere Le opzioni di output del modulo di seguito) --output-file = output_file Scrivi l'output in questo file -v, -verbose informazioni verbose --Physical_shift = Physical_Shift Indirizzo di spostamento fisico del kernel Linux --virtual_shift = virtual_shift Indirizzo di spostamento virtuale del kernel Linux -g kdbg, --kdbg = kdbg Specificare un indirizzo virtuale KDBG (NOTA: per 64 bit Windows 8 e sopra questo è l'indirizzo di Kdcopydatablock) --Forzare la forza dell'utilizzo del profilo sospetto --cookie = cookie Specificare l'indirizzo di NT!Obheadercookie (valido per Solo Windows 10) -K KPCR, --KPCR = KPCR Specificare un indirizzo KPCR specifico Comandi di plug -in supportati: Amcache Stampa informazioni Amcache Apihooks Rileva i ganci API nel processo e nella memoria del kernel Sessione di stampa degli atomi e tabelle degli atomici della stazione di finestra Scanner di pool AtomScan per tavoli atomici AuditPol stampare le politiche di audit da HKLM \ Security \ Policy \ PoladTev BigPools scarica i pool di pagine grandi usando bigpagepoolscanner BIOSKBD legge il buffer della tastiera dalla memoria in modalità reale dumps cachedumps hash di dominio cache dalla memoria callbacks stampare routine di notifica a livello di sistema Appunti estratti il contenuto degli appunti di Windows Argomenti di linea di comando del processo di visualizzazione di cmdline CMDSCAN EXTRACT CHIRDA COMANDE PER SCUSCA per _Command_History Collegamenti Elenco di stampa di connessioni aperte [Solo Windows XP e 2003] Connscan Pool Scanner per connessioni TCP Console estrarre la cronologia dei comandi mediante scansione per _console_information crashinfo dump informazioni sul crash-dump Deskscan Poolscaner per Tagdesktop (desktop) DeviceTree Show Device Tree dlldump dlls da uno spazio dell'indirizzo di processo Elenco di stampa DLLList di DLL caricate per ogni processo DriverIrp Driver Hook Detection DriverModule Associate Driver Objects ai moduli del kernel Scanner per pool di driverscan per oggetti driver Dumpcerts Dump RSA RSA SSL Keys SSL dumpfiles estrarre i file mappati e memorizzati nella memoria DumPregistry Dumps Registry Fila su disco gditimers stampare timer GDI installati GDT Visualizza la tabella dei descrittori globali getServicesids Ottieni i nomi dei servizi nel registro e il reso calcolato SID ottiene stampare i SID che possiedono ogni processo Handle Elenco di stampa di maniglie aperte per ogni processo Hashdump scarica passwords Hashes (LM/NTLM) dalla memoria Informazioni sul file Hibinfo Dump Hibernation LSADUMP DUMP (decrittografato) LSA Secrets dal registro Dump machoinfo Mach-O Informazioni in formato file Memmap Stampa la mappa di memoria MessageHooks Elenco Desktop e Finestra thread Hooks MftParser scansioni e analizza potenziali voci MFT Moddump Dump Un driver del kernel in un campione di file eseguibile Scanner per pool ModScan per moduli del kernel Moduli Elenco di stampa di moduli caricati Scansione multiscana per vari oggetti contemporaneamente Scanner per pool mutantscan per oggetti mutex Elenco Notepad Attualmente visualizzato il testo del blocco note Scansione ObjtyPescan per gli oggetti del tipo di oggetto Windows patcher patch la memoria in base alle scansioni di pagina plug -in per scanner per pool configurabile Poolpeek
Hashdeep o MD5Deep (strumenti di hashing)
Raramente è possibile che due file abbiano lo stesso hash MD5, ma è impossibile modificare un file con il suo hash MD5 rimasto lo stesso. Ciò include l'integrità dei file o le prove. Con un duplicato dell'unità, chiunque può esaminare la sua affidabilità e penserebbe per un secondo che il disco è stato messo lì deliberatamente. Per ottenere la prova che l'unità in esame è l'originale, è possibile utilizzare hashing, che darà un hash a un drive. Se anche una singola informazione viene modificata, l'hash cambierà e sarai in grado di sapere se l'unità è unica o duplicata. Per assicurare l'integrità dell'unità e che nessuno può interrogarlo, puoi copiare il disco per generare un hash MD5 dell'unità. Puoi usare md5sum Per uno o due file, ma quando si tratta di più file in più directory, MD5Deep è la migliore opzione disponibile per generare hash. Questo strumento ha anche la possibilità di confrontare più hash contemporaneamente.
Dai un'occhiata alla pagina MD5Deep Man:
ubuntu@ubuntu: ~ $ md5deep -h $ md5deep [opzione] ... [files] .. Vedi la pagina Man o Readme.file txt o utilizzare -hh per l'elenco completo delle opzioni -P - Modalità a tratti. I file vengono suddivissioni in blocchi per hashing -R - Modalità ricorsiva. Tutte le sottodirectory sono attraversate -E - Mostra il tempo stimato rimanente per ogni file -S - Modalità silenziosa. Sopprimere tutti i messaggi di errore -Z - Visualizza la dimensione del file prima dell'hash -M - Abilita la modalità di abbinamento. Vedi la pagina Readme/Man -X - Abilita la modalità di corrispondenza negativa. Vedi la pagina Readme/Man -M e -x sono uguali a -m e -x ma anche hash di ogni file -W - Visualizza quale file noto ha generato una corrispondenza -N - Visualizza hash noti che non corrispondono a nessun file di input -a e -a aggiungere un singolo hash al set di abbinamento positivo o negativo -B - Stampa solo il nome nudo dei file; Tutte le informazioni sul percorso vengono omesse -L - Stampare percorsi relativi per i nomi di file -T - Stampa GMT Timestamp (ctime) -I/I - solo file di elaborazione più piccoli/più grandi della dimensione -V - Visualizza il numero di versione e l'uscita -d - output in dfxml; -u - Escape Unicode; -W File - Scrivi su file. -J - Usa thread num (impostazione predefinita 4) -Z - Modalità di triage; -h - aiuto; -Hh - Aiuto completo
Exiftool
Esistono molti strumenti disponibili per l'abbattimento e la visualizzazione di immagini uno per uno, ma nel caso in cui si dispongono di molte immagini da analizzare (in migliaia di immagini), Exiftool è la scelta di riferimento. Exiftool è uno strumento open source utilizzato per visualizzare, cambiare, manipolare ed estrarre i metadati di un'immagine con pochi comandi. I metadati forniscono ulteriori informazioni su un articolo; Per un'immagine, i suoi metadati saranno la sua risoluzione, quando è stata presa o creata, e la fotocamera o il programma utilizzato per la creazione dell'immagine. Exiftool può essere utilizzato non solo per modificare e manipolare i metadati di un file di immagine, ma può anche scrivere ulteriori informazioni sui metadati di qualsiasi file. Per esaminare i metadati di un'immagine in formato grezzo, utilizzare il seguente comando:
ubuntu@ubuntu: ~ $ exif
Questo comando ti consentirà di creare dati, come la data di modifica, l'ora e altre informazioni non elencate nelle proprietà generali di un file.
Supponiamo di aver bisogno di nominare centinaia di file e cartelle utilizzando i metadati per creare data e ora. Per fare ciò, è necessario utilizzare il seguente comando:
ubuntu@ubuntu: ~ $ exif '-filename CreateAte: ordinamento per la data e l'ora della creazione del file -D: Imposta il formato -R: ricorsivo (usa il seguente comando su ogni file nel percorso dato) -Estensione: estensione dei file da modificare (JPEG, PNG, ecc.) -Path to File: posizione della cartella o della sottocartella Dai un'occhiata alla pagina Exiftool Man: ubuntu@ubuntu: ~ $ exif - -help -v, -Versione del software di visualizzazione di versioni -Io, –ids mostrano ID invece di tag nomi -t, - -tag = tag seleziona tag --IFD = IFD Seleziona IFD -L,--list-tags Elenca tutti i tag exif -|,-show-mnote mostra contenuto di tag makernote --Rimuovi il tag o IFD -s,-show-descrizione mostra descrizione del tag -E,-Extract-Thumbnail Estratto miniatura -R,--REMOVE-GHUMBNAIL Rimuovi la miniatura -n, --insert-thumbnail = file insert file come miniatura --no-fixup Non correggere i tag esistenti nei file -o, --output = file scrivi dati su file --set-value = Valore stringa del tag -C,-Create-Exif Crea dati exif se non esistenti -M,-Output leggibile da Machine in un formato leggibile da macchina (Delimitazione della scheda) -W, -Width = larghezza di larghezza dell'uscita -x, --xml-output output in un formato XML -D, -Debug mostra i messaggi di debug Opzioni di aiuto: -?, --Aiuto a mostrare questo messaggio di aiuto --Visualizza un messaggio di utilizzo breve di utilizzo
DCFLDD (strumento di imaging disco)
Un'immagine di un disco può essere ottenuta usando il dcfldd utilità. Per ottenere l'immagine dal disco, utilizzare il comando seguente:
ubuntu@ubuntu: ~ $ dcfldd if = Di BS = 512 COUNT = 1 hash = if = destinazione dell'unità di cui creare un'immagine di = destinazione dove verrà memorizzata l'immagine copiata BS = dimensione del blocco (numero di byte da copiare alla volta) hash = tipo hash (opzionale)
Dai un'occhiata alla pagina della guida DCFLDD per esplorare varie opzioni per questo strumento utilizzando il seguente comando:
ubuntu@ubuntu: ~ $ dcfldd - -help dcfldd - -help Utilizzo: DCFLDD [opzione] .. Copia un file, convertendo e formattazione secondo le opzioni. bs = byte force ibs = byte e obs = bytes cbs = byte convert byte byte alla volta conv = parole chiave Converti il file secondo la virgola separata da parole chiave ListCC Count = blocchi Copia solo blocchi blocchi di ingresso IBS = byte Leggi byte byte alla volta if = file leggi dal file anziché da stdin Obs = byte Write byte byte alla volta di = file scrivi su file anziché stdout Nota: di = file può essere usato più volte per scrivere output su più file contemporaneamente di: = comando esec e scrivi output per elaborare comando Seek = Blocks salta blocchi blocchi OBS all'inizio dell'uscita Skip = blocchi Skip Blocks Blocchi di dimensioni IBS all'inizio dell'input pattern = hex usa il modello binario specificato come input textPattern = testo usa il testo ripetuto come input Errlog = file Invia messaggi di errore in file e stderr HashWindow = byte Esegui un hash su ogni quantità di dati hash = nome MD5, Sha1, Sha256, Sha384 o Sha512 L'algoritmo predefinito è MD5. Per selezionare più Algoritmi da eseguire simultaneamente inserire i nomi In un elenco separato da virgola hashlog = file invia output hash md5 al file anziché stderr Se stai usando più algoritmi di hash può inviare ciascuno a un file separato utilizzando il Convenzione algoritmlog = file, ad esempio md5log = file1, sha1log = file2, ecc. hashlog: = comando esec e scrivi hashlog per elaborare il comando Algoritmlog: = comando funziona anche alla stessa moda hashconv = [prima | dopo] eseguire l'hashing prima o dopo le conversioni hashformat = formato visualizza ogni hashwindow in base al formato Il mini lingua del formato hash è descritto di seguito TotalHashFormat = Formato Visualizza il valore di hash totale in base al formato Stato = [ON | OFF] Visualizza un messaggio di stato continuo su Stderr lo stato predefinito è "acceso" statusInterval = n Aggiorna il messaggio di stato ogni n blocchi Il valore predefinito è 256 sizeProbe = [se | di] determina la dimensione del file di input o output Per l'uso con i messaggi di stato. (Questa opzione ti dà un indicatore percentuale) ATTENZIONE: non utilizzare questa opzione contro a dispositivo a nastro. È possibile utilizzare un numero qualsiasi di "A" o "n" in qualsiasi combinazione Il formato predefinito è "NNN" Nota: le opzioni divise e splitformat hanno effetto solo per i file di output specificati dopo le cifre in Qualsiasi combinazione che desideri. (e.G. "Anaannnaana" sarebbe valido, ma Abbastanza folle) vf = file verificare che il file corrisponda all'ingresso specificato VerifyLog = File Invia Verifica i risultati su file anziché stderr VerifyLog: = comando Exec e scrivi Verifica i risultati per elaborare il comando --Aiuto a mostrare questo aiuto ed esci --Informazioni sulla versione e uscita della versione in uscita della versione ASCII da EBCDIC ad ASCII ebcdic da ASCII a ebcdic IBM da ASCII a EBCDIC alternato Block pad record terminati con nuova linea con spazi per dimensioni di CBS Sblocco Sostituire gli spazi finali nei record di dimensioni CBS con Newline Case Cambia maiuscolo in minuscolo Notrunc non tronca il file di output Ucase Cambia il minuscolo in maiuscolo Swab Swap ogni coppia di byte di ingresso Noerror Continua dopo gli errori di lettura Sync Pad ogni blocco di input con NULS a dimensioni di IBS; Quando usato
Bigliettini
Un'altra qualità del VAGLIARE Workstation sono i fogli che sono già installati con questa distribuzione. I fogli cheat aiutano l'utente a iniziare. Quando si eseguono un'indagine, i fogli cheat ricordano all'utente tutte le potenti opzioni disponibili con questo spazio di lavoro. I fogli cheat consentono all'utente di mettere le mani sugli ultimi strumenti forensi con facilità. Sheet cheat di molti strumenti importanti sono disponibili su questa distribuzione, come il cheat sheet disponibile per Creazione della sequenza temporale ombra:
Un altro esempio è il cheat sheet per il famoso Sleuthkit:
Le fogli cheat sono disponibili anche per Analisi della memoria e per montare tutti i tipi di immagini:
Conclusione
Il kit di strumenti forensi investigativi sans (VAGLIARE) ha le capacità di base di qualsiasi altro toolkit forense e include anche tutti gli ultimi potenti strumenti necessari per eseguire un'analisi forense dettagliata su E01 (Formato di testimoni esperti), Aff (Formato forense avanzato) o immagine grezza (Dd) formati. Il formato di analisi della memoria è anche compatibile con setaccio. SIFT pone rigide linee guida su come vengono analizzate le prove, garantendo che le prove non siano manomesse (queste linee guida hanno autorizzazioni di sola lettura). La maggior parte degli strumenti inclusi in SIFT sono accessibili tramite la riga di comando. SIFT può anche essere utilizzato per tracciare l'attività di rete, recuperare dati importanti e creare una sequenza temporale in modo sistematico. A causa della capacità di questa distribuzione di esaminare a fondo i dischi e più file system, SIFT è di alto livello nel campo forense ed è considerata una workstation molto efficace per chiunque lavori in forense. Tutti gli strumenti richiesti per qualsiasi indagine forense sono contenuti nel SIFT Workstation creato da Sans forensics squadra e Rob Lee .