SANS REUNSICS TOURKIT

VAGLIARE è una distribuzione forense del computer creata da Sans forensics Team per eseguire il forense digitale. Questa distribuzione include la maggior parte degli strumenti richiesti per l'analisi forense digitale e gli esami di risposta agli incidenti. VAGLIARE è open-source e disponibile pubblicamente gratuitamente su Internet. Nel mondo digitale di oggi, in cui i crimini vengono commessi ogni giorno usando la tecnologia digitale, gli aggressori stanno diventando sempre più furtivi e sofisticati. Ciò può indurre le aziende a perdere dati importanti, con milioni di utenti esposti. Proteggere la tua organizzazione da questi attacchi richiede forti tecniche e conoscenze forensi nella tua strategia di difesa. VAGLIARE Fornisce strumenti forensi per le indagini di file system, memoria e rete per eseguire indagini forensi approfondite.

Nel 2007, VAGLIARE era disponibile per il download ed è stato codificato hard, quindi ogni volta che arrivava un aggiornamento, gli utenti dovevano scaricare la versione più recente. Con ulteriore innovazione nel 2014, VAGLIARE è diventato disponibile come pacchetto robusto su Ubuntu e ora può essere scaricato come workstation. Più tardi, nel 2017, una versione di VAGLIARE venne sul mercato consentendo una maggiore funzionalità e fornendo agli utenti la possibilità di sfruttare i dati da altre fonti. Questa versione più recente contiene più di 200 strumenti da terze parti e contiene un gestore di pacchetti che richiede agli utenti di digitare un solo comando per installare un pacchetto. Questa versione è più stabile, più efficiente e fornisce una migliore funzionalità in termini di analisi della memoria. VAGLIARE è script, il che significa che gli utenti possono combinare determinati comandi per farlo funzionare in base alle loro esigenze.

VAGLIARE Può eseguire su qualsiasi sistema in esecuzione su Ubuntu o Windows OS. SIFT supporta vari formati di prove, tra cui Aff, E01, e formato grezzo (Dd). Le immagini forensi di memoria sono anche compatibili con setaccio. Per i file system, SIFT supporta EXT2, EXT3 per Linux, HFS per Mac e Fat, V-Fat, MS-DOS e NTF per Windows.

Installazione

Affinché la workstation funzioni senza intoppi, è necessario avere una buona RAM, una buona CPU e un vasto spazio del disco rigido (si consiglia 15 GB). Esistono due modi per installare VAGLIARE:

• VMware/VirtualBox

Per installare SIFT Workstation come macchina virtuale su VMware o VirtualBox, scarica il .ova File di formato dalla pagina seguente:

https: // digitale-formics.Sans.org/community/download
Quindi, importa il file in VirtualBox facendo clic su Opzione di importazione. Dopo il completamento dell'installazione, utilizzare le seguenti credenziali per accedere:

Login = sansforensics

Password = forense

• Ubuntu

Per installare SIFT Workstation sul tuo sistema Ubuntu, vai prima alla pagina seguente:

https: // github.com/teamdfir/sift-cli/versioni/tag/v1.8.5

In questa pagina, installa i seguenti due file:

SIFT-CLI-LINUX
SIFT-CLI-LINUX.Sha256.Asc

Quindi, importa la chiave PGP utilizzando il comando seguente:

ubuntu@ubuntu: ~ $ gpg --Keyserver hkp: // pool.sks-keyserver.Net: 80
--RECV-Keys 22598A94

Convalida la firma usando il seguente comando:

ubuntu@ubuntu: ~ $ gpg -verify sift-cli-linux.Sha256.Asc

Convalida la firma SHA256 usando il seguente comando:

ubuntu@ubuntu: ~ $ sha256sum -c sift-cli-linux.Sha256.Asc

(Un messaggio di errore sulle righe formattate nel caso sopra può essere ignorato)

Sposta il file nella posizione /USR/Local/Bin/SIFT e dargli le autorizzazioni corrette usando il seguente comando:

ubuntu@ubuntu: ~ $ chmod 755/usr/local/bin/sot

Infine, esegui il comando seguente per completare l'installazione:

ubuntu@ubuntu: ~ $ sudo sift installa

Al termine dell'installazione, immettere le seguenti credenziali:

Login = sansforensics

Password = forense

Un altro modo per eseguire SIFT è semplicemente avviare l'ISO in un'unità avviabile ed eseguirlo come un sistema operativo completo.

Utensili

La workstation di SIFT è dotata di numerosi strumenti utilizzati per l'esame forense e di risposta agli incidenti approfonditi. Questi strumenti includono quanto segue:

• Autopsy (strumento di analisi del file system)

L'autopsia è uno strumento utilizzato dall'esercito, dalle forze dell'ordine e da altre agenzie quando c'è un bisogno forense. L'autopsia è fondamentalmente una GUI per la famosa Sleuthkit. Sleuthkit prende solo istruzioni per la riga di comando. D'altra parte, l'autopsia rende lo stesso processo facile e intuitivo. Sulla digitazione quanto segue:

ubuntu@ubuntu: ~ $ autopsia
Una schermata, come segue, apparirà:
================================================
Browser forense di autopsia
http: // www.sleuthkit.org/autopsia/
ver 2.24
================================================
Locker prove:/var/lib/autopsia
Ora di inizio: mer 17 giugno 00:42:46 2020
Host remoto: LocalHost
Porta locale: 9999
Apri un browser HTML sull'host remoto e incolla questo URL in esso:
http: // localhost: 9999/autopsia

Sulla navigazione a http: // localhost: 9999/autopsia Su qualsiasi browser Web, vedrai la pagina qui sotto:

La prima cosa che devi fare è creare un caso, dargli un numero di caso e scrivere i nomi degli investigatori per organizzare le informazioni e le prove. Dopo aver inserito le informazioni e aver colpito il Prossimo pulsante, farai la pagina mostrata di seguito:

Questa schermata mostra ciò che hai scritto come numero di caso e informazioni sul caso. Queste informazioni sono archiviate in biblioteca /var/lib/autopsia/.

Sul clic Aggiungi host, Vedrai la seguente schermata, in cui puoi aggiungere le informazioni host, come nome, fuso orario e descrizione dell'host ..

Clicking Prossimo ti porterà a una pagina che richiede di fornire un'immagine. E01 (Formato di testimoni esperti), Aff (Formato forense avanzato), Dd (Formato grezzo) e le immagini forensi di memoria sono compatibili. Fornirai un'immagine e lascerai che l'autopsia faccia il suo lavoro.

• ForeMost (strumento di intaglio file)

Se si desidera recuperare i file perduti a causa delle loro strutture di dati interne, intestazioni e piè di pagina, principale può essere utilizzata. Questo strumento prende input in diversi formati di immagini, come quelli generati usando DD, Encase, ecc. Esplora le opzioni di questo strumento utilizzando il seguente comando:

ubuntu@ubuntu: ~ $ foremost -h
-D - Attiva il rilevamento di blocchi indiretti (per system di file UNIX)
-I - Specificare il file di input (impostazione predefinita è stdin)
-A - Scrivi tutte le intestazioni, esegui nessun rilevamento di errori (file corrotti) Ash
-W - Scrivi solo il file di audit, non scrivere alcun file rilevato sul disco
-O - Imposta directory di output (impostazione predefinita su output)
-C - Imposta il file di configurazione da utilizzare (impostazione predefinita su.conf)
-Q - Abilita la modalità rapida.

• binwalk

Per gestire le biblioteche binarie, binwalk si usa. Questo strumento è una risorsa importante per coloro che sanno come usarlo. Binwalk è considerato lo strumento migliore disponibile per il reverse ingegneria ed estrazione di immagini del firmware. Binwalk è facile da usare e contiene enormi capacità dai un'occhiata a Binwalk Aiuto pagina per ulteriori informazioni utilizzando il seguente comando:

ubuntu@ubuntu: ~ $ binwalk - -help
Utilizzo: binwalk [opzioni] [file1] [file2] [file3] ..
Opzioni di scansione della firma:
-B, -Signaggio Scansione File di destinazione per le firme dei file comuni
-R, - -raw = Scan Target File (S) per la sequenza specificata di byte
-A, -OPCODE Scansione dei file di destinazione per le firme Opcode eseguibili comuni
-m, -magic = specifica un file magico personalizzato da utilizzare
-B, -Dumb Disabilita parole chiave di firma intelligente
-Io, -invalidi mostrano risultati contrassegnati come non validi
-x, --exclude = escludere i risultati che corrispondono
-y, -include = mostra solo i risultati che corrispondono
Opzioni di estrazione:
-E, -Extract Estrai automaticamente i tipi di file noti
-D, -dd = estrarre firme, dare ai file un
estensione ed eseguire
-M, -matryoshka scansiva ricorsivamente file estratti
-D, - -Depth = Limit Matryoshka Reput di ricorsione (impostazione predefinita: 8 livelli profondi)
-C, - -Directory = Estrai file/cartelle in una directory personalizzata
-J, - -size = limita la dimensione di ciascun file estratto
-N, - -COUNT = Limita il numero di file estratti
-R, - -RM Elimina i file intagliati dopo l'estrazione
-Z, -Carve intaglio dati dai file, ma non eseguire utility di estrazione
Opzioni di analisi dell'entropia:
-E, --Nentropy Calcola l'entropia del file
-F, -Usa un'analisi entropia più veloce, ma meno dettagliata
-J, -salva la trama come png
-Q, -Nlegend omettere la legenda dal grafico del diagramma entropico
-N, -NON GIUNTI NON GENERA Un grafico del diagramma entropico
-H, - -High = Impostare la soglia del trigger entropia a bordo in aumento (impostazione predefinita: 0.95)
-L, - -Low = Imposta la soglia del trigger entropia di caduta (impostazione predefinita: 0.85)
Opzioni binarie diverse:
-W, - -hexdump eseguire un hexdump / diff di un file o file
-G, -Green Mostra solo righe contenenti byte che sono le stesse tra tutti i file
-Io -Red mostro solo righe contenenti byte che sono diverse tra tutti i file
-U, -blu mostra solo righe contenenti byte che sono diverse tra alcuni file
-W, -TERSE Diff tutti i file, ma visualizza solo un dump esagonale del primo file
Opzioni di compressione grezza:
-X, -Scansione deflata per flussi di compressione dello sgonfiaggio grezzo
-Z, -LZMA Scansione per flussi di compressione LZMA grezzi
-P, -Partial Esegui una scansione superficiale, ma più veloce
-S, -stop fermati dopo il primo risultato
Opzioni generali:
-L, - -lunghezza = numero di byte da scansionare
-o, --offset = start scant a questo file offset
-O, -Base = Aggiungi un indirizzo di base a tutti gli offset stampati
-K, --block = set size del blocco file
-g, - -swap = retromarcia ogni n byte prima della scansione
-f, - -log = log Risultati su file
-C, - -CSV I risultati del registro sono presenti in formato CSV
-T, -Term Formato Output per adattarsi alla finestra del terminale
-Q, --quiet sopprime l'output su stdout
-v, -verbose abilita output verbosio
-H, -Help Show Help Output
-A, -Finclude = solo file di scansione i cui nomi corrispondono a questo regex
-p, - -fexclude = non scansionare i file i cui nomi corrispondono a questo regex
-s, --status = abilita il server di stato sulla porta specificata

• Volatilità (strumento di analisi della memoria)

La volatilità è uno strumento forense di analisi della memoria popolare utilizzato per ispezionare i dump di memoria volatili e per aiutare gli utenti a recuperare importanti dati archiviati in RAM al momento dell'incidente. Ciò può includere file modificati o processi eseguiti. In alcuni casi, la storia del browser può anche essere trovata usando la volatilità.

Se si dispone di un dump di memoria e si desidera conoscere il suo sistema operativo, usa il seguente comando:

ubuntu@ubuntu: ~ $ .vol.Py Imageino -f

L'output di questo comando darà un profilo. Quando si utilizza altri comandi, è necessario fornire questo profilo come perimetro.

Per ottenere l'indirizzo KDBG corretto, utilizzare il Kdbgscan Comando, che scansiona per le intestazioni KDBG, segna i profili di volatilità e si applica una volta per verificare che tutto vada bene per ridurre i positivi fasulli. La verbosità della resa e il numero di una volta che possono essere eseguiti dipende dal fatto che la volatilità possa scoprire un DTB. Quindi, nella possibilità di conoscere il profilo giusto o se si dispone di una raccomandazione del profilo da ImageInfo, assicurati di utilizzare il profilo corretto. Possiamo usare il profilo con il seguente comando:

ubuntu@ubuntu: ~ $ .vol.Py Profile = Kdbgscan
-F

Per scansionare la regione di controllo del processore del kernel (KPCR) strutture, usa KPCRScan. Se si tratta di un sistema multiprocessore, ogni processore ha la propria regione di scansione del kernel.

Immettere il seguente comando per utilizzare KPCRSCAN:

ubuntu@ubuntu: ~ $ .vol.Py Profile = KPCRScan
-F

Per scansionare Malwares e Rootkit, PSScan si usa. Questo strumento scansiona per processi nascosti collegati a rootkit.

Possiamo usare questo strumento inserendo il seguente comando:

ubuntu@ubuntu: ~ $ .vol.Py Profile = PSScan
-F

Dai un'occhiata alla pagina Man per questo strumento con il comando di aiuto:

ubuntu@ubuntu: ~ $ volatilità -h
Opzioni:
-H, -Elenca tutte le opzioni disponibili e i loro valori predefiniti.
I valori predefiniti possono essere impostati nel file di configurazione
(/etc/volatilityrc)
--conf-file =/home/usman/.volatilitlc
File di configurazione basato sull'utente
-D, -Debug Volatilità del debug
--Plugins = plug -in Directory di plug -in aggiuntivi da utilizzare (colon separato)
--Informazioni di stampa di informazioni su tutti gli oggetti registrati
--cache-directory =/home/usman/.cache/volatilità
Directory in cui vengono archiviati i file di cache
--Cache Usa la memorizzazione nella cache
--TZ = TZ Imposta il fuso orario (Olson) per la visualizzazione di timestamp
Utilizzando PYTZ (se installato) o TZSET
-F nome file, -Filename = nome file
Nome file da utilizzare durante l'apertura di un'immagine
--profilo = winxpsp2x86
Nome del profilo da caricare (usa - -Info per vedere un elenco di profili supportati)
-L Posizione, -Location = posizione
Una posizione urna da cui caricare uno spazio di indirizzo
-w, - -write abilita il supporto di scrittura
--DTB = DTB DTB Indirizzo
--Shift = Maiusc Mac Kaslr Indirizzo di spostamento
--output = output di testo in questo formato (il supporto è specifico per il modulo, vedere
Le opzioni di output del modulo di seguito)
--output-file = output_file
Scrivi l'output in questo file
-v, -verbose informazioni verbose
--Physical_shift = Physical_Shift
Indirizzo di spostamento fisico del kernel Linux
--virtual_shift = virtual_shift
Indirizzo di spostamento virtuale del kernel Linux
-g kdbg, --kdbg = kdbg Specificare un indirizzo virtuale KDBG (NOTA: per 64 bit
Windows 8 e sopra questo è l'indirizzo di
Kdcopydatablock)
--Forzare la forza dell'utilizzo del profilo sospetto
--cookie = cookie Specificare l'indirizzo di NT!Obheadercookie (valido per
Solo Windows 10)
-K KPCR, --KPCR = KPCR Specificare un indirizzo KPCR specifico
Comandi di plug -in supportati:
Amcache Stampa informazioni Amcache
Apihooks Rileva i ganci API nel processo e nella memoria del kernel
Sessione di stampa degli atomi e tabelle degli atomici della stazione di finestra
Scanner di pool AtomScan per tavoli atomici
AuditPol stampare le politiche di audit da HKLM \ Security \ Policy \ PoladTev
BigPools scarica i pool di pagine grandi usando bigpagepoolscanner
BIOSKBD legge il buffer della tastiera dalla memoria in modalità reale
dumps cachedumps hash di dominio cache dalla memoria
callbacks stampare routine di notifica a livello di sistema
Appunti estratti il ​​contenuto degli appunti di Windows
Argomenti di linea di comando del processo di visualizzazione di cmdline
CMDSCAN EXTRACT CHIRDA COMANDE PER SCUSCA per _Command_History
Collegamenti Elenco di stampa di connessioni aperte [Solo Windows XP e 2003]
Connscan Pool Scanner per connessioni TCP
Console estrarre la cronologia dei comandi mediante scansione per _console_information
crashinfo dump informazioni sul crash-dump
Deskscan Poolscaner per Tagdesktop (desktop)
DeviceTree Show Device Tree
dlldump dlls da uno spazio dell'indirizzo di processo
Elenco di stampa DLLList di DLL caricate per ogni processo
DriverIrp Driver Hook Detection
DriverModule Associate Driver Objects ai moduli del kernel
Scanner per pool di driverscan per oggetti driver
Dumpcerts Dump RSA RSA SSL Keys SSL
dumpfiles estrarre i file mappati e memorizzati nella memoria
DumPregistry Dumps Registry Fila su disco
gditimers stampare timer GDI installati
GDT Visualizza la tabella dei descrittori globali
getServicesids Ottieni i nomi dei servizi nel registro e il reso calcolato SID
ottiene stampare i SID che possiedono ogni processo
Handle Elenco di stampa di maniglie aperte per ogni processo
Hashdump scarica passwords Hashes (LM/NTLM) dalla memoria
Informazioni sul file Hibinfo Dump Hibernation
LSADUMP DUMP (decrittografato) LSA Secrets dal registro
Dump machoinfo Mach-O Informazioni in formato file
Memmap Stampa la mappa di memoria
MessageHooks Elenco Desktop e Finestra thread Hooks
MftParser scansioni e analizza potenziali voci MFT
Moddump Dump Un driver del kernel in un campione di file eseguibile
Scanner per pool ModScan per moduli del kernel
Moduli Elenco di stampa di moduli caricati
Scansione multiscana per vari oggetti contemporaneamente
Scanner per pool mutantscan per oggetti mutex
Elenco Notepad Attualmente visualizzato il testo del blocco note
Scansione ObjtyPescan per gli oggetti del tipo di oggetto Windows
patcher patch la memoria in base alle scansioni di pagina
plug -in per scanner per pool configurabile Poolpeek

• Hashdeep o MD5Deep (strumenti di hashing)

Raramente è possibile che due file abbiano lo stesso hash MD5, ma è impossibile modificare un file con il suo hash MD5 rimasto lo stesso. Ciò include l'integrità dei file o le prove. Con un duplicato dell'unità, chiunque può esaminare la sua affidabilità e penserebbe per un secondo che il disco è stato messo lì deliberatamente. Per ottenere la prova che l'unità in esame è l'originale, è possibile utilizzare hashing, che darà un hash a un drive. Se anche una singola informazione viene modificata, l'hash cambierà e sarai in grado di sapere se l'unità è unica o duplicata. Per assicurare l'integrità dell'unità e che nessuno può interrogarlo, puoi copiare il disco per generare un hash MD5 dell'unità. Puoi usare md5sum Per uno o due file, ma quando si tratta di più file in più directory, MD5Deep è la migliore opzione disponibile per generare hash. Questo strumento ha anche la possibilità di confrontare più hash contemporaneamente.

Dai un'occhiata alla pagina MD5Deep Man:

ubuntu@ubuntu: ~ $ md5deep -h
$ md5deep [opzione] ... [files] ..
Vedi la pagina Man o Readme.file txt o utilizzare -hh per l'elenco completo delle opzioni
-P - Modalità a tratti. I file vengono suddivissioni in blocchi per hashing
-R - Modalità ricorsiva. Tutte le sottodirectory sono attraversate
-E - Mostra il tempo stimato rimanente per ogni file
-S - Modalità silenziosa. Sopprimere tutti i messaggi di errore
-Z - Visualizza la dimensione del file prima dell'hash
-M - Abilita la modalità di abbinamento. Vedi la pagina Readme/Man
-X - Abilita la modalità di corrispondenza negativa. Vedi la pagina Readme/Man
-M e -x sono uguali a -m e -x ma anche hash di ogni file
-W - Visualizza quale file noto ha generato una corrispondenza
-N - Visualizza hash noti che non corrispondono a nessun file di input
-a e -a aggiungere un singolo hash al set di abbinamento positivo o negativo
-B - Stampa solo il nome nudo dei file; Tutte le informazioni sul percorso vengono omesse
-L - Stampare percorsi relativi per i nomi di file
-T - Stampa GMT Timestamp (ctime)
-I/I - solo file di elaborazione più piccoli/più grandi della dimensione
-V - Visualizza il numero di versione e l'uscita
-d - output in dfxml; -u - Escape Unicode; -W File - Scrivi su file.
-J - Usa thread num (impostazione predefinita 4)
-Z - Modalità di triage; -h - aiuto; -Hh - Aiuto completo

• Exiftool

Esistono molti strumenti disponibili per l'abbattimento e la visualizzazione di immagini uno per uno, ma nel caso in cui si dispongono di molte immagini da analizzare (in migliaia di immagini), Exiftool è la scelta di riferimento. Exiftool è uno strumento open source utilizzato per visualizzare, cambiare, manipolare ed estrarre i metadati di un'immagine con pochi comandi. I metadati forniscono ulteriori informazioni su un articolo; Per un'immagine, i suoi metadati saranno la sua risoluzione, quando è stata presa o creata, e la fotocamera o il programma utilizzato per la creazione dell'immagine. Exiftool può essere utilizzato non solo per modificare e manipolare i metadati di un file di immagine, ma può anche scrivere ulteriori informazioni sui metadati di qualsiasi file. Per esaminare i metadati di un'immagine in formato grezzo, utilizzare il seguente comando:

ubuntu@ubuntu: ~ $ exif

Questo comando ti consentirà di creare dati, come la data di modifica, l'ora e altre informazioni non elencate nelle proprietà generali di un file.

Supponiamo di aver bisogno di nominare centinaia di file e cartelle utilizzando i metadati per creare data e ora. Per fare ciò, è necessario utilizzare il seguente comando:

ubuntu@ubuntu: ~ $ exif '-filename
CreateAte: ordinamento per la data e l'ora della creazione del file
-D: Imposta il formato
-R: ricorsivo (usa il seguente comando su ogni file nel percorso dato)
-Estensione: estensione dei file da modificare (JPEG, PNG, ecc.)
-Path to File: posizione della cartella o della sottocartella
Dai un'occhiata alla pagina Exiftool Man:
ubuntu@ubuntu: ~ $ exif - -help
-v, -Versione del software di visualizzazione di versioni
-Io, –ids mostrano ID invece di tag nomi
-t, - -tag = tag seleziona tag
--IFD = IFD Seleziona IFD
-L,--list-tags Elenca tutti i tag exif
-|,-show-mnote mostra contenuto di tag makernote
--Rimuovi il tag o IFD
-s,-show-descrizione mostra descrizione del tag
-E,-Extract-Thumbnail Estratto miniatura
-R,--REMOVE-GHUMBNAIL Rimuovi la miniatura
-n, --insert-thumbnail = file insert file come miniatura
--no-fixup Non correggere i tag esistenti nei file
-o, --output = file scrivi dati su file
--set-value = Valore stringa del tag
-C,-Create-Exif Crea dati exif se non esistenti
-M,-Output leggibile da Machine in un formato leggibile da macchina (Delimitazione della scheda)
-W, -Width = larghezza di larghezza dell'uscita
-x, --xml-output output in un formato XML
-D, -Debug mostra i messaggi di debug
Opzioni di aiuto:
-?, --Aiuto a mostrare questo messaggio di aiuto
--Visualizza un messaggio di utilizzo breve di utilizzo

• DCFLDD (strumento di imaging disco)

Un'immagine di un disco può essere ottenuta usando il dcfldd utilità. Per ottenere l'immagine dal disco, utilizzare il comando seguente:

ubuntu@ubuntu: ~ $ dcfldd if = Di
BS = 512 COUNT = 1 hash =
if = destinazione dell'unità di cui creare un'immagine
di = destinazione dove verrà memorizzata l'immagine copiata
BS = dimensione del blocco (numero di byte da copiare alla volta)
hash = tipo hash (opzionale)

Dai un'occhiata alla pagina della guida DCFLDD per esplorare varie opzioni per questo strumento utilizzando il seguente comando:

ubuntu@ubuntu: ~ $ dcfldd - -help
dcfldd - -help
Utilizzo: DCFLDD [opzione] ..
Copia un file, convertendo e formattazione secondo le opzioni.
bs = byte force ibs = byte e obs = bytes
cbs = byte convert byte byte alla volta
conv = parole chiave Converti il ​​file secondo la virgola separata da parole chiave ListCC
Count = blocchi Copia solo blocchi blocchi di ingresso
IBS = byte Leggi byte byte alla volta
if = file leggi dal file anziché da stdin
Obs = byte Write byte byte alla volta
di = file scrivi su file anziché stdout
Nota: di = file può essere usato più volte per scrivere
output su più file contemporaneamente
di: = comando esec e scrivi output per elaborare comando
Seek = Blocks salta blocchi blocchi OBS all'inizio dell'uscita
Skip = blocchi Skip Blocks Blocchi di dimensioni IBS all'inizio dell'input
pattern = hex usa il modello binario specificato come input
textPattern = testo usa il testo ripetuto come input
Errlog = file Invia messaggi di errore in file e stderr
HashWindow = byte Esegui un hash su ogni quantità di dati
hash = nome MD5, Sha1, Sha256, Sha384 o Sha512
L'algoritmo predefinito è MD5. Per selezionare più
Algoritmi da eseguire simultaneamente inserire i nomi
In un elenco separato da virgola
hashlog = file invia output hash md5 al file anziché stderr
Se stai usando più algoritmi di hash
può inviare ciascuno a un file separato utilizzando il
Convenzione algoritmlog = file, ad esempio
md5log = file1, sha1log = file2, ecc.
hashlog: = comando esec e scrivi hashlog per elaborare il comando
Algoritmlog: = comando funziona anche alla stessa moda
hashconv = [prima | dopo] eseguire l'hashing prima o dopo le conversioni
hashformat = formato visualizza ogni hashwindow in base al formato
Il mini lingua del formato hash è descritto di seguito
TotalHashFormat = Formato Visualizza il valore di hash totale in base al formato
Stato = [ON | OFF] Visualizza un messaggio di stato continuo su Stderr
lo stato predefinito è "acceso"
statusInterval = n Aggiorna il messaggio di stato ogni n blocchi
Il valore predefinito è 256
sizeProbe = [se | di] determina la dimensione del file di input o output
Per l'uso con i messaggi di stato. (Questa opzione
ti dà un indicatore percentuale)
ATTENZIONE: non utilizzare questa opzione contro a
dispositivo a nastro.
È possibile utilizzare un numero qualsiasi di "A" o "n" in qualsiasi combinazione
Il formato predefinito è "NNN"
Nota: le opzioni divise e splitformat hanno effetto
solo per i file di output specificati dopo le cifre in
Qualsiasi combinazione che desideri.
(e.G. "Anaannnaana" sarebbe valido, ma
Abbastanza folle)
vf = file verificare che il file corrisponda all'ingresso specificato
VerifyLog = File Invia Verifica i risultati su file anziché stderr
VerifyLog: = comando Exec e scrivi Verifica i risultati per elaborare il comando
--Aiuto a mostrare questo aiuto ed esci
--Informazioni sulla versione e uscita della versione in uscita della versione
ASCII da EBCDIC ad ASCII
ebcdic da ASCII a ebcdic
IBM da ASCII a EBCDIC alternato
Block pad record terminati con nuova linea con spazi per dimensioni di CBS
Sblocco Sostituire gli spazi finali nei record di dimensioni CBS con Newline
Case Cambia maiuscolo in minuscolo
Notrunc non tronca il file di output
Ucase Cambia il minuscolo in maiuscolo
Swab Swap ogni coppia di byte di ingresso
Noerror Continua dopo gli errori di lettura
Sync Pad ogni blocco di input con NULS a dimensioni di IBS; Quando usato

Bigliettini

Un'altra qualità del VAGLIARE Workstation sono i fogli che sono già installati con questa distribuzione. I fogli cheat aiutano l'utente a iniziare. Quando si eseguono un'indagine, i fogli cheat ricordano all'utente tutte le potenti opzioni disponibili con questo spazio di lavoro. I fogli cheat consentono all'utente di mettere le mani sugli ultimi strumenti forensi con facilità. Sheet cheat di molti strumenti importanti sono disponibili su questa distribuzione, come il cheat sheet disponibile per Creazione della sequenza temporale ombra:

Un altro esempio è il cheat sheet per il famoso Sleuthkit:

Le fogli cheat sono disponibili anche per Analisi della memoria e per montare tutti i tipi di immagini:

Conclusione

Il kit di strumenti forensi investigativi sans (VAGLIARE) ha le capacità di base di qualsiasi altro toolkit forense e include anche tutti gli ultimi potenti strumenti necessari per eseguire un'analisi forense dettagliata su E01 (Formato di testimoni esperti), Aff (Formato forense avanzato) o immagine grezza (Dd) formati. Il formato di analisi della memoria è anche compatibile con setaccio. SIFT pone rigide linee guida su come vengono analizzate le prove, garantendo che le prove non siano manomesse (queste linee guida hanno autorizzazioni di sola lettura). La maggior parte degli strumenti inclusi in SIFT sono accessibili tramite la riga di comando. SIFT può anche essere utilizzato per tracciare l'attività di rete, recuperare dati importanti e creare una sequenza temporale in modo sistematico. A causa della capacità di questa distribuzione di esaminare a fondo i dischi e più file system, SIFT è di alto livello nel campo forense ed è considerata una workstation molto efficace per chiunque lavori in forense. Tutti gli strumenti richiesti per qualsiasi indagine forense sono contenuti nel SIFT Workstation creato da Sans forensics squadra e Rob Lee .