Como usar o modo forense Kali Linux

Kali Linux é um sistema operacional equipado com tudo o que um profissional de segurança pode precisar, contendo um pacote robusto de programas para uso por pesquisadores de segurança e testadores de caneta. Há uma característica de “Kali Linux Live”Que fornece um 'Modo forense'Para seus usuários. O 'modo forense' está equipado com ferramentas feitas para o objetivo explícito da forense digital.

Kali Linux 'Ao vivo' fornece um modo forense onde você pode simplesmente conectar um USB contendo um Kali ISO. Sempre que uma necessidade forense surge, você é capaz de fazer o que precisa sem instalar nada extra usando o Kali Linux Live (modo forense). A inicialização no kali (modo forense) não monta discos rígidos do sistema; portanto, as operações que você executa no sistema não deixa nenhum rastro.

Como usar o Live de Kali (modo forense)

Para usar o "Kali's Live (FORENSIC MODE)", você precisará de uma unidade USB contendo Kali Linux ISO. Para fazer um, você pode seguir as diretrizes oficiais da segurança ofensiva

Depois de preparar o Live Kali Linux USB, conecte -o e reinicie seu PC para inserir o carregador de inicialização. Lá, você encontrará um menu como este:

Clicando no Live (modo forense) o levará direto ao modo forense que contém as ferramentas e os pacotes necessários para suas necessidades forenses. Neste artigo, veremos como organizar seu processo forense digital usando o Live (modo forense).

Cópia de dados

Forense requer imagem de unidades do sistema contendo dados. A primeira coisa que precisamos fazer é fazer uma cópia um pouco por bit do arquivo, disco rígido ou qualquer outro tipo de dados nos quais precisamos executar forense. Este é um passo muito crucial, porque se for feito errado, todo o trabalho pode ser desperdiçado.

Os backups regulares de uma unidade ou arquivo não funcionam para nós (os investigadores forenses). O que precisamos é uma cópia de dados de bit-bit na unidade. Para fazer isso, usaremos o seguinte dd comando:

root@kali: ~ $ dd if = de = bs =

Precisamos fazer uma cópia da unidade SDA1, Então, vamos usar o seguinte comando. Fará uma cópia do SDA1 para SDA2 512 Byes por vez.

root@kali: ~ $ dd if =/dev/sda1 de =/dev/sda2 bs = 512

Hashing

Com nossa cópia da unidade, qualquer um pode questionar sua integridade e pode pensar que colocamos a unidade intencionalmente. Para gerar provas de que temos a unidade original, usaremos o hashing. Hashing é usado para garantir a integridade da imagem. Hashing fornecerá um hash para uma unidade, mas se um único pouco de dados for alterado, o hash mudará e saberemos se foi substituído ou for o original. Para garantir a integridade dos dados e que ninguém possa questionar sua originalidade, copiaremos o disco e geraremos um hash md5 dele.

Primeiro, aberto dcfldd Do kit de ferramentas forense.

O dcfld A interface ficará assim:

Agora, usaremos o seguinte comando:

root@kali: ~ $ dcfldd if =/dev/sda de =/mídia/imagem.dd hash = md5 bs = 512

/dev/sda: A unidade que você deseja copiar
/mídia/imagem.DD: a localização e o nome da imagem que você deseja copiar para
hash = md5: o hash que você deseja gerar e.g md5, sha1, sha2, etc. Nesse caso, é md5.
BS = 512: Número de bytes para copiar por vez

Uma coisa que devemos saber é que o Linux não fornece nomes de unidades com uma única letra como no Windows. No Linux, os discos rígidos são separados por HD designação, como Tive, HDB, etc. Para SCSI (interface do sistema de computador pequeno), é SD, SBA, SDB, etc.

Agora, temos a cópia pouco a pouco de uma unidade em que queremos realizar forense. Aqui, as ferramentas forenses entrarão em jogo, e qualquer pessoa com conhecimento de usar essas ferramentas e pode trabalhar com elas será útil.

Ferramentas

O modo forense já contém famosos kits de ferramentas e pacotes de fonte aberta para fins forenses. É bom entender a forense para inspecionar o crime e voltar a quem quer que tenha feito isso. Qualquer conhecimento de como usar essas ferramentas seria útil. Aqui, teremos uma rápida visão geral de algumas ferramentas e como nos familiarizar com eles

Autópsia

A autópsia é uma ferramenta utilizada pelos militares, policiais e agências diferentes quando há uma necessidade forense. Este pacote é presumivelmente um dos mais poderosos acessíveis por meio de código aberto, consolida as funcionalidades de vários outros pacotes de Littler que estão progressivamente envolvidos em sua metodologia em um aplicativo impecável com uma interface de interface do navegador da Internet.

Para usar autópsia, abra qualquer navegador e digite: http: // localhost: 9999/autópsia

Agora, que tal abrirmos qualquer programa e exploramos o local acima. Isso nos levará essencialmente ao servidor da web próximo em nossa estrutura (localhost) e chegará à porta 9999, onde a autópsia está em execução. Estou utilizando o programa padrão em Kali, Iceweasel. Quando exploro esse endereço, recebo uma página como a vista abaixo:

Suas funcionalidades incorporam - investigação da linha do tempo, pesquisa de palavras -chave, separação de hash, escultura de dados, mídia e marcadores de uma pechincha. A autópsia aceita imagens de disco em formatos Raw OE EO1 e fornece resultados em qualquer formato necessário geralmente nos formatos XML, HTML.

Binwalk

Esta ferramenta é utilizada durante o gerenciamento de imagens binárias, tem a capacidade de encontrar o documento inserido e o código executável investigando o arquivo de imagem. É um ativo incrível para quem sabe o que está fazendo. Quando utilizado direito, você pode descobrir dados delicados cobertos em imagens de firmware que podem revelar um hack ou ser usado para descobrir uma cláusula de fuga para usar mal.

Esta ferramenta é escrita em Python e usa a biblioteca libmagic, tornando -a ideal para uso com marcas de encantamento feitas para o Unix Record Utility. Para simplificar as coisas para os examinadores, ele contém um registro de assinatura de encantamento que mantém as marcas mais descobertas regularmente no firmware, o que torna mais simples de identificar inconsistências.

Ddrescue

Ele duplica as informações de um documento ou gadget quadrado (disco rígido, CD-ROM, etc.) para outro, tentando proteger as grandes partes primeiro se houver uma ocorrência de erros de leitura.

A atividade essencial do ddrescue está completamente programada. Isto é, você não precisa sentar -se bem para um erro, parar o programa e reiniciá -lo de outra posição. Se você utilizar o destaque do MapFile do ddrescue, as informações serão salvas de maneira proficiente (apenas os quadrados necessários são examinados). Da mesma forma, você pode se intrometer no salvamento sempre que e continuar mais tarde em um ponto semelhante. O MapFile é uma peça básica da viabilidade de Ddrescue. Utilize -o, exceto se você souber o que está fazendo.

Para usá -lo, usaremos o seguinte comando:

root@kali: ~ $ dd_rescue

Dumpzilla

O aplicativo Dumpzilla é criado no Python 3.x e é usado para extrair os dados mensuráveis ​​e fascinantes dos programas de Firefox, Guia Ice e Seamonkey a serem examinados. Por causa de seu Python 3.x Turn of Events, provavelmente não funcionará adequadamente em formas antigas de Python com caracteres específicos. O aplicativo funciona em uma interface de linha de ordem, para que os dumps de dados possam ser desviados por tubos com dispositivos; por exemplo, grep, awk, corte, sed. Dumpzilla permite que os usuários imaginem as seguintes áreas, pesquise personalização e concentre -se em determinadas áreas:

• Dumpzilla pode mostrar atividades ao vivo de usuários em guias/windows.
• Dados de cache e miniaturas de janelas abertas anteriormente
• Downloads, favoritos e histórico do usuário
• Senhas salvas do navegador
• Cookies e dados de sessão
• Pesquisas, e -mail, comentários

Principal

Apagar documentos que podem ajudar a desvendar um episódio computadorizado? Esqueça isso! O principal é um pacote de código aberto simples de usar que pode cortar informações dos círculos dispostos. O nome do arquivo em si provavelmente não será recuperado, no entanto, as informações que ele mantêm podem ser cortadas. O principal pode recuperar JPG, PNG, BMP, JPEG, EXE, MPG, OLE, RAR, PDF e muitos outros tipos de arquivos.

: ~ $ acima de tudo -h
principal versão 1.5.7 Por Jesse Kornblum, Kris Kendall e Nick Mikus.
$ MUITO OUTRO [-V | -V | -H | -T | -Q | -Q | -A | -W-D] [-T ]
[-s ] [-k ]
[-b ] [-C ] [-o ] [-eu

-V - Exibir informações e saída de direitos autorais
-T - Especifique o tipo de arquivo. (-t jpeg, pdf…)
-D - Ligue a detecção de blocos indiretos (para os sistemas de arquivos UNIX)
-I - Especifique o arquivo de entrada (o padrão é stdin)
-A - Escreva todos os cabeçalhos, não execute a detecção de erro (arquivos corrompidos)
-W - Escreva apenas o arquivo de auditoria, não escreva arquivos detectados no disco
-O - Defina o diretório de saída (padrões para saída)
-C - Defina o arquivo de configuração para usar (padrões para o máximo.conf)
-Q - Ativa o modo rápido. As pesquisas são realizadas em limites de 512 bytes.
-Q - Ativa o modo silencioso. Suprimir mensagens de saída.
-V - modo detalhado. Registra todas as mensagens para tela

Extrator a granel

Esta é uma ferramenta excepcionalmente útil quando um examinador espera separar o tipo específico de informação do registro de prova computadorizado, este dispositivo pode cortar endereços de email, URL's, números de cartões parcelados e assim por diante. Esta ferramenta tira uma foto em catálogos, arquivos e imagens de disco. As informações podem ser arruinadas no meio do caminho, ou tende a ser compactadas. Este dispositivo descobrirá seu caminho para ele.

Esse recurso inclui destaques que ajudam. Ele tem um componente pelo qual faz uma lista de palavras das informações descobertas. Isso pode ajudar na divisão das senhas dos documentos embaralhados.

Análise de RAM

Vimos análises de memória em imagens do disco rígido, mas às vezes devemos capturar dados da memória ao vivo (RAM). Lembre -se de que a RAM é uma fonte de memória volátil, o que significa que perde seus dados como soquetes abertos, senhas e processos em execução assim que for desligado.

Uma das muitas coisas boas sobre análise de memória é a capacidade de recriar o que o suspeito estava fazendo no momento de um acidente. Uma das ferramentas mais famosas para análise de memória é Volatilidade.

Em Live (modo forense), Primeiro, vamos navegar para Volatilidade Usando o seguinte comando:

root@kali: ~ $ cd/usr/share/volatilidade

Como a volatilidade é um script python, digite o seguinte comando para ver o menu de ajuda:

root@kali: ~ $ python vol.py -h

Antes de fazer qualquer trabalho nesta imagem de memória, primeiro precisamos chegar ao seu perfil usando o seguinte comando. A imagem do perfil ajuda volatilidade Para saber onde na memória aborda as informações importantes residem. Este comando examinará o arquivo de memória em busca de evidências de sistema operacional e informações importantes:

root@kali: ~ $ python vol.py imageinfo -f =

Volatilidade é uma poderosa ferramenta de análise de memória com toneladas de plugins que nos ajudarão a investigar o que o suspeito estava fazendo no momento da apreensão do computador.

Conclusão

Forense está cada vez mais se tornando cada vez mais essencial no mundo digital de hoje, onde todos os dias, muitos crimes são comprometidos usando a tecnologia digital. Ter técnicas forenses e conhecimento em seu arsenal é sempre uma ferramenta extremamente útil para lutar contra o crime cibernético em seu próprio território.

Kali está equipado com as ferramentas necessárias para executar forense e usando Live (modo forense), Não precisamos mantê -lo em nosso sistema o tempo todo. Em vez disso, podemos simplesmente fazer um USB ao vivo ou ter Kali ISO pronto em um dispositivo periférico. Caso as necessidades forenses apareçam, podemos simplesmente conectar o USB, mudar para Live (modo forense) E faça o trabalho sem problemas.