Ferramentas forenses de Kali Linux

Bryant Rowe Sr.
Ferramentas forenses de Kali Linux
Kali Linux é um poderoso sistema operacional, especialmente projetado para testadores de penetração e profissionais de segurança. A maioria de seus recursos e ferramentas é feita para pesquisadores de segurança e pentesteiros, mas possui uma guia "Forense" separada e um modo "forense" separado para investigadores forenses.

Forensics está se tornando muito importante na segurança cibernética para detectar e retroceder criminosos de chapéu preto. É essencial remover os backdoors/mal -devastadores dos hackers e rastreá -los para evitar possíveis incidentes futuros. No modo forense de Kali, o sistema operacional não monta nenhuma partição do disco rígido do sistema e não deixa alterações ou impressões digitais no sistema do host.

Kali Linux vem com aplicativos forenses populares pré-instalados e kits de ferramentas. Aqui vamos revisar algumas ferramentas famosas de código aberto presentes no Kali Linux.

Extrator a granel

O extrator a granel é uma ferramenta rica que pode extrair informações úteis, como números de cartão de crédito, nomes de domínio, endereços IP, e-mails, números de telefone e URLs de evidências de trações duras/arquivos encontrados durante a investigação forense. É útil para analisar a imagem ou malware, também ajuda na investigação cibernética e na quebra de senha. Ele cria listas de palavras com base nas informações encontradas a partir de evidências que podem ajudar na rachadura de senha.

O extrator a granel é popular, entre outras ferramentas, devido à sua incrível velocidade, compatibilidade de plataforma múltipla e rigor. É rápido devido aos seus recursos multithread e tem capacidade de digitalizar qualquer tipo de mídia digital que inclua HDDs, SSDs, telefones celulares, câmeras, cartões SD e muitos outros tipos.

O extrator a granel possui seguintes recursos legais que o tornam mais preferível,

  • Possui interface de interface gráfica chamada "Visualizador de extrator em massa", que é usado para interagir com o extrator a granel
  • Possui várias opções de saída, como exibir e analisar os dados de saída no histograma.
  • Pode ser facilmente automatizado usando Python ou outras linguagens de script.
  • Ele vem com alguns scripts pré-escritos que podem ser usados ​​para realizar digitalização adicional
  • Seu multithread, pode ser mais rápido em sistemas com vários núcleos de CPU.
root@azad: ~# bulk_extractor -help
Uso: Bulk_extractor [Opções] ImageFile
executa o extrator a granel e sai para superar um resumo do que foi encontrado onde
Parâmetros necessários:
ImageFile - o arquivo para extrair
ou -r filedir - recorrente através de um diretório de arquivos
Tem suporte para arquivos E01
Tem suporte para arquivos aff
-o ULPIR - Especifica o diretório de saída. Não deve existir.
Bulk_extractor cria este diretório.
Opções:
-I - Modo de informação. Faça uma amostra aleatória rápida e imprima um relatório.
-B banner.txt- adicione banner.conteúdo txt na parte superior de cada arquivo de saída.
-r alert_list.txt - um arquivo que contém a lista de recursos de alerta para alertar
(pode ser um arquivo de recurso ou uma lista de globs)
(pode ser repetido.)
-w stop_list.TXT - Um arquivo que contém a lista de paradas de recursos (Lista Branca
(pode ser um arquivo de recurso ou uma lista de globs) s
(pode ser repetido.)
-F - Leia uma lista de expressões regulares de encontrar
-f - Encontre ocorrências de ; pode ser repetido.
Resultados entram em encontro.TXT
… Snip…
Exemplo de uso
root@azad: ~# bulk_extractor -o Output Segred.img

Autópsia

A autópsia é uma plataforma usada por investigadores cibernéticos e agências policiais para conduzir e relatar operações forenses. Ele combina muitos utilitários individuais que são usados ​​para forense e recuperação e fornece a eles interface gráfica do usuário.

A autópsia é um produto de código aberto, gratuito e de plataforma cruzada, disponível para Windows, Linux e outros sistemas operacionais baseados em UNIX. A autópsia pode pesquisar e investigar dados de discos rígidos de múltiplos formatos, incluindo ext2, ext3, gordura, ntfs e outros.

É fácil de usar e não há necessidade de instalar no Kali Linux, pois é enviado com pré-instalado e pré-configurado.

Dumpzilla

Dumpzilla é uma ferramenta de linha de comando de plataforma cruzada escrita no idioma Python 3, que é usado para despejar informações relacionadas a forenses de navegadores da web. Ele não extrai dados ou informações, apenas o exibe no terminal que pode ser canalizado, classificado e armazenado em arquivos usando comandos do sistema operacional. Atualmente, ele suporta apenas navegadores baseados em Firefox como Firefox, Seamonkey, Iceweasel etc.

Dumpzilla pode obter informações seguintes dos navegadores

  • Pode mostrar o surf ao vivo do usuário em guias/janela.
  • Downloads de usuários, marcadores e histórico.
  • Formulários da Web (pesquisas, e -mails, comentários ...).
  • Cache/miniaturas de sites visitados anteriormente.
  • Addons / extensões e caminhos usados ​​ou URLs.
  • Senhas salvas do navegador.
  • Cookies e dados de sessão.
raiz@azad: ~# dumpzilla -help
Uso: Python Dumpzilla.py navegador_profile_directory [opções]
Opções:
--Todos (mostra tudo menos os dados do DOM. Não extraia miniaturas ou html 5 offline)
--Cookies [-ShowDom -Domain -Name -Hostcookie -Access
-Criar -secure -httponly -range_last -range_create
]
--Permissões [-host]
--Downloads [-Range]
--Formulários [-Value -range_forms]
--História [-url -title -date -range_history
-frequência]
--Marcadores [-range_bookmarks]
… Snip…

Estrutura forense digital - DFF

DFF é uma ferramenta de recuperação de arquivos e plataforma de desenvolvimento forense escrita em python e c++. Possui conjunto de ferramentas e script com a linha de comando e a interface gráfica do usuário. É usado para realizar investigação forense e reunir e relatar evidências digitais.

É fácil de usar e pode ser usado por profissionais cibernéticos e novatos para coletar e preservar informações forenses digitais. Aqui discutiremos alguns de seus bons recursos

  • Pode executar forense e recuperação em dispositivos locais e remotos.
  • Tanto a linha de comando quanto a interface gráfica com visualizações gráficas e filtros.
  • Pode recuperar partições e unidades de máquina virtual.
  • Compatível com muitos sistemas e formatos de arquivos, incluindo Linux e Windows.
  • Pode recuperar arquivos escondidos e excluídos.
  • Pode recuperar dados da memória temporária, como rede, processo e etc
raiz@azad: ~# dff -h
Dff
Estrutura forense digital
Uso:/usr/bin/dff [opções]
Opções:
-V -Versão atual de exibição
-G -Interface gráfica de lançamento gráfica
-B - -Batch = nome do arquivo executa o lote contido no nome do arquivo
-L -Language = Lang Use Lang como linguagem de interface
-H -Help Exibir esta mensagem de ajuda
-D -Debug Redirecionar IO para console do sistema
--verbosidade = nível de conjunto de nível verbosidade ao depurar [0-3]
-c - -config = filepath use o arquivo de configuração do filepath

Principal

O principal é uma ferramenta de recuperação baseada em linha de comando mais rápida e confiável para recuperar os arquivos perdidos nas operações forenses. A principal tem a capacidade de trabalhar em imagens geradas por DD, Safeback, Encase, etc, ou diretamente em uma unidade. O principal pode recuperar o exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar e muitos outros tipos de arquivos.

root@azad: ~# Primeiro -h
principal versão x.x.X de Jesse Kornblum, Kris Kendall e Nick Mikus.
$ MUITO OUTRO [-V | -V | -H | -T | -Q | -Q | -A | -W-D] [-T ] [-s ] [-k ]
[-b ] [-C ] [-o ] [-eu -V - Exibir informações e saída de direitos autorais
-T - Especifique o tipo de arquivo. (-t jpeg, pdf…)
-D - Ligue a detecção de blocos indiretos (para os sistemas de arquivos UNIX)
-I - Especifique o arquivo de entrada (o padrão é stdin)
-A - Escreva todos os cabeçalhos, não execute a detecção de erro (arquivos corrompidos)
-W - Escreva apenas o arquivo de auditoria, não escreva arquivos detectados no disco
-O - Defina o diretório de saída (padrões para saída)
-C - Defina o arquivo de configuração para usar (padrões para o máximo.conf)
… Snip…
Exemplo de uso
root@azad: ~## pinom -t exe, jpeg, pdf, png -i file -image.dd
Processamento: imagem de arquivo.dd
… Snip…

Conclusão

Kali, juntamente com suas famosas ferramentas de teste de penetração, também possui uma guia inteira dedicada a "forense". Possui um modo "forense" separado, disponível apenas para USBs ao vivo, no qual não monta as partições do host. Kali é um pouco preferível a outras distritos forenses, como a Caine, devido ao seu apoio e melhor compatibilidade.

AWS
Como usar o gerente de sessão do AWS Systems Manager?
Para usar um gerenciador de sessão para se conectar à instância, crie uma instância usando o AMI com...
Ed Treutel IV
Banco de dados Oracle
Conectividade do banco de dados Java com Oracle
Para conectar o Java com o banco de dados Oracle, baixar e configurar o driver JDBC, definir proprie...
Joey Bartoletti
AWS
O que é sub -rede no AWS VPC e como usá -lo?
As sub-redes da AWS são as sub-redes dentro da rede isolada (VPC) para colocar os recursos da AWS se...
Rickey Greenholt
Pitão
Lista de Python para sequência separada por vírgula
Rickey Greenholt
Pitão
Pandas Read_CSV multiprocessamento
Carl Hintz DDS
Pitão
Converter uma string em json python
Jackie Blanda
Banco de dados Oracle
O Oracle Fusion considerado melhor que o SAP?
Rickey Greenholt
Golang
O que são estruturas em Golang
Salvatore Watsica
Comandos Linux
Como instalar e ativar a autenticação multifatorial SSH para sistemas Linux
Orlando Green
C ++
Como usar o Chrono em C++?
Shaun Bogan
JavaScript
O que W Metacharacter faz no regexp de JavaScript
Jackie Blanda
Banco de dados Oracle
O que é o Oracle SQL*Plus e para que é usado?
Marlon Bernhard
Banco de dados Oracle
Que tipo de banco de dados é o Oracle Top 10g?
Tommie Konopelski