Figura 1: Kali Linux
Geralmente, ao executar forense em um sistema de computador, qualquer atividade que possa alterar ou modificar a análise de dados do sistema deve ser evitada. Outros desktops modernos geralmente interferem nesse objetivo, mas com o Kali Linux através do menu de inicialização, você pode ativar um modo forense especial.
Ferramenta Binwalk:
Binwalk é uma ferramenta forense em Kali que pesquisa uma imagem binária especificada para código e arquivos executáveis. Ele identifica todos os arquivos incorporados em qualquer imagem de firmware. Ele usa uma biblioteca muito eficaz conhecida como "libmagic", que classifica assinaturas mágicas no utilitário de arquivos Unix.
Figura 2: ferramenta cli binwalk
Ferramenta de extrator a granel:
A ferramenta de extrator em massa extrai números de cartão de crédito, links de URL, endereços de email, que são usados evidências digitais. Esta ferramenta permite identificar ataques de malware e intrusão, investigações de identidade, vulnerabilidades cibernéticas e rachaduras de senha. A especialidade desta ferramenta é que não apenas funciona com dados normais, mas também funciona em dados compactados e dados incompletos ou danificados.
Figura 3: Ferramenta de linha de comando do extrator a granel
Ferramenta Hashdeep:
A ferramenta Hashdeep é uma versão modificada da ferramenta de hash dc3dd projetada especialmente para forense digital. Esta ferramenta inclui hash de arquivos automáticos, eu.e., SHA-1, SHA-256 e 512, Tiger, Whirlpool e MD5. Um arquivo de log de erro está escrito automaticamente. Os relatórios de progresso são gerados com cada saída.
Figura 4: Ferramenta de interface da CLI Hashdeep.
Ferramenta de resgate mágica:
Magic Rescue é uma ferramenta forense que executa operações de varredura em um dispositivo bloqueado. Esta ferramenta usa bytes mágicos para extrair todos os tipos de arquivo conhecidos do dispositivo. Isso abre dispositivos para digitalização e leitura dos tipos de arquivos e mostra a possibilidade de recuperar arquivos excluídos ou corrompidos da partição. Pode funcionar com cada sistema de arquivos.
Figura 5: Ferramenta de interface de linha de comando de resgate mágica
Ferramenta de bisturi:
Esta ferramenta forense esculpe todos os arquivos e indexa os aplicativos que são executados no Linux e Windows. A ferramenta de bisturi suporta a execução multithreading em vários sistemas principais, que ajudam em execuções rápidas. A escultura de arquivos é realizada em fragmentos, como expressões regulares ou cordas binárias.
Figura 6: Ferramenta de escultura forense de bisturi
Ferramenta scrounge-ntfs:
Essa utilidade forense ajuda a recuperar dados de discos ou partições corrompidas de NTFS. Ele resgata dados de um sistema de arquivos corrompido para um novo sistema de arquivos de trabalho.
Figura 7: Ferramenta de recuperação de dados forense
Ferramenta Guymager:
Esse utilitário forense é usado para adquirir mídia para imagens forenses e possui uma interface gráfica do usuário. Devido ao seu processamento e compactação de dados multithreaded, é uma ferramenta muito rápida. Esta ferramenta também suporta clonagem. Gera imagens planas, aff e EWF. A interface do usuário é muito fácil de usar.
Figura 8: Utilidade forense de Guymager GUI
Ferramenta PDFID:
Esta ferramenta forense é usada nos arquivos PDF. A ferramenta digitaliza arquivos PDF para palavras -chave específicas, que permitem identificar códigos executáveis quando aberto. Esta ferramenta resolve os problemas básicos associados aos arquivos PDF. Os arquivos suspeitos são então analisados com a ferramenta PDF-Parser.
Figura 9: Utilitário de interface da linha de comando pdfid
Ferramenta PDF-Parser:
Esta ferramenta é uma das ferramentas forenses mais importantes para arquivos PDF. O PDF-Parsser analisa um documento PDF e distingue os elementos importantes utilizados durante sua análise, e essa ferramenta não renderiza esse documento em PDF.
Figura 10: ferramenta forense da CLI do PDF-Parser
Ferramenta peepdf:
Uma ferramenta Python que explora documentos em PDF para descobrir se é inofensivo ou destrutivo. Ele fornece todos os elementos necessários para executar a análise em PDF em um único pacote. Ele mostra entidades suspeitas e suporta várias codificações e filtros. Pode analisar documentos criptografados também.
Figura 11: Ferramenta Python Peepdf para investigação em PDF.
Ferramenta de autópsia:
Uma autópsia está em uma utilidade forense para recuperação rápida de dados e filtragem de hash. Esta ferramenta esculpe arquivos e mídia excluídos de espaço não alocado usando o Photorec. Também pode extrair a extensão Exif multimídia. Scanns de autópsia para indicador de compromisso usando a Biblioteca Stix. Está disponível na linha de comando e na interface da GUI.
Figura 12: Autópsia, tudo em um pacote de utilidade forense
ferramenta img_cat:
A ferramenta img_cat fornece conteúdo de saída de um arquivo de imagem. Os arquivos de imagem recuperados terão metadados e dados incorporados, o que permite convertê-los em dados brutos. Esses dados brutos ajudam a canalizar a saída para calcular o hash md5.
Figura 13: Dados incorporados img_cat para recuperação de dados brutos e conversor.
Ferramenta ICAT:
O ICAT é uma ferramenta de kit de detetive (TSK) que cria uma saída de um arquivo com base em seu identificador ou número de inode. Esta ferramenta forense é ultra-rápida e abre as imagens de arquivo nomeada e a copia para a saída padrão com um número de inode específico. Um inode é uma das estruturas de dados do sistema Linux, que armazena dados e informações sobre um arquivo Linux, como propriedade, tamanho do arquivo e tipo, escreva e leia permissões.
Figura 14: Ferramenta de interface baseada em console do ICAT
Ferramenta srch_strings:
Esta ferramenta procura seqüências viáveis ASCII e Unicode dentro de dados binários e, em seguida, imprime a sequência de deslocamento encontrada nesses dados. A ferramenta SRCH_STRINGS extrairá e recuperará as strings presentes em um arquivo e fornecerá byte de deslocamento se chamado.
Figura 15: Ferramenta forense de recuperação de string
Conclusão:
Essas 14 ferramentas vêm com imagens Kali Linux Live e instalador e são de código aberto e disponíveis gratuitamente. No caso de uma versão mais antiga do Kali, sugiro uma atualização para a versão mais recente para obter essas ferramentas diretamente. Existem muitas outras ferramentas forenses que abordaremos a seguir. Veja a parte 2 deste artigo aqui.