Kali Linux Top Forensic Tools

Ed Treutel IV
Kali Linux Top Forensic Tools

Introdução

Da última vez, abordamos 14 ferramentas forenses presentes no Kali Linux e explicamos seu objetivo e recursos especiais. Hoje, vamos apresentar 14 ferramentas forenses, que são de uma famosa biblioteca, "The Sleuth Kit" (TSK), embalado dentro da atualização de 2020 do Kali Linux. Você pode encontrar essas ferramentas na lista suspensa forense sob o nome Sleuth Kit Suite Tools no menu Kali Whisker.

BLKCALC

A ferramenta BLKCALC é uma ferramenta forense que converte pontos de disco não alocados em pontos de disco regulares. Este programa cria um número de ponto que mapeia duas imagens. Uma dessas imagens é normal e a outra contém números de pontos não alocados da primeira imagem. Esta ferramenta pode suportar muitos tipos de sistema de arquivos. Se um sistema de arquivos não estiver definido no início, o BLKCALC possui o recurso exclusivo dos métodos de autodetecção para encontrar o tipo de sistema de arquivos.

tsk_comparedir

Com a ajuda da ferramenta TSK_COMPAREDIR, o conteúdo da imagem é comparado ao conteúdo do diretório de comparação. Esta é a melhor ferramenta na fase de teste para identificar rootkits (código ou arquivos maliciosos). O teste rootkit é realizado comparando o conteúdo do diretório local com um dispositivo bruto local. Esses rootkits não estão ocultos quando acessados ​​e lidos em um dispositivo bruto.

tsk_getTimes

A ferramenta forense tsk_gettimes é baseada em uma biblioteca de kit de detetive. Esta ferramenta coleta o Mac Times (peças de metadados do sistema de arquivos) de uma imagem de disco especificada e converte os horários em um arquivo corporal. A ferramenta TSK_GETTimes examina todos os sistemas de arquivos em uma partição ou imagem de disco e processa os dados dentro. A saída desta ferramenta são os dados da imagem em disco em um formato de corpo Mac Time, que pode ser usado como uma entrada para o sistema para gerar uma cronologia da atividade do arquivo. Os dados são impressos como um arquivo através do comando stdout.

blkcat

A ferramenta BLKCAT é uma ferramenta forense rápida e eficiente embalada dentro de Kali. O objetivo desta ferramenta é exibir o conteúdo dos dados armazenados na imagem de disco de um sistema de arquivos. A saída exibe o número de unidades de dados, começando com o endereço principal e impressões da unidade, em diferentes formatos que podem ser especificados e classificados. Por padrão, o formato de saída é bruto e também é chamado de dcat.

tsk_loaddb

A ferramenta TSK_LOADDB carrega os metadados da imagem do disco em um banco de dados SQLite, que é um banco de dados utilizável para análise de outras ferramentas de software. O banco de dados é armazenado no diretório de imagem para facilitar o acesso. Esta ferramenta suporta muitos sistemas de arquivos e pode calcular o valor do hash md5 para cada arquivo.

blkstat

A ferramenta Sleuth Kit Blkstat exibe todas as informações sobre as unidades de dados de um sistema de arquivos. Esta ferramenta retorna dados sobre o status de alocação de um bloco ou um setor de um sistema de arquivos. Esta ferramenta pode usar o comando addr, que mostra as estatísticas de uma peça de dados, e também é chamado de dstat.

ffind

A ferramenta FFIND usa um inode para procurar o nome do diretório ou arquivo em uma imagem de disco. Os arquivos atribuídos a um identificador de arquivo inode em uma partição de disco têm nomes; Por padrão, esta ferramenta retornará apenas o primeiro nome que encontra. A ferramenta FFIND pode até encontrar nomes de arquivos excluídos, que é a capacidade especial desta ferramenta. Além disso, a ferramenta FFIND também pode encontrar vários nomes de arquivos.

hfind

A ferramenta HFIND procura valores de hash nos bancos de dados de hash. Os valores de hash são pesquisados ​​usando o algoritmo de pesquisa binária. O objetivo de usar esse algoritmo é permitir que os usuários criem facilmente bancos de dados de hash e identifiquem rapidamente um arquivo, seja conhecido ou desconhecido. Esta ferramenta usa a biblioteca NSRL e retorna md5sum. Essa ferramenta é muito eficiente, pois cria um arquivo de índice que já está classificado e tem entradas de comprimento fixo, o que torna a pesquisa muito rápida.

fls

O nome FLS envolve o termo "LS", que significa listar o conteúdo de uma pasta. A ferramenta FLS lista todos os nomes e diretórios de arquivos em um arquivo de imagem e pode até mostrar nomes de arquivos que foram removidos recentemente. Se o identificador de arquivo ou inode não for usado, o diretório raiz será usado.

mmcat

A ferramenta MMCAT é uma ferramenta forense que retorna o conteúdo de uma partição através da função de impressão. Esta ferramenta extrai todos os dados em uma partição para um arquivo separado.

sigfind

Esta ferramenta encontra a assinatura binária presente dentro de um arquivo. Esta assinatura binária é chamada de hexágina, que está presente em cada arquivo. Esta ferramenta pode ser usada para encontrar superblocos perdidos, partições ou tabelas de imagem e setores de inicialização. O formato hexadecimal deve ser usado para encontrar a assinatura binária.

eu acho

Esta ferramenta procura a estrutura de dados brutos de um arquivo, que é alocado em uma unidade de disco específica ou nome do arquivo. Às vezes, qualquer uma dessas estruturas de meta-dados pode não ser alocada, mas essa ferramenta ainda obterá os resultados.

classificador

A ferramenta de classificação é uma ferramenta de script "Perl" que executa a classificação em um sistema de arquivos para organizá -lo em arquivos alocados e não alocados, com base no tipo de arquivo. Esta ferramenta executa um comando em todos os arquivos e classifica os arquivos de acordo com os arquivos de configuração. Os tipos de arquivos incluem arquivos ocultos, arquivos de hash para bancos de dados de hash, arquivos conhecidos por serem bons e aqueles que devem ser alterados. Os arquivos de configuração usados, por padrão, são retirados de onde a ferramenta é instalada, mas isso pode ser alterado com decisões de tempo de execução.

tsk_recover

Esta ferramenta transfere arquivos de uma partição de disco para um diretório raiz local. Os arquivos recuperados são, por padrão, apenas arquivos não alocados. Através de certos comandos, todos os arquivos podem ser exportados.

Conclusão

Essas 14 ferramentas vêm com o Kali Linux Live, bem como as imagens do instalador, e são de código aberto e disponíveis gratuitamente. Essas ferramentas podem ser encontradas no menu Kali Whisker em uma pasta chamada Sleuth Kit Suite. As ferramentas recebem atualizações frequentes do TSK para pequenas correções de bugs.

Powershell
Como instalar o Windows PowerShell
Para instalar o PowerShell primeiro, navegue até a Microsoft Store e pesquise PowerShell. Depois que...
Benny Hilll DDS
Força de vendas
Salesforce Apex - gatilhos
Tutorial prático sobre os gatilhos do Salesforce Apex e os diferentes exmaples para disparar o gatil...
Pedro Macejkovic
Programação Bash
Como encontrar o comprimento de uma matriz no script de shell
As três maneiras de encontrar o comprimento de uma matriz no shell são o parâmetro interno do shell ...
Benny Hilll DDS
PostGresql
PostgreSQL Crie índice simultaneamente
Orlando Green
Docker
Como posso listar todos os comandos do Docker?
Benny Hilll DDS
Fedora
Como ativar o repositório de fusão de RPM no Fedora
Pedro Macejkovic
Pitão
O que é B String em Python?
Evan Mueller
C Programação
Livros e guias para a linguagem C
Tommie Konopelski
php
Como usar a função php rand
Bryant Rowe Sr.
Golang
Como aparar uma corda em Golang
Tommie Konopelski
C Programação
O que é endereço de memória na programação C e como encontrá -lo?
Jackie Blanda
C Programação
O que é tratamento de arquivos na programação C?
Joey Bartoletti
Powershell
Como funciona o comando Get-Process em PowerShell
Pedro Macejkovic