Peneirar é uma distribuição forense de computador criada pelo Sans forense Equipe para realizar forense digital. Esta distro inclui a maioria das ferramentas necessárias para análise forense digital e exames de resposta a incidentes. Peneirar está de código aberto e disponível publicamente gratuitamente na internet. No mundo digital de hoje, onde os crimes são cometidos todos os dias usando a tecnologia digital, os atacantes estão se tornando cada vez mais furtivos e sofisticados. Isso pode fazer com que as empresas percam dados importantes, com milhões de usuários expostos. Proteger sua organização desses ataques requer fortes técnicas forenses e conhecimentos em sua estratégia de defesa. Peneirar Fornece ferramentas forenses para sistemas de arquivos, memória e investigações de rede para realizar investigações forenses profundas.
Em 2007, Peneirar estava disponível para download e foi codificado, então sempre que uma atualização chegava, os usuários tiveram que baixar a versão mais recente. Com mais inovação em 2014, Peneirar tornou -se disponível como um pacote robusto no Ubuntu e agora pode ser baixado como uma estação de trabalho. Mais tarde, em 2017, uma versão de Peneirar veio ao mercado, permitindo maior funcionalidade e proporcionando aos usuários a capacidade de aproveitar os dados de outras fontes. Esta versão mais recente contém mais de 200 ferramentas de terceiros e contém um gerente de pacotes exigindo que os usuários digitem apenas um comando para instalar um pacote. Esta versão é mais estável, mais eficiente e fornece uma melhor funcionalidade em termos de análise de memória. Peneirar é escritor, o que significa que os usuários podem combinar certos comandos para fazê -lo funcionar de acordo com suas necessidades.
Peneirar pode ser executado em qualquer sistema em execução no Ubuntu ou Windows OS. A SIFT suporta vários formatos de evidência, incluindo Aff, E01, e formato bruto (Dd). Imagens forenses de memória também são compatíveis com o SIFT. Para sistemas de arquivos, o SIFT suporta EXT2, EXT3 para Linux, HFS para Mac e Gordura, Voto V, MS-DOS e NTFs para Windows.
Instalação
Para que a estação de trabalho funcione sem problemas, você deve ter um bom RAM, bom CPU e um vasto espaço no disco rígido (é recomendado 15 GB). Existem duas maneiras de instalar Peneirar:
VMware/VirtualBox
Para instalar a estação de trabalho SIFT como uma máquina virtual no VMware ou VirtualBox, faça o download do .óvulos Arquivo de formato da página seguinte:
https: // Digital Forformics.Sans.org/comunidade/downloads Em seguida, importe o arquivo no VirtualBox clicando no Opção de importação. Após a conclusão da instalação, use as seguintes credenciais para fazer login:
Login = Sansforensics
Senha = forense
Ubuntu
Para instalar a estação de trabalho SIFT no seu sistema Ubuntu, primeiro vá para a página seguinte:
(Uma mensagem de erro sobre linhas formatadas no caso acima pode ser ignorada)
Mova o arquivo para o local /usr/local/bin/sift e dê as permissões adequadas usando o seguinte comando:
ubuntu@ubuntu: ~ chmod 755/usr/local/bin/sift
Por fim, execute o seguinte comando para concluir a instalação:
ubuntu@ubuntu: ~ ~ sudo sift install
Após a conclusão da instalação, insira as seguintes credenciais:
Login = Sansforensics
Senha = forense
Outra maneira de executar o SIFT é simplesmente inicializar o ISO em uma unidade inicializável e executá -la como um sistema operacional completo.
Ferramentas
A estação de trabalho SIFT está equipada com inúmeras ferramentas usadas para um exame de resposta forense e de incidentes aprofundados. Essas ferramentas incluem o seguinte:
Autópsia (ferramenta de análise do sistema de arquivos)
A autópsia é uma ferramenta utilizada pelos militares, policiais e outras agências quando há uma necessidade forense. A autópsia é basicamente uma GUI para o muito famoso Sleuthkit. Sleuthkit leva apenas instruções da linha de comando. Por outro lado, a autópsia facilita o mesmo processo. Ao digitar o seguinte:
ubuntu@ubuntu: ~ $ autópsy Uma tela, como segue, aparecerá: ================================================= Autópsia navegador forense http: // www.Sleuthkit.org/autópsia/ ver 2.24 ================================================= Evident Locker:/var/lib/autópsia Horário de início: quarta -feira, 17 de junho 00:42:46 2020 Host remoto: localhost Porta local: 9999 Abra um navegador HTML no host remoto e cole este URL nele: http: // localhost: 9999/autópsia
Na navegação para http: // localhost: 9999/autópsia Em qualquer navegador da web, você verá a página abaixo:
A primeira coisa que você precisa fazer é criar um caso, dar um número de caso e escrever os nomes dos investigadores para organizar as informações e evidências. Depois de inserir as informações e atingir o Próximo Botão, você será a página mostrada abaixo:
Esta tela mostra o que você escreveu como o número do caso e as informações do caso. Esta informação é armazenada na biblioteca /var/lib/autópsia/.
Ao clicar Adicione host, Você verá a tela a seguir, onde pode adicionar as informações do host, como nome, fuso horário e descrição do host…
Clicando Próximo o levarei a uma página exigindo que você forneça uma imagem. E01 (Formato de testemunha especialista), Aff (Formato forense avançado), Dd (Formato bruto) e imagens forenses de memória são compatíveis. Você fornecerá uma imagem e deixará a autópsia fazer seu trabalho.
principal (ferramenta de escultura de arquivos)
Se você deseja recuperar arquivos que foram perdidos devido às suas estruturas de dados internas, cabeçalhos e rodapés, principal pode ser usado. Esta ferramenta recebe a entrada em diferentes formatos de imagem, como os gerados usando DD, ENCase, etc. Explore as opções desta ferramenta usando o seguinte comando:
ubuntu@ubuntu: ~ $ mais importante -h -D - Ligue a detecção de blocos indiretos (para os sistemas de arquivos UNIX) -I - Especifique o arquivo de entrada (o padrão é stdin) -A - Escreva todos os cabeçalhos, não execute nenhuma detecção de erro (arquivos corrompidos) Ash -W - Escreva apenas o arquivo de auditoria, não escreva arquivos detectados no disco -O - Defina o diretório de saída (padrões para saída) -C - Defina o arquivo de configuração para usar (padrões para o máximo.conf) -Q - Ativa o modo rápido.
Binwalk
Para gerenciar bibliotecas binárias, Binwalk é usado. Esta ferramenta é um grande trunfo para quem sabe como usá -la. Binwalk é considerado a melhor ferramenta disponível para engenharia reversa e extração de imagens de firmware. Binwalk é fácil de usar e contém enormes capacidades, dê uma olhada no Binwalk's Ajuda Página para obter mais informações usando o seguinte comando:
ubuntu@ubuntu: ~ $ binwalk -help Uso: Binwalk [Opções] [File1] [File2] [File3]… Opções de varredura de assinatura: -B, -Signatura Arquivo (s) de destino (s) para assinaturas de arquivos comuns -R, - -raw = varredura de varredura (s) para a sequência especificada de bytes -A, -OPCODES Digitam arquivos de destino (s) para assinaturas de código OPCODEM comuns -M, --Magic = Especifique um arquivo mágico personalizado para usar -B, -Disable Palavras -chave de assinatura inteligente -Eu, - -invalida, mostra resultados marcados como inválidos -x, --exclude = exclua resultados que correspondem -y, --include = apenas mostra resultados que correspondem Opções de extração: -e, -Extrair extrair automaticamente os tipos de arquivo conhecidos -D, - -dd = Extrair assinaturas, dê aos arquivos um extensão de e executar -M, - -Matryoshka varrendo arquivos extraídos recursivamente -d, - -profundidade = Limit matryoshka profundidade de recursão (padrão: 8 níveis de profundidade) -C, --Directory = Extrair arquivos/pastas para um diretório personalizado -j, - -size = limite o tamanho de cada arquivo extraído -n, --CONT = limite o número de arquivos extraídos -R, -RM Excluir arquivos esculpidos após extração -z, -escultura dados de arquivos, mas não execute utilitários de extração Opções de análise de entropia: -E, --Entropy Calcule a entropia do arquivo -F, -Fast Use mais rápido, mas menos detalhado, análise de entropia -J, -Save salva de economia como um png -Q, -Nlegend omita a lenda do gráfico da plotagem de entropia -N, - -no -not não gera um gráfico de plotagem de entropia -H, - -High = Defina o limiar de gatilho de entropia de borda ascendente (padrão: 0.95) -L, - -Low = Defina o limiar de gatilho da borda que cair (Padrão: 0.85) Opções de diffração binária: -W, - -hexdump execute um hexdump / diff de um arquivo ou arquivos -G, -Green apenas mostra linhas contendo bytes que são iguais entre todos os arquivos -Eu, -Rred apenas mostra linhas contendo bytes que são diferentes entre todos os arquivos -U, -azul mostra apenas linhas contendo bytes que são diferentes entre alguns arquivos -W, --Terse Diff todos os arquivos, mas exibe apenas um despejo hexadecimal do primeiro arquivo Opções de compactação bruta: -X, -Declare a varredura para fluxos de compactação de deflate bruto -Z, -LZMA Scan para fluxos de compressão Raw LZMA -P, -Parcial Faça um desempenho superficial, mas mais rápido, -S, -parada após o primeiro resultado Opções gerais: -l, -comprimento = número de bytes para digitalizar -o, -deslocamento = Start Scan neste deslocamento de arquivo -O, - -Base = Adicione um endereço base a todas as compensações impressas -K, --block = Definir tamanho do bloco de arquivo -g, - -swap = reverter todos os n bytes antes de digitalizar -f, ---log = Resultados do log para arquivar -C, - -CSV Resultados para arquivar no formato CSV -T, -Term Format Said para ajustar a janela do terminal -Q, -Quase suprimir a saída para o stdout -V, --verbose Ativar saída detalhada -H, -Help Mostrar saída de ajuda -a, - -finclude = apenas arquivos de digitalização cujos nomes correspondem a este regex -P, - -fExclude = não digitalize arquivos cujos nomes correspondem a este regex -s, - -status = Ativar o servidor de status na porta especificada
Volatilidade (ferramenta de análise de memória)
A volatilidade é uma ferramenta forense de análise de memória popular usada para inspecionar despejos voláteis de memória e ajudar os usuários a recuperar dados importantes armazenados na RAM no momento do incidente. Isso pode incluir arquivos modificados ou processos que são executados. Em alguns casos, a história do navegador também pode ser encontrada usando volatilidade.
Se você tem um despejo de memória e deseja conhecer seu sistema operacional, use o seguinte comando:
ubuntu@ubuntu: ~ $ .vol.py imageino -f
A saída deste comando dará um perfil. Ao usar outros comandos, você deve dar este perfil como um perímetro.
Para obter o endereço KDBG correto, use o KDBGSCAN Comando, que digitaliza os cabeçalhos KDBG, marcas conectadas a perfis de volatilidade e se aplica uma vez para verificar se está tudo bem para diminuir os positivos falsos. A verbosidade do rendimento e o número de uma vez que podem ser realizados depende se a volatilidade pode descobrir um DTB. Portanto, com a chance de você conhecer o perfil certo ou se tiver uma recomendação de perfil da ImageInfo, use o perfil correto. Podemos usar o perfil com o seguinte comando:
ubuntu@ubuntu: ~ $ .vol.perfil py = KDBGSCAN -f
Para digitalizar a região de controle do processador do kernel (KPCR) estruturas, use KPCRSCAN. Se for um sistema multiprocessador, cada processador possui sua própria região de varredura do processador do kernel.
Digite o seguinte comando para usar o KPCRSCAN:
ubuntu@ubuntu: ~ $ .vol.perfil py = KPCRSCAN -f
Para procurar malwares e rootkits, PSScan é usado. Esta ferramenta digitaliza os processos ocultos vinculados a rootkits.
Podemos usar esta ferramenta inserindo o seguinte comando:
ubuntu@ubuntu: ~ $ .vol.perfil py = PSScan -f
Dê uma olhada na página do homem para esta ferramenta com o comando de ajuda:
ubuntu@ubuntu: ~ $ volatility -h Opções: -H, -Help listar todas as opções disponíveis e seus valores padrão. Os valores padrão podem ser definidos no arquivo de configuração (/etc/volatilityrc) --confile =/home/usman/.Volatilidaderc Arquivo de configuração baseado no usuário -D, -Volatilidade da depuração de Débug --plugins = plug -ins diretórios adicionais de plug -in para usar (cólon separado) --Informações Imprimir informações sobre todos os objetos registrados --Diretório de Cache =/Home/Usman/.cache/volatilidade Diretório onde os arquivos de cache são armazenados --cache use cache --tz = tz define o fuso horário (olson) para exibir registros de data e hora usando pytz (se instalado) ou tzset -f FILENAME, - -FILENDO = nome do arquivo Nome do arquivo para usar ao abrir uma imagem --perfil = winxpsp2x86 Nome do perfil para carregar (use -Info para ver uma lista de perfis suportados) -L Localização, - -Location = Localização Um local de urna para carregar um espaço de endereço -W, - -Write Ativar suporte de gravação --DTB = endereço DTB DTB --Shift = Shift Mac Kaslr Shift Endereço --saída = saída de texto neste formato (o suporte é específico do módulo, consulte as opções de saída do módulo abaixo) --saída de saída = output_file Escreva a saída neste arquivo -V, -Informações sobre verbosas --físico_shift = físico_shift Endereço de mudança física do kernel Linux --virtual_shift = virtual_shift Endereço de mudança virtual do kernel Linux -g kdbg, --kdbg = kdbg especificar um endereço virtual kdbg (Nota: para 64 bits Windows 8 e acima deste é o endereço de KdcopyDatablock) --Utilização de força de força do perfil suspeito --Cookie = Cookie Especifique o endereço de NT!Obheadercookie (válido para Somente Windows 10) -k kpcr, --kpcr = kPCR Especifique um endereço KPCR específico Comandos de plug -in suportados: Informações de imprimir amcache amcache Apihooks detectam ganchos de API em processo e memória do kernel átomos sessões de impressão e tabelas de átomos da estação de janela Scanner de piscina AtomScan para tabelas de átomos Auditpol imprime as políticas de auditoria de HKLM \ Security \ Policy \ Poladtev bigpools despejar os grandes pools de páginas usando bigpagepoolscanner Bioskbd lê o buffer do teclado da memória do modo real Cachedump depostos em cache hashes de domínio da memória Roturas de chamadas de chamada rotinas de notificação em todo o sistema Extrair de transferência do conteúdo da área de transferência do Windows Argumentos de linha de comando do processo de exibição CMDLine Histórico de comandos de extrato de cmdscan, digitalizando _command_history Conexões Imprima lista de conexões abertas [Somente Windows XP e 2003] Scanner de piscina Conncan para conexões TCP Consoles Extract Histórico de comandos com a digitalização para _console_information Informações de despejo de colisão do CrashFo Deskscan PoolScaner para Tagdesktop (desktops) DeviceTree Mostrar árvore de dispositivo Dlldump dump dlls de um espaço de endereço de processo DllList Lista de DLLs carregados para cada processo Driverirp Driver IRP Hook Detecção Drivermodule Associate Driver Objetos aos módulos do kernel DriversCan Pool Scanner para objetos de motorista DumpCerts Dump RSA Private e Public SSL Keys Dumpfiles Extrair arquivos mapeados e armazenados em cache de memória DumpRegistry Dumps Registry Arquivos para disco Os gditimers impressam temporizadores GDI instalados e retornos de chamada Tabela de descritor global de exibição GDT getServicesids obtém os nomes dos serviços no registro e retorno calculado SID getsids imprimem o SIDS que possui cada processo lida com a lista impressa de alças abertas para cada processo hashdump dumps senhas Hashes (LM/NTLM) da memória Informações do arquivo de hibernação do Hibinfo Dump Lsadump Dump (descriptografado) Segredos da LSA do registro Informações de formato de arquivo mach-o de manchoinfo Memmap Imprima o mapa de memória MessageHooks listar desktop e thread window mensagem MFTParser digitaliza e analisa possíveis entradas da MFT Moddump dump um driver de kernel em uma amostra de arquivo executável Scanner de piscina ModScan para módulos de kernel Módulos Lista de módulos carregados varredura multiscana para vários objetos de uma só vez Scanner de piscina mutantes para objetos mutex Lista de notas no bloco de notas exibidas no bloco de notas ObjtyPescan Scan for Windows Type Objects Patcher patches a memória com base nas digitalizações de página Poolpeek configurável plug -in de scanner de piscina
Hashdeep ou Md5Deep (Ferramentas de Hashing)
Raramente é possível que dois arquivos tenham o mesmo hash md5, mas é impossível para um arquivo ser modificado com seu hash md5 permanecendo o mesmo. Isso inclui a integridade dos arquivos ou a evidência. Com uma duplicata da unidade, qualquer um pode examinar sua confiabilidade e pensaria por um segundo que a unidade foi colocada lá deliberadamente. Para ganhar provas de que a unidade em consideração é o original, você pode usar o hash, que dará um hash a uma unidade. Se mesmo uma única informação for alterada, o hash mudará e você poderá saber se a unidade é única ou uma duplicata. Para garantir a integridade da unidade e que ninguém pode questionar, você pode copiar o disco para gerar um hash md5 da unidade. Você pode usar md5sum Para um ou dois arquivos, mas quando se trata de vários arquivos em vários diretórios, o MD5Deep é a melhor opção disponível para gerar hashes. Esta ferramenta também tem a opção de comparar vários hashes de uma só vez.
Dê uma olhada na página do MD5Deep Man:
ubuntu@ubuntu: ~ $ md5deep -h $ md5deep [Opção]… [arquivos]… Veja a página do homem ou leitura.arquivo txt ou use -hh para a lista completa de opções -P - Modo por partes. Os arquivos são divididos em blocos para hash -r - modo recursivo. Todos os subdiretórios são atravessados -e - mostre tempo estimado restante para cada arquivo -S - modo silencioso. Suprimir todas as mensagens de erro -Z - Exibir tamanho do arquivo antes do hash -M - Ativa o modo de correspondência. Veja a página ReadMe/Man -x - Ativa o modo de correspondência negativo. Veja a página ReadMe/Man -M e -x são os mesmos que -m e -x, mas também imprimem hashes de cada arquivo -w - exibições que o arquivo conhecido gerou uma correspondência -n - exibe hashes conhecidos que não correspondiam a nenhum arquivo de entrada -a e -a adicionam um único hash ao conjunto de correspondência positivo ou negativo -B - imprime apenas o nome nu dos arquivos; Todas as informações do caminho são omitidas -L - Imprima caminhos relativos para nomes de arquivos -T - Imprima GMT Timestamp (Ctime) -i/i - apenas os arquivos de processo menores/maiores que o tamanho -V - Exibir número de versão e saída -D - Saída em DFXML; -u - Escape Unicode; -W Arquivo - Escreva no arquivo. -J - Use num threads (padrão 4) -Z - modo de triagem; -h - ajuda; -hh - ajuda completa
Exiftool
Existem muitas ferramentas disponíveis para marcar e visualizar imagens uma por um, mas no caso de você ter muitas imagens para analisar (nas milhares de imagens), exiftol é a escolha preferida. Exiftool é uma ferramenta de código aberto usado para visualizar, alterar, manipular e extrair os metadados de uma imagem com apenas alguns comandos. Os metadados fornecem informações adicionais sobre um item; Para uma imagem, seus metadados serão sua resolução, quando foi tomada ou criada, e a câmera ou programa usado para criar a imagem. Exiftool pode ser usado para não apenas modificar e manipular os metadados de um arquivo de imagem, mas também pode escrever informações adicionais para os metadados de qualquer arquivo. Para examinar os metadados de uma imagem em formato bruto, use o seguinte comando:
ubuntu@ubuntu: ~ $ exif
Este comando permitirá que você crie dados, como data de modificação, hora e outras informações não listadas nas propriedades gerais de um arquivo.
Suponha que você precise nomear centenas de arquivos e pastas usando metadados para criar data e hora. Para fazer isso, você deve usar o seguinte comando:
ubuntu@ubuntu: ~ $ exif '-filename CreatedAtE: classificar até a data e hora da criação do arquivo -D: defina o formato -R: Recursive (use o seguinte comando em cada arquivo no caminho fornecido) -Extensão: Extensão dos arquivos a serem modificados (jpeg, png, etc.) -Caminho para o arquivo: localização da pasta ou subpasta Dê uma olhada na página do Exiftool Man: ubuntu@ubuntu: ~ $ exif -help -V, versão do software de exibição de versões -eu, --ids mostra IDs em vez de nomes de tags -t, - -tag = tag Selecione Tag --ifd = ifd Selecione ifd -L,-List-tags listam todas as tags EXIF -|,-Show-mnote mostra o conteúdo de Tag Makernote --Remover Remover Tag ou Ifd -S, --Show Description Show Descrição da tag -E,-Extrato de Thumbnail Miniatura -R,-Remove-Thumbnail Remova a miniatura -n, --insert-tumbnail = inserir arquivo como miniatura --sem fixar não corrige tags existentes em arquivos -O, -O -output = Arquivo Escreva dados para arquivo --Set-value = Valor da string da tag -C, --Create-EXIF Crie dados EXIF se não forem existentes -M,-Saída legível por máquina em um formato legível por máquina (delimitado) -w, - -lar -X, --xml output Output em um formato XML -D, -Debug Show Mensagens de depuração Opções de ajuda: -?, --Ajude a mostrar esta mensagem de ajuda --Uso exibir breve mensagem de uso
DCFLDD (ferramenta de imagem em disco)
Uma imagem de um disco pode ser obtida usando o dcfldd Utilitário. Para obter a imagem do disco, use o seguinte comando:
ubuntu@ubuntu: ~ $ dcfldd if = de bs = 512 contagem = 1 hash = se = destino da unidade para criar uma imagem de = destino onde a imagem copiada será armazenada BS = tamanho do bloco (número de bytes para copiar por vez) Hash = Hash Type (Opcional)
Dê uma olhada na página de ajuda do DCFLDD para explorar várias opções para esta ferramenta usando o seguinte comando:
ubuntu@ubuntu: ~ $ dcfldd --help DCFLDD -Help Uso: DCFLDD [Opção]… Copie um arquivo, convertendo e formatando de acordo com as opções. bs = bytes force ibs = bytes e obs = bytes CBS = bytes converte bytes bytes Conv = Palavras -chave convertem o arquivo conforme as palavras -chave separadas por vírgula Listcc count = blocos Copiar apenas blocos de blocos de entrada IBS = bytes leia bytes bytes se = arquivo lido do arquivo em vez de stdin obs = bytes, escreva bytes bytes em um momento de = gravação de arquivo no arquivo em vez de stdout Nota: de = arquivo pode ser usado várias vezes para escrever Saída para vários arquivos simultaneamente de: = comando exec e gravar saída para processar o comando Seek = Blocks pula os blocos obscenos no início da saída Skip = Blocks Skip Blocks Blocks do tamanho de IBS no início da entrada padrão = hexágono use o padrão binário especificado como entrada textpattern = texto use o texto repetindo como entrada ErrLog = Arquivo Envie mensagens de erro ao arquivo e Stderr hashWindow = bytes executam um hash em todos os bytes quantidade de dados hash = nome md5, sha1, sha256, sha384 ou sha512 Algoritmo padrão é MD5. Para selecionar múltiplos algoritmos para executar simultaneamente inserir os nomes em uma lista separada por vírgula hashLog = arquivo Enviar saída de hash md5 para arquivo em vez de stderr Se você estiver usando vários algoritmos de hash, você pode enviar cada um para um arquivo separado usando o Algoritmo de convenção = arquivo, por exemplo md5log = file1, sha1log = file2, etc. HashLog: = Command Exec e Escreva Hashlog para processar o comando Algoritmlog: = Comando também funciona da mesma maneira hashconv = [antes | depois] realizar o hash antes ou depois das conversões hashFormat = formato exibir cada hashWindow de acordo com o formato O mini-linguagem de formato de hash é descrito abaixo totalhashformat = formato exibir o valor total do hash de acordo com o formato Status = [ON | OFF] Exibir uma mensagem de status contínua no stderr O estado padrão está "em" statusInterval = n Atualize a mensagem de status a cada N blocos O valor padrão é 256 sizeprobe = [se | de] determinar o tamanho do arquivo de entrada ou saída Para uso com mensagens de status. (esta opção fornece um indicador percentual) Aviso: não use esta opção contra um dispositivo de fita. Você pode usar qualquer número de 'a' ou 'n' em qualquer combinação O formato padrão é "nnn" Nota: as opções de divisão e divisão entram em vigor apenas para arquivos de saída especificados após dígitos em qualquer combinação que você gostaria. (e.g. "Anaannnaana" seria válido, mas bastante insano) VF = arquivo Verifique se o arquivo corresponde à entrada especificada VerifyLog = Arquivo Enviar os resultados Verifine para arquivo em vez de stderr VerifyLog: = Exec de comando e gravar verifique os resultados para processar o comando --Ajude a exibir esta ajuda e saída --Versão Saída Informações da versão e saída ASCII de EBCDIC para ASCII EBCDIC de ASCII a EBCDIC IBM de ASCII a EBCDIC alternado Block Pad Pad Newline terminou registros com espaços para o tamanho da CBS desbloquear os espaços à direita em registros de tamanho CBS com a Newline Altere a caixa superior para troca para minúsculas NOTRUNC não truque o arquivo de saída UCASCE Altere a caixa inferior para maiúsculas Swab trocam cada par de bytes de entrada Noerror continue após erros de leitura Sync Pad todos os blocos de entrada com Nuls para IBS-Size; quando usado
Cheatsheets
Outra qualidade do Peneirar Estação de trabalho são as folhas de truques que já estão instaladas com esta distribuição. As folhas de truques ajudam o usuário a começar. Ao realizar uma investigação, as folhas de truques lembram o usuário de todas as opções poderosas disponíveis com este espaço de trabalho. As folhas de truques permitem que o usuário coloque as mãos nas últimas ferramentas forenses com facilidade. Folhas de trapaceiros de muitas ferramentas importantes estão disponíveis nesta distribuição, como a folha de dicas disponíveis para Criação da linha do tempo das sombras:
Outro exemplo é a folha de dicas para o famoso Sleuthkit:
Folhas de trapaça também estão disponíveis para Análise de memória E para montar todos os tipos de imagens:
Conclusão
O kit de ferramentas forense investigativo sem investigação (Peneirar) possui os recursos básicos de qualquer outro kit de ferramentas forense e também inclui todas as mais recentes ferramentas poderosas necessárias para realizar uma análise forense detalhada sobre E01 (Formato de testemunha especialista), Aff (Formato forense avançado) ou imagem bruta (Dd) formatos. O formato de análise de memória também é compatível com o SIFT. A SIFT coloca diretrizes estritas sobre como as evidências são analisadas, garantindo que as evidências não sejam adulteradas (essas diretrizes têm permissões somente leitura). A maioria das ferramentas incluídas no SIFT é acessível através da linha de comando. O SIFT também pode ser usado para rastrear a atividade da rede, recuperar dados importantes e criar uma linha do tempo de maneira sistemática. Devido à capacidade desta distribuição de examinar minuciosamente discos e vários sistemas de arquivos, o SIFT é o nível superior no campo forense e é considerado uma estação de trabalho muito eficaz para qualquer pessoa que trabalhe na forense. Todas as ferramentas necessárias para qualquer investigação forense estão contidas no Peneirar estação de trabalho criado pelo Sans forense equipe e Rob Lee .