Sem investigativo kit de ferramentas forense

Peneirar é uma distribuição forense de computador criada pelo Sans forense Equipe para realizar forense digital. Esta distro inclui a maioria das ferramentas necessárias para análise forense digital e exames de resposta a incidentes. Peneirar está de código aberto e disponível publicamente gratuitamente na internet. No mundo digital de hoje, onde os crimes são cometidos todos os dias usando a tecnologia digital, os atacantes estão se tornando cada vez mais furtivos e sofisticados. Isso pode fazer com que as empresas percam dados importantes, com milhões de usuários expostos. Proteger sua organização desses ataques requer fortes técnicas forenses e conhecimentos em sua estratégia de defesa. Peneirar Fornece ferramentas forenses para sistemas de arquivos, memória e investigações de rede para realizar investigações forenses profundas.

Em 2007, Peneirar estava disponível para download e foi codificado, então sempre que uma atualização chegava, os usuários tiveram que baixar a versão mais recente. Com mais inovação em 2014, Peneirar tornou -se disponível como um pacote robusto no Ubuntu e agora pode ser baixado como uma estação de trabalho. Mais tarde, em 2017, uma versão de Peneirar veio ao mercado, permitindo maior funcionalidade e proporcionando aos usuários a capacidade de aproveitar os dados de outras fontes. Esta versão mais recente contém mais de 200 ferramentas de terceiros e contém um gerente de pacotes exigindo que os usuários digitem apenas um comando para instalar um pacote. Esta versão é mais estável, mais eficiente e fornece uma melhor funcionalidade em termos de análise de memória. Peneirar é escritor, o que significa que os usuários podem combinar certos comandos para fazê -lo funcionar de acordo com suas necessidades.

Peneirar pode ser executado em qualquer sistema em execução no Ubuntu ou Windows OS. A SIFT suporta vários formatos de evidência, incluindo Aff, E01, e formato bruto (Dd). Imagens forenses de memória também são compatíveis com o SIFT. Para sistemas de arquivos, o SIFT suporta EXT2, EXT3 para Linux, HFS para Mac e Gordura, Voto V, MS-DOS e NTFs para Windows.

Instalação

Para que a estação de trabalho funcione sem problemas, você deve ter um bom RAM, bom CPU e um vasto espaço no disco rígido (é recomendado 15 GB). Existem duas maneiras de instalar Peneirar:

• VMware/VirtualBox

Para instalar a estação de trabalho SIFT como uma máquina virtual no VMware ou VirtualBox, faça o download do .óvulos Arquivo de formato da página seguinte:

https: // Digital Forformics.Sans.org/comunidade/downloads
Em seguida, importe o arquivo no VirtualBox clicando no Opção de importação. Após a conclusão da instalação, use as seguintes credenciais para fazer login:

Login = Sansforensics

Senha = forense

• Ubuntu

Para instalar a estação de trabalho SIFT no seu sistema Ubuntu, primeiro vá para a página seguinte:

https: // github.com/teamdfir/sift-cli/liberações/tag/v1.8.5

Nesta página, instale os dois arquivos a seguir:

SIFT-CLI-Linux
SIFT-CLI-Linux.SHA256.ASC

Em seguida, importe a tecla PGP usando o seguinte comando:

ubuntu@ubuntu: ~ $ gpg --keyServer hkp: // pool.SKS-KeyServer.rede: 80
--RECV-KEYS 22598A94

Validar a assinatura usando o seguinte comando:

ubuntu@ubuntu: ~ $ gpg --verify sift-cli-linux.SHA256.ASC

Validar a assinatura SHA256 usando o seguinte comando:

ubuntu@ubuntu: ~ $ sha256sum -c sift-cli-linux.SHA256.ASC

(Uma mensagem de erro sobre linhas formatadas no caso acima pode ser ignorada)

Mova o arquivo para o local /usr/local/bin/sift e dê as permissões adequadas usando o seguinte comando:

ubuntu@ubuntu: ~ chmod 755/usr/local/bin/sift

Por fim, execute o seguinte comando para concluir a instalação:

ubuntu@ubuntu: ~ ~ sudo sift install

Após a conclusão da instalação, insira as seguintes credenciais:

Login = Sansforensics

Senha = forense

Outra maneira de executar o SIFT é simplesmente inicializar o ISO em uma unidade inicializável e executá -la como um sistema operacional completo.

Ferramentas

A estação de trabalho SIFT está equipada com inúmeras ferramentas usadas para um exame de resposta forense e de incidentes aprofundados. Essas ferramentas incluem o seguinte:

• Autópsia (ferramenta de análise do sistema de arquivos)

A autópsia é uma ferramenta utilizada pelos militares, policiais e outras agências quando há uma necessidade forense. A autópsia é basicamente uma GUI para o muito famoso Sleuthkit. Sleuthkit leva apenas instruções da linha de comando. Por outro lado, a autópsia facilita o mesmo processo. Ao digitar o seguinte:

ubuntu@ubuntu: ~ $ autópsy
Uma tela, como segue, aparecerá:
=================================================
Autópsia navegador forense
http: // www.Sleuthkit.org/autópsia/
ver 2.24
=================================================
Evident Locker:/var/lib/autópsia
Horário de início: quarta -feira, 17 de junho 00:42:46 2020
Host remoto: localhost
Porta local: 9999
Abra um navegador HTML no host remoto e cole este URL nele:
http: // localhost: 9999/autópsia

Na navegação para http: // localhost: 9999/autópsia Em qualquer navegador da web, você verá a página abaixo:

A primeira coisa que você precisa fazer é criar um caso, dar um número de caso e escrever os nomes dos investigadores para organizar as informações e evidências. Depois de inserir as informações e atingir o Próximo Botão, você será a página mostrada abaixo:

Esta tela mostra o que você escreveu como o número do caso e as informações do caso. Esta informação é armazenada na biblioteca /var/lib/autópsia/.

Ao clicar Adicione host, Você verá a tela a seguir, onde pode adicionar as informações do host, como nome, fuso horário e descrição do host…

Clicando Próximo o levarei a uma página exigindo que você forneça uma imagem. E01 (Formato de testemunha especialista), Aff (Formato forense avançado), Dd (Formato bruto) e imagens forenses de memória são compatíveis. Você fornecerá uma imagem e deixará a autópsia fazer seu trabalho.

• principal (ferramenta de escultura de arquivos)

Se você deseja recuperar arquivos que foram perdidos devido às suas estruturas de dados internas, cabeçalhos e rodapés, principal pode ser usado. Esta ferramenta recebe a entrada em diferentes formatos de imagem, como os gerados usando DD, ENCase, etc. Explore as opções desta ferramenta usando o seguinte comando:

ubuntu@ubuntu: ~ $ mais importante -h
-D - Ligue a detecção de blocos indiretos (para os sistemas de arquivos UNIX)
-I - Especifique o arquivo de entrada (o padrão é stdin)
-A - Escreva todos os cabeçalhos, não execute nenhuma detecção de erro (arquivos corrompidos) Ash
-W - Escreva apenas o arquivo de auditoria, não escreva arquivos detectados no disco
-O - Defina o diretório de saída (padrões para saída)
-C - Defina o arquivo de configuração para usar (padrões para o máximo.conf)
-Q - Ativa o modo rápido.

• Binwalk

Para gerenciar bibliotecas binárias, Binwalk é usado. Esta ferramenta é um grande trunfo para quem sabe como usá -la. Binwalk é considerado a melhor ferramenta disponível para engenharia reversa e extração de imagens de firmware. Binwalk é fácil de usar e contém enormes capacidades, dê uma olhada no Binwalk's Ajuda Página para obter mais informações usando o seguinte comando:

ubuntu@ubuntu: ~ $ binwalk -help
Uso: Binwalk [Opções] [File1] [File2] [File3]…
Opções de varredura de assinatura:
-B, -Signatura Arquivo (s) de destino (s) para assinaturas de arquivos comuns
-R, - -raw = varredura de varredura (s) para a sequência especificada de bytes
-A, -OPCODES Digitam arquivos de destino (s) para assinaturas de código OPCODEM comuns
-M, --Magic = Especifique um arquivo mágico personalizado para usar
-B, -Disable Palavras -chave de assinatura inteligente
-Eu, - -invalida, mostra resultados marcados como inválidos
-x, --exclude = exclua resultados que correspondem
-y, --include = apenas mostra resultados que correspondem
Opções de extração:
-e, -Extrair extrair automaticamente os tipos de arquivo conhecidos
-D, - -dd = Extrair assinaturas, dê aos arquivos um
extensão de e executar
-M, - -Matryoshka varrendo arquivos extraídos recursivamente
-d, - -profundidade = Limit matryoshka profundidade de recursão (padrão: 8 níveis de profundidade)
-C, --Directory = Extrair arquivos/pastas para um diretório personalizado
-j, - -size = limite o tamanho de cada arquivo extraído
-n, --CONT = limite o número de arquivos extraídos
-R, -RM Excluir arquivos esculpidos após extração
-z, -escultura dados de arquivos, mas não execute utilitários de extração
Opções de análise de entropia:
-E, --Entropy Calcule a entropia do arquivo
-F, -Fast Use mais rápido, mas menos detalhado, análise de entropia
-J, -Save salva de economia como um png
-Q, -Nlegend omita a lenda do gráfico da plotagem de entropia
-N, - -no -not não gera um gráfico de plotagem de entropia
-H, - -High = Defina o limiar de gatilho de entropia de borda ascendente (padrão: 0.95)
-L, - -Low = Defina o limiar de gatilho da borda que cair (Padrão: 0.85)
Opções de diffração binária:
-W, - -hexdump execute um hexdump / diff de um arquivo ou arquivos
-G, -Green apenas mostra linhas contendo bytes que são iguais entre todos os arquivos
-Eu, -Rred apenas mostra linhas contendo bytes que são diferentes entre todos os arquivos
-U, -azul mostra apenas linhas contendo bytes que são diferentes entre alguns arquivos
-W, --Terse Diff todos os arquivos, mas exibe apenas um despejo hexadecimal do primeiro arquivo
Opções de compactação bruta:
-X, -Declare a varredura para fluxos de compactação de deflate bruto
-Z, -LZMA Scan para fluxos de compressão Raw LZMA
-P, -Parcial Faça um desempenho superficial, mas mais rápido,
-S, -parada após o primeiro resultado
Opções gerais:
-l, -comprimento = número de bytes para digitalizar
-o, -deslocamento = Start Scan neste deslocamento de arquivo
-O, - -Base = Adicione um endereço base a todas as compensações impressas
-K, --block = Definir tamanho do bloco de arquivo
-g, - -swap = reverter todos os n bytes antes de digitalizar
-f, ---log = Resultados do log para arquivar
-C, - -CSV Resultados para arquivar no formato CSV
-T, -Term Format Said para ajustar a janela do terminal
-Q, -Quase suprimir a saída para o stdout
-V, --verbose Ativar saída detalhada
-H, -Help Mostrar saída de ajuda
-a, - -finclude = apenas arquivos de digitalização cujos nomes correspondem a este regex
-P, - -fExclude = não digitalize arquivos cujos nomes correspondem a este regex
-s, - -status = Ativar o servidor de status na porta especificada

• Volatilidade (ferramenta de análise de memória)

A volatilidade é uma ferramenta forense de análise de memória popular usada para inspecionar despejos voláteis de memória e ajudar os usuários a recuperar dados importantes armazenados na RAM no momento do incidente. Isso pode incluir arquivos modificados ou processos que são executados. Em alguns casos, a história do navegador também pode ser encontrada usando volatilidade.

Se você tem um despejo de memória e deseja conhecer seu sistema operacional, use o seguinte comando:

ubuntu@ubuntu: ~ $ .vol.py imageino -f

A saída deste comando dará um perfil. Ao usar outros comandos, você deve dar este perfil como um perímetro.

Para obter o endereço KDBG correto, use o KDBGSCAN Comando, que digitaliza os cabeçalhos KDBG, marcas conectadas a perfis de volatilidade e se aplica uma vez para verificar se está tudo bem para diminuir os positivos falsos. A verbosidade do rendimento e o número de uma vez que podem ser realizados depende se a volatilidade pode descobrir um DTB. Portanto, com a chance de você conhecer o perfil certo ou se tiver uma recomendação de perfil da ImageInfo, use o perfil correto. Podemos usar o perfil com o seguinte comando:

ubuntu@ubuntu: ~ $ .vol.perfil py = KDBGSCAN
-f

Para digitalizar a região de controle do processador do kernel (KPCR) estruturas, use KPCRSCAN. Se for um sistema multiprocessador, cada processador possui sua própria região de varredura do processador do kernel.

Digite o seguinte comando para usar o KPCRSCAN:

ubuntu@ubuntu: ~ $ .vol.perfil py = KPCRSCAN
-f

Para procurar malwares e rootkits, PSScan é usado. Esta ferramenta digitaliza os processos ocultos vinculados a rootkits.

Podemos usar esta ferramenta inserindo o seguinte comando:

ubuntu@ubuntu: ~ $ .vol.perfil py = PSScan
-f

Dê uma olhada na página do homem para esta ferramenta com o comando de ajuda:

ubuntu@ubuntu: ~ $ volatility -h
Opções:
-H, -Help listar todas as opções disponíveis e seus valores padrão.
Os valores padrão podem ser definidos no arquivo de configuração
(/etc/volatilityrc)
--confile =/home/usman/.Volatilidaderc
Arquivo de configuração baseado no usuário
-D, -Volatilidade da depuração de Débug
--plugins = plug -ins diretórios adicionais de plug -in para usar (cólon separado)
--Informações Imprimir informações sobre todos os objetos registrados
--Diretório de Cache =/Home/Usman/.cache/volatilidade
Diretório onde os arquivos de cache são armazenados
--cache use cache
--tz = tz define o fuso horário (olson) para exibir registros de data e hora
usando pytz (se instalado) ou tzset
-f FILENAME, - -FILENDO = nome do arquivo
Nome do arquivo para usar ao abrir uma imagem
--perfil = winxpsp2x86
Nome do perfil para carregar (use -Info para ver uma lista de perfis suportados)
-L Localização, - -Location = Localização
Um local de urna para carregar um espaço de endereço
-W, - -Write Ativar suporte de gravação
--DTB = endereço DTB DTB
--Shift = Shift Mac Kaslr Shift Endereço
--saída = saída de texto neste formato (o suporte é específico do módulo, consulte
as opções de saída do módulo abaixo)
--saída de saída = output_file
Escreva a saída neste arquivo
-V, -Informações sobre verbosas
--físico_shift = físico_shift
Endereço de mudança física do kernel Linux
--virtual_shift = virtual_shift
Endereço de mudança virtual do kernel Linux
-g kdbg, --kdbg = kdbg especificar um endereço virtual kdbg (Nota: para 64 bits
Windows 8 e acima deste é o endereço de
KdcopyDatablock)
--Utilização de força de força do perfil suspeito
--Cookie = Cookie Especifique o endereço de NT!Obheadercookie (válido para
Somente Windows 10)
-k kpcr, --kpcr = kPCR Especifique um endereço KPCR específico
Comandos de plug -in suportados:
Informações de imprimir amcache amcache
Apihooks detectam ganchos de API em processo e memória do kernel
átomos sessões de impressão e tabelas de átomos da estação de janela
Scanner de piscina AtomScan para tabelas de átomos
Auditpol imprime as políticas de auditoria de HKLM \ Security \ Policy \ Poladtev
bigpools despejar os grandes pools de páginas usando bigpagepoolscanner
Bioskbd lê o buffer do teclado da memória do modo real
Cachedump depostos em cache hashes de domínio da memória
Roturas de chamadas de chamada rotinas de notificação em todo o sistema
Extrair de transferência do conteúdo da área de transferência do Windows
Argumentos de linha de comando do processo de exibição CMDLine
Histórico de comandos de extrato de cmdscan, digitalizando _command_history
Conexões Imprima lista de conexões abertas [Somente Windows XP e 2003]
Scanner de piscina Conncan para conexões TCP
Consoles Extract Histórico de comandos com a digitalização para _console_information
Informações de despejo de colisão do CrashFo
Deskscan PoolScaner para Tagdesktop (desktops)
DeviceTree Mostrar árvore de dispositivo
Dlldump dump dlls de um espaço de endereço de processo
DllList Lista de DLLs carregados para cada processo
Driverirp Driver IRP Hook Detecção
Drivermodule Associate Driver Objetos aos módulos do kernel
DriversCan Pool Scanner para objetos de motorista
DumpCerts Dump RSA Private e Public SSL Keys
Dumpfiles Extrair arquivos mapeados e armazenados em cache de memória
DumpRegistry Dumps Registry Arquivos para disco
Os gditimers impressam temporizadores GDI instalados e retornos de chamada
Tabela de descritor global de exibição GDT
getServicesids obtém os nomes dos serviços no registro e retorno calculado SID
getsids imprimem o SIDS que possui cada processo
lida com a lista impressa de alças abertas para cada processo
hashdump dumps senhas Hashes (LM/NTLM) da memória
Informações do arquivo de hibernação do Hibinfo Dump
Lsadump Dump (descriptografado) Segredos da LSA do registro
Informações de formato de arquivo mach-o de manchoinfo
Memmap Imprima o mapa de memória
MessageHooks listar desktop e thread window mensagem
MFTParser digitaliza e analisa possíveis entradas da MFT
Moddump dump um driver de kernel em uma amostra de arquivo executável
Scanner de piscina ModScan para módulos de kernel
Módulos Lista de módulos carregados
varredura multiscana para vários objetos de uma só vez
Scanner de piscina mutantes para objetos mutex
Lista de notas no bloco de notas exibidas no bloco de notas
ObjtyPescan Scan for Windows Type Objects
Patcher patches a memória com base nas digitalizações de página
Poolpeek configurável plug -in de scanner de piscina

• Hashdeep ou Md5Deep (Ferramentas de Hashing)

Raramente é possível que dois arquivos tenham o mesmo hash md5, mas é impossível para um arquivo ser modificado com seu hash md5 permanecendo o mesmo. Isso inclui a integridade dos arquivos ou a evidência. Com uma duplicata da unidade, qualquer um pode examinar sua confiabilidade e pensaria por um segundo que a unidade foi colocada lá deliberadamente. Para ganhar provas de que a unidade em consideração é o original, você pode usar o hash, que dará um hash a uma unidade. Se mesmo uma única informação for alterada, o hash mudará e você poderá saber se a unidade é única ou uma duplicata. Para garantir a integridade da unidade e que ninguém pode questionar, você pode copiar o disco para gerar um hash md5 da unidade. Você pode usar md5sum Para um ou dois arquivos, mas quando se trata de vários arquivos em vários diretórios, o MD5Deep é a melhor opção disponível para gerar hashes. Esta ferramenta também tem a opção de comparar vários hashes de uma só vez.

Dê uma olhada na página do MD5Deep Man:

ubuntu@ubuntu: ~ $ md5deep -h
$ md5deep [Opção]… [arquivos]…
Veja a página do homem ou leitura.arquivo txt ou use -hh para a lista completa de opções
-P - Modo por partes. Os arquivos são divididos em blocos para hash
-r - modo recursivo. Todos os subdiretórios são atravessados
-e - mostre tempo estimado restante para cada arquivo
-S - modo silencioso. Suprimir todas as mensagens de erro
-Z - Exibir tamanho do arquivo antes do hash
-M - Ativa o modo de correspondência. Veja a página ReadMe/Man
-x - Ativa o modo de correspondência negativo. Veja a página ReadMe/Man
-M e -x são os mesmos que -m e -x, mas também imprimem hashes de cada arquivo
-w - exibições que o arquivo conhecido gerou uma correspondência
-n - exibe hashes conhecidos que não correspondiam a nenhum arquivo de entrada
-a e -a adicionam um único hash ao conjunto de correspondência positivo ou negativo
-B - imprime apenas o nome nu dos arquivos; Todas as informações do caminho são omitidas
-L - Imprima caminhos relativos para nomes de arquivos
-T - Imprima GMT Timestamp (Ctime)
-i/i - apenas os arquivos de processo menores/maiores que o tamanho
-V - Exibir número de versão e saída
-D - Saída em DFXML; -u - Escape Unicode; -W Arquivo - Escreva no arquivo.
-J - Use num threads (padrão 4)
-Z - modo de triagem; -h - ajuda; -hh - ajuda completa

• Exiftool

Existem muitas ferramentas disponíveis para marcar e visualizar imagens uma por um, mas no caso de você ter muitas imagens para analisar (nas milhares de imagens), exiftol é a escolha preferida. Exiftool é uma ferramenta de código aberto usado para visualizar, alterar, manipular e extrair os metadados de uma imagem com apenas alguns comandos. Os metadados fornecem informações adicionais sobre um item; Para uma imagem, seus metadados serão sua resolução, quando foi tomada ou criada, e a câmera ou programa usado para criar a imagem. Exiftool pode ser usado para não apenas modificar e manipular os metadados de um arquivo de imagem, mas também pode escrever informações adicionais para os metadados de qualquer arquivo. Para examinar os metadados de uma imagem em formato bruto, use o seguinte comando:

ubuntu@ubuntu: ~ $ exif

Este comando permitirá que você crie dados, como data de modificação, hora e outras informações não listadas nas propriedades gerais de um arquivo.

Suponha que você precise nomear centenas de arquivos e pastas usando metadados para criar data e hora. Para fazer isso, você deve usar o seguinte comando:

ubuntu@ubuntu: ~ $ exif '-filename
CreatedAtE: classificar até a data e hora da criação do arquivo
-D: defina o formato
-R: Recursive (use o seguinte comando em cada arquivo no caminho fornecido)
-Extensão: Extensão dos arquivos a serem modificados (jpeg, png, etc.)
-Caminho para o arquivo: localização da pasta ou subpasta
Dê uma olhada na página do Exiftool Man:
ubuntu@ubuntu: ~ $ exif -help
-V, versão do software de exibição de versões
-eu, --ids mostra IDs em vez de nomes de tags
-t, - -tag = tag Selecione Tag
--ifd = ifd Selecione ifd
-L,-List-tags listam todas as tags EXIF
-|,-Show-mnote mostra o conteúdo de Tag Makernote
--Remover Remover Tag ou Ifd
-S, --Show Description Show Descrição da tag
-E,-Extrato de Thumbnail Miniatura
-R,-Remove-Thumbnail Remova a miniatura
-n, --insert-tumbnail = inserir arquivo como miniatura
--sem fixar não corrige tags existentes em arquivos
-O, -O -output = Arquivo Escreva dados para arquivo
--Set-value = Valor da string da tag
-C, --Create-EXIF Crie dados EXIF ​​se não forem existentes
-M,-Saída legível por máquina em um formato legível por máquina (delimitado)
-w, - -lar
-X, --xml output Output em um formato XML
-D, -Debug Show Mensagens de depuração
Opções de ajuda:
-?, --Ajude a mostrar esta mensagem de ajuda
--Uso exibir breve mensagem de uso

• DCFLDD (ferramenta de imagem em disco)

Uma imagem de um disco pode ser obtida usando o dcfldd Utilitário. Para obter a imagem do disco, use o seguinte comando:

ubuntu@ubuntu: ~ $ dcfldd if = de
bs = 512 contagem = 1 hash =
se = destino da unidade para criar uma imagem
de = destino onde a imagem copiada será armazenada
BS = tamanho do bloco (número de bytes para copiar por vez)
Hash = Hash Type (Opcional)

Dê uma olhada na página de ajuda do DCFLDD para explorar várias opções para esta ferramenta usando o seguinte comando:

ubuntu@ubuntu: ~ $ dcfldd --help
DCFLDD -Help
Uso: DCFLDD [Opção]…
Copie um arquivo, convertendo e formatando de acordo com as opções.
bs = bytes force ibs = bytes e obs = bytes
CBS = bytes converte bytes bytes
Conv = Palavras -chave convertem o arquivo conforme as palavras -chave separadas por vírgula Listcc
count = blocos Copiar apenas blocos de blocos de entrada
IBS = bytes leia bytes bytes
se = arquivo lido do arquivo em vez de stdin
obs = bytes, escreva bytes bytes em um momento
de = gravação de arquivo no arquivo em vez de stdout
Nota: de = arquivo pode ser usado várias vezes para escrever
Saída para vários arquivos simultaneamente
de: = comando exec e gravar saída para processar o comando
Seek = Blocks pula os blocos obscenos no início da saída
Skip = Blocks Skip Blocks Blocks do tamanho de IBS no início da entrada
padrão = hexágono use o padrão binário especificado como entrada
textpattern = texto use o texto repetindo como entrada
ErrLog = Arquivo Envie mensagens de erro ao arquivo e Stderr
hashWindow = bytes executam um hash em todos os bytes quantidade de dados
hash = nome md5, sha1, sha256, sha384 ou sha512
Algoritmo padrão é MD5. Para selecionar múltiplos
algoritmos para executar simultaneamente inserir os nomes
em uma lista separada por vírgula
hashLog = arquivo Enviar saída de hash md5 para arquivo em vez de stderr
Se você estiver usando vários algoritmos de hash, você
pode enviar cada um para um arquivo separado usando o
Algoritmo de convenção = arquivo, por exemplo
md5log = file1, sha1log = file2, etc.
HashLog: = Command Exec e Escreva Hashlog para processar o comando
Algoritmlog: = Comando também funciona da mesma maneira
hashconv = [antes | depois] realizar o hash antes ou depois das conversões
hashFormat = formato exibir cada hashWindow de acordo com o formato
O mini-linguagem de formato de hash é descrito abaixo
totalhashformat = formato exibir o valor total do hash de acordo com o formato
Status = [ON | OFF] Exibir uma mensagem de status contínua no stderr
O estado padrão está "em"
statusInterval = n Atualize a mensagem de status a cada N blocos
O valor padrão é 256
sizeprobe = [se | de] determinar o tamanho do arquivo de entrada ou saída
Para uso com mensagens de status. (esta opção
fornece um indicador percentual)
Aviso: não use esta opção contra um
dispositivo de fita.
Você pode usar qualquer número de 'a' ou 'n' em qualquer combinação
O formato padrão é "nnn"
Nota: as opções de divisão e divisão entram em vigor
apenas para arquivos de saída especificados após dígitos em
qualquer combinação que você gostaria.
(e.g. "Anaannnaana" seria válido, mas
bastante insano)
VF = arquivo Verifique se o arquivo corresponde à entrada especificada
VerifyLog = Arquivo Enviar os resultados Verifine para arquivo em vez de stderr
VerifyLog: = Exec de comando e gravar verifique os resultados para processar o comando
--Ajude a exibir esta ajuda e saída
--Versão Saída Informações da versão e saída
ASCII de EBCDIC para ASCII
EBCDIC de ASCII a EBCDIC
IBM de ASCII a EBCDIC alternado
Block Pad Pad Newline terminou registros com espaços para o tamanho da CBS
desbloquear os espaços à direita em registros de tamanho CBS com a Newline
Altere a caixa superior para troca para minúsculas
NOTRUNC não truque o arquivo de saída
UCASCE Altere a caixa inferior para maiúsculas
Swab trocam cada par de bytes de entrada
Noerror continue após erros de leitura
Sync Pad todos os blocos de entrada com Nuls para IBS-Size; quando usado

Cheatsheets

Outra qualidade do Peneirar Estação de trabalho são as folhas de truques que já estão instaladas com esta distribuição. As folhas de truques ajudam o usuário a começar. Ao realizar uma investigação, as folhas de truques lembram o usuário de todas as opções poderosas disponíveis com este espaço de trabalho. As folhas de truques permitem que o usuário coloque as mãos nas últimas ferramentas forenses com facilidade. Folhas de trapaceiros de muitas ferramentas importantes estão disponíveis nesta distribuição, como a folha de dicas disponíveis para Criação da linha do tempo das sombras:

Outro exemplo é a folha de dicas para o famoso Sleuthkit:

Folhas de trapaça também estão disponíveis para Análise de memória E para montar todos os tipos de imagens:

Conclusão

O kit de ferramentas forense investigativo sem investigação (Peneirar) possui os recursos básicos de qualquer outro kit de ferramentas forense e também inclui todas as mais recentes ferramentas poderosas necessárias para realizar uma análise forense detalhada sobre E01 (Formato de testemunha especialista), Aff (Formato forense avançado) ou imagem bruta (Dd) formatos. O formato de análise de memória também é compatível com o SIFT. A SIFT coloca diretrizes estritas sobre como as evidências são analisadas, garantindo que as evidências não sejam adulteradas (essas diretrizes têm permissões somente leitura). A maioria das ferramentas incluídas no SIFT é acessível através da linha de comando. O SIFT também pode ser usado para rastrear a atividade da rede, recuperar dados importantes e criar uma linha do tempo de maneira sistemática. Devido à capacidade desta distribuição de examinar minuciosamente discos e vários sistemas de arquivos, o SIFT é o nível superior no campo forense e é considerado uma estação de trabalho muito eficaz para qualquer pessoa que trabalhe na forense. Todas as ferramentas necessárias para qualquer investigação forense estão contidas no Peneirar estação de trabalho criado pelo Sans forense equipe e Rob Lee .