Kriminalistika kibernetinio saugumo srityje tampa labai svarbi norint aptikti ir atrasti juodųjų skrybėlių nusikaltėlius. Būtina pašalinti įsilaužėlių kenkėjiškas užpakalines duris / kenkėjus ir juos atsekti, kad būtų išvengta bet kokių galimų incidentų ateityje. Kalio kriminalistikos režimu operacinė sistema nemontuoja jokio skaidinio iš sistemos kietojo disko ir nepalieka jokių pakeitimų ar pirštų atspaudų pagrindinio kompiuterio sistemoje.
„Kali Linux“ yra iš anksto įdiegtos populiarios kriminalistikos programos ir įrankių rinkiniai. Čia apžvelgsime keletą žinomų atvirojo kodo įrankių, esančių „Kali Linux“.
Tūrinis ekstraktorius
„Masinis ištraukėjas“ yra daug funkcijų teikiantis įrankis, kuris gali iš ekspertų tyrimo metu rastų standžiųjų diskų / failų išgauti naudingos informacijos, tokios kaip kreditinių kortelių numeriai, domenų vardai, IP adresai, el. Pašto adresai, telefonų numeriai ir URL. Tai naudinga analizuojant vaizdą ar kenkėjiškas programas, taip pat padeda atlikti kibernetinius tyrimus ir nulaužti slaptažodžius. Jis kuria žodynų sąrašus, pagrįstus informacija, rasta iš įrodymų, kurie gali padėti nulaužti slaptažodį.
Tūrinis ekstraktorius yra populiarus tarp kitų įrankių dėl savo neįtikėtino greičio, kelių platformų suderinamumo ir kruopštumo. Jis yra greitas dėl savo daugialypių funkcijų ir turi galimybę nuskaityti bet kokio tipo skaitmeninę laikmeną, įskaitant HDD, SSD, mobiliuosius telefonus, fotoaparatus, SD korteles ir daugelį kitų tipų.
Tūrinis ekstraktorius turi šias puikias savybes, dėl kurių jis yra labiau pageidaujamas,
- Jis turi grafinę vartotojo sąsają, vadinamą „Masinių ištraukėjų peržiūros programa“, kuri naudojama sąveikauti su „Masinių ištraukėjų“ programa
- Jis turi keletą išvesties parinkčių, pavyzdžiui, rodyti ir analizuoti išvesties duomenis histogramoje.
- Tai galima lengvai automatizuoti naudojant „Python“ ar kitas scenarijų kalbas.
- Jis tiekiamas su kai kuriais iš anksto parašytais scenarijais, kurie gali būti naudojami papildomam nuskaitymui atlikti
- Keli sriegiai gali būti greitesni sistemose su keliais procesoriaus branduoliais.
Naudojimas: bulk_extractor [parinktys] imagefile
paleidžia urmu ištraukėją ir išvestis, kad sužinotų, kas kur buvo rasta
Būtini parametrai:
imagefile - failas, kurį norite išgauti
arba -R filedir - atkartoti per failų katalogą
TURI PALAIKYMĄ E01 Failams
TURI PARAMĄ AFF failams
-o outdir - nurodo išvesties katalogą. Neturi būti.
bulk_extractor sukuria šį katalogą.
Galimybės:
-i - INFO režimas. Atlikite greitą atsitiktinį pavyzdį ir atsispausdinkite ataskaitą.
-b reklaminė juosta.txt- Pridėti reklamjuostę.txt turinį į kiekvieno išvesties failo viršų.
-r įspėjimo_ sąrašas.txt - failas, kuriame yra perspėjimo funkcijų sąrašas
(gali būti funkcijos failas arba gaublių sąrašas)
(galima pakartoti.)
-w stop_list.txt - failas, kuriame yra funkcijų sustabdymo sąrašas (baltasis sąrašas
(gali būti funkcijų failas arba gaublių sąrašas) s
(galima pakartoti.)
-F
-f
rezultatai eina į paiešką.txt
... iškirpti ..
Naudojimo pavyzdys
[apsaugotas el. paštu]: ~ # bulk_extractor -o išvesties paslaptis.img
Skrodimas
Autopsija yra platforma, kuria kibernetiniai tyrėjai ir teisėsaugos institucijos naudojasi teismo ekspertizės operacijoms vykdyti ir apie jas pranešti. Tai sujungia daugelį individualių komunalinių paslaugų, kurios naudojamos kriminalistikai ir atkūrimui, ir suteikia joms grafinę vartotojo sąsają.
Autopsija yra atviro kodo, nemokamas ir daugiaplatformis produktas, prieinamas „Windows“, „Linux“ ir kitoms UNIX operacinėms sistemoms. Autopsija gali ieškoti ir tirti duomenis iš įvairių formatų standžiųjų diskų, įskaitant EXT2, EXT3, FAT, NTFS ir kitus.
Tai lengva naudoti ir nereikia diegti „Kali Linux“, nes ji pristatoma su iš anksto įdiegta ir sukonfigūruota.
Dumpzilla
„Dumpzilla“ yra daugiaplatformis komandinės eilutės įrankis, parašytas „Python 3“ kalba, kuris naudojamas su teismo ekspertize susijusiai informacijai iš interneto naršyklių išmesti. Tai neišgauna duomenų ar informacijos, tiesiog rodo ją terminale, kurį galima perduoti, išrūšiuoti ir išsaugoti failuose naudojant operacinės sistemos komandas. Šiuo metu jis palaiko tik tokias naršykles kaip „Firefox“ kaip „Firefox“, „Seamonkey“, „Iceweasel“ ir kt.
„Dumpzilla“ gali gauti šią informaciją iš naršyklių
- Gali rodyti tiesioginį vartotojo naršymą skirtukuose / lange.
- Vartotojų atsisiuntimai, žymės ir istorija.
- Žiniatinklio formos (paieškos, el. Laiškai, komentarai ...).
- Anksčiau aplankytų svetainių talpykla / miniatiūros.
- Priedai / plėtiniai ir naudojami keliai ar URL.
- Naršyklė išsaugojo slaptažodžius.
- Slapukai ir sesijos duomenys.
Naudojimas: python dumpzilla.py browser_profile_directory [Parinktys]
Galimybės:
--Viskas (rodo viską, išskyrus DOM duomenis. Negalima ištraukti miniatiūrų ar HTML 5 neprisijungus)
--Slapukai [-paroda -domenas
-sukurti
--Leidimai [-host
--Atsisiuntimai [-range
--Formos [vertė
--Istorija [-url
-dažnis]
--Žymės [-diapazono_žymės
... iškirpti ..
„Digital Forensics Framework“ - DFF
DFF yra failų atkūrimo įrankis ir Forensics kūrimo platforma, parašyta Python ir C++. Jis turi įrankių ir scenarijų rinkinį su komandine eilute ir grafine vartotojo sąsaja. Jis naudojamas kriminalistiniams tyrimams atlikti ir skaitmeniniams įrodymams rinkti bei pranešti apie juos.
Tai lengva naudoti, ją gali naudoti kibernetiniai specialistai, taip pat naujokai, kad kauptų ir išsaugotų skaitmeninę teismo ekspertizės informaciją. Čia aptarsime keletą gerų jo savybių
- Gali atlikti teismo ekspertizę ir atkūrimą vietiniuose, taip pat nuotoliniuose įrenginiuose.
- Tiek komandinė eilutė, tiek grafinė vartotojo sąsaja su grafiniais vaizdais ir filtrais.
- Gali atkurti skaidinius ir virtualių mašinų diskus.
- Suderinamas su daugeliu failų sistemų ir formatų, įskaitant „Linux“ ir „Windows“.
- Gali atkurti paslėptus ir ištrintus failus.
- Gali atkurti duomenis iš laikinosios atminties, tokios kaip tinklas, procesas ir kt
DFF
Skaitmeninė teismo ekspertizės sistema
Naudojimas: / usr / bin / dff [parinktys]
Galimybės:
-v --versija rodo dabartinę versiją
-g - grafinė paleidimo grafinė sąsaja
-b --batch = FILENAME vykdo paketą, esantį FILENAME
-l - kalba = LANG naudoja LANG kaip sąsajos kalbą
-h - Pagalba parodyti šį pagalbos pranešimą
-d - klaidų peradresuoti IO į sistemos konsolę
--daugžodžiavimas = LEVEL nustatomas daugialypiškumo lygis derinant [0-3]
-c --config = FILEPATH naudoti konfigūracijos failą iš FILEPATH
Pirmiausia
„Foremost“ yra greitesnis ir patikimas komandų eilutėmis pagrįstas atkūrimo įrankis, skirtas atkurti pamestus failus atliekant teismo ekspertizės operacijas. Svarbiausia yra galimybė dirbti su vaizdais, sukurtais dd, „Safeback“, „Encase“ ir kt., Arba tiesiogiai diske. Svarbiausia gali atkurti exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar ir daug kitų failų tipų.
[apsaugotas el. paštas]: ~ # priekinis -hsvarbiausia x versija.x.x pateikė Jesse Kornblum, Kris Kendall ir Nick Mikus.
$ visų pirma [-v | -V | -h | -T | -Q | -q | -a | -w-d] [-t
[-b
-V - rodyti informaciją apie autorių teises ir išeiti
-t - nurodykite failo tipą. (-t jpeg, pdf…)
-d - įjunkite netiesioginį blokų aptikimą (UNIX failų sistemoms)
-i - nurodykite įvesties failą (numatytasis yra stdin)
-a - parašykite visas antraštes, neatpažinkite klaidų (sugadinti failai)
-w - rašykite tik audito failą, nerašykite aptiktų failų į diską
-o - nustatyti išvesties katalogą (numatytasis išvestis)
-c - nustatykite naudojamą konfigūracijos failą (numatytoji reikšmė yra svarbiausia.konf)
... iškirpti ..
Naudojimo pavyzdys
[apsaugotas el. paštu]: ~ # priekinis -t exe, jpeg, pdf, png -i failas-vaizdas.dd
Apdorojama: failas-vaizdas.dd
... iškirpti ..
Išvada
Kali kartu su garsiosiomis skverbimosi testavimo priemonėmis taip pat turi visą skirtuką, skirtą „Kriminalistikai“. Jis turi atskirą „teismo ekspertizės“ režimą, kuris galimas tik „Live USB“, kuriuose jis neprijungia pagrindinio kompiuterio skaidinių. Dėl palaikymo ir geresnio suderinamumo Kalis yra šiek tiek pageidautinas, palyginti su kitais teismo ekspertų skyriais, tokiais kaip CAINE.