Phenquestions
1 paveikslas: „Kali Linux“
Paprastai atliekant teismo ekspertizę kompiuterinėje sistemoje, reikia vengti bet kokios veiklos, kuri gali pakeisti ar modifikuoti sistemos duomenų analizę. Kiti šiuolaikiniai staliniai kompiuteriai paprastai trukdo pasiekti šį tikslą, tačiau naudodami „Kali Linux“ per įkrovos meniu galite įgalinti specialų teismo ekspertizės režimą.
„Binwalk“ įrankis:
„Binwalk“ yra teismo medicinos įrankis Kalyje, kuris ieško nurodyto dvejetainio atvaizdo, kuriame yra vykdomojo kodo ir failų. Jis identifikuoja visus failus, kurie yra įdėti į bet kurį programinės aparatinės įrangos vaizdą. Jis naudoja labai efektyvią biblioteką, vadinamą „libmagic“, kuri sutvarko magiškus parašus „Unix“ failų programoje.
2 paveikslas: „Binwalk“ CLI įrankis
Masinio ištraukimo įrankis:
Masinio ištraukimo įrankis išskiria kreditinių kortelių numerius, URL nuorodas, el. Pašto adresus, kurie naudojami skaitmeniniais įrodymais. Šis įrankis leidžia nustatyti kenkėjiškas programas ir įsilaužimo atakas, tapatybės tyrimus, kibernetines spragas ir slaptažodžių nulaužimą. Šio įrankio ypatybė yra ta, kad jis veikia ne tik su įprastais duomenimis, bet ir su suglaudintais ir neišsamiais ar sugadintais duomenimis.
3 paveikslas. Masinės ištraukėjos komandinės eilutės įrankis
„HashDeep“ įrankis:
„Hashdeep“ įrankis yra modifikuota maišos įrankio „dc3dd“ versija, sukurta specialiai skaitmeninei kriminalistikai. Šis įrankis apima automatinį failų maišymą, t.e., sha-1, sha-256 ir 512, tigras, sūkurinė vonia ir md5. Klaidų žurnalo failas rašomas automatiškai. Su kiekvienu išėjimu kuriamos pažangos ataskaitos.
4 paveikslas: „HashDeep“ CLI sąsajos įrankis.
Stebuklingas gelbėjimo įrankis:
Stebuklingas gelbėjimas yra teismo medicinos įrankis, kuris atlieka užblokuoto įrenginio nuskaitymo operacijas. Šis įrankis naudoja magiškus baitus, kad iš įrenginio išgautų visus žinomus failų tipus. Tai atveria įrenginius failų tipams nuskaityti ir skaityti ir parodo galimybę atkurti ištrintus ar sugadintus skaidinius. Tai gali veikti su kiekviena failų sistema.
5 paveikslas: stebuklingas gelbėjimo komandinės eilutės sąsajos įrankis
Skalpelio įrankis:
Šis teismo medicinos įrankis išskiria visus failus ir indeksuoja tas programas, kurios veikia „Linux“ ir „Windows“. Skalelio įrankis palaiko kelių gijų vykdymą keliose pagrindinėse sistemose, kurios padeda greitai vykdyti. Failų drožyba atliekama fragmentais, tokiais kaip reguliariosios išraiškos ar dvejetainės eilutės.
6 paveikslas. Scalpelio teismo medicinos drožybos įrankis
„Scrounge-NTFS“ įrankis:
Šis teismo ekspertizės įrankis padeda gauti duomenis iš sugadintų NTFS diskų ar skaidinių. Tai gelbsti duomenis iš sugadintos failų sistemos į naują veikiančią failų sistemą.
7 paveikslas: Teismo medicinos duomenų atkūrimo įrankis
„Guymager“ įrankis:
Šis teismo ekspertizės įrankis naudojamas kriminalistinių vaizdų laikmenoms įsigyti ir turi grafinę vartotojo sąsają. Dėl daugelio sričių duomenų apdorojimo ir glaudinimo tai yra labai greitas įrankis. Šis įrankis taip pat palaiko klonavimą. Jis generuoja plokščius, AFF ir EWF vaizdus. Vartotojo sąsaja yra labai paprasta naudotis.
8 paveikslas: „Guymager“ GUI teismo ekspertizė
Pdfid įrankis:
Šis teismo medicinos įrankis naudojamas pdf rinkmenose. Įrankis nuskaito konkrečių raktinių žodžių pdf failus, o tai leidžia jums atpažinti vykdomuosius kodus. Šis įrankis išsprendžia pagrindines su pdf failais susijusias problemas. Tada įtartini failai analizuojami naudojant įrankį „pdf-parser“.
9 paveikslas: „Pdfid“ komandinės eilutės sąsajos įrankis
Pdf analizatoriaus įrankis:
Šis įrankis yra vienas iš svarbiausių teismo failų, skirtų pdf failams. „pdf-parser“ analizuoja pdf dokumentą ir išskiria svarbius elementus, naudojamus jo analizės metu, ir šis įrankis nepateikia to pdf dokumento.
10 paveikslas: Pdf-analizatoriaus CLI teismo medicinos įrankis
„Peepdf“ įrankis:
„Python“ įrankis, tiriantis pdf dokumentus, siekiant sužinoti, ar jis yra nekenksmingas, ar žalingas. Jis pateikia visus elementus, reikalingus pdf analizei atlikti, viename pakete. Tai rodo įtartinus objektus ir palaiko įvairius kodavimus ir filtrus. Tai taip pat gali analizuoti užšifruotus dokumentus.
11 paveikslas: „Peepdf python“ įrankis pdf tyrimui.
Autopsijos įrankis:
Skrodimas yra viskas vienoje teismo ekspertizės priemonėje, kad būtų galima greitai atkurti duomenis ir filtruoti maišos. Šis įrankis išskiria ištrintus failus ir laikmenas iš nepaskirtos vietos naudodamas „PhotoRec“. Jis taip pat gali išgauti EXIF plėtinio daugialypę terpę. Autopsija ieško kompromiso rodiklio naudodama STIX biblioteką. Tai galima pasiekti komandinėje eilutėje, taip pat GUI sąsajoje.
12 paveikslas. Autopsija, viskas viename teismo medicinos pakete
img_cat įrankis:
įrankis img_cat pateikia vaizdo failo išvesties turinį. Atkurtuose vaizdo failuose bus metaduomenų ir įterptųjų duomenų, kurie leidžia juos konvertuoti į neapdorotus duomenis. Šie neapdoroti duomenys padeda išvestį apskaičiuoti MD5 maišos.
13 paveikslas: „img_cat“ įdėti duomenys į neapdorotų duomenų atkūrimą ir keitiklį.
ICAT įrankis:
ICAT yra „Sleuth Kit“ įrankis (TSK), kuris sukuria failo išvestį pagal jo identifikatorių ar inodo numerį. Šis teismo medicinos įrankis yra ypač greitas, jis atidaro pavadintus failų vaizdus ir nukopijuoja juos į standartinę išvestį su konkrečiu inodo numeriu. Inodas yra viena iš „Linux“ sistemos duomenų struktūrų, kurioje saugomi duomenys ir informacija apie „Linux“ failą, pvz., Nuosavybės teisė, failo dydis ir tipas, rašymo ir skaitymo leidimai.
14 paveikslas: ICAT konsolės sąsajos įrankis
Įrankis „Srch_strings“:
Šis įrankis ieško perspektyvių ASCII ir „Unicode“ eilučių dvejetainiuose duomenyse, o tada išspausdina tuose duomenyse rastą poslinkio eilutę. Įrankis „srch_strings“ ištrauks ir nuskaitys faile esančias eilutes ir suteiks kompensuotą baitą, jei bus paprašyta.
15 paveikslas: Styginių paieškos teismo medicinos įrankis
Išvada:
Šie 14 įrankių yra su „Kali Linux“ tiesiogiai ir diegimo programos vaizdais, jie yra atviro kodo ir laisvai prieinami. Jei naudojate senesnę „Kali“ versiją, siūlyčiau atnaujinti naujausią versiją, kad gautumėte šiuos įrankius tiesiogiai. Yra daugybė kitų teismo medicinos priemonių, kurias aptarsime toliau. Žr. Šio straipsnio 2 dalį čia.
