Phenquestions
Įvadas
Praėjusį kartą apžvelgėme 14 kriminalistinių įrankių, esančių „Kali Linux“, ir paaiškinome jų paskirtį bei specialias galimybes. Šiandien pristatysime 14 kriminalistinių įrankių, kurie yra iš garsiosios bibliotekos „The Sleuth Kit“ (TSK), supakuotų į „Kali Linux“ atnaujinimą 2020 m. Šiuos įrankius galite rasti kriminalistikos išskleidžiamajame sąraše, pavadinimu „Sleuth Kit Suite“ įrankiai, esančiame „Kali Whisker“ meniu.
blkcalc
„Blkcalc“ įrankis yra teismo medicinos įrankis, kuris nepaskirstytus disko taškus paverčia įprastais disko taškais. Ši programa sukuria taško skaičių, kuris atvaizduoja du vaizdus. Vienas iš šių vaizdų yra normalus, o kitame yra nepaskirstyti pirmojo vaizdo taškų numeriai. Šis įrankis gali palaikyti daugelį failų sistemos tipų. Jei failų sistema nėra apibrėžta pradžioje, „blkcalc“ turi unikalią automatinio aptikimo metodų funkciją ieškant failų sistemos tipo.
tsk_comparedir
Naudojant įrankį „tsk_comparedir“, vaizdo turinys palyginamas su palyginimo katalogo turiniu. Tai geriausias testavimo etape esantis įrankis rootkitams (kenkėjiškam kodui ar failams) nustatyti. „Rootkit“ testas atliekamas lyginant vietinio katalogo turinį su vietiniu „raw“ įrenginiu. Šie rootkitai nėra paslėpti, kai juos pasiekia ir skaito iš neapdoroto įrenginio.
tsk_gettimes
Teismo medicinos įrankis „tsk_gettimes“ yra pagrįstas „sleuth kit“ biblioteka. Šis įrankis surenka MAC laikus (failų sistemos metaduomenų dalis) iš nurodyto disko atvaizdo ir paverčia laikus į kūno failą. Įrankis „tsk_gettimes“ tiria kiekvieną failų sistemą disko skaidinyje ar paveikslėlyje ir apdoroja viduje esančius duomenis. Šio įrankio išvestis yra disko vaizdo duomenys MAC laiko kūno formatu, kurie vėliau gali būti naudojami kaip sistemos įvestis, kad būtų sukurta failų veiklos chronologija. Tada duomenys spausdinami kaip failas per komandą STDOUT.
blkcat
Blkcat įrankis yra greitas ir efektyvus teismo medicinos įrankis, supakuotas Kalyje. Šio įrankio tikslas - parodyti failų sistemos disko atvaizde saugomų duomenų turinį. Išvestyje rodomas duomenų vienetų skaičius, pradedant nuo pagrindinio įrenginio adreso ir spausdinimo, įvairiais formatais, kuriuos galima nurodyti ir rūšiuoti. Pagal numatytuosius nustatymus išvesties formatas yra neapdorotas, jis taip pat vadinamas dcat.
tsk_loaddb
Įrankis „tsk_loaddb“ įkelia metaduomenis iš disko atvaizdo į SQLite duomenų bazę, kuri yra tinkama duomenų bazė, skirta analizuoti naudojant kitus programinės įrangos įrankius. Duomenų bazė yra saugoma vaizdų kataloge, kad būtų lengva ją pasiekti. Šis įrankis palaiko daug failų sistemų ir gali apskaičiuoti kiekvieno failo MD5 maišos vertę.
blkstat
„Sleuth“ rinkinio įrankis „blkstat“ rodo visą informaciją apie failų sistemos duomenų vienetus. Šis įrankis pateikia duomenis apie bloko ar failų sistemos sektoriaus paskirstymo būseną. Šis įrankis gali naudoti komandą addr, kuri rodo duomenų statistiką, ir dar vadinama dstat.
rasti
„Ffind“ įrankis naudoja inodą katalogo ar failo pavadinimo paieškai disko atvaizde. Disko skaidinyje inode failo identifikatoriui priskirti failai turi pavadinimus; pagal numatytuosius nustatymus šis įrankis grąžins tik rastą vardą. „Ffind“ įrankis netgi gali rasti ištrintus failų pavadinimus, o tai yra ypatinga šio įrankio galimybė. Be to, „ffind“ įrankis taip pat gali rasti kelis failų pavadinimus.
hfind
Įrankis „hfind“ ieško maišos reikšmių maišos duomenų bazėse. Maišos reikšmės ieškomos naudojant dvejetainį paieškos algoritmą. Šio algoritmo tikslas yra leisti vartotojams lengvai sukurti maišos duomenų bazes ir greitai identifikuoti failą, nesvarbu, ar jis žinomas, ar nežinomas. Šis įrankis naudoja NSRL biblioteką ir pateikia md5sum. Šis įrankis yra labai efektyvus, nes sukuria indeksuotą failą, kuris jau yra rūšiuojamas ir turi fiksuoto ilgio įrašus, todėl paieška yra labai greita.
fls
Pavadinimas „fls“ apima terminą „ls“, kuris reiškia aplanko turinio sąrašą. „Fls“ įrankyje pateikiami visi failų pavadinimai ir katalogai vaizdo faile ir netgi gali būti rodomi neseniai pašalintų failų pavadinimai. Jei nenaudojamas failo identifikatorius ar inodas, naudojamas šakninis katalogas.
mmcat
„Mmcat“ įrankis yra teismo medicinos įrankis, kuris per spausdinimo funkciją grąžina skaidinio turinį. Šis įrankis išskiria visus skaidinyje esančius duomenis į atskirą failą.
sigfind
Šis įrankis randa faile esantį dvejetainį parašą. Šis dvejetainis parašas vadinamas hex_signature, kuris yra kiekviename faile. Šis įrankis gali būti naudojamas ieškant prarastų superblokų, skaidinių ar vaizdų lentelių ir įkrovos sektorių. Dvejetainio parašo paieškai turėtų būti naudojamas šešioliktainis formatas.
aš radau
Šis įrankis ieško neapdorotų failo duomenų struktūros, priskiriamos konkrečiam disko vienetui ar failo pavadinimui. Kartais bet kuri iš šių metaduomenų struktūrų gali būti nepaskirstyta, tačiau šis įrankis vis tiek pasieks rezultatus.
rūšiuotojas
Rūšiavimo įrankis yra „perl“ scenarijaus įrankis, kuris rūšiuoja failų sistemą, kad sutvarkytų ją į paskirstytus ir nepaskirstytus failus pagal failo tipą. Šis įrankis paleidžia komandą kiekvienam failui ir rūšiuoja failus pagal konfigūracijos failus. Failų tipai apima paslėptus failus, maišos duomenų bazių maišos failus, gerai žinomus failus ir tuos, kuriuos reikėtų pakeisti. Pagal numatytuosius nustatymus naudojami konfigūracijos failai yra paimti iš to, kur įrankis įdiegtas, tačiau tai galima pakeisti priimant vykdymo laiką.
tsk_recover
Šis įrankis perkelia failus iš disko skaidinio į vietinį šakninį katalogą. Atkurti failai pagal numatytuosius nustatymus yra tik nepaskirti failai. Naudojant tam tikras komandas, visus failus galima eksportuoti.
Išvada
Šie 14 įrankių yra su „Kali Linux“ tiesiogiai, taip pat su diegimo programinės įrangos vaizdais, jie yra atviro kodo ir laisvai prieinami. Šiuos įrankius galite rasti „Kali“ ūsų meniu aplanke, pavadintame „Sleuth Kit Suite“. Įrankiai iš TSK dažnai atnaujinami dėl nedidelių klaidų taisymų.
