Phenquestions
A perícia está se tornando muito importante na segurança cibernética para detectar e rastrear criminosos de chapéu negro. É essencial remover backdoors / malwares maliciosos dos Hackers e rastreá-los para evitar possíveis incidentes futuros. No modo forense de Kali, o sistema operacional não monta nenhuma partição do disco rígido do sistema e não deixa nenhuma alteração ou impressão digital no sistema do host.
Kali Linux vem com aplicativos forenses populares pré-instalados e kits de ferramentas. Aqui, revisaremos algumas ferramentas de código aberto famosas presentes no Kali Linux.
Extrator a granel
Bulk Extractor é uma ferramenta rica em recursos que pode extrair informações úteis como números de cartão de crédito, nomes de domínio, endereços IP, e-mails, números de telefone e URLs de discos rígidos / arquivos de evidências encontrados durante a investigação forense. É útil na análise de imagem ou malware, também ajuda na investigação cibernética e na quebra de senha. Ele constrói listas de palavras com base em informações encontradas em evidências que podem ajudar na quebra de senhas.
Bulk Extractor é popular entre outras ferramentas por causa de sua incrível velocidade, compatibilidade com várias plataformas e eficácia. É rápido devido aos seus recursos multi-threaded e tem capacidade de escanear qualquer tipo de mídia digital que inclui HDDs, SSDs, telefones celulares, câmeras, cartões SD e muitos outros tipos.
Bulk Extractor tem os seguintes recursos interessantes que o tornam mais preferível,
- Tem uma IU gráfica chamada “Bulk Extractor Viewer” que é usada para interagir com o Bulk Extractor
- Ele tem várias opções de saída, como exibir e analisar os dados de saída no histograma.
- Pode ser facilmente automatizado usando Python ou outras linguagens de script.
- Ele vem com alguns scripts pré-escritos que podem ser usados para realizar varreduras adicionais
- Seu multi-threaded, pode ser mais rápido em sistemas com múltiplos núcleos de CPU.
Uso: bulk_extractor [options] imagefile
executa o extrator em massa e gera para o padrão um resumo do que foi encontrado onde
Parâmetros exigidos:
imagefile - o arquivo a extrair
ou -R filedir - percorre um diretório de arquivos
TEM SUPORTE PARA ARQUIVOS E01
TEM SUPORTE PARA ARQUIVOS AFF
-o outdir - especifica o diretório de saída. Não deve existir.
bulk_extractor cria este diretório.
Opções:
-i - modo INFO. Faça uma amostra aleatória rápida e imprima um relatório.
-banner b.txt- Adicionar banner.conteúdo txt no topo de cada arquivo de saída.
-r alert_list.txt - um arquivo contendo a lista de alerta de recursos para alertar
(pode ser um arquivo de recurso ou uma lista de globs)
(pode ser repetido.)
-w stop_list.txt - um arquivo que contém a lista de parada de recursos (lista branca
(pode ser um arquivo de recurso ou uma lista de globs) s
(pode ser repetido.)
-F
-f
resultados vão para encontrar.TXT
... recorte ..
Exemplo de uso
[email protegido]: ~ # bulk_extractor -o segredo de saída.img
Autópsia
Autópsia é uma plataforma usada por investigadores cibernéticos e agentes da lei para conduzir e relatar operações forenses. Ele combina muitos utilitários individuais que são usados para análise forense e recuperação e fornece-lhes uma interface gráfica do usuário.
Autopsy é um produto de código aberto, gratuito e de plataforma cruzada que está disponível para Windows, Linux e outros sistemas operacionais baseados em UNIX. A autópsia pode pesquisar e investigar dados de discos rígidos de vários formatos, incluindo EXT2, EXT3, FAT, NTFS e outros.
É fácil de usar e não há necessidade de instalar no Kali Linux, pois vem com pré-instalado e pré-configurado.
Dumpzilla
O Dumpzilla é uma ferramenta de linha de comando de plataforma cruzada escrita na linguagem Python 3 que é usada para despejar informações relacionadas à perícia de navegadores da web. Ele não extrai dados ou informações, apenas os exibe em um terminal que pode ser canalizado, classificado e armazenado em arquivos usando comandos do sistema operacional. Atualmente, ele suporta apenas navegadores baseados no Firefox, como Firefox, Seamonkey, Iceweasel etc.
O Dumpzilla pode obter as seguintes informações dos navegadores
- Pode mostrar a navegação ao vivo do usuário em guias / janelas.
- Downloads, favoritos e histórico de usuários.
- Formulários da web (pesquisas, e-mails, comentários ...).
- Cache / miniaturas de sites visitados anteriormente.
- Complementos / extensões e caminhos ou urls usados.
- Senhas salvas do navegador.
- Cookies e dados de sessão.
Uso: python dumpzilla.py browser_profile_directory [Opções]
Opções:
--All (Mostra tudo menos os dados DOM. Não extrai miniaturas ou HTML 5 offline)
--Cookies [-showdom -domain
-Criar
--Permissões [-host
--Downloads [-range
--Formulários [-valor
--História [-url
-frequência]
--Favoritos [-range_bookmarks
... recorte ..
Estrutura forense digital - DFF
DFF é uma ferramenta de recuperação de arquivos e plataforma de desenvolvimento forense escrita em Python e C++. Possui um conjunto de ferramentas e script com linha de comando e interface gráfica do usuário. É usado para realizar investigações forenses e para coletar e relatar evidências digitais.
É fácil de usar e pode ser usado por Cyber Professionals, bem como por novatos, para coletar e preservar informações digitais forenses. Aqui vamos discutir alguns de seus bons recursos
- Pode realizar análises forenses e recuperação em dispositivos locais, bem como remotos.
- Linha de comando e interface gráfica com visualizações gráficas e filtros.
- Pode recuperar partições e unidades de máquina virtual.
- Compatível com muitos sistemas e formatos de arquivos, incluindo Linux e Windows.
- Pode recuperar arquivos ocultos e excluídos.
- Pode recuperar dados da memória temporária, como rede, processo e etc
DFF
Estrutura forense digital
Uso: / usr / bin / dff [opções]
Opções:
-v --version exibe a versão atual
-g - interface gráfica de inicialização gráfica
-b --batch = FILENAME executa lote contido em FILENAME
-l --language = LANG usar LANG como idioma de interface
-h --help exibir esta mensagem de ajuda
-d --debug redireciona IO para o console do sistema
--verbosidade = LEVEL definir nível de verbosidade ao depurar [0-3]
-c --config = FILEPATH usa o arquivo de configuração de FILEPATH
Em primeiro lugar
Foremost é uma ferramenta de recuperação baseada em linha de comando mais rápida e confiável para recuperar arquivos perdidos em operações forenses. Foremost tem a capacidade de trabalhar em imagens geradas por dd, Safeback, Encase, etc, ou diretamente em uma unidade. Em primeiro lugar pode recuperar exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar e muitos outros tipos de arquivo.
[email protegido]: ~ # primeiro -hversão principal x.x.x por Jesse Kornblum, Kris Kendall e Nick Mikus.
$ primeiro [-v | -V | -h | -T | -Q | -q | -a | -w-d] [-t
[-b
-V - exibir informações de copyright e sair
-t - especificar o tipo de arquivo. (-t jpeg, pdf ...)
-d - ativa a detecção de bloqueio indireto (para sistemas de arquivos UNIX)
-i - especifica o arquivo de entrada (o padrão é stdin)
-a - Grave todos os cabeçalhos, não execute detecção de erros (arquivos corrompidos)
-w - Somente grava o arquivo de auditoria, não grava nenhum arquivo detectado no disco
-o - definir o diretório de saída (o padrão é saída)
-c - definir o arquivo de configuração a ser usado (o padrão é o principal.conf)
... recorte ..
Exemplo de uso
[email protegido]: ~ # primeiro lugar -t exe, jpeg, pdf, png -i arquivo-imagem.dd
Processando: arquivo-imagem.dd
... recorte ..
Conclusão
Kali, junto com suas famosas ferramentas de teste de penetração, também tem uma guia inteira dedicada para "Análise forense". Ele tem um modo "Forense" separado que está disponível apenas para Live USBs nos quais não monta as partições do host. Kali é um pouco preferível a outras distros forenses como CAINE por causa de seu suporte e melhor compatibilidade.
