Forensik

Kali Linux Forensik-Tools

Kali Linux Forensik-Tools
Kali Linux ist ein leistungsstarkes Betriebssystem, das speziell für Penetration Tester und Sicherheitsexperten entwickelt wurde. Die meisten seiner Funktionen und Tools sind für Sicherheitsforscher und Pentester konzipiert, aber es gibt eine separate Registerkarte „Forensik“ und einen separaten „Forensik“-Modus für Forensiker.

Forensik wird in der Cybersicherheit sehr wichtig, um Black-Hat-Kriminelle zu erkennen und zurückzuverfolgen. Es ist wichtig, die bösartigen Hintertüren/Malware von Hackern zu entfernen und sie zurückzuverfolgen, um mögliche zukünftige Vorfälle zu vermeiden. Im Forensik-Modus von Kali mountet das Betriebssystem keine Partition von der Festplatte des Systems und hinterlässt keine Änderungen oder Fingerabdrücke auf dem System des Hosts.

Kali Linux wird mit vorinstallierten beliebten forensischen Anwendungen und Toolkits geliefert. Hier werden wir einige berühmte Open-Source-Tools überprüfen, die in Kali Linux vorhanden sind.

Bulk-Extraktor

Bulk Extractor ist ein funktionsreiches Tool, das nützliche Informationen wie Kreditkartennummern, Domänennamen, IP-Adressen, E-Mails, Telefonnummern und URLs aus Beweisfestplatten/Dateien, die während der forensischen Untersuchung gefunden wurden, extrahieren kann. Es ist hilfreich bei der Analyse von Bildern oder Malware, hilft auch bei Cyber-Untersuchungen und beim Knacken von Passwörtern. Es erstellt Wortlisten basierend auf Informationen aus Beweisen, die beim Knacken von Passwörtern helfen können.

Bulk Extractor ist unter anderen Tools wegen seiner unglaublichen Geschwindigkeit, der Kompatibilität mit mehreren Plattformen und seiner Gründlichkeit beliebt. Es ist aufgrund seiner Multi-Thread-Funktionen schnell und kann jede Art von digitalen Medien scannen, einschließlich Festplatten, SSDs, Mobiltelefone, Kameras, SD-Karten und viele andere Arten.

Bulk Extractor hat folgende coole Funktionen, die ihn vorzuziehen machen,

[email protected]:~# Bulk_Extractor --help
Verwendung: Bulk_Extractor [Optionen] Bilddatei
Führt einen Massenextraktor aus und gibt aus, um eine Zusammenfassung dessen zu erstellen, was wo gefunden wurde
Erforderliche Parameter:
imagefile    - die zu extrahierende Datei
oder  -R filedir  - Rekurs durch ein Dateiverzeichnis
HAT UNTERSTÜTZUNG FÜR E01-DATEIEN
HAT UNTERSTÜTZUNG FÜR AFF-DATEIEN
-o outdir    - gibt das Ausgabeverzeichnis an. Darf nicht existieren.
bulk_extractor erstellt dieses Verzeichnis.
Optionen:
-i - INFO-Modus. Machen Sie eine schnelle Stichprobe und drucken Sie einen Bericht.
-b-Banner.txt- Banner hinzufügen.txt-Inhalt an den Anfang jeder Ausgabedatei.
-r alert_list.txt  – eine Datei mit der Liste der Warnmeldungen der zu warnenden Funktionen
(kann eine Feature-Datei oder eine Liste von Globs sein)
(kann wiederholt werden.)
-w stop_list.txt   – eine Datei mit der Stoppliste der Funktionen (weiße Liste
(kann eine Feature-Datei oder eine Liste von Globs sein)s
(kann wiederholt werden.)
-F    - Lesen Sie eine Liste mit regulären Ausdrücken aus finden
-f    - Vorkommen von . finden ; kann wiederholt werden.
Ergebnisse gehen in die Suche.TXT
… schnippel…
 
Anwendungsbeispiel
 
[email protected]:~# Bulk_Extractor -o Ausgabegeheimnis.img

Autopsie

Autopsy ist eine Plattform, die von Cyber-Ermittlern und Strafverfolgungsbehörden verwendet wird, um forensische Operationen durchzuführen und zu melden report. Es kombiniert viele einzelne Dienstprogramme, die für Forensik und Wiederherstellung verwendet werden, und bietet ihnen eine grafische Benutzeroberfläche.

Autopsy ist ein quelloffenes, kostenloses und plattformübergreifendes Produkt, das für Windows, Linux und andere UNIX-basierte Betriebssysteme verfügbar ist. Autopsy kann Daten von Festplatten verschiedener Formate suchen und untersuchen, darunter EXT2, EXT3, FAT, NTFS und andere.

Es ist einfach zu bedienen und muss nicht in Kali Linux installiert werden, da es vorinstalliert und vorkonfiguriert geliefert wird.

Dumpzilla

Dumpzilla ist ein plattformübergreifendes Befehlszeilentool, das in der Sprache Python 3 geschrieben wurde und verwendet wird, um forensische Informationen von Webbrowsern auszugeben. Es extrahiert keine Daten oder Informationen, sondern zeigt sie nur im Terminal an, das mit Betriebssystembefehlen weitergeleitet, aussortiert und in Dateien gespeichert werden kann. Derzeit werden nur Firefox-basierte Browser wie Firefox, Seamonkey, Iceweasel usw. unterstützt.

Dumpzilla kann folgende Informationen von Browsern abrufen

  • Kann das Live-Surfen des Benutzers in Tabs/Fenstern anzeigen.
  • Benutzer-Downloads, Lesezeichen und Verlauf.
  • Webformulare (Suchen, E-Mails, Kommentare…).
  • Cache/Thumbnails von zuvor besuchten Seiten.
  • Addons / Erweiterungen und verwendete Pfade oder URLs.
  • Im Browser gespeicherte Passwörter.
  • Cookies und Sitzungsdaten.
[email protected]:~# dumpzilla --help
Verwendung: Python Dumpzilla.py browser_profile_directory [Optionen]
Optionen:
--All (Zeigt alles außer den DOM-Daten an. Extrahiert keine Thumbnails oder HTML 5 offline)
--Cookies [-showdom -domain -Name -Hostcookie -Zugriff
-erstellen -sichern <0/1> -nur http <0/1> -range_last -range_create
]
--Berechtigungen [-host ]
--Downloads [-Bereich ]
--Formulare   [-Wert -range_forms ]
--Verlauf [-url -Titel -Datum -Reichweite_Geschichte
-Frequenz]
--Lesezeichen [-range_bookmarks ]
… schnippel…

Digitales Forensik-Framework - DFF

DFF ist ein Dateiwiederherstellungstool und eine Forensik-Entwicklungsplattform, die in Python und C . geschrieben ist++. Es verfügt über eine Reihe von Tools und Skripten mit Befehlszeile und grafischer Benutzeroberfläche. Es wird verwendet, um forensische Untersuchungen durchzuführen und digitale Beweise zu sammeln und zu melden.

Es ist einfach zu bedienen und kann sowohl von Cyber-Profis als auch von Neulingen verwendet werden, um digitale Forensik-Informationen zu sammeln und aufzubewahren. Hier werden wir einige seiner guten Funktionen besprechen

  • Kann Forensik und Wiederherstellung sowohl auf lokalen als auch auf Remote-Geräten durchführen.
  • Sowohl die Befehlszeile als auch die grafische Benutzeroberfläche mit grafischen Ansichten und Filtern.
  • Kann Partitionen und virtuelle Maschinenlaufwerke wiederherstellen.
  • Kompatibel mit vielen Dateisystemen und Formaten, einschließlich Linux und Windows.
  • Kann versteckte und gelöschte Dateien wiederherstellen.
  • Kann Daten aus temporärem Speicher wie Netzwerk, Prozess usw. wiederherstellen
[email protected]:~# dff -h
DFF
Digitales forensisches Framework
 
Verwendung: /usr/bin/dff [Optionen]
Optionen:
-v       --version                  aktuelle Version anzeigen
-g       --graphical                grafische Benutzeroberfläche starten
-b       --batch=FILENAME     führt Batch aus, der in FILENAME . enthalten ist
-l       --language=LANG            LANG als Oberflächensprache verwenden
-h       --help                     diese Hilfenachricht anzeigen
-d       --debug                    E/A zur Systemkonsole umleiten
--verbosity=LEVEL          Ausführlichkeitsstufe beim Debuggen festlegen [0-3]
-c       --config=FILEPATH          Konfigurationsdatei von FILEPATH verwenden

An erster Stelle

Foremost ist ein schnelleres und zuverlässiges befehlszeilenbasiertes Wiederherstellungstool, um verlorene Dateien in Forensics Operations wiederherzustellen. Foremost kann mit Bildern arbeiten, die von dd, Safeback, Encase usw. generiert wurden, oder direkt auf einem Laufwerk. Foremost kann exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar und viele andere Dateitypen wiederherstellen.

[email protected]:~# vor allem -h
vorderste Version x.x.x von Jesse Kornblum, Kris Kendall und Nick Mikus.
$ vor allem [-v|-V|-h|-T|-Q|-q|-a|-w-d] [-t ] [-s ] [-k ]
[-b ] [-c ] [-Ö ] [-ich  
-V  - Copyright-Informationen anzeigen und beenden
-t  - Dateityp angeben.  (-t jpeg,pdf… )
-d  - indirekte Blockerkennung aktivieren (für UNIX-Dateisysteme)
-i  - Eingabedatei angeben (Standard ist stdin)
-a  - Alle Header schreiben, keine Fehlererkennung durchführen (beschädigte Dateien)
-w  - Schreiben Sie nur die Audit-Datei, schreiben Sie keine erkannten Dateien auf die Festplatte
-o  - Ausgabeverzeichnis festlegen (standardmäßig Ausgabe)
-c  - Legen Sie die zu verwendende Konfigurationsdatei fest (standardmäßig an erster Stelle.conf)
… schnippel…
 
Anwendungsbeispiel
 
[email protected]:~# vor allem -t exe,jpeg,pdf,png -i file-image.dd
Verarbeitung: Datei-Bild.dd
… schnippel…

Fazit

Kali hat zusammen mit seinen berühmten Penetrationstest-Tools auch eine ganze Registerkarte für "Forensik". Es verfügt über einen separaten „Forensik“-Modus, der nur für Live-USBs verfügbar ist, in denen die Partitionen des Hosts nicht gemountet werden. Kali ist anderen Forensik-Distributionen wie CAINE wegen seiner Unterstützung und besseren Kompatibilität etwas vorzuziehen.

Spiele Beste Befehlszeilenspiele für Linux
Beste Befehlszeilenspiele für Linux
Die Befehlszeile ist nicht nur Ihr größter Verbündeter bei der Verwendung von Linux – sie kann auch eine Quelle der Unterhaltung sein, da Sie damit vi...
Spiele Beste Gamepad-Mapping-Apps für Linux
Beste Gamepad-Mapping-Apps für Linux
Wenn du Spiele unter Linux gerne mit einem Gamepad statt mit einem typischen Tastatur- und Maus-Eingabesystem spielst, gibt es einige nützliche Apps f...
Spiele Nützliche Tools für Linux-Spieler
Nützliche Tools für Linux-Spieler
Wenn Sie gerne unter Linux spielen, haben Sie wahrscheinlich Apps und Dienstprogramme wie Wine, Lutris und OBS Studio verwendet, um das Spielerlebnis ...