Phenquestions
Autopsie
Ich halte Autopsy, das standardmäßig auf CAINE und Kali Linux zur Verfügung steht, für das erste Tool, das in die Forensik eingeführt wurde, aufgrund seiner grafischen und intuitiven Oberfläche zur Verwaltung von Computer-Forensik-Tools. Autopsy optimiert den Prozess durch die Verwendung mehrerer Prozessorkerne im Hintergrund und kann Ihnen im Voraus sagen, ob der Prozess zu einem positiven Ergebnis führt. Autopsy kann auch als grafische Oberfläche für verschiedene Befehlszeilentools verwendet werden, unterstützt Erweiterungen für die Integration mit Tools von Drittanbietern wie PhotoRec, die bereits auf LinuxHint enthalten sind, um Funktionen zu verbessern und hinzuzufügen.
Wie gesagt, es kommt standardmäßig auf Kali, Debian- und Ubuntu-Benutzer können Autopsy erhalten, indem sie Folgendes ausführen:
apt installieren Autopsie -y
Offizielle Website: https://www.Detektivkit.org/autopsie/
CAINE (Computer Aided Investigative Environment)
CAINE ist eine auf Ubuntu Linux basierende Distribution, die speziell für die Computer-Forensik entwickelt wurde. Sie wird standardmäßig mit Autopsy geliefert, um eine sehr freundliche Umgebung für den Benutzer zu schaffen. CAINE ist als Betriebssystem ein großartiger Assistent, da es standardmäßig gängige forensische Praktiken wie den Schutz der Speichergeräte vor Beschädigung oder Überschreibung während des forensischen Prozesses anwendet.
CAINE ist eine aktuelle Linux-Distribution, die für den Einstieg in die Computer-Forensik dringend empfohlen wird.
Offizielle Website: https://www.kaine-leben.Netz/
P0f
P0f ist ein Analysator für die Interaktion zwischen verschiedenen Geräten durch Vernetzung. P0f ist in der Lage, das Betriebssystem und die Software zu identifizieren, die von verschiedenen Geräten verwendet werden, die im passiven Modus verbunden sind, anstatt Pakete zu senden, um die Antwort zu analysieren. P0f erfasst nur Pakete für die spätere Analyse, weshalb es beim Fingerabdruck zu besseren Ergebnissen als Nmap führen kann. Praktische Anwendungen von P0f können das Erkennen eines Angreifers während einer laufenden Pentesting-Sitzung, die Netzwerküberwachung und zusätzliche Informationen zu Verbindungen umfassen, um geeignete Sicherheitsmaßnahmen einzurichten. P0f wurde lange Zeit nicht aktualisiert und ist als P03 mit Unterstützung für moderne Betriebssysteme und Software zurückgekommen. In einem zukünftigen Artikel werden wir Angreifer mit verschiedenen Tools verfolgen, darunter P0f.
Debian- und Ubuntu-Benutzer können P0f installieren, indem sie Folgendes ausführen:
apt install p0f -y
Offizielle Website: http://lcamtuf.Core-Dump.cx/p0f3/
Dumpzilla
Während einer strafrechtlichen Untersuchung gehört die Analyse der Browsing-Aktivitäten zu den ersten Protokollschritten. Wie oben erwähnt, ermöglicht Autopsy es uns, Erweiterungen zu ermöglichen, um die Browsing-Aktivität des Benutzers zu untersuchen. Dumpzilla ist ein Tool, das sich speziell auf die Wiederherstellung von Browserdaten aus Mozilla Firefox-Browsern oder Derivaten wie Iceweasel oder Seamonkey konzentriert. Dumpzilla kann uns viele wertvolle Informationen wie Benutzernamen, Passwörter, Browserverlauf und alle in Cookies oder Benutzereinstellungen gespeicherten Informationen geben stored. Trotz der Tatsache, dass es sehr spezifisch ist, Dumpzilla gegen ein Ziel mit Firefox auszuführen, wird empfohlen, obwohl es in den letzten zwei Jahren nicht aktualisiert wurde.
Dumpzilla ist nicht in den Standard-Repositorys enthalten, Sie können es erhalten von: https://github.com/Busindre/dumpzilla
Offizielle Website: https://www.Dumpzilla.org
Volatilität
Die Volatilität ermöglicht es uns, den Live-RAM eines Geräts zu untersuchen, d. h. Informationen, die nicht auf der Festplatte gespeichert wurden, aber Artefakte oder Spuren im Live-RAM hinterlassen haben. Dieses Tool, das standardmäßig sowohl auf CAINE als auch auf Kali Linux zur Verfügung steht, kann uns nach einem Vorfall auf einem Gerät zu nützlichen Informationen führen, z. B. welche Prozesse während eines Ereignisses ausgeführt wurden oder ausgeführt werden. Um Volatilität auf Debian zu installieren, können Sie ausführen
apt installieren Volatilität -y
Offizielle Website: https://www.Volatilitätsstiftung.Organisation/
Chkrootkit
Ein RootKit ist bösartige Software, die lokal oder remote auf einem Gerät installiert wird, um einem Angreifer unrechtmäßigen Zugriff zu gewähren, wir können trotz kleiner Unterschiede einen grotesken Vergleich zwischen RootKits und Trojaner-Servern anstellen (RootKits enthalten zusätzliche Funktionen). RootKits können die Systemdateien ändern und Spuren von illegitimen Eingriffen entfernen. Hier analysiert ChkRooKit Binärdateien auf Änderungen, Protokolle und andere Spuren, die von einem Eindringling entfernt werden könnten. Unter Debian können Sie chkrootkit erhalten, indem Sie Folgendes ausführen:
apt install chkrootkit -y
Offizielle Website: http://www.chkrootkit.Organisation/
Ich hoffe, Sie fanden diesen Artikel nützlich, um zu erkennen, dass Computer-Forensik nicht auf IT-Gurus beschränkt ist, sondern jeder mit den oben genannten Tools problemlos Computer-Forensik durchführen kann. Folgen Sie LinuxHint für weitere Tipps und Updates zu Linux.
