La scientifica sta diventando molto importante nella sicurezza informatica per rilevare e rintracciare i criminali Black Hat. È essenziale rimuovere le backdoor/malware dannosi degli hacker e rintracciarli per evitare possibili incidenti futuri. Nella modalità Forensics di Kali, il sistema operativo non monta alcuna partizione dal disco rigido del sistema e non lascia modifiche o impronte digitali sul sistema dell'host.
Kali Linux viene fornito con applicazioni e toolkit forensi preinstallati. Qui esamineremo alcuni famosi strumenti open source presenti in Kali Linux.
Estrattore alla rinfusa
Bulk Extractor è uno strumento ricco di funzionalità che può estrarre informazioni utili come numeri di carta di credito, nomi di dominio, indirizzi IP, e-mail, numeri di telefono e URL da dischi rigidi/file trovati durante le indagini forensi. È utile nell'analisi di immagini o malware, aiuta anche nelle indagini informatiche e nel cracking delle password. Crea elenchi di parole basati su informazioni trovate da prove che possono aiutare a decifrare le password.
Bulk Extractor è popolare tra gli altri strumenti per la sua incredibile velocità, compatibilità con più piattaforme e completezza. È veloce grazie alle sue funzionalità multi-thread e ha la capacità di scansionare qualsiasi tipo di supporto digitale che include HDD, SSD, telefoni cellulari, fotocamere, schede SD e molti altri tipi.
Bulk Extractor ha le seguenti fantastiche funzionalità che lo rendono più preferibile,
- Ha un'interfaccia utente grafica chiamata "Bulk Extractor Viewer" che viene utilizzata per interagire con Bulk Extractor
- Ha più opzioni di output come la visualizzazione e l'analisi dei dati di output nell'istogramma.
- Può essere facilmente automatizzato utilizzando Python o altri linguaggi di scripting.
- Viene fornito con alcuni script pre-scritti che possono essere utilizzati per eseguire scansioni aggiuntive
- È multi-thread, può essere più veloce su sistemi con più core CPU CPU.
Utilizzo: bulk_extractor [opzioni] file immagine
esegue l'estrattore di massa e genera un riepilogo di ciò che è stato trovato dove
Parametri richiesti:
imagefile - il file da estrarre
o -R filedir - ricorre attraverso una directory di file
HA SUPPORTO PER I FILE E01
HA SUPPORTO PER I FILE AFF
-o outdir - specifica la directory di output. Non deve esistere.
bulk_extractor crea questa directory.
Opzioni:
-i - Modalità INFO. Fai un rapido campione casuale e stampa un rapporto.
-b banner.txt- Aggiungi banner.txt nella parte superiore di ogni file di output.
-r alert_list.txt : un file contenente l'elenco degli avvisi delle funzionalità da avvisare
(può essere un file di funzionalità o un elenco di glob)
(può essere ripetuto.)
-w stop_list.txt - un file contenente l'elenco delle funzionalità di stop (lista bianca
(può essere un file di funzionalità o un elenco di glob)s
(può essere ripetuto.)
-F
-f
i risultati vanno in trova.TXT
…tagliare…
Esempio di utilizzo
[email protected]:~# bulk_extractor -o output secret.img
Autopsia
Autopsy è una piattaforma utilizzata da investigatori informatici e forze dell'ordine per condurre e segnalare operazioni forensi report. Combina molte singole utilità che vengono utilizzate per la scientifica e il ripristino e fornisce loro un'interfaccia utente grafica.
Autopsy è un prodotto open source, gratuito e multipiattaforma disponibile per Windows, Linux e altri sistemi operativi basati su UNIX. L'autopsia può cercare e indagare sui dati da dischi rigidi di più formati tra cui EXT2, EXT3, FAT, NTFS e altri.
È facile da usare e non è necessario installarlo in Kali Linux poiché viene fornito con preinstallato e preconfigurato.
Dumpzilla
Dumpzilla è uno strumento da riga di comando multipiattaforma scritto in linguaggio Python 3 che viene utilizzato per scaricare informazioni relative a Forensics dai browser web. Non estrae dati o informazioni, li visualizza solo nel terminale che può essere reindirizzato, ordinato e archiviato in file utilizzando i comandi del sistema operativo. Attualmente supporta solo browser basati su Firefox come Firefox, Seamonkey, Iceweasel ecc.
Dumpzilla può ottenere le seguenti informazioni dai browser
- Può mostrare la navigazione in tempo reale dell'utente in schede/finestra.
- Download utente, segnalibri e cronologia.
- Moduli Web (Ricerche, e-mail, commenti...).
- Cache/miniature dei siti precedentemente visitati.
- Componenti aggiuntivi/estensioni e percorsi o URL utilizzati.
- Password salvate dal browser.
- Cookie e dati di sessione.
Utilizzo: python dumpzilla.py directory_profilo_browser [Opzioni]
Opzioni:
--Tutto (mostra tutto tranne i dati DOM. Non estrae miniature o HTML 5 offline)
--Cookie [-showdom -domain
-creare
--Permessi [-host
--Download [-gamma
--Forme [-valore
--Storia [-url
-frequenza]
--Segnalibri [-range_bookmarks
…tagliare…
Quadro forense digitale - DFF
DFF è uno strumento di recupero file e una piattaforma di sviluppo forense scritta in Python e C++. Ha un set di strumenti e script con riga di comando e interfaccia utente grafica. Viene utilizzato per svolgere indagini forensi e per raccogliere e segnalare prove digitali.
È facile da usare e può essere utilizzato dai professionisti informatici e dai neofiti per raccogliere e conservare informazioni forensi digitali. Qui discuteremo alcune delle sue buone caratteristiche
- Può eseguire analisi forensi e ripristino su dispositivi locali e remoti.
- Sia la riga di comando che l'interfaccia grafica con viste grafiche e filtri.
- Può recuperare partizioni e unità di macchine virtuali.
- Compatibile con molti file system e formati inclusi Linux e Windows.
- Può recuperare file nascosti ed eliminati.
- Può recuperare i dati dalla memoria temporanea come Rete, Processo ed ecc
DFF
Quadro forense digitale
Utilizzo: /usr/bin/dff [opzioni]
Opzioni:
-v --version mostra la versione corrente
-g --graphic lancia l'interfaccia grafica
-b --batch=NOMEFILE esegue il batch contenuto in NOMEFILE
-l --language=LANG usa LANG come lingua dell'interfaccia
-h --help visualizza questo messaggio di aiuto
-d --debug reindirizza IO alla console di sistema
--verbosity=LEVEL imposta il livello di verbosità durante il debug [0-3]
-c --config=FILEPATH usa il file di configurazione di FILEPATH
In primo piano
Foremost è uno strumento di recupero basato sulla riga di comando più veloce e affidabile per recuperare i file persi nelle operazioni forensi. Foremost ha la capacità di lavorare su immagini generate da dd, Safeback, Encase, ecc., o direttamente su un'unità. Primo può recuperare exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar e molti altri tipi di file.
[email protected]:~# primo -hversione principale x.X.x di Jesse Kornblum, Kris Kendall e Nick Mikus.
$ prima [-v|-V|-h|-T|-Q|-q|-a|-w-d] [-t
[-b
-V : mostra le informazioni sul copyright ed esci
-t - specifica il tipo di file. (-t jpeg,pdf…)
-d - attiva il rilevamento indiretto dei blocchi (per i file system UNIX)
-i - specifica il file di input (l'impostazione predefinita è stdin)
-a - Scrivi tutte le intestazioni, non rileva errori (file danneggiati)
-w - Scrivi solo il file di controllo, non scrivere alcun file rilevato sul disco
-o - imposta la directory di output (impostazione predefinita su output)
-c - imposta il file di configurazione da utilizzare (predefinito su first.conf)
…tagliare…
Esempio di utilizzo
[email protected]:~# above -t exe,jpeg,pdf,png -i file-image.dd
Elaborazione: file-immagine.dd
…tagliare…
Conclusione
Kali, insieme ai suoi famosi strumenti di test di penetrazione, ha anche un'intera scheda dedicata a "Forensics". Ha una modalità "Forensics" separata che è disponibile solo per Live USB in cui non monta le partizioni dell'host. Kali è un po' preferibile rispetto ad altre distro di Forensics come CAINE per il suo supporto e una migliore compatibilità.