Phenquestions
Autopsia
Considero Autopsy, che viene fornito di default su CAINE e Kali Linux, il primo strumento per essere introdotto alla medicina legale grazie alla sua interfaccia grafica e intuitiva per gestire gli strumenti forensi del computer. L'autopsia ottimizza il processo utilizzando più core del processore durante l'esecuzione in background e può dirti in anticipo se il processo porterà a un risultato positivo. Autopsy può essere utilizzato anche come interfaccia grafica per diversi strumenti a riga di comando, supporta estensioni per l'integrazione con strumenti di terze parti come PhotoRec già presente su LinuxHint per migliorare e aggiungere funzioni.
Come detto, viene fornito di default su Kali, Debian e Ubuntu, gli utenti possono ottenere Autopsy eseguendo:
apt install autopsy -y
Sito ufficiale: https://www.kit da investigatore.org/autopsia/
CAINE (Ambiente investigativo assistito da computer)
CAINE è una distribuzione basata su Ubuntu Linux specificamente progettata per la scientifica informatica, viene fornita con Autopsy per impostazione predefinita creando un ambiente molto amichevole per l'utente. CAINE è un ottimo assistente, come sistema operativo, poiché applica per impostazione predefinita pratiche forensi comuni come proteggere i dispositivi di archiviazione dall'essere danneggiati o sovrascritti durante il processo forense.
CAINE è una distribuzione Linux aggiornata altamente consigliata per iniziare con l'informatica forense.
Sito ufficiale: https://www.caine-live.netto/
P0f
P0f è un analizzatore per l'interazione tra diversi dispositivi attraverso il networking. P0f è in grado di identificare il sistema operativo e il software utilizzati da diversi dispositivi collegati in modalità passiva, piuttosto che inviare pacchetti per analizzare la risposta P0f cattura solo pacchetti per analisi successive, ecco perché può portare a risultati migliori di Nmap durante il fingerprinting. Gli usi pratici di P0f possono includere il rilevamento di un utente malintenzionato durante una sessione di pentest in corso, la sorveglianza della rete e ulteriori informazioni sulle connessioni per impostare misure di sicurezza adeguate. P0f non è stato aggiornato per molto tempo ed è tornato come P03 con supporto per sistemi operativi e software moderni. In un prossimo articolo rintracceremo gli aggressori utilizzando diversi strumenti tra cui P0f.
Gli utenti Debian e Ubuntu possono installare P0f eseguendo:
apt install p0f -y
Sito ufficiale: http://lcamtuf.coredump.cx/p0f3/
Dumpzilla
Durante un'indagine penale, l'analisi dell'attività di navigazione è tra i primi passi del protocollo. Come detto sopra, Autopsy ci consente di abilitare le estensioni per ricercare l'attività di navigazione dell'utente. Dumpzilla è uno strumento focalizzato specificamente sul recupero dei dati di navigazione dai browser Mozilla Firefox o derivati come Iceweasel o Seamonkey. Dumpzilla può fornirci molte informazioni preziose come nomi utente, password, cronologia di navigazione e qualsiasi informazione memorizzata nei cookie o nelle preferenze dell'utente. Nonostante il fatto che sia molto specifico l'esecuzione di Dumpzilla contro un target con Firefox è consigliata, nonostante il fatto che non sia stato aggiornato negli ultimi due anni.
Dumpzilla non è incluso nei repository predefiniti, puoi ottenerlo da: https://github.com/Busindre/dumpzilla
Sito ufficiale: https://www.dumpzilla.organizzazione
Volatilità
La volatilità ci consente di indagare sulla RAM attiva di un dispositivo, il che significa informazioni che non sono state memorizzate sul disco rigido, ma hanno lasciato artefatti o tracce sulla RAM attiva. Questo strumento, che viene fornito di default sia su CAINE che su Kali Linux, può portarci a informazioni utili dopo un incidente su un dispositivo, come quali processi erano in esecuzione, o sono in esecuzione, durante un evento. Per installare volatility su Debian puoi eseguire
apt install volatility -y
Sito ufficiale: https://www.fondamento della volatilità.org/
Chkrootkit
Un RootKit è un software dannoso installato localmente o in remoto su un dispositivo per concedere l'accesso illegittimo a un utente malintenzionato, possiamo fare un confronto grottesco tra rootKit e server trojan nonostante piccole differenze (i RootKit includono funzioni aggiuntive). I RootKit possono modificare i file di sistema e rimuovere le tracce di intrusioni illegittime. Ecco dove arriva ChkRooKit che analizza i binari per modifiche, registri e altre tracce che potrebbero essere rimosse da un intruso. Su Debian puoi ottenere chkrootkit eseguendo:
apt install chkrootkit -y
Sito ufficiale: http://www.chkrootkit.org/
Spero che questo articolo ti sia stato utile per capire che l'informatica forense non è limitata ai guru dell'informatica, chiunque può svolgere facilmente l'informatica forense con gli strumenti sopra menzionati. Continua a seguire LinuxHint per ulteriori suggerimenti e aggiornamenti su Linux.
