forensisch onderzoek

Kali Linux forensische hulpmiddelen

Kali Linux forensische hulpmiddelen
Kali Linux is een krachtig besturingssysteem dat speciaal is ontworpen voor penetratietesters en beveiligingsprofessionals. De meeste functies en tools zijn gemaakt voor beveiligingsonderzoekers en pentesters, maar het heeft een apart tabblad "Forensisch onderzoek" en een aparte modus "Forensisch onderzoek" voor forensisch onderzoek.

Forensisch onderzoek wordt erg belangrijk in cyberbeveiliging om Black Hat-criminelen op te sporen en te vervolgen. Het is essentieel om de kwaadaardige backdoors/malwares van hackers te verwijderen en terug te traceren om mogelijke toekomstige incidenten te voorkomen avoid. In de Forensische modus van Kali koppelt het besturingssysteem geen enkele partitie van de harde schijf van het systeem en laat het geen wijzigingen of vingerafdrukken achter op het systeem van de host.

Kali Linux wordt geleverd met vooraf geïnstalleerde populaire forensische toepassingen en toolkits. Hier zullen we enkele beroemde open source-tools bekijken die aanwezig zijn in Kali Linux.

Bulkextractor

Bulk Extractor is een uitgebreide tool die nuttige informatie zoals creditcardnummers, domeinnamen, IP-adressen, e-mails, telefoonnummers en URL's kan extraheren uit bewijs Harde schijven/bestanden gevonden tijdens forensisch onderzoek. Het is nuttig bij het analyseren van afbeeldingen of malware, en helpt ook bij cyberonderzoek en het kraken van wachtwoorden. Het bouwt woordenlijsten op op basis van informatie gevonden uit bewijs dat kan helpen bij het kraken van wachtwoorden.

Bulk Extractor is populair onder andere tools vanwege zijn ongelooflijke snelheid, compatibiliteit met meerdere platforms en grondigheid. Het is snel vanwege de multi-threaded functies en het kan elk type digitale media scannen, waaronder HDD's, SSD's, mobiele telefoons, camera's, SD-kaarten en vele andere typen.

Bulk Extractor heeft de volgende coole functies die het meer de voorkeur geven:,

[e-mail beveiligd]:~# bulk_extractor --help
Gebruik: bulk_extractor [opties] afbeeldingsbestand
voert bulkextractor en uitgangen uit om een ​​samenvatting te geven van wat waar is gevonden
Vereiste parameters:
afbeeldingsbestand    - het bestand dat moet worden uitgepakt
of  -R ingediendeir  - recursief door een map met bestanden
HEEFT ONDERSTEUNING VOOR E01-BESTANDEN
HEEFT ONDERSTEUNING VOOR AFF-BESTANDEN
-o outdir    - specificeert uitvoermap. Mag niet bestaan.
bulk_extractor maakt deze map aan.
Opties:
-i - INFO-modus. Doe snel een willekeurige steekproef en druk een rapport af.
-b banner.txt- Banner toevoegen.txt-inhoud bovenaan elk uitvoerbestand.
-r alert_list.txt  - een bestand met de waarschuwingslijst met functies die moeten worden gewaarschuwd
(kan een functiebestand of een lijst met globs zijn)
(kan worden herhaald).)
-w stop_list.txt   - een bestand met de stoplijst met functies (witte lijst
(kan een functiebestand of een lijst met globs zijn)s
(kan worden herhaald).)
-F    - Lees een lijst met reguliere expressies van vinden
-f    - vind voorvallen van ; kan worden herhaald.
resultaten gaan in vinden.tekst
... knip ..
 
Gebruiksvoorbeeld
 
[e-mail beveiligd]:~# bulk_extractor -o output secret.img

autopsie

Autopsie is een platform dat door cyberonderzoekers en wetshandhavers wordt gebruikt om forensische operaties uit te voeren en te rapporteren. Het combineert veel individuele hulpprogramma's die worden gebruikt voor forensisch onderzoek en herstel en biedt ze een grafische gebruikersinterface.

Autopsy is een open source, gratis en platformonafhankelijk product dat beschikbaar is voor Windows, Linux en andere op UNIX gebaseerde besturingssystemen. Autopsie kan gegevens van harde schijven van meerdere formaten zoeken en onderzoeken, waaronder EXT2, EXT3, FAT, NTFS en andere.

Het is gemakkelijk te gebruiken en het is niet nodig om het te installeren in Kali Linux omdat het wordt geleverd met vooraf geïnstalleerde en vooraf geconfigureerde.

Dumpzilla

Dumpzilla is een platformonafhankelijke opdrachtregeltool geschreven in Python 3-taal die wordt gebruikt om forensisch gerelateerde informatie uit webbrowsers te dumpen. Het extraheert geen gegevens of informatie, maar geeft het alleen weer in een terminal die kan worden doorgesluisd, gesorteerd en opgeslagen in bestanden met behulp van besturingssysteemopdrachten. Momenteel ondersteunt het alleen op Firefox gebaseerde browsers zoals Firefox, Seamonkey, Iceweasel enz.

Dumpzilla kan de volgende informatie van browsers krijgen

  • Kan live surfen van de gebruiker in tabbladen/venster tonen.
  • Gebruikersdownloads, bladwijzers en geschiedenis.
  • Webformulieren (zoekopdrachten, e-mails, opmerkingen...).
  • Cache/miniaturen van eerder bezochte sites.
  • Addons / Extensies en gebruikte paden of URL's.
  • Door browser opgeslagen wachtwoorden.
  • Cookies en Sessiegegevens.
[e-mail beveiligd]:~# dumpzilla --help
Gebruik: python dumpzilla.py browser_profile_directory [Opties]
Opties:
--Alles (toont alles behalve de DOM-gegevens). Extraheert geen miniaturen of HTML 5 offline)
--Cookies [-showdom -domein -naam -hostcookie -toegang
-creëren -veilig <0/1> -httpalleen <0/1> -range_last -range_create
]
--Machtigingen [-host ]
--Downloads [-bereik ]
--Formulieren   [-value -range_forms ]
--Geschiedenis [-url -titel -datum -bereik_geschiedenis
-frequentie]
--Bladwijzers [-range_bookmarks ]
... knip ..

Digitaal Forensisch Kader - DFF

DFF is een tool voor bestandsherstel en forensisch ontwikkelingsplatform geschreven in Python en C++. Het heeft een set tools en script met zowel de opdrachtregel als de grafische gebruikersinterface. Het wordt gebruikt om forensisch onderzoek uit te voeren en om digitale bewijzen te verzamelen en te rapporteren.

Het is gemakkelijk te gebruiken en kan zowel door cyberprofessionals als door nieuwelingen worden gebruikt om digitale forensische informatie te verzamelen en te bewaren. Hier zullen we enkele van de goede eigenschappen ervan bespreken

  • Kan forensisch onderzoek en herstel uitvoeren op zowel lokale als externe apparaten.
  • Zowel opdrachtregel als grafische gebruikersinterface met grafische weergaven en filters.
  • Kan partities en schijven van virtuele machines herstellen.
  • Compatibel met veel bestandssystemen en -indelingen, waaronder Linux en Windows.
  • Kan verborgen en verwijderde bestanden herstellen.
  • Kan gegevens herstellen van tijdelijk geheugen zoals netwerk, proces en enz
[e-mail beveiligd]:~# dff -h
DFF
Digitaal forensisch kader
 
Gebruik: /usr/bin/dff [opties]
Opties:
-v       --version                  huidige versie weergeven
-g       --graphical                grafische interface starten
-b       --batch=FILENAME     voert de batch uit die is opgenomen in FILENAME
-l       --language=LANG            gebruik LANG als interfacetaal
-h       --help                     dit helpbericht weergeven
-d       --debug                    IO omleiden naar systeemconsole
--breedsprakigheid=LEVEL          stel breedsprakigheidsniveau in bij het debuggen [0-3]
-c       --config=FILEPATH          gebruik het configuratiebestand van FILEPATH

in de eerste plaats

Foremost is een snellere en betrouwbare op de opdrachtregel gebaseerde hersteltool om verloren bestanden terug te krijgen in Forensics Operations. Foremost heeft de mogelijkheid om te werken aan afbeeldingen die zijn gegenereerd door dd, Safeback, Encase, enz., Of rechtstreeks op een schijf. Foremost kan exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar en veel andere bestandstypen herstellen.

[e-mail beveiligd]:~# belangrijkste -h
eerste versie x.X.x door Jesse Kornblum, Kris Kendall en Nick Mikus.
$ voorste [-v|-V|-h|-T|-Q|-q|-a|-w-d] [-t ] [-s ] [-k ]
[-b ] [-c ] [-o ] [-i  
-V  - copyrightinformatie weergeven en afsluiten
-t  - specificeer bestandstype.  (-t jpeg,pdf… )
-d  - indirecte blokdetectie inschakelen (voor UNIX-bestandssystemen)
-i  - geef invoerbestand op (standaard is stdin)
-a  - Schrijf alle headers, voer geen foutdetectie uit (beschadigde bestanden)
-w  - Schrijf alleen het auditbestand, schrijf geen gedetecteerde bestanden naar de schijf
-o  - stel uitvoermap in (standaard is uitvoer)
-c  - stel het configuratiebestand in om te gebruiken (standaard is het belangrijkste.conf)
... knip ..
 
Gebruiksvoorbeeld
 
[e-mail beveiligd]:~# belangrijkste -t ​​exe,jpeg,pdf,png -i file-imagei.dd
Verwerking: bestandsafbeelding.dd
... knip ..

Conclusie

Kali heeft, samen met zijn beroemde penetratietesttools, ook een heel tabblad gewijd aan "Forensisch onderzoek". Het heeft een aparte "Forensische" modus die alleen beschikbaar is voor Live USB's waarin de hostpartities niet worden gemount. Kali heeft een beetje de voorkeur boven andere forensische distributies zoals CAINE vanwege de ondersteuning en betere compatibiliteit.

Muis Middelste muisknop werkt niet in Windows 10
Middelste muisknop werkt niet in Windows 10
De middelste muis knop helpt u door lange webpagina's en schermen met veel gegevens te bladeren. Als dat stopt, zul je uiteindelijk het toetsenbord ge...
Muis Hoe de linker- en rechtermuisknop op Windows 10 pc te veranderen
Hoe de linker- en rechtermuisknop op Windows 10 pc te veranderen
Het is nogal een norm dat alle computermuisapparaten ergonomisch zijn ontworpen voor rechtshandige gebruikers. Maar er zijn muisapparaten beschikbaar ...
Muis Emuleer muisklikken door te zweven met Clickless Mouse in Windows 10
Emuleer muisklikken door te zweven met Clickless Mouse in Windows 10
Het gebruik van een muis of toetsenbord in de verkeerde houding of overmatig gebruik kan leiden tot veel gezondheidsproblemen, waaronder spanning, car...