forensisch onderzoek

Kali Linux Top forensische tools (2020)

Kali Linux Top forensische tools (2020)
In de huidige digitale wereld is elk individu, maar ook een organisatie, gebonden aan externe aanvallen en beveiligingsinbreuken door een cyberaanvaller. Om te bepalen hoe de aanval is uitgevoerd en hoe te reageren op een aanval wordt bereikt door gebruik te maken van digitaal forensisch onderzoek. Met de Kali Linux die in 2013 werd gelanceerd, is het digitale forensische gebied sterk geëvolueerd. Meer dan 600 penetratietesttools zijn verpakt in Kali Linux. We gaan 14 beste tools voor forensisch onderzoek presenteren die zijn verpakt in Kali Linux. Met de forensische tools van Kali Linux kunt u basisproblemen oplossen, oplossingen voor gegevensbeeldvorming tot volledige casusanalyse en -beheer uitvoeren.

Afbeelding 1: Kali Linux

Over het algemeen moet bij het uitvoeren van forensisch onderzoek op een computersysteem elke activiteit die de gegevensanalyse van het systeem kan veranderen of wijzigen, worden vermeden. Andere moderne desktops interfereren meestal met dit doel, maar met Kali Linux via het opstartmenu kun je een speciale forensische modus inschakelen.

Binwalk-tool:

Binwalk is een forensisch hulpmiddel in Kali dat een gespecificeerde binaire afbeelding doorzoekt op uitvoerbare code en bestanden. Het identificeert alle bestanden die zijn ingesloten in een firmware-image. Het gebruikt een zeer effectieve bibliotheek die bekend staat als "libmagic", die magische handtekeningen sorteert in het Unix-bestandshulpprogramma.

Afbeelding 2: Binwalk CLI-tool

Bulk extractor gereedschap:

Bulkextractor-tool extraheert creditcardnummers, URL-links, e-mailadressen, die worden gebruikt als digitaal bewijsmateriaal. Met deze tool kunt u malware en inbraakaanvallen, identiteitsonderzoeken, cyberkwetsbaarheden en het kraken van wachtwoorden identificeren. De specialiteit van deze tool is dat het niet alleen werkt met normale gegevens, maar ook met gecomprimeerde gegevens en onvolledige of beschadigde gegevens.

Afbeelding 3: Opdrachtregeltool voor bulkextractor

HashDeep-tool:

De hashdeep-tool is een aangepaste versie van de dc3dd hashing-tool die speciaal is ontworpen voor digitaal forensisch onderzoek. Deze tool bevat automatische hashing van bestanden, i.e., sha-1, sha-256 en 512, tiger, whirlpool en md5. Er wordt automatisch een foutenlogbestand geschreven. Voortgangsrapporten worden gegenereerd bij elke output.

Afbeelding 4: HashDeep CLI-interfacetool.

Magische reddingstool:

Magic Rescue is een forensisch hulpmiddel dat scanbewerkingen uitvoert op een geblokkeerd apparaat. Deze tool gebruikt magische bytes om alle bekende bestandstypen uit het apparaat te extraheren. Dit opent apparaten voor het scannen en lezen van de bestandstypen en toont de mogelijkheid om verwijderde of beschadigde partities te herstellen. Het kan met elk bestandssysteem werken.

Afbeelding 5: Magic rescue-opdrachtregelinterfacetool

Scalpel gereedschap:

Deze forensische tool snijdt alle bestanden en indexeert die applicaties die op Linux en Windows draaien. De scalpel-tool ondersteunt multithreading-uitvoering op meerdere kernsystemen, wat helpt bij snelle uitvoeringen. Bestandscarving wordt uitgevoerd in fragmenten zoals reguliere expressies of binaire strings.

Afbeelding 6: Scalpel forensisch snijgereedschap

Scrounge-NTFS-tool:

Dit forensische hulpprogramma helpt bij het ophalen van gegevens van beschadigde NTFS-schijven of partities. Het redt gegevens van een beschadigd bestandssysteem naar een nieuw werkend bestandssysteem.

Afbeelding 7: Forensisch hulpprogramma voor gegevensherstel

Guymager-tool:

Dit forensische hulpprogramma wordt gebruikt om media voor forensische beelden te verkrijgen en heeft een grafische gebruikersinterface. Dankzij de multi-threaded gegevensverwerking en compressie is het een zeer snelle tool. Deze tool ondersteunt ook klonen. Het genereert platte, AFF- en EWF-afbeeldingen. De gebruikersinterface is heel gemakkelijk te gebruiken.

Afbeelding 8: Guymager GUI forensisch hulpprogramma

Pdfid-tool:

Deze forensische tool wordt gebruikt in pdf-bestanden. De tool scant pdf-bestanden op specifieke trefwoorden, waardoor u uitvoerbare codes kunt identificeren wanneer ze worden geopend. Deze tool lost de basisproblemen op die verband houden met pdf-bestanden. De verdachte bestanden worden vervolgens geanalyseerd met de pdf-parser-tool.

Afbeelding 9: Pdfid Command-line interface-hulpprogramma

Pdf-parser-tool:

Deze tool is een van de belangrijkste forensische tools voor pdf-bestanden. pdf-parser ontleedt een pdf-document en onderscheidt de belangrijke elementen die tijdens de analyse worden gebruikt, en deze tool geeft dat pdf-document niet weer.

Afbeelding 10: Pdf-parser CLI forensische tool

Peepdf-tool:

Een python-tool die pdf-documenten verkent om te ontdekken of deze onschadelijk of destructief zijn. Het biedt alle elementen die nodig zijn om pdf-analyse uit te voeren in één enkel pakket. Het toont verdachte entiteiten en ondersteunt verschillende coderingen en filters. Het kan ook versleutelde documenten ontleden.

Afbeelding 11: Peepdf python-tool voor pdf-onderzoek.

Autopsie tool:

Een autopsie is alles in één forensisch hulpprogramma voor snel gegevensherstel en hash-filtering. Deze tool snijdt verwijderde bestanden en media uit niet-toegewezen ruimte met behulp van PhotoRec. Het kan ook EXIF-extensie multimedia extraheren. Autopsie scant voor compromisindicator met STIX-bibliotheek. Het is beschikbaar in de opdrachtregel en in de GUI-interface.

Afbeelding 12: Autopsie, alles in één forensisch hulpprogrammapakket

img_cat-tool:

img_cat tool geeft output inhoud van een afbeeldingsbestand. De herstelde afbeeldingsbestanden bevatten metagegevens en ingesloten gegevens, waardoor u deze kunt converteren naar onbewerkte gegevens. Deze onbewerkte gegevens helpen bij het doorleiden van de uitvoer om MD5-hash te berekenen.

Afbeelding 13: img_cat ingebedde gegevens naar onbewerkte gegevensherstel en converter.

ICA-tool:

ICAT is een Sleuth Kit-tool (TSK) die een uitvoer van een bestand maakt op basis van de identifier of het inodenummer. Deze forensische tool is ultrasnel en opent de benoemde bestandsafbeeldingen en kopieert deze naar standaarduitvoer met een specifiek inodenummer. Een inode is een van de gegevensstructuren van het Linux-systeem waarin gegevens en informatie over een Linux-bestand worden opgeslagen, zoals eigendom, bestandsgrootte en type-, schrijf- en leesrechten.

Afbeelding 14: ICAT-consolegebaseerde interfacetool

Srch_strings-tool:

Deze tool zoekt naar bruikbare ASCII- en Unicode-strings in binaire gegevens en drukt vervolgens de offset-string af die in die gegevens wordt gevonden. srch_strings tool extraheert en haalt de strings op die aanwezig zijn in een bestand en geeft offset byte als er een beroep op wordt gedaan.

Afbeelding 15: Forensisch hulpmiddel voor het ophalen van strings

Conclusie:

Deze 14 tools worden geleverd met Kali Linux live en installatiekopieën en ze zijn open-source en vrij beschikbaar. In het geval van een oudere versie van Kali, raad ik een update aan naar de nieuwste versie om deze tools direct te krijgen. Er zijn veel andere forensische hulpmiddelen die we hierna zullen bespreken. Zie hier deel 2 van dit artikel.

Muis Linkermuisknop werkt niet op Windows 10
Linkermuisknop werkt niet op Windows 10
Als u een speciale muis gebruikt met uw laptop of desktopcomputer, maar de linkermuisknop werkt niet not op Windows 10/8/7 om wat voor reden dan ook, ...
Muis Cursor springt of beweegt willekeurig tijdens het typen in Windows 10
Cursor springt of beweegt willekeurig tijdens het typen in Windows 10
Als u merkt dat uw muiscursor vanzelf springt of beweegt, automatisch, willekeurig tijdens het typen op een Windows-laptop of -computer, dan kunnen en...
Muis De scrollrichting van de muis en touchpads omkeren in Windows 10
De scrollrichting van de muis en touchpads omkeren in Windows 10
Muis en Touchpads maken computergebruik niet alleen eenvoudig, maar ook efficiënter en minder tijdrovend. We kunnen ons een leven zonder deze apparate...