forensisch onderzoek

Kali Linux Top forensische tools (2020) (deel 2)

Kali Linux Top forensische tools (2020) (deel 2)

Invoering

De vorige keer hebben we 14 forensische tools behandeld die aanwezig zijn in Kali Linux en hebben we hun doel en speciale mogelijkheden uitgelegd. Vandaag gaan we 14 forensische tools presenteren, die afkomstig zijn uit een beroemde bibliotheek, "The Sleuth Kit" (TSK), verpakt in de 2020-update van Kali Linux. U vindt deze tools in Forensics drop-down lijst onder de naam Sleuth Kit Suite tools in Kali Whisker Menu.

blkcalc

De blkcalc-tool is een forensisch hulpmiddel dat niet-toegewezen schijfpunten converteert naar gewone schijfpunten. Dit programma maakt een puntnummer dat twee afbeeldingen in kaart brengt. Een van deze afbeeldingen is normaal en de andere bevat niet-toegewezen puntnummers van de eerste afbeelding. Deze tool ondersteunt veel bestandssysteemtypen. Als er aan het begin geen bestandssysteem is gedefinieerd, heeft blkcalc de unieke functie van automatische detectiemethoden om het bestandssysteemtype te vinden.

tsk_comparedir

Met behulp van de tool tsk_comparedir wordt de inhoud van de afbeelding vergeleken met de inhoud van de vergelijkingsmap. Dit is de beste tool in de testfase voor het identificeren van rootkits (kwaadaardige code of bestanden). De rootkit-test wordt uitgevoerd door de inhoud van de lokale map te vergelijken met een lokaal onbewerkt apparaat. Deze rootkits worden niet verborgen wanneer ze worden geopend en gelezen vanaf een onbewerkt apparaat.

tsk_gettimes

De forensische tool tsk_gettimes is gebaseerd op een bibliotheek met sleuthkits. Deze tool verzamelt de MAC-tijden (stukjes metadata van het bestandssysteem) van een gespecificeerde schijfkopie en zet de tijden om in een body-bestand. De tool tsk_gettimes onderzoekt elk bestandssysteem in een schijfpartitie of -image en verwerkt de gegevens erin. De uitvoer van deze tool zijn de schijfkopiegegevens in een MAC-tijdlichaamformaat, die vervolgens kunnen worden gebruikt als invoer voor het systeem om een ​​chronologie van de bestandsactiviteit te genereren. De gegevens worden vervolgens afgedrukt als een bestand via de STDOUT-opdracht.

blkcat

De blkcat-tool is een snelle en efficiënte forensische tool die is verpakt in Kali. Het doel van deze tool is om de inhoud weer te geven van de gegevens die zijn opgeslagen in de schijfkopie van een bestandssysteem. De uitvoer geeft het aantal gegevenseenheden weer, beginnend met het hoofdadres van de eenheid en afdrukken, in verschillende formaten die kunnen worden gespecificeerd en gesorteerd. Standaard is het uitvoerformaat onbewerkt en wordt het ook dcat . genoemd.

tsk_loaddb

De tool tsk_loaddb laadt de metadata van de schijfkopie in een SQLite-database, een bruikbare database voor analyse door andere softwaretools. De database wordt opgeslagen in de afbeeldingsmap voor gemakkelijke toegang. Deze tool ondersteunt veel bestandssystemen en kan de MD5-hashwaarde voor elk bestand berekenen.

blkstat

De sleuth kit-tool blkstat geeft alle informatie weer over de data-eenheden van een bestandssysteem. Deze tool retourneert gegevens over de toewijzingsstatus van een blok of een sector van een bestandssysteem. Deze tool kan de opdracht addr gebruiken, die de statistieken van een stuk gegevens toont, en wordt ook wel dstat genoemd.

vinden

De ffind-tool gebruikt een inode om te zoeken naar de naam van de map of het bestand in een schijfkopie. De bestanden die zijn toegewezen aan een inode-bestandsidentificatie op een schijfpartitie hebben namen; standaard retourneert deze tool alleen de voornaam die hij vindt. De ffind-tool kan zelfs verwijderde bestandsnamen vinden, wat de speciale mogelijkheid is van deze tool. Bovendien kan de ffind-tool ook meerdere bestandsnamen vinden.

hfind

De tool hfind zoekt naar hash-waarden in hash-databases. De hash-waarden worden doorzocht met behulp van het binaire zoekalgoritme. Het doel van het gebruik van dit algoritme is om gebruikers in staat te stellen gemakkelijk hash-databases te maken en snel een bestand te identificeren, of het nu bekend of onbekend is. Deze tool gebruikt de NSRL-bibliotheek en retourneert md5sum. Deze tool is zeer efficiënt, omdat het een indexbestand maakt dat al is gesorteerd en items met een vaste lengte heeft, wat het zoeken erg snel maakt.

fls

De naam fls omvat de term "ls", wat staat voor het weergeven van de inhoud van een map. De fls-tool vermeldt alle bestandsnamen en mappen in een afbeeldingsbestand en kan zelfs namen weergeven van bestanden die onlangs zijn verwijderd. Als de bestandsidentificatie of inode niet wordt gebruikt, wordt de hoofdmap gebruikt.

mmcat

De mmcat-tool is een forensische tool die de inhoud van een partitie retourneert via de afdrukfunctie. Deze tool extraheert alle gegevens in een partitie naar een apart bestand.

sigfin

Deze tool vindt de binaire handtekening die aanwezig is in een bestand. Deze binaire handtekening heet hex_signature, die in elk bestand aanwezig is. Deze tool kan worden gebruikt om verloren superblokken, partities of afbeeldingstabellen en opstartsectoren te vinden. Het hexadecimale formaat moet worden gebruikt om de binaire handtekening te vinden.

ik vind

Deze tool zoekt de ruwe datastructuur van een bestand op, dat is toegewezen aan een specifieke schijfeenheid of bestandsnaam. Soms kan een van deze metadatastructuren niet-toegewezen worden, maar deze tool zal nog steeds de resultaten verkrijgen.

sorteerder

De sorteertool is een "perl" -scripttool die sorteert op een bestandssysteem om het te rangschikken in toegewezen en niet-toegewezen bestanden, op basis van het bestandstype. Deze tool voert een opdracht uit op elk bestand en sorteert de bestanden volgens de configuratiebestanden. Bestandstypen omvatten verborgen bestanden, hash-bestanden voor hash-databases, bestanden waarvan bekend is dat ze goed zijn en bestanden die moeten worden gewijzigd. De configuratiebestanden die worden gebruikt, zijn standaard afkomstig van waar de tool is geïnstalleerd, maar dit kan worden gewijzigd met runtime-beslissingen.

tsk_recover

Deze tool brengt bestanden over van een schijfpartitie naar een lokale hoofdmap. De herstelde bestanden zijn standaard alleen niet-toegewezen bestanden. Via bepaalde commando's kunnen alle bestanden worden geëxporteerd.

Conclusie

Deze 14 tools worden geleverd met Kali Linux live, evenals installatiekopieën, en ze zijn open-source en vrij beschikbaar. Deze tools zijn te vinden in het Kali-whiskermenu in een map met de naam Sleuth Kit Suite. De tools ontvangen regelmatig updates van TSK voor kleine bugfixes.

Muis Emuleer muisklikken door te zweven met Clickless Mouse in Windows 10
Emuleer muisklikken door te zweven met Clickless Mouse in Windows 10
Het gebruik van een muis of toetsenbord in de verkeerde houding of overmatig gebruik kan leiden tot veel gezondheidsproblemen, waaronder spanning, car...
Muis Voeg muisbewegingen toe aan Windows 10 met deze gratis tools
Voeg muisbewegingen toe aan Windows 10 met deze gratis tools
In de afgelopen jaren zijn computers en besturingssystemen sterk geëvolueerd. Er was een tijd dat gebruikers opdrachten moesten gebruiken om door best...
Muis Beheer en beheer muisbewegingen tussen meerdere monitoren in Windows 10
Beheer en beheer muisbewegingen tussen meerdere monitoren in Windows 10
Muisbeheer voor twee schermen laat je muisbewegingen tussen meerdere monitoren controleren en configureren door de bewegingen nabij de grens te vertra...