Phenquestions
autopsie
Ik beschouw autopsie, die standaard wordt geleverd op CAINE en Kali Linux, de eerste tool die kennismaakte met forensisch onderzoek vanwege de grafische en intuïtieve interface om forensische computertools te beheren. Autopsie optimaliseert het proces door meerdere processorkernen te gebruiken terwijl het op de achtergrond draait en kan u van tevoren vertellen of het proces tot een positief resultaat zal leiden. Autopsie kan ook worden gebruikt als grafische interface voor verschillende opdrachtregeltools, ondersteunt extensies voor integratie met tools van derden zoals PhotoRec die al op Linux voorkomen. Hint om functies te verbeteren en toe te voegen.
Zoals gezegd, het komt standaard op Kali, Debian en Ubuntu-gebruikers kunnen Autopsy krijgen door het volgende uit te voeren:
apt autopsie installeren -y
Officiële website: https://www.speurneus.org/autopsie/
CAINE (computerondersteunde onderzoeksomgeving)
CAINE is een op Ubuntu Linux gebaseerde distributie die speciaal is ontworpen voor computer forensisch onderzoek, het wordt standaard geleverd met Autopsy en creëert een zeer vriendelijke omgeving voor de gebruiker. CAINE is een geweldige assistent als besturingssysteem, omdat het standaard veelvoorkomende forensische praktijken toepast, zoals het beschermen van de opslagapparaten tegen beschadiging of overschrijven tijdens het forensische proces.
CAINE is een up-to-date Linux-distributie die ten zeerste wordt aanbevolen om aan de slag te gaan met computerforensics.
Officiële website: https://www.caine-live.netto/
P0f
P0f is een analyser voor de interactie tussen verschillende apparaten via netwerken. P0f is in staat om het besturingssysteem en de software te identificeren die worden gebruikt door verschillende apparaten die in passieve modus zijn aangesloten, in plaats van pakketten te verzenden om het antwoord te analyseren. P0f legt alleen pakketten vast voor latere analyse, daarom kan het tot betere resultaten leiden dan Nmap bij het nemen van vingerafdrukken. Praktische toepassingen van P0f kunnen zijn: het detecteren van een aanvaller tijdens een lopende pentesting-sessie, netwerkbewaking en aanvullende informatie over verbindingen om de juiste beveiligingsmaatregelen in te stellen. P0f is lange tijd niet bijgewerkt en is teruggekomen als P03 met ondersteuning voor modern besturingssysteem en software. In een toekomstig artikel zullen we aanvallers opsporen met verschillende tools, waaronder P0f.
Debian- en Ubuntu-gebruikers kunnen P0f installeren door het volgende uit te voeren:
apt installeer p0f -y
Officiële website: http://lcamtuf.coredump.cx/p0f3/
Dumpzilla
Tijdens een strafrechtelijk onderzoek is analyse van de browse-activiteit een van de eerste protocolstappen. Zoals hierboven vermeld, stelt Autopsy ons in staat om extensies in te schakelen om de browse-activiteit van de gebruiker te onderzoeken. Dumpzilla is een tool die specifiek is gericht op het herstellen van browsegegevens van Mozilla Firefox-browsers of derivaten zoals Iceweasel of Seamonkey. Dumpzilla kan ons veel waardevolle informatie geven, zoals gebruikersnamen, wachtwoorden, browsegeschiedenis en alle informatie die is opgeslagen in cookies of gebruikersvoorkeuren. Ondanks het feit dat het heel specifiek is om Dumpzilla tegen een doelwit met Firefox uit te voeren, wordt aanbevolen, ondanks het feit dat het de afgelopen twee jaar niet is bijgewerkt.
Dumpzilla is niet opgenomen in standaard repositories, je kunt het krijgen van: https://github.com/Busindre/dumpzilla
Officiële website: https://www.dumpzilla.org
Beweeglijkheid
Volatiliteit stelt ons in staat om de live RAM van een apparaat te onderzoeken, wat betekent dat informatie niet op de harde schijf is opgeslagen, maar artefacten of sporen heeft achtergelaten op de live RAM. Deze tool, die standaard zowel op CAINE als Kali Linux wordt geleverd, kan ons na een incident op een apparaat naar nuttige informatie leiden, zoals welke processen tijdens een evenement werden uitgevoerd of uitgevoerd. Om volatiliteit op Debian te installeren, kunt u uitvoeren:
apt install volatiliteit -y
Officiële website: https://www.volatiliteitstichting.org/
Chkrootkit
Een RootKit is kwaadaardige software die lokaal of op afstand op een apparaat wordt geïnstalleerd om onwettige toegang te verlenen aan een aanvaller. We kunnen ondanks kleine verschillen een groteske vergelijking maken tussen rootKits en trojan-servers (RootKits bevatten extra functies). RootKits kan de systeembestanden wijzigen en sporen van onwettige inbraken verwijderen. Hier komt ChkRooKit om binaire bestanden te analyseren op wijzigingen, logboeken en andere sporen die door een indringer kunnen worden verwijderd. Op Debian kun je chkrootkit krijgen door het volgende uit te voeren:
apt installeer chkrootkit -y
Officiële website: http://www.chkrootkit.org/
Ik hoop dat je dit artikel nuttig vond om te beseffen dat computerforensisch onderzoek niet beperkt is tot IT-goeroes, iedereen kan computerforensisch onderzoek gemakkelijk uitvoeren met de hierboven genoemde tools. Blijf Linux volgen Hint voor meer tips en updates over Linux.
