Kali Linux - Outils d'investigation

Dans ce chapitre, nous découvrirons les outils d'investigation disponibles dans Kali Linux.

p0f

p0fest un outil qui peut identifier le système d'exploitation d'un hôte cible simplement en examinant les paquets capturés même lorsque le périphérique en question se trouve derrière un pare-feu de paquets. P0f ne génère aucun trafic réseau supplémentaire, direct ou indirect; aucune recherche de nom; pas de sondes mystérieuses; pas de requêtes ARIN; rien. Entre les mains d'utilisateurs avancés, P0f peut détecter la présence d'un pare-feu, l'utilisation de NAT et l'existence d'équilibreurs de charge.

Type “p0f – h” dans le terminal pour voir comment l'utiliser et vous obtiendrez les résultats suivants.

Il listera même les interfaces disponibles.

Ensuite, tapez la commande suivante: “p0f –i eth0 –p -o filename”.

Où le paramètre "-i" est le nom de l'interface comme indiqué ci-dessus. "-p" signifie qu'il est en mode promiscuité. "-o" signifie que la sortie sera enregistrée dans un fichier.

Ouvrez une page Web avec l'adresse 192.168.1.2

A partir des résultats, vous pouvez observer que le serveur Web utilise apache 2.x et que le système d'exploitation est Debian.

analyseur pdf

pdf-parser est un outil qui analyse un document PDF pour identifier les éléments fondamentaux utilisés dans le fichier pdf analysé. Il ne rendra pas un document PDF. Il n'est pas recommandé pour les cas de livre de texte pour les analyseurs PDF, mais il fait le travail. En règle générale, il est utilisé pour les fichiers PDF dont vous pensez qu’un script est intégré.

La commande est -

pdf-parser  -o 10 filepath

où "-o" est le nombre d'objets.

Comme vous pouvez le voir dans la capture d'écran suivante, le fichier pdf ouvre une commande CMD.

Dumpzilla

L'application Dumpzilla est développée en Python 3.x et a pour but d'extraire toutes les informations médico-légales intéressantes des navigateurs Firefox, Iceweasel et Seamonkey à analyser.

ddrescue

Il copie les données d'un fichier ou d'un périphérique bloc (disque dur, cdrom, etc.) vers un autre, en essayant de récupérer d'abord les bonnes pièces en cas d'erreurs de lecture.

Le fonctionnement de base de ddrescue est entièrement automatique. Autrement dit, vous n'avez pas besoin d'attendre une erreur, d'arrêter le programme, de le redémarrer à partir d'une nouvelle position, etc.

Si vous utilisez la fonction mapfile de ddrescue, les données sont sauvées très efficacement (seuls les blocs nécessaires sont lus). En outre, vous pouvez interrompre le sauvetage à tout moment et le reprendre plus tard au même moment. Le mapfile est un élément essentiel de l'efficacité de ddrescue. Utilisez-le sauf si vous savez ce que vous faites.

La ligne de commande est -

dd_rescue infilepath  outfilepath

Paramètre "–v" signifie verbeux. "/dev/sdb"est le dossier à sauver. leimg file est l'image récupérée.

DFF

C'est un autre outil médico-légal utilisé pour récupérer les fichiers. Il a aussi une interface graphique. Pour l'ouvrir, tapez“dff-gui” dans le terminal et l'interface graphique Web suivante s'ouvrira.

Cliquez sur Fichier → «Ouvrir les preuves».

Le tableau suivant s'ouvrira. Cochez «Format brut» et cliquez sur «+» pour sélectionner le dossier que vous souhaitez récupérer.

Ensuite, vous pouvez parcourir les fichiers sur la gauche du volet pour voir ce qui a été récupéré.