Kali Linux - Alat Forensik

Pada bab ini, kita akan belajar tentang alat forensik yang tersedia di Kali Linux.

p0f

p0fadalah alat yang dapat mengidentifikasi sistem operasi host target hanya dengan memeriksa paket yang ditangkap bahkan saat perangkat tersebut berada di belakang firewall paket. P0f tidak menghasilkan lalu lintas jaringan tambahan, langsung atau tidak langsung; tidak ada pencarian nama; tidak ada penyelidikan misterius; tidak ada kueri ARIN; tidak ada. Di tangan pengguna tingkat lanjut, P0f dapat mendeteksi keberadaan firewall, penggunaan NAT, dan keberadaan penyeimbang beban.

Tipe “p0f – h” di terminal untuk melihat cara menggunakannya dan Anda akan mendapatkan hasil sebagai berikut.

Ini akan mencantumkan bahkan antarmuka yang tersedia.

Kemudian, ketikkan perintah berikut: “p0f –i eth0 –p -o filename”.

Dimana parameternya "-i" adalah nama antarmuka seperti yang ditunjukkan di atas. "-p" berarti dalam mode promiscuous. "-o" Berarti outputnya akan disimpan dalam file.

Buka halaman web dengan alamat 192.168.1.2

Dari hasil tersebut, Anda dapat mengamati bahwa Webserver menggunakan apache 2.x dan OSnya adalah Debian.

pdf-parser

pdf-parser adalah alat yang mengurai dokumen PDF untuk mengidentifikasi elemen dasar yang digunakan dalam file pdf yang dianalisis. Ini tidak akan membuat dokumen PDF. Tidak disarankan untuk kotak buku teks untuk parser PDF, namun ini menyelesaikan pekerjaan. Umumnya, ini digunakan untuk file pdf yang Anda curigai memiliki skrip yang tertanam di dalamnya.

Perintahnya adalah -

pdf-parser  -o 10 filepath

di mana "-o" adalah jumlah objek.

Seperti yang Anda lihat di tangkapan layar berikut, file pdf membuka perintah CMD.

Dumpzilla

Aplikasi Dumpzilla dikembangkan dengan Python 3.x dan bertujuan untuk mengekstrak semua informasi menarik forensik dari browser Firefox, Iceweasel, dan Seamonkey untuk dianalisis.

ddrescue

Ini menyalin data dari satu file atau perangkat blok (hard disk, cdrom, dll.) Ke yang lain, mencoba menyelamatkan bagian yang baik terlebih dahulu jika terjadi kesalahan pembacaan.

Operasi dasar ddrescue sepenuhnya otomatis. Artinya, Anda tidak perlu menunggu kesalahan, menghentikan program, memulai ulang dari posisi baru, dll.

Jika Anda menggunakan fitur mapfile ddrescue, data diselamatkan dengan sangat efisien (hanya blok yang diperlukan yang dibaca). Selain itu, Anda dapat menghentikan penyelamatan kapan saja dan melanjutkannya nanti pada saat yang sama. Mapfile adalah bagian penting dari efektivitas ddrescue. Gunakan kecuali Anda tahu apa yang Anda lakukan.

Baris perintahnya adalah -

dd_rescue infilepath  outfilepath

Parameter "–v" berarti bertele-tele. "/dev/sdb"adalah folder yang akan diselamatkan. Ituimg file adalah gambar yang dipulihkan.

DFF

Ini adalah alat forensik lain yang digunakan untuk memulihkan file. Ini memiliki GUI juga. Untuk membukanya, ketik“dff-gui” di terminal dan GUI web berikut akan terbuka.

Klik File → “Open Evidence”.

Tabel berikut akan terbuka. Centang "Format mentah" dan klik "+" untuk memilih folder yang ingin Anda pulihkan.

Kemudian, Anda dapat menelusuri file di sebelah kiri panel untuk melihat apa yang telah dipulihkan.