Kali Linux - Strumenti forensi

In questo capitolo, impareremo a conoscere gli strumenti forensi disponibili in Kali Linux.

p0f

p0fè uno strumento in grado di identificare il sistema operativo di un host di destinazione semplicemente esaminando i pacchetti catturati anche quando il dispositivo in questione si trova dietro un firewall a pacchetti. P0f non genera alcun traffico di rete aggiuntivo, diretto o indiretto; nessuna ricerca di nomi; nessuna sonda misteriosa; nessuna query ARIN; Niente. Nelle mani di utenti esperti, P0f è in grado di rilevare la presenza del firewall, l'utilizzo del NAT e l'esistenza di load balancer.

genere “p0f – h” nel terminale per vedere come usarlo e otterrai i seguenti risultati.

Elencherà anche le interfacce disponibili.

Quindi, digita il seguente comando: “p0f –i eth0 –p -o filename”.

Dove il parametro "-i" è il nome dell'interfaccia mostrato sopra. "-p" significa che è in modalità promiscua. "-o" significa che l'output verrà salvato in un file.

Apri una pagina web con l'indirizzo 192.168.1.2

Dai risultati, puoi osservare che il server Web utilizza apache 2.x e il sistema operativo è Debian.

pdf-parser

pdf-parser è uno strumento che analizza un documento PDF per identificare gli elementi fondamentali utilizzati nel file pdf analizzato. Non renderà un documento PDF. Non è consigliato per la custodia di libri di testo per parser PDF, tuttavia fa il suo lavoro. In genere, viene utilizzato per i file PDF che si sospetta abbiano uno script incorporato al loro interno.

Il comando è -

pdf-parser  -o 10 filepath

dove "-o" è il numero di oggetti.

Come puoi vedere nello screenshot seguente, il file pdf apre un comando CMD.

Dumpzilla

L'applicazione Dumpzilla è sviluppata in Python 3.x e ha lo scopo di estrarre tutte le informazioni forensi interessanti dei browser Firefox, Iceweasel e Seamonkey da analizzare.

ddrescue

Copia i dati da un file o dispositivo a blocchi (hard disk, cdrom, ecc.) A un altro, cercando di recuperare prima le parti buone in caso di errori di lettura.

Il funzionamento di base di ddrescue è completamente automatico. Cioè, non devi aspettare un errore, fermare il programma, riavviarlo da una nuova posizione, ecc.

Se si utilizza la funzionalità mapfile di ddrescue, i dati vengono salvati in modo molto efficiente (vengono letti solo i blocchi necessari). Inoltre, puoi interrompere il salvataggio in qualsiasi momento e riprenderlo più tardi nello stesso punto. Il mapfile è una parte essenziale dell'efficacia di ddrescue. Usalo a meno che tu non sappia cosa stai facendo.

La riga di comando è -

dd_rescue infilepath  outfilepath

Parametro "–v" significa verboso. "/dev/sdb"è la cartella da salvare. Ilimg file è l'immagine recuperata.

DFF

È un altro strumento forense utilizzato per recuperare i file. Ha anche una GUI. Per aprirlo, digita“dff-gui” nel terminale e si aprirà la seguente GUI web.

Fare clic su File → "Apri prova".

Si aprirà la seguente tabella. Controllare "Formato Raw" e fare clic su "+" per selezionare la cartella che si desidera ripristinare.

Quindi, puoi sfogliare i file sulla sinistra del riquadro per vedere cosa è stato ripristinato.

ja/tutorial
es/tutorial
de/tutorial
fr/tutorial
th/tutorial
pt/tutorial
ru/tutorial
vi/tutorial
it/tutorial
ko/tutorial
tr/tutorial
id/tutorial
pl/tutorial
hi/tutorial
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved