Kali Linux - narzędzia kryminalistyczne
W tym rozdziale poznamy narzędzia kryminalistyczne dostępne w Kali Linux.
p0f
p0fto narzędzie, które może zidentyfikować system operacyjny hosta docelowego, po prostu sprawdzając przechwycone pakiety, nawet jeśli dane urządzenie znajduje się za zaporą pakietów. P0f nie generuje żadnego dodatkowego ruchu sieciowego, bezpośredniego ani pośredniego; brak wyszukiwań nazw; żadnych tajemniczych sond; brak zapytań ARIN; nic. W rękach zaawansowanych użytkowników P0f może wykryć obecność zapory, użycie NAT i istnienie modułów równoważenia obciążenia.
Rodzaj “p0f – h” w terminalu, aby zobaczyć, jak go używać, a otrzymasz następujące wyniki.
Wyświetli nawet dostępne interfejsy.
Następnie wpisz następujące polecenie: “p0f –i eth0 –p -o filename”.
Gdzie parametr "-i" to nazwa interfejsu, jak pokazano powyżej. "-p" oznacza, że jest w trybie rozwiązłym. "-o" oznacza, że dane wyjściowe zostaną zapisane w pliku.
Otwórz stronę internetową o adresie 192.168.1.2
Na podstawie wyników można zauważyć, że serwer sieciowy używa apache 2.x, a system operacyjny to Debian.
pdf-parser
pdf-parser to narzędzie, które analizuje dokument PDF w celu zidentyfikowania podstawowych elementów użytych w analizowanym pliku pdf. Nie wyrenderuje dokumentu PDF. Nie jest zalecane w przypadku okładek podręczników dla parserów PDF, jednak wykonuje swoje zadanie. Zwykle jest to używane w przypadku plików pdf, w przypadku których podejrzewasz, że zawierają osadzony skrypt.
Polecenie to -
pdf-parser -o 10 filepath
gdzie „-o” to liczba obiektów.
Jak widać na poniższym zrzucie ekranu, plik pdf otwiera polecenie CMD.
Dumpzilla
Aplikacja Dumpzilla została opracowana w Pythonie 3.xi ma na celu wydobycie wszystkich interesujących informacji kryminalistycznych z przeglądarek Firefox, Iceweasel i Seamonkey do analizy.
ddrescue
Kopiuje dane z jednego pliku lub urządzenia blokowego (dysk twardy, cdrom itp.) Do innego, próbując najpierw uratować dobre części w przypadku błędów odczytu.
Podstawowa operacja ddrescue jest w pełni automatyczna. Oznacza to, że nie musisz czekać na błąd, zatrzymywać programu, restartować go z nowej pozycji itp.
Jeśli używasz funkcji mapfile programu ddrescue, dane są bardzo wydajnie odzyskiwane (odczytywane są tylko potrzebne bloki). Możesz też przerwać akcję ratunkową w dowolnym momencie i wznowić ją później w tym samym momencie. Plik mapy jest istotną częścią skuteczności programu ddrescue. Używaj go, chyba że wiesz, co robisz.
Linia poleceń to -
dd_rescue infilepath outfilepath
Parametr "–v" oznacza gadatliwy. "/dev/sdb"to folder do uratowania. Plikimg file to odzyskany obraz.
DFF
Jest to kolejne narzędzie kryminalistyczne używane do odzyskiwania plików. Ma też GUI. Aby go otworzyć, wpisz“dff-gui” w terminalu i otworzy się następujący graficzny interfejs użytkownika.
Kliknij Plik → „Otwórz dowód”.
Otworzy się następująca tabela. Zaznacz „Format Raw” i kliknij „+”, aby wybrać folder, który chcesz odzyskać.
Następnie możesz przeglądać pliki po lewej stronie okienka, aby zobaczyć, co zostało odzyskane.