Kali Linux - инструменты криминалистики
В этой главе мы узнаем об инструментах судебной экспертизы, доступных в Kali Linux.
p0f
p0f- это инструмент, который может идентифицировать операционную систему целевого хоста, просто проверяя захваченные пакеты, даже если соответствующее устройство находится за межсетевым экраном пакетов. P0f не создает никакого дополнительного сетевого трафика, прямого или косвенного; без поиска имени; никаких загадочных зондов; нет запросов ARIN; ничего. В руках опытных пользователей P0f может обнаруживать наличие межсетевого экрана, использование NAT и наличие балансировщиков нагрузки.
Тип “p0f – h” в терминале, чтобы увидеть, как его использовать, и вы получите следующие результаты.
В нем будут перечислены даже доступные интерфейсы.
Затем введите следующую команду: “p0f –i eth0 –p -o filename”.
Где параметр "-i" - это имя интерфейса, как показано выше. "-p" означает, что он находится в беспорядочном режиме. "-o" означает, что результат будет сохранен в файле.
Откройте веб-страницу с адресом 192.168.1.2
Из результатов видно, что веб-сервер использует apache 2.x, а ОС - Debian.
pdf-парсер
pdf-parser - это инструмент, который анализирует PDF-документ для определения основных элементов, используемых в анализируемом PDF-файле. Он не будет отображать PDF-документ. Его не рекомендуется использовать в учебниках для парсеров PDF, однако он выполняет свою работу. Как правило, это используется для файлов PDF, в которые, как вы подозреваете, встроен скрипт.
Команда -
pdf-parser -o 10 filepath
где «-o» - количество объектов.
Как вы можете видеть на следующем снимке экрана, файл pdf открывает команду CMD.
Dumpzilla
Приложение Dumpzilla разработано на Python 3.x и предназначено для извлечения всей криминалистической интересной информации браузеров Firefox, Iceweasel и Seamonkey для анализа.
ddrescue
Он копирует данные из одного файла или блочного устройства (жесткого диска, компакт-диска и т. Д.) В другой, пытаясь сначала спасти хорошие части в случае ошибок чтения.
Основная операция ddrescue полностью автоматическая. То есть вам не нужно ждать ошибки, останавливать программу, перезапускать ее с новой позиции и т. Д.
Если вы используете функцию mapfile в ddrescue, данные спасаются очень эффективно (читаются только необходимые блоки). Кроме того, вы можете в любой момент прервать спасательную операцию и возобновить ее позже в тот же момент. Файл карты - важная часть эффективности ddrescue. Используйте его, если не знаете, что делаете.
Командная строка -
dd_rescue infilepath outfilepath
Параметр "–v" означает многословный. "/dev/sdb"это папка, которую нужно спасти. Вimg file это восстановленное изображение.
DFF
Это еще один инструмент судебной экспертизы, используемый для восстановления файлов. У него тоже есть графический интерфейс. Чтобы открыть его, введите“dff-gui” в терминале, и откроется следующий веб-интерфейс.
Щелкните Файл → «Открыть доказательства».
Откроется следующая таблица. Отметьте «Raw format» и нажмите «+», чтобы выбрать папку, которую вы хотите восстановить.
Затем вы можете просмотреть файлы в левой части панели, чтобы увидеть, что было восстановлено.