Kali Linux - เครื่องมือทางนิติวิทยาศาสตร์

ในบทนี้เราจะเรียนรู้เกี่ยวกับเครื่องมือทางนิติวิทยาศาสตร์ที่มีอยู่ใน Kali Linux

p0f

p0fเป็นเครื่องมือที่สามารถระบุระบบปฏิบัติการของโฮสต์เป้าหมายได้โดยการตรวจสอบแพ็กเก็ตที่จับได้แม้ว่าอุปกรณ์ที่มีปัญหาจะอยู่หลังไฟร์วอลล์แพ็กเก็ตก็ตาม P0f ไม่สร้างการรับส่งข้อมูลเครือข่ายเพิ่มเติมไม่ว่าทางตรงหรือทางอ้อม ไม่มีการค้นหาชื่อ ไม่มียานสำรวจลึกลับ ไม่มีการสอบถาม ARIN ไม่มีอะไร ในมือของผู้ใช้ขั้นสูง P0f สามารถตรวจจับการมีอยู่ของไฟร์วอลล์การใช้ NAT และการมีอยู่ของโหลดบาลานเซอร์

ประเภท “p0f – h” ในเทอร์มินัลเพื่อดูวิธีการใช้งานและคุณจะได้รับผลลัพธ์ดังต่อไปนี้

มันจะแสดงรายการแม้กระทั่งอินเทอร์เฟซที่มีอยู่

จากนั้นพิมพ์คำสั่งต่อไปนี้: “p0f –i eth0 –p -o filename”.

โดยที่พารามิเตอร์ "-i" คือชื่ออินเทอร์เฟซดังที่แสดงด้านบน "-p" หมายความว่าอยู่ในโหมดสำส่อน "-o" หมายความว่าผลลัพธ์จะถูกบันทึกไว้ในไฟล์

เปิดเว็บเพจด้วยที่อยู่ 192.168.1.2

จากผลลัพธ์คุณสามารถสังเกตได้ว่าเว็บเซิร์ฟเวอร์ใช้ apache 2.x และระบบปฏิบัติการคือ Debian

pdf-parser

pdf-parser เป็นเครื่องมือที่แยกวิเคราะห์เอกสาร PDF เพื่อระบุองค์ประกอบพื้นฐานที่ใช้ในไฟล์ pdf ที่วิเคราะห์ จะไม่แสดงเอกสาร PDF ไม่แนะนำให้ใช้กับ text book case สำหรับโปรแกรมแยกวิเคราะห์ PDF แต่จะทำให้งานสำเร็จ โดยทั่วไปจะใช้สำหรับไฟล์ pdf ที่คุณสงสัยว่ามีสคริปต์ฝังอยู่

คำสั่งคือ -

pdf-parser  -o 10 filepath

โดยที่ "-o" คือจำนวนวัตถุ

ดังที่คุณเห็นในภาพหน้าจอต่อไปนี้ไฟล์ pdf จะเปิดคำสั่ง CMD

Dumpzilla

แอปพลิเคชัน Dumpzilla ได้รับการพัฒนาใน Python 3.x และมีจุดประสงค์เพื่อดึงข้อมูลที่น่าสนใจทางนิติวิทยาศาสตร์ทั้งหมดของเบราว์เซอร์ Firefox, Iceweasel และ Seamonkey มาวิเคราะห์

ddrescue

จะคัดลอกข้อมูลจากไฟล์หนึ่งหรืออุปกรณ์บล็อก (ฮาร์ดดิสก์ cdrom ฯลฯ ) ไปยังอีกไฟล์หนึ่งโดยพยายามช่วยเหลือส่วนที่ดีก่อนในกรณีที่เกิดข้อผิดพลาดในการอ่าน

การทำงานพื้นฐานของ ddrescue เป็นไปโดยอัตโนมัติ นั่นคือคุณไม่ต้องรอให้เกิดข้อผิดพลาดหยุดโปรแกรมรีสตาร์ทจากตำแหน่งใหม่เป็นต้น

หากคุณใช้คุณลักษณะ mapfile ของ ddrescue ข้อมูลจะได้รับการช่วยเหลืออย่างมีประสิทธิภาพ (อ่านเฉพาะบล็อกที่จำเป็นเท่านั้น) นอกจากนี้คุณสามารถขัดจังหวะการช่วยเหลือได้ตลอดเวลาและดำเนินการต่อในภายหลัง ณ จุดเดิม mapfile เป็นส่วนสำคัญของประสิทธิภาพของ ddrescue ใช้มันเว้นแต่คุณจะรู้ว่าคุณกำลังทำอะไรอยู่

บรรทัดคำสั่งคือ -

dd_rescue infilepath  outfilepath

พารามิเตอร์ "–v" หมายถึง verbose "/dev/sdb"คือโฟลเดอร์ที่จะได้รับการช่วยเหลือ img file คือภาพที่กู้คืน

DFF

เป็นอีกหนึ่งเครื่องมือทางนิติวิทยาศาสตร์ที่ใช้ในการกู้คืนไฟล์ มันมี GUI ด้วย หากต้องการเปิดให้พิมพ์“dff-gui” ในเทอร์มินัลและ GUI เว็บต่อไปนี้จะเปิดขึ้น

คลิกไฟล์→“ เปิดหลักฐาน”

ตารางต่อไปนี้จะเปิดขึ้น ตรวจสอบ "รูปแบบ Raw" และคลิก "+" เพื่อเลือกโฟลเดอร์ที่คุณต้องการกู้คืน

จากนั้นคุณสามารถเรียกดูไฟล์ทางด้านซ้ายของบานหน้าต่างเพื่อดูสิ่งที่กู้คืนได้