Kali Linux - Công cụ pháp y

Trong chương này, chúng ta sẽ tìm hiểu về các công cụ pháp y có sẵn trong Kali Linux.

p0f

p0flà một công cụ có thể xác định hệ điều hành của một máy chủ đích chỉ đơn giản bằng cách kiểm tra các gói đã bắt được ngay cả khi thiết bị được đề cập nằm sau tường lửa gói. P0f không tạo thêm bất kỳ lưu lượng mạng nào, trực tiếp hay gián tiếp; không có tra cứu tên; không có tàu thăm dò bí ẩn; không có truy vấn ARIN; không có gì. Trong tay người dùng nâng cao, P0f có thể phát hiện sự hiện diện của tường lửa, sử dụng NAT và sự tồn tại của bộ cân bằng tải.

Kiểu “p0f – h” trong thiết bị đầu cuối để xem cách sử dụng nó và bạn sẽ nhận được kết quả sau.

Nó sẽ liệt kê cả những giao diện có sẵn.

Sau đó, gõ lệnh sau: “p0f –i eth0 –p -o filename”.

Tham số ở đâu "-i" là tên giao diện như hình trên. "-p" có nghĩa là nó đang ở chế độ lăng nhăng. "-o" có nghĩa là đầu ra sẽ được lưu trong một tệp.

Mở trang web có địa chỉ 192.168.1.2

Từ kết quả, bạn có thể thấy rằng Máy chủ web đang sử dụng apache 2.x và Hệ điều hành là Debian.

pdf-parser

pdf-parser là công cụ phân tích cú pháp tài liệu PDF để xác định các yếu tố cơ bản được sử dụng trong tệp pdf được phân tích. Nó sẽ không hiển thị tài liệu PDF. Nó không được khuyến khích cho trường hợp sách văn bản cho trình phân tích cú pháp PDF, tuy nhiên nó sẽ hoàn thành công việc. Nói chung, điều này được sử dụng cho các tệp pdf mà bạn nghi ngờ có tập lệnh được nhúng trong đó.

Lệnh là -

pdf-parser  -o 10 filepath

trong đó "-o" là số đối tượng.

Như bạn có thể thấy trong ảnh chụp màn hình sau, tệp pdf mở một lệnh CMD.

Dumpzilla

Ứng dụng Dumpzilla được phát triển bằng Python 3.x và có mục đích trích xuất tất cả thông tin thú vị về pháp y của các trình duyệt Firefox, Iceweasel và Seamonkey để phân tích.

ddrescue

Nó sao chép dữ liệu từ một tệp hoặc thiết bị chặn (đĩa cứng, cdrom, v.v.) sang một tệp khác, cố gắng giải cứu các phần tốt trước trong trường hợp đọc lỗi.

Hoạt động cơ bản của ddrescue là hoàn toàn tự động. Tức là, bạn không phải đợi lỗi, dừng chương trình, khởi động lại từ vị trí mới, v.v.

Nếu bạn sử dụng tính năng mapfile của ddrescue, dữ liệu được giải cứu rất hiệu quả (chỉ những khối cần thiết mới được đọc). Ngoài ra, bạn có thể ngắt quá trình cứu hộ bất kỳ lúc nào và tiếp tục lại sau tại cùng một thời điểm. Mapfile là một phần thiết yếu tạo nên hiệu quả của ddrescue. Sử dụng nó trừ khi bạn biết mình đang làm gì.

Dòng lệnh là -

dd_rescue infilepath  outfilepath

Tham số "–v" nghĩa là dài dòng. "/dev/sdb"là thư mục sẽ được giải cứu. Cácimg file là hình ảnh được phục hồi.

DFF

Nó là một công cụ pháp y khác được sử dụng để khôi phục các tệp. Nó cũng có GUI. Để mở nó, hãy nhập“dff-gui” trong thiết bị đầu cuối và GUI web sau sẽ mở ra.

Nhấp vào Tệp → “Mở Bằng chứng”.

Bảng sau sẽ mở ra. Chọn “Định dạng thô” và nhấp vào “+” để chọn thư mục bạn muốn khôi phục.

Sau đó, bạn có thể duyệt các tệp ở bên trái của ngăn để xem những gì đã được khôi phục.