Phenquestions
Introducere
Ultima dată, am acoperit 14 instrumente criminalistice care sunt prezente în Kali Linux și le-am explicat scopul și capacitățile speciale. Astăzi, vom prezenta 14 instrumente criminalistice, care provin dintr-o bibliotecă renumită, „The Sleuth Kit” (TSK), ambalate în actualizarea 2020 a Kali Linux. Puteți găsi aceste instrumente în lista drop-down Forensics sub numele Sleuth Kit Suite tools din Kali Whisker Menu.
blkcalc
Instrumentul blkcalc este un instrument criminalistic care convertește punctele de disc nealocate în punctele de disc obișnuite. Acest program creează un număr de punct care mapează două imagini. Una dintre aceste imagini este normală, iar cealaltă conține numere punctuale nealocate ale primei imagini. Acest instrument poate suporta multe tipuri de sisteme de fișiere. Dacă un sistem de fișiere nu este definit la început, blkcalc are caracteristica unică a metodelor de detectare automată pentru a găsi tipul de sistem de fișiere.
tsk_comparedir
Cu ajutorul instrumentului tsk_comparedir, conținutul imaginii este comparat cu conținutul directorului de comparație. Acesta este cel mai bun instrument în faza de testare pentru identificarea rootkiturilor (cod sau fișiere rău intenționate). Testul rootkit se efectuează prin compararea conținutului directorului local cu un dispozitiv raw local. Aceste rootkit-uri nu sunt ascunse atunci când sunt accesate și citite de pe un dispozitiv brut.
tsk_gettimes
Instrumentul criminalistic tsk_gettimes se bazează pe o bibliotecă de kit-uri. Acest instrument colectează timpul MAC (bucăți de metadate ale sistemului de fișiere) dintr-o imagine de disc specificată și convertește timpul într-un fișier corp. Instrumentul tsk_gettimes examinează fiecare sistem de fișiere dintr-o partiție sau imagine de disc și procesează datele din interior. Ieșirea acestui instrument este datele imaginilor de disc într-un format de corp de timp MAC, care pot fi apoi utilizate ca intrare în sistem pentru a genera o cronologie a activității fișierului. Datele sunt apoi tipărite ca fișier prin comanda STDOUT.
blkcat
Instrumentul blkcat este un instrument criminalistic rapid și eficient, ambalat în interiorul Kali. Scopul acestui instrument este de a afișa conținutul datelor stocate în imaginea discului unui sistem de fișiere. Ieșirea afișează numărul de unități de date, începând cu adresa principală a unității și tipărește, în diferite formate care pot fi specificate și sortate. În mod implicit, formatul de ieșire este raw și se mai numește dcat.
tsk_loaddb
Instrumentul tsk_loaddb încarcă metadatele din imaginea discului într-o bază de date SQLite, care este o bază de date utilizabilă pentru analiza altor instrumente software. Baza de date este stocată în directorul de imagini pentru acces ușor. Acest instrument acceptă multe sisteme de fișiere și poate calcula valoarea hash MD5 pentru fiecare fișier.
blkstat
Instrumentul pentru kitul de bluthstat afișează toate informațiile referitoare la unitățile de date ale unui sistem de fișiere. Acest instrument returnează date despre starea de alocare a unui bloc sau a unui sector al unui sistem de fișiere. Acest instrument poate utiliza comanda addr, care arată statisticile unei bucăți de date și se numește și dstat.
ffind
Instrumentul ffind folosește un inod pentru a căuta numele directorului sau fișierului într-o imagine de disc. Fișierele atribuite unui identificator de fișier inode pe o partiție de disc au nume; implicit, acest instrument va returna doar prenumele pe care îl găsește. Instrumentul ffind poate găsi chiar și nume de fișiere șterse, care este capacitatea specială a acestui instrument. În plus, instrumentul ffind poate găsi, de asemenea, mai multe nume de fișiere.
hfind
Instrumentul hfind caută valori hash în bazele de date hash. Valorile hash sunt căutate utilizând algoritmul de căutare binară. Scopul utilizării acestui algoritm este de a permite utilizatorilor să creeze cu ușurință baze de date hash și să identifice rapid un fișier, indiferent dacă este cunoscut sau necunoscut. Acest instrument folosește biblioteca NSRL și returnează md5sum. Acest instrument este foarte eficient, deoarece creează un fișier index care este deja sortat și are intrări cu lungime fixă, ceea ce face căutarea foarte rapidă.
fls
Numele fls implică termenul „ls”, care înseamnă listarea conținutului unui folder. Instrumentul fls listează toate numele fișierelor și directoarele dintr-un fișier imagine și poate afișa chiar numele fișierelor care au fost eliminate recent. Dacă identificatorul sau inodul de fișier nu este utilizat, atunci se utilizează directorul rădăcină.
mmcat
Instrumentul mmcat este un instrument criminalistic care returnează conținutul unei partiții prin funcția de imprimare. Acest instrument extrage toate datele dintr-o partiție într-un fișier separat.
sigfind
Acest instrument găsește semnătura binară prezentă într-un fișier. Această semnătură binară se numește hex_signature, care este prezentă în fiecare fișier. Acest instrument poate fi folosit pentru a găsi superblocuri pierdute, partiții sau tabele de imagini și sectoare de pornire. Formatul hexazecimal ar trebui utilizat pentru a găsi semnătura binară.
găsesc
Acest instrument caută structura de date brută a unui fișier, care este alocată într-o anumită unitate de disc sau nume de fișier. Uneori, oricare dintre aceste structuri de meta-date poate fi nealocată, dar acest instrument va obține în continuare rezultatele.
sortator
Instrumentul de sortare este un instrument de script „perl” care efectuează sortarea pe un sistem de fișiere pentru a-l aranja în fișiere alocate și nealocate, pe baza tipului de fișier. Acest instrument execută o comandă pe fiecare fișier și sortează fișierele în funcție de fișierele de configurare. Tipurile de fișiere includ fișiere ascunse, fișiere hash pentru baze de date hash, fișiere despre care se știe că sunt bune și cele care ar trebui schimbate. Fișierele de configurare utilizate, în mod implicit, sunt preluate din locul în care este instalat instrumentul, dar acest lucru poate fi modificat cu decizii în timpul rulării.
tsk_recover
Acest instrument transferă fișiere dintr-o partiție de disc într-un director rădăcină local. Fișierele recuperate sunt, în mod implicit, numai fișiere nealocate. Prin anumite comenzi, toate fișierele pot fi exportate.
Concluzie
Aceste 14 instrumente sunt livrate împreună cu Kali Linux live, precum și imagini de instalare și sunt open-source și disponibile gratuit. Aceste instrumente pot fi găsite în meniul Kali whisker dintr-un folder numit Sleuth Kit Suite. Instrumentele primesc actualizări frecvente de la TSK pentru remedieri minore ale erorilor.
