Phenquestions
Wprowadzenie
Ostatnim razem omówiliśmy 14 narzędzi kryminalistycznych, które są obecne w Kali Linux i wyjaśniliśmy ich przeznaczenie i specjalne możliwości. Dzisiaj zaprezentujemy 14 narzędzi kryminalistycznych, które pochodzą ze słynnej biblioteki „The Sleuth Kit” (TSK), umieszczonej w aktualizacji Kali Linux 2020. Możesz znaleźć te narzędzia na liście rozwijanej Forensics pod nazwą Narzędzia Sleuth Kit Suite w Kali Whisker Menu.
blkcalc
Narzędzie blkcalc to narzędzie kryminalistyczne, które konwertuje nieprzydzielone punkty na dysku na zwykłe punkty na dysku. Ten program tworzy numer punktu, który mapuje dwa obrazy. Jeden z tych obrazów jest normalny, a drugi zawiera nieprzydzielone numery punktów pierwszego obrazu. To narzędzie może obsługiwać wiele typów systemów plików. Jeśli system plików nie jest zdefiniowany na początku, blkcalc ma unikalną funkcję metod automatycznego wykrywania, aby znaleźć typ systemu plików.
tsk_comparedir
Za pomocą narzędzia tsk_comparedir zawartość obrazu jest porównywana z zawartością katalogu porównania. To najlepsze narzędzie w fazie testów do identyfikacji rootkitów (złośliwego kodu lub plików). Test rootkita jest wykonywany przez porównanie zawartości katalogu lokalnego z lokalnym urządzeniem surowym. Te rootkity nie są ukryte, gdy są otwierane i odczytywane z surowego urządzenia.
tsk_gettimes
Narzędzie kryminalistyczne tsk_gettimes jest oparte na bibliotece zestawu sleuth. To narzędzie zbiera czasy MAC (części metadanych systemu plików) z określonego obrazu dysku i konwertuje czasy na plik treści. Narzędzie tsk_gettimes sprawdza każdy system plików na partycji dysku lub obrazie i przetwarza zawarte w nim dane. Dane wyjściowe tego narzędzia to dane obrazu dysku w formacie czasowym MAC, które można następnie wykorzystać jako dane wejściowe do systemu w celu wygenerowania chronologii aktywności pliku. Dane są następnie drukowane jako plik za pomocą polecenia STDOUT.
blkcat
Narzędzie blkcat jest szybkim i wydajnym narzędziem kryminalistycznym umieszczonym wewnątrz Kali. Celem tego narzędzia jest wyświetlenie zawartości danych przechowywanych w obrazie dysku systemu plików. Wyjście wyświetla liczbę jednostek danych, zaczynając od głównego adresu jednostki i drukuje w różnych formatach, które można określić i posortować. Domyślnie format wyjściowy jest surowy i jest również nazywany dcat.
tsk_loaddb
Narzędzie tsk_loaddb ładuje metadane z obrazu dysku do bazy danych SQLite, która jest użyteczną bazą danych do analizy przez inne narzędzia programowe. Baza danych jest przechowywana w katalogu obrazów dla łatwego dostępu. To narzędzie obsługuje wiele systemów plików i może obliczyć wartość skrótu MD5 dla każdego pliku.
blkstat
Narzędzie sleuth kit blkstat wyświetla wszystkie informacje dotyczące jednostek danych systemu plików. To narzędzie zwraca dane o stanie alokacji bloku lub sektora systemu plików. To narzędzie może korzystać z polecenia addr, które pokazuje statystyki fragmentu danych i jest również nazywane dstat.
znaleźć
Narzędzie do wyszukiwania używa i-węzła do wyszukiwania nazwy katalogu lub pliku w obrazie dysku disk. Pliki przypisane do identyfikatora pliku i-węzła na partycji dyskowej mają nazwy; domyślnie to narzędzie zwróci tylko znalezione imię. Narzędzie do wyszukiwania może nawet znaleźć usunięte nazwy plików, co jest specjalną funkcją tego narzędzia. Ponadto narzędzie do znajdowania może również znaleźć wiele nazw plików.
znaleźć
Narzędzie hfind wyszukuje wartości hash w bazach danych hash. Wartości skrótu są przeszukiwane za pomocą algorytmu wyszukiwania binarnego. Celem stosowania tego algorytmu jest umożliwienie użytkownikom łatwego tworzenia baz danych hash i szybkiej identyfikacji pliku, niezależnie od tego, czy jest znany, czy nieznany. To narzędzie korzysta z biblioteki NSRL i zwraca md5sum. To narzędzie jest bardzo wydajne, ponieważ tworzy plik indeksu, który jest już posortowany i ma wpisy o stałej długości, co sprawia, że wyszukiwanie jest bardzo szybkie.
fls
Nazwa fls zawiera termin „ls”, który oznacza listę zawartości folderu. Narzędzie fls wyświetla listę wszystkich nazw plików i katalogów w pliku obrazu, a nawet może wyświetlać nazwy plików, które zostały niedawno usunięte. Jeśli identyfikator pliku lub i-węzeł nie jest używany, używany jest katalog główny.
mmcat
Narzędzie mmcat to narzędzie śledcze, które zwraca zawartość partycji za pomocą funkcji drukowania print. To narzędzie wyodrębnia wszystkie dane z partycji do osobnego pliku.
odnalezienie
To narzędzie wyszukuje binarny podpis obecny w pliku. Ten binarny podpis nazywa się hex_signature, który jest obecny w każdym pliku. To narzędzie może być używane do wyszukiwania utraconych superbloków, partycji lub tabel obrazów oraz sektorów rozruchowych. Do znalezienia podpisu binarnego należy użyć formatu szesnastkowego.
znajduję
To narzędzie wyszukuje surową strukturę danych pliku, który jest przydzielony do określonej jednostki dyskowej lub nazwy pliku file. Czasami każda z tych struktur metadanych może być nieprzydzielona, ale to narzędzie nadal będzie uzyskiwać wyniki.
sorter
Narzędzie sortujące to narzędzie skryptowe „perla”, które wykonuje sortowanie w systemie plików w celu uporządkowania go na przydzielone i nieprzydzielone pliki, w oparciu o typ pliku. To narzędzie uruchamia polecenie na każdym pliku i sortuje pliki zgodnie z plikami konfiguracyjnymi. Typy plików obejmują pliki ukryte, pliki haszujące dla baz danych haszujących, pliki, o których wiadomo, że są dobre, oraz te, które należy zmienić. Używane pliki konfiguracyjne są domyślnie pobierane z miejsca instalacji narzędzia, ale można to zmienić, podejmując decyzje w czasie wykonywania.
tsk_recover
To narzędzie przenosi pliki z partycji dysku do lokalnego katalogu głównego root. Odzyskane pliki są domyślnie tylko plikami nieprzydzielonymi. Za pomocą niektórych poleceń można wyeksportować wszystkie pliki.
Wniosek
Te 14 narzędzi jest dostarczanych z Kali Linux Live, a także obrazami instalacyjnymi, są one otwarte i dostępne bezpłatnie. Te narzędzia można znaleźć w menu Kali wąsy w folderze o nazwie Sleuth Kit Suite. Narzędzia otrzymują częste aktualizacje od TSK w celu usunięcia drobnych błędów.
