Kali Linux 'En direct' Fournit un mode médico-légal où vous pouvez simplement brancher un USB contenant un Kali ISO. Chaque fois qu'un besoin médico-légal se produit, vous pouvez faire ce dont vous avez besoin sans rien installer en utilisant le Kali Linux Live (mode médico-légal). Le démarrage en kali (mode médico-légal) ne monte pas les disques durs du système, donc les opérations que vous effectuez sur le système ne laissent aucune trace.
Comment utiliser Kali's Live (mode médico-légal)
Pour utiliser «Kali's Live (mode médico-légal)», vous aurez besoin d'un lecteur USB contenant Kali Linux ISO. Pour en faire un, vous pouvez suivre les directives officielles de la sécurité offensive
Après avoir préparé l'USB en direct Kali Linux, branchez-le et redémarrez votre PC pour entrer le chargeur de démarrage. Là, vous trouverez un menu comme celui-ci:
Cliquer sur le Live (mode médico-légal) vous emmènera directement dans le mode médico-légal contenant les outils et packages requis pour vos besoins médico-légaux. Dans cet article, nous examinerons comment organiser votre processus de criminalistique numérique en utilisant le Live (mode médico-légal).
Copie de données
La criminalistique nécessite l'imagerie des lecteurs de systèmes contenant des données. La première chose que nous devons faire est de faire une copie un peu par bit du fichier, du disque dur ou de tout autre type de données sur lesquelles nous devons effectuer la criminalistique. C'est une étape très cruciale parce que si cela est mal fait, alors tout le travail peut être gaspillé.
Les sauvegardes régulières d'un lecteur ou d'un fichier ne fonctionnent pas pour nous (les enquêteurs médico-légaux). Ce dont nous avons besoin est une copie un peu par bite des données sur le lecteur. Pour ce faire, nous utiliserons ce qui suit dd commande:
root @ kali: ~ $ dd if =
Nous devons faire une copie du lecteur SDA1, Nous utiliserons donc la commande suivante. Il fera une copie de SDA1 à sda2 512 Byes à la fois.
root @ kali: ~ $ dd if = / dev / sda1 de = / dev / sda2 bs = 512
Hachage
Avec notre copie du lecteur, n'importe qui peut remettre en question son intégrité et pourrait penser que nous avons placé le lecteur intentionnellement. Pour générer une preuve que nous avons le lecteur d'origine, nous utiliserons le hachage. Hachage est utilisé pour assurer l'intégrité de l'image. Le hachage fournira un hachage pour un lecteur, mais si un seul morceau de données est modifié, le hachage changera et nous saurons s'il a été remplacé ou est l'original. Pour assurer l'intégrité des données et que personne ne peut remettre en question son originalité, nous copierons le disque et générerons un hachage MD5.
Tout d'abord, ouvert dcfldd à partir de la boîte à outils médico-légale.
Le dcfld L'interface ressemblera à ceci:
Maintenant, nous utiliserons la commande suivante:
root @ kali: ~ $ dcfldd if = / dev / sda de = / média / image.hash dd = md5 bs = 512
/ dev / sda: le lecteur que vous souhaitez copier
/ média / image.DD: l'emplacement et le nom de l'image que vous souhaitez qu'il copie
hash = md5: le hachage que vous souhaitez générer E.G MD5, SHA1, SHA2, etc. Dans ce cas, c'est MD5.
BS = 512: Nombre d'octets à copier à la fois
Une chose que nous devons savoir, c'est que Linux ne fournit pas de noms de lecteurs avec une seule lettre comme dans Windows. Dans Linux, les disques durs sont séparés par HD désignation, comme avait, hdb, etc. Pour SCSI (petite interface du système informatique), c'est SD, SBA, SDB, etc.
Maintenant, nous avons la copie bits d'un lecteur sur lequel nous voulons effectuer la criminalistique. Ici, les outils médico-légaux seront en jeu, et toute personne ayant une connaissance de l'utilisation de ces outils et peut fonctionner avec elles.
Outils
Le mode médico-légal contient déjà des kits et packages d'outils open source célèbres à des fins médico-légales. Il est bon de comprendre la médecine légale pour inspecter le crime et revenir en arrière à celui qui l'a fait. Toute connaissance de l'utilisation de ces outils serait utile. Ici, nous prendrons un aperçu rapide de certains outils et comment se familiariser avec eux
Autopsie
L'autopsie est un outil utilisé par les militaires, les forces de l'ordre et les différentes agences lorsqu'il y a un besoin médico-légal. Ce bundle est probablement l'un des plus puissants accessibles via open-source, il consolide les fonctionnalités de nombreux autres paquets plus lits qui sont progressivement engagés dans leur méthodologie dans une application impeccable avec une interface utilisateur basée sur un navigateur Internet.
Pour utiliser l'autopsie, ouvrez n'importe quel navigateur et type: http: // localhost: 9999 / autopsie
Maintenant, que diriez-vous d'ouvrir un programme et d'explorer l'emplacement ci-dessus. Cela nous amènera essentiellement au serveur Web à proximité sur notre framework (localhost) et arrivera au port 9999 où l'autopsie fonctionne. J'utilise le programme par défaut à Kali, Iceweasel. Lorsque j'explore cette adresse, j'obtiens une page comme celle vue ci-dessous:
Ses fonctionnalités incorporent - Investigation de chronologie, recherche de mots clés, séparation de hachage, sculpture de données, médias et marqueurs d'une bonne affaire. L'autopsie accepte les images disques dans les formats RAW OE EO1 et donne des résultats dans le format requis généralement dans les formats XML, HTML.
Binwalk
Cet outil est utilisé lors de la gestion des images binaires, il a la capacité de trouver le document inséré et le code exécutable en enquêtant sur le fichier image. C'est un atout incroyable pour ceux qui savent ce qu'ils font. Lorsqu'il est utilisé à droite, vous pouvez très bien découvrir des données délicates couvertes d'images du micrologiciel qui pourraient révéler un piratage ou être utilisées pour découvrir une clause d'évasion pour abuser.
Cet outil est écrit en Python et il utilise la bibliothèque Libmagic, ce qui le rend idéal pour une utilisation avec des marques d'enchantement conçues pour Unix Record Utility. Pour simplifier les choses pour les examinateurs, il contient un enregistrement de signature d'enchantement qui contient les marques les plus découvertes dans le firmware, ce qui le rend plus simple pour repérer les incohérences.
Ddrescue
Il reproduit les informations d'un document ou d'un gadget carré (disque dur, CD-ROM, etc.) à un autre, en essayant de protéger les grandes parties d'abord s'il devait survenir une occurrence d'erreurs de lecture.
L'activité essentielle de la DDResCue est complètement programmée. Autrement dit, vous n'avez pas besoin de vous asseoir serré pour une erreur, d'arrêter le programme et de le redémarrer dans une autre position. Si vous utilisez le point culminant de MapFile de DDRESCUe, les informations sont enregistrées avec compétence (juste les carrés requis sont pertinents). De même, vous pouvez vous introduire sur le sauvetage à chaque fois et le continuer plus tard à un moment similaire. Le MapFile est un élément de base de la viabilité de DDRESCUe. Utilisez-le sauf si vous savez ce que vous faites.
Pour l'utiliser, nous utiliserons la commande suivante:
root @ kali: ~ $ dd_rescue
Dumpzilla
L'application Dumpzilla est créée dans Python 3.x et est utilisé pour extraire les données mesurables et fascinantes des programmes de Firefox, de la bénière glacée et de la clé à examiner. À cause de son python 3.x tournant des événements, il ne fonctionnera probablement pas de manière appropriée dans les anciennes formes Python avec des caractères spécifiques. L'application fonctionne dans une interface de ligne de commande, afin que les vidages de données puissent être détournés par des tuyaux avec des appareils; Par exemple, grep, awk, coupé, sed. Dumpzilla permet aux utilisateurs d'imaginer les domaines suivants, de rechercher la personnalisation et de se concentrer sur certaines zones:
Avant toute chose
Effacer des documents qui peuvent aider à démêler un épisode informatisé? Oublie ça! Le premier est un paquet d'ouverture simple à utiliser qui peut couper les informations des cercles disposés. Le nom de fichier lui-même ne sera probablement pas récupéré, mais les informations qu'il détient peuvent être découpées. Le premier peut récupérer JPG, PNG, BMP, JPEG, EXE, MPG, OLE, RAR, PDF et de nombreux autres types de fichiers.
: ~ $ avant tout -h
Version la plus importante 1.5.7 par Jesse Kornblum, Kris Kendall et Nick Mikus.
$ avant tout [-v | -v | -H | -T | -Q | -Q | -A | -W-D] [-T]]
[-s] [-K ]]
[-B] [-C ] [-o ] [-je -V - Afficher les informations sur le droit d'auteur et la sortie
-T - Spécifiez le type de fichier. (-t jpeg, pdf…)
-D - Allumez la détection de blocs indirecte (pour les systèmes de fichiers UNIX)
-I - Spécifiez le fichier d'entrée (par défaut est stdin)
-A - Écrivez tous les en-têtes, effectuez aucune détection d'erreur (fichiers corrompus)
-w - Écrivez uniquement le fichier d'audit, n'écrivez aucun fichier détecté sur le disque
-O - Définir le répertoire de sortie (par défaut sur la sortie)
-C - Définissez le fichier de configuration à utiliser (par défaut.conf)
-Q - Active le mode rapide. Les recherches sont effectuées sur des limites de 512 octets.
-Q - Active le mode silencieux. Supprimer les messages de sortie.
-V - mode verbeux. Enregistre tous les messages à l'écranExtracteur en vrac
Il s'agit d'un outil exceptionnellement utile lorsqu'un examinateur espère séparer les informations spécifiques de l'enregistrement de preuve informatisé, cet appareil peut couper les adresses e-mail, les URL, les numéros de carte de versement, etc. Cet outil prend une chance sur les catalogues, les fichiers et les images de disque. Les informations peuvent être à moitié ruinées, ou elle a tendance à être compacte. Cet appareil découvrira son chemin.
Cette fonctionnalité comprend des faits saillants qui aident à faire un exemple dans les informations trouvées à maintes reprises, par exemple, les URL, les identifiants de messagerie et plus encore et les présente dans un groupe d'histogramme. Il a un composant par lequel il fait une liste de mots à partir des informations découvertes. Cela peut aider à diviser les mots de passe des documents brouillés.
Analyse RAM
Nous avons vu une analyse de mémoire sur les images du disque dur, mais parfois, nous devons capturer les données de la mémoire en direct (RAM). N'oubliez pas que la RAM est une source de mémoire volatile, ce qui signifie qu'elle perd ses données comme des prises ouvertes, des mots de passe, des processus en cours d'exécution dès qu'il est désactivé.
L'une des nombreuses bonnes choses à propos de l'analyse de la mémoire est la capacité de recréer ce que faisait le suspect au moment d'un accident. L'un des outils les plus célèbres pour l'analyse de la mémoire est Volatilité.
Dans Live (mode de médecine légale), Tout d'abord, nous naviguerons vers Volatilité en utilisant la commande suivante:
root @ kali: ~ $ cd / usr / share / volatilitéComme la volatilité est un script Python, entrez la commande suivante pour voir le menu d'aide:
root @ kali: ~ $ python vol.py -hAvant de travailler sur cette image de mémoire, nous devons d'abord accéder à son profil en utilisant la commande suivante. L'image de profil aide volatilité Pour savoir où réside dans la mémoire, les informations importantes résident. Cette commande examinera le fichier de mémoire pour des preuves du système d'exploitation et des informations clés:
root @ kali: ~ $ python vol.py imageinfo -f =Volatilité est un puissant outil d'analyse de mémoire avec des tonnes de plugins qui nous aideront à enquêter sur ce que faisait le suspect au moment de la crise informatique.
Conclusion
La médecine légale devient de plus en plus essentielle dans le monde numérique d'aujourd'hui, où chaque jour, de nombreux crimes sont commis à l'aide de la technologie numérique. Avoir des techniques médico-légales et des connaissances dans votre arsenal est toujours un outil extrêmement utile pour lutter contre la cybercriminalité sur votre propre gazon.
Kali est équipé des outils nécessaires pour effectuer la criminalistique et en utilisant Live (mode médico-légal), Nous n'avons pas à le garder dans notre système tout le temps. Au lieu de cela, nous pouvons simplement faire un USB en direct ou avoir Kali ISO prêt dans un appareil périphérique. Dans le cas où les besoins médico-légaux se produisent, nous pouvons simplement brancher l'USB, passer à Live (mode médico-légal) Et faites le travail en douceur.