Outils de médecine légale de Kali Linux

Kali Linux est un puissant système d'exploitation spécialement conçu pour les testeurs de pénétration et les professionnels de la sécurité. La plupart de ses fonctionnalités et outils sont fabriqués pour les chercheurs en sécurité et les Pentesters, mais il a un onglet «Forensics» distinct et un mode «Forensics» distinct pour les enquêteurs médico-légaux.

La médecine légale devient très importante dans la cybersécurité pour détecter et revenir en arrière les criminels du chapeau noir. Il est essentiel de retirer les délais malveillants des pirates / Malwares et les retracer pour éviter tout incident futur possible. En mode criminalistique de Kali, le système d'exploitation ne monte aucune partition à partir du disque dur du système et ne laisse aucune modification ou empreinte digitale sur le système de l'hôte.

Kali Linux est livré avec des applications et des outils de médecine médico-légale préinstallées. Ici, nous passerons en revue quelques outils open source célèbres présents dans Kali Linux.

Extracteur en vrac

L'extracteur en vrac est un outil riche en traction qui peut extraire des informations utiles telles que les numéros de carte de crédit, les noms de domaine, les adresses IP, les e-mails, les numéros de téléphone et les URL à partir de preuves, Drives / fichiers durs trouvés lors de l'enquête médico-légale. Il est utile pour analyser l'image ou les logiciels malveillants, contribue également à la cyberintimidation et à la fissuration du mot de passe. Il construit des listes de mots en fonction des informations trouvées à partir de preuves qui peuvent aider à la fissuration du mot de passe.

L'extracteur en vrac est populaire entre autres outils en raison de sa vitesse incroyable, de sa compatibilité à plate-forme multiple et de sa minutie. Il est rapide en raison de ses fonctionnalités multiples et il a la possibilité de scanner tout type de support numérique qui inclut les disques durs, les SSD, les téléphones portables, les caméras, les cartes SD et beaucoup d'autres types.

L'extracteur en vrac a des fonctionnalités intéressantes suivantes qui le rendent plus préférable,

• Il a une interface utilisateur graphique appelée «Visionneuse extracteur en vrac» qui est utilisée pour interagir avec l'extracteur en vrac
• Il a plusieurs options de sortie comme l'affichage et l'analyse des données de sortie en histogramme.
• Il peut être facilement automatisé en utilisant Python ou d'autres langues de script.
• Il est livré avec des scripts pré-écrits qui peuvent être utilisés pour effectuer une analyse supplémentaire
• Son multithread peut être plus rapide sur les systèmes avec plusieurs cœurs de processeur.

root @ azad: ~ # bulk_extractor - help
Utilisation: bulk_extractor [Options] ImageFile
Exécute l'extracteur en vrac et les sorties pour stdout un résumé de ce qui a été trouvé où
Paramètres requis:
ImageFile - le fichier à extraire
ou -r filedir - reproduire via un répertoire de fichiers
A pris en charge les fichiers E01
A pris en charge les fichiers AFF
-O Outdir - Spécifie le répertoire de sortie. Ne doit pas exister.
bulk_extractor crée ce répertoire.
Options:
-i - mode info. Faites un échantillon aléatoire rapide et imprimez un rapport.
-bannière B.txt- ajouter une bannière.Txt Contenu en haut de chaque fichier de sortie.
-r alert_list.TXT - Un fichier contenant la liste d'alerte des fonctionnalités à alerter
(peut être un fichier de fonctionnalité ou une liste de globs)
(peut être répété.)
-w stop_list.txt - un fichier contenant la liste d'arrêt des fonctionnalités (liste blanche
(peut être un fichier de fonctionnalité ou une liste de globs) s
(peut être répété.)
-F - Lire une liste d'expressions régulières de trouver
-F - trouver des occurrences de ; Peut être répété.
Les résultats vont dans la recherche.SMS
… Snip…
Exemple d'utilisation
root @ azad: ~ # bulk_extractor -o Secret de sortie.IMG

Autopsie

L'autopsie est une plate-forme utilisée par les cyber-enquêteurs et les applications de la loi pour mener et signaler les opérations médico-légales. Il combine de nombreux services publics individuels utilisés pour la criminalistique et la récupération et leur fournit une interface utilisateur graphique.

L'autopsie est un produit open source, gratuit et multiplateforme qui est disponible pour Windows, Linux et d'autres systèmes d'exploitation basés sur UNIX. L'autopsie peut rechercher et étudier les données à partir de disques durs de plusieurs formats, notamment Ext2, Ext3, FAT, NTFS et autres.

Il est facile à utiliser et il n'est pas nécessaire d'installer dans Kali Linux car il est expédié avec préinstallé et préconfiguré.

Dumpzilla

Dumpzilla est un outil de ligne de commande multiplateforme écrit en langue Python 3 qui est utilisé pour vider les informations liées à la criminalistique des navigateurs Web. Il n'extrait pas de données ou d'informations, les affiche simplement dans le terminal qui peut être tué, trié et stocké dans des fichiers à l'aide de commandes du système d'exploitation. Actuellement, il ne prend en charge que les navigateurs basés à Firefox comme Firefox, Seamonkey, Iceweasel, etc.

Dumpzilla peut obtenir des informations suivantes des navigateurs

• Peut montrer la surf en direct de l'utilisateur dans les onglets / fenêtre.
• Téléchargements, signets et histoires des utilisateurs.
• Formulaires Web (recherches, e-mails, commentaires…).
• Cache / vignettes des sites précédemment visités.
• Addons / extensions et chemins ou URL utilisés.
• Mots de passe enregistrés du navigateur.
• Cookies et données de session.

root @ azad: ~ # dumpzilla - help
Utilisation: Python Dumpzilla.py Browser_Profile_Directory [Options]
Options:
--Tout (montre tout sauf les données DOM. N'extrait pas les miniatures ou HTML 5 hors ligne)
--Cookies [-Showdom -domain -Name -Hostcookie -Access
-Create -SeCure -Httponly -Range_Last -Range_Create
]]
--Autorisations [-Host]
--Téléchargements [-Range]
--Formulaires [-value -Range_forms]
--History [-url -title -Date -Range_history
-fréquence]
--Bookmarks [-Range_Bookmarks]
… Snip…

Framework médico-légal numérique - DFF

DFF est un outil de récupération de fichiers et une plate-forme de développement de la criminalistique écrite en Python et C++. Il a un ensemble d'outils et de script avec la ligne de commande et l'interface utilisateur graphique. Il est utilisé pour effectuer une enquête médico-légale et rassembler et signaler les preuves numériques.

Il est facile à utiliser et peut être utilisé par les cyber-professionnels ainsi que par les débutants pour collecter et préserver les informations sur la criminalité numérique. Ici, nous discuterons de certaines de ses bonnes fonctionnalités

• Peut effectuer la criminalistique et la récupération sur les appareils locaux et distants.
• À la fois la ligne de commande et l'interface utilisateur graphique avec des vues et des filtres graphiques.
• Peut récupérer les partitions et les lecteurs de machines virtuelles.
• Compatible avec de nombreux systèmes de fichiers et formats, y compris Linux et Windows.
• Peut récupérer les fichiers cachés et supprimés.
• Peut récupérer des données à partir de la mémoire temporaire comme le réseau, le processus et etc

root @ azad: ~ # dff -h
DFF
Cadre médico-légal numérique
Usage: / usr / bin / dff [options]
Options:
-V - Version actuelle Affichage actuel
-Interface graphique de lancement G - Graphical
-b - batch = nom de fichier exécute le lot contenu dans le nom de fichier
-l --lang = lang use Lang comme langage d'interface
-h - help afficher ce message d'aide
-D --debug Redirection IO vers la console du système
--verbosité = niveau de niveau de verbosité lors du débogage [0-3]
-c --Config = filepath Utilisez le fichier config à partir de filepath

Avant toute chose

Le premier est un outil de récupération de ligne de commande plus rapide et fiable pour récupérer les fichiers perdus dans les opérations de la criminalité. Le premier a la possibilité de travailler sur les images générées par DD, le refuge, l'encase, etc., ou directement sur un lecteur. Le premier peut récupérer EXE, JPG, PNG, GIF, BMP, AVI, MPG, WAV, PDF, OLE, RAR et beaucoup d'autres types de fichiers.

root @ azad: ~ # avant tout -h
Version la plus importante x.X.X par Jesse Kornblum, Kris Kendall et Nick Mikus.
$ avant tout [-v | -v | -H | -T | -Q | -Q | -A | -W-D] [-T ] [-s ] [-K ]]
[-B ] [-C ] [-o ] [-je -V - Afficher les informations sur le droit d'auteur et la sortie
-T - Spécifiez le type de fichier. (-t jpeg, pdf…)
-D - Allumez la détection de blocs indirecte (pour les systèmes de fichiers UNIX)
-I - Spécifiez le fichier d'entrée (par défaut est stdin)
-A - Écrivez tous les en-têtes, effectuez aucune détection d'erreur (fichiers corrompus)
-w - Écrivez uniquement le fichier d'audit, n'écrivez aucun fichier détecté sur le disque
-O - Définir le répertoire de sortie (par défaut sur la sortie)
-C - Définissez le fichier de configuration à utiliser (par défaut.conf)
… Snip…
Exemple d'utilisation
root @ azad: ~ # avant tout -t exe, jpeg, pdf, png -i fichier-image.dd
Traitement: Image de fichiers.dd
… Snip…

Conclusion

Kali, ainsi que ses célèbres outils de test de pénétration, ont également un onglet entier dédié à la «médecine légale». Il dispose d'un mode distinct de «médecine légale» qui est disponible uniquement pour les USB en direct dans lesquels il ne monte pas les partitions de l'hôte. Kali est un peu préférable aux autres distros médico-légaux tels que Caine en raison de son soutien et de sa meilleure compatibilité.