Outils médico-légaux de Kali Linux Top

Dans le monde numérique actuel, chaque individu, ainsi qu'une organisation, sont liés à des attaques externes et à des violations de sécurité par un cyberattaquant. Pour déterminer comment l'attaque a été réalisée et comment réagir à l'attaque est réalisée en utilisant la médecine légale numérique. Avec le Kali Linux lancé en 2013, la zone médico-légale numérique a beaucoup évolué. Plus de 600 outils de test de pénétration sont emballés dans Kali Linux. Nous allons présenter 14 meilleurs outils pour la médecine légale emballée à l'intérieur de Kali Linux. Outils médico-légaux de Kali Linux vous permettent de réaliser des solutions de base de problèmes, des solutions d'imagerie des données jusqu'à l'analyse et la gestion de cas complètes.

Figure 1: Kali Linux

Généralement, lors de l'exécution de la criminalistique sur un système informatique, toute activité qui peut changer ou modifier l'analyse des données du système doit être évité. D'autres bureaux modernes interfèrent généralement avec cet objectif, mais avec Kali Linux via le menu de démarrage, vous pouvez activer un mode de médecine légale spéciale.

Outil Binwalk:

Binwalk est un outil médico-légal de Kali qui recherche une image binaire spécifiée pour le code et les fichiers exécutables. Il identifie tous les fichiers intégrés dans n'importe quelle image du micrologiciel. Il utilise une bibliothèque très efficace connue sous le nom de «Libmagic».

Figure 2: outil Binwalk CLI

Outil d'extracteur en vrac:

Les extraits d'outils d'extracteur en vrac extraient les numéros de carte de crédit, les liens d'URL, les adresses e-mail, qui sont utilisées des preuves numériques. Cet outil vous permet d'identifier les attaques de logiciels malveillants et d'intrusion, les enquêtes d'identité, les cyber-vulnérabilités et la fissuration du mot de passe. La spécialité de cet outil est que non seulement il fonctionne avec des données normales, mais qu'elle fonctionne également sur des données compressées et des données incomplètes ou endommagées.

Figure 3: outil de ligne de commande d'extracteur en vrac

Outil Hashdeep:

L'outil Hashdeep est une version modifiée de l'outil de hachage DC3DD conçu spécialement pour la criminalistique numérique. Cet outil comprend le hachage automatique des fichiers, je.e., Sha-1, SHA-256 et 512, Tiger, Whirlpool et MD5. Un fichier journal d'erreur est écrit automatiquement. Les rapports d'étape sont générés à chaque sortie.

Figure 4: outil d'interface Hashdeep CLI.

Outil de sauvetage magique:

Magic Rescue est un outil médico-légal qui effectue des opérations de numérisation sur un appareil bloqué. Cet outil utilise des octets magiques pour extraire tous les types de fichiers connus de l'appareil. Cela ouvre des appareils pour numériser et lire les types de fichiers et affiche la possibilité de récupérer des fichiers supprimés ou corrompus. Il peut fonctionner avec chaque système de fichiers.

Figure 5: outil d'interface de ligne de commande magique de sauvetage

Outil Scalpel:

Cet outil médico-légal sculpte tous les fichiers et index les applications qui s'exécutent sur Linux et Windows. L'outil Scalpel prend en charge l'exécution de multithreading sur plusieurs systèmes de base, ce qui aide à des exécutions rapides. La sculpture de fichiers est effectuée dans des fragments tels que des expressions régulières ou des cordes binaires.

Figure 6: outil de sculpture médico-légale du scalpel

Outil SCROUNGE-NTFS:

Cet utilitaire médico-légal aide à récupérer les données des disques ou partitions NTFS corrompus. Il sauve les données d'un système de fichiers corrompu à un nouveau système de fichiers de travail.

Figure 7: outil de récupération des données médico-légale

Outil de Gumager:

Cet utilitaire médico-légal est utilisé pour acquérir des médias pour l'imagerie médico-légale et a une interface utilisateur graphique. En raison de son traitement et de sa compression de données multiples, c'est un outil très rapide. Cet outil prend également en charge le clonage. Il génère des images plates, AFF et EWF. L'interface utilisateur est très facile à utiliser.

Figure 8: Utilitaire médico-légal de Gumageur GUI

Outil PDFID:

Cet outil médico-légal est utilisé dans les fichiers PDF. L'outil analyse les fichiers PDF pour des mots clés spécifiques, qui vous permet d'identifier les codes exécutables lors de l'ouverture. Cet outil résout les problèmes de base associés aux fichiers PDF. Les fichiers suspects sont ensuite analysés avec l'outil PDF-Parser.

Figure 9: utilitaire d'interface de ligne de commande PDFID

Outil PDF-PARSER:

Cet outil est l'un des outils médico-légaux les plus importants pour les fichiers PDF. PDF-PARSER analyse un document PDF et distingue les éléments importants utilisés lors de son analyse, et cet outil ne rend pas ce document PDF.

Figure 10: outil médico-légal PDF-Parser CLI

Outil PEEPDF:

Un outil Python qui explore les documents PDF pour découvrir s'il est inoffensif ou destructeur. Il fournit tous les éléments nécessaires pour effectuer une analyse PDF dans un seul package. Il montre des entités suspectes et soutient divers codages et filtres. Il peut également analyser les documents cryptés.

Figure 11: outil Peepdf Python pour l'enquête PDF.

Outil d'autopsie:

Une autopsie est tout en un seul utilitaire médico-légal pour une récupération rapide des données et un filtrage de hachage. Cet outil sculpte les fichiers et les supports supprimés de l'espace non alloué à l'aide de Photorec. Il peut également extraire le multimédia d'extension exif. Analyses d'autopsie pour indicateur de compromis à l'aide de la bibliothèque STIX. Il est disponible dans la ligne de commande ainsi que l'interface GUI.

Figure 12: Autopsie, tout en un paquet d'utilité médico-légale

Outil IMG_CAT:

L'outil IMG_CAT donne le contenu de sortie d'un fichier image. Les fichiers d'image récupérés auront des méta-données et des données intégrées, ce qui vous permet de les convertir en données brutes. Ces données brutes aident à tuyaux la sortie pour calculer le hachage MD5.

Figure 13: Données intégrées IMG_CAT à la récupération des données brutes et au convertisseur.

Outil ICAT:

ICAT est un outil de kit Sleuth (TSK) qui crée une sortie d'un fichier basé sur son identifiant ou son numéro d'inode. Cet outil médico-légal est ultra-rapide, et il ouvre les images du fichier nommées et la copie à la sortie standard avec un numéro d'inode spécifique. Un inode est l'une des structures de données du système Linux qui stocke les données et les informations sur un fichier Linux tels que la propriété, la taille du fichier et le type, l'écriture et la lecture des autorisations.

Figure 14: outil d'interface basé sur la console ICAT

Outil SRCH_STRINGS:

Cet outil recherche des chaînes ASCII et Unicode viables à l'intérieur des données binaires, puis imprime la chaîne de décalage trouvée dans ces données. L'outil SRCH_STRINGS extrait et récupérera les chaînes présentes dans un fichier et donne un octet de décalage si appelé.

Figure 15: outil médico-légal de récupération des chaînes

Conclusion:

Ces 14 outils sont livrés avec Kali Linux Live, et les images d'installation et elles sont open-source et disponibles gratuitement. Dans le cas d'une ancienne version de Kali, alors je suggère une mise à jour de la dernière version pour obtenir ces outils directement. Il existe de nombreux autres outils médico-légaux que nous couvrirons. Voir la partie 2 de cet article ici.