Introduction
La dernière fois, nous avons couvert 14 outils médico-légaux présents dans Kali Linux et expliqué leur objectif et leurs capacités spéciales. Aujourd'hui, nous allons présenter 14 outils médico-légaux, qui proviennent d'une bibliothèque célèbre, «The Sleuth Kit» (TSK), emballé à l'intérieur de la mise à jour 2020 de Kali Linux. Vous pouvez trouver ces outils dans la liste déroulante Forensics sous le nom de Sleuth Kit Suite Tools dans Kali Whisker Menu.
blkcalc
L'outil Blkcalc est un outil médico-légal qui convertit les points de disque non alloués vers des points de disque ordinaires. Ce programme crée un numéro de point qui mappe deux images. L'une de ces images est normale, et l'autre contient des nombres de points non alloués de la première image. Cet outil peut prendre en charge de nombreux types de systèmes de fichiers. Si un système de fichiers n'est pas défini au début, Blkcalc a la caractéristique unique des méthodes d'autodétection pour trouver le type de système de fichiers.
TSK_COMPAREDIR
Avec l'aide de l'outil TSK_COMPAREDIR, le contenu de l'image est comparé au contenu du répertoire de comparaison. C'est le meilleur outil dans la phase de test pour identifier les rootkits (code malveillant ou fichiers). Le test Rootkit est effectué en comparant le contenu du répertoire local à un appareil brut local. Ces rootkits ne sont pas cachés lorsqu'ils sont accessibles et lus à partir d'un appareil brut.
tsk_gettimes
L'outil médico-légal TSK_GetTimes est basé sur une bibliothèque de kit de détective. Cet outil collectionne le Mac Times (éléments des métadonnées du système de fichiers) à partir d'une image de disque spécifiée et convertit le temps en fichier corporel. L'outil TSK_GETTIMES examine chaque système de fichiers d'une partition ou d'une image de disque et traite les données à l'intérieur. La sortie de cet outil est les données d'image disque dans un format de corps Mac Time, qui peut ensuite être utilisé comme entrée du système pour générer une chronologie de l'activité du fichier. Les données sont ensuite imprimées en tant que fichier via la commande stdout.
blkcat
L'outil BLKCAT est un outil médico-légal rapide et efficace emballé à l'intérieur de Kali. Le but de cet outil est d'afficher le contenu des données stockées dans l'image du disque d'un système de fichiers. La sortie affiche le nombre d'unités de données, en commençant par l'adresse et les impressions principales de l'unité, dans différents formats qui peuvent être spécifiés et triés. Par défaut, le format de sortie est brut, et il est également appelé DCAT.
tsk_loaddb
L'outil TSK_Loaddb charge les métadonnées de l'image du disque dans une base de données SQLite, qui est une base de données utilisable pour l'analyse par d'autres outils logiciels. La base de données est stockée dans le répertoire d'image pour un accès facile. Cet outil prend en charge de nombreux systèmes de fichiers et peut calculer la valeur de hachage MD5 pour chaque fichier.
blkstat
L'outil Sleuth Kit Blkstat affiche toutes les informations concernant les unités de données d'un système de fichiers. Cet outil renvoie des données sur l'état d'allocation d'un bloc ou d'un secteur d'un système de fichiers. Cet outil peut utiliser la commande addr, qui affiche les statistiques d'un élément de données, et est également appelé DSTAT.
ffind
L'outil FFind utilise un inode pour rechercher le nom du répertoire ou du fichier dans une image disque. Les fichiers affectés à un identifiant de fichiers Inode sur une partition de disque ont des noms; Par défaut, cet outil ne renverra que le prénom qu'il trouve. L'outil FFind peut même trouver des noms de fichiers supprimés, qui est la capacité spéciale de cet outil. De plus, l'outil FFind peut également trouver plusieurs noms de fichiers.
hfind
L'outil HFind recherche des valeurs de hachage dans les bases de données de hachage. Les valeurs de hachage sont recherchées à l'aide de l'algorithme de recherche binaire. Le but de l'utilisation de cet algorithme est de permettre aux utilisateurs de créer facilement des bases de données de hachage et d'identifier rapidement un fichier, qu'il soit connu ou inconnu. Cet outil utilise la bibliothèque NSRL et renvoie md5sum. Cet outil est très efficace, car il crée un fichier d'index qui est déjà trié et a des entrées de longueur fixe, ce qui rend la recherche très rapide.
fls
Le nom FLS implique le terme «LS», qui signifie énumérer le contenu d'un dossier. L'outil FLS répertorie tous les noms de fichiers et répertoires d'un fichier image et peut même afficher les noms des fichiers récemment supprimés. Si l'identifiant de fichier ou l'inode n'est pas utilisé, alors le répertoire racine est utilisé.
mmcat
L'outil MMCAT est un outil médico-légal qui renvoie le contenu d'une partition via la fonction d'impression. Cet outil extrait toutes les données d'une partition dans un fichier séparé.
sigfind
Cet outil trouve la signature binaire présente dans un fichier. Cette signature binaire est appelée hex_signature, qui est présente dans chaque fichier. Cet outil peut être utilisé pour trouver des superblocs, des partitions ou des tables d'image perdues et des secteurs de démarrage. Le format hexadécimal doit être utilisé pour trouver la signature binaire.
je trouve
Cet outil recherche la structure de données brutes d'un fichier, qui est alloué dans une unité de disque ou un nom de fichier spécifique. Parfois, toutes ces structures de métadonnées peuvent être non allouées, mais cet outil obtiendra toujours les résultats.
trieur
L'outil de trieur est un outil de script «Perl» qui effectue le tri sur un système de fichiers pour l'organiser dans des fichiers alloués et non alloués, en fonction du type de fichier. Cet outil exécute une commande sur chaque fichier et trie les fichiers en fonction des fichiers de configuration. Les types de fichiers incluent des fichiers cachés, des fichiers de hachage pour les bases de données de hachage, les fichiers connus pour être bons et ceux qui devraient être modifiés. Les fichiers de configuration utilisés, par défaut, sont pris à partir de l'endroit où l'outil est installé, mais cela peut être modifié avec les décisions d'exécution.
tsk_recover
Cet outil transfère les fichiers d'une partition de disque dans un répertoire racine local. Les fichiers récupérés sont, par défaut, des fichiers non alloués uniquement. Grâce à certaines commandes, tous les fichiers peuvent être exportés.
Conclusion
Ces 14 outils sont livrés avec Kali Linux Live, ainsi que des images d'installation, et elles sont open-source et disponibles gratuitement. Ces outils se trouvent dans le menu Kali Whisker dans un dossier nommé Sleuth Kit Suite. Les outils reçoivent des mises à jour fréquentes de TSK pour les corrections de bogues mineurs.