Sans Investigative Forensics Toolkit

TAMISER est une distribution de médecine légale informatique créée par le Sans criminalistique Équipe pour effectuer la criminalistique numérique. Cette distribution comprend la plupart des outils requis pour l'analyse médico-légale numérique et les examens de réponse aux incidents. TAMISER est open-source et accessible au public gratuitement sur Internet. Dans le monde numérique d'aujourd'hui, où les crimes sont commis chaque jour en utilisant la technologie numérique, les attaquants deviennent de plus en plus furtifs et sophistiqués. Cela peut amener les entreprises à perdre des données importantes, avec des millions d'utilisateurs exposés. Protéger votre organisation contre ces attaques nécessite des techniques et des connaissances légales fortes dans votre stratégie de défense. TAMISER Fournit des outils médico-légaux pour les systèmes de fichiers, la mémoire et les enquêtes réseau pour effectuer des enquêtes médico-légales approfondies.

En 2007, TAMISER était disponible en téléchargement et était codé en dur, donc chaque fois qu'une mise à jour arrivait, les utilisateurs devaient télécharger la version plus récente. Avec une innovation supplémentaire en 2014, TAMISER est devenu disponible en tant que package robuste sur Ubuntu, et peut maintenant être téléchargé en tant que poste de travail. Plus tard, en 2017, une version de TAMISER est venu sur le marché permettant une plus grande fonctionnalité et offrir aux utilisateurs la possibilité de tirer parti des données provenant d'autres sources. Cette nouvelle version contient plus de 200 outils de tiers et contient un gestionnaire de packages exigeant que les utilisateurs ne tapent qu'une seule commande pour installer un package. Cette version est plus stable, plus efficace et offre de meilleures fonctionnalités en termes d'analyse de la mémoire. TAMISER est scriptable, ce qui signifie que les utilisateurs peuvent combiner certaines commandes pour le faire fonctionner en fonction de leurs besoins.

TAMISER peut fonctionner sur n'importe quel système exécuté sur Ubuntu ou Windows OS. SIFT soutient divers formats de preuves, notamment Affirmation, E01, et format brut (Dd). Les images de médecine légale de mémoire sont également compatibles avec SIFT. Pour les systèmes de fichiers, SIFT prend en charge EXT2, EXT3 pour Linux, HFS pour Mac et Fat, V-Fat, MS-DOS et NTFS pour Windows.

Installation

Pour que le poste de travail fonctionne bien, vous devez avoir un bon RAM, un bon processeur et un vaste espace de disque dur (15 Go est recommandé). Il y a deux façons d'installer TAMISER:

• VMware / VirtualBox

Pour installer Sift Workstation en tant que machine virtuelle sur VMware ou VirtualBox, téléchargez le .ovas Format du fichier à partir de la page suivante:

https: // Digital-Forensics.sans.org / communauté / téléchargements
Ensuite, importez le fichier dans VirtualBox en cliquant sur le Option d'importation. Une fois l'installation terminée, utilisez les informations d'identification suivantes pour vous connecter:

Connexion = Sansferrensics

Mot de passe = médico-légal

• Ubuntu

Pour installer SIFT Workstation sur votre système Ubuntu, accédez d'abord à la page suivante:

https: // github.com / teamdfir / sift-cli / releases / tag / v1.8.5

Sur cette page, installez les deux fichiers suivants:

sift-Cli-Linux
sift-Cli-Linux.sha256.ASC

Ensuite, importez la touche PGP à l'aide de la commande suivante:

ubuntu @ ubuntu: ~ $ gpg - keyserver hkp: // pool.sks-keyserver.Net: 80
--Recv-keys 22598a94

Valider la signature à l'aide de la commande suivante:

ubuntu @ ubuntu: ~ $ gpg --verify sift-Cli-linux.sha256.ASC

Valider la signature SHA256 à l'aide de la commande suivante:

ubuntu @ ubuntu: ~ $ sha256sum -c sift-Cli-linux.sha256.ASC

(Un message d'erreur sur les lignes formatées dans le cas ci-dessus peut être ignoré)

Déplacez le fichier vers l'emplacement / usr / local / bin / sift et donnez-lui les autorisations appropriées en utilisant la commande suivante:

ubuntu @ ubuntu: ~ $ chmod 755 / usr / local / bin / sift

Enfin, exécutez la commande suivante pour terminer l'installation:

ubuntu @ ubuntu: ~ $ sudo sift install

Une fois l'installation terminée, entrez les informations d'identification suivantes:

Connexion = Sansferrensics

Mot de passe = médico-légal

Une autre façon d'exécuter SIFT est simplement de démarrer l'ISO dans un lecteur de démarrage et de l'exécuter en tant que système d'exploitation complet.

Outils

Le SIFT Workstation est équipé de nombreux outils utilisés pour l'examen approfondi de la criminalistique et de la réponse aux incidents. Ces outils incluent les éléments suivants:

• Autopsie (outil d'analyse du système de fichiers)

L'autopsie est un outil utilisé par les militaires, les forces de l'ordre et d'autres agences lorsqu'il y a un besoin médico-légal. L'autopsie est essentiellement une interface graphique pour le très célèbre Sleuthkit. SleuthKit ne prend que des instructions de ligne de commande. D'un autre côté, l'autopsie rend le même processus facile et convivial. En tapant ce qui suit:

ubuntu @ ubuntu: ~ $ autopsie
Un écran, comme suit, apparaîtra:
============================================
Navigateur médico-légal
http: // www.sleuthkit.org / autopsie /
ver 2.24
============================================
Preuves Locker: / var / lib / autopsie
Heure de début: mer 17 juin 00:42:46 2020
Hôte distant: localhost
Port local: 9999
Ouvrez un navigateur HTML sur l'hôte distant et collez cette URL:
http: // localhost: 9999 / autopsie

En naviguant vers http: // localhost: 9999 / autopsie Sur n'importe quel navigateur Web, vous verrez la page ci-dessous:

La première chose que vous devez faire est de créer un cas, de lui donner un numéro de cas et d'écrire les noms des enquêteurs pour organiser les informations et les preuves. Après avoir saisi les informations et frappé le Suivant bouton, vous allez la page ci-dessous:

Cet écran montre ce que vous avez écrit comme numéro de cas et informations de cas. Ces informations sont stockées dans la bibliothèque / var / lib / autopsie /.

En cliquant Ajouter l'hôte, Vous verrez l'écran suivant, où vous pouvez ajouter les informations de l'hôte, telles que le nom, le fuseau horaire et la description de l'hôte…

En cliquant Suivant vous amènera à une page vous obligeant à fournir une image. E01 (Format de témoin expert), Affirmation (Format avancé de médecine légale), Dd (Format brut) et les images de médecine de la mémoire sont compatibles. Vous allez fournir une image et laisser l'autopsie faire son travail.

• avant tout (outil de sculpture de fichiers)

Si vous souhaitez récupérer des fichiers qui ont été perdus en raison de leurs structures de données internes, de leurs en-têtes et de leurs pieds de page, avant toute chose peut être utilisé. Cet outil prend la saisie dans différents formats d'image, tels que ceux générés à l'aide de DD, encase, etc. Explorez les options de cet outil à l'aide de la commande suivante:

Ubuntu @ Ubuntu: ~ $ avant tout -h
-D - Allumez la détection de blocs indirecte (pour les systèmes de fichiers UNIX)
-I - Spécifiez le fichier d'entrée (par défaut est stdin)
-A - Écrivez tous les en-têtes, effectuez aucune détection d'erreur (fichiers corrompus) Ash
-w - Écrivez uniquement le fichier d'audit, n'écrivez aucun fichier détecté sur le disque
-O - Définir le répertoire de sortie (par défaut sur la sortie)
-C - Définissez le fichier de configuration à utiliser (par défaut.conf)
-Q - Active le mode rapide.

• binwalk

Pour gérer les bibliothèques binaires, binwalk est utilisé. Cet outil est un atout majeur pour ceux qui savent l'utiliser. Binwalk est considéré comme le meilleur outil disponible pour l'ingénierie inverse et l'extraction d'images du micrologiciel. Binwalk est facile à utiliser et contient d'énormes capacités jetez un œil aux binwalk Aider Page pour plus d'informations en utilisant la commande suivante:

ubuntu @ ubuntu: ~ $ binwalk - help
Utilisation: binwalk [options] [file1] [file2] [file3]…
Options de numérisation de signature:
-B, - Signature Analyse des fichiers cibles pour les signatures de fichiers communes
-R, --RAW = Scan Fichier cible (s) pour la séquence spécifiée des octets
-A, - Opcodes Analyser les fichiers cibles pour les signatures d'opcode exécutables communs
-m, - magic = spécifiez un fichier magique personnalisé à utiliser
-B, - Dumb Désactiver les mots clés de signature intelligente
-I, - invalid montre des résultats marqués comme invalides
-x, --exclude = exclure les résultats qui correspondent
-y, --include = affiche uniquement des résultats qui correspondent
Options d'extraction:
-E, - Extrait extraire automatiquement les types de fichiers connus
-D, --dd = extraire les signatures, donnez aux fichiers un
extension et exécuter
-M, --Matryoshka scanner récursivement les fichiers extraits
-D, --pth = Limit Matryoshka Recursion Profondeur (par défaut: 8 niveaux de profondeur)
-C, --directory = extraire les fichiers / dossiers dans un répertoire personnalisé
-j, --ze = limiter la taille de chaque fichier extrait
-n, --count = limiter le nombre de fichiers extraits
-r, --rm Supprimer les fichiers sculptés après l'extraction
-Z, - - CARVE CARVE DES DONNÉES DE FICHIERS, mais n'exécutez pas les utilitaires d'extraction
Options d'analyse d'entropie:
-E, --Entropy Calculer l'entropie du fichier
-F, - Utiliser une analyse d'entropie plus rapide, mais moins détaillée
-J, - SAVE SAVE PLOT AS A PNG
-Q, --nlegend omettre la légende du graphique du tracé de l'entropie
-N, --nplot ne générez pas de graphique de tracé d'entropie
-H, --high = définir le seuil de déclenchement d'entropie de bord montant (par défaut: 0.95)
-L, --Low = Définissez le seuil de déclenchement d'entropie de bord de la chute (par défaut: 0.85)
Options de difficulté binaire:
-W, - hexdump effectuer un hexdump / diff d'un fichier ou de fichiers
-G, - Green affiche uniquement des lignes contenant des octets qui sont les mêmes parmi tous les fichiers
-I, - Red Afficher uniquement les lignes contenant des octets différents entre tous les fichiers
-U, --blue affiche uniquement des lignes contenant des octets différents entre certains fichiers
-w, --terse diff tous les fichiers, mais affiche uniquement un vidage hexagonal du premier fichier
Options de compression brutes:
-X, - Déflaçant la balayage pour les flux de compression dégonflés bruts
-Z, --LZMA SCAN pour les flux de compression LZMA bruts
-P, - Partial Effectuez un scan superficiel, mais plus rapide,
-S, - stop s'arrêter après le premier résultat
Options générales:
-l, --longueur = nombre d'octets à scanner
-o, --Offset = Démarrer la numérisation à ce décalage de fichier
-O, --base = ajouter une adresse de base à tous les décalages imprimés
-K, --block = set la taille du bloc de fichiers
-g, --wap = inverser chaque n octets avant de scanner
-F, --log = Résultats du journal au fichier
-C, - CSV Log Résultats à fichier au format CSV
-T, - sortie de format terme pour s'adapter à la fenêtre du terminal
-Q, - Crésiter la sortie de STDOUT
-V, --verbose Activer la sortie verbale
-h, - help afficher la sortie d'aide
-a, ---Finclude = uniquement des fichiers de numérisation dont les noms correspondent à ce regex
-p, --fexclude = ne pas numériser des fichiers dont les noms correspondent à ce regex
-s, --status = activer le serveur d'état sur le port spécifié

• Volatilité (outil d'analyse de la mémoire)

La volatilité est un outil médico-légal d'analyse de mémoire populaire utilisée pour inspecter les vidages de mémoire volatils et pour aider les utilisateurs à récupérer des données importantes stockées dans la RAM au moment de l'incident. Cela peut inclure des fichiers modifiés ou des processus exécutés. Dans certains cas, l'historique du navigateur peut également être trouvé en utilisant la volatilité.

Si vous avez un vidage de mémoire et que vous souhaitez connaître son système d'exploitation, utilisez la commande suivante:

ubuntu @ ubuntu: ~ $ .vol.py imageino -f

La sortie de cette commande donnera un profil. Lorsque vous utilisez d'autres commandes, vous devez donner ce profil comme périmètre.

Pour obtenir l'adresse KDBG correcte, utilisez le kdbgscan Commande, qui scanne pour les en-têtes KDBG, les marques connectées aux profils de volatilité et s'applique une fois-ci pour vérifier que tout est correct pour réduire les points positifs. La verbosité du rendement et le nombre de verses une fois qui peuvent être effectuées dépend de la question de savoir si la volatilité peut découvrir un DTB. Ainsi, au cas où vous connaissez le bon profil, ou si vous avez une recommandation de profil de ImageInfo, assurez-vous d'utiliser le profil correct. Nous pouvons utiliser le profil avec la commande suivante:

ubuntu @ ubuntu: ~ $ .vol.profil py = kdbgscan
-F

Pour scanner la région de contrôle du processeur du noyau (Kpcr) Structures, utilisation KPCRSCAN. S'il s'agit d'un système multiprocesseur, chaque processeur a sa propre région de balayage de processeur de noyau.

Entrez la commande suivante pour utiliser KPCRSCAN:

ubuntu @ ubuntu: ~ $ .vol.profil py = KPCRSCAN
-F

Pour rechercher des malwares et des rootkits, PSSCAN est utilisé. Cet outil scanne pour les processus cachés liés aux rootkits.

Nous pouvons utiliser cet outil en entrant la commande suivante:

ubuntu @ ubuntu: ~ $ .vol.profil py = PSSCAN
-F

Jetez un œil à la page Man pour cet outil avec la commande d'aide:

ubuntu @ ubuntu: ~ $ volatilité -h
Options:
-H, --help Liste toutes les options disponibles et leurs valeurs par défaut.
Les valeurs par défaut peuvent être définies dans le fichier de configuration
(/ etc / volatilité)
--confile = / home / usman /.volatilité
Fichier de configuration basé sur l'utilisateur
-D, - Debug Debug Volatilité
--Plugins = plugins répertoires de plugin supplémentaires à utiliser (séparé du côlon)
--INFO INTRESSION INFORMATIONS SUR TOUS les objets enregistrés
--cache-directory = / home / usman /.cache / volatilité
Répertoire où les fichiers de cache sont stockés
--Cache utilise la mise en cache
--tz = tz définit le fuseau horaire (olson) pour afficher des horodatages
en utilisant pytz (si installé) ou tzset
-F Nom de fichier, --Filename = nom de fichier
Nom de fichier à utiliser lors de l'ouverture d'une image
--profil = winxpsp2x86
Nom du profil à charger (Utiliser - Info pour voir une liste des profils pris en charge)
-L emplacement, - emplacement = emplacement
Un emplacement d'urne à partir duquel charger un espace d'adressage
-w, --écriture activer le support d'écriture
--Adresse DTB = DTB DTB
--Shift = Shift Mac Kaslr Shift Adresse
--sortie = sortie de texte dans ce format (la prise en charge est spécifique au module, voir
les options de sortie du module ci-dessous)
--output-file = output_file
Écrire la sortie dans ce fichier
-V, - Verbose d'informations verbales
--Physical_shift = Physical_shift
Adresse de décalage physique du noyau Linux
--virtual_shift = virtual_shift
Adresse de décalage virtuel du noyau Linux
-g kdbg, --kdbg = kdbg Spécifiez une adresse virtuelle KDBG (Remarque: pour 64 bits
Windows 8 et plus c'est l'adresse de
KdcopyDatablock)
--Force Force Utilisation du profil suspect
--cookie = cookie spécifiez l'adresse de NT!ObheaderCookie (valide pour
Windows 10 seulement)
-k kpcr, --kpcr = kPCR Spécifiez une adresse KPCR spécifique
Commandes de plugin prises en charge:
Amcache Imprimer les informations Amcache
Apihooks détecte les crochets API en processus et la mémoire du noyau
tables atomes de session d'impression des atomes et de la station de fenêtre
scanner de piscine atomscan pour les tables atomes
AuditPol imprime les politiques d'audit de HKLM \ Security \ Policy \ Poladttev
Bigpools vide les piscines de grandes pages à l'aide de bigpagepoolscanner
BioSkBD lit le tampon du clavier à partir de la mémoire du mode réel
Cachedump déverse des hachages de domaine mis en cache de mémoire
Les rappels impriment les routines de notification à l'échelle du système
Presse-papiers extraire le contenu du presse-papiers Windows
CMDLINE Afficher le processus de commande des arguments en ligne
CMDSCAN Extrait de l'historique des commandes en scannant pour _Command_History
Connexions Imprimer la liste des connexions ouvertes [Windows XP et 2003 uniquement]
scanner de piscine CONNSCAN pour les connexions TCP
Les consoles extraient l'historique des commandes en scannant _Console_Information
CrashInfo Dump Informations sur le coup de crash
Diskscan PoolScaner pour TagDesktop (Desktops)
DeviceTree Show Disposice Tree
DLLUMP DUMP DLLS à partir d'un espace d'adressage de processus
DLLList Imprimer Liste des DLL chargés pour chaque processus
Driverirp Driver IRP Hook Detection
Drivermodule Associate Driver Objects aux modules du noyau
Scanner de piscine DriversCan pour les objets de pilote
DumpCerts Dump RSA Private and Public SSL Keys
Dumpfiles Extrait des fichiers mappés et mis en cache de mémoire
Dumpregistry déverse les fichiers de registre sur le disque
Gditimers imprimer les minuteries et les rappels GDI installés
GDT Affichage du tableau des descripteurs globaux
getServicesId obtient les noms des services dans le registre et retour
getsids imprime les sides possédant chaque processus
Handles Liste d'impression des poignées ouvertes pour chaque processus
HashDump vide les mots de passe des mots de passe (LM / NTLM) à partir de la mémoire
Hibinfo Dump Hibernation Fichier Informations
Secrets LSA LSAMP DIMP (DCURCTED) du registre
Machoinfo Dump Mach-O File Format Informations
Memmap Imprimer la carte mémoire
Messagehooks Liste de bureau et des crochets de messages de fenêtre de thread
Mftparser scannes et analyses potentielles entrées MFT
moddump vider un pilote de noyau à un échantillon de fichier exécutable
scanner de piscine modscan pour les modules de noyau
modules Imprimer la liste des modules chargés
MultiScan SCAN pour divers objets à la fois
scanner de piscine mutants pour objets mutex
Liste des blocs-notes est actuellement affiché le texte du bloc-notes
ObjTypeScan SCAN pour les objets de type d'objet Windows
Patcher Patcher Memory Basé sur Page SCANS
plugin de scanner de piscine configurable PoolPeek

• Hashdeep ou md5deep (outils de hachage)

Il est rarement possible que deux fichiers aient le même hachage MD5, mais il est impossible qu'un fichier soit modifié avec son hachage MD5 restant le même. Cela inclut l'intégrité des fichiers ou les preuves. Avec un double du lecteur, tout le monde peut examiner sa fiabilité et penserait une seconde que le lecteur y a été délibérément. Pour obtenir la preuve que le lecteur considéré est l'original, vous pouvez utiliser le hachage, ce qui donnera un hachage à un lecteur. Si même une seule information est modifiée, le hachage changera et vous pourrez savoir si le lecteur est unique ou en double. Pour assurer l'intégrité du lecteur et que personne ne peut le remettre en question, vous pouvez copier le disque pour générer un hachage MD5 du lecteur. Vous pouvez utiliser md5sum Pour un ou deux fichiers, mais en ce qui concerne plusieurs fichiers dans plusieurs répertoires, MD5DEEP est la meilleure option disponible pour générer des hachages. Cet outil a également la possibilité de comparer plusieurs hachages à la fois.

Jetez un œil à la page MD5deep Man:

ubuntu @ ubuntu: ~ $ md5deep -h
$ md5deep [option]… [fichiers]…
Voir la page de l'homme ou le réadme.fichier txt ou utilisation -hh pour la liste complète des options
-P - Mode par morceaux. Les fichiers sont divisés en blocs pour le hachage
-R - Mode récursif. Toutes les sous-répertoires sont traversés
-E - Afficher le temps estimé restant pour chaque fichier
-S - Mode silencieux. Supprimer tous les messages d'erreur
-Z - Taille d'affichage avant le hachage
-M - Active le mode correspondant. Voir la page Readme / Man
-X - permet le mode de correspondance négatif. Voir la page Readme / Man
-M et -x sont les mêmes que -m et -x mais aussi imprimer des hachages de chaque fichier
-w - affichages quel fichier connu a généré une correspondance
-N - affiche des hachages connus qui ne correspondaient à aucun fichier d'entrée
-A et -a Ajouter un seul hachage à l'ensemble de correspondance positif ou négatif
-B - imprime uniquement le nom nu de fichiers; Toutes les informations sur le chemin sont omises
-L - Imprimer des chemins relatifs pour les noms de fichiers
-T - Imprimer GMT Timestamp (ctime)
-I / I - seuls les fichiers de traitement plus petits / plus grands que la taille
-V - Afficher le numéro de version et la sortie
-D - sortie dans dfxml; -U - Escape Unicode; -W Fichier - Écrivez dans le fichier.
-J - Utilisez des threads Num (par défaut 4)
-Z - mode triage; -H - Aide; -Hh - Aide complète

• Exiflant

Il existe de nombreux outils disponibles pour le marquage et la visualisation des images un par un, mais dans le cas où vous avez beaucoup d'images à analyser (dans les milliers d'images), EXIFTOOL est le choix incontournable. EXIFTOOL est un outil open source utilisé pour visualiser, changer, manipuler et extraire les métadonnées d'une image avec seulement quelques commandes. Les métadonnées fournissent des informations supplémentaires sur un article; Pour une image, ses métadonnées seront sa résolution, lorsqu'elle a été prise ou créée, et la caméra ou le programme utilisé pour créer l'image. Exiftool peut être utilisé non seulement pour modifier et manipuler les métadonnées d'un fichier image, mais il peut également écrire des informations supplémentaires sur les métadonnées de n'importe quel fichier. Pour examiner les métadonnées d'une image au format brut, utilisez la commande suivante:

ubuntu @ ubuntu: ~ $ exif

Cette commande vous permettra de créer des données, telles que la date de modification, l'heure et d'autres informations non répertoriées dans les propriétés générales d'un fichier.

Supposons que vous ayez besoin de nommer des centaines de fichiers et de dossiers à l'aide de métadonnées pour créer la date et l'heure. Pour ce faire, vous devez utiliser la commande suivante:

ubuntu @ ubuntu: ~ $ exif '-filename
CréationDate: trier par la date et l'heure de création du fichier
-D: Définissez le format
-R: récursif (utilisez la commande suivante sur chaque fichier du chemin donné)
-Extension: extension des fichiers à modifier (jpeg, png, etc.)
-Chemin vers le fichier: emplacement du dossier ou du sous-dossier
Jetez un œil à la page Exiftool Man:
ubuntu @ ubuntu: ~ $ exif - help
-V, - - Version logicielle d'affichage
-i, --ids affiche des identifiants au lieu de noms de balises
-t, --tag = balise de sélection tag
--ifd = ifd sélectionnez ifd
-L, - - List-Tags Liste toutes les balises exif
-|, --show-mnote show contenu de tag makernote
--Supprimer la balise de suppression ou IFD
-S, - Description Show Description de la balise
-E, - Extrait d'extrait d'extraits
-R, - Rempoteur-Truste Retirez la vignette
-n, --insert-thumbnail = fichier d'insert de fichier comme miniature
--NO-FIXUP NE PAS COMMENT DES TAGS EXISTANT
-o, --output = fichier des données d'écriture dans le fichier
--set-valeur = valeur de chaîne de la balise
-c, --create-exif créer des données exif si elles ne sont pas existantes
-M, - sortie lisible par machine dans un format lisible par machine (TAB délimité)
-w, - largeur = largeur de largeur de sortie
-Sortie x, --xml-sortie dans un format XML
-D, --debug Show Debogging Messages
Options d'aide:
-?, --Aide à afficher ce message d'aide
--Message d'utilisation d'affichage d'utilisation

• DCFLDD (outil d'imagerie du disque)

Une image d'un disque peut être obtenue en utilisant le dcfldd utilitaire. Pour obtenir l'image du disque, utilisez la commande suivante:

ubuntu @ ubuntu: ~ $ dcfldd if = de
bs = 512 count = 1 hachage =
si = destination de lecteur pour créer une image
de = destination où l'image copiée sera stockée
BS = taille de bloc (nombre d'octets à copier à la fois)
Hash = type de hachage (facultatif)

Jetez un œil à la page d'aide DCFLDD pour explorer diverses options pour cet outil à l'aide de la commande suivante:

ubuntu @ ubuntu: ~ $ dcfldd - help
dcfldd - help
Utilisation: dcfldd [option]…
Copiez un fichier, convertissant et formatant en fonction des options.
bs = octets force ibs = octets et obs = octets
CBS = octets convertit les octets octets à la fois
Conv = mots clés convertit le fichier conformément aux mots clés séparés par virgule ListCC
Count = Blocks Copy Only Blocks Blocs d'entrée
ibs = octets lisent les octets octets à la fois
if = fichier Lire à partir du fichier au lieu de stdin
obs = octets écrivent des octets à la fois
de = fichier écriture dans le fichier au lieu de stdout
Remarque: du fichier = peut être utilisé plusieurs fois pour écrire
Sortie à plusieurs fichiers simultanément
de: = Command exec et écriture de sortie dans la commande procédé
Seek = Blocks Skip Blocks Blocs obscurs au début de la sortie
skip = blocks Blocs Skip Blocs de la taille du PIC au début de l'entrée
motif = hex use le motif binaire spécifié comme entrée
textPattern = texte utilise le texte répétitif comme entrée
errLog = file Envoi des messages d'erreur au fichier ainsi que stderr
hashwindow = octets effectuez un hachage sur chaque quantité de données d'octets
hash = nom MD5, SHA1, SHA256, SHA384 ou SHA512
L'algorithme par défaut est MD5. Pour sélectionner plusieurs
algorithmes pour exécuter simultanément entre les noms
Dans une liste séparée de virgule
hashlog = fichier Envoyer une sortie de hachage MD5 dans le fichier au lieu de stderr
Si vous utilisez plusieurs algorithmes de hachage
peut envoyer chacun à un fichier séparé en utilisant le
convention algorithmlog = fichier, par exemple
md5log = file1, sha1log = file2, etc.
Hashlog: = Command exec et écrivez Hashlog to Process Command
Algorithmlog: = la commande fonctionne également de la même manière
hashconv = [avant | après] effectuer le hachage avant ou après les conversions
HashFormat = format Afficher chaque hashwindow en fonction du format
La mini-langue du format de hachage est décrite ci-dessous
TotalHashFormat = format Afficher la valeur de hachage totale en fonction du format
status = [on | off] Affichez un message d'état continu sur stderr
L'état par défaut est "ON"
StatusInterval = N Mettez à jour le message d'état tous les n blocs
La valeur par défaut est 256
sizeprobe = [si | of] déterminer la taille du fichier d'entrée ou de sortie
pour une utilisation avec des messages d'état. (cette option
vous donne un indicateur en pourcentage)
AVERTISSEMENT: n'utilisez pas cette option contre un
dispositif de bande.
Vous pouvez utiliser n'importe quel nombre de 'A' ou 'N' dans n'importe quel combo
Le format par défaut est "nnn"
Remarque: les options Split et SplitFormat prennent effet
uniquement pour les fichiers de sortie spécifiés après chiffres
Toute combinaison que vous souhaitez.
(e.g. "Anaannnaana" serait valable, mais
assez fou)
vf = fichier vérifie que le fichier correspond à l'entrée spécifiée
VerifyLog = fichier Envoyer des résultats Vérifier le fichier au lieu de stderr
VerifyLog: = Command exec et écrivez Vérifier les résultats vers la commande Process
--Aide à afficher cette aide et à quitter
--Version de sortie Informations sur la version et quitter
ASCII d'EBCDIC à ASCII
eBCDIC d'ASCII à EBCDIC
IBM de l'ASCII à l'EBCDIC alternatif
Block Pad Newline-termination Records avec des espaces pour CBS-Size
Unblock remplacer les espaces de fuite dans les enregistrements de la taille de CBS avec Newline
LCASE Changement supérieur en bas de cas
Notrunc ne tronque pas le fichier de sortie
Ucase Changement minuscule en majuscules
Écouvrage échange chaque paire d'octets d'entrée
Noerror continue après les erreurs de lecture
Sync Pad chaque bloc d'entrée avec NULS à IBS-Size; lorsqu'elle est utilisée

Insignes

Une autre qualité du TAMISER La poste de travail est les feuilles de triche qui sont déjà installées avec cette distribution. Les feuilles de triche aident l'utilisateur à démarrer. Lors de l'exécution d'une enquête, les feuilles de triche rappellent à l'utilisateur toutes les options puissantes disponibles avec cet espace de travail. Les feuilles de triche permettent à l'utilisateur de mettre la main sur les derniers outils médico-légaux avec facilité. Des feuilles de triche de nombreux outils importants sont disponibles sur cette distribution, comme la feuille de triche disponible pour Création de chronologie de l'ombre:

Un autre exemple est la feuille de triche pour le célèbre Sleuthkit:

Des feuilles de triche sont également disponibles pour Analyse de la mémoire Et pour le montage de toutes sortes d'images:

Conclusion

La boîte à outils médico-légale sans enquête (TAMISER) possède les capacités de base de toute autre boîte à outils médico-légale et comprend également tous les derniers outils puissants nécessaires pour effectuer une analyse détaillée de la criminalité E01 (Format de témoin expert), Affirmation (Format avancé de médecine légale) ou image brute (Dd) formats. Le format d'analyse de la mémoire est également compatible avec SIFT. Sift place des lignes directrices strictes sur la façon dont les preuves sont analysées, garantissant que les preuves ne sont pas falsifiées (ces directives ont des autorisations en lecture seule). La plupart des outils inclus dans SIFT sont accessibles via la ligne de commande. SIFT peut également être utilisé pour tracer l'activité du réseau, récupérer des données importantes et créer une chronologie de manière systématique. En raison de la capacité de cette distribution à examiner en profondeur les disques et plusieurs systèmes de fichiers, SIFT est de haut niveau dans le domaine de la criminalistique et est considéré comme un poste de travail très efficace pour toute personne travaillant en médecine légale. Tous les outils requis pour toute enquête médico-légale sont contenues dans le SIFT Workstation créé par le Sans criminalistique équipe et Rob Lee .