Cómo usar el modo forense Kali Linux

Kali Linux es un sistema operativo equipado con todo. Hay una característica de "Kali Linux Live"Eso proporciona un 'Modo forense'Para sus usuarios. El 'modo forense' está equipado con herramientas hechas para el propósito explícito de los forenses digitales.

Kali Linux 'Vivir' proporciona un modo forense en el que puede conectar un USB que contiene un Kali YO ASI. Siempre que surja una necesidad forense, puede hacer lo que necesita sin instalar nada adicional usando el Kali Linux Live (modo forense). El arranque en kali (modo forense) no monta los discos duros del sistema, por lo tanto, las operaciones que realiza en el sistema no dejan ningún rastro.

Cómo usar Kali's Live (modo forense)

Para usar "Kali's Live (modo forense)", necesitará una unidad USB que contenga Kali Linux ISO. Para hacer uno, puede seguir las pautas oficiales de la seguridad ofensiva

Después de preparar el USB USB Live Kali Linux, conéctelo y reinicie su PC para ingresar al cargador de arranque. Allí encontrarás un menú como este:

Haciendo clic en el En vivo (modo forense) lo llevará directamente al modo forense que contiene las herramientas y los paquetes necesarios para sus necesidades forenses. En este artículo veremos cómo organizar su proceso forense digital utilizando el En vivo (modo forense).

Copiar datos

Forense requiere imágenes de unidades de sistema que contengan datos. Lo primero que debemos hacer es hacer una copia de un bit por bit del archivo, el disco duro o cualquier otro tipo de datos sobre los que necesitamos realizar forenses. Este es un paso muy crucial porque si se hace mal, entonces todo el trabajo puede desperdiciarse.

Las copias de seguridad regulares de una unidad o archivo no funcionan para nosotros (los investigadores forenses). Lo que necesitamos es una copia de datos de bits bit en la unidad. Para hacer esto, usaremos lo siguiente dd dominio:

root@kali: ~ $ dd if = de = BS =

Necesitamos hacer una copia de la unidad SDA1, Entonces usaremos el siguiente comando. Hará una copia de SDA1 a SDA2 512 adiós a la vez.

root@kali: ~ $ dd if =/dev/sda1 of =/dev/sda2 bs = 512

Chaveta

Con nuestra copia de la unidad, cualquiera puede cuestionar su integridad y podría pensar que colocamos la unidad intencionalmente. Para generar pruebas de que tenemos la unidad original, usaremos hashing. Chava se usa para asegurar la integridad de la imagen. Hashing proporcionará un hash para una unidad, pero si se cambia un solo poco de datos, el hash cambiará y sabremos si ha sido reemplazado o es el original. Para garantizar la integridad de los datos y que nadie pueda cuestionar su originalidad, copiaremos el disco y generaremos un hash MD5 de ellos.

Primero, abierto dcfldd del kit de herramientas forenses.

El DCFLD La interfaz se verá así:

Ahora, usaremos el siguiente comando:

root@kali: ~ $ dcfldd if =/dev/sda de =/medios/imagen.dd hash = md5 bs = 512

/dev/sda: la unidad que desea copiar
/Media/imagen.DD: la ubicación y el nombre de la imagen a la que desea que copie
hash = md5: el hash que quieres generar e.G MD5, SHA1, SHA2, etc. En este caso es MD5.
BS = 512: número de bytes para copiar a la vez

Una cosa que debemos saber es que Linux no proporciona nombres de unidades con una sola letra como en Windows. En Linux, los discos duros están separados por HD designación, como tenía, HDB, etc. Para SCSI (interfaz de sistema informático pequeño) es SD, SBA, SDB, etc.

Ahora, tenemos la copia bit a bit de una unidad en la que queremos realizar forenses. Aquí, las herramientas forenses entrarán en juego, y cualquier persona con conocimiento del uso de estas herramientas y puede trabajar con ellas serán útiles.

Herramientas

El modo forense ya contiene famosos kits de herramientas y paquetes de código abierto para fines forenses. Es bueno comprender los forenses para inspeccionar el crimen y retroceder a quien lo haya hecho. Cualquier conocimiento de cómo usar estas herramientas sería útil. Aquí, tomaremos una visión general rápida de algunas herramientas y cómo familiarizarse con ellas

Autopsia

La autopsia es una herramienta utilizada por el ejército, la aplicación de la ley y las diferentes agencias cuando existe una necesidad forense. Este paquete es presumiblemente uno de los más poderosos accesibles a través de la fuente abierta, consolida las funcionalidades de muchos otros paquetes más pequeños que participan progresivamente en su metodología en una aplicación impecable con una interfaz de usuario basada en el navegador de Internet.

Para usar la autopsia, abra cualquier navegador y escriba: http: // localhost: 9999/autopsia

Ahora, ¿qué tal si abrimos cualquier programa y exploramos la ubicación anterior?. Esto esencialmente nos llevará al servidor web cercano en nuestro marco (localhost) y llegará al puerto 9999 donde se está ejecutando la autopsia. Estoy utilizando el programa predeterminado en Kali, Iceweasel. Cuando exploro esa dirección, obtengo una página como la que se ve a continuación:

Sus funcionalidades incorporan la investigación de la línea de tiempo, búsqueda de palabras clave, separación hash, talla de datos, medios y marcadores de una ganga. La autopsia acepta imágenes de disco en formatos RAW EO1 OE y da resultados en cualquier formato que se requiera generalmente en XML, formatos HTML.

Binwalk

Esta herramienta se utiliza al administrar imágenes binarias, tiene la capacidad de encontrar el documento insertado y el código ejecutable investigando el archivo de imagen. Es un activo increíble para aquellos que saben lo que están haciendo. Cuando se utiliza bien, puede descubrir muy bien los datos delicados cubiertos en las imágenes de firmware que podrían revelar un truco o usarse para descubrir una cláusula de escape al mal uso.

Esta herramienta está escrita en Python y utiliza la biblioteca libmágica, lo que lo hace ideal para usar con marcas de encantamiento hechas para UNIX Record Utity. Para simplificar las cosas para los examinadores, contiene un registro de firma de encantamiento que contiene las marcas más regularmente descubiertas en el firmware, lo que hace que sea más simple detectar inconsistencias.

DdRescue

Duplica información de un documento o dispositivo cuadrado (disco duro, CD-ROM, etc.) a otro, intentando proteger las partes excelentes primero si debería surgir una ocurrencia de errores de lectura.

La actividad esencial de ddrescue está completamente programada. Es decir, no necesita sentarse para un error, detener el programa y reiniciarlo desde otra posición. Si utiliza el punto destacado de MapFile de DDRESCue, la información se guarda de manera competente (solo los cuadrados requeridos están leyendo). Del mismo modo, puede entrometerse en el rescate cuando sea y continuar más tarde en un punto similar. El mapfile es una pieza básica de la viabilidad de Ddrescue. Utilícelo excepto si sabe lo que está haciendo.

Para usarlo, usaremos el siguiente comando:

root@kali: ~ $ dd_rescue

Dumpzilla

La aplicación Dumpzilla se crea en Python 3.x y se utiliza para extraer los datos medibles y fascinantes de los programas Firefox, Hielo-Weasel y Seamonkey para ser examinados. Debido a su pitón 3.x giro de los eventos, probablemente no funcionará adecuadamente en antiguas formas de pitón con caracteres específicos. La aplicación funciona en una interfaz de línea de pedido, por lo que los volcados de datos podrían ser desviados por tuberías con dispositivos; Por ejemplo, Grep, Awk, Cut, Sed. Dumpzilla permite a los usuarios imaginar las siguientes áreas, buscar personalización y concentrarse en ciertas áreas:

• Dumpzilla puede mostrar actividades en vivo de usuarios en Tabs/Windows.
• Datos de caché y miniaturas de Windows previamente abiertos
• Descargas de usuarios, marcadores e historia
• Las contraseñas guardadas del navegador
• Cookies y datos de sesión
• Búsquedas, correo electrónico, comentarios

Principal

Borrar documentos que pueden ayudar a desentrañar un episodio computarizado? Olvídalo! La parte principal es un paquete de código abierto fácil de usar que puede eliminar la información de los círculos dispuestos. El nombre de archivo en sí probablemente no se recuperará, sin embargo, la información que posee se puede cortar. Foremost puede recuperar JPG, PNG, BMP, JPEG, EXE, MPG, OLE, RAR, PDF y muchos otros tipos de archivos.

: ~ $
La versión más importante 1.5.7 de Jesse Kornblum, Kris Kendall y Nick Mikus.
$ foreMost [-V | -V | -H | -T | -q | -q | -A | -W-D] [-T ]
[-s ] [-K ]
[-b ] [-C ] [-O ] [-i

-V - Mostrar información de derechos de autor y salir
-t - especificar el tipo de archivo. (-t jpeg, pdf ...)
-D - Encienda la detección de bloques indirectos (para sistemas de archivos UNIX)
-I - Especificar el archivo de entrada (el valor predeterminado es stdin)
-a - Escriba todos los encabezados, no realice una detección de errores (archivos corruptos)
-w - solo escriba el archivo de auditoría, no escriba ningún archivo detectado en el disco
-o - Establecer el directorio de salida (predeterminado se sale a la salida)
-C - Establecer el archivo de configuración para usar (predeterminado se encuentra en la parte más importante.conf)
-P - Habilita el modo rápido. Las búsquedas se realizan en 512 límites de bytes.
-P - Habilita el modo tranquilo. Suprimir los mensajes de salida.
-V - modo verboso. Registra todos los mensajes en pantalla

Extractor a granel

Esta es una herramienta excepcionalmente útil cuando un examinador espera separar el tipo de información específica del registro de prueba computarizado, este dispositivo puede eliminar las direcciones de correo electrónico, las URL, los números de tarjetas de comunicación, etc. Esta herramienta toma una foto de catálogos, archivos e imágenes de disco. La información puede estar a medio ruina, o tiende a ser compactada. Este dispositivo descubrirá su camino en él.

Esta característica incluye lo más destacado que ayudan a hacer un ejemplo en la información que se encuentra una y otra vez, por ejemplo, las URL, ID de correo electrónico y más y los presenta en un grupo de histograma. Tiene un componente por el cual hace una lista de palabras de la información descubierta. Esto puede ayudar a dividir las contraseñas de los documentos revueltos.

Análisis de ram

Hemos visto análisis de memoria en imágenes del disco duro, pero a veces, debemos capturar datos de la memoria en vivo (RAM). Recuerde que la RAM es una fuente de memoria volátil, lo que significa que pierde sus datos como enchufes abiertos, contraseñas, procesos que se ejecutan tan pronto como se apaga.

Una de las muchas cosas buenas del análisis de la memoria es la capacidad de recrear lo que el sospechoso estaba haciendo en el momento de un contratiempo. Una de las herramientas más famosas para el análisis de memoria es Volatilidad.

En Live (modo forense), Primero, navegaremos a Volatilidad Usando el siguiente comando:

root@kali: ~ $ cd/usr/share/volatilidad

Como la volatilidad es un script de Python, ingrese el siguiente comando para ver el menú de ayuda:

root@kali: ~ $ python vol.py -h

Antes de trabajar en esta imagen de memoria, primero debemos llegar a su perfil utilizando el siguiente comando. La imagen de perfil ayuda volatilidad Saber en qué parte de la memoria se dirige la información importante. Este comando examinará el archivo de memoria en busca de evidencia del sistema operativo e información clave:

root@kali: ~ $ python vol.py imageInfo -f =

Volatilidad es una poderosa herramienta de análisis de memoria con toneladas de complementos que nos ayudarán a investigar lo que el sospechoso estaba haciendo en el momento de la convulsión de la computadora.

Conclusión

El forense se está volviendo cada vez más esencial en el mundo digital actual, donde cada día, muchos delitos se comprometen utilizando tecnología digital. Tener técnicas y conocimientos forenses en su arsenal siempre es una herramienta extremadamente útil para luchar contra el crimen cibernético en su propio césped.

Kali está equipado con las herramientas necesarias para realizar forenses y utilizando En vivo (modo forense), No tenemos que mantenerlo en nuestro sistema todo el tiempo. En cambio, podemos hacer un USB en vivo o tener Kali ISO listo en un dispositivo periférico. En caso de que aparezcan las necesidades forenses, solo podemos conectar el USB, cambiar a En vivo (modo forense) y hacer el trabajo sin problemas.