Herramientas forenses de Kali Linux

Kali Linux es un poderoso sistema operativo especialmente diseñado para probadores de penetración y profesionales de la seguridad. La mayoría de sus características y herramientas están hechas para investigadores de seguridad y pentesteros, pero tiene una pestaña "Forense" separada y un modo "forense" separado para investigadores forenses.

El forense se está volviendo muy importante en seguridad cibernética para detectar y retroceder a los delincuentes de sombrero negro. Es esencial eliminar las puertas maliciosas/maletas maliciosas de los piratas informáticos y rastrearlos para evitar posibles incidentes futuros. En el modo forense de Kali, el sistema operativo no monta ninguna partición del disco duro del sistema y no deja ningún cambio o huellas digitales en el sistema de host.

Kali Linux viene con aplicaciones forenses populares preinstaladas y factores de herramientas. Aquí revisaremos algunas famosas herramientas de código abierto presentes en Kali Linux.

Extractor a granel

Bulk Extractor es una herramienta con frecuencia rica que puede extraer información útil como números de tarjetas de crédito, nombres de dominio, direcciones IP, correos electrónicos, números de teléfono y URL de la evidencia de conductos duros/archivos encontrados durante la investigación forense. Es útil para analizar la imagen o el malware, también ayuda en la investigación cibernética y el agrietamiento de la contraseña. Construye listas de palabras basadas en la información que se encuentra a partir de evidencia que puede ayudar en el agrietamiento de la contraseña.

El extractor a granel es popular entre otras herramientas debido a su increíble velocidad, compatibilidad múltiple y minuciosidad. Es rápido debido a sus características multiproceso y tiene la capacidad de escanear cualquier tipo de medios digitales que incluyan HDD, SSD, teléfonos móviles, cámaras, tarjetas SD y muchos otros tipos.

El extractor a granel tiene las siguientes características geniales que lo hacen más preferible,

• Tiene una interfaz de usuario gráfica llamada "Visor de extractores a granel" que se utiliza para interactuar con el extractor a granel
• Tiene múltiples opciones de salida como mostrar y analizar los datos de salida en histograma.
• Se puede automatizar fácilmente usando Python u otros idiomas de secuencia de comandos.
• Viene con algunos scripts preescritos que se pueden usar para realizar escaneo adicional
• Su múltiple subproceso puede ser más rápido en los sistemas con múltiples núcleos de CPU.

root@azad: ~# bulk_extractor --help
Uso: Bulk_extractor [Opciones] ImageFile
ejecuta extractor a granel y salidas a un resumen de lo que se encontró donde
Parámetros requeridos:
ImageFile: el archivo para extraer
o -r FileDir - recurrir a través de un directorio de archivos
Tiene soporte para archivos E01
Tiene soporte para archivos AFF
-o OutDir - Especifica el directorio de salida. No debe existir.
bulk_extractor crea este directorio.
Opciones:
-I - Modo de información. Haga una muestra aleatoria rápida e imprima un informe.
-banner.txt- Agregar banner.contenido txt en la parte superior de cada archivo de salida.
-r alert_list.txt: un archivo que contiene la lista de alertas de características para alertar
(puede ser un archivo de características o una lista de globos)
(se puede repetir.)
-w stop_list.txt: un archivo que contiene la lista de paradas de características (lista blanca
(puede ser un archivo de funciones o una lista de globos)
(se puede repetir.)
-F - Lea una lista de expresiones regulares de encontrar
-F - encontrar ocurrencias de ; puede repetirse.
Los resultados van a buscar.TXT
... Snip ..
Ejemplo de uso
root@azad: ~# bulk_extractor -o salida secreta.img

Autopsia

La autopsia es una plataforma utilizada por los investigadores cibernéticos y las empresas de la ley para realizar e informar operaciones forenses. Se combina muchas utilidades individuales que se utilizan para forenses y recuperación y les proporciona interfaz gráfica de usuario.

La autopsia es un producto de código abierto, gratuito y multiplataforma que está disponible para Windows, Linux y otros sistemas operativos basados ​​en UNIX. La autopsia puede buscar e investigar datos de discos duros de múltiples formatos, incluidos Ext2, Ext3, FAT, NTFS y otros.

Es fácil de usar y no hay necesidad de instalar en Kali Linux, ya que se envía con preinstalado y preconfigurado.

Dumpzilla

Dumpzilla es una herramienta de línea de comandos multiplataforma escrita en el idioma Python 3 que se utiliza para descargar información forense de navegadores web. No extrae datos o información, solo lo muestra en el terminal que se puede canalizar, ordenar y almacenar en archivos utilizando comandos del sistema operativo. Actualmente, solo admite navegadores basados ​​en Firefox como Firefox, Seamonkey, Iceweasel, etc.

Dumpzilla puede obtener la siguiente información de los navegadores

• Puede mostrar el surf en vivo del usuario en las pestañas/ventana.
• Descargas de usuarios, marcadores e historia.
• Formularios web (búsquedas, correos electrónicos, comentarios ...).
• Caché/miniaturas de sitios visitados previamente.
• Complementos / extensiones y rutas o URL usadas.
• Navegador guardado contraseñas.
• Cookies y datos de sesión.

root@azad: ~# dumpzilla --help
Uso: Python Dumpzilla.Py Browser_Profile_Directory [Opciones]
Opciones:
--Todos (muestra todo menos los datos de DOM. No extrae miniaturas o html 5 fuera de línea)
--Cookies [-showdom -domain -name -hostcookie -access
-Crear -secure -httponly -range_last -range_create
]
--Permisos [-host]
--Descargas [-Range]
--Formularios [-Value -Range_Forms]
--Historia [-URL -TITLE -DATE -RANGE_HISTORY
-frecuencia]
--Marcadores [-range_bookmarks]
... Snip ..

Marco forense digital - DFF

DFF es una herramienta de recuperación de archivos y una plataforma de desarrollo forense escrita en Python y C++. Tiene un conjunto de herramientas y script con línea de comandos y interfaz gráfica de usuario. Se utiliza para llevar a cabo una investigación forense y para reunir e informar evidencias digitales.

Es fácil de usar y puede ser utilizado por profesionales cibernéticos, así como por novatos para recopilar y preservar la información forense digital. Aquí discutiremos algunas de sus buenas características

• Puede realizar forenses y recuperación en dispositivos locales y remotos.
• Tanto la línea de comando como la interfaz de usuario gráfica con vistas gráficas y filtros.
• Puede recuperar particiones y unidades de máquina virtual.
• Compatible con muchos sistemas y formatos de archivos, incluidos Linux y Windows.
• Puede recuperar archivos ocultos y eliminados.
• Puede recuperar los datos de la memoria temporal como la red, el proceso y etc

root@azad: ~# dff -h
Dff
Marco forense digital
Uso:/usr/bin/dff [opciones]
Opciones:
-V -Versión actual de visualización de visualización
-G -Interfaz gráfica de lanzamiento gráfico
-b -batch = FileName ejecuta lote contenido en el nombre de archivo
-l --language = lang usa lang como lenguaje de interfaz
-H -Help Muestra este mensaje de ayuda
-d - -debug redirige IO a la consola del sistema
--verbosidad = nivel establecer verbosidad nivel al depurar [0-3]
-c --config = FilePath Use el archivo de configuración de FilePath

Principal

Foremost es una herramienta de recuperación basada en línea de comandos más rápida y confiable para recuperar archivos perdidos en operaciones forenses. El principal tiene la capacidad de trabajar en imágenes generadas por DD, SafeBack, Encase, etc. o directamente en una unidad. El principal puede recuperar Exe, JPG, PNG, GIF, BMP, AVI, MPG, WAV, PDF, OLE, RAR y muchos otros tipos de archivos.

root@Azad: ~# Foremost -H
Versión más importante x.X.X de Jesse Kornblum, Kris Kendall y Nick Mikus.
$ foreMost [-V | -V | -H | -T | -q | -q | -A | -W-D] [-T ] [-s ] [-K ]
[-b ] [-C ] [-O ] [-i -V - Mostrar información de derechos de autor y salir
-t - especificar el tipo de archivo. (-t jpeg, pdf ...)
-D - Encienda la detección de bloques indirectos (para sistemas de archivos UNIX)
-I - Especificar el archivo de entrada (el valor predeterminado es stdin)
-a - Escriba todos los encabezados, no realice una detección de errores (archivos corruptos)
-w - solo escriba el archivo de auditoría, no escriba ningún archivo detectado en el disco
-o - Establecer el directorio de salida (predeterminado se sale a la salida)
-C - Establecer el archivo de configuración para usar (predeterminado se encuentra en la parte más importante.conf)
... Snip ..
Ejemplo de uso
root@Azad: ~# ForEmt -t Exe, JPEG, PDF, PNG -I File -Image.dd
Procesamiento: imagen de archivo.dd
... Snip ..

Conclusión

Kali, junto con sus famosas herramientas de prueba de penetración, también tiene una pestaña dedicada a "forense". Tiene un modo separado de "forense" que está disponible solo para USB en vivo en el que no monta las particiones de Host. Kali es un poco preferible sobre otras distribuciones forenses como Caine debido a su apoyo y una mejor compatibilidad.