Introducción
La última vez, cubrimos 14 herramientas forenses que están presentes en Kali Linux y explicamos su propósito y capacidades especiales. Hoy, vamos a presentar 14 herramientas forenses, que son de una famosa biblioteca, "The Sleuth Kit" (TSK), empaquetada dentro de la actualización 2020 de Kali Linux. Puede encontrar estas herramientas en la lista desplegable forense en el nombre de la suite del kit de detectives en el menú Kali Whisker.
blkcalc
La herramienta BLKCALC es una herramienta forense que convierte los puntos de disco no asignados en puntos de disco regulares. Este programa crea un número de puntos que mapea dos imágenes. Una de estas imágenes es normal, y la otra contiene números de puntos no asignados de la primera imagen. Esta herramienta puede admitir muchos tipos de sistemas de archivos. Si no se define un sistema de archivos al inicio, BLKCALC tiene la característica única de los métodos de autodetección para encontrar el tipo de sistema de archivos.
tsk_comparedir
Con la ayuda de la herramienta TSK_COMPAREDIR, el contenido de la imagen se compara con el contenido del directorio de comparación. Esta es la mejor herramienta en la fase de prueba para identificar RootKits (código malicioso o archivos). La prueba RootKit se realiza comparando el contenido del directorio local con un dispositivo sin procesar local. Estas raíces no están ocultas cuando se accede y leen desde un dispositivo sin procesar.
tsk_gettimes
La herramienta forense tsk_gettimes se basa en una biblioteca de kit de detectives. Esta herramienta recopila los Mac Times (metadatos del sistema de archivos) de una imagen de disco especificada y convierte los tiempos en un archivo de cuerpo. La herramienta tsk_gettimes examina cada sistema de archivos en una partición o imagen de disco y procesa los datos dentro. La salida de esta herramienta son los datos de la imagen del disco en un formato de cuerpo de tiempo MAC, que luego se puede utilizar como una entrada al sistema para generar una cronología de la actividad del archivo. Los datos se imprimen como un archivo a través del comando stdout.
blkcat
La herramienta BLKCAT es una herramienta forense rápida y eficiente envasada dentro de Kali. El propósito de esta herramienta es mostrar el contenido de los datos almacenados en la imagen de disco de un sistema de archivos. La salida muestra el número de unidades de datos, comenzando con la dirección principal y las impresiones de la unidad, en diferentes formatos que se pueden especificar y ordenar. Por defecto, el formato de salida es sin procesar, y también se llama DCAT.
tsk_loaddb
La herramienta TSK_LOADDB carga los metadatos desde la imagen del disco en una base de datos SQLite, que es una base de datos utilizable para el análisis de otras herramientas de software. La base de datos se almacena en el directorio de imágenes para facilitar el acceso. Esta herramienta admite muchos sistemas de archivos y puede calcular el valor de hash MD5 para cada archivo.
blkstat
La herramienta del kit de detectives BLKSTAT muestra toda la información sobre las unidades de datos de un sistema de archivos. Esta herramienta devuelve datos sobre el estado de asignación de un bloque o un sector de un sistema de archivos. Esta herramienta puede usar el comando ADDR, que muestra las estadísticas de una pieza de datos, y también se llama DSTAT.
fFind
La herramienta FFIND utiliza un inodo para buscar el nombre del directorio o el archivo en una imagen de disco. Los archivos asignados a un identificador de archivo inode en una partición de disco tienen nombres; Por defecto, esta herramienta solo devolverá el primer nombre que encuentra. La herramienta FFIND incluso puede encontrar nombres de archivo eliminados, que es la capacidad especial de esta herramienta. Además, la herramienta FFIND también puede encontrar múltiples nombres de archivo.
hacer
La herramienta HFIND busca valores hash en bases de datos hash. Los valores hash se buscan utilizando el algoritmo de búsqueda binario. El propósito de usar este algoritmo es permitir a los usuarios crear fácilmente bases de datos hash e identificar rápidamente un archivo, ya sea conocido o desconocido. Esta herramienta utiliza la biblioteca NSRL y devuelve MD5SUM. Esta herramienta es muy eficiente, ya que crea un archivo de índice que ya está ordenado y tiene entradas de longitud fija, lo que hace que la búsqueda sea muy rápida.
FLS
El nombre FLS implica el término "LS", que significa enumerar el contenido de una carpeta. La herramienta FLS enumera todos los nombres y directorios de archivos en un archivo de imagen, e incluso puede mostrar nombres de archivos que se eliminaron recientemente. Si no se usa el identificador o inodo del archivo, entonces se usa el directorio raíz.
mmcat
La herramienta MMCAT es una herramienta forense que devuelve el contenido de una partición a través de la función de impresión. Esta herramienta extrae todos los datos en una partición en un archivo separado.
signo
Esta herramienta encuentra la firma binaria presente dentro de un archivo. Esta firma binaria se llama hex_signature, que está presente en cada archivo. Esta herramienta se puede usar para encontrar superbloques perdidos, particiones o tablas de imágenes, y sectores de arranque. El formato hexadecimal debe usarse para encontrar la firma binaria.
Encuentro
Esta herramienta busca la estructura de datos sin procesar de un archivo, que se asigna en una unidad de disco o nombre de archivo específico. A veces, cualquiera de estas estructuras de metadatos no puede ser asignada, pero esta herramienta aún obtendrá los resultados.
clasificador
La herramienta de orator es una herramienta de script "perl" que realiza la clasificación en un sistema de archivos para organizarla en archivos asignados y no asignados, según el tipo de archivo. Esta herramienta ejecuta un comando en cada archivo y clasifica los archivos de acuerdo con los archivos de configuración. Los tipos de archivos incluyen archivos ocultos, archivos hash para bases de datos hash, archivos que se sabe que son buenos y los que deben cambiarse. Los archivos de configuración utilizados, por defecto, se toman desde donde se instala la herramienta, pero esto se puede cambiar con las decisiones de tiempo de ejecución.
tsk_recover
Esta herramienta transfiere archivos desde una partición de disco en un directorio raíz local. Los archivos recuperados son, por defecto, solo archivos no asignados. A través de ciertos comandos, todos los archivos se pueden exportar.
Conclusión
Estas 14 herramientas vienen con Kali Linux Live, así como imágenes del instalador, y están de código abierto y están disponibles gratuitamente. Estas herramientas se pueden encontrar en el menú Kali Whisker en una carpeta llamada Sleuth Kit Suite. Las herramientas reciben actualizaciones frecuentes de TSK para soluciones menores de errores.