Sans Investigative Forensics Toolkit

TAMIZAR es una distribución forense de computadora creada por el Sans forense equipo para realizar forenses digitales. Esta distribución incluye la mayoría de las herramientas requeridas para el análisis forense digital y los exámenes de respuesta a incidentes. TAMIZAR es de código abierto y está disponible públicamente de forma gratuita en Internet. En el mundo digital actual, donde los crímenes se comprometen todos los días utilizando tecnología digital, los atacantes se están volviendo cada vez más sigilosos y sofisticados. Esto puede hacer que las empresas pierdan datos importantes, con millones de usuarios expuestos. Proteger a su organización de estos ataques requiere fuertes técnicas forenses y conocimiento en su estrategia de defensa. TAMIZAR Proporciona herramientas forenses para sistemas de archivos, memoria y investigaciones de red para realizar investigaciones forenses en profundidad.

En 2007, TAMIZAR estaba disponible para descargar y fue codificado, por lo que cada vez que llegaba una actualización, los usuarios tenían que descargar la versión más reciente. Con más innovación en 2014, TAMIZAR estuvo disponible como un paquete robusto en Ubuntu, y ahora se puede descargar como una estación de trabajo. Más tarde, en 2017, una versión de TAMIZAR Llegó al mercado permitiendo una mayor funcionalidad y proporcionando a los usuarios la capacidad de aprovechar los datos de otras fuentes. Esta versión más nueva contiene más de 200 herramientas de terceros, y contiene un administrador de paquetes que requiere que los usuarios escriban solo un comando para instalar un paquete. Esta versión es más estable, más eficiente y proporciona una mejor funcionalidad en términos de análisis de memoria. TAMIZAR es scriptable, lo que significa que los usuarios pueden combinar ciertos comandos para que funcione de acuerdo con sus necesidades.

TAMIZAR puede ejecutarse en cualquier sistema que se ejecute en Ubuntu o Windows OS. SIFT apoya varios formatos de evidencia, incluido Aflicción, E01, y formato crudo (Dd). Las imágenes forenses de memoria también son compatibles con SIFT. Para sistemas de archivos, SIFT admite Ext2, Ext3 para Linux, HFS para Mac y Fat, V-FAT, MS-DOS y NTFS para Windows.

Instalación

Para que la estación de trabajo funcione sin problemas, debe tener una buena RAM, una buena CPU y un gran espacio de disco duro (se recomienda 15 GB). Hay dos formas de instalar TAMIZAR:

• VMware/VirtualBox

Para instalar Sift Workstation como una máquina virtual en VMware o VirtualBox, descargue el .óvulo Formato de archivo de la siguiente página:

https: // digital-forenss.sans.org/Community/Descargas
Luego, importe el archivo en VirtualBox haciendo clic en el Opción de importación. Después de que se haya completado la instalación, use las siguientes credenciales para iniciar sesión:

Inicio de sesión = sansforense

Contraseña = forense

• Ubuntu

Para instalar la estación de trabajo SIFT en su sistema Ubuntu, primero vaya a la página siguiente:

https: // github.com/teamdfir/sift-cli/comunes/tag/v1.8.5

En esta página, instale los siguientes dos archivos:

sift-cli-linux
sift-cli-linux.SHA256.asc

Luego, importe la tecla PGP usando el siguiente comando:

ubuntu@ubuntu: ~ $ gpg --keyserver hkp: // piscina.sks-keyserver.Neta: 80
--RECV-KEYS 22598A94

Validar la firma utilizando el siguiente comando:

ubuntu@ubuntu: ~ $ gpg --verify sift-cli-linux.SHA256.asc

Validar la firma SHA256 usando el siguiente comando:

ubuntu@ubuntu: ~ $ sha256sum -c sift-cli-linux.SHA256.asc

(Se puede ignorar un mensaje de error sobre las líneas formateadas en el caso anterior)

Mueva el archivo a la ubicación /usr/local/bin/sift y dale los permisos adecuados usando el siguiente comando:

ubuntu@ubuntu: ~ $ chmod 755/usr/local/bin/tamiz

Finalmente, ejecute el siguiente comando para completar la instalación:

ubuntu@ubuntu: ~ $ sudo sift instalación

Después de que se complete la instalación, ingrese las siguientes credenciales:

Inicio de sesión = sansforense

Contraseña = forense

Otra forma de ejecutar SIFT es simplemente arrancar el ISO en una unidad de arranque y ejecutarlo como un sistema operativo completo.

Herramientas

La estación de trabajo SIFT está equipada con numerosas herramientas utilizadas para el examen forense y de respuesta a incidentes en profundidad. Estas herramientas incluyen lo siguiente:

• Autopsia (herramienta de análisis del sistema de archivos)

La autopsia es una herramienta utilizada por el ejército, la aplicación de la ley y otras agencias cuando existe una necesidad forense. La autopsia es básicamente una GUI para la famosa Sleuthkit. Sleuthkit toma solo instrucciones de línea de comando. Por otro lado, la autopsia hace que el mismo proceso sea fácil y fácil de usar. Al escribir lo siguiente:

ubuntu@ubuntu: ~ $ autopsia
Aparecerá una pantalla, de la siguiente manera, aparecerá:
=================================================
Autopsia navegador forense
http: // www.sleuthkit.org/autopsia/
ver 2.24
=================================================
Locker de evidencia:/var/lib/autopsia
Hora de inicio: miércoles 17 de junio 00:42:46 2020
Host remoto: localhost
Puerto local: 9999
Abra un navegador HTML en el host remoto y pegue esta url en él:
http: // localhost: 9999/autopsia

Al navegar a http: // localhost: 9999/autopsia En cualquier navegador web, verá la página a continuación:

Lo primero que debe hacer es crear un caso, darle un número de caso y escribir los nombres de los investigadores para organizar la información y la evidencia. Después de ingresar la información y golpear el Próximo Botón, será la página que se muestra a continuación:

Esta pantalla muestra lo que escribió como el número de caso y la información del caso. Esta información se almacena en la biblioteca /var/lib/autopsy/.

Al hacer clic Agregar host, Verá la siguiente pantalla, donde puede agregar la información del host, como el nombre, la zona horaria y la descripción del host ..

Clic Próximo lo llevará a una página que le exigirá que proporcione una imagen. E01 (Formato de testigos expertos), Aflicción (Formato forense avanzado), Dd (Formato sin procesar), y las imágenes forenses de memoria son compatibles. Proporcionará una imagen y dejará que la autopsia haga su trabajo.

• Foremost (herramienta de talla de archivos)

Si desea recuperar archivos que se perdieron debido a sus estructuras de datos internos, encabezados y pies de página, principal puede ser usado. Esta herramienta toma la entrada en diferentes formatos de imagen, como los generados con DD, Encase, etc. Explore las opciones de esta herramienta utilizando el siguiente comando:

ubuntu@ubuntu: ~ $
-D - Encienda la detección de bloques indirectos (para sistemas de archivos UNIX)
-I - Especificar el archivo de entrada (el valor predeterminado es stdin)
-a - Escriba todos los encabezados, realice una detección de errores (archivos corruptos) Ash
-w - solo escriba el archivo de auditoría, no escriba ningún archivo detectado en el disco
-o - Establecer el directorio de salida (predeterminado se sale a la salida)
-C - Establecer el archivo de configuración para usar (predeterminado se encuentra en la parte más importante.conf)
-P - Habilita el modo rápido.

• binwalk

Para administrar bibliotecas binarias, binwalk se usa. Esta herramienta es un activo importante para aquellos que saben cómo usarla. Binwalk se considera la mejor herramienta disponible para la ingeniería inversa y la extracción de imágenes de firmware. Binwalk es fácil de usar y contiene enormes capacidades. Eche un vistazo a Binwalk's Ayuda página para obtener más información utilizando el siguiente comando:

ubuntu@ubuntu: ~ $ binwalk --help
Uso: Binwalk [Opciones] [File1] [File2] [File3] ..
Opciones de escaneo de firma:
-B, -Archivos de destino de escaneo de firma para firmas de archivos comunes
-R, - -raw = escanear archivos de destino para la secuencia especificada de bytes
-A, -Opcodes Archivos de destino de escaneo para firmas comunes de código de operación ejecutable
-m, - -magic = especificar un archivo mágico personalizado para usar
-B, -DiM -DISPLITS SMART Signature Keywords
-I, -Las inválidas muestran resultados marcados como inválidos
-x, --exclude = excluir los resultados que coinciden
-y, --include = solo muestra resultados que coinciden
Opciones de extracción:
-E, -Extractan automáticamente los tipos de archivos conocidos
-D, --dd = Extraer firmas, dar a los archivos un
extensión de y ejecutar
-M, --MatryaShka ​​escanean recursivamente archivos extraídos
-D, - -Depth = Profundidad de recursión de Limit Matryoshka (predeterminado: 8 niveles de profundidad)
-C, - -diirectory = extraer archivos/carpetas a un directorio personalizado
-J, --size = Limite el tamaño de cada archivo extraído
-n, --count = limitar el número de archivos extraídos
-R, - -RM Eliminar archivos tallados después de la extracción
-z, --carve talla datos de archivos, pero no ejecute utilidades de extracción
Opciones de análisis de entropía:
-E, -Entropy calcular la entropía del archivo
-F, -Usar el análisis de entropía más rápido, pero menos detallado
-J, -Save Save Plot como PNG
-Q, -Nlegend omitir la leyenda del gráfico de trazado de entropía
-N, - -nplot no genera un gráfico de trazado de entropía
-H, --hifigh = Establezca el umbral de disparo de entropía del borde ascendente (predeterminado: 0.95)
-L, --low = Establezca el umbral de disparo de entropía del borde de caída (predeterminado: 0.85)
Opciones de diferencia binaria:
-W, - -Hexdump realiza un hexdump / diff de un archivo o archivos
-G, -Green solo líneas de exhibición que contienen bytes que son las mismas entre todos los archivos
-I, -Red Only Show Lines que contienen bytes que son diferentes entre todos los archivos
-U, -BLUE SOLO SHOW LÍNEAS que contienen bytes que son diferentes entre algunos archivos
-w, --terse diff todos los archivos, pero solo muestra un volcado hexadecimal del primer archivo
Opciones de compresión en bruto:
-X, -escaneo de definición para flujos de compresión de deflación en bruto
-Z, -Lzma Scan para flujos de compresión LZMA crudos
-P, -Partial realizar un escaneo superficial, pero más rápido,
-S, -parada de parada después del primer resultado
Opciones generales:
-l, - -longitud = número de bytes para escanear
-o, --OffSet = Iniciar escaneo en esta compensación de archivo
-O, - -base = Agregar una dirección base a todas las compensaciones impresas
-K, --block = Establecer el tamaño del bloque de archivo
-g, --swap = revertir cada n bytes antes de escanear
-F, --log = Registro de registro para archivar
-C, - -CSV Registre los resultados para archivar en formato CSV
-t, -salida de formato de término para que se ajuste a la ventana del terminal
-Q, -Cuenta de suprimir la salida a stdout
-v, --verbose habilita la salida detallada
-h, - -Help Show Help Sutening
-a, - -finclude = solo escane los archivos cuyos nombres coinciden con este regex
-P, --fexClude = No escane los archivos cuyos nombres coincidan con este regex
-s, - -status = habilitar el servidor de estado en el puerto especificado

• Volatilidad (herramienta de análisis de memoria)

La volatilidad es una herramienta forense de análisis de memoria popular utilizada para inspeccionar volcados de memoria volátiles y para ayudar a los usuarios a recuperar datos importantes almacenados en RAM en el momento del incidente. Esto puede incluir archivos modificados o procesos que se ejecutan. En algunos casos, el historial del navegador también se puede encontrar utilizando la volatilidad.

Si tiene un volcado de memoria y desea conocer su sistema operativo, use el siguiente comando:

ubuntu@ubuntu: ~ $ .volante.Py Imageino -F

La salida de este comando dará un perfil. Al usar otros comandos, debe dar este perfil como perímetro.

Para obtener la dirección KDBG correcta, use la kdbgscan El comando, que escanea para los encabezados KDBG, las marcas conectadas a los perfiles de volatilidad y se aplica una vez para verificar que todo está bien para disminuir los positivos falsos. La verbosidad del rendimiento y el número de una vez que se pueden realizar dependen de si la volatilidad puede descubrir un DTB. Entonces, en el caso de que conozca el perfil correcto, o si tiene una recomendación de perfil de ImageInfo, asegúrese de usar el perfil correcto. Podemos usar el perfil con el siguiente comando:

ubuntu@ubuntu: ~ $ .volante.perfil de py = kdbgscan
-F

Para escanear la región de control del procesador del núcleo (KPCR) Estructuras, usar kpcrscan. Si se trata de un sistema multiprocesador, cada procesador tiene su propia región de escaneo del procesador de núcleo.

Ingrese el siguiente comando para usar kpcrscan:

ubuntu@ubuntu: ~ $ .volante.perfil de py = kpcrscan
-F

Para escanear para malwares y rootkits, pscan se usa. Esta herramienta escanea para procesos ocultos vinculados a RootKits.

Podemos usar esta herramienta ingresando el siguiente comando:

ubuntu@ubuntu: ~ $ .volante.perfil de py = pscan
-F

Eche un vistazo a la página del hombre para esta herramienta con el comando de ayuda:

ubuntu@ubuntu: ~ $ volatilidad -h
Opciones:
-H, -Help List todas las opciones disponibles y sus valores predeterminados.
Los valores predeterminados se pueden establecer en el archivo de configuración
(/etc/volatilidadrc)
--conf-file =/home/usman/.volatilidadrc
Archivo de configuración basado en el usuario
-D, -Volatilidad de debug y debug
--complementos = complementos directorios de complementos adicionales para usar (colon separado)
--Información Información de impresión sobre todos los objetos registrados
--caché-directory =/home/usman/.caché/volatilidad
Directorio donde se almacenan los archivos de caché
--caché usa almacenamiento en caché
--TZ = TZ establece la zona horaria (Olson) para mostrar marcas de tiempo
Uso de Pytz (si está instalado) o TZSet
-F FileName, --FileName = FileName
Nombre de archivo para usar al abrir una imagen
--perfil = winxpsp2x86
Nombre del perfil para cargar (use --info para ver una lista de perfiles compatibles)
-L ubicación, -ubicación = ubicación
Una ubicación de urna desde la cual cargar un espacio de direcciones
-w, - -write habilitar soporte de escritura
--DTB = DITB DTB DTB
--Shift = Shift Mac Kaslr Dirección de desplazamiento
--salida = salida de texto en este formato (el soporte es específico del módulo, ver
las opciones de salida del módulo a continuación)
--Output-File = output_file
Escriba la salida en este archivo
-V, -VERBOSE Información detallada
--físico_shift = físico_shift
Dirección de cambio físico del núcleo de Linux
--virtual_shift = virtual_shift
Dirección de desplazamiento virtual del núcleo de Linux
-g kdbg, --kdbg = kdbg Especifique una dirección virtual KDBG (nota: para 64 bits
Windows 8 y superior esto es la dirección de
KdCopyDatablock)
--Fuerza Utilización de la fuerza del perfil sospechoso
--Cookie = Cookie especifique la dirección de NT!Obheadercookie (válido para
Solo Windows 10)
-K KPCR, --KPCR = KPCR Especifique una dirección de KPCR específica
Comandos de complemento compatibles:
AMCACHE Imprimir información de Amcache
Los apihooks detectan ganchos de API en el proceso y la memoria del núcleo
Tablas de átomos de sesión de impresión de átomos y ventana
escáner de piscina AtomScan para tablas Atom
AuditPol imprime las políticas de auditoría de HKLM \ Security \ Policy \ Poladtev
BigPools voltea las piscinas de las páginas grandes usando BigPagePoolscanner
Bioskbd lee el búfer de teclado desde la memoria del modo real
vertederos en caché de hashes de dominio en caché de la memoria
Backbacks Rutinas de notificación en todo el sistema
El portapapeles extrae el contenido del portapapeles de Windows
argumentos de línea de comandos del proceso de pantalla cmdline
CMDSCAN Extract de historial de comando escaneando para _command_history
Lista de impresión de conexiones de conexiones abiertas [Windows XP y 2003 solamente]
Escáner de piscina Connscan para conexiones TCP
El historial de comando de extracción de consolas escaneando para _console_information
Información de choque de choque crashinfo
Desskscan Poolscaner para Tagdesktop (escritorios)
árbol de dispositivos de show de deviceTree
dlldump dlls dlls desde un espacio de direcciones de proceso
Lista de impresión de DLLList de DLL cargados para cada proceso
Conductor Driver Detección de gancho IRP IRP
Drivermodule Associate Driver Objects a los módulos del núcleo
escáner de piscina de conducir para objetos de controlador
Dumpcerts volcado RSA claves SSL privadas y públicas
DumpFiles extraer archivos de memoria y almacenamiento en caché de memoria
El vertedero descarga los archivos de registro al disco
GDITIMERS IMPRIMIR TEMPORTOS DE GDI instalados y devoluciones de llamada
Tabla de descriptor global de visualización GDT
GetServicesIds obtiene los nombres de los servicios en el registro y devuelve el sid calculado
GetIds imprime el SIDS que posee cada proceso
Maneja lista de impresiones de manijas abiertas para cada proceso
Hashdump descarga contraseñas de hashes (LM/NTLM) desde la memoria
Información del archivo de hibernación de hibinfo volcado
LSADUMPUNT (descifrado) Secretos de LSA del registro
Información del formato de archivo machoinfo dump mach-o
MEMMAP imprima el mapa de memoria
MessageHooks Lista de escritorio y ganchos de mensaje de la ventana de subprocesos
MFTPARSER Escanea y analiza las posibles entradas MFT
Moddump voltea un controlador de kernel a una muestra de archivo ejecutable
escáner de piscina modscan para módulos de kernel
módulos Lista de impresión de módulos cargados
escaneo multiscan para varios objetos a la vez
escáner de la piscina mutantes para objetos mutex
Lista de blocas
ObjtypeScan Scan for Windows Tipo de objeto Objetos
Memoria de parches de Patcher basada en escaneos de página
complemento de escáner de piscina configurable de PoolPeek

• Hashdeep o MD5Deep (herramientas de hash)

Rara vez es posible que dos archivos tengan el mismo hash MD5, pero es imposible que un archivo se modifique con su hash MD5 que queda igual. Esto incluye la integridad de los archivos o la evidencia. Con un duplicado de la unidad, cualquiera puede analizar su confiabilidad y pensaría por un segundo que el impulso se puso allí deliberadamente. Para obtener pruebas de que la unidad en consideración es el original, puede usar el hashing, lo que le dará un hash a una unidad. Si incluso se cambia una sola información, el hash cambiará, y podrá saber si la unidad es única o duplicada. Para asegurar la integridad de la unidad y que nadie puede cuestionarlo, puede copiar el disco para generar un hash MD5 de la unidad. Puedes usar md5sum Para uno o dos archivos, pero cuando se trata de múltiples archivos en múltiples directorios, MD5Deep es la mejor opción disponible para generar hashes. Esta herramienta también tiene la opción de comparar múltiples hashes a la vez.

Eche un vistazo a la página del hombre MD5Deep:

ubuntu@ubuntu: ~ $ md5deep -h
$ md5deep [opción] ... [archivos] ..
Ver la página del hombre o el readme.archivo txt o use -hh para la lista completa de opciones
-P - modo por partes. Los archivos se dividen en bloques para hashing
-r - modo recursivo. Todos los subdirectorios están atravesados
-E - Muestre el tiempo estimado restante para cada archivo
-S - Modo silencioso. Suprimir todos los mensajes de error
-z - Mostrar el tamaño del archivo antes del hash
-M - habilita el modo de coincidencia. Ver página Readme/man
-x - habilita el modo de coincidencia negativa. Ver página Readme/man
-My -x son los mismos que -m y -x pero también imprimen hash de cada archivo
-W - Muestra qué archivo conocido generó una coincidencia
-N - Muestra hash conocidos que no coincidían con ningún archivo de entrada
-A y -A agregan un solo hash al conjunto de coincidencia positiva o negativa
-B - Imprime solo el nombre desnudo de los archivos; Se omite toda la información de la ruta
-L - Imprimir rutas relativas para nombres de archivo
-t - Imprima la marca de tiempo GMT (ctime)
-I/I - Solo procesa archivos más pequeños/más grandes que el tamaño
-V - Mostrar número de versión y salida
-d - salida en dfxml; -u - Escapar unicode; -W FILE - Escribir en el archivo.
-J - Use los hilos num (predeterminado 4)
-Z - modo de triaje; -h - ayuda; -hh - ayuda completa

• Exiftool

Hay muchas herramientas disponibles para etiquetar y ver imágenes uno por uno, pero en el caso de que tenga muchas imágenes para analizar (en las miles de imágenes), Exiftool es la opción. ExifTool es una herramienta de código abierto utilizada para ver, cambiar, manipular y extraer los metadatos de una imagen con solo unos pocos comandos. Los metadatos proporcionan información adicional sobre un elemento; Para una imagen, sus metadatos serán su resolución, cuando fue tomada o creada, y la cámara o programa utilizado para crear la imagen. ExifTool se puede usar no solo para modificar y manipular los metadatos de un archivo de imagen, sino que también puede escribir información adicional en los metadatos de cualquier archivo. Para examinar los metadatos de una imagen en formato bruto, use el siguiente comando:

ubuntu@ubuntu: ~ $ exif

Este comando le permitirá crear datos, como modificar la fecha, la hora y otra información que no se enumera en las propiedades generales de un archivo.

Suponga que necesita nombrar cientos de archivos y carpetas utilizando metadatos para crear fecha y hora. Para hacerlo, debe usar el siguiente comando:

ubuntu@ubuntu: ~ $ exif '-filename
Creative: ordenar por la fecha y hora de creación del archivo
-D: Establecer el formato
-R: Recursivo (use el siguiente comando en cada archivo en la ruta dada)
-Extensión: Extensión de archivos a modificar (JPEG, PNG, etc.)
-ruta al archivo: ubicación de la carpeta o subcarpeta
Eche un vistazo a la página del hombre de Exiftool:
ubuntu@ubuntu: ~ $ exif --help
-V, -Versión de la versión del software de visualización
-i, --ids muestra identificaciones en lugar de nombres de etiquetas
-t, - -Tag = etiqueta seleccionar etiqueta
--ifd = ifd seleccionar ifd
-l, --list-Tags enumera todas las etiquetas exif
-|,-show-mnote muestra contenido de la etiqueta makernote
--eliminar la etiqueta eliminar o ifd
-S,-Descripción de la descripción Mostrar descripción de la etiqueta
-E,-Extractor a la miniatura de extracto de mina
-R,-Remove-Thumbnail Retire la miniatura
-n, --insert-thumbnail = archivo insertar archivo como miniatura
--No-fixup no solucione las etiquetas existentes en los archivos
-o, --output = archivo escriba datos en el archivo
--set-value = valor de cadena de la etiqueta
-c,-CREATE-EXIF Crear datos de exif si no existen
-m,-salida legible con máquina en un formato legible por máquina (test Delimitado)
-w, - -width = ancho de ancho de salida
-x, la salida de salida de xml en un formato XML
-D, -Mensajes de depuración de muestras de DEBUG
Opciones de ayuda:
-?, --Ayuda a mostrar este mensaje de ayuda
--Mensaje de uso breve de visualización de uso

• dcfldd (herramienta de imagen de disco)

Se puede obtener una imagen de un disco utilizando el dcfldd utilidad. Para obtener la imagen del disco, use el siguiente comando:

ubuntu@ubuntu: ~ $ dcfldd if = de
BS = 512 recuento = 1 hash =
if = destino de la unidad de la cual crear una imagen
de = destino donde se almacenará la imagen copiada
bs = tamaño de bloque (número de bytes para copiar a la vez)
hash = hash tipo (opcional)

Eche un vistazo a la página de ayuda DCFLDD para explorar varias opciones para esta herramienta utilizando el siguiente comando:

ubuntu@ubuntu: ~ $ dcfldd --help
dcfldd --help
Uso: dcfldd [opción] ..
Copiar un archivo, convertir y formatear de acuerdo con las opciones.
bs = bytes force ibs = bytes y obs = bytes
cbs = bytes convierte bytes bytes a la vez
Conv = Palabras clave Convierta el archivo según las palabras clave separadas por coma listcc
Count = Bloqueos Copiar solo bloques de entrada Bloques de entrada
Ibs = bytes lee bytes bytes a la vez
if = archivo lee desde el archivo en lugar de stdin
Obs = bytes Escribir bytes bytes a la vez
de = archivo escribir en archivo en lugar de stdout
NOTA: Of = El archivo se puede usar varias veces para escribir
Salir a varios archivos simultáneamente
de: = comando exec y escribir salida para procesar comando
buscar = bloques omitir bloques de bloques de tamaño al inicio de la salida
Skip = bloques de omitir bloques de parcias del tamaño del IBS al inicio de la entrada
Patrón = Hex Utilice el patrón binario especificado como entrada
textPattern = texto Use repetición de texto como entrada
errlog = archivo envíe mensajes de error al archivo y stderr
hashwindow = bytes realiza un hash en cada cantidad de datos bytes
hash = nombre MD5, SHA1, SHA256, SHA384 o SHA512
El algoritmo predeterminado es MD5. Para seleccionar múltiples
algoritmos para ejecutar simultáneamente ingresar los nombres
En una lista separada por coma
hashlog = archivo envíe la salida de hash MD5 al archivo en lugar de stderr
Si está utilizando múltiples algoritmos hash, usted
puede enviar cada uno a un archivo separado utilizando el
Convención algorithmlog = archivo, por ejemplo
md5log = file1, sha1log = file2, etc.
hashlog: = command exec y escribir hashlog para procesar el comando
Algorithmlog: = comando también funciona de la misma manera
hashconv = [antes | después] realice el hash antes o después de las conversiones
hashformat = formato Muestra cada hashwindow de acuerdo con el formato
El mini idioma del formato hash se describe a continuación
TotalHashFormat = Formato Muestra el valor de hash total de acuerdo con el formato
status = [ON | OFF] Muestre un mensaje de estado continuo en stderr
El estado predeterminado está "encendido"
statusInterval = n Actualizar el mensaje de estado cada N bloqueo
El valor predeterminado es 256
sizeProbe = [if | of] determinar el tamaño del archivo de entrada o salida
Para usar con mensajes de estado. (esta opción
le da un indicador porcentual)
Advertencia: no use esta opción contra un
dispositivo de cinta.
Puede usar cualquier número de 'a' o 'n' en cualquier combo
El formato predeterminado es "nnn"
Nota: Las opciones de Split y SplitFormat surtan
Solo para archivos de salida especificados después de los dígitos en
Cualquier combinación que te gustaría.
(mi.gramo. "anaannnaana" sería válido, pero
bastante loco)
vf = archivo verifique que el archivo coincida con la entrada especificada
verifyLog = archivo Enviar resultados de verificación a archivo en lugar de stderr
VerifyLog: = Command Exec y escribir resultados Verificar para procesar el comando
--Ayuda a mostrar esta ayuda y salida
--Versión de salida de la versión y salida de la versión
ASCII de Ebcdic a ASCII
Ebcdic de ASCII a Ebcdic
IBM de ASCII a EBCDIC alternado
Block Pad Newline Terminados de registros con espacios para CBS-Size
El desbloqueo reemplaza los espacios finales en los registros de tamaño CBS con Newline
Cambio de mayúsculas y minúsculas
NotRunc no trunce el archivo de salida
Cambio de UCase en minúscula a la caja superior
SwaB intercambia cada par de bytes de entrada
NoError continúa después de los errores de lectura
Almohadilla de sincronización cada bloque de entrada con NULS al tamaño del IBS; cuando se usa

Hojas de trucos

Otra cualidad del TAMIZAR La estación de trabajo son las hojas de trucos que ya están instaladas con esta distribución. Las hojas de trucos ayudan al usuario a comenzar. Al realizar una investigación, las hojas de trucos les recuerdan al usuario todas las poderosas opciones disponibles con este espacio de trabajo. Las hojas de trucos permiten al usuario tener en sus manos las últimas herramientas forenses con facilidad. Las hojas de trucos de muchas herramientas importantes están disponibles en esta distribución, como la hoja de trucos disponible para Creación de la línea de tiempo de la sombra:

Otro ejemplo es la hoja de trucos para el famoso Sleuthkit:

Las hojas de trucos también están disponibles para Análisis de memoria y para montar todo tipo de imágenes:

Conclusión

El kit de herramientas forenses de investigación sans (TAMIZAR) tiene las capacidades básicas de cualquier otro kit de herramientas forenses y también incluye todas las últimas herramientas poderosas necesarias para realizar un análisis forense detallado en E01 (Formato de testigos expertos), Aflicción (Formato forense avanzado) o imagen en bruto (Dd) Formatos. El formato de análisis de memoria también es compatible con SIFT. SIFT coloca pautas estrictas sobre cómo se analiza la evidencia, asegurando que la evidencia no esté manejada (estas pautas tienen permisos de solo lectura). Se puede acceder a la mayoría de las herramientas incluidas en SIFT a través de la línea de comandos. SIFT también se puede utilizar para rastrear la actividad de la red, recuperar datos importantes y crear una línea de tiempo de manera sistemática. Debido a la capacidad de esta distribución para examinar a fondo los discos y múltiples sistemas de archivos, SIFT es de alto nivel en el campo forense y se considera una estación de trabajo muy efectiva para cualquier persona que trabaje en forense. Todas las herramientas requeridas para cualquier investigación forense están contenidas en el Estación de trabajo de tamizado creado por el Sans forense equipo y Rob Lee .