Forense

Herramientas forenses de Kali Linux

Herramientas forenses de Kali Linux
Kali Linux es un potente sistema operativo especialmente diseñado para probadores de penetración y profesionales de la seguridad. La mayoría de sus funciones y herramientas están diseñadas para investigadores de seguridad y pentesters, pero tiene una pestaña "Forensics" separada y un modo "Forensics" separado para investigadores forenses.

La ciencia forense se está volviendo muy importante en la seguridad cibernética para detectar y rastrear a los delincuentes de Black Hat. Es esencial eliminar las puertas traseras / malwares maliciosos de los piratas informáticos y rastrearlos para evitar posibles incidentes futuros. En el modo forense de Kali, el sistema operativo no monta ninguna partición del disco duro del sistema y no deja ningún cambio o huella digital en el sistema del host.

Kali Linux viene con kits de herramientas y aplicaciones forenses populares preinstaladas. Aquí revisaremos algunas herramientas famosas de código abierto presentes en Kali Linux.

Extractor a granel

Bulk Extractor es una herramienta con muchas funciones que puede extraer información útil como números de tarjetas de crédito, nombres de dominio, direcciones IP, correos electrónicos, números de teléfono y URL de pruebas, discos duros / archivos encontrados durante una investigación forense. Es útil para analizar imágenes o malware, también ayuda en la investigación cibernética y el descifrado de contraseñas. Crea listas de palabras basadas en información encontrada a partir de evidencia que puede ayudar a descifrar contraseñas.

Bulk Extractor es popular entre otras herramientas debido a su increíble velocidad, compatibilidad con múltiples plataformas y minuciosidad. Es rápido debido a sus funciones de subprocesos múltiples y tiene la capacidad de escanear cualquier tipo de medio digital que incluye discos duros, SSD, teléfonos móviles, cámaras, tarjetas SD y muchos otros tipos.

Bulk Extractor tiene las siguientes características interesantes que lo hacen más preferible,

[correo electrónico protegido]: ~ # bulk_extractor --help
Uso: archivo de imagen bulk_extractor [opciones]
ejecuta un extractor masivo y salidas para stdout un resumen de lo que se encontró donde
Parámetros requeridos:
imagefile: el archivo que se va a extraer
o -R Fiedir - recurse a través de un directorio de archivos
TIENE SOPORTE PARA ARCHIVOS E01
TIENE SOPORTE PARA ARCHIVOS AFF
-o outdir - especifica el directorio de salida. No debe existir.
bulk_extractor crea este directorio.
Opciones:
-i - modo INFO. Haga una muestra aleatoria rápida e imprima un informe.
-b banner.txt- Agregar banner.txt en la parte superior de cada archivo de salida.
-r lista_de_alertas.txt: un archivo que contiene la lista de alertas de características para alertar
(puede ser un archivo de características o una lista de elementos globales)
(se puede repetir.)
-w stop_list.txt: un archivo que contiene la lista de detención de funciones (lista blanca
(puede ser un archivo de características o una lista de elementos globales)
(se puede repetir.)
-F    - Leer una lista de expresiones regulares de encontrar
-F    - encontrar ocurrencias de ; puede repetirse.
los resultados van a buscar.TXT
... recortar ..
 
Ejemplo de uso
 
[correo electrónico protegido]: ~ # bulk_extractor -o secreto de salida.img

Autopsia

Autopsy es una plataforma que utilizan los investigadores cibernéticos y las fuerzas del orden para realizar e informar sobre operaciones forenses. Combina muchas utilidades individuales que se utilizan para análisis forense y recuperación y les proporciona una interfaz gráfica de usuario.

Autopsy es un producto de código abierto, gratuito y multiplataforma que está disponible para Windows, Linux y otros sistemas operativos basados ​​en UNIX. Autopsy puede buscar e investigar datos de discos duros de múltiples formatos, incluidos EXT2, EXT3, FAT, NTFS y otros.

Es fácil de usar y no es necesario instalarlo en Kali Linux, ya que se envía con preinstalado y preconfigurado.

Dumpzilla

Dumpzilla es una herramienta de línea de comandos multiplataforma escrita en lenguaje Python 3 que se utiliza para descargar información relacionada con el análisis forense de los navegadores web. No extrae datos o información, solo los muestra en la terminal que se puede canalizar, clasificar y almacenar en archivos usando los comandos del sistema operativo. Actualmente, solo admite navegadores basados ​​en Firefox como Firefox, Seamonkey, Iceweasel, etc.

Dumpzilla puede obtener la siguiente información de los navegadores

  • Puede mostrar la navegación en vivo del usuario en pestañas / ventana.
  • Descargas de usuarios, marcadores e historial.
  • Formularios web (búsquedas, correos electrónicos, comentarios…).
  • Caché / miniaturas de sitios visitados anteriormente.
  • Complementos / Extensiones y rutas o URL utilizadas.
  • Contraseñas guardadas del navegador.
  • Cookies y datos de sesión.
[correo electrónico protegido]: ~ # dumpzilla --help
Uso: python dumpzilla.py browser_profile_directory [Opciones]
Opciones:
--Todo (muestra todo menos los datos DOM. No extrae miniaturas ni HTML 5 sin conexión)
--Cookies [-showdom -domain -nombre -hostcookie -acceso
-crear -seguro <0/1> -httponly <0/1> -range_last -range_create
]
--Permisos [-host ]
--Descargas [-range ]
--Formularios [-valor -range_forms ]
--Historia [-url -título -fecha -range_history
-frecuencia]
--Marcadores [-range_bookmarks ]
... recortar ..

Marco de análisis forense digital - DFF

DFF es una herramienta de recuperación de archivos y una plataforma de desarrollo forense escrita en Python y C++. Tiene un conjunto de herramientas y secuencias de comandos con la línea de comandos y la interfaz gráfica de usuario. Se utiliza para realizar Investigaciones Forenses y para recopilar y reportar evidencias digitales.

Es fácil de usar y puede ser utilizado por profesionales cibernéticos, así como por principiantes, para recopilar y preservar información forense digital. Aquí discutiremos algunas de sus buenas características

  • Puede realizar análisis forense y recuperación en dispositivos locales y remotos.
  • Tanto la línea de comandos como la interfaz de usuario gráfica con vistas gráficas y filtros.
  • Puede recuperar particiones y unidades de máquinas virtuales.
  • Compatible con muchos sistemas y formatos de archivos, incluidos Linux y Windows.
  • Puede recuperar archivos ocultos y eliminados.
  • Puede recuperar datos de la memoria temporal como red, proceso, etc
[correo electrónico protegido]: ~ # dff -h
DFF
Marco forense digital
 
Uso: / usr / bin / dff [opciones]
Opciones:
-v --version muestra la versión actual
-g: interfaz gráfica de lanzamiento gráfico
-b --batch = FILENAME ejecuta el lote contenido en FILENAME
-l --language = LANG usa LANG como idioma de interfaz
-h: ayuda a mostrar este mensaje de ayuda
-d --debug redirige IO a la consola del sistema
--verbosidad = NIVEL establece el nivel de verbosidad al depurar [0-3]
-c --config = FILEPATH usa el archivo de configuración de FILEPATH

Principal

Foremost es una herramienta de recuperación basada en la línea de comandos más rápida y confiable para recuperar archivos perdidos en operaciones forenses. Foremost tiene la capacidad de trabajar con imágenes generadas por dd, Safeback, Encase, etc., o directamente en una unidad. Foremost puede recuperar archivos exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar y muchos otros tipos de archivos.

[correo electrónico protegido]: ~ # ante todo -h
primera versión x.X.x de Jesse Kornblum, Kris Kendall y Nick Mikus.
$ principal [-v | -V | -h | -T | -Q | -q | -a | -w-d] [-t ] [-s ] [-k ]
[-B ] [-C ] [-o ] [-I  
-V: muestra la información de derechos de autor y sale
-t - especificar el tipo de archivo.  (-t jpeg, pdf…)
-d - activa la detección indirecta de bloques (para sistemas de archivos UNIX)
-i - especificar archivo de entrada (el valor predeterminado es stdin)
-a - Escriba todos los encabezados, no realice ninguna detección de errores (archivos dañados)
-w: solo escriba el archivo de auditoría, no escriba ningún archivo detectado en el disco
-o - establecer directorio de salida (por defecto es salida)
-c - establece el archivo de configuración que se usará (por defecto es el primero.conf)
... recortar ..
 
Ejemplo de uso
 
[correo electrónico protegido]: ~ # ante todo -t exe, jpeg, pdf, png -i archivo-imagen.dd
Procesamiento: archivo-imagen.dd
... recortar ..

Conclusión

Kali, junto con sus famosas herramientas de prueba de penetración, también tiene una pestaña completa dedicada a "Análisis forense". Tiene un modo "Forense" separado que está disponible solo para Live USB en los que no monta las particiones del host. Kali es un poco preferible a otras distribuciones forenses como CAINE debido a su soporte y mejor compatibilidad.

Juegos Tutorial de OpenTTD
Tutorial de OpenTTD
OpenTTD es uno de los juegos de simulación empresarial más populares que existen. En este juego, necesitas crear un maravilloso negocio de transporte....
Juegos SuperTuxKart para Linux
SuperTuxKart para Linux
SuperTuxKart es un gran título diseñado para ofrecerte la experiencia Mario Kart de forma gratuita en tu sistema Linux. Es bastante desafiante y diver...
Juegos Tutorial de Battle for Wesnoth
Tutorial de Battle for Wesnoth
The Battle for Wesnoth es uno de los juegos de estrategia de código abierto más populares que puedes jugar en este momento. Este juego no solo ha esta...