La ciencia forense se está volviendo muy importante en la seguridad cibernética para detectar y rastrear a los delincuentes de Black Hat. Es esencial eliminar las puertas traseras / malwares maliciosos de los piratas informáticos y rastrearlos para evitar posibles incidentes futuros. En el modo forense de Kali, el sistema operativo no monta ninguna partición del disco duro del sistema y no deja ningún cambio o huella digital en el sistema del host.
Kali Linux viene con kits de herramientas y aplicaciones forenses populares preinstaladas. Aquí revisaremos algunas herramientas famosas de código abierto presentes en Kali Linux.
Extractor a granel
Bulk Extractor es una herramienta con muchas funciones que puede extraer información útil como números de tarjetas de crédito, nombres de dominio, direcciones IP, correos electrónicos, números de teléfono y URL de pruebas, discos duros / archivos encontrados durante una investigación forense. Es útil para analizar imágenes o malware, también ayuda en la investigación cibernética y el descifrado de contraseñas. Crea listas de palabras basadas en información encontrada a partir de evidencia que puede ayudar a descifrar contraseñas.
Bulk Extractor es popular entre otras herramientas debido a su increíble velocidad, compatibilidad con múltiples plataformas y minuciosidad. Es rápido debido a sus funciones de subprocesos múltiples y tiene la capacidad de escanear cualquier tipo de medio digital que incluye discos duros, SSD, teléfonos móviles, cámaras, tarjetas SD y muchos otros tipos.
Bulk Extractor tiene las siguientes características interesantes que lo hacen más preferible,
- Tiene una interfaz de usuario gráfica llamada "Visor de Extractor Bulk" que se utiliza para interactuar con Bulk Extractor
- Tiene múltiples opciones de salida, como mostrar y analizar los datos de salida en un histograma.
- Se puede automatizar fácilmente mediante el uso de Python u otros lenguajes de programación.
- Viene con algunos scripts escritos previamente que se pueden usar para realizar escaneos adicionales
- Su multiproceso, puede ser más rápido en sistemas con múltiples núcleos de CPU.
Uso: archivo de imagen bulk_extractor [opciones]
ejecuta un extractor masivo y salidas para stdout un resumen de lo que se encontró donde
Parámetros requeridos:
imagefile: el archivo que se va a extraer
o -R Fiedir - recurse a través de un directorio de archivos
TIENE SOPORTE PARA ARCHIVOS E01
TIENE SOPORTE PARA ARCHIVOS AFF
-o outdir - especifica el directorio de salida. No debe existir.
bulk_extractor crea este directorio.
Opciones:
-i - modo INFO. Haga una muestra aleatoria rápida e imprima un informe.
-b banner.txt- Agregar banner.txt en la parte superior de cada archivo de salida.
-r lista_de_alertas.txt: un archivo que contiene la lista de alertas de características para alertar
(puede ser un archivo de características o una lista de elementos globales)
(se puede repetir.)
-w stop_list.txt: un archivo que contiene la lista de detención de funciones (lista blanca
(puede ser un archivo de características o una lista de elementos globales)
(se puede repetir.)
-F
-F
los resultados van a buscar.TXT
... recortar ..
Ejemplo de uso
[correo electrónico protegido]: ~ # bulk_extractor -o secreto de salida.img
Autopsia
Autopsy es una plataforma que utilizan los investigadores cibernéticos y las fuerzas del orden para realizar e informar sobre operaciones forenses. Combina muchas utilidades individuales que se utilizan para análisis forense y recuperación y les proporciona una interfaz gráfica de usuario.
Autopsy es un producto de código abierto, gratuito y multiplataforma que está disponible para Windows, Linux y otros sistemas operativos basados en UNIX. Autopsy puede buscar e investigar datos de discos duros de múltiples formatos, incluidos EXT2, EXT3, FAT, NTFS y otros.
Es fácil de usar y no es necesario instalarlo en Kali Linux, ya que se envía con preinstalado y preconfigurado.
Dumpzilla
Dumpzilla es una herramienta de línea de comandos multiplataforma escrita en lenguaje Python 3 que se utiliza para descargar información relacionada con el análisis forense de los navegadores web. No extrae datos o información, solo los muestra en la terminal que se puede canalizar, clasificar y almacenar en archivos usando los comandos del sistema operativo. Actualmente, solo admite navegadores basados en Firefox como Firefox, Seamonkey, Iceweasel, etc.
Dumpzilla puede obtener la siguiente información de los navegadores
- Puede mostrar la navegación en vivo del usuario en pestañas / ventana.
- Descargas de usuarios, marcadores e historial.
- Formularios web (búsquedas, correos electrónicos, comentarios…).
- Caché / miniaturas de sitios visitados anteriormente.
- Complementos / Extensiones y rutas o URL utilizadas.
- Contraseñas guardadas del navegador.
- Cookies y datos de sesión.
Uso: python dumpzilla.py browser_profile_directory [Opciones]
Opciones:
--Todo (muestra todo menos los datos DOM. No extrae miniaturas ni HTML 5 sin conexión)
--Cookies [-showdom -domain
-crear
--Permisos [-host
--Descargas [-range
--Formularios [-valor
--Historia [-url
-frecuencia]
--Marcadores [-range_bookmarks
... recortar ..
Marco de análisis forense digital - DFF
DFF es una herramienta de recuperación de archivos y una plataforma de desarrollo forense escrita en Python y C++. Tiene un conjunto de herramientas y secuencias de comandos con la línea de comandos y la interfaz gráfica de usuario. Se utiliza para realizar Investigaciones Forenses y para recopilar y reportar evidencias digitales.
Es fácil de usar y puede ser utilizado por profesionales cibernéticos, así como por principiantes, para recopilar y preservar información forense digital. Aquí discutiremos algunas de sus buenas características
- Puede realizar análisis forense y recuperación en dispositivos locales y remotos.
- Tanto la línea de comandos como la interfaz de usuario gráfica con vistas gráficas y filtros.
- Puede recuperar particiones y unidades de máquinas virtuales.
- Compatible con muchos sistemas y formatos de archivos, incluidos Linux y Windows.
- Puede recuperar archivos ocultos y eliminados.
- Puede recuperar datos de la memoria temporal como red, proceso, etc
DFF
Marco forense digital
Uso: / usr / bin / dff [opciones]
Opciones:
-v --version muestra la versión actual
-g: interfaz gráfica de lanzamiento gráfico
-b --batch = FILENAME ejecuta el lote contenido en FILENAME
-l --language = LANG usa LANG como idioma de interfaz
-h: ayuda a mostrar este mensaje de ayuda
-d --debug redirige IO a la consola del sistema
--verbosidad = NIVEL establece el nivel de verbosidad al depurar [0-3]
-c --config = FILEPATH usa el archivo de configuración de FILEPATH
Principal
Foremost es una herramienta de recuperación basada en la línea de comandos más rápida y confiable para recuperar archivos perdidos en operaciones forenses. Foremost tiene la capacidad de trabajar con imágenes generadas por dd, Safeback, Encase, etc., o directamente en una unidad. Foremost puede recuperar archivos exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar y muchos otros tipos de archivos.
[correo electrónico protegido]: ~ # ante todo -hprimera versión x.X.x de Jesse Kornblum, Kris Kendall y Nick Mikus.
$ principal [-v | -V | -h | -T | -Q | -q | -a | -w-d] [-t
[-B
-V: muestra la información de derechos de autor y sale
-t - especificar el tipo de archivo. (-t jpeg, pdf…)
-d - activa la detección indirecta de bloques (para sistemas de archivos UNIX)
-i - especificar archivo de entrada (el valor predeterminado es stdin)
-a - Escriba todos los encabezados, no realice ninguna detección de errores (archivos dañados)
-w: solo escriba el archivo de auditoría, no escriba ningún archivo detectado en el disco
-o - establecer directorio de salida (por defecto es salida)
-c - establece el archivo de configuración que se usará (por defecto es el primero.conf)
... recortar ..
Ejemplo de uso
[correo electrónico protegido]: ~ # ante todo -t exe, jpeg, pdf, png -i archivo-imagen.dd
Procesamiento: archivo-imagen.dd
... recortar ..
Conclusión
Kali, junto con sus famosas herramientas de prueba de penetración, también tiene una pestaña completa dedicada a "Análisis forense". Tiene un modo "Forense" separado que está disponible solo para Live USB en los que no monta las particiones del host. Kali es un poco preferible a otras distribuciones forenses como CAINE debido a su soporte y mejor compatibilidad.