Forense

Principales herramientas forenses de Kali Linux (2020) (Parte 2)

Principales herramientas forenses de Kali Linux (2020) (Parte 2)

Introducción

La última vez, cubrimos 14 herramientas forenses que están presentes en Kali Linux y explicamos su propósito y capacidades especiales. Hoy, vamos a presentar 14 herramientas forenses, que son de una famosa biblioteca, "The Sleuth Kit" (TSK), empaquetadas dentro de la actualización 2020 de Kali Linux. Puede encontrar estas herramientas en la lista desplegable Forense con el nombre de herramientas Sleuth Kit Suite en el menú Kali Whisker.

blkcalc

La herramienta blkcalc es una herramienta forense que convierte puntos de disco no asignados en puntos de disco normales. Este programa crea un número de punto que mapea dos imágenes. Una de estas imágenes es normal y la otra contiene números de puntos sin asignar de la primera imagen. Esta herramienta puede admitir muchos tipos de sistemas de archivos. Si un sistema de archivos no está definido al principio, blkcalc tiene la característica única de métodos de autodetección para encontrar el tipo de sistema de archivos.

tsk_comparedir

Con la ayuda de la herramienta tsk_comparedir, el contenido de la imagen se compara con el contenido del directorio de comparación. Esta es la mejor herramienta en la fase de prueba para identificar rootkits (código o archivos maliciosos). La prueba de rootkit se realiza comparando el contenido del directorio local con un dispositivo sin formato local. Estos rootkits no se ocultan cuando se accede a ellos y se leen desde un dispositivo sin formato.

tsk_gettimes

La herramienta forense tsk_gettimes se basa en una biblioteca de kits de detective. Esta herramienta recopila los tiempos MAC (piezas de metadatos del sistema de archivos) de una imagen de disco específica y convierte los tiempos en un archivo de cuerpo. La herramienta tsk_gettimes examina cada sistema de archivos en una partición de disco o imagen y procesa los datos dentro. La salida de esta herramienta son los datos de la imagen del disco en un formato de cuerpo de tiempo MAC, que luego se puede usar como entrada al sistema para generar una cronología de la actividad del archivo. Luego, los datos se imprimen como un archivo a través del comando STDOUT.

blkcat

La herramienta blkcat es una herramienta forense rápida y eficiente empaquetada dentro de Kali. El propósito de esta herramienta es mostrar el contenido de los datos almacenados en la imagen de disco de un sistema de archivos. La salida muestra el número de unidades de datos, comenzando con la dirección principal de la unidad y las impresiones, en diferentes formatos que se pueden especificar y ordenar. De forma predeterminada, el formato de salida es sin formato y también se llama dcat.

tsk_loaddb

La herramienta tsk_loaddb carga los metadatos de la imagen del disco en una base de datos SQLite, que es una base de datos utilizable para su análisis por otras herramientas de software. La base de datos se almacena en el directorio de imágenes para facilitar el acceso. Esta herramienta es compatible con muchos sistemas de archivos y puede calcular el valor hash MD5 para cada archivo.

blkstat

La herramienta del kit de detective blkstat muestra toda la información relativa a las unidades de datos de un sistema de archivos. Esta herramienta devuelve datos sobre el estado de asignación de un bloque o un sector de un sistema de archivos. Esta herramienta puede usar el comando addr, que muestra las estadísticas de un dato y también se llama dstat.

encontrar

La herramienta ffind usa un inodo para buscar el nombre del directorio o archivo en una imagen de disco. Los archivos asignados a un identificador de archivo de inodo en una partición de disco tienen nombres; de forma predeterminada, esta herramienta solo devolverá el primer nombre que encuentre. La herramienta ffind incluso puede encontrar nombres de archivos eliminados, que es la capacidad especial de esta herramienta. Además, la herramienta ffind también puede encontrar varios nombres de archivo.

hfind

La herramienta hfind busca valores hash en bases de datos hash. Los valores hash se buscan utilizando el algoritmo de búsqueda binaria. El propósito de usar este algoritmo es permitir a los usuarios crear fácilmente bases de datos hash e identificar rápidamente un archivo, ya sea conocido o desconocido. Esta herramienta usa la biblioteca NSRL y devuelve md5sum. Esta herramienta es muy eficiente, ya que crea un archivo de índice que ya está ordenado y tiene entradas de longitud fija, lo que hace que la búsqueda sea muy rápida.

fls

El nombre fls implica el término "ls", que significa enumerar el contenido de una carpeta. La herramienta fls enumera todos los nombres de archivos y directorios en un archivo de imagen e incluso puede mostrar los nombres de los archivos que se eliminaron recientemente. Si no se usa el identificador de archivo o inodo, entonces se usa el directorio raíz.

mmcat

La herramienta mmcat es una herramienta forense que devuelve el contenido de una partición a través de la función de impresión. Esta herramienta extrae todos los datos de una partición en un archivo separado.

sigfind

Esta herramienta encuentra la firma binaria presente dentro de un archivo. Esta firma binaria se llama hex_signature, que está presente en cada archivo. Esta herramienta se puede utilizar para encontrar superbloques perdidos, particiones o tablas de imágenes y sectores de arranque. Se debe utilizar el formato hexadecimal para encontrar la firma binaria.

Encuentro

Esta herramienta busca la estructura de datos sin procesar de un archivo, que se asigna en una unidad de disco o nombre de archivo específico. A veces, cualquiera de estas estructuras de metadatos puede no estar asignada, pero esta herramienta aún obtendrá los resultados.

clasificador

La herramienta de clasificación es una herramienta de secuencia de comandos "perl" que realiza la clasificación en un sistema de archivos para organizarlo en archivos asignados y no asignados, según el tipo de archivo. Esta herramienta ejecuta un comando en cada archivo y clasifica los archivos de acuerdo con los archivos de configuración. Los tipos de archivos incluyen archivos ocultos, archivos hash para bases de datos hash, archivos que se sabe que son buenos y aquellos que deben cambiarse. Los archivos de configuración utilizados, de forma predeterminada, se toman de donde está instalada la herramienta, pero esto se puede cambiar con decisiones en tiempo de ejecución.

tsk_recover

Esta herramienta transfiere archivos desde una partición de disco a un directorio raíz local. Los archivos recuperados son, de forma predeterminada, solo archivos no asignados. A través de ciertos comandos, todos los archivos se pueden exportar.

Conclusión

Estas 14 herramientas vienen con Kali Linux en vivo, así como imágenes del instalador, y son de código abierto y están disponibles de forma gratuita. Estas herramientas se pueden encontrar en el menú de bigotes de Kali en una carpeta llamada Sleuth Kit Suite. Las herramientas reciben actualizaciones frecuentes de TSK para correcciones de errores menores.

Ratón El botón de clic izquierdo del mouse no funciona en Windows 10
El botón de clic izquierdo del mouse no funciona en Windows 10
Si está utilizando un mouse dedicado con su computadora portátil o computadora de escritorio, pero el el botón izquierdo del mouse no funciona en Wind...
Ratón El cursor salta o se mueve aleatoriamente mientras escribe en Windows 10
El cursor salta o se mueve aleatoriamente mientras escribe en Windows 10
Si descubre que el cursor del mouse salta o se mueve por sí solo, automáticamente, de manera aleatoria mientras escribe en una computadora portátil o ...
Ratón Cómo invertir la dirección de desplazamiento del mouse y los paneles táctiles en Windows 10
Cómo invertir la dirección de desplazamiento del mouse y los paneles táctiles en Windows 10
Ratón y Panel táctils no solo facilitan la informática, sino que también hacen que sea más eficiente y requieran menos tiempo. No podemos imaginar una...