Kali Linux - Strumenti forensi
In questo capitolo, impareremo a conoscere gli strumenti forensi disponibili in Kali Linux.
p0f
p0fè uno strumento in grado di identificare il sistema operativo di un host di destinazione semplicemente esaminando i pacchetti catturati anche quando il dispositivo in questione si trova dietro un firewall a pacchetti. P0f non genera alcun traffico di rete aggiuntivo, diretto o indiretto; nessuna ricerca di nomi; nessuna sonda misteriosa; nessuna query ARIN; Niente. Nelle mani di utenti esperti, P0f è in grado di rilevare la presenza del firewall, l'utilizzo del NAT e l'esistenza di load balancer.
genere “p0f – h” nel terminale per vedere come usarlo e otterrai i seguenti risultati.
Elencherà anche le interfacce disponibili.
Quindi, digita il seguente comando: “p0f –i eth0 –p -o filename”.
Dove il parametro "-i" è il nome dell'interfaccia mostrato sopra. "-p" significa che è in modalità promiscua. "-o" significa che l'output verrà salvato in un file.
Apri una pagina web con l'indirizzo 192.168.1.2
Dai risultati, puoi osservare che il server Web utilizza apache 2.x e il sistema operativo è Debian.
pdf-parser
pdf-parser è uno strumento che analizza un documento PDF per identificare gli elementi fondamentali utilizzati nel file pdf analizzato. Non renderà un documento PDF. Non è consigliato per la custodia di libri di testo per parser PDF, tuttavia fa il suo lavoro. In genere, viene utilizzato per i file PDF che si sospetta abbiano uno script incorporato al loro interno.
Il comando è -
pdf-parser -o 10 filepathdove "-o" è il numero di oggetti.
Come puoi vedere nello screenshot seguente, il file pdf apre un comando CMD.
Dumpzilla
L'applicazione Dumpzilla è sviluppata in Python 3.x e ha lo scopo di estrarre tutte le informazioni forensi interessanti dei browser Firefox, Iceweasel e Seamonkey da analizzare.
ddrescue
Copia i dati da un file o dispositivo a blocchi (hard disk, cdrom, ecc.) A un altro, cercando di recuperare prima le parti buone in caso di errori di lettura.
Il funzionamento di base di ddrescue è completamente automatico. Cioè, non devi aspettare un errore, fermare il programma, riavviarlo da una nuova posizione, ecc.
Se si utilizza la funzionalità mapfile di ddrescue, i dati vengono salvati in modo molto efficiente (vengono letti solo i blocchi necessari). Inoltre, puoi interrompere il salvataggio in qualsiasi momento e riprenderlo più tardi nello stesso punto. Il mapfile è una parte essenziale dell'efficacia di ddrescue. Usalo a meno che tu non sappia cosa stai facendo.
La riga di comando è -
dd_rescue infilepath outfilepathParametro "–v" significa verboso. "/dev/sdb"è la cartella da salvare. Ilimg file è l'immagine recuperata.
DFF
È un altro strumento forense utilizzato per recuperare i file. Ha anche una GUI. Per aprirlo, digita“dff-gui” nel terminale e si aprirà la seguente GUI web.
Fare clic su File → "Apri prova".
Si aprirà la seguente tabella. Controllare "Formato Raw" e fare clic su "+" per selezionare la cartella che si desidera ripristinare.
Quindi, puoi sfogliare i file sulla sinistra del riquadro per vedere cosa è stato ripristinato.
