Kali linux forensic mode что это

Kali Linux “Live” provides a “forensic mode”, a feature first introduced in BackTrack Linux. The “Forensic mode live boot” option has proven to be very popular for several reasons:

Kali Linux is widely and easily available, many potential users already have Kali ISOs or bootable USB drives.
When a forensic need comes up, Kali Linux “Live” makes it quick and easy to put Kali Linux on the job.
Kali Linux comes pre-loaded with the most popular open source forensic software, a handy toolkit when you need to do forensic work.

When booted into the forensic boot mode, there are a few very important changes to the regular operation of the system:

First, the internal hard disk is never touched. If there is a swap partition it will not be used and no internal disk will be auto mounted. We verified this by first taking a standard system and removing the hard drive. A hash was taken of the drive using a commercial forensic package. We then reattached the drive to the computer and booted Kali Linux “Live” in forensic mode. After using Kali for a period of time, we then shut the system down, removed the hard drive, and took the hash again. These hashes matched, indicating that at no point was anything changed on the drive in any way.

The other, equally important, change is that auto-mounting of removable media is disabled. USB thumb drives, CDs, and the like will not be auto-mounted when inserted. The idea behind this is simple: in forensic mode, nothing should happen to any media without direct user action. Anything that you do as a user is on you.

If you plan on using Kali for real world forensics of any type, we recommend that you don’t just take our word for any of this. All forensic tools should always be validated to ensure that you know how they will behave in any circumstance in which you are going to be using them. Finally, while Kali continues to focus on providing the best collection of open source penetration testing tools available, it is always possible that we may have missed your favorite open source forensic tool. If so, let us know! We are always on the lookout of high quality open source tools that we can add to Kali to make it even better.

Updated on: 2021-Sep-27
Author: g0tmi1k

Источник

🎩 Инструменты для форензики Kali Linux

Kali Linux – это мощная операционная система, специально разработанная для специалистов по тестированию на проникновение и безопасности.

Большинство ее функций и инструментов предназначено для исследователей безопасности и пентестеров, но у нее есть отдельная вкладка «Forensics» и отдельный режим «Forensics» для криминалистов, т.е. форензика.

Форензика становится очень важной в кибербезопасности для обнаружения и отслеживания преступников в Black Hat. Важно удалить вредоносные бэкдоры / вредоносные программы Hackers и отследить их, чтобы избежать возможных инцидентов в будущем.

В режиме Kali Forensics операционная система не монтирует ни один раздел с жесткого диска системы и не оставляет никаких изменений или отпечатков пальцев в системе хоста.

Kali Linux поставляется с предустановленными популярными приложениями и инструментами для форензики.

Здесь мы рассмотрим некоторые известные инструменты с открытым исходным кодом, присутствующие в Kali Linux.

Bulk Extractor

Bulk Extractor – это многофункциональный инструмент, который может извлекать полезную информацию, такую как номера кредитных карт, доменные имена, IP-адреса, электронные адреса, номера телефонов и URL-адреса, из доказательств Жесткие диски / файлы, найденные в ходе судебно-медицинской экспертизы.

Он полезен при анализе изображений или вредоносных программ, а также помогает в кибер-расследовании и взломе паролей.

Метод состоит их составления списка слов на основе информации, найденной из доказательств, которые могут помочь в взломе пароля.

Bulk Extractor популярен среди других инструментов благодаря своей невероятной скорости, совместимости с множеством платформ и тщательности.

Он быстрый благодаря многопоточным функциям и способен сканировать любой тип цифрового мультимедиа, включая жесткие диски, твердотельные накопители, мобильные телефоны, камеры, SD-карты и многие другие типы.

Bulk Extractor имеет следующие интересные функции, которые делают его более предпочтительным,

Он имеет графический интерфейс под названием «Bulk Extractor Viewer», который используется для взаимодействия с Bulk Extractor.
Он имеет несколько параметров вывода, таких как отображение и анализ выходных данных в гистограмме.
Он может быть легко автоматизирован с помощью Python или других скриптовых языков.
Он поставляется с некоторыми заранее написанными скриптами, которые можно использовать для дополнительного сканирования.
Его многопоточность может быть более быстрой в системах с несколькими ядрами процессора.

Autopsy

Autospy – это платформа, которая используется при кибер-расследованиях правоохранительными органами для проведения и составления отчетов о криминалистических операциях.

Он объединяет множество отдельных утилит, которые используются для криминалистики и восстановления, и предоставляет графический интерфейс пользователя.

Autopsy – это бесплатный кроссплатформенный продукт с открытым исходным кодом, доступный для Windows, Linux и других операционных систем на основе UNIX.

Autospy может искать и исследовать данные с жестких дисков различных форматов, включая EXT2, EXT3, FAT, NTFS и других.

Он прост в использовании и не требует установки в Kali Linux, так как он поставляется с предустановленной и предварительно настроенной конфигурацией.

Dumpzilla

Dumpzilla – это кроссплатформенный инструмент командной строки, написанный на языке Python 3, который используется для выгрузки связанной с форензикой информации из веб-браузеров.

Он не извлекает данные или информацию, он просто отображает их в терминале, который можно передать, отсортировать и сохранить в файлах с помощью команд операционной системы.

В настоящее время он поддерживает только браузеры на основе Firefox, такие как Firefox, Seamonkey, Iceweasel и т. д.

Dumpzilla может получить следующую информацию из браузеров:

Может показывать онлайн-серфинг пользователя во вкладках / окне.
Пользовательские загрузки, закладки и история.
Веб-формы (поиски, электронные письма, комментарии ..).
Кэш / миниатюры ранее посещенных сайтов.
Аддоны / Расширения и используемые пути или URL.
Если браузер сохранил пароли.
Файлы cookie и данные сессий.

Digital Forensics Framework – DFF

DFF – это инструмент для восстановления файлов и платформа для разработки форензики, написанный на Python и C ++.

Он имеет набор инструментов и скриптов с командной строкой и графическим интерфейсом пользователя.

Он используется для проведения судебных расследований, а также для сбора и представления цифровых доказательств.

Он прост в использовании и может быть использован профессионалами, а также новичками для сбора и сохранения цифровой криминалистической информации.

Здесь мы обсудим некоторые из его полезных функций:

Может выполнять функции форензики и восстановление на локальных, а также удаленных устройствах.
И Командная строка и Графический интерфейс с графическими представлениями и фильтрами.
Может восстановить разделы и диски виртуальных машин.
Совместим со многими файловыми системами и форматами, включая Linux и Windows.
Может восстановить скрытые и удаленные файлы.
Может восстановить данные из временной памяти, такой как сеть, процесс и т. д.

Foremost

Foremost – это более быстрый и надежный инструмент восстановления на основе командной строки для возврата потерянных файлов в операциях форензики.

Прежде всего, имеет возможность работать с изображениями, созданными dd, Safeback, Encase и т. д., или непосредственно на диске. Прежде всего можно восстановить exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar и много других типов файлов.

Заключение

Kali, наряду со своими известными инструментами тестирования на проникновение, также имеет целую вкладку, посвященную «Криминалистике» или если хотите Форензике.

Он имеет отдельный режим «Forensics», который доступен только для Live USB, в которых он не монтирует разделы хоста.

Kali немного предпочтительнее других дистрибутивов, таких как CAINE, из-за его поддержки и лучшей совместимости.

Источник

Статья Kali Linux. Forensic Tools

Приветствую всех пользователей и гостей Сodeby)

Специально пропустил слово форум в приветствии, ибо Codeby это уже давно больше чем просто форум, у нас есть уже мобильный клиент на андроид, на подходе МК для iOS, и скоро выйдет свой дистрибутив для пентеста, а самое главное дружное сообщество людей которым интересна тема ИБ, это я все к тому что хватит наверное тролить друг друга (камень в этот огород ) и выяснять какая операционная система лучше (камень в этот огород ), везде есть свои плюсы и минусы.
Ребята, давайте жить дружно)))

Дело было вечером, делать было нечего, и вот что из этого получилось)))
Пока CodebyOS готовится, пишем про Kali

Во многих случаях Kali Linux считается одним из самых популярных дистрибутивов в области безопасности. Kali содержит множество программ, которые могут использоваться для ведения целого ряда операций на основе безопасности. Один из разделов инструментария является вкладка Forensic, этот раздел содержит набор инструментов, которые сделаны с явной целью проведения цифровой криминалистики.
Форензика становится все более важной в нынешнее время, когда многие преступления совершаются с использованием цифровых технологий, и понимание цифровой криминалистики будет ни для кого не лишним

Читайте также: Move folders mac os

Эта статья, обзор нескольких програм для криминалистики, которыми обладает Kali Linux. Итак, давайте начнем:

Надежность — вот что делает Autopsy таким отличным инструментом.

Binwalk
Этот инструмент используется при работе с бинарными образами, он имеет возможность находить встроенный файл и исполняемый код, исследуя файл образа. Это очень мощный инструмент для тех, кто знает, что они делают, его можно использовать для поиска конфиденциальной информации которая может быть использована для обнаружения взлома.
Утилита написана на python и использует библиотеку libmagic, что делает его годным к использованию с magic-сигнатурами. Работает с сжатыми или заархивированные файлами, заголовками, файловыми системами, ядром Linux и т.д. Для облегчения работы в нем имеется файл подписей, который содержит наиболее часто встречающиеся подписи.

Bulk Extractor
Это очень интересный инструмент, когда специалист пытается извлечь данные из файла, этот инструмент может вырезать адреса электронной почты, URL-адреса, номера платежных карт и т.д. Утилита работает с каталогами, файлами и образами диска. Данные могут быть частично повреждены или сжаты, Bulk Extractor все равно найдет.
Инструмент содержит функции, которые помогают создавать шаблон поиска данных, которые находятся неоднократно, например, URL-адреса, идентификаторы электронной почты и т.д. Есть функция, с помощью которой он создает список слов из найденных данных, это может помочь взломать пароли зашифрованных файлов.

Chkrootkit
Данная утилита используется в основном с live режима ОС, она выполняет локальную проверку хоста на наличие руткитов.
Состоит из модулей, где каждый предназначен для разных методов проверки. Сhkrootkit по умолчанию проводит полную проверку всеми модулями.
Руткиты определяемые программой

Foremost
Есть удаленные файлы, которые могут помочь в решении инцидентa? Нет проблем, Foremost — это простой в использовании пакет с открытым исходным кодом, который может достать данные из отформатированных дисков. Само имя файла не может быть восстановлено, но данные могут быть вырезаны.

Galleta.
Про эту утилиту много не скажешь, анализ куки файлов IE

Hashdeep
По названию понятно что эта программа предназначена для работы с хешами, а именно с вычислением. Может выполнить поиск файлов по известным хешам, или отображать файлы не совпадающие с задаными хешами. Одной из сильных сторон является выполнение рекурсивных хеш-вычислений с использованием множества алгоритмов, которые являются неотъемлемой частью времени.

Volafox
Это инструмент анализа памяти, который был написан на Python, он ориентирован на криптографию памяти для MAC OS X. Он работает с инфраструктурой Intel x86 и IA-32e. Если вы пытаетесь найти вредоносное ПО или любую другую вредоносную программу, которая была или находится в системной памяти, эта утилита подойдет.

Volatility
Это отличнейший инструмент, про него есть отдельная тема на нашем форуме))

Всем спасибо за прочтение и хорошего настроения)))

n01n02h

Приветствую всех пользователей и гостей Сodeby)

Дело было вечером, делать было нечего, и вот что из этого получилось)))
Пока CodebyOS готовится, пишем про Kali

Эта статья, обзор нескольких програм для криминалистики, которыми обладает Kali Linux. Итак, давайте начнем:

Autopsy
Этим инструментом пользуются военные и правоохранительные органы когда приходит время для проведения криминалистической экспертизы. Этот пакет, вероятно, является одним из самых надежных, доступных, с открытым исходным кодом, он сочетает в себе функции многих других небольших пакетов, здесь они все сфокусированы в одном аккуратном приложении с пользовательским интерфейсом на основе веб-браузера.
Autopsy используется для исследования образов дисков. Когда вы нажимаете на ярлык в меню он запускает службу, и ее пользовательский интерфейс становится доступен в веб-браузере по адресу https://Localhost:9999/autopsy . Программа предоставляет пользователю полный набор параметров, необходимых для создания нового файла дела: имя случая, описание, имя следователя, имя хоста, часовой пояс и т. Д.
Посмотреть вложение 17334
Функциональность включает в себя: анализ временной шкалы, поиск по ключевым словам, веб-артефакты, фильтрацию хэшей, мультимедиа, индикаторы компромитации и еще множество возможностей. Программа принимает образы дисков в форматах RAW или E01 и генерирует отчеты в формате HTML, XLS, Body, в зависимости от того, что требуется для конкретного случая.
Посмотреть вложение 17335
Надежность — вот что делает Autopsy таким отличным инструментом.

Galleta.
Про эту утилиту много не скажешь, анализ куки файлов IE

Volatility
Это отличнейший инструмент, про него есть отдельная тема на нашем форуме))

Всем спасибо за прочтение и хорошего настроения)))

Источник