Forensik menjadi sangat penting dalam Keamanan Cyber untuk mendeteksi dan melacak kembali Penjahat Topi Hitam. Sangat penting untuk menghapus backdoor/malware berbahaya Peretas dan melacaknya kembali untuk menghindari kemungkinan insiden di masa mendatang. Dalam mode Forensik Kali, Sistem Operasi tidak memasang partisi apa pun dari hard drive Sistem dan tidak meninggalkan perubahan atau sidik jari pada sistem host.
Kali Linux hadir dengan aplikasi dan toolkit forensik populer yang sudah diinstal sebelumnya. Di sini kami akan meninjau beberapa alat open source terkenal yang ada di Kali Linux.
Ekstraktor Massal
Pengekstrak Massal adalah alat berfitur kaya yang dapat mengekstrak informasi berguna seperti Nomor Kartu Kredit, Nama domain, Alamat IP, Email, Nomor Telepon, dan URL dari bukti Hard drive/file yang ditemukan selama Investigasi Forensik. Sangat membantu dalam menganalisis gambar atau malware, juga membantu dalam investigasi Cyber dan peretasan kata sandi. Itu membangun daftar kata berdasarkan informasi yang ditemukan dari bukti yang dapat membantu dalam pemecahan kata sandi.
Ekstraktor Massal populer di antara alat-alat lain karena kecepatannya yang luar biasa, kompatibilitas berbagai platform, dan ketelitian. Ini cepat karena fitur multi-utasnya dan memiliki kemampuan untuk memindai semua jenis media digital yang mencakup HDD, SSD, Ponsel, Kamera, kartu SD, dan banyak jenis lainnya.
Ekstraktor Massal memiliki fitur-fitur keren berikut yang membuatnya lebih disukai,
- Ini memiliki UI Grafis yang disebut "Bulk Extractor Viewer" yang digunakan untuk berinteraksi dengan Massal Extractor
- Ini memiliki beberapa opsi keluaran seperti menampilkan dan menganalisis data keluaran dalam histogram.
- Itu dapat dengan mudah diotomatisasi dengan menggunakan Python atau bahasa skrip lainnya.
- Muncul dengan beberapa skrip pra-tertulis yang dapat digunakan untuk melakukan pemindaian tambahan
- Multi-threaded-nya, bisa lebih cepat pada sistem dengan banyak inti CPU.
Penggunaan: file gambar bulk_extractor [opsi]
menjalankan ekstraktor dan output massal untuk membuat ringkasan tentang apa yang ditemukan di mana
Parameter yang diperlukan:
imagefile - file yang akan diekstrak
atau -R filedir - berulang melalui direktori file
MEMILIKI DUKUNGAN UNTUK FILE E01
MEMILIKI DUKUNGAN UNTUK FILE AFF
-o outdir - menentukan direktori keluaran. Harus tidak ada.
bulk_extractor membuat direktori ini.
Pilihan:
-i - mode INFO. Lakukan sampel acak cepat dan cetak laporan.
-b spanduk.txt- Tambahkan spanduk.konten txt ke bagian atas setiap file output.
-r alert_list.txt - file yang berisi daftar peringatan fitur yang harus diwaspadai
(bisa berupa file fitur atau daftar gumpalan)
(bisa diulang.)
-w stop_list.txt - file yang berisi daftar berhenti fitur (daftar putih
(bisa berupa file fitur atau daftar gumpalan)s
(bisa diulang.)
-F
-f
hasil masuk ke find.txt
… gunting…
Contoh Penggunaan
[dilindungi email]:~# bulk_extractor -o rahasia keluaran.gambar
Autopsi
Autopsi adalah platform yang digunakan oleh Penyidik Cyber dan penegak hukum untuk melakukan dan melaporkan operasi Forensik. Ini menggabungkan banyak utilitas individu yang digunakan untuk Forensik dan pemulihan dan memberi mereka Antarmuka Pengguna Grafis.
Autopsy adalah produk open source, gratis dan lintas platform yang tersedia untuk Windows, Linux dan sistem operasi berbasis UNIX lainnya. Otopsi dapat mencari dan menyelidiki data dari hard drive berbagai format termasuk EXT2, EXT3, FAT, NTFS dan lainnya.
Mudah digunakan dan tidak perlu menginstal di Kali Linux karena dikirimkan dengan pra-instal dan pra-konfigurasi.
Dumpzilla
Dumpzilla adalah alat baris perintah lintas platform yang ditulis dalam bahasa Python 3 yang digunakan untuk membuang informasi terkait Forensik dari browser web. Itu tidak mengekstrak data atau informasi, hanya menampilkannya di terminal yang dapat disalurkan, disortir dan disimpan dalam file menggunakan perintah Sistem Operasi. Saat ini, hanya mendukung browser berbasis Firefox seperti Firefox, Seamonkey, Iceweasel dll.
Dumpzilla bisa mendapatkan informasi berikut dari browser
- Dapat menampilkan selancar langsung pengguna di tab/jendela.
- Unduhan Pengguna, Bookmark & Riwayat.
- Formulir web (Penelusuran, email, komentar… ).
- Cache/thumbnail dari situs yang dikunjungi sebelumnya.
- Addons / Ekstensi dan jalur atau url yang digunakan.
- Kata sandi yang disimpan browser.
- Cookie dan data Sesi.
Penggunaan: python dumpzilla.py browser_profile_directory [Opsi]
Pilihan:
--Semua (Menampilkan semuanya kecuali data DOM. Tidak mengekstrak thumbnail atau HTML 5 offline)
--Cookie [-showdom -domain
-membuat
--Izin [-host
--Unduhan [-rentang
--Formulir [-nilai
--Sejarah [-url
-frekuensi]
--Bookmark [-range_bookmarks
… gunting…
Kerangka Forensik Digital - DFF
DFF adalah alat pemulihan file dan platform pengembangan Forensik yang ditulis dengan Python dan C++. Ini memiliki seperangkat alat dan skrip dengan Baris Perintah dan Antarmuka Pengguna Grafis. Ini digunakan untuk melakukan Investigasi Forensik dan untuk mengumpulkan dan melaporkan bukti digital.
Mudah digunakan dan dapat digunakan oleh Profesional Cyber serta pemula untuk mengumpulkan dan melestarikan Info Forensik digital. Di sini kita akan membahas beberapa fitur bagusnya
- Dapat melakukan Forensik dan pemulihan pada perangkat Lokal maupun jarak jauh.
- Baris Perintah dan UI Grafis dengan tampilan grafis dan filter.
- Dapat memulihkan partisi & drive mesin virtual.
- Kompatibel dengan banyak sistem & format file termasuk Linux dan Windows.
- Dapat memulihkan file yang disembunyikan dan dihapus.
- Dapat memulihkan data dari memori sementara seperti Jaringan, Proses, dan lain-lain
DFF
Kerangka Forensik Digital
Penggunaan: /usr/bin/dff [opsi]
Pilihan:
-v --version menampilkan versi saat ini
-g --graphical meluncurkan antarmuka grafis
-b --batch=FILENAME mengeksekusi batch yang terdapat dalam FILENAME
-l --language=LANG menggunakan LANG sebagai bahasa antarmuka
-h --help tampilkan pesan bantuan ini
-d --debug mengalihkan IO ke konsol sistem
--verbositas=LEVEL setel level verbositas saat men-debug [0-3]
-c --config=FILEPATH menggunakan file konfigurasi dari FILEPATH
Terutama
Foremost adalah alat pemulihan berbasis baris perintah yang lebih cepat dan andal untuk mendapatkan kembali file yang hilang dalam Operasi Forensik. Terutama memiliki kemampuan untuk bekerja pada gambar yang dihasilkan oleh dd, Safeback, Encase, dll, atau langsung pada drive. Terutama dapat memulihkan exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar dan banyak jenis file lainnya.
[dilindungi email]:~# paling utama -hversi terdepan x.x.x oleh Jesse Kornblum, Kris Kendall, dan Nick Mikus.
$ terdepan [-v|-V|-h|-T|-Q|-q|-a|-w-d] [-t
[-b
-V - tampilkan informasi hak cipta dan keluar
-t - tentukan jenis file. (-t jpeg,pdf… )
-d - aktifkan deteksi blok tidak langsung (untuk sistem file UNIX)
-i - tentukan file input (default adalah stdin)
-a - Tulis semua header, jangan lakukan deteksi kesalahan (file rusak)
-w - Hanya tulis file audit, jangan tulis file yang terdeteksi ke disk
-o - setel direktori keluaran (default ke keluaran)
-c - setel file konfigurasi yang akan digunakan (default ke yang paling utama.conf)
… gunting…
Contoh penggunaan
[dilindungi email]:~# terutama -t exe,jpeg,pdf,png -i file-image.DD
Pemrosesan: file-gambar.DD
… gunting…
Kesimpulan
Kali, bersama dengan alat pengujian Penetrasinya yang terkenal juga memiliki seluruh tab yang didedikasikan untuk "Forensik". Ini memiliki mode "Forensik" terpisah yang hanya tersedia untuk Live USB di mana ia tidak memasang partisi host. Kali sedikit lebih disukai daripada distro Forensik lainnya seperti CAINE karena dukungan dan kompatibilitasnya yang lebih baik.