Médecine légale

Outils de criminalistique Kali Linux

Outils de criminalistique Kali Linux
Kali Linux est un système d'exploitation puissant spécialement conçu pour les testeurs de pénétration et les professionnels de la sécurité. La plupart de ses fonctionnalités et outils sont conçus pour les chercheurs en sécurité et les pentesters, mais il dispose d'un onglet "Forensics" séparé et d'un mode "Forensics" distinct pour les enquêteurs judiciaires.

La criminalistique devient très importante dans la cybersécurité pour détecter et faire reculer les criminels Black Hat. Il est essentiel de supprimer les portes dérobées/malwares malveillants des pirates et de les retracer pour éviter tout éventuel incident futur. En mode Forensics de Kali, le système d'exploitation ne monte aucune partition du disque dur du système et ne laisse aucune modification ou empreinte digitale sur le système de l'hôte.

Kali Linux est livré avec des applications et des kits d'outils d'investigation préinstallés populaires. Ici, nous passerons en revue quelques outils open source célèbres présents dans Kali Linux.

Extracteur en vrac

Bulk Extractor est un outil riche en fonctionnalités qui peut extraire des informations utiles telles que des numéros de carte de crédit, des noms de domaine, des adresses IP, des e-mails, des numéros de téléphone et des URL à partir de preuves Disques durs/fichiers trouvés lors d'une enquête médico-légale. Il est utile pour analyser l'image ou les logiciels malveillants, aide également à la cyber-enquête et au craquage de mot de passe. Il crée des listes de mots basées sur des informations trouvées à partir de preuves pouvant aider à déchiffrer les mots de passe.

Bulk Extractor est populaire parmi d'autres outils en raison de sa vitesse incroyable, de sa compatibilité avec plusieurs plates-formes et de sa rigueur. Il est rapide grâce à ses fonctionnalités multi-threads et il a la capacité de numériser tout type de support numérique, y compris les disques durs, les disques SSD, les téléphones portables, les appareils photo, les cartes SD et bien d'autres types.

Bulk Extractor a les fonctionnalités intéressantes suivantes qui le rendent plus préférable,

[email protected] :~# bulk_extractor --help
Utilisation : bulk_extractor [options] fichier image
exécute l'extracteur en bloc et les sorties vers stdout un résumé de ce qui a été trouvé où
Paramètres requis :
imagefile    - le fichier à extraire
ou  -R fileir  - parcourt un répertoire de fichiers
A UN SUPPORT POUR LES FICHIERS E01
A UN SUPPORT POUR LES FICHIERS AFF
-o outdir    - spécifie le répertoire de sortie. Ne doit pas exister.
bulk_extractor crée ce répertoire.
Options :
-i - Mode INFO. Faites un échantillon aléatoire rapide et imprimez un rapport.
-b bannière.txt- Ajouter une bannière.txt en haut de chaque fichier de sortie.
-liste_alertes.txt  - un fichier contenant la liste d'alerte des fonctionnalités à alerter
(peut être un fichier de fonctionnalités ou une liste de globs)
(peut être répété.)
-w liste_arrêt.txt   - un fichier contenant la liste d'arrêt des fonctionnalités (liste blanche
(peut être un fichier de fonctionnalités ou une liste de globs)
(peut être répété.)
-F    - Lire une liste d'expressions régulières de trouver
-F    - trouver des occurrences de ; peut être répété.
les résultats entrent dans la recherche.SMS
… couper…
 
Exemple d'utilisation
 
[email protected] :~# bulk_extractor -o secret de sortie.img

Autopsie

Autopsy est une plate-forme utilisée par les cyber-enquêteurs et les forces de l'ordre pour mener et signaler des opérations médico-légales. Il combine de nombreux utilitaires individuels utilisés pour la médecine légale et la récupération et leur fournit une interface utilisateur graphique.

Autopsy est un produit open source, gratuit et multiplateforme qui est disponible pour Windows, Linux et d'autres systèmes d'exploitation basés sur UNIX. L'autopsie peut rechercher et enquêter sur les données des disques durs de plusieurs formats, notamment EXT2, EXT3, FAT, NTFS et autres.

Il est facile à utiliser et il n'est pas nécessaire de l'installer dans Kali Linux car il est livré avec pré-installé et pré-configuré.

Dumpzilla

Dumpzilla est un outil de ligne de commande multiplateforme écrit en langage Python 3 qui est utilisé pour vider les informations liées à la criminalistique à partir des navigateurs Web. Il n'extrait pas de données ou d'informations, il les affiche simplement dans un terminal qui peut être redirigé, trié et stocké dans des fichiers à l'aide des commandes du système d'exploitation. Actuellement, il ne prend en charge que les navigateurs basés sur Firefox comme Firefox, Seamonkey, Iceweasel, etc.

Dumpzilla peut obtenir les informations suivantes à partir des navigateurs

  • Peut afficher la navigation en direct de l'utilisateur dans les onglets/fenêtre.
  • Téléchargements utilisateur, signets et historique.
  • Formulaires Web (Recherches, emails, commentaires…).
  • Cache/miniatures des sites précédemment visités.
  • Addons / Extensions et chemins ou urls utilisés.
  • Mots de passe enregistrés par le navigateur.
  • Cookies et données de session.
[email protected]:~# dumpzilla --help
Utilisation : python dumpzilla.py browser_profile_directory [Options]
Options :
--Tout (Affiche tout sauf les données DOM. N'extrait pas les vignettes ou HTML 5 hors ligne)
--Cookies [-showdom -domaine -Nom -hostcookie -accès
-créer -sécurise <0/1> -httpseulement <0/1> -range_last -range_create
]
--Autorisations [-hôte ]
--Téléchargements [-plage ]
--Formulaires   [-valeur -range_forms ]
--Historique [-url -Titre -Date -range_history
-la fréquence]
--Signets [-range_bookmarks ]
… couper…

Cadre de criminalistique numérique - DFF

DFF est un outil de récupération de fichiers et une plate-forme de développement Forensics écrit en Python et C++. Il a un ensemble d'outils et de scripts avec à la fois la ligne de commande et l'interface utilisateur graphique. Il est utilisé pour mener des enquêtes médico-légales et pour recueillir et signaler des preuves numériques.

Il est facile à utiliser et peut être utilisé par les cyberprofessionnels ainsi que par les débutants pour collecter et préserver des informations médico-légales numériques. Ici, nous allons discuter de certaines de ses bonnes caractéristiques

  • Peut effectuer des investigations et une récupération sur des appareils locaux et distants.
  • Ligne de commande et interface utilisateur graphique avec vues graphiques et filtres.
  • Peut récupérer des partitions et des lecteurs de machines virtuelles.
  • Compatible avec de nombreux systèmes de fichiers et formats, notamment Linux et Windows.
  • Peut récupérer des fichiers cachés et supprimés.
  • Peut récupérer des données à partir de la mémoire temporaire telle que le réseau, le processus, etc
[email protégé] :~# dff -h
DFF
Cadre de criminalistique numérique
 
Utilisation : /usr/bin/dff [options]
Options :
-v       --version                  afficher la version actuelle
-g       --graphical                lancer l'interface graphique
-b       --batch=FILENAME     exécute le lot contenu dans FILENAME
-l       --language=LANG            utiliser LANG comme langue d'interface
-h       --help                     afficher ce message d'aide
-d       --debug                    rediriger les E/S vers la console système
--verbosity=LEVEL          définir le niveau de verbosité lors du débogage [0-3]
-c       --config=FILEPATH          utiliser le fichier de configuration de FILEPATH

Avant toute chose

Foremost est un outil de récupération basé sur la ligne de commande plus rapide et fiable pour récupérer les fichiers perdus dans les opérations médico-légales. Foremost a la capacité de travailler sur des images générées par dd, Safeback, Encase, etc, ou directement sur un lecteur. Foremost peut récupérer des fichiers exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar et bien d'autres types de fichiers.

[email protected] :~# avant tout -h
avant tout version x.X.x par Jesse Kornblum, Kris Kendall et Nick Mikus.
$ avant tout [-v|-V|-h|-T|-Q|-q|-a|-w-d] [-t ] [-s ] [-k ]
[-b ] [-c ] [-o ] [-je  
-V  - afficher les informations sur les droits d'auteur et quitter
-t  - spécifiez le type de fichier.  (-t jpeg,pdf…)
-d  - activer la détection indirecte des blocs (pour les systèmes de fichiers UNIX)
-i  - spécifiez le fichier d'entrée (la valeur par défaut est stdin)
-a  - Écrire tous les en-têtes, ne pas détecter d'erreur (fichiers corrompus)
-w  - N'écrivez que le fichier d'audit, n'écrivez aucun fichier détecté sur le disque
-o  - définir le répertoire de sortie (par défaut, sortie)
-c  - définir le fichier de configuration à utiliser (par défaut, avant tout.conf)
… couper…
 
Exemple d'utilisation
 
[email protected] :~# avant tout -t exe,jpeg,pdf,png -i file-image.jj
Traitement : fichier-image.jj
… couper…

Conclusion

Kali, avec ses célèbres outils de test d'intrusion, dispose également d'un onglet entier dédié à la "Forensics". Il a un mode "Forensics" séparé qui n'est disponible que pour les Live USB dans lesquels il ne monte pas les partitions de l'hôte. Kali est un peu préférable aux autres distributions Forensics telles que CAINE en raison de son support et d'une meilleure compatibilité.

Jeux Meilleures applications de mappage de manette de jeu pour Linux
Meilleures applications de mappage de manette de jeu pour Linux
Si vous aimez jouer à des jeux sur Linux avec une manette de jeu au lieu d'un système de saisie clavier et souris typique, il existe des applications ...
Jeux Outils utiles pour les joueurs Linux
Outils utiles pour les joueurs Linux
Si vous aimez jouer à des jeux sur Linux, il est probable que vous ayez utilisé des applications et des utilitaires comme Wine, Lutris et OBS Studio p...
Jeux Jeux HD remasterisés pour Linux qui n'ont jamais eu de version Linux plus tôt
Jeux HD remasterisés pour Linux qui n'ont jamais eu de version Linux plus tôt
De nombreux développeurs et éditeurs de jeux proposent une remasterisation HD d'anciens jeux pour prolonger la durée de vie de la franchise, veuillez ...