Figure 1 : Kali Linux
En règle générale, lors de l'exécution d'une analyse médico-légale sur un système informatique, toute activité pouvant changer ou modifier l'analyse des données du système doit être évitée. D'autres ordinateurs de bureau modernes interfèrent généralement avec cet objectif, mais avec Kali Linux via le menu de démarrage, vous pouvez activer un mode spécial de criminalistique.
Outil Binwalk :
Binwalk est un outil médico-légal dans Kali qui recherche une image binaire spécifiée pour le code et les fichiers exécutables. Il identifie tous les fichiers qui sont intégrés dans n'importe quelle image de firmware. Il utilise une bibliothèque très efficace connue sous le nom de "libmagic", qui trie les signatures magiques dans l'utilitaire de fichier Unix.
Figure 2 : Outil CLI Binwalk
Outil d'extraction en vrac :
L'outil d'extraction en vrac extrait les numéros de carte de crédit, les liens URL, les adresses e-mail, qui sont utilisés comme preuves numériques. Cet outil vous permet d'identifier les attaques de logiciels malveillants et d'intrusion, les enquêtes d'identité, les cyber-vulnérabilités et le craquage de mots de passe. La spécialité de cet outil est que non seulement il fonctionne avec des données normales, mais il fonctionne également sur des données compressées et des données incomplètes ou endommagées.
Figure 3 : Outil de ligne de commande d'extraction en bloc
Outil HashDeep :
L'outil hashdeep est une version modifiée de l'outil de hachage dc3dd conçu spécialement pour la criminalistique numérique. Cet outil comprend le hachage automatique des fichiers, je.e., sha-1, sha-256 et 512, tigre, bain à remous et md5. Un fichier journal des erreurs est écrit automatiquement. Des rapports d'avancement sont générés à chaque sortie.
Figure 4 : outil d'interface CLI HashDeep.
Outil de sauvetage magique :
Magic Rescue est un outil médico-légal qui effectue des opérations d'analyse sur un appareil bloqué. Cet outil utilise des octets magiques pour extraire tous les types de fichiers connus de l'appareil. Cela ouvre les périphériques pour l'analyse et la lecture des types de fichiers et montre la possibilité de récupérer des fichiers supprimés ou une partition corrompue. Il peut fonctionner avec n'importe quel système de fichiers.
Figure 5 : Outil d'interface de ligne de commande Magic Rescue
Outil de scalpel :
Cet outil médico-légal sculpte tous les fichiers et indexe les applications qui s'exécutent sur Linux et Windows. L'outil scalpel prend en charge l'exécution multithread sur plusieurs systèmes de base, ce qui permet des exécutions rapides. La sculpture de fichier est effectuée dans des fragments tels que des expressions régulières ou des chaînes binaires.
Figure 6 : Outil de sculpture médico-légale Scalpel
Outil Scrounge-NTFS :
Cet utilitaire médico-légal aide à récupérer des données à partir de disques ou de partitions NTFS corrompus. Il sauve les données d'un système de fichiers corrompu vers un nouveau système de fichiers fonctionnel.
Figure 7 : Outil de récupération de données médico-légales
Outil Guymager :
Cet utilitaire médico-légal est utilisé pour acquérir des supports pour l'imagerie médico-légale et dispose d'une interface utilisateur graphique. En raison de son traitement de données multithread et de sa compression, c'est un outil très rapide. Cet outil prend également en charge le clonage. Il génère des images plates, AFF et EWF. L'interface utilisateur est très facile à utiliser.
Figure 8 : Utilitaire médico-légal de l'interface graphique Guymager
Outil PDF :
Cet outil médico-légal est utilisé dans les fichiers pdf. L'outil analyse les fichiers pdf pour des mots-clés spécifiques, ce qui vous permet d'identifier les codes exécutables lorsqu'ils sont ouverts. Cet outil résout les problèmes de base associés aux fichiers pdf. Les fichiers suspects sont ensuite analysés avec l'outil pdf-parser.
Figure 9 : Utilitaire d'interface de ligne de commande Pdfid
Outil d'analyse PDF :
Cet outil est l'un des outils médico-légaux les plus importants pour les fichiers pdf. pdf-parser analyse un document pdf et distingue les éléments importants utilisés lors de son analyse, et cet outil ne rend pas ce document pdf.
Figure 10 : Outil d'analyse judiciaire de la CLI PDF-parser
Outil Peepdf :
Un outil python qui explore les documents pdf pour déterminer s'il est inoffensif ou destructeur. Il fournit tous les éléments nécessaires pour effectuer une analyse pdf dans un seul package. Il montre les entités suspectes et prend en charge divers encodages et filtres. Il peut également analyser les documents cryptés.
Figure 11 : Outil python Peepdf pour l'enquête pdf.
Outil d'autopsie :
Une autopsie est un utilitaire médico-légal tout-en-un pour une récupération rapide des données et un filtrage de hachage. Cet outil sculpte les fichiers et les médias supprimés de l'espace non alloué à l'aide de PhotoRec. Il peut également extraire l'extension multimédia EXIF. Scans d'autopsie pour indicateur de compromis à l'aide de la bibliothèque STIX. Il est disponible dans la ligne de commande ainsi que l'interface graphique.
Figure 12 : Autopsie, le tout dans un seul utilitaire médico-légal
outil img_cat :
L'outil img_cat donne le contenu de sortie d'un fichier image. Les fichiers image récupérés auront des métadonnées et des données intégrées, ce qui vous permet de les convertir en données brutes. Ces données brutes aident à canaliser la sortie pour calculer le hachage MD5.
Figure 13 : données img_cat intégrées en récupération et convertisseur de données brutes.
Outil ICAT :
ICAT est un outil Sleuth Kit (TSK) qui crée une sortie d'un fichier en fonction de son identifiant ou de son numéro d'inode. Cet outil médico-légal est ultra-rapide, et il ouvre les images de fichiers nommés et les copie sur une sortie standard avec un numéro d'inode spécifique. Un inode est l'une des structures de données du système Linux qui stocke des données et des informations sur un fichier Linux telles que la propriété, la taille du fichier et les autorisations de type, d'écriture et de lecture.
Figure 14 : Outil d'interface basé sur la console ICAT
Outil Srch_strings :
Cet outil recherche des chaînes ASCII et Unicode viables dans les données binaires, puis imprime la chaîne offset trouvée dans ces données. L'outil srch_strings extraira et récupérera les chaînes présentes dans un fichier et donnera un octet de décalage si appelé.
Figure 15 : Outil d'analyse judiciaire de récupération de chaîne
Conclusion:
Ces 14 outils sont livrés avec Kali Linux live et des images d'installation et ils sont open source et disponibles gratuitement. Dans le cas d'une ancienne version de Kali, je suggérerais une mise à jour vers la dernière version pour obtenir ces outils directement. Il existe de nombreux autres outils médico-légaux que nous aborderons ensuite. Voir la partie 2 de cet article ici.