Médecine légale

Kali Linux Top outils médico-légaux (2020) (Partie 2)

Kali Linux Top outils médico-légaux (2020) (Partie 2)

introduction

La dernière fois, nous avons couvert 14 outils médico-légaux présents dans Kali Linux et expliqué leur objectif et leurs capacités spéciales. Aujourd'hui, nous allons présenter 14 outils médico-légaux, qui proviennent d'une célèbre bibliothèque, "The Sleuth Kit" (TSK), emballés dans la mise à jour 2020 de Kali Linux. Vous pouvez trouver ces outils dans la liste déroulante Forensics sous le nom Sleuth Kit Suite tools dans le menu Kali Whisker.

blkcalc

L'outil blkcalc est un outil d'investigation qui convertit les points de disque non alloués en points de disque réguliers. Ce programme crée un numéro de point qui mappe deux images. L'une de ces images est normale et l'autre contient des numéros de points non alloués de la première image. Cet outil peut prendre en charge de nombreux types de systèmes de fichiers. Si un système de fichiers n'est pas défini au départ, blkcalc a la particularité unique de méthodes de détection automatique pour trouver le type de système de fichiers.

tsk_comparedir

A l'aide de l'outil tsk_comparedir, le contenu de l'image est comparé au contenu du répertoire de comparaison. C'est le meilleur outil en phase de test pour identifier les rootkits (code ou fichiers malveillants). Le test du rootkit est effectué en comparant le contenu du répertoire local à un périphérique brut local. Ces rootkits ne sont pas masqués lorsqu'ils sont consultés et lus à partir d'un périphérique brut.

tsk_gettimes

L'outil médico-légal tsk_gettimes est basé sur une bibliothèque de kits de détective. Cet outil collecte les heures MAC (morceaux de métadonnées du système de fichiers) à partir d'une image disque spécifiée et convertit les heures en un fichier corps. L'outil tsk_gettimes examine chaque système de fichiers dans une partition de disque ou une image et traite les données à l'intérieur. La sortie de cet outil est les données d'image disque dans un format de corps de temps MAC, qui peuvent ensuite être utilisées comme entrée du système pour générer une chronologie de l'activité du fichier. Les données sont ensuite imprimées sous forme de fichier via la commande STDOUT.

chat noir

L'outil blkcat est un outil médico-légal rapide et efficace intégré à Kali. Le but de cet outil est d'afficher le contenu des données stockées dans l'image disque d'un système de fichiers. La sortie affiche le nombre d'unités de données, en commençant par l'adresse principale et les impressions de l'unité, dans différents formats qui peuvent être spécifiés et triés. Par défaut, le format de sortie est brut, et il est également appelé dcat.

tsk_loaddb

L'outil tsk_loaddb charge les métadonnées de l'image disque dans une base de données SQLite, qui est une base de données utilisable pour l'analyse par d'autres outils logiciels. La base de données est stockée dans le répertoire des images pour un accès facile. Cet outil prend en charge de nombreux systèmes de fichiers et peut calculer la valeur de hachage MD5 pour chaque fichier.

blkstat

L'outil de kit de détective blkstat affiche toutes les informations concernant les unités de données d'un système de fichiers. Cet outil renvoie des données sur l'état d'allocation d'un bloc ou d'un secteur d'un système de fichiers. Cet outil peut utiliser la commande addr, qui affiche les statistiques d'une donnée, et est également appelée dstat.

trouver

L'outil de recherche utilise un inode pour rechercher le nom du répertoire ou du fichier dans une image disque. Les fichiers affectés à un identifiant de fichier inode sur une partition de disque ont des noms ; par défaut, cet outil ne retournera que le prénom qu'il trouve. L'outil de recherche peut même trouver les noms de fichiers supprimés, ce qui est la capacité spéciale de cet outil. De plus, l'outil de recherche peut également trouver plusieurs noms de fichiers.

trouver

L'outil hfind recherche les valeurs de hachage dans les bases de données de hachage. Les valeurs de hachage sont recherchées à l'aide de l'algorithme de recherche binaire. Le but de l'utilisation de cet algorithme est de permettre aux utilisateurs de créer facilement des bases de données de hachage et d'identifier rapidement un fichier, qu'il soit connu ou inconnu. Cet outil utilise la bibliothèque NSRL et renvoie md5sum. Cet outil est très efficace, car il crée un fichier d'index déjà trié et comportant des entrées de longueur fixe, ce qui rend la recherche très rapide.

fls

Le nom fls implique le terme "ls", qui signifie répertorier le contenu d'un dossier. L'outil fls répertorie tous les noms de fichiers et répertoires dans un fichier image, et peut même afficher les noms des fichiers qui ont été récemment supprimés. Si l'identifiant de fichier ou l'inode n'est pas utilisé, alors le répertoire racine est utilisé.

mmcat

L'outil mmcat est un outil médico-légal qui renvoie le contenu d'une partition via la fonction d'impression. Cet outil extrait toutes les données d'une partition dans un fichier séparé.

rechercher

Cet outil trouve la signature binaire présente dans un fichier. Cette signature binaire s'appelle hex_signature, qui est présente dans chaque fichier. Cet outil peut être utilisé pour trouver des superblocs, des partitions ou des tables d'images perdus et des secteurs de démarrage. Le format hexadécimal doit être utilisé pour trouver la signature binaire.

je trouve

Cet outil recherche la structure de données brutes d'un fichier, qui est alloué dans une unité de disque ou un nom de fichier spécifique. Parfois, l'une de ces structures de métadonnées peut être non allouée, mais cet outil obtiendra toujours les résultats.

trieur

L'outil de tri est un outil de script "perl" qui effectue un tri sur un système de fichiers pour l'organiser en fichiers alloués et non alloués, en fonction du type de fichier. Cet outil exécute une commande sur chaque fichier et trie les fichiers en fonction des fichiers de configuration. Les types de fichiers incluent les fichiers cachés, les fichiers de hachage pour les bases de données de hachage, les fichiers connus pour être bons et ceux qui doivent être modifiés. Les fichiers de configuration utilisés, par défaut, proviennent de l'endroit où l'outil est installé, mais cela peut être modifié avec les décisions d'exécution.

tsk_recover

Cet outil transfère les fichiers d'une partition de disque dans un répertoire racine local. Les fichiers récupérés sont, par défaut, uniquement des fichiers non alloués. Grâce à certaines commandes, tous les fichiers peuvent être exportés.

Conclusion

Ces 14 outils sont fournis avec Kali Linux live, ainsi que des images d'installation, et ils sont open source et disponibles gratuitement. Ces outils se trouvent dans le menu des moustaches de Kali dans un dossier nommé Sleuth Kit Suite. Les outils reçoivent des mises à jour fréquentes de TSK pour des corrections de bugs mineurs.

Jeux Comment développer un jeu sur Linux
Comment développer un jeu sur Linux
Il y a dix ans, peu d'utilisateurs de Linux prédisaient que leur système d'exploitation préféré serait un jour une plate-forme de jeu populaire pour l...
Jeux Ports Open Source des moteurs de jeux commerciaux
Ports Open Source des moteurs de jeux commerciaux
Les récréations de moteur de jeu gratuites, open source et multiplateformes peuvent être utilisées pour jouer à d'anciens ainsi qu'à certains des titr...
Jeux Meilleurs jeux de ligne de commande pour Linux
Meilleurs jeux de ligne de commande pour Linux
La ligne de commande n'est pas seulement votre plus grand allié lorsque vous utilisez Linux, elle peut également être une source de divertissement car...