В этой главе мы узнаем об инструментах судебной экспертизы, доступных в Kali Linux.
p0f
p0f — это инструмент, который может идентифицировать операционную систему целевого хоста, просто изучая захваченные пакеты, даже если рассматриваемое устройство находится за брандмауэром пакетов. P0f не генерирует никакого дополнительного сетевого трафика, прямого или косвенного; без поиска имени; нет загадочных зондов; нет запросов ARIN; ничего такого. В руках опытных пользователей P0f может обнаружить наличие брандмауэра, использование NAT и наличие балансировщиков нагрузки.
Наберите «p0f — h» в терминале, чтобы увидеть, как его использовать, и вы получите следующие результаты.
Это перечислит даже доступные интерфейсы.
Затем введите следующую команду: «p0f –i eth0 –p -o filename» .
Где параметр «-i» — это имя интерфейса, как показано выше. «-p» означает, что он находится в беспорядочном режиме. «-o» означает, что вывод будет сохранен в файле.
Откройте веб-страницу с адресом 192.168.1.2
Из результатов видно, что веб-сервер использует apache 2.x, а ОС — Debian.
PDF-анализатор
pdf-parser — это инструмент, который анализирует документ PDF для определения основных элементов, используемых в анализируемом файле PDF. Он не будет отображать PDF-документ. Это не рекомендуется в случае с учебниками для PDF-парсеров, однако оно выполняет свою работу. Обычно это используется для PDF-файлов, в которые, как вы подозреваете, встроен скрипт.
Команда —
pdf-parser -o 10 filepath
где «-o» — количество объектов.
Как вы можете видеть на следующем снимке экрана, файл PDF открывает команду CMD.
Dumpzilla
Приложение Dumpzilla разработано в Python 3.x и предназначено для извлечения всей криминалистической информации о браузерах Firefox, Iceweasel и Seamonkey для анализа.
ddrescue
Он копирует данные из одного файла или блочного устройства (жесткий диск, компакт-диск и т. Д.) В другой, пытаясь спасти вначале хорошие части в случае ошибок чтения.
Основная операция ddrescue полностью автоматическая. То есть вам не нужно ждать ошибки, останавливать программу, перезапускать ее с новой позиции и т. Д.
Если вы используете функцию mapfile в ddrescue, данные спасаются очень эффективно (считываются только необходимые блоки). Кроме того, вы можете прервать спасение в любое время и возобновить его позже в той же точке. Файл карты является неотъемлемой частью эффективности ddrescue. Используйте его, если вы не знаете, что делаете.
Командная строка —
dd_rescue infilepath outfilepath
Параметр «–v» означает многословный. «/ dev / sdb» — это папка, которую нужно спасти. IMG-файл — это восстановленное изображение.
DFF
Это еще один судебный инструмент, используемый для восстановления файлов. У него тоже есть графический интерфейс. Чтобы открыть его, введите «dff-gui» в терминале, и откроется следующий веб-интерфейс.
Нажмите Файл → «Открыть доказательства».
Следующая таблица откроется. Отметьте «Raw format» и нажмите «+», чтобы выбрать папку, которую вы хотите восстановить.
Затем вы можете просмотреть файлы в левой части панели, чтобы увидеть, что было восстановлено.