Что такое криминалистический режим kali linux

Обновлено: 21.11.2024

Kali Linux «Live» предоставляет «криминалистический режим» — функцию, впервые представленную в BackTrack Linux. Параметр «Живая загрузка в криминалистическом режиме» оказался очень популярным по нескольким причинам: Kali Linux поставляется с предустановленным самым популярным программным обеспечением для криминалистики с открытым исходным кодом, удобным набором инструментов, когда вам нужно провести криминалистическую работу.

Так что же такое установщик Kali Linux и live?

Live Kali Linux требует USB-устройство, поскольку ОС запускается с USB-накопителя, тогда как для установленной версии требуется, чтобы жесткий диск оставался подключенным для использования ОС. Live kali не требует места на жестком диске, а с постоянным хранилищем USB ведет себя точно так же, как если бы kali была установлена ​​на USB.

Кроме того, что такое Doom Kali ISO?

ISO-образ Doom с Kali Linux — отличный пример гибкости live-сборки, а также типов и сложности возможных настроек. Создайте самоустанавливающийся образ Kali с автоматическим подключением обратного VPN и сетевым мостом — идеальный аппаратный бэкдор.

Что такое загрузочный USB-накопитель?

Загрузочный USB-накопитель — это внешний жесткий диск или оптический диск, который создается с операционной системой компьютера и может использоваться для загрузки настольного компьютера или ноутбука вместо установочного DVD-диска Windows. USB-накопители стали настолько популярными в наши дни, что почти заменили загрузочные диски.

В каких версиях Kali Linux есть криминалистический режим загрузки?

  • Однозагрузочная версия Kali.
  • Двойная загрузка Kali с Windows.
  • Одиночная загрузка Kali на оборудовании Mac.
  • Двойная загрузка Kali на оборудовании Mac.
  • Развертывание Kali по сети PXE/iPXE.
  • Установка с зашифрованного диска.
  • Установка BTRFS.
  • Двойная загрузка Kali Linux с Linux.

Kali Linux все еще работает?

Kali использует менеджер пакетов dpkg на основе Debian. Таким образом, вы можете легко устанавливать новые приложения, которые предлагают расширение . Однако они по-прежнему смогут компилировать пакеты из исходного кода, используя стандартные инструменты разработки Linux, такие как make и install.

Kali Linux «Live» предоставляет «криминалистический режим» — функцию, впервые представленную в BackTrack Linux. Параметр «Живая загрузка в судебном режиме» оказался очень популярным по нескольким причинам:

  • Kali Linux широко и легкодоступна, многие потенциальные пользователи уже имеют ISO-образы Kali или загрузочные USB-накопители.
  • Когда возникает необходимость судебной экспертизы, Kali Linux «Live» позволяет быстро и легко ввести Kali Linux в работу.
  • Kali Linux поставляется с предустановленным самым популярным программным обеспечением для криминалистики с открытым исходным кодом, удобным набором инструментов, когда вам нужно провести криминалистическую работу.

При загрузке в криминалистическом режиме загрузки происходит несколько очень важных изменений в обычной работе системы:

Во-первых, внутренний жесткий диск никогда не трогается. Если есть раздел подкачки, он не будет использоваться, и внутренний диск не будет автоматически смонтирован. Мы проверили это, сначала взяв стандартную систему и удалив жесткий диск. С диска был получен хэш с помощью коммерческого судебно-медицинского пакета. Затем мы снова подключили диск к компьютеру и загрузили Kali Linux «Live» в криминалистическом режиме. После использования Kali в течение некоторого времени мы выключили систему, извлекли жесткий диск и снова взяли хэш. Эти хэши совпали, что указывает на то, что на диске ни разу ничего не изменилось.

Другое, не менее важное изменение заключается в том, что автоматическое монтирование съемных носителей отключено. USB-накопители, компакт-диски и т. п. не будут автоматически монтироваться при вставке. Идея этого проста: в криминалистическом режиме ничего не должно происходить с любым медиафайлом без прямого действия пользователя. Все, что вы делаете как пользователь, на вас.

Если вы планируете использовать Kali для судебной экспертизы любого типа, мы рекомендуем вам не верить нам на слово. Все аналитические инструменты должны всегда проходить проверку, чтобы вы знали, как они будут вести себя в любых обстоятельствах, в которых вы собираетесь их использовать. Наконец, хотя Kali продолжает концентрироваться на предоставлении лучшей коллекции доступных инструментов для тестирования на проникновение с открытым исходным кодом, всегда возможно, что мы пропустили ваш любимый инструмент для судебной экспертизы с открытым исходным кодом. Если это так, дайте нам знать! Мы всегда в поиске высококачественных инструментов с открытым исходным кодом, которые мы можем добавить в Kali, чтобы сделать ее еще лучше.

Kali Linux – это операционная система, в которой есть все, что может понадобиться специалисту по безопасности, а также надежный пакет программ для использования исследователями безопасности и тестировщиками. В «Kali Linux Live» есть функция, которая предоставляет своим пользователям «криминалистический режим». «Режим криминалистики» оснащен инструментами, созданными специально для цифровой криминалистики.

Kali Linux Live предоставляет режим судебной экспертизы, в котором вы можете просто подключить USB-накопитель с Kali ISO. Всякий раз, когда возникает криминалистическая необходимость, вы можете делать то, что вам нужно, не устанавливая ничего дополнительно, используя Kali Linux Live (Forensic Mode). Загрузка в Kali (режим Forensic) не монтирует системные жесткие диски, поэтому операции, которые вы выполняете в системе, не оставляют следов.

Как использовать Kali’s Live (криминалистический режим)

После подготовки Live Kali Linux USB подключите его и перезагрузите компьютер, чтобы войти в загрузчик. Там вы найдете такое меню:

Нажав на Live (режим криминалистики), вы перейдете прямо в режим криминалистики, содержащий инструменты и пакеты, необходимые для ваших нужд криминалистики. В этой статье мы рассмотрим, как организовать процесс цифровой криминалистики с помощью Live (режим Forensic).

Копирование данных

Для криминалистики требуется создание образов системных дисков, содержащих данные. Первое, что нам нужно сделать, это сделать побитовую копию файла, жесткого диска или любого другого типа данных, для которых нам нужно провести экспертизу. Это очень важный шаг, потому что если его сделать неправильно, вся работа может пойти насмарку.

Обычные резервные копии диска или файла не работают для нас (криминалистов). Нам нужна побитовая копия данных на диске. Для этого мы будем использовать следующую команду dd:

Нам нужно сделать копию диска sda1, поэтому воспользуемся следующей командой. Он будет копировать sda1 в sda2 по 512 байт за раз.

Хеширование

С нашей копией диска любой может усомниться в его целостности и подумать, что мы разместили диск намеренно. Чтобы сгенерировать доказательство того, что у нас есть исходный диск, мы будем использовать хеширование. Хеширование используется для обеспечения целостности изображения. Хеширование предоставит хэш для диска, но если изменится один бит данных, хеш изменится, и мы узнаем, был ли он заменен или является оригиналом. Чтобы обеспечить целостность данных и чтобы никто не усомнился в их оригинальности, мы скопируем диск и создадим его хэш MD5.

Сначала откройте dcfldd из набора инструментов судебной экспертизы.

Интерфейс dcfld будет выглядеть следующим образом:

Теперь мы будем использовать следующую команду:

/dev/sda: диск, который вы хотите скопировать
/media/image.dd: расположение и имя образа, который вы хотите скопировать на
hash=md5: нужный вам хэш для генерации, например, md5, SHA1, SHA2 и т. д. В данном случае это md5.
bs=512: количество байтов для копирования за раз

Одна вещь, которую мы должны знать, это то, что в Linux имена дисков не состоят из одной буквы, как в Windows. В Linux жесткие диски разделяются обозначением hd, например, had, hdb и т. д. Для SCSI (интерфейс системы малого компьютера) это sd, sba, sdb и т. д.

Теперь у нас есть побитовая копия диска, на котором мы хотим провести экспертизу. Здесь в дело вступят криминалистические инструменты, и любой, кто умеет пользоваться этими инструментами и может с ними работать, пригодится.

Инструменты

Режим криминалистики уже содержит известные наборы инструментов и пакеты с открытым исходным кодом для криминалистических целей. Полезно понимать криминалистику, чтобы расследовать преступление и найти того, кто его совершил. Любое знание того, как использовать эти инструменты, пригодится. Здесь мы кратко рассмотрим некоторые инструменты и расскажем, как с ними ознакомиться

Вскрытие

Вскрытие — это инструмент, используемый военными, правоохранительными органами и различными агентствами при необходимости проведения судебно-медицинской экспертизы. Этот пакет, по-видимому, является одним из самых мощных, доступных через открытый исходный код, он объединяет функциональные возможности множества других меньших пакетов, которые постепенно используют свою методологию, в одном безупречном приложении с пользовательским интерфейсом на основе интернет-браузера.

Теперь, как насчет того, чтобы открыть любую программу и исследовать расположенное выше место. По сути, это приведет нас к ближайшему веб-серверу в нашей структуре (localhost) и доберется до порта 9999, где работает Autopsy. Я использую программу по умолчанию в Kali, IceWeasel. Когда я изучаю этот адрес, я получаю страницу, подобную той, что показана ниже:

Его функции включают в себя: исследование временной шкалы, поиск по ключевым словам, разделение хэшей, вырезание данных, мультимедиа и маркеры сделки. Autopsy принимает образы дисков в необработанных форматах EO1 и выдает результаты в любом требуемом формате, обычно в форматах XML, Html.

БинУок

Этот инструмент используется при управлении двоичными изображениями. Он позволяет находить вставленный документ и исполняемый код путем исследования файла изображения.Это удивительный актив для тех, кто знает, что они делают. При правильном использовании вы вполне можете обнаружить конфиденциальные данные, скрытые в образах встроенного ПО, которые могут выявить взлом или быть использованы для обнаружения пункта перехода для неправильного использования.

Этот инструмент написан на языке python и использует библиотеку libmagic, что делает его идеальным для использования с метками зачарования, созданными для утилиты записи Unix. Чтобы упростить задачу для проверяющих, он содержит запись сигнатуры чар, которая содержит наиболее часто обнаруживаемые метки в прошивке, что упрощает обнаружение несоответствий.

Спасите

Он дублирует информацию из одного документа или квадратного устройства (жесткий диск, компакт-диск и т. д.) в другой, пытаясь сначала защитить большие части, если возникнут ошибки чтения.

Основные действия ddrescue полностью запрограммированы. То есть не нужно сидеть сложа руки, останавливать программу и перезапускать ее с другой позиции. Если вы используете подсветку файла карты ddrescue, информация сохраняется правильно (просматриваются только нужные квадраты). Точно так же вы можете вмешаться в спасение в любое время и продолжить его позже в том же месте. Mapfile — это основная часть жизнеспособности ddrescue. Используйте его, если только вы не знаете, что делаете.

Чтобы использовать его, мы будем использовать следующую команду:

Дампзилла

Приложение Dumpzilla создано на Python 3.x и используется для извлечения измеримых, интересных данных программ Firefox, Ice-weasel и Seamonkey, которые необходимо изучить. Из-за своего поворота событий Python 3.x он, вероятно, не будет работать должным образом в старых формах Python с определенными символами. Приложение работает в интерфейсе ордерной линии, поэтому дампы данных могут быть перенаправлены по пайпам с устройствами; например, grep, awk, cut, sed. Dumpzilla позволяет пользователям отображать следующие области, настраивать поиск и концентрироваться на определенных областях:

  • Dumpzilla может отображать действия пользователей в режиме реального времени во вкладках/окнах.
  • Кэшировать данные и эскизы ранее открытых окон
  • Загрузки, закладки и история пользователя
  • Сохраненные пароли браузера
  • Файлы cookie и данные сеанса
  • Поиск, электронная почта, комментарии

Прежде всего

Стереть документы, которые могут помочь разгадать компьютеризированный эпизод? Забудь об этом! Прежде всего, это простой в использовании пакет с открытым исходным кодом, который может вырезать информацию из организованных кругов. Само имя файла, вероятно, не будет восстановлено, однако содержащаяся в нем информация может быть вырезана. Foremost может восстановить jpg, png, bmp, jpeg, exe, mpg, ole, rar, pdf и многие другие типы файлов.

:~$ в первую очередь -h
в первую очередь версия 1.5.7 Джесси Корнблюм, Крис Кендалл и Ник Микус.
$ в первую очередь [ -v | -В | -ч | -Т | -Q | -q | -а | -w-d ] [ -t тип > ]
[ -s блоки > ] [ -k размер > ]

[ -b размер > ] [ -c файл > ] [ -o каталог > ] [ -i файл ]

-V — вывести информацию об авторских правах и выйти.
-t — указать тип файла. (-t jpeg,pdf …)
-d – включить косвенное обнаружение блоков (для файловых систем UNIX)
-i – указать входной файл (по умолчанию stdin)
-a – записать все заголовки, не выполнять обнаружение ошибок (поврежденные файлы)
-w — записывать только файл аудита, не записывать обнаруженные файлы на диск
-o — установить выходной каталог (по умолчанию для вывода)
-c — установить файл конфигурации для использования (по умолчанию —first.conf)
-q — включить быстрый режим. Поиск выполняется на границах 512 байт.
-Q – включает тихий режим. Подавить выходные сообщения.
-v – подробный режим. Выводит все сообщения на экран

Массовое извлечение

Это исключительно полезный инструмент, когда экзаменатор надеется отделить определенную информацию от компьютеризированной контрольной записи. Это устройство может вырезать адреса электронной почты, URL-адреса, номера карт рассрочки и т. д. Этот инструмент делает снимок каталогов, файлов и образов дисков. Информация может быть наполовину разрушена или имеет тенденцию к сжатию. Это устройство найдет в нем путь.

Эта функция включает в себя выделение, которое помогает сделать пример в информации, которую можно найти снова и снова, например, URL-адреса, идентификаторы электронной почты и многое другое, и представляет их в группе гистограммы. У него есть компонент, с помощью которого он составляет список слов из обнаруженной информации. Это может помочь при разделении паролей зашифрованных документов.

Анализ оперативной памяти

Мы видели анализ памяти на образах жесткого диска, но иногда нам приходится захватывать данные из оперативной памяти (оперативной памяти). Помните, что Ram является энергозависимым источником памяти, что означает, что он теряет свои данные, такие как открытые сокеты, пароли, запущенные процессы, как только он выключается.

Одним из многих преимуществ анализа воспоминаний является возможность воссоздать действия подозреваемого в момент происшествия. Одним из самых известных инструментов для анализа памяти является Volatility.

В режиме реального времени (режим Forensics) сначала мы перейдем к Volatility с помощью следующей команды:

Поскольку волатильность — это скрипт Python, введите следующую команду, чтобы открыть меню справки:

Прежде чем выполнять какие-либо действия с этим образом памяти, сначала нам нужно получить доступ к его профилю с помощью следующей команды. Изображение профиля помогает волатильности узнать, где в адресах памяти находится важная информация. Эта команда проверит файл памяти на наличие информации об операционной системе и ключе:

Volatility – это мощный инструмент для анализа памяти с множеством подключаемых модулей, которые помогут нам выяснить, чем занимался подозреваемый во время конфискации компьютера.

Заключение

Криминалистика становится все более важной в современном цифровом мире, где ежедневно совершается множество преступлений с использованием цифровых технологий. Наличие криминалистических методов и знаний в вашем арсенале всегда является чрезвычайно полезным инструментом для борьбы с киберпреступностью на вашей собственной территории.

Kali оснащен инструментами, необходимыми для криминалистической экспертизы, и благодаря использованию режима Live (Forensic Mode) нам не нужно постоянно держать его в системе. Вместо этого мы можем просто создать живой USB-накопитель или подготовить Kali ISO на периферийном устройстве. Если возникнет необходимость судебной экспертизы, мы можем просто подключить USB, переключиться в режим Live (режим судебной экспертизы) и без проблем выполнить свою работу.

Об авторе

Усама Азад

Энтузиаст по безопасности, который любит Terminal и Open Source. Моя область знаний — Python, Linux (Debian), Bash, тестирование на проникновение и брандмауэры. Я родился и вырос в Вазирабаде, Пакистан, и в настоящее время учусь в Национальном университете науки и технологий (NUST). В Твиттере меня зовут @UsamaAzad14

Kali Linux «Live» предоставляет пользователям «криминалистический режим» — функцию, впервые представленную в BackTrack Linux.

Kali Linux «Live» предоставляет пользователям «криминалистический режим» — функцию, впервые представленную в BackTrack Linux.

Причина появления параметра «Живая загрузка в криминалистическом режиме» становится популярной

Опция «Живая загрузка в криминалистическом режиме» стала очень популярной по многим причинам:

  1. Kali Linux — это широкое и простое в использовании приложение, многие потенциальные пользователи установили ISO-образ Potassium или загрузочные USB-накопители.
  2. Когда возникает необходимость анализа, Kali Linux Live помогает быстро и легко ввести Kali Linux в эксплуатацию.
  3. Kali Linux поставляется с предустановленным самым популярным программным обеспечением для анализа с открытым исходным кодом, удобным набором инструментов, когда вам нужно заниматься аналитикой.

Загрузить Kali Linux

Изменения криминалистического режима в системе

При загрузке в режиме Forensic mode происходит несколько важных изменений в обычной работе системы:

  1. Во-первых, внутренний жесткий диск нельзя трогать. Если есть раздел подкачки, он не будет использоваться, и внутренний диск не будет автоматически подключен. Мы проверили это, взяв стандартную систему и удалив жесткий диск. На диск был добавлен «хэш» с использованием коммерческого легального пакета. Затем мы снова подключили диск к компьютеру и запустили Kali Linux «Live» в режиме Forensic. После использования Kali в течение некоторого времени мы выключаем систему, извлекаем жесткий диск и получаем «хеш». Эти подходящие «хэши» показывают, что на диске ничего не меняется никаким образом.
  2. Другое важное изменение заключается в том, что автоматическое подключение мобильных устройств будет отключено. USB-накопители, компакт-диски и подобные устройства не будут автоматически подключаться к Kali Linux, когда они вставлены в компьютер. Идея этого проста: в криминалистическом режиме ничего не происходит ни с каким носителем без прямого действия пользователя. Все, что вы делаете как пользователь, зависит от вас.

Если вы планируете использовать калий в криминалистическом режиме, мы рекомендуем вам тщательно изучить его. Все аналитические инструменты должны быть проверены, чтобы вы знали, какие конкретные эффекты они имеют в каждом конкретном случае.

Наконец, когда Kali продолжает фокусироваться на предоставлении лучшей коллекции доступных инструментов тестирования на проникновение с открытым исходным кодом, мы, возможно, не упомянули ваш любимый инструмент. Если да, сообщите нам об этом в разделе комментариев ниже!

Читайте также: