Kali Linux - Herramientas forenses

En este capítulo, aprenderemos sobre las herramientas forenses disponibles en Kali Linux.

p0f

p0fes una herramienta que puede identificar el sistema operativo de un host de destino simplemente examinando los paquetes capturados incluso cuando el dispositivo en cuestión está detrás de un firewall de paquetes. P0f no genera tráfico de red adicional, directo o indirecto; sin búsquedas de nombres; sin sondas misteriosas; sin consultas ARIN; nada. En manos de usuarios avanzados, P0f puede detectar la presencia de firewall, el uso de NAT y la existencia de balanceadores de carga.

Tipo “p0f – h” en la terminal para ver cómo se usa y obtendrás los siguientes resultados.

Enumerará incluso las interfaces disponibles.

Luego, escriba el siguiente comando: “p0f –i eth0 –p -o filename”.

Donde el parámetro "-i" es el nombre de la interfaz como se muestra arriba. "-p" significa que está en modo promiscuo. "-o" significa que la salida se guardará en un archivo.

Abra una página web con la dirección 192.168.1.2

De los resultados, puede observar que el servidor web está usando apache 2.xy el sistema operativo es Debian.

analizador pdf

pdf-parser es una herramienta que analiza un documento PDF para identificar los elementos fundamentales utilizados en el archivo pdf analizado. No procesará un documento PDF. No se recomienda para estuches de libros de texto para analizadores de PDF, sin embargo, hace el trabajo. Generalmente, esto se usa para archivos pdf que sospecha que tienen un script incrustado.

El comando es -

pdf-parser  -o 10 filepath

donde "-o" es el número de objetos.

Como puede ver en la siguiente captura de pantalla, el archivo pdf abre un comando CMD.

Dumpzilla

La aplicación Dumpzilla está desarrollada en Python 3.xy tiene como propósito extraer toda la información forense interesante de los navegadores Firefox, Iceweasel y Seamonkey para ser analizada.

ddrescue

Copia datos de un archivo o dispositivo de bloque (disco duro, cdrom, etc.) a otro, intentando rescatar primero las partes buenas en caso de errores de lectura.

El funcionamiento básico de ddrescue es completamente automático. Es decir, no tiene que esperar un error, detener el programa, reiniciarlo desde una nueva posición, etc.

Si usa la función mapfile de ddrescue, los datos se rescatan de manera muy eficiente (solo se leen los bloques necesarios). Además, puede interrumpir el rescate en cualquier momento y reanudarlo más tarde en el mismo punto. El archivo de mapas es una parte esencial de la eficacia de ddrescue. Úselo a menos que sepa lo que está haciendo.

La línea de comando es -

dd_rescue infilepath  outfilepath

Parámetro "–v" significa detallado. "/dev/sdb"es la carpeta a rescatar. losimg file es la imagen recuperada.

DFF

Es otra herramienta forense que se utiliza para recuperar los archivos. También tiene una GUI. Para abrirlo, escriba“dff-gui” en la terminal y se abrirá la siguiente GUI web.

Haga clic en Archivo → “Abrir evidencia”.

Se abrirá la siguiente tabla. Marque "Formato sin procesar" y haga clic en "+" para seleccionar la carpeta que desea recuperar.

Luego, puede examinar los archivos a la izquierda del panel para ver qué se ha recuperado.