• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Гостевая статья Криминалистическая миссия - Основы с использованием Sleuth Toolkit

Используя инструментарий Sleuth, надеюсь, что это поможет вам справиться с этой задачей и получить базовое представление о криминалистике.

Дополнительную информацию о наборе инструментов Sleuth вы можете найти по следующей ссылке:


ИНСТРУМЕНТЫ - НАСТРОЙКА
Все, что вам нужно, это Кали, которая поставляется с установленным комплектом.



После того, как вы запустили kali, создайте следующие каталоги:
Код:
mkdir hts
cd hts
mkdir fs
cd fs
mkdir 1
cd 1
mkdir original_image
mkdir working_image


ШАГ 1: ВАЛИДАЦИЯ ИЗОБРАЖЕНИЯ
После загрузки файла image.tar.gz на свой компьютер kali скопируйте файл в каталог original_image, созданный вами в разделе настройки. Следующим шагом является проверка изображения по предоставленному значению хеша, которое является «md5checksum: 4e7af965caed9b8d29c40f549fdb7d28», чтобы убедиться, что при загрузке и копировании не было обнаружено искажения свидетельства (файла).

К счастью, для этого есть функция md5sum.

Выполните следующую команду:
Код:
md5sum image.tar.gz > image.tar.gz.md5hash
view image.tar.gz.md5hash

Вы должны увидеть, что значение md5 соответствует хэшу, предоставленному для миссии, и что загрузка не повредила файл. Однако следует отметить, что алгоритм md5 может создавать параметры хэширования, а это означает, что два файла могут генерировать одно и то же значение хеш-функции; следовательно, команда sha256sum может использоваться для создания неудивительно хеш-значения SHA 256, и на момент написания не существует известных хеш-параметров для sha 256;
выполните следующую команду:

Sha256sum image.tar.gz > image.tar.gz.256hash

Создает:
11975b8de6e3758275a8314be0c49a8c4d76c17fb486caad60d9460f1d70407a

Теперь давайте распакуем архив & # 039; s и сгенерируем хэш md5 и sha256 для содержимого (image.dd):
Код:
tar -xvzf image.tar.gz
md5sum image.dd> image.dd.md5hash
sha256sum image.dd> image.dd.256hash


При проведении судебных расследований важно не работать с исходными доказательствами, если только это не является неизбежным, это гарантирует, что исходные доказательства не будут искажены или изменены, это позволяет повторно проверить результаты и помогает доказать, что мы не вмешивались в доказательства, Созданные нами хеш-значения можно использовать для проверки того, что доказательства не были повреждены, поскольку мы проводим расследование для восстановления файлов.

Сделайте копию файла image.dd из исходного каталога в рабочий каталог и перейдите в рабочий каталог.
Код:
cp image.dd ../working_mimage/
cd ../
working_image md5sum image.dd> image.dd.wrk.md5hash
sha256sum image.dd> image.dd.wrk.256hash

сравните хэш новой копии image.dd с исходным извлеченным файлом:
Код:
cmp image.dd.wrk.md5hash ../original_image/image.dd.md5hash
cmp image.dd.wrk.256hash ../original_image/image.dd.256hash

Не должно быть никакой разницы, поэтому мы можем быть уверены, что скопированное изображение совпадает с оригиналом.

ШАГ 2: - ПОИСК ФАЙЛОВ И ВОССТАНОВЛЕНИЕ
Команда из набора инструментов sleuth, которая поможет, - «fls»; который перечисляет файлы и каталоги в изображении; Дополнительные подробности можно найти здесь

Введите следующее:
fls -rd image.dd> image.dd.deletedfile.txt

Это сгенерирует рекурсивный поиск и создаст список удаленных файлов, как показано ниже:
Код:
-/d * 64-144-2: .Trash-1000/expunged/2026288587
r/r * 85-128-2: .Trash-1000/expunged/2026288587/Termination - Allen Smith.docx
r/- * 0: .Trash-1000/expunged/2026288587/Voicemail 1.wav
r/r * 81-128-2: .Trash-1000/expunged/2026288587/Voicemail 1.wav


Структура списка, показанного выше:

r / r = обычный файл
- / d = каталог
/ * = указывает, что файл удален.
64-144-2 = Это мета-адрес, также называемый номером инода, который нам нужно будет восстановить, затем файл позже.
Голосовая почта 1.wav = Имя файла


ШАГ 3: ВОССТАНОВЛЕНИЕ.
Теперь у нас есть список файлов, которые мы можем начать исследовать содержимое. Давайте подробнее рассмотрим файл logins.txt.

- / r * 83-128-2: .Trash-1000 / expunged / 2026288587 / logins.txt

Используя команду «icat», мы можем извлечь файл из image.dd, используя номер индекса, следующим образом:

Код:
icat image.dd 83-128-2> logins.txt
view logins.txt

Как видите, мы успешно извлекли удаленный файл из image.dd. Используя этот подход, мы можем извлечь любые файлы из файла image.dd.

Кроме того, при проверке файла важно убедиться, что рабочий файл image.dd не был поврежден:
cmp image.dd.wrk.256hash ../original_image/image.dd.256hash


:) Счастливого дня, файл в порядке ...

ШАГ 4: ЗАВЕРШЕНИЕ МИССИИ.

Если вы быстро прокрутили здесь в надежде на неудачу с паролем :(. Если вы выполнили все вышеперечисленное и нуждаетесь в некоторых подсказках, то это место.

Чтобы выполнить миссию, нам нужно извлечь файл, содержащий пароль; Файл image.dd.deletedfile.txt дает подсказку.
grep -I password image.dd.deletedfile.txt

-/r * xx-xx-xxxxx: .Trash-1000/expunged/2026288587/xxxxxxx/xxxxxxxxx.rar

Выделите файл из imade.dd с помощью команды icat, например:
icat image.dd xx-xx-xxxxx > thepassword.rar

Наконец, мы не можем доверять этому файлу rar исключительно по расширению. Чтобы проверить файл, существует ли архив, мы можем использовать команду с именем file, которая проверит тип файла:
Код:
file thepassword.rar
password.rar: RAR archive data, v4, os: Win32


Это базовая проверка и подтверждает, что это RAR-архив, более того, защищенный паролем RAR-файл, аххххххх !!!. При первой попытке выполнить эту миссию я запрыгнул в словарь и атаковал грубой силой. Тем не менее, это не требуется для завершения миссии, используя приведенную выше команду для проверки файлов из изображения. DD вы сможете решить миссию; однако я оставлю это на ваше усмотрение.

ШАГ 5: РЕЗЮМЕ
В этом коротком руководстве мы рассмотрели:

Создание и проверка хешей md5 и sha256, чтобы убедиться, что доказательства не искажены при расследовании. Это очень полезно, если вы идете на монтирование образа; поскольку доступ к файловой системе может изменить метаданные, если не установлен только для чтения.

Использовал команду fls, чтобы показать удаленные файлы в файле image.dd.
Использовал команду icat для вырезания файлов, представляющих интерес.
Использовал команду file для проверки извлеченных файлов правильного типа.

 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!