- Kali Linux教程
- Kali Linux - 首頁
- 安裝與配置
- 資訊收集工具
- 漏洞分析工具
- Kali Linux - 無線攻擊
- 網站滲透測試
- Kali Linux - 利用工具
- Kali Linux取證工具
- Kali Linux - 社會工程學
- Kali Linux - 壓力測試工具
- Kali Linux - 嗅探與欺騙
- Kali Linux - 密碼破解工具
- Kali Linux - 維持訪問
- Kali Linux - 逆向工程
- Kali Linux - 報告工具
- Kali Linux有用資源
- Kali Linux - 快速指南
- Kali Linux - 有用資源
- Kali Linux - 討論
Kali Linux取證工具
本章我們將學習Kali Linux中可用的取證工具。
p0f
p0f 是一款能夠僅透過檢查捕獲的資料包來識別目標主機作業系統的工具,即使目標裝置位於資料包防火牆之後也是如此。P0f不會生成任何額外的網路流量(直接或間接);不會進行名稱查詢;不會發出神秘的探測;不會查詢ARIN;什麼也不會。在高階使用者手中,P0f可以檢測防火牆的存在、NAT的使用以及負載均衡器的存在。
在終端中輸入“p0f –h”以檢視使用方法,您將獲得以下結果。
它甚至會列出可用的介面。
然後,輸入以下命令:“p0f –i eth0 –p -o filename”。
其中引數“-i”是如上所示的介面名稱。“-p”表示處於混雜模式。“-o”表示輸出將儲存到檔案中。
開啟地址為192.168.1.2的網頁
從結果中,您可以觀察到Web伺服器正在使用apache 2.x,作業系統是Debian。
pdf-parser
pdf-parser是一個解析PDF文件以識別分析的pdf檔案中使用的基本元素的工具。它不會渲染PDF文件。對於PDF解析器的教科書案例,不推薦使用它,但是它可以完成工作。通常,這用於您懷疑其中嵌入了指令碼的pdf檔案。
命令是:
pdf-parser -o 10 filepath
其中“-o”是物件的個數。
正如您在下面的截圖中看到的,pdf檔案打開了一個CMD命令。
Dumpzilla
Dumpzilla應用程式是用Python 3.x開發的,其目的是提取Firefox、Iceweasel和Seamonkey瀏覽器的所有取證感興趣的資訊以進行分析。
ddrescue
它將資料從一個檔案或塊裝置(硬碟、cdrom等)複製到另一個檔案或塊裝置,在讀取錯誤的情況下,首先嚐試恢復良好的部分。
ddrescue的基本操作是全自動的。也就是說,您不必等待錯誤,停止程式,從新的位置重新啟動程式等等。
如果您使用ddrescue的mapfile功能,則資料將非常高效地恢復(僅讀取所需的塊)。此外,您可以隨時中斷恢復並在以後從同一點恢復。mapfile是ddrescue有效性的重要組成部分。除非您知道自己在做什麼,否則請使用它。
命令列是:
dd_rescue infilepath outfilepath
引數“-v”表示詳細模式。“/dev/sdb”是要恢復的資料夾。img檔案是恢復的映象。
DFF
這是另一個用於恢復檔案的取證工具。它也有一個GUI。要開啟它,請在終端中輸入“dff-gui”,然後將開啟以下Web GUI。
點選檔案→“開啟證據”。
將開啟下表。選中“原始格式”,然後單擊“+”以選擇要恢復的資料夾。
然後,您可以瀏覽窗格左側的檔案以檢視已恢復的內容。
