小白安全博客

小白记忆
专注网络安全

 kali Linux - 取证工具

在本章中,我们将学习Kali Linux中的取证工具。

p0f

p0f是一个工具,只要检查捕获的数据包,即使有问题的设备位于数据包防火墙之后,也可以识别目标主机的操作系统。 P0f不会产生任何额外的网络流量,直接或间接; 没有名字查找; 没有神秘的探测器; 没有ARIN查询; 没有。 在高级用户的手中,P0f可以检测到防火墙的存在,NAT的使用以及负载均衡器的存在。

在终端中输入“p0f-h” ,看看如何使用它,你会得到如下的结果。

目标主机高级用户

它将列出甚至可用的接口。

可用的接口

然后,键入以下命令: “p0f -i eth0 -p -o filename” 。

其中参数“-i”是如上所示的接口名称。 “-p”表示处于混杂模式。 “-o”表示输出将被保存在一个文件中。

命令类型

打开一个地址为192.168.1.2的网页

网页地址

从结果中,您可以观察到Web服务器使用的是Apache 2.x,操作系统是Debian。

PDF解析器

pdf-parser是一个解析PDF文档的工具,用于识别分析的PDF文件中使用的基本元素。 它不会呈现PDF文档。 对于PDF解析器而言,不推荐用于教科书,但是它可以完成这项工作。 一般来说,这是用于您怀疑有嵌入脚本的PDF文件。

该命令是 -

pdf-parser  -o 10 filepath

其中“-o”是对象的数量。

数字对象

正如您在下面的截图中看到的,PDF文件打开了一个CMD命令。

CMD命令

dumpzilla
Dumpzilla的应用是在Python 3。x和作为目的提取Firefox,Iceweasel所有法医的有趣的信息,和SeaMonkey浏览器进行分析。

Ddrescue
它将数据从一个文件或块设备(硬盘,光盘,等等)到另一个,试图拯救好的部分首先在读取错误的情况下。

对Ddrescue基本操作是全自动的。也就是说,你不必等待一个错误,停止程序,重新启动它从一个新的位置,等等。

如果你使用Ddrescue映射文件功能,数据是非常有效的(只需要救出块被读取)。此外,你可以随时中断救援,并在同一时间恢复。映射文件是Ddrescue效能的重要组成部分。使用它,除非你知道你在做什么。

命令行是−


dd_rescue infilepath  outfilepath

Parameter "–v" means verbose. "/dev/sdb" is the folder to be rescued. IMG文件恢复图像.

恢复的图像

DFF
这是另一个用于恢复文件的法医工具。它也有图形用户界面。打开它,键入“DFF GUI终端”和下面的Web GUI将开放。

DFF GUI

Click File → “Open Evidence”.

公开证据

The following table will open. Check “Raw format” and click “+” to select the folder that you want to recover.

原始格式

然后,您可以浏览窗格左侧的文件,查看已恢复的内容。

浏览文件


×

感谢您的支持,我们会一直保持!

扫码支持
请土豪扫码随意打赏,请先点一下下面的付款方式

打开支付宝扫一扫,即可进行扫码打赏哦

分享从这里开始,精彩与您同在

 您阅读这篇文章共花了:

打赏作者
版权所有,转载注明出处:小白安全博客-菜鸟安全博客-小白个人博客 » kali Linux - 取证工具»https://www.xiaobaibk.com/xiao-bai-179.html

发表评论

表情

网友评论(0)