Kali
Linuxには以下のセクションでツールが分けられています。今回は11個目を見ていきましょう。
01 - Information Gathering[情報収集]
02 - Variability Analysis [脆弱性分析]
03 - Web Application Analysis [Webアプリケーション分析]
04 - Database Assessment [データベース評価]
05 - Password Attacks [パスワード攻撃]
06 - Wireless Attacks [無線攻撃]
07 - Reverse Engineering [リバースエンジニアリング]
08 - Exploitation Tools [エクスプロイトツール]
09 - Sniffing & Spoofing [盗聴となりすまし]
10 - Post Exploitation [侵入後の活動]
→11 - Forensics [証拠保全]
12 - Reporting Tools [報告用ツール]
13 - Social Engineering Tools [ソーシャルエンジニアリングツール]
42 - Kali & OffSec Links [Kali、Offsecのリンク集]
Forensic Carving Tools
magicrescue
まさかのファイル消失時にファイル復元を試みるツール
scalpel
ファイルを使用してディスクイメージからファイルまたはデータフラグメントを回復する
scrounge-ntfs
NSFSファイルシステム用のデータ回復プログラム
Forensic Imaging Tools
guymager
接続されているストレージデバイスからディスクイメージを取得する
PDF Forensics Tools
pdf-parser
PDFの要素を解析するツール
pdfid
PDF文書をスキャンし、リスト形式で与えられた文字列の出現頻度を数える
Sleuth Kit Suite
autopsy
ディスクイメージの解析に使われるツールキット。削除されたファイルの回復などを実施できる。
blkcalc, blkcat, balkls, blkstat
ちょっとよくわからない。今後調査
ffind
指定されたiノードを使っているファイル名またはディレクトリ名を探索
ffind | Forensicist
fls
指定されたIノードを使用して最近削除されたいファイルのファイル名を取得できる
FLS(1)のマニュアルページ
fsstat
ファイルシステムの種類およびマウントポイントごとに、ファイルシステムオペレーションを監視できます
・カーネルによるファイルオペレーション動作をレポートします
・監視対象としてはマウントポイント単位、ファイルシステムタイプ単位となります
(※ 統計情報は
Gバイト、Kバイト、Mバイトなど見やすい形式に自動的に単位が
設定されます)
システム監視ツール fsstat の紹介 | Oracle やっぱり Sun がスキ! Blog
hfind
hfindはバイナリサーチアルゴリズムを用いてデータベースからハッシュ値を調べる。これはハッシュデータベースを容易に作成しファイルの既知、未知を特定が可能となる。hfindはNISTのNSRLやmd5sumの出力を扱うことができる。
hfindでデータベースを使う前に、-iオプションによるインデックスファイルが作成されていなければならない。
hfind | Forensicist
icat-sleuthkit
icatは指定されたイメージを開き,指定されたinode番号のファイルを標準出力にコピーします。
ICAT(1) manual page
ifind
ifindは、data_unitにデータユニットが割り当てられているか、指定されたファイル名を持つメタデータ構造体を見つけます。
IFIND(1) manual page
ils-sleuthkit
ilsはimage(s)を開いてiノード情報を表示する。デフォルトでは、ilsは削除されたファイルのiノードのみを表示する。
ils | Forensicist
img_cat
イメージファイルのコンテンツを出力する。rawタイプでないイメージファイルには埋め込みデータとメタデータが含まれている。img_catはメタデータだけを出力する。埋め込まれたフォーマットからrawデータに変換したり、パイプを使って出力を適切なツールに送ることによりデータのMD5値を計算することができる。img_cat | Forensicist
img_stat
イメージファイルの詳細を表示する。このコマンドの出力はイメージのフォーマットに固有である。少なくともサイズや分割されたイメージフォーマットでは各ファイルのバイト範囲が与えられる。
img_stat | Forensicist
istat
istat は,uid,gid,mode,size,link number,modified,accessed,changed
times,および構造体が割り当てたすべてのディスクユニットを表示します。
ISTAT(1) manual page
jcat
jcatは、ファイルシステム・ジャーナル内のジャーナル・ブロックの内容を表示します。ジャーナルのinodeアドレスを指定するか、デフォルトの場所が使用されます。ブロック・アドレスはジャーナル・ブロック・アドレスであり、ファイル・システム・ブロックではないことに注意してください。生の出力はSTDOUTに出力されます。
JCAT(1) manual page
jls
jlsは、ファイルシステムのジャーナルのレコードとエントリを一覧表示します。inodeが指定されている場合は、そこにジャーナルがあるかどうかを調べます。それ以外の場合は、デフォルトの場所を使用します。出力には、ジャーナルのブロック番号と説明が表示されます。
Kali Linux Wiki
mactime-sleuthkit
mactimeは'-b'または標準入力で指定されたbodyファイルに基づいて、ファイルアクティビティのタイムラインをASCII文字で作成する。タイムラインは標準出力STDOUTへ書き出される。bodyファイルは'ils
-m'、'fls
-m'、mac-robberなどで作成された時系列フォーマットでなければならない。
mactime | Forensicist
mmcat
mmcatは、特定のボリュームの内容を標準入力に出力します。これにより、パーティションの内容を別のファイルに抽出することができます。
MMCAT(1) manual page
mmls
mmlsは、ボリュームシステム内のパーティションのレイアウト(パーティションテーブルやディスクラベル)を表示します。
MMLS(1) manual page
sigfind
ファイル全体を検索し、与えられたオフセットから16進数指定したシグネチャを探す。これはブートセクタ、スーパーブロック、パーティションテーブルの消失を復元するために使われる。
sigfind | Forensicist
sorter
イメージ内のファイルを、ファイルの種類に応じてカテゴリに分類する
srch-strings
イメージ内の表示可能な文字列を表示。Stringsに近いものかと
TSK-The-Sleuth-Kit/srch strings - aldeid
tsk-comparedir
ローカルディレクトリとイメージまたは生のデバイスを比較します。これは、ルートキットがローカルのディレクトリ階層からファイルを隠していることを検出するのに便利です。
Tsk comparedir - SleuthKitWiki
tsk-gettimes
tsk_gettimesはディスクイメージ内の各ファイルシステムを調査し、それらに関するデータをMACtimeのボディフォーマットで返します
TSK_GETTIMES(1) manual page
tsk-loaddb
イメージからディスク情報をSQLiteデータベースにロードします。このデータベースは、他の言語のツールで解析に使用することができます
TSK_LOADDB(1) manual page
tsk-recover
イメージから output_dir
にファイルを復元します。デフォルトでは、未割り当てのファイルのみを復元します。フラグをつけると、すべてのファイルをエクスポートします。
TSK_RECOVER(1) manual page
Uncategorized
binwalk
ファイルの種別を調べるコマンド
binwalkコマンドの使い方 - Qiita
binwalkコマンドとは?ファイルの種別を調べるコマンドです。 他に、ファイルの中にファイルが組み込まれているようなファイルから 組み込まれているファイルを抽出するコマンドです。 https://github.com/R...
まとめ
いかがだったっでしょうか。さすがホワイトハッカー御用達のKali
Linuxだけあって、フォレンジクスにはたくさんのツールが用意してありますね。使い所を見極めれるように日々精進です
コメント
コメントを投稿