Kali Linux – 取证工具

今天，当我们被大量勒索软件、恶意软件和数字病毒包围以监视和入侵我们的政策时，我们非常需要学习如何防范它们。当涉及到恶意的、加密的、安全的或任何其他文件取证工具时，它可以帮助我们分析它们并使我们找到攻击者的路径更加清晰，甚至有时会为我们提供有关文件中消息或文件作者的大量信息。文件。这些工具甚至允许我们对图像或其他文件中的消息进行加密，以将其隐藏起来，使那些出于恶意意图想要阅读消息的人无法看到。我们可以使用以下提到的工具分析甚至打开任何文件的代码。以下是取证工具的基本工具列表

1.宾沃克

当我们有一个二进制图像并且必须从中提取嵌入的文件和可执行代码时，Binwalk 是一个很好的工具。它甚至用于识别嵌入在固件映像中的文件和代码。 Binwalk 与 UNIX 文件实用程序的魔术签名兼容，因为它使用 libmagic 库。

Binwalk 的官方 Github 存储库是：https://github.com/ReFirmLabs/binwalk

使用 Binwalk 工具：在终端中输入以下命令。

binwalk -h

这将显示 Binwalk 命令的帮助部分。

2. 批量提取器

批量提取工具，当您必须从文件中提取电子邮件地址、URL、机密文件编号等功能时，将使用该工具。此工具用于入侵调查、恶意软件调查、身份调查或任何其他类型的网络调查。处理压缩或损坏文件的强大功能使其成为处理这些文件的绝佳工具。 IT 处理磁盘映像、文件或文件目录并找出有用的信息。

要使用 Bulk-Extractor：在终端中输入以下命令。

bulk_extractor 

3. p0f

当我们必须分析网络捕获的包时，p0f 是一个很好的工具。 p0f 用于从包中收集主机的信息，如 IP 地址、操作系统等。当捕获的数据包的网络上有防火墙时，此工具可能会被证明是一个很好的工具。它具有非常高的可扩展性，可以快速识别主机详细信息。它还允许我们在执行漏洞测试时收集信息并监控网络。

要使用 p0f：在终端中输入以下命令。

p0f -h

4. 尸检

尸检是一种数字取证工具，用于收集取证信息。或者换句话说，此工具用于调查文件或日志，以了解系统究竟做了什么。它甚至可以用作恢复软件来从存储卡或笔式驱动器中恢复文件。

使用尸检工具

• Kali Linux 中预装了 Autopsy
• 只需在终端中输入“尸检”即可。
  

现在访问http://localhost:9999/autopsy以使用该工具。

5. 开膛手约翰

John the Ripper 是破解压缩文件、pdf 文件等文件密码的好工具。这些受密码保护的文件可以用 john the ripper 轻松解密，其中有许多攻击，如暴力攻击、字典攻击等.

使用开膛手约翰

• 开膛手约翰预装在 Kali Linux 中。
• 只需在终端中输入“ john ”即可使用该工具。