- Kali Linux教程
- Kali Linux - 首页
- 安装与配置
- 信息收集工具
- 漏洞分析工具
- Kali Linux - 无线攻击
- 网站渗透测试
- Kali Linux - 利用工具
- Kali Linux取证工具
- Kali Linux - 社会工程学
- Kali Linux - 压力测试工具
- Kali Linux - 嗅探与欺骗
- Kali Linux - 密码破解工具
- Kali Linux - 维持访问
- Kali Linux - 逆向工程
- Kali Linux - 报告工具
- Kali Linux有用资源
- Kali Linux - 快速指南
- Kali Linux - 有用资源
- Kali Linux - 讨论
Kali Linux取证工具
本章我们将学习Kali Linux中可用的取证工具。
p0f
p0f 是一款能够仅通过检查捕获的数据包来识别目标主机操作系统的工具,即使目标设备位于数据包防火墙之后也是如此。P0f不会生成任何额外的网络流量(直接或间接);不会进行名称查找;不会发出神秘的探测;不会查询ARIN;什么也不会。在高级用户手中,P0f可以检测防火墙的存在、NAT的使用以及负载均衡器的存在。
在终端中输入“p0f –h”以查看使用方法,您将获得以下结果。
它甚至会列出可用的接口。
然后,输入以下命令:“p0f –i eth0 –p -o filename”。
其中参数“-i”是如上所示的接口名称。“-p”表示处于混杂模式。“-o”表示输出将保存到文件中。
打开地址为192.168.1.2的网页
从结果中,您可以观察到Web服务器正在使用apache 2.x,操作系统是Debian。
pdf-parser
pdf-parser是一个解析PDF文档以识别分析的pdf文件中使用的基本元素的工具。它不会渲染PDF文档。对于PDF解析器的教科书案例,不推荐使用它,但是它可以完成工作。通常,这用于您怀疑其中嵌入了脚本的pdf文件。
命令是:
pdf-parser -o 10 filepath
其中“-o”是对象的个数。
正如您在下面的截图中看到的,pdf文件打开了一个CMD命令。
Dumpzilla
Dumpzilla应用程序是用Python 3.x开发的,其目的是提取Firefox、Iceweasel和Seamonkey浏览器的所有取证感兴趣的信息以进行分析。
ddrescue
它将数据从一个文件或块设备(硬盘、cdrom等)复制到另一个文件或块设备,在读取错误的情况下,首先尝试恢复良好的部分。
ddrescue的基本操作是全自动的。也就是说,您不必等待错误,停止程序,从新的位置重新启动程序等等。
如果您使用ddrescue的mapfile功能,则数据将非常高效地恢复(仅读取所需的块)。此外,您可以随时中断恢复并在以后从同一点恢复。mapfile是ddrescue有效性的重要组成部分。除非您知道自己在做什么,否则请使用它。
命令行是:
dd_rescue infilepath outfilepath
参数“-v”表示详细模式。“/dev/sdb”是要恢复的文件夹。img文件是恢复的镜像。
DFF
这是另一个用于恢复文件的取证工具。它也有一个GUI。要打开它,请在终端中输入“dff-gui”,然后将打开以下Web GUI。
点击文件→“打开证据”。
将打开下表。选中“原始格式”,然后单击“+”以选择要恢复的文件夹。
然后,您可以浏览窗格左侧的文件以查看已恢复的内容。
