Kali Linux – 取证工具

在本章中，我们将了解 Kali Linux 中可用的取证工具。

p0f

p0f是一种工具，即使相关设备位于数据包防火墙之后，它也可以通过检查捕获的数据包来识别目标主机的操作系统。P0f 不会直接或间接产生任何额外的网络流量；没有名称查找；没有神秘的探针；没有 ARIN 查询；没有什么。在高级用户手中，P0f 可以检测防火墙的存在、NAT 的使用以及负载均衡器的存在。

类型– “H p0f”在终端，以了解如何使用它，你会得到下面的结果。

它甚至会列出可用的接口。

然后，键入以下命令：“p0f –i eth0 –p -o 文件名”。

其中参数“-i”是如上所示的接口名称。“-p”表示它处于混杂模式。“-o”表示输出将保存在文件中。

打开一个地址为 192.168.1.2 的网页

从结果可以看出，Webserver 使用的是 apache 2.x，操作系统是 Debian。

pdf解析器

pdf-parser 是一种解析 PDF 文档以识别分析的 pdf 文件中使用的基本元素的工具。它不会呈现 PDF 文档。不建议将其用于 PDF 解析器的教科书案例，但它可以完成工作。通常，这用于您怀疑其中嵌入了脚本的 pdf 文件。

命令是 –

pdf-parser  -o 10 filepath

其中“-o”是对象的数量。

正如您在以下屏幕截图中看到的，pdf 文件打开了一个 CMD 命令。

杜普兹拉

Dumpzilla 应用程序是用 Python 3.x 开发的，目的是提取 Firefox、Iceweasel 和 Seamonkey 浏览器的所有取证有趣信息进行分析。

救援

它将数据从一个文件或块设备（硬盘、cdrom 等）复制到另一个文件或块设备，在读取错误的情况下首先尝试抢救好的部分。

ddrescue 的基本操作是全自动的。也就是说，您不必等待错误、停止程序、从新位置重新启动程序等。

如果使用 ddrescue 的 mapfile 功能，则可以非常有效地挽救数据（仅读取所需的块）。此外，您可以随时中断救援并稍后在同一时间恢复。mapfile 是 ddrescue 有效性的重要组成部分。除非您知道自己在做什么，否则请使用它。

命令行是 –

dd_rescue infilepath  outfilepath

参数“-v”表示冗长。“/dev/sdb”是要拯救的文件夹。在IMG文件是恢复的图像。

DFF

它是另一种用于恢复文件的取证工具。它也有一个 GUI。要打开它，请在终端中输入“dff-gui”，将打开以下 Web GUI。

点击文件→“打开证据”。

将打开下表。选中“原始格式”并单击“+”以选择要恢复的文件夹。

然后，您可以浏览窗格左侧的文件以查看已恢复的内容。