小白博客 kali Linux - 取证工具

在本章中，我们将学习Kali Linux中的取证工具。

p0f

p0f是一个工具，只要检查捕获的数据包，即使有问题的设备位于数据包防火墙之后，也可以识别目标主机的操作系统。 P0f不会产生任何额外的网络流量，直接或间接; 没有名字查找; 没有神秘的探测器; 没有ARIN查询; 没有。 在高级用户的手中，P0f可以检测到防火墙的存在，NAT的使用以及负载均衡器的存在。

在终端中输入“p0f-h” ，看看如何使用它，你会得到如下的结果。

目标主机

高级用户

它将列出甚至可用的接口。

可用的接口

然后，键入以下命令： “p0f -i eth0 -p -o filename” 。

其中参数“-i”是如上所示的接口名称。 “-p”表示处于混杂模式。 “-o”表示输出将被保存在一个文件中。

命令类型

打开一个地址为192.168.1.2的网页

网页地址

从结果中，您可以观察到Web服务器使用的是Apache 2.x，操作系统是Debian。

PDF解析器

pdf-parser是一个解析PDF文档的工具，用于识别分析的PDF文件中使用的基本元素。 它不会呈现PDF文档。 对于PDF解析器而言，不推荐用于教科书，但是它可以完成这项工作。 一般来说，这是用于您怀疑有嵌入脚本的PDF文件。

该命令是 -

pdf-parser  -o 10 filepath

其中“-o”是对象的数量。

数字对象

正如您在下面的截图中看到的，PDF文件打开了一个CMD命令。

CMD命令

dumpzilla Dumpzilla的应用是在Python 3。x和作为目的提取Firefox，Iceweasel所有法医的有趣的信息，和SeaMonkey浏览器进行分析。 Ddrescue 它将数据从一个文件或块设备（硬盘，光盘，等等）到另一个，试图拯救好的部分首先在读取错误的情况下。 对Ddrescue基本操作是全自动的。也就是说，你不必等待一个错误，停止程序，重新启动它从一个新的位置，等等。 如果你使用Ddrescue映射文件功能，数据是非常有效的（只需要救出块被读取）。此外，你可以随时中断救援，并在同一时间恢复。映射文件是Ddrescue效能的重要组成部分。使用它，除非你知道你在做什么。 命令行是−

dd_rescue infilepath  outfilepath

Parameter "–v" means verbose. "/dev/sdb" is the folder to be rescued. IMG文件恢复图像.

恢复的图像

DFF 这是另一个用于恢复文件的法医工具。它也有图形用户界面。打开它，键入“DFF GUI终端”和下面的Web GUI将开放。

DFF GUI

Click File → “Open Evidence”.

公开证据

The following table will open. Check “Raw format” and click “+” to select the folder that you want to recover.

原始格式

然后，您可以浏览窗格左侧的文件，查看已恢复的内容。

浏览文件