小白博客 kali Linux - 取证工具

在本章中,我们将学习Kali Linux中的取证工具。

p0f

p0f是一个工具,只要检查捕获的数据包,即使有问题的设备位于数据包防火墙之后,也可以识别目标主机的操作系统。 P0f不会产生任何额外的网络流量,直接或间接; 没有名字查找; 没有神秘的探测器; 没有ARIN查询; 没有。 在高级用户的手中,P0f可以检测到防火墙的存在,NAT的使用以及负载均衡器的存在。

在终端中输入“p0f-h” ,看看如何使用它,你会得到如下的结果。

它将列出甚至可用的接口。

然后,键入以下命令: “p0f -i eth0 -p -o filename” 。

其中参数“-i”是如上所示的接口名称。 “-p”表示处于混杂模式。 “-o”表示输出将被保存在一个文件中。

打开一个地址为192.168.1.2的网页

从结果中,您可以观察到Web服务器使用的是Apache 2.x,操作系统是Debian。

PDF解析器

pdf-parser是一个解析PDF文档的工具,用于识别分析的PDF文件中使用的基本元素。 它不会呈现PDF文档。 对于PDF解析器而言,不推荐用于教科书,但是它可以完成这项工作。 一般来说,这是用于您怀疑有嵌入脚本的PDF文件。

该命令是 -

pdf-parser  -o 10 filepath

其中“-o”是对象的数量。

正如您在下面的截图中看到的,PDF文件打开了一个CMD命令。

dumpzilla Dumpzilla的应用是在Python 3。x和作为目的提取Firefox,Iceweasel所有法医的有趣的信息,和SeaMonkey浏览器进行分析。 Ddrescue 它将数据从一个文件或块设备(硬盘,光盘,等等)到另一个,试图拯救好的部分首先在读取错误的情况下。 对Ddrescue基本操作是全自动的。也就是说,你不必等待一个错误,停止程序,重新启动它从一个新的位置,等等。 如果你使用Ddrescue映射文件功能,数据是非常有效的(只需要救出块被读取)。此外,你可以随时中断救援,并在同一时间恢复。映射文件是Ddrescue效能的重要组成部分。使用它,除非你知道你在做什么。 命令行是−

dd_rescue infilepath  outfilepath

Parameter "–v" means verbose. "/dev/sdb" is the folder to be rescued. IMG文件恢复图像.

DFF 这是另一个用于恢复文件的法医工具。它也有图形用户界面。打开它,键入“DFF GUI终端”和下面的Web GUI将开放。

Click File → “Open Evidence”.

The following table will open. Check “Raw format” and click “+” to select the folder that you want to recover.

然后,您可以浏览窗格左侧的文件,查看已恢复的内容。


本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏企鹅号快讯

Python的开端

今天就说说Python的安装和它的开发环境,我安装的是Python3.5.2,也有很多人用的Python2.7,这两个版本有些地方都变了,但是差异可以学了Pyt...

21960
来自专栏加米谷大数据

技术干货 | MapReduce作业调度

可以通过设置mapred.job.priority属性或JobClient的setJobPriority()方法来设置优先级(在这两种方法中,可以选VERY_H...

27660
来自专栏机器学习从入门到成神

2013百度校招笔试真题以及解析(内存管理及其优缺点总结)

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/sinat_35512245/articl...

13810
来自专栏小樱的经验随笔

BugkuCTF sql注入

15430
来自专栏FreeBuf

聊一聊万恶的锁首

当手持8倍镜的98K都不能在使用程序时干掉万恶的锁首时,内心是十万头羊驼奔跑的场景,那我们就来聊一聊市面上常见的锁首方式。 ① :设置OpenHomePage、...

22470
来自专栏北京马哥教育

4个Linux服务器监控工具

下面是我想呈现给你的4个强大的监控工具。 htop – 交互式进程查看器 你可能知道在机器上查看实时进程的标准工具top。如果不知道,请运行$ top看看,运行...

45490
来自专栏FreeBuf

CVE 2017-0199漏洞利用的新姿势

近日从客户处捕获一枚邮件附件中的可疑word样本,以下是扫描结果,检测率貌似不高。 ? ? 手动分析吧。 文件md5:0b16b255918264667a9f0...

25250
来自专栏FreeBuf

利用Pentestbox打造MS17-010移动杀器

1、前言 前段时间Shadow Broker披露了 Windows大量漏洞,甚至爆出黑客组织 Equation Group 对于Windows 远程漏洞 MS1...

37770
来自专栏walterlv - 吕毅的博客

Windows 10 四月更新,文件夹名称也能区分大小写了

发布于 2018-06-14 00:02 更新于 2018-09...

36730
来自专栏解Bug之路

解Bug之路-记一次JVM堆外内存泄露Bug的查找 顶

JVM的堆外内存泄露的定位一直是个比较棘手的问题。此次的Bug查找从堆内内存的泄露反推出堆外内存,同时对物理内存的使用做了定量的分析,从而实锤了Bug的源头。笔...

10240

扫码关注云+社区

领取腾讯云代金券