Di seguito, i principali tool utilizzati per l’indagine forense digitale, inclusi i tool per l’analisi dei dati di Image, Audio, Memory, Network and Disk Image. Risorsa utile per le sfide CTF.
Tool utilizzati per l’analisi di base:
Ogni volta che ottieni un file, esegui prima l’analisi iniziale utilizzando questi strumenti da riga di comando.
Tool | Descrizione | utilizzo |
---|---|---|
file | Controlla il tipo di file | file -filename |
exiftool | Fornisce i metadati di base | exiftool – filename |
binwalk | Mostra i file incorporati | binwalk -filename |
strings | Fornisce tutti i caratteri stampabili | strings -filename |
foremost | Estrae tutti i file incorporati | foremost-filename |
pngcheck | Dettagli su un’immagine png | pngcheck –options -filename |
ffmpeg | Controlla l’integrità dei file audio | ffmpeg –options -filename |
Tool di rilevamento della steganografia:
Questi sono alcuni strumenti che rilevano se è in corso un’attività di stegano su qualsiasi tipo di file:
Tool | Tipi di file supportati | utilizzo |
---|---|---|
zsteg | PNG, BMP | zsteg -filename |
stegdetect | JPG | stegdetect -filename |
stegbreak | JPG | stegbreak -to -f wordlist.txt -filename |
stegsolve | Tutti i formati di immagine | Il dettaglio è menzionato di seguito |
Prima installa il pacchetto jar di stegsolve e poi usalo come segue: [java -jar stegsolve] in Terminale.
Assicurati di installare anche il pacchetto Java richiesto
Tool per l’applicazione della steganografia:
Questi strumenti potrebbero essere utilizzati per implementare e rivelare eventuali messaggi nascosti. Si può provare uno di questi strumenti se si ritiene che una di queste tecniche sia stata implementata per nascondere qualsiasi messaggio.
Tool | File Types Supported | Hiding | Recovering |
---|---|---|---|
Jsteg | JPG | jsteg hide hide.jpg secret.txt image1.jpg | jsteg reveal hide.jpg output.txt |
OpenStego | PNG | openstego embed -mf secret.txt -cf hide.png -p password -sf stego.png | openstego extract -sf openstego.png -p ab12 -xf output.txt |
Outguess | JPG | outguess -k password -d secret.txt cover.jpg stego.jpg | outguess -r -k password stego.jpg output.txt |
Steghide | JPG,BMP,WAV | steghide embed -f -ef secret.txt -cf cover.jpg -p password -sf stego.jpg | steghide extract -sf stego.jpg -p password -xf output.txt |
LSBSteg | PNG,BMP | LSBSteg encode -i cover.png -o stego.png -f secret.txt | LSBSteg decode -i stego.png -o output.txt |
mp3stego | Audio files | mp3stego-encode -E secret.txt -P password cover.wav stego.mp3 | mp3stego-decode -X -P password stego.mp3 out.txt |
AudioStego | Audio files | hideme cover.mp3 secret.txt && mv ./output.mp3 stego.mp3 | hideme stego.mp3 -f && cat output.txt |
stegano | PNG | stegano-lsb hide –input cover.jpg -f secret.txt -e UTF-8 –output stego.png or stegano-red hide –input cover.png -m “secret msg” –output stego.png or stegano-lsb-set hide –input cover.png -f secret.txt -e UTF-8 -g $GENERATOR –output stego.png for various generators (stegano-lsb-set list-generators) | stegano-lsb reveal -i stego.png -e UTF-8 -o output.txt or stegano-red reveal -i stego.png or stegano-lsb-set reveal -i stego.png -e UTF-8 -g $GENERATOR -o output.txt |
Tool che si occupano di file audio (incorporamento e rivelazione di dati):
Tool | Descrizione | utilizzo |
---|---|---|
Audacity | Questo è un ottimo strumento per analizzare, modificare e rivelare qualsiasi dato presente all’interno dell’audio, utilizzato principalmente nell’analisi dei file audio | audacity -filename |
Sonic Visualiser | Ancora un altro strumento simile come Audacity, che può essere utilizzato anche per indagare sui file audio | sonic-visualizer -filename |
Deepsound | Questo è uno strumento che viene utilizzato per nascondere/rivelare qualsiasi dato nel file audio utilizzando una password | È un’applicazione di Windows |
mp3stego e Audiostego sono anche strumenti che potrebbero essere utilizzati per l’analisi dei dati audio.
Deepsound è un’applicazione basata su Windows, che può essere scaricata da Internet.
Tool che si occupa di dump della memoria (analisi di dati nascosti o attività dannose):
Volatility è un framework forense della memoria open source per la risposta agli incidenti e l’analisi del malware. È scritto in Python e supporta Microsoft Windows, Mac OS X e Linux.
Per scaricare volatility basta digitare nel terminale sudo apt-get install volatility
Tool che si occupano di acquisizioni di pacchetti di rete (analisi dell’attività di rete):
Tool | Descrizione | utilizzo |
---|---|---|
Wireshark | Wireshark è un analizzatore di pacchetti gratuito e open source. Viene utilizzato per la risoluzione dei problemi di rete, l’analisi, lo sviluppo di software e protocolli di comunicazione | filename wireshark.pcap |
Tcpdump | tcpdump è un comune analizzatore di pacchetti che viene eseguito sotto la riga di comando. Consente all’utente di visualizzare TCP/IP e altri pacchetti trasmessi o ricevuti su una rete a cui è collegato il computer | tcpdump -options |
NetworkMiner | NetworkMiner è uno strumento di analisi forense di rete (NFAT) per Windows. NetworkMiner può essere utilizzato come strumento di acquisizione di pacchetti/sniffer di rete passivo per rilevare sistemi operativi, sessioni, nomi host, porte aperte ecc. senza immettere traffico sulla rete | Applicazione GUI |
Network Miner è un’applicazione GUI che può essere scaricata da Internet
Tool utilizzati per l’analisi dei dati dell’immagine disco:
Tool | Descrizione | utilizzo |
---|---|---|
Fdisk | Per i file system dei computer, fdisk è un’utilità della riga di comando che fornisce funzioni di partizionamento del disco | fdsik -lu filename |
mmls | mmls visualizza il contenuto di un sistema di volumi (gestione dei supporti). In generale, viene utilizzato per elencare il contenuto della tabella delle partizioni in modo da poter determinare dove inizia ogni partizione. L’output identifica il tipo di partizione e la sua lunghezza, il che rende facile usare ‘dd’ per estrarre le partizioni | mmls filename |
TestDisk | Testdisk è un potente software gratuito di recupero dati. È stato progettato principalmente per aiutare a recuperare le partizioni perse e/o rendere nuovamente avviabili i dischi non di avvio quando questi sintomi sono causati da software difettoso | testdisk filename |
Autopsy | Autopsy è un software per computer che semplifica l’implementazione di molti dei programmi e dei plug-in open source utilizzati in The Sleuth Kit. L’interfaccia utente grafica mostra i risultati della ricerca forense del volume sottostante, rendendo più facile per gli investigatori contrassegnare sezioni di dati pertinenti | Applicazione GUI |
OSForensics | OSForensics è un’applicazione forense per computer digitale che consente di estrarre e analizzare le prove di dati digitali in modo efficiente e semplice. Scopre, identifica e gestisce, cioè scopre tutto ciò che è nascosto all’interno dei vostri sistemi informatici e dispositivi di archiviazione digitale. | Applicazione GUI |
Sia Autopsy che OSForensics possono essere scaricati da Internet