Di seguito, i principali tool utilizzati per l’indagine forense digitale, inclusi i tool per l’analisi dei dati di Image, Audio, Memory, Network and Disk Image. Risorsa utile per le sfide CTF.

Tool utilizzati per l’analisi di base:

Ogni volta che ottieni un file, esegui prima l’analisi iniziale utilizzando questi strumenti da riga di comando.

Tool Descrizione utilizzo
file Controlla il tipo di file file -filename
exiftool Fornisce i metadati di base exiftool – filename
binwalk Mostra i file incorporati binwalk -filename
strings Fornisce tutti i caratteri stampabili strings -filename
foremost Estrae tutti i file incorporati foremost-filename
pngcheck Dettagli su un’immagine png pngcheck –options -filename
ffmpeg Controlla l’integrità dei file audio ffmpeg –options -filename

Tool di rilevamento della steganografia:

Questi sono alcuni strumenti che rilevano se è in corso un’attività di stegano su qualsiasi tipo di file:

Tool Tipi di file supportati utilizzo
zsteg PNG, BMP zsteg -filename
stegdetect JPG stegdetect -filename
stegbreak JPG stegbreak -to -f wordlist.txt -filename
stegsolve Tutti i formati di immagine Il dettaglio è menzionato di seguito

Prima installa il pacchetto jar di stegsolve e poi usalo come segue: [java -jar stegsolve] in Terminale.

Assicurati di installare anche il pacchetto Java richiesto

Tool per l’applicazione della steganografia:

Questi strumenti potrebbero essere utilizzati per implementare e rivelare eventuali messaggi nascosti. Si può provare uno di questi strumenti se si ritiene che una di queste tecniche sia stata implementata per nascondere qualsiasi messaggio.

Tool File Types Supported Hiding Recovering
Jsteg JPG jsteg hide hide.jpg secret.txt image1.jpg jsteg reveal hide.jpg output.txt
OpenStego PNG openstego embed -mf secret.txt -cf hide.png -p password -sf stego.png openstego extract -sf openstego.png -p ab12 -xf output.txt
Outguess JPG outguess -k password -d secret.txt cover.jpg stego.jpg outguess -r -k password stego.jpg output.txt
Steghide JPG,BMP,WAV steghide embed -f -ef secret.txt -cf cover.jpg -p password -sf stego.jpg steghide extract -sf stego.jpg -p password -xf output.txt
LSBSteg PNG,BMP LSBSteg encode -i cover.png -o stego.png -f secret.txt LSBSteg decode -i stego.png -o output.txt
mp3stego Audio files mp3stego-encode -E secret.txt -P password cover.wav stego.mp3 mp3stego-decode -X -P password stego.mp3 out.txt
AudioStego Audio files hideme cover.mp3 secret.txt && mv ./output.mp3 stego.mp3 hideme stego.mp3 -f && cat output.txt
stegano PNG stegano-lsb hide –input cover.jpg -f secret.txt -e UTF-8 –output stego.png or stegano-red hide –input cover.png -m “secret msg” –output stego.png or stegano-lsb-set hide –input cover.png -f secret.txt -e UTF-8 -g $GENERATOR –output stego.png for various generators (stegano-lsb-set list-generators) stegano-lsb reveal -i stego.png -e UTF-8 -o output.txt or stegano-red reveal -i stego.png or stegano-lsb-set reveal -i stego.png -e UTF-8 -g $GENERATOR -o output.txt

Tool che si occupano di file audio (incorporamento e rivelazione di dati):

Tool Descrizione utilizzo
Audacity Questo è un ottimo strumento per analizzare, modificare e rivelare qualsiasi dato presente all’interno dell’audio, utilizzato principalmente nell’analisi dei file audio audacity -filename
Sonic Visualiser Ancora un altro strumento simile come Audacity, che può essere utilizzato anche per indagare sui file audio sonic-visualizer -filename
Deepsound Questo è uno strumento che viene utilizzato per nascondere/rivelare qualsiasi dato nel file audio utilizzando una password È un’applicazione di Windows

mp3stego e Audiostego sono anche strumenti che potrebbero essere utilizzati per l’analisi dei dati audio.

Deepsound è un’applicazione basata su Windows, che può essere scaricata da Internet.

Tool che si occupa di dump della memoria (analisi di dati nascosti o attività dannose):

Volatility è un framework forense della memoria open source per la risposta agli incidenti e l’analisi del malware. È scritto in Python e supporta Microsoft Windows, Mac OS X e Linux.

Per scaricare volatility basta digitare nel terminale sudo apt-get install volatility

Tool che si occupano di acquisizioni di pacchetti di rete (analisi dell’attività di rete):

Tool Descrizione utilizzo
Wireshark Wireshark è un analizzatore di pacchetti gratuito e open source. Viene utilizzato per la risoluzione dei problemi di rete, l’analisi, lo sviluppo di software e protocolli di comunicazione filename wireshark.pcap
Tcpdump tcpdump è un comune analizzatore di pacchetti che viene eseguito sotto la riga di comando. Consente all’utente di visualizzare TCP/IP e altri pacchetti trasmessi o ricevuti su una rete a cui è collegato il computer tcpdump -options
NetworkMiner NetworkMiner è uno strumento di analisi forense di rete (NFAT) per Windows. NetworkMiner può essere utilizzato come strumento di acquisizione di pacchetti/sniffer di rete passivo per rilevare sistemi operativi, sessioni, nomi host, porte aperte ecc. senza immettere traffico sulla rete Applicazione GUI

Network Miner è un’applicazione GUI che può essere scaricata da Internet 

Tool utilizzati per l’analisi dei dati dell’immagine disco:

Tool Descrizione utilizzo
Fdisk Per i file system dei computer, fdisk è un’utilità della riga di comando che fornisce funzioni di partizionamento del disco fdsik -lu filename
mmls mmls visualizza il contenuto di un sistema di volumi (gestione dei supporti). In generale, viene utilizzato per elencare il contenuto della tabella delle partizioni in modo da poter determinare dove inizia ogni partizione. L’output identifica il tipo di partizione e la sua lunghezza, il che rende facile usare ‘dd’ per estrarre le partizioni  mmls filename
TestDisk Testdisk è un potente software gratuito di recupero dati. È stato progettato principalmente per aiutare a recuperare le partizioni perse e/o rendere nuovamente avviabili i dischi non di avvio quando questi sintomi sono causati da software difettoso testdisk filename
Autopsy Autopsy è un software per computer che semplifica l’implementazione di molti dei programmi e dei plug-in open source utilizzati in The Sleuth Kit. L’interfaccia utente grafica mostra i risultati della ricerca forense del volume sottostante, rendendo più facile per gli investigatori contrassegnare sezioni di dati pertinenti Applicazione GUI
OSForensics OSForensics è un’applicazione forense per computer digitale che consente di estrarre e analizzare le prove di dati digitali in modo efficiente e semplice. Scopre, identifica e gestisce, cioè scopre tutto ciò che è nascosto all’interno dei vostri sistemi informatici e dispositivi di archiviazione digitale. Applicazione GUI

Sia Autopsy che OSForensics possono essere scaricati da Internet

https://github.com/karthik997/Forensic_Toolkit

Twitter
Visit Us
LinkedIn
Share
YOUTUBE