Ferramentas de resposta a incidentes: FTK para Linux
NB: Lembre -se de não trocar a fonte e o destino, ou então você corrompe a evidência.
Resumo:
FTK (Forensic Toolkit) é um software forense de computador criado pelo AccessData. Ele permite que os profissionais de TI recuperem, copiem e preservem evidências digitais como parte de um plano de resposta a incidentes. A versão gratuita do FTK para Linux é suficiente para iniciantes no campo da forense. O FTK pode digitalizar discos rígidos, fazer cópias em vários formatos e analisar diferentes sistemas de arquivos. Ele também possui recursos como digitalização de e -mail, pesquisa de string de texto e escultura manual de dados. A versão paga do FTK fornece uma interface gráfica do usuário para todas as ferramentas forenses disponíveis com FTK. No entanto, os profissionais do Linux podem obter resultados semelhantes usando a versão gratuita das ferramentas FTK ou de código aberto.
Pontos chave:
1. Instalação do FTK Imager no Kali Linux:
O FTK Imager não é nativo do Kali Linux, então precisa ser instalado separadamente. Para instalá -lo, conecte -se à Internet e faça o download do FTK Imager do site da AccessData. Extraia o arquivo TAR baixado usando o terminal.
2. Compatibilidade FTK com Linux:
A versão completa do FTK, incluindo todas as ferramentas forenses, funciona com o Linux, mas requer uma licença paga. A versão gratuita do FTK para Linux é suficiente para o trabalho forense básico.
3. Usando o FTK Imager no Linux:
O FTK Imager pode ser usado em sistemas Linux, baixando -o no site da AccessData. O arquivo baixado geralmente é colocado na pasta de downloads por padrão.
4. Obtendo o FTK Imager no Windows:
Para obter o FTK Imager no Windows, visite o site da AccessData e baixe a versão apropriada para o Windows. O processo de instalação pode variar dependendo do sistema operacional.
5. Diferença entre FTK e FTK Imager:
O FTK é um software forense de computador abrangente, enquanto o FTK Imager é um componente do FTK que se concentra em imagens e copiar discos rígidos. O FTK Imager pode ser usado indefinidamente, mas requer uma licença.
6. FTK Imager no Mac:
O FTK Imager está disponível para Mac e suporta o comando “D” embutido e a opção de instalar outras ferramentas como Ewftools ou DC3DD.
7. FTK Imager for Linux Download:
Para baixar o FTK Imager for Linux, visite o site da AccessData e siga o link de download fornecido. O arquivo baixado será salvo na pasta Downloads.
8. DD em Kali Linux:
Kali Linux tem o comando “DD” para forense digital. Pode ser usado para várias operações em caminhos específicos do dispositivo.
9. Disponibilidade do FTK Imager:
O FTK Imager está disponível gratuitamente e permite a criação de imagens forenses e a reconstrução de arquivos segmentados a partir de imagens de disco.
10. Usando o FTK Imager para reprodução forense:
O FTK Imager pode ser usado para criar evidências forenses alternativas quando a evidência original é alterada. Ele pode replicar folga de arquivo, espaço não alocado e conduzir espaço livre.
Questões:
1. O Imager FTK pode ser instalado no Kali Linux?
Sim, o FTK Imager pode ser instalado no Kali Linux, baixando -o no site da AccessData e extraindo o arquivo Tar baixado.
2. FTK funciona com Linux?
A versão completa do FTK funciona com o Linux, mas requer uma licença paga. A versão gratuita do FTK para Linux também está disponível, o que é suficiente para o trabalho forense básico.
3. Como o FTK Imager pode ser baixado no Linux?
Para baixar o FTK Imager no Linux, visite o site da AccessData e siga o link de download fornecido. O arquivo baixado será salvo na pasta Downloads.
4. Como o FTK Imager pode ser obtido no Windows?
Para obter o FTK Imager no Windows, visite o site da AccessData e baixe a versão apropriada para o Windows. O processo de instalação pode variar dependendo do sistema operacional.
5. Qual é a diferença entre FTK e FTK Imager?
O FTK é um software forense de computador abrangente, enquanto o FTK Imager é um componente do FTK que se concentra em imagens e copiar discos rígidos. O FTK Imager pode ser usado indefinidamente, mas requer uma licença.
6. O FTK Imager está disponível para Mac?
Sim, o FTK Imager está disponível para Mac e suporta o comando “D” embutido e a opção de instalar outras ferramentas como Ewftools ou DC3DD.
7. Onde pode ser baixado o imager ftk para linux?
O FTK Imager pode ser baixado para Linux no site da AccessData. O arquivo baixado é normalmente salvo na pasta Downloads.
8. Kali Linux tem o comando “dd”?
Sim, Kali Linux tem o comando “DD”, usado para operações forenses digitais.
9. É ftk imager livre?
Sim, o FTK Imager está disponível gratuitamente. Permite a criação de imagens forenses e a reconstrução de arquivos segmentados a partir de imagens de disco.
10. Quando o imager ftk deve ser usado?
O FTK Imager deve ser usado quando houver necessidade de criar evidências forenses alternativas ou reproduzir evidências que foram alteradas. Ele pode replicar folga de arquivo, espaço não alocado e conduzir espaço livre.
11. Qual banco de dados pode usar o FTK?
O FTK pode usar um mecanismo de processamento distribuído (DPE) e é recomendável instalar o processamento distribuído antes de usar o FTK com o AWS RDS (Serviços de Dados de Dados Relatacional da Amazon Web Services).
12. Para que é usado o FTK?
FTK é um software forense de computador usado para coletar vários tipos de dados de discos rígidos. Ele pode ser usado para interceptar e -mails, procurar emails excluídos e digitalizar discos para seqüências de texto específicas.
13. Por que o FTK Imager é preferido sobre o Encase Imager no Linux?
O FTK Imager é preferido sobre o Encase Imager no Linux devido a fatores como sua pegada de RAM menor, capacidade de montar imagens, visualizar a maioria dos arquivos, detectar criptografia EFS e suporte para mais formatos de imagem.
14. Os profissionais do Linux podem obter resultados semelhantes com ferramentas de código aberto?
Sim, os profissionais do Linux podem obter resultados semelhantes usando a versão gratuita do FTK ou outras ferramentas forenses de código aberto disponíveis para Linux.
15. Por que a versão gratuita do FTK para Linux é suficiente para iniciantes em forense?
A versão gratuita do FTK for Linux fornece recursos essenciais, como varredura de disco rígido, cópia e análise de vários sistemas de arquivos. Ele permite que os iniciantes começassem em forense sem a necessidade de uma versão paga.
Ferramentas de resposta a incidentes: FTK para Linux
NB: Lembre -se de não trocar a fonte e o destino, ou então você corrompe a evidência.
Como usar o FTK Imager em Kali Linux?
O plug -in FTK Imager é’t nativo de kali, então temos que instalá -lo. Clique na barra de tarefas ao lado do relógio no Kali Live Desktop (no canto superior direito) para se conectar à Internet.
FTK funciona com Linux?
Com a versão completa do FTK, todas as ferramentas forenses associadas ao FTK são empacotadas em uma interface gráfica do usuário, salvando dados na análise. A capacidade de trabalhar com os profissionais de segurança do Linux em forense exige que você use a versão paga do FTK ou ENCASE.
Você pode usar o FTK Imager no Linux?
O próximo passo é baixar o FTK Imager para Linux (http: // accessData. O FTK Imager for Linux pode ser baixado neste site. com/download do produto), para “Versões da linha de comando das versões da linha de comando do FTK”. Downloads de FTK residem automaticamente na seção de downloads por padrão. O alcatrão precisará ser extraído do seu terminal.
Como faço para obter o FTK Imager no Windows?
Qual é a diferença entre FTK e FTK Imager?
O imager do FTK pode ser usado indefinidamente, mas apenas por licença. Ao contrário de outras ferramentas de edição de imagens, o FTK funciona apenas por períodos muito limitados. Os dados de acesso também vendem versões de demonstração.
FTK Imager funciona em um mac?
Por outro lado, o FTK Imager é para sistemas ao vivo com uma versão Mac – sim, a versão Mac contém o comando embutido D, mas sempre terá o comando dd, ou você pode instalar ewftools ou dc3dd.
É ftk imager no linux?
Você precisa baixar o FTK Imager para Linux primeiro (http: // accessData.UKK.com). Em seguida, digite http: // www.ftk.com/download do produto e clique em “Versões da linha de comando”. O FTK baixado é colocado na pasta Downloads por padrão.
Kali tem DD?
No Kali Linux, temos o INDD se for executado por Fof $/dev/sda2 c/sdb2 sem erro indcfldd (basicamente, forense digital).
É ftk imager livre?
Usando o FTK Imager, um arquivo pode conter uma imagem ou uma coleção organizada de segmentos pode ser posteriormente reconstruída a partir das imagens de disco.
Quando devo usar o FTK Imager?
Se uma peça original de evidência forense for alterada, uma alternativa pode ser criada ao imager FTK para reprodução forense. Como parte da imagem forense, a folga do arquivo e o espaço não alocado são completamente idênticos, bem como o espaço livre de acionamento, que também é duplicado.
Qual banco de dados pode usar o FTK?
Um mecanismo de processamento distribuído (DPE) é suportado pelo FTK. Seguindo o guia de instalação, é recomendável que você instale o processamento distribuído antes de aplicar usando o Amazon Web Services’ Serviços de banco de dados relacionais (AWS RDS).
Para que é usado o FTK?
O produto RCE Toolkit, ou FTK, é um software forense de computador fabricado pelo AccessData. Vários dados são coletados do disco rígido através deste processo. Para interceptar e -mails através de dicionários de senha, ele pode usar dados para pesquisa de e -mails excluídos, bem como varreduras de um disco para seqüências de texto como um dicionário de senha.
Ferramentas de resposta a incidentes: FTK para Linux
A resposta a incidentes é um componente essencial de uma equipe de segurança de TI e planejar. Dentro de um plano de resposta a incidentes, a Forensics deve desempenhar um papel crítico na recuperação, cópia e preservação de evidências digitais. Esta postagem do blog elucida por que a versão gratuita do FTK para Linux é suficiente para profissionais de TI que desejam começar em uma carreira forense.
O que o FTK gratuito para Linux faz?
FTK digitaliza o disco rígido, pode fazer uma cópia do disco rígido e salvá -lo em vários formatos, incluindo formato bruto. O FTK tem a capacidade de analisar vários sistemas de arquivos, digitalizar e -mails, seqüências de texto e outras informações. O kit de ferramentas permite executar uma análise rápida e precisa para processamento, indexação, pesquisa e filtragem de dados para identificar evidências críticas em uma violação de dados. Além disso, você tem a capacidade de realizar escultura manual de dados com FTK, o que não é possível com ferramentas semelhantes, como o testDisk.
No geral, o FTK Software Toolkit permite que a resposta a incidentes e profissionais forenses trabalhem em conjuntos de dados maciços em vários tipos de dispositivos, dados de rede, discos rígidos e armazenamento na Internet. A versão paga dos grupos FTK juntos todas as ferramentas forenses disponíveis com FTK em uma interface GUI amigável. No entanto, se você se chamar de um profissional de segurança Linux capaz, então você ganhou’preciso da versão paga do FTK ou Encase para o trabalho forense.
Por que o FTK Imager é melhor para você do que a Encase Imager no Linux?
Brett Muir escreveu um ótimo post de blog chamado “Encase Imager vs. FTK Imager“, onde ele conclui que ainda iria recorrer ao FTK Imager sobre o Encase por vários motivos. Suas conclusões incluem o fato de que o FTK Imager tem uma pegada menor na RAM, pode montar imagens, visualizar a maioria dos arquivos, detectar a criptografia EFS e suporta mais formatos de imagem. Sua análise dá apoio adicional para usar o FTK Imager sobre o Encase devido às vantagens de desempenho declaradas acima.
Blogueiro Josh Lowery’a opinião, em uma postagem de blog intitulada “Instalando o FTK Imager Lite na linha de comando Linux“, concorda com Muir’S VIEW também. O analista forense de computador sediado em Nova York, diz que prefere FTK, pois é um “Meios leves, rápidos e eficientes para extrair a imagem da sua unidade suspeita.”
Os sistemas Linux contêm ou têm a capacidade de instalar a maioria das ferramentas forenses gratuitamente. Sim, você pode optar por GUI, amigável e abrangente, a GUI pagou a GUI ou o Encase Imager Suite, mas se você estiver familiarizado trabalhando com um sistema Linux e siga as ferramentas de código aberto, então você’Optarei o FTK Imager (o download gratuito) para copiar dados, indexá -los, pesquisar e suas habilidades de escultura. Então você’Aprenderei sobre ferramentas gratuitas, como xxd para dumps hexadecimais, GDB para depuração, o kit de detetive com outras ferramentas forenses.
FTK, Encase e outras ferramentas são abordadas em nosso curso de resposta a incidentes.
Introdução
Vestir’t estresse! Você pode usar ferramentas de código aberto para atingir seu objetivo. Neste tutorial, exploraremos o uso do AccessData’S FTK Imager Running On Kali Live.
NB: Eu assumi que você tem algum básico no Linux.
Aqui estão minhas razões para usar os dois:
1. Kali Live tem ‘Modo forense’ – Seus benefícios:
* Kali Live não é destrutivo; não faz alterações no disco.
* ‘Modo forense’ não carrega a montagem automática de unidades.
2. FTK Imager é fácil de usar.
Deixar’S mergulhar bem em.
Etapa 0: Crie o disco
Você pode baixar o kali ao vivo daqui. Depois de baixá -lo, você pode usar o Rufus para criar o disco Kali Live de onde você inicializará. Aplique as configurações mostradas abaixo:
* Dispositivo: esta é a unidade que você usará para criar o disco vivo. (Eu recomendo que você use uma unidade flash.)
* Seleção de inicialização: use a imagem ao vivo Kali que você baixou.
* Esquema de partição: MBR ou GPT.
Você pode deixar o resto das opções como elas são.
Depois de clicar em ‘Começar’ Na parte inferior desta janela, caso você seja solicitado a escolher entre ISO e dd (na próxima janela), escolha dd. Escolhendo ISO Pode fazer com que seu software antivírus detecte e bloqueie alguns dos módulos maliciosos (mas úteis) nativos no Kali Linux e, assim, corrompendo o disco.
dd No entanto, alterará o formato de sua unidade. Para restaurar o formato normal (FAT32 ou NTFS), consulte este artigo.
Etapa 1: Altere as configurações do BIOS
Esta etapa é importante, pois alguns PCs venceram’T Permndo que você inicialize no disco ao vivo.
O menu do BIOS varia com o dispositivo. Por exemplo, para acessá -lo na maioria dos PCs HP, pressione F10 assim que ligar sua máquina; Para a maioria dos PCs Lenovo, pressione F2. Você pode confirmar o que funciona para você com uma pesquisa no Google.
Estas são as configurações a serem observadas:
1. Botta segura: Desative -a.
2. Baot Uefi/Legacy: se possível, tenha as duas opções em. Isso está atrelado à sua preferência. Para a UEFI, verifique se o suporte ao CSM está ativado para permitir a inicialização de um disco com um esquema de partição MBR; caso contrário, use GPT (em vez de MBR) enquanto cria seu disco. A Boot Legacy suporta o esquema de partição MBR.
Depois de alterar as configurações, salve alterações e saia. Lembre -se de restaurar as configurações originais depois de concluir o processo de imagem.
NB: as configurações do BIOS são armazenadas na memória flash, portanto, a alteração das configurações do BIOS não vai adulterar com a evidência.
Etapa 2: inicialize
O próximo passo é inicializar do disco. Para fazer isso, você precisa confirmar a chave de função específica usada para acessar o menu de inicialização. Assim que você ligar o dispositivo, pressione a tecla de função para acessar o menu de inicialização (HP: F9, Lenovo: F12).
Depois de selecionar o disco para inicializar, você deve ver esta janela. Clique em ‘Live (modo forense)’:
Após a conclusão do processo de inicialização, agora você acessará a área de trabalho.
Etapa 3: Processo de imagem
Primeiras coisas primeiro, torne -se root para evitar esquecer sudo Conforme você digita seus comandos. Comando: sudo su .
FTK Imager não é uma ferramenta nativa na suíte Kali, portanto precisamos baixá -la. Conecte seu PC à Internet clicando no ícone da barra de tarefas ao lado do relógio (no canto superior direito do Kali Live Desktop). Para confirmar que seu PC está conectado, abra o terminal (clicando no quarto ícone no canto superior esquerdo) e execute o comando ping -c 5 google.com . Você deve obter um resultado que se parece: Responder de 172.217.170.174: bytes = 32 tempo = 12ms ttl = 57 .
Este é o link para baixar a versão FTK Imager, CLI (interface da linha de comando). O comando: wget https: // ad-zip.S3.Amazonaws.com/ftkimager.3.1.1_UBUNTU64.alcatrão.gz .
Extraia o conteúdo do arquivo compactado usando o comando TAR -ZXVF [comprimido_file] .
Em seguida, conecte sua unidade de destino ao PC. É aqui que você armazenará sua imagem forense. Na área de trabalho ao vivo Kali, abra o terminal (o quarto ícone no canto superior esquerdo). Use o comando fdisk -l para retornar uma lista de discos disponíveis.
É importante observar dois discos: o disco do PC e o disco rígido externo conectado. O disco do PC servirá como fonte e disco externo como destino. No meu caso, o disco do PC é /dev /nvme0n1 e o disco externo /dev /sda .
A unidade de destino é inutilizável como está, eu.e., /dev/sda não é escrito. Precisamos montá -lo em um diretório local. Primeiro, crie um diretório usando o comando mkdir [diretório_path], e.g., mkdir /mnt /Destdrive . Em seguida, monte seu disco para o diretório que você’criou usando o suporte de comando . No meu caso, Mount /dev /sda1 /mnt /Destdrive . Usamos /dev /sda1 em vez de /dev /sda, já que nós’D apenas se interessa em uma partição dentro do disco.
Em seguida, executamos o FTK Imager para imaginar o disco do PC. A sintaxe é a seguinte: ./ftkimager [fonte] [Destination] [Opções] . Existem várias opções que você pode usar para sua imagem. Para conferir, execute o comando ./ftkimager sem parâmetros. Por exemplo, para criar uma imagem de encaseamento com ‘melhor’ Compressão, aqui’é o comando: ./ftkImager/dev/nvme0n1/mnt/Destdrive/jdoepc –e01-Compressa 9–Case-Number “co-x-for-hdd-001”-evidência “HDD-001”–Description “John Doe’s Pc” –examiner “f. Rodriguez “–verify . Como você deve ter notado, especificamos um diretório no destino. –Número de caso, -evidence-número,-Descrição e –examiner são metadados que devem ser especificados para fins de relatório. –Verificar é importante para fins de integridade, eu.e., que não há alterações entre o disco e a imagem.
NB: Lembre -se de não trocar a fonte e o destino, ou então você corrompe a evidência.
Lá está você, você tem sua imagem. Mais alguns passos, e você’estarei completamente feito. Você precisa desmontar com segurança a unidade de destino. Para fazer isso, use o comando Umount [Mount_Directory] . Agora você pode desligar o PC usando o init 0 . Lembre -se de alterar as configurações do BIOS de volta ao que eram.
Para verificar se a imagem não está corrompida, você pode usar a versão FTK Imager GUI (Interface Graphical Usuário). Em um PC com Windows com FTK Imager instalado, conecte o disco rígido externo e adicione a imagem como um item de evidência. Use a árvore no lado esquerdo da janela para navegar pelo conteúdo da imagem. Caso você receba o erro ‘Sistema de arquivos não reconhecido [dados]’ Na partição de dados, você pode precisar repetir o processo usando um método diferente. Eu recomendo fazer uma cópia em disco usando o CD de inicialização de Hirens.
Conclusão
Passamos pelo processo de imagem de um disco usando o FTK Imager e Kali Live. Lembre -se, o objetivo é preservar a integridade da evidência.
Você também pode usar o Parrot OS no lugar do Kali Live.
Espero que tenha gostado deste artigo!
