Narzędzia reakcji incydentu: FTK dla Linux
NB: Pamiętaj, aby nie wymieniać źródła i miejsca docelowego, bo inaczej zepsucie dowody.
FTK (Forensic Toolkit) to komputerowe oprogramowanie kryminalistyczne utworzone przez AccessData. Pozwala specjalistom IT na odzyskanie, kopiowanie i zachowanie dowodów cyfrowych w ramach planu reagowania na incydenty. . FTK może skanować dyski twarde, tworzyć kopie w różnych formatach i analizować różne systemy plików. Ma również funkcje takie jak skanowanie wiadomości e -mail, wyszukiwanie ciągów tekstowych i ręczne rzeźbienie danych. Płatna wersja FTK zapewnia graficzny interfejs użytkownika dla wszystkich narzędzi kryminalistycznych dostępnych w FTK. Jednak profesjonaliści Linux mogą osiągnąć podobne wyniki za pomocą bezpłatnej wersji narzędzi FTK lub open source.
Kluczowe punkty:
1. Instalacja FTK Imager w Kali Linux:
. . .
2. Zgodność FTK z Linux:
Pełna wersja FTK, w tym wszystkie narzędzia kryminalistyczne, działa z Linux, ale wymaga płatnej licencji. Bezpłatna wersja FTK dla Linux jest wystarczająca do podstawowej pracy kryminalistycznej.
. Używanie FTK Imager na Linux:
FTK Imager może być używany w systemach Linux, pobierając go ze strony internetowej AccessData. Pobrany plik jest zwykle umieszczony w folderze do pobrania domyślnie.
4. Uzyskanie FTK Imager w systemie Windows:
Aby uzyskać FTK Imager w systemie Windows, odwiedź stronę AccessData i pobierz odpowiednią wersję dla systemu Windows. Proces instalacji może się różnić w zależności od systemu operacyjnego.
5. Różnica między FTK i FTK Imager:
FTK to kompleksowe komputerowe oprogramowanie kryminalistyczne, a FTK Imager jest elementem FTK, który koncentruje się na obrazowaniu i kopiowaniu dysków twardych. FTK Imager może być używany w nieskończoność, ale wymaga licencji.
. FTK Imager na Mac:
FTK Imager jest dostępny dla komputerów Mac i obsługuje zarówno wbudowane polecenie „D”, jak i opcję instalacji innych narzędzi, takich jak Ewftools lub DC3DD.
7. FTK Imager do Linux Pobierz:
. Pobrany plik zostanie zapisany w folderze pobierania.
. DD w Kali Linux:
Kali Linux ma polecenie „DD” dla cyfrowej kryminalistyki. Może być używany do różnych operacji na określonych ścieżkach urządzeń.
9. Dostępność FTK Imager:
FTK Imager jest dostępny za darmo i pozwala na tworzenie obrazów kryminalistycznych i rekonstrukcję segmentowanych plików z obrazów dysku.
10. Używanie Imager FTK do reprodukcji kryminalistycznej:
FTK Imager można wykorzystać do stworzenia alternatywnych dowodów kryminalistycznych po zmianie pierwotnych dowodów. Może replikować luz, niewykonaną przestrzeń i napędzać wolną przestrzeń.
Pytania:
1. Czy FTK Imager można zainstalować na Kali Linux?
.
2. Czy FTK działa z Linux?
Pełna wersja FTK działa z Linux, ale wymaga płatnej licencji. Dostępna jest również bezpłatna wersja FTK dla Linux, co jest wystarczające do podstawowej pracy kryminalistycznej.
3. Jak można pobrać FTK Imager na Linux?
. Pobrany plik zostanie zapisany w folderze pobierania.
4. ?
. Proces instalacji może się różnić w zależności od systemu operacyjnego.
5. ?
FTK to kompleksowe komputerowe oprogramowanie kryminalistyczne, a FTK Imager jest elementem FTK, który koncentruje się na obrazowaniu i kopiowaniu dysków twardych. FTK Imager może być używany w nieskończoność, ale wymaga licencji.
6. Jest dostępny FTK Imager dla Mac?
Tak, FTK Imager jest dostępny dla komputerów Mac i obsługuje zarówno wbudowane polecenie „D”, jak i opcję zainstalowania innych narzędzi, takich jak Ewftools lub DC3DD.
7. Gdzie można pobrać FTK Imager dla Linux?
FTK Imager można pobrać dla Linux ze strony internetowej AccessData. Pobrany plik jest zwykle zapisywany w folderze pobierania.
8. ?
Tak, Kali Linux ma polecenie „DD”, które jest używane do cyfrowych operacji kryminalistycznych.
9. Jest ftk Imager za darmo?
Tak, FTK Imager jest dostępny za darmo. .
. Kiedy należy użyć Imagera FTK?
FTK Imager powinien być używany, gdy istnieje potrzeba stworzenia alternatywnych dowodów kryminalistycznych lub odtworzenia dowodów, które zostały zmienione. Może replikować luz, niewykonaną przestrzeń i napędzać wolną przestrzeń.
11. ?
FTK może korzystać z rozproszonego silnika przetwarzania (DPE) i zaleca się zainstalowanie rozproszonego przetwarzania przed użyciem FTK z AWS RDS (relacyjne usługi bazy danych Amazon Web Services).
12. Do czego służy FTK?
. Może być używany do przechwytywania wiadomości e -mail, wyszukiwania usuniętych wiadomości e -mail i skanowania dysków dla określonych ciągów tekstowych.
13. ?
.
14. ?
Tak, profesjonaliści Linux mogą osiągnąć podobne wyniki za pomocą bezpłatnej wersji FTK lub innych narzędzi kryminalistycznych dostępnych dla Linux.
. Dlaczego bezpłatna wersja FTK dla Linux jest wystarczająca dla początkujących w kryminalistyce?
Bezpłatna wersja FTK dla Linux zapewnia podstawowe funkcje, takie jak skanowanie dysku twardego, kopiowanie i analizowanie różnych systemów plików. Pozwala początkującym na rozpoczęcie kryminalistyki bez potrzeby płatnej wersji.
Narzędzia reakcji incydentu: FTK dla Linux
NB: Pamiętaj, aby nie wymieniać źródła i miejsca docelowego, bo inaczej zepsucie dowody.
?
Wtyczka FTK Imager ISN’t Pochodzący z Kali, więc musimy go zainstalować. Kliknij pasek zadań obok zegara na pulpicie Kali Live (w prawym górnym rogu), aby połączyć się z Internetem.
Czy FTK działa z Linux?
Dzięki pełnej wersji FTK wszystkie narzędzia kryminalistyczne powiązane z FTK są pakowane w jeden graficzny interfejs użytkownika, zapisując dane dotyczące analizy. Możliwość pracy z specjalistami ds. Bezpieczeństwa Linux w kryminalistyce wymaga korzystania z płatnej wersji FTK lub ENCASE.
Czy możesz użyć FTK Imager w Linux?
Następnym krokiem jest pobranie FTK Imager dla Linux (http: // accessData. FTK Imager dla Linux można pobrać z tej witryny. com/pobierz produkt), dla “”. FTK pobieranie automatycznie znajdują się w sekcji pobierania domyślnie. Tor będzie musiała zostać wyodrębniona z terminalu.
Jak zdobyć FTK Imager w systemie Windows?
Jaka jest różnica między FTK i FTK Imager?
. W przeciwieństwie do innych narzędzi do edycji obrazów, FTK działa tylko przez bardzo ograniczone okresy. Dostęp do dostępu sprzedaje również wersje demo.
Czy FTK Imager działa na komputerze Mac?
.
Jest Imagerem FTK na Linux?
.UKK.. Następnie wpisz http: // www..com/pobranie produktu i kliknij “”. .
Czy Kali ma DD?
W Kali Linux mamy indd, jeśli jest uruchomiony przez FOF $/dev/sda2 c/sdb2 bez błędu indcfldd (w zasadzie cyfrowa kryminalistyka).
?
Za pomocą FTK Imager jeden plik może zawierać obraz, albo zorganizowany zbiór segmentów można później odtworzyć z obrazów dysku.
Kiedy powinienem używać FTK Imager?
. .
?
Rozproszony silnik przetwarzania (DPE) jest obsługiwany przez FTK. Zgodnie z instrukcją instalacji zaleca się zainstalowanie rozproszonego przetwarzania przed zastosowaniem za pomocą Amazon Web Services’ .
Do czego służy FTK?
Produkt RCE Toolkit lub FTK to komputerowe oprogramowanie kryminalistyczne wykonane przez AccessData. Różne dane są gromadzone z dysku twardego przez ten proces. Aby przechwycić e -maile za pomocą słowników hasła, może używać danych do wyszukiwania usuniętych wiadomości e -mail, a także skanowania dysku w zakresie strun tekstowych jako słownika hasła.
. W ramach planu odpowiedzi incydentów kryminalistyka powinna odgrywać kluczową rolę w odzyskiwaniu, kopiowaniu i zachowaniu dowodów cyfrowych. .
Co robi bezpłatny FTK dla Linux?
FTK skanuje dysk twardy, może wykonać kopię dysku twardego i zapisać go w kilku formatach, w tym w formacie surowym. FTK ma możliwość przeanalizowania wielu systemów plików, skanowania e -maili, ciągów tekstowych i innych informacji. Zestaw narzędzi umożliwia wykonanie szybkiej i dokładnej analizy w celu przetwarzania, indeksowania, wyszukiwania i filtrowania danych w celu zidentyfikowania dowodów krytycznych w ramach naruszenia danych. Masz również możliwość wykonywania ręcznego rzeźbienia danych za pomocą FTK, co nie jest możliwe w przypadku podobnych narzędzi, takich jak testDisk.
Ogólnie rzecz biorąc, FTK Software Toolkit umożliwia reakcję na incydenty i specjalistów kryminalistycznych na pracę w masywnych zestawach danych nad wieloma typami urządzeń, danych sieciowych, dysków twardych i przechowywania w Internecie. . Jeśli jednak nazywasz się zdolnym specjalistą ds. Bezpieczeństwa Linux, wygrałeś’t potrzebuję płatnej wersji FTK lub Encase do pracy kryminalistycznej.
Dlaczego FTK Imager jest dla Ciebie lepszy niż Encase Imager w Linux?
“Ekase Imager vs. FTK Imager“, gdzie dochodzi do wniosku, że nadal zwróci się do FTK Imager Over Encase z kilku powodów. . Jego analiza nadaje dalsze wsparcie w użyciu FTK Imager nad Encase ze względu na wyżej podane zalety wydajności.
Bloger Josh Lowery’S Opinia w poście na blogu zatytułowanym “Instalowanie FTK Imager Lite w wierszu poleceń Linux“, ’S również widok. Analityk kryminalistyki komputerowej z NYC mówi, że woli FTK, ponieważ jest to “Lekkie, szybkie i wydajne środki do wyodrębnienia obrazu z podejrzanego napędu.”
Systemy Linux zawierają lub mają możliwość instalowania większości narzędzi kryminalistycznych za darmo. Tak, możesz zdecydować się na przyjazne dla GUI, wszechstronne FTK płatne GUI lub Encase Imager Suite, ale jeśli znasz system systemu Linux i trzymaj się narzędzi open source, to ty’LL albo wybiera FTK Imager (bezpłatne pobieranie) do kopiowania danych, indeksowania, wyszukiwania i jego zdolności rzeźbienia. Wtedy ty’.
.
Wstęp
’! Możesz skorzystać z narzędzi open source, aby osiągnąć swój cel. W tym samouczku zbadamy użycie dostępu’S ftk Imager biega na Kali Live.
NB: Zakładałem, że masz pewne podstawy w Linux.
Oto moje powody użycia tych dwóch:
1. ‘Tryb kryminalistyki’ – Jego korzyści:
.
‘’ odrzuca automatyczne do montażu dysków.
2. FTK Imager jest łatwy w użyciu.
Pozwalać’s nurkuj tuż.
Krok 0: Utwórz dysk
Możesz pobrać Kali na żywo stąd. Po pobraniu go możesz użyć Rufusa do utworzenia dysku Kali na żywo.
* Urządzenie: To jest dysk, którego użyjesz do utworzenia dysku na żywo. .)
* Wybór rozruchu: Użyj pobranego obrazu Kali na żywo.
* Schemat partycji: MBR lub GPT.
Możesz zostawić resztę opcji takim.
Po kliknięciu ‘Początek’ na dole tego okna, na wypadek, gdybyś był poproszony o wybór pomiędzy ISO I (W następnym oknie), wybierz Dd. Wybór ISO może spowodować, że oprogramowanie antywirusowe wykrywa i blokuje niektóre złośliwe (ale pomocne) moduły natywne w Kali Linux, a tym samym uszkodzenie dysku.
Zmieni jednak format twojego napędu. .
Krok 1: Zmień ustawienia BIOS
Ten krok jest ważny, ponieważ niektóre komputery wygrały’t pozwól ci uruchomić z dysku na żywo.
Menu BIOS różni się w zależności od urządzenia. Na przykład, aby uzyskać dostęp do większości komputerów HP, naciśnij F10, gdy tylko włączysz komputer; W przypadku większości komputerów Lenovo naciśnij F2. Możesz potwierdzić, co działa dla Ciebie z wyszukiwaniem Google.
Są to ustawienia, na które należy zwrócić uwagę:
1. Bezpieczny rozruch: Wyłącz go.
2. UEFI/Legacy Boot: Jeśli to możliwe, mają obie opcje. . W przypadku UEFI upewnij się, że obsługa CSM jest włączona, aby umożliwić uruchamianie z dysku z schematem partycji MBR; W przeciwnym razie użyj GPT (zamiast MBR) podczas tworzenia dysku. Legacy Boot obsługuje schemat partycji MBR.
. Pamiętaj, aby przywrócić oryginalne ustawienia po zakończeniu procesu obrazowania.
NB: Ustawienia BIOS są przechowywane na pamięci flash, dlatego zmiana ustawień BIOS nie manipulowanie dowodami.
Krok 2: uruchom
Następnym krokiem jest uruchamianie z dysku. . .
Po wybraniu dysku, z którego można uruchomić, powinieneś zobaczyć to okno. ‘Na żywo (tryb sądowy)’:
.
Krok 3: Proces obrazowania
Po pierwsze, zrób sobie korzenie, aby uniknąć zapominania sudo . .
FTK Imager nie jest natywnym narzędziem w apartamencie Kali, dlatego musimy go pobrać. . Aby potwierdzić, że komputer jest podłączony, otwórz terminal (klikając czwartą ikonę w lewym górnym rogu) i uruchom ping -c 5 Google.com . ..170. .
To jest link do pobrania wersji FTK Imager, CLI (interfejs linii poleceń). Polecenie: wget https: // ad-zip.S3.Amazonaws..3.1…GZ .
Wyodrębnij zawartość kompresowanego pliku za pomocą polecenia TAR -ZXVF [Compressed_file] .
Następnie podłącz napęd docelowy do komputera. . Na komputerze Kali na żywo otwórz terminal (czwarta ikona w lewym górnym rogu). Użyj polecenia FDisk -L, aby zwrócić listę dostępnych dysków.
Ważne jest, aby zwrócić uwagę na dwa dyski: dysk PC i zewnętrzny dysk twardy podłączony. Dysk PC będzie służył jako źródło i dysku zewnętrzny jako miejsce docelowe. .
Napęd docelowy jest bezużyteczny, jak jest, ja.mi., . Musimy go zamontować do lokalnego katalogu. Najpierw utwórz katalog za pomocą polecenia mkdir [Directory_Path], e.G., mkdir /mnt /destrive . Następnie zamontuj swój dysk do katalogu’ . W moim przypadku Mount /Dev /Sda1 /Mnt /Destdrive . ’.
. Składnia jest następująca: ./ftkimager [Źródło] [miejsce docelowe] [Opcje] . Istnieje kilka opcji, których możesz użyć do obrazowania. ./ftkiMager bez parametrów. Na przykład, aby utworzyć obraz Encase z ‘to, co najlepsze’ ’s polecenie: .. . Jak zapewne zauważyłeś, określiliśmy katalog w miejscu docelowym. –liczba przypadków,-dowolna liczba,-opis i-examiner to metadane, które należy określić do celów raportowania. –weryfikacja jest ważna dla celów uczciwości, i.., .
NB: Pamiętaj, aby nie wymieniać źródła i miejsca docelowego, bo inaczej zepsucie dowody.
Proszę bardzo, masz swój obraz. Jeszcze kilka kroków, a ty’Zakończ się. . Aby to zrobić, użyj polecenia umount [Mount_Directory] . . Pamiętaj, aby zmienić ustawienia BIOS z powrotem na to, czym były.
Aby sprawdzić, czy obraz nie jest uszkodzony, możesz użyć wersji FTK Imager GUI (graficzny interfejs użytkownika). Na komputerze Windows z zainstalowanym FTK Imagerem podłącz zewnętrzny dysk twardy i dodaj obraz jako element dowodu. Użyj drzewa po lewej stronie okna, aby poruszać się po zawartości obrazu. Na wypadek, gdybyś otrzymał błąd ‘Nierozpoznany system plików [dane]’ W partycji danych może być konieczne powtórzenie procesu za pomocą innej metody. Polecam wykonanie kopii dysku za pomocą CD Hirens BOOT CD.
Wniosek
. Pamiętaj, że celem jest zachowanie integralności dowodów.
Możesz także użyć Parrot OS zamiast Kali Live.
!
