在本章中,我们将了解Kali Linux中可用的取证工具.
p0f 是一种工具,只需检查捕获的数据包就可以识别目标主机的操作系统,即使有问题的设备位于数据包防火墙后面. P0f不会产生任何额外的网络流量,直接或间接;没有名字查找;没有神秘的探针;没有ARIN查询;没有.在高级用户手中,P0f可以检测防火墙存在,NAT使用和负载均衡器的存在.
在终端中键入"p0f - h"看看如何使用它,你将得到以下结果.
它甚至会列出可用的界面.
然后,输入以下命令:"p0f -i eth0 -p -o filename".
其中参数" - i"是如上所示的接口名称. " - p"表示它处于混杂模式. " - o"表示输出将保存在文件中.
打开一个地址为192.168.1.2的网页
从结果中,您可以观察到Web服务器正在使用apache 2.x且操作系统是Debian.
pdf-parser是一种解析PDF文档以识别分析的pdf文件中使用的基本元素的工具.它不会呈现PDF文档.不推荐用于PDF解析器的教科书案例,但它可以完成工作.通常,这用于您怀疑其中嵌入了脚本的pdf文件.
命令为 :
pdf-parser -o 10 filepath
其中"-o"是对象的数量.
正如您在下面的屏幕截图中看到的那样,pdf文件会打开一个CMD命令.
Dumpzilla应用程序是在Python 3.x中开发的,其目的是提取要分析的Firefox,Iceweasel和Seamonkey浏览器的所有取证有趣信息.
它将数据从一个文件或块设备(硬盘,光盘等)复制到另一个,尝试在读取错误时先抢救好的部件.
ddrescue的基本操作是全自动的.也就是说,您不必等待错误,停止程序,从新位置重新启动它等等.
如果使用ddrescue的mapfile功能,则数据为非常有效地救出(只读取所需的块).此外,您可以随时中断救援,并在以后同一时间恢复. mapfile是ddrescue有效性的重要组成部分.除非你知道自己在做什么,否则使用它.
命令行是 :
dd_rescue infilepath outfilepath
参数" - v"表示详细. "/dev/sdb"是要获救的文件夹. img文件是恢复的图像.
这是用于恢复文件的另一个取证工具.它也有一个GUI.要打开它,在终端中输入"dff-gui",将打开以下Web GUI.
单击文件 → "公开证据".
下表将打开.选中"原始格式"并单击"+"以选择要恢复的文件夹.
然后,您可以浏览窗格左侧的文件以查看已恢复的内容.
