Outils de réponse aux incidents: FTK pour Linux

NB: N’oubliez pas de ne pas échanger la source et la destination, sinon vous corromperez les preuves.

Résumé:

FTK (Forensic Toolkit) est un logiciel médico-légal informatique créé par AccessData. Il permet aux professionnels de récupérer, copier et préserver les preuves numériques dans le cadre d’un plan de réponse aux incidents. La version gratuite de FTK pour Linux est suffisante pour les débutants dans le domaine de la médecine légale. FTK peut scanner les disques durs, faire des copies dans divers formats et analyser différents systèmes de fichiers. Il possède également des fonctionnalités comme la numérisation par e-mail, la recherche de chaînes de texte et la sculpture manuelle des données. La version payante de FTK fournit une interface utilisateur graphique pour tous les outils médico-légaux disponibles avec FTK. Cependant, les professionnels de Linux peuvent obtenir des résultats similaires en utilisant la version gratuite de FTK ou des outils open source.

Points clés:

1. Installation de l’imageur FTK dans Kali Linux:

L’imageur FTK n’est pas originaire de Kali Linux, il doit donc être installé séparément. Pour l’installer, connectez-vous à Internet et téléchargez l’imageur FTK sur le site Web AccessData. Extraire le fichier de goudron téléchargé en utilisant le terminal.

2. Compatibilité FTK avec Linux:

La version complète de FTK, y compris tous les outils de criminalistique, fonctionne avec Linux mais nécessite une licence payante. La version gratuite de FTK pour Linux est suffisante pour le travail de base de la médecine légale.

3. Utilisation de l’imageur FTK sur Linux:

L’imageur FTK peut être utilisé sur les systèmes Linux en le téléchargeant à partir du site Web AccessData. Le fichier téléchargé est généralement placé dans le dossier de téléchargements par défaut.

4. Obtenir l’imageur FTK sur Windows:

Pour obtenir l’imageur FTK sur Windows, visitez le site Web AccessData et téléchargez la version appropriée pour Windows. Le processus d’installation peut varier en fonction du système d’exploitation.

5. Différence entre FTK et FTK Imageur:

FTK est un logiciel médico-légal complexe complet, tandis que FTK Imageer est un composant de FTK qui se concentre sur l’imagerie et la copie des disques durs. L’imageur FTK peut être utilisé indéfiniment mais nécessite une licence.

6. Imageur FTK sur Mac:

L’imageur FTK est disponible pour Mac, et il prend en charge à la fois la commande “D” intégrée et l’option pour installer d’autres outils comme Ewftools ou DC3DD.

7. Imageur FTK pour le téléchargement Linux:

Pour télécharger l’imageur FTK pour Linux, visitez le site Web AccessData et suivez le lien de téléchargement fourni. Le fichier téléchargé sera enregistré dans le dossier des téléchargements.

8. DD dans Kali Linux:

Kali Linux possède la commande “DD” pour la médecine légale numérique. Il peut être utilisé pour diverses opérations sur des chemins de dispositif spécifiques.

9. Disponibilité de l’imageur FTK:

L’imageur FTK est disponible gratuitement, et il permet la création d’images médico-légales et la reconstruction de fichiers segmentés à partir d’images disques.

dix. Utilisation de l’imageur FTK pour la reproduction médico-légale:

L’imageur FTK peut être utilisé pour créer des preuves médico-légales alternatives lorsque les preuves originales sont modifiées. Il peut reproduire le fichier Slack, l’espace non alloué et conduire l’espace libre.

Des questions:

1. L’imageur FTK peut-il être installé sur Kali Linux?

Oui, l’imageur FTK peut être installé sur Kali Linux en le téléchargeant à partir du site Web AccessData et en extraitant le fichier TAR téléchargé.

2. FTK fonctionne-t-il avec Linux?

La version complète de FTK fonctionne avec Linux, mais elle nécessite une licence payante. La version gratuite de FTK pour Linux est également disponible, ce qui est suffisant pour le travail de base de la médecine légale.

3. Comment télécharger l’imageur FTK sur Linux?

Pour télécharger l’imageur FTK sur Linux, visitez le site Web AccessData et suivez le lien de téléchargement fourni. Le fichier téléchargé sera enregistré dans le dossier des téléchargements.

4. Comment l’imageur FTK peut-il être obtenu sur Windows?

Pour obtenir l’imageur FTK sur Windows, visitez le site Web AccessData et téléchargez la version appropriée pour Windows. Le processus d’installation peut varier en fonction du système d’exploitation.

5. Quelle est la différence entre FTK et FTK Imageer?

FTK est un logiciel médico-légal complexe complet, tandis que FTK Imageer est un composant de FTK qui se concentre sur l’imagerie et la copie des disques durs. L’imageur FTK peut être utilisé indéfiniment mais nécessite une licence.

6. L’imageur FTK est-il disponible pour Mac?

Oui, l’imageur FTK est disponible pour Mac, et il prend en charge à la fois la commande “D” intégrée et l’option pour installer d’autres outils comme Ewftools ou DC3DD.

7. Où peut être téléchargé l’imageur FTK pour Linux?

L’imageur FTK peut être téléchargé pour Linux à partir du site Web AccessData. Le fichier téléchargé est généralement enregistré dans le dossier des téléchargements.

8. Kali Linux a-t-il la commande “dd”?

Oui, Kali Linux possède la commande “DD”, qui est utilisée pour les opérations de médecine légale numérique.

9. L’imageur FTK est-il gratuit?

Oui, l’imageur FTK est disponible gratuitement. Il permet la création d’images médico-légales et la reconstruction de fichiers segmentés à partir d’images disques.

dix. Quand l’imageur FTK doit-il être utilisé?

L’imageur FTK doit être utilisé lorsqu’il est nécessaire de créer des preuves médico-légales alternatives ou de reproduire des preuves qui ont été modifiées. Il peut reproduire le fichier Slack, l’espace non alloué et conduire l’espace libre.

11. Quelle base de données peut utiliser FTK?

FTK peut utiliser un moteur de traitement distribué (DPE), et il est recommandé d’installer un traitement distribué avant d’utiliser FTK avec AWS RDS (services de données relationnels d’Amazon Web Services).

12. À quoi sert FTK pour?

FTK est un logiciel médico-légal informatique utilisé pour collecter différents types de données à partir de disques durs. Il peut être utilisé pour intercepter les e-mails, rechercher des e-mails supprimés et numériser des disques pour des chaînes de texte spécifiques.

13. Pourquoi l’imageur FTK est-il préféré à Encase Imager sur Linux?

L’imageur FTK est préféré à Encase Imager sur Linux en raison de facteurs tels que son empreinte RAM plus petite, sa capacité à monter des images, à prévisualiser la plupart des fichiers, à détecter le cryptage EFS et à prendre en charge pour plus de formats d’image.

14. Les professionnels de Linux peuvent-ils obtenir des résultats similaires avec des outils open-source?

Oui, les professionnels de Linux peuvent obtenir des résultats similaires en utilisant la version gratuite de FTK ou d’autres outils médico-légaux open-source disponibles pour Linux.

15. Pourquoi la version gratuite de FTK pour Linux est-elle suffisante pour les débutants en médecine légale?

La version gratuite de FTK pour Linux fournit des fonctionnalités essentielles comme la numérisation du disque dur, la copie et l’analyse de divers systèmes de fichiers. Il permet aux débutants de commencer en médecine légale sans avoir besoin d’une version payante.

Outils de réponse aux incidents: FTK pour Linux

NB: N’oubliez pas de ne pas échanger la source et la destination, sinon vous corromperez les preuves.

Comment utiliser FTK Imageur dans Kali Linux?

Le plugin FTK Imageur est’T natif de kali, nous devons donc l’installer. Cliquez sur la barre des tâches à côté de l’horloge dans le bureau Kali Live (dans le coin supérieur droit) pour se connecter à Internet.

FTK fonctionne-t-il avec Linux?

Avec la version complète de FTK, tous les outils médico-légaux associés à FTK sont emballés dans une seule interface utilisateur graphique, enregistrant des données sur l’analyse. La possibilité de travailler avec des professionnels de la sécurité Linux en criminalistique nécessite d’utiliser la version payante de FTK ou Encase.

Pouvez-vous utiliser FTK Imageur sur Linux?

L’étape suivante consiste à télécharger FTK Imager pour Linux (http: // AccessData. L’imageur FTK pour Linux peut être téléchargé à partir de ce site. com / produit-download), pour “”. Les téléchargements FTK résident automatiquement dans la section Téléchargements par défaut. Le goudron devra être extrait de votre terminal.

Comment obtenir l’imageur FTK sur Windows?

Quelle est la différence entre FTK et FTK Imageer?

L’imageur FTK peut être utilisé indéfiniment, mais uniquement par licence. Contrairement à d’autres outils d’édition d’image, FTK ne fonctionne que pour des périodes très limitées. Les données d’accès vendent également des versions de démonstration.

L’imageur FTK travaille-t-il sur un Mac?

En revanche, l’imageur FTK est destiné aux systèmes en direct avec une version Mac – oui, la version Mac contient la commande inbuilt D mais aura toujours la commande DD, ou vous pouvez installer Ewftools ou DC3DD.

Est l’imageur FTK sur Linux?

Vous devez télécharger FTK Imager pour Linux First (http: // AccessData.ukk.com). Puis tapez http: // www.FTK.com / produit-téléchargement et cliquez sur “Versions de ligne de commande”. Le FTK téléchargé est placé dans le dossier de téléchargements par défaut.

Kali a-t-il DD?

Dans Kali Linux, nous avons Indd s’il est exécuté par FOF $ / dev / sda2 c / sdb2 sans erreur indcfldd (en gros, la criminalistique numérique).

L’imageur FTK est-il gratuit?

À l’aide de FTK Imageur, un fichier peut contenir une image ou une collection organisée de segments pourrait plus tard être reconstruite à partir des images de disque.

Quand devrais-je utiliser FTK Imageer?

Si un élément original de preuves médico-légales est modifié, une alternative peut être créée à l’imageur FTK pour la reproduction médico-légale. Dans le cadre de l’image médico-légale, le fichier Slack et l’espace non alloué sont complètement identiques et conduisent l’espace libre, qui est également dupliqué.

Quelle base de données peut utiliser FTK?

Un moteur de traitement distribué (DPE) est pris en charge par FTK. Suivant le guide d’installation, il est recommandé d’installer un traitement distribué avant de postuler à l’aide d’Amazon Web Services’ Services de base de données relationnels (AWS RDS).

À quoi sert FTK pour?

Le produit RCE Toolkit, ou FTK, est un logiciel médico-légal informatique fabriqué par AccessData. Diverses données sont recueillies à partir du disque dur à travers ce processus. Pour intercepter les e-mails via des dictionnaires de mot de passe, il peut utiliser des données pour la recherche d’e-mails supprimés ainsi que des analyses d’un disque pour les chaînes de texte en tant que dictionnaire de mot de passe.

Outils de réponse aux incidents: FTK pour Linux

La réponse aux incidents est un élément essentiel d’une équipe de sécurité informatique et de plan. Dans un plan de réponse aux incidents, la médecine légale devrait jouer un rôle essentiel pour récupérer, copier et préserver les preuves numériques. Ce billet de blog explique pourquoi la version gratuite de FTK pour Linux est suffisante pour que les professionnels de l’informatique cherchent à commencer une carrière de criminalistique.

Que fait le FTK gratuit pour Linux?

FTK scanne le disque dur, peut faire une copie du disque dur et l’enregistrer dans plusieurs formats, y compris le format brut. FTK a la possibilité d’analyser un certain nombre de systèmes de fichiers, de rechercher des e-mails, des chaînes de texte et d’autres informations. La boîte à outils vous permet d’exécuter une analyse rapide et précise pour le traitement, l’indexation, la recherche et le filtrage des données pour identifier les preuves critiques dans une violation de données. En outre, vous avez la possibilité d’effectuer une sculpture manuelle avec FTK, ce qui n’est pas possible avec des outils similaires tels que TestDisk.

Dans l’ensemble, la boîte à outils logiciels FTK permet aux professionnels de la réponse aux incidents et des médicoles de travailler sur des ensembles de données massifs sur plusieurs types d’appareils, les données réseau, les disques durs et le stockage Internet. La version payante des groupes FTK ensemble tous les outils médico-légaux disponibles avec FTK dans une interface GUI amicale. Cependant, si vous vous appelez un professionnel de la sécurité Linux capable, alors vous avez gagné’t Besoin de la version payante de FTK ou Encase pour le travail de criminalistique.

Pourquoi l’imageur FTK est-il meilleur pour vous qu’encase Imager sur Linux?

Brett Muir a écrit un excellent article de blog appelé “Encourir l’imageur vs. Imageur FTK“, où il conclut qu’il se tournerait toujours vers l’imageur FTK sur Encase pour plusieurs raisons. Ses conclusions incluent le fait que FTK Imager a une empreinte plus petite dans RAM, peut monter des images, prévisualiser la plupart des fichiers, détecter le cryptage EFS et il prend en charge plus de formats d’image. Son analyse apporte un soutien supplémentaire pour utiliser l’imageur FTK sur ENCASE en raison des avantages de performance indiqués ci-dessus.

Blogueur Josh Lowery’S opinion, dans un article de blog intitulé “Installation de FTK Imageer Lite dans la ligne de commande Linux“, Connecte avec Muir’Vue de S aussi. L’analyste de la criminalistique informatique basé à NYC, dit qu’il préfère le FTK car c’est un “des moyens légers, rapides et efficaces pour extraire l’image de votre lecteur suspect.”

Les systèmes Linux contiennent ou ont la possibilité d’installer la plupart des outils médico-légaux gratuitement. Oui, vous pouvez opter pour une GUI conviviale et tout compris FTK payée ou encassez-vous, mais si vous familiarisez avec un système Linux et respectez les outils open source, alors vous’Soit opter pour FTK Imageer (le téléchargement gratuit) pour copier les données, l’indexer, la recherche et ses capacités de sculpture. Alors vous’LL Renseignez-vous sur des outils gratuits tels que XXD pour les décharges hexadécimales, GDB pour le débogage, le kit de détective avec d’autres outils médico-légaux.

FTK, encase et d’autres outils sont abordés dans notre cours de réponse aux incidents.

Introduction

Enfiler’t stress! Vous pouvez utiliser des outils open source pour atteindre votre objectif. Dans ce tutoriel, nous explorerons l’utilisation d’AccessData’s imageur ftk courant sur kali en direct.

NB: J’ai supposé que vous avez des bases à Linux.

Voici mes raisons d’utiliser les deux:
1. Kali Live a ‘Mode de médecine légale’ – Ses avantages:
* Kali Live n’est pas destructif; il n’apporte aucune modification sur le disque.
* ‘Mode de médecine légale’ interdit la construction automatique des disques.
2. L’imageur FTK est facile à utiliser.

Laisser’S plonge.

Étape 0: Créez le disque

Vous pouvez télécharger Kali Live à partir d’ici. Une fois que vous le téléchargez, vous pouvez utiliser Rufus pour créer le disque en direct Kali que vous démarquerez à partir de. Appliquer les paramètres ci-dessous:
* Appareil: c’est le lecteur que vous utiliserez pour créer le disque en direct. (Je vous recommande d’utiliser un lecteur flash.)
* Sélection de démarrage: utilisez l’image Kali Live que vous avez téléchargée.
* Schéma de partition: MBR ou GPT.
Vous pouvez laisser le reste des options telles qu’elles sont.

Après avoir cliqué sur ‘Commencer’ Au bas de cette fenêtre, au cas où vous êtes invité à choisir entre ISO et dd (sur la fenêtre suivante), choisissez dd. Choix ISO Peut entraîner la détection et bloquer votre logiciel antivirus et bloquer certains des modules malveillants (mais utiles) natifs de Kali Linux, et ainsi corrompre le disque.

dd altera cependant le format de votre lecteur. Pour restaurer le format normal (FAT32 ou NTFS), reportez-vous à cet article.

Étape 1: Modifier les paramètres du BIOS

Cette étape est importante car certains PC ont gagné’t vous permettre de démarrer à partir du disque en direct.

Le menu du BIOS varie avec l’appareil. Par exemple, pour y accéder sur la plupart des PC HP, appuyez sur F10 dès que vous allumez votre machine; Pour la plupart des PC Lenovo, appuyez sur F2. Vous pouvez confirmer ce qui fonctionne pour vous avec une recherche Google.

Ce sont les paramètres à rechercher:
1. Secure Boot: Désactivez-le.
2. UEFI / Boot hérité: si possible, ayez les deux options sur. Ceci est fixé à votre préférence. Pour l’UEFI, assurez-vous que le support CSM est en cours pour permettre le démarrage d’un disque avec un schéma de partition MBR; Sinon, utilisez GPT (au lieu de MBR) tout en créant votre disque. Legacy Boot prend en charge le schéma de partition MBR.

Après avoir modifié les paramètres, enregistrer les modifications et quitter. N’oubliez pas de restaurer les paramètres d’origine après avoir terminé le processus d’imagerie.

NB: Les paramètres du BIOS sont stockés sur la mémoire flash, la modification des paramètres du BIOS ne fera pas falsifier les preuves.

Étape 2: démarrer

L’étape suivante est de démarrer à partir du disque. Pour ce faire, vous devez confirmer la clé de fonction spécifique utilisée pour accéder au menu de démarrage. Dès que vous allumez l’appareil, appuyez sur la touche de fonction pour accéder au menu de démarrage (HP: F9, Lenovo: F12).

Après avoir sélectionné le disque pour démarrer, vous devriez voir cette fenêtre. Cliquer sur ‘Live (mode médico-légal)’:

Une fois le processus de démarrage terminé, vous allez maintenant accéder au bureau.

Étape 3: processus d’imagerie

Tout d’abord, faites-vous enrager pour éviter d’oublier Sudo Lorsque vous tapez vos commandes. Commande: sudo su .

L’imageur FTK n’est pas un outil natif dans la suite Kali, donc nous devons le télécharger. Connectez votre PC à Internet en cliquant sur l’icône de la barre des tâches à côté de l’horloge (dans le coin supérieur droit du bureau Kali Live). Pour confirmer que votre PC est connecté, ouvrez le terminal (en cliquant sur la quatrième icône dans le coin supérieur gauche) et exécutez la commande ping -c 5 Google.com . Vous devriez obtenir un résultat qui ressemble à ceci: Répondre à partir de 172.217.170.174: octets = 32 temps = 12 ms TTL = 57 .

Ceci est le lien pour télécharger la version FTK Imageer, CLI (interface de ligne de commande). La commande: wget https: // ad-zip.S3.Amazonaws.com / ftkimager.3.1.1_ubuntu64.le goudron.gz .

Extraire le contenu du fichier compressé à l’aide de la commande tar -zxvf [compresss_file] .

Ensuite, connectez votre lecteur de destination au PC. C’est là que vous rangerez votre image médico-légale. Sur le bureau Kali Live, ouvrez le terminal (la quatrième icône dans le coin supérieur gauche). Utilisez la commande fdisk -l pour retourner une liste des disques disponibles.

Il est important de noter deux disques: le disque PC et le disque dur externe connecté. Le disque PC servira de source et de disque externe comme destination. Dans mon cas, le disque PC est / dev / nvme0n1 et le disque externe / dev / sda .

Le lecteur de destination est inutilisable en tant que.e., / dev / sda n’est pas inscrite. Nous devons le monter sur un répertoire local. Tout d’abord, créez un répertoire à l’aide de la commande mkdir [Directory_Path], E.g., mkdir / mnt / destdrive . Puis montez votre disque dans le répertoire que vous’Ve créé à l’aide du support de commande . Dans mon cas, Mount / Dev / SDA1 / Mnt / DestDrive . Nous avons utilisé / dev / sda1 au lieu de / dev / sda puisque nous’d être intéressé par une partition dans le disque.

Ensuite, nous exécutons l’imageur FTK pour image le disque PC. La syntaxe est la suivante: ./ ftkimager [source] [destination] [Options] . Il existe plusieurs options que vous pouvez utiliser pour votre imagerie. Pour les vérifier, exécutez la commande ./ ftkimager sans paramètres. Par exemple, pour créer une image encase avec ‘meilleur’ compression, ici’s la commande: ./ ftkimager / dev / nvme0n1 / mnt / destDrive / jDoepc –e01 –Compress 9 – Case-Number “Co-x-for-hdd-001” – evidence-number “hdd-001” –déscription “John Doe’s PC” –examiner “f. Rodriguez “–very . Comme vous l’avez peut-être remarqué, nous avons spécifié un répertoire sur la destination. –Cas, – – Le nombre de personnes, – description et –examiner sont des métadonnées qui devraient être spécifiées à des fins de déclaration. –La vérification est importante à des fins d’intégrité, je.e., qu’il n’y a aucun changement entre le disque et l’image.

NB: N’oubliez pas de ne pas échanger la source et la destination, sinon vous corromperez les preuves.

Vous y allez, vous avez votre image. Quelques étapes de plus, et vous’sera complètement terminé. Vous devez non-condamner en toute sécurité le lecteur de destination. Pour ce faire, utilisez la commande umount [mont_directory] . Vous pouvez maintenant arrêter le PC en utilisant init 0 . N’oubliez pas de modifier les paramètres du BIOS en ce qu’ils étaient.

Pour vérifier si l’image n’est pas corrompue, vous pouvez utiliser la version FTK Imageer GUI (Interface utilisateur graphique). Sur un PC Windows avec l’imageur FTK installé, connectez le disque dur externe et ajoutez l’image en tant qu’élément de preuve. Utilisez l’arbre sur le côté gauche de la fenêtre pour naviguer dans le contenu de l’image. Au cas où vous obtenez l’erreur ‘Système de fichiers non reconnu [données]’ Sur la partition de données, vous devrez peut-être répéter le processus en utilisant une méthode différente. Je recommande de faire une copie de disque à l’aide du CD de démarrage Hirens.

Conclusion

Nous avons suivi le processus d’imagerie d’un disque à l’aide de FTK Imageer et Kali Live. N’oubliez pas que l’objectif est de préserver l’intégrité des preuves.

Vous pouvez également utiliser le parrot OS à la place de Kali Live.

J’espère que vous avez apprécié cet article!