Kap Linux - Forensics Tools

在本章中,我们将了解在加里尼奥斯的现有法医工具。

p0f

p0f是一种工具,可以仅仅通过检查所捕获的包装单确定目标东道方的运行系统,即使有关装置位于包装防火墙后面。 P0f没有产生任何直接或间接的网络交通;没有名称调查;没有神秘问题;没有ARIN查询;没有。 在先进用户手中,P0f可探测防火墙的存在、NAT的使用以及装载平衡器的存在。

, 以便了解如何使用,并取得以下结果。

它将列出甚至现有的接口。

然后,指挥类型如下:“p0f -i eth0 -p -o filename”。

如果参数-i”是上面所示接口名称,-p>即为顺便宜之计-o> 系指该产出将在档案中保存。

开放网页,地址: 192.168.1.2

从结果来看,你可以观察到,网络服务器正在使用2.x,而本组织是德比亚。

pdf-parser

pdf-parser是一种工具,使人民抵抗力量的文件能够确定分析后pdf档案中所使用的基本要素。 它不会提供人民抵抗力量的文件。 并没有建议为国防军教职员工提供课本,但这项工作已经完成。 一般来说,这被用于pdf档案中你怀疑有文字。

指挥是:

pdf-parser  -o 10 filepath

“o” 是物体的数量。

如你在以下屏幕上看到的那样,pdf档案打开了CMD指挥部。

Dumpzilla

Dumpzilla的申请是在3.x中开发的,目的是从Peth、Iceweasel和Seanmonkey brows获得所有具有法医意义的信息,以便进行分析。

ddrescue

它将数据从一个档案或碎片装置(硬盘、rom等)复制到另一个文档或装置,试图在出现错误时首先拯救好部分。

ddrescue的基本运行完全自动。 也就是说,你不必等待错误、停止方案、从新的职位上重新启动方案等。

如果你使用Ddrescue地图单特征,那么数据就会非常高效地加以拯救(仅读到所需区块)。 此外,你可以随时打断救援工作,并在稍后时间恢复救援工作。 地图册是德鲁塞斯库的效能的重要组成部分。 除非你知道你正在做什么,否则使用否决权。

指挥线是:

dd_rescue infilepath  outfilepath

页: 1 img文档是回收图像。

DFF

这是用来追回档案的另一个法医工具。 它还有一个全球倡议。 为开放,“>“dff-gui”号”在终点站开放,以下网站将开放。

Cpck file ——“Open Evidence”。

下表将开放。 检查“Raw格式”和点击“+”,以选择你希望回收的夹。

然后,你可以浏览一下电线左侧的档案,看已经找到什么。