Windows注册表保存系统各种重要信息。在数字取证中,经常需要分析Windows操作系统的注册表。Kali Linux自带了一款专用工具集reglookup。其中,reglookup工具可以从注册表文件中读取特定分支的各项信息,并显示其对应的权限。reglookup-recover工具可以从注册表[……]
月度归档:2017年09月
ARP探测目标工具arping
ARP协议是一种将IP地址转化物理地址的协议。通过ARP请求包和响应包,可以判断一个IP地址是否在使用。通过该协议,可以探测局域网主机是否开启。Kali Linux提供专用工具arping。该工具不仅可以发送ARP请求,判断一个主机是否在线,还可以发送免费包更新其他主机的ARP缓存。
图片视频提取工具recoverjpeg
在数字取证中,图片和视频文件能展现的信息更为直观。Kali Linux提供了专向工具recoverjpeg。该工具可以从磁盘或者文件镜像直接识别并提取JPEG图片和mov视频。在提取图片文件时,该工具可以忽略太小的图片,并去除重复的图片。为了方便后期调查,该工具还支持对图片按照时间进行排序。
磁盘备份工具dcfldd
dcfldd是Kali Linux自带的一款磁盘备份工具。该工具是dd工具的增强版,更适合渗透测试和安全领域。dcfldd提供实时哈希校验功能,确保数据的安全。同时,它还提供灵活的磁盘数据抹除操作。在进行复制和抹除操作的同时,该工具还提供对比校验功能,以确保操作的正确性。该工具还提供日志管道功能,安[……]
DNS隧道工具iodine
在受限制的网络中,如果DNS请求没有被限制,就可以通过DNS请求建立隧道而突破网络限制。iodine是Kali Linux提供的一款DNS隧道工具。该工具分为服务器端iodined和客户端iodine。服务器端iodined提供特定域名的DNS解析服务。当客户端请求该域名的解析,就可以建立隧道连接。[……]
文件哈希审计工具md5deep/hashdeep
在数据取证中,通常需要验证文件的哈希值,以判断文件是否已知好文件,或者文件是否被修改过。Kali Linux提供专用工具hashdeep。该工具的早期版本名称为md5deep。该工具可以批量计算文件的哈希值,并和哈希值列表进行比对。该工具支持多种哈希算法,可以避免哈希碰撞问题。为了满足不同任务的需要[……]
批量ping工具fping
ping是各个系统自带的基于ICMP协议的主机探测工具。但该工具一次只能检测一个主机,不满足渗透测试批量探测的需要。Kali Linux提供一款批量探测工具fping。用户可以采用命令行、列表文件、掩码的形式指定要探测的多个主机。同时,该工具还提供丰富的选项,用来指定探测模式,如时间间隔、探测顺序、[……]
分享Kali Linux 2017.2镜像文件
图形文件元数据管理工具exiv2
图形文件通常都包含多种元数据,如Exif、IPTC、XMP。这些信息往往是渗透人员收集的目标。为了便于管理这些信息,Kali Linux内置了专用工具exiv2。该工具支持24种文件格式,包括JPEG、TIFF、PNG、GIF、PSD、TGA、BMP等常见格式。该工具可以不仅可以显示和提取这些文件的[……]