Kali Linux数字取证工具集三册大学霸内部资料

Kali Linux数字取证工具集三册大学霸内部资料

Kali Linux数字取证工具集

Kali Linux数字取证工具集

注意:本教程共三册,如有不明白的地方,可以联系本店客服

试读地址链接: https://pan.baidu.com/s/1cPZcnW 密码: wwcz

介绍:数字取证主要针对电子证据进行识别、保存、收集和分析。通过数字取证,可以发现黑客的各种入侵行为。

 

学习建议:学习本教程,需要具备一定的Kali Linux使用经验。如果缺少这方面的基础,可以阅读本店教程——Kali Linux系统使用基础教程。
第一册目录
第1章  数据备份工具 1
1.1  加强版dd工具dc3dd 1
1.1.1  指定输入源 1
1.1.2  指定输出位置 3
1.1.3  哈希校验 6
1.1.4  清空设备 9
1.1.5  错误处理 11
1.1.6  日志 11
1.1.7  高级选项 16
1.1.8  杂项 19
1.2  磁盘备份工具dcfldd 21
1.2.1  输入数据 21
1.2.2  输出数据 21
1.2.3  数据处理方式 22
1.2.4  转化方式 22
1.2.5  块文件 23
1.2.6  哈希校验 24
1.2.7  文件对比 31
1.2.8  输出日志 31
1.2.9  杂项 33
1.3  磁盘取证工具Guymager 33
1.3.1  启动Guymager 33
1.3.2  制作镜像文件 34
1.3.3  克隆设备 41
1.3.4  设备信息 44
1.4  磁盘数据恢复工具safecopy 45
1.4.1  设置读取方式 45
1.4.2  读取坏块数据 51
1.4.3  使用坏块列表文件 55
1.4.4  使用预置方案 58
1.4.5  杂项 60
第2章  磁盘镜像分析工具TSK 63
2.1  镜像文件管理 63
2.1.1  镜像文件信息显示工具img_stat 63
2.1.2  镜像内容提取工具img_cat 64
2.2  卷系统管理 64
2.2.1  卷系统信息显示工具mmstat 65
2.2.2  分区表查看工具mmls 65
2.2.3  提取分区工具mmcat 67
2.3  日志文件系统管理 68
2.3.1  日志文件系统块查看工具jcat 68
2.3.2  日志文件系统内容查看工具jls 68
2.4  数据单元管理 69
2.4.1  数据单元详情显示工具blkstat 69
2.4.2  提取数据单元工具blkls 70
2.4.3  数据单元显示工具blkcat 71
2.4.4  地址转化工具blkcalc 72
2.5  元数据管理 73
2.5.1  显示节点元数据工具istat 73
2.5.2  提取节点信息工具ils 74
2.5.3  提取元数据工具ifind 75
2.5.4  提取节点文件工具icat 75
2.6  文件系统管理 76
2.6.1  显示文件系统信息工具fsstat 77
2.6.2  文件目录遍历工具fls 78
2.6.3  查找文件工具ffind 79
2.7  自动化工具 79
2.7.1  目录内容比较工具tsk_comparedir 79
2.7.2  文件操作时间提取工具tsk_gettimes 80
2.7.3  提取元数据工具tsk_loaddb 81
2.7.4  提取文件工具tsk_revover 81
2.8  辅助工具 82
2.8.1  文件哈希查询工具hfind 82
2.8.2  时间表生成工具mactime 83
2.8.3  文件类型筛选工具sorter 83
2.8.4  二进制特征信息查找工具sigfind 84
第3章  EWF镜像文件管理工具ewf-tools 86
3.1  制作EWF镜像 86
3.1.1  制作EWF镜像文件工具ewfacquire 86
3.1.2  从标准输入制作镜像文件工具ewfacquirestream 98
3.2  查看EWF镜像 98
3.2.1  查看EWF文件元数据工具ewfinfo 98
3.2.2  提取EWF镜像文件工具ewfexport 102
3.2.3  挂载EWF文件工具ewfmount 105
3.3  辅助工具 106
3.3.1  EWF文件校验工具ewfverify 106
3.3.2  EWF恢复工具ewfrecover 109
3.3.3  EWF文件调试分析工具ewfdebug 110
第4章  AFF镜像工具集afflib-tools 111
4.1  显示镜像文件信息 111
4.1.1  AFF镜像文件概要信息显示工具Affstats 111
4.1.2  镜像文件段信息显示工具Affinfo 112
4.1.3  以XML格式显示镜像文件元数据信息工具Affxml 124
4.1.4  AFF磁盘指纹信息创建工具Affdiskprint 128
4.2  AFF镜像文件复制工具Affcopy 130
4.2.1  压缩复制 130
4.2.2  校验设置 133
4.2.3  签名设置 133
4.2.4  杂项 134
4.3  镜像文件比较工具Affcompare 136
4.3.1  快速比较 136
4.3.2  完整比较 140
4.3.3  输出报告 144
4.3.4  杂项 151
4.4  镜像文件格式转换工具Affconvert 152
4.4.1  Raw格式转换为AFF格式 152
4.4.2  AFF格式转换为Raw格式 156
4.4.3  杂项 157
4.5  验证镜像文件工具Affverify 157
4.6  AFF镜像文件加密工具Affcrypto 159
4.6.1  查看加密情况 159
4.6.2  加密/解密 160
4.6.3  破解密码 161
4.6.4  杂项 162
4.7  镜像文件签名工具Affsign 162
4.7.1  签名设置 162
4.7.2  杂项 163
4.8  修复AFF镜像文件 163
4.8.1  修复AFF镜像文件工具Affix 163
4.8.2  恢复受损的页面工具Affrecover 165
4.9  处理段信息工具Affsegment 165
4.9.1  创建AFF文件 165
4.9.2  设置段参数值 165
4.9.3  设置段值 167
4.9.4  设置段参数值和段值 168
4.9.5  设置段segval的值 169
4.9.6  显示值 170
4.9.7  删除指定段 170
4.9.8  杂项 172
4.10  镜像文件内容提取工具Affcat 172
4.10.1  指定目标 172
4.10.2  提取方式 172
4.10.3  杂项 175
4.11  镜像文件挂载工具Affuse 177
4.11.1  镜像文件挂载 177
4.11.2  设置权限 179
第二册目录
第5章  数据恢复工具 1
5.1  Linux硬盘数据恢复工具dd_rescue 1
5.1.1  dd_rescue的概述 1
5.1.2  读取数据 2
5.1.3  写入数据 3
5.1.4  显示输出及日志 3
5.1.5  错误处理 4
5.1.6  覆盖数据 5
5.1.7  杂项 5
5.2  NTFS磁盘恢复工具scrounge-ntfs 6
5.2.1  指定恢复目标 6
5.2.2  恢复方式 7
5.2.3  设置保存 8
5.2.4  辅助选项 8
5.3   文件还原工具Foremost 9
5.3.1  扫描文件 9
5.3.2  保存数据 11
5.3.3  特殊扫描 12
5.3.4  扫描性能 12
5.3.5  配置文件 12
5.3.6  杂项 13
5.4  苹果设备备份分析工具iPhone Backup Analyzer 14
5.5  基于特征码文件恢复工具magicrescue 20
5.5.1  指定目标 21
5.5.2  分析方式 21
5.5.3  指定输出 22
5.6  去除重复文件dupemap 28
5.6.1  通用选项 28
5.6.2  无数据库模式 29
5.6.3  数据库模式 31
5.6.4  文件分类存储 32
5.7  基于文件头/尾数据恢复工具scalpel 33
5.7.1  指定镜像文件 33
5.7.2  生成文件头/尾数据库 39
5.7.3  设置读取方式 40
5.7.4  恢复文件的保存设置 42
5.7.5  文件块分布文件 47
5.7.6  杂项 48
第6章  信息批量提取工具bulk-extractor 49
6.1  扫描方式 49
6.1.1  扫描镜像文件 49
6.1.2  扫描多个镜像文件 50
6.1.3  指定警告列表文件扫描 50
6.1.4  指定停止列表文件扫描 50
6.1.5  使用正则表达式扫描 51
6.2  输出信息 51
6.2.1  指定输出目录 51
6.2.2  添加头信息 52
6.2.3  输出字典文件 54
6.3  分批扫描 55
6.4  使用插件 56
6.4.1  指定递归深度 56
6.4.2  指定插件目录 56
6.4.3  启用插件 56
6.4.4  只启用指定插件 58
6.4.5  禁用插件 60
6.4.6  设置插件参数值 61
6.4.7  显示所有插件详细信息 63
6.5  性能调优 66
6.5.1  指定页面大小 66
6.5.2  指定边距大小 68
6.5.3  指定线程数 70
6.5.4  指定上下文窗口大小 71
6.5.5  指定最长等待分钟数 71
6.6  可获取的信息 71
6.6.1  信用卡号 71
6.6.2  域名、主机名信息 72
6.6.3  邮件地址信息 73
6.6.4  JSON数据 74
6.6.5  邮件、HTTP头部信息 75
6.6.6  电话号码信息 76
6.6.7  URL信息 76
6.6.8  FAT32和NTFS目录信息 78
6.6.9  可执行文件列表 78
6.6.10  以太网地址列表 79
6.6.11  数据包的IP地址信息 80
6.6.12  TCP、UDP网络流详细信息 81
6.6.13  base16加密的数据信息 82
6.6.14  密码字典wordlist信息 83
6.7  杂项 84
第7章  反编译工具 91
7.1  反汇编引擎Capstone 91
7.2  反汇编引擎diStorm3 92
第8章  通用数据库管理工具DBeaver 94
8.1  连接数据库 94
8.1.1  SQLite数据库 95
8.1.2  MySQL数据库 99
8.1.3  SQL Server数据库 101
8.1.4  PostgreSQL数据库 104
8.1.5  Access数据库 106
8.2  数据库结构 108
8.3  查询数据库 110
8.3.1  基本查询方式 110
8.3.2  使用查询参数 112
8.3.3  使用过滤器 113
8.3.4  使用查询脚本 114
8.3.5  使用执行计划 115
8.4  编辑数据 116
第9章  Access数据库审计工具mdbtools 120
9.1  数据库获取工具 120
9.1.1  数据查询工具mdb-sql 120
9.1.2  生成数据库定义脚本工具mdb-schema 122
9.1.3  获取表的列属性工具mdb-prop 124
9.1.4  获取数据表工具mdb-tables 125
9.1.5  获取版本信息工具mdb-ver 126
9.2  开发接口工具 127
9.2.1  导出C头文件工具mdb-header 127
9.2.2  导出C数组形式数据工具mdb-array 129
9.2.3  导出二进制数据工具mdb-hexdump 130
9.2.4  导出CSV格式数据工具mdb-export 131
9.2.5  解析CSV数据工具mdb-parsecsv 133
第10章  浏览器数据提取工具 136
10.1  火狐浏览器信息提取工具Dumpzilla 136
10.1.1  提取所有数据 136
10.1.2  显示Cookies相关信息 139
10.1.3  显示用户偏好和权限设置 148
10.1.4  显示下载记录 149
10.1.5  显示表单 150
10.1.6  显示网站访问历史记录 150
10.1.7  显示书签记录 155
10.1.8  显示离线缓存数据 157
10.1.9  显示缩略图 157
10.1.10  指定范围进行过滤显示 157
10.1.11  显示扩展信息 159
10.1.12  显示存储的用户名密码 159
10.1.13  显示添加的SSL证书 161
10.1.14  显示会话信息 161
10.1.15  实时显示 162
10.2  IE浏览器Cookie信息提取工具Galleta 164
10.3  IE访问历史记录恢复工具pasco 165
第11章  内存取证工具 166
11.1  内存提取工具LiME 166
11.1.1  提取Linux内存信息 166
11.1.2  提取Android内存信息 168
11.2  苹果内存取证工具volafox 177
11.3  Gmail进程信息转储分析工具pdgmail 180
第三册目录
第12章  PDF综合审计工具peepdf 1
12.1  基本使用 1
12.1.1  解析文件方式 1
12.1.2  输出方式 2
12.1.3  杂项 4
12.2  交互模式 5
12.2.1  开启交互模式 5
12.2.2  交互模式下的简单操作 6
12.3  分析文档 7
12.3.1  打开文档 8
12.3.2  文档内容结构显示 9
12.3.3  文档信息 12
12.3.4  显示解码前后的信息 15
12.3.5  显示流解码前后的信息 18
12.3.6  内容审计 22
12.4  Javascript代码分析 24
12.4.1  代码分析 24
12.4.2  代码显示 25
12.4.3  代码内容显示 28
12.4.4  代码执行 29
12.5  文档编辑 29
12.5.1  创建保存 29
12.5.2  嵌入内容 35
12.5.3  设置变量 35
12.5.4  修改值 37
12.5.5  内容编码 41
12.5.6  内容解码 42
第13章  其他PDF取证工具 43
13.1  PDF文档扫描工具pdfid 43
13.1.1  扫描文档 43
13.1.2  使用插件 46
13.1.3  显示分析结果 46
13.1.4  杂项 49
13.2  PDF文档快速审计工具pdf-parser 50
13.2.1  基本形式 50
13.2.2  过滤内容 51
13.2.3  指定搜索内容 58
13.2.4  设置输出的内容 63
13.2.5  导出数据 66
13.2.6  高级功能 66
13.2.7  杂项 69
第14章  压缩文件提取工具 71
14.1  CAB归档文件提取工具cabextract 71
14.2  RAR压缩包审计工具unrar-nofree 74
14.3  压缩归档文件审查工具p7zip-full 77
14.3.1  7z工具 77
14.3.2  7za工具 84
第15章  邮箱数据取证工具 85
15.1  Outlook数据提取工具readpst 85
15.1.1  输出内容 85
15.1.2  输出形式 86
15.1.3  输出方式 96
15.1.4  杂项 96
15.1.5  列出.pst文件的简要信息lspst 100
15.1.6  提取联系人信息到.ldif工具pst2ldif 101
15.1.7  提取邮件内容到DII工具pst2dii 101
第16章  图形文件提取工具 103
16.1  图片视频提取工具recoverjpeg 103
16.1.1  读取镜像 103
16.1.2  过滤文件 103
16.1.3  文件输出 104
16.1.4  杂项 104
16.1.5  移除重复文件 105
16.1.6  排序图片文件 105
16.1.7  提取mov视频文件 107
16.2  JPEG图片EXIF信息提取工具exif 107
16.2.1  指定操作的项 107
16.2.2  输出信息 108
16.2.3  创建项目 109
16.2.4  修改项目 109
16.2.5  修改缩略图 110
16.2.6  杂项 111
16.3  图形文件元数据管理工具exiv2 112
16.3.1  命令基本形式 112
16.3.2  公共选项 113
16.3.3  显示元数据 114
16.3.4  提取元数据 115
16.3.5  插入元数据 115
16.3.6  删除元数据 115
16.3.7  修改时间 116
16.3.8  修改元数据 116
16.3.9  重命名文件 117
16.3.10  更新光圈和注释 117
16.3.11  修改命令 117
16.3.12  杂项 118
16.4  缩略图信息提取工具vinetto 119
16.4.1  指定文件 119
16.4.2  提取数据 119
16.4.3  杂项 122
第17章  注册表读取工具集reglookup 123
17.1  注册表读取和查询reglookup 123
17.1.1  指定注册的表文件 123
17.1.2  过滤条件 124
17.1.3  输出信息 126
17.1.4  杂项 129
17.2  还原被删除的注册表项目reglookup-recover 130
17.2.1  指定注册表文件 130
17.2.2  指定输出内容 131
17.2.3  杂项 133
17.3  生成注册表时间表reglookup-timeline 134
17.3.1  指定注册表文件 134
17.3.2  设置输出信息 134
第18章  网络取证分析工具Xplico 135
18.1  Xplico概述 135
18.1.1  获取Xplico安装包 135
18.1.2  安装Xplico 136
18.1.3  运行Xplico 140
18.2  项目结构 142
18.2.1  案例 142
18.2.2  会话 143
18.3  获取数据 144
18.3.1  实时抓包 144
18.3.2  抓包文件 145
18.3.3  统计信息/概览 147
18.4  分析数据包 149
18.4.1  图表类——Graphs 149
18.4.2  网站类——Web 154
18.4.3  邮件服务类——Mail 160
18.4.4  通信类——Voip 162
18.4.5  共享类——Share 164
18.4.6  交流类——Chat 170
18.4.7  远程连接——Shell 172
18.4.8  未解码——Undecoded 173
第19章  其他文件取证工具 176
19.1  固件分析工具Binwalk 176
19.1.1  基本扫描 176
19.1.2  特征码扫描 179
19.1.3  提取文件 182
19.1.4  压缩文件处理 186
19.1.5  熵分析 188
19.1.6  文件比较 191
19.1.7  杂项 194
19.2  Windows可执行程序搜索工具missidentify 197
19.2.1  搜索方式 197
19.2.2  设置输出结果 198
19.2.3  杂项 201
19.3  Rootkit检测工具chkrootkit 201
19.3.1  指定测试项目 201
19.3.2  指定扫描位置 203
19.3.3  输出信息 205
19.3.4  杂项 206
19.4  文本转化工具dos2unix 206
19.4.1  转换方式 207
19.4.2  编码处理 208
19.4.3  特殊文件 209
19.4.4  辅助选项 210
19.5  编码/解码和进制转化工具hURL 213
19.5.1  编码/解码 213
19.5.2  进制转化 215
19.5.3  ASCII转化 218
19.5.4  哈希加密 219
19.5.5  反汇编常用编码 221
19.5.6  杂项 223
19.6  Windows密码重置工具chntpw 225
19.6.1  Windows密码重置工具chntpw 226
19.6.2  非交互Windows密码重置工具sampasswd 236
19.6.3  用户组修改工具samusrgrp 237
19.6.4  注册表编辑工具reged 241
19.7  被动指纹识别工具p0f 243
19.7.1  设置数据输入 243
19.7.2  设置数据输出 246
19.7.3  性能调优 247

Comments are closed.