20+ công cụ phân tích(Forensic) trong kali Linux

Các bài viết liên quan:

• 50+ công cụ tấn Wireless Attack của kali linux
• 20+ Công cụ phân tích lỗ hổng bảo mật kali linux
• Hướng dẫn phân tích dữ liệu(Data Analytics)
• Hướng dẫn về Kali Linux
• Cách cài đặt Kali Linux sử dụng Virtual Box
• 20+ công cụ khai thác lỗ hổng bảo mật của kali linux

Binwalk

Binwalk là một công cụ phân tích tập tin nhúng được sử dụng để phân tích các tập tin nhúng, bao gồm firmware nhúng và hệ điều hành nhúng. Công cụ này giúp các kỹ sư nhúng, nhà phát triển và các chuyên gia bảo mật phát hiện và phân tích các tập tin nhúng và trích xuất các thông tin ẩn trong các tập tin đó. Binwalk có thể tìm ra các thông tin như các mã máy móc được nhúng trong các tập tin firmware, mã máy móc và các loại mã khác, các tệp hệ thống tệp và cấu trúc phân vùng, và các loại tệp tin khác có thể có trong firmware.

Các tính năng của Binwalk bao gồm:

• Tìm kiếm mã máy móc nhúng trong tập tin
• Trích xuất và giải nén tập tin nhúng
• Phát hiện và phân tích cấu trúc phân vùng
• Tự động phát hiện loại tệp tin khác nhau trong firmware
• Hỗ trợ các định dạng tập tin phổ biến như SquashFS, JFFS2, và các định dạng tập tin nén khác

Binwalk thường được sử dụng trong các hoạt động phát triển firmware, phân tích bảo mật và phát hiện lỗ hổng bảo mật trong các thiết bị nhúng.

bulk-extractor

Bulk Extractor là một công cụ phân tích khối lượng lớn các tập tin và hình ảnh kỹ thuật số để tìm kiếm thông tin nhạy cảm. Nó có thể giúp tìm ra các tài liệu và dữ liệu quan trọng trong một tập tin hoặc hình ảnh bằng cách quét toàn bộ không gian lưu trữ và trích xuất các đối tượng khác nhau như email, số điện thoại, địa chỉ, danh sách từ khóa, mã hóa và nhiều hơn nữa. Bulk Extractor hỗ trợ nhiều định dạng tập tin như NTFS, FAT, Ext2, Ext3, JPEG, BMP, PNG, và nhiều định dạng tập tin khác nữa.

Ví dụ về việc sử dụng Bulk Extractor trong lĩnh vực an ninh mạng bao gồm việc tìm kiếm các thông tin nhạy cảm trong các tập tin và hình ảnh đính kèm của email, các tài liệu và thông tin nhạy cảm trong hệ thống lưu trữ của một tổ chức, tìm kiếm các đoạn mã độc và phát hiện các hoạt động tấn công từ xa. Bulk Extractor cũng được sử dụng trong pháp y để trích xuất các thông tin quan trọng từ các tài liệu kỹ thuật số, chẳng hạn như các hình ảnh chụp X-quang hoặc MRI.

Capstone

Capstone là một framework mã nguồn mở để phân tích các mã máy và thực thi mã máy. Nó hỗ trợ các nền tảng như Windows, Mac OS X, iOS, Android, Linux và các kiến trúc như x86, ARM, PowerPC, MIPS và SPARC.

Capstone cung cấp một API đơn giản và dễ sử dụng để phân tích các mã máy và cung cấp thông tin về các chỉ thị và toán tử trong chúng. Nó cũng cung cấp các công cụ để phân tích các khối lệnh, xác định kiểu dữ liệu và giải mã các cấu trúc phức tạp.

Capstone được sử dụng rộng rãi trong việc phát triển các công cụ an ninh mạng như các công cụ phân tích malware, các công cụ tấn công và phát hiện xâm nhập, và trong các công cụ phân tích và giải mã mã máy.

chntpw

Chntpw là một công cụ miễn phí và mã nguồn mở dùng để đặt lại mật khẩu tài khoản đăng nhập trên hệ điều hành Windows. Nó có thể hoạt động trên các phiên bản Windows như Windows 10, 8, 7, Vista và XP. Chntpw được phát triển bởi Petter Nordahl-Hagen và được cung cấp trên các nền tảng khác nhau như Linux và Windows.

Chntpw cung cấp một cách tiếp cận thay thế đối với việc sử dụng đĩa CD hoặc USB để khởi động và đặt lại mật khẩu tài khoản đăng nhập trên hệ điều hành Windows. Nó hoạt động bằng cách tương tác với các tập tin SAM (Security Account Manager) trên hệ thống và cho phép người dùng đặt lại mật khẩu của bất kỳ tài khoản nào trên hệ thống.

Tuy nhiên, việc sử dụng Chntpw cần phải được thực hiện cẩn thận để tránh gây ra sự cố và làm hỏng hệ thống. Ngoài ra, nó cũng không thể giúp bạn khôi phục mật khẩu đăng nhập trên các phiên bản Windows mới hơn sử dụng tính năng đăng nhập bằng tài khoản Microsoft.

Cuckoo

Cuckoo là một framework phân tích độc hại mã nguồn mở, cho phép các chuyên gia an ninh mạng phân tích các tệp độc hại trong một môi trường cô lập và an toàn. Cuckoo cung cấp các tính năng để phát hiện và phân tích các mẫu độc hại, bao gồm quét tệp, giải mã và chạy nó trong một môi trường ảo. Nó cũng hỗ trợ các chức năng phân tích phức tạp như giám sát các kết nối mạng và giao tiếp qua các giao thức khác nhau.

Cuckoo là một công cụ phổ biến trong lĩnh vực phân tích độc hại và thường được sử dụng để phát hiện và phân tích các tệp độc hại, mã độc và các chiến dịch tấn công mạng. Nó có thể được sử dụng bởi các chuyên gia an ninh mạng, nhà nghiên cứu an ninh mạng, nhà phát triển phần mềm và bất kỳ ai quan tâm đến an ninh mạng.

dc3dd

dc3dd là một công cụ khôi phục dữ liệu và sao chép từ các thiết bị lưu trữ. Nó là một phiên bản mở rộng và cải tiến của GNU dd với các tính năng bổ sung như xác thực bit theo bit của dữ liệu được sao chép và khả năng tạo ra các tệp báo cáo chi tiết. Công cụ này thường được sử dụng trong kỹ thuật pháp y để khôi phục dữ liệu bị mất hoặc bị xóa từ các thiết bị lưu trữ.

ddrescue

ddrescue là một công cụ dòng lệnh có tính năng phục hồi dữ liệu được sử dụng để sao lưu và khôi phục dữ liệu từ một ổ đĩa bị hỏng hoặc có vấn đề. Nó hoạt động bằng cách đọc từng khối dữ liệu trên ổ đĩa bị hỏng và cố gắng khôi phục những khối dữ liệu có thể đọc được. Nếu nó không thể đọc được khối dữ liệu nào, nó sẽ bỏ qua khối đó và tiếp tục đọc các khối tiếp theo.

Công cụ này được sử dụng phổ biến trong việc phục hồi dữ liệu từ các ổ đĩa bị hỏng, các file system bị hỏng và các thiết bị lưu trữ khác. ddrescue có thể được sử dụng trên hệ điều hành Linux, macOS và Windows.

DFF

DFF (Digital Forensics Framework) là một nền tảng phân tích số để thực hiện các tác vụ phân tích mật mã, phát hiện và phân tích virus, phân tích hành vi, và nhiều tác vụ khác. Nó được thiết kế để tăng tốc độ phân tích bằng cách giảm thiểu thời gian giữa các bước phân tích.

DFF cung cấp các tính năng và công cụ cho các chuyên gia phân tích điện tử để phân tích các dữ liệu điện tử từ các thiết bị lưu trữ dữ liệu và mạng, bao gồm cả các thiết bị di động và thiết bị IoT (Internet of Things). Các tính năng của DFF bao gồm khả năng phân tích mạng, phân tích tệp tin, khả năng đọc và ghi các định dạng khác nhau của ổ đĩa, phân tích hệ thống tập tin và cấu trúc thư mục, và nhiều tính năng khác.

DFF là mã nguồn mở và có thể được tải xuống và sử dụng miễn phí. Nó có thể chạy trên nhiều hệ điều hành khác nhau, bao gồm Windows, Linux và macOS.

diStorm3

DiStorm3 là một thư viện phân tích mã máy tính mã nguồn mở được sử dụng để giải mã các lệnh xử lý trong các file nhị phân. Nó có thể phân tích cả mã máy 32-bit và 64-bit, và có thể hoạt động trên nhiều nền tảng khác nhau như Windows, Linux, macOS và iOS.

DiStorm3 được sử dụng trong nhiều công cụ phân tích malware, tạo các công cụ giám sát độc hại và cả trong các công cụ tấn công. Nó được tích hợp trong các công cụ phổ biến như OllyDbg, IDA Pro và radare2.

Thư viện DiStorm3 được viết bằng ngôn ngữ C, có đầy đủ tài liệu hướng dẫn sử dụng và mã nguồn được phân phối theo giấy phép BSD, cho phép sử dụng và phân phối miễn phí, cũng như sửa đổi và phát hành lại mã nguồn.

Dumpzilla

Dumpzilla là một công cụ phục hồi dữ liệu được sử dụng để trích xuất thông tin từ các tệp sao lưu Mozilla Firefox, Thunderbird, Seamonkey và các sản phẩm Mozilla khác. Công cụ này có thể giúp phân tích các tệp SQLite và JSON của Firefox và giúp khôi phục lịch sử duyệt web, tài khoản, mật khẩu và các dữ liệu khác liên quan. Dumpzilla hoạt động trên các nền tảng hệ điều hành khác nhau như Windows, macOS và Linux và được phát triển dựa trên ngôn ngữ lập trình Python.

extundelete

extundelete là một công cụ phục hồi file được xóa trên các hệ thống file Linux ext3 và ext4. Khi một file bị xóa từ hệ thống file, nó thực sự không bị xóa ngay lập tức, thay vào đó, vùng dữ liệu của file đó được đánh dấu là có thể sử dụng lại. extundelete tìm kiếm trên hệ thống file và tìm các vùng dữ liệu được đánh dấu là có thể sử dụng lại, rồi khôi phục lại các file bị xóa từ các vùng dữ liệu này. Công cụ này có thể khôi phục được nhiều loại file, bao gồm cả file hệ thống và file cá nhân.

extundelete hoạt động trên dòng lệnh và có sẵn trong các kho lưu trữ phần mềm của các bản phân phối Linux.

Foremost

Foremost là một công cụ khôi phục dữ liệu mã nguồn mở (open source) được sử dụng trong phần mềm dùng để phục hồi dữ liệu trên các thiết bị lưu trữ (data recovery). Nó có thể khôi phục được các tệp tin đã bị xóa trên đĩa cứng hoặc các tệp tin được ghi đè bởi tệp tin khác trên hệ điều hành Linux và Windows.

Foremost là một công cụ dòng lệnh, sử dụng cơ chế đánh dấu (carving) để tìm kiếm các tệp tin dữ liệu bị mất thông qua việc phân tích các khối dữ liệu không liên quan. Các khối dữ liệu được quét bởi Foremost để tìm kiếm các chữ ký đặc trưng của các loại tệp tin được cho phép (file header và footer). Sau đó, Foremost lưu trữ các tệp tin được phát hiện vào các thư mục được chỉ định.

Foremost có thể được sử dụng trên hầu hết các hệ thống Linux và Windows. Nó được sử dụng phổ biến trong lĩnh vực kỹ thuật pháp y, công nghệ thông tin, pháp luật, phục hồi dữ liệu, v.v. Công cụ này có thể giúp bạn khôi phục các tệp tin bị mất do lỗi phần cứng, lỗi hệ điều hành, hoặc các nguyên nhân khác.

Tuy nhiên, Foremost cũng có những hạn chế nhất định. Nó không thể khôi phục các tệp tin bị mất do bị hư hỏng quá nặng, các tệp tin đã bị xóa trên hệ thống tệp tin khác nhau, hoặc các tệp tin đã được mã hóa. Ngoài ra, Foremost không hỗ trợ cho các thiết bị lưu trữ cấp thấp, chẳng hạn như RAID hoặc các ổ đĩa ngoài.

Galleta

Galleta là một công cụ mã nguồn mở được sử dụng để khai thác các thông tin đăng nhập được lưu trữ trong trình duyệt web Mozilla Firefox. Các thông tin đăng nhập này bao gồm tên người dùng và mật khẩu cho các trang web đã được lưu trữ trong trình duyệt.

Galleta được viết bằng Python và được thiết kế để chạy trên nền tảng Linux. Công cụ này có thể được sử dụng để khôi phục các thông tin đăng nhập đã lưu trữ trong tệp cookie của Firefox, bao gồm các thông tin đăng nhập cho các trang web phổ biến như Facebook, Gmail và Twitter.

Tuy nhiên, cần lưu ý rằng việc sử dụng Galleta để truy cập các thông tin đăng nhập của người khác mà không có sự cho phép của họ là một hành vi bất hợp pháp và có thể dẫn đến hậu quả nghiêm trọng. Galleta chỉ nên được sử dụng cho mục đích giáo dục và thử nghiệm bảo mật với sự cho phép của chủ sở hữu tài khoản được lưu trữ trong trình duyệt.

Xem thêm linux là gì

Guymager

Guymager là một công cụ forensics mã nguồn mở dùng để thu thập hình ảnh đĩa và sao chép dữ liệu đến từng file hoặc thư mục trên một hệ thống hoạt động. Công cụ này cho phép thu thập dữ liệu từ các hệ thống Linux, Windows, macOS và các hệ thống khác.

Guymager được thiết kế để cung cấp khả năng tùy chỉnh rất cao để thu thập dữ liệu với độ tin cậy cao và bảo mật cao. Nó cũng cho phép người dùng thực hiện các thao tác nhanh chóng và dễ dàng để xử lý dữ liệu thu thập được.

Các tính năng chính của Guymager bao gồm:

• Hỗ trợ cho nhiều định dạng hình ảnh đĩa, bao gồm các định dạng chuẩn như EnCase, dd, và EWF.
• Khả năng ghi các hình ảnh đĩa và file dữ liệu đến các ổ đĩa cục bộ hoặc qua mạng.
• Hỗ trợ cho việc xử lý các hình ảnh đĩa lớn và hỗ trợ tùy chỉnh các file segment cho việc tăng tốc độ.
• Có khả năng tự động phát hiện các hệ thống file khác nhau và tự động lựa chọn driver phù hợp để đọc và ghi dữ liệu.
• Cho phép người dùng tạo các tập tin lưu trữ để chứa các tập tin khôi phục được.
• Có khả năng ghi lại các hoạt động trên đĩa trong quá trình thu thập dữ liệu.

Guymager là một công cụ quan trọng trong lĩnh vực pháp y và kỹ thuật điều tra, nó cho phép các chuyên gia phân tích các mảnh dữ liệu thu thập được để tìm ra chứng cứ trong các vụ vi phạm pháp luật và tội phạm.

Xem thêm Tích hợp dữ liệu trong Data mining

iPhone Backup Analyzer

iPhone Backup Analyzer là một công cụ miễn phí giúp phân tích và khai thác dữ liệu từ các bản sao lưu iPhone được tạo bởi iTunes. Công cụ này cho phép người dùng truy cập các thông tin như danh bạ, thông tin cuộc gọi, tin nhắn, email, ảnh và video. iPhone Backup Analyzer có tính năng tìm kiếm và xử lý các file SQLite, cũng như hỗ trợ định dạng của các tệp tin được mã hóa.

iPhone Backup Analyzer có giao diện đơn giản và dễ sử dụng, cho phép người dùng tìm kiếm và lọc thông tin theo nhiều tiêu chí khác nhau. Nó cũng cung cấp các tính năng mở rộng cho phép người dùng xem trước các file hình ảnh và video, giúp tăng tính hiệu quả của quá trình phân tích dữ liệu. Công cụ này hỗ trợ đa nền tảng và có thể chạy trên Windows, Mac và Linux.

p0f

p0f là một công cụ phân tích đặc điểm giao tiếp mạng, được sử dụng để xác định các thông tin liên quan đến hệ điều hành, trình duyệt, máy chủ web và các ứng dụng mạng khác đang chạy trên các hệ thống kết nối với mạng của bạn.

p0f có thể được sử dụng để xác định các tính năng của một hệ thống từ xa chỉ bằng cách theo dõi các thông điệp mạng được gửi và nhận. Công cụ này có thể giúp cho các chuyên gia bảo mật phát hiện các hệ thống lạ hoặc nguy hiểm đang kết nối với mạng của họ và thực hiện các biện pháp bảo vệ.

Xem thêm Làm thế nào để cài đặt XAMPP trong Kali Linux?

Pdf-parser

Pdf-parser là một công cụ phân tích cú pháp cho tệp PDF. Nó được sử dụng để phân tích các tệp PDF và trích xuất các đối tượng có trong tệp đó, ví dụ như metadata, font, hình ảnh, mã JavaScript, tài liệu nội bộ và nhiều thông tin khác.

Pdf-parser có thể giúp các chuyên gia bảo mật tìm ra các lỗ hổng bảo mật trong tệp PDF và phân tích các tệp được sử dụng để tấn công máy tính.

Pdf-parser là một công cụ miễn phí và có sẵn trên nhiều hệ điều hành, bao gồm cả Linux, Windows và MacOS.

pdfid

Pdfid là một công cụ mã nguồn mở và miễn phí cho phép phân tích tệp PDF để xác định các tính năng nguy hiểm, phát hiện các lỗ hổng bảo mật và đánh giá mức độ rủi ro của tệp PDF đó. Công cụ này được viết bằng Python và có khả năng thực thi trên các nền tảng khác nhau như Windows, Linux và MacOS.

Pdfid cung cấp cho người dùng một số tùy chọn để tùy chỉnh quá trình phân tích, bao gồm các tùy chọn để xác định trạng thái của các đối tượng như mã lệnh JavaScript, các đối tượng OLE, các tiêu đề và chú thích, và nhiều hơn nữa. Kết quả phân tích sẽ cho người dùng biết được các đối tượng có khả năng làm tổn hại đến hệ thống, giúp họ đưa ra quyết định cần thiết để bảo vệ hệ thống của mình.

peepdf

Peepdf là một công cụ phân tích tài liệu PDF mã nguồn mở được viết bằng Python. Công cụ này được sử dụng để phát hiện các lỗ hổng bảo mật, tìm kiếm các đối tượng PDF và thực hiện các chức năng phân tích PDF khác. Nó cũng cung cấp một số tính năng như trích xuất metadata, mã hóa và giải mã, thay đổi nội dung PDF và tìm kiếm các tài liệu PDF khác trong tệp PDF đã cho.

Peepdf cũng cung cấp các chức năng để phát hiện và tìm kiếm các lỗ hổng bảo mật trong tài liệu PDF, bao gồm các lỗ hổng bảo mật như JavaScript, cờ nhúng, ảnh động, XML, URL, mật khẩu, tệp đính kèm và nhiều hơn nữa.

Peepdf là một công cụ hữu ích trong việc phân tích tài liệu PDF và giúp người dùng phát hiện các lỗ hổng bảo mật trong tài liệu PDF một cách nhanh chóng và dễ dàng.

RegRipper

RegRipper là một công cụ phân tích đám mây đăng ký dành cho hệ điều hành Windows. Nó được thiết kế để giúp các chuyên gia pháp lý kỹ thuật số và các nhà điều tra an ninh tìm kiếm thông tin quan trọng từ registry của Windows. RegRipper có khả năng phân tích các hives đăng ký khác nhau trong Windows, bao gồm NTUSER.DAT, SOFTWARE, SYSTEM, SAM và nhiều hơn nữa.

RegRipper được viết bằng Perl và chạy trên Windows và Linux. Nó cung cấp một tập hợp các plugin để giúp phân tích đám mây đăng ký của Windows. Mỗi plugin tập trung vào một mục tiêu phân tích cụ thể, chẳng hạn như lịch sử trình duyệt, danh sách tiến trình hoặc thông tin về tài khoản người dùng. Người dùng cũng có thể tạo các plugin mới để phân tích các mục tiêu phù hợp với nhu cầu của họ.

RegRipper là một công cụ rất hữu ích trong các hoạt động pháp lý kỹ thuật số và điều tra an ninh. Nó có thể giúp tìm kiếm và giải mã thông tin quan trọng từ registry của Windows và cung cấp một cách tiếp cận đơn giản và dễ dàng để phân tích các hive đăng ký khác nhau.

VOLATILITY

Volatility là một framework mã nguồn mở được sử dụng trong phân tích bảo mật máy tính. Nó được thiết kế để phân tích các bản sao của bộ nhớ hệ thống (RAM) để tìm kiếm tài liệu bị ẩn, quá trình và các phần mềm độc hại. Volatility có thể được sử dụng để xác định xem một hệ thống đã bị xâm nhập hay không, nếu có các quá trình hay tệp tin độc hại đã được chạy trên hệ thống, và các thông tin khác liên quan đến tấn công.

Volatility hỗ trợ hầu hết các hệ điều hành phổ biến bao gồm Windows, Linux và macOS. Nó cũng hỗ trợ nhiều định dạng tệp tin, bao gồm các bản sao hệ thống tạo ra bởi các công cụ thông dụng như FTK Imager hay dd.

Volatility là một công cụ mạnh mẽ trong việc phân tích tấn công mạng, xác định nguồn gốc của các hoạt động độc hại và cung cấp thông tin quan trọng về các tệp tin và quá trình đang chạy trên hệ thống. Nó được sử dụng phổ biến trong các hoạt động pháp lý và phân tích tấn công mạng.

Xplico

Xplico là một công cụ phân tích lưu lượng mạng mã nguồn mở, được sử dụng để phân tích các gói tin mạng và trích xuất các dữ liệu khác nhau như email, file, hình ảnh, âm thanh và video từ các gói tin đó. Xplico hoạt động trên nền tảng Linux và có thể được sử dụng để phân tích các giao thức mạng như HTTP, SIP, IMAP, POP, TCP, UDP và nhiều giao thức khác.

Xplico có khả năng tự động phân tích các gói tin mạng và trích xuất dữ liệu một cách hiệu quả và dễ dàng. Nó cung cấp một giao diện web đơn giản để quản lý và kiểm soát quá trình phân tích. Xplico cũng hỗ trợ các tính năng bảo mật như SSL và SSH.

Xplico có thể được sử dụng trong nhiều trường hợp, bao gồm giám sát mạng, phát hiện xâm nhập, phân tích lưu lượng mạng, tìm kiếm mã độc và phát hiện các hoạt động độc hại trên mạng.