Autopsy¶
Autopsy is een Open Source Digital Forensics platform met vele ingebouwde tools die je kunt gebruiken om je onderzoek uit te voeren.
Autopsy Docs:
De Autopsy documentatie.
Autopsy: The Digital Forensics Toolkit, Libby, K., 2023:
Uitleg van de key features van Autopsy en hoe ze je onderzoek kunnen ondersteunen.
Autopsy | TryHackMe - Walkthrough, jcm3, 2024:
Praktische walkthrough van de Autopsy tool a.d.h.v. een TryHackMe box; je hoeft geen kennis van de box de hebben om deze walkthrough te kunnen volgen.
Ghidra¶
Ghidra is een open source toolkit voor het Reverse Engineeren van software, ontwikkeld door de Amerikaanse NSA.
Introduction to Ghidra | Student Guide with Notes, Grumpycoder.net:
Online Course over het gebruik van Ghidra.
Uitgebreid maar niet makkelijk doorzoekbaar.
How to use Ghidra to Reverse Engineer Malware, Fox, N, 2023:
Korte praktische introductie tot het gebruik van Ghidra.
Ghidra Cheat Sheet, NSA, 2024:
Korte cheat sheet voor de Ghidra tool.
Onthoud vooral F1 voor de help pages.
Scalpel¶
Scalpel is een tool die bestanden kan herstellen uit schijf-sectoren die als ongebruikt gemarkeerd staan (m.a.w. “verwijderde” bestanden).
Scalpel Docs:
De Scalpel man page.
File Carving Techniques Using Scalpel, Sunny N. M., Benjamin J., 2021:
Overzicht van de mogelijkheden en beperkingen van Scalpel en hoe je de tool het best in kunt zetten.
The Sleuth Kit¶
The Sleuth Kit is een verzamling aan Command Line Tools die je kunt gebruiken voor Forensische Analyse. Onder de motorkap zijn dit de tools waar Autopsy gebruik van maakt.
The Sleuth Kit Docs:
Overzicht van alle documentatie
Volatility¶
Volatility is een uitgebreide tool voor het analyseren van memory dumps, met zowel een command-line als GUI-versie beschikbaar.
Configure the volatility3 profile:
Instructies voor hoe je volatility3 configureert om dumps voor de juiste versie van linux kunnen lezen.
How to Use Volatility, Fox, N., 2023:
Korte introductie tot de Volatility tool en hoe je deze kunt gebruiken.
Memory Forensics Using Volatility Workbench, Chandel R., 2020:
Demonstratie en korte omschrijving van alle tools in de Volatility Workbench.
Memory Forensics Cheat Sheet, Pearson A., 2021:
Korte Cheat Sheet voor Volatility, inclusief vergelijking van 2 en 3 tool-names.
Wireshark¶
Wireshark is een tool voor het monitoren en inspecteren van netwerkverkeer, zowel live als achteraf a.d.h.v. eerder gemaakte network captures.
Wireshark User Guide, Sharpe R., Warnicke E., Lamping U., 2024:
De Wirehark handleiding. Er is ook een pdf-versie beschikbaar.
Filters¶
Wireshark (en het onderliggende tcpdump) maken gebruik van filters om de netwerkstromen overzichtelijker te maken. Er bestaan twee verschillende vormen van filters: Capture Filters, en Display Filters. Capture Filters gebruik je wanneer je alleen een subset van al het verkeer wil meten en opslaan, en gebruik je bij het configureren van Wireshark/tcpdump
Wireshark Display Filter Guide:
Display Filters gebruik je om, zoals de naam impliceert,
What Is Wireshark And How To Use It, CompTIA, 2020:
Korte tutorial die je door de verschillende interfaces en capabiliteiten van Wireshark neemt
Tekstsecties¶
Hieronder volgen tekstuele tutorials waar in de bovenstaande secties naar verwezen worden.
Configure the volatility3 profile¶
Volatility3 needs to be configured with the correct profile in order to be able to read the content of the memory dump; particularly this requires providing it with a symbol table for that particular version of Linux. This can be done by following the staps in this section. Note that some commands will require root access to execute and you may find that you will have to install certain missing packages. Read any error messages carefully to determine if this is the case.
First use the banners
tool to find the version number of the target kernel, and the name of the associated major release.
You should get an output that looks something like this:
0x4158cd1a Linux version 5.15.0-91-generic (build@lcy02-amd64-100) (x_86-linux-gnu-gcc-13 (Ubuntu-...
Note: look carefully! It’s possible the kernel you found is used in more than major release! In that case you’ll have to do the next step for all those major releases.
For example, kernel 5.15 is used by releases 20.04 and 22.04, which fall under major releases Focal and Jammy respectively.
Add the distribution for the right linux kernel to your apt. Replace any instance of <name>
with the name of major release.
echo "deb [trusted=yes] http://ddebs.ubuntu.com <name> main restricted universe multiverse
deb [trusted=yes] http://ddebs.ubuntu.com <name>-updates main restricted universe multiverse
deb [trusted=yes] http://ddebs.ubuntu.com <name>-proposed main restricted universe multiverse" | \
sudo tee -a /etc/apt/sources.list.d/ddebs.list
Install the debug kernel; replace <version>
with the kernel version number.
Check if the debug kernel is installed:
Download dwarf2json
With dwarf2json & the correct debug kernel installed you can now generate the symbol table for volatility:
Move the symbol table to the right folder
Test if volatility works: