Tutoriales

Marco forense de Linux! ! ! kali linux

hoja (Marco de adquisición de evidencia de Linux) Adquiere artefactos y evidencia de un sistema Linux EXT4, acepta la entrada del usuario para personalizar la funcionalidad de la herramienta, lo que facilita su ampliación. LEAF proporciona varios módulos y parámetros como entrada y puede usar un análisis inteligente para extraer artefactos de Linux y enviarlos a archivos de imagen ISO.

Tabla de Contenidos

uso

LEAF_master.py [-h] [-i INPUT [INPUT …]] [-o OUTPUT] [-u USERS [USERS …]] [-c CATEGORIES [CATEGORIES …]] [-v]
[-s] [-g [GET_FILE_BY_OWNER [GET_FILE_BY_OWNER …]]] [-y [YARA [YARA …]]]
[-yr [YARA_RECURSIVE [YARA_RECURSIVE …]]] [-yd [YARA_DESTINATIONS [YARA_DESTINATIONS…]]]
LEAF (Marco de Adquisición de Evidencia de Linux) – Cartware
_ _ _
/ / / / /
// / / / / / /// / / /
/ / / / /
// /// //_ / / / / / / /_/////////v2.0

Procese los sistemas de archivos Ubuntu 20.04/Debian para obtener artefactos forenses, extraer datos importantes y exportar información a archivos ISO9660. Compatible con el sistema de archivos EXT4 y ubicaciones comunes en el sistema operativo Ubuntu 20.04. Consulte la página de ayuda para obtener más información.Uso recomendado: no ejecutar desde el directorio LEAF/

parámetro

Parámetros opcionales:
-h, –help muestra este mensaje de ayuda y sale
-yo ingreso [INPUT …]– entrada de entrada [INPUT …]
otras ubicaciones de entrada.Separe varios archivos de entrada con espacios
Predeterminado: /home/user1/Desktop/LEAF-3/target_ubicaciones
-o salida, –salida salida
ubicación del directorio de salida
Valor predeterminado: ./LEAF_salida
-u usuario [USERS …]–usuarios usuarios [USERS …]
Usuarios para incluir en la salida, separados por espacios (es decir, -u alice bob root).
Los usuarios que no existan en /etc/passwd serán eliminados
Predeterminado: todos los usuarios que no son de servicio en /etc/passwd
-c categoría [CATEGORIES …]–categorías categoría [CATEGORIES …]
Categorías de artefactos explícitos para incluir durante la adquisición.
Las categorías deben estar separadas por espacios (es decir, -c network users apache).
La lista completa de categorías integradas incluye:
aplicación, ejecución, registro, varios, red, caparazón, puesta en marcha, servicio, sistema, basura, usuario
Las categorías son compatibles con los archivos ingresados ​​por el usuario siempre que sigan la notación:
# Categoría
/posición 1
/posición 2
…/Lugar[n]
# categoría final
Valor predeterminado: «Todos»
-v, salida verbosa en modo detallado (puede entrar en conflicto con la barra de progreso)
Predeterminado: falso
-s, –save guarda el directorio de evidencia original
Predeterminado: falso
-GRAMO [GET_OWNERSHIP [GET_OWNERSHIP …]], –get_propiedad [GET_OWNERSHIP [GET_OWNERSHIP …]]
Obtener archivos y directorios propiedad del usuario contenido.
Habilitar esta función aumentará el tiempo de análisis.
Use -g solo para resolver desde el directorio /root.
Incluya la ruta después de -g para especificar la ubicación de destino (es decir, «-g /etc /home/user/Downloads/
Predeterminado: deshabilitado
-y [YARA [YARA …]], –yara [YARA [YARA …]]
Configure el escaneo IOC de Yara. Seleccione -y solo para habilitar el escaneo de Yara.
Especifique ‘-y /ruta/a/yara/’ para especificar una ubicación de entrada personalizada.
Para entradas múltiples, use espacios entre elementos,
es decir, ‘-y rulefile1.yar rulefile2.yara rule_dir/’
Todos los archivos de yara deben tener una extensión «.yar» o «.yara».
Predeterminado: ninguno
-año [YARA_RECURSIVE [YARA_RECURSIVE …]], –yara_recursivo [YARA_RECURSIVE [YARA_RECURSIVE …]]
Configure el escaneo recursivo de IOC de Yara.
Para entradas múltiples, use espacios entre elementos,
es decir, ‘-yr rulefile1.yar rulefile2.yara rule_dir/’.
Los directorios de esta lista se escanearán recursivamente.
Se puede usar con la bandera normal -y,
Pero los directorios que se cruzan tendrán prioridad de recurrencia.
Predeterminado: ninguno
-yarda [YARA_DESTINATIONS [YARA_DESTINATIONS…]], –yara_destinos [YARA_DESTINATIONS [YARA_DESTINATIONS…]]
El destino para ejecutar el archivo yara.
Separe varios objetivos con espacios. (es decir, /casa/alicia/ ​​/bin/estrella/)
Predeterminado: Todos los directorios de usuarios

Ejemplo de uso

Usar parámetros predeterminados [this will use default input file (./target_locations), users (all users), categories (all categories), and output location (./LEAF_output/). Cloned data will not be stored in a local directory, verbose mode is off, and yara scanning is disabled]:
LEAF_principal.py
Todos los argumentos:
LEAF_main.py -i /home/alice/Desktop/customfile1.txt -o /home/alice/Desktop/ExampleOutput/ -c log start service apache -u alice bob charlie -s -v -y /path/to/yara_rule1. yar -yr /path2/to/yara_rules/ -yd /home/frank -g /etc/
Para especificar el nombre de usuario, la categoría y el archivo yara:
LEAF_main.py -u alice bob charlie -c usuario de ejecución de la aplicación -y /home/alice/Desktop/yara1.yar /home/alice/Desktop/yara2.yar
Para incluir categorías y archivos de entrada personalizados:
LEAF_main.py -i /home/alice/Desktop/customfile1.txt /home/alice/Desktop/customfile2.txt -c apache xampp

  • Instale los requisitos de Python:
    • Python 3 (preferiblemente 3.8 o superior) (apt install python3)
    • punto 3 (apt install pip3)
  • Descarga los módulos requeridos
    • Instale el módulo desde requirements.txt (pip3 install -r requirements.txt)
    • Si obtiene un error de instalación, intente sudo -H pip3 install -r requirements.txt
  • ejecutar guión
    • sudo python3 LEAF_master.py con parámetros opcionales

LEER  #160 Conexión Linux con Jorge Lama

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba