Tutoriales

Marco forense de Linux! ! ! kali linux

hoja (Marco de adquisición de evidencia de Linux) Adquiere artefactos y evidencia de un sistema Linux EXT4, acepta la entrada del usuario para personalizar la funcionalidad de la herramienta, lo que facilita su ampliación. LEAF proporciona varios módulos y parámetros como entrada y puede usar un análisis inteligente para extraer artefactos de Linux y enviarlos a archivos de imagen ISO.

Tabla de Contenidos

uso

LEAF_master.py [-h] [-i INPUT [INPUT …]] [-o OUTPUT] [-u USERS [USERS …]] [-c CATEGORIES [CATEGORIES …]] [-v]
[-s] [-g [GET_FILE_BY_OWNER [GET_FILE_BY_OWNER …]]] [-y [YARA [YARA …]]]
[-yr [YARA_RECURSIVE [YARA_RECURSIVE …]]] [-yd [YARA_DESTINATIONS [YARA_DESTINATIONS…]]]
LEAF (Marco de Adquisición de Evidencia de Linux) – Cartware
_ _ _
/ / / / /
// / / / / / /// / / /
/ / / / /
// /// //_ / / / / / / /_/////////v2.0

Procese los sistemas de archivos Ubuntu 20.04/Debian para obtener artefactos forenses, extraer datos importantes y exportar información a archivos ISO9660. Compatible con el sistema de archivos EXT4 y ubicaciones comunes en el sistema operativo Ubuntu 20.04. Consulte la página de ayuda para obtener más información.Uso recomendado: no ejecutar desde el directorio LEAF/

parámetro

Parámetros opcionales:
-h, –help muestra este mensaje de ayuda y sale
-yo ingreso [INPUT …]– entrada de entrada [INPUT …]
otras ubicaciones de entrada.Separe varios archivos de entrada con espacios
Predeterminado: /home/user1/Desktop/LEAF-3/target_ubicaciones
-o salida, –salida salida
ubicación del directorio de salida
Valor predeterminado: ./LEAF_salida
-u usuario [USERS …]–usuarios usuarios [USERS …]
Usuarios para incluir en la salida, separados por espacios (es decir, -u alice bob root).
Los usuarios que no existan en /etc/passwd serán eliminados
Predeterminado: todos los usuarios que no son de servicio en /etc/passwd
-c categoría [CATEGORIES …]–categorías categoría [CATEGORIES …]
Categorías de artefactos explícitos para incluir durante la adquisición.
Las categorías deben estar separadas por espacios (es decir, -c network users apache).
La lista completa de categorías integradas incluye:
aplicación, ejecución, registro, varios, red, caparazón, puesta en marcha, servicio, sistema, basura, usuario
Las categorías son compatibles con los archivos ingresados ​​por el usuario siempre que sigan la notación:
# Categoría
/posición 1
/posición 2
…/Lugar[n]
# categoría final
Valor predeterminado: «Todos»
-v, salida verbosa en modo detallado (puede entrar en conflicto con la barra de progreso)
Predeterminado: falso
-s, –save guarda el directorio de evidencia original
Predeterminado: falso
-GRAMO [GET_OWNERSHIP [GET_OWNERSHIP …]], –get_propiedad [GET_OWNERSHIP [GET_OWNERSHIP …]]
Obtener archivos y directorios propiedad del usuario contenido.
Habilitar esta función aumentará el tiempo de análisis.
Use -g solo para resolver desde el directorio /root.
Incluya la ruta después de -g para especificar la ubicación de destino (es decir, «-g /etc /home/user/Downloads/
Predeterminado: deshabilitado
-y [YARA [YARA …]], –yara [YARA [YARA …]]
Configure el escaneo IOC de Yara. Seleccione -y solo para habilitar el escaneo de Yara.
Especifique ‘-y /ruta/a/yara/’ para especificar una ubicación de entrada personalizada.
Para entradas múltiples, use espacios entre elementos,
es decir, ‘-y rulefile1.yar rulefile2.yara rule_dir/’
Todos los archivos de yara deben tener una extensión «.yar» o «.yara».
Predeterminado: ninguno
-año [YARA_RECURSIVE [YARA_RECURSIVE …]], –yara_recursivo [YARA_RECURSIVE [YARA_RECURSIVE …]]
Configure el escaneo recursivo de IOC de Yara.
Para entradas múltiples, use espacios entre elementos,
es decir, ‘-yr rulefile1.yar rulefile2.yara rule_dir/’.
Los directorios de esta lista se escanearán recursivamente.
Se puede usar con la bandera normal -y,
Pero los directorios que se cruzan tendrán prioridad de recurrencia.
Predeterminado: ninguno
-yarda [YARA_DESTINATIONS [YARA_DESTINATIONS…]], –yara_destinos [YARA_DESTINATIONS [YARA_DESTINATIONS…]]
El destino para ejecutar el archivo yara.
Separe varios objetivos con espacios. (es decir, /casa/alicia/ ​​/bin/estrella/)
Predeterminado: Todos los directorios de usuarios

Ejemplo de uso

Usar parámetros predeterminados [this will use default input file (./target_locations), users (all users), categories (all categories), and output location (./LEAF_output/). Cloned data will not be stored in a local directory, verbose mode is off, and yara scanning is disabled]:
LEAF_principal.py
Todos los argumentos:
LEAF_main.py -i /home/alice/Desktop/customfile1.txt -o /home/alice/Desktop/ExampleOutput/ -c log start service apache -u alice bob charlie -s -v -y /path/to/yara_rule1. yar -yr /path2/to/yara_rules/ -yd /home/frank -g /etc/
Para especificar el nombre de usuario, la categoría y el archivo yara:
LEAF_main.py -u alice bob charlie -c usuario de ejecución de la aplicación -y /home/alice/Desktop/yara1.yar /home/alice/Desktop/yara2.yar
Para incluir categorías y archivos de entrada personalizados:
LEAF_main.py -i /home/alice/Desktop/customfile1.txt /home/alice/Desktop/customfile2.txt -c apache xampp

  • Instale los requisitos de Python:
    • Python 3 (preferiblemente 3.8 o superior) (apt install python3)
    • punto 3 (apt install pip3)
  • Descarga los módulos requeridos
    • Instale el módulo desde requirements.txt (pip3 install -r requirements.txt)
    • Si obtiene un error de instalación, intente sudo -H pip3 install -r requirements.txt
  • ejecutar guión
    • sudo python3 LEAF_master.py con parámetros opcionales

LEER  La unidad de nube descentralizada más segura en Linux

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba