在本章中，我们将学习Kali Linux中可用的取证工具。

0

p0f是一种仅通过检查捕获的数据包即可识别目标主机操作系统的工具，即使该设备位于数据包防火墙后面也是如此。 P0f不会直接或间接产生任何其他网络流量；没有名字查询；没有神秘的探针；没有ARIN查询；没有。在高级用户手中，P0f可以检测防火墙的存在，NAT的使用以及负载均衡器的存在。

在终端中输入“ p0f – h”以查看其用法，您将获得以下结果。

它将甚至列出可用的接口。

然后，键入以下命令： “ p0f –i eth0 –p -o filename” 。

参数“ -i”是上面显示的接口名称。 “ -p”表示处于混杂模式。 “ -o”表示输出将保存在文件中。

打开一个地址为192.168.1.2的网页

从结果中，您可以看到Web服务器正在使用apache 2.x，并且操作系统是Debian。

pdf解析器

pdf-parser是用于解析PDF文档以识别分析的pdf文件中使用的基本元素的工具。它不会渲染PDF文档。不建议将其用于PDF解析器的教科书箱，但是可以完成工作。通常，它用于您怀疑其中嵌入了脚本的pdf文件。

命令是-

pdf-parser  -o 10 filepath

其中“ -o”是对象的数量。

如以下屏幕截图所示，pdf文件将打开CMD命令。

Dumpzilla

Dumpzilla应用程序是使用Python 3.x开发的，其目的是提取要分析的Firefox，Iceweasel和Seamonkey浏览器的所有取证有趣信息。

ddrescue

它将数据从一个文件或块设备(硬盘，cdrom等)复制到另一个文件或块设备，以尝试在出现读取错误的情况下首先抢救好的零件。

ddrescue的基本操作是全自动的。也就是说，您不必等待错误，停止程序，从新位置重新启动等等。

如果使用ddrescue的映射文件功能，则可以非常有效地抢救数据(仅读取所需的块)。此外，您可以随时中断救援，然后稍后再恢复。映射文件是ddrescue有效性的重要组成部分。除非您知道自己在做什么，否则请使用它。

命令行是-

dd_rescue infilepath  outfilepath

参数“ –v”表示冗长。 “ / dev / sdb”是要救援的文件夹。 img文件是恢复的图像。

DFF

这是用于恢复文件的另一种取证工具。它也有一个GUI。要打开它，请在终端中键入“ dff-gui” ，然后将打开以下Web GUI。

单击文件→“公开证据”。

下表将打开。选中“原始格式”，然后单击“ +”以选择要恢复的文件夹。

然后，您可以浏览窗格左侧的文件以查看已恢复的内容。