Kali Linux的“ Live”提供了一种“取证模式”,这是BackTrack Linux中首次引入的功能。事实证明,“取证模式实时启动”选项非常受欢迎,原因如下:
- Kali Linux广泛易用,许多潜在用户已经拥有Kali ISO或可启动USB驱动器。
- 当出现取证需求时,Kali Linux“ Live”可让您轻松快捷地将Kali Linux投入工作。
- Kali Linux预先装有最流行的开源取证软件,当您需要进行取证工作时,它是一个便捷的工具包。
当引导进入取证模式时,对系统的常规操作有一些非常重要的更改:
-
首先,内部硬盘永远不会被触碰。如果有交换分区,则不会使用该分区,并且不会自动安装内部磁盘。我们首先采用标准系统并卸下硬盘驱动器,以验证这一点。使用商业取证软件包对驱动器进行了哈希处理。然后,我们将驱动器重新连接到计算机,并以取证模式启动了Kali Linux“ Live”。在使用Kali一段时间后,我们关闭系统,卸下硬盘驱动器,然后再次进行哈希处理。这些哈希值匹配,表明驱动器上的任何内容都没有任何变化。
-
另一个同样重要的变化是,可移动媒体的自动安装被禁用。USB拇指驱动器、CD等在插入时将不会被自动挂载。这背后的想法很简单:在取证模式下,如果没有用户的直接操作,任何媒体都不应该发生任何事情。作为用户,你所做的任何事情都取决与你。
如果您打算将Kali用于任何类型的现实世界取证,我们建议您不要仅仅相信我们的话。所有取证工具都应始终经过验证,以确保您知道将在使用它们的任何情况下它们的行为。最后,尽管Kali继续致力于提供最好的开源渗透测试工具集,但我们总是有可能错过了您最喜欢的开源取证工具。如果是这样,请告诉我们!我们一直在寻找高质量的开源工具,可以将其添加到Kali中以使其变得更好。