OSINT VM Finder
За
IntelTechniques.com
inteltechniques.com
7 хв
Buscador - це віртуальна машина Linux, яка попередньо налаштована для онлайнових слідчих. Він був розроблений Девідом Уесткоттом та Майклом Базцеллом, а розповсюдження підтримуються на цій сторінці. Поточна збірка становить 5 Гб і включає такі ресурси:
Примітки щодо встановлення (2.0)
Для використання цієї системи вам знадобиться програма для віртуальної машини. VirtualBox безкоштовний і вистачить для більшості розслідувань. Деякі користувачі віддають перевагу більш надійній опції з VMWare Workstation для Windows або VMWare Fusion для Mac. Будь-який із цих варіантів почне вам працювати.
Встановлення та конфігурація VirtualBox:
* Переконайтеся , що у вас є остання версія VirtualBox і VirtualBox Extension Pack встановлений
1) У меню VirtualBox, виберіть у меню Файл> Імпорт Appliance
2) Перейдіть до файлу OVA , який був завантажений (Buscador)
3) Виберіть цей файл і виберіть «Імпорт»
4) Перш ніж запустити нову машину, виділіть її та виберіть "Налаштування"
5) У розділі Загальні> Основні перейменуйте цю машину за бажанням (Buscador?)
6) У розділі Загальні> Додатково змініть загальний буфер обміну на двонаправлений
7) У системі> Материнська плата, збільште оперативну пам’ять, якщо у вас є достатньо ресурсів (половина всієї системи)
8) У розділі Дисплей> Екран збільште відеопам'ять до 128 МБ.
9) У розділі "Спільні папки" натисніть "плюс" праворуч, виберіть папку для зберігання доказів, виберіть "Автоматичне кріплення"
10) Клацніть "ОК" двічі, потім запустіть нову машину (подвійне клацання)
11) Після завантаження введіть журнал в користувачеві "osint" з паролем osint
12) У меню VirtualBox виберіть "Пристрої"> "Вставити зображення компакт-дисків додатків для гостей"
13) Коли з'явиться діалогове вікно, натисніть "Скасувати".
14) Відкрити термінал (Tilex)
15) У Терміналі створити на робочому столі каталог під назвою vbox: mkdir ~ / Desktop / vbox
16) Скопіюйте все з носія компакт-дисків на робочому столі в папку vbox (скопіюйте / вставте)
17) У термінал , введіть наступні команди:
1) У меню VirtualBox, виберіть у меню Файл> Імпорт Appliance
2) Перейдіть до файлу OVA , який був завантажений (Buscador)
3) Виберіть цей файл і виберіть «Імпорт»
4) Перш ніж запустити нову машину, виділіть її та виберіть "Налаштування"
5) У розділі Загальні> Основні перейменуйте цю машину за бажанням (Buscador?)
6) У розділі Загальні> Додатково змініть загальний буфер обміну на двонаправлений
7) У системі> Материнська плата, збільште оперативну пам’ять, якщо у вас є достатньо ресурсів (половина всієї системи)
8) У розділі Дисплей> Екран збільште відеопам'ять до 128 МБ.
9) У розділі "Спільні папки" натисніть "плюс" праворуч, виберіть папку для зберігання доказів, виберіть "Автоматичне кріплення"
10) Клацніть "ОК" двічі, потім запустіть нову машину (подвійне клацання)
11) Після завантаження введіть журнал в користувачеві "osint" з паролем osint
12) У меню VirtualBox виберіть "Пристрої"> "Вставити зображення компакт-дисків додатків для гостей"
13) Коли з'явиться діалогове вікно, натисніть "Скасувати".
14) Відкрити термінал (Tilex)
15) У Терміналі створити на робочому столі каталог під назвою vbox: mkdir ~ / Desktop / vbox
16) Скопіюйте все з носія компакт-дисків на робочому столі в папку vbox (скопіюйте / вставте)
17) У термінал , введіть наступні команди:
cd Desktop / vbox
chmod + x * .sh
./autorun.sh
(введіть пароль, коли буде запропоновано)
chmod + x * .sh
./autorun.sh
(введіть пароль, коли буде запропоновано)
18) Дозвольте встановити зображення та перезавантажте його після завершення.
19) Запустіть термінал у новому VM та введіть sudo adduser osint vboxsf
20) Вкажіть пароль за потребою (osint)
21) Перезавантажте
19) Запустіть термінал у новому VM та введіть sudo adduser osint vboxsf
20) Вкажіть пароль за потребою (osint)
21) Перезавантажте
Тепер ви повинні мати доступ до спільного каталогу, щоб зберегти дані в операційній системі хоста (докази). Її можна знайти в «Менеджері файлів» («Домашня сторінка») у лівій колонці під назвою «sf_» з наступним назвою папки, до якої вона підключена. Ця спільна папка також буде на вашому робочому столі для легкого доступу. Ви можете зробити машину на весь екран, скопіювати та вставити текст на зображення та з нього, і ви готові розпочати використання програм.
Встановлення та конфігурація VMWare:
1) У меню VMWare виберіть «Файл»> «Імпорт»> «Виберіть OVA
2». Клацніть «ОК». Якщо початковий імпорт не вдався, натисніть «Повторити».
3) Увімкніть VM та увійдіть в ОС
4) Встановіть інструменти VMware відповідно до вашої версії:
2». Клацніть «ОК». Якщо початковий імпорт не вдався, натисніть «Повторити».
3) Увімкніть VM та увійдіть в ОС
4) Встановіть інструменти VMware відповідно до вашої версії:
VMWare Fusion: у меню виберіть віртуальну машину> Встановити VMware Tools
VMWare Workstation: у меню виберіть VM> Встановити VMware Tools
VMWare Player: У меню виберіть програвач> Управління> Встановити інструменти VMware. Примітка:
VMWare Workstation: у меню виберіть VM> Встановити VMware Tools
VMWare Player: У меню виберіть програвач> Управління> Встановити інструменти VMware. Примітка:
5) Відкрийте (подвійне клацання) компакт-диск з інструментами VMware, встановлений на робочому столі
6) Клацніть правою кнопкою миші файл, схожий на VMware.xx.tar.gz, і натисніть «Витягнути» та виберіть «Робочий стіл
7». Відкрийте термінал (виберіть «Ні» щоб уникнути оновлення) та введіть cd Desktop / vmware-tools-distribu
8) Введіть sudo ./vmware-install.pl та введіть пароль (OSINT).
9) Введіть Y, коли з’явиться запит про завантаження із сховища Linux
10) Прийміть усі значення за замовчуванням, натискаючи клавішу введення / повернення у кожному запиті.
11) Перезавантажте програму VM
12) Увімкніть загальні папки з меню файлів: Налаштування> Опції> Спільні папки (Завжди увімкнено)
13) Додайте загальну папку, вибравши потрібну папку на хост-операційній системі
14) Створіть ярлик до спільної папки на робочому столі за допомогою наступної команди в терміналі:
ln -s / mnt / hgfs / ім'я папки / home / osint / Desktop / Shared_Folder
6) Клацніть правою кнопкою миші файл, схожий на VMware.xx.tar.gz, і натисніть «Витягнути» та виберіть «Робочий стіл
7». Відкрийте термінал (виберіть «Ні» щоб уникнути оновлення) та введіть cd Desktop / vmware-tools-distribu
8) Введіть sudo ./vmware-install.pl та введіть пароль (OSINT).
9) Введіть Y, коли з’явиться запит про завантаження із сховища Linux
10) Прийміть усі значення за замовчуванням, натискаючи клавішу введення / повернення у кожному запиті.
11) Перезавантажте програму VM
12) Увімкніть загальні папки з меню файлів: Налаштування> Опції> Спільні папки (Завжди увімкнено)
13) Додайте загальну папку, вибравши потрібну папку на хост-операційній системі
14) Створіть ярлик до спільної папки на робочому столі за допомогою наступної команди в терміналі:
ln -s / mnt / hgfs / ім'я папки / home / osint / Desktop / Shared_Folder
Примітки щодо використання
Чудовою особливістю віртуальних машин є використання знімків. Ці "заморожені" моменти в часі дозволяють повернутися до оригінальної конфігурації або зберегти оптимальне налаштування. Більшість користувачів встановлюють віртуальну машину, як детально описано вище, а потім негайно створюють знімок невикористаного середовища. Коли ваша віртуальна машина врешті-решт забрудниться залишками інших розслідувань або ви випадково видалите або зламаєте якусь функцію, ви можете просто повернутися до створеного раніше знімка і усунути необхідність коли-небудь повторно встановлювати.
Використання знімків VirtualBox
1) Повністю вимкніть віртуальну машину
2) У меню VirtualBox натисніть кнопку Знімки у верхньому правому куті
3) Клацніть на синій значок камери, щоб "зробити знімок"
4) Створіть ім’я та будь-які нотатки, які нагадують вам про стан машини, наприклад "Нова установка"
5) Натисніть кнопку ОК
2) У меню VirtualBox натисніть кнопку Знімки у верхньому правому куті
3) Клацніть на синій значок камери, щоб "зробити знімок"
4) Створіть ім’я та будь-які нотатки, які нагадують вам про стан машини, наприклад "Нова установка"
5) Натисніть кнопку ОК
Тепер ви можете використовувати свою віртуальну машину як звичайну. Якщо ви хочете повернутись до точного стану машини, яка існувала на момент знімка, дотримуйтесь цих інструкцій:
1) Повністю вимкніть віртуальну машину
2) У меню VirtualBox натисніть кнопку Знімки у верхньому правому куті
3) Виберіть потрібний знімок для застосування
4) Клацніть на синій значок камери зі стрілкою, щоб "відновити знімок"
5) Клацніть Відновлення
2) У меню VirtualBox натисніть кнопку Знімки у верхньому правому куті
3) Виберіть потрібний знімок для застосування
4) Клацніть на синій значок камери зі стрілкою, щоб "відновити знімок"
5) Клацніть Відновлення
За бажанням, якщо ви хочете коли-небудь видалити знімок, просто використовуйте піктограму з червоним X. Це дозволить видалити файли даних, щоб усунути витрачений простір, але ви не зможете відновити це зображення після видалення. Це не вплине на поточний стан машини. Багато користувачів видаляють старі, зайві знімки після створення нових чистих машин.
Використання знімків VMWare (Робоча станція або Fusion VMWare, НЕ програвач)
1) Повністю вимкнути віртуальну машину
2) У меню VMWare, натисніть на кнопку Знімки в правому верхньому
3) Натисніть на значок камери , щоб «взяти» знімок
4) Створити ім'я і будь-які примітки , щоб нагадати Вам про стан машини, наприклад "Нова установка"
5) Клацніть Зняти
2) У меню VMWare, натисніть на кнопку Знімки в правому верхньому
3) Натисніть на значок камери , щоб «взяти» знімок
4) Створити ім'я і будь-які примітки , щоб нагадати Вам про стан машини, наприклад "Нова установка"
5) Клацніть Зняти
Тепер ви можете використовувати свою віртуальну машину як звичайну. Якщо ви хочете повернутись до точного стану машини, яка існувала на момент знімка, дотримуйтесь цих інструкцій:
1) Повністю вимкніть віртуальну машину
2) У меню VMWare натисніть кнопку Знімки у верхньому правому куті
3) Виберіть потрібний знімок для застосування
4) Клацніть на піктограму камери зі стрілкою, щоб "відновити" знімок
5) Клацніть Відновлення
2) У меню VMWare натисніть кнопку Знімки у верхньому правому куті
3) Виберіть потрібний знімок для застосування
4) Клацніть на піктограму камери зі стрілкою, щоб "відновити" знімок
5) Клацніть Відновлення
За бажанням, якщо ви хочете коли-небудь видалити знімок, просто скористайтеся значком "видалити". Це видалить файли даних, щоб усунути марний простір, але ви не зможете відновити це зображення, як тільки його видалите. Це не вплине на поточний стан машини. Багато користувачів видаляють старі, зайві знімки після створення нових чистих машин.
Пропонується включити знімки автозахисту VMware, встановити щоденно, і обмежити кількість знімків до 3. Знімки автозахисту - це простий спосіб завжди мати знімок, на який потрібно повернутися. Наступні кроки дозволять увімкнути цю функцію.
1) Виберіть віртуальну машину та виберіть VM> Налаштування
2) На вкладці Параметри виберіть Автозахист та виберіть Увімкнути Автозахист
3) Виберіть інтервал "Щоденний" між знімками
4) Виберіть максимальну кількість знімків автозахисту, які потрібно зберегти (рекомендується "3" )
5 Виберіть ОК, щоб зберегти зміни
2) На вкладці Параметри виберіть Автозахист та виберіть Увімкнути Автозахист
3) Виберіть інтервал "Щоденний" між знімками
4) Виберіть максимальну кількість знімків автозахисту, які потрібно зберегти (рекомендується "3" )
5 Виберіть ОК, щоб зберегти зміни
Після досягнення максимальної кількості знімків AutoProtect Workstation видаляє найстаріший знімок AutoProtect кожного разу, коли робиться новий знімок AutoProtect. Цей параметр не впливає на кількість знімків вручну, які ви можете робити та зберігати.
Примітки Юбікі
Ви можете використовувати Yubikey як другий фактор для входу з віртуальної машини:
VirtualBox (стабільний):
У терміналі Бускадор скопіюйте / вставте кожен рядок і натисніть Enter:
wget "https://raw.githubusercontent.com/Yubico/yubikey-personalization/master/69-yubikey.rules" -O /tmp/69-yubikey.rules wget "https://raw.githubusercontent.com/Yubico/yubikey-personalization/master/70-yubikey.rules" -O /tmp/70-yubikey.rules sudo mv /tmp/69-yubikey.rules /etc/udev/rules.d/69-yubikey.rules sudo mv /tmp/70-yubikey.rules /etc/udev/rules.d/70-yubikey.rules
Вимкніть Buscador повністю
Вставте Yubikey у комп’ютер
VirtualBox> Налаштування> Порти> USB> Клацніть значок із зеленим "+", виберіть Yubikey, натисніть кнопку OK
Видалити Yubikey
Start Virtual Machine, завантажте повністю в Buscador
Вставити Yubikey
Приєднати Yubikey у VirtualBox> Пристрій> USB. Yubikey
У терміналі введіть:
wget "https://raw.githubusercontent.com/beast-fighter/saves_the_day/master/activate_yubikey.sh"
chmod + x activate_yubikey.sh
./activate_yubikey.sh
Коли буде запропоновано, натисніть Enter,
коли буде запропоновано. "Здійснити", наберіть y та натисніть клавішу Enter
Вимкніть Buscador повністю
Видаліть
систему Yubikey Restart, спробуйте увійти за допомогою Yubikey (Fail)
Вставити Yubikey, Вхід (Успіх) Можливо, вам потрібно буде спробувати двічі пароль
VMWare (Експериментальний):
Вставте Yubikey у комп’ютер
VirtualBox> Налаштування> Порти> USB> Клацніть значок із зеленим "+", виберіть Yubikey, натисніть кнопку OK
Видалити Yubikey
Start Virtual Machine, завантажте повністю в Buscador
Вставити Yubikey
Приєднати Yubikey у VirtualBox> Пристрій> USB. Yubikey
У терміналі введіть:
wget "https://raw.githubusercontent.com/beast-fighter/saves_the_day/master/activate_yubikey.sh"
chmod + x activate_yubikey.sh
./activate_yubikey.sh
Коли буде запропоновано, натисніть Enter,
коли буде запропоновано. "Здійснити", наберіть y та натисніть клавішу Enter
Вимкніть Buscador повністю
Видаліть
систему Yubikey Restart, спробуйте увійти за допомогою Yubikey (Fail)
Вставити Yubikey, Вхід (Успіх) Можливо, вам потрібно буде спробувати двічі пароль
VMWare (Експериментальний):
У терміналі Бускадор скопіюйте / вставте кожен рядок і натисніть Enter:
wget "https://raw.githubusercontent.com/Yubico/yubikey-personalization/master/69-yubikey.rules" -O /tmp/69-yubikey.rules wget "https://raw.githubusercontent.com/Yubico/yubikey-personalization/master/70-yubikey.rules" -O /tmp/70-yubikey.rules sudo mv /tmp/69-yubikey.rules /etc/udev/rules.d/69-yubikey.rules sudo mv /tmp/70-yubikey.rules /etc/udev/rules.d/70-yubikey.rules
Повністю вимкніть Buscador
Вставте Yubikey у комп'ютер
Відкрийте .vmx файл вашого зображення VMware в текстовому редакторі.
В кінці файлу .vmx додайте наступне: usb.generic.allowHID = "TRUE"
Збережіть файл
.vmx Запуск Buscador
Go до USB-пристроїв у меню VMWare та натисніть на пристрій Yubico.com.
У Терміналі введіть:
wget "https://raw.githubusercontent.com/beast-fighter/saves_the_day/master/activate_yubikey.sh"
chmod + x activate_yubikey.sh
./activate_yubikey.sh
Коли буде запропоновано, натисніть Enter,
коли буде запропоновано " Здійснити ", наберіть y та натисніть клавішу Enter
Вимкніть Buscador повністю
Видаліть систему
перезапуску Yubikey , спробуйте увійти за допомогою Yubikey (Fail)
Вставити Юбікі, Вхід (Успіх) Можливо, вам доведеться спробувати пароль двічі
Вставте Yubikey у комп'ютер
Відкрийте .vmx файл вашого зображення VMware в текстовому редакторі.
В кінці файлу .vmx додайте наступне: usb.generic.allowHID = "TRUE"
Збережіть файл
.vmx Запуск Buscador
Go до USB-пристроїв у меню VMWare та натисніть на пристрій Yubico.com.
У Терміналі введіть:
wget "https://raw.githubusercontent.com/beast-fighter/saves_the_day/master/activate_yubikey.sh"
chmod + x activate_yubikey.sh
./activate_yubikey.sh
Коли буде запропоновано, натисніть Enter,
коли буде запропоновано " Здійснити ", наберіть y та натисніть клавішу Enter
Вимкніть Buscador повністю
Видаліть систему
перезапуску Yubikey , спробуйте увійти за допомогою Yubikey (Fail)
Вставити Юбікі, Вхід (Успіх) Можливо, вам доведеться спробувати пароль двічі