Режим криминалистического исследования (Forensics) в Kali Linux предназначен для сбора цифровых доказательств. 14

Некоторые особенности работы этого режима:

• Работа в режиме только для чтения. 1 Система не позволяет вносить случайные записи на носители, что защищает целостность исследуемых данных. 1
• Анализ памяти. 1 В режиме доступны инструменты для анализа оперативной памяти системы, например Volatility. 1
• Анализ сетевого трафика. 1 Для этого включены такие инструменты, как Wireshark и Tcpdump. 1
• Создание образов дисков. 1 В режиме можно создавать побитовые копии носителей для анализа, что обеспечивает сохранение оригинальных доказательств. 1

Некоторые области применения режима:

• Ответ на инциденты. 1 Специалисты по кибербезопасности могут использовать этот режим для анализа скомпрометированных систем, выявления векторов атак и сбора доказательств для их устранения. 1
• Юридические расследования. 1 Аналитики, участвующие в юридических расследованиях, могут применять этот режим для поиска цифровых доказательств, например в случаях, связанных с кражей интеллектуальной собственности, мошенничеством или киберпреступностью. 1
• Анализ вредоносного ПО. 1 Исследователи, работающие с вредоносным ПО, могут использовать этот режим для анализа вредоносного кода, его поведения и влияния на затронутую систему. 1