شرح استخدام Sleuthkit و Autospy لتحليل واسترجاع الملفات المحذوفة. هذه إحدى الطرق المستخدمة من قبل المحققين الجنائيين الرقميين لفحص ملفات أي ذاكرة كانت سواء قرص صلب او بطاقة ذاكرة جوال أو خلافه, في هذا الموضوع قمت بالتجربة على ذاكرة USB سعة 4 جيجا بايت. حيث قمت بحذف بغض الملفات منها وإبقاء ملفات أخرى.
المتطلبات:
- نظام لينوكس.
- Sleuthkit.
- Autopsy forensic browser.
- قرص صلب أو usb للتجربة عليه.
حسناً , بالنسبة لي فأنا أستخدم لينوكس Fedora 12 في الشرح , بالإضافة إلى الأدوات المطلوبة أعلاه .
القسم الأول: تركيب الأدوات
يجب تركبيها على الترتيب, أولاً قم بزيارة موقع Sleuth وقم بتحميل الأداة, بعد ذلك تأكد من أن جهازك يحتوي على مترجم c++ اسمه:
gcc-c++وتأكد من وجواد المكتبات التالية:
- afflib
- libewf
بعد ذلك قم بفك الضغط عن البرنامج Sleuth وقم بعمل الخطوات المعتادة لعملية الكومبايل:
./configuremake
sudo make install
مع التأكد بأن كل خطوة لا تنتهي بوجود أخطاء, بعد ذلك نحتاج لأن ننصب Autopsy ثم نفك الضغط بعد التحميل:
tar xzvf autopsy-2.22.tar.gzثم نقوم بتطبيق:
./configureحيث سوف يسألك هذه الأسألة:
هذه قائمة خاصة بموضوع آخر جداً غير إستعادة الملفات, لذلك أخترت n لها الآن. ثم السؤال الثاني يسألك عن مسار لمخزن الأدلة في حالتي أردت المخزن أن يكون في مسار الـ HOME الخاص بالمستخدم الخاص بي وأسميت الملف locker وكما هو واضح في الصورة, حذرني بأن الملف غير موجود لذلك كان يجب علي إنشاؤه:
mkdir ~/lockerالآن البرنامج جاهز للعمل عن طريق تطبيق الأمر
./autopsyلكن لن نقوم بتشغيله الآن, لأنه يجب علينا أولاً الحصول على صورة من القرص الصلب أو قسم أو خلافه, في حالتي أريد إستعادة الملفات التي قمت بمسحها من ذاكرة usb الخاصه بي.
القسم الثاني: الحصول على صورة من القرص الصلب
1توصيل الذاكرة المراد أخذ صورتها إلى الجهاز, في حالتي قمت بتوصيل اليو اس بي .
2. معرفة إسم القرص في النظام عن طريق fdisk -l كالتالي:
في حالتي, معرف القرص في النظام هو:
/dev/sdc13- الآن يتم عمل umount للقرص حتى يتم تصويره , في حالتي سوف يكون الأمر كالتالي:
sudo umount /dev/sdc1الآن تتم عملية التصوير عن طريق الأمر التالي:
sudo dd if=/div/DRIVE bs=1024 of=IMAGE.NAME conv=noerror- sudo: تنفيذ الأمر بصلاحيات جذر
- dd: أمر نسخ القرص
- if: معرف القرص في النظام
- bs: عدد البايتات التي يتم قرائتها وكتابتها كل مره
- conv=noerror: نخبر برنامج النسخ بأن يتخطى الخطأ في عملية النسخ ويكمل العملية
الآن سوف يكون الأمر كالتالي:
حيث سوف تستغرق العملية بعض الوقت بناء على حجم القرص المراد نسخه, في حالتي أخذ 4 دقائق لنسخ 4 جيجابايت تقريباً.
القسم الثالث: عملية التحليل وإستعادة الملفات
نقوم بتشغيل برنامج autopsy حيث نقوم بالذهاب إلى المسار الخاص به بعد فك الضغط عند تنزيله ثم ننفذ الأمر التالي داخل المجلد الخاص به:
./autopsy
كما هو موضح البرنامج موجود على هذا الرابط:
http://localhost:9999/autopsyإفتحه عن طريق متصفحك المفضل حيث هذه سوف تكون واجهته:
ممتاز. الآن البرنامج يعمل, لنقوم بالضغط على New Case لإضافة ملف قضية حتى نبدأ عملية تحليل الصورة :
الآن بعد تعبأة البيانات المطلوبة نقوم بالضغط على New Case حيث سوف نواجه الصفحة هذه بعدها:
نتابع بالضغط على add host :
نقوم بملئ الخانات المطلوبة .. ثم نتابع بالضغط على Add Host:
نتابع بالضغط على add image:
ثم بعد ذلك تظهر لنا الصفحة التالية:
حيث في الفراغ الأول يتم وضع مسار الصورة الخاصة بالقرص, في الفراغ الثاني نختار النوع في حالتي يعتبر قسم وليست صورة لهاردسك كامل أما في الأخير نوع الإضافة أخترت نسخ, لو كان حجم الملف كبير ينصح بإستخدام symlink.
بعد الإنتهاء نستمر بالضغط على Next حيث سوف يظهر لنا التالي:
في حالتي تجاهلت الـ integrity لأن تطابق الصورة مع النسخة لا تهمني. وبالنسبة عن نوع نظام التخزين/الملفات, فإن قرصي يعمل على fat32.
الآن وبعد الضغط على add تأتينا نافذة بتأكيد العملية وإنهائها:
نقوم بالضغط على زر اوكي حيث سوف تأتينا الصفحة الرئيسية,
الآن نضغط على analyze لبدء تحليل القرص حيث سوف تأتينا الصفحة التالية:
نضغط على File Analysis وسوف تأتينا الصفحة التالية:
الآن تم عرض محتويات القرص, حيث الملفات التي باللون الأحمر تمثل ملفات تم حذفها من القرص, والملفات التي باللون الأزرق هي ملفات مازالت موجودة في القرص, فعلى سبيل المثال لو قمت بالضغط على style-rtl.css سوف يتم عرض محتوياته بالأسفل كالتالي:
بإمكانك الضغط على Export لإعادة تحميل الملف لو أردت ذلك.
الآن مبروك عليك إستعادة الملفات القديمة الخاصة بقرصك الصلب إذا أردت أن تتدرب على قرص, هذه صورة قسم حيث تم مسح جميع محتوياته, حاول تحليله بإستخدام البرنامج وأنظر ماذا تكتشف. أتمنى أن يستفيد الجميع من الشرح…
عن الكاتب:
ساري بخاري, طالب جامعي في قسم التحقيق الجنائي الرقمي في بريطانيا, لدي خبرة واسعة في البرمجة والحماية والتصميم والتعامل مع أنظمة اللينوكس.
شكرا على المعلومات القيمه اخي , هل يعمل Autospy على الـMac ام هناك نسخه خاصه؟
جميل جدا ، قد أحتاجه في بعض الأحيان
ممكن سؤال ؟
ما إسمه الثيم المستعمل ؟
شكرا
دمتم في حفظ الرحمن
شرح رائع
ولكن فرضا لو كان صاحب USB قد استخدم تقنية الwipe في التخلص من الملفات
طبعا اذا كان لديه خلفية عن برامج استرجاع الملفات فسيقوم بإستخدام الوايب بلا شك
السؤال:هل هذه الطريقة حينها تنفع؟
دمت بود : )
وصلت الexternal hard diskو طبقت الامر
root@whitewolf-laptop:/home/whitewolf/sleuthkit-3.1.0/sleuthkit-3.1.0# fdisk -l
Disk /dev/sda: 160.0 GB, 160041885696 bytes
255 heads, 63 sectors/track, 19457 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Disk identifier: 0x54163339
Device Boot Start End Blocks Id System
/dev/sda1 * 1 18706 150255913+ 83 Linux
/dev/sda2 18707 19457 6032407+ 5 Extended
/dev/sda5 18707 19457 6032376 82 Linux swap / Solaris
Disk /dev/sdb: 120.0 GB, 120034123776 bytes
255 heads, 63 sectors/track, 14593 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Disk identifier: 0x28f12a69
Device Boot Start End Blocks Id System
/dev/sdb1 * 1 14593 117218241 7 HPFS/NTFS
و عندما اطبق الامر sudo umount /dev/sdb1
بيجي الخطأ هذا
umount: /dev/sdb1: not mounted
فكرة جائت في بالي و انا أقرأ المقال
لم لا تلخص دروسك كمقالات و تنشرها في الموقع
منها تراجع دروسك و تستفيد خبرة اكبر من الأسئلة و تجارب الآخرين
و أيضا يستفيد الزوار من المقالات بشكل كبير بإذن الله
@GreyZer0
نعم عزيزي, بحسب المعلومات الواردة في موقع الحزمة يمكن إستخدامها مع الأنظمة التالية:
Linux, Mac OS X, Open & FreeBSD, Solaris
@AAM
بإذن الله سوف يتم ذلك, وبالتصوير من معمل التحقيق الجنائي =)
الله عليك اخي مميز
الظاهر الهاردسك تبعك عطلان أو فيه مشاكل صحيح ؟
إذا كان هاردسكك عطلان فعلاً, يفضل إستخدام dd_rescue:
قم بتحميله , في الفيدورا يتم تحميله كالتالي:
sudo yum install dd_rescue
في اوبونتو
sudo apt-get install dd_rescue
ثم قم بتنفيذ التالي:
dd_rescue /dev/sdb1 /home/YOURUSER/sdb1.img
مع الحرص على تبديل YOURUSER بإسم المستخدم الخاص بك.
العملية سوف تستغرق وقت جداً طويل, لذلك أتركه إلى أن ينتهي.. وأتمني أن تتمكن من استرجاع ملفاتك المهمة 🙂
شكرا” مااان على المساعدة عذبناك معنا
مااان كيف ممكن اتكلم معاك غير هون؟؟
يمكنك مراسلتي على البريد الإلكتروني:
sari [at] isecur1ty [d0t] org
انا في الخدمة عزيزي =) رغم اني اتمنى ان تضع سؤالك هنا حتى يستفيد الغير لو كان من ضمن الموضوع ..
باسم الله ما شاء الله
شرح في قمة التميز والأناقة .
لكن لدي سؤالان بسيطان :-
هل هذه العلمية تستعيد الملفات التي حذفت عن طريقة تهيئة القسم ؟
هل العملية تؤثر على سلامة القسم أو في عمره ؟
شاكراً لكم على ما تقدمونه من دروس مفيدة .
بالتوفيق لي ولكم
@SAFAD
الثيم هنا, http://www.gnome-look.org/cont…tent=77661
@Mr.JOKER
قد يقل إحتمال إستعادة البيانات وربما لا تعود إذا قمت بالكتابة فوق القرص الصلب, إذا قمت بالكتابة فوق القرص الصلب لأكثر من ثلاث مرات يمكنك إستعادة البيانات ولكن بأجهزة خاصة يستخدمها بعض الشركات وبعض معامل التحقيق الجنائي المتطورة, والله أعلم.
@بول معوشي
يبدوا ان إعدادات نظامك لاتقوم بعملية Mount آلياً, لذلك ليس هناك داعي لعمل umount, قم بأخذ صورة من القرص ولا تقلق, مع العلم بأنها سوف تأخذ بعض الوقت ! =)
@aajli
جزاك الله خير =)
@Ali Mohammad
1- نعم تماماً, طالما لم تقم بالكتابة فوق القرص.
2- لا تؤثر بتاثاً لأنك سوف تعمل على صورة من قرصك وليس القرص نفسه, على أي حال لن تؤثر عليه, سواء عملت على الصورة أو على القسم مباشرة.
مع العلم بأن حزمة Sleuth تطلب صورة للعمل لأن المحقق الجنائي مستحيل أن يعمل على القرص مباشرة. ترقب المقالات القادمة =)
طيب كيف ممكن اصورها اذا مش ممكن استعمل عملية Mount؟؟
>> طيب كيف ممكن اصورها اذا مش ممكن استعمل عملية Mount؟؟
عزيزي, لم أفهم سؤالك, لكن قم بتطبيق أمر التصوير التالي وأنتظر إلى أن ينتهي
sudo dd if=/dev/sdb1 bs=1024 of=image.img conv=noerror
عملية الماونت هي لنظامك حتى يقرأ ملفات القرص, ولا نحتاجها في عملية التصوير..
شوف شو بيعطيني
432496+0 records out
442875904 bytes (443 MB) copied, 69.2092 s, 6.4 MB/s
dd: reading `/dev/sdb1′: Input/output error
432496+0 records in
432496+0 records out
442875904 bytes (443 MB) copied, 69.2093 s, 6.4 MB/s
dd: reading `/dev/sdb1′: Input/output error
432496+0 records in
432496+0 records out
442875904 bytes (443 MB) copied, 69.2107 s, 6.4 MB/s
dd: reading `/dev/sdb1′: Input/output error
432496+0 records in
432496+0 records out
442875904 bytes (443 MB) copied, 69.2108 s, 6.4 MB/s
dd: reading `/dev/sdb1′: Input/output error
432496+0 records in
432496+0 records out
مكرر مكرر
صحيح الشغل او في مشكلة بوقفه؟؟
على فكرة Hard disk externet مساحته 120GB ليش بيطلع ان 443MB
بسم الله الرحمن الريحم
مشكور اخي على الشرح الجميل ولكن انا شخصيا افضل اداه
TestDisk
فهي فعاله اكثر وسريعه وتعمل من الطرفيه shell
وسهله الاستخدام جدا
شاهد هذا الفيديو
http://www.youtube.com/watch?v=winRgHOIQb8
سلام
أشكرك عزيزي على ردك, لكن Sleuthkit عبارة عن أداة للتحقيق الجنائي وليست لإستعادة البيانات =) .. حيث كتبت موضوع منفصل في الموقع يتعلق بإستعادة البيانات حيث شرحت نفس الأداة التي تم عرضها في الفيديو.. اشكرك على ردك ,,
who said that we cant shred all files from our system when computer investigator comes 2 ur home simply before they engage there target through mine home though keep a microwave behind u so i can simply put my hdd into it and burn it much faster than before good by investigator
أخي iSecur1ty موقع عربي وان أردت أن يجيب أحد على استفساراتك يجب أن تكتب بالعربية فالغاية أن يستفيد الجميع من الأسئلة المطروحة!
hi im having a trouble in my c compiler package when i write ./configure an error popsup & say no such $path in dir i know that i havent installed my c gnu c compiler & it didnt work even ifrom dvd but please help me with an email that i can download the gnu c compiler fom their site any help could be appreciated & thanks note: that im using opensuse 11 2.6.x
شرح رائع
هناك أيضا نسخة gparted الأخيرة أضيف إليها خاصية إستعادة الملفات.
أخي أرى أنك لم تقرئ الموضوع جيدا لقد دكر الأخ ساري أن المكتبتين libewf و afflib ضروريتيان لهدا يجب أن تحملهما … فالكومبايلر يعتبر كود الأداة غير مفهوم لأنها تستدعي مكتبتين غير موجودتين في جهازك ,,, تحيااتي .
ايضا هل يوجد برامج اخرى غير Autopsy للتعامل مع الصور الماخوذه للقرص الصلب؟
سواءا تصفحها أو معالجتها لاستخراج البيانات منها؟
السلام عليكم،،
قمت بعمل صورة للهارد دسك بنجاح باستخدام الامر
dd_rescue /dev/sdb1 /home/YOURUSER/sdb1.img
عموما،، اتبعت الخطوات اللاحقه ولكن عندما اصل الى هذه المرحلة
http://www.isecur1ty.org/images/stories/articles/autopsy-file-analysis.png
لا يظهر لي خيار File Analysis
فما هو الحل؟
شكرا
بانتظار اي تلميحات حول الموضوع
السلام عليكم و رحمة الله و بركته
عندي سؤال محيرني ادا استخدمت برنامج scrub هل يمكن استرجاع الملفات مرة ثانية؟
لاني مثلا ادا اريد اعطي فلاش ديسك تبعي لشخص ثاني ايش لازم اسوي عشان ما يقدر يسترجع ملفات؟