مقاله ::‌ جرم شناسی دیجیتال با کالی لینوکس – بخش اول

در این مقاله قصد داریم که یک دید جرم شناسی با کالی لینوکس به شما بدهیم. اینکه چگونه با کالی لینوکس می توانید جرایم را شناسایی کنید. در این مقاله یاد می گیرید که چگونه یک Image معتبر از سیستم اخذ کنید. Image ای که یکپارچه باشد و بتوانید آن را آنالیز کنید و به عنوان یک مدرک در دادگاه ها از آن استفاده بکنید.

کالی فقط تعدادی از ابزار های جرم شناسی را توی خودش قرار داده است و بسیاری از ابزار ها خارج از کالی لینوکس هستند. ما برای شروع از ابزار هایی که در کالی لینوکس وجود دارند ، شروع می کنیم.

شما می توانید ابزار ها را در مسیر Kali Linux -> Forensics پیدا بکنید.
forensics-using-kali-part-1-the-tools-forensic-investigator

همانطور که می بینید ، کالی ابزار های جرم شناسی را در دسته بندی های مختلف تقسیم کرده است که شامل موارد زیر می باشند:

  • Anti-Virus Forensic Tools
  • Digital Anti-Forensic Tools
  • Digital Forensics
  • Forensic Analysis Tools
  • Forensic Craving Tools
  • Forensic Hashing Tools
  • Forensic Imaging Tools
  • Forensic Suites
  • Network Forensics
  • Password Forensics Tools
  • PDF Forensic Tools
  • RAM Forensic Tools

هر کدام از محدوده های بالا شامل ابزار های متعددی برای انجام کار های مشابه هستند. من سعی می کنم که نمونه ای از بهترین ابزار ها به همراه تئوری پشت آن ها را به شما نشان دهم.

ابزار های جرم شناسی تجاری

شرکت های بسیاری وجود دارند که ابزار های جرم شناسی تجاری تولید می کنند. در درجه اول این ابزار ها برای اجرای قانون استفاده می شود. ۲ بازیگر اصلی این ابزار ها EnCase ‌و Forensic ToolKit (FTK) می باشند که تلاش دارند همه گیر شوند و ابزار هایی برای انواع پرونده ها  و تحقیقات را دارا می باشند.

به علاوه ، آن ها امکان مدیریت پرونده ها و گزارش گیری که خیلی فراتر از ابزار های متن-باز هست را نیز دارا هستند.

 

forensics-using-kali-part-2-the-tools-forensic-investigator.jpgاین اصلا به این معنی نیست که آن ها ابزار های بهتری هستند ، اما این به این معنیست که استفاده از آن ها آسان تر است ( به هر حال آن ها برای ماموران اجرای قانون طراحی شده اند ) و آن ها اطلاعات را به نسبت ابزار های متن-باز بهتر قالب بندی و مدیریت می کنند. ما توی این سری از مقالات این ابزار ها را یکمی بررسی خواهیم کرد. اما جرم شناسی دیجیتال را بهتر هست که از طریق ابزار های متن-باز یاد بگیرید. شما واقعا نیاز دارید که بفهمید چه اتفاقی دارد میافتد به جای اینکه تعدادی کلیک کنید و نتیجه را چاپ کنید.

حوزه هایی که در اینجا خواهیم دید

در دنیای واقعی (کسی تاحالا اونجا بوده؟) ، سیستم های لینوکسی حمله کننده ها هستند و سیستم های ویندوزی قربانی ها. به عنوان نتیجه ، ما تمرکز خودمان را روی فهمیدن ابزار هایی که حمله کننده از آن ها استفاده می کند ،‌ می گذاریم. برای فهمیدن فایده این آموزش ها به شما پیشنهاد می کنم که دانش و مهارت عملی لینوکس را داشته باشید. در مدرسه تست نفوذ شما می توانید آموزش های کالی لینوکس را اینجا پیدا بکنید. بعد از آن فهم خوبی درباره TCP/IP و شبکه پیدا بکنید. که دوره Network+ میتواند گزینه خوبی برای شروع باشد. 

مهارت قابل قبولی در ویندوز داشته باشید و در آخر بچسبید به تحقیقات جرم شناسی ، شما نیاز دارید که فهم عمیقی از ساختار فایل سیستم ویندوز ( معمولا NTFS ) و Windows Registry داشته باشید. 

حالا نوبت به این می رسد که قدم اول از تحقیقات جرم شناسی با هم برسی بکنیم. نام این مرحله بدست آوردن شواهد هست. به طریقی که قانونی باشد و در دادگاه قابل استفاده باشد. این مرحله باید به درستی انجام شود ، اگر این مرحله به نادرستی انجام شود. هفته ها و ماه ها هیچی می شود.

forensics-using-kali-part-3-the-tools-forensic-investigator.jpg

اگر شما زمینه ای از مدیریت سیستم یا شبکه داشته باشید ، احتمالا Backup گرفتید ! نسخه های پشتیبانی از سیستم عامل ها و برنامه ها و حتی داده ای روی هارد دیسک یه بعضی موقع ها نوار ها هستند.

متاسفانه ، بعضی مواقع یک کپی برای ما یعنی محقق جرم کار نمی کند. چیزی که ما نیاز داریم یک کپی بیت به بیت از هارد دیسک یا حافظه هست که حتی یک بیت از اطلاعات هم حذف نشود. هر نرم افزار که ممکن است ما برای انتقال نسخه پشتیبان استفاده بکنیم ممکن است آن را خراب کند و ما نتوانیم آن را داشته باشیم که در دادگاه قانونی قرار دهیم.

دستور DD

از لحاظ تاریخی ،‌ هر توزیع لینوکس/یونیکس دارای دستوری است که به نام dd(disk-to-disk) شناخته می شود. هدفمان این بود که یک کپی بیت به بیت از هر فایلی  ،‌درایوی و یا پارتیشنی بگیریم. الگو دستور dd چیزی شبیه به این هست:

برای مثال ،‌ بیاید بگیم:

دستور بالا یک کپی بیت به بیت از sda2 و sdb2  با Byte Size ۵۱۲ بایت می گیرد. تعداد بسیار زیادی تنظیمات برای دستور dd وجود دارد ، اما یکی از تنظیمات معمول که از استفاده می شود noerror هست.

وقتی ما از noerror استفاده می کنیم ، dd با شناسایی خطا خاتمه نمیابد. یعنی وقتی که دستور ما شبیه به این بشود:

همچنین اکثر توزیع های لینوکسی شامل dd هستند. حتی بعضی از آن ها این ابزار را توسعه دادن و بهتر کردن که ما بتوانیم در فرایند گرفتن بک آپ جرم از آن آسان تر استفاده بکنیم. تقریبا هر ابزاری که وجود دارد همان dd تغییر یافته است.

در کالی لینوکس، ما نسخه ای از dd را داریم که توسط دپارتمان Defense’s Digital Computer Forensics Laboratory توسعه داده شده است و آن dcfldd است.( احتمالا digital computer forensic laboratory dd )

Hashing

یکی از مهم ترین وظایفی که ما داریم این هست که وقتی در حال گرفتن یک نسخه Backup هستیم از درستی آن مطمئن شویم.  در اصل ما می خواهیم که قادر به اثبات این  در دادگاه قانونی باشیم که این نسخه بعد از گرفته شدن تغییری نیافته است.

 

هش کردن یا Hashing یک راه رمزگذاری یک طرفه هست که یک خروجی یکتا میسازد. هش کردن روشی برای اطمینان این هست که هیچ چیز محتوای اصلی تغییر نکرده است. اگر حتی یک بیت از محتوای اصلی تغییر کند ،‌ هش نیز تغییر می کند.

احتمالا قبلا دیدید که وقتی می خواهید یک نرم افزار را دانلود کنید ، مثلا همین کالی لینوکس Offensive Security یک هش md5 قرار داده است. شما می توانید با استفاده از آن Hash مطمئن شوید که کالی لینوکسی که دانلود کردید توسط شخص دیگری دستکاری نشده است. یعنی همان کالی لینوکسی که Offensive Security تولید کرده است به دست شما برسد .

هش کردن روشی برای تضمین یکپارچگی هست‌

محبوب ترین الگوریتم های هش MD5, SHA1, SHA256 و SHA512 هستند. ما می توانیم از هر کدام آن ها برای اطمینان یکپارچگی Backup‌ زمان استفاده از dcfldd یا دیگر ابزار ها استفاده بکنیم.

 

مرحله اول : پیدا کردن dcfldd

بیاید کارمان با کالی لینوکس را با پیدا کردن dcfldd شروع کنیم. وارد Kali Linux -> Forensics -> Forensic Imaging Tools -> dcfldd بشوید. آن باید پنجمین انتخاب از منوی باز شده باشد. همانطوری که پایین میبینید:

forensics-using-kali-part-4-the-tools-forensic-investigator

مرحله دوم : باز کردن dcfldd

وقتی که روی dcfldd کلیک کنید. یک صفحه راهنما شبیه به چیزی که پایین مشاهده می کنید را خواهید دید

 

forensics-using-kali-part-5-the-tools-forensic-investigator

دستوراتی که ما برای dcfldd استفاده خواهیم کرد شبیه به ابزار dd هست. اما گزینه های بیشتری دارد.

مرحله سوم : نامگذاری های هارد درایو لینوکس

اگر ما از dcfldd در یک محیط جرم شناسی استفاده می کردیم ، احتمالا ما از آن به عنوان یک Live CD استفاده می کنیم. یعنی نسخه زنده و نصب نشده توزیع کالی لینوکس. پس در نتیجه ما Image‌ یا نسخه Backup ای که از سیستم می گیریم را می خواهیم در یک فضای ذخیره سازی خارجی ذخیره کنیم. هاردی که فضای بیشتری را داشته باشد.

از آنجایی که من از کالی لینوکس به عنوان یک ماشین مجازی استفاده می کنم ، یک Image از یک هارد دیسک مجازی می گیرم و آن را در یک هارد خارجی ذخیره می کنم. برای چنین کاری باید با نامگذاری راه انداز هارد آشنا بشوید.

شما ممکن است که بدانید لینوکس هارد درایو ها را مثل ویندوز با یک حرف نامگذاری نمی کند. یکی از معمول ترین روش هایی که برای نامگذاری هارد درایو IDE یا E-IDE استفاده می شود hd است. یعنی اولین هارد ما می شود hda و دومی می شود hdb و .. .

از لحاظ تاریخی ، لینوکس هارد درایو های SCSI (Small Computer System Interface) را sd نام گذاری می کند. که می شود sda , sdb , … . در کامپیوتر های مدرن ، هارد درایو های ما SATA هستند و لینوکس آن ها را به عنوان درایو های SCSI می شناسد. (‌هر دو ارتباط سریالی دارند ) .  پس هارد SATA ما به شکل sda, sdb , sdc, .. نامگذاری می شود. اگر هارد پارتیشن بندی شده باشد ،‌اولین پارتیشن sda1 و دومین پارتیشن sda2 می شود.

مرحله چهارم : گرفتن Image یا همان نسخه Backup

الان برای گرفتن نسخه بک آپ بیت به بیت از هارد درایو و ساختن MD5 آن ، می توانیم بنویسیم:

if=/dev/sda دستگاه ورودی ماست که در این پرونده هم همینطور است

  • hash=md5 دستور می دهد که هش md5 بک آپ را درست کند
  • of=/media/diskimage.dd فایلیست که در آن خروجی ذخیره می شود.
  • bs=512 به ابزار می گوید که ما می خوایم ۵۱۲ بایت در هر زمان انتقال دهیم
  • و در نهایت noerror می گوید که اگر با خطایی مواجه شد ،‌عملیات را ادامه دهد.

 

forensics-using-kali-part-6-the-tools-forensic-investigator.jpgاین یک Image بیت به بیت از هارد درایو می سازد و آن را به هارد دیسک خروجی ما با نام diskimage.dd می فرستد.

این اولین وظیفه ای هست که در فرایند جرم شناسی انجام می شود. الان ما یک Image و یک Hash برای جرم شناسی داریم.

ما می توانیم با آنالیز و تجزیه تحلیل به دنبال شواهد باشیم. اگر همین مرحله ای که انجام دادیم به صورت نامناسب انجام شود بقیه مراحل فقط وقت تلف کردن هست !

 

دیگر ابزارها برای گرفتن Image (نسخه BackUp) یا Image Acqusition

چندین ابزار در کالی لینوکس برای انجام اینکار وجود دارند. همه آن ها کاری مشابه با ویژگی های مختلف انجام می دهند. خارج از کالی هم تعدادی ابزار تجاری برای اینکار وجود دارند. اما محبوب ترین آن ها Forensic Tool Kit‌ هست. در screenshot پایین می بینید که چگونه از نسخه GUI ابزار FTK Imager می توانید برای گرفتن یک Image بیت به بیت استفاده بکنید.

forensics-using-kali-part-7-the-tools-forensic-investigator.jpg

الان که ما با موفقیت توانستیم که شواهد خودمان را جمع بکنیم حالا باید آن ها را تجزیه و تحلیل بکنیم تا بتوانیم به عنوان یک مدرک در دادگاه ارائه دهیم. در قسمت بعدی از مقاله اینکار را انجام خواهیم داد.

آموزش های ویدیویی جرم شناسی را در مدرسه تست نفوذ می توانید از طریق این لینک دنبال بکنید.
منابع :

https://null-byte.wonderhowto.com/how-to/hack-like-pro-digital-forensics-using-kali-part-1-the-tools-forensic-investigator-0155427/

https://null-byte.wonderhowto.com/how-to/hack-like-pro-digital-forensics-using-kali-part-2-acquiring-hard-drive-image-for-analysis-0155533/

 

۱ نظر

ارسال نظر

ایمیل شما منتشر نخواهد شد. پر کردن ورودی ها الزامی است. *

*

نوزده − هشت =