مقاله :: جرم شناسی دیجیتال در کالی لینوکس – بخش دوم

در ادامه آموزش های جرم شناسی دیجیتال با کالی لینوکس توی این قسمت می خواهیم با ۲ ابزار مکمل به نام Sleuth Kit  و Autopsy آشنا شویم.

مرحله اول: کالی رو آتیش کن و Autopsy را باز کن‌!

بعد از اینکه وارد کالی لینوکس شدید در مسیر Applications > Kali Linux > Forensic Suites می توانید Autopsy را پیدا کنید.

باز کردن Autospy در کالی لینوکس

باز کردن Autospy در کالی لینوکس

بعد از اینکه autopsy را باز کردید ، صفحه ای به شکل زیر می بینید که از شما می خواهد مرورگر وبتان را اجرا و این مسیر را باز کنید

autopsy-2

مرحله دوم :‌ باز کردن مرورگر

حالا ،‌ هر مرورگری را که دوست دارید را باز بکنید و به آدرس بالا بروید. اگر دوست دارید Google Chrome را روی کالی لینوکس نصب کنید. این آموزش را ببینید.

حالا که آدرس localhost:9999 را باز کردید ، وارد صفحه ای می شوید که Autopsy در آن ، در حال اجراست. در این آموزش از IceWeasel مرورگر پیش فرض کالی لینوکس استفاده کردیم.

رابط وب Autopsy

رابط وب Autopsy

Autopsy فقط یک رابط گرافیکی هست که روی ابزار فوق العاده Brian Carrier یعنی Sleuth Kit‌ سوار شده است. از انجایی که Sleuth Kit از محیط کامندی استفاده می کند ابزار Autopsy آن را بسیار آسان تر کرده است.

مرحله سوم‌ : ساخت پرونده جدید

در تحقیقات واقعی جرم شناسی ، شما نیاز به یک پرونده برای سازمان دادن به شواهد و اطلاعاتتان دارید. در نتیجه ، autopsy از شما می خواهد که یک پرونده را شروع کنید.

اینجا ، من نام پرونده را ۱۰۱ و در توضیحات آن Null Byte قرار دادم.

autopsy-4

بعد از اینکه روی دکمه Next کلیک کردید. صفحه ای شبیه به این خواهید دید :

autopsy-5

این صفحه به ما نام پرونده و جایی که آن ذخیره شده است (/var/lib/autopsy/101) و جایی که فایل تنظیمات آن (/var/lib/autopsy/101/case.aut) ذخیره شده را می دهد. مرحله بعدی ما این هست که یک Host اضافه بکنیم.

مرحله چهارم :‌ اضافه کردن Host جدید

روی دکمه Add Host که در پایین کادری که می توانید نامتان را انتخاب کنید قرار گرفته ، کلیک کنید. وقتی که روی آن کلیک کنید ما را به صفحه دیگری می برد که در آن می توانیم اطلاعاتی درباره Host شبیه به مورد پایینی بنویسیم.

autopsy-6

اینجا ما می توانیم نام host (host1) ، توضیحات (new case) و منطقه زمانی را اضافه بکنیم. البته ، شما می توانید اطلاعات خودتان را هم وارد بکنید.

مرحله پنجم : اضافه کردن فایل Image

بعد، ما نیاز داریم تا یک فایل Image یک کپی بیت به بیت که در قسمت قبلی یاد گرفتیم که آن را چطوری بگیریم را Import بکنیم.

autopsy-7

پایین، من یک Image جدید با استفاده از dcfldd روی هارد درایو sda که در فایل /media/nullbyte و با بلاک سایز ۵۱۲Byte نوشتم.

autopsy-11

الان ،‌ من میتوانم Image را به Autopsy با دادن محل ذخیره آن‌، وارد بکنم. نوع Image (disk( هست و روش Import (copy( می باشد.

autopsy-8

مرحله ششم : یکپارچگی داده ها

هر وقت که ما Image را می سازیم ، یک مورد حیاتی این هست که مطمئن شویم که یکپارچگی Image را حفظ کردیم. یعنی بتوانیم ثابت کنیم که Image به هیچ وجه پس از گرفته شدن تغییری نکرده است. ما با ساختن Hash ایمیج می توانیم مطمئن شویم که Image تغییر نکرده است.

autopsy-10

در این صفحه ، Autopsy از ما میپرسد که ما می خواهیم :

  1. مقدار هش را در نظر نگیریم
  2. مقدار هش را حساب کنیم
  3. مقدار هش را اضافه کنیم

 

اگر شما hash را تا الان حساب نکردید ، الان زمان انجام آن است. اگر قبلا هش را ساختید ، الان فقط کافیه که اینجا آن را اضافه کنید.

در قسمت بعدی ، ما از Autopsy و Sleuth Kit برای تجزیه و تحلیل Image استفاده می کنیم که می تواند به ما برای بازسازی رویداد های جرم کمک کند !‌

شما می توانید قبل از دیدن قسمت بعد ، یه نگاهی به آموزش Autopsy و Sleuth Kit در مدرسه تست نفوذ بیاندازید.

منبع :‌https://null-byte.wonderhowto.com/how-to/hack-like-pro-digital-forensics-using-kali-part-3-creating-cases-autopsy-sleuth-kit-0156224/

ارسال نظر

ایمیل شما منتشر نخواهد شد. پر کردن ورودی ها الزامی است. *

*

2 × 4 =