| استعادة الملفات المحذوفة باستخدام Sleuthkit و Autospy |
| الكاتب Sari Bukhari |
| الاثنين, 22 فبراير 2010 23:21 |
|
شرح استخدام Sleuthkit و Autospy لتحليل واسترجاع الملفات المحذوفة. هذه إحدى الطرق المستخدمة من قبل المحققين الجنائيين الرقميين لفحص ملفات أي ذاكرة كانت سواء قرص صلب او بطاقة ذاكرة جوال أو خلافه, في هذا الموضوع قمت بالتجربة على ذاكرة USB سعة 4 جيجا بايت. حيث قمت بحذف بغض الملفات منها وإبقاء ملفات أخرى.
المتطلبات:
حسناً , بالنسبة لي فأنا أستخدم لينوكس Fedora 12 في الشرح , بالإضافة إلى الأدوات المطلوبة أعلاه . القسم الأول: تركيب الأدوات
وتأكد من وجواد المكتبات التالية:
make sudo make install مع التأكد بأن كل خطوة لا تنتهي بوجود أخطاء, بعد ذلك نحتاج لأن ننصب Autopsy ثم نفك الضغط بعد التحميل: tar xzvf autopsy-2.22.tar.gzثم نقوم بتطبيق: ./configureحيث سوف يسألك هذه الأسألة:
هذه قائمة خاصة بموضوع آخر جداً غير إستعادة الملفات, لذلك أخترت n لها الآن. ثم السؤال الثاني يسألك عن مسار لمخزن الأدلة في حالتي أردت المخزن أن يكون في مسار الـ HOME الخاص بالمستخدم الخاص بي وأسميت الملف locker وكما هو واضح في الصورة, حذرني بأن الملف غير موجود لذلك كان يجب علي إنشاؤه: mkdir ~/lockerالآن البرنامج جاهز للعمل عن طريق تطبيق الأمر ./autopsyلكن لن نقوم بتشغيله الآن, لأنه يجب علينا أولاً الحصول على صورة من القرص الصلب أو قسم أو خلافه, في حالتي أريد إستعادة الملفات التي قمت بمسحها من ذاكرة usb الخاصه بي.
القسم الثاني: الحصول على صورة من القرص الصلب1توصيل الذاكرة المراد أخذ صورتها إلى الجهاز, في حالتي قمت بتوصيل اليو اس بي . في حالتي, معرف القرص في النظام هو: /dev/sdc13- الآن يتم عمل umount للقرص حتى يتم تصويره , في حالتي سوف يكون الأمر كالتالي: sudo umount /dev/sdc1الآن تتم عملية التصوير عن طريق الأمر التالي: sudo dd if=/div/DRIVE bs=1024 of=IMAGE.NAME conv=noerror
الآن سوف يكون الأمر كالتالي:
حيث سوف تستغرق العملية بعض الوقت بناء على حجم القرص المراد نسخه, في حالتي أخذ 4 دقائق لنسخ 4 جيجابايت تقريباً.
القسم الثالث: عملية التحليل وإستعادة الملفاتنقوم بتشغيل برنامج autopsy حيث نقوم بالذهاب إلى المسار الخاص به بعد فك الضغط عند تنزيله ثم ننفذ الأمر التالي داخل المجلد الخاص به: ./autopsy
كما هو موضح البرنامج موجود على هذا الرابط: http://localhost:9999/autopsyإفتحه عن طريق متصفحك المفضل حيث هذه سوف تكون واجهته:
ممتاز. الآن البرنامج يعمل, لنقوم بالضغط على New Case لإضافة ملف قضية حتى نبدأ عملية تحليل الصورة :
الآن بعد تعبأة البيانات المطلوبة نقوم بالضغط على New Case حيث سوف نواجه الصفحة هذه بعدها:
نتابع بالضغط على add host :
نقوم بملئ الخانات المطلوبة .. ثم نتابع بالضغط على Add Host:
نتابع بالضغط على add image:
ثم بعد ذلك تظهر لنا الصفحة التالية:
في حالتي تجاهلت الـ integrity لأن تطابق الصورة مع النسخة لا تهمني. وبالنسبة عن نوع نظام التخزين/الملفات, فإن قرصي يعمل على fat32. الآن وبعد الضغط على add تأتينا نافذة بتأكيد العملية وإنهائها:
نقوم بالضغط على زر اوكي حيث سوف تأتينا الصفحة الرئيسية,
الآن نضغط على analyze لبدء تحليل القرص حيث سوف تأتينا الصفحة التالية:
نضغط على File Analysis وسوف تأتينا الصفحة التالية:
الآن تم عرض محتويات القرص, حيث الملفات التي باللون الأحمر تمثل ملفات تم حذفها من القرص, والملفات التي باللون الأزرق هي ملفات مازالت موجودة في القرص, فعلى سبيل المثال لو قمت بالضغط على style-rtl.css سوف يتم عرض محتوياته بالأسفل كالتالي:
بإمكانك الضغط على Export لإعادة تحميل الملف لو أردت ذلك. عن الكاتب:
إضافة إلى المفضلة
مشاركة
إرسال إلى صديق
المشاهدات: 2671 التعليقات (20)
  أرسلت بواسطة: GreyZer0 في February 23, 2010
شكرا على المعلومات القيمه اخي , هل يعمل Autospy على الـMac ام هناك نسخه خاصه؟
 أرسلت بواسطة: AAM في February 23, 2010
فكرة جائت في بالي و انا أقرأ المقال
لم لا تلخص دروسك كمقالات و تنشرها في الموقع منها تراجع دروسك و تستفيد خبرة اكبر من الأسئلة و تجارب الآخرين و أيضا يستفيد الزوار من المقالات بشكل كبير بإذن الله
 أرسلت بواسطة: Sari Bukhari في February 23, 2010
@GreyZer0
نعم عزيزي, بحسب المعلومات الواردة في موقع الحزمة يمكن إستخدامها مع الأنظمة التالية: Linux, Mac OS X, Open & FreeBSD, Solaris @AAM بإذن الله سوف يتم ذلك, وبالتصوير من معمل التحقيق الجنائي =)
 أرسلت بواسطة: SAFAD في February 23, 2010
جميل جدا ، قد أحتاجه في بعض الأحيان
ممكن سؤال ؟ ما إسمه الثيم المستعمل ؟ شكرا دمتم في حفظ الرحمن
 أرسلت بواسطة: Mr.JOKER في February 23, 2010
شرح رائع
ولكن فرضا لو كان صاحب USB قد استخدم تقنية الwipe في التخلص من الملفات طبعا اذا كان لديه خلفية عن برامج استرجاع الملفات فسيقوم بإستخدام الوايب بلا شك السؤال:هل هذه الطريقة حينها تنفع؟ دمت بود : )
 أرسلت بواسطة: بول معوشي في February 23, 2010
وصلت الexternal hard diskو طبقت الامر
root@whitewolf-laptop:/home/whitewolf/sleuthkit-3.1.0/sleuthkit-3.1.0# fdisk -l Disk /dev/sda: 160.0 GB, 160041885696 bytes 255 heads, 63 sectors/track, 19457 cylinders Units = cylinders of 16065 * 512 = 8225280 bytes Disk identifier: 0x54163339 Device Boot Start End Blocks Id System /dev/sda1 * 1 18706 150255913+ 83 Linux /dev/sda2 18707 19457 6032407+ 5 Extended /dev/sda5 18707 19457 6032376 82 Linux swap / Solaris Disk /dev/sdb: 120.0 GB, 120034123776 bytes 255 heads, 63 sectors/track, 14593 cylinders Units = cylinders of 16065 * 512 = 8225280 bytes Disk identifier: 0x28f12a69 Device Boot Start End Blocks Id System /dev/sdb1 * 1 14593 117218241 7 HPFS/NTFS و عندما اطبق الامر sudo umount /dev/sdb1 بيجي الخطأ هذا umount: /dev/sdb1: not mounted
 أرسلت بواسطة: Ali Mohammad في February 25, 2010
باسم الله ما شاء الله
شرح في قمة التميز والأناقة . لكن لدي سؤالان بسيطان :- هل هذه العلمية تستعيد الملفات التي حذفت عن طريقة تهيئة القسم ؟ هل العملية تؤثر على سلامة القسم أو في عمره ؟ شاكراً لكم على ما تقدمونه من دروس مفيدة . بالتوفيق لي ولكم
أرسلت بواسطة: Sari Bukhari في February 25, 2010
@SAFAD
الثيم هنا, http://www.gnome-look.org/cont...tent=77661 @Mr.JOKER قد يقل إحتمال إستعادة البيانات وربما لا تعود إذا قمت بالكتابة فوق القرص الصلب, إذا قمت بالكتابة فوق القرص الصلب لأكثر من ثلاث مرات يمكنك إستعادة البيانات ولكن بأجهزة خاصة يستخدمها بعض الشركات وبعض معامل التحقيق الجنائي المتطورة, والله أعلم. @بول معوشي يبدوا ان إعدادات نظامك لاتقوم بعملية Mount آلياً, لذلك ليس هناك داعي لعمل umount, قم بأخذ صورة من القرص ولا تقلق, مع العلم بأنها سوف تأخذ بعض الوقت ! =) @aajli جزاك الله خير =) @Ali Mohammad 1- نعم تماماً, طالما لم تقم بالكتابة فوق القرص. 2- لا تؤثر بتاثاً لأنك سوف تعمل على صورة من قرصك وليس القرص نفسه, على أي حال لن تؤثر عليه, سواء عملت على الصورة أو على القسم مباشرة. مع العلم بأن حزمة Sleuth تطلب صورة للعمل لأن المحقق الجنائي مستحيل أن يعمل على القرص مباشرة. ترقب المقالات القادمة =)
أرسلت بواسطة: بول معوشي في February 25, 2010
طيب كيف ممكن اصورها اذا مش ممكن استعمل عملية Mount؟؟
أرسلت بواسطة: Sari Bukhari في February 25, 2010
>> طيب كيف ممكن اصورها اذا مش ممكن استعمل عملية Mount؟؟
عزيزي, لم أفهم سؤالك, لكن قم بتطبيق أمر التصوير التالي وأنتظر إلى أن ينتهي sudo dd if=/dev/sdb1 bs=1024 of=image.img conv=noerror عملية الماونت هي لنظامك حتى يقرأ ملفات القرص, ولا نحتاجها في عملية التصوير..
أرسلت بواسطة: بول معوشي في February 25, 2010
شوف شو بيعطيني
432496+0 records out 442875904 bytes (443 MB) copied, 69.2092 s, 6.4 MB/s dd: reading `/dev/sdb1': Input/output error 432496+0 records in 432496+0 records out 442875904 bytes (443 MB) copied, 69.2093 s, 6.4 MB/s dd: reading `/dev/sdb1': Input/output error 432496+0 records in 432496+0 records out 442875904 bytes (443 MB) copied, 69.2107 s, 6.4 MB/s dd: reading `/dev/sdb1': Input/output error 432496+0 records in 432496+0 records out 442875904 bytes (443 MB) copied, 69.2108 s, 6.4 MB/s dd: reading `/dev/sdb1': Input/output error 432496+0 records in 432496+0 records out مكرر مكرر صحيح الشغل او في مشكلة بوقفه؟؟ على فكرة Hard disk externet مساحته 120GB ليش بيطلع ان 443MB
أرسلت بواسطة: Sari Bukhari في February 25, 2010
الظاهر الهاردسك تبعك عطلان أو فيه مشاكل صحيح ؟
إذا كان هاردسكك عطلان فعلاً, يفضل إستخدام dd_rescue: قم بتحميله , في الفيدورا يتم تحميله كالتالي: sudo yum install dd_rescue في اوبونتو sudo apt-get install dd_rescue ثم قم بتنفيذ التالي: dd_rescue /dev/sdb1 /home/YOURUSER/sdb1.img مع الحرص على تبديل YOURUSER بإسم المستخدم الخاص بك. العملية سوف تستغرق وقت جداً طويل, لذلك أتركه إلى أن ينتهي.. وأتمني أن تتمكن من استرجاع ملفاتك المهمة :)
أرسلت بواسطة: بول معوشي في February 25, 2010
شكرا" مااان على المساعدة عذبناك معنا
مااان كيف ممكن اتكلم معاك غير هون؟؟
أرسلت بواسطة: Sari Bukhari في February 25, 2010
يمكنك مراسلتي على البريد الإلكتروني:
sari [at] isecur1ty [d0t] org انا في الخدمة عزيزي =) رغم اني اتمنى ان تضع سؤالك هنا حتى يستفيد الغير لو كان من ضمن الموضوع ..
 أرسلت بواسطة: tarek في March 02, 2010
بسم الله الرحمن الريحم
مشكور اخي على الشرح الجميل ولكن انا شخصيا افضل اداه TestDisk فهي فعاله اكثر وسريعه وتعمل من الطرفيه shell وسهله الاستخدام جدا شاهد هذا الفيديو http://www.youtube.com/watch?v=winRgHOIQb8 سلام
أرسلت بواسطة: Sari Bukhari في March 08, 2010
أشكرك عزيزي على ردك, لكن Sleuthkit عبارة عن أداة للتحقيق الجنائي وليست لإستعادة البيانات =) .. حيث كتبت موضوع منفصل في الموقع يتعلق بإستعادة البيانات حيث شرحت نفس الأداة التي تم عرضها في الفيديو.. اشكرك على ردك ,,
 أرسلت بواسطة: firoo في March 14, 2010
who said that we cant shred all files from our system when computer investigator comes 2 ur home simply before they engage there target through mine home though keep a microwave behind u so i can simply put my hdd into it and burn it much faster than before good by investigator
أرسلت بواسطة: firoo في April 05, 2010
hi im having a trouble in my c compiler package when i write ./configure an error popsup & say no such $path in dir i know that i havent installed my c gnu c compiler & it didnt work even ifrom dvd but please help me with an email that i can download the gnu c compiler fom their site any help could be appreciated & thanks note: that im using opensuse 11 2.6.x
أضف تعليق
يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول. |
ساري بخاري, طالب جامعي في قسم التحقيق الجنائي الرقمي في بريطانيا, لدي خبرة واسعة في البرمجة والحماية والتصميم والتعامل مع أنظمة اللينوكس.
