الكاتب Sari Bukhari

الأربعاء, 03 مارس 2010 00:48

بعد معرفة كيفية تحليل الهارد في الموضوع السابق باستخدام مجموعة Sleuthkit سأشرح في هذا الموضوع ثلاث برامج recoverjpeg , foremost و PhotoRec المستخدمة باسترجاع الصور والملفات المحذوفة من الهارد وذواكر USB بالتفصيل.

MS Micro

في هذه العملية يجب علينا في البداية أخذ صورة (نسخه) طبق الأصل من كرت الذاكرة, ولعمل ذلك يجب أن يكون في حاسبك منفذ بطاقات SD.MS/Pro.MMC.XD أو تسمى بعض الأحيان بـ Magicgate في أجهزة السوني.

في هذا الشرح سوف أستخدم التالي:

.النظام فيدورا 12
ذاكرة جهاز سوني اريكسون من نوع ScanDisk M2 سعة 512 ميغابايت.
M2 Adapter لتوصيلها بجهازي المحمول.

ملاحظة: عند الكتابة على كرت الذاكرة بعد المسح يقل إحتمال إسترجاع الصور المحذوفة.

عملية إستعادة الصور المحذوفة

بعد توصيل بطاقة الذاكرة بالجهاز, نقوم بكتابة الأمر:

mount

أو الأمر التالي لمعرفة كرت الذاكرة الذي سوف نعمل عليه:

fdisk -l

حيث بالنسبة لي كان التالي:

fdisk -l

الآن قبل تصوير الكرت يجب عليك التأكد بأن الكرت ليس معمول عليه mount من النظام, ثم بعد ذلك قم بعملية التصوير الإعتيادية, قم بتعديل الأمر بحسب ما ترى مناسباً:

dd if=/dev/mspblk0p1 bs=1024 of=old-phone.img conv=noerror

الآن إنتظر إنتهاء عملية النسخ, فور الإنتهاء ستكون أنجزت 50% من المهمة.

لسحب الصور من صورة الذاكرة مباشرة يمكنك إستخدام إحدى البرامج الثلاث أدناه, كلها تؤدي نفس الغرض لكن كل واحد منهم يحتوي على ميزة تميزه, حيث سوف اكتب وجهة نظري الشخصية عن كل برنامج.

البرنامج الأول: recoverjpeg | تحميل
الميزة: لاحظت بأن البرنامج يسترجع جميع الصور لدرجة أني ذهلت لإستعادته صور قديمة جداً رغم كتابتي على الذاكرة بإستمرار, لكن الصور لم تعود 100%, فبعضها يغطيها جزء رمادي بسبب الكتابة على الذاكرة, مع العلم بأنك لن تحتاج بأن تقوم بأي عملية إصلاح للصور.

التركيب عن طريق البناء من المصدر:

./configure
make
make install

طريقة الإستعادة:

mkdir recovery
cd recovery
recoverjpeg PHONE.IMG

أو مباشرة عن طريق:

recoverjpeg /dev/sdb

البرنامج الثاني: foremost | التحميل
الميزة: يزودك بتقرير في ملف نصي عن عملية الإسترجاع, بالإضافة يمكنك أن تحدد ماذا تريد أن تسترجع من إمتدادات, حيث يصنفها لك في مجلدات كل إمتداد في مجلد خاص به.

التركيب البناء من المصدر (نفس الطريقة السابقة).

طريقة الإستعادة:

foremost -t jpeg,png,gif -T -i /path/to/image

البرنامج الثالث: PhotoRec | التحميل
الميزة: برنامج جميل ومرتب ويدعم العديد من أنظمة التخزين بالإضافة إلى إمكانية إختيار الإمتدادت المراد إستعادتها. أما عيبه فهو التصنيف جداً سيء, حيث يقوم بإستعادة الملفات في مجلدات مبعثرة.

التركيب: لا يحتاج تركيب, إفتح الضغط وإستخدم البرنامج عن طريق سطر الأوامر, حيث تم عمل له كومبايل مسبقاً.

طريقة الإستعادة:

بعد الدخول على المجلد يتم فتح البرنامج PhotoRec باستخدام الأمر:

./photorec /path/to/image

PhotoRec

بعد ذلك نحدد الزر Proceed , للإستمرار على الصورة الذاكرة المحددة.

PhotoRec

بعد ذلك حدد نوع البارتشن, في حالتي None , لكن للآيفون مثلاً يتم تحديد Apple partition map.

PhotoRec

يمكنك الإستمرار بالضغط على Search حيث سوف يقوم البرنامج إفتراضياً بإستعادة جميع الملفات المحذوفة, لكن إذا كنت تريد إستعادة الصور فقط, إذهب إلى خيار File Opt.

PhotoRec

يمكنك الضغط على حرف الـ s لتحديد الجميع و إلغاء تحديد الجميع, بعد الإنتهاء قم بالضغط على حرف الـ b ثم أضغط أوكي بعد ذلك.

PhotoRec

الآن اضغط إنتر للعودة للقائمة الرئيسية وأضغط على Search لبدء عملية الإستعادة. حيث سوف يظهر التالي:

PhotoRec

حدد ما يناسبك, في حالتي سوف أختار Other.

PhotoRec

الآن سوف يسألك البرنامج كيف تريده يقوم بعملية الإستعادة, هل من المساحة الخالية أو جميع الذاكرة, حيث المساحة الخالية سوف يعيد لك الملفات المفقود فقط, لكن عن نفسي أوده أن يعيد لي الجمل بما حمل لذلك أخترت Whole.

PhotoRec

حسناً, الآن يسألك أين تريد حفظ الملفات التي تم إستعادتها, يمكنك عمل ذلك بسهولة عن طريق الضغط على الأسهم ” يسار – يمين ” لتغيير الملف, ثم أضغط إنتر على الملف الذي تريد تخزين الملفات فيه وليس تحديده فقط في البرنامج. بعد ذلك إضغط على الزر y:

PhotoRec

مبروك, الآن جاري استعادة الصور والملفات المحذوفة من ذاكرة الـ USB.

عن الكاتب:

ساري بخاري, طالب جامعي في قسم التحقيق الجنائي الرقمي في بريطانيا, لدي خبرة واسعة في البرمجة والحماية والتصميم والتعامل مع أنظمة اللينوكس.

إضافة إلى المفضلة

إرسال إلى صديق

المشاهدات: 6113

التعليقات (9) Add Comment

3XPLO!7
أرسلت بواسطة: tarek في March 03, 2010

تسلم اخي ساري على الشرح الجميل

بالفعل هناك الكثير من الادوات لتقوم بهذه المهمه وانا مثل ما سبق وقلت لك في موضوعك الاول

ارى ان الاداه Test Disk - PhotoRec اجدهااسرع من غيرها بكثير ولها جوده عاليه لذلك افضلها لمثل هذه المهمات

سلام

Hit-Man
أرسلت بواسطة: Hit-Man في March 03, 2010

السلام عليكم

شكرا لك أخي ساري على الموضوع

عند حدف الصور أو الملفات من الجهاز .أنت دكرت أنه يمكن أن نعيدها . لكن عندي سؤال

أي تكون مخبأة الصور هده لما نحدفها ؟

اي ادا تم حدف الصور أي تدهب -في أي قطعة- ؟

و شكرا لك و مبروك انضمامك لفريق isecur1ty

بالتوفيق

root3ksa
أرسلت بواسطة: root3ksa في March 04, 2010

يعطيك العافية أخوي

...
أرسلت بواسطة: ســامي في March 06, 2010

صحيح انه يمكن استرجاع الملفات المحذوفة

لاكن الا ترى ان البرامج التي تعتمد على اختيار الامتداد برامج فاشلة تخيل اني اغير الامتداد الى امتداد اخر او الى رموز ♣•♦◘○☺♥☻ هنا لن يتكن البرنامج من ايجادها
ومن جهه اخرى ارى انه يمكن استرجاع اي قرص صلب او فلاش مموري تالف حتى وان تم ادخاله في الماء, سيتم شحن الذاكرة لتنشيطها وستعمل بشكل طبيعي

مرايك الان بهذه الفكرة
كونك مختص في التحقيق الجنائي تخيل ان هاكر ينتصب نضام الباك تراك او اي نضام ...
على فلاش مموري يعني الجهاز ليس لديه دخل لانو راح يكون اقلاع , ويقوم باقتحام السيرفرات الان حتى وان تم القبض عليه فبدون دليك الفلاش مموري لن تستطيع اتهامه بأي شئ فكلامك هنا دائما يفتقد الى الدليل الا تظن انه يمكن التخلص من المموري في وقت قصير كحرقه فهنا لايمكن استرجاعه لانه سيفقد مغنطته ولا يمكن شحنه
المهم يقى القانون واضح كل متهم برئ حتى تتبت اذنته
تحياتي

ملاحظة هذه مجرد افاكر فقط "حرية الراي والتعبير " لا اقصد عرقلة المدونة او اي شئ اخر نحن هنا لنقاش وتبادل الافكار
مع فائق احترامي

...
أرسلت بواسطة: Sari Bukhari في March 07, 2010

@Hit-man
عند حذف الملفات وخلافه من القرص الصلب النظام فقط يقوم بإزالة الرابط مابين النظام والملف في القرص الصلب, اي ان الملف موجود بالأصل في القرص الصلب, لذلك يمكن إستعادته.
للإستزادة في هذا الموضوع يجب عليك القراءة عن آلية عمل الأقراص الصلبة .

@سامي
عزيزي هذه برامج إستعادة, بإمكانك مراجعة الموضوع السابق لمعرفة الآلية التي يتبعها المحقق الجنائي لتحليل الأقراص الصلبة وكروت الذاكرة, وسوف تجد أننا نعمل تحليل للقرص كامل بكافة محتوياته وبإستخدام الـ MD5 لكني لم أتطرق لها في ذلك الشرح,
وبالنسبة عن المخترق الذي يعمل بنظام الباك تراك, يعتمد على نوع القضية واتمنى ان لا تنسى بأنه يمكن لمزود الخدمة الخاص بك أن يزودنا بكامل البيانات والمواقع التي تقوم بزيارتها وجميع الإتصالات التي أجريتها في حال طلبها من جهة رسمية =)
وفي حال القبض على المتهم هل سوف يكون هو على علم بأننا له بالمرصاد ؟ المحققين الجنائيين الرقميين يعملوا خلف الكواليس وربما نحن الان مراقبين من قبلهم :)

بإختصار هناك طرق عديدة لإثبات إدانة أي مشتبه به, والأمر لا يقتصر على إستعادة بيانات, فتم حل العديد من القضايا عن طريق البريد الإلكتروني, والـ IP ... وغيرها من الطرق الأخرى.

مفهوم التحقيق الجنائي الرقمي بأنه ايجاد الدليل من الاقراص الصلبة فكرة خاطئة تماماً يقع فيها كثير من الناس, فهنالك أساليب عديدة يمكن للمحقق أن يتبعها لإثبات إدانة المتهم.

...
أرسلت بواسطة: ســامي في March 07, 2010

فل نفرض ان مشكلة القرص الصلب يتغلب فيه الهكرز اي التخلص من usb وهذه سهلة

بانسية للاتصالات هل تدري انه يمكن تشفير الاتصال ومزد الخدمة لا يعرف ما تقوم به
تخيل انك جالس في جامعة او اي مكان ما يتوفر على الانترنات وتقوم بهجوم على سرفر الذي لا يكلفك 10 دقائق لتعرف كامل تقارير حوله لتخترقه بكبسه زر

هنا كيف يمكن ادانتك او با احرى كيف يتم ايجادك

ومن باب اخر أأمن بإنه ما من جريمة كاملة فالله سبحانه خلقة كل شئ بحكمة

سبحان الله وبحمده سبحان ربي العظيم

بنسة لإدانة لاظن انه يمكن اتهامك هكذااا فكلام المحقق دائما يفتقد الى الدليل

لا تقل لي انه سيتهمك بزيارة الموقع وان يكن فاموقع اصلا مخصص للاطلاع عليه

صحيح ان مزود الخمة سيسجل المواقع التي زرتها لاكن لا يمكنه تسجيل الاومر التي طبقتها

...
أرسلت بواسطة: Sari Bukhari في March 07, 2010

@سامي
عزيزي سامي, المحقق الجنائي لن يخبر الهكر أنه قادم للقبض عليه حتى يتخلص من الـusb او خلافه من أجهزة الذاكرة, حيث عملية القبض تكون بدون علم الجاني تماماً .. نعم هناك بعض الجناة الحذرين لكن مهما كان حذر سوف يتم إلقاء القبض عليه.. خلال الايام القادمة سوف يتم إنزال موضوع في آي سيكيورتي حيث سوف أوضح فيه طريقة قمت بتعقب شخص قام بكتابة ملف فيه اكثر من 20 الف سيريال نمبر ..
هل تعلم كتابة إسم مستعار فقط في اي جريمة رقمية كافيه لتعقبك :) ؟

مهما كان المخترق ذكي, ولعل أكبر مثال كيفن متنك الذي جن جنون رجال الإف بي آي حتى تم القبض عليه رغم أنه كان شديد الحذر .. الخلاصة زلة بسيطة وربما لا تتوقعها كفيلة بإيقاعك

حتى لو شبك على الإنترنت من سطح القمر .. =)

...
أرسلت بواسطة: ســامي في March 08, 2010

شكراا لك اخي Sari Bukhar ♥ عموما اذا لم يتخلص من usb فسجن احقه فهذا ارتكب الجريمة تم سلم نفسه :)
معك حق فإسم الامستعار وكتب الاميل 90% تدل على غباء الجاني والسجن احق به :)
بنسبة لسطح القمر ذالك كان من المضي التخفي الان كلوااا صار في نجوم بعيدااا عن
ا ل ا ن ت ر ب و ل

^
/
l l
l l
l l
l l
____l l____
___|___|___/
w_w_w