مقال : استعادة الملفات المحذوفة باستخدام Sleuthkit و Autospy
تقيمك :شرح استخدام Sleuthkit و Autospy لتحليل واسترجاع الملفات المحذوفة. هذه إحدى الطرق المستخدمة من قبل المحققين الجنائيين الرقميين لفحص ملفات أي ذاكرة كانت سواء قرص صلب او بطاقة ذاكرة جوال أو خلافه, في هذا الموضوع قمت بالتجربة على ذاكرة USB سعة 4 جيجا بايت. حيث قمت بحذف بغض الملفات منها وإبقاء ملفات أخرى.
المتطلبات:
- نظام لينوكس.
- Sleuthkit.
- Autopsy forensic browser.
- قرص صلب أو usb للتجربة عليه.
حسناً , بالنسبة لي فأنا أستخدم لينوكس Fedora 12 في الشرح , بالإضافة إلى الأدوات المطلوبة أعلاه .
القسم الأول: تركيب الأدوات
يجب تركبيها على الترتيب, أولاً قم بزيارة موقع Sleuth وقم بتحميل الأداة, بعد ذلك تأكد من أن جهازك يحتوي على مترجم c++ اسمه:
gcc-c++وتأكد من وجواد المكتبات التالية:
- afflib
- libewf
بعد ذلك قم بفك الضغط عن البرنامج Sleuth وقم بعمل الخطوات المعتادة لعملية الكومبايل:
./configuremake
sudo make install
مع التأكد بأن كل خطوة لا تنتهي بوجود أخطاء, بعد ذلك نحتاج لأن ننصب Autopsy ثم نفك الضغط بعد التحميل:
tar xzvf autopsy-2.22.tar.gzثم نقوم بتطبيق:
./configureحيث سوف يسألك هذه الأسألة:
هذه قائمة خاصة بموضوع آخر جداً غير إستعادة الملفات, لذلك أخترت n لها الآن. ثم السؤال الثاني يسألك عن مسار لمخزن الأدلة في حالتي أردت المخزن أن يكون في مسار الـ HOME الخاص بالمستخدم الخاص بي وأسميت الملف locker وكما هو واضح في الصورة, حذرني بأن الملف غير موجود لذلك كان يجب علي إنشاؤه:
mkdir ~/lockerالآن البرنامج جاهز للعمل عن طريق تطبيق الأمر
./autopsyلكن لن نقوم بتشغيله الآن, لأنه يجب علينا أولاً الحصول على صورة من القرص الصلب أو قسم أو خلافه, في حالتي أريد إستعادة الملفات التي قمت بمسحها من ذاكرة usb الخاصه بي.
القسم الثاني: الحصول على صورة من القرص الصلب
1توصيل الذاكرة المراد أخذ صورتها إلى الجهاز, في حالتي قمت بتوصيل اليو اس بي .
2. معرفة إسم القرص في النظام عن طريق fdisk -l كالتالي:
في حالتي, معرف القرص في النظام هو:
/dev/sdc13- الآن يتم عمل umount للقرص حتى يتم تصويره , في حالتي سوف يكون الأمر كالتالي:
sudo umount /dev/sdc1الآن تتم عملية التصوير عن طريق الأمر التالي:
sudo dd if=/div/DRIVE bs=1024 of=IMAGE.NAME conv=noerror- sudo: تنفيذ الأمر بصلاحيات جذر
- dd: أمر نسخ القرص
- if: معرف القرص في النظام
- bs: عدد البايتات التي يتم قرائتها وكتابتها كل مره
- conv=noerror: نخبر برنامج النسخ بأن يتخطى الخطأ في عملية النسخ ويكمل العملية
الآن سوف يكون الأمر كالتالي:
حيث سوف تستغرق العملية بعض الوقت بناء على حجم القرص المراد نسخه, في حالتي أخذ 4 دقائق لنسخ 4 جيجابايت تقريباً.
القسم الثالث: عملية التحليل وإستعادة الملفات
نقوم بتشغيل برنامج autopsy حيث نقوم بالذهاب إلى المسار الخاص به بعد فك الضغط عند تنزيله ثم ننفذ الأمر التالي داخل المجلد الخاص به:
./autopsyكما هو موضح البرنامج موجود على هذا الرابط:
http://localhost:9999/autopsyإفتحه عن طريق متصفحك المفضل حيث هذه سوف تكون واجهته:
ممتاز. الآن البرنامج يعمل, لنقوم بالضغط على New Case لإضافة ملف قضية حتى نبدأ عملية تحليل الصورة :
الآن بعد تعبأة البيانات المطلوبة نقوم بالضغط على New Case حيث سوف نواجه الصفحة هذه بعدها:
نتابع بالضغط على add host :
نقوم بملئ الخانات المطلوبة .. ثم نتابع بالضغط على Add Host:
نتابع بالضغط على add image:
ثم بعد ذلك تظهر لنا الصفحة التالية:
حيث في الفراغ الأول يتم وضع مسار الصورة الخاصة بالقرص, في الفراغ الثاني نختار النوع في حالتي يعتبر قسم وليست صورة لهاردسك كامل أما في الأخير نوع الإضافة أخترت نسخ, لو كان حجم الملف كبير ينصح بإستخدام symlink.
بعد الإنتهاء نستمر بالضغط على Next حيث سوف يظهر لنا التالي:
في حالتي تجاهلت الـ integrity لأن تطابق الصورة مع النسخة لا تهمني. وبالنسبة عن نوع نظام التخزين/الملفات, فإن قرصي يعمل على fat32.
الآن وبعد الضغط على add تأتينا نافذة بتأكيد العملية وإنهائها:
نقوم بالضغط على زر اوكي حيث سوف تأتينا الصفحة الرئيسية,
الآن نضغط على analyze لبدء تحليل القرص حيث سوف تأتينا الصفحة التالية:
نضغط على File Analysis وسوف تأتينا الصفحة التالية:
الآن تم عرض محتويات القرص, حيث الملفات التي باللون الأحمر تمثل ملفات تم حذفها من القرص, والملفات التي باللون الأزرق هي ملفات مازالت موجودة في القرص, فعلى سبيل المثال لو قمت بالضغط على style-rtl.css سوف يتم عرض محتوياته بالأسفل كالتالي:
بإمكانك الضغط على Export لإعادة تحميل الملف لو أردت ذلك.
الآن مبروك عليك إستعادة الملفات القديمة الخاصة بقرصك الصلب إذا أردت أن تتدرب على قرص, هذه صورة قسم حيث تم مسح جميع محتوياته, حاول تحليله بإستخدام البرنامج وأنظر ماذا تكتشف. أتمنى أن يستفيد الجميع من الشرح…
عن الكاتب:
ساري بخاري, طالب جامعي في قسم التحقيق الجنائي الرقمي في بريطانيا, لدي خبرة واسعة في البرمجة والحماية والتصميم والتعامل مع أنظمة اللينوكس.

مختبر إختراق من الأردن أحب كل ما يتعلق بأمن المعلومات ، أساهم في كتابة العديد من المقالات والتحديات في مُجتمع iSecur1ty ، أحب البرمجة بلغة python ولدي خبره في إدارة السيرفرات وبناء الأنظمة.
التعليقات
GreyZer0
23 فبراير، 2010 الساعة 5:47 صشكرا على المعلومات القيمه اخي , هل يعمل Autospy على الـMac ام هناك نسخه خاصه؟
SAFAD
23 فبراير، 2010 الساعة 7:14 مجميل جدا ، قد أحتاجه في بعض الأحيان
ممكن سؤال ؟
ما إسمه الثيم المستعمل ؟
شكرا
دمتم في حفظ الرحمن
Mr.JOKER
23 فبراير، 2010 الساعة 8:23 مشرح رائع
ولكن فرضا لو كان صاحب USB قد استخدم تقنية الwipe في التخلص من الملفات
طبعا اذا كان لديه خلفية عن برامج استرجاع الملفات فسيقوم بإستخدام الوايب بلا شك
السؤال:هل هذه الطريقة حينها تنفع؟
دمت بود : )
بول معوشي
23 فبراير، 2010 الساعة 8:36 موصلت الexternal hard diskو طبقت الامر
root@whitewolf-laptop:/home/whitewolf/sleuthkit-3.1.0/sleuthkit-3.1.0# fdisk -l
Disk /dev/sda: 160.0 GB, 160041885696 bytes
255 heads, 63 sectors/track, 19457 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Disk identifier: 0x54163339
Device Boot Start End Blocks Id System
/dev/sda1 * 1 18706 150255913+ 83 Linux
/dev/sda2 18707 19457 6032407+ 5 Extended
/dev/sda5 18707 19457 6032376 82 Linux swap / Solaris
Disk /dev/sdb: 120.0 GB, 120034123776 bytes
255 heads, 63 sectors/track, 14593 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Disk identifier: 0x28f12a69
Device Boot Start End Blocks Id System
/dev/sdb1 * 1 14593 117218241 7 HPFS/NTFS
و عندما اطبق الامر sudo umount /dev/sdb1
بيجي الخطأ هذا
umount: /dev/sdb1: not mounted
AAM
23 فبراير، 2010 الساعة 10:32 صفكرة جائت في بالي و انا أقرأ المقال
لم لا تلخص دروسك كمقالات و تنشرها في الموقع
منها تراجع دروسك و تستفيد خبرة اكبر من الأسئلة و تجارب الآخرين
و أيضا يستفيد الزوار من المقالات بشكل كبير بإذن الله
Sari Bukhari
23 فبراير، 2010 الساعة 1:38 م@GreyZer0
نعم عزيزي, بحسب المعلومات الواردة في موقع الحزمة يمكن إستخدامها مع الأنظمة التالية:
Linux, Mac OS X, Open & FreeBSD, Solaris
@AAM
بإذن الله سوف يتم ذلك, وبالتصوير من معمل التحقيق الجنائي =)
aajli
24 فبراير، 2010 الساعة 6:24 صالله عليك اخي مميز
Sari Bukhari
25 فبراير، 2010 الساعة 2:12 مالظاهر الهاردسك تبعك عطلان أو فيه مشاكل صحيح ؟
إذا كان هاردسكك عطلان فعلاً, يفضل إستخدام dd_rescue:
قم بتحميله , في الفيدورا يتم تحميله كالتالي:
sudo yum install dd_rescue
في اوبونتو
sudo apt-get install dd_rescue
ثم قم بتنفيذ التالي:
dd_rescue /dev/sdb1 /home/YOURUSER/sdb1.img
مع الحرص على تبديل YOURUSER بإسم المستخدم الخاص بك.
العملية سوف تستغرق وقت جداً طويل, لذلك أتركه إلى أن ينتهي.. وأتمني أن تتمكن من استرجاع ملفاتك المهمة 🙂
بول معوشي
25 فبراير، 2010 الساعة 2:22 مشكرا” مااان على المساعدة عذبناك معنا
مااان كيف ممكن اتكلم معاك غير هون؟؟
Sari Bukhari
25 فبراير، 2010 الساعة 7:11 ميمكنك مراسلتي على البريد الإلكتروني:
sari [at] isecur1ty [d0t] org
انا في الخدمة عزيزي =) رغم اني اتمنى ان تضع سؤالك هنا حتى يستفيد الغير لو كان من ضمن الموضوع ..
Ali Mohammad
25 فبراير، 2010 الساعة 10:14 صباسم الله ما شاء الله
شرح في قمة التميز والأناقة .
لكن لدي سؤالان بسيطان :-
هل هذه العلمية تستعيد الملفات التي حذفت عن طريقة تهيئة القسم ؟
هل العملية تؤثر على سلامة القسم أو في عمره ؟
شاكراً لكم على ما تقدمونه من دروس مفيدة .
بالتوفيق لي ولكم
Sari Bukhari
25 فبراير، 2010 الساعة 11:40 ص@SAFAD
الثيم هنا, http://www.gnome-look.org/cont…tent=77661
@Mr.JOKER
قد يقل إحتمال إستعادة البيانات وربما لا تعود إذا قمت بالكتابة فوق القرص الصلب, إذا قمت بالكتابة فوق القرص الصلب لأكثر من ثلاث مرات يمكنك إستعادة البيانات ولكن بأجهزة خاصة يستخدمها بعض الشركات وبعض معامل التحقيق الجنائي المتطورة, والله أعلم.
@بول معوشي
يبدوا ان إعدادات نظامك لاتقوم بعملية Mount آلياً, لذلك ليس هناك داعي لعمل umount, قم بأخذ صورة من القرص ولا تقلق, مع العلم بأنها سوف تأخذ بعض الوقت ! =)
@aajli
جزاك الله خير =)
@Ali Mohammad
1- نعم تماماً, طالما لم تقم بالكتابة فوق القرص.
2- لا تؤثر بتاثاً لأنك سوف تعمل على صورة من قرصك وليس القرص نفسه, على أي حال لن تؤثر عليه, سواء عملت على الصورة أو على القسم مباشرة.
مع العلم بأن حزمة Sleuth تطلب صورة للعمل لأن المحقق الجنائي مستحيل أن يعمل على القرص مباشرة. ترقب المقالات القادمة =)
بول معوشي
25 فبراير، 2010 الساعة 12:25 مطيب كيف ممكن اصورها اذا مش ممكن استعمل عملية Mount؟؟
Sari Bukhari
25 فبراير، 2010 الساعة 12:37 م>> طيب كيف ممكن اصورها اذا مش ممكن استعمل عملية Mount؟؟
عزيزي, لم أفهم سؤالك, لكن قم بتطبيق أمر التصوير التالي وأنتظر إلى أن ينتهي
sudo dd if=/dev/sdb1 bs=1024 of=image.img conv=noerror
عملية الماونت هي لنظامك حتى يقرأ ملفات القرص, ولا نحتاجها في عملية التصوير..
بول معوشي
25 فبراير، 2010 الساعة 1:23 مشوف شو بيعطيني
432496+0 records out
442875904 bytes (443 MB) copied, 69.2092 s, 6.4 MB/s
dd: reading
/dev/sdb1': Input/output error
/dev/sdb1′: Input/output error432496+0 records in
432496+0 records out
442875904 bytes (443 MB) copied, 69.2093 s, 6.4 MB/s
dd: reading
432496+0 records in
432496+0 records out
442875904 bytes (443 MB) copied, 69.2107 s, 6.4 MB/s
dd: reading
/dev/sdb1': Input/output error
/dev/sdb1′: Input/output error432496+0 records in
432496+0 records out
442875904 bytes (443 MB) copied, 69.2108 s, 6.4 MB/s
dd: reading
432496+0 records in
432496+0 records out
مكرر مكرر
صحيح الشغل او في مشكلة بوقفه؟؟
على فكرة Hard disk externet مساحته 120GB ليش بيطلع ان 443MB
tarek
2 مارس، 2010 الساعة 11:15 صبسم الله الرحمن الريحم
مشكور اخي على الشرح الجميل ولكن انا شخصيا افضل اداه
TestDisk
فهي فعاله اكثر وسريعه وتعمل من الطرفيه shell
وسهله الاستخدام جدا
شاهد هذا الفيديو
http://www.youtube.com/watch?v=winRgHOIQb8
سلام
Sari Bukhari
9 مارس، 2010 الساعة 1:38 صأشكرك عزيزي على ردك, لكن Sleuthkit عبارة عن أداة للتحقيق الجنائي وليست لإستعادة البيانات =) .. حيث كتبت موضوع منفصل في الموقع يتعلق بإستعادة البيانات حيث شرحت نفس الأداة التي تم عرضها في الفيديو.. اشكرك على ردك ,,
firoo
14 مارس، 2010 الساعة 1:37 مwho said that we cant shred all files from our system when computer investigator comes 2 ur home simply before they engage there target through mine home though keep a microwave behind u so i can simply put my hdd into it and burn it much faster than before good by investigator
عبدالمهيمن
5 أبريل، 2010 الساعة 5:50 مأخي iSecur1ty موقع عربي وان أردت أن يجيب أحد على استفساراتك يجب أن تكتب بالعربية فالغاية أن يستفيد الجميع من الأسئلة المطروحة!
firoo
5 أبريل، 2010 الساعة 2:25 مhi im having a trouble in my c compiler package when i write ./configure an error popsup & say no such $path in dir i know that i havent installed my c gnu c compiler & it didnt work even ifrom dvd but please help me with an email that i can download the gnu c compiler fom their site any help could be appreciated & thanks note: that im using opensuse 11 2.6.x
عبد الصمد
22 فبراير، 2011 الساعة 4:37 مشرح رائع
هناك أيضا نسخة gparted الأخيرة أضيف إليها خاصية إستعادة الملفات.
Terorrist
22 فبراير، 2011 الساعة 11:41 صأخي أرى أنك لم تقرئ الموضوع جيدا لقد دكر الأخ ساري أن المكتبتين libewf و afflib ضروريتيان لهدا يجب أن تحملهما … فالكومبايلر يعتبر كود الأداة غير مفهوم لأنها تستدعي مكتبتين غير موجودتين في جهازك ,,, تحيااتي .
max-7
8 يوليو، 2012 الساعة 6:05 صايضا هل يوجد برامج اخرى غير Autopsy للتعامل مع الصور الماخوذه للقرص الصلب؟
سواءا تصفحها أو معالجتها لاستخراج البيانات منها؟
max-7
8 يوليو، 2012 الساعة 2:34 صالسلام عليكم،،
قمت بعمل صورة للهارد دسك بنجاح باستخدام الامر
dd_rescue /dev/sdb1 /home/YOURUSER/sdb1.img
عموما،، اتبعت الخطوات اللاحقه ولكن عندما اصل الى هذه المرحلة
http://www.isecur1ty.org/images/stories/articles/autopsy-file-analysis.png
لا يظهر لي خيار File Analysis
فما هو الحل؟
شكرا
max-7
13 مارس، 2013 الساعة 6:46 مبانتظار اي تلميحات حول الموضوع
وليد ناصري
11 أبريل، 2014 الساعة 12:15 مالسلام عليكم و رحمة الله و بركته
عندي سؤال محيرني ادا استخدمت برنامج scrub هل يمكن استرجاع الملفات مرة ثانية؟
لاني مثلا ادا اريد اعطي فلاش ديسك تبعي لشخص ثاني ايش لازم اسوي عشان ما يقدر يسترجع ملفات؟