أدوات وبرامجمواضيع ومقالات

مقال : استعادة الملفات المحذوفة باستخدام Sleuthkit و Autospy

تم أرشفة هذا المحتوى


شرح استخدام Sleuthkit و Autospy لتحليل واسترجاع الملفات المحذوفة. هذه إحدى الطرق المستخدمة من قبل المحققين الجنائيين الرقميين لفحص ملفات أي ذاكرة كانت سواء قرص صلب او بطاقة ذاكرة جوال أو خلافه, في هذا الموضوع قمت بالتجربة على ذاكرة USB سعة 4 جيجا بايت. حيث قمت بحذف بغض الملفات منها وإبقاء ملفات أخرى.

 

المتطلبات:

  1. نظام لينوكس.
  2. Sleuthkit.
  3. Autopsy forensic browser.
  4. قرص صلب أو usb للتجربة عليه.

حسناً , بالنسبة لي فأنا أستخدم لينوكس Fedora 12 في الشرح , بالإضافة إلى الأدوات المطلوبة أعلاه .

القسم الأول: تركيب الأدوات

يجب تركبيها على الترتيب, أولاً قم بزيارة موقع Sleuth وقم بتحميل الأداة, بعد ذلك تأكد من أن جهازك يحتوي على مترجم c++ اسمه:

gcc-c++

وتأكد من وجواد المكتبات التالية:

  • afflib
  • libewf

بعد ذلك قم بفك الضغط عن البرنامج Sleuth وقم بعمل الخطوات المعتادة لعملية الكومبايل:

./configure
make
sudo make install

مع التأكد بأن كل خطوة لا تنتهي بوجود أخطاء, بعد ذلك نحتاج لأن ننصب Autopsy ثم نفك الضغط بعد التحميل:

tar xzvf autopsy-2.22.tar.gz

ثم نقوم بتطبيق:

./configure

حيث سوف يسألك هذه الأسألة:

Autospy

هذه قائمة خاصة بموضوع آخر جداً غير إستعادة الملفات, لذلك أخترت n لها الآن. ثم السؤال الثاني يسألك عن مسار لمخزن الأدلة في حالتي أردت المخزن أن يكون في مسار الـ HOME الخاص بالمستخدم الخاص بي وأسميت الملف locker وكما هو واضح في الصورة, حذرني بأن الملف غير موجود لذلك كان يجب علي إنشاؤه:

mkdir ~/locker

الآن البرنامج جاهز للعمل عن طريق تطبيق الأمر

./autopsy

لكن لن نقوم بتشغيله الآن, لأنه يجب علينا أولاً الحصول على صورة من القرص الصلب أو قسم أو خلافه, في حالتي أريد إستعادة الملفات التي قمت بمسحها من ذاكرة usb الخاصه بي.

 

القسم الثاني: الحصول على صورة من القرص الصلب

1توصيل الذاكرة المراد أخذ صورتها إلى الجهاز, في حالتي قمت بتوصيل اليو اس بي .

2. معرفة إسم القرص في النظام عن طريق fdisk -l كالتالي:

Fdisk -l

في حالتي, معرف القرص في النظام هو:

/dev/sdc1

3- الآن يتم عمل umount للقرص حتى يتم تصويره , في حالتي سوف يكون الأمر كالتالي:

sudo umount /dev/sdc1

الآن تتم عملية التصوير عن طريق الأمر التالي:

sudo dd if=/div/DRIVE bs=1024 of=IMAGE.NAME conv=noerror
  • sudo: تنفيذ الأمر بصلاحيات جذر
  • dd: أمر نسخ القرص
  • if: معرف القرص في النظام
  • bs: عدد البايتات التي يتم قرائتها وكتابتها كل مره
  • conv=noerror: نخبر برنامج النسخ بأن يتخطى الخطأ في عملية النسخ ويكمل العملية

الآن سوف يكون الأمر كالتالي:

dd copy

حيث سوف تستغرق العملية بعض الوقت بناء على حجم القرص المراد نسخه, في حالتي أخذ 4 دقائق لنسخ 4 جيجابايت تقريباً.

 

القسم الثالث: عملية التحليل وإستعادة الملفات

نقوم بتشغيل برنامج autopsy حيث نقوم بالذهاب إلى المسار الخاص به بعد فك الضغط عند تنزيله ثم ننفذ الأمر التالي داخل المجلد الخاص به:

./autopsy

Autospy run

كما هو موضح البرنامج موجود على هذا الرابط:

http://localhost:9999/autopsy

إفتحه عن طريق متصفحك المفضل حيث هذه سوف تكون واجهته:

Autospy Firefox

ممتاز. الآن البرنامج يعمل, لنقوم بالضغط على New Case لإضافة ملف قضية حتى نبدأ عملية تحليل الصورة :

Autospy create a new case

الآن بعد تعبأة البيانات المطلوبة نقوم بالضغط على New Case حيث سوف نواجه الصفحة هذه بعدها:

Autospy add host

نتابع بالضغط على add host :

Autospy myusb victim

نقوم بملئ الخانات المطلوبة .. ثم نتابع بالضغط على Add Host:

Autospy add image

نتابع بالضغط على add image:

Autospy add image file

ثم بعد ذلك تظهر لنا الصفحة التالية:

Autospy add new image usb

حيث في الفراغ الأول يتم وضع مسار الصورة الخاصة بالقرص, في الفراغ الثاني نختار النوع في حالتي يعتبر قسم وليست صورة لهاردسك كامل أما في الأخير نوع الإضافة أخترت نسخ, لو كان حجم الملف كبير ينصح بإستخدام symlink.

بعد الإنتهاء نستمر بالضغط على Next حيث سوف يظهر لنا التالي:

Autospy details image file

في حالتي تجاهلت الـ integrity لأن تطابق الصورة مع النسخة لا تهمني. وبالنسبة عن نوع نظام التخزين/الملفات, فإن قرصي يعمل على fat32.

الآن وبعد الضغط على add تأتينا نافذة بتأكيد العملية وإنهائها:

Autospy done ok

نقوم بالضغط على زر اوكي حيث سوف تأتينا الصفحة الرئيسية,

Autospy home page analyze

الآن نضغط على analyze لبدء تحليل القرص حيث سوف تأتينا الصفحة التالية:

Autospy file analysis

نضغط على File Analysis وسوف تأتينا الصفحة التالية:

Autospy full screen shot analyze

الآن تم عرض محتويات القرص, حيث الملفات التي باللون الأحمر تمثل ملفات تم حذفها من القرص, والملفات التي باللون الأزرق هي ملفات مازالت موجودة في القرص, فعلى سبيل المثال لو قمت بالضغط على style-rtl.css سوف يتم عرض محتوياته بالأسفل كالتالي:

Autospy style rtl contents

بإمكانك الضغط على Export لإعادة تحميل الملف لو أردت ذلك.

الآن مبروك عليك إستعادة الملفات القديمة الخاصة بقرصك الصلب إذا أردت أن تتدرب على قرص, هذه صورة قسم حيث تم مسح جميع محتوياته, حاول تحليله بإستخدام البرنامج وأنظر ماذا تكتشف. أتمنى أن يستفيد الجميع من الشرح…

عن الكاتب:


ساري بخاري, طالب جامعي في قسم التحقيق الجنائي الرقمي في بريطانيا, لدي خبرة واسعة في البرمجة والحماية والتصميم والتعامل مع أنظمة اللينوكس.

مقالات ذات صلة

‫26 تعليقات

  1. جميل جدا ، قد أحتاجه في بعض الأحيان
    ممكن سؤال ؟
    ما إسمه الثيم المستعمل ؟
    شكرا
    دمتم في حفظ الرحمن

  2. شرح رائع
    ولكن فرضا لو كان صاحب USB قد استخدم تقنية الwipe في التخلص من الملفات
    طبعا اذا كان لديه خلفية عن برامج استرجاع الملفات فسيقوم بإستخدام الوايب بلا شك
    السؤال:هل هذه الطريقة حينها تنفع؟
    دمت بود : )

  3. وصلت الexternal hard diskو طبقت الامر
    root@whitewolf-laptop:/home/whitewolf/sleuthkit-3.1.0/sleuthkit-3.1.0# fdisk -l

    Disk /dev/sda: 160.0 GB, 160041885696 bytes
    255 heads, 63 sectors/track, 19457 cylinders
    Units = cylinders of 16065 * 512 = 8225280 bytes
    Disk identifier: 0x54163339

    Device Boot Start End Blocks Id System
    /dev/sda1 * 1 18706 150255913+ 83 Linux
    /dev/sda2 18707 19457 6032407+ 5 Extended
    /dev/sda5 18707 19457 6032376 82 Linux swap / Solaris

    Disk /dev/sdb: 120.0 GB, 120034123776 bytes
    255 heads, 63 sectors/track, 14593 cylinders
    Units = cylinders of 16065 * 512 = 8225280 bytes
    Disk identifier: 0x28f12a69

    Device Boot Start End Blocks Id System
    /dev/sdb1 * 1 14593 117218241 7 HPFS/NTFS

    و عندما اطبق الامر sudo umount /dev/sdb1

    بيجي الخطأ هذا

    umount: /dev/sdb1: not mounted

  4. فكرة جائت في بالي و انا أقرأ المقال

    لم لا تلخص دروسك كمقالات و تنشرها في الموقع

    منها تراجع دروسك و تستفيد خبرة اكبر من الأسئلة و تجارب الآخرين
    و أيضا يستفيد الزوار من المقالات بشكل كبير بإذن الله

  5. @GreyZer0
    نعم عزيزي, بحسب المعلومات الواردة في موقع الحزمة يمكن إستخدامها مع الأنظمة التالية:
    Linux, Mac OS X, Open & FreeBSD, Solaris

    @AAM
    بإذن الله سوف يتم ذلك, وبالتصوير من معمل التحقيق الجنائي =)

  6. الظاهر الهاردسك تبعك عطلان أو فيه مشاكل صحيح ؟

    إذا كان هاردسكك عطلان فعلاً, يفضل إستخدام dd_rescue:
    قم بتحميله , في الفيدورا يتم تحميله كالتالي:
    sudo yum install dd_rescue

    في اوبونتو
    sudo apt-get install dd_rescue

    ثم قم بتنفيذ التالي:
    dd_rescue /dev/sdb1 /home/YOURUSER/sdb1.img

    مع الحرص على تبديل YOURUSER بإسم المستخدم الخاص بك.

    العملية سوف تستغرق وقت جداً طويل, لذلك أتركه إلى أن ينتهي.. وأتمني أن تتمكن من استرجاع ملفاتك المهمة 🙂

  7. يمكنك مراسلتي على البريد الإلكتروني:
    sari [at] isecur1ty [d0t] org

    انا في الخدمة عزيزي =) رغم اني اتمنى ان تضع سؤالك هنا حتى يستفيد الغير لو كان من ضمن الموضوع ..

  8. باسم الله ما شاء الله
    شرح في قمة التميز والأناقة .

    لكن لدي سؤالان بسيطان :-
    هل هذه العلمية تستعيد الملفات التي حذفت عن طريقة تهيئة القسم ؟
    هل العملية تؤثر على سلامة القسم أو في عمره ؟

    شاكراً لكم على ما تقدمونه من دروس مفيدة .
    بالتوفيق لي ولكم

  9. @SAFAD
    الثيم هنا, http://www.gnome-look.org/cont…tent=77661

    @Mr.JOKER
    قد يقل إحتمال إستعادة البيانات وربما لا تعود إذا قمت بالكتابة فوق القرص الصلب, إذا قمت بالكتابة فوق القرص الصلب لأكثر من ثلاث مرات يمكنك إستعادة البيانات ولكن بأجهزة خاصة يستخدمها بعض الشركات وبعض معامل التحقيق الجنائي المتطورة, والله أعلم.

    @بول معوشي
    يبدوا ان إعدادات نظامك لاتقوم بعملية Mount آلياً, لذلك ليس هناك داعي لعمل umount, قم بأخذ صورة من القرص ولا تقلق, مع العلم بأنها سوف تأخذ بعض الوقت ! =)
    @aajli
    جزاك الله خير =)
    @Ali Mohammad
    1- نعم تماماً, طالما لم تقم بالكتابة فوق القرص.
    2- لا تؤثر بتاثاً لأنك سوف تعمل على صورة من قرصك وليس القرص نفسه, على أي حال لن تؤثر عليه, سواء عملت على الصورة أو على القسم مباشرة.
    مع العلم بأن حزمة Sleuth تطلب صورة للعمل لأن المحقق الجنائي مستحيل أن يعمل على القرص مباشرة. ترقب المقالات القادمة =)

  10. >> طيب كيف ممكن اصورها اذا مش ممكن استعمل عملية Mount؟؟
    عزيزي, لم أفهم سؤالك, لكن قم بتطبيق أمر التصوير التالي وأنتظر إلى أن ينتهي
    sudo dd if=/dev/sdb1 bs=1024 of=image.img conv=noerror

    عملية الماونت هي لنظامك حتى يقرأ ملفات القرص, ولا نحتاجها في عملية التصوير..

  11. شوف شو بيعطيني
    432496+0 records out
    442875904 bytes (443 MB) copied, 69.2092 s, 6.4 MB/s
    dd: reading `/dev/sdb1′: Input/output error
    432496+0 records in
    432496+0 records out
    442875904 bytes (443 MB) copied, 69.2093 s, 6.4 MB/s
    dd: reading `/dev/sdb1′: Input/output error
    432496+0 records in
    432496+0 records out
    442875904 bytes (443 MB) copied, 69.2107 s, 6.4 MB/s
    dd: reading `/dev/sdb1′: Input/output error
    432496+0 records in
    432496+0 records out
    442875904 bytes (443 MB) copied, 69.2108 s, 6.4 MB/s
    dd: reading `/dev/sdb1′: Input/output error
    432496+0 records in
    432496+0 records out
    مكرر مكرر
    صحيح الشغل او في مشكلة بوقفه؟؟
    على فكرة Hard disk externet مساحته 120GB ليش بيطلع ان 443MB

  12. أشكرك عزيزي على ردك, لكن Sleuthkit عبارة عن أداة للتحقيق الجنائي وليست لإستعادة البيانات =) .. حيث كتبت موضوع منفصل في الموقع يتعلق بإستعادة البيانات حيث شرحت نفس الأداة التي تم عرضها في الفيديو.. اشكرك على ردك ,,

  13. who said that we cant shred all files from our system when computer investigator comes 2 ur home simply before they engage there target through mine home though keep a microwave behind u so i can simply put my hdd into it and burn it much faster than before good by investigator

  14. أخي iSecur1ty موقع عربي وان أردت أن يجيب أحد على استفساراتك يجب أن تكتب بالعربية فالغاية أن يستفيد الجميع من الأسئلة المطروحة!

  15. hi im having a trouble in my c compiler package when i write ./configure an error popsup & say no such $path in dir i know that i havent installed my c gnu c compiler & it didnt work even ifrom dvd but please help me with an email that i can download the gnu c compiler fom their site any help could be appreciated & thanks note: that im using opensuse 11 2.6.x

  16. أخي أرى أنك لم تقرئ الموضوع جيدا لقد دكر الأخ ساري أن المكتبتين libewf و afflib ضروريتيان لهدا يجب أن تحملهما … فالكومبايلر يعتبر كود الأداة غير مفهوم لأنها تستدعي مكتبتين غير موجودتين في جهازك ,,, تحيااتي .

  17. ايضا هل يوجد برامج اخرى غير Autopsy للتعامل مع الصور الماخوذه للقرص الصلب؟
    سواءا تصفحها أو معالجتها لاستخراج البيانات منها؟

  18. السلام عليكم و رحمة الله و بركته
    عندي سؤال محيرني ادا استخدمت برنامج scrub هل يمكن استرجاع الملفات مرة ثانية؟
    لاني مثلا ادا اريد اعطي فلاش ديسك تبعي لشخص ثاني ايش لازم اسوي عشان ما يقدر يسترجع ملفات؟

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى