هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

اكتب عن أمن المعلومات والتحقيق الجنائي الرقمي | مدونة شخصية

نظام الملفات SquashFS وكيف يمكن الاستفادة منه في التحقيق الجنائي الرقمي

في هذه التدوينة سوف نتطرق لثلاث نقاط رئيسية وهي

  • ماهو نظام الملفات SquashFS
  • طريقة الاستخدام
  • كيف يمكن الاستفادة منه في التحقيق الجنائي الرقمي

ملاحظة : سوف يتم استخدام مصطلح صوره ويقصد بها صوره كامله عن الهارد ديسك للدليل ولا يقصد صوره عادية مثل صوره شخصية او صوره منظر طبيعي

ماهو نظام الملفات SquashFS:

هو عباره عن نظام ملفات مفتوح المصدر يُستخدم لأرشفة الملفات حيث يتم وضعها في ملف واحد يمكن عمل له mount على أي نظام ويكون للقراءة  فقط. SquashFS يستخدم بشكل واسع مع انويه الأنظمة مثل embedded systems حيث انه يحافظ على معلومات الملفات (inodes) الخاصة بالنظام. أيضا يستخدم مع الـ live cd لكثير من انظمه لينكس والأجهزة الإلكترونية كنظام ملفات. من اكثر المميزات التي يوفرها النظام وهي القدرة العالية على الضغط وتقليل المساحة بالإضافة اكتشاف الملفات المكررة وتجنبها أثناء الضغط.

طريقة الاستخدام :

سوف نستخدم اداة mksquashfs للتعامل مع النظام وهي أداة موجوده بشكل افتراضي في معظم توزيعات لينكس, في حالة لم تكن الأداة موجوده قم بتنزيلها عن طريق الأمر

sudo apt-get install squashfs-tools

لبناء نظام ملفات استخدام mksquashfs بالشكل التالي

 mksquashfs source1 source2 ... destination [options]

مثال من جهازي


الملف AMS يحتوي على بعض الملفات وتمت ارشفه الملف الى نصف الحجم مع اكتشاف 14 ملف مكرر , في حالة لا تريد حذف الملفات المكررة استخدام الخيار -no-duplicates ولن تقوم الأداة بحذف أي ملفات مكررة.

لاستخراج الملفات من ملف مضغوط مسبقا, استخدام أداة unsquashfs بالشكل التالي

unsquashfs [options] target [files/directories to extract]

بعد الانتهاء من أنشاء نظام الملفات ببساطة يمكن عمل له mount ويكون للقراءة فقط باستخدام الأمر التالي

mount -o loop file.squash /mnt

للمزيد من التفاصيل عن النظام مثل كيف يمكن أضافه ملفات بعد عملية الأرشفة وكيف يمكن استخدامه مع نواة نظام لينكس وبعض الأمور الاخرى  قم بزيارة الصفحة التالية

http://www.tldp.org/HOWTO/SquashFS-HOWTO/index.html

كيف يمكن الاستفادة منه في التحقيق الجنائي الرقمي:

في التحقيق الجنائي الرقمي عند اخذ صوره من الدليل, هناك بعض التحديات التي تواجهه المحقق الجنائي مثل الحفاظ على سلامة البيانات من التغيير أثناء اخذ الصورة او عمل التحليل,  لكي لا يقع في الخطأ والحصول على نتائج لملفات تغيرت لسبب ما. التحدي الثاني وهي المساحة الكبيرة للصوره المأخوذة من الدليل, من الصعب جدا اخذ الصورة الى جهاز المحقق ليقوم بعملة من تحليل وتنقيب بسبب الحجم الكبير.

Bruce Nikkel’s قام بعمل سكربت يقوم بعمل صوره من جهاز الدليل الى نظام ملفات squashFS بشكل مباشر بالاستعانه باداة dc3dd, قم بتنزيل السكربت من هنا
تخدم الأمر التالي لاخذ صوره من جهاز الدليل الى squashFS

sfsimage -i /dev/sde kingston.sfs

حل ربما اجده انا شخصيا الأفضل, بدلا عن اخذ صوره من نوع squashFS من جهاز الدليل الأفضل ان نقوم بأخذ صوره عاديه dd على سبيل المثال ومن ثم استخدام اداة mksquashfs لعمل نسخه squashFS منها بمساحة صغيره جدا ونظام ملفات قابل للقراءة فقط, الصوره الناتجه هي عباره عن ملف squashFS يحتوي على الملفات الموجودة داخل الصورة من نوع dd ولن يتم اخذ المساحه بالكامل , على سبيل المثال اذا كان هناك صوره بحجم 1GB وداخل الصورة  فقط ملف واحد بحجم 1MB سوف ينتج ملف squashFS حجمه فقط 1MB.هذا مفيد لتحليل المعلومات داخل صورة النظام والسماح لأدوات التحقيق الجنائي الرقمي المختلفة الدخول الى الملفات في وضع القراءة فقط وتحليلها.

يمكن استخدامه ونقله الى جهاز المحقق للتحليل دون تكلف عناء الحجم الكبير للصوره الأصلية.  يمكن عمل هذا عن طريق كتابة الأمر التالي

mksquashfs image.dd image.squashFS

يمكن الآن عمل mount للصوره الجديدة باستخدام الأمر التالي

mount -t squashfs image.squashFS /mnt

لا يوجد تعليقات على هذه المقالة

اضف تعليق