هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

اكتب عن أمن المعلومات والتحقيق الجنائي الرقمي | مدونة شخصية

forensics memory acquisition لانظمه لينكس

اخذ صوره من الذاكرة في انظمه وندوز امر سهل للغاية ويتم عن طريق اي اداة مثل ftk imager lite او اداة Memoryze . ولكن الامر مختلف قليلا في لينكس بسبب ان لينكس يمنع الوصول المباشر الى الذاكرة لزيادة الحماية, لذلك لا نستطيع ببساطة فتح اداة ونجمع بيانات الذاكرة. لكي نتمكن من الوصول الى الذاكرة يجب ان نستخدم ما يسمى loadable kernel module والتي اذا اُستخدمت مع الكرنل سوف تمكنا من الوصول الى الذاكرة واخذ صوره كاملة. افضل اداة تقوم بعمل ذلك هي linux memory extractor والتي تعرف بـ LiME.

أستخدام اداة LiME :

بما أن عملية الوصول الى الذاكرة تتطلب LKM فذلك يعني ان كل اصدار من اصدارات الكيرنل يكون له LKM مختلف, لذلك يجب علينا ان نقوم بتجهيز LKM بنفس اصدار كيرنل جهاز المشبته. لنتفرض ان لدينا جهاز مشتبه يعمل بنظام ubuntu 14.04 سوف نقوم بتنزيل الاداة في جهاز اخر في المعمل الخاص بنا يحمل نفس النظام ونفس الاصدار وننزل اداة LiME ونعمل لها compilation لكي نحصل على ملف LKM.

الخطوات :

  • قم بتنزيل الاداة من صفحه الـ github
  • قم بفك الضغط والدخول الى ملف src
  • قم بكتابة الامر make
  • اذا كل شيء تم بشكل جيد سوف تجد ملف يحمل الامتداد ko. والاسم هو اصدار الكيرنل مثل lime-3.0.0-12-generic.ko
  • هذا الملف يتم نسخه واخذه الى جهاز المشتبه
  • نقوم الان باستخدام الملف مع امر insom والذي يعني insert module لكل يتمكن من الوصول الى الذاكرة عن طريق الامر التالي :

sudo insmod ./lime.-3.0.0-12-generic.ko path=memory.lime format=raw

بعد تنفيذ الامر سوف يتم اخذ صوره كاملة من الذاكرة ووضعها نفس مسار الذي تم تنفيذ الامر فيه . احرص على تنفيذ الامر من داخل الـ USB الخاص بك . الاداة لا توفر اي طريقة لاخذ هاش من الذاكرة اثناء تحميلها ولذلك ببساطة لان الذاكرة تتغير بشكل مستمر, اذا تم اخذ صوره من الذاكرة الان بعد ثانيه الذاكرة تتغير بسبب انها تعمل وتحتوي على نظام التشغيل, سوف تتغير البيانات لذلك فور انتهائك من اخذ صوره النظام قم باخذ هاش باستخدام امر md5sum .

الاداة ايضا توفر لك ميزه نقل الذاكرة عن طريق الشبكه اثناء اخذ البيانات وحفظها في جهاز اخر على الشبكه .

اداة OSXCollector لجمع بيانات أنظمه الماك للتحقيق الجنائي الرقمي

في تدوينة سابقه ذكرت اداة Redline التي تقوم بتوليد مجموعه من السكربتات التي تستطيع استخدامها لجمع البيانات من انظمه وندوز وايضا تحليلها بنفس الاداة. بالنسبة لانظمه ماك هناك اداة OSXCollector والتي تقوم بجمع المعلومات بشكل تلقائي . الاداة عباره عن ملف بايثون واحد فقط وليس لها اي اعتماديات على نظام الماك على الاطلاق .

الاداة تعمل على جمع المعلومات تقريبا من 40 مسار مختلف في نظام الماك . هذه قائمه بالمعلومات التي تقوم الاداة بجمعها :

  • version
  • system_info
  • kext
  • startup
    • launch_agents
    • scripting_additions
    • startup_items
    • login_items
  • applications
    • applications
    • install_history
  • quarantines
  • downloads
    • downloads
    • email_downloads
    • old_email_downloads
  • chrome
    • history
    • archived_history
    • cookies
    • login_data
    • top_sites
    • web_data
    • databases
    • local_storage
    • preferences
  • firefox
    • cookies
    • downloads
    • formhistory
    • history
    • signons
    • permissions
    • addons
    • extension
    • content_prefs
    • health_report
    • webapps_store
    • json_files
  • safari
    • downloads
    • history
    • extensions
    • databases
    • localstorage
    • extension_files
  • accounts
    • system_admins
    • system_users
    • social_accounts
    • recent_items
  • mail
  • full_hash

بعد انتهاء الاداة من جمع المعلومات يمكن عمل تحليل يدوي وذلك عن طريق استخراج المعلومات بشكل يدوي من ملفات الـ JSON وتحليلها بطريقة يدوية مثل استخدام Regular expression او اي طريقه مناسبة لك او بأستخدام OSXCollector Output Filters والتي توفر لك فلاتر يمكن استخدامها مع بيانات اداة OSXCollector . الاداة في الحقيقه رائعه لقوتها وسهولة استخدامها وتتطور بشكل ملحوظ . القي نظره على  اداة AMIRA ايضا .

هناك تفاصيل مفيده تجدها في صفحه الـ github الخاصه بالاداة اتمنى ان تتطلع عليها الرابط مرفق في الاسفل .

https://github.com/Yelp/osxcollector

قد يكون هذا الفيديو ايضا مفيد

 

Forensics Live Analysis باستخدام اداة Redline لانظمه وندوز

في اي عملية تحقيق جنائي لحادثة اختراق جمع المعلومات مهمة رئيسيه. جمع المعلومات تتم على مستوى الشبكه او على مستوى الجهاز (Host). كل المعلومات مهمه للغاية حتى تلك المعلومات المؤقته الموجوده في ذاكرة النظام.

في العادة يتم اخذ صوره كاملة من الهارد ديسك للتحليل ولكن احيانا يتطلب اخذ المعلومات بشكل مباشر دون اطفاء النظام هذه العملية تسمى بـ Live analysis او Live response . تطرقت للموضوع سابقا بفيديو على مجتمع iSecur1ty.

جانب مهم يجب مراعاته هو عدم تغيير اي شي في النظام المراد التحقيق فيه, لذلك يجب استخدام اداوات مخصصه لعملية الجمع. الكثير يستخدم سكربتات وادوات بسيطه قام ببرمجتها او عن طريق استخدام الاوامر الموجوده في النظام بشكل افتراضي. قليله جدا هي الادوات التي توفر لك بيئه جيده لجمع المعلومات دون المساس بالنظام والاعتماد بشكل كلي على مكتبات مضمنه مع السكربتات محاولة لعدم الاعتماد على مكتبات في النظام وتشغيلها واحداث التغييرات.

اداة Redline توفر مجموعه من السكربات التي تقوم بانشائها واستخدامها اثناء الاستجابة للحوادث . السكربتات تقوم بجمع المعلومات بشكل تلقائي. الاداة ايضا تستطيع  اخذ صوره من ذاكرة النظام وهذا جزء أساسي من عملية Live response حيث ان الذاكرة تحتوي على معلومات مهمه للغاية.

طريقة عمل الاداة وهي اولا تقوم بتنصيب الاداة على جهازك الذي تستخدمه للتحقيق الجنائي الرقمي. لا تقوم ابدا بتنصيب الاداة على الجهاز المراد التحقيق فيه وألا سوف تقوم بإتلاف الدليل , عند فتح الادة سوف يكون هناك خياران, الاول وهو انشاء السكربات المطلوبه لجمع البيانات, الثاني تحليل بيانات تم جمعها.

سوف نقوم باختيار الخيار الاول, الاداة سوف تتيح لك خيار تعديل السكربتات التي سوف تولدها. هناك تقريبا 11 تصنيف من المعلومات التي سوف تجمع واكثر 60 مصدر سوف تجمع منه المعلومات .

كما هو واضح في الصوره يمكن اختيار ما تريد جمعه, بعد عملية الاختيار قم بتحديد مكان حفظ السكربات.  من الافضل وضعهم في قرص USB واستخدام القرص اثناء جمع المعلومات من الجهاز المراد التحقيق فيه.

سوف تجد الملف RunRedlineAudit.bat والذي سوف يقوم ببدء عملية الجمع. بعد انقضاء الوقت المطلوب للجمع والذي يختلف على حسب البيانات التي اخترتها للجمع. قم بنقل الملف الذي سوف يتم انشائه في نفس مسار السكربتات والذي يحتوي على البيانات لفتحها باستخدام الاداه نفسها وتحليل البيانات .

الاداة رائعة في تحليل النتائج وعرض البيانات بشكل رسومي, ويمكن ايضا تحليل الذاكرة واستخراج الكثير من البيانات المفيده . هذا رابط لدليل المستخدم الخاص بالاداة .

لقد قمت مسبقا بتسجيل فيديوهات عن الاداة مقسمة لجزئين, اتمنى ان تكون مفيده.

 

ماهي ملفات الـ prefetch والفائده منها في Windows Forensics

مايكروسوفت قامت بعمل آلية تستطيع من خلالها تسجيل بعض المعلومات التي تخص الملفات التنفيذيه في النظام بحيث اذا تم طلبها (تشغيلها) مره اخرى سوف يتم معالجه الطلب بشكل اسرع . يتم تخزين المعلومات في ملفات تدعى  prefetch .

ملفات الـ prefetch تحتوي على معلومات قيمة للتحقيق الجنائي الرقمي لانظمه وندوز , الملفات تحتوي على معلومات تخص البرامج التي عملت في النظام مع عدد المرات التي تم فتح فيها برنامج معين . هذه المعلومات قد تستخدم كدليل لفتح برنامج وعدد المرات وكذلك تاريخ ووقت اخر فتح للبرنامج . في حالة تم حذف البرنامج من النظام , ملفات الـ prefetch تبقى في النظام ولا يتم مسحها وهذا يعتبر مفيد جدا في التحقيق الجنائي ومعرفة البرنامج التي تم تشغيلها . الملفات تحمل امتداد  .PF في نظام وندوز وتوجد داخل ملف Windows في قرص النظام . لكل برنامج منصب على النظام ملف prefetch منفصل لتخزين المعلومات  . على سبيل المثال اذا كان هناك لعبة منصبة على النظام واسم اللعبة ( الملف التنفيذي للعبة) MY-GAME سوف يكون اسم الملف في مجلد الـ prefetch اسم اللعبة متبوع ببعض الاحرف كهاش مميز لكل ملف سوف يكون شبية بالاسم التالي  MY-GAME.EXE-0FE8F3A9.pf .

المعلومات التي توفرها ملفات الـprefetch :

  • اسم الملف التنفيذي
  • عدد المرات التي تم فتح فيها البرنامج
  • تاريخ الانشاء
  • بعض المسارات الخاصه بالملف والمكتبات التي يعتمد عليها

هناك العديد من الادوات الجيده التي توفر لك تحليل لملفات الـ prefetch منها الادوات التاليه

اداة winprefetchview