هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

اكتب عن أمن المعلومات والتحقيق الجنائي الرقمي | مدونة شخصية

forensics memory acquisition لانظمه لينكس

اخذ صوره من الذاكرة في انظمه وندوز امر سهل للغاية ويتم عن طريق اي اداة مثل ftk imager lite او اداة Memoryze . ولكن الامر مختلف قليلا في لينكس بسبب ان لينكس يمنع الوصول المباشر الى الذاكرة لزيادة الحماية, لذلك لا نستطيع ببساطة فتح اداة ونجمع بيانات الذاكرة. لكي نتمكن من الوصول الى الذاكرة يجب ان نستخدم ما يسمى loadable kernel module والتي اذا اُستخدمت مع الكرنل سوف تمكنا من الوصول الى الذاكرة واخذ صوره كاملة. افضل اداة تقوم بعمل ذلك هي linux memory extractor والتي تعرف بـ LiME.

أستخدام اداة LiME :

بما أن عملية الوصول الى الذاكرة تتطلب LKM فذلك يعني ان كل اصدار من اصدارات الكيرنل يكون له LKM مختلف, لذلك يجب علينا ان نقوم بتجهيز LKM بنفس اصدار كيرنل جهاز المشبته. لنتفرض ان لدينا جهاز مشتبه يعمل بنظام ubuntu 14.04 سوف نقوم بتنزيل الاداة في جهاز اخر في المعمل الخاص بنا يحمل نفس النظام ونفس الاصدار وننزل اداة LiME ونعمل لها compilation لكي نحصل على ملف LKM.

الخطوات :

  • قم بتنزيل الاداة من صفحه الـ github
  • قم بفك الضغط والدخول الى ملف src
  • قم بكتابة الامر make
  • اذا كل شيء تم بشكل جيد سوف تجد ملف يحمل الامتداد ko. والاسم هو اصدار الكيرنل مثل lime-3.0.0-12-generic.ko
  • هذا الملف يتم نسخه واخذه الى جهاز المشتبه
  • نقوم الان باستخدام الملف مع امر insom والذي يعني insert module لكل يتمكن من الوصول الى الذاكرة عن طريق الامر التالي :

sudo insmod ./lime.-3.0.0-12-generic.ko path=memory.lime format=raw

بعد تنفيذ الامر سوف يتم اخذ صوره كاملة من الذاكرة ووضعها نفس مسار الذي تم تنفيذ الامر فيه . احرص على تنفيذ الامر من داخل الـ USB الخاص بك . الاداة لا توفر اي طريقة لاخذ هاش من الذاكرة اثناء تحميلها ولذلك ببساطة لان الذاكرة تتغير بشكل مستمر, اذا تم اخذ صوره من الذاكرة الان بعد ثانيه الذاكرة تتغير بسبب انها تعمل وتحتوي على نظام التشغيل, سوف تتغير البيانات لذلك فور انتهائك من اخذ صوره النظام قم باخذ هاش باستخدام امر md5sum .

الاداة ايضا توفر لك ميزه نقل الذاكرة عن طريق الشبكه اثناء اخذ البيانات وحفظها في جهاز اخر على الشبكه .

اداة OSXCollector لجمع بيانات أنظمه الماك للتحقيق الجنائي الرقمي

في تدوينة سابقه ذكرت اداة Redline التي تقوم بتوليد مجموعه من السكربتات التي تستطيع استخدامها لجمع البيانات من انظمه وندوز وايضا تحليلها بنفس الاداة. بالنسبة لانظمه ماك هناك اداة OSXCollector والتي تقوم بجمع المعلومات بشكل تلقائي . الاداة عباره عن ملف بايثون واحد فقط وليس لها اي اعتماديات على نظام الماك على الاطلاق .

اقرأ المزيد

ماهي ملفات الـ prefetch والفائده منها في Windows Forensics

مايكروسوفت قامت بعمل آلية تستطيع من خلالها تسجيل بعض المعلومات التي تخص الملفات التنفيذيه في النظام بحيث اذا تم طلبها (تشغيلها) مره اخرى سوف يتم معالجه الطلب بشكل اسرع . يتم تخزين المعلومات في ملفات تدعى  prefetch .

اقرأ المزيد