طريقة التحليل واسترجاع الملفات المحذوفة المستخدمة من قبل المحققين الجنائيين الرقميين

شرح استخدام Sleuthkit و Autospy لتحليل واسترجاع الملفات المحذوفة. هذه إحدى الطرق المستخدمة من قبل المحققين الجنائيين الرقميين لفحص ملفات أي ذاكرة كانت سواء قرص صلب او بطاقة ذاكرة جوال أو خلافه, في هذا الموضوع قمت بالتجربة على ذاكرة USB سعة 4 جيجا بايت. حيث قمت بحذف بغض الملفات منها وإبقاء ملفات أخرى.

المتطلبات:
نظام لينوكس.
Sleuthkit.
Autopsy forensic browser.
قرص صلب أو usb للتجربة عليه.

القسم الأول: تركيب الأدوات

يجب تركبيها على الترتيب, أولاً قم بزيارة موقع Sleuth وقم بتحميل الأداة, بعد ذلك تأكد من أن جهازك يحتوي على مترجم ++c اسمه:
++gcc-c
وتأكد من وجواد المكتبات التالية:
afflib
libewf
بعد ذلك قم بفك الضغط عن البرنامج Sleuth وقم بعمل الخطوات المعتادة لعملية الكومبايل:
configure/.
make
sudo make install
مع التأكد بأن كل خطوة لا تنتهي بوجود أخطاء, بعد ذلك نحتاج لأن ننصب Autopsy ثم نفك الضغط بعد التحميل:
tar xzvf autopsy-2.22.tar.gz
ثم نقوم بتطبيق:
configure/.
حيث سوف يسألك هذه الأسألة:

هذه قائمة خاصة بموضوع آخر جداً غير إستعادة الملفات, لذلك أخترت n لها الآن. ثم السؤال الثاني يسألك عن مسار لمخزن الأدلة في حالتي أردت المخزن أن يكون في مسار الـ HOME الخاص بالمستخدم الخاص بي وأسميت الملف locker وكما هو واضح في الصورة, حذرني بأن الملف غير موجود لذلك كان يجب علي إنشاؤه:
mkdir ~/locker
الآن البرنامج جاهز للعمل عن طريق تطبيق الأمر
autopsy/.
لكن لن نقوم بتشغيله الآن, لأنه يجب علينا أولاً الحصول على صورة من القرص الصلب أو قسم أو خلافه, في حالتي أريد إستعادة الملفات التي قمت بمسحها من ذاكرة usb الخاصه بي.

القسم الثاني: الحصول على صورة من القرص الصلب

1توصيل الذاكرة المراد أخذ صورتها إلى الجهاز, في حالتي قمت بتوصيل اليو اس بي .
2. معرفة إسم القرص في النظام عن طريق fdisk -l كالتالي:

في حالتي, معرف القرص في النظام هو:
/dev/sdc1
3- الآن يتم عمل umount للقرص حتى يتم تصويره , في حالتي سوف يكون الأمر كالتالي:
sudo umount /dev/sdc1
الآن تتم عملية التصوير عن طريق الأمر التالي:
sudo dd if=/div/DRIVE bs=1024 of=IMAGE.NAME conv=noerror
sudo: تنفيذ الأمر بصلاحيات جذر
dd: أمر نسخ القرص
if: معرف القرص في النظام
bs: عدد البايتات التي يتم قرائتها وكتابتها كل مره
conv=noerror: نخبر برنامج النسخ بأن يتخطى الخطأ في عملية النسخ ويكمل العملية
الآن سوف يكون الأمر كالتالي:

حيث سوف تستغرق العملية بعض الوقت بناء على حجم القرص المراد نسخه, في حالتي أخذ 4 دقائق لنسخ 4 جيجابايت تقريباً.

القسم الثالث: عملية التحليل وإستعادة الملفات

نقوم بتشغيل برنامج autopsy حيث نقوم بالذهاب إلى المسار الخاص به بعد فك الضغط عند تنزيله ثم ننفذ الأمر التالي داخل المجلد الخاص به:
./autopsy

كما هو موضح البرنامج موجود على هذا الرابط:
http://localhost:9999/autopsy
إفتحه عن طريق متصفحك المفضل حيث هذه سوف تكون واجهته:

ممتاز. الآن البرنامج يعمل, لنقوم بالضغط على New Case لإضافة ملف قضية حتى نبدأ عملية تحليل الصورة :

الآن بعد تعبأة البيانات المطلوبة نقوم بالضغط على New Case حيث سوف نواجه الصفحة هذه بعدها:

نتابع بالضغط على add host :

نقوم بملئ الخانات المطلوبة .. ثم نتابع بالضغط على Add Host:

نتابع بالضغط على add image:

ثم بعد ذلك تظهر لنا الصفحة التالية:

حيث في الفراغ الأول يتم وضع مسار الصورة الخاصة بالقرص, في الفراغ الثاني نختار النوع في حالتي يعتبر قسم وليست صورة لهاردسك كامل أما في الأخير نوع الإضافة أخترت نسخ, لو كان حجم الملف كبير ينصح بإستخدام symlink.
بعد الإنتهاء نستمر بالضغط على Next حيث سوف يظهر لنا التالي:

في حالتي تجاهلت الـ integrity لأن تطابق الصورة مع النسخة لا تهمني. وبالنسبة عن نوع نظام التخزين/الملفات, فإن قرصي يعمل على fat32.
الآن وبعد الضغط على add تأتينا نافذة بتأكيد العملية وإنهائها:

نقوم بالضغط على زر اوكي حيث سوف تأتينا الصفحة الرئيسية,

الآن نضغط على analyze لبدء تحليل القرص حيث سوف تأتينا الصفحة التالية:

نضغط على File Analysis وسوف تأتينا الصفحة التالية:

الآن تم عرض محتويات القرص, حيث الملفات التي باللون الأحمر تمثل ملفات تم حذفها من القرص, والملفات التي باللون الأزرق هي ملفات مازالت موجودة في القرص, فعلى سبيل المثال لو قمت بالضغط على style-rtl.css سوف يتم عرض محتوياته بالأسفل كالتالي:

بإمكانك الضغط على Export لإعادة تحميل الملف لو أردت ذلك.
الآن مبروك عليك إستعادة الملفات القديمة الخاصة بقرصك الصلب إذا أردت أن تتدرب على قرص, هذه صورة قسم حيث تم مسح جميع محتوياته, حاول تحليله بإستخدام البرنامج وأنظر ماذا تكتشف. أتمنى أن يستفيد الجميع من الشرح…