ویژگی تصویر

آموزش ابزار istat

  /  هک و امنیت   /  ابزار istat
بنر تبلیغاتی الف
هک - امنیت - هکر - کالی لینوکس - hack - ceh

در این بخش به بررسی ابزار istat می پردازیم، در دنیای امروز، تجزیه و تحلیل و بازیابی داده‌ها از دیسک‌های سخت یکی از مهمترین جنبه‌های دیجیتال فارنزیک است. یکی از ابزارهای قدرتمند و رایجی که در این حوزه استفاده می‌شود، ابزار istat است. این ابزار، بخشی از مجموعه ابزارهای The Sleuth Kit است که در کالی لینوکس به‌عنوان یکی از مهمترین سیستم‌عامل‌های امنیتی و فارنزیک، به‌کار می‌رود. istat به متخصصان امنیت و تحلیل‌گران فارنزیک اجازه می‌دهد تا اطلاعات دقیقی از فایل‌ها و سیستم فایل‌های موجود در یک دیسک استخراج کنند.

ابزار istat به کاربران امکان مشاهده اطلاعات مربوط به inodeها را می‌دهد. در سیستم‌عامل‌های مبتنی بر یونیکس و لینوکس، هر فایل و دایرکتوری با یک inode مرتبط است که حاوی اطلاعات متا (مانند مالک، اندازه، نوع فایل، و مجوزها) می‌باشد. تحلیل inodeها می‌تواند به کشف اطلاعات پنهان یا بازیابی داده‌های حذف شده کمک کند. در این مقاله، نحوه نصب، پیش‌نیازها و چگونگی استفاده از ابزار istat را بررسی خواهیم کرد.

نحوه نصب ابزار istat

نصب از طریق مخازن رسمی کالی لینوکس

ابزار istat به‌عنوان بخشی از مجموعه ابزارهای The Sleuth Kit در مخازن رسمی کالی لینوکس موجود است. برای نصب این ابزار، ابتدا باید مطمئن شوید که مخازن سیستم شما به‌روز هستند. سپس می‌توانید دستور زیر را اجرا کنید:

sudo apt-get update
sudo apt-get install sleuthkit

با اجرای این دستورات، مجموعه کامل ابزارهای The Sleuth Kit از جمله istat بر روی سیستم شما نصب خواهد شد.

بررسی نصب صحیح

پس از نصب، برای اطمینان از نصب صحیح ابزار istat می‌توانید دستور زیر را اجرا کنید:

istat -v

این دستور نسخه ابزار را نمایش می‌دهد و می‌توانید مطمئن شوید که نصب به‌درستی انجام شده است.

پیش‌نیازها (Dependencies)

ابزار istat به‌طور کلی به پیش‌نیازهای خاصی نیاز ندارد، زیرا تمامی وابستگی‌های آن به‌همراه مجموعه The Sleuth Kit نصب می‌شود. با این حال، برای استفاده بهینه از این ابزار و تحلیل دقیق‌تر، بهتر است چند نکته را در نظر داشته باشید:

سیستم به‌روز: مطمئن شوید که سیستم‌عامل کالی لینوکس شما به‌روز است. این کار با اجرای دستور زیر انجام می‌شود:

sudo apt-get update && sudo apt-get upgrade

نصب ابزارهای تکمیلی: ابزارهای دیگری مانند autopsy، sleuthkit و foremost می‌توانند در تحلیل‌های پیشرفته‌تر کمک کنند.

دانش اولیه از سیستم فایل‌ها: برای استفاده مؤثر از istat، داشتن دانش اولیه از ساختار و عملکرد سیستم فایل‌های لینوکس و یونیکس بسیار مفید است.

فضای کافی دیسک: برخی از تحلیل‌های فارنزیک نیاز به فضای زیادی برای ذخیره داده‌های استخراج شده دارند. مطمئن شوید که فضای کافی برای این کار در دسترس است.

نحوه استفاده از ابزار istat

دستورات پایه

ابزار istat برای نمایش اطلاعات inodeها استفاده می‌شود. ساختار کلی دستور به شکل زیر است:

istat [گزینه‌ها] <مسیر_به_دیسک> <شماره_inode>

مثال‌هایی از استفاده

مشاهده اطلاعات inode خاص: فرض کنید دیسک شما در مسیر /dev/sda1 قرار دارد و می‌خواهید اطلاعات inode شماره 128 را مشاهده کنید:

istat /dev/sda1 128

خروجی این دستور شامل اطلاعات کاملی از inode 128 خواهد بود، مانند تاریخ‌های دسترسی، تغییر و ویرایش فایل، مالک و گروه فایل، و همچنین بلوک‌های داده‌ای که فایل در آنها ذخیره شده است.

تحلیل فایل‌های حذف شده:

یکی از کاربردهای مهم istat، تحلیل و بازیابی فایل‌های حذف شده است. با استفاده از ابزارهای دیگر مانند fls و icat می‌توانید لیست inodeهای فایل‌های حذف شده را پیدا کرده و سپس با استفاده از istat اطلاعات بیشتری از آنها استخراج کنید.

برای مثال، ابتدا لیست inodeها را با fls استخراج می‌کنیم:

fls -r -d /dev/sda1

سپس با استفاده از istat اطلاعات inode مربوط به فایل حذف شده را مشاهده می‌کنیم:

istat /dev/sda1 1234

این دستور اطلاعات inode شماره 1234 را که ممکن است متعلق به یک فایل حذف شده باشد، نمایش می‌دهد.

نکات پیشرفته

استفاده از اسکریپت‌ها: برای تحلیل‌های پیچیده‌تر، می‌توانید از اسکریپت‌های شل یا پایتون برای خودکارسازی دستورات istat و جمع‌آوری داده‌ها استفاده کنید.

ترکیب با ابزارهای دیگر: istat به‌خوبی با دیگر ابزارهای فارنزیک ترکیب می‌شود. برای مثال، می‌توانید ابتدا با tsk_recover تمامی فایل‌های یک پارتیشن را بازیابی کرده و سپس با istat آنها را تحلیل کنید.

تحلیل سیستم فایل‌های مختلف: istat با سیستم فایل‌های مختلفی مانند NTFS، FAT، EXT و HFS+ سازگار است. برای تحلیل هر نوع سیستم فایل، نیاز به دستورالعمل‌های خاصی ندارید، زیرا istat به‌طور خودکار نوع سیستم فایل را تشخیص می‌دهد.

ابزار istat یک ابزار قدرتمند و مفید برای تحلیل‌گران فارنزیک است که به آنها امکان می‌دهد تا اطلاعات دقیقی از inodeها و سیستم فایل‌ها استخراج کنند. با داشتن دانش کافی از سیستم فایل‌ها و استفاده صحیح از این ابزار، می‌توانید به‌طور مؤثری به تحلیل و بازیابی داده‌ها بپردازید. ابزار istat به‌عنوان بخشی از مجموعه The Sleuth Kit در کالی لینوکس به‌راحتی قابل دسترسی و استفاده است و با ترکیب با ابزارهای دیگر می‌تواند قدرت تحلیل شما را به‌طور چشمگیری افزایش دهد.

آیا این مطلب برای شما مفید بود ؟

خیر
بله
بنر تبلیغاتی ج