آموزش ابزار mactime

در این بخش به بررسی ابزار mactime می پردازیم، در دنیای امنیت سایبری و تحلیل جرائم رایانه‌ای، ابزارهای زیادی برای جمع‌آوری و تحلیل شواهد دیجیتال وجود دارد. یکی از ابزارهای قدرتمند و مهم در این زمینه، ابزار mactime از مجموعه ابزارهای Sleuth Kit می‌باشد. این ابزار در سیستم‌عامل کالی لینوکس، که به عنوان یکی از بهترین توزیع‌های لینوکس برای انجام تحلیل‌های امنیتی و جرم‌شناسی دیجیتال شناخته می‌شود، مورد استفاده قرار می‌گیرد.

ابزار mactime وظیفه تحلیل و استخراج تایم‌استمپ‌های فایل‌ها (MAC Times) را بر عهده دارد. این تایم‌استمپ‌ها شامل اطلاعاتی مانند زمان تغییر (Modification)، زمان دسترسی (Access) و زمان ایجاد (Creation) فایل‌ها می‌باشد که به اختصار MAC گفته می‌شود. بررسی این تایم‌استمپ‌ها می‌تواند به تحلیل‌گران کمک کند تا الگوهای استفاده از سیستم را شناسایی کرده و شواهد مرتبط با فعالیت‌های مشکوک را کشف کنند.

نحوه نصب ابزار mactime

نصب ابزار mactime در کالی لینوکس بسیار ساده است، زیرا کالی لینوکس به صورت پیش‌فرض شامل بسیاری از ابزارهای Sleuth Kit می‌باشد. با این حال، برای اطمینان از نصب و بروز بودن این ابزار، می‌توانید از دستورات زیر استفاده کنید:

sudo apt-get update
sudo apt-get install sleuthkit

با اجرای این دستورات، مجموعه ابزارهای Sleuth Kit، شامل mactime، نصب خواهند شد. برای اطمینان از نصب صحیح، می‌توانید دستور زیر را اجرا کنید:

mactime -V

این دستور نسخه نصب شده mactime را نمایش می‌دهد و نشان می‌دهد که ابزار به درستی نصب شده است.

پیش نیازها (Dependencies)

قبل از استفاده از mactime، نیاز است که برخی پیش‌نیازها را برآورده کنید. این پیش‌نیازها شامل موارد زیر می‌باشند:

نصب Sleuth Kit: همانطور که در بخش قبلی توضیح داده شد، باید Sleuth Kit نصب باشد.

فایل زمان‌بندی بدن (Body File): mactime نیاز به یک فایل بدن دارد که شامل تایم‌استمپ‌های فایل‌ها است. این فایل توسط ابزار fls از Sleuth Kit ایجاد می‌شود. برای ایجاد این فایل، دستور زیر را استفاده کنید:

fls -r -m /mnt/disk_image > body_file.txt

در این دستور، /mnt/disk_image مسیر دیسک ایمیجی است که می‌خواهید تحلیل کنید و body_file.txt نام فایل بدنی است که ایجاد می‌شود.

نصب و بروزرسانی کالی لینوکس: مطمئن شوید که کالی لینوکس شما بروز است. برای این کار از دستورات زیر استفاده کنید:

sudo apt-get update
sudo apt-get upgrade

نحوه استفاده از ابزار mactime

ابزار mactime به تحلیل‌گران کمک می‌کند تا با استفاده از تایم‌استمپ‌های فایل‌ها، الگوهای فعالیت‌های سیستم را شناسایی کنند. برای استفاده از این ابزار، پس از تهیه فایل بدن، می‌توانید از دستور زیر استفاده کنید:

mactime -b body_file.txt -d > timeline.csv

در این دستور، -b مشخص‌کننده فایل بدن و -d خروجی به فرمت CSV است. این خروجی می‌تواند با نرم‌افزارهای تحلیل داده مانند Excel یا LibreOffice تحلیل شود.

مثال

فرض کنید فایل بدنی به نام body_file.txt دارید. برای ایجاد یک تایم‌لاین از این فایل، دستور زیر را اجرا می‌کنیم:

mactime -b body_file.txt -d > timeline.csv

این دستور یک فایل CSV به نام timeline.csv ایجاد می‌کند که شامل تایم‌استمپ‌های فایل‌های موجود در فایل بدن می‌باشد. می‌توانید این فایل را در نرم‌افزارهای تحلیل داده باز کرده و الگوهای زمانی را بررسی کنید.

تحلیل خروجی

خروجی این ابزار شامل ستون‌های مختلفی است که هر یک اطلاعات مهمی را در اختیار تحلیل‌گران قرار می‌دهد. برخی از این ستون‌ها عبارتند از:

• MAC: نوع تایم‌استمپ (Modification, Access, Change)
• Date: تاریخ وقوع تایم‌استمپ
• Time: زمان وقوع تایم‌استمپ
• File Name: نام فایل مرتبط با تایم‌استمپ

با تحلیل این اطلاعات، می‌توانید الگوهای دسترسی به فایل‌ها را بررسی کرده و فعالیت‌های مشکوک را شناسایی کنید.

ابزار mactime از مجموعه ابزارهای Sleuth Kit یکی از ابزارهای ضروری برای تحلیل‌گران امنیت و جرم‌شناسی دیجیتال است. با استفاده از این ابزار، می‌توان تایم‌استمپ‌های فایل‌ها را به طور دقیق تحلیل کرد و الگوهای فعالیت‌های سیستم را شناسایی کرد. نصب و استفاده از این ابزار در کالی لینوکس ساده است و می‌تواند به تحلیل‌گران در جمع‌آوری شواهد دیجیتال کمک کند.

لطفاً از کمبود ها و مشکلات این محتوا برای ما بنویسید

ارسال