آموزش ابزار tsk_gettimes

در این بخش به بررسی ابزار tsk_gettimes می پردازیم، کالی لینوکس یکی از محبوب‌ترین توزیع‌های لینوکس برای محققان امنیتی و کارشناسان جرایم سایبری است. این توزیع حاوی ابزارهای متنوعی است که به کاربران امکان تحلیل و بررسی سیستم‌ها را می‌دهد. یکی از این ابزارها، ابزار tsk_gettimes از مجموعه ابزارهای Sleuth Kit است. این ابزار برای استخراج timestamps (زمان‌های ثبت تغییرات) از فایل‌ سیستم‌ها استفاده می‌شود که می‌تواند در بررسی‌های جرم‌شناسی دیجیتال بسیار مفید باشد.

استخراج زمان‌های ثبت تغییرات فایل‌ها می‌تواند به شناسایی فعالیت‌های مخرب و تحلیل رفتار سیستم کمک کند. ابزار tsk_gettimes با جستجو در ساختارهای داده‌ای فایل سیستم، لیستی از timestamps‌ها را استخراج می‌کند. این مقاله به بررسی جزئیات نصب، پیش‌نیازها و نحوه استفاده از این ابزار می‌پردازد و مثال‌های عملی برای فهم بهتر عملکرد آن ارائه می‌دهد.

نحوه نصب ابزار tsk_gettimes

برای نصب ابزار tsk_gettimes در کالی لینوکس، می‌توانید از طریق بسته‌های موجود در مخازن رسمی اقدام کنید. دستور زیر را در ترمینال اجرا کنید تا Sleuth Kit و ابزار tsk_gettimes نصب شوند:

sudo apt-get update
sudo apt-get install sleuthkit

این دستورها ابتدا فهرست بسته‌ها را به‌روز کرده و سپس بسته Sleuth Kit را که شامل tsk_gettimes است نصب می‌کنند. اطمینان حاصل کنید که پس از نصب، ابزار به درستی کار می‌کند:

tsk_gettimes --help

این دستور باید مستندات ابزار را نمایش دهد که نشان‌دهنده نصب موفقیت‌آمیز است.

پیش نیازها (Dependencies)

برای استفاده از tsk_gettimes، باید اطمینان حاصل کنید که کتابخانه‌ها و نرم‌افزارهای مرتبط با Sleuth Kit روی سیستم شما نصب شده باشند. برخی از این پیش‌نیازها به صورت خودکار با نصب Sleuth Kit نصب می‌شوند، اما در صورت بروز مشکل، می‌توانید آن‌ها را به صورت دستی نصب کنید:

• libewf: کتابخانه‌ای برای کار با فایل‌های EWF (Expert Witness Format)
• afflib: کتابخانه‌ای برای کار با فرمت‌های AFF (Advanced Forensic Format)
• zlib: کتابخانه‌ای برای فشرده‌سازی فایل‌ها

برای نصب این پیش‌نیازها، از دستورات زیر استفاده کنید:

sudo apt-get install libewf-dev afflib-dev zlib1g-dev

این دستورات کتابخانه‌های مورد نیاز را نصب می‌کنند تا tsk_gettimes بتواند به درستی عمل کند.

نحوه استفاده از ابزار tsk_gettimes

ابزار tsk_gettimes برای استخراج timestamps از فایل سیستم استفاده می‌شود. این timestamps‌ها شامل زمان‌های ایجاد، تغییر، و دسترسی به فایل‌ها هستند. برای استفاده از این ابزار، ابتدا باید یک فایل سیستم یا یک ایمیج دیسک را به عنوان ورودی به آن بدهید. مثال زیر نشان می‌دهد که چگونه می‌توان از tsk_gettimes برای استخراج timestamps استفاده کرد:

tsk_gettimes /dev/sda1 > timeline.txt

در این مثال، ابزار tsk_gettimes از پارتیشن /dev/sda1 برای استخراج timestamps استفاده می‌کند و نتیجه را در فایل timeline.txt ذخیره می‌کند.

مثال عملی

فرض کنید می‌خواهید timestamps‌های مربوط به یک فایل ایمیج دیسک به نام disk_image.dd را استخراج کنید. مراحل زیر را دنبال کنید:

ایجاد ایمیج دیسک: اگر فایل ایمیج دیسک ندارید، می‌توانید یکی ایجاد کنید:

dd if=/dev/sda of=disk_image.dd

این دستور یک ایمیج از دیسک /dev/sda ایجاد می‌کند.

استخراج timestamps: از tsk_gettimes برای استخراج timestamps استفاده کنید:

tsk_gettimes disk_image.dd > disk_timeline.txt

این دستور timestamps‌ها را استخراج کرده و در فایل disk_timeline.txt ذخیره می‌کند.

مشاهده نتایج: می‌توانید نتایج را با استفاده از دستور cat مشاهده کنید:

cat disk_timeline.txt

در مثال بالا، ابزار tsk_gettimes تمامی timestamps‌های موجود در فایل ایمیج دیسک disk_image.dd را استخراج کرده و در فایل متنی disk_timeline.txt ذخیره می‌کند. این فایل شامل اطلاعاتی مانند زمان ایجاد، تغییر، و دسترسی به فایل‌ها می‌باشد که برای تحلیل جرم‌شناسی دیجیتال مفید است.

ابزار tsk_gettimes یکی از ابزارهای قدرتمند Sleuth Kit است که به تحلیل‌گران جرم‌شناسی دیجیتال امکان استخراج دقیق timestamps‌ها از فایل سیستم‌ها را می‌دهد. با استفاده صحیح از این ابزار، می‌توان به شناسایی و تحلیل فعالیت‌های مشکوک و بررسی تغییرات سیستم پرداخت. نصب و استفاده از این ابزار در کالی لینوکس بسیار ساده است و می‌تواند به‌طور مؤثری در فرآیند تحلیل جرم‌شناسی دیجیتال مورد استفاده قرار گیرد.

لطفاً از کمبود ها و مشکلات این محتوا برای ما بنویسید

ارسال