تحليل: أداة Pasco

تحليل يشرح ماهي ملفات index.dat, ولماذا تعتبر هذه الملفات دليل جنائي مهم, وأين يمكننا العثور عليها وكيف. بعد ذلك سوف نحلل الأداة إبتداءاً بتفصيل بسيط عنها, إيجابياتها, سلبياتها, وطريقة تنصيبها على جهاز المحقق. في هذا التحليل سنفصيل كافة المميزات التي تتمتع بها الأداة, حيث سنشرحها ونقييمها ثم في نهاية هذا التحليل سيكون هنالك مقارنة بسيطة بين هذه الأداة وأدوات\برامج من نفس النوع وبالطبع نتطرق لبعض التحسينات المقترحة لتحسين باسكو في حال رغب أحد بتطويرها.

أولاً, ماهي ملفات index.dat ؟

هذه الملفات يستخدمها متصفح انترنت اكسبلورر منذ إصداره الرابع, حيث يحتوي هذا الملف على سجل لجميع المواقع, الكوكيز, عمليات البحث, وأحياناً بعض الملفات والمجلدات الذي تم الإطلاع عليها مؤخراً في جهاز المشتبه به.

لماذا يحتاج متصفح إنترنت إكسبلورر هذا الملف ؟

من المعروف أنه عندما يقوم أي شخص بتصفح موقع يتم تخزين كافة المحتويات التي تمت زيارتها على القرص الصلب في سبيل تسريع عملية التصفح في حال رغب المستخدم في تصفح نفس الموقع مره أخرى وتجنب تحميل الموقع مره أخرى وبالتالي توفير بعض الباندويث. ولتعمل هذه الميزة في انترنت اكسبلورر, جميع المعلومات الخاصة بالملفات المعروف تسميتها “بالملفات المؤقتة” يتم تخزين تفاصيلها في ملفات index.dat المخفية.

لماذا تعتبر ملفات index.dat دليل جنائي رقمي؟

ببساطة لأنها تحتوي على سجل كامل لجميع العمليات المسبق ذكرها التي قام بها المشتبه به عن طريق متصفح إنترنت إكسبلورر. وبالذات أنها توفر لنا التاريخ والوقت الذي قام به المشتبه به بزيارة الموقع آخر مره, وبالتالي سوف تفيدنا بشكل كبير في عملية التحقيق الجنائي. مع العلم, بأن ملفات index.dat مخفية ولا يستطيع المستخدم العادي تعديلها\مسحها ببساطة. فبسبب ماتم شرحه في هذه النقطة, البيانات التي يحملها هذا الملف تؤهله ليكون دليل أكثر من مفيد في أي قضية جنائية كونها تفصح لنا عن نشاط المشتبه بهم عن طريق متصفح إنترنت إكسبلورر.

هل ملفات index.dat يتم إستخدامها من جميع المتصفحات الأخرى؟

لا, فقط لمتصفح إنترنت اكسبلورر, كون المتصفحات الأخرى تستخدم تكنيك وأسلوب مختلف لتخزين وإدارة ملفاتها المؤقتة.

أين يمكننا العثور على ملفات index.dat في أجهزة المشتبه بهم؟

في العادة يتم العثور عليها بداخل الملف الأساسي لإسم المستخدم للنظام. في الجدول التالي سوف أعرض لكم مسار أكثر الملفات إستخداماً من قبل المحققين الجنائيين لمختلف إصدارات الويندوز.
Windows 7 and Windows Vista:
C:\Users\\Roaming\Microsoft\Windows\Cookies\index.dat
C:\Users\\Roaming\Microsoft\Windows\Cookies\Low\index.dat
C:\Users\\Local\Microsoft\Windows\History\History.IE5\index.dat
C:\Users\\Local\Microsoft\Windows\History\History.IE5\Low\index.dat
C:\Users\\Local\Microsoft\Windows\History\History.IE5\index.dat\MSHistXXXXXXX\index.dat
C:\Users\\Local\Microsoft\Windows\History\History.IE5\Low\index.dat\MSHistXXXXX\index.dat
C:\Users\\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
C:\Users\\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5index.dat
C:\Users\\Roaming\Microsoft\Internet Explorer\UserData\index.dat
C:\Users\\Roaming\Microsoft\Internet Explorer\UserData\Low\index.dat
Windows XP and Windows 2000:
C:\Documents and Settings\\Cookies\index.dat
C:\Documents and Settings\\Local Settings\History\History.IE5\index.dat
C:\Documents and Settings\\Local Settings\History\History.IE5\MSHistXXXXXXXXXXX\index.dat
C:\Documents and Settings\\Local Settings\Temporary Internet Files\Content.IE5\index.dat
C:\Documents and Settings\\UserData\index.dat
Windows ME, 98, 95 or Windows NT:
C:\Windows\Cookies\index.dat
C:\Windows\History\index.dat
C:\Windows\History\MSHistXXXXXXXXXXXXXXXXXX\index.dat (XXXX are some digits)
C:\Windows\History\History.IE5\index.dat
C:\Windows\History\History.IE5\MSHistXXXXXXXXXXXXXXXXXX\index.dat
C:\Windows\Temporary Internet Files\index.dat (only in Internet Explorer 4.x)
C:\Windows\Temporary Internet Files\Content.IE5\index.dat
C:\Windows\UserData\index.dat
C:\Windows\Profiles\\Cookies\index.dat
C:\Windows\Profiles\\History\index.dat
C:\Windows\Profiles\\History\MSHistXXXXXXXXXXXXXXXXXX\index.dat
C:\Windows\Profiles\\History\History.IE5\index.dat
C:\Windows\Profiles\\History\History.IE5\MSHistXXXXXXXXXXXXXXXXXX\index.dat
C:\Windows\Profiles\\Temporary Internet Files\index.dat (only in IE 4.x)
C:\Windows\Profiles\\Temporary Internet Files\Content.IE5\index.dat
C:\Windows\Profiles\\UserData\index.dat


باسكو :

بعد معرفة ماهي ملفات index.dat ولماذا تعتبر مهمة, سوف أقوم الآن بالعودة للموضوع الرئيسي وتحليل الأداة.
لمحة لباسكو من سطر الأوامر

باسكو عبارة عن برنامج سطري, الإصدار الذي سوف أقوم بتحليله هو أول وآخر إصدار لهذه الأداة حيث تم إصدارها في عام 2003. الشيء الجيد بخصوص هذه الأداة أنها مفتوحة المصدر, لهذا فهي مجانية ويمكن تطويرها من قبل أي شخص مهتم في حال رغب بتطويرها بحكم توفر الكود المصدري لها في الموقع الرسمي للأداة http://www.foundstone.com . قد يكون الإسم غريباً ! لكن قال مبرمج البرنامج بأن باسكو كلمة لاتينية تعني “browse” – تصفح. هذه الأداة يمكن تشغيلها على جميع أنظمة التشغيل الأساسية كويندوز (عن طريق cygwin), ماك, لينكس و فري بي اس دي. بالطبع باسكو يحتاج لملف index.dat حتى يعمل, بمعنى أنه لن يبحث عن الملف آلياً, بل يجب توفير الملف له حتى تتمكن الأداة من تحليل الملف.

الإيجابيات:

  • مجاني ومفتوح المصدر.
  • سهل الإستخدام عن طريق سطر الأوامر.
  • تعمل الأداة على جميع أنظمة التشغيل.

السلبيات:

  • الأداة قديمة نوعاً ما.
  • لم يتم تطويرها ولا تحسينها بعد صدورها ابداً.
  • قليل من المميزات موجودة في الأداة.
  • لا تقوم الأداة بالبحث عن ملفات index.dat في نظام حي ولا إستخراجها من صور الأقراص الصلبة.
  • فقط إنترنت إكسبلورر !

أين يمكننا الحصول على هذه الأداة ؟

يمكنكم تحميل باسكو مجاناً من الموقع الرسمي الخاص بالأداة Pasco-v1.0 , بعد الإنتهاء من التحميل, سوف تظهر الملفات التالية بعد عملية فك الضغط:

  • bin : مستخدمي ويندوز سوف يجدوا بداخل هذا المجلد نسخة مترجمة مسبقاً للأداة وجاهزة للإستخدام مع ملف cygwin1.dll حتى يمكن تشغيلها عن طريق سطر الأوامر.
  • src : هنا يوجد الكود المصدري الخاص بالأداة للمهتمين لترجمة الأداة أو تطويرها.
  • Readme.txt : بعض الملاحظات تركها لنا مبرمج الأداة لتنصيب وترجمة الأداة.

التنصيب:

بالنسبة لي كمستخدم لنظام لينكس أتبعت هذه الخطوات البسيطة بإعتبار بأني داخل المجلد pasco .
$ cd src
$ make
بالنسبة لمستخدمي نظام ماك X : في حال لم يعمل الأمر الذي بالأعلي يرجى ترجمة الأداة كالتالي:
$ gcc -o pasco pasco.c -lm -lc
مستخدمي ويندوز: بالرغم بأن هنالك نسخة مترجمة جاهزه, لكن في حال رغبتم بالترجمة من الكود المصدري فضلاً أتبعوا الطريقة التالية عن طريق cygwin :
$ gcc -DCYGWIN -o pasco.exe pasco.c -lm -lc
لقد قمت بإضافة خطوة إضافية لعملية التنصيب الخاصة بي, وقمت بنسخ الأداة المترجمة إلى /usr/local/bin حتى يمكنني إستخدام الأداة من أي مسار عن طريق سطر الأوامر:
$ sudo copy pasco /usr/local/bin

طريقة الإستخدام:

بعد تشغيل باسكو عن طريق سطر الأوامر سوف نجد الناتج التالي:
Usage: pasco [options]
-d Undelete Activity Records
-t Field Delimiter (TAB by default)
باسكو سهل الإستخدام جداً, ولا يحتاج لخبرة عالية لإستخدامه, حيث لا يحتوي إلا على خيارين. بكل بساطة لقراءة ملف index.dat يمكننا كتابة الأمر التالي فقط:
$ pasco /directory/index.dat
وهذا الأمر كفيل بإخراج المعلومات الخاصة بملف index.dat . لكن, سوف أقوم بشرح طريقة أفضل لقراءة هذا الملف بإستخدام نفس الأداة في هذا التحليل… لنتابع.

طريقة الإستخدام المثالية:

كما شرحنا سابقاً ملف index.dat لابد بأن يكون متواجد في سبيل أن تعمل الأداة. لهذا على المحقق إستخراج الملف يدوياً من صورة القرص الصلب الخاصة بجهاز المشتبه به. سوف أقوم بإستخدام عينة متواجدة لدي من ملف index.dat .
تشغيل باسكو لتحليل بيانات index.dat بشكل مباشر عن طريق الأمر السابق لن يكون إلا فكرة سيئة كون الملف يحمل العديد من السجلات حيث سوف ينتهي بك المطاف ببيانات غير لائقة كالتالي:

ربما إستخدام بعض الـ pipes سوف تساعدك لقراءة كامل المحتويات بطريقة سريعة لكن هذا ليس كافياً !, لذلك يفضل تحويل البيانات إلى ملف index.xls على سبيل المثال حتى نتمكن من قراءة سجلات المشتبه به بطريقة لائقه أكثر!.

$ pasco index.dat > index.xls

 تطبيق الأمر السابق سوف يخفي المخرجات… لا تقلق !!  حيث الناتج من الأمر سوف يكون الأن بداخل الملف index.xls بطريقة مرتبة وجميلة !. بشكل إفتراضي باسكو سوف يستخدم TAB لتحديد الحقول وأنا أنصح بشدة تركه كذلك. لهذا أنصح بعدم إستخدام الخيار (-t) مع هذه الأداة.
  index.xls من نافذة برنامج Calc الخاص بأوبن أوفيس
هذه عينة لصف من الصفوف المعروضة في صورة الشاشة أعلاه:.

  • عامود TYPE يعرض نوع النشاط الذي قام المستخدم بمزاولته, والأنواع التي تظهر هي كالتالي: URL, REDR و LEAK.
  • URL: بكل بساطة تعني بأن المشتبه به حصل على هذا السجل عن طريق التصفح.
  • REDR: تعني بأن المشتبه به وصل لهذا السجل عن طريق التحويل من عنوان لآخر, حيث التحويل عن طريق المتصفح.
  • LEAK: نراها في العادة عند إستخدام الخيار (-d), بحكم بأن متصفح إنترنت إكسبلورر غير مفتوح المصدر, أحتار الخبراء بمعنى هذا النوع من النشاط حيث أنهم لايرون أي فرق بينه وبين URL, كون النشاطان يحملان نفس الخصائص.
  • عامود URL وهو يعرض العنوان الذي قام المشتبه به بزيارته.
  • عامود MODIFIED TIME يعرض تاريخ آخر تعديل للصفحة التي قام بزيارتها المشتبه به, وهذه القيمة يأخذها المتصفح عن طريق البيانات الوصفية الخاصة بالصفحة. (المشتبه به ليس له علاقه ولا تأثير بهذا الحقل\العامود)
  • عامود ACCESS TIME هذا العامود المهم يعرض متى قام المشتبه به بزيارة العنوان الموجود في هذا السجل, كما هو ملاحظ التاريخ والوقت موضحة بدقة.
  • عامود DIRECTORY, يعرض مسار عشوائي يقوم المتصفح بإنشائه لتخزين الملفات المؤقتة الخاصة بهذا السجل, في حال رغب المشتبه به بزيارة الموقع مره أخرى سوف يعود المتصفح لهذا السجل وينظر بداخل المجلد الموجود في هذا الحقل.
  • HTTP HEADER تفاصيل رأس الإتش تي تي بي. وفي مثالنا كان لدينا هذا الناتج:
 HTTP/1.1 200 OK Content-Type: image/jpeg Keep-Alive: timeout=20, max=541 ETag: “6144-f36ea300″ Content-Length: 24900 ~U:ifun
  • HTTP/1.1 200 OK هنا نرى الإصدار الخاص بخادم الـ إتش تي تي بي والـ 200 تعني بأن العملية كانت ناجحة.
  • Content-Type نوع المحتوى الذي تمت زيارته, وفي حالتنا واضح بأنه صورة.
  • Keep-Alive timout=20, المهلة للجلسة الخاصة بالمتصفح بالثواني لكل طلب, Max=541, وهو عدد الطلبات الذي يمكن إستقبالها من قبل خادم الـ HTTP .
  • ETag, عبارة عن رمز خاص يوضح حالة المصدر ويتم إنشاءه عند الطلب.
  • Content-Length, حجم المحتوى المحمل.
  • ~U, ببساطة إسم الجهاز الذي قام بطلب العنوان.

خيار Undelete activity records:

عند إستخدام باسكو بهذا الخيار سوف يقوم بالعمل في حالة إظهار السجلات المحذوفة, حيث سوف يقوم باسكو بعرض السجلات المحذوفة المحتملة. عندما قمت بإستخدام هذا الخيار قام باسكو بإنتاج نفس عدد الصفوف المنتجة من نفس الأمر العادي. حتى اتأكد من أن الناتج نفسه أو مختلف قمت بعمل md5sum للملفين الناتجة والتأكد بأن الملف الناتج مختلف عن سابقه الذي حصلنا عليه من الأمر السابق.

لهذا انا دائماً أنصح أن تتم عملية التحقيق بإستخدام كافة الطريقتين, الطريقة العادية وعن طريق خيار كشف السجلات المحذوفة.



تحسينات محتملة :

بالرغم بأن باسكو أداة صغيرة وفي نفس الوقت فعالة, أجدها قديمة, حيث مبرمجها لم يهتم بالأداة بعد إصدارها عام 2003! , فبالتأكيد هنالك الكتير من الإضافات التي يجب مراعاتها في حال رغب أحدكم بتطوير الأداة. هذه بعض المميزات من وجهة نظري:
- لماذا لا يقوم باسكو بقراءة ملفات .dat الخاصة بالمتصفحات الأخرى, حيث هذه الأيام بات المستخدمين يستخدموا متصفحات أخرى غير إنترنت إكسبلورر؟
- لابد بأن يقوم باسكو بالبحث عن ملفات index.dat آلياً, وأيضاً إمكانية إستخراج الملف من صورة قرص صلب “hard drive image” إن وجد.
- أتوقع لو تمكن باسكو من بشكل آلي من ترتيب الناتج الخاص بملف Index.dat المحلل وإخراجه في ملف HTML أفضل وأسهل وأسرع.


أدوات أخرى:

بالرغم بأن باسكو يفي بالغرض, ويمكنه إستخراج جميع البيانات من ملفات index.dat بنجاح, هنالك أدوات أخرى ربما تعد أكثر تقدماً أو أفضل من Pasco.
Web Historian : برنامج ذو واجهة رسومية, رائع ومن أفضل البرامج في هذا المجال, هذا البرنامج متقدم جداً بالرغم من أنه للأسف لا يعمل إلا على ويندوز, لكنه في المقابل يدعم جميع المتصفحات الرئيسية. بعكس باسكو, هذا البرنامج يقوم بالبحث في كافة النظام عن سجلات التصفح ويقوم بإنتاج تقرير كامل بشكل آلي موضح نشاط مستخدم الجهاز وبعض الأحيان يقوم بالعثور على صور شاشة يستخرجها من متصفح كروم للمواقع التي تمت زيارتها.
المميزات:1- إمكانية فلترة البيانات, مما يساعد بشكل إيجابي في حل القضايا بدون البحث بين كمية بيانات كبيرة.
2- يقوم البرنامج بعرض السجلات الخاصة بالمستخدم بطريقة منظمة وسهلة, فلا داعي للغوص والبحث بين ملفات اللوج الخاصة بالنظام. 

3- يقوم البرنامج بعمل بطاقة تعريفية لأي موقع موجود في السجلات الخاصة بالمستخدم لمعرفة نشاط الموقع الذي قام المستخدم بزيارته. 4- يدعم العديد من المتصفحات مثل فايرفوكس, جوجل كروم, وإنترنت إكسبلورر… الخ. 




Forensic Tool Kit – FTK واحدة من أفضل الأدوات التجارية المتوفرة اليوم, البرنامج يحتوي على واجهة رسومية مميزة عن باقي الأدوات, يمكنك بكل بساطة الخوض بين السجلات وعرضها في نافذة متصفح صغيرة توجد داخل البرنامج. FTK أيضاً يمكنه تحليل الأقراص الصلبة والأنظمة الحية. بعض المميزات الرائعة للبرنامج:
1- إمكانية صنع صور للقرص الصلب, قراءة الريجستري, والقيام بعملية كراك لكلمات المرور.
 
2- Data Carving (نحت البيانات). 3- تحليل البيانات الموجودة في الرام. 4- نظام لكشف الصور الإباحية.

في الختام:

كخلاصة, باسكو أداة صغيرة وفعالة, تقوم بعملها بشكل رائع, هذه الأداة فعلاً تساعد المحقق في الحصول على الدليل الرقمي من ملفات index.dat حيث تقوم بتحليل كافية البيانات بنجاح. أنا أنصح بإستخدام هذه الأداة بشدة في أي تحقيق. بالرغم من أني أنصح بإستخدامها في التحقيق الجنائي, لازلت أظن بأن الأداة تفقد عنصر مهم وهو قراءة الملفات الخاصة بالمتصفحات الأخرى, إذا تمكن باسكو من الحصول على هذه الميزة الأضافية أتوقع بأنه سوف يكون من أفضل الأدوات في مجاله لبساطته وسهولته وخفته.أخيراً, أنصح كافة المحققين بعمل md5sum ونسخة إحتياطية لملفات index.dat قبل إستخدام باسكو, حتى يتأكدوا بأن عملية إستخراج البيانات عن طريق باسكو لا تؤدي لأي تعديل في الملف, وتجنب بطلان الدليل للمحقق الجنائي.




0 مشاركات:

إرسال تعليق