للمقبلين على تخصص التحقيق الرقمي الجنائي
(Digital forensics examiners)
جمعت لكم أهم الcommands اللي تسهل عليكم البدء بعملية التحقيق الجنائي باستخدام الـ SIFT workstation..و تقدر تنطلق منها و تتوسع بنفسك
(Digital forensics examiners)
جمعت لكم أهم الcommands اللي تسهل عليكم البدء بعملية التحقيق الجنائي باستخدام الـ SIFT workstation..و تقدر تنطلق منها و تتوسع بنفسك
لأخذ نسخة تحقيق جنائي من قرص تخزين
dd if=/dev/sda of=image.dd
لأخذ hash لنسخة التحقيق الرقمي الجنائي من القرص
md5sum image.dd
لعرض الـ partitions لنسخة تحقيق جنائي
mmls image.dd
لنسخ partition لملف منفصل
dd if=image.dd of=partition1.dd skip=*SectorStart count=*sectorLength
dd if=/dev/sda of=image.dd
لأخذ hash لنسخة التحقيق الرقمي الجنائي من القرص
md5sum image.dd
لعرض الـ partitions لنسخة تحقيق جنائي
mmls image.dd
لنسخ partition لملف منفصل
dd if=image.dd of=partition1.dd skip=*SectorStart count=*sectorLength
لعمل mount ل partition بصلاحيات قراءة فقط
sudo mount -o,loop,ro partition1.dd /mnt/loc
لعرض أسماء و مسار الملفات المحذوفة مع الـ inode
fls -prd -f ntfs partition1.dd
لاستخراج ملف محذوف باستخدام inode
icat -r partition1.dd *inode > file.ext
sudo mount -o,loop,ro partition1.dd /mnt/loc
لعرض أسماء و مسار الملفات المحذوفة مع الـ inode
fls -prd -f ntfs partition1.dd
لاستخراج ملف محذوف باستخدام inode
icat -r partition1.dd *inode > file.ext
للبحث عن الملفات الغير محذوفه اللي تحتوي على نص معين
grep -irnw '/mnt/loc/' -e *SomeText
لاستخراج الملفات المحذوفة بصيغة معينة:
اعمل uncomment للصيغة اللي ناوي تسترجعها في /etc/scalpel/scalpel.config
ثم
scalpel -o carved partition1.dd
grep -irnw '/mnt/loc/' -e *SomeText
لاستخراج الملفات المحذوفة بصيغة معينة:
اعمل uncomment للصيغة اللي ناوي تسترجعها في /etc/scalpel/scalpel.config
ثم
scalpel -o carved partition1.dd
للبحث عن hex string استخدم أداه bless hex editor فهي تحتوي على GUI
لعرض عدد الـ bytes في كل sector في الهاردسك
fdisk -l image.dd
لطباعة كل الstrings مع الـ byte offset لكل String
srch_strings -eS -td partition1.dd
لطباعة حجم الـ clusters من partition معين
fsstat partition1.dd
لعرض عدد الـ bytes في كل sector في الهاردسك
fdisk -l image.dd
لطباعة كل الstrings مع الـ byte offset لكل String
srch_strings -eS -td partition1.dd
لطباعة حجم الـ clusters من partition معين
fsstat partition1.dd
لمعرفة رقم الـ inode المربوط بـ cluster معين
ifind -f ntfs partition1.dd -d *ClusterNumber
لمعرفة اسم الملف تبع inode معين
ffind partition1.dd *inode
ifind -f ntfs partition1.dd -d *ClusterNumber
لمعرفة اسم الملف تبع inode معين
ffind partition1.dd *inode
جاري تحميل الاقتراحات...