eCDFP Module (5) File System Analysis (Part-13) (NTFS File System Analysis) (End)

Sleuth Kit® (TSK) က Disk Analysis နဲ့ File Recovery အတွက် ၂၀၀၈ ခုနှစ်ကတည်းက ပြုလုပ်ထားတဲ့ Open Source CLI Tools တစ်ခုဖြစ်ပါတယ်။ Sleuth Kit® (TSK)  ကို C and Perl နဲ့ရေးသားထားပြီး The Coroner's Toolkit (TCT) ကနေ Code အချို့ထပ်ပြီးပေါင်းထည့်ထားပါတယ်။ နောက်ပြီး ကိုယ်တိုင်ရေးသားထားတဲ့ Tools တွေပါထပ်ပြီး ပေါင်းထည့်လို့ရပါတယ်။ Sleuth Kit® (TSK) ကိုအောက်ပါ Operation System တွေမှာအသုံးပြုလို့ရပါတယ်။ Sleuth Kit® (TSK) ကို Open Source Forensics Tools တစ်ခုဖြစ်တဲ့ Autopsy အပြင် အခြား Commercial Digital Forensics Tools တွေမှာပါအသုံးပြုထားပါတယ်။

  • Linux
  • Mac OS X
  • Windows 
  • Open & FreeBSD
  • Solaris

Sleuth Kit® (TSK) ကနေ Suppot ပေတဲ့ File System နဲ့ Image File Type တွေက အောက်ပါအတိုင်း ဖြစ်ပါတယ်။ Sleuth Kit® (TSK) နဲ့ပတ်သတ်ပြီး The Sleuth Kit မှာအသေးစိတ်ကြည့်နိုင်ပါတယ်။

  • Analyzes raw (i.e. dd), Expert Witness (i.e. EnCase) and AFF file system and disk images. 
  • Supports the NTFS, FAT, ExFAT, UFS 1, UFS 2, EXT2FS, EXT3FS, Ext4, HFS, ISO 9660, and YAFFS2 file systems (even when the host operating system does not or has a different endian ordering).
  • Tools can be run on a live Windows or UNIX system during Incident Response. These tools will show files that have been "hidden" by rootkits and will not modify the A-Time of files that are viewed.


Sleuth Kit® (TSK) ကအောက်မှာဖော်ပြထားတဲ့ Layer တွေပေါ်မှာမူတည်ပြီး အလုပ်လုပ်ပါတယ်။ သူ့မှာပါရှိတဲ့ Tools တွေကလဲ layer အလိုက် အလုပ်လုပ်ပါတယ်။ Layer တစ်ခုချင်းကိုနားလည်မယ်ဆိုရင် ဘယ် Layer မှာ ဘယ်လို Data တွေတွေ့နိုင်တယ်။ အဲဒီ layer ကနေ Data ရဖို့ဘယ်လို Tools တွေအသုံးပြုသင့်တယ် ဘာကြောင့် ဒီ Tools ကိုသုံးတယ်ဆိုတာကို နားလည်မှာဖြစ်ပါတယ်။ layer တွေကိုနားလည်မယ်ဆိုရင် နောက်ထပ် Own Digital Forensics Tools တွေကိုလဲ ကိုယ်တိုင်ဖန်တီးနိုင်မှာပဲဖြစ်ပါတယ်။ အခု Layer တွေကိုတော့  Brian Carrier ကသတ်မှတ်ထားတာဖြစ်ပါတယ်။ 

1. Media Management Layer 
2. File System Layer 
3. File Name Layer 
4. Meta-data Layer 
5. Content Layer



  • Sleuth Kit® (TSK) က အောက်ပါလုပ်ဆောင်ချက်တွေကို လုပ်ဆောင်နိုင်ပါတယ်။ 
  • Forensics Image ကို Auto Detect ဖြစ်ပါတယ်။ Raw (DD) Image File  လား။ E01 File Type လားဆိုတာကိုပါ။ 
  • Disk Volume ရဲ့ Volume, Layout တွေကို Auto Detect ဖြစ်ပါတယ်။
  • File System, Deleted File တွေကို Auto Detect ဖြစ်ပါတယ်။
  • Files တွေနဲ့ပတ်သတ်ပြီး File (Name, Size, Location, Extension,Etc..) တွေကိုရှာဖွေနိုင်ပါတယ်။ 
  • Operation System ဘယ်အချိန်မှာ ဘာဖြစ်ခဲ့တယ်ဆိုတာကိုဖော်ပြတဲ့ (Time Line Analysis) ပြုလုပ် နိုင်ပါတယ်။
Sleuth Kit® (TSK) မှာ Layer , File System, Volume အလိုက် Analysis ပြုလုပ်နိုင်မဲ့ CLI Tools 26 ခုပါဝင်ပါတယ်။ Sleuth Kit® (TSK) မှာဖော်ပြထားတဲ့ layer တွေကအောက်ပါအတိုင်းပဲဖြစ်ပါတယ်။ 


Sleuth Kit® (TSK) မှာပါဝင်တဲ့ Tools တွေရဲ့ခေါင်းစဉ်ကတော့ အောက်မှာဖော်ပြထားတဲအတိုင်းဖြစ်ပါတယ်။ အသေးစိတ်သိချင်ရင် TSK Tool Overview မှာသွားပြီးကြည့်နိုင်ပါတယ်။ 

1. File System Tools
  • 1.1 Fully Automated Tools
  • 1.2 File System Layer Tools
  • 1.3 File Name Layer Tools
  • 1.4 Meta Data Layer Tools
  • 1.5 Data Unit Layer Tools
  • 1.6 File System Journal Tools
2. Volume System Tools
3. Image File Tools
4. Disk Tools
5. Other Tools

Command အားလုံအတွက် Forensic Image Name, Disk Image Name လိုအပ်ပါတယ်။ အသုံးပြုရမဲ့ Command အသေးစိတ်ကို TSK Tool Overview မှာသွားပြီးကြည့်နိုင်ပါတယ်။ Layer  အလိုက်အသုံးပြုတဲ့ Command တွေကို နမူနာ အနေနဲ့ပြသသွားပါမယ်။ 

Media Management (Volume System) Tools

CLI Command mmls  ကို Forensics Image ရဲ့  Disk Detail ကိုကြည့်တဲ့နေရာမှာ အသုံးပြုပါတယ်။ mmls command က   Un-displayed partitions, Unallocated space,  Free spaces တွေကိုပါဖော်ပြပေးပါတယ်။ 
1. Partition type 
2. Sector size 
3. Partition table (Starting and ending offset, Size, Type ) 
4. Displays unallocated space and extended partition details

mmls command မှာ Support ပေးတဲ့ Volume Type, Layout တွေကို အောက်ကပုံမှာပါရှိတဲ့ Command တွေနဲ့ စစ်ဆေးနိုင်ပါတယ်။ 




Command mmcat ကတော့ mmls command နဲ့ကြည့်ပြီးရလာတဲ့ အချက်အလက်ထဲကမှ ကိုယ်ကြည့်ချင်တဲ့ Partition တစ်ခုကိုရယူတာဖြစ်ပါတယ်။ ပုံထဲမှာ NTFS Partition ကိုရယူထားပါတယ်။ 


File System Tool

fsstat command ကတော့ Volume ထဲမှာရှိတဲ့ Detail File System ကိုကြည့်နိုင်ပါတယ်။ 


File Name Layer Tools

fls command ကတော့ အောက်ဖော်ပြပါအချက်အလက်တွေကိုကြည့်နိုင်ပါတယ်။ 
1. List all files and directories within a volume or disk. Files inode or MFT entries, etc 
2. List file types (file, directory, block device, socket, pipe, etc). 
3. Metadata addresses (excellent with NTFS volumes). 
4. Deleted files. 
5. MAC date-time group (DTG) or Timestamps





fls command ကို -l Option တွဲသုံးမယ်ဆိုရင် အောက်ဖော်ပြပါအချက်အလက်တွေ ရရှိပါမယ်။ 
file type | Metadata Address | name | mtime (last modified time) | atime (last accessed time) |ctime (last changed time) | crtime (created time) | size (in bytes) | uid (User ID) | gid (Group ID) 


ffind command ကိုတော့ file , directory တွေရဲ့  File ID ကိုသိရှိဖို့နဲ့ File ID ဘယ်လောက်မှာ  မည်သည့် File ရှိနေတယ်ဆိုတာကိုပြသပါတယ်။ 


Metadata Layer Tools

istat, icat, ifind,  ils command line tools တွေပါဝင်ပါတယ်။ File တွေရဲ့ Metadata ကိုကြည့်ဖို့အတွက် အသုံးပြုပါတယ်။ istat command ကိုအသုံးပြုပြီး အောက်ပါအချက်အလက်တွေကို ရှာဖွေနိုင်ပါတယ်။

1. File attributes 
2. File name 
3. Size 
4. MAC Times 
5. Sectors allocated


Ifind command ကိုတော့ File Name သိရှိပြီး File Inode (File ID) Number မသိတဲ့အချိန်မှာ ရှာဖွေဖို့အတွက် အသုံးပြုပါတယ်။ File Inode (File ID) Number ရရှိတဲ့အခါ istat command အသုံးပြုပြီး File Metadata တွေကိုကြည့်နိုင်ပါတယ်။ 



Data Unit Layer Tool

File System အပေါ်မူတည်ပြီး Data Unit အခေါ်အဝေါ်တွေကွဲပြားပါတယ်။ NTFS  မှာ Data Unit ကို Cluster လို့ခေါ်ပါတယ်။  Ext2,3, and 4 မှာတော့ Fragment လို့ခေါ်ပါတယ်။ YAFFS2  မှာတော့ Chunk လို့ခေါ်ပါတယ်။ Data Unit layer Tools မှာပါဝင်တဲ့ Command Line Tools တွေကတော့ အောက်ပါအတိုင်းဖြစ်ပါတယ်။  တစ်ခါတစ်ရံ Forensics Image မှာ allocated space နဲ့ unallocated space ကိုခွဲခြားချင်ရင် Data Unit Layer Tools တွေကိုအသုံးပြုပါတယ်။ 

  •   blkcat: Extracts the contents of a given data unit.

  •   blkls: Lists the details about data units and can extract the unallocated space of the file system.

  •  blkstat: Displays the statistics about a given data unit in an easy to read format.

  •  blkcalc: Calculates where data in the unallocated space image(from blkls) exists in the original image. This is used when evidence is found in unallocated space.


Other Tools 

Sleuth Kit ကို GUI Version အသုံးပြုမယ်ဆိုရင် Autopsy ကိုအသုံးပြုနိုင်ပါတယ်။ Autopsy ကို Linux , Window နှစ်ခုစလုံးမှာအသုံးပြုနိုင်ပါတယ်။ Detail Link  Autopsy  . Kali, Parrot Linux OS တွေမှာလဲ Autopsy ကပါဝင်ပါတယ်။ ကျန်တဲ့ Open Source Tools တွေဖြစ်တဲ့ PhotoRec, Fiwalk, Foremost, Scalpel, Bulk_extractor တို့ကိုလဲ Digital Forensics Analysis အတွက်အသုံးပြုနိုင်ပါတယ်။ Autopsy နဲ့ပတ်သတ်ပြီး စာအုပ်သီးသန့်ရေးဖို့လဲရှိပါတယ်။ 

Autopsy In Kali Linux 

Autopsy In Window 

Comments

Popular posts from this blog

B-Trees (NTFS)

NTFS Index Attributes

SQLite Database Forensics (Note)