eCDFP Module (5) File System Analysis (Part-13) (NTFS File System Analysis) (End)

Sleuth Kit® (TSK) က Disk Analysis နဲ့ File Recovery အတွက် ၂၀၀၈ ခုနှစ်ကတည်းက ပြုလုပ်ထားတဲ့ Open Source CLI Tools တစ်ခုဖြစ်ပါတယ်။ Sleuth Kit® (TSK)  ကို C and Perl နဲ့ရေးသားထားပြီး The Coroner's Toolkit (TCT) ကနေ Code အချို့ထပ်ပြီးပေါင်းထည့်ထားပါတယ်။ နောက်ပြီး ကိုယ်တိုင်ရေးသားထားတဲ့ Tools တွေပါထပ်ပြီး ပေါင်းထည့်လို့ရပါတယ်။ Sleuth Kit® (TSK) ကိုအောက်ပါ Operation System တွေမှာအသုံးပြုလို့ရပါတယ်။ Sleuth Kit® (TSK) ကို Open Source Forensics Tools တစ်ခုဖြစ်တဲ့ Autopsy အပြင် အခြား Commercial Digital Forensics Tools တွေမှာပါအသုံးပြုထားပါတယ်။

  • Linux
  • Mac OS X
  • Windows 
  • Open & FreeBSD
  • Solaris

Sleuth Kit® (TSK) ကနေ Suppot ပေတဲ့ File System နဲ့ Image File Type တွေက အောက်ပါအတိုင်း ဖြစ်ပါတယ်။ Sleuth Kit® (TSK) နဲ့ပတ်သတ်ပြီး The Sleuth Kit မှာအသေးစိတ်ကြည့်နိုင်ပါတယ်။

  • Analyzes raw (i.e. dd), Expert Witness (i.e. EnCase) and AFF file system and disk images. 
  • Supports the NTFS, FAT, ExFAT, UFS 1, UFS 2, EXT2FS, EXT3FS, Ext4, HFS, ISO 9660, and YAFFS2 file systems (even when the host operating system does not or has a different endian ordering).
  • Tools can be run on a live Windows or UNIX system during Incident Response. These tools will show files that have been "hidden" by rootkits and will not modify the A-Time of files that are viewed.


Sleuth Kit® (TSK) ကအောက်မှာဖော်ပြထားတဲ့ Layer တွေပေါ်မှာမူတည်ပြီး အလုပ်လုပ်ပါတယ်။ သူ့မှာပါရှိတဲ့ Tools တွေကလဲ layer အလိုက် အလုပ်လုပ်ပါတယ်။ Layer တစ်ခုချင်းကိုနားလည်မယ်ဆိုရင် ဘယ် Layer မှာ ဘယ်လို Data တွေတွေ့နိုင်တယ်။ အဲဒီ layer ကနေ Data ရဖို့ဘယ်လို Tools တွေအသုံးပြုသင့်တယ် ဘာကြောင့် ဒီ Tools ကိုသုံးတယ်ဆိုတာကို နားလည်မှာဖြစ်ပါတယ်။ layer တွေကိုနားလည်မယ်ဆိုရင် နောက်ထပ် Own Digital Forensics Tools တွေကိုလဲ ကိုယ်တိုင်ဖန်တီးနိုင်မှာပဲဖြစ်ပါတယ်။ အခု Layer တွေကိုတော့  Brian Carrier ကသတ်မှတ်ထားတာဖြစ်ပါတယ်။ 

1. Media Management Layer 
2. File System Layer 
3. File Name Layer 
4. Meta-data Layer 
5. Content Layer



  • Sleuth Kit® (TSK) က အောက်ပါလုပ်ဆောင်ချက်တွေကို လုပ်ဆောင်နိုင်ပါတယ်။ 
  • Forensics Image ကို Auto Detect ဖြစ်ပါတယ်။ Raw (DD) Image File  လား။ E01 File Type လားဆိုတာကိုပါ။ 
  • Disk Volume ရဲ့ Volume, Layout တွေကို Auto Detect ဖြစ်ပါတယ်။
  • File System, Deleted File တွေကို Auto Detect ဖြစ်ပါတယ်။
  • Files တွေနဲ့ပတ်သတ်ပြီး File (Name, Size, Location, Extension,Etc..) တွေကိုရှာဖွေနိုင်ပါတယ်။ 
  • Operation System ဘယ်အချိန်မှာ ဘာဖြစ်ခဲ့တယ်ဆိုတာကိုဖော်ပြတဲ့ (Time Line Analysis) ပြုလုပ် နိုင်ပါတယ်။
Sleuth Kit® (TSK) မှာ Layer , File System, Volume အလိုက် Analysis ပြုလုပ်နိုင်မဲ့ CLI Tools 26 ခုပါဝင်ပါတယ်။ Sleuth Kit® (TSK) မှာဖော်ပြထားတဲ့ layer တွေကအောက်ပါအတိုင်းပဲဖြစ်ပါတယ်။ 


Sleuth Kit® (TSK) မှာပါဝင်တဲ့ Tools တွေရဲ့ခေါင်းစဉ်ကတော့ အောက်မှာဖော်ပြထားတဲအတိုင်းဖြစ်ပါတယ်။ အသေးစိတ်သိချင်ရင် TSK Tool Overview မှာသွားပြီးကြည့်နိုင်ပါတယ်။ 

1. File System Tools
  • 1.1 Fully Automated Tools
  • 1.2 File System Layer Tools
  • 1.3 File Name Layer Tools
  • 1.4 Meta Data Layer Tools
  • 1.5 Data Unit Layer Tools
  • 1.6 File System Journal Tools
2. Volume System Tools
3. Image File Tools
4. Disk Tools
5. Other Tools

Command အားလုံအတွက် Forensic Image Name, Disk Image Name လိုအပ်ပါတယ်။ အသုံးပြုရမဲ့ Command အသေးစိတ်ကို TSK Tool Overview မှာသွားပြီးကြည့်နိုင်ပါတယ်။ Layer  အလိုက်အသုံးပြုတဲ့ Command တွေကို နမူနာ အနေနဲ့ပြသသွားပါမယ်။ 

Media Management (Volume System) Tools

CLI Command mmls  ကို Forensics Image ရဲ့  Disk Detail ကိုကြည့်တဲ့နေရာမှာ အသုံးပြုပါတယ်။ mmls command က   Un-displayed partitions, Unallocated space,  Free spaces တွေကိုပါဖော်ပြပေးပါတယ်။ 
1. Partition type 
2. Sector size 
3. Partition table (Starting and ending offset, Size, Type ) 
4. Displays unallocated space and extended partition details

mmls command မှာ Support ပေးတဲ့ Volume Type, Layout တွေကို အောက်ကပုံမှာပါရှိတဲ့ Command တွေနဲ့ စစ်ဆေးနိုင်ပါတယ်။ 




Command mmcat ကတော့ mmls command နဲ့ကြည့်ပြီးရလာတဲ့ အချက်အလက်ထဲကမှ ကိုယ်ကြည့်ချင်တဲ့ Partition တစ်ခုကိုရယူတာဖြစ်ပါတယ်။ ပုံထဲမှာ NTFS Partition ကိုရယူထားပါတယ်။ 


File System Tool

fsstat command ကတော့ Volume ထဲမှာရှိတဲ့ Detail File System ကိုကြည့်နိုင်ပါတယ်။ 


File Name Layer Tools

fls command ကတော့ အောက်ဖော်ပြပါအချက်အလက်တွေကိုကြည့်နိုင်ပါတယ်။ 
1. List all files and directories within a volume or disk. Files inode or MFT entries, etc 
2. List file types (file, directory, block device, socket, pipe, etc). 
3. Metadata addresses (excellent with NTFS volumes). 
4. Deleted files. 
5. MAC date-time group (DTG) or Timestamps





fls command ကို -l Option တွဲသုံးမယ်ဆိုရင် အောက်ဖော်ပြပါအချက်အလက်တွေ ရရှိပါမယ်။ 
file type | Metadata Address | name | mtime (last modified time) | atime (last accessed time) |ctime (last changed time) | crtime (created time) | size (in bytes) | uid (User ID) | gid (Group ID) 


ffind command ကိုတော့ file , directory တွေရဲ့  File ID ကိုသိရှိဖို့နဲ့ File ID ဘယ်လောက်မှာ  မည်သည့် File ရှိနေတယ်ဆိုတာကိုပြသပါတယ်။ 


Metadata Layer Tools

istat, icat, ifind,  ils command line tools တွေပါဝင်ပါတယ်။ File တွေရဲ့ Metadata ကိုကြည့်ဖို့အတွက် အသုံးပြုပါတယ်။ istat command ကိုအသုံးပြုပြီး အောက်ပါအချက်အလက်တွေကို ရှာဖွေနိုင်ပါတယ်။

1. File attributes 
2. File name 
3. Size 
4. MAC Times 
5. Sectors allocated


Ifind command ကိုတော့ File Name သိရှိပြီး File Inode (File ID) Number မသိတဲ့အချိန်မှာ ရှာဖွေဖို့အတွက် အသုံးပြုပါတယ်။ File Inode (File ID) Number ရရှိတဲ့အခါ istat command အသုံးပြုပြီး File Metadata တွေကိုကြည့်နိုင်ပါတယ်။ 



Data Unit Layer Tool

File System အပေါ်မူတည်ပြီး Data Unit အခေါ်အဝေါ်တွေကွဲပြားပါတယ်။ NTFS  မှာ Data Unit ကို Cluster လို့ခေါ်ပါတယ်။  Ext2,3, and 4 မှာတော့ Fragment လို့ခေါ်ပါတယ်။ YAFFS2  မှာတော့ Chunk လို့ခေါ်ပါတယ်။ Data Unit layer Tools မှာပါဝင်တဲ့ Command Line Tools တွေကတော့ အောက်ပါအတိုင်းဖြစ်ပါတယ်။  တစ်ခါတစ်ရံ Forensics Image မှာ allocated space နဲ့ unallocated space ကိုခွဲခြားချင်ရင် Data Unit Layer Tools တွေကိုအသုံးပြုပါတယ်။ 

  •   blkcat: Extracts the contents of a given data unit.

  •   blkls: Lists the details about data units and can extract the unallocated space of the file system.

  •  blkstat: Displays the statistics about a given data unit in an easy to read format.

  •  blkcalc: Calculates where data in the unallocated space image(from blkls) exists in the original image. This is used when evidence is found in unallocated space.


Other Tools 

Sleuth Kit ကို GUI Version အသုံးပြုမယ်ဆိုရင် Autopsy ကိုအသုံးပြုနိုင်ပါတယ်။ Autopsy ကို Linux , Window နှစ်ခုစလုံးမှာအသုံးပြုနိုင်ပါတယ်။ Detail Link  Autopsy  . Kali, Parrot Linux OS တွေမှာလဲ Autopsy ကပါဝင်ပါတယ်။ ကျန်တဲ့ Open Source Tools တွေဖြစ်တဲ့ PhotoRec, Fiwalk, Foremost, Scalpel, Bulk_extractor တို့ကိုလဲ Digital Forensics Analysis အတွက်အသုံးပြုနိုင်ပါတယ်။ Autopsy နဲ့ပတ်သတ်ပြီး စာအုပ်သီးသန့်ရေးဖို့လဲရှိပါတယ်။ 

Autopsy In Kali Linux 

Autopsy In Window 

Comments

Post a Comment

Popular posts from this blog

B-Trees (NTFS)

Image
  B-Trees An NTFS index sort attributes into a tree, specifically a B-tree. A tree is a group of data structures called nodes that are linked together such that there is a head node and its branches out to the other nodes. Consider Figure 11.13(A), where we see node A on top and it links to nodes B and C. Node B links to nodes D and E. A parent node is one that links to other nodes, and a child node is one that is linked to. For example, A is a parent node to B and C, which are children of A. A leaf node is one that has no links from it. Nodes C, D, and E are leaves. The example shown is a binary tree because there are a maximum of two children per node. Figure 11.13. Examples of A) a tree with 5 nodes and B) the same tree that is sorted by the node values FIG- 11.3 Trees are useful because they can be used to easily sort and find data. Figure 11.13(B) shows the same tree as we saw on the left side, but now with values that are assigned to each node. If we are trying to look up a valu
Read more

NTFS Index Attributes

Image
  NTFS Index Attributes Now that we have described the general concept of B-trees, we need to describe how they are implemented in NTFS to create indexes. Each entry in the tree uses a data structure called an index entry to store the values in each node. There are many types of index entries, but they all have the same standard header fields, which are given in Chapter 13. For example, a directory index entry contains a few header values and a $FILE_NAME attribute. The index entries are organized into nodes of the tree and stored in a list. An empty entry is used to signal the end of the list. Figure 11.18 shows an example of a node in a directory index with four $FILE_NAME index entries. Figure 11.18. A node in an NTFS directory index tree with four index entries. Figure 11.18 The index nodes can be stored in two types of MFT entry attributes. The $INDEX_ROOT attribute is always resident and can store only one node that contains a small number of index entries. The $INDEX_ROOT attrib
Read more

Volatility Workbench (GUI) for the Volatility tool

Image
 Memory Dump ကနေ Artifacts တွေကို ရယူနိုင်ဖို့ Volatility (Command Line) ကို တော်တော်များများ အသုံးပြုကြပါတယ်။ Pass Mark OS Forensics ကနေ GUI မသုံးချင်သူတွေ / နှစ်မျိုးလုံး အသုံးပြုချင်သူတွေအတွက် Volatility Workbench (GUI) ကိုပြုလုပ်ထားပါတယ်။ တွဲပြီးအသုံးပြုရမဲ့ Profile တွေကိုလဲ အသင့် Download ရယူနိုင်ပါတယ်။ Sample File တွေလဲပေးထားပါတယ်။ Open Source Computer Forensics Tool ဖြစ်တဲ့ Autopsy အပြင် Commercial Computer Forensics Tools တွေကလဲ လက်ရှိအချိန်ထိ Open Source ဖြစ်တဲ့ Volatility ကိုပဲ သူတို့ရဲ့ Software ထဲမှာ အသုံးပြုထားပါတယ်။                                                           Link  Volatility Workbench (GUI) for the Volatility tool
Read more