تکنولوژی

آموزش جامع تحلیل فایل‌سیستم با Autopsy | راهنمای کامل و عملی DFIR

تکنولوژی
امتیاز:
( 0 امتیاز )
ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

فرض کنید سرور ویندوزی شما ناگهان از دسترس خارج می‌شود و نشانه‌هایی از حمله Brute Force روی آن دیده می‌شود. اولین اقدام تیم Incident Response چیست؟ بررسی دقیق Digital Evidence از رویFile System . اینجاست که ابزار Autopsy  به کمک می‌آید. یک پلتفرم Open Source  که بر پایه Sleuth Kit  ساخته شده و در Digital Forensics  و تحلیل‌های امنیتی استفاده می‌شود.

این مقاله از سلام دیجی یک راهنمای جامع برای تحلیل فایل‌سیستم با Autopsy است. از نصب و راه‌اندازی گرفته تا تکنیک‌های پیشرفته، افزونه‌ها، Case Study  و حتی چک‌لیست سریع برای استفاده در عملیات SOC  DFIR .

Autopsy  چیست و چرا برای تحلیل فایل‌سیستم اهمیت دارد؟

Autopsy  یک ابزار Digital Forensics  است که به کارشناسان امکان می‌دهد داده‌ها را از هارد دیسک‌ها، ایمیج‌ها (Disk Image)، موبایل‌ها و حتی فایل‌های شبکه تحلیل کنند.
برخی دلایل محبوبیت آن:

  • رایگان و متن‌باز بودن (بر پایه Sleuth Kit)
  • پشتیبانی از فایل‌سیستم‌های مختلف مثل NTFS، FAT، Ext و HFS+
  • داشتن رابط کاربری گرافیکی (GUI) در کنار قابلیت خط فرمان
  • امکان استفاده در سناریوهای Incident Response، SOC و حتی تحقیقات پلیسی

معماری و ساختار داخلی Autopsy

برای درک بهتر کار Autopsy، لازم است ساختار داخلی آن را بشناسیم:

  • Sleuth Kit (Core Engine) : قلب Autopsy است که عملیات سطح پایین (Low-Level)  روی فایل‌سیستم مثل خواندن MFT یا جستجو در Journal را انجام می‌دهد.
  • ماژول‌های داخلی (Built-in Modules) : مثل File Analysis، Hash Lookup، Keyword Search، Timeline.
  • ماژول‌های افزونه (Plugins) : کاربران می‌توانند پلاگین‌های خودشان را توسعه دهند.
  • پایگاه داده (Case Database) :  Autopsy داده‌های استخراج‌شده را در یک پایگاه داده (معمولاً SQLite یا PostgreSQL) ذخیره می‌کند.

1. پیش‌نیازها و موارد قانونی

قبل از شروع مطمئن شوید که:

  • مجوز قانونی و دستور قضایی (در صورت نیاز) برای ضبط/بررسی دستگاه دارید.
  • محیط کاری ایمن و جداسازی شده (air-gapped) برای نگهداری شواهد فراهم است.
  • استانداردها و رفرنس‌های علمی را دنبال می‌کنید مثلاً توصیه‌های NIST برای روش‌شناسی و اعتبار تکنیک‌ها.

2. آماده‌سازی محیط و نصب Autopsy

  • نسخه ی پیشنهادی: همیشه از صفحه ی رسمی Autopsy آخرین نسخه ی پایدار را دانلود کنید. برای لینوکس، توزیع‌هایی مانند Kali Autopsy را در مخازن دارند.
  • سخت‌افزار: برای تصاویر بزرگ و تحلیل‌های سنگین حداقل 16–32GB رم و ذخیره سریع (SSD) توصیه می‌شود.
  • نصب ماژول‌های مورد نیاز (Sleuth Kit، ابزارهای carving، Python/Java runtime در صورت نیاز).

نصب و راه‌اندازی Autopsy

راه‌اندازی Autopsy نسبت به بسیاری از ابزارهای دیجیتال فورنزیک ساده‌تر است، چون توسعه‌دهندگان آن بسته‌های آماده (Pre-built Packages) ارائه می‌کنند.

  • روی Windows : کافی است فایل Installer  را از وب‌سایت Autopsy دانلود کرده و مراحل نصب را طی کنید. نصب شبیه برنامه‌های معمولی ویندوز است و بعد از اجرا، محیط گرافیکی (GUI) در دسترس خواهد بود.
  • روی Linux : می‌توان از سورس کد یا پکیج‌های آماده استفاده کرد. معمولاً نیاز به نصب Sleuth Kit  به‌عنوان پیش‌نیاز وجود دارد. کاربران لینوکس انعطاف بیشتری برای شخصی‌سازی و اجرای اسکریپت‌ها خواهند داشت.
  • نیازمندی‌ها (Requirements) :
    • Java Runtime Environment (JRE 8 یا بالاتر) برای اجرای محیط Autopsy
    • فضای ذخیره‌سازی کافی (Disk Space) برای نگهداری پایگاه داده کیس‌ها، مخصوصاً هنگام کار با ایمیج‌های بزرگ
    • توصیه می‌شود حداقل 8GB RAM  داشته باشید تا تحلیل سریع‌تر انجام شود.

آموزش گام‌به‌گام تحلیل فایل‌سیستم با Autopsy

۱. ایجاد کیس (Create New Case)

اولین قدم در هر تحلیل، ساخت یک Case  جدید است. این کیس مثل یک پروژه عمل می‌کند و همه داده‌ها، Artefactها و گزارش‌ها در آن ذخیره می‌شوند.

  • در Autopsy روی گزینه Create New Case  کلیک کنید.
  • اطلاعات پایه را وارد کنید:
    • Case Name : نام پرونده (مثلاً Ransomware-2025)
    • Case Number : شماره یکتا (برای استناد قانونی مهم است)
    • Investigator Name : نام محقق یا تیم بررسی
    • Case Directory : مسیر ذخیره‌سازی (ترجیحاً روی یک هارد جدا از منبع اصلی)
  • این مرحله کمک می‌کند زنجیره‌ی مستندسازی یا Chain of Custody  از همان ابتدا کامل بماند.

۲. افزودن ایمیج دیسک (Add Data Source)

بعد از ساخت کیس، بایدData Source  را وارد کنید.

  • گزینه‌ی Add Data Source  را انتخاب کنید.
  • می‌توانید یکی از حالت‌ها را انتخاب کنید:
    • Disk Image (E01, RAW, dd)  : حالت استاندارد برای تحلیل کامل دیسک.
    • Logical Files  : فقط مجموعه‌ای از فایل‌ها یا پوشه‌ها را بررسی کنید.
    • Local Disk / Live Disk  : دیسک متصل به سیستم را مستقیم تحلیل کنید( برای IR سریع کاربرد دارد اما از نظر Forensics پرریسک است).
  • قبل از پردازش، الگوریتم‌های هش (MD5/SHA256) روی ایمیج اعمال کنید و مقادیر هش را ذخیره کنید تا اصالت داده‌ها ثابت شود.

۳. بررسی فایل‌ها و متادیتا (File & Metadata Analysis)

حالا وارد تحلیل واقعی می‌شویم.

  • مرور ساختار پوشه‌ها (Folder Tree View) : ساختار پوشه‌ای (Directory Tree) نمایش داده می‌شود و می‌توانید به شکل درختی فایل‌ها را مرور کنید.
  • مشاهده تاریخ‌ها (Timestamps) : برای هر فایل، سه تاریخ مهم وجود دارد:
    • Created (زمان ایجاد)
    • Modified(زمان تغییر)
    • Accessed (زمان دسترسی)
      این تاریخ‌ها در کنار هم می‌توانند نشان دهند مهاجم چه زمانی وارد سیستم شده یا فایل‌ها را تغییر داده است.
  • بررسی فایل‌های حذف‌شده (Deleted Files) : اگر فایل‌ها از طریق Recycle Bin پاک شده باشند یا حتی بدون Recycle Bin حذف شده باشند، Autopsy می‌تواند با خواندن رکوردهای MFT  یا الگوریتم‌های Carving  آن‌ها را بازیابی کند.

۴. تحلیل تایم‌لاین (Timeline Analysis)

یکی از قدرتمندترین قابلیت‌های Autopsy همین بخش است.

  • با جمع‌آوری تمام Timestamps  از Artefactها (مثل MFT، رجیستری، Prefetch، Web History) یک Timeline ساخته می‌شود.
  • می‌توانید زمان‌ها را فیلتر کنید: مثلاً بازه‌ی ۲۴ ساعت قبل از آلودگی باج‌افزار.
  • این دید زمانی کمک می‌کند Sequence of Events  بازسازی شود:
    • چه ساعتی کاربر Login کرده؟
    • چه موقع فایل‌ها تغییر یا حذف شده‌اند؟
    • چه زمانی بدافزار اجرا شده؟
  • در تحقیقات Ransomware یا Insider Threat، Timeline Analysis یکی از کلیدهای اصلی کشف حقیقت است.

۵. استخراج Artefacts (Artefact Extraction)

Autopsy  ماژول‌های قدرتمندی برای شناسایی و استخراج Artefactها دارد. چند مورد مهم:

  • کش مرورگرها (Browser Cache & History) :
    • تاریخچه‌ی وب‌گردی (Browsing History)
    • کوکی‌ها (Cookies)
    • فایل‌های موقت (Cache Files)
      این موارد می‌تواند نشان دهد کاربر یا مهاجم به چه وب‌سایت‌هایی متصل شده است.
  • لاگ‌های سیستم (System Logs) :
    • Event Logs در ویندوز
    • syslog در لینوکس
      تحلیل لاگ‌ها به کشف فعالیت‌های غیرعادی مثل ورودهای ناموفق یا تغییرات سیستمی کمک می‌کند.
  • فایل‌های Prefetch (Windows Prefetch Files) :
    • Prefetch ها نشان می‌دهند کدام برنامه‌ها روی سیستم اجرا شده‌اند.
    • برای مثال اگر یک فایل مشکوک malware.exe اجرا شده باشد، اثرش در Prefetch باقی می‌ماند حتی اگر فایل اصلی حذف شده باشد.
  • رجیستری ویندوز (Windows Registry) :
    • Run Keys : نشان می‌دهد چه برنامه‌هایی هنگام بوت اجرا می‌شوند.
    • Recent Files / UserAssist : لیست فایل‌های اخیراً بازشده یا برنامه‌های اجراشده.
    • USB History : تاریخچه‌ی اتصال فلش‌ها یا دیسک‌های خارجی.

این Artefactها در کنار Timeline می‌توانند تصویری کامل از فعالیت‌های کاربر یا مهاجم بسازند.

افزونه‌ها و ماژول‌های پیشرفته Autopsy

یکی از بزرگ‌ترین مزیت‌های Autopsy انعطاف‌پذیری آن است. شما می‌توانید با استفاده از ماژول‌ها (Modules)  و افزونه‌ها (Plugins) قابلیت‌های جدیدی به آن اضافه کنید و فراتر از یک تحلیل ساده فایل‌سیستم بروید. برخی از مهم‌ترین ماژول‌های پیشرفته عبارتند از:

 Email Parser (تحلیل ایمیل‌ها و پیوست‌ها)

در بسیاری از حملات سایبری، ایمیل نقطه‌ی شروع آلودگی است. چه به شکل Phishing، چه به صورت ارسال مستقیم بدافزار در قالب پیوست.

  • Email Parser  در Autopsy امکان استخراج موارد زیر را فراهم می‌کند:
    • آدرس فرستنده و گیرنده (From/To)
    • تاریخ ارسال و دریافت
    • Subject  ایمیل‌ها
    • پیوست‌ها (Attachments)
  • این ماژول از فایل‌های PST/OST (Microsoft Outlook) و فرمت‌های استاندارد مثل MBOX  پشتیبانی می‌کند.
  • کاربرد: در بررسی حملات فیشینگ یا Insider Threat، تحلیل ایمیل‌ها می‌تواند منبع نشت اطلاعات یا فایل آلوده را مشخص کند.

 Android Analyzer (تحلیل موبایل اندروید)

امروزه بسیاری از شواهد دیجیتال روی موبایل‌ها قرار دارند. افزونه‌ی Android Analyzer برای تحلیل دستگاه‌های اندرویدی طراحی شده است.

  • قابلیت‌ها:
    • استخراج پیام‌های SMS/MMS
    • لیست تماس‌ها (Call Logs)
    • پیام‌رسان‌ها (WhatsApp, Telegram, Signal در صورت موجود بودن دیتابیس)
    • تصاویر و Metadata مربوط به آن‌ها (EXIF Data)
  • این ماژول معمولاً همراه با ابزارهای مکمل مثل Cellebrite UFED  یا Magnet AXIOM استفاده می‌شود تا پوشش کامل‌تری داشته باشد.

 YARA Rules Integration (شناسایی بدافزار بر اساس YARA)

YARA یک فریم‌ورک محبوب برای شناسایی بدافزارها و الگوهای مشکوک در فایل‌هاست.

  • Autopsy  می‌تواند قوانین YARA را در جریان تحلیل اجرا کند.
  • این امکان به شما اجازه می‌دهد:
    • فایل‌های مشکوک را با الگوهای شناخته‌شده بدافزار مقایسه کنید.
    • به‌سرعت Indicator of Compromise (IoC) را شناسایی کنید.
  • کاربرد: در حملات Ransomware  یا APTها، استفاده از YARA کمک می‌کند فایل‌های آلوده حتی اگر اسم یا پسوندشان تغییر کرده باشد، شناسایی شوند.

 Keyword Search (جستجوی پیشرفته با Regex)

جستجو یکی از نیازهای اصلی در هر تحقیق دیجیتال است. ماژول Keyword Search  در Autopsy بسیار قدرتمند عمل می‌کند.

  • قابلیت‌ها:
    • جستجوی ساده بر اساس کلمه یا عبارت.
    • استفاده از Regular Expressions (Regex)  برای الگوهای پیچیده.
    • پشتیبانی از چند زبان و کلمات Unicode.
  • مثال:
    • جستجوی شماره کارت بانکی (Regex  برای ۱۶ رقم پشت‌سرهم)
    • جستجوی آدرس‌های IP یا URLها
  • نتیجه: جستجوی سریع و دقیق روی حجم عظیم داده‌ها، بدون نیاز به بررسی دستی تک‌تک فایل‌ها.

  نتیجه:
این ماژول‌ها Autopsy را از یک ابزار ساده فایل‌سیستم به یک پلتفرم کامل DFIR تبدیل می‌کنند که می‌تواند ایمیل، موبایل، بدافزار و حتی Artefactهای خاص را بررسی کند.

تکنیک‌های پیشرفته در تحلیل فایل‌سیستم (Advanced Techniques in File System Analysis)

وقتی تحلیل اولیه (Initial Analysis) انجام شد، نوبت به تکنیک‌های پیشرفته می‌رسد. این بخش معمولاً در Incident Response  و Digital Forensics Investigation  اهمیت بالایی دارد، چون به ما کمک می‌کند رفتار مهاجم و مسیر حمله را با دقت بازسازی کنیم.

1 . بررسی Persistence در رجیستری ویندوز

یکی از مهم‌ترین گام‌ها در تحلیل سیستم آلوده، بررسی مکانیزم‌های Persistence است. مهاجمان معمولاً تغییراتی در Windows Registry ایجاد می‌کنند تا بعد از ریبوت هم دسترسی خود را حفظ کنند.
مکان‌های رایج:

  • Run Keys : مسیر HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  • Services : اضافه شدن سرویس جدید یا تغییر در سرویس‌های موجود
  • Scheduled Tasks : اجرای دوره‌ای بدافزار یا اسکریپت مخرب

این داده‌ها در Autopsy قابل استخراج و تحلیل هستند و معمولاً به‌صورت Artefacts ذخیره می‌شوند.

2 . تحلیل NTFS MFT و LogFile

در فایل‌سیستم NTFS، فایل Master File Table (MFT) و $LogFile شامل ردپای ارزشمندی از تغییرات فایل‌هاست.
کاربردها:

  • پیدا کردن زمان دقیق ایجاد و حذف فایل‌ها (File Timestamps)
  • کشف فایل‌های مخفی یا Renamed Files
  • شناسایی رفتار مهاجم در تغییر ساختار پوشه‌ها

Autopsy ابزارهای داخلی برای خواندن MFT دارد و می‌تواند داده‌ها را با Timeline ادغام کند.

3 . بررسی Prefetch و ShimCache

ویندوز برای بهبود سرعت اجرا، اطلاعات مربوط به برنامه‌ها را در Prefetch Files  ذخیره می‌کند. همچنین، داده‌های ShimCache (AppCompatCache)  هم اطلاعاتی درباره برنامه‌های اجراشده دارد.
کاربردها:

  • شناسایی بدافزارهایی که کاربر یا مهاجم اجرا کرده است
  • بررسی زمان اجرای برنامه‌ها برای بازسازی Sequence حمله
  • کشف ابزارهای مهاجم مانند Mimikatz.exe یا nc.exe

4 . تحلیل Artefacts مرورگر

مهاجمان اغلب از مرورگرها برای دانلود بدافزار یا ارتباط با C2 Server استفاده می‌کنند.  Autopsy می‌تواند Artefacts مرورگرها را استخراج کند:

  • History : بازدید از سایت‌های مشکوک
  • Cookies : وجود Session مربوط به وب‌سایت‌های ناامن
  • Downloads : فایل‌های دانلودشده توسط مهاجم

مطالعه موردی (Case Study) : حمله Brute Force به سرور ویندوزی

برای درک بهتر فرآیند، یک سناریوی واقعی را مرور می‌کنیم:

  • یک سرور ویندوزی هدف حمله Brute Force روی RDP قرار گرفته است.
  • تیم IR ایمیج دیسک (Disk Image) را با Autopsy بررسی کرد.
  • در بخش Windows Event Logs تعداد زیادی Failed Logon Attempts مشاهده شد.
  • در رجیستری، یک Service مشکوک کشف شد که به‌عنوان Persistence مهاجم عمل می‌کرد.
  • با استفاده از Timeline Analysis مشخص شد که درست پس از موفقیت Brute Force، ابزار مهاجم نصب شده است.
  • خروجی Autopsy (Reports + Extracted Artefacts) به‌عنوان Digital Evidence در اختیار تیم Incident Response و حتی نهاد قضایی قرار گرفت.

این سناریو نشان می‌دهد که چگونه Autopsy می‌تواند از یک Incident ساده به یک پرونده کامل قضایی (Forensic Case) تبدیل شود.

Best Practices در استفاده از Autopsy

برای افزایش دقت و اعتبار تحلیل‌ها، رعایت Best Practices ضروری است:

  1. Chain of Custody : همیشه مسیر ورود و خروج داده‌ها (Evidence Handling) را ثبت کنید تا مدارک در دادگاه قابل استناد باشند.
  2. مستندسازی دقیق (Documentation) : هر مرحله از تحلیل را با جزئیات بنویسید (زمان، ابزار، نتیجه).
  3. ترکیب ابزارها:  Autopsy را در کنار ابزارهای دیگر استفاده کنید:
    • Volatility برای Memory Forensics
    • Splunk یا ELK Stack برای Log Analysis
    • YARA Rules برای کشف بدافزار
  4. Hash Sets : استفاده از Hash Databases (مانند NSRL) برای شناسایی سریع فایل‌های عادی یا مشکوک.

چک‌لیست سریع تحلیل فایل‌سیستم با Autopsy

برای اینکه هیچ مرحله‌ای فراموش نشود، می‌توانید از این چک‌لیست استفاده کنید:

 ایجاد New Case
 وارد کردن Disk Image (E01, RAW, dd, Live Capture)
 مرور فایل‌ها و شناسایی Deleted Files
 اجرای Timeline Analysis
 استخراج Artefacts (Registry, Prefetch, Browser Data, Logs)
 بررسی Persistence و بدافزارهای احتمالی
 مستندسازی و تولید Final Report

 پرسش‌های متداول (FAQ)

Autopsy  برای تحلیل موبایل هم کاربرد دارد؟

Autopsy  قابلیت‌هایی برای موبایل دارد اما برای موبایل فورنزیک معمولاً ابزارهای اختصاصی مثل Cellebrite یا موبایل‌فورنزیک‌های متن‌باز دیگرتکمیلی مفیدند.

آیا Autopsy رایگان است؟

بله. Autopsy یک پلتفرم متن‌باز است و نسخه پایهی آن رایگان است. همچنین شرکت‌های مرتبط آموزش و پلاگین‌های تجاری ارائه می‌دهند.

بهترین منابع برای یادگیری بیشتر؟

مستندات رسمی Autopsy (User's Guide)، SANS tutorials و مستندات NIST برای روش‌شناسی توصیه می‌شوند.

آیا می‌توان Autopsy را با ابزارهای دیگر ادغام کرد؟

بله. بسیاری از تیم‌ها Autopsy را با Volatility (برای Memory Analysis)، Splunk/ELK (برای Log Correlation) و YARA Rules ادغام می‌کنند.

تفاوت Autopsy با EnCase یا FTK چیست؟

EnCase  و FTK ابزارهای تجاری هستند و امکانات گسترده‌تری دارند، اما Autopsy متن‌باز و رایگان است و در بسیاری از سناریوها نیازهای اصلی را برطرف می‌کند.

 جمع‌بندی

Autopsy  ابزار قدرتمند، قابل‌دسترس و مناسب برای بسیاری از نیازهای DFIR است. کلید موفقیت در تحلیل فایل‌سیستم، رعایت دقیق روش‌های اکتساب، استفاده ی هم‌زمان از چند منبع آرتیفکت (MFT, USN, Prefetch, LNK) مستندسازی کامل و اعتبارسنجی نتایج با hashها و منابع مرجع است. توصیه می شود برای پرونده‌های حساس همیشه روش‌ها را با دقت بنویسید و تکنیک‌ها را طبق رهنمودهای NIST آزمایش و ثبت کنید .

 

 

کلمات کلیدی: | | |

مروری بر مطالب

تمام حقوق سایت برای سلام دیجی و نويسندگان آن محفوظ می باشد