در سه گام گذشته از مجموعهی «آموزش جامع تصویربرداری قانونی (Forensic Imaging) ، با ابزارهای کلاسیک این حوزه آشنا شدیم:
از FTK Imager برای ساخت ایمیج قانونی در ویندوز،
تا dd و dc3dd برای کپی دقیق بیتبهبیت در لینوکس،
و در نهایت Guymager بهعنوان گزینهای گرافیکی و سریع در محیطهای open source
اکنون در چهارمین مرحله، سراغ ابزاری میرویم که مرز بین جمعآوری شواهد حافظه و دیسک را از میان برمیدارد Magnet Acquire . محصولی از شرکت کاناداییMagnet Forensics که بهطور گسترده در تیمهای پاسخگویی به رخداد (IR Teams) و آزمایشگاههای جرمیابی دیجیتال استفاده میشود.
معرفی Magnet Acquire
Magnet Acquire یک ابزار رایگان و قدرتمند است که برای جمعآوری شواهد از دیسک، حافظه (RAM) و دستگاههای متصل (External Devices) طراحی شده است.
این نرمافزار رابط کاربری سادهای دارد اما در عین حال، گزینههای پیشرفتهای برای تنظیم نوع Image، فشردهسازی، محاسبهی هش (MD5/SHA256) و ثبت کامل متادیتا ارائه میدهد.
ویژگی کلیدی Magnet Acquire این است که میتواند در Live Systemاجرا شود، بدون اینکه دادهها را تغییر دهد یا سیستم را مختل کند.قابلیتی حیاتی برای جمعآوری شواهد در زمان وقوع حادثه.
تاریخچه و توسعه
Magnet Acquire توسط شرکت Magnet Forensics توسعه یافته است. شرکتی که در سال ۲۰۱۱ توسط Jad Saliba )افسر سابق پلیس کانادا) تأسیس شد. هدف اولیهی این شرکت، طراحی ابزارهایی بود که به نیروهای قضایی و کارشناسان امنیت کمک کند تا شواهد دیجیتال را بهصورت قانونی، سریع و تکرارپذیر جمعآوری کنند.
در نسخههای جدید، Magnet Acquire بهطور کامل با سایر محصولات این شرکت مانند AXIOM و Magnet RESPONSE یکپارچه شده است، تا چرخهی جمعآوری، تحلیل و گزارشدهی دیجیتال در یک زنجیرهی امن انجام شود.
انواع Acquisition در Magnet Acquire
|
نوع جمعآوری |
توضیح |
|
Full Disk Image |
کپی کامل بیتبهبیت از درایو، مناسب برای بررسیهای قضایی دقیق |
|
Logical Acquisition |
استخراج فایلها و ساختارهای منطقی سیستم، برای سرعت بیشتر |
|
Memory Acquisition |
تهیهی Dump از RAM سیستم زنده برای شناسایی بدافزار، کلیدهای رمزگذاری و نشستهای فعال |
|
Removable Media |
جمعآوری شواهد از USB Drive، کارت حافظه، یا گوشی متصل به سیستم |
مراحل کار با Magnet Acquire
فرآیند ایمیجگیری دیجیتال با Magnet Acquire بهصورت گرافیکی و مرحلهبهمرحله انجام میشود و بهگونهای طراحی شده است که هم برای تحلیلگران تازهکار و هم برای کارشناسان حرفهای Digital Forensics قابل استفاده باشد. در ادامه، مراحل استاندارد اجرای این ابزار را بررسی میکنیم:
1. اجرای برنامه با دسترسی Administrator
از آنجا که Magnet Acquire برای دسترسی به سطح پایین حافظه و دستگاههای ذخیرهسازی نیازمند دسترسی سیستمی است، باید برنامه را با Run as Administrator اجرا کنید. در سیستمهای ویندوزی، این کار از طریق راستکلیک روی آیکون برنامه و انتخاب گزینهی مربوط انجام میشود.
2. انتخاب نوع منبع (Source Type)
در پنجرهی اصلی، کاربر میتواند منبع داده را مشخص کند:
✔️ Disk برای ایمیجگیری از هارد یا SSD
✔️ Memory برای جمعآوری حافظهی RAM سیستم در حال اجرا
✔️ External Device برای ذخیرهسازهای خارجی مانند USB یا کارت حافظه
این انعطافپذیری باعث میشود Magnet Acquire هم برای Live Acquisition و هم Offline Imaging کاربرد داشته باشد.
3. تنظیم مسیر ذخیرهسازی و نام پرونده (Case Name)
در گام بعدی باید مسیر ذخیرهی فایل Image را مشخص کنید. توصیه میشود محل ذخیره در یک درایو خارجی یا شبکهای امن قرار گیرد.
سپس نام پرونده (Case Name) و مسیر خروجی (Output Path) را تعیین کنید تا فایلهای گزارش و Image با ساختار استاندارد ذخیره شوند.
4. فعالسازی هش دوگانه (MD5 + SHA256)
در بخش تنظیمات پیشرفته، گزینهی Hashing را فعال کرده و هر دو الگوریتم MD5 و SHA256 را انتخاب کنید.
این کار موجب ثبت امضای دیجیتال برای هر بلاک داده میشود و امکان تأیید صحت (Integrity Verification) فایل Image را در مراحل بعد فراهم میکند.
5. انتخاب گزینهی فشردهسازی (Compression)
برای صرفهجویی در فضا و تسهیل انتقال، میتوان گزینهی Compression را فعال کرد.
این ویژگی بدون تغییر در ساختار باینری داده، حجم فایل خروجی را کاهش میدهد. با این حال، برای شواهد حیاتی بهتر است نسخهی بدون فشردهسازی نیز نگهداری شود.
6.ثبت مشخصات Examiner و Case ID در Metadata
در این مرحله اطلاعات مربوط به کارشناس پرونده (Examiner Name)، شماره پرونده (Case ID) و توضیحات تکمیلی در Metadata ذخیره میشود.
این دادهها در گزارش نهایی درج میگردد و برای حفظ Chain of Custody یا زنجیرهی مالکیت شواهد اهمیت قانونی دارد.
7. شروع فرآیند Acquisition و مشاهدهی وضعیت در Progress Panel
پس از تأیید تنظیمات، فرآیند ایمیجگیری آغاز میشود. در بخش Progress Panel میتوانید سرعت خواندن (Read Speed)، میزان دادهی پردازششده و زمان تخمینی باقیمانده را مشاهده کنید.
در صورت بروز خطا (Error) یا توقف غیرمنتظره، برنامه گزارش لحظهای تولید میکند تا امکان تحلیل علت وجود داشته باشد.
8. بررسی گزارش نهایی و تأیید صحت Image
پس از اتمام عملیات، Magnet Acquire دو نوع گزارش تولید میکند:
HTML Report : شامل جزئیات گرافیکی، مسیر فایلها، اندازه و هشها
CSV Report : مناسب برای وارد کردن دادهها در ابزارهای تحلیلی یا مدیریت شواهد
در پایان، با مقایسهی مقادیر هش ثبتشده در گزارش و فایل Image میتوان از صحت کامل دادهها اطمینان حاصل کرد.
مزایای Magnet Acquire نسبت به رقبا
✔️ قابلیت جمعآوری حافظه و دیسک در یک محیط واحد
✔️ پشتیبانی از سیستمهای ویندوز، مک و لینوکس
✔️ ثبت خودکار متادیتا و هش برای حفظ زنجیره شواهد
✔️ گزارشگیری دقیق و قابل ارائه در دادگاه
✔️ رابط کاربری گرافیکی مناسب برای کاربران غیرخط فرمان
چکلیست حرفهای استفاده از Magnet Acquire
✅ ا جرای ابزار در محیط ایزوله (Forensic Workstation)
✅ عدم اتصال به اینترنت در زمان Imaging
✅ بررسی هش قبل و بعد از فرآیند برای اطمینان از صحت دادهها
✅ استفاده از نامگذاری استاندارد برای فایلهای Image
✅ ذخیره نسخه پشتیبان گزارش در محل امن
✅ مستندسازی تمامی مراحل برای ارائه در مراجع قانونی
مقایسه فنی ابزارهای Imaging و انتخاب بهترین گزینه برای هر سناریو
تا این مرحله از مجموعه، چهار ابزار اصلی جمعآوری و ایمیجگیری دیجیتال را بررسی کردیم:
FTK Imager، dd / dc3dd، Guymager و Magnet Acquire.
هرکدام از این ابزارها ویژگیها، محدودیتها و کاربردهای خاص خود را دارند. برای انتخاب درست، باید عوامل فنی، سرعت، سازگاری و الزامات قانونی در نظر گرفته شود.
جدول مقایسه ابزارهای Imaging
|
ابزار |
محیط اجرایی |
نوع Image |
پشتیبانی از حافظه RAM |
رابط کاربری |
محاسبه هش |
سطح تخصص مورد نیاز |
مزیت کلیدی |
محدودیت اصلی |
|
FTK Imager |
Windows |
Physical / Logical |
❌ ندارد |
گرافیکی (GUI) |
✅ MD5 / SHA1 |
متوسط |
استاندارد قضایی شناختهشده |
محدود به ویندوز |
|
dd |
Linux / macOS |
Physical |
❌ ندارد |
خط فرمان (CLI) |
✅ از طریق دستورات مکمل |
بالا |
کنترل کامل روی فرآیند |
فاقد رابط گرافیکی |
|
dc3dd |
Linux |
Physical |
❌ ندارد |
CLI |
✅ MD5 / SHA256 / SHA512 |
بالا |
نسخه ارتقایافته dd با هش داخلی |
سرعت کمتر نسبت به GUI Tools |
|
Guymager |
Linux |
Physical |
❌ ندارد |
گرافیکی (GUI) |
✅ MD5 / SHA256 |
متوسط |
سرعت بالا و فشردهسازی خودکار |
فقط در لینوکس قابل اجراست |
|
Magnet Acquire |
Windows / Linux / macOS |
Physical / Logical / Memory |
✅ دارد |
گرافیکی (GUI) |
✅ MD5 / SHA256 |
متوسط |
جمعآوری دیسک و RAM در یک محیط واحد |
فاقد امکانات تحلیل فقط Acquisition |
تحلیل فنی بر اساس سناریوهای واقعی
🔸 زمان حادثه (Live Response)
اگر سیستم هنوز روشن است و نیاز به جمعآوری حافظه دارید، Magnet Acquire یا ابزارهای مشابه مانند Belkasoft RAM Capturer بهترین گزینه هستند، زیرا میتوانند بدون اختلال در فعالیت سیستم، Dump از RAM تهیه کنند.
🔸 تصویربرداری از سیستم خاموش (Cold Imaging)
در این حالت، FTK Imager و Guymager انتخابهای ایدهآل هستند. زیرا میتوانند از طریق Bootable Media یا Mount دستی، از درایوهای جداشده ایمیج کامل بگیرند.
🔸 محیطهای لینوکسی یا اسکریپتمحور
اگر در یک محیط خودکار یا اسکریپتشده کار میکنید (مثلاً در آزمایشگاههای بزرگ یا تیمهای DFIR با تعداد زیاد دیسک)، ابزارهای dd و dc3dd انعطاف بیشتری دارند و به راحتی در Pipelineهای خودکار ادغام میشوند.
🔸 حفظ زنجیره شواهد (Chain of Custody)
در سناریوهای قانونی، مهمترین ویژگی، ثبت دقیق متادیتا و هش است. در این زمینه، FTK Imager و Magnet Acquire از نظر مستندسازی و گزارشدهی کاملتر عمل میکنند.
اتصال Magnet Acquire به Splunk برای تحلیل و مانیتورینگ شواهد
در فرآیند جرمیابی دیجیتال، صرفاً تهیهی Image از حافظه یا دیسک کافی نیست. یکی از بخشهای کلیدی در چرخهی DFIR (Digital Forensics & Incident Response)، تحلیل و مستندسازی خود فرآیند Acquisition است و در این مرحله، ابزارهایی مانند Splunk میتوانند نقش حیاتی ایفا کنند.
📘 هدف از ارسال لاگها به Splunk
با ارسال لاگهای Magnet Acquire به Splunk، میتوان:
✔️ صحت فرآیند ایمیجگیری را بهصورت مرکزی پایش کرد.
✔️ خطاها، توقفها یا تکرار عملیات را شناسایی کرد.
✔️ وضعیت تجهیزات و عملکرد کارشناسان را در یک داشبورد واحد مشاهده نمود.
این کار نهتنها برای تیمهای Incident Response بلکه برای مدیران واحد امنیت و حقوقی نیز ارزشمند است، زیرا تضمین میکند زنجیرهی شواهد (Chain of Custody) کاملاً ثبت و قابل پیگیری است.
⚙️ تنظیم ارسال لاگ Magnet Acquire به Splunk
1. فعالسازی ذخیره لاگ در Magnet Acquire
در بخش تنظیمات برنامه (Settings → Logging)، مسیر ذخیرهی فایلهای لاگ را مشخص کنید. بهصورت پیشفرض، Magnet Acquire لاگها را در مسیر زیر نگه میدارد:
C:\Users\<User>\AppData\Local\Magnet Forensics\Acquire\Logs\
فایلها معمولاً با پسوند .log یا .csv ذخیره میشوند و شامل اطلاعاتی مانند زمان شروع/پایان عملیات، نوع منبع، هشها، و وضعیت فرآیند هستند.
2. نصب و پیکربندی Universal Forwarder در سیستم Acquire
برای ارسال لاگها به سرور Splunk، باید Splunk Universal Forwarder را روی همان سیستمی که Magnet Acquire نصب است، اجرا کنید.
🔸 مراحل:
- دانلود نسخهی مناسب از Splunk Universal Forwarder
- نصب با دسترسی Administrator
اضافه کردن مسیر لاگ Magnet Acquire به فایل inputs.conf:
[monitor://C:\Users\<User>\AppData\Local\Magnet Forensics\Acquire\Logs\*.log]
sourcetype = magnet:acquire
index = forensic
disabled = false
3. تنظیم در سرور Splunk برای دریافت و تحلیل لاگها
در سمت سرور، اطمینان حاصل کنید که پورت دریافت داده (مثلاً 9997) فعال است و Universal Forwarder به آن متصل میشود.
سپس در Search & Reporting، میتوانید لاگها را با کوئریهای مشابه زیر تحلیل کنید:
index=forensic sourcetype="magnet:acquire"
| stats count by SourceType, status, user
یا برای مشاهده وضعیت آخرین ایمیجگیریها:
index=forensic sourcetype="magnet:acquire"
| table _time, caseID, examiner, source, hash_md5, hash_sha256, status
4. ساخت داشبورد نظارتی در Splunk
در نهایت، میتوانید داشبوردی اختصاصی با پنلهای زیر طراحی کنید:
✅ تعداد ایمیجهای انجامشده در بازهی زمانی
⚠️ خطاها یا توقفهای مشکوک در فرآیند Acquisition
👤 عملکرد هر کارشناس (Examiner Activity Overview)
🔒 صحت هشها (Hash Integrity Verification)
این داشبورد به تیم امنیت کمک میکند تا فرآیند جمعآوری شواهد را مانیتور، مستند و قابل دفاع در مراجع قضایی نگه دارد.
نتیجهگیری
انتخاب ابزار مناسب Imaging به سه عامل کلیدی بستگی دارد:
- وضعیت سیستم (روشن یا خاموش)
- هدف جمعآوری (تحلیل قضایی یا پاسخ سریع)
- سطح تخصص کاربر و الزامات قانونی
در جمعبندی این مجموعه، میتوان گفت:
✔️ برای کاربران تازهکار و محیطهای ویندوزی: FTK Imager
✔️ برای کاربران فنی لینوکس و اسکریپتنویسی: dc3dd
✔️ برای جمعآوری سریع در محیط گرافیکی: Guymager
✔️ و برای تحلیلهای Incident Response و جمعآوری حافظه: Magnet Acquire
در کنار هم، این چهار ابزار ستونهای اصلی فرآیند Forensic Acquisition را تشکیل میدهند. از دقت کلاسیک تا سرعت و انعطافپذیری مدرن.
