تکنولوژی

کار با The Sleuth Kit (TSK) برای بررسی فایل‌های حذف‌شده – راهنمای کامل DFIR

تکنولوژی
امتیاز:
( 0 امتیاز )
ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

در ادامه‌ی مقاله قبلی که درباره‌ی تحلیل فایل‌سیستم با Autopsy صحبت کردیم، حالا وقت آن است که وارد لایه‌ی عمیق‌تر و فنی‌تر دنیای Digital Forensics شویم:

کار مستقیم با ابزار خط فرمان The Sleuth Kit (TSK) .

اگر Autopsy را «پنل گرافیکی» در نظر بگیریم، TSK  مغز پشت پرده‌ی آن است. همان مجموعه ابزارهای قدرتمندی که Autopsy برای آنالیز NTFS، بازیابی فایل حذف‌شده، ساخت تایم‌لاین و بررسی متادیتا از آن استفاده می‌کند.

اما برای یک تحلیلگر حرفه‌ای DFIR، کار با TSK یعنی دسترسی مستقیم به ریشه‌ی فایل‌سیستم، جایی که هیچ GUI نمی‌تواند دقت آن را ارائه دهد.

🔍  TSK چیست و چرا در تحقیقات دیجیتال مهم است؟

The Sleuth Kit (TSK)  مجموعه‌ای از ابزارهای خط فرمان است که برای تحلیل فایل‌سیستم و استخراج شواهد استفاده می‌شوداین ابزارها بر پایه استانداردهای DFIR نوشته شده‌اند و توسط بسیاری از تیم‌های پلیسی، نظامی و SOC مورد استفاده قرار می‌گیرند.

مهم‌ترین قابلیت‌های TSK :

✔️ بررسی MFT  در NTFS

✔️ بازیابی فایل‌های حذف‌شده (Deleted File Recovery)

✔️ تحلیل متادیتا (Metadata, Timestamps)

✔️ استخراج ساختار دایرکتوری

✔️ بررسی تغییرات مخرب و آثار حملات

✔️ تعامل مستقیم با ایمیج‌های E01, RAW, dd

🎯  چرا از TSK استفاده کنیم وقتی Autopsy داریم؟

در مقاله اول گفتیم Autopsy برای تحلیل گرافیکی فوق‌العاده است، اما:

Autopsy

TSK

رابط کاربری راحت

کنترل کامل از طریق CLI

مناسب برای آموزش و گزارش

مناسب برای بررسی عمیق و دقیق

مناسب تایم‌لاین، Artefacts و ماژول‌ها

مناسب تحلیل جزئی فایل‌سیستم و MFT

Multi-User Server

پردازش سبک و سریع در خط فرمان
 

بهترین کار؟
استفاده ترکیبی از Autopsy و TSK (که دقیقاً در Best Practices مقاله اول هم گفتیم).
Autopsy ✔️برای تصویری‌سازی  
TSK✔️ برای جراحی عمیق فایل‌سیستم.

🛠  آماده‌سازی و ابزارهای اصلی TSK برای تحلیل فایل‌های حذف‌شده

برای بررسی فایل‌های حذف‌شده، چند ابزار از TSK بیشترین استفاده را دارند:

ابزار

کاربرد

fls

لیست فایل‌ها و دایرکتوری‌ها – حتی موارد حذف‌شده

icat

استخراج محتوای یک فایل از داخل ایمیج

istat

نمایش متادیتا و وضعیت یک فایل

mmls

نمایش پارتیشن‌ها

ffind

جستجوی inode بر اساس نام

tsk_recover

بازیابی کامل فایل‌های حذف‌شده
 

🚀  آموزش گام‌به‌گام: پیدا کردن و بازیابی فایل‌های حذف‌شده با TSK

نصب The Sleuth Kit (TSK)

نصب TSK بسته به سیستم‌عامل بسیار ساده است.
روی Linux (به‌خصوص Debian/Ubuntu) می‌توانید آن را مستقیم از مخازن نصب کنید:

sudo apt-get install sleuthkit

یا اگر نسخه جدیدتر می‌خواهید، سورس رسمی را از GitHub کلون کرده و با دستورهای ./configure ،make  و make install  کامپایل کنید.
روی Windows نصب از طریق پکیج‌های آماده انجام می‌شود و معمولاً همراه Autopsy عرضه می‌گردد، اما می‌توان نسخه CLI را نیز از مخزن رسمی دانلود کرد.
نیازمندی‌ها شامل:

یک محیط خط فرمان مناسب، کتابخانه‌های استاندارد Unix و فضای کافی برای پردازش ایمیج‌های حجیم است. پس از نصب، ابزارهای کلیدی مثل fls ،icat ،mmls و tsk_recover در دسترس خواهند بود.

پس از نصب به سراغ مراحل زیر می رویم:

1. شناسایی پارتیشن صحیح

ابتدا باید بفهمیم ایمیج شامل چه پارتیشن‌هایی است:

mmls image.dd

خروجی شامل:

Partition Index ✔️

Start ✔️

Length ✔️

Type ✔️(مثل NTFS, FAT, EXT)

پارتیشنی که NTFS است معمولاً هدف ماست.

2. لیست فایل‌ها + فایل‌های حذف‌شده

با دستور:

fls -r -d -m / image.dd

پارامترها:

-r ✔️    recursive

-d ✔️    نمایش فایل‌های حذف‌شده

-m ✔️  /    نمایش مسیر کامل

نمونه خروجی برای فایل حذف‌شده:

d/d 128-128-3: $OrphanFiles

r/r *124529: secret.png

ستاره (*) یعنی فایل حذف شده است.

3.استخراج (Recover) فایل حذف‌شده با icat

با داشتن شماره inode می‌تونیم فایل رو بازیابی کنیم:

icat image.dd 124529 > recovered_secret.png

اینجا:

124529 ✔️ همان inode است

✔️ فایل بازیابی‌شده در مسیر جاری ذخیره می‌شود

4. بررسی Metadata فایل حذف‌شده با istat

istat image.dd 124529

اطلاعات حیاتی شامل:

Created Time ✔️

Modified ✔️

Accessed (MAC Times) ✔️

Allocated / Unallocated status ✔️

Size ✔️

Fragmentation ✔️

این داده‌ها برای ساخت Timeline Analysis  که در Autopsy انجام می‌دادیم بسیار ضروری است.

5. بازیابی گروهی فایل‌ها

اگر تعداد فایل‌های حذف‌شده زیاد باشد:

tsk_recover -e image.dd output_dir/

-e    فقط فایل‌های حذف‌شده را بازیابی کن.

📌  سناریوی واقعی (Case Study) : بازیابی فایل مهم پس از حمله Ransomware

در یک کیس واقعی DFIR :

  1. سیستم ویندوزی با حمله باج‌افزاری آلوده شده بود.
  2. Autopsy  نشان داد بسیاری از فایل‌ها قبل از رمزگذاری حذف شده‌اند.
  3. TSK وارد عمل شد:

✔️ با fls فایل‌های حذف‌شده پیدا شد

✔️ با icat چند فایل PDF حساس بازیابی شد

istat ✔️ نشان داد فایل‌ها چند دقیقه قبل از اجرای باج‌افزار حذف شده بودند

✔️ این تایم‌لاین دقیق در گزارش نهایی IR استفاده شد

این همان جایی است که همکاری Autopsy + TSK قدرت بی‌نظیری می‌سازد.

🧠  Best Practices در کار با TSK برای فایل‌های حذف‌شده

✔️ همیشه روی ایمیج کار کنید، نه هارد اصلی

✔️ از Chain of Custody غافل نشوید

✔️ از MFT و LogFile برای Verify استفاده کنید

✔️ استخراج را در محیط جداگانه (Sandbox) انجام دهید

✔️ نتایج TSK را با Autopsy یا X-Ways Cross-check کنید

✔️ از Hash Sets برای تطبیق فایل‌های سالم و مخرب استفاده کنید

📋  چک‌لیست سریع تحلیل فایل حذف‌شده با TSK

بررسی پارتیشن‌ها   mmls

لیست فایل‌ها و موارد حذف‌شده   fls

بازیابی فایل   icat

بررسی Metadata    istat

بازیابی گروهی   tsk_recover

ساخت تایم‌لاین و Cross-check با  Autopsy

تحلیل NTFS MFT به‌صورت عمیق با TSK و ابزارهای جانبی مثل MFTECmd

تحلیل Master File Table (MFT)  یکی از حیاتی‌ترین مراحل در File System Forensics روی NTFS محسوب می‌شود. زیرا تقریباً تمام متادیتاهای فایل‌ها حتی فایل‌های حذف‌شده، تغییرنام‌یافته یا مخفی‌شده در رکوردهای آن نگهداری می‌شود. ترکیب The Sleuth Kit (TSK) با ابزارهای تخصصی مثل MFTECmd قدرت تحلیل را چند برابر می‌کند.

🔹  چرا MFT مهم است؟

MFT شامل اطلاعات حیاتی است مانند:

✔️ زمان‌های فایل (MACB: Modified, Accessed, Changed, Born)

✔️ محل ذخیره فیزیکی داده‌های فایل

✔️ پرچم‌های Attributes مثل Hidden، System، Deleted

✔️ لینک‌های سخت (Hard Links)

✔️ مسیر اصلی فایل حتی پس از جابه‌جایی یا حذف

این اطلاعات در بسیاری از سناریوهای Incident Responseمثل حملات Persistence، Data Exfiltration، و اجرای بدافزارکلید شناسایی رفتار مهاجم هستند.

تحلیل MFT با استفاده از TSK

TSK چند ابزار قدرتمند برای استخراج و تحلیل ساختار NTFS دارد:

1.استخراج لیست فایل‌ها با fls

با اجرای دستور fls می‌توان وضعیت فایل‌ها و دایرکتوری‌ها را، حتی اگر حذف شده باشند، مشاهده کرد:

fls -r -m / IMAGE.dd

خروجی شامل:

✔️ فایل‌های active

✔️ فایل‌های deleted

✔️ مسیر اصلی فایل‌ها

✔️ ساختار درختی NTFS

این مرحله معمولاً برای ایجاد یک نقشه کلی از فعالیت‌های سیستم استفاده می‌شود.

2. استخراج رکوردهای خام MFT با icat

برای تحلیل عمیق‌تر، باید رکوردهای MFT استخراج شوند:

icat IMAGE.dd <inode_of_$MFT> > MFT.raw

این فایل خام مبنای اصلی تحلیل‌های بعدی است.

3.تحلیل ساختار NTFS با istat

istat اطلاعات دقیقی از یک inode (رکورد MFT) می‌دهد:

istat IMAGE.dd <inode_number>

این خروجی برای:

✔️ ردیابی تغییرات در زمان‌ها (Anti-forensics detection)

✔️ شناسایی فایل‌هایی با Attributeهای غیرمعمول

✔️ کشف فایل‌های Timestamp-manipulated

بسیار ارزشمند است.

نتایج کلیدی که از تحلیل MFT به دست می‌آورید

✔️ پیدا کردن فایل‌های حذف‌شده اما هنوز قابل ریکاوری

✔️ شناسایی فایل‌های مشکوک با ویژگی System/Hidden

✔️ کشف پوشه‌هایی که مهاجم برای Persistence ایجاد کرده است

✔️ فهمیدن چه برنامه‌هایی اجرا شده و چه زمانی

✔️ شناسایی timestomping

✔️ ایجاد Digital Timeline دقیق از رفتار مهاجم

📚  جمع‌بندی

اگر Autopsy ابزار «تحلیل سطح بالا» باشد، TSK  ابزار «تحلیل سطح پایین» استاستفاده از هر دو، یک ترکیب ایده‌آل برای تیم‌های DFIR،SOC،Threat Hunting،Malware وAnalysis،Law Enforcement است.

 

کلمات کلیدی: | | | | |

مروری بر مطالب

تمام حقوق سایت برای سلام دیجی و نويسندگان آن محفوظ می باشد