लॉग आधारित कलाकृतियों की जांच
अब तक, हमने देखा है कि पायथन का उपयोग करके विंडोज में कलाकृतियों को कैसे प्राप्त किया जाए। इस अध्याय में, आइए हम पायथन का उपयोग करके लॉग आधारित कलाकृतियों की जांच के बारे में जानें।
परिचय
लॉग-आधारित कलाकृतियां सूचना का खजाना हैं जो डिजिटल फोरेंसिक विशेषज्ञ के लिए बहुत उपयोगी हो सकते हैं। यद्यपि हमारे पास जानकारी एकत्र करने के लिए विभिन्न निगरानी सॉफ्टवेयर हैं, लेकिन उनसे उपयोगी जानकारी प्राप्त करने के लिए मुख्य मुद्दा यह है कि हमें बहुत अधिक डेटा की आवश्यकता है।
विभिन्न लॉग-आधारित कलाकृतियों और अजगर में जांच
इस भाग में, आइए हम पायथन में विभिन्न लॉग आधारित कलाकृतियों और उनकी जांच पर चर्चा करें -
मुहर
टाइमस्टैम्प लॉग में गतिविधि का डेटा और समय बताता है। यह किसी भी लॉग फ़ाइल के महत्वपूर्ण तत्वों में से एक है। ध्यान दें कि ये डेटा और समय मान विभिन्न स्वरूपों में आ सकते हैं।
नीचे दिखाई गई पायथन लिपि कच्ची तिथि-समय को इनपुट के रूप में लेगी और इसके आउटपुट के रूप में एक प्रारूपित टाइमस्टैम्प प्रदान करेगी।
इस स्क्रिप्ट के लिए, हमें निम्नलिखित चरणों का पालन करना होगा -
सबसे पहले, उन तर्कों को सेट करें जो डेटा के स्रोत और डेटा प्रकार के साथ कच्चे डेटा मान को ले जाएंगे।
अब, विभिन्न तिथि प्रारूपों में डेटा के लिए सामान्य इंटरफ़ेस प्रदान करने के लिए एक वर्ग प्रदान करें।
पायथन कोड
आइए देखें कि इस उद्देश्य के लिए पायथन कोड का उपयोग कैसे करें -
सबसे पहले, निम्नलिखित पायथन मॉड्यूल आयात करें -
from __future__ import print_function
from argparse import ArgumentParser, ArgumentDefaultsHelpFormatter
from datetime import datetime as dt
from datetime import timedelta
अब हमेशा की तरह हमें कमांड-लाइन हैंडलर के लिए तर्क प्रदान करने की आवश्यकता है। यहाँ यह तीन तर्क स्वीकार करेगा, पहला होगा संसाधित होने की तिथि का मूल्य, दूसरा उस तिथि मान का स्रोत होगा और तीसरा इसका प्रकार होगा -
if __name__ == '__main__':
parser = ArgumentParser('Timestamp Log-based artifact')
parser.add_argument("date_value", help="Raw date value to parse")
parser.add_argument(
"source", help = "Source format of date",choices = ParseDate.get_supported_formats())
parser.add_argument(
"type", help = "Data type of input value",choices = ('number', 'hex'), default = 'int')
args = parser.parse_args()
date_parser = ParseDate(args.date_value, args.source, args.type)
date_parser.run()
print(date_parser.timestamp)
अब, हमें एक वर्ग को परिभाषित करने की आवश्यकता है जो दिनांक मान, दिनांक स्रोत और मान प्रकार के लिए तर्क स्वीकार करेगा -
class ParseDate(object):
def __init__(self, date_value, source, data_type):
self.date_value = date_value
self.source = source
self.data_type = data_type
self.timestamp = None
अब हम एक विधि को परिभाषित करेंगे जो मुख्य () विधि की तरह नियंत्रक की तरह काम करेगी -
def run(self):
if self.source == 'unix-epoch':
self.parse_unix_epoch()
elif self.source == 'unix-epoch-ms':
self.parse_unix_epoch(True)
elif self.source == 'windows-filetime':
self.parse_windows_filetime()
@classmethod
def get_supported_formats(cls):
return ['unix-epoch', 'unix-epoch-ms', 'windows-filetime']
अब, हमें दो तरीकों को परिभाषित करने की आवश्यकता है, जो क्रमशः यूनिक्स युग और समय की प्रक्रिया करेंगे -
def parse_unix_epoch(self, milliseconds=False):
if self.data_type == 'hex':
conv_value = int(self.date_value)
if milliseconds:
conv_value = conv_value / 1000.0
elif self.data_type == 'number':
conv_value = float(self.date_value)
if milliseconds:
conv_value = conv_value / 1000.0
else:
print("Unsupported data type '{}' provided".format(self.data_type))
sys.exit('1')
ts = dt.fromtimestamp(conv_value)
self.timestamp = ts.strftime('%Y-%m-%d %H:%M:%S.%f')
def parse_windows_filetime(self):
if self.data_type == 'hex':
microseconds = int(self.date_value, 16) / 10.0
elif self.data_type == 'number':
microseconds = float(self.date_value) / 10
else:
print("Unsupported data type '{}' provided".format(self.data_type))
sys.exit('1')
ts = dt(1601, 1, 1) + timedelta(microseconds=microseconds)
self.timestamp = ts.strftime('%Y-%m-%d %H:%M:%S.%f')
उपरोक्त स्क्रिप्ट को चलाने के बाद, टाइमस्टैम्प प्रदान करके हम आसानी से पढ़े जाने वाले प्रारूप में परिवर्तित मूल्य प्राप्त कर सकते हैं।
वेब सर्वर लॉग
डिजिटल फोरेंसिक विशेषज्ञ के दृष्टिकोण से, वेब सर्वर लॉग एक और महत्वपूर्ण कलाकृति है क्योंकि वे उपयोगकर्ता और भौगोलिक स्थानों के बारे में जानकारी के साथ उपयोगी उपयोगकर्ता आँकड़े प्राप्त कर सकते हैं। जानकारी के आसान विश्लेषण के लिए, वेब सर्वर लॉग को संसाधित करने के बाद, पायथन स्क्रिप्ट है जो एक स्प्रेडशीट बनाएगी।
सबसे पहले हमें निम्नलिखित पायथन मॉड्यूल को आयात करने की आवश्यकता है -
from __future__ import print_function
from argparse import ArgumentParser, FileType
import re
import shlex
import logging
import sys
import csv
logger = logging.getLogger(__file__)
अब, हमें उन पैटर्न को परिभाषित करने की आवश्यकता है जो लॉग से पार्स किए जाएंगे -
iis_log_format = [
("date", re.compile(r"\d{4}-\d{2}-\d{2}")),
("time", re.compile(r"\d\d:\d\d:\d\d")),
("s-ip", re.compile(
r"((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)(\.|$)){4}")),
("cs-method", re.compile(
r"(GET)|(POST)|(PUT)|(DELETE)|(OPTIONS)|(HEAD)|(CONNECT)")),
("cs-uri-stem", re.compile(r"([A-Za-z0-1/\.-]*)")),
("cs-uri-query", re.compile(r"([A-Za-z0-1/\.-]*)")),
("s-port", re.compile(r"\d*")),
("cs-username", re.compile(r"([A-Za-z0-1/\.-]*)")),
("c-ip", re.compile(
r"((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)(\.|$)){4}")),
("cs(User-Agent)", re.compile(r".*")),
("sc-status", re.compile(r"\d*")),
("sc-substatus", re.compile(r"\d*")),
("sc-win32-status", re.compile(r"\d*")),
("time-taken", re.compile(r"\d*"))]
अब, कमांड-लाइन हैंडलर के लिए एक तर्क प्रदान करें। यहाँ यह दो तर्कों को स्वीकार करेगा, पहला होगा IIS लॉग को संसाधित किया जाना, दूसरा वांछित CSV फ़ाइल पथ होगा।
if __name__ == '__main__':
parser = ArgumentParser('Parsing Server Based Logs')
parser.add_argument('iis_log', help = "Path to IIS Log",type = FileType('r'))
parser.add_argument('csv_report', help = "Path to CSV report")
parser.add_argument('-l', help = "Path to processing log",default=__name__ + '.log')
args = parser.parse_args()
logger.setLevel(logging.DEBUG)
msg_fmt = logging.Formatter(
"%(asctime)-15s %(funcName)-10s ""%(levelname)-8s %(message)s")
strhndl = logging.StreamHandler(sys.stdout)
strhndl.setFormatter(fmt = msg_fmt)
fhndl = logging.FileHandler(args.log, mode = 'a')
fhndl.setFormatter(fmt = msg_fmt)
logger.addHandler(strhndl)
logger.addHandler(fhndl)
logger.info("Starting IIS Parsing ")
logger.debug("Supplied arguments: {}".format(", ".join(sys.argv[1:])))
logger.debug("System " + sys.platform)
logger.debug("Version " + sys.version)
main(args.iis_log, args.csv_report, logger)
iologger.info("IIS Parsing Complete")
अब हमें मुख्य () विधि को परिभाषित करने की आवश्यकता है जो बल्क लॉग जानकारी के लिए स्क्रिप्ट को संभालेगी -
def main(iis_log, report_file, logger):
parsed_logs = []
for raw_line in iis_log:
line = raw_line.strip()
log_entry = {}
if line.startswith("#") or len(line) == 0:
continue
if '\"' in line:
line_iter = shlex.shlex(line_iter)
else:
line_iter = line.split(" ")
for count, split_entry in enumerate(line_iter):
col_name, col_pattern = iis_log_format[count]
if col_pattern.match(split_entry):
log_entry[col_name] = split_entry
else:
logger.error("Unknown column pattern discovered. "
"Line preserved in full below")
logger.error("Unparsed Line: {}".format(line))
parsed_logs.append(log_entry)
logger.info("Parsed {} lines".format(len(parsed_logs)))
cols = [x[0] for x in iis_log_format]
logger.info("Creating report file: {}".format(report_file))
write_csv(report_file, cols, parsed_logs)
logger.info("Report created")
अंत में, हमें एक ऐसी विधि को परिभाषित करने की आवश्यकता है जो आउटपुट को स्प्रैडशीट पर लिख दे -
def write_csv(outfile, fieldnames, data):
with open(outfile, 'w', newline="") as open_outfile:
csvfile = csv.DictWriter(open_outfile, fieldnames)
csvfile.writeheader()
csvfile.writerows(data)
उपरोक्त स्क्रिप्ट को चलाने के बाद, हम एक स्प्रेडशीट में वेब सर्वर आधारित लॉग प्राप्त करेंगे।
YARA का उपयोग करके महत्वपूर्ण फाइलों को स्कैन करना
YARA (फिर भी एक और पुनरावर्ती एल्गोरिदम) एक पैटर्न मिलान उपयोगिता है जिसे मैलवेयर की पहचान और घटना की प्रतिक्रिया के लिए डिज़ाइन किया गया है। फ़ाइलों को स्कैन करने के लिए हम YARA का उपयोग करेंगे। निम्नलिखित पायथन लिपि में, हम YARA का उपयोग करेंगे।
हम निम्नलिखित आदेश की सहायता से YARA स्थापित कर सकते हैं -
pip install YARA
फ़ाइलों को स्कैन करने के लिए YARA नियमों का उपयोग करने के लिए हम नीचे दिए गए चरणों का पालन कर सकते हैं -
सबसे पहले, YARA नियमों की स्थापना और संकलन करें
फिर, एकल फ़ाइल को स्कैन करें और फिर अलग-अलग फ़ाइलों को संसाधित करने के लिए निर्देशिकाओं के माध्यम से पुनरावृति करें।
अंत में, हम CSV को परिणाम निर्यात करेंगे।
पायथन कोड
आइए देखें कि इस उद्देश्य के लिए पायथन कोड का उपयोग कैसे करें -
सबसे पहले, हमें निम्नलिखित पायथन मॉड्यूल आयात करने की आवश्यकता है -
from __future__ import print_function
from argparse import ArgumentParser, ArgumentDefaultsHelpFormatter
import os
import csv
import yara
अगला, कमांड-लाइन हैंडलर के लिए तर्क प्रदान करें। ध्यान दें कि यहाँ यह दो तर्क स्वीकार करेगा - पहला YARA नियमों का मार्ग है, दूसरा स्कैन होने वाली फ़ाइल है।
if __name__ == '__main__':
parser = ArgumentParser('Scanning files by YARA')
parser.add_argument(
'yara_rules',help = "Path to Yara rule to scan with. May be file or folder path.")
parser.add_argument('path_to_scan',help = "Path to file or folder to scan")
parser.add_argument('--output',help = "Path to output a CSV report of scan results")
args = parser.parse_args()
main(args.yara_rules, args.path_to_scan, args.output)
अब हम मुख्य () फ़ंक्शन को परिभाषित करेंगे जो यारा नियमों के लिए रास्ता स्वीकार करेगा और स्कैन करने के लिए फ़ाइल -
def main(yara_rules, path_to_scan, output):
if os.path.isdir(yara_rules):
yrules = yara.compile(yara_rules)
else:
yrules = yara.compile(filepath=yara_rules)
if os.path.isdir(path_to_scan):
match_info = process_directory(yrules, path_to_scan)
else:
match_info = process_file(yrules, path_to_scan)
columns = ['rule_name', 'hit_value', 'hit_offset', 'file_name',
'rule_string', 'rule_tag']
if output is None:
write_stdout(columns, match_info)
else:
write_csv(output, columns, match_info)
अब, एक ऐसी विधि को परिभाषित करें जो निर्देशिका के माध्यम से पुनरावृत्ति करेगी और आगे की प्रक्रिया के लिए परिणाम को दूसरी विधि में पास करेगी -
def process_directory(yrules, folder_path):
match_info = []
for root, _, files in os.walk(folder_path):
for entry in files:
file_entry = os.path.join(root, entry)
match_info += process_file(yrules, file_entry)
return match_info
अगला, दो कार्यों को परिभाषित करें। ध्यान दें कि पहले हम उपयोग करेंगेmatch() करने की विधि yrulesऑब्जेक्ट और कोई अन्य रिपोर्ट करेगा जो उपयोगकर्ता को किसी भी आउटपुट फ़ाइल को निर्दिष्ट नहीं करता है तो जानकारी को कंसोल से मेल खाती है। नीचे दिखाए गए कोड को ध्यान से देखें -
def process_file(yrules, file_path):
match = yrules.match(file_path)
match_info = []
for rule_set in match:
for hit in rule_set.strings:
match_info.append({
'file_name': file_path,
'rule_name': rule_set.rule,
'rule_tag': ",".join(rule_set.tags),
'hit_offset': hit[0],
'rule_string': hit[1],
'hit_value': hit[2]
})
return match_info
def write_stdout(columns, match_info):
for entry in match_info:
for col in columns:
print("{}: {}".format(col, entry[col]))
print("=" * 30)
अंत में, हम एक विधि को परिभाषित करेंगे जो सीएसवी फ़ाइल को आउटपुट लिखेगा, जैसा कि नीचे दिखाया गया है -
def write_csv(outfile, fieldnames, data):
with open(outfile, 'w', newline="") as open_outfile:
csvfile = csv.DictWriter(open_outfile, fieldnames)
csvfile.writeheader()
csvfile.writerows(data)
एक बार जब आप उपरोक्त स्क्रिप्ट को सफलतापूर्वक चला लेते हैं, तो हम कमांड-लाइन पर उचित तर्क दे सकते हैं और CSV रिपोर्ट तैयार कर सकते हैं।