लॉग आधारित कलाकृतियों की जांच

अब तक, हमने देखा है कि पायथन का उपयोग करके विंडोज में कलाकृतियों को कैसे प्राप्त किया जाए। इस अध्याय में, आइए हम पायथन का उपयोग करके लॉग आधारित कलाकृतियों की जांच के बारे में जानें।

परिचय

लॉग-आधारित कलाकृतियां सूचना का खजाना हैं जो डिजिटल फोरेंसिक विशेषज्ञ के लिए बहुत उपयोगी हो सकते हैं। यद्यपि हमारे पास जानकारी एकत्र करने के लिए विभिन्न निगरानी सॉफ्टवेयर हैं, लेकिन उनसे उपयोगी जानकारी प्राप्त करने के लिए मुख्य मुद्दा यह है कि हमें बहुत अधिक डेटा की आवश्यकता है।

विभिन्न लॉग-आधारित कलाकृतियों और अजगर में जांच

इस भाग में, आइए हम पायथन में विभिन्न लॉग आधारित कलाकृतियों और उनकी जांच पर चर्चा करें -

मुहर

टाइमस्टैम्प लॉग में गतिविधि का डेटा और समय बताता है। यह किसी भी लॉग फ़ाइल के महत्वपूर्ण तत्वों में से एक है। ध्यान दें कि ये डेटा और समय मान विभिन्न स्वरूपों में आ सकते हैं।

नीचे दिखाई गई पायथन लिपि कच्ची तिथि-समय को इनपुट के रूप में लेगी और इसके आउटपुट के रूप में एक प्रारूपित टाइमस्टैम्प प्रदान करेगी।

इस स्क्रिप्ट के लिए, हमें निम्नलिखित चरणों का पालन करना होगा -

  • सबसे पहले, उन तर्कों को सेट करें जो डेटा के स्रोत और डेटा प्रकार के साथ कच्चे डेटा मान को ले जाएंगे।

  • अब, विभिन्न तिथि प्रारूपों में डेटा के लिए सामान्य इंटरफ़ेस प्रदान करने के लिए एक वर्ग प्रदान करें।

पायथन कोड

आइए देखें कि इस उद्देश्य के लिए पायथन कोड का उपयोग कैसे करें -

सबसे पहले, निम्नलिखित पायथन मॉड्यूल आयात करें -

from __future__ import print_function
from argparse import ArgumentParser, ArgumentDefaultsHelpFormatter
from datetime import datetime as dt
from datetime import timedelta

अब हमेशा की तरह हमें कमांड-लाइन हैंडलर के लिए तर्क प्रदान करने की आवश्यकता है। यहाँ यह तीन तर्क स्वीकार करेगा, पहला होगा संसाधित होने की तिथि का मूल्य, दूसरा उस तिथि मान का स्रोत होगा और तीसरा इसका प्रकार होगा -

if __name__ == '__main__':
   parser = ArgumentParser('Timestamp Log-based artifact')
   parser.add_argument("date_value", help="Raw date value to parse")
   parser.add_argument(
      "source", help = "Source format of date",choices = ParseDate.get_supported_formats())
   parser.add_argument(
      "type", help = "Data type of input value",choices = ('number', 'hex'), default = 'int')
   
   args = parser.parse_args()
   date_parser = ParseDate(args.date_value, args.source, args.type)
   date_parser.run()
   print(date_parser.timestamp)

अब, हमें एक वर्ग को परिभाषित करने की आवश्यकता है जो दिनांक मान, दिनांक स्रोत और मान प्रकार के लिए तर्क स्वीकार करेगा -

class ParseDate(object):
   def __init__(self, date_value, source, data_type):
      self.date_value = date_value
      self.source = source
      self.data_type = data_type
      self.timestamp = None

अब हम एक विधि को परिभाषित करेंगे जो मुख्य () विधि की तरह नियंत्रक की तरह काम करेगी -

def run(self):
   if self.source == 'unix-epoch':
      self.parse_unix_epoch()
   elif self.source == 'unix-epoch-ms':
      self.parse_unix_epoch(True)
   elif self.source == 'windows-filetime':
      self.parse_windows_filetime()
@classmethod
def get_supported_formats(cls):
   return ['unix-epoch', 'unix-epoch-ms', 'windows-filetime']

अब, हमें दो तरीकों को परिभाषित करने की आवश्यकता है, जो क्रमशः यूनिक्स युग और समय की प्रक्रिया करेंगे -

def parse_unix_epoch(self, milliseconds=False):
   if self.data_type == 'hex':
      conv_value = int(self.date_value)
      if milliseconds:
         conv_value = conv_value / 1000.0
   elif self.data_type == 'number':
      conv_value = float(self.date_value)
      if milliseconds:
         conv_value = conv_value / 1000.0
   else:
      print("Unsupported data type '{}' provided".format(self.data_type))
      sys.exit('1')
   ts = dt.fromtimestamp(conv_value)
   self.timestamp = ts.strftime('%Y-%m-%d %H:%M:%S.%f')
def parse_windows_filetime(self):
   if self.data_type == 'hex':
      microseconds = int(self.date_value, 16) / 10.0
   elif self.data_type == 'number':
      microseconds = float(self.date_value) / 10
   else:
      print("Unsupported data type '{}'   provided".format(self.data_type))
      sys.exit('1')
   ts = dt(1601, 1, 1) + timedelta(microseconds=microseconds)
   self.timestamp = ts.strftime('%Y-%m-%d %H:%M:%S.%f')

उपरोक्त स्क्रिप्ट को चलाने के बाद, टाइमस्टैम्प प्रदान करके हम आसानी से पढ़े जाने वाले प्रारूप में परिवर्तित मूल्य प्राप्त कर सकते हैं।

वेब सर्वर लॉग

डिजिटल फोरेंसिक विशेषज्ञ के दृष्टिकोण से, वेब सर्वर लॉग एक और महत्वपूर्ण कलाकृति है क्योंकि वे उपयोगकर्ता और भौगोलिक स्थानों के बारे में जानकारी के साथ उपयोगी उपयोगकर्ता आँकड़े प्राप्त कर सकते हैं। जानकारी के आसान विश्लेषण के लिए, वेब सर्वर लॉग को संसाधित करने के बाद, पायथन स्क्रिप्ट है जो एक स्प्रेडशीट बनाएगी।

सबसे पहले हमें निम्नलिखित पायथन मॉड्यूल को आयात करने की आवश्यकता है -

from __future__ import print_function
from argparse import ArgumentParser, FileType

import re
import shlex
import logging
import sys
import csv

logger = logging.getLogger(__file__)

अब, हमें उन पैटर्न को परिभाषित करने की आवश्यकता है जो लॉग से पार्स किए जाएंगे -

iis_log_format = [
   ("date", re.compile(r"\d{4}-\d{2}-\d{2}")),
   ("time", re.compile(r"\d\d:\d\d:\d\d")),
   ("s-ip", re.compile(
      r"((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)(\.|$)){4}")),
   ("cs-method", re.compile(
      r"(GET)|(POST)|(PUT)|(DELETE)|(OPTIONS)|(HEAD)|(CONNECT)")),
   ("cs-uri-stem", re.compile(r"([A-Za-z0-1/\.-]*)")),
   ("cs-uri-query", re.compile(r"([A-Za-z0-1/\.-]*)")),
   ("s-port", re.compile(r"\d*")),
   ("cs-username", re.compile(r"([A-Za-z0-1/\.-]*)")),
   ("c-ip", re.compile(
      r"((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)(\.|$)){4}")),
   ("cs(User-Agent)", re.compile(r".*")),
   ("sc-status", re.compile(r"\d*")),
   ("sc-substatus", re.compile(r"\d*")),
   ("sc-win32-status", re.compile(r"\d*")),
   ("time-taken", re.compile(r"\d*"))]

अब, कमांड-लाइन हैंडलर के लिए एक तर्क प्रदान करें। यहाँ यह दो तर्कों को स्वीकार करेगा, पहला होगा IIS लॉग को संसाधित किया जाना, दूसरा वांछित CSV फ़ाइल पथ होगा।

if __name__ == '__main__':
   parser = ArgumentParser('Parsing Server Based Logs')
   parser.add_argument('iis_log', help = "Path to IIS Log",type = FileType('r'))
   parser.add_argument('csv_report', help = "Path to CSV report")
   parser.add_argument('-l', help = "Path to processing log",default=__name__ + '.log')
   args = parser.parse_args()
   logger.setLevel(logging.DEBUG)
   msg_fmt = logging.Formatter(
      "%(asctime)-15s %(funcName)-10s ""%(levelname)-8s %(message)s")
   
   strhndl = logging.StreamHandler(sys.stdout)
   strhndl.setFormatter(fmt = msg_fmt)
   fhndl = logging.FileHandler(args.log, mode = 'a')
   fhndl.setFormatter(fmt = msg_fmt)
   
   logger.addHandler(strhndl)
   logger.addHandler(fhndl)
   logger.info("Starting IIS Parsing ")
   logger.debug("Supplied arguments: {}".format(", ".join(sys.argv[1:])))
   logger.debug("System " + sys.platform)
   logger.debug("Version " + sys.version)
   main(args.iis_log, args.csv_report, logger)
   iologger.info("IIS Parsing Complete")

अब हमें मुख्य () विधि को परिभाषित करने की आवश्यकता है जो बल्क लॉग जानकारी के लिए स्क्रिप्ट को संभालेगी -

def main(iis_log, report_file, logger):
   parsed_logs = []

for raw_line in iis_log:
   line = raw_line.strip()
   log_entry = {}

if line.startswith("#") or len(line) == 0:
   continue

if '\"' in line:
   line_iter = shlex.shlex(line_iter)
else:
   line_iter = line.split(" ")
   for count, split_entry in enumerate(line_iter):
      col_name, col_pattern = iis_log_format[count]

      if col_pattern.match(split_entry):
         log_entry[col_name] = split_entry
else:
   logger.error("Unknown column pattern discovered. "
      "Line preserved in full below")
      logger.error("Unparsed Line: {}".format(line))
      parsed_logs.append(log_entry)
      
      logger.info("Parsed {} lines".format(len(parsed_logs)))
      cols = [x[0] for x in iis_log_format]
      
      logger.info("Creating report file: {}".format(report_file))
      write_csv(report_file, cols, parsed_logs)
      logger.info("Report created")

अंत में, हमें एक ऐसी विधि को परिभाषित करने की आवश्यकता है जो आउटपुट को स्प्रैडशीट पर लिख दे -

def write_csv(outfile, fieldnames, data):
   with open(outfile, 'w', newline="") as open_outfile:
      csvfile = csv.DictWriter(open_outfile, fieldnames)
      csvfile.writeheader()
      csvfile.writerows(data)

उपरोक्त स्क्रिप्ट को चलाने के बाद, हम एक स्प्रेडशीट में वेब सर्वर आधारित लॉग प्राप्त करेंगे।

YARA का उपयोग करके महत्वपूर्ण फाइलों को स्कैन करना

YARA (फिर भी एक और पुनरावर्ती एल्गोरिदम) एक पैटर्न मिलान उपयोगिता है जिसे मैलवेयर की पहचान और घटना की प्रतिक्रिया के लिए डिज़ाइन किया गया है। फ़ाइलों को स्कैन करने के लिए हम YARA का उपयोग करेंगे। निम्नलिखित पायथन लिपि में, हम YARA का उपयोग करेंगे।

हम निम्नलिखित आदेश की सहायता से YARA स्थापित कर सकते हैं -

pip install YARA

फ़ाइलों को स्कैन करने के लिए YARA नियमों का उपयोग करने के लिए हम नीचे दिए गए चरणों का पालन कर सकते हैं -

  • सबसे पहले, YARA नियमों की स्थापना और संकलन करें

  • फिर, एकल फ़ाइल को स्कैन करें और फिर अलग-अलग फ़ाइलों को संसाधित करने के लिए निर्देशिकाओं के माध्यम से पुनरावृति करें।

  • अंत में, हम CSV को परिणाम निर्यात करेंगे।

पायथन कोड

आइए देखें कि इस उद्देश्य के लिए पायथन कोड का उपयोग कैसे करें -

सबसे पहले, हमें निम्नलिखित पायथन मॉड्यूल आयात करने की आवश्यकता है -

from __future__ import print_function
from argparse import ArgumentParser, ArgumentDefaultsHelpFormatter

import os
import csv
import yara

अगला, कमांड-लाइन हैंडलर के लिए तर्क प्रदान करें। ध्यान दें कि यहाँ यह दो तर्क स्वीकार करेगा - पहला YARA नियमों का मार्ग है, दूसरा स्कैन होने वाली फ़ाइल है।

if __name__ == '__main__':
   parser = ArgumentParser('Scanning files by YARA')
   parser.add_argument(
      'yara_rules',help = "Path to Yara rule to scan with. May be file or folder path.")
   parser.add_argument('path_to_scan',help = "Path to file or folder to scan")
   parser.add_argument('--output',help = "Path to output a CSV report of scan results")
   args = parser.parse_args()
   main(args.yara_rules, args.path_to_scan, args.output)

अब हम मुख्य () फ़ंक्शन को परिभाषित करेंगे जो यारा नियमों के लिए रास्ता स्वीकार करेगा और स्कैन करने के लिए फ़ाइल -

def main(yara_rules, path_to_scan, output):
   if os.path.isdir(yara_rules):
      yrules = yara.compile(yara_rules)
   else:
      yrules = yara.compile(filepath=yara_rules)
   if os.path.isdir(path_to_scan):
      match_info = process_directory(yrules, path_to_scan)
   else:
      match_info = process_file(yrules, path_to_scan)
   columns = ['rule_name', 'hit_value', 'hit_offset', 'file_name',
   'rule_string', 'rule_tag']
   
   if output is None:
      write_stdout(columns, match_info)
   else:
      write_csv(output, columns, match_info)

अब, एक ऐसी विधि को परिभाषित करें जो निर्देशिका के माध्यम से पुनरावृत्ति करेगी और आगे की प्रक्रिया के लिए परिणाम को दूसरी विधि में पास करेगी -

def process_directory(yrules, folder_path):
   match_info = []
   for root, _, files in os.walk(folder_path):
      for entry in files:
         file_entry = os.path.join(root, entry)
         match_info += process_file(yrules, file_entry)
   return match_info

अगला, दो कार्यों को परिभाषित करें। ध्यान दें कि पहले हम उपयोग करेंगेmatch() करने की विधि yrulesऑब्जेक्ट और कोई अन्य रिपोर्ट करेगा जो उपयोगकर्ता को किसी भी आउटपुट फ़ाइल को निर्दिष्ट नहीं करता है तो जानकारी को कंसोल से मेल खाती है। नीचे दिखाए गए कोड को ध्यान से देखें -

def process_file(yrules, file_path):
   match = yrules.match(file_path)
   match_info = []
   
   for rule_set in match:
      for hit in rule_set.strings:
         match_info.append({
            'file_name': file_path,
            'rule_name': rule_set.rule,
            'rule_tag': ",".join(rule_set.tags),
            'hit_offset': hit[0],
            'rule_string': hit[1],
            'hit_value': hit[2]
         })
   return match_info
def write_stdout(columns, match_info):
   for entry in match_info:
      for col in columns:
         print("{}: {}".format(col, entry[col]))
   print("=" * 30)

अंत में, हम एक विधि को परिभाषित करेंगे जो सीएसवी फ़ाइल को आउटपुट लिखेगा, जैसा कि नीचे दिखाया गया है -

def write_csv(outfile, fieldnames, data):
   with open(outfile, 'w', newline="") as open_outfile:
      csvfile = csv.DictWriter(open_outfile, fieldnames)
      csvfile.writeheader()
      csvfile.writerows(data)

एक बार जब आप उपरोक्त स्क्रिप्ट को सफलतापूर्वक चला लेते हैं, तो हम कमांड-लाइन पर उचित तर्क दे सकते हैं और CSV रिपोर्ट तैयार कर सकते हैं।