पायथन डिजिटल नेटवर्क फोरेंसिक- I
यह अध्याय पायथन का उपयोग करते हुए नेटवर्क फोरेंसिक में शामिल बुनियादी बातों की व्याख्या करेगा।
नेटवर्क फोरेंसिक को समझना
नेटवर्क फोरेंसिक डिजिटल फोरेंसिक की एक शाखा है जो सूचना एकत्र करने, साक्ष्य संग्रह, या घुसपैठ का पता लगाने के लिए स्थानीय और WAN (वाइड एरिया नेटवर्क), दोनों की निगरानी और विश्लेषण करती है। डिजिटल अपराधों जैसे बौद्धिक संपदा की चोरी या सूचना के रिसाव की जांच में नेटवर्क फोरेंसिक महत्वपूर्ण भूमिका निभाते हैं। नेटवर्क संचार की एक तस्वीर एक अन्वेषक को कुछ महत्वपूर्ण प्रश्नों को हल करने में मदद करती है -
किन वेबसाइटों तक पहुँचा गया है?
हमारे नेटवर्क पर किस तरह की सामग्री अपलोड की गई है?
हमारे नेटवर्क से किस तरह की सामग्री डाउनलोड की गई है?
क्या सर्वर तक पहुँचा जा रहा है?
क्या कोई कंपनी फ़ायरवॉल के बाहर संवेदनशील जानकारी भेज रहा है?
इंटरनेट साक्ष्य खोजक (IEF)
आईईएफ एक डिजिटल फोरेंसिक उपकरण है, जो विभिन्न डिजिटल मीडिया जैसे कंप्यूटर, स्मार्टफोन, टैबलेट आदि पर पाए जाने वाले डिजिटल सबूतों को खोजने, उनका विश्लेषण और प्रस्तुत करने के लिए है। यह बहुत लोकप्रिय है और हजारों फोरेंसिक पेशेवरों द्वारा उपयोग किया जाता है।
आईईएफ का उपयोग
इसकी लोकप्रियता के कारण, IEF का उपयोग फोरेंसिक पेशेवरों द्वारा काफी हद तक किया जाता है। IEF के कुछ उपयोग इस प्रकार हैं -
इसकी शक्तिशाली खोज क्षमताओं के कारण, इसका उपयोग कई फ़ाइलों या डेटा मीडिया को एक साथ खोजने के लिए किया जाता है।
इसका उपयोग नई नक्काशी तकनीकों के माध्यम से रैम के असंबद्ध स्थान से हटाए गए डेटा को पुनर्प्राप्त करने के लिए भी किया जाता है।
यदि जांचकर्ता अपने खोले गए दिनांक पर अपने मूल प्रारूप में वेब पेजों का पुनर्निर्माण करना चाहते हैं, तो वे IEF का उपयोग कर सकते हैं।
इसका उपयोग तार्किक या भौतिक डिस्क संस्करणों को खोजने के लिए भी किया जाता है।
पायथन का उपयोग करके आईईएफ से सीएसवी के लिए डंपिंग रिपोर्ट
IEF एक SQLite डेटाबेस में डेटा संग्रहीत करता है और पायथन स्क्रिप्ट का अनुसरण करते हुए गतिशील रूप से IEF डेटाबेस में परिणाम तालिकाओं की पहचान करेगा और उन्हें संबंधित CSV फ़ाइलों में डंप करेगा।
यह प्रक्रिया नीचे दिखाए गए चरणों में की जाती है
सबसे पहले, IEF परिणाम डेटाबेस उत्पन्न करें जो .db एक्सटेंशन के साथ समाप्त होने वाली SQLite डेटाबेस फ़ाइल होगी।
फिर, सभी तालिकाओं की पहचान करने के लिए उस डेटाबेस को क्वेरी करें।
अंत में, इस परिणाम तालिका को एक व्यक्तिगत CSV फ़ाइल में लिखें।
पायथन कोड
आइए देखें कि इस उद्देश्य के लिए पायथन कोड का उपयोग कैसे करें -
पायथन लिपि के लिए, आवश्यक पुस्तकालयों को निम्नानुसार आयात करें -
from __future__ import print_function
import argparse
import csv
import os
import sqlite3
import sys
अब, हमें IEF डेटाबेस फ़ाइल को पथ प्रदान करने की आवश्यकता है -
if __name__ == '__main__':
parser = argparse.ArgumentParser('IEF to CSV')
parser.add_argument("IEF_DATABASE", help="Input IEF database")
parser.add_argument("OUTPUT_DIR", help="Output DIR")
args = parser.parse_args()
अब, हम IEF डेटाबेस के अस्तित्व की पुष्टि करेंगे:
if not os.path.exists(args.OUTPUT_DIR):
os.makedirs(args.OUTPUT_DIR)
if os.path.exists(args.IEF_DATABASE) and \ os.path.isfile(args.IEF_DATABASE):
main(args.IEF_DATABASE, args.OUTPUT_DIR)
else:
print("[-] Supplied input file {} does not exist or is not a " "file".format(args.IEF_DATABASE))
sys.exit(1)
अब, जैसा कि हमने पहले की लिपियों में किया था, कर्सर के माध्यम से प्रश्नों को निष्पादित करने के लिए SQLite डेटाबेस के साथ संबंध बनाते हैं -
def main(database, out_directory):
print("[+] Connecting to SQLite database")
conn = sqlite3.connect(database)
c = conn.cursor()
कोड की निम्नलिखित पंक्तियों को डेटाबेस से तालिकाओं के नाम प्राप्त होंगे -
print("List of all tables to extract")
c.execute("select * from sqlite_master where type = 'table'")
tables = [x[2] for x in c.fetchall() if not x[2].startswith('_') and not x[2].endswith('_DATA')]
अब, हम तालिका से और उपयोग करके सभी डेटा का चयन करेंगे fetchall() कर्सर ऑब्जेक्ट पर विधि हम तालिका के डेटा युक्त tuples की सूची को पूरी तरह से एक चर में संग्रहीत करेंगे -
print("Dumping {} tables to CSV files in {}".format(len(tables), out_directory))
for table in tables:
c.execute("pragma table_info('{}')".format(table))
table_columns = [x[1] for x in c.fetchall()]
c.execute("select * from '{}'".format(table))
table_data = c.fetchall()
अब, का उपयोग करके CSV_Writer() विधि हम CSV फ़ाइल में सामग्री लिखेंगे -
csv_name = table + '.csv'
csv_path = os.path.join(out_directory, csv_name)
print('[+] Writing {} table to {} CSV file'.format(table,csv_name))
with open(csv_path, "w", newline = "") as csvfile:
csv_writer = csv.writer(csvfile)
csv_writer.writerow(table_columns)
csv_writer.writerows(table_data)
उपरोक्त स्क्रिप्ट IEF डेटाबेस की तालिकाओं से सभी डेटा प्राप्त करेगी और सामग्री को हमारी पसंद के CSV फ़ाइल में लिख देगी।
कैश्ड डेटा के साथ काम करना
IEF परिणाम डेटाबेस से, हम अधिक जानकारी प्राप्त कर सकते हैं जो IEF द्वारा समर्थित नहीं है। हम आईईएफ परिणाम डेटाबेस का उपयोग करके ईमेल सेवा प्रदाता जैसे याहू, Google आदि से कैश्ड डेटा, सूचना के लिए एक द्वि उत्पाद प्राप्त कर सकते हैं।
याहू मेल से कैश की गई डेटा की जानकारी, Google क्रोम पर एक्सेस करने के लिए आईईएफ डेटाबेस का उपयोग करके पायथन स्क्रिप्ट निम्नलिखित है। ध्यान दें कि अंतिम पायथन स्क्रिप्ट में चरणों का पालन कम या ज्यादा होगा।
सबसे पहले, अजगर के लिए आवश्यक पुस्तकालयों को निम्नानुसार आयात करें -
from __future__ import print_function
import argparse
import csv
import os
import sqlite3
import sys
import json
अब, अंतिम स्क्रिप्ट में किए गए कमांड लाइन हैंडलर द्वारा दो स्थितीय तर्कों के साथ IEF डेटाबेस फ़ाइल को पथ प्रदान करें।
if __name__ == '__main__':
parser = argparse.ArgumentParser('IEF to CSV')
parser.add_argument("IEF_DATABASE", help="Input IEF database")
parser.add_argument("OUTPUT_DIR", help="Output DIR")
args = parser.parse_args()
अब, IEF डेटाबेस के अस्तित्व की पुष्टि इस प्रकार है -
directory = os.path.dirname(args.OUTPUT_CSV)
if not os.path.exists(directory):os.makedirs(directory)
if os.path.exists(args.IEF_DATABASE) and \ os.path.isfile(args.IEF_DATABASE):
main(args.IEF_DATABASE, args.OUTPUT_CSV)
else: print("Supplied input file {} does not exist or is not a " "file".format(args.IEF_DATABASE))
sys.exit(1)
अब SQLite डेटाबेस के साथ संबंध बनाएं, कर्सर के माध्यम से प्रश्नों को निष्पादित करने के लिए -
def main(database, out_csv):
print("[+] Connecting to SQLite database")
conn = sqlite3.connect(database)
c = conn.cursor()
आप याहू मेल संपर्क कैश रिकॉर्ड के उदाहरण लाने के लिए कोड की निम्नलिखित पंक्तियों का उपयोग कर सकते हैं -
print("Querying IEF database for Yahoo Contact Fragments from " "the Chrome Cache Records Table")
try:
c.execute("select * from 'Chrome Cache Records' where URL like " "'https://data.mail.yahoo.com" "/classicab/v2/contacts/?format=json%'")
except sqlite3.OperationalError:
print("Received an error querying the database -- database may be" "corrupt or not have a Chrome Cache Records table")
sys.exit(2)
अब, टुपल्स की सूची उपरोक्त क्वेरी से एक चर में सहेजे जाने के लिए निम्नानुसार है -
contact_cache = c.fetchall()
contact_data = process_contacts(contact_cache)
write_csv(contact_data, out_csv)
ध्यान दें कि यहां हम दो विधियों का उपयोग करेंगे process_contacts() परिणाम सूची की स्थापना के साथ-साथ प्रत्येक संपर्क कैश रिकॉर्ड और के माध्यम से पुनरावृति के लिए json.loads() आगे हेरफेर के लिए एक चर में तालिका से निकाले गए JSON डेटा को संग्रहीत करने के लिए -
def process_contacts(contact_cache):
print("[+] Processing {} cache files matching Yahoo contact cache " " data".format(len(contact_cache)))
results = []
for contact in contact_cache:
url = contact[0]
first_visit = contact[1]
last_visit = contact[2]
last_sync = contact[3]
loc = contact[8]
contact_json = json.loads(contact[7].decode())
total_contacts = contact_json["total"]
total_count = contact_json["count"]
if "contacts" not in contact_json:
continue
for c in contact_json["contacts"]:
name, anni, bday, emails, phones, links = ("", "", "", "", "", "")
if "name" in c:
name = c["name"]["givenName"] + " " + \ c["name"]["middleName"] + " " + c["name"]["familyName"]
if "anniversary" in c:
anni = c["anniversary"]["month"] + \"/" + c["anniversary"]["day"] + "/" + \c["anniversary"]["year"]
if "birthday" in c:
bday = c["birthday"]["month"] + "/" + \c["birthday"]["day"] + "/" + c["birthday"]["year"]
if "emails" in c:
emails = ', '.join([x["ep"] for x in c["emails"]])
if "phones" in c:
phones = ', '.join([x["ep"] for x in c["phones"]])
if "links" in c:
links = ', '.join([x["ep"] for x in c["links"]])
अब कंपनी, शीर्षक और नोट्स के लिए, नीचे दी गई विधि का उपयोग किया जाता है -
company = c.get("company", "")
title = c.get("jobTitle", "")
notes = c.get("notes", "")
अब, हम परिणाम सूची में मेटाडेटा और निकाले गए डेटा तत्वों की सूची को निम्नानुसार जोड़ते हैं -
results.append([url, first_visit, last_visit, last_sync, loc, name, bday,anni, emails, phones, links, company, title, notes,total_contacts, total_count])
return results
अब, का उपयोग करके CSV_Writer() विधि, हम CSV फ़ाइल में सामग्री लिखेंगे -
def write_csv(data, output):
print("[+] Writing {} contacts to {}".format(len(data), output))
with open(output, "w", newline="") as csvfile:
csv_writer = csv.writer(csvfile)
csv_writer.writerow([
"URL", "First Visit (UTC)", "Last Visit (UTC)",
"Last Sync (UTC)", "Location", "Contact Name", "Bday",
"Anniversary", "Emails", "Phones", "Links", "Company", "Title",
"Notes", "Total Contacts", "Count of Contacts in Cache"])
csv_writer.writerows(data)
उपरोक्त स्क्रिप्ट की मदद से, हम IEF डेटाबेस का उपयोग करके याहू मेल से कैश्ड डेटा को संसाधित कर सकते हैं।