लिनक्स में पायथन फोरेंसिक

डिजिटल जांच की प्रमुख चिंता एन्क्रिप्शन या किसी अन्य प्रारूप के साथ महत्वपूर्ण साक्ष्य या डेटा को सुरक्षित करना है। मूल उदाहरण पासवर्ड संग्रहीत कर रहा है। इसलिए इन मूल्यवान डेटा को सुरक्षित करने के लिए डिजिटल फोरेंसिक कार्यान्वयन के लिए लिनक्स ऑपरेटिंग सिस्टम के उपयोग को समझना आवश्यक है।

सभी स्थानीय उपयोगकर्ताओं के लिए जानकारी अधिकतर दो फ़ाइलों में संग्रहीत की जाती है -

  • /etc/passwd
  • etc/shadow

पहले वाला अनिवार्य है, जो सभी पासवर्डों को संग्रहीत करता है। दूसरी फ़ाइल वैकल्पिक है और यह हैशेड पासवर्ड सहित स्थानीय उपयोगकर्ताओं के बारे में जानकारी संग्रहीत करती है।

किसी फ़ाइल में पासवर्ड जानकारी संग्रहीत करने की सुरक्षा समस्या के बारे में समस्याएँ उत्पन्न होती हैं, जो प्रत्येक उपयोगकर्ता द्वारा पढ़ने योग्य होती हैं। इसलिए, हैशेड पासवर्ड को स्टोर किया जाता है/etc/passwd, जहां सामग्री को एक विशेष मूल्य से बदल दिया जाता है "x"।

इसी हैश को ऊपर देखा जाना चाहिए /etc/shadow। में सेटिंग्स/etc/passwd विवरण को ओवरराइड कर सकते हैं /etc/shadow

लिनक्स में दोनों पाठ फ़ाइलों में प्रति पंक्ति एक प्रविष्टि और प्रविष्टि में कई फ़ील्ड शामिल हैं, जो कॉलोन द्वारा अलग किए गए हैं।

का प्रारूप /etc/passwd इस प्रकार है -

अनु क्रमांक। फील्ड का नाम और विवरण
1

Username

इस क्षेत्र में मानव-पठनीय प्रारूप के गुण हैं

2

Password hash

इसमें पॉज़िक्स क्रिप्ट फ़ंक्शन के अनुसार कूटबद्ध रूप में पासवर्ड शामिल है

यदि हैश पासवर्ड के रूप में सहेजा जाता है empty, तो संबंधित उपयोगकर्ता को सिस्टम में लॉग इन करने के लिए किसी भी पासवर्ड की आवश्यकता नहीं होगी। यदि इस फ़ील्ड में एक मान है जो हैश एल्गोरिथ्म द्वारा उत्पन्न नहीं किया जा सकता है, जैसे कि विस्मयादिबोधक चिह्न, तो उपयोगकर्ता पासवर्ड का उपयोग करके लॉग इन नहीं कर सकता है।

लॉक किए गए पासवर्ड वाला उपयोगकर्ता अभी भी अन्य प्रमाणीकरण तंत्र का उपयोग करके लॉग ऑन कर सकता है, उदाहरण के लिए, एसएसएच कुंजी। जैसा कि पहले उल्लेख किया गया है, विशेष मूल्य "x"इसका मतलब है कि पासवर्ड हैश को छाया फ़ाइल में ढूंढना होगा।

password hash निम्नलिखित शामिल हैं -

  • Encrypted salt - encrypted salt स्क्रीन लॉक, पिन और पासवर्ड बनाए रखने में मदद करता है।

  • Numerical user ID- यह फ़ील्ड उपयोगकर्ता की आईडी को दर्शाता है। लिनक्स कर्नेल इस यूजर आईडी को सिस्टम को असाइन करता है।

  • Numerical group ID - यह फ़ील्ड उपयोगकर्ता के प्राथमिक समूह को संदर्भित करता है।

  • Home directory - नई प्रक्रियाओं को इस निर्देशिका के संदर्भ के साथ शुरू किया जाता है।

  • Command shell - यह वैकल्पिक फ़ील्ड सिस्टम में सफल लॉगिन के बाद शुरू होने वाले डिफ़ॉल्ट शेल को दर्शाता है।

डिजिटल फोरेंसिक में जानकारी एकत्र करना शामिल है जो एक सबूत पर नज़र रखने के लिए प्रासंगिक है। इसलिए, उपयोगकर्ता आईडी रिकॉर्ड बनाए रखने में उपयोगी होते हैं।

पायथन का उपयोग करते हुए, इस जानकारी के सभी का विश्लेषण स्वचालित रूप से विश्लेषण के संकेतक के लिए किया जा सकता है, हालिया सिस्टम गतिविधि का पुनर्निर्माण। लिनक्स शैल के कार्यान्वयन के साथ ट्रैकिंग सरल और आसान है।

लिनक्स के साथ पायथन प्रोग्रामिंग

उदाहरण

import sys
import hashlib
import getpass

def main(argv):
   print '\nUser & Password Storage Program in Linux for forensic detection v.01\n' 
  
   if raw_input('The file ' + sys.argv[1] + ' will be erased or overwrite if 
         it exists .\nDo you wish to continue (Y/n): ') not in ('Y','y') : 
   sys.exit('\nChanges were not recorded\n') 
  
   user_name = raw_input('Please Enter a User Name: ')
   password = hashlib.sha224(getpass.getpass('Please Enter a Password:')).hexdigest()
   
   # Passwords which are hashed  
   try: 
      file_conn = open(sys.argv[1],'w') 
      file_conn.write(user_name + '\n') 
      file_conn.write(password + '\n') 
      file_conn.close() 
   except: 
      sys.exit('There was a problem writing the passwords to file!')
      
if __name__ == "__main__": 
   main(sys.argv[1:])

उत्पादन

पासवर्ड को हेक्साडेसिमल प्रारूप में संग्रहीत किया जाता है pass_db.txtजैसा कि निम्नलिखित स्क्रीनशॉट में दिखाया गया है। कम्प्यूटेशनल फोरेंसिक में आगे के उपयोग के लिए पाठ फ़ाइलों को सहेजा जाता है।