Pythonデジタルネットワークフォレンジック-II
前の章では、Pythonを使用したネットワークフォレンジックの概念のいくつかを扱いました。この章では、Pythonを使用したネットワークフォレンジクスをより深いレベルで理解しましょう。
美しいスープによるWebページの保存
ワールドワイドウェブ(WWW)は、独自の情報リソースです。ただし、そのレガシーは、驚くべき速度でコンテンツが失われるため、リスクが高くなります。多くの文化遺産や学術機関、非営利団体、民間企業が関連する問題を調査し、Webアーカイブの技術的ソリューションの開発に貢献してきました。
Webページの保存またはWebアーカイブは、World Wide Webからデータを収集し、データがアーカイブに保存され、将来の研究者、歴史家、および一般の人々が利用できるようにするプロセスです。Webページの保存に進む前に、以下に示すように、Webページの保存に関連するいくつかの重要な問題について説明しましょう。
Change in Web Resources − Webリソースは日々変化し続けており、これはWebページの保存における課題です。
Large Quantity of Resources − Webページの保存に関連するもう1つの問題は、保存する必要のある大量のリソースです。
Integrity − Webページは、その整合性を保護するために、許可されていない修正、削除、または削除から保護する必要があります。
Dealing with multimedia data − Webページを保存する一方で、マルチメディアデータも処理する必要があります。そうすると、問題が発生する可能性があります。
Providing access −保存に加えて、Webリソースへのアクセスの提供と所有権の問題への対処の問題も解決する必要があります。
この章では、次の名前のPythonライブラリを使用します。 Beautiful Soup Webページの保存用。
美しいスープとは何ですか?
Beautiful Soupは、HTMLおよびXMLファイルからデータを引き出すためのPythonライブラリです。で使用できますurlibWebページ自体をフェッチできないため、スープオブジェクトを作成するために入力(ドキュメントまたはURL)が必要なためです。これについて詳しくは、www.crummy.com / software / BeautifulSoup / bs4 / doc /をご覧ください。
使用する前に、次のコマンドを使用してサードパーティのライブラリをインストールする必要があることに注意してください-
pip install bs4
次に、Anacondaパッケージマネージャーを使用して、次のようにBeautifulSoupをインストールできます-
conda install -c anaconda beautifulsoup4
Webページを保存するためのPythonスクリプト
Beautiful Soupと呼ばれるサードパーティのライブラリを使用してWebページを保存するためのPythonスクリプトについて、ここで説明します-
まず、必要なライブラリを次のようにインポートします-
from __future__ import print_function
import argparse
from bs4 import BeautifulSoup, SoupStrainer
from datetime import datetime
import hashlib
import logging
import os
import ssl
import sys
from urllib.request import urlopen
import urllib.error
logger = logging.getLogger(__name__)
このスクリプトは2つの位置引数を取ることに注意してください。1つは保持されるURLであり、もう1つは以下に示すように目的の出力ディレクトリです。
if __name__ == "__main__":
parser = argparse.ArgumentParser('Web Page preservation')
parser.add_argument("DOMAIN", help="Website Domain")
parser.add_argument("OUTPUT_DIR", help="Preservation Output Directory")
parser.add_argument("-l", help="Log file path",
default=__file__[:-3] + ".log")
args = parser.parse_args()
次に、ループ内にあるファイルとストリームハンドラーを指定してスクリプトのログを設定し、次のように取得プロセスを文書化します。
logger.setLevel(logging.DEBUG)
msg_fmt = logging.Formatter("%(asctime)-15s %(funcName)-10s""%(levelname)-8s %(message)s")
strhndl = logging.StreamHandler(sys.stderr)
strhndl.setFormatter(fmt=msg_fmt)
fhndl = logging.FileHandler(args.l, mode='a')
fhndl.setFormatter(fmt=msg_fmt)
logger.addHandler(strhndl)
logger.addHandler(fhndl)
logger.info("Starting BS Preservation")
logger.debug("Supplied arguments: {}".format(sys.argv[1:]))
logger.debug("System " + sys.platform)
logger.debug("Version " + sys.version)
ここで、次のように、目的の出力ディレクトリで入力検証を実行しましょう。
if not os.path.exists(args.OUTPUT_DIR):
os.makedirs(args.OUTPUT_DIR)
main(args.DOMAIN, args.OUTPUT_DIR)
ここで、を定義します main() 次のように、入力URLの追加の検証とともに、実際の名前の前に不要な要素を削除することにより、Webサイトのベース名を抽出する関数-
def main(website, output_dir):
base_name = website.replace("https://", "").replace("http://", "").replace("www.", "")
link_queue = set()
if "http://" not in website and "https://" not in website:
logger.error("Exiting preservation - invalid user input: {}".format(website))
sys.exit(1)
logger.info("Accessing {} webpage".format(website))
context = ssl._create_unverified_context()
次に、urlopen()メソッドを使用してURLとの接続を開く必要があります。次のようにtry-exceptブロックを使用しましょう-
try:
index = urlopen(website, context=context).read().decode("utf-8")
except urllib.error.HTTPError as e:
logger.error("Exiting preservation - unable to access page: {}".format(website))
sys.exit(2)
logger.debug("Successfully accessed {}".format(website))
コードの次の行には、以下で説明する3つの関数が含まれています-
write_output() 最初のWebページを出力ディレクトリに書き込む
find_links() このウェブページ上のリンクを識別する機能
recurse_pages() Webページ上のすべてのリンクを繰り返して検出する機能。
write_output(website, index, output_dir)
link_queue = find_links(base_name, index, link_queue)
logger.info("Found {} initial links on webpage".format(len(link_queue)))
recurse_pages(website, link_queue, context, output_dir)
logger.info("Completed preservation of {}".format(website))
さて、定義しましょう write_output() 次のような方法-
def write_output(name, data, output_dir, counter=0):
name = name.replace("http://", "").replace("https://", "").rstrip("//")
directory = os.path.join(output_dir, os.path.dirname(name))
if not os.path.exists(directory) and os.path.dirname(name) != "":
os.makedirs(directory)
Webページに関する詳細をログに記録する必要があります。次に、を使用してデータのハッシュをログに記録します。 hash_data() 次のような方法-
logger.debug("Writing {} to {}".format(name, output_dir)) logger.debug("Data Hash: {}".format(hash_data(data)))
path = os.path.join(output_dir, name)
path = path + "_" + str(counter)
with open(path, "w") as outfile:
outfile.write(data)
logger.debug("Output File Hash: {}".format(hash_file(path)))
ここで、定義します hash_data() 私たちが読んだ助けを借りた方法 UTF-8 エンコードされたデータを生成し、 SHA-256 次のようにそれのハッシュ-
def hash_data(data):
sha256 = hashlib.sha256()
sha256.update(data.encode("utf-8"))
return sha256.hexdigest()
def hash_file(file):
sha256 = hashlib.sha256()
with open(file, "rb") as in_file:
sha256.update(in_file.read())
return sha256.hexdigest()
さて、作成しましょう Beautifulsoup 下のWebページデータからのオブジェクト find_links() 次のような方法-
def find_links(website, page, queue):
for link in BeautifulSoup(page, "html.parser",parse_only = SoupStrainer("a", href = True)):
if website in link.get("href"):
if not os.path.basename(link.get("href")).startswith("#"):
queue.add(link.get("href"))
return queue
今、私たちは定義する必要があります recurse_pages() 次のように、WebサイトのURL、現在のリンクキュー、未確認のSSLコンテキスト、および出力ディレクトリの入力を提供する方法。
def recurse_pages(website, queue, context, output_dir):
processed = []
counter = 0
while True:
counter += 1
if len(processed) == len(queue):
break
for link in queue.copy(): if link in processed:
continue
processed.append(link)
try:
page = urlopen(link, context=context).read().decode("utf-8")
except urllib.error.HTTPError as e:
msg = "Error accessing webpage: {}".format(link)
logger.error(msg)
continue
次に、リンク名、ページデータ、出力ディレクトリ、およびカウンターを次のように渡して、アクセスした各Webページの出力をファイルに書き込みます。
write_output(link, page, output_dir, counter)
queue = find_links(website, page, queue)
logger.info("Identified {} links throughout website".format(
len(queue)))
ここで、WebサイトのURL、出力ディレクトリ、およびログファイルへのパスを指定してこのスクリプトを実行すると、将来の使用に使用できるそのWebページの詳細が取得されます。
ウイルスハンティング
フォレンジックアナリスト、セキュリティ研究者、インシデント回答者が、有用なソフトウェアとマルウェアの違いをどのように理解できるのか疑問に思ったことはありませんか?答えは質問自体にあります。なぜなら、ハッカーによって急速に生成されるマルウェアについて研究しなければ、研究者や専門家が有用なソフトウェアとマルウェアの違いを区別することはまったく不可能だからです。このセクションでは、VirusShare、このタスクを実行するためのツール。
VirusShareを理解する
VirusShareは、セキュリティ研究者、インシデントレスポンダー、およびフォレンジックアナリストにライブの悪意のあるコードのサンプルを提供するマルウェアサンプルの最大の個人所有コレクションです。3,000万を超えるサンプルが含まれています。
VirusShareの利点は、無料で入手できるマルウェアハッシュのリストです。誰でもこれらのハッシュを使用して非常に包括的なハッシュセットを作成し、それを使用して潜在的に悪意のあるファイルを識別することができます。ただし、VirusShareを使用する前に、次のサイトにアクセスすることをお勧めします。https://virusshare.com 詳細については。
Pythonを使用してVirusShareから改行区切りのハッシュリストを作成する
VirusShareのハッシュリストは、X-waysやEnCaseなどのさまざまなフォレンジックツールで使用できます。以下で説明するスクリプトでは、VirusShareからのハッシュのリストのダウンロードを自動化して、改行で区切られたハッシュリストを作成します。
このスクリプトには、サードパーティのPythonライブラリが必要です tqdm 次のようにダウンロードできます-
pip install tqdm
このスクリプトでは、最初にVirusShareハッシュページを読み取り、最新のハッシュリストを動的に識別することに注意してください。次に、プログレスバーを初期化し、目的の範囲でハッシュリストをダウンロードします。
まず、次のライブラリをインポートします-
from __future__ import print_function
import argparse
import os
import ssl
import sys
import tqdm
from urllib.request import urlopen
import urllib.error
このスクリプトは、ハッシュセットの目的のパスとなる1つの位置引数を取ります-
if __name__ == '__main__':
parser = argparse.ArgumentParser('Hash set from VirusShare')
parser.add_argument("OUTPUT_HASH", help = "Output Hashset")
parser.add_argument("--start", type = int, help = "Optional starting location")
args = parser.parse_args()
ここで、次のように標準入力検証を実行します-
directory = os.path.dirname(args.OUTPUT_HASH)
if not os.path.exists(directory):
os.makedirs(directory)
if args.start:
main(args.OUTPUT_HASH, start=args.start)
else:
main(args.OUTPUT_HASH)
今、私たちは定義する必要があります main() と機能する **kwargs これにより辞書が作成されるため、引数として、以下に示すように、提供されたキー引数をサポートするために参照できます。
def main(hashset, **kwargs):
url = "https://virusshare.com/hashes.4n6"
print("[+] Identifying hash set range from {}".format(url))
context = ssl._create_unverified_context()
次に、を使用してVirusShareハッシュページを開く必要があります。 urlib.request.urlopen()方法。次のようにtry-exceptブロックを使用します-
try:
index = urlopen(url, context = context).read().decode("utf-8")
except urllib.error.HTTPError as e:
print("[-] Error accessing webpage - exiting..")
sys.exit(1)
次に、ダウンロードしたページから最新のハッシュリストを特定します。これを行うには、HTMLの最後のインスタンスを見つけますhrefVirusShareハッシュリストへのタグ付け。次のコード行で実行できます-
tag = index.rfind(r'a href = "hashes/VirusShare_')
stop = int(index[tag + 27: tag + 27 + 5].lstrip("0"))
if "start" not in kwa<rgs:
start = 0
else:
start = kwargs["start"]
if start < 0 or start > stop:
print("[-] Supplied start argument must be greater than or equal ""to zero but less than the latest hash list, ""currently: {}".format(stop))
sys.exit(2)
print("[+] Creating a hashset from hash lists {} to {}".format(start, stop))
hashes_downloaded = 0
今、私たちは使用します tqdm.trange() 次のようにループとプログレスバーを作成する方法-
for x in tqdm.trange(start, stop + 1, unit_scale=True,desc="Progress"):
url_hash = "https://virusshare.com/hashes/VirusShare_"\"{}.md5".format(str(x).zfill(5))
try:
hashes = urlopen(url_hash, context=context).read().decode("utf-8")
hashes_list = hashes.split("\n")
except urllib.error.HTTPError as e:
print("[-] Error accessing webpage for hash list {}"" - continuing..".format(x))
continue
上記の手順を正常に実行した後、ハッシュセットテキストファイルを+モードで開き、テキストファイルの下部に追加します。
with open(hashset, "a+") as hashfile:
for line in hashes_list:
if not line.startswith("#") and line != "":
hashes_downloaded += 1
hashfile.write(line + '\n')
print("[+] Finished downloading {} hashes into {}".format(
hashes_downloaded, hashset))
上記のスクリプトを実行すると、MD5ハッシュ値をテキスト形式で含む最新のハッシュリストが表示されます。