Python Forensics - คู่มือฉบับย่อ
Python เป็นภาษาโปรแกรมสำหรับใช้งานทั่วไปที่มีโค้ดที่อ่านง่ายและเข้าใจได้ง่ายทั้งนักพัฒนามืออาชีพและนักเขียนโปรแกรมมือใหม่ Python ประกอบด้วยไลบรารีที่มีประโยชน์มากมายที่สามารถใช้ได้กับ stack framework ใด ๆ ห้องปฏิบัติการหลายแห่งใช้ Python ในการสร้างแบบจำลองพื้นฐานสำหรับการคาดการณ์และเรียกใช้การทดลอง นอกจากนี้ยังช่วยในการควบคุมระบบปฏิบัติการที่สำคัญ
Python มีความสามารถในตัวเพื่อรองรับการตรวจสอบแบบดิจิทัลและปกป้องความสมบูรณ์ของหลักฐานในระหว่างการสอบสวน ในบทช่วยสอนนี้เราจะอธิบายแนวคิดพื้นฐานของการนำ Python ไปใช้ในทางนิติดิจิทัลหรือการคำนวณ
Computational Forensics คืออะไร?
Computational Forensics เป็นโดเมนการวิจัยที่เกิดขึ้นใหม่ เกี่ยวข้องกับการแก้ปัญหาทางนิติวิทยาศาสตร์โดยใช้วิธีดิจิทัล ใช้วิทยาการคำนวณเพื่อศึกษาหลักฐานดิจิทัล
การคำนวณทางนิติวิทยาศาสตร์รวมถึงวิชาที่หลากหลายซึ่งมีวัตถุสารและกระบวนการที่ตรวจสอบโดยอาศัยหลักฐานรูปแบบเป็นหลักเช่นเครื่องหมายเครื่องมือลายนิ้วมือลายนิ้วมือเอกสาร ฯลฯ และยังรวมถึงรูปแบบทางสรีรวิทยาและพฤติกรรมดีเอ็นเอและหลักฐานดิจิทัลที่ ที่เกิดเหตุ
แผนภาพต่อไปนี้แสดงหัวข้อต่างๆที่ครอบคลุมภายใต้การคำนวณทางนิติวิทยาศาสตร์
การคำนวณทางนิติวิทยาได้รับความช่วยเหลือจากอัลกอริทึมบางอย่าง อัลกอริทึมเหล่านี้ใช้สำหรับการประมวลผลสัญญาณและภาพการมองเห็นของคอมพิวเตอร์และกราฟิก นอกจากนี้ยังรวมถึงการขุดข้อมูลการเรียนรู้ของเครื่องและหุ่นยนต์
การคำนวณทางนิติวิทยาศาสตร์เกี่ยวข้องกับวิธีการทางดิจิทัลที่หลากหลาย ทางออกที่ดีที่สุดในการลดความซับซ้อนของวิธีการทางดิจิทัลทั้งหมดในทางนิติวิทยาศาสตร์คือการใช้ภาษาโปรแกรมสำหรับวัตถุประสงค์ทั่วไปเช่น Python
เนื่องจากเราต้องการ Python สำหรับกิจกรรมทั้งหมดของการคำนวณทางนิติวิทยาศาสตร์ให้เราไปทีละขั้นตอนและทำความเข้าใจวิธีการติดตั้ง
Step 1 - ไปที่ https://www.python.org/downloads/ และดาวน์โหลดไฟล์การติดตั้ง Python ตามระบบปฏิบัติการที่คุณมีในระบบของคุณ
Step 2 - หลังจากดาวน์โหลดแพ็คเกจ / ตัวติดตั้งแล้วให้คลิกที่ไฟล์ exe เพื่อเริ่มกระบวนการติดตั้ง
คุณจะเห็นหน้าจอต่อไปนี้หลังจากการติดตั้งเสร็จสมบูรณ์
Step 3 - ขั้นตอนต่อไปคือการตั้งค่าตัวแปรสภาพแวดล้อมของ Python ในระบบของคุณ
Step 4 - เมื่อกำหนดตัวแปรสภาพแวดล้อมแล้วให้พิมพ์คำสั่ง "python" บนพรอมต์คำสั่งเพื่อตรวจสอบว่าการติดตั้งสำเร็จหรือไม่
หากการติดตั้งสำเร็จคุณจะได้รับผลลัพธ์ต่อไปนี้บนคอนโซล
รหัสที่เขียนด้วย Python มีลักษณะค่อนข้างคล้ายกับรหัสที่เขียนในภาษาโปรแกรมทั่วไปอื่น ๆ เช่น C หรือ Pascal มีการกล่าวกันว่าไวยากรณ์ของ Python นั้นยืมมาจาก C ซึ่งรวมถึงคำหลัก Python หลายคำที่คล้ายกับภาษา C
Python มีคำสั่งเงื่อนไขและการวนซ้ำซึ่งสามารถใช้เพื่อดึงข้อมูลอย่างถูกต้องสำหรับนิติเวช สำหรับการควบคุมการไหลจะให้if/else, whileและระดับสูง for คำสั่งที่วนซ้ำอยู่เหนือวัตถุใด ๆ ที่ "ทำซ้ำได้"
if a < b:
max = b
else:
max = a
พื้นที่หลักที่ Python แตกต่างจากภาษาโปรแกรมอื่น ๆ คือการใช้งาน dynamic typing. ใช้ชื่อตัวแปรที่อ้างถึงวัตถุ ไม่จำเป็นต้องประกาศตัวแปรเหล่านี้
ประเภทข้อมูล
Python มีชุดประเภทข้อมูลในตัวเช่นสตริงบูลีนตัวเลข ฯลฯ นอกจากนี้ยังมีประเภทที่ไม่เปลี่ยนรูปซึ่งหมายถึงค่าที่ไม่สามารถเปลี่ยนแปลงได้ในระหว่างการดำเนินการ
Python ยังมีชนิดข้อมูลในตัวแบบผสมซึ่งรวมถึง tuples ซึ่งเป็นอาร์เรย์ที่ไม่เปลี่ยนรูป listsและ dictionariesซึ่งเป็นตารางแฮช ทั้งหมดนี้ใช้ในนิติดิจิทัลเพื่อเก็บค่าในขณะที่รวบรวมหลักฐาน
โมดูลและแพ็คเกจของบุคคลที่สาม
Python รองรับกลุ่มของโมดูลและ / หรือแพ็คเกจที่เรียกอีกอย่างว่า third-party modules (รหัสที่เกี่ยวข้องจัดกลุ่มเข้าด้วยกันในซอร์สไฟล์เดียว) ใช้สำหรับจัดระเบียบโปรแกรม
Python มีไลบรารีมาตรฐานที่กว้างขวางซึ่งเป็นหนึ่งในเหตุผลหลักสำหรับความนิยมในการคำนวณทางนิติวิทยาศาสตร์
วงจรชีวิตของรหัส Python
ในตอนแรกเมื่อคุณรันโค้ด Python ล่ามจะตรวจสอบโค้ดเพื่อหาข้อผิดพลาดทางไวยากรณ์ หากล่ามพบข้อผิดพลาดทางไวยากรณ์ก็จะแสดงเป็นข้อความแสดงข้อผิดพลาดทันที
หากไม่มีข้อผิดพลาดทางไวยากรณ์รหัสจะถูกคอมไพล์เพื่อสร้างไฟล์ bytecode และส่งไปยัง PVM (Python Virtual Machine)
PVM ตรวจสอบ bytecode เพื่อหาข้อผิดพลาดรันไทม์หรือตรรกะ ในกรณีที่ PVM พบข้อผิดพลาดรันไทม์จะรายงานทันทีเป็นข้อความแสดงข้อผิดพลาด
หาก bytecode ไม่มีข้อผิดพลาดโค้ดจะได้รับการประมวลผลและคุณจะได้ผลลัพธ์
ภาพประกอบต่อไปนี้แสดงในลักษณะกราฟิกว่าโค้ด Python ถูกตีความครั้งแรกเพื่อสร้าง bytecode อย่างไรและวิธีการประมวลผล bytecode โดย PVM เพื่อสร้างเอาต์พุต
สำหรับการสร้างแอปพลิเคชันตามหลักเกณฑ์ทางนิติวิทยาศาสตร์สิ่งสำคัญคือต้องทำความเข้าใจและปฏิบัติตามหลักเกณฑ์และรูปแบบการตั้งชื่อ
หลักการตั้งชื่อ
ในระหว่างการพัฒนาแอปพลิเคชันทางนิติวิทยาศาสตร์ของ Python กฎและข้อตกลงที่จะปฏิบัติตามได้อธิบายไว้ในตารางต่อไปนี้
ค่าคงที่ | ตัวพิมพ์ใหญ่ที่มีการคั่นด้วยขีดล่าง | อุณหภูมิสูง |
ชื่อตัวแปรท้องถิ่น | ตัวพิมพ์เล็กที่มีตัวพิมพ์ใหญ่เป็นหลุมเป็นบ่อ (ขีดล่างเป็นทางเลือก) | currentTemperature |
ชื่อตัวแปรส่วนกลาง | คำนำหน้า gl ตัวพิมพ์เล็กที่มีตัวพิมพ์เล็กเป็นหลุมเป็นบ่อ (ขีดล่างเป็นทางเลือก) | gl_maximumRecordedTemperature |
ชื่อฟังก์ชัน | ตัวพิมพ์ใหญ่ที่มีตัวพิมพ์ใหญ่เป็นหลุมเป็นบ่อ (ขีดล่างเป็นตัวเลือก) พร้อมเสียงที่ใช้งานอยู่ | ConvertFarenheitToCentigrade (... ) |
ชื่อวัตถุ | คำนำหน้า ob_ ตัวพิมพ์เล็กที่มีตัวพิมพ์ใหญ่เป็นหลุมเป็นบ่อ | ob_myTempRecorder |
โมดูล | ขีดล่างตามด้วยตัวพิมพ์เล็กที่มีตัวพิมพ์ใหญ่เป็นหลุมเป็นบ่อ | _tempRecorder |
ชื่อชั้นเรียน | คำนำหน้า class_ ตามด้วยตัวพิมพ์ใหญ่ที่เป็นหลุมเป็นบ่อและให้ข้อมูลสั้น ๆ | class_TempSystem |
ให้เราใช้สถานการณ์สมมติเพื่อทำความเข้าใจถึงความสำคัญของหลักการตั้งชื่อในการคำนวณทางนิติวิทยาศาสตร์ สมมติว่าเรามีอัลกอริทึมการแฮชที่ปกติใช้สำหรับเข้ารหัสข้อมูล อัลกอริทึมการแฮชทางเดียวรับอินพุตเป็นสตรีมของข้อมูลไบนารี ซึ่งอาจเป็นรหัสผ่านไฟล์ข้อมูลไบนารีหรือข้อมูลดิจิทัลใด ๆ จากนั้นอัลกอริทึมการแฮชจะสร้างไฟล์message digest (md) เกี่ยวกับข้อมูลที่ได้รับในอินพุต
แทบจะเป็นไปไม่ได้เลยที่จะสร้างข้อมูลไบนารีใหม่ที่จะสร้างการแยกข้อความที่กำหนด ข้อมูลอินพุตไบนารีแม้แต่บิตเดียวหากมีการเปลี่ยนแปลงจะสร้างข้อความที่ไม่ซ้ำกันซึ่งแตกต่างจากข้อมูลก่อนหน้านี้
ตัวอย่าง
ดูโปรแกรมตัวอย่างต่อไปนี้ซึ่งเป็นไปตามอนุสัญญาดังกล่าวข้างต้น
import sys, string, md5 # necessary libraries
print "Please enter your full name"
line = sys.stdin.readline()
line = line.rstrip()
md5_object = md5.new()
md5_object.update(line)
print md5_object.hexdigest() # Prints the output as per the hashing algorithm i.e. md5
exit
โปรแกรมข้างต้นสร้างผลลัพธ์ต่อไปนี้
ในโปรแกรมนี้สคริปต์ Python ยอมรับอินพุต (ชื่อเต็มของคุณ) และแปลงตามอัลกอริทึมการแฮช md5 เข้ารหัสข้อมูลและรักษาความปลอดภัยข้อมูลหากจำเป็น ตามหลักเกณฑ์ทางนิติวิทยาศาสตร์ชื่อของหลักฐานหรือหลักฐานอื่น ๆ สามารถรักษาความปลอดภัยในรูปแบบนี้ได้
ก hash functionถูกกำหนดให้เป็นฟังก์ชันที่จับคู่กับข้อมูลจำนวนมากกับค่าคงที่โดยมีความยาวที่ระบุ ฟังก์ชันนี้ช่วยให้แน่ใจว่าอินพุตเดียวกันให้ผลลัพธ์ในเอาต์พุตเดียวกันซึ่งกำหนดเป็นผลรวมแฮช ผลรวมแฮชประกอบด้วยลักษณะเฉพาะที่มีข้อมูลเฉพาะ
ฟังก์ชันนี้ไม่สามารถเปลี่ยนกลับได้จริง ดังนั้นการโจมตีของบุคคลที่สามเช่นการโจมตีด้วยกำลังดุร้ายจึงเป็นไปไม่ได้ในทางปฏิบัติ นอกจากนี้อัลกอริทึมชนิดนี้เรียกว่าone-way cryptographic algorithm.
ฟังก์ชันแฮชการเข้ารหัสในอุดมคติมีคุณสมบัติหลักสี่ประการ -
- ต้องง่ายในการคำนวณค่าแฮชสำหรับอินพุตใด ๆ ที่กำหนด
- จะต้องไม่สามารถสร้างอินพุตดั้งเดิมจากแฮชได้
- ไม่สามารถแก้ไขอินพุตได้โดยไม่ต้องเปลี่ยนแฮช
- ต้องเป็นไปไม่ได้ที่จะค้นหาอินพุตที่แตกต่างกันสองรายการที่มีแฮชเดียวกัน
ตัวอย่าง
พิจารณาตัวอย่างต่อไปนี้ซึ่งช่วยในการจับคู่รหัสผ่านโดยใช้อักขระในรูปแบบเลขฐานสิบหก
import uuid
import hashlib
def hash_password(password):
# userid is used to generate a random number
salt = uuid.uuid4().hex #salt is stored in hexadecimal value
return hashlib.sha256(salt.encode() + password.encode()).hexdigest() + ':' + salt
def check_password(hashed_password, user_password):
# hexdigest is used as an algorithm for storing passwords
password, salt = hashed_password.split(':')
return password == hashlib.sha256(salt.encode()
+ user_password.encode()).hexdigest()
new_pass = raw_input('Please enter required password ')
hashed_password = hash_password(new_pass)
print('The string to store in the db is: ' + hashed_password)
old_pass = raw_input('Re-enter new password ')
if check_password(hashed_password, old_pass):
print('Yuppie!! You entered the right password')
else:
print('Oops! I am sorry but the password does not match')
ผังงาน
เราได้อธิบายตรรกะของโปรแกรมนี้ด้วยความช่วยเหลือของผังงานต่อไปนี้ -
เอาต์พุต
รหัสของเราจะสร้างผลลัพธ์ต่อไปนี้ -
รหัสผ่านที่ป้อนสองครั้งตรงกับฟังก์ชันแฮช เพื่อให้แน่ใจว่ารหัสผ่านที่ป้อนสองครั้งนั้นถูกต้องซึ่งจะช่วยในการรวบรวมข้อมูลที่เป็นประโยชน์และบันทึกไว้ในรูปแบบที่เข้ารหัส
ในบทนี้เราจะเรียนรู้เกี่ยวกับการถอดรหัสข้อมูลข้อความที่ดึงมาระหว่างการวิเคราะห์และหลักฐาน
ข้อความธรรมดาในการเข้ารหัสคือข้อความที่อ่านได้ตามปกติเช่นข้อความ ในทางกลับกันข้อความการเข้ารหัสคือผลลัพธ์ของอัลกอริทึมการเข้ารหัสที่ดึงข้อมูลมาหลังจากที่คุณป้อนข้อความธรรมดา
อัลกอริทึมง่ายๆในการเปลี่ยนข้อความธรรมดาให้เป็นข้อความตัวเลขคือรหัสซีซาร์ซึ่งคิดค้นโดยจูเลียสซีซาร์เพื่อเก็บข้อความธรรมดาไว้เป็นความลับจากศัตรูของเขา การเข้ารหัสนี้เกี่ยวข้องกับการเลื่อนตัวอักษรทุกตัวในข้อความ "ไปข้างหน้า" ตามสามตำแหน่งในตัวอักษร
ต่อไปนี้เป็นภาพประกอบการสาธิต
a →ง
ข→จ
ค→ F
....
w → Z
x →ก
y → B
z →ค
ตัวอย่าง
ข้อความที่ป้อนเมื่อคุณเรียกใช้สคริปต์ Python ให้ความเป็นไปได้ทั้งหมดของอักขระซึ่งใช้เป็นหลักฐานรูปแบบ
ประเภทของหลักฐานรูปแบบที่ใช้มีดังนี้ -
- รางยางและเครื่องหมาย
- Impressions
- Fingerprints
ข้อมูลไบโอเมตริกซ์ทุกรายการประกอบด้วยข้อมูลเวกเตอร์ซึ่งเราจำเป็นต้องถอดรหัสเพื่อรวบรวมหลักฐานที่สมบูรณ์
โค้ด Python ต่อไปนี้แสดงวิธีสร้างข้อความเข้ารหัสจากข้อความธรรมดา -
import sys
def decrypt(k,cipher):
plaintext = ''
for each in cipher:
p = (ord(each)-k) % 126
if p < 32:
p+=95
plaintext += chr(p)
print plaintext
def main(argv):
if (len(sys.argv) != 1):
sys.exit('Usage: cracking.py')
cipher = raw_input('Enter message: ')
for i in range(1,95,1):
decrypt(i,cipher)
if __name__ == "__main__":
main(sys.argv[1:])
เอาต์พุต
ตอนนี้ตรวจสอบผลลัพธ์ของรหัสนี้ เมื่อเราป้อนข้อความง่ายๆ "Radhika" โปรแกรมจะสร้างข้อความรหัสต่อไปนี้
Virtualizationคือกระบวนการเลียนแบบระบบไอทีเช่นเซิร์ฟเวอร์เวิร์กสเตชันเครือข่ายและที่เก็บข้อมูล ไม่มีอะไรนอกจากการสร้างระบบปฏิบัติการเซิร์ฟเวอร์อุปกรณ์จัดเก็บข้อมูลหรือกระบวนการเครือข่ายเวอร์ชันเสมือนจริงมากกว่าเวอร์ชันจริง
องค์ประกอบหลักที่ช่วยในการจำลองฮาร์ดแวร์เสมือนถูกกำหนดให้เป็นไฟล์ hyper-visor.
รูปต่อไปนี้อธิบายถึงสองประเภทหลักของการจำลองเสมือนของระบบที่ใช้
การจำลองเสมือนถูกนำมาใช้ในการคำนวณทางนิติวิทยาศาสตร์ในหลาย ๆ วิธี ช่วยให้นักวิเคราะห์สามารถใช้เวิร์กสเตชันในสถานะที่ตรวจสอบได้สำหรับการตรวจสอบแต่ละครั้ง การกู้คืนข้อมูลทำได้โดยการแนบอิมเมจ dd ของไดรฟ์เป็นไดรฟ์สำรองบนเครื่องเสมือนโดยเฉพาะ เครื่องเดียวกันสามารถใช้เป็นซอฟต์แวร์กู้คืนเพื่อรวบรวมหลักฐาน
ตัวอย่างต่อไปนี้ช่วยในการทำความเข้าใจเกี่ยวกับการสร้างเครื่องเสมือนด้วยความช่วยเหลือของภาษาโปรแกรม Python
Step 1 - ให้เครื่องเสมือนตั้งชื่อว่า 'dummy1'
เครื่องเสมือนทุกเครื่องต้องมีหน่วยความจำขั้นต่ำ 512 MB โดยแสดงเป็นไบต์
vm_memory = 512 * 1024 * 1024
Step 2 - เครื่องเสมือนจะต้องเชื่อมต่อกับคลัสเตอร์เริ่มต้นซึ่งได้รับการคำนวณ
vm_cluster = api.clusters.get(name = "Default")
Step 3 - เครื่องเสมือนต้องบูตจากฮาร์ดดิสก์เสมือน
vm_os = params.OperatingSystem(boot = [params.Boot(dev = "hd")])
อ็อพชันทั้งหมดจะรวมกันเป็นอ็อบเจ็กต์พารามิเตอร์ของเครื่องเสมือนก่อนที่จะใช้วิธีการเพิ่มของคอลเลกชัน vms ไปยังเครื่องเสมือน
ตัวอย่าง
ต่อไปนี้เป็นสคริปต์ Python ที่สมบูรณ์สำหรับการเพิ่มเครื่องเสมือน
from ovirtsdk.api import API #importing API library
from ovirtsdk.xml import params
try: #Api credentials is required for virtual machine
api = API(url = "https://HOST",
username = "Radhika",
password = "a@123",
ca_file = "ca.crt")
vm_name = "dummy1"
vm_memory = 512 * 1024 * 1024 #calculating the memory in bytes
vm_cluster = api.clusters.get(name = "Default")
vm_template = api.templates.get(name = "Blank")
#assigning the parameters to operating system
vm_os = params.OperatingSystem(boot = [params.Boot(dev = "hd")])
vm_params = params.VM(name = vm_name,
memory = vm_memory,
cluster = vm_cluster,
template = vm_template
os = vm_os)
try:
api.vms.add(vm = vm_params)
print "Virtual machine '%s' added." % vm_name #output if it is successful.
except Exception as ex:
print "Adding virtual machine '%s' failed: %s" % (vm_name, ex)
api.disconnect()
except Exception as ex:
print "Unexpected error: %s" % ex
เอาต์พุต
รหัสของเราจะสร้างผลลัพธ์ต่อไปนี้ -
สถานการณ์ของสภาพแวดล้อมเครือข่ายสมัยใหม่เป็นเช่นนั้นที่การตรวจสอบอาจเต็มไปด้วยปัญหาเนื่องจากปัญหาหลายประการ สิ่งนี้สามารถเกิดขึ้นได้ไม่ว่าคุณจะตอบสนองต่อการสนับสนุนการละเมิดการตรวจสอบกิจกรรมภายในการประเมินที่เกี่ยวข้องกับช่องโหว่หรือการตรวจสอบการปฏิบัติตามกฎข้อบังคับ
แนวคิดของการเขียนโปรแกรมเครือข่าย
คำจำกัดความต่อไปนี้ใช้ในการเขียนโปรแกรมเครือข่าย
Client - ไคลเอนต์เป็นส่วนหนึ่งของสถาปัตยกรรมไคลเอนต์เซิร์ฟเวอร์ของการเขียนโปรแกรมเครือข่ายซึ่งทำงานบนคอมพิวเตอร์ส่วนบุคคลและเวิร์กสเตชัน
Server - เซิร์ฟเวอร์เป็นส่วนหนึ่งของสถาปัตยกรรมไคลเอนต์เซิร์ฟเวอร์ที่ให้บริการกับโปรแกรมคอมพิวเตอร์อื่น ๆ ในคอมพิวเตอร์เครื่องเดียวกันหรือเครื่องอื่น ๆ
WebSockets- WebSockets มีโปรโตคอลระหว่างไคลเอนต์และเซิร์ฟเวอร์ซึ่งทำงานผ่านการเชื่อมต่อ TCP แบบต่อเนื่อง ด้วยวิธีนี้ข้อความสองทิศทางสามารถส่งระหว่างการเชื่อมต่อซ็อกเก็ต TCP (พร้อมกัน)
WebSockets มาหลังจากเทคโนโลยีอื่น ๆ อีกมากมายที่อนุญาตให้เซิร์ฟเวอร์ส่งข้อมูลไปยังไคลเอนต์ นอกเหนือจากการจับมือกับส่วนหัวของการอัพเกรดแล้ว WebSockets ยังไม่ขึ้นอยู่กับ HTTP
โปรโตคอลเหล่านี้ใช้เพื่อตรวจสอบความถูกต้องของข้อมูลที่ผู้ใช้บุคคลภายนอกส่งหรือรับ เนื่องจากการเข้ารหัสเป็นหนึ่งในวิธีการที่ใช้ในการรักษาความปลอดภัยข้อความจึงเป็นสิ่งสำคัญเช่นกันที่จะต้องรักษาความปลอดภัยให้กับช่องสัญญาณที่มีการถ่ายโอนข้อความ
พิจารณาโปรแกรม Python ต่อไปนี้ซึ่งไคลเอนต์ใช้สำหรับ handshaking.
ตัวอย่าง
# client.py
import socket
# create a socket object
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
# get local machine name
host = socket.gethostname()
port = 8080
# connection to hostname on the port.
s.connect((host, port))
# Receive no more than 1024 bytes
tm = s.recv(1024)
print("The client is waiting for connection")
s.close()
เอาต์พุต
มันจะสร้างผลลัพธ์ต่อไปนี้ -
เซิร์ฟเวอร์ที่ยอมรับคำขอช่องทางการสื่อสารจะรวมสคริปต์ต่อไปนี้
# server.py
import socket
import time
# create a socket object
serversocket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
# get local machine name
host = socket.gethostname()
port = 8080
# bind to the port
serversocket.bind((host, port))
# queue up to 5 requests
serversocket.listen(5)
while True:
# establish a connection
clientsocket,addr = serversocket.accept()
print("Got a connection from %s" % str(addr))
currentTime = time.ctime(time.time()) + "\r\n"
clientsocket.send(currentTime.encode('ascii'))
clientsocket.close()
ไคลเอนต์และเซิร์ฟเวอร์ที่สร้างขึ้นด้วยความช่วยเหลือของการเขียนโปรแกรม Python ฟังหมายเลขโฮสต์ ในขั้นต้นไคลเอ็นต์จะส่งคำขอไปยังเซิร์ฟเวอร์เกี่ยวกับข้อมูลที่ส่งในหมายเลขโฮสต์และเซิร์ฟเวอร์ยอมรับคำขอและส่งการตอบกลับทันที วิธีนี้จะทำให้เรามีช่องทางการสื่อสารที่ปลอดภัย
โมดูลในโปรแกรม Python ช่วยในการจัดระเบียบโค้ด ช่วยในการจัดกลุ่มโค้ดที่เกี่ยวข้องให้เป็นโมดูลเดียวซึ่งช่วยให้เข้าใจและใช้งานได้ง่ายขึ้น ประกอบด้วยค่าที่ตั้งชื่อตามอำเภอใจซึ่งสามารถใช้สำหรับการเชื่อมโยงและการอ้างอิง กล่าวง่ายๆโมดูลคือไฟล์ที่ประกอบด้วยโค้ด Python ซึ่งรวมถึงฟังก์ชันคลาสและตัวแปร
รหัส Python สำหรับโมดูล (ไฟล์) ถูกบันทึกด้วย .py ซึ่งรวบรวมเป็นและเมื่อจำเป็น
Example
def print_hello_func( par ):
print "Hello : ", par
return
นำเข้าคำชี้แจง
ไฟล์ต้นฉบับ Python สามารถใช้เป็นโมดูลได้โดยเรียกใช้ไฟล์ importคำสั่งที่นำเข้าแพ็กเกจอื่นหรือไลบรารีของบุคคลที่สาม ไวยากรณ์ที่ใช้มีดังนี้ -
import module1[, module2[,... moduleN]
เมื่อล่าม Python พบคำสั่ง import จะนำเข้าโมดูลที่ระบุซึ่งมีอยู่ในเส้นทางการค้นหา
Example
ลองพิจารณาตัวอย่างต่อไปนี้
#!/usr/bin/python
# Import module support
import support
# Now you can call defined function that module as follows
support.print_func("Radhika")
มันจะสร้างผลลัพธ์ต่อไปนี้ -
โมดูลจะถูกโหลดเพียงครั้งเดียวโดยไม่คำนึงถึงจำนวนครั้งที่นำเข้าโดยโค้ด Python
จาก ... คำสั่งนำเข้า
Fromแอตทริบิวต์ช่วยในการนำเข้าแอตทริบิวต์เฉพาะจากโมดูลไปยังเนมสเปซปัจจุบัน นี่คือไวยากรณ์
from modname import name1[, name2[, ... nameN]]
Example
เพื่อนำเข้าฟังก์ชัน fibonacci จากโมดูล fibใช้คำสั่งต่อไปนี้
from fib import fibonacci
การค้นหาโมดูล
เมื่อกำลังนำเข้าโมดูลตัวแปล Python จะค้นหาลำดับต่อไปนี้ -
ไดเร็กทอรีปัจจุบัน
ถ้าไม่มีโมดูล Python จะค้นหาแต่ละไดเร็กทอรีในตัวแปรเชลล์ PYTHONPATH
หากตำแหน่งตัวแปรเชลล์ล้มเหลว Python จะตรวจสอบเส้นทางเริ่มต้น
การคำนวณทางนิติวิทยาใช้โมดูล Python และโมดูลของบุคคลที่สามเพื่อรับข้อมูลและดึงข้อมูลหลักฐานได้อย่างง่ายดายยิ่งขึ้น บทต่อไปจะเน้นไปที่การใช้โมดูลเพื่อให้ได้ผลลัพธ์ที่จำเป็น
DShell
Dshellเป็นชุดเครื่องมือวิเคราะห์ทางนิติวิทยาศาสตร์บนเครือข่าย Python ชุดเครื่องมือนี้ได้รับการพัฒนาโดยห้องปฏิบัติการวิจัยของกองทัพสหรัฐฯ การเปิดตัวชุดเครื่องมือโอเพนซอร์สนี้มีขึ้นในปี 2014 จุดสำคัญของชุดเครื่องมือนี้คือการตรวจสอบทางนิติวิทยาศาสตร์อย่างง่ายดาย
ชุดเครื่องมือประกอบด้วยตัวถอดรหัสจำนวนมากซึ่งแสดงอยู่ในตารางต่อไปนี้
ซีเนียร์ | ชื่อและคำอธิบายตัวถอดรหัส |
---|---|
1 | dns ใช้เพื่อแยกคำค้นหาที่เกี่ยวข้องกับ DNS |
2 | reservedips ระบุแนวทางแก้ไขปัญหา DNS |
3 | large-flows รายชื่อ netflows |
4 | rip-http ใช้แยกไฟล์จากการรับส่งข้อมูล HTTP |
5 | Protocols ใช้สำหรับระบุโปรโตคอลที่ไม่ได้มาตรฐาน |
ห้องปฏิบัติการของกองทัพสหรัฐฯได้ดูแลที่เก็บโคลนใน GitHub ตามลิงค์ต่อไปนี้ -
https://github.com/USArmyResearchLab/Dshell
โคลนประกอบด้วยสคริปต์ install-ubuntu.py () ใช้สำหรับการติดตั้งชุดเครื่องมือนี้
เมื่อการติดตั้งสำเร็จมันจะสร้างไฟล์ปฏิบัติการและการอ้างอิงที่จะใช้ในภายหลังโดยอัตโนมัติ
การอ้างอิงมีดังนี้ -
dependencies = {
"Crypto": "crypto",
"dpkt": "dpkt",
"IPy": "ipy",
"pcap": "pypcap"
}
ชุดเครื่องมือนี้สามารถใช้กับไฟล์ pcap (การดักจับแพ็กเก็ต) ซึ่งโดยปกติจะบันทึกในระหว่างเหตุการณ์หรือระหว่างการแจ้งเตือน ไฟล์ pcap เหล่านี้สร้างโดย libpcap บนแพลตฟอร์ม Linux หรือ WinPcap บนแพลตฟอร์ม Windows
สแคปปี้
Scapy เป็นเครื่องมือที่ใช้ Python เพื่อวิเคราะห์และจัดการการรับส่งข้อมูลเครือข่าย ต่อไปนี้เป็นลิงค์สำหรับชุดเครื่องมือ Scapy -
http://www.secdev.org/projects/scapy/
ชุดเครื่องมือนี้ใช้เพื่อวิเคราะห์การจัดการแพ็คเก็ต มีความสามารถอย่างมากในการถอดรหัสแพ็กเก็ตของโปรโตคอลจำนวนมากและจับภาพได้ Scapy แตกต่างจากชุดเครื่องมือ Dshell โดยให้คำอธิบายโดยละเอียดแก่ผู้ตรวจสอบเกี่ยวกับการรับส่งข้อมูลเครือข่าย คำอธิบายเหล่านี้ได้รับการบันทึกแบบเรียลไทม์
Scapy มีความสามารถในการพล็อตโดยใช้เครื่องมือของบุคคลที่สามหรือการพิมพ์ลายนิ้วมือระบบปฏิบัติการ
ลองพิจารณาตัวอย่างต่อไปนี้
import scapy, GeoIP #Imports scapy and GeoIP toolkit
from scapy import *
geoIp = GeoIP.new(GeoIP.GEOIP_MEMORY_CACHE) #locates the Geo IP address
def locatePackage(pkg):
src = pkg.getlayer(IP).src #gets source IP address
dst = pkg.getlayer(IP).dst #gets destination IP address
srcCountry = geoIp.country_code_by_addr(src) #gets Country details of source
dstCountry = geoIp.country_code_by_addr(dst) #gets country details of destination
print src+"("+srcCountry+") >> "+dst+"("+dstCountry+")\n"
สคริปต์นี้ให้คำอธิบายโดยละเอียดเกี่ยวกับรายละเอียดของประเทศในแพ็กเก็ตเครือข่ายที่กำลังสื่อสารกัน
สคริปต์ข้างต้นจะสร้างผลลัพธ์ต่อไปนี้
Searchingเป็นหนึ่งในเสาหลักของการสอบสวนทางนิติวิทยาศาสตร์ ปัจจุบันการค้นหาทำได้ดีพอ ๆ กับผู้ตรวจสอบที่ดำเนินการตามหลักฐาน
การค้นหาคำสำคัญจากข้อความมีบทบาทสำคัญในทางนิติวิทยาศาสตร์เมื่อเราค้นหาหลักฐานด้วยความช่วยเหลือของคำหลัก ความรู้เกี่ยวกับสิ่งที่จะค้นหาในไฟล์เฉพาะพร้อมกับสิ่งที่อยู่ในไฟล์ที่ถูกลบนั้นต้องใช้ทั้งประสบการณ์และความรู้
Python มีกลไกในตัวที่หลากหลายพร้อมโมดูลไลบรารีมาตรฐานเพื่อรองรับ searchการดำเนินการ. โดยพื้นฐานแล้วผู้ตรวจสอบจะใช้การดำเนินการค้นหาเพื่อค้นหาคำตอบสำหรับคำถามเช่น "ใคร" "อะไร" "ที่ไหน" "เมื่อใด" เป็นต้น
ตัวอย่าง
ในตัวอย่างต่อไปนี้เราได้ประกาศสองสตริงจากนั้นเราได้ใช้ฟังก์ชันค้นหาเพื่อตรวจสอบว่าสตริงแรกมีสตริงที่สองหรือไม่
# Searching a particular word from a message
str1 = "This is a string example for Computational forensics of gathering evidence!";
str2 = "string";
print str1.find(str2)
print str1.find(str2, 10)
print str1.find(str2, 40)
สคริปต์ข้างต้นจะสร้างผลลัพธ์ต่อไปนี้
“find”ฟังก์ชันใน Python ช่วยในการค้นหาคำสำคัญในข้อความหรือย่อหน้า นี่เป็นสิ่งสำคัญในการรวบรวมหลักฐานที่เหมาะสม
Indexingให้ผู้ตรวจสอบดูไฟล์อย่างครบถ้วนและรวบรวมหลักฐานที่เป็นไปได้จากไฟล์นั้น หลักฐานอาจอยู่ในไฟล์ภาพดิสก์สแน็ปช็อตหน่วยความจำหรือการติดตามเครือข่าย
การจัดทำดัชนีช่วยในการลดเวลาสำหรับงานที่ใช้เวลานานเช่น keyword searching. การตรวจสอบทางนิติวิทยาศาสตร์ยังเกี่ยวข้องกับขั้นตอนการค้นหาแบบโต้ตอบซึ่งดัชนีจะใช้เพื่อค้นหาคำหลักอย่างรวดเร็ว
การจัดทำดัชนียังช่วยในการแสดงรายการคำหลักในรายการที่เรียงลำดับ
ตัวอย่าง
ตัวอย่างต่อไปนี้แสดงวิธีการใช้งาน indexing ใน Python
aList = [123, 'sample', 'zara', 'indexing'];
print "Index for sample : ", aList.index('sample')
print "Index for indexing : ", aList.index('indexing')
str1 = "This is sample message for forensic investigation indexing";
str2 = "sample";
print "Index of the character keyword found is "
print str1.index(str2)
สคริปต์ข้างต้นจะสร้างผลลัพธ์ต่อไปนี้
การดึงข้อมูลที่มีค่าจากทรัพยากรที่มีอยู่เป็นส่วนสำคัญของการพิสูจน์หลักฐานทางดิจิทัล การเข้าถึงข้อมูลทั้งหมดที่มีอยู่เป็นสิ่งสำคัญสำหรับกระบวนการสอบสวนเนื่องจากจะช่วยในการเรียกค้นหลักฐานที่เหมาะสม
ทรัพยากรที่มีข้อมูลอาจเป็นโครงสร้างข้อมูลง่ายๆเช่นฐานข้อมูลหรือโครงสร้างข้อมูลที่ซับซ้อนเช่นภาพ JPEG โครงสร้างข้อมูลอย่างง่ายสามารถเข้าถึงได้ง่ายโดยใช้เครื่องมือเดสก์ท็อปแบบธรรมดาในขณะที่การดึงข้อมูลจากโครงสร้างข้อมูลที่ซับซ้อนต้องใช้เครื่องมือการเขียนโปรแกรมที่ซับซ้อน
Python Imaging Library
Python Imaging Library (PIL) เพิ่มความสามารถในการประมวลผลภาพให้กับล่าม Python ของคุณ ไลบรารีนี้รองรับไฟล์หลายรูปแบบและมีความสามารถในการประมวลผลภาพและกราฟิกที่มีประสิทธิภาพ คุณสามารถดาวน์โหลดไฟล์ต้นฉบับของ PIL ได้จาก:http://www.pythonware.com/products/pil/
ภาพประกอบต่อไปนี้แสดงแผนผังขั้นตอนที่สมบูรณ์ของการแยกข้อมูลจากรูปภาพ (โครงสร้างข้อมูลที่ซับซ้อน) ใน PIL
ตัวอย่าง
ตอนนี้เรามาดูตัวอย่างการเขียนโปรแกรมเพื่อทำความเข้าใจว่ามันทำงานอย่างไร
Step 1 - สมมติว่าเรามีภาพต่อไปนี้จากที่ที่เราต้องการดึงข้อมูล
Step 2- เมื่อเราเปิดภาพนี้โดยใช้ PIL อันดับแรกจะจดจุดที่จำเป็นสำหรับการแยกหลักฐานซึ่งรวมถึงค่าพิกเซลต่างๆ นี่คือรหัสสำหรับเปิดภาพและบันทึกค่าพิกเซล -
from PIL import Image
im = Image.open('Capture.jpeg', 'r')
pix_val = list(im.getdata())
pix_val_flat = [x for sets in pix_val for x in sets]
print pix_val_flat
Step 3 - โค้ดของเราจะสร้างผลลัพธ์ต่อไปนี้หลังจากแยกค่าพิกเซลของภาพแล้ว
ผลลัพธ์ที่ส่งแสดงถึงค่าพิกเซลของการรวม RGB ซึ่งให้ภาพที่ดีขึ้นว่าข้อมูลใดที่จำเป็นสำหรับหลักฐาน ข้อมูลที่ดึงมาจะแสดงในรูปแบบของอาร์เรย์
การตรวจสอบทางนิติวิทยาศาสตร์และการวิเคราะห์ฮาร์ดแวร์คอมพิวเตอร์มาตรฐานเช่นฮาร์ดดิสก์ได้พัฒนาไปสู่ระเบียบวินัยที่มั่นคงและตามมาด้วยความช่วยเหลือของเทคนิคในการวิเคราะห์ฮาร์ดแวร์ที่ไม่ได้มาตรฐานหรือหลักฐานชั่วคราว
แม้ว่าสมาร์ทโฟนจะถูกใช้ในการสืบสวนทางดิจิทัลมากขึ้น แต่ก็ยังถือว่าไม่ได้มาตรฐาน
การวิเคราะห์ทางนิติวิทยาศาสตร์
การตรวจสอบทางนิติวิทยาศาสตร์จะค้นหาข้อมูลเช่นสายที่ได้รับหรือหมายเลขที่โทรออกจากสมาร์ทโฟน อาจรวมถึงข้อความรูปภาพหรือหลักฐานอื่นใดที่เป็นการกล่าวหา สมาร์ทโฟนส่วนใหญ่มีคุณสมบัติการล็อกหน้าจอโดยใช้รหัสผ่านหรืออักขระที่เป็นตัวเลขและตัวอักษร
ในที่นี้เราจะนำตัวอย่างเพื่อแสดงให้เห็นว่า Python สามารถช่วยถอดรหัสรหัสผ่านล็อกหน้าจอเพื่อดึงข้อมูลจากสมาร์ทโฟนได้อย่างไร
การตรวจสอบด้วยตนเอง
Android รองรับการล็อกรหัสผ่านด้วยหมายเลข PIN หรือรหัสผ่านตัวอักษรและตัวเลข ขีด จำกัด ของข้อความรหัสผ่านทั้งสองต้องอยู่ระหว่าง 4 ถึง 16 หลักหรืออักขระ รหัสผ่านของสมาร์ทโฟนจะถูกเก็บไว้ในระบบ Android ในไฟล์พิเศษที่เรียกว่าpassword.key ใน /data/system.
Android จัดเก็บ SHA1-hashsum และ MD5-hashsum ของรหัสผ่าน รหัสผ่านเหล่านี้สามารถประมวลผลได้ในรหัสต่อไปนี้
public byte[] passwordToHash(String password) {
if (password == null) {
return null;
}
String algo = null;
byte[] hashed = null;
try {
byte[] saltedPassword = (password + getSalt()).getBytes();
byte[] sha1 = MessageDigest.getInstance(algo = "SHA-1").digest(saltedPassword);
byte[] md5 = MessageDigest.getInstance(algo = "MD5").digest(saltedPassword);
hashed = (toHex(sha1) + toHex(md5)).getBytes();
} catch (NoSuchAlgorithmException e) {
Log.w(TAG, "Failed to encode string because of missing algorithm: " + algo);
}
return hashed;
}
เป็นไปไม่ได้ที่จะถอดรหัสรหัสผ่านด้วยความช่วยเหลือของ dictionary attack เนื่องจากรหัสผ่านที่แฮชถูกเก็บไว้ในไฟล์ salt file. นี้saltเป็นสตริงของการแสดงเลขฐานสิบหกของจำนวนเต็มสุ่ม 64 บิต ง่ายต่อการเข้าถึงไฟล์salt โดยใช้ Rooted Smartphone หรือ JTAG Adapter.
สมาร์ทโฟนฝังราก
ดัมพ์ของไฟล์ /data/system/password.key ถูกเก็บไว้ในฐานข้อมูล SQLite ภายใต้ไฟล์ lockscreen.password_saltสำคัญ. ภายใต้settings.dbรหัสผ่านจะถูกเก็บไว้และสามารถมองเห็นค่าได้อย่างชัดเจนในภาพหน้าจอต่อไปนี้
JTAG อะแดปเตอร์
ฮาร์ดแวร์พิเศษที่เรียกว่าอะแดปเตอร์ JTAG (Joint Test Action Group) สามารถใช้เพื่อเข้าถึงไฟล์ salt. ในทำนองเดียวกันกRiff-Box หรือก JIG-Adapter ยังสามารถใช้สำหรับการทำงานเดียวกัน
โดยใช้ข้อมูลที่ได้รับจาก Riff-box เราสามารถค้นหาตำแหน่งของข้อมูลที่เข้ารหัสได้เช่นไฟล์ salt. ต่อไปนี้เป็นกฎ -
ค้นหาสตริงที่เกี่ยวข้อง "lockscreen.password_salt"
ไบต์แสดงถึงความกว้างจริงของเกลือซึ่งก็คือ length.
นี่คือความยาวที่ใช้ค้นหาเพื่อรับรหัสผ่าน / พินที่เก็บไว้ของสมาร์ทโฟน
ชุดกฎเหล่านี้ช่วยในการรับข้อมูลเกลือที่เหมาะสม
โปรโตคอลที่ใช้กันอย่างแพร่หลายสำหรับการซิงโครไนซ์เวลาและซึ่งได้รับการยอมรับอย่างกว้างขวางว่าเป็นวิธีปฏิบัตินั้นทำผ่าน Network Time Protocol (NTP)
NTP ใช้ User Datagram Protocol (UDP) ซึ่งใช้เวลาขั้นต่ำในการสื่อสารแพ็กเก็ตระหว่างเซิร์ฟเวอร์และไคลเอนต์ที่ต้องการซิงโครไนซ์กับแหล่งเวลาที่กำหนด
คุณสมบัติของ Network Time Protocol มีดังนี้ -
พอร์ตเซิร์ฟเวอร์เริ่มต้นคือ 123
โปรโตคอลนี้ประกอบด้วยเซิร์ฟเวอร์เวลาที่สามารถเข้าถึงได้จำนวนมากที่ซิงโครไนซ์กับห้องปฏิบัติการระดับชาติ
มาตรฐานโปรโตคอล NTP อยู่ภายใต้ IETF และ Proposed Standard คือ RFC 5905 หัวข้อ“ Network Time Protocol เวอร์ชัน 4: Protocol and Algorithms Specification” [NTP RFC]
ระบบปฏิบัติการโปรแกรมและแอปพลิเคชันใช้ NTP เพื่อซิงโครไนซ์เวลาด้วยวิธีที่เหมาะสม
ในบทนี้เราจะเน้นไปที่การใช้งาน NTP กับ Python ซึ่งเป็นไปได้จาก ntplib ของ Python Library ของ บริษัท อื่น ไลบรารีนี้จัดการกับการยกของหนักได้อย่างมีประสิทธิภาพซึ่งเปรียบเทียบผลลัพธ์กับนาฬิการะบบภายในของฉัน
การติดตั้ง NTP Library
ntplib สามารถดาวน์โหลดได้ที่ https://pypi.python.org/pypi/ntplib/ ดังแสดงในรูปต่อไปนี้
ไลบรารีมีอินเทอร์เฟซที่เรียบง่ายให้กับเซิร์ฟเวอร์ NTP ด้วยความช่วยเหลือของวิธีการที่สามารถแปลฟิลด์โปรโตคอล NTP ซึ่งช่วยให้เข้าถึงค่าคีย์อื่น ๆ เช่นวินาทีอธิกสุรทิน
โปรแกรม Python ต่อไปนี้ช่วยในการทำความเข้าใจการใช้งาน NTP
import ntplib
import time
NIST = 'nist1-macon.macon.ga.us'
ntp = ntplib.NTPClient()
ntpResponse = ntp.request(NIST)
if (ntpResponse):
now = time.time()
diff = now-ntpResponse.tx_time
print diff;
โปรแกรมข้างต้นจะสร้างผลลัพธ์ต่อไปนี้
ความแตกต่างของเวลาคำนวณในโปรแกรมข้างต้น การคำนวณเหล่านี้ช่วยในการสืบสวนทางนิติวิทยาศาสตร์ ข้อมูลเครือข่ายที่ได้รับนั้นแตกต่างกันโดยพื้นฐานจากการวิเคราะห์ข้อมูลที่พบในฮาร์ดไดรฟ์
ความแตกต่างของเขตเวลาหรือการได้รับเขตเวลาที่ถูกต้องสามารถช่วยในการรวบรวมหลักฐานในการบันทึกข้อความผ่านโปรโตคอลนี้
โดยปกติแล้วผู้เชี่ยวชาญด้านนิติวิทยาศาสตร์พบว่าเป็นเรื่องยากที่จะใช้โซลูชันดิจิทัลในการวิเคราะห์หลักฐานดิจิทัลในอาชญากรรมทั่วไป เครื่องมือตรวจสอบดิจิทัลส่วนใหญ่เป็นแบบเธรดเดียวและสามารถดำเนินการได้ครั้งละหนึ่งคำสั่งเท่านั้น
ในบทนี้เราจะเน้นที่ความสามารถในการประมวลผลหลายขั้นตอนของ Python ซึ่งเกี่ยวข้องกับความท้าทายทางนิติวิทยาศาสตร์ทั่วไป
การประมวลผลหลายขั้นตอน
การประมวลผลหลายขั้นตอนหมายถึงความสามารถของระบบคอมพิวเตอร์ในการสนับสนุนกระบวนการมากกว่าหนึ่งกระบวนการ ระบบปฏิบัติการที่รองรับการประมวลผลแบบหลายขั้นตอนช่วยให้โปรแกรมต่างๆทำงานพร้อมกันได้
มีหลายประเภทของการประมวลผลหลายประเภทเช่น symmetric และ asymmetric processing. แผนภาพต่อไปนี้หมายถึงระบบมัลติโพรเซสเซอร์แบบสมมาตรซึ่งโดยปกติจะปฏิบัติตามในการสอบสวนทางนิติวิทยาศาสตร์
ตัวอย่าง
โค้ดต่อไปนี้แสดงให้เห็นว่ากระบวนการต่างๆแสดงรายการภายในอย่างไรในการเขียนโปรแกรม Python
import random
import multiprocessing
def list_append(count, id, out_list):
#appends the count of number of processes which takes place at a time
for i in range(count):
out_list.append(random.random())
if __name__ == "__main__":
size = 999
procs = 2
# Create a list of jobs and then iterate through
# the number of processes appending each process to
# the job list
jobs = []
for i in range(0, procs):
out_list = list() #list of processes
process1 = multiprocessing.Process(
target = list_append, args = (size, i, out_list))
# appends the list of processes
jobs.append(process)
# Calculate the random number of processes
for j in jobs:
j.start() #initiate the process
# After the processes have finished execution
for j in jobs:
j.join()
print "List processing complete."
ที่นี่ฟังก์ชั่น list_append() ช่วยในการแสดงรายการชุดของกระบวนการในระบบ
เอาต์พุต
รหัสของเราจะสร้างผลลัพธ์ต่อไปนี้ -
ในบทนี้เราจะมุ่งเน้นไปที่การตรวจสอบหน่วยความจำที่ระเหยได้ด้วยความช่วยเหลือของ Volatilityซึ่งเป็นกรอบงานนิติวิทยาศาสตร์ที่ใช้ Python ที่ใช้กับแพลตฟอร์มต่อไปนี้: Android และ Linux.
หน่วยความจำระเหย
หน่วยความจำระเหยเป็นหน่วยเก็บข้อมูลประเภทหนึ่งที่เนื้อหาจะถูกลบเมื่อปิดหรือขัดจังหวะการทำงานของระบบ RAM เป็นตัวอย่างที่ดีที่สุดของหน่วยความจำระเหย หมายความว่าหากคุณกำลังทำงานกับเอกสารที่ไม่ได้ถูกบันทึกลงในหน่วยความจำที่ไม่ลบเลือนเช่นฮาร์ดไดรฟ์และคอมพิวเตอร์สูญเสียพลังงานข้อมูลทั้งหมดจะสูญหาย
โดยทั่วไปการตรวจสอบความจำระเหยจะเป็นไปตามรูปแบบเดียวกับการสืบสวนทางนิติวิทยาศาสตร์อื่น ๆ -
- การเลือกเป้าหมายของการสอบสวน
- การรับข้อมูลทางนิติวิทยาศาสตร์
- การวิเคราะห์ทางนิติวิทยาศาสตร์
พื้นฐาน volatility plugins ซึ่งใช้สำหรับ Android รวบรวม RAM dumpสำหรับการวิเคราะห์ เมื่อรวบรวมการถ่ายโอนข้อมูล RAM เพื่อการวิเคราะห์สิ่งสำคัญคือต้องเริ่มค้นหามัลแวร์ใน RAM
กฎของ YARA
YARA เป็นเครื่องมือยอดนิยมที่ให้ภาษาที่มีประสิทธิภาพเข้ากันได้กับ Regular Expressions ที่ใช้ Perl และใช้เพื่อตรวจสอบไฟล์ / ไดเรกทอรีที่น่าสงสัยและสตริงที่ตรงกัน
ในส่วนนี้เราจะใช้ YARA ตามการใช้งานการจับคู่รูปแบบและรวมเข้ากับพลังสาธารณูปโภค กระบวนการที่สมบูรณ์จะเป็นประโยชน์สำหรับการวิเคราะห์ทางนิติวิทยาศาสตร์
ตัวอย่าง
พิจารณารหัสต่อไปนี้ รหัสนี้ช่วยในการแตกโค้ด
import operator
import os
import sys
sys.path.insert(0, os.getcwd())
import plyara.interp as interp
# Plyara is a script that lexes and parses a file consisting of one more Yara
# rules into a python dictionary representation.
if __name__ == '__main__':
file_to_analyze = sys.argv[1]
rulesDict = interp.parseString(open(file_to_analyze).read())
authors = {}
imps = {}
meta_keys = {}
max_strings = []
max_string_len = 0
tags = {}
rule_count = 0
for rule in rulesDict:
rule_count += 1
# Imports
if 'imports' in rule:
for imp in rule['imports']:
imp = imp.replace('"','')
if imp in imps:
imps[imp] += 1
else:
imps[imp] = 1
# Tags
if 'tags' in rule:
for tag in rule['tags']:
if tag in tags:
tags[tag] += 1
else:
tags[tag] = 1
# Metadata
if 'metadata' in rule:
for key in rule['metadata']:
if key in meta_keys:
meta_keys[key] += 1
else:
meta_keys[key] = 1
if key in ['Author', 'author']:
if rule['metadata'][key] in authors:
authors[rule['metadata'][key]] += 1
else:
authors[rule['metadata'][key]] = 1
#Strings
if 'strings' in rule:
for strr in rule['strings']:
if len(strr['value']) > max_string_len:
max_string_len = len(strr['value'])
max_strings = [(rule['rule_name'], strr['name'], strr['value'])]
elif len(strr['value']) == max_string_len:
max_strings.append((rule['rule_name'], strr['key'], strr['value']))
print("\nThe number of rules implemented" + str(rule_count))
ordered_meta_keys = sorted(meta_keys.items(), key = operator.itemgetter(1),
reverse = True)
ordered_authors = sorted(authors.items(), key = operator.itemgetter(1),
reverse = True)
ordered_imps = sorted(imps.items(), key = operator.itemgetter(1), reverse = True)
ordered_tags = sorted(tags.items(), key = operator.itemgetter(1), reverse = True)
โค้ดด้านบนจะสร้างผลลัพธ์ต่อไปนี้
จำนวนกฎ YARA ที่นำมาใช้ช่วยในการให้ภาพที่ดีขึ้นของไฟล์ที่ต้องสงสัย ในทางอ้อมรายการไฟล์ที่น่าสงสัยจะช่วยในการรวบรวมข้อมูลที่เหมาะสมสำหรับการพิสูจน์หลักฐาน
ต่อไปนี้เป็นซอร์สโค้ดใน github: https://github.com/radhikascs/Python_yara
ข้อกังวลหลักของการสืบสวนทางดิจิทัลคือการรักษาความปลอดภัยของหลักฐานหรือข้อมูลที่สำคัญด้วยการเข้ารหัสหรือรูปแบบอื่นใด ตัวอย่างพื้นฐานคือการจัดเก็บรหัสผ่าน ดังนั้นจึงจำเป็นต้องเข้าใจการใช้ระบบปฏิบัติการ Linux สำหรับการใช้งานทางนิติวิทยาศาสตร์ดิจิทัลเพื่อรักษาความปลอดภัยข้อมูลที่มีค่าเหล่านี้
ข้อมูลสำหรับผู้ใช้ในพื้นที่ทั้งหมดส่วนใหญ่เก็บไว้ในสองไฟล์ต่อไปนี้ -
- /etc/passwd
- etc/shadow
ข้อแรกเป็นข้อบังคับซึ่งเก็บรหัสผ่านทั้งหมด ไฟล์ที่สองเป็นทางเลือกและจัดเก็บข้อมูลเกี่ยวกับผู้ใช้ภายในเครื่องรวมถึงรหัสผ่านที่แฮช
ปัญหาเกิดขึ้นเกี่ยวกับปัญหาด้านความปลอดภัยในการจัดเก็บข้อมูลรหัสผ่านในไฟล์ซึ่งผู้ใช้ทุกคนสามารถอ่านได้ ดังนั้นรหัสผ่านที่แฮชจะถูกเก็บไว้ใน/etc/passwdซึ่งเนื้อหาจะถูกแทนที่ด้วยค่าพิเศษ "x".
ต้องค้นหาแฮชที่เกี่ยวข้อง /etc/shadow. การตั้งค่าใน/etc/passwd อาจลบล้างรายละเอียดใน /etc/shadow.
ทั้งไฟล์ข้อความใน Linux มีหนึ่งรายการต่อบรรทัดและรายการประกอบด้วยหลายฟิลด์โดยคั่นด้วยเครื่องหมายโคลอน
รูปแบบของ /etc/passwd มีดังนี้ -
ซีเนียร์ | ชื่อฟิลด์และคำอธิบาย |
---|---|
1 | Username ฟิลด์นี้ประกอบด้วยแอตทริบิวต์ของรูปแบบที่มนุษย์อ่านได้ |
2 | Password hash ประกอบด้วยรหัสผ่านในรูปแบบเข้ารหัสตามฟังก์ชัน Posix crypt |
หากรหัสผ่านแฮชถูกบันทึกเป็นไฟล์ emptyจากนั้นผู้ใช้ที่เกี่ยวข้องจะไม่ต้องใช้รหัสผ่านใด ๆ ในการเข้าสู่ระบบ หากช่องนี้มีค่าที่อัลกอริทึมแฮชไม่สามารถสร้างได้เช่นเครื่องหมายอัศเจรีย์ผู้ใช้จะไม่สามารถเข้าสู่ระบบโดยใช้รหัสผ่าน
ผู้ใช้ที่มีรหัสผ่านล็อกยังสามารถล็อกออนโดยใช้กลไกการตรวจสอบสิทธิ์อื่น ๆ เช่นคีย์ SSH ดังที่กล่าวไว้ก่อนหน้านี้ค่าพิเศษ "x"หมายความว่าจะต้องพบแฮชรหัสผ่านในไฟล์เงา
password hash รวมถึงสิ่งต่อไปนี้ -
Encrypted salt - encrypted salt ช่วยรักษาการล็อกหน้าจอพินและรหัสผ่าน
Numerical user ID- ฟิลด์นี้แสดงถึง ID ของผู้ใช้ เคอร์เนล Linux กำหนด ID ผู้ใช้นี้ให้กับระบบ
Numerical group ID - ฟิลด์นี้หมายถึงกลุ่มหลักของผู้ใช้
Home directory - กระบวนการใหม่เริ่มต้นด้วยการอ้างอิงของไดเร็กทอรีนี้
Command shell - ฟิลด์ทางเลือกนี้แสดงถึงเชลล์ดีฟอลต์ที่จะเริ่มทำงานหลังจากล็อกอินเข้าสู่ระบบสำเร็จ
นิติดิจิทัลรวมถึงการรวบรวมข้อมูลที่เกี่ยวข้องกับการติดตามหลักฐาน ดังนั้นรหัสผู้ใช้จึงมีประโยชน์ในการรักษาบันทึก
การใช้ Python ข้อมูลทั้งหมดนี้สามารถวิเคราะห์โดยอัตโนมัติสำหรับตัวบ่งชี้การวิเคราะห์สร้างกิจกรรมระบบล่าสุดขึ้นใหม่ การติดตามทำได้ง่ายและสะดวกด้วยการใช้งาน Linux Shell
การเขียนโปรแกรม Python ด้วย Linux
ตัวอย่าง
import sys
import hashlib
import getpass
def main(argv):
print '\nUser & Password Storage Program in Linux for forensic detection v.01\n'
if raw_input('The file ' + sys.argv[1] + ' will be erased or overwrite if
it exists .\nDo you wish to continue (Y/n): ') not in ('Y','y') :
sys.exit('\nChanges were not recorded\n')
user_name = raw_input('Please Enter a User Name: ')
password = hashlib.sha224(getpass.getpass('Please Enter a Password:')).hexdigest()
# Passwords which are hashed
try:
file_conn = open(sys.argv[1],'w')
file_conn.write(user_name + '\n')
file_conn.write(password + '\n')
file_conn.close()
except:
sys.exit('There was a problem writing the passwords to file!')
if __name__ == "__main__":
main(sys.argv[1:])
เอาต์พุต
รหัสผ่านจะถูกจัดเก็บในรูปแบบเลขฐานสิบหกในรูปแบบ pass_db.txtดังที่แสดงในภาพหน้าจอต่อไปนี้ ไฟล์ข้อความจะถูกบันทึกเพื่อใช้ในการคำนวณทางนิติวิทยาศาสตร์ต่อไป
ตัวบ่งชี้การประนีประนอม (IOC) หมายถึง "ชิ้นส่วนของข้อมูลทางนิติวิทยาศาสตร์ซึ่งรวมถึงข้อมูลที่พบในรายการบันทึกระบบหรือไฟล์ที่ระบุกิจกรรมที่อาจเป็นอันตรายในระบบหรือเครือข่าย"
ด้วยการตรวจสอบ IOC องค์กรต่างๆสามารถตรวจจับการโจมตีและดำเนินการได้อย่างรวดเร็วเพื่อป้องกันการละเมิดดังกล่าวไม่ให้เกิดขึ้นหรือจำกัดความเสียหายโดยหยุดการโจมตีในระยะก่อนหน้านี้
มีกรณีการใช้งานบางอย่างที่อนุญาตให้สืบค้นสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์เช่น -
- ค้นหาไฟล์เฉพาะโดย MD5
- ค้นหาเอนทิตีเฉพาะซึ่งเก็บไว้ในหน่วยความจำ
- รายการเฉพาะหรือชุดของรายการซึ่งเก็บไว้ในรีจิสทรีของ Windows
การผสมผสานทั้งหมดข้างต้นให้ผลลัพธ์ที่ดีกว่าในการค้นหาอาร์ติแฟกต์ ดังที่ได้กล่าวมาแล้วรีจิสทรีของ Windows เป็นแพลตฟอร์มที่สมบูรณ์แบบในการสร้างและบำรุงรักษา IOC ซึ่งจะช่วยโดยตรงในการคำนวณทางนิติวิทยา
ระเบียบวิธี
ค้นหาตำแหน่งในระบบไฟล์และเฉพาะสำหรับตอนนี้ในรีจิสทรีของ Windows
ค้นหาชุดของสิ่งประดิษฐ์ซึ่งได้รับการออกแบบโดยเครื่องมือทางนิติวิทยาศาสตร์
มองหาสัญญาณของกิจกรรมที่ไม่พึงประสงค์ใด ๆ
วงจรชีวิตของการสืบสวน
Investigative Life Cycle เป็นไปตาม IOC และค้นหารายการเฉพาะในรีจิสทรี
Stage 1: Initial Evidence- ตรวจพบหลักฐานการประนีประนอมทั้งบนโฮสต์หรือบนเครือข่าย ผู้เผชิญเหตุจะตรวจสอบและระบุวิธีการแก้ปัญหาที่แน่นอนซึ่งเป็นตัวบ่งชี้ทางนิติวิทยาศาสตร์ที่เป็นรูปธรรม
Stage 2: Create IOCs for Host & Network- หลังจากรวบรวมข้อมูลแล้ว IOC จะถูกสร้างขึ้นซึ่งเป็นไปได้อย่างง่ายดายด้วยการลงทะเบียน Windows ความยืดหยุ่นของ OpenIOC ให้การเรียงสับเปลี่ยนจำนวนไม่ จำกัด เกี่ยวกับวิธีการสร้างตัวบ่งชี้
Stage 3: Deploy IOCs in the Enterprise - เมื่อสร้าง IOC ที่ระบุแล้วผู้ตรวจสอบจะปรับใช้เทคโนโลยีเหล่านี้ด้วยความช่วยเหลือของ API ในการลงทะเบียน Windows
Stage 4: Identification of Suspects- การปรับใช้ IOC ช่วยในการระบุตัวผู้ต้องสงสัยด้วยวิธีปกติ แม้แต่ระบบเพิ่มเติมจะถูกระบุ
Stage 5: Collect and Analyze Evidence - รวบรวมและวิเคราะห์พยานหลักฐานของผู้ต้องสงสัย
Stage 6: Refine & Create New IOCs - ทีมสืบสวนสามารถสร้าง IOC ใหม่โดยอาศัยหลักฐานและข้อมูลที่พบในองค์กรและหน่วยสืบราชการลับเพิ่มเติมและปรับปรุงวงจรของพวกเขาต่อไป
ภาพประกอบต่อไปนี้แสดงขั้นตอนของวงจรชีวิตเชิงสืบสวน -
Cloud computingสามารถกำหนดเป็นชุดของบริการโฮสต์ที่ให้บริการแก่ผู้ใช้ทางอินเทอร์เน็ต ช่วยให้องค์กรสามารถใช้หรือแม้แต่คำนวณทรัพยากรซึ่งรวมถึง Virtual Machines (VMs) ที่เก็บข้อมูลหรือแอปพลิเคชันเป็นยูทิลิตี้
ข้อได้เปรียบที่สำคัญที่สุดอย่างหนึ่งของการสร้างแอปพลิเคชันในภาษาโปรแกรม Python คือความสามารถในการปรับใช้แอปพลิเคชันบนแพลตฟอร์มใด ๆ ซึ่งรวมถึง cloudเช่นกัน. หมายความว่า Python สามารถทำงานบนเซิร์ฟเวอร์คลาวด์ได้และยังสามารถเปิดใช้งานบนอุปกรณ์พกพาเช่นเดสก์ท็อปแท็บเล็ตหรือสมาร์ทโฟน
หนึ่งในมุมมองที่น่าสนใจคือการสร้างฐานคลาวด์ด้วยการสร้าง Rainbow tables. ช่วยในการรวมแอปพลิเคชันเวอร์ชันเดียวและหลายกระบวนการซึ่งต้องมีการพิจารณาบางอย่าง
พี่เมฆ
Pi Cloud เป็นแพลตฟอร์มการประมวลผลแบบคลาวด์ซึ่งรวมภาษาการเขียนโปรแกรม Python เข้ากับพลังการประมวลผลของ Amazon Web Services
ลองมาดูตัวอย่างของการใช้ Pi clouds กับ rainbow tables.
ตารางสายรุ้ง
ก rainbow table ถูกกำหนดให้เป็นรายการของการเรียงสับเปลี่ยนข้อความธรรมดาที่เป็นไปได้ทั้งหมดของรหัสผ่านที่เข้ารหัสเฉพาะสำหรับอัลกอริทึมแฮชที่กำหนด
ตารางสายรุ้งเป็นไปตามรูปแบบมาตรฐานซึ่งจะสร้างรายการรหัสผ่านที่แฮช
ไฟล์ข้อความใช้ในการสร้างรหัสผ่านซึ่งรวมถึงอักขระหรือข้อความธรรมดาของรหัสผ่านที่จะเข้ารหัส
ไฟล์ถูกใช้โดย Pi cloud ซึ่งเรียกใช้ฟังก์ชันหลักที่จะจัดเก็บ
ผลลัพธ์ของรหัสผ่านที่แฮชจะถูกเก็บไว้ในไฟล์ข้อความเช่นกัน
อัลกอริทึมนี้สามารถใช้เพื่อบันทึกรหัสผ่านในฐานข้อมูลได้เช่นกันและมีที่เก็บข้อมูลสำรองในระบบคลาวด์
โปรแกรมในตัวต่อไปนี้จะสร้างรายการรหัสผ่านที่เข้ารหัสในไฟล์ข้อความ
ตัวอย่าง
import os
import random
import hashlib
import string
import enchant #Rainbow tables with enchant
import cloud #importing pi-cloud
def randomword(length):
return ''.join(random.choice(string.lowercase) for i in range(length))
print('Author- Radhika Subramanian')
def mainroutine():
engdict = enchant.Dict("en_US")
fileb = open("password.txt","a+")
# Capture the values from the text file named password
while True:
randomword0 = randomword(6)
if engdict.check(randomword0) == True:
randomkey0 = randomword0+str(random.randint(0,99))
elif engdict.check(randomword0) == False:
englist = engdict.suggest(randomword0)
if len(englist) > 0:
randomkey0 = englist[0]+str(random.randint(0,99))
else:
randomkey0 = randomword0+str(random.randint(0,99))
randomword3 = randomword(5)
if engdict.check(randomword3) == True:
randomkey3 = randomword3+str(random.randint(0,99))
elif engdict.check(randomword3) == False:
englist = engdict.suggest(randomword3)
if len(englist) > 0:
randomkey3 = englist[0]+str(random.randint(0,99))
else:
randomkey3 = randomword3+str(random.randint(0,99))
if 'randomkey0' and 'randomkey3' and 'randomkey1' in locals():
whasher0 = hashlib.new("md5")
whasher0.update(randomkey0)
whasher3 = hashlib.new("md5")
whasher3.update(randomkey3)
whasher1 = hashlib.new("md5")
whasher1.update(randomkey1)
print(randomkey0+" + "+str(whasher0.hexdigest())+"\n")
print(randomkey3+" + "+str(whasher3.hexdigest())+"\n")
print(randomkey1+" + "+str(whasher1.hexdigest())+"\n")
fileb.write(randomkey0+" + "+str(whasher0.hexdigest())+"\n")
fileb.write(randomkey3+" + "+str(whasher3.hexdigest())+"\n")
fileb.write(randomkey1+" + "+str(whasher1.hexdigest())+"\n")
jid = cloud.call(randomword) #square(3) evaluated on PiCloud
cloud.result(jid)
print('Value added to cloud')
print('Password added')
mainroutine()
เอาต์พุต
รหัสนี้จะสร้างผลลัพธ์ต่อไปนี้ -
รหัสผ่านจะถูกเก็บไว้ในไฟล์ข้อความซึ่งมองเห็นได้ดังที่แสดงในภาพหน้าจอต่อไปนี้