Forensics Toolkit

أهلاً بكم، في هذا المقال سوف أقوم بمشاركتكم أهم ما قد يحتاجه المحقق الجنائي الرقمي في كل قضية.

مقدمة

ب إختلاف القضايا الجنائية الرقمية، والحالات، يجب على كل محقق ان تتوافر لديه كافه الأدوات المناسبة لتحقيق أكبر فائدة ممكنه من التحقيق، والتأكد من جمع كافة البيانات والأدلة المهمة للقضية، وعدم حدوث اي مشكلة اثناء التحقيق. في هذه المقالة سوف أشارك معكم أهم الفئات والأدوات المهمة في كل عملية تحقيق جنائي رقمي.
لن أقوم بذكر او الحديث عن برنامج معين ولكن سوف أقوم بذكر مثال على كل فئة, الهدف من هذه المقالة هو توضيح الغرض من استخدام هذه الأدوات.

أدوات نسخ الأقراص

أهم و أول خطوه على كل محقق ان يقوم بها هي أخذ صورة كامله ل الاقراص، Drives,Disks وكل ما قد يحتوي على بيانات مهمه (Logical volume, Disk partition ) وهو ما يسمى ب (Imaging Media and Drive) بشكل سليم وصحيح، هذه الأدوات لا بد ان تكون قادره على اخذ صوره كاملة ولابد أن تكون الصورة مطابقة تماما ل لأصل.

مصطلحات مهمة:
  • Slack Space: تعتبر المساحة المتروكه عند كتابه ملف بما يعني؛ في حال قمت بإنشاء ملف سيتم انشاء مساحة مخصصه لهذا لملف، لكن لن يتم استخدام كل هذه المساحة، فسيكون هناك جزء للبيانات بالملف ومساحة اخرى تسمى Slack space

  • Unallocated Space: هي المساحة التي لم يتم استخدامها .

لابد ان تكون الأدوات المخصصة ل أخذ صوره او نسخة من الاقراص قادره ايضا على تحديد Slack and Unallocated space

أشهر الأدوات: FTK

أدوات التحليل

بعد ان يتم أخذ صوره للأقراص وجمع الأدلة الكافية يأتي وقت تحليل هذه الأدلة، تختلف أدوات التحليل ب إختلاف ما قد تقدمه لنا

  1. TimeLine الأدوات التي تستعرض لنا التوقيت الزمني لكل ما تم تغيره او عمله بالنظام.
  2. أدوات مخصصه لتحليل معلومات النظام ب التفصيل واستخراج معلومات الملفات او ما يسمى ب (MetaData) والتي تعني وقت انشاء الملف او التعديل عليه .. الخ.
  3. أدوات مخصص ل تحليل (Windows Registry)

  4. أدوات لتحليل Logs وقراءتها.

أشهر الأدوات: EnCase, autopsy, Wireshark

يمكنكم ايضا تجربة SIFT Workstation وهو يعد توزيعه من توزيعات Linux مخصص للتحقيق الجنائي الرقمي وتجربة الأدوات فيه.

أدوات التحقق

من أهم الخطوات الذي يجب على أي محقق القيام بها للحفاظ على مصداقية القضية او التحقيق او مايسمى (Integrity)، عن طريق استخدام دالة (Hash)، للأدلة او الصور المأخذوه من الأقراص، وتكرار نفس الخطوة ل القرص الأصلي من ثم المقارنه بين النتيجيتن، في حال كانت النتائج متشابهة وقيمة Hash واحدة، هذا يعني ان عملية النسخ تمت بنجاح وان الصورة هي تمام صورة طبق الأصل من القرص الأصلي أو الملف الأصلي. في حال كانت النتائج مختلفه فهذا يعني وجود خلل أو نقص في عملية النسخ.
قد تتوفر خاصية Hashing في بعض الأدوات التي قد تستخدم لأغراض أخرى، لكن من أسهل الطرق ل تنفيذ دالة الHash لاي ملف او النسخ او الصور، استخدام امر Shasum او Md5sum

md5sum yourfile
shasum yourfile

مصطلحات مهمة:

Hash: دالة يتم تنفيذها على الملفات عن طريق ادخال ملف او قيمة معينه ثم اخراج قيمة اخرى لها طول وحجم ثابت، الهدف الأساسي منها التحقق من سلامة البيانات وعدم التغير فيها.

ملاحظة دالة Md5 تعد اسرع في التنفيذ ويمكن للمحقق استخدامها لهذا الغرض (السرعة في التنفيذ)، من المعروف ان هذه الدالة يمكن كسرها الان ولا ينصح بها الى انه بالنسبه للمحقق فلا ضرر من استخدامها لان الهدف من العملية هو التأكد من تطابق النسخ للأدلة التي تم جمعها ب الملف الأصلي.

أدوات كسر كلمات المرور

(Password Cracker/Recovery)

قد يواجه المحقق اثناء التحقيق ملفات محمية ب كلمة مرور أو مشفرة ويحتاج للوصول اليها وقراءتها لذلك الحاجة ل أدوات كسر كلمة المرور وكسر التشفير مهمة.

مصطلحات مهمة:

Brute Force: مصطلح مهم معرفته يخص كسر كلمات المرور وهو عبارة عن تخمين كلمة المرور عن طريق تجربة قوائم تحتوي على الكثير من الكلمات.

أشهر الأدوات: ElcomSoft

خاتمة

كما ذكرت الغرض من هذه المقالة هو معرفه أسباب حاجتنا لهذه الأدوات وما هو الهدف من استخدامها، يمكنكم تجربه الأدوات التي تم ذكرها والتعلم عليها بالتدريب الكافي.

شكرا لقراءتك سارة الجابر

جميع الحقوق محفوظة

المصادر: كتاب CompTIA CySA+

كُتب في 18/03/2020