Forensics Toolkit 

كتب في  2020-03-18


أهلاً بكم، في هذا المقال سوف أقوم بمشاركتكم أهم ما قد يحتاجه المحقق الجنائي الرقمي في كل قضية

مقدمة

ب إختلاف القضايا الجنائية الرقمية، والحالات، يجب على كل محقق ان تتوافر لديه كافه الأدوات المناسبة لتحقيق أكبر فائدة ممكنه من التحقيق، والتأكد من جمع كافة البيانات والأدلة المهمة للقضية، وعدم حدوث اي مشكلة اثناء التحقيق. في هذه المقالة سوف أشارك معكم أهم الفئات والأدوات المهمة في كل عملية تحقيق جنائي رقمي.
لن أقوم بذكر او الحديث عن برنامج معين ولكن سوف أقوم بذكر مثال على كل فئة, الهدف من هذه المقالة هو توضيح الغرض من استخدام هذه الأدوات.

أدوات نسخ الأقراص

أهم و أول خطوه على كل محقق ان يقوم بها هي أخذ صورة كامله ل الاقراص، Drives,Disks وكل ما قد يحتوي على بيانات مهمه (Logical volume, Disk partition ) وهو ما يسمى ب (Imaging Media and Drive) بشكل سليم وصحيح، هذه الأدوات لا بد ان تكون قادره على اخذ صوره كاملة ولابد أن تكون الصورة مطابقة تماما ل لأصل.

مصطلحات مهمة:
  • Slack Space: تعتبر المساحة المتروكه عند كتابه ملف بما يعني؛ في حال قمت بإنشاء ملف سيتم انشاء مساحة مخصصه لهذا لملف، لكن لن يتم استخدام كل هذه المساحة، فسيكون هناك جزء للبيانات بالملف ومساحة اخرى تسمى Slack space


  • Unallocated Space: هي المساحة التي لم يتم استخدامها .

لابد ان تكون الأدوات المخصصة ل أخذ صوره او نسخة من الاقراص قادره ايضا على تحديد Slack and Unallocated space

أشهر الأدوات: FTK

أدوات التحليل

بعد ان يتم أخذ صوره للأقراص وجمع الأدلة الكافية يأتي وقت تحليل هذه الأدلة، تختلف أدوات التحليل ب إختلاف ما قد تقدمه لنا

  1. TimeLine الأدوات التي تستعرض لنا التوقيت الزمني لكل ما تم تغيره او عمله بالنظام.

  2. أدوات مخصصه لتحليل معلومات النظام ب التفصيل واستخراج معلومات الملفات او ما يسمى ب (MetaData) والتي تعني وقت انشاء الملف او التعديل عليه .. الخ.

  3. أدوات مخصص ل تحليل (Windows Artifacts)

أشهر الأدوات: EnCase, autopsy, Wireshark and Eric Zimmerman Tools

يمكنكم ايضا تجربة SIFT Workstation وهو يعد توزيعه من توزيعات Linux مخصص للتحقيق الجنائي الرقمي وتجربة الأدوات فيه.

أدوات التحقق

من أهم الخطوات الذي يجب على أي محقق القيام بها للحفاظ على مصداقية القضية او التحقيق او مايسمى (Integrity)، عن طريق استخدام دالة (Hash)، للأدلة او الصور المأخذوه من الأقراص، وتكرار نفس الخطوة ل القرص الأصلي من ثم المقارنه بين النتيجيتن، في حال كانت النتائج متشابهة وقيمة Hash واحدة، هذا يعني ان عملية النسخ تمت بنجاح وان الصورة هي تمام صورة طبق الأصل من القرص الأصلي أو الملف الأصلي. في حال كانت النتائج مختلفه فهذا يعني وجود خلل أو نقص في عملية النسخ.
قد تتوفر خاصية Hashing في بعض الأدوات التي قد تستخدم لأغراض أخرى، لكن من أسهل الطرق ل تنفيذ دالة الHash لاي ملف او النسخ او الصور، استخدام امر Shasum او Md5sum

md5sum yourfile
shasum yourfile

مصطلحات مهمة:

Hash: دالة يتم تنفيذها على الملفات عن طريق ادخال ملف او قيمة معينه ثم اخراج قيمة اخرى لها طول وحجم ثابت، الهدف الأساسي منها التحقق من سلامة البيانات وعدم التغير فيها.

ملاحظة دالة Md5 تعد اسرع في التنفيذ ويمكن للمحقق استخدامها لهذا الغرض (السرعة في التنفيذ)، من المعروف ان هذه الدالة يمكن كسرها الان ولا ينصح بها الى انه بالنسبه للمحقق فلا ضرر من استخدامها لان الهدف من العملية هو التأكد من تطابق النسخ للأدلة التي تم جمعها ب الملف الأصلي.

خاتمة

كما ذكرت الغرض من هذه المقالة هو معرفه أسباب حاجتنا لهذه الأدوات وما هو الهدف من استخدامها، يمكنكم تجربه الأدوات التي تم ذكرها والتعلم عليها بالتدريب الكافي.


شكرا لقراءتك سارة الجابر

جميع الحقوق محفوظة