السلام عليكم و رحمة الله و بركاته
معكم أخوكم أسامة ريان
التحقيق الجنائي الرقمي عبارة عن فحص جهاز الجاني أو المشتبه به من قبل المحققين ، فمثلا إذا تمت جريمة عن طريق الحاسوب أو الأجهزة الذكية المختلفة ، فيأتي المحقق المتخصص ليفحص ما به لكن بإستخدام أدوات خاصة و دراسات سابقة و كل ما هو ممكن و الهدف منها لجمع الأدلة المطلوبة لكي تعطى للنيابة أثناء عملية التحقيق .
عملية التحقيق الجنائي الرقمي ليست مقتصرة فقط على اﻷجهزة الإلكترونية أو أدلة ملموسة
( Hardware )
بل من الممكن أن تكون أيضا عملية تتبع لبعض اﻷدلة و الأمور التي تم إجرائها أثناء عملية الإختراق أو بعد عملية الإختراق من خلال تحليل ملفات النظام و تتبع أثره و الحركات التي قام بها أو يقوم بها في نفس اللحظة و هذه الأمور جميعها تفيد في عملية التحقيق الجنائي الرقمي ليس فقط لمعرفة الجاني بل لمعرفة نقاط ضعف الموقع لديك من خلال تحليل الحركات التي قام بها المخترق أثناء عملية الإختراق .
في حال وجود أي إشعار يدل على وجود عمليات إختراق سواء من خلال مراقبتك الدورية لملفات أو من خلال متابعة الإشعارات الناتجة عن الجدار الناري الموجود على السيرفر مثل چسف فيريوالل وسوف يحاول البرنامج تحديد الأيبيهات التي حاولت التخمين و الدخول على السيرفر من جهة و أيضا سوف نحاول نحن كمحقيقين جنائين أن نلقي نظرة على ملفات إچچيسس لوع لكي نحلل الحركات التي قام بها المخترق على تطبيق الويب الخاص بنا و سوف نحاول معرفة الطرق التي حاول المخترق للدخول للموقع من خلالها .
فبمجرد طلب ملف Access Log الخاصة بخادم الويب Apache و معرفة ما الحركات التي ممكن أن يكون المخترق قد قام بها و معرفة ما هي الأمور الضارة التي حاول أن يفعلها ...
دعونا نقرأ السطر ما قبل الأخير لكي نشاهد أن الأيبي “127.0.0.1” قام بتاريخ “16/May/2013:12:49:59″ طلب الملف “cat.php” كما قام أيضا بإرسال الطلب “<p>i’am trying to xss this site</p>” فنستنتج من هذا الطلب بأنه يحاول أن يحقن أكواد html لمحاولة إستغلال و إكتشاف ثغرة xss موجودة بالتطبيق و على ذلك يتم حجب هذا الأيبي لإنه يحاول أن يخترق هذا الموقع و كما لاحظنا من خلال حقن أكواد html لمحاولة إكتشاف ثغرة xss .
كان هذا الجزء الأول حيث تم رصد محاولة لإختراق الموقع بتاريخ و الأيبي الخاص بالهاكر تأتي الآن دور جهات حكومية قامت بإقتحام منزل هاكر و إعتقاله و أخذ جميع الأدوات و الأمور التقنية الموجودة في منزل الهاكر ... بالتأكيد لم يأخذوها فقط لكي يثبتوا التهمة عليه ! بل قاموا بمصادرة و حجز جميع الأدوات لكي يقوموا بتحليلها و إستخراج أدلة قاطعة بأن العملية تمت على هذا الجهاز .
نأتي إلى الجانب الآخر و هو إستخراج أدلة قاطعة من جهاز الهاكر … و يأتي دور المحقق الجنائي الرقمي و إسطوانة FTK .
ما هي ftk ؟
الـ FTK يعتبر أكبر و أقوى إسطوانة تستعملها الشرطة التي تستخدم فى التحقيقات الرقمية فمثلا بمجرد حصول المحقق العادي على الجهاز المستخدم فى الجريمة الالكترونية يستدعي المحقق الجنائي الرقمي فيحصل على الجهاز و هنا يأتي دورة في الفحص ... فهذه الحزمة تفحص القرص الصلب فحص كامل بحثا عن معلومات مختلفة فمثلا نجد فولدرات مختفية و تم مسحها فتظهرها و يمكن لهذه الحزمة مساعدته فى رؤية كافة الرسائل الإلكترونية التي يستخدمها الجاني في تهديد أو ما شابه أي يقرأ البريد الإكتروني بالإميلات المحذوفة كما تمكنه من كسر تشفير أي فولدر أو ملف مغلق بكلمة سر ... لكن كل هذا مخصص فقط للمحقق الجنائي الرقمي ...
هذه الإسطوانة من أهم الإسطوانات التي تلعب دور هام في التحقيق الجنائي الرقمي ...
1 - أولا يستخدم FTK imager و هذا يلعب دورا هاما حيث يأخذ نسخة من الهارد ديسك و الفلاشات من أجل الفحص و الحفاظ على البيانات .
2 - إستخدام password recovery toolkit و يلعب أيضا دور هام في كسر حماية الملفات و الفولدرات المحمية بكلمة السر .
3 - Registry viewer و هذه الأداة تلعب دور هام أيضا حيث أنها تمكنك من مشاهدة ملفات رجستري . إضافة إلى ذلك البرنامج يمكنك من الكشف عن الرجستري الخفية في الجهاز ...
4 - distributed denial attack : هذا البرنامج يقوم بكسر حماية الباسوردات لكن بإستخدام أكثر من معالج و ذلك بهدف تسريع عملية الكشف عن الباسورد ...
من البرامج الحديثة التي يستخدمها هي برنامج Executed Programs List هذا البرنامج ليس من ضمن حزمة FTK و لكنها مفيدة و يمكن لأي شخص تحميلها حيث أنها تعرف وقت و تاريخ تشغيل أي برنامج في أي حاسوب حتى إذا تم حذفه بعد الإستعمال . على سبيل المثال إذا أستخدم برنامج للإختراق فبعد أن يعلم أنه قد أنكشف و الشرطة تحاول القبض عليه فبطبيعة الحال سيمسحه فورا بل و يحاول فرمتة الحاسوب بالكامل لكن هذا البرنامج يحاول تحديد جميع البرامج التي أستعملت تجد هذا البرنامج هنا
ليست هناك تعليقات:
إرسال تعليق