هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

اكتب عن أمن المعلومات والتحقيق الجنائي الرقمي | مدونة شخصية

تعلم كيف يمكن تذكر اي عدد من الأرقام باستخدام نظام Mnemonic major system

الجميع يحتاج ذاكرة قوية لتذكر المعلومات التي نتعلمها كل يوم أثناء الدراسة اوالعمل, لكي تستطيع ان تحفظ المعلومات وتسترجعها بسهولة يجب عليك أن تستخدم طريقة خاصة لحفظها لكي تسهل عليك عملية الاسترجاع. التكرار هي الوسيلة المعروفة وكلنها احيانا لا تعمل بكفاءة في حالة كانت المعلومات كثيرة او مجرده.

اقرأ المزيد

كيف يمكنك تذكر اي شي باستخدام نظام Mnemonic Peg System

كم مره تمنيت أن تملك ذاكرة خارقة تمكنك من تذكر الأشياء بسهوله, في الحقيقة هذا امر ليس بالمستحيل في حالة استطعت اختيار نظام تذكر مناسب لتذكر المعلومات. اذا قد كنت رأيت احد أبطال الذاكرة على اليوتيوب وتساءلت كيف يمكن تذكر عدد كبير من الأرقام في دقيقه واحده.

اقرأ المزيد

نظام الملفات SquashFS وكيف يمكن الاستفادة منه في التحقيق الجنائي الرقمي

في هذه التدوينة سوف نتطرق لثلاث نقاط رئيسية وهي

  • ماهو نظام الملفات SquashFS
  • طريقة الاستخدام
  • كيف يمكن الاستفادة منه في التحقيق الجنائي الرقمي

ملاحظة : سوف يتم استخدام مصطلح صوره ويقصد بها صوره كامله عن الهارد ديسك للدليل ولا يقصد صوره عادية مثل صوره شخصية او صوره منظر طبيعي

ماهو نظام الملفات SquashFS:

هو عباره عن نظام ملفات مفتوح المصدر يُستخدم لأرشفة الملفات حيث يتم وضعها في ملف واحد يمكن عمل له mount على أي نظام ويكون للقراءة  فقط. SquashFS يستخدم بشكل واسع مع انويه الأنظمة مثل embedded systems حيث انه يحافظ على معلومات الملفات (inodes) الخاصة بالنظام. أيضا يستخدم مع الـ live cd لكثير من انظمه لينكس والأجهزة الإلكترونية كنظام ملفات. من اكثر المميزات التي يوفرها النظام وهي القدرة العالية على الضغط وتقليل المساحة بالإضافة اكتشاف الملفات المكررة وتجنبها أثناء الضغط.

طريقة الاستخدام :

سوف نستخدم اداة mksquashfs للتعامل مع النظام وهي أداة موجوده بشكل افتراضي في معظم توزيعات لينكس, في حالة لم تكن الأداة موجوده قم بتنزيلها عن طريق الأمر

sudo apt-get install squashfs-tools

لبناء نظام ملفات استخدام mksquashfs بالشكل التالي

 mksquashfs source1 source2 ... destination [options]

مثال من جهازي


الملف AMS يحتوي على بعض الملفات وتمت ارشفه الملف الى نصف الحجم مع اكتشاف 14 ملف مكرر , في حالة لا تريد حذف الملفات المكررة استخدام الخيار -no-duplicates ولن تقوم الأداة بحذف أي ملفات مكررة.

لاستخراج الملفات من ملف مضغوط مسبقا, استخدام أداة unsquashfs بالشكل التالي

unsquashfs [options] target [files/directories to extract]

بعد الانتهاء من أنشاء نظام الملفات ببساطة يمكن عمل له mount ويكون للقراءة فقط باستخدام الأمر التالي

mount -o loop file.squash /mnt

للمزيد من التفاصيل عن النظام مثل كيف يمكن أضافه ملفات بعد عملية الأرشفة وكيف يمكن استخدامه مع نواة نظام لينكس وبعض الأمور الاخرى  قم بزيارة الصفحة التالية

http://www.tldp.org/HOWTO/SquashFS-HOWTO/index.html

كيف يمكن الاستفادة منه في التحقيق الجنائي الرقمي:

في التحقيق الجنائي الرقمي عند اخذ صوره من الدليل, هناك بعض التحديات التي تواجهه المحقق الجنائي مثل الحفاظ على سلامة البيانات من التغيير أثناء اخذ الصورة او عمل التحليل,  لكي لا يقع في الخطأ والحصول على نتائج لملفات تغيرت لسبب ما. التحدي الثاني وهي المساحة الكبيرة للصوره المأخوذة من الدليل, من الصعب جدا اخذ الصورة الى جهاز المحقق ليقوم بعملة من تحليل وتنقيب بسبب الحجم الكبير.

Bruce Nikkel’s قام بعمل سكربت يقوم بعمل صوره من جهاز الدليل الى نظام ملفات squashFS بشكل مباشر بالاستعانه باداة dc3dd, قم بتنزيل السكربت من هنا
تخدم الأمر التالي لاخذ صوره من جهاز الدليل الى squashFS

sfsimage -i /dev/sde kingston.sfs

حل ربما اجده انا شخصيا الأفضل, بدلا عن اخذ صوره من نوع squashFS من جهاز الدليل الأفضل ان نقوم بأخذ صوره عاديه dd على سبيل المثال ومن ثم استخدام اداة mksquashfs لعمل نسخه squashFS منها بمساحة صغيره جدا ونظام ملفات قابل للقراءة فقط, الصوره الناتجه هي عباره عن ملف squashFS يحتوي على الملفات الموجودة داخل الصورة من نوع dd ولن يتم اخذ المساحه بالكامل , على سبيل المثال اذا كان هناك صوره بحجم 1GB وداخل الصورة  فقط ملف واحد بحجم 1MB سوف ينتج ملف squashFS حجمه فقط 1MB.هذا مفيد لتحليل المعلومات داخل صورة النظام والسماح لأدوات التحقيق الجنائي الرقمي المختلفة الدخول الى الملفات في وضع القراءة فقط وتحليلها.

يمكن استخدامه ونقله الى جهاز المحقق للتحليل دون تكلف عناء الحجم الكبير للصوره الأصلية.  يمكن عمل هذا عن طريق كتابة الأمر التالي

mksquashfs image.dd image.squashFS

يمكن الآن عمل mount للصوره الجديدة باستخدام الأمر التالي

mount -t squashfs image.squashFS /mnt