keyword analysis في التحقيق الجنائي الرقمي

تبدا اي عملية تحليل في التحقيق الجنائي الرقمي بالبحث عن مجموعة من الكلمات والجمل التي لها دلاله معينه في القضية، هذه الكلمات تختلف قضية الى اخرى. في العاده يكون هناك قائمه بالكلمات التي يتم البحث عنها داخل اجهزه المشتبه بهم مثل كلمات لها علاقه بالمخدرات اذا كانت قضية جنائيه لها علاقه بتجار المخدرات او كلمات لأسماء مجرمين اذا كانت قضية لها علاقه بعصبات اجراميه او عباره عن IP Address لقضية اختراق … الخ. هذه القوائم من الكلمات يتم بنائها وجمعها من قبل السلطات للبحث عنها وقد تكون كلمات عامه تستخدم لكل القضايا او كلمات  خاصه بقضية معينه. يحتاج المحقق الجنائي وسيلة يستطيع بها ان يبحث عن اي كلمه او جملة داخل كم هائل من المعلومات من مختلف المصادر التي تم جمعها. يجب ان يكون هناك وسيلة تستخرج الكلمات من انواع مختلفه من الملفات ليس النصيه فقط مثل ملفات الورد و pdf وقواعد البيانات وغيرها من الملفات الشائع استخدامها. متابعة قراءة “keyword analysis في التحقيق الجنائي الرقمي”

طريقة اضافة custom file signature لاداة photorec

في تدوينة سابقة وضحت مفهوم File carving وماذا يقصد بالرقم السحري magic number والذي يتم الاعتماد عليه للتفريق بين انواع الملفات.  اداة photorec من اشهر الادوات لعمل file carving حيث ان الاداة تدعم بشكل افتراضي اكثر من 320 نوع من الملفات. متابعة قراءة “طريقة اضافة custom file signature لاداة photorec”

محاضرة عملية عن forensics imaging

سجلت لكم فيديو عن Forensics imaging بشكل عملي وتم شرح  المفاهيم التاليه

● Live Collection
● Physical data acquisition (Full disk image)
● Logical data acquisition

تم تقسيم الفيديو الى جزئين

الجزء الاول والذي يضم المفاهيم بشكل نظري

الجزء الثاني والذي تم فيه استعراض الادوات واستخدامها بشكل عملي

شرح كيفية عمل Forensics Timeline Analysis للملفات الخاصة بالدليل

فيديو سابق نشرته على قناة مجتمع iSecur1ty عن  forensics timeline analysis واستعرضت طريقتين الطريقة الاولى باستخدام باش سكربت يقوم بجمع metadata لكل الملفات ونقوم بتصدير هذه المعلومات الى برنامج libreoffice calc الطريقة الثانيه استخدمت اداة autopsy  لبناء timeline.

ملاحظه : في الشرح قمت بتصدير ملف معلومات الملفات الى نفس الجهاز فقط لمجرد توضيح العمليه ولكن يجب عليك عدم انشاء او حفظ اي بيانات في الجهاز الدليل

استخدام piecewise hashing لاثبات سلامة البيانات

يواجه المحقق الجنائي الرقمي تحدي الحفاظ على سلامة البيانات من اي تعديلات قد تحصل اثناء التعامل مع الادلة. لذلك يتم توقيع الادلة بشهادة تشفير لاثبات سلامتها او استخدام Cryptographic hash function لتوليد هاش كدليل على سلامة البيانات من التعديل مثل MD5. ولكن في حالة كان هناك الكثير من المشاكل الفنيه في الهارد ديسك فان الادوات المتخصصه في جمع الادلة تتعامل مع هذا الخطا وتحاول تجنب فشل عملية جمع البيانات وتخطي الجزء الذي يسبب المشكله ومواصلة عملية الجمع (Forensics imaging). ولكن كل مرة يتم اخذ البيانات سوف يتم توليد هاش مختلف بسبب المشاكل الموجوده في الهارد ديسك ولا يمكن اثبات صحة وسلامة البيانات بسبب ان الاداة غير مستقرة في اجزاء معينة في الهارديسك لذلك تقوم بتوليد هاش مختلف على حسب الاخطاء التي تم تجاوزها او تم التعامل معها. متابعة قراءة “استخدام piecewise hashing لاثبات سلامة البيانات”

المساحة المخفيه في القرص الصلب Host Protected Area

يوجد هناك مساحة صغيرة مخفية تأتي مع القرص الصلب ( الهارد ديسك) بشكل افتراضي من قبل المصنع. هذه المساحة تسمى بـ Host Protected Area ايضا أحيانا يتم الإشارة أليها بـ Hidden Protected area. يتم اقتطاع هذه المساحة من المساحة الكلية للقرص بالتحديد نهاية القرص ولا يمكن للمستخدم الوصول الى هذه المساحة او استخدامها حيث انها غير مقروءة من قبل نظام التشغيل. هذه المساحة يتم استغلالها من قبل الشركات المنتجة للقرص او اللابتوب حيث يتم أضافه ادوات مفيده لصيانة القرص او لبيانات الاستعادة الخاص بنظام التشغيل او برامج تأتي بشكل افتراضي مع الجهاز، على سبيل المثال شركة Dell استخدمت المساحة لتخزين برنامج Dell MediaDirect في الجهاز، ايضا IBM و LG استخدموا المساحة لتخزين بعض برامج استعادة النظام. متابعة قراءة “المساحة المخفيه في القرص الصلب Host Protected Area”

اجهزة Write Blockers لمنع اتلاف بيانات الادلة

في تدوينات سابقة القيت نظره سريعة على جهاز Disk Jockey PRO وهو جهاز نسخ هارديسك الى هارديسك اخر وكذلك جهاز wipemasster وهو جهاز متخصص للحذف الآمن للبيانات. في هذه التدوينة سوف نتعرف على احد اجهزة منع الكتابة على الهارديسك للحفاظ على سلامة الدليل عند استخدامه او نسخة. جهاز Disk Jockey PRO يعتبر مانع كتابة أيضا, فعند استخدامه يقوم بمنع الكتابه على الهارديسك الدليل ايضا يمكن استخدامه كمانع كتابة فقط عن طريق توصيلة الى جهاز الكمبيوتر واستخدامه بشكل مباشر دون نسخ البيانات من هارديسك الى هارديسك اخر. هناك اجهزة متخصصه  في منع الكتابة اشهرها اجهزة  Tableau.

T35u Forensic USB 3.0 SATA/IDE Bridge

في الصورة احد اجهزة Tableau وتختلف الانواع بحسب نوع الهارديسك الذي يدعمه الجهاز. متابعة قراءة “اجهزة Write Blockers لمنع اتلاف بيانات الادلة”

تنزيل واعداد SIFT Workstation المقدمه من SANS للتحقيق الجنائي الرقمي

في هذا الفيديو استعرضت طريقة تنزيل واعداد توزيعة SIFT Workstation المتخصصة في التحقيق الجنائي الرقمي. التوزيعة من تطوير SANS تم بنائها على Ubuntu 16.04 . التوزيعة تحتوي تقريبا على كل الادوات المجانية والمفتوحة المصدر التي يحتاجها المحقق الجنائي الرقمي بالإضافة الى التعديلات  التي قام بها فريق التطوير لتسهيل التعامل مع صور الانظمه والادلة المستخرجة.

 

رابط التنزيل :

https://digital-forensics.sans.org/community/downloads

جهاز wipemasster لمسح البيانات كليا

عند استخدام عدد من اقراص التخزين ( الهارديسك ) في التحقيق الجنائي الرقمي يجب ان يتم مسحهم تماما ليتم استخدامهم لقضايا اخرى. وزارة العدل الامريكيه لديهم بروتوكول مسح ينص على مسح الاجهزه سبع مرات قبل استخدامها. جهاز Disk Jockey PRO يدعم هذا النوع من المسح كخيار يمكن استخدامه قبل عملية النسخ. ولكن احيانا يتم استخدام العشرات من اجهزه وسائل التخزين ومسحهم باستخدام Disk jockey pro غير عملي جدا. لذلك سوف نستعرض جهاز متخصص لمسح الاجهزه ويوفر المسح الامن حسب معايير وزارة الدفاع الامريكيه لمسح الاقراص الخاصة بالتحقيق الجنائي الرقمي.

اسم الجهاز WipeMASSte وتكمن قوة الجهاز في قدرته على مسح تسعة هارديسك في نفس الوقت. متابعة قراءة “جهاز wipemasster لمسح البيانات كليا”