كتاب: A Practical Guide to Computer Forensics Investigations

 

بعد قراءتي للفصل التاسع عن Mobile Forensics والذي هو متاح بشكل مجاني شدتني المعلومة بانه من الممكن معرفة كل ابراج الاتصالات التابعة لاي شركه اتصالات في اي بلد وتحديد أماكنها بدقة على الخريطة وعرض معلومات كل برج، فقررت ان اشتري الكتاب. الفصل التاسع ناقش معلومات قيمه ومفيده عن الهواتف والمعلومات التي يمكن الحصول عليها من الهاتف وشريحة الاتصال بالإضافة الى اكواد والتي يمكن ان تفيد أثناء التحقيق. SIM Card Forensics كان جزء مهم من الفصل حيث وضح المعلومات التي تحتويها مع بعض الأرقام والمصطلحات الهامه. بالرغم ان الفصل لم يناقش مواضيع تقنية بحته تخص التحقيق في انظمه التشغيل الخاصة بالهواتف مثل الاندرويد و IOS ولكن كان فصل غني بالمعلومات عن الكثير من الأرقام والمعايير التي تخص شبكات الموبايل. أنصحك ان تقوم بتحميل الفصل التاسع من هنا.

قرأت بقية الفصول عند وصول الكتاب واستفدت الكثير من المعلومات الرائعة الغير تقنية عن المجال. يوجد هناك عدد كبير من الكتب عن التحقيق الجنائي الرقمي بمختلف مستوياته ولكن كلها تنقص المعلومات النظرية والجوانب القانونية. الكتاب سرد أسماء المنظمات العالمية والمصادر الغير تقنيه والتي تخص المجال بشكل مباشر. المواضيع التقنية البحته لا تشكل اي عائق في تعلمها فهناك الكثير من الكورسات ولكن ما يجب ان تبحث عنه هي تلك المعلومات التي تعطيك نظره عامه عن المجال من وجهة نظر جنائية. هناك فصل كامل لجزئية قبول الأدلة في المحكمة “Admissibility of Digital Evidence” بالرغم ان الفصل كان يخص القضاء الأمريكي ولكنه في غاية الأهمية. كان هناك عدد جيد من القصص والـ Case Study والتي هي ايضا جزء يجب على كل متخصص في المجال ان يركز عليه ويقرا الكثير منهم ليعرف الجوانب الغير تقنية والتي تخص المجال خاصة اذا كان يعمل مع جهات حكومية.

الكتاب ضعيف من الناحية التقنية على الاقل بالنسبة للمهتمين في المجال، كان هناك سرد لأسماء الأدوات ومقدمة عن المواضيع بشكل سريع ولم يتم ذكر التفاصيل والتي في الاغلب كلها اعرفها،  لذلك الكتاب من ناحية المعلومات التقنية لأشخاص متخصصين ومهتمين في المجال غير مفيد بشكل كبير. في حالة كنت لا تملك اي خبرة سابقة ولم تقرا وتتطلع من قبل عن المجال فالكتاب يعتبر افضل كتاب من الممكن ان تبدا به على الإطلاق.

الفصول المهمة : الفصل السادس، الفصل السابع، الفصل التاسع، الفصل الثاني عشر.

رابط الكتاب على امازون

كتاب : Blue Team Field Manual

لكي اكون دقيق, الكتاب ليس بكتاب يعلمك مهاره او يعرض معلومات معينه بل هو عباره عن دليل اوامر او بما يعرف بـ cheat sheet . في العادة عندما نقوم بالعمل على اي شي , محرك بحث جوجل يكون الدليل الاساسي عندما نريد تذكر امر يقوم بهمه معينه او نبحث عن كود بسيط , في هذا الكتاب Alan White و Ben Clark قاموا بجمع كل الاوامر لكل الادوات التي من المحتمل ان تحتاجها اثناء الاستجابة لحوادث الاختراق والتحقيق فيها وقاموا بسردها بالكامل بحيث يكون هذا الدليل معك خاصه ان بعض الاوامر تعتمد على الـ regular expressions او كود بايثون بسيط. لا داعي للبحث في جوجل عن ذلك الامر الذي لا تتذكره ما عليك الا ان تفتح الكتاب فكل شي تقريبا موجود .

الكتاب لا يشرح اي من الاوامر وانما يضع كل امر وما يقوم به فقط, افتراضاً نك تعرف الامر جيدا وانما تريد ان تتذكر كيف يتم كتابته. الكتاب ايضا مفيد في تعلم اوامر جديده قد لا تكون تعرفها من قبل, بالنسبة لي معظم الاوامر كنت اعرفها والغرض من الكتاب اساسا هو تذكيرك بالاوامر وجمعها في مكان واحد ومع هذا هناك اوامر جديده تعلمتها.

انصحك وبشده ان تتطلع على الكتاب قم بزيارة صفحه الكتاب على موقع امازون واطلع على الفهرس الخاص به .ايضا هناك كتاب مشابه لكن لـ Red Team Field Manual وهو لمختبري الاختراق .

صفحه الكتاب على امازون 

كتاب: Incident Response & Computer Forensics

كتاب Incident Response & Computer Forensics اضفته الى قائمة الكتب المفضلة وهو كتاب رائع يحتوي على خلاصة خبرة طويلة في مجال الاستجابة والتحقيق في حوادث الاختراق. يوجد نسخه سابقة من الكتاب نشرت تقريبا قبل عشر سنوات من تاريخ نشر النسخه الثالثة. الكتاب بشكل عام كتاب رائع يحتوي على معلومات قوية عملية ونظرية, والجميل ان المفاهيم النظرية والتي تتناول مفهوم الاستجابة للحوادث كمفهوم عام تم وضعها بطريقه تُشعرك اهميه الاستجابه للحوادث كصوره عامه وليس تقنيه بحته . ليس من الضروره ان  يملك القارئ خبرة سابقة في incident response لقراءة الكتاب. المفاهيم بدأت من الصفر ابتداء من المقدمة التعريفية عن المجال حتى المعالجة من دمار الحادثة حيث وضع المؤلفين بداية جيده جدا في الجزء الاول من الكتاب عن المجال ولماذا يجب على كل شركة ان يكون لها فريق استجابة وايضا تم وضع بعض الـ case study والتي كانت حوادث اختراق حقيقة واجهت المؤلفين سابقا.

الجميل في الكتاب ان المؤلفين يضعون كل خبرتهم في الكتاب وتجد ان هناك رغبة في مشاركة المعلومات سواء بالنصائح القيمه او الادوات المستخدمه في التحليل. ايضا بالمصادر الخارجية في حالة اذا كان هناك مقال جيد يريدك المؤلف ان تتطلع عليه لزيادة الفائدة او لأهمية المقال. عدد كبير جدا من الادوات تم ذكرها والتي يمكنك استخدامها اثناء الاستجابة للحوادث البعض منها يشيد بها الكتاب وهي في الاغلب ادوات مشهورة من شركات متخصصه في المجال. الجانب العملي في الكتاب غني ولم يتم التركيز على مفاهيم نظرية فقط.

هناك جزء من الكتاب مخصص لـ Enterprise services مثل dhcp و dns..الخ والاستجابة لها وماهي المعلومات التي تحتويها ملفات الـ log لهذه الخدمات وكيف يمكن الاستفادة منها اثناء التحقيق في الحادثة . نظام وندوز كان لديه حصة الاسد في التحليل حيث تم تناول العديد من الـartefacts للنظام مع نظام الملفات واستراتيجيات التحليل مع ذكر الاداة المناسبة لكلartefact. ايضا نظام ماك تم تناولة في الكتاب بشكل بسيط. كذلك احد الاجزاء المهمه في الكتاب وهي investigating applications وهذا مهم جدا ليس للبرامج التي تناولها الكتاب مثل متصفح كروم وفايرفوكس وبعض البرامج المشهوره الاخرى ولكن ليعطي القارئ فكرة ان كل برنامج موجود في النظام من الممكن ان يكون هو artafact بحد ذاتها عن طريق دراسة الـ structure الذي يتم تخزين فيه المعلومات وطريقة استخراجها وتحليلها, على سبيل المثال متصفح فايرفوكس يحتوي على قواعد بيانات sqlite يمكن تحليلها وبهذه الطريقة اي برنامج يمكن التحقيق فيه . مهمتك كمحقق جنائي مرموق ان تقوم بدراسة البرمجيات المشهوره والمنتشره ومعرفة مايتم تخزينه وماهي المعلومات التي قد يمكن استخراجها وكتابة سكربت لهذا البرنامج . اذا اخذت مثال لبرنامج X وهو برنامج مشهور يستخدمه الملايين ولكن ليس له اي artafact معروفه او اي ادوات في هذه الحاله قم بتحليل البرنامج ودراسته المعلومات التي يخزنها. ومستقبلا اذا واجهك البرنامج في جهاز المشبته يمكنك استخراج المعلومات وبسهولة تامه خاصة اذا جهزت سكربت له مسبقا .

بشكل عام انصح وبشدة ان تقرأ الكتاب

رابط الكتاب على امازون