ادوات واجهزة يجب ان يحصل عليها كل محقق جنائي رقمي

سوف اكتب عن بعض الأدوات والأجهزة التي يجب على كل محقق جنائي رقمي ان يحصل عليها.

Forensics Toolkit :

 يجب على المحقق ان الجنائي ان يكون لديه مجموعتة الخاصة من الادوات, هذه الادوات يجمعها المحقق على حسب القضايا التي عمل عليها حتى تكبر وتصبح مجموعه ثمينة من الادوات. هناك بعض الادوات الاساسية والمشهورة والتي اي محقق جنائي سوف يستخدمها وايضا هناك ادوات غير مشهوره وسوف تواجهك حالات تبحث عن ادوات لغرض معين لذلك قم بجمع الادوات في مكان واحد بشكل منضم لترجع اليهم لاحقا. اثناء اختيار اداة يجب المراعاه بانها اداة تقوم بإنتاج نتائج صحيحه قم باختبارها ايضا قم بقراءة المراجعات او اي شي يفيد لمعرفة جودة الاداة, انصحك بالاطلاع على التدوينة التاليه مشروع CFTT لاختبار جودة أدوات التحقيق الجنائي الرقمي.

بعض الأدوات الشهيرة :

  • SIFT هي توزيعة من SANS تحتوي على كل ما يحتاج المحقق الجنائي في مكان واحد يمكنك الاطلاع على المشروع على موقع SANS من هنا
  • X-Ways Forensics  بيئة خاصة بنظام وندوز للتحقيق الجنائي الرقمي

  • Sleuth Kit  مجموعة من الادوات متخصصة في تحليل نظام الملفات والقرص يوجد كتاب رائع جدا لكيفية استخدام هذه الادوات اسمه File System Forensic Analysis
  • FTK and EnCase هم ادوات غير مجانية متخصصة في التحقيق الجنائي الرقمي وتقوم انصحك بشدة الاطلاع عليهم ومعرفة مميزات كل اداة  والفروق بينهم.
  • ادوات وبرامج متفرقة يجمعها المحقق الجنائي اثناء مسيرته المهنية

Write Blockers :

هي عبارة عن اجهزة تستخدم اثناء اخذ صورة من  البيانات في الاقراص التي تم جمعها للتحليل هذه الأجهزة تضمن سلامة البيانات وعدم أتلاف الدليل انصحك وبشدة ان تطلع على كل انواع الـ Write blockers يمكنك زيارة موقع شركة tableau .

Forensics drive duplicators  :

هذه عبارة عن اجهزة تقوم بنسخ الاقراص من قرص الى قرص اخر مع ميزه فحص سلامه البيانات والتاكد من ان كل البيانات تم نسخها بسلامه , في الحقيقه هناك الكثير من الاجهزه لكل انواع الاقراص الصلبة يمكنك البحث عنهم وتختلف اسعارهم واحجامهم حسب الوظيفة وعدد الاقراص التي يدعمها الجهاز . اجهزة نسخ البيانات اسرع بكثير من عملية النسخ الاعتيادية وكذلك المقدره على نسخ اكثر من هارد ديسك في نفس الوقت. بعض الاجهزه توفر ميزه المسح الامن باستخدام معايير تم قبولها من قبل وزارة الدفاع الامريكيه والقضاء الامريكي , يتم استخدام ميزة المسح لمسح القرص والتاكد من خلوه من اي بيانات قبل نسخ الهارد ديسك الدليل للقرص الخاص بالمحقق.

cables and adapters :

يجب ان يكون هناك مجموعة من cables والتي تعمل على مجموعات مختلفه من الاقراص الصلبه والاجهزة وكذلك  Sim Card Readers و SD card readers وغيرها.

 camera for documentation :

اثناء التحقيق الجنائي وجمع الادلة يجب ان يتم تصوير كل جهاز قبل مساسة وتصوير مسرح الجريمه والالتزام بالبروتوكولات المستخدمه في التحقيق الجنائي لذلك وجود كاميرا مهم جدا لتوثيق كل شي.

computer tool kit :

التعامل مع الهارديسك واخراجه من الجهاز الدليل خاصة اجهزه اللابتوب يتطلب ادوات وخبره لا بأس بها لفتح الاجهزه. تحدي يواجه المحقق الجنائي وهو تعلم طريقة فتح كل موديلات اجهزه اللابتوب حيث انها تختلف من شركه الى اخرى مع تفاوت الصعوبه. لذلك يجب ان يملك المحقق الادوات المناسبة لفتح الجهاز.

Pre-prepared Documentation forms and a notebook :

في تدوينة سابقة “قبل البدء في التحقيق الجنائي الرقمي” ذكرت اهمية التوثيق وبعض الامور التي يجب تسجيلها والانتباه لها عند التحقيق كذلك يوجد هناك بعض checklists التي يجب ان تفحصها اثناء التحقيق هذه كلها يتم تسجيلها في الدفتر الخاص بك او الايباد الذي تسجل فيه كل شي . ايضا يجب ان تكون مستعد بالـ forms التي تخص الـ chain of custody او اي نوع اخر من الـ Forms على حسب الدولة او البروتوكول المستخدم .

انصحك أيضا ان تحصل على نسختك الخاصة من كتاب : (Blue Team Field Manual (RTFM 

كتاب: Incident Response & Computer Forensics

كتاب Incident Response & Computer Forensics اضفته الى قائمة الكتب المفضلة وهو كتاب رائع يحتوي على خلاصة خبرة طويلة في مجال الاستجابة والتحقيق في حوادث الاختراق. يوجد نسخه سابقة من الكتاب نشرت تقريبا قبل عشر سنوات من تاريخ نشر النسخه الثالثة. الكتاب بشكل عام كتاب رائع يحتوي على معلومات قوية عملية ونظرية, والجميل ان المفاهيم النظرية والتي تتناول مفهوم الاستجابة للحوادث كمفهوم عام تم وضعها بطريقه تُشعرك اهميه الاستجابه للحوادث كصوره عامه وليس تقنيه بحته . ليس من الضروره ان  يملك القارئ خبرة سابقة في incident response لقراءة الكتاب. المفاهيم بدأت من الصفر ابتداء من المقدمة التعريفية عن المجال حتى المعالجة من دمار الحادثة حيث وضع المؤلفين بداية جيده جدا في الجزء الاول من الكتاب عن المجال ولماذا يجب على كل شركة ان يكون لها فريق استجابة وايضا تم وضع بعض الـ case study والتي كانت حوادث اختراق حقيقة واجهت المؤلفين سابقا.

الجميل في الكتاب ان المؤلفين يضعون كل خبرتهم في الكتاب وتجد ان هناك رغبة في مشاركة المعلومات سواء بالنصائح القيمه او الادوات المستخدمه في التحليل. ايضا بالمصادر الخارجية في حالة اذا كان هناك مقال جيد يريدك المؤلف ان تتطلع عليه لزيادة الفائدة او لأهمية المقال. عدد كبير جدا من الادوات تم ذكرها والتي يمكنك استخدامها اثناء الاستجابة للحوادث البعض منها يشيد بها الكتاب وهي في الاغلب ادوات مشهورة من شركات متخصصه في المجال. الجانب العملي في الكتاب غني ولم يتم التركيز على مفاهيم نظرية فقط.

هناك جزء من الكتاب مخصص لـ Enterprise services مثل dhcp و dns..الخ والاستجابة لها وماهي المعلومات التي تحتويها ملفات الـ log لهذه الخدمات وكيف يمكن الاستفادة منها اثناء التحقيق في الحادثة . نظام وندوز كان لديه حصة الاسد في التحليل حيث تم تناول العديد من الـartefacts للنظام مع نظام الملفات واستراتيجيات التحليل مع ذكر الاداة المناسبة لكلartefact. ايضا نظام ماك تم تناولة في الكتاب بشكل بسيط. كذلك احد الاجزاء المهمه في الكتاب وهي investigating applications وهذا مهم جدا ليس للبرامج التي تناولها الكتاب مثل متصفح كروم وفايرفوكس وبعض البرامج المشهوره الاخرى ولكن ليعطي القارئ فكرة ان كل برنامج موجود في النظام من الممكن ان يكون هو artafact بحد ذاتها عن طريق دراسة الـ structure الذي يتم تخزين فيه المعلومات وطريقة استخراجها وتحليلها, على سبيل المثال متصفح فايرفوكس يحتوي على قواعد بيانات sqlite يمكن تحليلها وبهذه الطريقة اي برنامج يمكن التحقيق فيه . مهمتك كمحقق جنائي مرموق ان تقوم بدراسة البرمجيات المشهوره والمنتشره ومعرفة مايتم تخزينه وماهي المعلومات التي قد يمكن استخراجها وكتابة سكربت لهذا البرنامج . اذا اخذت مثال لبرنامج X وهو برنامج مشهور يستخدمه الملايين ولكن ليس له اي artafact معروفه او اي ادوات في هذه الحاله قم بتحليل البرنامج ودراسته المعلومات التي يخزنها. ومستقبلا اذا واجهك البرنامج في جهاز المشبته يمكنك استخراج المعلومات وبسهولة تامه خاصة اذا جهزت سكربت له مسبقا .

بشكل عام انصح وبشدة ان تقرأ الكتاب

رابط الكتاب على امازون