أنشاء اتصال عكسي مشفر ومحدد الصلاحيات

في العاده عند الحاجه لإنشاء اتصال عكسي في اختبار الاختراق يتم ذلك عن طريق اداة nc ولكن هناك بعض العيوب في هذه الأداة

  • الاتصال غير مشفر ويمكن التنصت على البيانات المارة في الشبكة
  • لا يمكن تحديد صلاحيات من يستطيع الاتصال بالشيل ، في حاله كان هناك شيل عكسي اي شخص يمكن استغلاله غير مختبر الاختراق

متابعة قراءة “أنشاء اتصال عكسي مشفر ومحدد الصلاحيات”

ادوات مفيده في Web Browser Forensics

هناك العديد من الأدوات والطرق لاستخراج بيانات المتصفح وتحليلها يدويا ومعرفه سلوك المستخدم على الانترنت، يمكن ايضا القيام بذلك عن طريق بعض الأدوات التي تقوم بعمليه الجمع وعرض البيانات بشكل جميل لتسهيل العملية. foxtonforensics لديهم أداتين يمكن استخدامها لتنفيذ العمليه. متابعة قراءة “ادوات مفيده في Web Browser Forensics”

keyword analysis في التحقيق الجنائي الرقمي

تبدا اي عملية تحليل في التحقيق الجنائي الرقمي بالبحث عن مجموعة من الكلمات والجمل التي لها دلاله معينه في القضية، هذه الكلمات تختلف قضية الى اخرى. في العاده يكون هناك قائمه بالكلمات التي يتم البحث عنها داخل اجهزه المشتبه بهم مثل كلمات لها علاقه بالمخدرات اذا كانت قضية جنائيه لها علاقه بتجار المخدرات او كلمات لأسماء مجرمين اذا كانت قضية لها علاقه بعصبات اجراميه او عباره عن IP Address لقضية اختراق … الخ. هذه القوائم من الكلمات يتم بنائها وجمعها من قبل السلطات للبحث عنها وقد تكون كلمات عامه تستخدم لكل القضايا او كلمات  خاصه بقضية معينه. يحتاج المحقق الجنائي وسيلة يستطيع بها ان يبحث عن اي كلمه او جملة داخل كم هائل من المعلومات من مختلف المصادر التي تم جمعها. يجب ان يكون هناك وسيلة تستخرج الكلمات من انواع مختلفه من الملفات ليس النصيه فقط مثل ملفات الورد و pdf وقواعد البيانات وغيرها من الملفات الشائع استخدامها. متابعة قراءة “keyword analysis في التحقيق الجنائي الرقمي”

طريقة اضافة custom file signature لاداة photorec

في تدوينة سابقة وضحت مفهوم File carving وماذا يقصد بالرقم السحري magic number والذي يتم الاعتماد عليه للتفريق بين انواع الملفات.  اداة photorec من اشهر الادوات لعمل file carving حيث ان الاداة تدعم بشكل افتراضي اكثر من 320 نوع من الملفات. متابعة قراءة “طريقة اضافة custom file signature لاداة photorec”

نظره على Exploit kits

من الصعب تعريف Exploit kit بسهوله دون مقدمه طويله ولكن اذا حاولنا تبسيط المفهوم يمكننا القول بانها عباره عن مجموعه من التقنيات والادوات المتقدمه والتي تستخدم لتنفيذ هجمات منظمه. Exploit kit تقوم بعمليه البحث والاستغلال وكذلك الانتشار بشكل تلقائي للحصول على اكبر عدد من الاجهزه المصابه والتحكم فيها عن طريق نقطه مركزيه مثل سيرفر من خلال واجهة ويب. مثل هذه البرمجيات تباع وهناك شركات تقدم دعم فني وتطوير مستمر للهجمات و malware الذي تدعمها. متابعة قراءة “نظره على Exploit kits”

محاضرة عملية عن forensics imaging

سجلت لكم فيديو عن Forensics imaging بشكل عملي وتم شرح  المفاهيم التاليه

● Live Collection
● Physical data acquisition (Full disk image)
● Logical data acquisition

تم تقسيم الفيديو الى جزئين

الجزء الاول والذي يضم المفاهيم بشكل نظري

الجزء الثاني والذي تم فيه استعراض الادوات واستخدامها بشكل عملي

شرح كيفية عمل Forensics Timeline Analysis للملفات الخاصة بالدليل

فيديو سابق نشرته على قناة مجتمع iSecur1ty عن  forensics timeline analysis واستعرضت طريقتين الطريقة الاولى باستخدام باش سكربت يقوم بجمع metadata لكل الملفات ونقوم بتصدير هذه المعلومات الى برنامج libreoffice calc الطريقة الثانيه استخدمت اداة autopsy  لبناء timeline.

ملاحظه : في الشرح قمت بتصدير ملف معلومات الملفات الى نفس الجهاز فقط لمجرد توضيح العمليه ولكن يجب عليك عدم انشاء او حفظ اي بيانات في الجهاز الدليل

تحليل windows shell-bags ومعرفة ما تم فتحه للتحقيق الجنائي الرقمي

فيديو سابق كنت نشرته على مجتمع iSecur1ty، الفيديو عباره عن تحليل لمجموعه من المعلومات يتم جمعها من قبل windows explorer وتخزينها في الرجستري الخاص بالنظام , هذه المعلومات لها  قيمه مهمه في التحقيق الجنائي الرقمي لمعرفه الملفات التي فتحها المستخدم حتى وان تم حذفها من قبل المستخدم .

 

استخدام piecewise hashing لاثبات سلامة البيانات

يواجه المحقق الجنائي الرقمي تحدي الحفاظ على سلامة البيانات من اي تعديلات قد تحصل اثناء التعامل مع الادلة. لذلك يتم توقيع الادلة بشهادة تشفير لاثبات سلامتها او استخدام Cryptographic hash function لتوليد هاش كدليل على سلامة البيانات من التعديل مثل MD5. ولكن في حالة كان هناك الكثير من المشاكل الفنيه في الهارد ديسك فان الادوات المتخصصه في جمع الادلة تتعامل مع هذا الخطا وتحاول تجنب فشل عملية جمع البيانات وتخطي الجزء الذي يسبب المشكله ومواصلة عملية الجمع (Forensics imaging). ولكن كل مرة يتم اخذ البيانات سوف يتم توليد هاش مختلف بسبب المشاكل الموجوده في الهارد ديسك ولا يمكن اثبات صحة وسلامة البيانات بسبب ان الاداة غير مستقرة في اجزاء معينة في الهارديسك لذلك تقوم بتوليد هاش مختلف على حسب الاخطاء التي تم تجاوزها او تم التعامل معها. متابعة قراءة “استخدام piecewise hashing لاثبات سلامة البيانات”

Windows Recycle Bin Forensics

معلومات Recycle Bin تعتبر من اسهل windows artifact في التحقيق الجنائي الرقمي. عندما يتم حذف ملف في نظام وندوز، يتم نقله الى سلة المهملات قبل حذفه لكي يتمكن المستخدم من استرجاع الملف لاحقا اذا اراد ذلك او اذا كانت عملية المسح بالخطا. بكل سهولة يمكن معرفة الملفات المحذوفه سابقا بمجرد فتح سلة المهملات ولكن لا يمكن معرفة تاريخ ووقت حذف الملف الا عن طريق قراءة ملف الـ metadata. متابعة قراءة “Windows Recycle Bin Forensics”