هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

Mostly about DFIR and some other stuffs

keyword analysis في التحقيق الجنائي الرقمي

تبدا اي عملية تحليل في التحقيق الجنائي الرقمي بالبحث عن مجموعة من الكلمات والجمل التي لها دلاله معينه في القضية، هذه الكلمات تختلف قضية الى اخرى. في العاده يكون هناك قائمه بالكلمات التي يتم البحث عنها داخل اجهزه المشتبه بهم مثل كلمات لها علاقه بالمخدرات اذا كانت قضية جنائيه لها علاقه بتجار المخدرات او كلمات لأسماء مجرمين اذا كانت قضية لها علاقه بعصبات اجراميه او عباره عن IP Address لقضية اختراق … الخ. هذه القوائم من الكلمات يتم بنائها وجمعها من قبل السلطات للبحث عنها وقد تكون كلمات عامه تستخدم لكل القضايا او كلمات  خاصه بقضية معينه. يحتاج المحقق الجنائي وسيلة يستطيع بها ان يبحث عن اي كلمه او جملة داخل كم هائل من المعلومات من مختلف المصادر التي تم جمعها. يجب ان يكون هناك وسيلة تستخرج الكلمات من انواع مختلفه من الملفات ليس النصيه فقط مثل ملفات الورد و pdf وقواعد البيانات وغيرها من الملفات الشائع استخدامها.

بعض التحديات  التي تواجه keyword analysis

  • بناء قوائم بالكلمات
  • البحث في كم هائل من البيانات
  • استخراج النصوص من انواع مختلفه من الملفات

بالنسبة لبناء قوائم بالكلمات قد لا تكون مهمه صعبه يمكن الاستعانه Regular expression للبحث عن انماط معينه من الكلمات مثل Email, IP Address, URL, log files وغيرها. بالنسبة للكلمات التي لها علاقه بقضية معينة فيتم بناء هذه القائمه من قبل المحققين اثناء التحقيق والتي تخص اسماء اشخاص عناوين وغيرها من الامور.

البحث في كم هائل من البيانات هذه هي المشكله الكبرى في الامر حيث ان حجم البيانات يتزايد كل بشكل كبير جدا، هناك بعض القضايا التي يتم جمع كم ضخم من البيانات يصل الى الالاف من المستندات والملفات الالكترونية. في هذه الحاله يتم الاستعانه بتقنيات الارشفة Indexing techniques. احد اشهر هذه التقنيات هي Apache solr والذي يوفر تقنيه عاليه جدا في البحث والارشفة لكم ضخم من البيانات. هذه التقنيه مستخدمه من قبل محركات البحث والشركات الكبيره مثل Netflix و Ebay وغيرها من الشركات. لحسن الحظ اداة التحقيق الجنائي الرقمي Autopsy تستخدم نفس التقنيه لارشفه النص المستخرج من الملفات وارشفتها في قاعدة بيانات القضية للبحث بداخلها لاحقا. يمكن ايضا الاستعانه Distributed systems لتسريع المهمه.

استخراج النصوص من انواع مختلفه من الملفات تطور بشكل كبير جدا وملحوظ في Forensics suites مثل FTK , Encase , Autopsy حيث من الممكن ان يتم استخراج النص من اي ملف تقريبا مثل pdf, docx, SQLite والعديد من الملفات والتي في الاغلب هي المستخدمه من قبل 99% من المستخدمين. x-ways forensics suite  تقدم تقنيات قويه في البحث واستخراج النصوص.

سوف نستعرض طريقة تنفيذ keyword analysis في Autopsy:

في البداية يجب الحصول على Disk image للجهاز، ثم انشاء قضية جديده في Autopsy. عند اضافه الصوره في data source سوف يتم اظهار كل Modules الموجوده في Autopsy ومنها keyword Module والتي سوف نستخدمها للبحث عن الكلمات.

بشكل افتراضي اداة Autopsy تدعم البحث عن IP Address , Emails, Phone numbers , URL . ارقام الهاتف تبحث عن ارقام الولايات المتحده لذلك يجب اضافه RegEx للدوله التي تريد وذلك عن طريق الضغط على Global Settings وادخال قوائم الكلمات والانماط الذي تريد البحث عنها

 

يمكن تفعيل استخراج النصوص للغة العربيه عن طريق الضغط على string extraction وتفعيل اللغه العربيه. يمكن اضافة Regular Expressions ايضا

بعد اضافه كل الكلمات و RegEx يمكن البدء في تحليل وارشفة البيانات، قد يستغرق الامر الكثير من الوقت يصل الى 20 ساعه على حسب حجم البيانات وعدد صور الاقراص المضافة للقضية. يمكن في اي لحظه اضافه كلمات جديده وذلك عن طريق الضغط على data source واختيار Run Module وفتح قائمه Modules واضافه كلمات او تعابير جديده.

 

سوف تجد نتيجة البحث عن الكلمات في الاداة في خانة keywords hits والتي تم جمعها من مختلف المصادر والملفات.

لا يوجد تعليقات على هذه المقالة

اضف تعليق