الاستجابة الأوليه لحوادث الاختراق لسيرفرات Windows

الاستجابة لحوادث الاختراق تبدا بالتحقق ان هناك اختراق او لا . احيانا يظن مدير الشبكه ان هناك اختراق في الشبكة ويقوم باستدعاء المختصين للتحقق من الامر  واجراء الخطوات اللازمة والصحيحه للبدء في التحقيق واحتواء الحادثه . لكي نحدد ان هناك اختراق او لا يجب ان نقوم باستجابه اولية والتي هي عباره عن جمع بيانات بشكل مباشر من السيرفر وتحليلها . بما أن نحن لا نعرف اذا كان هناك اختراق او  لا,  يجب الانتباه اثناء جمع المعلومات كي لا نفسد الدليل اثناء تنفيذ الاوامر على السيرفر.

يجب على المحقق الجنائي ان يملك مجموعة اداوات موثوقة يستخدمها اثناء جمع المعلومات, هذه الادوات تكون موضوعة على DVD او فلاش USB يستخدمه اثناء الاستجابة للحوادث . هذه الادوات يجب ان يتم فحصها ومعرفة الاعتماديات التي تعتمد عليها مثل ماهي المكتبات التي تعتمد عليها والتغييرات التي تجريها على النظام . هذا مهم جدا لكي نستطيع التفريق بين التغيرات التي حصلت من قبل الهاكر او الهجوم ومن تلك التغيرات التي احدثتها الادوات ( ان امكن يجب اتباع طرق لا تؤدي الي تغييرات كبيره في النظام بقدر المستطاع) . يمكن فحص هذا عن طريقة عدة ادوات مثل filemon او procmon والتي تستطيع من خلالهم ان تعرف الملفات التي يتم انشائها او تغييرها   والمكتبات المستخدمه او الاتصالات .. الخ  .ايضا يجب ان تكون الأدوات موثوقة ومن اهم الادوات هو سطر اوامر لينكس(bash )  وسطر اوامر وندوز (cmd.exe) . لا يمكن ابدا الاعتماد على سطر الاوامر الموجود في النظام بسبب انه غير موثوق فيه ولا يمكن الاعتماد عليه في اعطاء نتائج فقد يمكن عند تشغيل cmd.exe يكون مستبدل بملف خبيث او تم التعديل عليه ليعطي نتائج غير صحيحه . متابعة قراءة “الاستجابة الأوليه لحوادث الاختراق لسيرفرات Windows”