قاعدة بيانات NSRL لمعلومات الملفات والبرامج المعروفة

قاعدة البيانات تحتوي على المعلومات التالية لكل ملف تمت اضافته الى القاعدة
"SHA-1","MD5","CRC32","FileName","FileSize","ProductCode","OpSystemCode","SpecialCode"
اكثر معلومه تهم المحقق الجنائي الرقمي وهي توقيع الملف (cryptographic hash) والذي يتم البحث من خلالة عن ملف او مجموعة من الملفات في القاعدة عن طريق أدوات متخصصة لذلك مثل hfind. يمكن أنشاء قاعدة بيانات خاصة بملفات الجهاز المشتبه ومقارنتها مع هذه القاعدة واستخراج فقط الملفات الغير موجوده في القاعدة للتحقيق فيها في حالة كان الغرض هو البحث عن الملفات الخاصة بالمستخدم او أي اشتباه بوجود ملفات خبيثه. قاعدة البيانات حاليا حجمها 3GB وعند فك الضغط تصبح 13GB.

 

صور أنظمه من قبل NIST للتمرن على التحقيق الجنائي الرقمي

NIST الامريكيه قامت بمشروع CFReDS وهو عباره عن توفير بيانات وصور انظمه تحاكي الواقع لهجمات الكترونية بحيث يستطيع المحقق الجنائي تنزيل هذه الصور والبيانات والتمرن عليها او استخدامها في برامج تاهيل وتدريب الموظفين في الشركات والموسسات. المشروع غطى عدد جيد من الهجمات واعطى اكثر من صوره لكل هجمه مع البيانات اللازمه.

يمكنك زيارة صفحه المشروع من الرابط التالي

https://www.cfreds.nist.gov/

ماهي ملفات الـ prefetch والفائده منها في Windows Forensics

مايكروسوفت قامت بعمل آلية تستطيع من خلالها تسجيل بعض المعلومات التي تخص الملفات التنفيذيه في النظام بحيث اذا تم طلبها (تشغيلها) مره اخرى سوف يتم معالجه الطلب بشكل اسرع . يتم تخزين المعلومات في ملفات تدعى  prefetch .

ملفات الـ prefetch تحتوي على معلومات قيمة للتحقيق الجنائي الرقمي لانظمه وندوز , الملفات تحتوي على معلومات تخص البرامج التي عملت في النظام مع عدد المرات التي تم فتح فيها برنامج معين . هذه المعلومات قد تستخدم كدليل لفتح برنامج وعدد المرات وكذلك تاريخ ووقت اخر فتح للبرنامج . في حالة تم حذف البرنامج من النظام , ملفات الـ prefetch تبقى في النظام ولا يتم مسحها وهذا يعتبر مفيد جدا في التحقيق الجنائي ومعرفة البرنامج التي تم تشغيلها . الملفات تحمل امتداد  .PF في نظام وندوز وتوجد داخل ملف Windows في قرص النظام . لكل برنامج منصب على النظام ملف prefetch منفصل لتخزين المعلومات  . على سبيل المثال اذا كان هناك لعبة منصبة على النظام واسم اللعبة ( الملف التنفيذي للعبة) MY-GAME سوف يكون اسم الملف في مجلد الـ prefetch اسم اللعبة متبوع ببعض الاحرف كهاش مميز لكل ملف سوف يكون شبية بالاسم التالي  MY-GAME.EXE-0FE8F3A9.pf .

المعلومات التي توفرها ملفات الـprefetch :

  • اسم الملف التنفيذي
  • عدد المرات التي تم فتح فيها البرنامج
  • تاريخ الانشاء
  • بعض المسارات الخاصه بالملف والمكتبات التي يعتمد عليها

هناك العديد من الادوات الجيده التي توفر لك تحليل لملفات الـ prefetch منها الادوات التاليه

اداة winprefetchview

ماهي معلومات Shimcache والفائدة منها في التحقيق الجنائي الرقمي

Shimcache تم اضافتها الى نظام وندوز ابتداء من وندوز اكس بي وكان الهدف منها تتبع معلومات الملفات التنفيذيه لغرض متابعه التوافقيه للملفات التنفيذيه لمختلف اصدارات وندوز . هذا يعني ان نظام وندوز يقوم بجمع معلومات عن الملفات التنفيذيه (البرامج ) في النظام , هذه المعلومات يطلق عليها Shimcache  .

معلومات الـ Shimcache تتضمن في التالي:

  • File Full Path
  • File Size
  • $Standard_Information (SI) Last Modified time
  • Shimcache Last Updated time
  • Process Execution Flag

هذه المعلومات لها قيمة فعلية للتحقيق الجنائي الرقمي والكثير من ادوات التحقيق الجنائي مثل Encase و FTK تحلل وتستخرج هذه المعلومات اثناء تحليل صورة النظام .من خلال هذه المعلومات نستطيع معرفة البرمجيات التي تم تشغيلها في النظام ومعلومات اخرى مثل الحجم ومسار الملف وغيرها .

في 2012 قام Andrew Davis بنشر White paper عنها ومنذ ذلك الحين اصبحت من الـartifacts المهمه للتحقيق الجنائي الرقمي في انظمه وندوز  .

يمكن للمحقق الجنائي استخدام اداة ShimCacheParser لاستخراج هذه المعلومات من الرجستري الخاص بالنظام . ايضا هناك plugin يمكن استخدامها مع مشروع volatility لتحليل الذاكرة .

هذا مثال عملي لاستخراج هذه المعلومات من موقع fireeye

https://www.fireeye.com/blog/threat-research/2015/10/shim_shady_live_inv.html

ايضا هذا المقال يشرح التفاصيل التقنيه

https://www.fireeye.com/blog/threat-research/2015/10/shim_shady_live_inv/shim-shady-part-2.html

 

مشروع CFTT لاختبار جودة أدوات التحقيق الجنائي الرقمي

يتطلب التحقيق الجنائي الرقمي دقة كبيرة اثناء التحقيق واستخراج المعلومات بسبب ان المعلومات سوف تقدم كدليل يستخدم جنائيا في المحكمه وعلى اساسة يتم اتخاذ الاحكام . المعهد الوطني للمعايير والتكنولوجيا الامريكي ( national institute of standards and technology ) كذلك المعهد الوطني للعدالة الامريكي ( national institute of justice ) قاموا بعمل مشروع يقوم باختبار الادوات التي يتم استخدامها في التحقيق الجنائي من قبل رجال الامن والمختصين الجنائيين او أي شركات خاصة . هذا المشروع يقوم بعمل اختبارات على الادوات التجارية والمجانيه المشهورة بحيث يتم اضافتها الى قائمه الادوات ذات الجوده والدقة في النتائج .اذا تم تقديم تقرير الى المحكمه باستخدام اداة غير معروفة او لم تعدى الاختبار لا يتم قبول  التقرير . متابعة قراءة “مشروع CFTT لاختبار جودة أدوات التحقيق الجنائي الرقمي”