محاضرة عملية عن forensics imaging

سجلت لكم فيديو عن Forensics imaging بشكل عملي وتم شرح  المفاهيم التاليه

● Live Collection
● Physical data acquisition (Full disk image)
● Logical data acquisition

تم تقسيم الفيديو الى جزئين

الجزء الاول والذي يضم المفاهيم بشكل نظري

الجزء الثاني والذي تم فيه استعراض الادوات واستخدامها بشكل عملي

استخدام piecewise hashing لاثبات سلامة البيانات

يواجه المحقق الجنائي الرقمي تحدي الحفاظ على سلامة البيانات من اي تعديلات قد تحصل اثناء التعامل مع الادلة. لذلك يتم توقيع الادلة بشهادة تشفير لاثبات سلامتها او استخدام Cryptographic hash function لتوليد هاش كدليل على سلامة البيانات من التعديل مثل MD5. ولكن في حالة كان هناك الكثير من المشاكل الفنيه في الهارد ديسك فان الادوات المتخصصه في جمع الادلة تتعامل مع هذا الخطا وتحاول تجنب فشل عملية جمع البيانات وتخطي الجزء الذي يسبب المشكله ومواصلة عملية الجمع (Forensics imaging). ولكن كل مرة يتم اخذ البيانات سوف يتم توليد هاش مختلف بسبب المشاكل الموجوده في الهارد ديسك ولا يمكن اثبات صحة وسلامة البيانات بسبب ان الاداة غير مستقرة في اجزاء معينة في الهارديسك لذلك تقوم بتوليد هاش مختلف على حسب الاخطاء التي تم تجاوزها او تم التعامل معها. متابعة قراءة “استخدام piecewise hashing لاثبات سلامة البيانات”

المساحة المخفيه في القرص الصلب Host Protected Area

يوجد هناك مساحة صغيرة مخفية تأتي مع القرص الصلب ( الهارد ديسك) بشكل افتراضي من قبل المصنع. هذه المساحة تسمى بـ Host Protected Area ايضا أحيانا يتم الإشارة أليها بـ Hidden Protected area. يتم اقتطاع هذه المساحة من المساحة الكلية للقرص بالتحديد نهاية القرص ولا يمكن للمستخدم الوصول الى هذه المساحة او استخدامها حيث انها غير مقروءة من قبل نظام التشغيل. هذه المساحة يتم استغلالها من قبل الشركات المنتجة للقرص او اللابتوب حيث يتم أضافه ادوات مفيده لصيانة القرص او لبيانات الاستعادة الخاص بنظام التشغيل او برامج تأتي بشكل افتراضي مع الجهاز، على سبيل المثال شركة Dell استخدمت المساحة لتخزين برنامج Dell MediaDirect في الجهاز، ايضا IBM و LG استخدموا المساحة لتخزين بعض برامج استعادة النظام. متابعة قراءة “المساحة المخفيه في القرص الصلب Host Protected Area”

Forensics Live Analysis باستخدام اداة Redline لانظمه وندوز

في اي عملية تحقيق جنائي لحادثة اختراق جمع المعلومات مهمة رئيسيه. جمع المعلومات تتم على مستوى الشبكه او على مستوى الجهاز (Host). كل المعلومات مهمه للغاية حتى تلك المعلومات المؤقته الموجوده في ذاكرة النظام.

في العادة يتم اخذ صوره كاملة من الهارد ديسك للتحليل ولكن احيانا يتطلب اخذ المعلومات بشكل مباشر دون اطفاء النظام هذه العملية تسمى بـ Live analysis او Live response . تطرقت للموضوع سابقا بفيديو على مجتمع iSecur1ty.

جانب مهم يجب مراعاته هو عدم تغيير اي شي في النظام المراد التحقيق فيه, لذلك يجب استخدام اداوات مخصصه لعملية الجمع. الكثير يستخدم سكربتات وادوات بسيطه قام ببرمجتها او عن طريق استخدام الاوامر الموجوده في النظام بشكل افتراضي. قليله جدا هي الادوات التي توفر لك بيئه جيده لجمع المعلومات دون المساس بالنظام والاعتماد بشكل كلي على مكتبات مضمنه مع السكربتات محاولة لعدم الاعتماد على مكتبات في النظام وتشغيلها واحداث التغييرات.

اداة Redline توفر مجموعه من السكربات التي تقوم بانشائها واستخدامها اثناء الاستجابة للحوادث . السكربتات تقوم بجمع المعلومات بشكل تلقائي. الاداة ايضا تستطيع  اخذ صوره من ذاكرة النظام وهذا جزء أساسي من عملية Live response حيث ان الذاكرة تحتوي على معلومات مهمه للغاية.

طريقة عمل الاداة وهي اولا تقوم بتنصيب الاداة على جهازك الذي تستخدمه للتحقيق الجنائي الرقمي. لا تقوم ابدا بتنصيب الاداة على الجهاز المراد التحقيق فيه وألا سوف تقوم بإتلاف الدليل , عند فتح الادة سوف يكون هناك خياران, الاول وهو انشاء السكربات المطلوبه لجمع البيانات, الثاني تحليل بيانات تم جمعها.

سوف نقوم باختيار الخيار الاول, الاداة سوف تتيح لك خيار تعديل السكربتات التي سوف تولدها. هناك تقريبا 11 تصنيف من المعلومات التي سوف تجمع واكثر 60 مصدر سوف تجمع منه المعلومات .

كما هو واضح في الصوره يمكن اختيار ما تريد جمعه, بعد عملية الاختيار قم بتحديد مكان حفظ السكربات.  من الافضل وضعهم في قرص USB واستخدام القرص اثناء جمع المعلومات من الجهاز المراد التحقيق فيه.

سوف تجد الملف RunRedlineAudit.bat والذي سوف يقوم ببدء عملية الجمع. بعد انقضاء الوقت المطلوب للجمع والذي يختلف على حسب البيانات التي اخترتها للجمع. قم بنقل الملف الذي سوف يتم انشائه في نفس مسار السكربتات والذي يحتوي على البيانات لفتحها باستخدام الاداه نفسها وتحليل البيانات .

الاداة رائعة في تحليل النتائج وعرض البيانات بشكل رسومي, ويمكن ايضا تحليل الذاكرة واستخراج الكثير من البيانات المفيده . هذا رابط لدليل المستخدم الخاص بالاداة .

لقد قمت مسبقا بتسجيل فيديوهات عن الاداة مقسمة لجزئين, اتمنى ان تكون مفيده.