هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

اكتب عن أمن المعلومات والتحقيق الجنائي الرقمي | مدونة شخصية

تحليل windows shell-bags

فيديو سابق كنت نشرته على مجتمع iSecur1ty، الفيديو عباره عن تحليل لمجموعه من المعلومات يتم جمعها من قبل windows explorer وتخزينها في الرجستري الخاص بالنظام , هذه المعلومات لها  قيمه مهمه في التحقيق الجنائي الرقمي لمعرفه الملفات التي فتحها المستخدم حتى وان تم حذفها من قبل المستخدم .

 

استخدام piecewise hashing لاثبات سلامة البيانات

يواجه المحقق الجنائي الرقمي تحدي الحفاظ على سلامة البيانات من اي تعديلات قد تحصل اثناء التعامل مع الادلة. لذلك يتم توقيع الادلة بشهادة تشفير لاثبات سلامتها او استخدام Cryptographic hash function لتوليد هاش كدليل على سلامة البيانات من التعديل مثل MD5. ولكن في حالة كان هناك الكثير من المشاكل الفنيه في الهارد ديسك فان الادوات المتخصصه في جمع الادلة تتعامل مع هذا الخطا وتحاول تجنب فشل عملية جمع البيانات وتخطي الجزء الذي يسبب المشكله ومواصلة عملية الجمع (Forensics imaging). ولكن كل مرة يتم اخذ البيانات سوف يتم توليد هاش مختلف بسبب المشاكل الموجوده في الهارد ديسك ولا يمكن اثبات صحة وسلامة البيانات بسبب ان الاداة غير مستقرة في اجزاء معينة في الهارديسك لذلك تقوم بتوليد هاش مختلف على حسب الاخطاء التي تم تجاوزها او تم التعامل معها.

اقرأ المزيد

تحليل الـ scheduled tasks في نظام Windows

في هذه التدوينة سوف نقوم بتحليل معلومات المهام المجدولة في انظمه وندوز ومعرفة ماهي قيمة هذه البيانات في التحقيق الجنائي الرقمي. مايكروسوفت اضافت ميزه جدولة المهام في انظمة وندوز والتي تسهل على مدراء الانظمه تشغيل الاوامر والسكربتات بوقت معين او بشكل دوري, مثلا كل يوم اربعاء الساعه العاشرة يقوم الجهاز بتحديث نفسه او اخذ Backup او ارسال تقرير معين… الخ. جدولة المهام يتم استغلالها من قبل الهاكرز في تشغيل الملفات الخبيثة والحصول على ميزات اضافية.

قبل ان نشرع في التحليل, دعونا نفهم كيف تعمل جدولة المهام. يمكنك انشاء مهمة في عن طريق سطر الاوامر باستخدام امر at او schtasks او عن طريق الوجهة الرسومية لاداة Taskschd.msc. عملية انشاء المهام المجدولة سهل جدا من خلال الواجهة الرسومية وذلك عن طريق بعض النقرات وتم الامر,  بالنسبة لانشاء مهام مجدولة من خلال سطر الاوامر ارجع الى موقع مايكروسوفت.

دليل استخدام امر at

https://support.microsoft.com/en-us/help/313565/how-to-use-the-at-command-to-schedule-tasks

دليل استخدام امر Schtasks

https://technet.microsoft.com/en-us/library/bb490996.aspx

في الاغلب يتم استخدام امر at من قبل المهاجمين. امر schtasks اكثر تعقيدا وتقدما من امر at حيث انه يملك ميزات اكثر. يمكنك الاطلاع عليها في موقع مايكروسوفت. اذا قمت بتشغيل الامر schtasks في سطر الاوامر سوف يتم عرض كل المهام المجدولة سواء تم انشائها باستخدام at او schtasks ولكن اذا قمت باستخدام امر at في سطر الاوامر سوف يتم عرض فقط المهام التي تم انشائها باستخدام امر at .

ماهي قيمة معلومات المهام المجدولة في التحقيق الجنائي الرقمي

بشكل عام التحقيق الجنائي الرقمي يبحث عن كل معلومه مفيده في التحليل والمهام المجدولة تدخل ضمن هذه المعلومات حيث ان لها القدرة على تشغيل الملفات التنفيذه او الامر الخاصة بنظام التشغيل لذلك قد يستخدمها الهاكرز في تشغيل برمجياتهم الخبيثه في اوقات معينة ايضا باستخدام جدولة المهام.

جدولة المهام توفر لك بعض المرونة مثل انه من الممكن  ان يتم تشغيل الملف من جهاز اخر على الشبكة ايضا عندما يتم تشغيل الملفات عن طريق جدولة المهام يتم تشغيلها بصلاحيات SYSTEM وليس صلاحيات local administrator  وهذه ميزه اضافية للمهاجم انه يحصل على صلاحيات اضافية تفيدها في privilege escalation وتشغيل سكربتات تقوم بمهام متعددة  مثل password dumpers.جانب اخر ومهم جدا وهو عند القيام بجدولة مهمه معينة تقوم بتشغيل cmd ثم تقوم الـ cmd بتشغيل ملف اخر خبيث سوف يتم تسجيل الـ logs بانه تم تشغيل cmd ولن يتم تسجيل اي log للملف الخبيث .

التحليل:

معلومات المهام المجدولة يتم تخزينها في ملفات تحمل الامتدام .job هذه المعلومات لا تخزن الى الابد في نظام التشغيل وانما بشكل مؤقت حسب نوع النظام مثلا في اصدارات وندوز قبل فيستا يتم حذفهم فورا عند تشغيل المهمه المجدولة بنجاح اما في الاصدارات بعد فيستا يتم تخزينهم اطول حتى يتم اغلاق او اعادة تشغيل Task Scheduler service. معلومات المهام يتم تخزينها في الرجستري في المسار التالي

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\Taskcache\Tasks

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\Taskcache\Treea

ملف الـ log للخدمة نفسها Task Scheduler service متى تم تشغيل او اطفاء الخدمه متواجد في الملف C:\Windows\System32\Tasks\SchedLgU.txt

للمهام التي تم انشائها باستخدام at يتم تخزينها معلوماتها في ملفات .job  في المسار C:\Windows\System32\Tasks يمكن تحليل هذه الملفات باستخدام اداة Job File Parser .

للمهام التي تم انشائها باستخدام امر Schtasks او اداة الوجهة الرسومية Taskschd.msc يتم تخزين المعلومات في ملفات xml في المسار التالي C:\Windows\System32\Tasks

هذه المعلومات يتم تحليلها ومعرفة كل المهام المجدولة وماتم تشغيله في النظام مسبقا او مجدولة ليتم تشغيله لاحقا. ايضا يمكن استخراج معلومات مفيده عن المهام المجدولة من خلال Event log لنظام وندوز .

ماهي ملفات الـ prefetch والفائده منها في Windows Forensics

مايكروسوفت قامت بعمل آلية تستطيع من خلالها تسجيل بعض المعلومات التي تخص الملفات التنفيذيه في النظام بحيث اذا تم طلبها (تشغيلها) مره اخرى سوف يتم معالجه الطلب بشكل اسرع . يتم تخزين المعلومات في ملفات تدعى  prefetch .

اقرأ المزيد

مشروع CFTT لاختبار جودة أدوات التحقيق الجنائي الرقمي

يتطلب التحقيق الجنائي الرقمي دقة كبيرة اثناء التحقيق واستخراج المعلومات بسبب ان المعلومات سوف تقدم كدليل يستخدم جنائيا في المحكمه وعلى اساسة يتم اتخاذ الاحكام . المعهد الوطني للمعايير والتكنولوجيا الامريكي ( national institute of standards and technology ) كذلك المعهد الوطني للعدالة الامريكي ( national institute of justice ) قاموا بعمل مشروع يقوم باختبار الادوات التي يتم استخدامها في التحقيق الجنائي من قبل رجال الامن والمختصين الجنائيين او أي شركات خاصة . هذا المشروع يقوم بعمل اختبارات على الادوات التجارية والمجانيه المشهورة بحيث يتم اضافتها الى قائمه الادوات ذات الجوده والدقة في النتائج .اذا تم تقديم تقرير الى المحكمه باستخدام اداة غير معروفة او لم تعدى الاختبار لا يتم قبول  التقرير .

اقرأ المزيد