هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

Mostly about DFIR and some other stuffs

Windows 10 Forensics images

قمت بعمل disk image لنظام Windows 10 ايضا الذاكرة (Memory image) حتى يتم استخدامهم كصور لتجربه الادوات في التحقيق الجنائي الرقمي. حرصت على ان اقوم ببعض النشاطات في النظام مثل تصفح الانترنت، أضافه بعض المستخدمين، مشاركه ملفات على الشبكه وغيرها من الامور حتى يتم تغطيه تقريبا كل windows forensics artifacts

اقرأ المزيد

كتاب Practical Forensics Imaging

التحقيق الجنائي الرقمي يمر بثلاث مراحل رئيسيه جمع الادلة ، التحليل ، كتابة التقرير. كل مرحلة منهم تحتاج مجموعة من المهارات المختلفة. مرحلة جمع الادلة تسمى بعملية Imaging، هذه المرحلة تم تفصيلها وشرحها في بشكل عملي في كتاب Practical Forensics Imaging. مؤلف الكتاب Bruce Nikkel  رئيس قسم التحقيق الجنائي الرقمي و Cybercrime Intelligence في UBS AG. دار النشر للكتاب No Strach Press المعروفة بكتبها العالية الجودة في المعلومة والاخراج والتي اخرجت معظم الكتب القوية في امن المعلومات.

اقرأ المزيد

keyword analysis في التحقيق الجنائي الرقمي

تبدا اي عملية تحليل في التحقيق الجنائي الرقمي بالبحث عن مجموعة من الكلمات والجمل التي لها دلاله معينه في القضية، هذه الكلمات تختلف قضية الى اخرى. في العاده يكون هناك قائمه بالكلمات التي يتم البحث عنها داخل اجهزه المشتبه بهم مثل كلمات لها علاقه بالمخدرات اذا كانت قضية جنائيه لها علاقه بتجار المخدرات او كلمات لأسماء مجرمين

اقرأ المزيد

محاضرة التحقيق الجنائي الرقمي الجزء الاول

سجلت لكم محاضرة عملية عن Forensics imaging، الجزء الاول يحتوي على الجزء النظري من المحاضرة والجزء الثاني يحتوي على الجزء العملي من المحاضرة.

شرح كيفية عمل Forensics Timeline Analysis للملفات الخاصة بالدليل

فيديو سابق نشرته على قناة مجتمع iSecur1ty عن  forensics timeline analysis واستعرضت طريقتين الطريقة الاولى باستخدام باش سكربت يقوم بجمع metadata لكل الملفات ونقوم بتصدير هذه المعلومات الى برنامج libreoffice calc الطريقة الثانيه استخدمت اداة autopsy  لبناء timeline.

ملاحظه : في الشرح قمت بتصدير ملف معلومات الملفات الى نفس الجهاز فقط لمجرد توضيح العمليه ولكن يجب عليك عدم انشاء او حفظ اي بيانات في الجهاز الدليل

 

استخدام piecewise hashing لاثبات سلامة البيانات

يواجه المحقق الجنائي الرقمي تحدي الحفاظ على سلامة البيانات من اي تعديلات قد تحصل اثناء التعامل مع الادلة. لذلك يتم توقيع الادلة بشهادة تشفير لاثبات سلامتها او استخدام Cryptographic hash function لتوليد هاش كدليل على سلامة البيانات من التعديل مثل MD5. ولكن في حالة كان هناك الكثير من المشاكل الفنيه في الهارد ديسك فان الادوات المتخصصه في جمع الادلة تتعامل مع هذا الخطا وتحاول تجنب فشل عملية جمع البيانات وتخطي الجزء الذي يسبب المشكله ومواصلة عملية الجمع (Forensics imaging). ولكن كل مرة يتم اخذ البيانات سوف يتم توليد هاش مختلف بسبب المشاكل الموجوده في الهارد ديسك ولا يمكن اثبات صحة وسلامة البيانات بسبب ان الاداة غير مستقرة في اجزاء معينة في الهارديسك لذلك تقوم بتوليد هاش مختلف على حسب الاخطاء التي تم تجاوزها او تم التعامل معها.

اقرأ المزيد

المساحة المخفية في القرص الصلب Host Protected Area

يوجد هناك مساحة صغيرة مخفية تأتي مع القرص الصلب ( الهارد ديسك) بشكل افتراضي من قبل المصنع. هذه المساحة تسمى بـ Host Protected Area ايضا أحيانا يتم الإشارة أليها بـ Hidden Protected area. يتم اقتطاع هذه المساحة من المساحة الكلية للقرص بالتحديد نهاية القرص ولا يمكن للمستخدم الوصول الى هذه المساحة او استخدامها حيث انها غير مقروءة من قبل نظام التشغيل. هذه المساحة يتم استغلالها من قبل الشركات المنتجة للقرص او اللابتوب حيث يتم أضافه ادوات مفيده لصيانة القرص او لبيانات الاستعادة الخاص بنظام التشغيل او برامج تأتي بشكل افتراضي مع الجهاز، على سبيل المثال شركة Dell استخدمت المساحة لتخزين برنامج Dell MediaDirect في الجهاز، ايضا IBM و LG استخدموا المساحة لتخزين بعض برامج استعادة النظام.

اقرأ المزيد

اجهزة Write Blockers لمنع اتلاف بيانات الادلة

في تدوينات سابقة القيت نظره سريعة على جهاز Disk Jockey PRO وهو جهاز نسخ هارديسك الى هارديسك اخر وكذلك جهاز wipemasster وهو جهاز متخصص للحذف الآمن للبيانات. في هذه التدوينة سوف نتعرف على احد اجهزة منع الكتابة على الهارديسك للحفاظ على سلامة الدليل عند استخدامه او نسخة. جهاز Disk Jockey PRO يعتبر مانع كتابة أيضا, فعند استخدامه يقوم بمنع الكتابه على الهارديسك الدليل ايضا يمكن استخدامه كمانع كتابة فقط عن طريق توصيلة الى جهاز الكمبيوتر واستخدامه بشكل مباشر دون نسخ البيانات من هارديسك الى هارديسك اخر. هناك اجهزة متخصصه  في منع الكتابة اشهرها اجهزة  Tableau.

T35u Forensic USB 3.0 SATA/IDE Bridge

في الصورة احد اجهزة Tableau وتختلف الانواع بحسب نوع الهارديسك الذي يدعمه الجهاز.

اقرأ المزيد

الصفحة 1 من 4