ما هو التحقيق الجنائي الرقمي بالمختصر المفيد !

التحقيق الجنائي الرقمي عبارة عن فحص جهاز الجانى او المشتبة بة من قبل المحققين، فمثلاً اذا تمت جريمة عن طريق الحاسوب أو الأجهزة الذكية المختلفة، فياتى المحقق المتخصص ليفحص ما بة لكن بإستخدام أدوات خاصة ودراسات سابقة وكل ما هو ممكن والهدف منها لجمع الادلة المطلوبة لكى تُعطى للنيابة اثناء عملية التحقيق.

عملية التحقيق الجنائي الرقمي ليست مقتصرة فقط على اﻷجهزه الإلكترونية أو أدلة ملموسة (حاردواري) بل من الممكن أن تكون أيضاً عملية تتبع لبعض اﻷدلة والأمور التي تم إجرائها إثناء عملية الإختراق او بعد عملية الإختراق من خلال تحليل ملفات النظام وتتبع أثراه والحركات التي قام بها او يقوم بها في نفس اللحظه وهذه الأمور جميعها تفيد في عملية التحقيق الجنائي الرقمي ليس فقط لمعرفة الجاني بل لمعرفة نقاط ضعف الموقع لديك من خلال تحليل الحركات التي قام بها المخترق أثناء عملية الإختراق.

في حال  وجود أي إشعار يدل على وجود عمليات إختراق سواء من خلال مراقبتك الدورية لملفات لوع أو من خلال متابعة الإشعارات الناتجة عن الجدار الناري الموجود على السيرفر مثل چسف فيريوالل وسوف يحاول البرنامج تحديد الأيبيهات التي حاولت التخمين والدخول على السيرفر من جهة وأيضاً سوف نحاول نحن كمحقيقين جنائين أن نلقي نظرة على ملفات اچچيسس لوع لكي نحلل الحركات التي قام بها المخترق على تطبيق الويب الخاص بنا وسوف نحاول معرفة الطرق التي حاول المخترق للدخول للموقع من خلالها.

فبمجرد طلب ملف Access Log الخاصة بخادم الويب Apache ومعرفة ما الحركات التي ممكن أن يكون المخترق قد قام بها ومعرفة ما هي الأمور الضارة التي حاول أن يفعلها .. للنظر على هذه الصورة كتوضيح أكثر للموضوع .


دعونا نقرأ السطر ما قبل الأخير لكي نشاهد أن الأيبي “127.0.0.1” قام بتاريخ “16/May/2013:12:49:59″ طلب الملف “cat.php” كما قام أيضاً بإرسال الطلب “<p>i’am trying to xss this site</p>” فنستنتج من هذا الطلب بأنه يحاول أن يحقن أكواد html لمحاولة إستغلال وإكتشاف ثغرة xss موجودة بالتطبيق وعلى ذلك يتم حجب هذا الأيبي لإنه يحاول أن يخترق هذا الموقع وكما لاحظنا من خلال حقن أكواد html لمحاولة إكتشاف ثغرة xss.
كان هذا الجزء الاول حيث تم رصد محاولة لاختراق الموقع بتاريخ والاى بى الخاص بالهاكر تاتى الان دور جهات حكومية قامت بإقتحام منزل هاكر وإعتقاله و أخذ جميع الأدوات والأمور التقنية الموجودة في منزل الهاكر .. بالتأكيد لم يأخذوها فقط لكي يثبتوا التهمه عليه ! بهل قامو بمصادرة وحجز جميع الأدوات لكي يقوموا بتحليلها وإستخراج أدلة قاطعة بأن العملية تمت على هذا الجهاز
ناتى الى الجانب الاخر وهو استخراج ادلة قاطعه من جهاز الهاكر … وياتى دور المحقق الجنائى الرقمى واسطوانة FTK
ما هى ftk ؟

ال FTK يعتبر اكبر واقوى اسطوانة تستعملها الشرطة التى تُستخدم فى التحقيقات الرقمية فمثلاً بمجرد حصول المحقق العادى على الجهاز المستخدم فى الجريمة الالكترونية يستدعى المحقق الجنائى الرقمى فيحصل على الجهاز وهنا ياتى دورة فى الفحص .. فهذة الحزمة تفحص القرص الصلب فحص كامل بحثاً عن معلومات مختلفة فمثلاً نجد فولدرات مختفية وتم مسحها فتظهرها ويمكن لهذة الحزمة مساعدتة فى رؤية كافة الرسائل الالكترونية التى استخدمها الجانى فى تهديد او ما شابة اى يقرأ البريد الاكترونى بالامايلات المحذوفة كما تُمكنة من كسر تشفير اى فولدر او ملف مغلق بكلمة سر .. لكن كل هذا مخصص فقط للمحقق الجنائى الرقمى
هذة الاسطوانة من اهم الاسطوانات التى تلعب دور هام فى التحقيق الجنائى الرقمى
1- اولاً يستخدم FTK imager  وهذا يلعب دوراً هاماً حيث ياخذ نسخة من الهارد ديسك والفلاشات من اجل الفحص والحفاظ على البيانات
2- استخدام password recovery toolkit  ويلعب ايضاً دور هام فى كسر حماية الملفات والفولدرات المحمية بكلمة السر
3-  Registry viewer وهذة الاداة تلعب دور هام ايضاً حيث انها تمكنك من مشاهدة ملفات رجستري إضافة إلى ذلك البرنامج يمكنك من الكشف عن الرجستري الخفية في الجهاز ..
4-  distributed denial attack : هذا البرنامج  يقوم بكسر حماية الباسوردات لكن بإستخدام اكثر من معالج وذلك بهدف تسريع عملية الكشف عن الباسورد..
من البرامج الحديثة التى يستخدمها هى برنامج Executed Programs List هذا البرنامج ليس من ضمن حزمة FTK ولكنها مفيدة ويمكن لاى شخص تحميلها حيث انها تعرف وقت وتاريخ تشغيل أي برنامج في اي حاسوب حتى إذا تم حذفه بعد الإستعمال . على سبيل المثال اذا استخدم برنامج للاختراق فبعد ان يعلم انة قد انكشف والشرطة تحاول القبض علية فبطبيعة الحال سيمسحة فوراً بل ويحاول فرمتة الحاسوب بالكامل لكن هذا البرنامج يحاول تحديد جميع البرامج التى استعملت تجد هذا البرنامج هنا

بقلم

محمد لحلو

المدير التقني لمدونة مجتمع الأمن المعلوماتي مدون ومغرد حول مجال الأمن المعلوماتي والحماية الإلكترونية ! مهتم بكل جديد حول المجال الأمني بصفة خاصة والتقني بصفة عامة من مواليد مدينة فاس المغرب .

2016 © جميع الحقوق محفوظة
تطوير : عدنان المجدوبي