في هاذا المقال سوف نتعرف على بعض الأدوات التي تستخدم في التحقيق الجنائي من ادوات الفحص وجلب المعلومات وتحليل القرص الصلب والذاكرة وغيرها من الأدوات الخاصة التي تستخدم في مجال الجرائم الألكترونية
جميع هاذه الأدوات ليست الا جزء بسيط من الدوات المستخدمة في التحقيق الجنائي وسأقوم بأضافة ادوات اخرى في المرة القادمة ان شاء الله وستكون في عده مجالات مثل الفحص وجلب المعلومات والأختراق
SANS SIFTتعرف على أدوات التحقيق الجنائي مع تحميلها
جميع هاذه الأدوات ليست الا جزء بسيط من الدوات المستخدمة في التحقيق الجنائي وسأقوم بأضافة ادوات اخرى في المرة القادمة ان شاء الله وستكون في عده مجالات مثل الفحص وجلب المعلومات والأختراق
ادوات التي سوف نتكلم عنها
- SANS SIFT
- Volatility
- FTK Imager
- Linux ‘dd’
تعتبر SANS SIFT (SANS Investigation Forensic Toolkit) هي عبارة عن توزيعة اوبنتو لينكس ذاتية الإقلاع (Live CD) و التي تحتوي على مجموعة كبيرة من الادوات التي تحتاجها في عملية التحقيق الجنائي الرقمي او أي عملية لمحاولة الدخول الغير مصرح به الى الأنظمة و غيرها.
تدعم هذه التوزيعة تحليل الملفات بالإمتدادات التالية :
– Expert Witness Format (E01)
– dvanced Forensic Format (AFF)
– RAW (dd) evidence formats
كما أنها تحتوي على أدوات مثل log2timeline و هي أداة تستخدم لإنشاء جدول زمني للأحداث التي تتم في النظام, و أداة مثل Rifiuti و التي تستخدم لفحص سلة المهملات و تحليلها جنائيا و غيرها الكثير الكثير.
هنالك أيضا مجموعة من الوثائق الموجودة على سطح المكتب الخاص بهذه التوزيعة و التي تعطيك مساعدة لكيفية التعامل معها.
يمكنك تحميل هذه التوزيعة لتجربتها من خلال الرابط التالي : رابط الموقع الرسمي للتوزيعة
لا ننسى بأن هذه التوزيع مقدمة من قبل منظمة SANS المختصة بأمن المعلومات, و تقوم هذه المنظمة بتقديم مجموعة من الشهادات و الدورات الخاصة بالتعامل مع هذه التوزيعة.
Volatility
تعتبر أداة Volatility عبارة عن أداة متخصصة بالتحليل الجنائي الرقمي للذاكرة (RAM) والتي تسمح لك بإستخلاص و إستخراج المعلومات من الذاكرة حول العمليات (Processes) التي تعمل حاليا على الجهاز و ذلك من أجل فحصها من البرامج الخبيثة (Malware).
يمكننا أيضا من خلالها استخراج معلومات حول : العمليات التي تعمل حاليا, الإتصالات المفتوحة عبر الشبكة, ملفات DLL التي يتم التعامل معها مع كل عملية (Process) و غيرها الكثير من الأمور.
يمكن تحميل هذه الأداة من الرابط التالي : رابط التحميل
FTK Imager
يعتبر FTK Imager عبارة عن أداة تستخدم لمعاينة البيانات و التي تسمح لنا فحص الملفات و المجلدات و الأقراص الصلبة سوا أكانت موجودة على الجهاز أم كانت موجودة على الشبكة, و يمكنها أيضا التعامل الذاكرة. تستخدم أيضا لأخذ صورة من النظام ليتم فحصها بأي أداة أخرى بعيدا عن البيئة الفعلية.
من خلال هذه الأداة يمكننا إسترجاع الملفات المحذوفة على النظام المراد التعامل معه و حتى تلك التي تم حذفها من سلة المهملات !!! . كما أن هنالك نسخة منه لا تحتاج الى تنصيبها على الجهاز ( Portable ) بحيث يمكن تشغيلها من USB Disk .
يمكنكم تحميل هذه الأداة من الرابط التالي : رابط الأداة
Linux ‘dd’
Linux ‘dd’ يأتي بشكل تلقائي و افتراضي على معظم توزيعات لينكس مثل اوبنتو و فيدوررا و غيرها. بحيث يمكن إستخدامه في العديد من المهام الخاصة بالتحقيق الجنائي الرقمي مثل محو الأدلة الجنائية و انشاء صور خامة من الاقراص الصلبة.
تعتبر هذه الأداة مهمة جدا و قوية, لكن يمكن أن يكون لها تأثير سلبي و خطير فيما اذا تم استخدامها بشكل خاطىء, فيجب عليك أن تقوم بإستخدامها و تجريبها في بيئة او مختبرات خاصة بذلك قبل استخدامها في الأنظمة الحقيقية.
يوجد أيضا نسخة معدلة يوجد فيها خصائص اضافية تساعدك في التحليل الجنائي الرقمي و يمكنك تحميل هذه النسخة من الرابط التالي : رابط النسخة المعدلة.
للتعرف على كيفية التعامل مع هذه الأداة, يمكنك البحث عن المساعدة بإستخدام الأمر man و هو أمر للبحث في كيفية التعامل مع الأوامر المختلفة في نظام تشغيل لينكس .
الى هنا انتهى المقال اتمنى قد نال على اعجابكم وسوف اقوم بأضافه مجموعة جديدة من الأدوات المستخدمة في تحقيق الجنائي قريباً