مدونة كورتكس هكر 4 5 24
اكتب ما تود البحت عنه و اضغط Enter
معذرة، فالصفحة التي تبحث عنها في هذه المدونة ليست متوفرة.

الأحد، 30 ديسمبر 2018

‫التحليل الجنائي الرقمي - الجزء الثاني | | ‪ [ Digital Forensics‬

سعيد

‫التحليل الجنائي الرقمي - الجزء الثاني | | ‪ [ Digital Forensics‬

‫التحليل الجنائي الرقمي - الجزء الثاني | | ‪ [ Digital Forensics‬

هذه المقالة تعتبر الجزء الثاني يمكنك الاطلاع على المقالة السابقة من هنا
‫التحليل الجنائي الرقمي - 1 | | ‪ [ Digital Forensics‬

‫الشبكات‪:‬‬

‫العديد من الجرائم المعلوماتية تتم عبر الشبكة لذلك يجب على المحقق‬ ‫الرقمي أن يكون على معرفة كافية بأجهزة الشبكة وبرتوكوﻻت اﻻتصال عبر‬ ‫الشبكة‬


‫المبدلة ‪ ‫‪Switch

‬تستخدم لوصل عدد من الاجهزة في شبكة واحدة‬ وهي تقوم بتوجيه البيانات إلى الجهاز الهدف اعتمادا على العناوين‬ ‫الفيزيائية ‪MAC address‬‬

‫‪ Router الموجه‪ :‬

يقوم بوصل أكثر من شبكة مع بعضها البعض ويقوم‬ ‫بتوجيه البيانات باﻻعتماد على عناوين ‪IP‬‬

‫حزم البيانات ‪:Packet‬‬

‫هي البيانات المرسلة والمستقبلة عبر الشبكة والتي يمكن أن تكون جزء من‬ ‫صورة أو مقطع فديو أو ملف نصي‪.‬‬
‫حزمة البيانات مكونة من عدد من ‪ bytes‬وتكون مقسمة إلى‬ ‫‪header and body‬‬
‫الترويسة ‪ header‬تحوي على عناوين المصدر والهدف لحزمة البيانات ونوع‬ ‫البرتوكول المستخدم في عملية اﻻتصال وهذه المعلومات تعتبر مفيدة جدا‬ ‫في عملية التحليل الجنائي الرقمي‪.‬‬

‫عملية اﻻتصال عبر الشبكة تختلف بحسب نوع البرتوكول المستخدم‪ ،‬كل‬ ‫برتوكول يقوم بعملية اﻻتصال عبر منفذ ‪ port‬معين‬
‫مثال‪:‬‬
  • البرتوكول ‪ FTP (File Transfer Protocol‬يستخدم المنفذ ‪21‬‬
  • البرتوكول (‪ SSH (Secure Shell‬يستخدم المنفذ ‪22‬‬
  • البرتوكول ‪ Telnet‬يستخدم المنفذ ‪23
  • البرتوكول ‪ http‬يستخدم المنفذ ‪80‬‬
  • بروتوكول مكتب البريد POP3 البريد القادم  (يعمل على منفذ تي سي بي 110)
  • بروتوكول إرسال البريد البسيط Smtp البريد الذي ترسله  (يعمل على منفذ تي سي بي 25)
  • البرتوكول ‪ 22 يستخدم المنفذ ssh‬‬
  • برتوكول نظام أسماء المجالات (DNS) يستخدم المنفذ 53

المحقق الرقمي يجب أن يكون على معرفة بعناوين ‪ IP and MAC‬وطريقة‬ ‫التعامل مع هذه العناوين (المجرم يقوم بتغيير عنوان ‪ IP‬الخاص بجهازه قبل‬ ‫القيام بتنفيذ الجريمة كما يمكن أيضا أن يقوم بتغيير عنوان ‪MAC address‬‬

‫أدوات الشبكة اﻻساسية‪:‬‬

‫بعض اﻻدوات اﻻساسية التي يجب على المحقق الرقمي أن يمتلك خبرة‬ ‫كافية للتعامل معها هي
 ‪ping, ifconfig , tracert‬‬, netstat

‫‪ifconfig

‫هي أول أداة يجب أن يستخدمها المحقق الرقمي لمعرفة حالة الشبكة‬ ‫في الجهاز الذي يقوم بفحصه وهي تقدم معلومات عن حالة الشبكة‬ ‫تتضمن عنوان ‪ MAC address‬وعنوان ‪ IP‬ويمكن استخدامها في سطر‬ ‫اﻻوامر أو الطرفية Terminal
ملاحظة الاداة موجودة على الويندوز ايضا لكن باسم IPCONFIG

‫نتيجة كتابة الامر ‪ ifconfig‬في سطر اﻻوامر ظهر‬ ‫بالشكل التالي‪:‬‬
‫التحليل الجنائي الرقمي - الجزء الثاني | | ‪ [ Digital Forensics‬

هذه التعليمة تعطي بعض المعلومات عن حالة الاتصال بالشبكة ( أو‬الانترنت) كعنوان ‪ IP‬للجهاز وعنوان
‪IP default gateway‬‬

‫‪  ping‬

تستخدم لاكتشاف حالة الاجهزة المتصلة بالشبكة من خلال ‫إرسال حزم بيانات وانتظار الرد على هذه البيانات‬
‫نتيجة كتابة الامر ‪ ping سطر اﻻوامر ظهر‬ ‫بالشكل التالي‪:‬‬
‫التحليل الجنائي الرقمي - الجزء الثاني | | ‪ [ Digital Forensics‬

‫‪ traceroute ‬

تقوم بتحديد مسار حزم البيانات‬ ‫(التعليمة المقابلة لها في ‪ linux‬هي traceroute‬‬ هي  تُظهر المسار بين نظامين وتُدرج كل المسارات ما بين الطرف الأول حتى وجهته النهائية
ماهو ttl
أداة Traceroute ترسل مبدئيًا حزمة ضمن شرط وهو أن قيمة TTL هي 1. المسار الأول (First Route) يستلم الحزمة، ويقلل قيمة TTL بواحد، ويرفض الحزمة لأن الـTTL قيمتها أصبحت صفر. بعدها يعيد المسار الاول إرسال رسالة إلى المضيف الأصلي ليبلغه أن الحزمة قد تم التخلص منها (تم رفضها). بعدها يسجل الـTraceroute الأي بي والـDNS الخاص بهذا المسار، ويرسل حزمة أخرى بشرط هو أن قيمة TTL هي 2. هذه الحزمة تنجو من خلال المسار الأول وبعدها يتم رفضها من المسار التالي. هذا المسار الثاني يرسل أيضًا رسالة خطأ إلى المضيف الأصلي. الـTraceroute يستمر في تكرار الأمر حتى تصل الحزمة إلى الهدف (النظام المراد الوصول إليه) أو حتى يتم التأكد من أنه لا يمكن الوصول إلى النظام الثاني. في هذه العملية، الـ Traceroute يقوم بتسجيل الوقت الذي استغرقته انتقال كل حزمة من مسار حتى المسار الذي يليه. الصورة التالية تُظهِر مثال على الأمر traceroute ‫نتيجة كتابة الامر ‪ traceroute سطر اﻻوامر ظهر‬ ‫بالشكل التالي‪:‬‬
‫التحليل الجنائي الرقمي - الجزء الثاني | | ‪ [ Digital Forensics‬

Netstat‬‬
‫اختصار ل ‪Network status‬‬ ‫وتظهر حالة الاتصالات الجارية وهي مهمة جدا في التحليل الجنائي‬ ‫الرقمي ألنها تمكن المحقق من اكتشاف الاتصالات المشبوهة التي‬ ‫يمكن أن تكون جزء من عملية اﻻختراق‪.‬‬
‫التحليل الجنائي الرقمي - الجزء الثاني | | ‪ [ Digital Forensics‬

‫كل التعليمات السابقة يمكن أن تستخدم بشكل أوسع من خلال إضافة خيارات‬ ‫معينة للقيام بمهام إضافية‪.‬‬

‫حماية مكان الجريمة‪:‬‬

‫في الجرائم العادية كالسرقة أو القتل يتم إغالق مكان الجريمة بشكل فوري‬ ‫ومنع أي شخص من االقتراب والسماح فقط لعناصر الشرطة بالوصول لمكان‬ ‫الجريمة للقيام بعملية جمع األدلة وبشكل مماثل في الجرائم المعلوماتية‬ ‫فيجب حماية وإغالق مكان الجريمة بشكل فوري ومنع الوصول إلى أجهزة‬ ‫الحاسب وأجهزة الشبكة‪.‬‬
‫أول مهمة يجب القيام بها عند الوصول إلى مكان الجريمة هو حماية هذا‬ ‫المكان ومنع أي شخص من الاقتراب من الجهاز المشبوه به أو الجهاز الهدف‬ ‫وعدم إيقاف تشغيل الجهاز بشكل فوري للمحافظة على األدلة الرقمية‬ ‫المتوفرة ضمنه‪.‬‬
‫يجب التأكد بأنه لا يمكن لاحد أن يصل إلى هذا الجهاز عن بعد (عبر الشبكة)‬ ‫مثال
 في حال وجود جهاز حاسب محمول أو جهاز موبايل يجب إيقاف تشغيل‬ ‫بطاقة الشبكة اللاسلكية وعزل الجهاز عن أي اتصال بالشبكة أو لالنترنت‬ ‫والبدء باكتشاف وتسجيل كل العمليات الجارية والبرامج المفتوحة واتصاالت‬ ‫الشبكة الحالية ومن ثم إيقاف تشغيل الجهاز والبدء بعملية جمع الاجهزة‬ ‫المشبوهة ووضعها في أكياس أو علب خاصة ونقلها إلى مخبر التحليل‬ ‫الجنائي الرقمي داخل الفرع‪.‬‬

‫التعامل مع الدليل الرقمي‪:‬‬

‫بعد حماية مكان الجريمة يجب الحذر عند التعامل مع الجهاز للمحافظة على‬ ‫الدليل الرقمي‪ ،‬أول مهمة يجب على المحقق الرقمي القيام بها هي إنشاء‬ ‫صورة طبق األصل للقرص الصلب ‪ bit stream image‬ومن ثم القيام بعمليات‬ ‫التحقيق الجنائي الرقمي على الصورة المأخوذة وليس على الجهاز األصلي‪.‬‬
‫من المهم أيضا استخدام جهاز يمنع عملية الكتابة على القرص الصلب ‪write‫‪ blocker‬‬‬‬

يمكن إنشاء صورة مطابقة للنظام الهدف باستخدام أدوات مثل‪:‬‬
‫‪Forensic Toolkit or EnCase‬‬
‫كما يمكن القيام بهذه العملية باستخدام أدوات مجانية تعمل على نظام‬ ‫التشغيل ‪.linux‬‬
‫من أجل إنشاء صورة مطابقة للنظام الهدف باستخدام نظام التشغيل ‪linux‬‬ ‫فنحن بحاجة لنسخة من نظام ‪ linux‬قابلةا لاقلاع (يمكن أن تكون أي توزيعه‬ ‫‪ linux‬ولكن يفضل استخدام توزيعه ‪ kali linux‬ألنها تحوي على أدوات ُمعدة‬ الاستخدام في التحليل الجنائي الرقمي)‬


الاداة (‪dd (disk to disk‬‬

‫هي أداة تعمل من خلال سطر الاوامر وموجودة بشكل تلقائي في العديد‬ ‫من توزيعات ‪ linux‬تستخدم لنقل ونسخ الملفات بين الاقراص ويمكن من ‫خلالها إنشاء صورة طبق الاصل للقرص الصلب في الجهاز الهدف باستخدام ‫التعليمة التالية‪:‬‬
‫<‪dd if=<source> of=<destination> bs=<byte size‬
‫مثال‪:‬‬
‫‪dd if=/dev/sda2 of=/dev/sdb2 bs=512‬‬
‫هذه التعليمة سوف تقوم بإنشاء نسخة طبق الاصل ‪ bit-by-bit copy‬من‬ ‫القرص ‪ sda2‬إلى القرص ‪sdb2‬‬

يمكننا القيام بالعملية عن بعد أو عبر الشبكة باستعمال اداة النت كات Netcut
‫البداية باستخدام التعليمة التالية على جهاز المحقق‪:‬‬
‫‪nc -1 -p 8888 > evidence.dd‬‬
‫هذه التعليمة تجعل الجهاز ينصت على المنفذ ‪ 8888‬ويقوم بحفظ البيانات‬ ‫التي يتم استقبالها في الملف ‪evidence.dd‬‬
‫ومن ثم استخدام التعليمة التالية في الجهاز الهدف من أجل إرسال صورة‬ ‫طبق الاصل للقرص الصلب عبر الشبكة إلى جهاز المحقق‬
‫‪dd if=/dev/hda1 | nc 192.168.1.2 8888 -w 3‬‬
‫في المثال السابق نفترض أن القرص المراد نسخه له الاسم ‪ hda1‬وعنوان ‪IP‬‬ ‫الخاص بجهاز المحقق هو ‪ 192.168.1.2‬
يجب أن تقوم بوضع بياناتك ‫بحسب الحالة التي تعمل عليها‪.‬‬
‫بعد االنتهاء من إنشاء الصورة المطابقة يجب أن نقوم بحساب قيمة الهاش hash‬ لكل من القرص الصلب الاصلي وللصورة لنتأكد من أن‬ ‫العملية تمت بشكل صحيح وحفظ هذه القيمة ليتم حفظ الصورة كدليل رقمي‬ ‫يمكن اعتماده من قبل المحكمة‪.‬‬
‫كل أدوات التحليل الجنائي الرقمي تقوم بهذه العملية بشكل اتوماتيكي‪،‬‬
‫كما يمكن القيام بها بشكل يدوي باستخدام التعليمة التالية في نظام‬ ‫‪:linux‬‬
‫‪md5sum /dev/hda1‬‬


‫المحقق الرقمي يجب أن يقوم بتسجيل وتوثيق كل عملية قام بها وكل‬ الادوات التي قام باستخدامها وكيف قام باستخراج الدليل الرقمي والطريقة‬ ‫المستخدمة في نقل وحفظ هذا الدليل‪.‬‬

شارك الموضوع عبر :

سعيد
الكاتب:

سعيد من الجزائر, مؤسس مدونة كورتكس هكر, مهتم بأمن المعلومات واختبار الاختراق وأنظمة اللينكس.

ليست هناك تعليقات:

إرسال تعليق

كورتكس هكر: شروحات اللينكس واختبار الاختراق والحماية | CortexHacker
كورتكس هكر هي مدونة تهتم بطرح مواضيع اختبار الاختراق وأمن المعلومات, وطرق اكتشاف الثغرات بالبرامج والمواقع و كيفية الحماية منها, وطرق التخفي وأسرار الديب ويب وكل ما يخص الاختراق الأخلاقي
جميع الحقوق محفوظة ل كورتكس هكر | Cortex Hacker
صمم وكود بكل من طرف