مدونة مجنون كمبيوتر - مقالات تقنية وشروحات مفيدة مع توصيات لأفضل برامج الكمبيوتر وتطبيقات الجوال

ما هو التحقيق الجنائي الرقمي ؟

 

لكل نوع من الجرائم أشخاص مختصون وللجرائم الإلكترونية هناك عدة دراسات وعلوم وأدوات يتم إستخدامها لتحليل الجرائم وفحصها لإكتشاف الجاني وهو ما يعرف بمجال التحقيق الجنائي الرقمي .

 

ماهو التحقيق الجنائى الرقمى ؟

التحقيق الجنائي الرقمي

 

عبارة عن فحص جهاز الجانى او المشتبة بة من قبل المحققين، فمثلاً اذا تمت جريمة عن طريق الحاسوب أو الأجهزة الذكية المختلفة، فياتى المحقق المتخصص ليفحص ما بة لكن بإستخدام أدوات خاصة ودراسات سابقة وكل ما هو ممكن والهدف منها لجمع الادلة المطلوبة لكى تُعطى للنيابة اثناء عملية التحقيق.

——————————————————————————————————————————–

 

عملية التحقيق الجنائي الرقمي ليست مقتصرة فقط على اﻷجهزه الإلكترونية أو أدلة ملموسة (Hardware) بل من الممكن أن تكون أيضاً عملية تتبع لبعض اﻷدلة والأمور التي تم إجرائها إثناء عملية الإختراق او بعد عملية الإختراق من خلال تحليل ملفات النظام وتتبع أثراه والحركات التي قام بها او يقوم بها في نفس اللحظه وهذه الأمور جميعها تفيد في عملية التحقيق الجنائي الرقمي ليس فقط لمعرفة الجاني بل لمعرفة نقاط ضعف الموقع لديك من خلال تحليل الحركات التي قام بها المخترق أثناء عملية الإختراق.

 

في حال  وجود أي إشعار يدل على وجود عمليات إختراق سواء من خلال مراقبتك الدورية لملفات log أو من خلال متابعة الإشعارات الناتجة عن الجدار الناري الموجود على السيرفر مثل csf firewall وسوف يحاول البرنامج تحديد الأيبيهات التي حاولت التخمين والدخول على السيرفر من جهة وأيضاً سوف نحاول نحن كمحقيقين جنائين أن نلقي نظرة على ملفات access log لكي نحلل الحركات التي قام بها المخترق على تطبيق الويب الخاص بنا وسوف نحاول معرفة الطرق التي حاول المخترق للدخول للموقع من خلالها.

دعونا نلقى نظرة عن احد السيرفرات فقمت بعمل سيرفر وهمى وحاولت اختراقة

 

فبمجرد طلب ملف access log الخاصة بخادم الويب Apache ومعرفة ما الحركات التي ممكن أن يكون المخترق قد قام بها ومعرفة ما هي الأمور الضارة التي حاول أن يفعلها .. للنظر على هذه الصورة كتوضيح أكثر للموضوع .

دعونا نقرأ السطر ما قبل الأخير لكي نشاهد أن الأيبي “127.0.0.1” قام بتاريخ “16/May/2013:12:49:59″ طلب الملف “cat.php” كما قام أيضاً بإرسال الطلب “<p>i’am trying to xss this site</p>” فنستنتج من هذا الطلب بأنه يحاول أن يحقن أكواد html لمحاولة إستغلال وإكتشاف ثغرة xss موجودة بالتطبيق وعلى ذلك يتم حجب هذا الأيبي لإنه يحاول أن يخترق هذا الموقع وكما لاحظنا من خلال حقن أكواد html لمحاولة إكتشاف ثغرة xss.

———————————————————————-

كان هذا الجزء الاول حيث تم رصد محاولة لاختراق الموقع بتاريخ والاى بى الخاص بالهاكر تاتى الان دور   جهات حكومية قامت بإقتحام منزل هاكر وإعتقاله و أخذ جميع الأدوات والأمور التقنية الموجودة في منزل الهاكر .. بالتأكيد لم يأخذوها فقط لكي يثبتوا التهمه عليه ! بهل قامو بمصادرة وحجز جميع الأدوات لكي يقوموا بتحليلها وإستخراج أدلة قاطعة بأن العملية تمت على هذا الجهاز

——————————————————

ناتى الى الجانب الاخر وهو استخراج ادلة قاطعه من جهاز الهاكر … وياتى دور المحقق الجنائى الرقمى واسطوانة ftk

————————————————————————-

 

FTK إسطوانة المحقق الجنائي الرقمي

——————————

ما هى ftk ؟

ال FTK يعتبر اكبر واقوى اسطوانة تستعملها الشرطة التى تُستخدم فى التحقيقات الرقمية فمثلاً بمجرد حصول المحقق العادى على الجهاز المستخدم فى الجريمة الالكترونية يستدعى المحقق الجنائى الرقمى فيحصل على الجهاز وهنا ياتى دورة فى الفحص .. فهذة الحزمة تفحص القرص الصلب فحص كامل بحثاً عن معلومات مختلفة فمثلاً نجد فولدرات مختفية وتم مسحها فتظهرها ويمكن لهذة الحزمة مساعدتة فى رؤية كافة الرسائل الالكترونية التى استخدمها الجانى فى تهديد او ما شابة اى يقرأ البريد الاكترونى بالامايلات المحذوفة كما تُمكنة من كسر تشفير اى فولدر او ملف مغلق بكلمة سر .. لكن كل هذا مخصص فقط للمحقق الجنائى الرقمى

هذة الاسطوانة من اهم الاسطوانات التى تلعب دور هام فى التحقيق الجنائى الرقمى

1- اولاً يستخدم FTK imager  وهذا يلعب دوراً هاماً حيث ياخذ نسخة من الهارد ديسك والفلاشات من اجل الفحص والحفاظ على البيانات

2- استخدام password recovery toolkit  ويلعب ايضاً دور هام فى كسر حماية الملفات والفولدرات المحمية بكلمة السر

3-  Registry viewer وهذة الاداة تلعب دور هام ايضاً حيث انهاتمكنك من مشاهدة ملفات رجستري إضافة إلى ذلك البرنامج يمكنك من الكشف عنالرجستري الخفية في الجهاز ..

4-  distributed denial attack : هذا البرنامج  يقوم بكسر حماية الباسوردات لكن بإستخدام اكثر من معالج وذلك بهدف تسريع عملية الكشف عن الباسورد..

من البرامج الحديثة التى يستخدمها هى برنامج Executed Programs List  هذا البرنامج ليس من ضمن حزمة FTK ولكنها مفيدة ويمكن لاى شخص تحميلها حيث انها تعرف وقت وتاريخ تشغيل أي برنامج في اي حاسوب حتى إذا تم حذفه بعد الإستعمال . على سبيل المثال اذا استخدم برنامج النجرات ( هذا البرنامج يستطيع التجسس على الاجهزة ومراقبة ما يفعلة الضحية ) فبعد ان يعلم انة قد انكشف والشرطة تحاول القبض علية فبطبيعة الحال سيمسحة فوراً بل ويحاول فرمتة الحاسوب بالكامل لكن هذا البرنامج يحاول تحديد جميع البرامج التى استعملت تجد هذا البرنامج هنا

 

وهذة هى الطريقة التى يستعملها رجال الشرطة فى القبض على الهاكرز

 

 

فى حالة اذا اعجبتكم التدوينة سيتم عمل جزء ثانى خاص بالهواتف المحمول وكيفية معرفة الاماكن الجغرفية !

 

المصادر :

الكتاب المقتبس منة Wikipedia

تعليق 1
  1. ونبس الخمعلي يقول

    نشكرك جزيل الشكر يلزعيم وكم انت رائع

اترك رد

لن يتم نشر عنوان بريدك الإلكتروني.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More