التحقيق الجنائي الرقمي باستخدام توزيعة DEFT 5

كتب بتاريخ: Dec 13th, 2009 | بواسطة: عبدالمهيمن

DEFT Linux Digital Forensics Livecd

التحقيق الجنائي الرقمي (Digital Forensics) هو عمليّة جمع أكبر قدر للمعلومات والأدلّة من أجهزة الأشخاص المشتبه بهم للوصول الى الملفات المخفيّة واسترجاع الملفّات الّتي تم حذفها مسبقاً يتضمّن ذلك معرفة المواقع التي قام المشتبه به بفتحها واستخراج كلمات مرور الحسابات المخزّنة بالنظام. Digital Evidence & Forensic Toolkit أو DEFT اختصاراً هي توزيعة من نظام لينوكس مبنيّة على Xubuntu تحوي على أغلب الأدوات المفتوحة المصدر المستخدمة في عمليّة التحقيق الجنائي الرقمي ويمكننا اعتبارها من أفضل التوزيعات المتوفّرة لهذه المهمة.

التحقيق الجنائي الرقمي هو قسم لا يستهان به من الهاكر, الدخول به يتطلّب معرفة قويّة بعدّة أمور بدءً من كيفية عمل القرص الصلب وأنظمة الملفات المختلفة (ntfs, fat32, ext3… ) وكيف تقوم هذه الأنظمة بتخزين وأرشفة الملفّات, فك التشفير وكسر الخوارزميات, انتهاءً بمعرفة الأمور المتقدّمة والمنخفضة المستوى بأنظمة التشغيل وكيف يمكننا الوصول لمعلومات تفيدنا في تعقّب المشتبه به ومعرفة الأمور التي نفّذها على النظام.

قد يسأل شخص كيف يمكن استرجاع الملف بعد حذفه؟ لقد قمت بحذفه وافراغ سلّة المحذوفات أيضاً!
مهمّة التعامل مع الهارد هي وظيفة نظام التشغيل الذي تستخدمه وهذا الأمر يختلف بحسب نوع نظام الملفات المستخدم. حذفك للملف من النظام ليس بالضرورة يعني أنّه حذف من الهارد, قد يظهر النظام أنه حذف الملف وأزال اسمه من مستعرض الملفات لكن فعليّاً محتوياته مازالت موجودة ولم يتم الكتابة فوقها بعد ويمكن بقليل من الجهد عن طريق استخدام برامج وأدوات مختلفة استرجاع الملفّات التي قمت بحذفها. لأوضّح الفكرة أكثر لنفرض أنك تملك هارد بسعة 250 GB وقمت باستخدامه بشكل شبه كامل ثم قررت حذف 150 GB من الملفّات المخزّنة عليه, ماهي المدّة التي استغرقها نظام التشغيل لحذفهم؟ بضع ثوان صحيح؟ لماذا يستهلك نسخ 150 GB الى الهارد أضعاف أضعاف ذلك؟ ببساطة لأنك عندما حذفت الملفات حتى بعد افراغ سلّة المحذوفات النظام أزال أرشفتهم فقط ولم يقم بازالة محتوياتهم من الهارد وعندما تقوم بتعبئة الهارد مرّة أخرى سيتم الكتابة مكان الأماكن السابقة.

ماذا لو تم فرمتة الهارد كاملاً؟ هل من الممكن استعادة الملفات المحذوفة؟
فرمتة الهارد بشكل سريع تستغرق ثوان فقط! وفعليّاً هي لاتقوم بحذف شيء من الهارد بل تقوم باعداد جداول جديدة للأرشفة حسب نظام الملفات الذي اخترته وهذا يعني أننا نستطيع استرجاع الملفّات أيضاً حتى بعد الفرمتة, الا اذا استخدمت أدوات تقوم بـ “تصفير” الهارد أو كتابة معلومات عشوائية على كامل مساحة الهارد ثم فرمتته من جديدة, بهذه الحالة فقط لم يعد هنالك مجال لاستعادة المعلومات لأنها لم تعد موجودة أساساً.

في التحقيق الجنائي بالدول المتقدّمة (لا أعلم ان كان هذا الاختصاص موجود عربياً؟) غالباً يتم عمل نسخة طبق الأصل من الهارد باستخدام جهاز مخصص لهذه العمليّة (الجهاز ينسخ كل byte من الهارد وليس الملفات التي يظهرها نظام التشغيل فقط) ثم يتم استخدام برامج وأدوات خاصّة لمعرفة محتويات الهارد بشكل كامل واسترجاع الملفات التي تمّ حذفها سابقاً, لا يتم التعامل مع الهارد الأصلي بشكل مباشر ولا يتم العمل على نظام التشغيل المنصّب الّا من النسخة المأخوذة لكي لا يتم تغيير أي شيء أو تخريب الأدلّة والمعلومات الموجودة فيه.

ليس من الضروري استخدام الطريقة السابقة دائماً ففي الوقت الحالي أصبح بامكاننا استخدام احدى توزيعات نظام لينوكس للعمل من LiveCD أو ذاكرة USB واستخراج المعلومات التي نحتاجها وتخزينها على ذاكرة USB دون الحاجة لتشغيل النظام المنصّب بالجهاز أو تعديل أي شيء بالهارد لأن أنظمة التشغيل التي تعمل من LiveCD أو Live USB تنسخ الملفات التي تحتاجها الى ذاكرة الجهاز RAM وليس الى القرص الصلب.

أكبر خطأ في التحقيق الجنائي الرقمي هو تشغيل النظام المنصّب على الجهاز والعمل عليه مباشرة دون أخذ نسخة كاملة للهارد فاذا كان المتهم يملك خبرة برمجية بسيطة يستطيع برمجة برنامج يقوم بحذف الملفات بشكل تلقائي عند بدء التشغيل في حال لم تدخل كلمة مرور معيّنة أو توقف عمل البرنامج بعد بضع ثوان من بدء التشغيل مثلاً كذلك الأمر مع كلمات المرور فيمكن للمهاجم استخدام برنامج يقوم بفعل معيّن في حال أدخلت كلمة مرور خاطئة أو في حال أدخلت كلمة مرور مكشوفة! مخصصة لهذا الغرض (ورقة جانب اللابتوب كتب عليها My Password!! مثلا… )

قررت أن أستعرض احدى توزيعات نظام لينوكس بشكل سريع مع هذا الموضوع ووقع اختياري على توزيعة DEFT الايطاليّة, التوزيعة جميلة وخفيفة تستخدم LXDE كواجهة رسومية وتحتوي على أفضل الأدوات المفتوحة المصدر بهذا المجال.

صورة لتوزيعة DEFT 5 تعمل على جهازي من VirtualBox:

DEFT Splash ScreenDEFT Welcome ScreenDEFT LXDE Desktop

عند اقلاع التوزيعة يمكنك تشغيل الواجهة الرسومية بتنفيذ الأمر:

startx

بعض الأدوات الموجودة في التوزيعة:

DEFT Main Menu

طبعاً هذه ليست كافة أدوات التحقيق الجنائي الموجودة في التوزيعة فكثير من البرامج والأدوات تعمل من سطر الأوامر لذلك لم يتم وضعهم قائمة الأدوات السابقة, يمكن الاطلاع على هذه الصفحة لمعرفة كافة الأدوات الموجودة في التوزيعة.

في التهاية ما يجب معرفته أن هذا الموضوع مجرّد مقدّمة بسيطة والطرق والأساليب المستخدمة في التحقيق الجنائي في تطوّر مستمر وتم تأليف كتب كاملة عن هذا الموضوع فالمحققين الجنائيين يطوّرون أدوات وبرامج وتقنيات جديدة لتسهّل لهم عملهم والهاكرز أيضاً يطوّرون برامج وأدوات مضادّة لذلك…

تحياتي, Br4v3-H34r7.

التصنيف: GNU/Linux, Hacking & Security | عدد المشاهدات 6,154 | عدد التعليقات 23

رابط التعقيبات التعليقات RSS
x

أرسل الى صديق





أرسل الموضوع
twitter del.icio.us digg reddit stumbleupon facebook technorati google yahoo

التعليقات
  1. 1- Hadi كتب بتاريخ: 13 Dec 2009 الساعة: 8:49 PM

    Don’t you think that no need nowadays for all this effort, all they have to do to conduct this investigation is to ask Google for their search habits?

  2. 2- aysir كتب بتاريخ: 13 Dec 2009 الساعة: 9:41 PM

    ولكم باك شخبارك وشخبارن لندن

    مقدمه رائعه وكافيه وضافت الي الكثير خصوصا عدم استخدام الهارد المستهدف بصوره مباشره
    شكرا عبدو

  3. 3- osama كتب بتاريخ: 13 Dec 2009 الساعة: 10:47 PM

    بصراحة أحب أشكرك انتا ربنا يحفظك
    يعنى لو أستخدمت liveCD or pootabel لا يمكن معرفتك
    طب لو أمكن علشان الأي بى ممكن من عليهم نستخدم برنامج Hide Ip يديلهم اى بى خطا
    صح ولا

  4. 4- Black~cod كتب بتاريخ: 14 Dec 2009 الساعة: 8:18 AM

    شكرااااااااااااااااا خيو
    وانا انتضر كل جديدك بفارغ الصبر

  5. 5- Ahmed كتب بتاريخ: 14 Dec 2009 الساعة: 11:04 AM

    بارك الله فيك عبد المهيمن
    فعلا اداة رائعة وتفيد الكثيرين في عملهم
    دمتم بود

  6. 6- EVIL-KSA كتب بتاريخ: 14 Dec 2009 الساعة: 11:41 AM

    وعليكم السلام
    الف شكر على هذه المعلومات القيمه
    ولكن لو سمحت هل تستطيع ان تزودنا ببعض الاسماء لادوات او برمجيات تقوم بمسح محتوى الهارد نهائيا
    وشاكر لك مجهودك
    ملاحظة:: بما اننا في ذكر التوزيعات كم تبقى على صدور توزيعه IEXPLO1T والى اين وصلتم في العمل <<(ينتظرها بفارغ الصبر)

  7. 7- Ali Ahmed كتب بتاريخ: 14 Dec 2009 الساعة: 1:10 PM

    موضوع مشوق شكرا

  8. 8- ITlover كتب بتاريخ: 14 Dec 2009 الساعة: 1:51 PM

    معلومات جميلة جزاكم الله ألف خير

  9. 9- al_tenen كتب بتاريخ: 14 Dec 2009 الساعة: 7:54 PM

    كبير ياعمي والله انو المعلومات استفدت منها كتير

  10. 10- Dr.X3 كتب بتاريخ: 14 Dec 2009 الساعة: 11:20 PM

    يا هلا عبدو وينك وين زمانك .. ما نشوفك تكتب مثل أول ..

  11. 11- mrloong كتب بتاريخ: 15 Dec 2009 الساعة: 1:38 PM

    شـكــ وبارك الله فيك ـــرا لك … لك مني أجمل تحية .

  12. 12- مستخدم كتب بتاريخ: 15 Dec 2009 الساعة: 9:45 PM

    بسم الله الرحمن الرحيم

    شكرا لك اخي على المعلومات الجميلة وبالفعل استخراج المعلومات من القرص يعتبر من اهم اهداف المحققين الجنائين وكما قلت فان المحققين يتطورن وكدلك هم الهكرز و لعل خير دليل برنامج Darik’s Boot and Nuke الدي يكفي حرقه فقط والاقلاع منه لتدمير كل البيانات بطريقة تصعب على المحققين استرجاعها و مجددا شكرا على الموضوع الجميل

  13. 13- SkuLL-HacKeR كتب بتاريخ: 15 Dec 2009 الساعة: 10:23 PM

    موضوع جميل
    ومعلومات قيمة
    هل تعتقد هده العملية تستعمل من طرف FBI
    افضل كسر الجهاز على ان أعمل فورمات xD

  14. 14- CuTtHrOaT كتب بتاريخ: 16 Dec 2009 الساعة: 8:08 AM

    شكرا على الموضوع
    هذي التوزيعه ايطاليه ,,, هل ايطاليا تستخدمها في التحقيق الجنائي و ماذا عن الدول الآخرى المتقدمه ؟؟؟

    لكن هل ينفع الديب فريز كتجميد للهارد ؟ >>> بدل استخدام برامج تنظيف الهارديسك ؟؟

  15. 15- عبدالمهيمن كتب بتاريخ: 16 Dec 2009 الساعة: 8:01 PM

    @Hadi: لا أعتقد أن Google سيكون كافي بهذه الحالة, صحيح أنه يجمع الكثير من المعلومات عن المستخدمين ويراقب تحركاتهم (الايميل, المواقع التي يبحثون عنها… ) لكنه لن يعلم ما هي المعلومات المخزّنة على الهارد وهذه هي الأهم! (قد يظهر أن المتهم دخل لاحدى المواقع المراقبة عن طريق Google لكن جوجل لن يعرف ماذا قام المستخدم داخل هذا الموقع كما أني لا أتوقع أن جوجل تقوم بتزويد الشرطة بأي معلومات يطلبوها مالم يكن هنالك شيء يستحق ذلك.

    @aysir: أهلا أخي, بالنسبة لي أنا الحمدلله بخير وأتمنى أن تكون أنت كذلك أيضاً. أما لندن فبدأت أتقلم قليلاً لكن الجو فيها بارد دائماً وأفتقد العائلة والأصدقاء

    @osama: عند استخدامك لـ LiveCD أو Live USB فكما قلت في الموضوع هذه الأنظمة تعمل بشكل مباشر من الرام ولا تقوم بأي تعديل على الهارد (مالم تقم أنت بهذا التعديل بعد اقلاع النظام) بخصوص اخفاء الأيبي فلم أفهم ماذا تقصد بصراحة!!

    @EVIL-KSA: يوجد العديد من الأدوات في Hiren boot cd وسيديات أخرى مثل Darik’s Boot and Nuke الذي ذكره الأخ “مستخدم” كاتب التعليق رقم 12. بالنسبة لـ iExplo1t انتهيت من بعض الأمور وقد أقوم بوضع Screenshot في الشهر القادم. لكن التوزيعة مازالت في المراحل الأولية ويوجد الكثير من العمل يجب القيام به.

    @Dr.X3: هذا بسبب انشغالي بموقع iSecur1ty وسفري الى لندن والدراسة أيضاً وبعض الأمور الأخرى

    @SkuLL-HacKeR: لا أعلم بهذا الشيء ولا أتوقع ذلك فالـ FBI يملك معلومات وأدوات خاصّة بهم أكثر بكثير من الموجودة في الانترنت.

    @CuTtHrOaT: لقد ذكرت أن التوزيعة ايطاليّة لأن المطورين القائمين عليها من ايطاليا فقط ولا أعلم ان كانت هذه التوزيعة تستخدم من قبل الجهات المختصّة هناك. بالنسبة للديب فريز أتوقع أنه يفي بالغرض لكني لست متأكد من هذه المعلومة فالبرنامج يجعل جميع الأمور التي قام بها المستخدم على النظام وهمية وعند اعادة التشغيل يعيد حالة الهارد لما كانت عليه (disk sector level) .

الصفحات: [1] 2 » أظهر جميع التعليقات
المشاركة بتعليق

               


أعلى الصفحة