التحقيق الجنائي لنظام ويندوز Windows Forensics الجزء الأول

كم يعلم أي شخص بأن أغلب ما يمارسه البشر الأن من نشاط على الانترنت أو لتيسير الأعمال الحيوية يتم من خلال أنظمة تشغيل وعندما نتحدث عن الحواسيب المكتبية أو المحمولة فإن النظام الأشهر والأوسع استخداماً هو نظام ويندوز من إنتاج شركة مايكروسوفت . مع زيادة الجرائم الإلكترونية والهجمات السيبرانية يرتبط بلا شك نظام التشغيل ويندوز بشكل وثيق مع تلك الجرائم كونها إنطلقت تلك الهجمات والجرائم السيبرانية من نظام التشغيل الأشهر ويندوز.

لا يدرك المستخدم العادي في الغالب حقيقة أن نظام التشغيل الذي تمت ترقيته حديثًا يترك مسارات لنشاطه. من الضروري أن يعرف المستخدمون أنه يتم تخزين أجزاء قيمة من المعلومات الحساسة والسرية فيما نعرفه نحن محللي التحقيقات الجنائية الرقمية ب Windows Artifacts. يمكن استخدام هذه الأثار بعد جمعها في التحليل واستنباط معلومات قيمة تفيدنا في معرفة مرتكبي الجرائم السيبرانية . فكما تحدثنا في أول مقال في السلسلة حول مبدأ لوكارد بأن كل مجرم سواء في الواقع أو الإنترنت يترك أثر له في مسرح الجريمة ويأخذ أثر أيضاً . هذا بالطبع ينطبق على نظام التشغيل ويندوز فهو في الغالب يترك على ويندوز أثر ويأخذ منه كذلك الأمر . ببساطة يمكننا تشبيه Windows Artifacts بأنها بصمة إصبع أو حمض نووي لإنسان.

سنقوم بسرد لغالبية الأدلة الجنائية الرقمية لنظام التشغيل ويندوزWindows Artifacts

ملاحظة : تختلف بعض أماكن ومسارات بعض الأدلة تبعاً لإصدار ويندوز ولكن لا تقلق هذه التغيرات بسيطة ابتداء من نظام التشغيل ويندوز 7 فلا توجد فروق هائلة بين 7 و8.1 أو حتى 10 .

للحصول على فهم أفضل لكيفية استخدام هذه Artifacts للوصول إلى المعلومات القيمة أو استردادها ، من الضروري مناقشة بعض أهم العناصر في Windows بإيجاز:

Root user Folder
يتيح مجلد المستخدم الجذر الوصول إلى نظام التشغيل الكامل. يحتفظ المستخدم الجذر بالحق في حذف وتعديل الملفات الموجودة على نظام التشغيل إلى جانب امتلاك حقوق إنشاء مستخدمين جدد ومنحهم بعض الحقوق. ومع ذلك ، لا يمكن أن تتجاوز هذه الحقوق حقوق مستخدم الجذر.

يمكن الوصول إلى المجلد من خلال Start \ Run \٪ SYSTEMROOT٪ \ System32

Desktop
يتم تخزين جميع الملفات الموجودة على سطح المكتب للمستخدم في مجلد سطح المكتب لنظام التشغيل. عادةً ما يتم تعبئة سطح المكتب بالملفات أيضًا من قبل المستخدم أو من خلال البرامج التي تنشئ الملفات تلقائيًا وتضعها على سطح المكتب.

يمكن الوصول إلى المجلد من خلال C:\USERS\username\desktop

Pinned files
الملفات المثبتة أو قوائم الانتقال هي ميزة جديدة نسبيًا تم تقديمها في Windows 7 تم إصدارها بواسطة Microsoft. باستخدام قوائم Jump يمكن الوصول إلى جميع الملفات المثبتة. بالإضافة إلى ذلك ، تحتفظ هذه القوائم أيضًا بسجل للملفات التي تمت زيارتها مؤخرًا أو الأخيرة المتعلقة ببرنامج معين.

يمكن الوصول إلى المجلد من خلال : C:\Users\username\AppData\Roaming\Microsoft\InternetExplorer\QuickLaunch\UserPinned\TaskBar.

Recycle Bin Artifacts
تخزن سلة المحذوفات الملفات المحذوفة مؤخرًا بشكل مؤقت. يمكن استعادة هذه الملفات بسهولة. يمكنك فقط عرض “مجلد المحذوفات” بعد إلغاء تحديد خيار إخفاء \ حماية ملفات النظام باستخدام المسار التالي : C:\$recycle.bin

Registry Artifacts
السجل هو المكان الذي يتم فيه الاحتفاظ بمعلومات تكوين Windows وتخزينها. يمكن استخدامه للحصول على معلومات تتعلق بالاستخدام التاريخي والحالي للتطبيقات بالإضافة إلى الحصول على أجزاء قيمة من المعلومات حول تفضيلات الخيارات وإعدادات النظام.
يمكن الوصول إليه باستخدام الرابط التالي : NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuerry

App Data Artifacts
بيانات التطبيق هي نقطة وصل مصممة لتوفير التوافق مع الإصدارات السابقة. يمكن تعريفه على أنه اختصار يعمل على إعادة توجيه البرامج والملفات إلى مواقع مختلفة. يتم تخزين جميع المعلومات المتعلقة بتكوين الإعدادات (للتطبيقات المختلفة) في هذا المجلد. علاوة على ذلك ، يتم أيضًا تخزين المعلومات المتعلقة بدفتر عناوين Windows والملفات التي تم الوصول إليها مؤخرًا في هذا المجلد.

يمكن الوصول إلى المجلد من خلال :
C: User\ (username)\AppData\Roamingfolder

Favorites Artifacts
يحتوي المجلد على أجزاء قيمة من المعلومات المتعلقة بتفضلات Windows Explorer و Internet Explorer. يمكن الوصول إلى المجلد باستخدام الرابط التالي:
C:\USERS\username\favorites.

Send to Artifacts
يخزن مجلد Send to المعلومات المتعلقة بالاختصارات إلى المواقع المختلفة وتطبيقات البرامج الأخرى على نظام تشغيل جهاز الكمبيوتر الخاص بك. تعمل هذه الاختصارات كنقاط وجهة Destination Points. باستخدام نقاط الوجهة هذه ، يمكن إرسال ملف أو تنشيطه. علاوة على ذلك ، يمكن أيضًا تعديل هذه النقاط وفقًا لراحتك. يمكن الوصول إلى المجلد باستخدام الرابط التالي:
C:\Users\username \AppData\Roaming\Microsoft\Windows\SendTo

Swap Files Artifacts
ملفات المبادلة هي ملفات الذاكرة للكمبيوتر الخاص بك والتي تساعد في توسيع ذاكرة جهاز الكمبيوتر الخاص بك. هذه الملفات غير مرئية ومخفية بواسطة الإعدادات الافتراضية. لعرض هذه الملفات يمكن استخدام الرابط التالي:

MyComputer>Properties>Taskmenu>AdvancedSystemSettings>Advancedtab>Performance>Settings>Performance options dialogue box>Advanced tab>Change.

في الجزء الثاني سنقوم باستكمال شرح Windows Artifacts .