التحقيق الجنائي لنظام ويندوزWindows Forensics الجزء الثاني
استكمال لسرد غالبية الأدلة الجنائية الرقمية لنظام التشغيل ويندوزWindows Artifacts
Thumbs Cache Artifacts
ملفات Thumbs.db هي ملفات مخزنة في كل دليل على أنظمة Windows التي تتضمن الصور المصغرة . هذه ملفات افتراضية .Thumbs.db تخزن معلومات قيمة غير متوفرة في أي مكان آخرو يتم إنشاء الملف محليًا بين الصور. ستجد موقع Thumbs.db في المسار التالي :
C: \ Users \ Username \ AppData \ Local \ Microsoft \ Windows \ Explorer
HKey Class Root Artifacts
يحتوي HKey Class Root أو مفتاح HKCR ببساطة على معلومات حساسة حول ملحقات أسماء الملفات المختلفة بالإضافة إلى احتوائه على معلومات متعلقة بمسجلات COM class . علاوة على ذلك ، تم تصميمه ليكون متوافقًا مع سجل Window 16 بت.
يقوم كل من مفتاحي HKEY _LOCAL_MACHINE و HKEY_CURRENT_USER بتخزين معلومات الأشياء الثمينة المتعلقة بامتدادات اسم الملف وتسجيل الفئة.
يخزن هذا المفتاح جميع المعلومات المتعلقة بمستخدمين مختلفين يستخدمون النظام. HKEY_LOCAL_MACHINE \ Software \ Classes
من ناحية أخرى ، يقوم هذا المفتاح بتخزين المعلومات المتعلقة بالمستخدم التفاعلي على النظام.
HKEY_CURRENT_USER \ Software \ Classes
Cookies Artifacts
تقوم مواقع الويب بتخزين المعلومات على جهاز الكمبيوتر الخاص بك في شكل ملفات تعريف الارتباط أو ما يطلق عليها الكوكيز. يمكن تعريف ملفات تعريف الارتباط تقريبًا على أنها ملفات نصية صغيرة تحتوي على معلومات تتعلق بتفضيلات وتكوين مستخدم معين.
يمكن الوصول إلى هذه الملفات باستخدام الرابط التالي :
C: User(username)\AppData\Roaming folder\ Microsoft\Windows\Cookies.
Program Files Artifacts
يقوم كل مستخدم بالطبع بتنزيل برامج عديدة على حاسوبه . ربما أيضاً يقوم بعض مجرمو الأنترنت والهاكرز بتصيب برامج وأدوات من شأنها تقود لدليل يكون ضدهم . لذا يكون فحص مجلدات البرامج أمر ذو قيمة للمحقق.
يمكن الوصول إلى مجدات وملفات البرامج باستخدام المسارات التالية :
C:\program files
C:\Program files (x86)
ملاحظة: تم تصميم هذه المجلدات لتكون متوافقة مع إصدار 32 بت و 64 بت من Windows . الأول متوافق مع إصدار 64 بت من Windows ، بينما يتوافق المجلد الثاني مع إصدار 32 بت من Windows .
Meta Data Artifacts
يمنح Windows مستخدميه خيار استعادة للملفات والنظام لنقطة زمنية معينة وبالتالي إنشاء صورة لنظامك. يساعد هذا بشكل أساسي في تزويد المستخدمين بخيار العودة إلى النقطة التي كان النظام يعمل فيها بشكل مثالي في حالة حدوث أخطاء فادحة في النظام. تحتوي صورة النظام هذه أيضًا على محركات الأقراص التي يتطلبها نظام التشغيل لديك للتشغيل بالإضافة إلى تضمين إعدادات البرنامج وإعدادات النظام وإعدادات الملفات.
My Documents Artifacts
تحتوي المستندات الخاصة بالمستخدم على نظام ويندوز على كافة المعلومات المتعلقة بالملفات التي تم إنشاؤها بواسطة المستخدمين بأنفسهم. عادةً عند تثبيت برنامج على نظام ما ، يتم تخزين المعلومات في هذا المجلد. يُعرف أيضًا باسم مساحة التخزين الأساسية المخصصة لتخزين جميع المعلومات الأساسية. يمكن الوصول إلى المجلد من خلال المسار التالي:
C: \ Users \ username \ MyDocuments
Logo Artifacts
تتضمن الشعارات المضمنة في نظام التشغيل Windows 7 معلومات قيمة تتعلق بمعلومات أحداث التطبيق ، ومعلومات الأحداث المتعلقة بالأمان ، ومعلومات أحداث الإعداد ، ومعلومات الأحداث المعاد توجيهها ، ومعلومات أحداث التطبيق.
Start Menu Artifacts
تم استبدال قائمة Start (ابدأ) التقليدية بقائمة Start (ابدأ) أخرى في Windows 7. باستخدام برنامج مثل shell ، من الممكن تمامًا استعادة القائمة مرة أخرى. في Windows 7 ، العمود الأيمن من البداية (إصدار جديد من قائمة البدء) ، تظهر الروابط إلى المكتبات المعنية بدلاً من المجلدات.هذا يفيدنا بإلقاء نظرة سريعة على البرامج والمستندات الأخيرة .
Print Spooler Artifacts
Print Spooler هو برنامج مسؤول عن تنظيم جميع مهام الطباعة التي تم إرسالها إلى خادم الطباعة أو طابعة الكمبيوتر. في الأساس ، يتم تخزين جميع المعلومات المتعلقة بالطباعة في هذا المجلد. بالطبع هذا يفيد المحقق أيضاً في الإطلاع على ملفات وسجلات الطباعة من اجل الحصول على معلومات ربما تكون ذات قيمة .
يمكن الوصول إلى المجلد باستخدام الرابط التالي :
C: \ Window \ System32 \ Spool \ Printers
Recent Folder Artifacts
يقوم “المجلد الذي تم فتحه مؤخرا” أو ما يعرف ب Recent Folder بتخزين ارتباطات الملفات التي تم الوصول إليها أو فتحها مؤخرًا بواسطة مستخدم معين. يمكن الوصول إلى المجلد باستخدام الرابط التالي :
C: \ Users \ username \ AppData \ Roaming \ Microsoft \ Windows \ Recent.
المصادر:
https://www.forensicfocus.com
https://answers.microsoft.com
https://windowsbb.com
https://www.windowsphoneinfo.com
في الدرس القادم سنقوم بشرح بعض أدوات وبرامج التحقيقات الجنائية الرقمية التي ستساعدنا في التحليل وإيجاد الدلائل في عميلة التحقيق.
