شرح أشهر برامج التحقيقات الجنائية الرقمية Digital Forensics
Autopsy
Autopsy هو برنامج للتحقيق الجنائي الرقمي مفتوح المصدر يعتمد على واجهة المستخدم الرسومية لتحليل محركات الأقراص الثابتة والهواتف الذكية بكفاءة. يتم استخدام Autospy من قبل الآلاف من المستخدمين في جميع أنحاء العالم للتحقيق بخصوص الجرائم الرقمية.
يتم استخدام Autopsy على نطاق واسع من قبل مدققي الشركات والجيش وشركات الأمن السيبراني . فيما يلي نستعرض أبرز نقاط وميزات البرامج الشهيرAutopsy :
تحليل البريد الإلكتروني.
كشف أنواع الملفات.
تشغيل الوسائط.
تحليل الريجستري.
استعادة الصور من بطاقة الذاكرة.
استخراج معلومات الموقع الجغرافي والكاميرا من ملفات JPEG.
استخراج نشاط الويب من المستعرض.
عرض أحداث النظام في واجهة رسومية.
تحليل الجدول الزمني Timeline للأحداث.
استخراج البيانات من Android – الرسائل القصيرة وسجلات المكالمات وجهات الاتصال وما إلى ذلك.
يمكنك أيضاً إنشاء تقرير في النهاية عند الانتهاء من عميلة التحقيق بتنسيق HTML و XLS.
يمكنك تحميل Autospy عبر الرابط التالي : https://www.autopsy.com/download
ExifTool
تساعدك أداة ExifTool على قراءة معلومات التعريف meta information وكتابتها وتحريرها لعدد كبير من أنواع الملفات المختلفة. يمكنه قراءة EXIF , GPS , IPTC , XMP ,JFIF , GeoTIFF , Photoshop IRB و FlashPix وما إلى ذلك. هذا بالطبع يساعدنا عند التحقيق الجنائي للصور والفيديو ومعرفة مكان وزمن التقاط الصور إن توفرت.
يمكنك تحميل ExifToolعبر الرابط التالي : https://exiftool.org
FTK Imager
FTK Imager عبارة عن مجموعة أدوات جنائية رقمیة تم تطويرها بواسطة AccessData والتي يمكن استخدامها للحصول على الأدلة ونسخها وتحلیلها أيضاً. يمكنه إنشاء نسخ من البيانات دون إجراء تغييرات على الدليل الأصلي أي ما نطلق عليه bit by bit . من المهم ان تعرف بأن في النسخ عند عملية التحقيق لا يتم بالشكل العادي ولكن يتم عمل نسخ لكل بت موجود على القرص وهذا أحد ميزات هذا البرنامج. تتيح لك هذه الأداة تحديد معايير ، مثل حجم الملف وحجم البكسل ونوع البيانات لتقليل كمية البيانات غير ذات الصلة.
يمكنك تحميل FTK Imager عبر الرابط التالي :
https://accessdata.com/products-services/forensic-toolkit-ftk
Magnet RAM capture
يسجل Magnet RAM صورة عن ذاكرة الكمبيوتر المشتبه به والمُعد لعملية التحقيق الجنائي. يسمح للمحققين باستعادة وتحليل العناصر القيمة الموجودة في الذاكرة.
أهم ميزاته:
يمكنك تشغيل هذا التطبيق مع تقليل البيانات المكتوبة في الذاكرة.
تصدير بيانات الذاكرة الملتقطة وتحميلها إلى أدوات التحليل مثل Magnet AXIOM و Magnet IEF.
يدعم هذا التطبيق مجموعة واسعة من أنظمة تشغيل Windows.
يدعم التقاط ذاكرة الوصول العشوائي .
يمكنك تحميل Magnet RAM capture عبر الرابط التالي :
X-Ways Forensics
X-Ways هو برنامج يوفر بيئة عمل لفاحصي الطب الشرعي الرقمي. يدعم هذا البرنامج عميلة استنساخ الأقراص والتصوير أو ما نطلق عليه ب cloning . يمكّنك من التعاون مع الأشخاص الآخرين الذين لديهم هذه الأداة أيضاً .
ميزات X-Ways Forensics:
لديه القدرة على قراءة هياكل نظام التقسيم والملفات داخل ملفات الصور .dd.
يمكنك الوصول إلى الأقراص و RAIDs (مجموعة متكررة من الأقراص المستقلة) والمزيد.
يحدد تلقائيًا الأقسام المفقودة أو المحذوفة.
يمكن لهذه الأداة بسهولة اكتشاف NTFS (نظام ملفات التكنولوجيا الجديدة) و ADS (تدفقات البيانات البديلة).
يدعم X-Ways Forensics الإشارات المرجعية أو التعليقات التوضيحية.
يمكنك عرض وتحرير البيانات الثنائية باستخدام القوالب.
يوفر حماية ضد الكتابة للحفاظ على أصالة البيانات.
يمكنك تحميل Magnet RAM capture عبر الرابط التالي :
http://www.x-ways.net/forensics
Wireshark
البرنامج الأكثر شهرة لتحليل حزم الشبكة. يمكن استخدامه لاختبار الشبكة واستكشاف الأخطاء وإصلاحها. تساعدك هذه الأداة على التحقق من حركة المرور المختلفة التي تمر عبر نظام الكمبيوتر الخاص بك.أيضاً إن كان هناك ملفات PCAP جائت من مراكز العمليات الأمنية يمكن لمحققي التحقيق الجنائي الرقمي للشبكات تحليلها من أجل معرفة الخرق والتحقيق بشأنه.
ميزات Wireshark :
يوفر تحليلاً ثريًا فيما يخص ال VoIP (نقل الصوت عبر بروتوكول الإنترنت).
يمكن فك ضغط ملفات الالتقاط باستخدام gzip بسهولة.
يمكن تصدير الإخراج إلى XML (لغة التوصيف الموسعة) أو ملف CSV أو نص عادي.
يمكن قراءة البيانات الحية من الشبكة و USB ، وما إلى ذلك.
دعم فك التشفير للعديد من البروتوكولات التي تتضمن IPsec (أمان بروتوكول الإنترنت) و SSL و WEP .
يسمح لك بقراءة الملفات أو كتابتها بأي تنسيق وتصديرها أيضاً
يمكنك تحميل Wireshark عبر الرابط التالي :
https://www.wireshark.org/#download
SIFT Workstation
هي توزيعة خاصة بالتحقيقات الجنائية الرقمية. مبنية هذه التوزيعة على Ubuntu. إنها واحدة من أفضل أدوات الطب الشرعي الرقمي التي توفر مرفقًا رقميًا لفحص الأدلة الجنائية والاستجابة للحوادث وتحتوي على العديد من البرامج والأدوات المناسبة من أجل سير عمليلة التحقيق بشكل صحيح .
ميزات توزيعة SIFT Workstation:
يمكن أن تعمل على نظام تشغيل 64 بت.
تقوم تلقائيًا بتحديث حزمة DFIR (الأدلة الجنائية الرقمية والاستجابة للحوادث).
يمكنك تثبيته عبر مثبت SIFT-CLI (واجهة سطر الأوامر).
تحتوي هذه الأداة على العديد من أحدث أدوات وتقنيات الطب الشرعي الرقمي.
يمكنك تحميل توزيعة SIFT Workstation عبر الرابط التالي :
https://www.sans.org/tools/sift-workstation
Volatility Framework
Volatility أشهر أدوات تحليل التحقيق الجنائي الرقمي للذاكرة العشوائية RAM . إنها واحدة من أفضل أدوات التحقيق فيما يخص تحليل الذاكرة العشوائية من أجل الحصول على معلومات تفيد المحقق. في الذاكر العشوائية نحصل على معلومات قيمة جداً لا تظهر في التحليل النمطي أو العادي للبرامج التي تخص التحقيق الجنائي الرقمي. تساعدك على اختبار حالة وقت تشغيل النظام باستخدام البيانات الموجودة في ذاكرة الوصول العشوائي وأبرز البرامج التي تم تشغيلها وفي حال وجود برامج ضارة كانت تعمل بالخلفية فيمكن العثور عليها عن طريق تلك الأداة الرائعة.
عبر هذا الرابط يمكنك العثور على كيفية العمل على Volatility Framework واستخدام كافة الأوامر التي تفيدك بالتحقيق :
https://github.com/volatilityfoundation/volatility/wiki/Command-Reference
يمكنك تحميل Volatility Framework عبر الرابط التالي :
https://www.volatilityfoundation.org/releases
المصادر:
https://en.wikipedia.org
https://www.guru99.com
