www.jordanprogrammer.tk www.jordanprogrammer.com رابط الدرس في المدونه http://www.jordanprogrammer.tk/2014/04/fbi-forensic-field-kit-2nd-lesson-.html#

1. ‫االلكتروني‬ ‫الجنائي‬ ‫التحقيق‬‫ه‬‫ر‬‫دو‬
‫خطواته‬ ‫و‬‫االلكتروني‬ ‫الجنائي‬ ‫التحقيق‬ ‫احل‬‫ر‬‫م‬
‫دني‬‫ر‬‫اال‬ ‫املبرمج‬‫ـه‬‫ـ‬‫ـ‬‫ـ‬‫ـ‬‫ـ‬‫ـ‬‫ـ‬‫ـ‬‫ـ‬‫ن‬‫مدو‬
www.jordanprogrammer.tk

2. ‫خطواته‬ ‫و‬ ‫االلكتروني‬ ‫الجنائي‬ ‫التحقيق‬‫احل‬‫ر‬‫م‬
 ‫االلكتروني‬‫الجنائي‬‫التحقيق‬:‫امج‬‫ر‬‫ب‬‫و‬‫ادوات‬‫و‬ ‫ق‬‫طر‬ ‫استخدام‬‫هو‬
‫لي‬(‫تحديد‬,‫جمع‬,‫تحليل‬,‫اج‬‫ر‬‫استخ‬,‫ترجمه‬,‫نسخ‬,‫توثيق‬)
‫من‬ ‫الهدف‬‫و‬ ‫اجهزه‬‫عده‬ ‫او‬‫معين‬ ‫جهاز‬ ‫من‬‫املستخرجه‬‫املعلومات‬
‫الجنائيه‬‫االدله‬‫تعزيز‬‫هذا‬,‫عمليه‬ ‫اي‬ ‫احباط‬‫او‬ ‫لكشف‬ ‫لذلك‬‫و‬
‫تمت‬ ‫شرعيه‬‫غير‬.

3. ‫خطواته‬ ‫و‬ ‫االلكتروني‬ ‫الجنائي‬ ‫التحقيق‬‫احل‬‫ر‬‫م‬
‫االلكتروني‬ ‫الجنائي‬ ‫التحقيق‬ ‫مراحل‬:
1-‫االدله‬ ‫جمع‬
2-‫االدله‬ ‫فحص‬
3-‫االدله‬ ‫اجعه‬‫ر‬‫م‬ ‫و‬ ‫تحليل‬
4-‫ادله‬ ‫من‬‫اجه‬‫ر‬‫استخ‬ ‫تم‬ ‫ما‬‫في‬ ‫مفصل‬ ‫تقرير‬‫عمل‬

4. ‫خطواته‬ ‫و‬ ‫االلكتروني‬ ‫الجنائي‬ ‫التحقيق‬‫احل‬‫ر‬‫م‬
‫عليها‬ ‫ل‬‫الحصو‬ ‫و‬‫االدله‬ ‫جمع‬ ‫ق‬‫طر‬
‫األولى‬‫الخطوة‬‫ي‬‫حتى‬‫املتوقع‬ ‫الرقمي‬ ‫الدليل‬‫مصدر‬ ‫تحديد‬‫هي‬ ‫الجنائي‬‫التحقيق‬‫عملية‬‫في‬‫ل‬‫الحصو‬ ‫تم‬
‫وتحليله‬‫لفحصه‬
ً
‫تمهيدا‬‫قمية‬‫ر‬‫ة‬‫ر‬‫بصو‬‫عليه‬.‫اص‬‫ر‬‫أق‬‫ن‬‫تكو‬‫فقد‬ ‫تختلف‬‫البيانات‬‫مصادر‬‫صلبة‬,‫ات‬‫ر‬‫ذاك‬
‫عشوائية‬,‫جية‬‫ر‬‫خا‬‫اص‬‫ر‬‫أق‬…‫وغيرها‬.
‫ت‬‫وبعد‬ ‫قبل‬ ‫الدليل‬‫صحة‬ ‫من‬‫للتأكد‬‫الخطوات‬ ‫من‬‫بعدد‬‫ر‬‫و‬‫املر‬‫يجب‬‫البيانات‬‫على‬‫ل‬‫للحصو‬‫كوينه‬:
1-‫البيانات‬‫على‬‫ل‬‫الحصو‬‫قبل‬‫خطة‬‫سم‬‫ر‬‫ل‬‫و‬‫املسؤ‬ ‫الشخص‬‫على‬ ‫يجب‬,‫م‬‫تحديد‬‫عليه‬ ‫يجب‬ ‫أي‬
ً
‫سبقا‬
‫بإتخاذها‬‫يقوم‬‫سوف‬ ‫التي‬‫الطريقة‬,‫إستخدامها‬ ‫عليه‬‫وكيف‬ ‫األدوات‬‫ماهي‬,‫ب‬‫يقوم‬‫سوف‬ ‫كيف‬‫ل‬‫الحصو‬
‫عم‬‫خالل‬‫في‬‫األشكال‬ ‫من‬‫شكل‬ ‫بأي‬ ‫الدليل‬‫تعديل‬ ‫عدم‬‫على‬ ‫الحرص‬ ‫مع‬‫الحاوية‬ ‫من‬ ‫الدليل‬‫على‬‫لية‬
‫بيانات‬‫إلى‬‫الحاوية‬ ‫تحويل‬.
2-‫السابقة‬‫الخطوة‬‫على‬
ً
‫بناءا‬,‫إستخ‬‫عملية‬‫في‬ ‫البدء‬‫األمني‬‫املحقق‬ ‫أو‬ ‫املحلل‬‫على‬ ‫يجب‬‫من‬‫البيانات‬‫اج‬‫ر‬
‫الرقمية‬‫الحاوية‬.

5. ‫خطواته‬ ‫و‬ ‫االلكتروني‬ ‫الجنائي‬ ‫التحقيق‬‫احل‬‫ر‬‫م‬
3-‫تغ‬ ‫أي‬ ‫أ‬‫ر‬‫يط‬ ‫لم‬ ‫بأنه‬ ‫للتأكد‬ ‫تحويلها‬ ‫بعد‬ ‫البيانات‬‫سالمة‬ ‫من‬ ‫التأكد‬ ‫يجب‬‫عليها‬ ‫يير‬.
‫تواقيع‬‫نة‬‫ر‬‫مقا‬ ‫طريق‬‫عن‬ ‫العملية‬ ‫بهذه‬ ‫القيام‬ ‫يمكن‬SHA‫أو‬MD5‫االصلية‬ ‫للحاوية‬
‫املنسوخة‬ ‫والبيانات‬(Hash Verification).
4-‫السابق‬‫الخطوة‬ ‫بنفس‬‫سالمتها‬ ‫من‬ ‫التأكد‬ ‫مع‬ ‫البيانات‬‫من‬ ‫ى‬‫أخر‬‫نسخة‬‫عمل‬‫وحفظها‬ ‫ة‬
‫املستخدمة‬ ‫البيانات‬ ‫في‬ ‫عطب‬ ‫أي‬ ‫حدوث‬ ‫حال‬‫في‬ ‫آمن‬ ‫مكان‬‫في‬.

6. ‫خطواته‬ ‫و‬ ‫االلكتروني‬ ‫الجنائي‬ ‫التحقيق‬‫احل‬‫ر‬‫م‬
‫الرقمية‬‫البيانات‬‫فحص‬
‫اجه‬‫ر‬‫وإستخ‬ ‫بالقضية‬ ‫املتعلقة‬ ‫األدلة‬ ‫بفصل‬ ‫الجنائي‬ ‫املحقق‬ ‫يقوم‬‫الفحص‬ ‫عملية‬‫في‬‫من‬ ‫ا‬
‫السابقة‬‫الخطوة‬‫من‬ ‫عليها‬ ‫ل‬‫حصو‬‫تم‬ ‫التي‬ ‫البيانات‬.‫للبيانات‬‫الحاوية‬‫نوع‬ ‫حسب‬‫على‬,‫ي‬‫جب‬
‫الرقمي‬ ‫الدليل‬ ‫اج‬‫ر‬‫إلستخ‬ ‫املناسبة‬ ‫األداة‬‫نوع‬‫إستخدام‬‫اعاة‬‫ر‬‫م‬ ‫املحقق‬‫على‬.‫ل‬‫الجدو‬
(‫ل‬‫جدو‬1)‫عمليات‬‫في‬ ‫املستخدمة‬ ‫األدوات‬ ‫لبعض‬ ‫األمثلة‬ ‫بعض‬ ‫يوضح‬ ‫سوف‬‫أدناه‬ ‫املوضح‬
‫األدلة‬ ‫اج‬‫ر‬‫إستخ‬–‫املدفوعة‬ ‫والنسخ‬ ‫منها‬ ‫املجانية‬.

7. ‫خطواته‬ ‫و‬ ‫االلكتروني‬ ‫الجنائي‬ ‫التحقيق‬‫احل‬‫ر‬‫م‬

8. ‫خطواته‬ ‫و‬ ‫االلكتروني‬ ‫الجنائي‬ ‫التحقيق‬‫احل‬‫ر‬‫م‬
‫األدلة‬‫اجعة‬‫ر‬‫وم‬‫تحليل‬
‫الفحص‬ ‫عملية‬‫في‬ ‫اجها‬‫ر‬‫إستخ‬ ‫تم‬ ‫التي‬ ‫البيانات‬‫على‬ ‫تتم‬ ‫سوف‬ ‫التحليل‬ ‫عملية‬,‫حي‬‫ث‬
‫التحليل‬‫عملية‬ ‫خالل‬‫في‬‫اإلستنتاجات‬ ‫تحديد‬ ‫يتم‬ ‫سوف‬.‫يت‬ ‫سوف‬ ‫املرحلة‬ ‫هذه‬ ‫في‬‫م‬
‫األحداث‬‫بط‬‫ر‬‫و‬ ‫تحديد‬,‫بهم‬ ‫املشتبه‬,‫وغيرها‬.‫بعملي‬ ‫يقوم‬‫أن‬ ‫ويفضل‬‫املستحسن‬ ‫من‬‫ة‬
‫البحث‬ ‫في‬‫الخاصة‬ ‫طريقته‬ ‫له‬ ‫ن‬‫تكو‬ ‫قد‬‫شخص‬ ‫كل‬ ‫حيث‬‫محقق‬ ‫من‬‫أكثر‬ ‫التحليل‬
‫القضية‬ ‫ملف‬ ‫لدعم‬ ‫األدلة‬‫من‬‫أكبر‬‫عدد‬‫على‬‫ل‬‫الحصو‬ ‫وبالتالي‬ ‫والتحليل‬.

9. ‫خطواته‬ ‫و‬ ‫االلكتروني‬ ‫الجنائي‬ ‫التحقيق‬‫احل‬‫ر‬‫م‬
‫التقرير‬
‫البداية‬ ‫منذ‬ ‫التحقيق‬ ‫عملية‬ ‫تدوين‬ ‫عليه‬ ‫يجب‬‫الجنائي‬ ‫املحقق‬,‫سوف‬ ‫ذلك‬ ‫ألن‬‫في‬ ‫يساعد‬
‫التقرير‬ ‫كتابة‬ ‫عملية‬.
‫كالتالي‬ ‫تقريرين‬ ‫كتابة‬ ‫املحقق‬‫على‬ ‫يجب‬ ‫حيث‬:
1-‫النتائج‬‫مع‬ ‫التحقيق‬ ‫لعملية‬ ‫تقني‬‫تقرير‬.
2-‫تقنية‬‫خبرة‬ ‫اليملك‬ ‫الذي‬ ‫العادي‬ ‫للشخص‬‫عام‬ ‫تقرير‬.

10. ‫خطواته‬ ‫و‬ ‫االلكتروني‬ ‫الجنائي‬ ‫التحقيق‬‫احل‬‫ر‬‫م‬
‫والتشفير‬ ‫املباشر‬ ‫التحقيق‬
‫ب‬ ‫يؤدي‬ ‫سوف‬ ‫للجهاز‬‫التشغيل‬ ‫إيقاف‬ ‫ن‬‫يكو‬‫عندما‬ ‫املباشر‬ ‫التحقيق‬‫عملية‬ ‫تتم‬‫على‬ ‫التأثير‬
‫وسالمتها‬ ‫األدلة‬ ‫توافر‬.‫ب‬ ‫يقوم‬ ‫سوف‬ ‫التشغيل‬ ‫إيقاف‬ ‫كان‬ ‫لو‬‫املثال‬ ‫سبيل‬‫على‬‫جميع‬ ‫مسح‬
‫العشوائية‬ ‫الذاكرة‬ ‫في‬ ‫املوجودة‬ ‫البيانات‬RAM‫على‬‫ل‬‫بالحصو‬ ‫املحقق‬‫على‬ ‫يجب‬ ‫حينها‬
‫املش‬‫لجهاز‬ ‫التشغيل‬ ‫وضعية‬‫في‬ ‫العشوائية‬‫الذاكرة‬ ‫في‬ ‫املوجودة‬ ‫البيانات‬ ‫جميع‬‫به‬ ‫تبه‬.
‫بي‬‫ألي‬ ‫أو‬ ‫ر‬‫و‬‫املر‬ ‫كلمات‬‫على‬‫ل‬‫الحصو‬‫في‬ ‫ي‬ ‫ئيس‬‫ر‬ ‫مساعد‬ ‫املباشر‬ ‫التحقيق‬
ً
‫غالبا‬‫مشفرة‬ ‫انات‬
‫العشوائية‬‫الذاكرة‬‫في‬‫مشفرة‬ ‫الغير‬ ‫تها‬‫ر‬‫بصو‬ ‫موجودة‬ ‫ن‬‫تكو‬‫ألنها‬.

11. ‫خطواته‬ ‫و‬ ‫االلكتروني‬ ‫الجنائي‬ ‫التحقيق‬‫احل‬‫ر‬‫م‬
‫العشوائية‬‫الذاكرة‬‫من‬‫البيانات‬‫على‬ ‫ل‬‫الحصو‬
‫األدوات‬‫أو‬‫الحزم‬‫أحد‬‫بإستخدام‬‫عليها‬‫ل‬‫الحصو‬‫يمكن‬ ‫العشوائية‬ ‫الذاكرة‬‫في‬ ‫املوجودة‬‫البيانات‬
‫املتخصصة‬,‫حزمة‬‫هي‬‫الغرض‬ ‫لهذا‬‫ة‬‫ر‬‫املشهو‬‫األدوات‬ ‫من‬‫واحدة‬Monsols Memory
Forensics Toolkit.
‫العشوائية‬ ‫الذاكرة‬ ‫من‬‫اجها‬‫ر‬‫إستخ‬ ‫يمكن‬ ‫التي‬‫للبيانات‬ ‫أمثلة‬:
1-‫البيانات‬‫املشفرة‬,‫األصلية‬‫بصيغتها‬‫عليها‬‫ل‬‫الحصو‬‫يمكن‬‫حيث‬
‫النشطة‬‫املهام‬,‫املخفية‬,‫إنهائها‬ ‫تم‬‫والتي‬( Process List)
2-‫الشبكة‬ ‫إعدادات‬
3-‫إتصاالت‬‫والنشطة‬ ‫املنهية‬ ‫الشبكة‬(‫الخبيثة‬ ‫للبرمجيات‬‫العكسية‬ ‫الهندسة‬‫عملية‬‫في‬ ‫مفيد‬)
4-‫كلمات‬‫ر‬‫و‬‫املر‬
‫ز‬‫الويندو‬‫مكتبة‬‫على‬‫ل‬‫الحصو‬( Registry) 5-
6-‫امللفات‬‫املفتوحة‬
7-‫تسجيالت‬‫اإللكترونية‬ ‫للمحادثات‬‫واملتصفح‬
‫النظام‬ ‫ملفات‬ ‫بعض‬

12. ‫خطواته‬ ‫و‬ ‫االلكتروني‬ ‫الجنائي‬ ‫التحقيق‬‫احل‬‫ر‬‫م‬
‫تكاليف‬ ‫بأقل‬‫الرقمي‬ ‫الجنائي‬ ‫للتحقيق‬ ‫يب‬‫ر‬‫تد‬‫مختبر‬ ‫بناء‬
‫اضية‬‫ر‬‫إفت‬ ‫بيئة‬‫على‬ ‫بنائه‬‫يمكن‬‫املختبر‬ ‫هذا‬(Virtual Environment)‫حيث‬
‫بي‬‫في‬ ‫منهم‬ ‫واحد‬ ‫وكل‬ ‫ولينكس‬ ‫ز‬‫ويندو‬ ‫تشغيل‬ ‫نظامي‬ ‫لديك‬ ‫ن‬‫يكو‬‫أن‬ ‫يفضل‬‫اضية‬‫ر‬‫إفت‬ ‫ئة‬
‫به‬ ‫خاصة‬.‫املشتبه‬ ‫جهاز‬ ‫معاملة‬ ‫ومعاملته‬ ‫ثالث‬‫ي‬ ‫اض‬‫ر‬‫إفت‬ ‫نظام‬‫إنشاء‬ ‫يمكنك‬‫حيث‬ ‫به‬
‫املشت‬‫ي‬ ‫اض‬‫ر‬‫االفت‬‫الجهاز‬ ‫ضد‬ ‫التحقيق‬ ‫عملية‬ ‫في‬ ‫األولى‬ ‫النظامين‬ ‫تستخدم‬‫به‬ ‫به‬.
‫عدد‬ ‫وجود‬ ‫هو‬ ‫التحقيق‬ ‫لعملية‬‫تشغيل‬ ‫بنظامين‬ ‫أنصح‬ ‫يجعلني‬ ‫الذي‬ ‫والسبب‬‫األدوات‬ ‫من‬
‫التح‬ ‫عملية‬‫في‬‫أساسية‬ ‫ن‬‫تكو‬‫قد‬ ‫التي‬ ‫ولينكس‬ ‫ز‬‫ويندو‬ ‫نظام‬‫على‬ ‫املختلفة‬‫الجنائي‬ ‫قيق‬.

13. ‫خطواته‬ ‫و‬ ‫االلكتروني‬ ‫الجنائي‬ ‫التحقيق‬‫احل‬‫ر‬‫م‬
‫املحقق‬‫لجهاز‬‫النظام‬‫متطلبات‬
‫حال‬‫كل‬‫على‬,‫الت‬‫املواصفات‬‫حيث‬‫ضخمة‬ ‫د‬‫ر‬‫موا‬ ‫تتطلب‬‫ال‬ ‫الغالب‬‫في‬ ‫الجنائي‬‫التحقيق‬ ‫أدوات‬‫في‬ ‫الية‬
‫عليها‬ ‫والعمل‬‫الجنائي‬‫التحقيق‬‫أدوات‬‫لتشغيل‬‫كافية‬‫ن‬‫تكو‬‫سوف‬ ‫إعتقادي‬,‫املواصف‬‫وهذه‬‫كالتالي‬‫ات‬:
‫النواة‬‫ثنائي‬‫معالج‬Core 2 Duo 1-‫بسرعة‬2.0‫أعلى‬‫أو‬‫جيجاهرتز‬.
2-‫قرص‬‫بسعة‬ ‫صلب‬100‫أو‬‫جيجابايت‬‫أكثر‬.
3-‫كرت‬‫منفصل‬‫شبكة‬.
4-‫تنصيب‬‫بنفسك‬ ‫الجنائي‬‫التحقيق‬‫امج‬‫ر‬‫ب‬
5-‫يفضل‬‫وحا‬‫إلمكانية‬‫وذلك‬ ‫بعيد‬‫خادم‬‫في‬ ‫الجنائي‬‫بالتحقيق‬‫الخاص‬‫املختبر‬‫ن‬‫يكو‬‫ال‬ ‫أن‬‫ل‬‫الوصو‬‫جة‬
‫ـ‬‫ل‬‫ا‬‫أو‬‫جية‬‫ر‬‫الخا‬‫الصلبة‬‫األجهزة‬‫لتوصيل‬‫للجهاز‬‫املباشر‬USB‫في‬ ‫غبت‬‫ر‬‫حال‬‫في‬ ‫مهمة‬‫النقطة‬‫هذه‬‫حيث‬
‫جية‬‫ر‬‫الخا‬‫ات‬‫ر‬‫والذاك‬ ‫الصلبة‬‫اص‬‫ر‬‫األق‬‫تحليل‬.

14. ‫خطواته‬ ‫و‬ ‫االلكتروني‬ ‫الجنائي‬ ‫التحقيق‬‫احل‬‫ر‬‫م‬
‫اضية‬‫ر‬‫اإلفت‬‫لينكس‬‫بيئة‬
ً
‫مسبقا‬ ‫مثبتة‬‫الجنائي‬ ‫بالتحقيق‬‫الخاصة‬ ‫فة‬‫و‬‫املعر‬ ‫األدوات‬‫أكثر‬‫على‬ ‫ي‬‫يحتو‬ ‫كالي‬,‫حي‬‫سوف‬ ‫ث‬
‫منك‬ ‫عناء‬ ‫ن‬‫بدو‬‫مباشرة‬‫امج‬‫ر‬‫الب‬ ‫هذه‬ ‫تشغيل‬‫من‬ ‫ذلك‬ ‫يمكنك‬.‫لكن‬,‫بتنص‬ ‫تقوم‬‫أن‬ ‫يفضل‬‫يب‬
‫نظيف‬ ‫اوبنتو‬ ‫لينكس‬ ‫نظام‬(‫يعة‬‫ز‬‫تو‬‫من‬ ‫يناسبك‬‫ما‬ ‫أو‬)‫يدو‬‫بشكل‬ ‫لألدوات‬ ‫تنصيب‬‫وعمل‬‫ي‬
‫والتعلم‬‫اإلستفادة‬ ‫باب‬ ‫من‬.

15. ‫خطواته‬ ‫و‬ ‫االلكتروني‬ ‫الجنائي‬ ‫التحقيق‬‫احل‬‫ر‬‫م‬
‫اضية‬‫ر‬‫اإلفت‬‫ز‬‫ويندو‬‫بيئة‬
‫لينكس‬‫نظام‬‫على‬ ‫األدوات‬ ‫أغلب‬‫وجود‬ ‫من‬‫بالرغم‬,‫مثل‬‫املهمة‬ ‫األدوات‬ ‫بعض‬‫هنالك‬ ‫لكن‬FTK,
EnCase Forensics‫ز‬‫ويندو‬‫أنظمة‬‫على‬ ‫إال‬‫تعمل‬‫ال‬ ‫التي‬.‫وخاصة‬‫مدفوعة‬ ‫نسخ‬ ‫األدوات‬‫هذه‬
‫أو‬‫للتجربة‬‫نسخة‬‫على‬‫ل‬‫الحصو‬ ‫سهولة‬‫وبكل‬ ‫يمكن‬‫لكن‬‫بالشركات‬DEMO‫الشركات‬‫طريق‬‫عن‬
‫لة‬‫و‬‫املسؤ‬.
‫مثل‬‫األدوات‬ ‫بعض‬Network Miner, DCode, Volatility‫و‬MonSols toolkit
‫ز‬‫ويندو‬ ‫تشغيل‬‫نظام‬ ‫تطلب‬‫سوف‬.‫أن‬ ‫العلم‬‫مع‬Volatility‫إلى‬‫يحتاج‬‫سوف‬Cygwin‫على‬ ‫للعمل‬
‫ز‬‫ويندو‬.
‫الخالصة‬
‫املعلومات‬ ‫أمن‬ ‫مستقبل‬ ‫هو‬‫الجنائي‬‫التحقيق‬,‫الشركات‬‫جميع‬ ‫لدى‬‫مهم‬‫عنصر‬‫سيصبح‬‫حيث‬‫والدوائر‬
‫القريب‬ ‫املستقبل‬‫في‬‫الحكومية‬.‫ن‬ ‫من‬‫املجال‬‫هذا‬‫دعم‬‫في‬‫جهدها‬‫ى‬‫قصار‬‫تبذل‬‫املتقدمة‬‫ل‬‫الدو‬‫األبحاث‬‫احية‬
‫أهميته‬‫يعكس‬‫مما‬‫اسات‬‫ر‬‫والد‬.‫املختصي‬‫موظفيها‬‫يب‬‫ر‬‫لتد‬‫جهة‬‫ألي‬ ‫ي‬ ‫أساس‬ ‫مطلب‬‫اآلن‬‫أصبح‬‫ألساليب‬‫ن‬
‫اإللكترونية‬‫ائم‬‫ر‬‫الج‬‫تفاع‬‫ر‬‫إ‬‫مع‬‫خاصة‬‫الجنائي‬‫التحقيق‬.