EraDev
Ghoster-Xما هو الحصول علي البيانات-Data Acquisition
أن هذه المقالة هي الأولي في سلسلة DFIR المقدمة من قبل مهندس/ مصطفى يحى مشكورا مقدما علي جهوده المبذولة لتطوير محتوي الـ Blue team و الـ Cyber security في الوطن العربي بوجه عام .
[*] ينصح ان تري الفيديو الخاص بالسلسلة علي اليويتوب من هنا قبل أن تكمل المقالة .
ما هو مصطلح الحصول علي البيانات ( Data Acquisition )
هي عملية أخذ نسخة (Copy) من الداتا او الأدلة الجنائية ، و يطلق علي تلك النسخة اسم image ، و يشير الحصول على البيانات ، في سياق الطب الشرعي الرقمي والاستجابة للحوادث (DFIR) ، إلى عملية جمع وحفظ البيانات الإلكترونية من مصادر مختلفة لغرض التحقيق والتحليل.
ولكن لماذا نأخذ copy من الداتا ؟
حسنا قبل الأجابة علي هذا السؤال دعنا نعطي مثال :
قد بلغت كمحلل أمني أن الويب سيرفر الخاص بالشركة قد تعرض للأختراق او أنه يحتمل أنه تعرض للأختراق ، ليس من المنطقي أن تبداء بالعمل مباشرة علي السيرفر المصاب لعدة اسباب أنه ربما قد تخطئ وتسبب المزيد من الضرر أو تقوم بدون قصد بمسح بعض الأدلة المهمة ، وكذلك ليس من المنطقي أن تقوم بـأيقاف عمل الشركة علي هذا الويب سيرفر لأنك تقوم بالتحقيق فيه فبهذه الطريقة قد تسبب للشركة ضرر مالي اكبر من التي خسرته بسبب حالة الأختراق
لكي نقوم بتلخيص المثال الذي في الأعلي أنه يجب عليك أن تأخذ نسخة قبل العمل علي أي جهاز يحتمل أنه compromised حتي لا تقوم بمسح الأدله بالخطاء ، و أن العميل لن يسمح لك بأيقاف عمله حتي تنتهي انت من تحقيقك أنها طريقة ليست فعالة ، عند وجود نسخة من الداتا ذلك يسهل علي المحلل الأمني او المحقق الجنائي الرقمي أن يشاركها مع باقي فريقه للعمل عليها .
بعد أن فهمنا لمذا نحتاج الي أخذ نسخة من الداتا لننتقل الأن الي تحديد ما هو الجهاز الذي سوف نأخذ منه تلك النسخة ( Identify The Device ) :
يشير تحديد الجهاز إلى عملية التعرف على الجهاز الذي يتم الحصول على البيانات منه وتصنيفه مثل: hard drive , ssd , android phone or ios ...etc
لاحظ :
عند أخذ نسخة من البيانات الموجوده علي ssd يمكن أن تواجهك بعض المشاكل و التي سوف نستعرضها في الفيديوهات القادمة ونشرحها بالتفصيل .
بعد تحديد الجهاز سوف ننتقل الأن الي الطريقه (method) التي يمكننا بها أخذ نسخة من البيانات .
physical acquisition :
وهو ما يطلق عليه bit-by-bit أي أخذ نسخة كاملة من البيانات مما يتضمن all partitions و unallocated space و البيانات المحذوفه ، و ايضا أنها تأخذ complete snapshot of the storage media ، و تحافظ علي سلامة وهيكل البيانات .
Logical acquisition :
علي نقيض pythsical acqusition التي كنا نأخذ فيها نسخة كاملة من البيانات ، في هذه الطريقة نأخذ ملفات محدده من النظام او مصادر محدده وليس نسخة كاملة ، وهذا يأتي بعد تحديد محققي الأدلة الجنائية ما هي المسارات التي يجب عليهم التحقيق فيها او المسارات الشائعه .
لننتقل الأن الي أستعمال بعض الأدوات التي تساعدنا في اخذ نسخة من البيانات .
CAIN too :
انها اداة نوجد علي علي Cd or usb ثم تقوم بعمل boot منها وتستخدم أداة Guymager تساعدك في انشاء full image copy .
common forensics image types
Raw Image :
في هذا النوع يتم نقل نسخة كامله عن البيانات أتتذكر معي مفهوم bit-by-bit حسنا أن هذا النوع من النسخ يتضمن هذا المفهوم ، ولكنها لا تتضمن بيانات وصفية (meta data) ، أي انها لا تتضمن معلومات عن متي تم التعديل علي هذه البيانات او متي تم نسخها ، ايضا لا تعطي قيمة مميزه لكل دليل (hashes) لذلك لا يمكنك التحقق من صحة هذه البيانات أو انه لم يتم التعديل عليها من قبل .
E01 image :
تشير E01 إلى تنسيق ملف معين يستخدم لإنشاء صورة جنائية لوسائط التخزين الرقمية. يستخدم تنسيق E01 بشكل شائع في الطب الشرعي الرقمي لالتقاط نسخة طبق الأصل من جهاز التخزين الأصلي والحفاظ عليها ، بما في ذلك هيكل القسم ونظام الملفات ومحتوى البيانات ، علي عكس ال Raw image في هذه النوع من ال image يمكنك ضغطه و بالتالي يمكنك تقليل مساحنه ، ايضا يمكنك أختيار أن يتم تشفيربيانات هذه النسخة
تحتوي ايضا علي ميزة البيانات الوصفية (metadata) لذلك يمكنك التأكد من صحة البيانات التي لديك .
Kape tool :
هي أداة مفتوحة المصدر قوية ومتعددة الاستخدامات تستخدم في تحقيقات الطب الشرعي الرقمي والاستجابة للحوادث (DFIR). تم تطويره وصيانته من قبل Eric Zimmerman ، وهو شخصية معروفة في مجتمع DFIR. تم تصميم KAPE لمساعدة فاحصي الطب الشرعي في التجميع الآلي وتحليل القطع الأثرية من أنظمة التشغيل والتطبيقات المختلفة. فيما يلي بعض الميزات والوظائف الرئيسية لـ KAPE ،
مجموعة Artifact:
توفر KAPE مجموعة واسعة من وحدات التجميع المحددة مسبقًا تسمى "الأهداف" التي تستخرج القطع الأثرية الرقمية من مصادر مختلفة ، بما في ذلك أنظمة تشغيل Windows والمتصفحات وعملاء البريد الإلكتروني وتطبيقات الدردشة والتسجيل والحدث وغيرها.
التخصيص والمرونة:
يسمح KAPE للمستخدمين بإنشاء وتخصيص ملفات تعريف مجموعة القطع الأثرية الخاصة بهم. تتيح هذه المرونة للمحققين تصميم عملية الاستخراج وفقًا لاحتياجاتهم الخاصة والتركيز على القطع الأثرية ذات الصلة .
توجد غرفة (room) علي موقع try hack me خاصة بهذه الأداة اذا اردت التعلم أكثر و التطبيق
https://tryhackme.com/room/kape
إن أحسنت فمن الله، وإن أسأت أو أخطأت فمن نفسي والشيطان
هل صليت علي النبي اليوم ؟
