أدوات التحقيق الجنائي - الجزء الثاني

CAINE

نبدأ مقالتنا هذه المرة بـ Computer-Aided Investigative Environment وهو نظام لينكس مبني علي Ubuntu بدأ العمل عليه في عام 2008 ، ويعمل علي تقديم بيئة نظام تشغيل كاملة مع أكثر من 80 أداة للتحليل الجنائي مفتوحة المصدر ، مع توفير واجهة سهلة الاستخدام مع إعدادت إقلاع live مباشرة باستخدام USB دون الحاجة لتثبيته.
ويوفر CAINE مع مجموعته المتنوعة من الأدوات القدرة علي القيام بعمليات تحليل الذاكرة وقواعد البيانات والشبكات ، بالاضافة إلى أدوات تحليل أنواع وصيغ الملفات لأنظمة التشغيل المختلفة ، مع دعم إمكانية أخد نسخ احتياطية لكروت الذاكرة والأقراص الصلبة.

ProDiscover Forensic

تعتبر من أفضل الأدوات التي تتعامل مع الأقراص الصلبة ، تم إطلاق هذه الأدة في العام 2001 باستخدام لغة البرمجة Perl، توفر قراءة دقيقة جدا بدون فقد او تلف للبيانات ، حتى إذا كانت البيانات محذوفة او قد تم اخفائها والبحث بداخلها دون أي تأثير علي البيانات الوصفية (metadata) الخاصة بالملفات ، مع إمكانية استرجاع وحفظ تلك البيانات بالكامل ، وتتميز ProDiscover بجودتها واستخدامها في القضايا الحرجة نظراً لقدرتها علي حماية الأدلة والحفاظ عليها عند عملية الفحص.

ExifTool

"In my experience, nothing but nothing is as complete, powerful, and flexible as Phil Harvey's exiftool ... I've never seen anything that's in the same ballpark for power." - dpreview forum

أداة مجانية مفتوحة المصدر تستخدم لغة Perl تتميز بقوتها في قراءة وكتابة وتعديل البيانات الوصفية (metadata) للملفات بمختلف أنواعها ، تعتبر من أهم الأدوات التي يستخدمها المحقق الجنائي نظراً لأنها خفيفة وسهلة الاستخدام سواء كانت عن طريق سطر الأوامر أو الواجهة الرسومية ، مع قدرتها علي استخراج بعض الأدلة المهمة التي تكون متعلقة بالـ (metadata) مثل متى تم إنشاء الملف؟ وأين؟

"While there are a lot of image tools available, nothing comes close for accessing/updating the metadata like ExifTool" - merg's blog

يتم تحديث الأداة باستمرار من قبل المطورين مع تقديم العديد من الخصائص المهمة مثل:

-    قدرتها علي قراءة تنسيقات الملفات المختلفة (EXIF, GPS, IPTC, XMP, JFIF, MakerNotes, GeoTIFF, ICC Profile, Photoshop IRB, FlashPix, AFCP, ID3, Lyrics3)
-    استخراج بيانات الكاميرا والهاتف والعلامات الجغرافية وتاريخ الالتقاط من الصور والفيديوهات
-    قدرته علي التعامل مع ملفات الـ RAW
-    النسخ الاحتياطي للملف الأصلي تلقائيا عند القيام بتعديل في البيانات الوصفية لتجنب تلفه
-    القدرة علي تخصيص النتائج واستخراجها في ملف بصيغ متعددة (JSON, XML, HTML)

Volatility Framework

ليس القرص الصلب وكروت الذاكرة المكان الوحيد التي قد تتواجد فيه الأدلة الجنائية ، فهو ليس المكان الوحيد الذي يقوم بتخزين البيانات ، حيث هناك الذاكرة العشوائية (RAM) التي قد تقدم بعض الأدلة وهنا تأتي Volatility لحفظ وتحليل تلك البيانات بعناية قبل فقدانها نظراً لطبيعة عمل الذاكرة العشوائية.

تم تطوير تلك الأداة في العام 2007 من قبل Volatility Foundation وهي منظمة غير ربحية تهدف إلي تعزيز وتطوير تحليل الذاكرة العشوائية و تم إعادة إصدار Volatility وكتابة المصدر من الصفر في العام 2020 ، وتأتي Volatility المطورة بلغة Python بإطار عمل مفتوح المصدر لعمليات الاستجابة للحوادث واكتشاف البرمجيات الخبيئة من خلال تحليل الأدلة الجنائية للذاكرة العشوائية (RAM) وقدرتها علي فحص ملفات الـ DLL و الـ Registry ، مع دعمها لانظمة التشغيل (Windows, Linux, Mac).

Mobile Verification Toolkit (MVT)

واحدة من أفضل الأدوات تم تطويرها في العام 2021 ، تقوم بالتحليل الجنائي وفحص الهواتف الذكية بنظامي التشغيل ios و android مع إعطاء تقرير مفصل عن التطبيقات المثبتة علي الهاتف واذا كانت قد تحتوي علي تهديدات أم لا ، كما تحتوي علي امكانية الكشف علي اذا ما تم تعرض الهاتف للاختراق بواسطة برنامج التجسس Pegasus ، كما تأتي الأداة ايضاً ببعص المميزات الأخري منها:

-    فك تشفير النسخ الاحتياطية
-    استخراج معلومات التشخيص (diagnostic information)
-    استخراج وفحص التطبيقات المثبتة
-    مقارنة البيانات المستخرجة مع قاعدة البيانات التي تحتوي علي البرامج الخبيثة
-    معالجة وتحليل السجلات
-    حفظ النتائج بصيغة JSON مع جدول زمني لعمليات الفحص والتهديدات المكتشفة

إلى هنا عزيزي القارئ ينتهي الجزء الثاني من مقالتنا ... أخبرنا رأيك و عن الأدوات التي تستخدمها أثناء قيامك بعمليات التحليل الجنائي ... ولا تنسى أن تنظرنا قريباً إن شاء الله في الجزء الثالث من أدوات التحقيق الجنائي ... وإلى لقاء آخر قريب ...