بسم الله الرحمن الرحيم
عند وقوع جريمة الكترونية أو إيجاد أجهزة كمبيوتر في مكان جريمة ما فإن المحققين يتحفظون عليها لفحصها و استخراج بيانات منها قد تفيدهم في تحقيقاتهم, ولكن استخراج البيانات لا يكون بتشغيل الجهاز وتصفح ما بداخله بل هنالك طرق دقيقة مخصصة وخطوات قانونية يجب اتباعها للحفاظ على البيانات وعدم تلفها او التعديل عليها بدون قصد فمثلا تشغيل الجهاز ولو لمرة واحدة فقط يتسبب بتلف الدليل الرقمي وحتى لو كان التشغيل من قرص خارجي للاقلاع (boot) لان هذا سيترك أثره على القرص الصلب مما يعني أن الدليل قد تم تعديله وعندها اصبح غير مقبول أبدا عند المحققين أو الجهات الرسمية مثل المحكمة .
ويمكن أن نقوم بأخذ صورة عن القرص الصلب من جهاز كمبيوتر بشكل نظامي عن طريق توزيعة كالي لينكس وسنقوم بالإقلاع من التوزيعة من الخيار Live Forensic mode و هو كالطبيب الشرعي الذي سيفحص لنا الدليل الرقمي بدون أن يحصل أي تلف أو تعديل .
بعد الإقلاع من نظام كالي لينكس بطريقة التحقيق الرقمي Forensic نتجه الى Terminal الطرفية وننفذ الأمر التالي fdisk -l وهذا الأمر سيعرض لنا الأقراص الموجودة على النظام ...
كما لاحظنا في الصورة تم عرض الاقراص الموجودة, ولو أردنا أخذ صورة عن القرص sda5 فإننا نكتب الامر التالي كما هو موضح في الصورة التالية ...
طبعا هنا أنا انسخ القرص من توزيعة كالي وهذا لا يجوز لذلك هذه الصورة أعلاه غير مطابهة للشرح لكن الأمر موجود فيها بشكل صحيح.
الأمر
dcfldd if=/dev/sda5 hash=md5,sha256 mdflog=/root/md4hashlog.txt sha256log=/root/sha256log.txt hashconv=after conv=noerror,sync of=/root/image.dd
شرح الأمر :
if وهي لأختيار القرص المطلوب .
hash حتى تقوم الاداة بعمل هاش للصورة.
md5log تحديد مسار نتائج الـ md5 .
sha256log خيار تحديد ملف نتائج الهاش sha256 .
hashconv عمل الهاش بعد انتهاء عملية التصوير .
conv استمرار الااداة في حالة واجهة مشكلة وكتابة مكان المشكلة اصفار.
of لتحديد مكان مسار الصورة الناتجة .
وبعد الانتهاء سنلاحظ وجود نسخة القرص موجودة في المسار الذي حددناه باسم image.dd
الان لنعرف اذا كان نسخنا للقرص صحيحا وبدون اي اخطاء نقوم بالمقارنة بين hash القرصين ونكتب الامرين التالين :
md5sum /dev/sda5
sha256sum /dev/sda5
وسيظهرلنا الهاش لكل قرص كما في الصورة التالية ونقارن بينهما :
كما نلاحظ في الصورة الهاشين متطابقان وهذا يعني ان الصورة مطابقة للأصل وان كل ما قمنا به كان صحيح وبدون اي اخطاء.
وهكذا تمت عملية نسخ صورة قانونية للهارد ديسك بشكل يسمح بتقديمها لقضية جنائية وبدون أي مشاكل قد تسبب رفضها.
عند وقوع جريمة الكترونية أو إيجاد أجهزة كمبيوتر في مكان جريمة ما فإن المحققين يتحفظون عليها لفحصها و استخراج بيانات منها قد تفيدهم في تحقيقاتهم, ولكن استخراج البيانات لا يكون بتشغيل الجهاز وتصفح ما بداخله بل هنالك طرق دقيقة مخصصة وخطوات قانونية يجب اتباعها للحفاظ على البيانات وعدم تلفها او التعديل عليها بدون قصد فمثلا تشغيل الجهاز ولو لمرة واحدة فقط يتسبب بتلف الدليل الرقمي وحتى لو كان التشغيل من قرص خارجي للاقلاع (boot) لان هذا سيترك أثره على القرص الصلب مما يعني أن الدليل قد تم تعديله وعندها اصبح غير مقبول أبدا عند المحققين أو الجهات الرسمية مثل المحكمة .
بعد الإقلاع من نظام كالي لينكس بطريقة التحقيق الرقمي Forensic نتجه الى Terminal الطرفية وننفذ الأمر التالي fdisk -l وهذا الأمر سيعرض لنا الأقراص الموجودة على النظام ...
كما لاحظنا في الصورة تم عرض الاقراص الموجودة, ولو أردنا أخذ صورة عن القرص sda5 فإننا نكتب الامر التالي كما هو موضح في الصورة التالية ...
طبعا هنا أنا انسخ القرص من توزيعة كالي وهذا لا يجوز لذلك هذه الصورة أعلاه غير مطابهة للشرح لكن الأمر موجود فيها بشكل صحيح.
الأمر
dcfldd if=/dev/sda5 hash=md5,sha256 mdflog=/root/md4hashlog.txt sha256log=/root/sha256log.txt hashconv=after conv=noerror,sync of=/root/image.dd
شرح الأمر :
if وهي لأختيار القرص المطلوب .
hash حتى تقوم الاداة بعمل هاش للصورة.
md5log تحديد مسار نتائج الـ md5 .
sha256log خيار تحديد ملف نتائج الهاش sha256 .
hashconv عمل الهاش بعد انتهاء عملية التصوير .
conv استمرار الااداة في حالة واجهة مشكلة وكتابة مكان المشكلة اصفار.
of لتحديد مكان مسار الصورة الناتجة .
وبعد الانتهاء سنلاحظ وجود نسخة القرص موجودة في المسار الذي حددناه باسم image.dd
الان لنعرف اذا كان نسخنا للقرص صحيحا وبدون اي اخطاء نقوم بالمقارنة بين hash القرصين ونكتب الامرين التالين :
md5sum /dev/sda5
sha256sum /dev/sda5
وسيظهرلنا الهاش لكل قرص كما في الصورة التالية ونقارن بينهما :
كما نلاحظ في الصورة الهاشين متطابقان وهذا يعني ان الصورة مطابقة للأصل وان كل ما قمنا به كان صحيح وبدون اي اخطاء.
وهكذا تمت عملية نسخ صورة قانونية للهارد ديسك بشكل يسمح بتقديمها لقضية جنائية وبدون أي مشاكل قد تسبب رفضها.
0 comments:
إرسال تعليق