منتدى جاد يا هكر GadyaHacker Forum منتدى مصري لكل العرب

أهلا بك في موقعك الغالي منتدى جاد يا هكر
GadyaHacker Forums
منتدى مصري لكل العرب مسلم + مسيحي = يد واحدة مـــصـر
فكن معنا فأنت المهم عندنا فرضاك غايتنا أنت ممكن تحمل أي حاجة من غير ما تسجل
التسجيل مجاني هيفيدك في الرد وعمل مواضيع جديدة فكن معنا و سجل لعمل موضوع جديد أو رد
و أنت المستفيد للتواصل معنا وشكرا لك و نتمني لك أحلى وأسعد الاوقات
فرأيك مهم لنا ارسل لنا رايك في رسالة أو اتصل بنا على الايميل :
https://www.facebook.com/MagdyTharwat.GAD
https://twitter.com/MagdyTharwat
magdy.tharwat@yahoo.com
منتدى جاد يا هكر GadyaHacker Forum منتدى مصري لكل العرب

learn hack webs-learn hack E-mails-learn hack servers-learn hack computers-create viruss-Defense your pc

 

 

 

 
 

 
 




 
 

 

 

 
 
 

تصويت

ما هو درجة أعجابك بالمنتدى ؟
65% 65% [ 2925 ]
11% 11% [ 476 ]
6% 6% [ 288 ]
4% 4% [ 198 ]
14% 14% [ 627 ]

مجموع عدد الأصوات : 4514

عداد زوارنا يوميا

عداد زوارنا سنويا

AmazingCounters.com
welcome to GadyaHacker Forums

Alexa Site Stats

احصائيات

أعضاؤنا قدموا 502 مساهمة في هذا المنتدى في 140 موضوع

هذا المنتدى يتوفر على 17069 عُضو.

آخر عُضو مُسجل هو noisrael فمرحباً به.

المتواجدون الآن ؟

ككل هناك 0 عُضو متصل حالياً 0 عضو مُسجل, 0 عُضو مُختفي و 0 زائر :: 1 روبوت الفهرسة في محركات البحث

لا أحد


[ مُعاينة اللائحة بأكملها ]


أكبر عدد للأعضاء المتواجدين في هذا المنتدى في نفس الوقت كان 69 بتاريخ الأحد مارس 18, 2012 7:46 am

منتديات جاد أبو الامجاد


    التحقيق الجنائي الرقمي باستخدام توزيعة DEFT 5

    شاطر

    ADMIN
    Admin

    الجنس : ذكر عدد المساهمات : 161
    نقاط : 383
    تاريخ التسجيل : 21/12/2010

    التحقيق الجنائي الرقمي باستخدام توزيعة DEFT 5

    مُساهمة من طرف ADMIN في الأربعاء ديسمبر 29, 2010 10:23 am

    التحقيق الجنائي الرقمي باستخدام توزيعة DEFT 5









    التحقيق الجنائي الرقمي (Digital
    Forensics) هو عمليّة جمع أكبر قدر للمعلومات والأدلّة من أجهزة الأشخاص
    المشتبه بهم للوصول الى الملفات المخفيّة واسترجاع الملفّات الّتي تم حذفها
    مسبقاً يتضمّن ذلك معرفة المواقع التي قام المشتبه به بفتحها واستخراج
    كلمات مرور الحسابات المخزّنة بالنظام. Digital Evidence & Forensic
    Toolkit أو DEFT اختصاراً هي توزيعة من نظام لينوكس مبنيّة على Xubuntu
    تحوي على أغلب الأدوات المفتوحة المصدر المستخدمة في عمليّة التحقيق
    الجنائي الرقمي ويمكننا اعتبارها من أفضل التوزيعات المتوفّرة لهذه المهمة.




    التحقيق الجنائي الرقمي هو قسم لا يستهان
    به من الهاكر, الدخول به يتطلّب معرفة قويّة بعدّة أمور بدءً من كيفية عمل
    القرص الصلب وأنظمة الملفات المختلفة (ntfs, fat32, ext3… ) وكيف تقوم هذه
    الأنظمة بتخزين وأرشفة الملفّات, فك التشفير وكسر الخوارزميات, انتهاءً
    بمعرفة الأمور المتقدّمة والمنخفضة المستوى بأنظمة التشغيل وكيف يمكننا
    الوصول لمعلومات تفيدنا في تعقّب المشتبه به ومعرفة الأمور التي نفّذها على
    النظام.


    قد يسأل شخص كيف يمكن استرجاع الملف بعد حذفه؟ لقد قمت بحذفه وافراغ سلّة المحذوفات أيضاً!
    مهمّة التعامل مع الهارد هي وظيفة نظام التشغيل الذي تستخدمه وهذا الأمر
    يختلف بحسب نوع نظام الملفات المستخدم. حذفك للملف من النظام ليس بالضرورة
    يعني أنّه حذف من الهارد, قد يظهر النظام أنه حذف الملف وأزال اسمه من
    مستعرض الملفات لكن فعليّاً محتوياته مازالت موجودة ولم يتم الكتابة فوقها
    بعد ويمكن بقليل من الجهد عن طريق استخدام برامج وأدوات مختلفة استرجاع
    الملفّات التي قمت بحذفها. لأوضّح الفكرة أكثر لنفرض أنك تملك هارد بسعة
    250 GB وقمت باستخدامه بشكل شبه كامل ثم قررت حذف 150 GB من الملفّات
    المخزّنة عليه, ماهي المدّة التي استغرقها نظام التشغيل لحذفهم؟ بضع ثوان
    صحيح؟ لماذا يستهلك نسخ 150 GB الى الهارد أضعاف أضعاف ذلك؟ ببساطة لأنك
    عندما حذفت الملفات حتى بعد افراغ سلّة المحذوفات النظام أزال أرشفتهم فقط
    ولم يقم بازالة محتوياتهم من الهارد وعندما تقوم بتعبئة الهارد مرّة أخرى
    سيتم الكتابة مكان الأماكن السابقة.


    ماذا لو تم فرمتة الهارد كاملاً؟ هل من الممكن استعادة الملفات المحذوفة؟
    فرمتة الهارد بشكل سريع تستغرق ثوان فقط! وفعليّاً هي لاتقوم بحذف شيء من
    الهارد بل تقوم باعداد جداول جديدة للأرشفة حسب نظام الملفات الذي اخترته
    وهذا يعني أننا نستطيع استرجاع الملفّات أيضاً حتى بعد الفرمتة, الا اذا
    استخدمت أدوات تقوم بـ “تصفير” الهارد أو كتابة معلومات عشوائية على كامل
    مساحة الهارد ثم فرمتته من جديدة, بهذه الحالة فقط لم يعد هنالك مجال
    لاستعادة المعلومات لأنها لم تعد موجودة أساساً.


    في التحقيق الجنائي بالدول المتقدّمة (لا
    أعلم ان كان هذا الاختصاص موجود عربياً؟) غالباً يتم عمل نسخة طبق الأصل من
    الهارد باستخدام جهاز مخصص لهذه العمليّة (الجهاز ينسخ كل byte من الهارد
    وليس الملفات التي يظهرها نظام التشغيل فقط) ثم يتم استخدام برامج وأدوات
    خاصّة لمعرفة محتويات الهارد بشكل كامل واسترجاع الملفات التي تمّ حذفها
    سابقاً, لا يتم التعامل مع الهارد الأصلي بشكل مباشر ولا يتم العمل على
    نظام التشغيل المنصّب الّا من النسخة المأخوذة لكي لا يتم تغيير أي شيء أو
    تخريب الأدلّة والمعلومات الموجودة فيه.


    ليس من الضروري استخدام الطريقة السابقة
    دائماً ففي الوقت الحالي أصبح بامكاننا استخدام احدى توزيعات نظام لينوكس
    للعمل من LiveCD أو ذاكرة USB واستخراج المعلومات التي نحتاجها وتخزينها
    على ذاكرة USB دون الحاجة لتشغيل النظام المنصّب بالجهاز أو تعديل أي شيء
    بالهارد لأن أنظمة التشغيل التي تعمل من LiveCD أو Live USB تنسخ الملفات
    التي تحتاجها الى ذاكرة الجهاز RAM وليس الى القرص الصلب.


    أكبر خطأ في التحقيق الجنائي الرقمي هو
    تشغيل النظام المنصّب على الجهاز والعمل عليه مباشرة دون أخذ نسخة كاملة
    للهارد فاذا كان المتهم يملك خبرة برمجية بسيطة يستطيع برمجة برنامج يقوم
    بحذف الملفات بشكل تلقائي عند بدء التشغيل في حال لم تدخل كلمة مرور معيّنة
    أو توقف عمل البرنامج بعد بضع ثوان من بدء التشغيل مثلاً كذلك الأمر مع
    كلمات المرور فيمكن للمهاجم استخدام برنامج يقوم بفعل معيّن في حال أدخلت
    كلمة مرور خاطئة أو في حال أدخلت كلمة مرور مكشوفة! مخصصة لهذا الغرض (ورقة
    جانب اللابتوب كتب عليها My Password!! مثلا… )


    قررت أن أستعرض احدى توزيعات نظام لينوكس بشكل سريع مع هذا الموضوع ووقع اختياري على توزيعة DEFT الايطاليّة, التوزيعة جميلة وخفيفة تستخدم LXDE كواجهة رسومية وتحتوي على أفضل الأدوات المفتوحة المصدر بهذا المجال.

    صورة لتوزيعة DEFT 5 تعمل على جهازي من VirtualBox:



    عند اقلاع التوزيعة يمكنك تشغيل الواجهة الرسومية بتنفيذ الأمر:
    startx

    بعض الأدوات الموجودة في التوزيعة:



    طبعاً هذه ليست كافة أدوات التحقيق
    الجنائي الموجودة في التوزيعة فكثير من البرامج والأدوات تعمل من سطر
    الأوامر لذلك لم يتم وضعهم قائمة الأدوات السابقة, يمكن الاطلاع على هذه الصفحة لمعرفة كافة الأدوات الموجودة في التوزيعة.


    في التهاية ما يجب معرفته أن هذا الموضوع
    مجرّد مقدّمة بسيطة والطرق والأساليب المستخدمة في التحقيق الجنائي في
    تطوّر مستمر وتم تأليف كتب كاملة عن هذا الموضوع فالمحققين الجنائيين
    يطوّرون أدوات وبرامج وتقنيات جديدة لتسهّل لهم عملهم والهاكرز أيضاً
    يطوّرون برامج وأدوات مضادّة لذلك…

      الوقت/التاريخ الآن هو الخميس سبتمبر 21, 2017 4:20 am