JAAS

+- تحليل جرائم الكمبيوتر -+

14 ردود في هذا الموضوع

السلام عليكم ورحمة الله ,,,

من أحدث المجالات والتخصصات في العالم ,,, معروف بإسم " جرائم الكمبيوتر "

مجال مهم جداُ ويدخل في كل تخصصات الكمبيوتر وفي مقدمتهم مجال السكيورتي

لأنة وبكل بساطة عبارة عن بحث عن معلومة أو دليل يحكي قصة

جرائم الكمبيوتر قد تحل بإستخدام طرق بسيطة ودائماً نستخدمها ,,, وقد تتحول للغز محتاج سنوات لحله ؟

-

ماذا يقصد بجرائم الكمبيوتر ؟ وكيف يتم حلها ؟ وماهي الأدوات والبرامج المستخدمة

-

البداية ستكون أشهر قضية في هذا المجال واعتقد ان اكثر من 90% من المختصين في جرائم الكمبيوتر مرت عليهم هذه القضيه

وهي:

التحقيق في سرقت بطاقات الإئتمان او بطاقات الحسابات البنكية ؟!!!

انت كمختص في هذا المجال سيكون شغلتك في القضية شيء بسيط للغاية ؟؟

وهو

يعطوك رقم البطاقة المسروقة وليكن 78455456545645

ويعطوك جهاز او هاردسك جهاز المشتبه به ,,, انت بدورك تبحث عن دليل قاطع بأن البطاقه او رقهما مر من هنا ؟؟

فكيف ستكون العملية ....

انا سأبدأ معك من أسهل الطرق إلى اعقدها ,,, نبدأ

-

الخطوة الأولى تفتيش بيانات المستكشف او المتصفحات

وتعرف بإسم Dump-Cache-Explorer

هذة الطريقة تستخدم لإيجاد اي دليل يخبرنا بأن رقم البطاقة كتب في متصفح الإنترنت

او أن اي شهادة تحقق ( وهذة الشهادات معروفة في مواقع التسوق عبر الإنترنت)

قد تم تخزينها لإتمام عملية بيع او شراء ,, او مثلا في اي مربع نص في اي موقع تم كتابة الرقم

لتجدة مخزن في AutoComplete ,, او تم تخزين كوكز او غيرة

وتشمل هذة العملية على هذه الاقسام

Cookies , History , temp files , AutoCompleteWord , Certification Security & SSL

-

وبالتأكيد فإن أغبى حرامي في العالم .. نتوقع أنه سيقوم بالتالي

اولا,, من خلال خصائص المتصفح سيقوم بحذف كل الكوكز المستخدمة وكل المواقع التي تمت زيارتها

والملفات المؤقتة وحتى من خلال التبويب Content في خصائص متصفح الإنترنت سيقوم بتعطيلAutoComplete والشهادات

-

ولذلك تجد أن المختصين في جرائم الكمبيوتر وجدوا حل لهذة المشكلة ,, وبدون صدعة رأس

قامو بتطوير برامج صغيرة تقوم بإسترجاع قاعدة بيانات الملفات التي تم حذفها

لو رجعت إلى اي مجلد تم حذف محتواها ,, ولنأخذ مثال ملفات الكوكز

مسارها

C:\Documents and Settings\JAAS\Cookies

أحذف جميع الملفات ؟ وستلاحظ بقاء ملف واحد وهو index.dat

بواسطة هذه الأداة

http://www.foundstone.com/resources/termso...ile=galleta.zip

او

http://www.foundstone.com/resources/termso...?file=pasco.zip

استرجع ملف index.dat وستجد الكوكز التي تم حذفها ... بكل بساطة

وهذا مع كل البيانات بإستخدام بقية الأدوات

على العموم كل أدوات التحقيق تسمى forensics tools تجد بعضها في هذي الصفحة

http://www.foundstone.com/resources/forensics.htm

وهذه أداة شاملة عبارة عن أستيديو لل Dump-Cache-Explorer

RedCliffWebHistorian

http://www.download.com/3000-2653_4-10373158.html

-

ملاحظة تجد ملفاتindex.dat لبقية المجلدات بهذا الشكل:

C:\Documents and Settings\JAAS\Local Settings\History\History.IE5\index.dat

وتجدها متفرعة

C:\Documents and Settings\JAAS\Local Settings\History\History.IE5\MSHist012005101720051024\index.dat

و

C:\Documents and Settings\JAAS\Local Settings\Temporary Internet Files\Content.IE5\index.dat

وغيرها .... ابحث فقط على ملفاتindex.dat في القرص C مع ملاحظة تحديد خيار البحث في الملفات المخفية وملفات النظام

-

وتوجد طريقة أخرى للبحث عن الدليل او رقم البطاقة بداخل الملفات بإستخدام صيغة الينكود

بإستخدام الأداة

http://www.foundstone.com/resources/termso...ile=bintext.zip

-

-

الخطوة الثانية في التحليل:

ولآن إذا طلع صاحبنا ذكي ومسح قاعدة بيانات index.dat ومسح الملفات كاملة من الهاردسك ولنفرض انه فرمت الهاردسك

في هذه الحال نستخدم الطريقة الثانية للبحث وهي أكثر تعقيد!!!

-

من أفضل الأدوات للبحث بداخل الملفات المحذوفة

اداة WinHex

http://www.x-ways.net

وإستخدامها بسيط للغاية

-

توجد أدوات قد تكون أحترافية ولكن أستخدامها اصعب

مثل الأداة ByteBack

لا يقتصر إستخدام هذه الأداة على التحقيق في جرائم الكمبيوتر

رأيت لها أستخدامات كثيرة في قرصنة البرامج!

لم أرى درس أو مثال لكسر حماية نظام تشغيل مثل وندوز إلى وكانت الاداة ByteBack في الواجهة

على العموم هذه نسخة خاصه من البرنامج :)

http://www.findcode.cn/soft/soft_down.asp?...s=1&id=2748

http://www.findcode.cn/soft/soft_down.asp?...s=2&id=2748

-------------------------------------

وبهذا نكون قد اخذنا أبسط مثال على مايعرف بأدوات التحقيق - forensics tools

-

وتجد تكمله للأدوات التحقيق التي تستخدم في الشبكات ومراقبة الإيميل بالإضافة إلى الاجهزة الكفية

في هذه الصفحه

http://www.networkintrusion.co.uk/fortools.htm

http://www.forensics-intl.com/thetools.html

-

وفي النهاية بقي ان اقول

بإمكانك الإستغناء على كل الأدوات السابقة ,,, لأن هنالك حزم متكاملة تم إنتاجها للتحقيق في جرائم الكمبيوتر

وفي جميع المجالات ,,, أشهرها الحزمة encase

http://encase.com

-

وتوجد طرق لدمج الأدوات,, هذا مثال عبارة تحليل جهاز كفي Palm OS

http://www.csrc.nist.gov/publications/nist...DAForensics.pdf

وفي أمور متطورة في مجال جرائم الكمبيوتر

مثل تحليل أنظمة GSM وشرائح الجوال

هذا مثال

http://www.ijde.org/03_spring_art1.html

-

على العموم تجد أفضل المراجع في هذه الصفحات

لأنظمة وندوز و لينكس واجهزة الماكنتوش

http://geschonneck.com/security/forensic.html

-

أما إذا كنت الطرف الآخر ؟ يعني لست المحقق

وتريد تظليلهم ,, انصحك بإستخدام ادوات wipe و anti و........تجدها

http://www.ubic.co.jp/Ultimate.htm

-

-

وبالتوفيق

3

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه

شكراً وجزاك الله خير jaas موضوع جداً ممتاز ومهم وخطير في نفس الوقت سوف اتصفح تلك الروابط والبرامج لأجد ما ابحث عنه

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه

لا هيك كتير.. بدات الدورة الك والنا :D

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
لأجد ما ابحث عنه

وعن ماذا تبحث ؟ يمكن يفيدوك الأعضاء ,,,, او ابحث هنا

http://www.forinsect.de/forensics/main.html

لا هيك كتير.. بدات الدورة الك والنا

بالعكس اخي Xacker

دائما اقوم بكتابة مدخل او اساسيات لأي مجال....ليتم مناقشتة في قسم الإسمبلي

يعني نعطي قسم الإسمبلي حقة ونناقش كل مجالاته واعتقد انها كثيررررررررررة

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه

موضوع عملاق

جزاك الله خير

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه

موضوع رائع

لكن هل يوجد Debugger يعمل كنظام تشغيل

أو حتى Emulator يحتوي على debugger

شكرا

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه

JAAS u r great as usual

Go ahead

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه

السلام عليكم ،،،

موضوع رائع ،،،

هل هناك برامج تسترجع البيانات بعد مسح بيانات الهارد بإستخدام البرامج التي تعمل على مسحه تماما مثل data eraser .

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه

وعليكم السلام ورحمه الله وبركاته

بارك الله فيك اخي JAAS , ودرس كبيرر

لكن لو سمحت اخي JAAS .. عندي اسئله خارج الدرس اذا تقدر تجواب عليها:)

السؤال: ماهو اختصاصك , وماهي طريقتك بالبحث عن المعلومات :) ؟

ولك الشكر

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه

ما شاء الله

مبدع

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه

جزاكم الله كل الخير،

أحب أن أضيف هذا الرابط الذي يحتوي حالياً على 20 كتاب عن تحليل جرائم الحاسوب :

Forensic

:)

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
زوار
This topic is now closed to further replies.

  • يستعرض القسم حالياً   0 members

    لا يوجد أعضاء مسجلين يشاهدون هذه الصفحة .