Introduction to Digital Forensics

هناك خمس خطوات مهمة يعملها المحقق أو الـ Investigator من خلالها في أي تحقيق رقمي “Digital Investigation” :

1. تحديد الهوية أو الـ “Identification” هنا يقوم المحقق بتحديد المعلومات التي يجب الحصول عليها.

2. المحافظة على الدليل أو الـ “Preservation” يمنع المحقق أي تلاعب بالأدلة أو الـ evidence. وهذا يشمل التعديل أو الإضافة أو الحذف للملفات والبيانات والخ. ومن أهم الأشياء التي يجب القيام بها في هذه الخطوة إنشاء نسخة جديدة من الدليل وإجراء التحليل على هذه النسخة.

3. التحليل أو الـ “Analysis” هنا يقوم المحقق بإجراء تحليلات آلية أو يدوية على الأدلة المنسوخة لإثبات أو نفي الفرضيات التي حصلت حول الحادث.التوثيق أو الـ “Documentation” هنا يقوم المحقق بتدوين وتوثيق جميع الأدلة، وكيف تم الحصول على الأدلة وتحليلها ، وما هي الأدوات التي تم استخدامها ومن قبل مين ، وأخيرًا كيف تم حفظها. يعتبر هذا جزء أساسي من العملية.

4. العرض أو الـ “Presentation” يجب أن يكون المحقق أو الـ Digital Forensics Investigator قادراً على عرض نتائج تحقيقه للجهة التي طلبت ذلك في شكل تقرير مفصل ومهني.

في الـ Forensic Investigation يجمع المحقق أو الـ Investigator الملاحظات من الأدلة التي حصلوا عليها للمساعدة في تحديد كيفية حدوث الجريمة ومتى ومن قام بها وبناء فرضية تشرح سبب الحادث وإجراء تقييم وتحليل للفرضية التي تؤدي إما إلى إثبات الفرضية أو نفيها.

فيه مفهوم مهم وهو إعادة بناء الجريمة أو مايُسمى بالـ “Crime Reconstruction” وهي عملية إعادة بناء الحادث بناءً على القطع أو الـ Digital Artifacts التي خلفها الجاني ، وإعادة ترتيبها لفهم كيفية ارتكاب الجريمة.

تُستخدم الأدلة هذه لتحديد تسلسل الأحداث أو مواقع الذي اهتم بها مرتكب الجريمة أو تحديد وقت ومدة الإجراءات التي اتخذها الجاني أو الـ Perpetrator.

يتكون تحقيق الطب الشرعي الرقمي من خمس خطوات رئيسية وهي كالتالي :

1. الحصول على الإدلة أو الـ “Evidence-Acquisition”

2. التحقق أو الـ “Verification”

3. الحفظ أو الـ “Preservation”

4. التحليل أو الـ “Analysis”

5. الفاعلية أو الـ “Validation”

الأن نشرح كل خطوة بشكل مفصلة على ماذا تعني أو على ماذا تحتوي كل نوع على حدى.

تتضمن هذه الخطوة إنشاء صورة جنائية أو الـ Imaging للأدلة حتى لايتم العبث بالنسخة الأصلية للأدلة.

عملية التصوير أو الـ Imaging هي بالضبط عمل نسخ للأدلة إلى جانب التقاط جميع بيانات الأدلة ، مثل الملفات والمجلدات ايضاً الـ Metadata وهي عبارة مجموعة من البيانات التي توفر معلومات حول البيانات الأخرى مثل حينما انشئ ملف بإسم شخص أو مثلاً تاريخ إنشاء الملف أو تاريخ التعديل وهذه تُعتبر من معلومات الملف الأساسي، فحينما يأتي شخص يبحث عن ملف من الممكن يبحث عنه من خلال المؤلف مثلاً فالبتالي يسهل على الشخص بأن يحصل على موقع المستند أو الملف ..

ايضاً من البيانات المهمة الذي يجب إلتقاطها هي الـ Data in Unallocated Spaces وهي تُشير المساحة غير المخصصة إلى جزء القرص الصلب أو الـ “Hard Disk Drive” الذي يمكن للأشخاص استخدامه لحفظ الملفات الجديدة. يُعرف أيضًا باسم "المساحة الحرة" لأنه يمكن استخدامه بحرية لتخزين أي نوع من البيانات.

في حالة وجود محرك الأقراص الثابتة أو الـ Hard Disk Drive فإن الـ Forensic Imaging أو التصوير الجنائي هو عملية إنتاج نسخة طبق الأصل من محرك الأقراص عن طريق عمل نسخة bit-for-bit من الدليل أو الـ Evidence لكن قبل عمل الـ Capturing للـ Forensic Imagie لابد من إرفاق مانع الكتابة أو مايُسمى بالـ Write Blocker وهو جهاز يمنع أي تعديلات على الدليل الأصلي الـ Original Evidence.

هنا يجب إنشاء الـ Hash Signature لكل من صورة الطب الشرعي أو الـ Forensic Image والأدلة الأصلية أو الـ Original Evidence للتحقق من أنها نسخة طبق الأصل صحيحة.

الـ Hash Signature يشبه نظام الإخطار فإذا حدث أي تعديل طفيف للأدلة فسيتم تغيير الـ Hash Signature الخاص به.

لذلك يجب على المحقق مقارنة الـ hashes بصورة الطب الشرعي والأدلة الأصلية للتأكد من أن كلا الـ hash signatures متماثلان. إذا لم تكن هي نفسها ، فإن صورة الطب الشرعي أو الـ forensic image غير صالحة ويجب إنشاء صورة جديدة متطابقة. من المستحسن عمل نسخ متعددة من الـ forensic image بحيث إذا تم تعديل نسخة واحدة ، يجوز للمحقق أو الـ investigator استخدام نسخة أخرى إذا لزم الأمر.