خبرهای مهم:

تاریخ امروز برابر است با [ شنبه ۴ آذر ۱۳۹۶ ]

جرم یابی دیجیتال چیست؟

جرم یابی دیجیتال مجموعه از اعمال و کنش و واکنش هایی که برای کشف اینکه شما روی سیستون چه کارهای انجام دادید، چه چیزهای حذف کردید و چه مواردی رو تغییر دادید و اینکه حتی چه چیزهایی رو رمزنگاری کردید. به بیان یه مقدار کتاب شدهتر اش: جمع آوری، حفظ و نگهداری، تجزیه و تحلیل و بازیابی تمامی شواهدی که مرتبط با اعمال و رفتار شما در پشت یک سیستم صورت گرفته است که معمولا برای اثبات جرم استفاده می شود.

 

 

جرم یابی دیجیتال شامل چه مواردی است

جرم یابی دیجیتال طیف بسیار وسیعی از فایل ها و رخدادها را شامل می شود و کاربردهای فراوانی داره که از مهمترین اونها میشه موارد زیر را نام برد:

  • بازیابی فایلهای حذف شده جهت بررسی تغییرات سیستمی
  • کشف دستورات اجرا شده روی سیستم
  • ردیابی و کشف اینکه چه شخص یا اشخاصی به سیستم شما دسترسی غیرمجاز داشته اند (برای مثال از Wifi شما استفاده کرده اند)
  • دنبال کردن نفوذگر از طریق ردیابی IP
  • نمایش وبسایت های که از آنها بازدید شده و فایلهای دانلودی از بستر اینترنت
  • مشخص نمودن مکان فعلی یک تلفن همراه
  • ردگیری یک بدافزار با استفاده از فایلهای امضاء و رفتارشناسی آن

 

موارد بالا تنها نمونه های از کاربرد جرم یابی دیجیتال هستند .

 

پاد جرم یابی دیجیتال

در سوی دیگر و مقابل جرم یابی دیجیتال Anti-forensics (متضاد کلمه Anti میشه ضد یا پاد که از اینجا به بعد از کلمه پاد جرم یابی دیجیتال استفاده میکنم) قرار داره، پاد جرم یابی دیجیتال به مجموعه فرآیندها و تکنیک های گفته میشه افراد سعی میکنن با توسل به اونها ردپای خودشون رو از بین ببرند و تا حد امکان فعالیت های خودشون رو مخفی کنند و از مهمترین تکنیک ها میشه به موارد زیر اشاره کرد:

  • مخفی سازی اطلاعات (از طریق رمزنگاری یا پنهان نگاری)
  • پاک سازی رخدادها (مثلا بعد از حمله به یک ماشین پاکسازی فایل های رخداد، ثبت وقایع، ورود و خروج ها در سطح ماشین و در صورت امکان شبکه)
  • مبهم سازی آثار (برای نمونه استفاده از چند ماشین مختلف و پراکسی و VPN برای انجام یک حمله)

 

چگونه از خودمون در مقابل بازیابی فایلها محافظت کنیم؟

خوب ولی مسئله اینجاست که همیشه جرمی اتفاق نیوفتاده، یعنی در برخی موارد ممکنه شما حافظه جانبی، لپ تاپ یا سیستمون به سرقت بره یا گم بشه و در مرحله بعد فرد یا افرادی قصد داشته باشند با کمک ابزار و نرم افزارهای مختلف اطلاعات قدیمی شما رو بازگردانی و ازشون سوء استفاده کنند، در چنین وضعیتی علاج واقع رو قبل از اتفاق باید جست.

در حالت عادی زمانی که شما فایلی از سیستم خودتون حذف میکنید یعنی راست کلیک و زدن گزینه delete ویندوز میاد و فضای که روی دیسک سخت به فایل اختصاص داده رو آزاد میکنه ولی فایل شما همچنان روی درایوتون باقی مونده تا زمانی که ویندوز داده های جدیدی رو بر روی اون قسمت دوباره نویسی کنه، این همونجاییه که نرم افزارهای بازیابی اطلاعات وارد عمل میشن و شما میبینید که فایلهای حذف(delete) شده شما رو به راحتی بازگردانی میکنند.

حالا شما برای اطمینان از حذف فایل و دیتاها باید از نرم افزارهای استفاده کنید که اعمالی مثل shredder و wipe رو انجام میدند، تکه تکه کردن فایل و بازنویسی اونها تا حدودی مانع بازگردانی اطلاعات شما میشه، این نرم افزارها از الگوریتم های خاصی استفاده می کنند که از محبوبترین اونها میشه به موارد زیر اشاره نمود:

  • Simple One Pass
  • Simple Two Pass
  • DoD 5220-22.M
  • Guttman algorithm 35 passess

Simple One Pass و Simple Two Pass جفتشون یک الگو رو تکرار میکنند و با این تفاوت که One Pass یکبار الگو رو اعمال میکنه و Two Pass هم دوبار به صورت اتفاقی کدهای خودش را روی فایل شما بازنویسی میکنه.

DoD 5220-22.M یکی دیگه از روشهای پاکسازی ایمن داده ها است، DoD معمولا سه گام رو برای از بین بردن محتوای فایل طی میکنه:

  1. گام اول: نوشتن ۰ و تایید درستی فرآیند
  2. گام دوم: نوشتن ۱ و تایید بازنویسی
  3. گام سوم: نوشتن کارکترهای اتفاقی و نهایتا تصدیق آن

و نهایتا روش Guttman که ۳۵ بار فایل و داده شما رو با الگوهای خودش مورد بازنویسی قرار میده.

(۳۵ گام الگوریتم گاتمن)

روش گاتمن در مرحله ۱-۴ و ۳۱-۳۵ کارکترهای رو به صورت کاملا اتفاقی روی اطلاعات بازنویسی میکنه و بین مرحله ۴-۳۱ هم با استفاده از الگوهای از قبل تعیین شده که بالا می تونید جزئیاتش رو ببینید عمل بازنویسی رو انجام میده.

 

ابزار جرم یابی دیجیتال:

ابزارهای متنوعی برای جرم یابی دیجیتال نوشته شدند که تعدادیشون رایگان و برخی هم تجاری هستند، در کالی لینوکس یک دسته بندی اختصاصی به جرم یابی دیجیتال اختصاص داده شده که ما در ادامه سعی میکنیم از تمامی ابزار معرفی شده در کالی برای کارمون استفاده کنیم.

 

(لیست ابزار forensics در کالی)

 

همچنین بد نیست تعدادی از نسخه های تجاری این ابزار رو بشناسید:

  • COFEE
  • EPRB
  • FTK
  • OSForensics
  • PTK Forensics
  • Registry Recon
  • SafeBack
  • Windows To Go
  • Netherlands Forensic Institute

 

و البته نسخه های رایگان و بعضا متن باز:

  • Digital Forensics Framework
  • Open Computer Forensics Architecture
  • CAINE Linux
  • The Coroner’s Toolkit
  • The Sleuth Kit
  • Wireshark

 

 

:: نظرات

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد.

*