خبرهای مهم:

تاریخ امروز برابر است با [ شنبه ۴ آذر ۱۳۹۶ ]

در قسمت قبل مختصرا با مفاهیم اولیه جرم یابی دیجیتال آشنا شدیم، در این قسمت به جرم یابی در محیط ویندوز میپردازیم.

 

FAT Vs. NTFS

فایل سیستم ها ساختاری دارند که اطلاعات رو در هارد دیسک ذخیره سازی و بازخوانی میکنند، وقتی شما هارد دیسکی را فرمت میکنید و میخواید عمل پارتیشن بندی رو انجام بدید باید یکی از فرمت های NTFS, FAT32, FAT16 رو انتخاب و استفاده کنید تا بعد بتونید روی درایوتون برنامه ها و اطلاعات رو ذخیره کنید.
NTFS از Master File Table(MFT) استفاده میکنه، به این شکل که وقتی شما فایلی را حذف میکنید MFT خیلی راحت اون قسمت از فضای هارد دیسک رو به عنوان فضای خالی علامت گذاری میکنه و شما اجازه بازنویسیش رو خواهید داشت و تا زمانی که اون منطقه بازنویسی بشه فایل قبلی روی هارد دیسکتون باقی مانده و به راحتی قابل بازیابی است، مثلا اگه شما یک فایل ۴ مگابایتی رو از سیستم خودتون حذف کنید و در محل فایل قبلی بیاید و ۲٫۵ مگابایت اطلاعات جدید بازنویسی کنید در این بین یک فضای ۱٫۵ مگابایتی خالی باقی میماند(Slack Space) که با استفاده از همون میشه فایل قبلی رو بازیابی نمود.

NTFS به لحاظ امنیتی از همتای خودش بالاتره چونکه میتونید روش از سیستم کدینگ اطلاعات استفاده کنید یا دسترسی های خاصی رو تنظیم و بر روی آن اعمال کنید همچنین قابلیت پشتیبانی از هارد دیسکهای باز ظرفیت بالاتر رو هم داره و در نهایت توانایی بازیابی اطلاعات در خطاهای منطقی روش وجود دارد
در صورتی که  FAT فاقد این امکانات است و بطور کلی روی سیستم عامل های قدیمی بیشتر استفاده میشده. پس با این اوصاف میشه نتیجه گرفت در حال حاضر بخش اعظمی از سیستم عامل های ویندوز از NTFS استفاده میکنند.

 

بازیابی اطلاعات:

اولین قدم شروع کارمون بازیابی اطلاعات و داده ها است، من از نرم افزار Wondershare Data Recovery استفاده کردم ولی به تعداد موهای سرتون نرم افزار هست برای اینکار و توصیه میکنم چند تایی رو تست کنید تا با کم و کیف هر کدوم آشنا بشید،
به طور کلی نرم افزار های بازیابی داده در دو حالت درایو شما رو مورد اسکن قرار میدند:

  1. اسکن معمولی
  2. اسکن عمیق

اسکن عمیق یا Deep Scan مدت زمان بیشتری نسبت به اسکن معمولی زمانبر خواهد بود ولی نتایج بهتری رو هم میشه ازش انتظار داشت:
تفاوتشون رو میتونید در تصویر هم ببینید که اسکن عمیق ۳۹۶ فایل بیشتر از اسکن معمولی پیدا کرده

     

 

در مرحله بعد فایلهای کشف شده را ذخیره میکنیم، به صورت کلی چه در حالتی که  فایلها رو بازیابی کردید و چه در زمانی که قصد داشتید درایوی رو مستقیما جرم یابی کنید همیشه یادتون باشه از اطلاعات حتما یک نسخه ایمیج تهیه کنید، اینکار باعث میشه تا در صورتی که در حین کار فایلها دچار مشکل یا معضلی شدند شما ازشون یه نسخه پشتیبان داشته باشید و کلا کارتون لنگ نشه نرم افزارهای زیادی وجود دارند که می توانند برای شما اینکارو انجام بدند، مثل: WinImage, Virtual CloneDrive, PowerISO, R-Drive Image و …

خوب همونطور که مشهوده ما اینجا چندین دسته بندی داریم:

  • فایل های آرشیوی
  • فایل های داکیومنت
  • فایلهای گرافیکی
  • فایلهای مربوط به وب
  • متفرقه

بعضی از این فایلها به صورت کاملا سالم بازیابی شدند و برخی از فایلها به صورت صدمه دیده (damaged file) که ما در ابتدا به بررسی فایلهای سالم موجود میپردازیم و سپس سعی در تعمیر فایلهای آسیب دیده و استخراج اطلاعات برای رسیدن به ادامه روند جرم یابی میکنیم.

در بخش تصاویر تعداد زیادی عکس وجود داره که بعضیهاش بنظر با دوربین گرفته شده:

 

    

 

حالا ما از ابزاری به نام Exiftool که کارش استخراج اطلاعات از فایلهاست کمک میگیریم، Exiftool رو از طریق خط فرمان ویندوز باز میکنیم و آدرس تصویر سمت راست رو برای تحلیل بهش میدیم، نتیجه تصویر زیر خواهد بود:

 

همونطور که میبینید اطلاعات بسیار زیادی در خروجی فرمان قابل مشاهده است اما از مهمترین این اطلاعات میشه به مدل گوشی که این تصویر رو گرفته و همچنین زمان و تاریخش اشاره کرد.
حالا همین فرآیند رو برای تصویر دوم مجددا تکرار میکنیم:

 

 

همینطور که میبینید حجم داده ها نسبت به عکس قبلی تقریبا دو برابر شده، اما نکته جالبی که به چشم میخوره نمایش موقعیت GPS تصویر است، با استفاده از یک موقعیت یاب و وارد نمودن طول و عرض جغرافیایی استخراج شده خواهیم فهمید که تصویر در کجا گرفته شده:

 

 

جرم یابی دیجیتال در رجیستری

رجیستری دیتابیس پیکربندی سیستم شماست و  شامل اطلاعات سخت افزاری و نرم افزاری مربوط به ویندوز است، اگر چه رجیستری برای پیکربندی سیستم طراحی شده ولی به علت داده های که درش موجوده میتونه منبع بسیار مفیدی برای جرم یابی باشه.
حالا اگه رجیستری سیستمون رو باز کنید میبینید که با ۵ دسته بندی اصلی روبرو خواهید شد

 

 

که به ترتیب:

  • شامل تمای پروفایلهای کاربر
  • پروفایل کاربر فعلی که در حال کار باهاش هستید
  • اطلاعات پیکربندی برنامه ها
  • پروفایل سخت افزاری سیستم
  • اطلاعات پیکربندی و تنظیمات سخت افزاری و نرم افزاری

 

ما در شاخه های اصلی بالا بیشتر بدنبال موارد زیر خواهیم بود:

  • درایوها و دیوایس های که به سیستم متصل شدند (یو اس بی، موبایل و …)
  • آخرین زمان استفاده از سیستم
  • نرم افزارهای استفاده شده
  • بررسی اتصالات سیستم به اینترنت یا وایرلس ها

 

خوب برای اینکه درایوهای که به سیستم اتصال داشتند رو بررسی کنیم به آدرس زیر مراجعه میکنیم:

 

همونطور که گفتیم در HKLM ما به کلیه اطلاعات پیکربندی و همینطور تنظیمات سخت افزاری و نرم افزاری سیستم دسترسی داریم.
زیر شاخه enum دارای آیتم های متعددیه، اگه روی شاخه یو اس بی استور کلیک کنید میبینید که لیستی از درایورهای که به سیستم متصل شده رو بهتون میده

 

 

و باز اگه روی هر کدوم کلیک کنید مشخصات تفضیلیش رو خواهید دید:

 

همونطور که در تصویر میبینید مشخصات متعددی از دیوایس به ما نشون میده مثل نام دیوایس(یوزر) و شناسه سخت افزاریش.

حالا فرض کنید که از متهم تعداد زیادی مموری و دیسک فلش کشف میشه، در صورتی که یکی از اونها با مشخصات این فلش مطابقت داشته باشه پس بدون شک شما تونستید ادله کافی رو برای اینکه اثبات کنید فرد مذکور از سیستم مورد ارزیابی استفاده کرده جمع آوری کنید.

یا در قسمت USBPRINT شما براحتی متوجه میشید که به این سیستم یک دستگاه پرینتر اپسون مدل ۱۱۷ متصل بوده و به احتمال خیلی زیاد از روی سیستم اطلاعاتی هم پرینت گرفته شده

 

همونطور که  device managerرا مشاهده میکنید هیچ CD-DVD rom شناسایی نمیشه

 

اما اگر به رجیستری برگردیم در قسمت IDE  خواهید دید که گزینه تحت عنوان CD-dvd rom وجود داره

 

و همینطور میتونید با جستجوی مدلش در گوگل به مدل و مارک دقیقش هم پی ببرید:

 

یکی دیگه از نقاط جالب رجیستری که اطلاعات درخوری هم روش ذخیره میشه آدرس:

و زیر شاخه RecentDocs است

RecentDocs شامل لیست مرتب شده ای از آخرین فایلهای است که شما با سیستم اونهارو اجرا کردید
همونطور که در تصویر هم مشخصه برای مثال ما به سراغ فایل های APK رفتیم و متوجه شدیم نرم افزاری به نام تاکسی سرویس نسخه ۲ روی این سیستم نصب شده بوده و احتمالا ازش برای رزرو تاکسی استفاده میشده:

 

درهمین شاخه یک آیتم دیگر به نام  TypedPathوجود دارد، این آیتم لیست آدرسهایی رو داره که کاربر بهشون مراجعه کرده است:

همچنین برای مشاهده آخرین آدرسهای که توسط اینترنت اکسپلورر مشاهده شده اند می توانید به آدرس زیر رفته:

و روی TypedURLs کلیک کنید

:: نظرات

  • مطالبتون بد نیست ولی هنوز خیلی ناقصه لطفا بیشتر و عمیقتر به این مباحث بپردازید

    • سلام،
      بله دوست گرامی از ابتدا هم قرار نبوده مطالب به شکل جامعه ای بررسی بشه و همون طور که از عنوان مطلب پیداست ” آشنایی با جرم یابی دیجیتال”، در واقع هدف این سری آموزش ها ایجاد یک دید کلی برای کاربران پایه در مورد جرم یابی است وگرنه سخن شما کاملا متینه و فقط جرم یابی تصاویر یا فایل های موجود روی سیستم عامل ویندوز خودش به تنهایی ۸۰۰-۹۰۰ صفحه مطلب آموزشی و نکات ریز و درشت داره و اگر بخوایم واقع گرا باشیم میشه گفت تمام نشدنی، در آینده اگر مقدور بود از لحاظ زمانی به صورت تخصصی به بررسی موارد به صورت تک به تک خواهیم پرداخت.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد.

*