مقال : ماذا تفعل في مسرح الجريمة الالكترونية
الخطوات التفصيلية التي يجب على المحقق الجنائي الرقمي اتباعها في مسرح الجريمة الالكترونية مع توضيح الأساليب المستخدمة في جمع الأدلة الجنائية واستخراجها من أجهزة المتهمين وذكر لبعض لأدوات والمعدات لهذه المهمة.
قبل أسبوع من الآن, كنت أعمل على بحث مطالب به لمادة التحقيق الجنائي الرقمي, حيث السؤال المطروح كان كالتالي:
لنفترض بأن جريمة وقعت في مكان ما, وقام أفراد الشرطة بإستدعاك بحكم وجود جهاز كمبيوتر في مسرح الجريمة, ومن المتوقع وجود إثباتات تدلنا على مرتكب الجريمة, ماهي الطريقة المثلى لفحص الجهاز بالتفصيل شارحاً الخطوات التي يجب تجنبها ولماذا.
دائماً نظن بأن عملية فحص الكمبيوتر للبحث عن الأدلة عبارة عن عملية سهلة ولكن في الحقيقة هي ليس كذلك وتحتاج لخطوات مطولة, إليكم تفاصيلها كالتالي:
بدايةً التحقيق الجنائي الرقمي أداة مهمة لإستخراج الأدلة في هذا الزمان, لأن المحقق الجنائي يكتشف ويستخرج ويسجل الدليل الحاسوبي. حيث يمكن إستخدامه من قبل الحكومات, الجيوش, الشركات التقنية والبنوك… الخ. في هذه القضية لابد من فحص حاسوب الضحية لأنه قد يحتوي على بيانات مهمة قد تدلنا على المجرم مباشرةً, كالصور,المحادثات المسجلة,البريد الالكتروني وخلافه, التي قد تقدم في المحكمة كدليل ضد المذنب. فالإجراء المتخذ في مثل هذا النوع من القضايا يبدأ بالإستعداد بدراسة المعلومات المبدئية المقدمة عن القضية قبل التحقيق بعد ذلك يبدأ التحقيق وتحصيل الأدلة من مسرح الجريمة, وأخيراً التحقيق بشكل مفصل وإستخراج الأدلة الإلكترونية في المختبر الخاص بالمحقق الجنائي الرقمي…
مبدئياً وقبل الذهاب إلى مسرح الجريمة ومن البيانات التي لدينا يظهر لنا بأنه متوقع جداً بأنه قد تكون هناك معلومات مهمة عن عملية القتل في بريد الضحية , المواقع التي زارها, أو أي سجلات محادثة متوفرة مثل: إم إس إن, ياهو ,آي سي كيو, … الخ التي قد تساعد في حل هذه القضية. لا ننسى فحص أي مستندات او اي قصاصات ورقية تحتوي على ملاحظات أو ربما أصابع الذاكرة USB أو أقراص خارجية الموجودة في مسرح الجريمة التي قد تساعد عملية التحقيق. والأهم من ذلك كله يجب على المحقق الجنائي كتابة كل شيء يحدث له سواء كان في مسرح الجريمة أو في المعمل, لأنه في بعض الأحيان وفي بعض القضايا تأخذ سنين لحلها وهذه المذكرات التي يسجلها المحقق قد تذكره لاحقاً اذا أمر بالتحدث للمحكمة أو خلافه.
الآن وبعد الوصول لمسرح الجريمة, على المحقق حماية المنطقة التي يعمل عليها بأي حواجز تمنع دخول أي أحد لمنطقة عمله والعبث بالدليل, ويجب عليه عدم لمس أي شيء في مسرح الجريمة إلا المنطقة المكلف له بالتحقيق فيها, لأن لمس أي شيء او ربما مجرد تحريك طاولة قد يعرقل عملية التحقيق على المحققين الآخرين في القضية. حسناً , بعد ذلك يجب على المحقق أن يقوم بعملية لصق طوابع على جميع الأسلاك الموصولة بالحاسب أو اللابتوب وتسجيل ذلك على الطابعة, فعلى سبيل المثال يكتب على الطابع الملصق على سلك الفأرة ” سلك الفأرة ” . وبعد ذلك يجب عليه أن يصور الحاسب من كل جهة والمكان الموضوع فيه . لماذا؟ حتى في حال لو أردنا تشغيل الحاسب مره أخرى يجب أن يكون في نفس الوضعية التي كان بها وبنفس التوصيل.
بعد أن يتم ذلك يبدأ في البحث بجواره الحاسب عن اي ملاحظات على قصاصات ورقية التي قد تحتوي على بيانات مهمة مثل كلمة مرور أو أي شيء يفيدنا, لأن الحصول على مثل هذه المعلومات قد يساعد في تقصير مدة التحقيق على حساب عمليات كسر كلمة المرور وتخطيها في المختبر. الآن وبعد أن يتم جميع ما سبق يجب على المحقق فحص الحاسب, فإذا كان الحاسب مغلق لن يقوم بتشغيله ابداً ! لأن فعل ذلك سوف يحدث سجلات النظام بآخر موعد تشغيل وهذا سوف يفسد علينا القضية بأكملها !, ونفس الحال لو كان النظام يعمل فلن نقوم بإغلاقه ! لإن إغلاقه سوف يحدث سجلات النظام وننتهي في نفس المطاف! فيجب علينا التأكد من وضع الحاسب على سبيل المثال إذا كان محمول عن طريق الإشارات الضوئية للبطارية والهاردسك ووضع التشغيل, فلو كانت تومض وتدل على أن الحاسب يعمل وفي وضع الإستعداد على سبيل المثال فلن نتمكن من تشغيله ويجب على المحقق أن يقوم بنزع البطارية من الجهاز وبعد ذلك فصل سلك الشاحن من نفس الجهاز, لكن لو كان الجهاز يعمل والشاشة على سطح مكتب النظام فالوضع هنا مختلف, حينها يجب على المحقق أن يأخذ صورة للشاشة بإستخدام الكاميرا التي معه, ويدون جميع التطبيقات التي تعمل أمامه , حتى إذا كانت شاشة توقف أو شاشة تطلب تسجيل كلمة المرور يجب عليه تدوين ذلك !
لنفترض بأن في الشاشة لدينا مطلوب أن ندخل كلمة مرور.. في هذه الحالة لا نقوم بأي عملية تخمين بل نقوم بسحب سلك الكهرباء الموصل إلى الحاسب وأخذه إلى المختبر, لكن في حال النظام كان يعمل بشكل طبيعي فهنا يجب أن نستمر , على المحقق أن يفعل شيئان فقط لا غير:
- إستخدام برنامج مثل COFEE , لإستخراج كافة السجلات الخاصة بالنظام عن طريق USB.
- أخذ صورة للذاكرة المؤقتة عن طريق عملية crash dump على سبيل المثال أو بإستخدام برنامج مثل LiveKd أو ربما ملفات عملية الإسبات .
على المحقق عدم العبث والدخول على أي ملف أو البحث في النظام بأي طريقة لأن فعل ذلك سوف يحدث السجلات الخاصة بالملفات والمجلدات وإضعاف الحاسب كدليل في المحكمة. بعد ذلك يجب على المحقق أن يفصل سلك الكهرباء عن الحاسب وتجهيزه للنقل إلى المختبر, مع التأكد بأن جميع الأسلاك الموصولة يوجد طابع عليها لتذكرينا بها وبمكانها بالتحديد.
جميع ماسوف يتم جمعه يجب أن يحفظ في أكياس خاصة ترجمتها الحرفية ” أكياس الدليل – أو حافظة الدليل ” حيث يوضع داخلها كل ما يمكن جمعه من أقراص ليزرية , أصابع ذاكرة USB, … الخ. ويجب التعامل مع كل كيس كأنه ” قابل للكسر ” أي بحذر شديد لأن بدون الدليل لا يوجد لدينا أي قضية. أي جهاز إلكتروني يجب أن يحفظ في أكياس خاصة مضادة للشحنات الساكنة لتجنب إتلافها من قبل المصادر المغناطيسية.
حيث يجب أن يكون على الكيس مثل المسودة يتم تسجيل فيها مثلاً الشركة المصنعة والموديل و الرقم التسلسلي ويجب أن تكون هذه المسودة دوماً مع هذا الكيس. وايضاً مسودة أخرى تختص بمن أستلم الدليل ” أي عملية الإستلام والتسليم والنقل ” حيث يتم تسجيل فيها كل شخص أخذ الدليل إلى حين وصولها للمحكمة, يتم تسجيل في هذه المسودة من أخذ الدليل, متى , وماهو الدليل , وأين , وكيف ولماذا ! وهذه المسودة يجب ايضاً ان تكون دوماً برفقة الدليل داخل الكيس !.
الآن وبعد أن تمت عملية جمع الأدلة من مسرح الجريمة وكل الأدلة المطلوبة موجودة لدينا في المختبر, يجب على المحقق إنشاء نسخة من الأدلة التي سوف يعمل عليها, لتجنب أي ضرر ممكن أن يحصل للدليل الأصلي من عملية التحقيق حيث الدليل الأصلي يجب أن يحفظ بعيداً لحين إستخدامه في المحكمة, وهذه الخطوة تعتبر خطوة مهمة حيث ليس من المعقول العمل على النسخة الأصلية من الدليل. ويجب على المحقق التأكد من النسخة المصنوعة من الدليل طبق الأصل تماماً ! ولعمل ذلك يجب علينا إخراج الدليل من الحافظة ( في حالتنا الدليل هو الحاسب ) ويجب علينا فك الحاسب مع تصويره وتدوين جميع ما يحدث قبل وبعد فكه لإستخراج القرص الصلب منه في سبيل عمل نسخة منه أو بالأصح نسختين, النسخة الأولى مكتبية حيث يتم العودة لها في حال حصول أي ضرر للنسخة الأخرى ألا وهي نسخة العمل (هذا لايعني الإهمال لكن مجرد احتياط) مع التأكد بأن النسخة المأخوذة للقرص الصلب نظيفة جنائياً (بدون فيروسات – بدون ملفات تجسس – … الخ) وفي خلال عملية النسخ يجب علينا إستخدام جهاز (مانع الكتابة – Write Blocker) لتجنب كتابة أي بيانات على القرص الصلب الأصلي, حيث يفضل إستخدام نسخة عتادية منه وليس مجرد برنامج.
وللتأكد بأن النسخة المأخوذة مطابقة للنسخة الأصلية يجب على المحقق إستخدام طريقة أكواد التشفير ( مثل: md5- sha – …) حيث تكون للصورة المأخوذة من النسخة كاملة ويتم مقارنتها بالقرص الصلب الأصلي. (يفضل عمل نسخ من نوع bit-stream حتى يمكننا إستعادة الملفات المحذوفة لو أضطررنا فعل ذلك)
بعد أن تتم عملية نسخ القرص الصلب والتأكد بأن النسخة مطابقة يستطيع المحقق البدء في استكشاف ملفات القرص الصلب براحة تامة , دون القلق من إتلاف الدليل أو أي سبب آخر يمنعنا من إستخدام القرص الأصلي.
في النهاية, أو أن أذكر الجميع بأن هذه الطريقة قد تختلف قليلاً لأنه في بعض الأحيان قد لا نحتاج لجلب جهاز الضحية إلى المختبر ويتم العمل عليه في مسرح الجريمة مباشرة على حسب أهمية القضية , ومع التنبه بأن في بعض القضايا يتم مسح كافة محتويات القرص الصلب بكبسة زر واحدة إذا لم يكن المحقق متيقظ لذلك ! .
نقطة أخيرة, التحقيقالأمن الجنائي الرقمي ليس فقط لإستخراج الأدلة من حواسيب المشتبه بهم أو الضحايا, بل هناك قضايا آخرى مثل التهديدات الإلكترونية, النصب والإحتيال عن طريق الإنترنت, البرامج المقرصنة, الفيروسات والباكدورات, قضايا الإختراق والتهكير … الخ
المصادر:
- Harvard Townsend. (2008). Microsoft Windows Forensics.
- Jesse Kornblum. (2007). Tools:Memory Imaging.
- Mike Barba’s Presentation. (2009). Computer Forensic Investigations.
- NTI. (2008).
عن الكاتب:
ساري بخاري, طالب جامعي في قسم التحقيق الجنائي الرقمي في بريطانيا, لدي خبرة واسعة في البرمجة والحماية والتصميم والتعامل مع أنظمة اللينوكس.
بصراحة عجبني اسلوبك في الشرح سلس و مفصل و غير ممل
ونأمل منك المزيد من الشروحات في هذا المجال
وعجبني كثيرا هذا المجال … واتمنى لك التوفيق في دراستك ..
تحياتي
أشكركم جميعاً على التشجيع في الفترة القادمة سوف يتم إنزال بعض المواضيع المشوقة عن التحقيق الجنائي الرقمي, ترقبوا موقع isecur1ty
=)
التحقيق الجنائى الرقمى بعتبره جزء غامض جدا وليه ركن لوحده خاص به
موضوع مفيد
تسلم ايديك
هع .. ” تصدق أني كنت متوقع أنك ستضع لمستك هنا ” *_^
مبدع دوما يآسآري ,,,!
وأشكر Isecurity لفسحها المجآل لمبدعين مثلك
وفقكم الله لكل خير
تقبل طلتي
ما شاء الله
بارك الله فيك
افادتني كثيرا هذه المعلومات
كل التحية
بارك الله فيك اخى و نرجو المزيد من هذا العلم الجيد . لو تسطيع رفع فيديوهات او اى اشياء اخرى نكون شاكريين
شكرا لك أخي Sari Bukhari أنا سبقلي و قرأت هدا الموضوع في مدونتك
على كل حال الله يعطيك العافية و شكرا ل isecur1ty لافساحها المجال باعادة كتابة الموضوع هنا
وشكرا لكمـ جميعا
مواضيع رائعه وبعضها نادر
يا حبي لهذة المدونه
شكر لكل الاخوان المساهمين والمتواصلين
الى الامام
جزاك الله خيرا على هذا المقال المميز
آمل أن تنشر المزيد من هذه المقالات لضعف المحتوى العربي فيها
و مقالاتك مميزة ما شاء الله
وفقت للخير
جزاك الله خيرا اخي بخاري
لم أتوقع بأن مجال “التحقيق الجنائي” ممتع إلى هذه الدرجة.
شكراً لكم فريق iSecur1ty وأتمنى لكم التوفيق في كل ما تقومون به
موضوع أكثر من رائع والله يعطيك العافية
اشكركم جميعاً, =)
جزاك الله خيرا وبارك الله فيك
مقال متميز يدل على علمك المتقدم واحترافية عالية.
نرجو منك المزيد من مقالاتك عن “التحقيق الجنائي الرقمي”
وفقك الله ونفع بعلمك جميع المسلمين.
بوركا فيك اخي Sari Bukhari
لاكن لماذا لم تتكل عن الطرف المتظرر اي الطرف الضحية الا تظن انه نقطة البداية
كا تتبع مصدر الاتصال التحقق منه ملف لوج ولو تم مسحها كيف سيكون مقوقفكم
مع اني اظن انها اصبحت من الماضي فلا يعقل ان الصحاب الحماية لم يستخدموى تقنايات جيد
قهنا عدة برامج اعلان حالة الطورئ
بطبيعت الحال من لا يعرف ملفات لوج وطريقت مسحها
شكرااا لك لقد استفذت كتيرا من مواضيع انشاء الله في ميزان حسناتك
ومرايك في هذه القضية طالبة بحقه فيجد انه هو المظلم
تخيل هل كنت تسمح بدخول شخص الا اميك لو كان الموقع ممكن عادي لاكن اميل شخصي لا
طيب هل تحدت هذه احيانا صحيح الطفل بيضل طفل اامام العدالة لاكن القضية مو بهذا السهولة
~~~~~~~~~~~~~~~~~~~ لفد جمعتنا المحبة في الله فمن يفرقنا ~~~~~~~~~~~~~~~~~~~~~~
http://www.youtube.com/watch?v…L&index=17
شكرا اخي الفاضل على موضوعك المميز و الله صراحة اعجبني الموضوع كثير ، نظرا لطريقة تقديمك المميزة و عرضك للموضوع بطريقة رائعة سلام و جزاك الله الف خير
شكرا اخي ساري وانت فعلا اسم على مسمى انت تسير على الخط العلمي الرائع والذي لطالما فكرت به اهنئك على شطارتك وابداعك اتمنى لك التوفيق دوما واحب ان تعتبرني احد اصدقائك في مجال تبادل المعلومات الخاصة بالمعلومات الرقمية.
بارزان عبالعزيز – من العراق
ادرس ماجستر في جامعةJNTU قسم Computer Networks and Information Security – حيدر اباد – الهند
أخي الكريم ساري بارك الله فيك على هذا المقال الرائع حيث أنني أحب هذه المقالات التي تهتم بالجانب الأمني أودمنك أن تزودني ببرنامجي LiveKd و coffee
حيث أنني احتاج أليهم بكترة في عملي
مشكور وبوركت وبورك منشأك
ممكن تعطيني اسم الشركةاذا انت متغلب في رفعه لي على الشبكة
وهل هذه البرامج تعمل على بيئة ويندوز
يعطيك العافية يا محمد بس لو ممكن احكي معك ع الفيس بوك انا ضفتك بس عم انتظر تقبل الاضافة ويا ريت تقبل
انا قرأت مدوناتك الموقع وكتير استفدت انا ضفتك عالفيس بوك بتمنى تقبل الاضافة اسمي طارق الاغا الان حابب اسألك كم سؤال اذا ممكن تفيدني
لك كل الشكر والتقدير والإحترام وسدد خطاك لقد أفدني وآخرين كثيرأ
شكرا اخي العزيز محمد عالموضوع الرائع والشيق.
لدي سؤال . ذكرت ان النسخة التي تؤخذ من القرص يجب أن تكون نظيفة جنائيا . ولكن ماذا لو لم تكن النسخة نظيفة وتحتوي على فيروسات او ملفات تجسس فما العمل؟