مواضيع عامةمواضيع ومقالات

مقال : التحليل الجنائي لـ Recycle Bin

تم أرشفة هذا المحتوى


بسم الله الرحمن الرحيم

والسلام عليكم ورحمة الله وبركاته

 

عندما تقوم بحذف ملف من نظام التشغيل تابع لشركة مايكروسوفت ، فأن الملف لا يحذف بشكل نهائي بل يتم تخزينه في recycle bin في حالة اراد المستخدم استعادة هذا الملف ، ولكن عندما تقوم بالضغط على زر او مفتاح SHIFT من لوحة المفاتيح ومن ثم اختيار الحذف ، فأن الملف يتم حذفه بشكل كل من النظام ولا يتم تخزينه في recycle bin .

 

من منظور المحلل الجنائي يعتبر recycle bin ، عبارة عن منجم ذهب ، لما يحتوي على الكمية الهائله من البيانات والمعلومات ، التي تساعد على جمع الادلة ، لذلك يقوم المحلل الجنائي بتحليل هذه الملفات !

 

الصوره ادناه توضح مسارات تواجد ملف recycle bin في جميع الانظمه التابعه لشركة مايكروسوفت

1

 

الان سوف نقوم بتحليل ملف INFO2 لنظام Windows XP المتواجد في recycle bin ، اولاً يجب ان نقوم بعملية اظهار المجلد لانه فعلياً مخفي في النظام ، ولكيفية ذلك الصوره القادمه توضح ذلك

2

 

بعد القيام بهذه العمليه ، نذهب الى مسار C ، لنشاهد امامنا مجلد RECYCLER

3

 

بعد الدخول للمجلد نلاحظ ملف اخر بأسم [ S-1-5-21-484763869-1220945662-682003330-500 ] ، حيث يقوم النظام بأنشاءه

4

 

نقوم بفتح سطر اوامر Command Line ، ونقوم بالذهاب للمسار الاتي ، نلاحظ وجود ملف INFO2 الذي سوف نقوم بتحليله

 

5

 

وللقيام بعملية التحليل سوف نستخدم اداة rifiuti من اصدار شركة مكافي

ولتحميل الاداة ، قم بالدخول للرابط

http://www.mcafee.com/in/downloads/free-tools/rifiuti.aspx

ولاستخدام الاداة من سطر الاوامر

 

7

 

 

نسحب ملف INFO2 ونضعه في مجلد الاداة ، ومن ثم نكتب الامر التالي ، لتحويل البيانات الى ملف TXT حتى نقوم باستعراضها

rifiuti.exe INFO2 >result.txt

8

 

بعد الانتهاء من هذا الامر ، نلاحظ وجود ملف result.txt ، داخل مجلد الاداة

 

9

 

لو قمنا بفتح الملف ، سوف نجد الكثير من البيانات التي تساعد المحلل الجنائي على اثبات ما يريد !

من حيث وقت حذف الملف والتاريخ ، وحجم الملف والمسار الذي كان يتواجد فيه الملف قبل حذفه

10

 

ان شاء الله الشرح ينال اعجابكم

نلتقي في الجزء القادم من طرق التحليل الجنائي 😉

والسلام عليكم ورحمة الله وبركاته

جميع الحقوق محفوظه لموقع Isecur1ty.org ، وأي عملية نقل للموضوع دون طلب أذن مسبق ، مرفوض تماماً.

 

حذيفه

مختبر اختراق من الاردن ، مهتم باختبار اختراق الشبكات واختبار الاختراق بشكل عام

مقالات ذات صلة

‫7 تعليقات

    1. صديقي Ibrahim

      نعم بأمكانك ذلك ، باستخدام برنامج Ccleaner ، وايضاً من خلال تجميد النظام
      لانه عندما اردت تحليل الملفات المتواجده لديك ، لم اجد اي معلومه في ملف INFO2
      فـ اضطررت لايجاد صوره مشابه من الانترنت لما اريد ، من أجل ان يكون الشرح بشكل كامل

      موفق

  1. طيب شو كمان ممكن أعرف عن الملف ؟؟ يعني مو شايف “وقت حذف الملف والتاريخ ، وحجم الملف والمسار الذي كان يتواجد فيه الملف قبل حذفه” بتعطيني كتير معلومات

    1. صديقي Ammar
      هذا جزء بسيط من التحليل الجنائي لاجهزة الكمبيوتر بشكل عام

      وقت حذف الملف والتاريخ ..الخ ، من الامور المهم

      افرض بأن جهاز لاب توب قام بأختراق عدة اجهزه باستخدام برامج Rat
      ومن ثم قام بحذفها ، سوف تجد اسماء او اسم برنامج الـ rat موجود لديك في ملف INFO2
      واضافة لذلك سوف تجد مفاتيح ريجستري موجوده بنفس اسم برنامج Rat

      لنبتعد قليلاً عن مجال الاختراق ، وافرض بأن شخص بشركه ما قام بحذف ملفات هامه جداً وانكر ذلك
      سوف تجد ايضاً اسماء هذه الملفات ووقت الحذف والحجم ، ومن خلال الوقت ومراجعته مع وقت دوام الموظف بأمكانك اثبات بأنه هو من قام بذلك !

      موفق

  2. بعض الفيروسات تستخدم هذا المكان مخباَ لها
    ربما يمكن أن نقوم بتحليل بعض الفيروسات بأستخدام هذه الأدوات التي طرحتها 🙂
    شكرا لك

  3. طيب اخوي اتخيل انت كنت مع شرطة ويوم وصلتو لقيت الهاكر مكسر الهارديسك كم نسبة تصليح الهارد وهل يمكن استرجاع المعلومات وما هي الحالات التي لا يمكن فيها استرجاع المعلومات وبنسبه لعمليات الدوس اتاك كيف يتم التعامل مع الهجمات في التحقيق وكيف لو كان الهاكر مستخدم vpn او بروكسي

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى