مقال : التحليل الجنائي لـ Recycle Bin
بسم الله الرحمن الرحيم
والسلام عليكم ورحمة الله وبركاته
عندما تقوم بحذف ملف من نظام التشغيل تابع لشركة مايكروسوفت ، فأن الملف لا يحذف بشكل نهائي بل يتم تخزينه في recycle bin في حالة اراد المستخدم استعادة هذا الملف ، ولكن عندما تقوم بالضغط على زر او مفتاح SHIFT من لوحة المفاتيح ومن ثم اختيار الحذف ، فأن الملف يتم حذفه بشكل كل من النظام ولا يتم تخزينه في recycle bin .
من منظور المحلل الجنائي يعتبر recycle bin ، عبارة عن منجم ذهب ، لما يحتوي على الكمية الهائله من البيانات والمعلومات ، التي تساعد على جمع الادلة ، لذلك يقوم المحلل الجنائي بتحليل هذه الملفات !
الصوره ادناه توضح مسارات تواجد ملف recycle bin في جميع الانظمه التابعه لشركة مايكروسوفت
الان سوف نقوم بتحليل ملف INFO2 لنظام Windows XP المتواجد في recycle bin ، اولاً يجب ان نقوم بعملية اظهار المجلد لانه فعلياً مخفي في النظام ، ولكيفية ذلك الصوره القادمه توضح ذلك
بعد القيام بهذه العمليه ، نذهب الى مسار C ، لنشاهد امامنا مجلد RECYCLER
بعد الدخول للمجلد نلاحظ ملف اخر بأسم [ S-1-5-21-484763869-1220945662-682003330-500 ] ، حيث يقوم النظام بأنشاءه
نقوم بفتح سطر اوامر Command Line ، ونقوم بالذهاب للمسار الاتي ، نلاحظ وجود ملف INFO2 الذي سوف نقوم بتحليله
وللقيام بعملية التحليل سوف نستخدم اداة rifiuti من اصدار شركة مكافي
ولتحميل الاداة ، قم بالدخول للرابط
http://www.mcafee.com/in/downloads/free-tools/rifiuti.aspx
ولاستخدام الاداة من سطر الاوامر
نسحب ملف INFO2 ونضعه في مجلد الاداة ، ومن ثم نكتب الامر التالي ، لتحويل البيانات الى ملف TXT حتى نقوم باستعراضها
rifiuti.exe INFO2 >result.txt
بعد الانتهاء من هذا الامر ، نلاحظ وجود ملف result.txt ، داخل مجلد الاداة
لو قمنا بفتح الملف ، سوف نجد الكثير من البيانات التي تساعد المحلل الجنائي على اثبات ما يريد !
من حيث وقت حذف الملف والتاريخ ، وحجم الملف والمسار الذي كان يتواجد فيه الملف قبل حذفه
ان شاء الله الشرح ينال اعجابكم
نلتقي في الجزء القادم من طرق التحليل الجنائي 😉
والسلام عليكم ورحمة الله وبركاته
جميع الحقوق محفوظه لموقع Isecur1ty.org ، وأي عملية نقل للموضوع دون طلب أذن مسبق ، مرفوض تماماً.
هل يمكن النعديل \ حذف ملف info ؟؟
صديقي Ibrahim
نعم بأمكانك ذلك ، باستخدام برنامج Ccleaner ، وايضاً من خلال تجميد النظام
لانه عندما اردت تحليل الملفات المتواجده لديك ، لم اجد اي معلومه في ملف INFO2
فـ اضطررت لايجاد صوره مشابه من الانترنت لما اريد ، من أجل ان يكون الشرح بشكل كامل
موفق
طيب شو كمان ممكن أعرف عن الملف ؟؟ يعني مو شايف “وقت حذف الملف والتاريخ ، وحجم الملف والمسار الذي كان يتواجد فيه الملف قبل حذفه” بتعطيني كتير معلومات
صديقي Ammar
هذا جزء بسيط من التحليل الجنائي لاجهزة الكمبيوتر بشكل عام
وقت حذف الملف والتاريخ ..الخ ، من الامور المهم
افرض بأن جهاز لاب توب قام بأختراق عدة اجهزه باستخدام برامج Rat
ومن ثم قام بحذفها ، سوف تجد اسماء او اسم برنامج الـ rat موجود لديك في ملف INFO2
واضافة لذلك سوف تجد مفاتيح ريجستري موجوده بنفس اسم برنامج Rat
لنبتعد قليلاً عن مجال الاختراق ، وافرض بأن شخص بشركه ما قام بحذف ملفات هامه جداً وانكر ذلك
سوف تجد ايضاً اسماء هذه الملفات ووقت الحذف والحجم ، ومن خلال الوقت ومراجعته مع وقت دوام الموظف بأمكانك اثبات بأنه هو من قام بذلك !
موفق
بعض الفيروسات تستخدم هذا المكان مخباَ لها
ربما يمكن أن نقوم بتحليل بعض الفيروسات بأستخدام هذه الأدوات التي طرحتها 🙂
شكرا لك
طيب اخوي اتخيل انت كنت مع شرطة ويوم وصلتو لقيت الهاكر مكسر الهارديسك كم نسبة تصليح الهارد وهل يمكن استرجاع المعلومات وما هي الحالات التي لا يمكن فيها استرجاع المعلومات وبنسبه لعمليات الدوس اتاك كيف يتم التعامل مع الهجمات في التحقيق وكيف لو كان الهاكر مستخدم vpn او بروكسي
اشكرك عزيزي حذيفه على المقال الاكثر من رائع واتمنى لك المزيد من العلم