الخطوات التفصيلية التي يجب على المحقق الجنائي الرقمي اتباعها في مسرح الجريمة الالكترونية مع توضيح الأساليب المستخدمة في جمع الأدلة الجنائية واستخراجها من أجهزة المتهمين وذكر لبعض لأدوات والمعدات لهذه المهمة.

قبل أسبوع من الآن, كنت أعمل على بحث مطالب به لمادة التحقيق الجنائي الرقمي, حيث السؤال المطروح كان كالتالي:

لنفترض بأن جريمة وقعت في مكان ما, وقام أفراد الشرطة بإستدعاك بحكم وجود جهاز كمبيوتر في مسرح الجريمة, ومن المتوقع وجود إثباتات تدلنا على مرتكب الجريمة, ماهي الطريقة المثلى لفحص الجهاز بالتفصيل شارحاً الخطوات التي يجب تجنبها ولماذا.

دائماً نظن بأن عملية فحص الكمبيوتر للبحث عن الأدلة عبارة عن عملية سهلة ولكن في الحقيقة هي ليس كذلك وتحتاج لخطوات مطولة, إليكم تفاصيلها كالتالي:

بدايةً التحقيق الجنائي الرقمي أداة مهمة لإستخراج الأدلة في هذا الزمان, لأن المحقق الجنائي يكتشف ويستخرج ويسجل الدليل الحاسوبي. حيث يمكن إستخدامه من قبل الحكومات, الجيوش, الشركات التقنية والبنوك… الخ. في هذه القضية لابد من فحص حاسوب الضحية لأنه قد يحتوي على بيانات مهمة قد تدلنا على المجرم مباشرةً, كالصور,المحادثات المسجلة,البريد الالكتروني وخلافه, التي قد تقدم في المحكمة كدليل ضد المذنب. فالإجراء المتخذ في مثل هذا النوع من القضايا يبدأ بالإستعداد بدراسة المعلومات المبدئية المقدمة عن القضية قبل التحقيق بعد ذلك يبدأ التحقيق وتحصيل الأدلة من مسرح الجريمة, وأخيراً التحقيق بشكل مفصل وإستخراج الأدلة الإلكترونية في المختبر الخاص بالمحقق الجنائي الرقمي…

مبدئياً وقبل الذهاب إلى مسرح الجريمة ومن البيانات التي لدينا يظهر لنا بأنه متوقع جداً بأنه قد تكون هناك معلومات مهمة عن عملية القتل في بريد الضحية , المواقع التي زارها, أو أي سجلات محادثة متوفرة مثل: إم إس إن, ياهو ,آي سي كيو, … الخ التي قد تساعد في حل هذه القضية. لا ننسى فحص أي مستندات او اي قصاصات ورقية تحتوي على ملاحظات أو ربما أصابع الذاكرة USB أو أقراص خارجية الموجودة في مسرح الجريمة التي قد تساعد عملية التحقيق. والأهم من ذلك كله يجب على المحقق الجنائي كتابة كل شيء يحدث له سواء كان في مسرح الجريمة أو في المعمل, لأنه في بعض الأحيان وفي بعض القضايا تأخذ سنين لحلها وهذه المذكرات التي يسجلها المحقق قد تذكره لاحقاً اذا أمر بالتحدث للمحكمة أو خلافه.

الآن وبعد الوصول لمسرح الجريمة, على المحقق حماية المنطقة التي يعمل عليها بأي حواجز تمنع دخول أي أحد لمنطقة عمله والعبث بالدليل, ويجب عليه عدم لمس أي شيء في مسرح الجريمة إلا المنطقة المكلف له بالتحقيق فيها, لأن لمس أي شيء او ربما مجرد تحريك طاولة قد يعرقل عملية التحقيق على المحققين الآخرين في القضية. حسناً , بعد ذلك يجب على المحقق أن يقوم بعملية لصق طوابع على جميع الأسلاك الموصولة بالحاسب أو اللابتوب وتسجيل ذلك على الطابعة, فعلى سبيل المثال يكتب على الطابع الملصق على سلك الفأرة ” سلك الفأرة ” . وبعد ذلك يجب عليه أن يصور الحاسب من كل جهة والمكان الموضوع فيه . لماذا؟ حتى في حال لو أردنا تشغيل الحاسب مره أخرى يجب أن يكون في نفس الوضعية التي كان بها وبنفس التوصيل.

بعد أن يتم ذلك يبدأ في البحث بجواره الحاسب عن اي ملاحظات على قصاصات ورقية التي قد تحتوي على بيانات مهمة مثل كلمة مرور أو أي شيء يفيدنا, لأن الحصول على مثل هذه المعلومات قد يساعد في تقصير مدة التحقيق على حساب عمليات كسر كلمة المرور وتخطيها في المختبر. الآن وبعد أن يتم جميع ما سبق يجب على المحقق فحص الحاسب, فإذا كان الحاسب مغلق لن يقوم بتشغيله ابداً ! لأن فعل ذلك سوف يحدث سجلات النظام بآخر موعد تشغيل وهذا سوف يفسد علينا القضية بأكملها !, ونفس الحال لو كان النظام يعمل فلن نقوم بإغلاقه ! لإن إغلاقه سوف يحدث سجلات النظام وننتهي في نفس المطاف! فيجب علينا التأكد من وضع الحاسب على سبيل المثال إذا كان محمول عن طريق الإشارات الضوئية للبطارية والهاردسك ووضع التشغيل, فلو كانت تومض وتدل على أن الحاسب يعمل وفي وضع الإستعداد على سبيل المثال فلن نتمكن من تشغيله ويجب على المحقق أن يقوم بنزع البطارية من الجهاز وبعد ذلك فصل سلك الشاحن من نفس الجهاز, لكن لو كان الجهاز يعمل والشاشة على سطح مكتب النظام فالوضع هنا مختلف, حينها يجب على المحقق أن يأخذ صورة للشاشة بإستخدام الكاميرا التي معه, ويدون جميع التطبيقات التي تعمل أمامه , حتى إذا كانت شاشة توقف أو شاشة تطلب تسجيل كلمة المرور يجب عليه تدوين ذلك !

لنفترض بأن في الشاشة لدينا مطلوب أن ندخل كلمة مرور.. في هذه الحالة لا نقوم بأي عملية تخمين بل نقوم بسحب سلك الكهرباء الموصل إلى الحاسب وأخذه إلى المختبر, لكن في حال النظام كان يعمل بشكل طبيعي فهنا يجب أن نستمر , على المحقق أن يفعل شيئان فقط لا غير:

1. إستخدام برنامج مثل COFEE , لإستخراج كافة السجلات الخاصة بالنظام عن طريق USB.
2. أخذ صورة للذاكرة المؤقتة عن طريق عملية crash dump على سبيل المثال أو بإستخدام برنامج مثل LiveKd أو ربما ملفات عملية الإسبات .

على المحقق عدم العبث والدخول على أي ملف أو البحث في النظام بأي طريقة لأن فعل ذلك سوف يحدث السجلات الخاصة بالملفات والمجلدات وإضعاف الحاسب كدليل في المحكمة. بعد ذلك يجب على المحقق أن يفصل سلك الكهرباء عن الحاسب وتجهيزه للنقل إلى المختبر, مع التأكد بأن جميع الأسلاك الموصولة يوجد طابع عليها لتذكرينا بها وبمكانها بالتحديد.

جميع ماسوف يتم جمعه يجب أن يحفظ في أكياس خاصة ترجمتها الحرفية ” أكياس الدليل – أو حافظة الدليل ” حيث يوضع داخلها كل ما يمكن جمعه من أقراص ليزرية , أصابع ذاكرة USB, … الخ. ويجب التعامل مع كل كيس كأنه ” قابل للكسر ” أي بحذر شديد لأن بدون الدليل لا يوجد لدينا أي قضية. أي جهاز إلكتروني يجب أن يحفظ في أكياس خاصة مضادة للشحنات الساكنة لتجنب إتلافها من قبل المصادر المغناطيسية.

حيث يجب أن يكون على الكيس مثل المسودة يتم تسجيل فيها مثلاً الشركة المصنعة والموديل و الرقم التسلسلي ويجب أن تكون هذه المسودة دوماً مع هذا الكيس. وايضاً مسودة أخرى تختص بمن أستلم الدليل ” أي عملية الإستلام والتسليم والنقل ” حيث يتم تسجيل فيها كل شخص أخذ الدليل إلى حين وصولها للمحكمة, يتم تسجيل في هذه المسودة من أخذ الدليل, متى , وماهو الدليل , وأين , وكيف ولماذا ! وهذه المسودة يجب ايضاً ان تكون دوماً برفقة الدليل داخل الكيس !.

الآن وبعد أن تمت عملية جمع الأدلة من مسرح الجريمة وكل الأدلة المطلوبة موجودة لدينا في المختبر, يجب على المحقق إنشاء نسخة من الأدلة التي سوف يعمل عليها, لتجنب أي ضرر ممكن أن يحصل للدليل الأصلي من عملية التحقيق حيث الدليل الأصلي يجب أن يحفظ بعيداً لحين إستخدامه في المحكمة, وهذه الخطوة تعتبر خطوة مهمة حيث ليس من المعقول العمل على النسخة الأصلية من الدليل. ويجب على المحقق التأكد من النسخة المصنوعة من الدليل طبق الأصل تماماً ! ولعمل ذلك يجب علينا إخراج الدليل من الحافظة ( في حالتنا الدليل هو الحاسب ) ويجب علينا فك الحاسب مع تصويره وتدوين جميع ما يحدث قبل وبعد فكه لإستخراج القرص الصلب منه في سبيل عمل نسخة منه أو بالأصح نسختين, النسخة الأولى مكتبية حيث يتم العودة لها في حال حصول أي ضرر للنسخة الأخرى ألا وهي نسخة العمل (هذا لايعني الإهمال لكن مجرد احتياط) مع التأكد بأن النسخة المأخوذة للقرص الصلب نظيفة جنائياً (بدون فيروسات – بدون ملفات تجسس – … الخ) وفي خلال عملية النسخ يجب علينا إستخدام جهاز (مانع الكتابة – Write Blocker) لتجنب كتابة أي بيانات على القرص الصلب الأصلي, حيث يفضل إستخدام نسخة عتادية منه وليس مجرد برنامج.

وللتأكد بأن النسخة المأخوذة مطابقة للنسخة الأصلية يجب على المحقق إستخدام طريقة أكواد التشفير ( مثل: md5- sha – …) حيث تكون للصورة المأخوذة من النسخة كاملة ويتم مقارنتها بالقرص الصلب الأصلي. (يفضل عمل نسخ من نوع bit-stream حتى يمكننا إستعادة الملفات المحذوفة لو أضطررنا فعل ذلك)

بعد أن تتم عملية نسخ القرص الصلب والتأكد بأن النسخة مطابقة يستطيع المحقق البدء في استكشاف ملفات القرص الصلب براحة تامة , دون القلق من إتلاف الدليل أو أي سبب آخر يمنعنا من إستخدام القرص الأصلي.

في النهاية, أو أن أذكر الجميع بأن هذه الطريقة قد تختلف قليلاً لأنه في بعض الأحيان قد لا نحتاج لجلب جهاز الضحية إلى المختبر ويتم العمل عليه في مسرح الجريمة مباشرة على حسب أهمية القضية , ومع التنبه بأن في بعض القضايا يتم مسح كافة محتويات القرص الصلب بكبسة زر واحدة إذا لم يكن المحقق متيقظ لذلك ! .

نقطة أخيرة, التحقيق\الأمن الجنائي الرقمي ليس فقط لإستخراج الأدلة من حواسيب المشتبه بهم أو الضحايا, بل هناك قضايا آخرى مثل التهديدات الإلكترونية, النصب والإحتيال عن طريق الإنترنت, البرامج المقرصنة, الفيروسات والباكدورات, قضايا الإختراق والتهكير … الخ

المصادر:

• Harvard Townsend. (2008). Microsoft Windows Forensics.
• Jesse Kornblum. (2007). Tools:Memory Imaging.
• Mike Barba’s Presentation. (2009). Computer Forensic Investigations.
• NTI. (2008).

عن الكاتب:

ساري بخاري, طالب جامعي في قسم التحقيق الجنائي الرقمي في بريطانيا, لدي خبرة واسعة في البرمجة والحماية والتصميم والتعامل مع أنظمة اللينوكس.

التعليقات (18)

............
أرسلت بواسطة: HASSAN في February 20, 2010

بصراحة عجبني اسلوبك في الشرح سلس و مفصل و غير ممل

ونأمل منك المزيد من الشروحات في هذا المجال

وعجبني كثيرا هذا المجال ... واتمنى لك التوفيق في دراستك ..

تحياتي

• 
• +1
• 
• 

good
أرسلت بواسطة: sayed ahmed في February 21, 2010

التحقيق الجنائى الرقمى بعتبره جزء غامض جدا وليه ركن لوحده خاص به

موضوع مفيد
تسلم ايديك

• 
• +0
• 
• 

بارك الله فيك
أرسلت بواسطة: Moaaz El Masry في February 21, 2010

بارك الله فيك اخى و نرجو المزيد من هذا العلم الجيد . لو تسطيع رفع فيديوهات او اى اشياء اخرى نكون شاكريين

• 
• +1
• 
• 

شكرا
أرسلت بواسطة: Hit-Man في February 21, 2010

شكرا لك أخي Sari Bukhari أنا سبقلي و قرأت هدا الموضوع في مدونتك

على كل حال الله يعطيك العافية و شكرا ل isecur1ty لافساحها المجال باعادة كتابة الموضوع هنا

وشكرا لكمـ جميعا

• 
• +2
• 
• 

شكرا لكم
أرسلت بواسطة: صـ* الله * أكبر *ــدامي للمــــــــوت في February 21, 2010

مواضيع رائعه وبعضها نادر


يا حبي لهذة المدونه

شكر لكل الاخوان المساهمين والمتواصلين

الى الامام

• 
• +0
• 
• 

مع الشكر للجميع
أرسلت بواسطة: Sari Bukhari في February 21, 2010

أشكركم جميعاً على التشجيع في الفترة القادمة سوف يتم إنزال بعض المواضيع المشوقة عن التحقيق الجنائي الرقمي, ترقبوا موقع isecur1ty
=)

• 
• +5
• 
• 

أبدآآع ... *_^
أرسلت بواسطة: Tr@cK3r في February 21, 2010

هع .. " تصدق أني كنت متوقع أنك ستضع لمستك هنا " *_^
مبدع دوما يآسآري ,,,!
وأشكر Isecurity لفسحها المجآل لمبدعين مثلك

وفقكم الله لكل خير
تقبل طلتي

• 
• +0
• 
• 

بارك الله فيك
أرسلت بواسطة: Mr.JOKER في February 21, 2010

ما شاء الله
بارك الله فيك
افادتني كثيرا هذه المعلومات
كل التحية

• 
• +0
• 
• 

نتمنى نشر المزيد ...
أرسلت بواسطة: AAM في February 22, 2010

جزاك الله خيرا على هذا المقال المميز

آمل أن تنشر المزيد من هذه المقالات لضعف المحتوى العربي فيها

و مقالاتك مميزة ما شاء الله

وفقت للخير

• 
• +2
• 
• 

...
أرسلت بواسطة: unex في February 22, 2010

جزاك الله خيرا اخي بخاري

• 
• +0
• 
• 

...
أرسلت بواسطة: Ali Mohammad في February 25, 2010

لم أتوقع بأن مجال "التحقيق الجنائي" ممتع إلى هذه الدرجة.

شكراً لكم فريق iSecur1ty وأتمنى لكم التوفيق في كل ما تقومون به

• 
• +0
• 
• 

رد
أرسلت بواسطة: mrloong في February 25, 2010

موضوع أكثر من رائع والله يعطيك العافية

• 
• +0
• 
• 

...
أرسلت بواسطة: Sari Bukhari في February 26, 2010

اشكركم جميعاً, =)

• 
• +2
• 
• 

...
أرسلت بواسطة: Abuhend في February 26, 2010

جزاك الله خيرا وبارك الله فيك
مقال متميز يدل على علمك المتقدم واحترافية عالية.
نرجو منك المزيد من مقالاتك عن "التحقيق الجنائي الرقمي"
وفقك الله ونفع بعلمك جميع المسلمين.

• 
• -1
• 
• 

...
أرسلت بواسطة: ســامي في March 05, 2010

بوركا فيك اخي Sari Bukhari

لاكن لماذا لم تتكل عن الطرف المتظرر اي الطرف الضحية الا تظن انه نقطة البداية
كا تتبع مصدر الاتصال التحقق منه ملف لوج ولو تم مسحها كيف سيكون مقوقفكم
مع اني اظن انها اصبحت من الماضي فلا يعقل ان الصحاب الحماية لم يستخدموى تقنايات جيد
قهنا عدة برامج اعلان حالة الطورئ
بطبيعت الحال من لا يعرف ملفات لوج وطريقت مسحها

شكرااا لك لقد استفذت كتيرا من مواضيع انشاء الله في ميزان حسناتك

ومرايك في هذه القضية طالبة بحقه فيجد انه هو المظلم

تخيل هل كنت تسمح بدخول شخص الا اميك لو كان الموقع ممكن عادي لاكن اميل شخصي لا

طيب هل تحدت هذه احيانا صحيح الطفل بيضل طفل اامام العدالة لاكن القضية مو بهذا السهولة



~~~~~~~~~~~~~~~~~~~ لفد جمعتنا المحبة في الله فمن يفرقنا ~~~~~~~~~~~~~~~~~~~~~~

• 
• +0
• 
• 

لم يظهر الرابط !!!..
أرسلت بواسطة: ســامي في March 05, 2010

http://www.youtube.com/watch?v...L&index=17

• 
• +0
• 
• 

HACKER_CH
أرسلت بواسطة: HACKER_CH في April 05, 2010

شكرا اخي الفاضل على موضوعك المميز و الله صراحة اعجبني الموضوع كثير ، نظرا لطريقة تقديمك المميزة و عرضك للموضوع بطريقة رائعة سلام و جزاك الله الف خير

• 
• +0
• 
• 

انت رائع يااخي
أرسلت بواسطة: neshan في July 26, 2010

شكرا اخي ساري وانت فعلا اسم على مسمى انت تسير على الخط العلمي الرائع والذي لطالما فكرت به اهنئك على شطارتك وابداعك اتمنى لك التوفيق دوما واحب ان تعتبرني احد اصدقائك في مجال تبادل المعلومات الخاصة بالمعلومات الرقمية.
بارزان عبالعزيز - من العراق
ادرس ماجستر في جامعةJNTU قسم Computer Networks and Information Security - حيدر اباد - الهند

• 
• +0
• 
•