| استخراج وتحليل البيانات الوصفية Metadata |
| الكاتب Sari Bukhari |
| الخميس, 11 مارس 2010 16:56 |
|
شرح طرق استخراج البيانات الوصفية Metadata وتحليلها بالتفصيل, تعتبر هذه المعلومات من أهم الأمور التي يبحث عنها المحقق الجنائي وتفيده بشكل كبير في تتبع أثر المتهم ويمكن اعتمادها كأدلة كافية لادانته. سنستخدم في هذا المقال ملف docx لتعرف كيف يمكن استخراج المعلومات منه وتحليله لدرجة تمكننا من معرفة مكان صاحب الملف الأصلي.
البيانات الوصفية هي البيانات التفصيلية لملف يحتوي على بيانات أخرى على سبيل المثال الصور والمستندات أو حتى البرامج حيث عندما نضغط على صورة أو ملف بالزر الأيمن ونضغط على خصائص سوف تظهر لنا بيانات على الملف سواء كانت حجم أو تاريخ الإنشاء أو تاريخ آخر تعديل, وفي بعض الأحيان نستطيع أن نجد معلومات عن المبرمج او مصوّر الصورة. حيث قمت بكتابة الملف التالي كما هو واضح بالصورة:
ثم قمت بحفظة, الآن التحليل حيث هناك عدة طرق لإستخراج البيانات الوصفية, لكن للإصدار الجديد من مايكروسوفت الطريقة تختلف قليلاً عن الطرق السابقة
هذان الملفان يحتويان على جميع البيانات الوصفية المتعلقة بالملف, يمكنك قرائتها عن طريق محرر النصوص المفضل لك, أو يمكنك إستخدام الأداة read_open_xml.pl المبرمجة بلغة بيرل.
كما هو واضح تم استخراج جميع البيانات وهذه البيانات كفيلة بأن تكون دليل قاطع في أي جريمة جنائية. لكن ماذا عن الإصدارات القديمة من مايكروسوفت اوفيس ورد ؟
حيث بالمصادفة أول رابط كان ملف ورد يحتوي على 23 الف سيريال نمبر, وهذه تعتبر جريمة جنائية فيها سجن لفترة محترمة جداً قد تصل إلى 2- 5 سنين .. لقد قمت بتحميل الملف حتى أقوم بإستخراج البيانات منه ومعرفة صاحب الملف الأصلي.
كما هو واضح الإسم: Djole والشركة هي: viss02
كما ترون واجهة رسومية جميلة وبها جميع البيانات المهمة التي نحتاجها, قد يسألني البعض ماذا استفدنا؟ ما رأيكم بأن نحدد أين يعيش هذا الشخص حتى يقوم رجال الشرطة بالقبض عليه!
حيث من أول رابط يظهر لنا بأن صاحب المستند شخص من دولة صربيا, لكن معرفة أنه شخص صربي لا يكفي, إذا ذهبت الصفحة الثانية سوف تجد الرابط يخبرك في أي مدينة يعيش الشخص كالتالي:
ترجمة النص المحدد كالتالي: عن الكاتب:
إضافة إلى المفضلة
مشاركة
إرسال إلى صديق
المشاهدات: 1949 التعليقات (11)
  أرسلت بواسطة: ســامي في March 11, 2010
كنت اتوقع من البداية انك ستجد اسم الحاسوب كدليل اول
بانسبة Djole انت ذكرت انه اسم !!! اسم ماذا ؟ اسم شخص (الجاني) والشركة هي: viss02 !!!!!!!!!!!!!!! الشركة هي التي قامت بهذه العملية !!!!!! ام ...... حسب ما فهمت الشخص هو يعمل في شركة viss02 تحت اسم Djole قام بفك شفرات بعض البرامج وقام وبوضعها في ملف وورد تم قام برفعها الى المواقع التحميل. بانسة ل البينات الملتصقة الا تضن انه من الغريب إلتصاق اسمه + اسم الشركة مع الملف الا في حالة اذا ما قام بحفض ملف باسمه تم قام بإعادة تسميته ربما !!!!! بانسبة للعتور عليه هو اصلا كان معرف بنفسواا في مواقع التعريف وليس من الصعب تحديد موقعه و يمكن من رجال التحقيق مطالبت صاحب الموقع با ايبي هذا الشخص عند تسجيل دخوله :) واو حتى الايبيهات القديمة البحت عن ايبي هذا العضو الشئ الوحيد الذي حيرني وجود اسمه+ اسم الشركة في بينات الوصفية ..... عموما لم اكن اسمع عن هذه الطرق شكرااا لك كتيراعلى هذه الـمعلومات القيمة لم يخطأ من قال ما من جريمة كاملة مع فائق احترامي اخي Sari Bukhar انشاء الله تتفاعل معنا في النقاش
 أرسلت بواسطة: عبد الصمد في March 11, 2010
شرح واضح و جيد
لكن لنفرض أن صاحب ملف doc يستخدم إسم مزيف و كل البيانات اللي يسجل بها خاطئة و يشتغل ببروكسي elite أو يستخدم zombie :D
 أرسلت بواسطة: Sari Bukhari في March 12, 2010
@ســامي
الإسم لايعني هذا فعلاً إسمه, والشركة لا تعني شركة, يجب أن تتعلم أن تفكر خارج الصندوق, أغلب الناس عند تنصيبهم نسخة من أي برنامج الإسم وإسم الشركة يكون عبارة عن اسماء مستعارة . وأنا عندما أضع شروحات وأشرح طرق لا أعني كل الناس كذلك لكن أعني ماذا لو فعلوا ذلك .. قم بكتابة ملف ورد بدون العبث فيه ثم أخبرني هل غريب أن (يلتصق) أسمك المستعار والشركة التي حددتها في الملف؟ @عبدالصمد ماذا لو لم يكن الإسم مزيف وكل البيانات صحيحة ولم يعمل على بروكسي ولم يستخدم زومبي؟ =)
 أرسلت بواسطة: mohamed في March 12, 2010
بارك الله فيك أخي Sari Bukhari على الموضوع
ولكن توجد طريقة أسهل وبدون برنامج ، وهي الضغط بالزر اليمن على خصائص ملف الوورد وستظهر لك المعلومات " properties >> summary" كذلك يوجد خيار security في الوورد يمنع ظهور Metadata . أتمنى لك التوفيق
 أرسلت بواسطة: Mr.JOKER في March 12, 2010
جميل جدا
لكن هل بالإمكان الحصول على معلومات اكثر اقصد ان ليس كل من ارتكب جريمة سأجد عنه معلومات في قوقل فهل بالإمكان الوصول لمعلومات اكثر تفيدني في الوصول لصاحب الملف الأصلي لأن هذه المعلومات ليست كفيلة بأن تكون دليل قاطع في الجريمة
أرسلت بواسطة: Sari Bukhari في March 12, 2010
@mohamed
المحققين الجنائيين يهتموا لنقطة عدم العبث بالدليل, مجرد فتحك للملف فأنت سوف تعدل الـ metadata الخاصه به آلياً =) .. وتعدل تاريخ التعديل للملف, لذلك نقوم بإجراءات معقدة لإستخراج الدليل. وفي هذه الحالة أنا لم أفتح الملف قط =) أتمنى منك قراءة موضوع "ماذا تفعل في مسرح الجريمة الإلكترونية؟" حتى تعرف آلية عمل المحقق الجنائي في اكتشاف الأدلة. @Mr.JOKER عندما تعمل لجهاز حكومي, يمكنك أن تصل لباب بيت الشخص نفسه .. جوجل طريقة جديدة في البحث يستخدمها قليل من المحققين اليوم وأعني جداً قليل, سمعتها من المحقق الجنائي البريطاني Tony Noble في إحدى محاضراته, وقمت بتجربتها.. هناك طرق عديدة للوصول للجاني, وماذكرت إحدى الطرق وليس الطريقة الوحيدة !! ===== التحقيق الجنائي ليس مجال محدود, بل هوا مجال واسع وشاسع ويحتوي على طرق كثير وماذكرته في الموضوع هذا عبارة عن طريقة من مليون طريقة غيرها للوصول للجاني.. التحقيق الجنائي الرقمي يجبر المحقق في التفكير "خارج الصندوق" .. أي التفكير في خلاف المتوقع..
 أرسلت بواسطة: فايز الخليفي في March 13, 2010
تحياتي لك اخي الكريم Sari Bukhari
على هذا الشرح الوافي لكن عندي سؤال ظهر اسم الكاتب او المنشئ للملف وايضاً اسم الشركه السؤال هناء من اين ياتي بهذه البيانات هل هي من الاعدادات حق المستخدم نفسه للكمبيور او مكان اخر وسلامتك
أرسلت بواسطة: Sari Bukhari في March 14, 2010
@فايز الخليفي
نعم هي من إعداد المستخدم نفسه عند تنصيب نسخة مايكروسوفت أوفيس, ويمكن تعديلها أيضاً, لكن الكثير يتجاهلوا البيانات الوصفية.
أضف تعليق
يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول. |
ساري بخاري, طالب جامعي في قسم التحقيق الجنائي الرقمي في بريطانيا, لدي خبرة واسعة في البرمجة والحماية والتصميم والتعامل مع أنظمة اللينوكس.
