تحليل: أداة Pasco الكلاسيكية
تقييم المستخدمين: / 14
عاديممتاز 
الكاتب Sari Bukhari   
الجمعة, 18 مارس 2011 23:50

تحليل يشرح ماهي ملفات index.dat, ولماذا تعتبر هذه الملفات دليل جنائي مهم, وأين يمكننا العثور عليها وكيف. بعد ذلك سوف نحلل الأداة إبتداءاً بتفصيل بسيط عنها, إيجابياتها, سلبياتها, وطريقة تنصيبها على جهاز المحقق. في هذا التحليل سنفصيل كافة المميزات التي تتمتع بها الأداة, حيث سنشرحها ونقييمها ثم في نهاية هذا التحليل سيكون هنالك مقارنة بسيطة بين هذه الأداة وأدوات\برامج من نفس النوع وبالطبع نتطرق لبعض التحسينات المقترحة لتحسين باسكو في حال رغب أحد بتطويرها.

 

 

أولاً, ماهي ملفات index.dat ؟

هذه الملفات يستخدمها متصفح انترنت اكسبلورر منذ إصداره الرابع, حيث يحتوي هذا الملف على سجل لجميع المواقع, الكوكيز, عمليات البحث, وأحياناً بعض الملفات والمجلدات الذي تم الإطلاع عليها مؤخراً في جهاز المشتبه به.

 

 

لماذا يحتاج متصفح إنترنت إكسبلورر هذا الملف ؟

من المعروف أنه عندما يقوم أي شخص بتصفح موقع يتم تخزين كافة المحتويات التي تمت زيارتها على القرص الصلب في سبيل تسريع عملية التصفح في حال رغب المستخدم في تصفح نفس الموقع مره أخرى وتجنب تحميل الموقع مره أخرى وبالتالي توفير بعض الباندويث. ولتعمل هذه الميزة في انترنت اكسبلورر, جميع المعلومات الخاصة بالملفات المعروف تسميتها “بالملفات المؤقتة” يتم تخزين تفاصيلها في ملفات index.dat المخفية.

 

لماذا تعتبر ملفات index.dat دليل جنائي رقمي؟

ببساطة لأنها تحتوي على سجل كامل لجميع العمليات المسبق ذكرها التي قام بها المشتبه به عن طريق متصفح إنترنت إكسبلورر. وبالذات أنها توفر لنا التاريخ والوقت الذي قام به المشتبه به بزيارة الموقع آخر مره, وبالتالي سوف تفيدنا بشكل كبير في عملية التحقيق الجنائي. مع العلم, بأن ملفات index.dat مخفية ولا يستطيع المستخدم العادي تعديلها\مسحها ببساطة. فبسبب ماتم شرحه في هذه النقطة, البيانات التي يحملها هذا الملف تؤهله ليكون دليل أكثر من مفيد في أي قضية جنائية كونها تفصح لنا عن نشاط المشتبه بهم عن طريق متصفح إنترنت إكسبلورر.

 

هل ملفات index.dat يتم إستخدامها من جميع المتصفحات الأخرى؟

لا, فقط لمتصفح إنترنت اكسبلورر, كون المتصفحات الأخرى تستخدم تكنيك وأسلوب مختلف لتخزين وإدارة ملفاتها المؤقتة.

 

أين يمكننا العثور على ملفات index.dat في أجهزة المشتبه بهم؟

في العادة يتم العثور عليها بداخل الملف الأساسي لإسم المستخدم للنظام. في الجدول التالي سوف أعرض لكم مسار أكثر الملفات إستخداماً من قبل المحققين الجنائيين لمختلف إصدارات الويندوز.

Windows 7 and Windows Vista:
C:\Users\\Roaming\Microsoft\Windows\Cookies\index.dat
C:\Users\\Roaming\Microsoft\Windows\Cookies\Low\index.dat
C:\Users\\Local\Microsoft\Windows\History\History.IE5\index.dat
C:\Users\\Local\Microsoft\Windows\History\History.IE5\Low\index.dat
C:\Users\\Local\Microsoft\Windows\History\History.IE5\index.dat\MSHistXXXXXXX\index.dat
C:\Users\\Local\Microsoft\Windows\History\History.IE5\Low\index.dat\MSHistXXXXX\index.dat
C:\Users\\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
C:\Users\\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5index.dat
C:\Users\\Roaming\Microsoft\Internet Explorer\UserData\index.dat
C:\Users\\Roaming\Microsoft\Internet Explorer\UserData\Low\index.dat

Windows XP and Windows 2000:
C:\Documents and Settings\\Cookies\index.dat
C:\Documents and Settings\\Local Settings\History\History.IE5\index.dat
C:\Documents and Settings\\Local Settings\History\History.IE5\MSHistXXXXXXXXXXX\index.dat
C:\Documents and Settings\\Local Settings\Temporary Internet Files\Content.IE5\index.dat
C:\Documents and Settings\\UserData\index.dat

Windows ME, 98, 95 or Windows NT:
C:\Windows\Cookies\index.dat
C:\Windows\History\index.dat
C:\Windows\History\MSHistXXXXXXXXXXXXXXXXXX\index.dat (XXXX are some digits)
C:\Windows\History\History.IE5\index.dat
C:\Windows\History\History.IE5\MSHistXXXXXXXXXXXXXXXXXX\index.dat
C:\Windows\Temporary Internet Files\index.dat (only in Internet Explorer 4.x)
C:\Windows\Temporary Internet Files\Content.IE5\index.dat
C:\Windows\UserData\index.dat
C:\Windows\Profiles\\Cookies\index.dat
C:\Windows\Profiles\\History\index.dat
C:\Windows\Profiles\\History\MSHistXXXXXXXXXXXXXXXXXX\index.dat
C:\Windows\Profiles\\History\History.IE5\index.dat
C:\Windows\Profiles\\History\History.IE5\MSHistXXXXXXXXXXXXXXXXXX\index.dat
C:\Windows\Profiles\\Temporary Internet Files\index.dat (only in IE 4.x)
C:\Windows\Profiles\\Temporary Internet Files\Content.IE5\index.dat
C:\Windows\Profiles\\UserData\index.dat

 

 

باسكو :

بعد معرفة ماهي ملفات index.dat ولماذا تعتبر مهمة, سوف أقوم الآن بالعودة للموضوع الرئيسي وتحليل الأداة.

لمحة لباسكو من سطر الأوامر

باسكو عبارة عن برنامج سطري, الإصدار الذي سوف أقوم بتحليله هو أول وآخر إصدار لهذه الأداة حيث تم إصدارها في عام 2003. الشيء الجيد بخصوص هذه الأداة أنها مفتوحة المصدر, لهذا فهي مجانية ويمكن تطويرها من قبل أي شخص مهتم في حال رغب بتطويرها بحكم توفر الكود المصدري لها في الموقع الرسمي للأداة http://www.foundstone.com . قد يكون الإسم غريباً ! لكن قال مبرمج البرنامج بأن باسكو كلمة لاتينية تعني “browse” – تصفح. هذه الأداة يمكن تشغيلها على جميع أنظمة التشغيل الأساسية كويندوز (عن طريق cygwin), ماك, لينكس و فري بي اس دي. بالطبع باسكو يحتاج لملف index.dat حتى يعمل, بمعنى أنه لن يبحث عن الملف آلياً, بل يجب توفير الملف له حتى تتمكن الأداة من تحليل الملف.

 

الإيجابيات:

  • مجاني ومفتوح المصدر.
  • سهل الإستخدام عن طريق سطر الأوامر.
  • تعمل الأداة على جميع أنظمة التشغيل.

 

السلبيات:

  • الأداة قديمة نوعاً ما.
  • لم يتم تطويرها ولا تحسينها بعد صدورها ابداً.
  • قليل من المميزات موجودة في الأداة.
  • لا تقوم الأداة بالبحث عن ملفات index.dat في نظام حي ولا إستخراجها من صور الأقراص الصلبة.
  • فقط إنترنت إكسبلورر !

 

أين يمكننا الحصول على هذه الأداة ؟

يمكنكم تحميل باسكو مجاناً من الموقع الرسمي الخاص بالأداة Pasco-v1.0 , بعد الإنتهاء من التحميل, سوف تظهر الملفات التالية بعد عملية فك الضغط:

  • bin : مستخدمي ويندوز سوف يجدوا بداخل هذا المجلد نسخة مترجمة مسبقاً للأداة وجاهزة للإستخدام مع ملف cygwin1.dll حتى يمكن تشغيلها عن طريق سطر الأوامر.
  • src : هنا يوجد الكود المصدري الخاص بالأداة للمهتمين لترجمة الأداة أو تطويرها.
  • Readme.txt : بعض الملاحظات تركها لنا مبرمج الأداة لتنصيب وترجمة الأداة.

 

التنصيب:

بالنسبة لي كمستخدم لنظام لينكس أتبعت هذه الخطوات البسيطة بإعتبار بأني داخل المجلد pasco .

$ cd src
$ make

بالنسبة لمستخدمي نظام ماك X : في حال لم يعمل الأمر الذي بالأعلي يرجى ترجمة الأداة كالتالي:

$ gcc -o pasco pasco.c -lm -lc

مستخدمي ويندوز: بالرغم بأن هنالك نسخة مترجمة جاهزه, لكن في حال رغبتم بالترجمة من الكود المصدري فضلاً أتبعوا الطريقة التالية عن طريق cygwin :

$ gcc -DCYGWIN -o pasco.exe pasco.c -lm -lc

لقد قمت بإضافة خطوة إضافية لعملية التنصيب الخاصة بي, وقمت بنسخ الأداة المترجمة إلى /usr/local/bin حتى يمكنني إستخدام الأداة من أي مسار عن طريق سطر الأوامر:

$ sudo copy pasco /usr/local/bin

 

طريقة الإستخدام:

بعد تشغيل باسكو عن طريق سطر الأوامر سوف نجد الناتج التالي:

Usage: pasco [options]
-d Undelete Activity Records
-t Field Delimiter (TAB by default)

باسكو سهل الإستخدام جداً, ولا يحتاج لخبرة عالية لإستخدامه, حيث لا يحتوي إلا على خيارين. بكل بساطة لقراءة ملف index.dat يمكننا كتابة الأمر التالي فقط:

$ pasco /directory/index.dat

وهذا الأمر كفيل بإخراج المعلومات الخاصة بملف index.dat . لكن, سوف أقوم بشرح طريقة أفضل لقراءة هذا الملف بإستخدام نفس الأداة في هذا التحليل… لنتابع.

 

طريقة الإستخدام المثالية:

كما شرحنا سابقاً ملف index.dat لابد بأن يكون متواجد في سبيل أن تعمل الأداة. لهذا على المحقق إستخراج الملف يدوياً من صورة القرص الصلب الخاصة بجهاز المشتبه به. سوف أقوم بإستخدام عينة متواجدة لدي من ملف index.dat .

تشغيل باسكو لتحليل بيانات index.dat بشكل مباشر عن طريق الأمر السابق لن يكون إلا فكرة سيئة كون الملف يحمل العديد من السجلات حيث سوف ينتهي بك المطاف ببيانات غير لائقة كالتالي:

ربما إستخدام بعض الـ pipes سوف تساعدك لقراءة كامل المحتويات بطريقة سريعة لكن هذا ليس كافياً !, لذلك يفضل تحويل البيانات إلى ملف index.xls على سبيل المثال حتى نتمكن من قراءة سجلات المشتبه به بطريقة لائقه أكثر!.

 

$ pasco index.dat > index.xls

 


تطبيق الأمر السابق سوف يخفي المخرجات… لا تقلق !!  حيث الناتج من الأمر سوف يكون الأن بداخل الملف index.xls بطريقة مرتبة وجميلة !. بشكل إفتراضي باسكو سوف يستخدم TAB لتحديد الحقول وأنا أنصح بشدة تركه كذلك. لهذا أنصح بعدم إستخدام الخيار (-t) مع هذه الأداة.

 

index.xls من نافذة برنامج Calc الخاص بأوبن أوفيس.

 

هذه عينة لصف من الصفوف المعروضة في صورة الشاشة أعلاه:

 

  • عامود TYPE يعرض نوع النشاط الذي قام المستخدم بمزاولته, والأنواع التي تظهر هي كالتالي: URL, REDR و LEAK.
  • URL: بكل بساطة تعني بأن المشتبه به حصل على هذا السجل عن طريق التصفح.
  • REDR: تعني بأن المشتبه به وصل لهذا السجل عن طريق التحويل من عنوان لآخر, حيث التحويل عن طريق المتصفح.
  • LEAK: نراها في العادة عند إستخدام الخيار (-d), بحكم بأن متصفح إنترنت إكسبلورر غير مفتوح المصدر, أحتار الخبراء بمعنى هذا النوع من النشاط حيث أنهم لايرون أي فرق بينه وبين URL, كون النشاطان يحملان نفس الخصائص.
  • عامود URL وهو يعرض العنوان الذي قام المشتبه به بزيارته.
  • عامود MODIFIED TIME يعرض تاريخ آخر تعديل للصفحة التي قام بزيارتها المشتبه به, وهذه القيمة يأخذها المتصفح عن طريق البيانات الوصفية الخاصة بالصفحة. (المشتبه به ليس له علاقه ولا تأثير بهذا الحقل\العامود)
  • عامود ACCESS TIME هذا العامود المهم يعرض متى قام المشتبه به بزيارة العنوان الموجود في هذا السجل, كما هو ملاحظ التاريخ والوقت موضحة بدقة.
  • عامود DIRECTORY, يعرض مسار عشوائي يقوم المتصفح بإنشائه لتخزين الملفات المؤقتة الخاصة بهذا السجل, في حال رغب المشتبه به بزيارة الموقع مره أخرى سوف يعود المتصفح لهذا السجل وينظر بداخل المجلد الموجود في هذا الحقل.
  • HTTP HEADER تفاصيل رأس الإتش تي تي بي. وفي مثالنا كان لدينا هذا الناتج:

 

HTTP/1.1 200 OK Content-Type: image/jpeg Keep-Alive: timeout=20, max=541 ETag: “6144-f36ea300″ Content-Length: 24900 ~U:ifun
  • HTTP/1.1 200 OK هنا نرى الإصدار الخاص بخادم الـ إتش تي تي بي والـ 200 تعني بأن العملية كانت ناجحة.
  • Content-Type نوع المحتوى الذي تمت زيارته, وفي حالتنا واضح بأنه صورة.
  • Keep-Alive timout=20, المهلة للجلسة الخاصة بالمتصفح بالثواني لكل طلب, Max=541, وهو عدد الطلبات الذي يمكن إستقبالها من قبل خادم الـ HTTP .
  • ETag, عبارة عن رمز خاص يوضح حالة المصدر ويتم إنشاءه عند الطلب.
  • Content-Length, حجم المحتوى المحمل.
  • ~U, ببساطة إسم الجهاز الذي قام بطلب العنوان.

 

 

خيار Undelete activity records:

عند إستخدام باسكو بهذا الخيار سوف يقوم بالعمل في حالة إظهار السجلات المحذوفة, حيث سوف يقوم باسكو بعرض السجلات المحذوفة المحتملة. عندما قمت بإستخدام هذا الخيار قام باسكو بإنتاج نفس عدد الصفوف المنتجة من نفس الأمر العادي. حتى اتأكد من أن الناتج نفسه أو مختلف قمت بعمل md5sum للملفين الناتجة والتأكد بأن الملف الناتج مختلف عن سابقه الذي حصلنا عليه من الأمر السابق.


لهذا انا دائماً أنصح أن تتم عملية التحقيق بإستخدام كافة الطريقتين, الطريقة العادية وعن طريق خيار كشف السجلات المحذوفة.

 

 

تحسينات محتملة :

بالرغم بأن باسكو أداة صغيرة وفي نفس الوقت فعالة, أجدها قديمة, حيث مبرمجها لم يهتم بالأداة بعد إصدارها عام 2003! , فبالتأكيد هنالك الكتير من الإضافات التي يجب مراعاتها في حال رغب أحدكم بتطوير الأداة. هذه بعض المميزات من وجهة نظري:
- لماذا لا يقوم باسكو بقراءة ملفات .dat الخاصة بالمتصفحات الأخرى, حيث هذه الأيام بات المستخدمين يستخدموا متصفحات أخرى غير إنترنت إكسبلورر؟
- لابد بأن يقوم باسكو بالبحث عن ملفات index.dat آلياً, وأيضاً إمكانية إستخراج الملف من صورة قرص صلب “hard drive image” إن وجد.
- أتوقع لو تمكن باسكو من بشكل آلي من ترتيب الناتج الخاص بملف Index.dat المحلل وإخراجه في ملف HTML أفضل وأسهل وأسرع.

 

أدوات أخرى:

بالرغم بأن باسكو يفي بالغرض, ويمكنه إستخراج جميع البيانات من ملفات index.dat بنجاح, هنالك أدوات أخرى ربما تعد أكثر تقدماً أو أفضل من Pasco.

Web Historian : برنامج ذو واجهة رسومية, رائع ومن أفضل البرامج في هذا المجال, هذا البرنامج متقدم جداً بالرغم من أنه للأسف لا يعمل إلا على ويندوز, لكنه في المقابل يدعم جميع المتصفحات الرئيسية. بعكس باسكو, هذا البرنامج يقوم بالبحث في كافة النظام عن سجلات التصفح ويقوم بإنتاج تقرير كامل بشكل آلي موضح نشاط مستخدم الجهاز وبعض الأحيان يقوم بالعثور على صور شاشة يستخرجها من متصفح كروم للمواقع التي تمت زيارتها.

المميزات:
1- إمكانية فلترة البيانات, مما يساعد بشكل إيجابي في حل القضايا بدون البحث بين كمية بيانات كبيرة.
2- يقوم البرنامج بعرض السجلات الخاصة بالمستخدم بطريقة منظمة وسهلة, فلا داعي للغوص والبحث بين ملفات اللوج الخاصة بالنظام.
3- يقوم البرنامج بعمل بطاقة تعريفية لأي موقع موجود في السجلات الخاصة بالمستخدم لمعرفة نشاط الموقع الذي قام المستخدم بزيارته.
4- يدعم العديد من المتصفحات مثل فايرفوكس, جوجل كروم, وإنترنت إكسبلورر… الخ.

Forensic Tool Kit – FTK واحدة من أفضل الأدوات التجارية المتوفرة اليوم, البرنامج يحتوي على واجهة رسومية مميزة عن باقي الأدوات, يمكنك بكل بساطة الخوض بين السجلات وعرضها في نافذة متصفح صغيرة توجد داخل البرنامج. FTK أيضاً يمكنه تحليل الأقراص الصلبة والأنظمة الحية. بعض المميزات الرائعة للبرنامج:
1- إمكانية صنع صور للقرص الصلب, قراءة الريجستري, والقيام بعملية كراك لكلمات المرور.
2- Data Carving (نحت البيانات).
3- تحليل البيانات الموجودة في الرام.
4- نظام لكشف الصور الإباحية.

 

في الختام:

كخلاصة, باسكو أداة صغيرة وفعالة, تقوم بعملها بشكل رائع, هذه الأداة فعلاً تساعد المحقق في الحصول على الدليل الرقمي من ملفات index.dat حيث تقوم بتحليل كافية البيانات بنجاح. أنا أنصح بإستخدام هذه الأداة بشدة في أي تحقيق. بالرغم من أني أنصح بإستخدامها في التحقيق الجنائي, لازلت أظن بأن الأداة تفقد عنصر مهم وهو قراءة الملفات الخاصة بالمتصفحات الأخرى, إذا تمكن باسكو من الحصول على هذه الميزة الأضافية أتوقع بأنه سوف يكون من أفضل الأدوات في مجاله لبساطته وسهولته وخفته.أخيراً, أنصح كافة المحققين بعمل md5sum ونسخة إحتياطية لملفات index.dat قبل إستخدام باسكو, حتى يتأكدوا بأن عملية إستخراج البيانات عن طريق باسكو لا تؤدي لأي تعديل في الملف, وتجنب بطلان الدليل للمحقق الجنائي.

 

المصادر :

- AccessData. (2010). AccessData Forensic Toolkit. Retrieved December 5, 2010, from http://accessdata.com/products/forensic-investigation/ftk.
- Apache. (n. d.). Apache Keep-Alive Support. Retrieved December 5, 2010, from http://httpd.apache.org/docs/1.3/keepalive.html .
- DFINEWS. (n. d.). MANDIANT Unveils Web Historian 2.0. Retrieved December 8, 2010 from http://www.dfinews.com/article/mandiant-unveils-web-historian-20.
- Foundstone. (2003). Free Tools. Retrieved December 5, 2010, from http://www.foundstone.com/us/resources/proddesc/pasco.htm.
- Jones K. (2003). Forensic Analysis of Internet Explorer Activity Files [Electronic version]. USA:Foundstone.
- Larabee R. (2004). Forensic Tool Evaluation [Electronic version]. USA:SANS.
- MANDIANT. (2010). Web Historian. Retrieved December 5, 2010, from http://www.mandiant.com/products/free_software/web_historian/.
- Microsoft. (2010). ETag. Retrieved December 6, 2010, from http://msdn.microsoft.com/en-us/library/dd541486(PROT.10).aspx.
- Mil Inc. (n. d.). Delete index.dat files. Retrieved December 5, 2010, from http://www.milincorporated.com/a_indexdat.html.
- PCTools. (n. d.). What is index.dat?. Retrieved December 5, 2010, from http://www.pctools.com/guides/article/id/12/.
- SpamLaw. (n. d.). The Index.dat File and Security Concerns. Retrieved December 5, 2010, from http://www.spamlaws.com/indexdat-file-concerns.html.
- W3. (n. d.). Header Field Definitions. Retrieved December 5, 2010, from http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html.



عن الكاتب:

ساري بخاري, طالب جامعي في قسم التحقيق الجنائي الرقمي في بريطانيا, لدي خبرة واسعة في البرمجة والحماية والتصميم والتعامل مع أنظمة اللينوكس.

التعليقات (20)Add Comment
Loser Zero
...
أرسلت بواسطة: Loser Zero في March 19, 2011
جميله جدا الاداه دي


عندي سؤال خارجي انا الباك تراك مضيقني جدا كل منصب برنامج او درس من دروس الموقع
بيحصل مشاكل ينفع انزل فيدورا ع جهاز وهمي ونصب عليه البرمج الي عوزها بحيث ان زيد كل دروسه ع فيدورا المشكله اني مينفعش استغني عن ويندوز فهل ينفع انصب فيدورا ع جهاز وهمي ونصب عليه برامج الباك تراك
Sari Bukhari
...
أرسلت بواسطة: Sari Bukhari في March 19, 2011
@Loser Zero
اشكرك على ردك, كان بإمكانك طرح سؤالك في أسألة وأجوبه, وسوف تجد الإجابة مباشرة. بالنسبة لسؤالك نعم يمكنك تركيب الأدوات على أي توزيعة لينكس وهمية سواء فيدورا أو غيرها.
فتحي القيسي
شكرا جزيلا
أرسلت بواسطة: فتحي القيسي في March 19, 2011
ما شاء الله اخي الشرح كان في قمة في الجمال والترتيب, انا حملت الاداة ولاكن لم اجد
ملف index.dat في جهازي كله النظام هو windows 7 ولا كن لم اجد الملف في اي
مسار من المسارات الموضوعة في الشرح, ياريت يا غالي لو تعطيني حل اجد الملف وشكرا.
Sari Bukhari
...
أرسلت بواسطة: Sari Bukhari في March 19, 2011
@ فتحي
لايمكنك الدخول إلى المسار بشكل عادي. لابد من إستخدام برامج خاصة, أو عن طريق صورة للقرص الصلب, أو عن طريق نظام تشغيل آخر. لأن الويندوز يمنعك من العثور على هذه الملفات.
وتأكد من أنك داخل المجلد الخاص بالمستخدم على سبيل المثال:
C:UsersXXXXXAppDataLocalMicrosoftWindowsTemporar
y Internet FilesLow
حيث XXXXX = اسم المستخدم.
فتحي القيسي
...
أرسلت بواسطة: فتحي القيسي في March 19, 2011
@Sari Bukhari نعم اعلم اني لازم اغير المسار الى اليوزر الخاص بي, ولاكن لم استطيع الاطلاع على الملف, ماذا تقصد "طريق صورة للقرص الصلب" ممكن تفهمني شو قصدك؟ وما هي البرامج التي الفعالة في اظهار هاذه الملفات وشكرا .
Loser Zero
...
أرسلت بواسطة: Loser Zero في March 19, 2011
ساري معلش اني قلت سؤالي هنا بس حطيته قبل كده ومحدش جاوبني عليه
ابراهيم
>>>
أرسلت بواسطة: ابراهيم في March 19, 2011
السلام عليكم

كيف الحال ساري

الموضوع جميل ولم اكن اعلم ان كل ما تفعله يبقى حتى بعد مسح ال History

ولاكن لدي سؤال بالنسبة للتاريخ الذي يظهره عند فتح الموقع او الرابط هل يقدم البرنامج التاريخ الصحيح لك اذا كان تاريخ الجهاز تم التلاعب بهِ ام يعطيك التاريخ حسب توقيت الجهاز .

تحياتي اليك واشكر مجهودك على هذا العمل .
ابراهيم
اضافة
أرسلت بواسطة: ابراهيم في March 19, 2011
والتاريخ مهم جدآ بالنسبة للمحقق حيث أن الوقت حسب بالدقائق .
anyone
,,,
أرسلت بواسطة: anyone في March 19, 2011
شكرا اخ ساري على الموضوع الرائع,,,لكن هل الاداة تقتصر على الانترنت اكسبلورر فقط
Sari Bukhari
...
أرسلت بواسطة: Sari Bukhari في March 19, 2011
@فتحي القيسي , إذا قمت بالعودة للمواضيع الخاصة بالتحقيق الجنائي التي كتبتها مسبقاً سوف تجد شروحات لي لطريقة عمل صورة لأي نوع من أنواع الذاكرة. لتوفير الوقت, قم بالإقلاع عن طريق اللينكس وسحب الملف عن طريق اللينكس من القرص الخاص بالويندوز. بالنسبة للبرامج الفعالة, يمكنك تجربة WebHistorian فهو مجاني ويريحك من عناء استخراج الملف.

@ابراهيم, في الحقيقة السؤال الذي قمت بطرحه أكثر من رائع, ونعم الوقت والتوقيت ذو أهمية جداً فائقة في التحقيق الجنائي الرقمي, والتلاعب بالتاريخ والوقت من قبل الجاني حتماً سوف يؤثر على بيانات الملف, لكن المحقق يستطيع أن يثبت وبسهولة بأن التاريخ والوقت الموجود في النظام تم التلاعب به .. لكن أتوقع وبشكل بديهي بأنه بشكل إفتراضي الجميع يضع التاريخ والوقت الصحيح.. إلا إذا اخبر المحقق المشتبه به بأنه سوف يتم القبض عليه قبل القبض عليه هههه =) !

@anyone .. أخي الكريم, إذا قرأت الموضوع بتمعن سوف تجد إجابتك.
ابراهيم
>>>
أرسلت بواسطة: ابراهيم في March 19, 2011
شكرآ لك اخي ساري .

ههههه ^_^ هذي حلوة منك .

اتمنى التوفيق لك واتمنى ان تكون من المحققين المتفوقين أمثال شارلوك هولمز وكونان ^_^ .

تحياتي .
خالد عمر
...
أرسلت بواسطة: خالد عمر في March 19, 2011
شكرا لك اخ سارى
هذه فعلا اداه جيده فى هذا التخصص
و لكن كون الاداه قديمه لا يعنى انها لا تفى بالغرض
و بالنسبه للمتصفحات الاخرى فهو امر سهل جدا
FireFox & Chrome بيستخدموا sqlite فى حفظ البيانات
ممكن استخدام ادوات تسمى sql spy :)
هناك مجموعه على هذا الموقع جيده جدا
http://www.firefoxforensics.com/f3e.shtml
شكرا ، تقبل مرورى
تحياتى
اخوكم / خالد عمر
mazen
رائع
أرسلت بواسطة: mazen في March 20, 2011
مشور جداً على هذه المعلومات.
وجعلها الله في ميزان حسناتك.
Silver
...
أرسلت بواسطة: Silver في March 20, 2011
بارك الله فيك ...

احي كيف استطعت استعراض ملف index وانت على ليونكس ؟؟؟ هل ثبت وويندز على برنامج وهمي ؟؟
Sari Bukhari
...
أرسلت بواسطة: Sari Bukhari في March 20, 2011
@ابراهيم, جزاك الله خير ^.^

@خالد عمر, مشاركة قيمة أشكرك على ردك المميز, ربما سوف أقوم بتحليل خاص بأدوات sql spy قريباً .

@mazen جزاك الله خير.

@Silver قمت بإستخراج الملف من القرص الخاص بالويندوز لجهازي عن طريق اللينكس. كما تعلم بأنه يمكنك عرض جميع ملفات الويندوز دون قيود عن طريق اللينكس. هذا الذي كنت اريد توضيحه للأخ فتحي القيسي في الأعلى.
Hit-Man
...
أرسلت بواسطة: Hit-Man في March 20, 2011
السلام عليكم
شكرا لكم أخي ساري حقيقة مقال قوي
بارك الله فيك أخي
h4ck3r-X
...
أرسلت بواسطة: h4ck3r-X في March 20, 2011
يعطيك العافية اخوي ساري على المقال
وماهي غريبه عليك مقالاتك كلها قوية
اكرر شكري ..
Loser Zero
...
أرسلت بواسطة: Loser Zero في March 20, 2011
اتمنا الرد ع سؤالي التاني واسف ع الازعاج http://www.isecur1ty.org/answe...-2011.html
saleh abbas
شكر وتقدير
أرسلت بواسطة: saleh abbas في March 21, 2011
أشكرك أخى جزيل الشكر، وفعلاً موضوع أكثر من رائع، ومعلومات أكثر من قيمة وبإن الله أستطيع تطوير تلك الأداة فهى فعلاً تحتاج إلى العناية ;(
motasim
Index dat Analyzer
أرسلت بواسطة: motasim في March 23, 2011
شكرا لجهودك, ولكن توجد بعض الادوات المجانية وسهلة الاستخدام مثل
Index dat Analyzer
وتستطيع تحميلها من الرابط التالي:
http://download.cnet.com/Index-dat-Analyzer/3000-2144_4-10564321.html


أضف تعليق
يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول.

busy
 

SecurityTargets