شرح طرق استخراج البيانات الوصفية Metadata وتحليلها بالتفصيل, تعتبر هذه المعلومات من أهم الأمور التي يبحث عنها المحقق الجنائي وتفيده بشكل كبير في تتبع أثر المتهم ويمكن اعتمادها كأدلة كافية لادانته. سنستخدم في هذا المقال ملف docx لتعرف كيف يمكن استخراج المعلومات منه وتحليله لدرجة تمكننا من معرفة مكان صاحب الملف الأصلي.

 

البيانات الوصفية هي البيانات التفصيلية لملف يحتوي على بيانات أخرى على سبيل المثال الصور والمستندات أو حتى البرامج حيث عندما نضغط على صورة أو ملف بالزر الأيمن ونضغط على خصائص سوف تظهر لنا بيانات على الملف سواء كانت حجم أو تاريخ الإنشاء أو تاريخ آخر تعديل, وفي بعض الأحيان نستطيع أن نجد معلومات عن المبرمج او مصوّر الصورة.

قد يكون الموضوع مفروغ منه, وتحدث فيه الكثير لكن رغم ذلك لازال يقع فيه الكثير من المشتبه بهم أو المذنبين في القضايا الجنائية, في هذا الموضوع سوف أقوم بشرح لكم طريقة إستخراج البيانات الوصفية للمستندات المكتوبة ببرنامج مايكروسوفت ورد للإصدارات القديمة والجديدة, ومن ثم سوف أعرض لكم كيف يمكن إستغلال هذه البيانات لمعرفة الكاتب وإلى أي مدى يمكنك أن تصل.

قبل أن أذهب إلى التطبيق سوف أقوم بسرد قصة واقعية في الإطاحة على سفاح اسمه “دينيس رايدر” الذي لقب نفسه بـ”BTK Killer” حيث تم حل هذه القضية عن طريق البيانات الوصفية. في هذه القضية كان السفاح يقوم بإرسال رسائل إلى الشرطة قبل اي عملية قتل يشرح فيها عن عمليات قتله على مدى 30 عام منذ عام 1974 وحتى تم إعتقاله في عام 2005 تقريباً. حيث قام بإرسال قرص مرن مع بعض المستندات إلى محطة تلفزيون محلية في عام 2005 , حيث عند فحص القرص المرن جنائياً وجد المحققون ملف ورد محذوف من القرص المرن موجود في بياناته الوصفية إسم “دينيس” وأيضاً وجدوا من ضمن البيانات الوصفية عنوان الكنيسة التي كان رئيس مجلس الجماعة فيها, حيث قام أفراد الشرطة بتجميع البيانات هذه التي قادتهم مباشرة إليه, حيث قاموا بمطابقة الـ DNA من القضايا القتل المختلفة التي تسبب بها وتطابقت ! وأخيراً تم إعتقاله بعدها. هذه قصة بسيطة تدل على أهمية البيانات الوصفية.

الآن إلى الجزء التاني من هذه المقالة وهي كيفية إستخراج الدليل من البيانات الوصفية, سوف أقوم بالتطبيق على مستندات قمت بكتابتها أنا وفي آخر الدرس سوف يتم التطبيق على مثال حي, بداية سوف أقوم بالتطبيق على الإصدار الذي قمت بتنصيبه على virtual machine وهو Office 2007

حيث قمت بكتابة الملف التالي كما هو واضح بالصورة:

Microsoft Word Document

ثم قمت بحفظة, الآن التحليل حيث هناك عدة طرق لإستخراج البيانات الوصفية, لكن للإصدار الجديد من مايكروسوفت الطريقة تختلف قليلاً عن الطرق السابقة

حيث كما هو معروف بأن نسخة 2007 من مايكروسوفت ورد تقوم بحفظ البيانات على هيئة XML

ولإثبات ذلك قم بتحويل إمتداد الملف إلى ZIP وسوف تتمكن من فتح ضغطه وإستعراض محتوياته حيث البيانات الوصفية توجد بداخل المجلد docProps حيث سوف تجد ملفين كالتالي:

7zip Microsoft Word Document

هذان الملفان يحتويان على جميع البيانات الوصفية المتعلقة بالملف, يمكنك قرائتها عن طريق محرر النصوص المفضل لك, أو يمكنك إستخدام الأداة read_open_xml.pl المبرمجة بلغة بيرل.

ملاحظة: الأداة السابقة قد لا تعمل على نظام ويندوز, إذا أردت إستخدامها على ويندوز فعليك تحميل هذا الاصدار read_open_xml_win.pl.

بعد التحميل قم بتطبيق الأداة كالتالي على الملف:

perl read_open_xml.pl filename.docx

 

perl read_open_xml.pl

كما هو واضح تم استخراج جميع البيانات وهذه البيانات كفيلة بأن تكون دليل قاطع في أي جريمة جنائية. لكن ماذا عن الإصدارات القديمة من مايكروسوفت اوفيس ورد ؟

الآن الجزء المشوق, في الحقيقة ليس لدي إصدار قديم من مايكروسوفت أوفيس ( 2003 أو أقل ) لذلك قمت بالبحث في جوجل بإستخدام مفاتيح البحث التالية:

Google Search word document

حيث بالمصادفة أول رابط كان ملف ورد يحتوي على 23 الف سيريال نمبر, وهذه تعتبر جريمة جنائية فيها سجن لفترة محترمة جداً قد تصل إلى 2- 5 سنين .. لقد قمت بتحميل الملف حتى أقوم بإستخراج البيانات منه ومعرفة صاحب الملف الأصلي.

ملاحظة: ملف الورد يحمل الإصدار 2003 , وهذه هي الطريقة الثانية لإستخراج البيانات

الآن بعد التحميل قمت بفتح الضغط عن الملف ويمكنك تحليلة ومعرفة بياناته عن طريق أمر strings في اللينكس أو اي Hex Editor في الويندوز ..

بالنسبة لي سوف أستخدم أمر strings بعد التعديل عليه قليلاً للتخلص من بعض رموز اليونيكود وتنقية النص قدر المستطاع  :

tr -d � < filename.doc | strings | less

وإستخدم الزر Page Down للنزول لآخر الملف إلى أن تجد البيانات بالقرب من نهاية الملف حيث وجدتها كالتالي:

strings less command

كما هو واضح الإسم: Djole والشركة هي: viss02

الآن بعضكم قد يتذمر ويقول صعب جداً قراءة هذه البيانات, حسناً إليكم هذا البرنامج (Metadata Analyzer) الذي يمكن إستخدامه مع جميع إصدارات مايكروسوفت أوفيس وهو خاص بنظام ويندوز ومجاني أيضاً لكن يشترط وجود نسخة مايكروسوفت أوفيس على الجهاز.

ومن ثم قم بتشغيله وأفحص ملف السيريالات حيث سوف تظهر النتيجة التالية:

Metadata Analyzer

كما ترون واجهة رسومية جميلة وبها جميع البيانات المهمة التي نحتاجها, قد يسألني البعض ماذا استفدنا؟ ما رأيكم بأن نحدد أين يعيش هذا الشخص حتى يقوم رجال الشرطة بالقبض عليه!

حسناً, من البيانات أعلاه تظهر لنا مفاتيح البحث التالية: djole و viss02 وهي المعلومات التي سأستخدامها للبحث عنه, حيث سوف أكتبها في جوجل وسوف تظهر لي النتائج التالية:

Google Search Serbia

حيث من أول رابط يظهر لنا بأن صاحب المستند شخص من دولة صربيا, لكن معرفة أنه شخص صربي لا يكفي, إذا ذهبت الصفحة الثانية سوف تجد الرابط يخبرك في أي مدينة يعيش الشخص كالتالي:

Location Serbia

ترجمة النص المحدد كالتالي:

Location: Novi Sad

فإذا كتبنا Novi Sad في جوجل فسوف يظهرلنا موقع المدينة على خريطة العالم .. وقد تمكنت على العثور على العديد من الأدلة ضد هذا الشخص الكافية بإعتقاله فعند البحث في جوجل عن: Djole warez

سوف ترا بأن هذا الشخص جداً مجتهد في هذه المواقع.. الآن أتوقع أهمية البيانات الوصفية قد أتضحت لكم فهي من أهم الأجزاء التي يبحث عنها المحقق الجنائي.

عن الكاتب:


ساري بخاري, طالب جامعي في قسم التحقيق الجنائي الرقمي في بريطانيا, لدي خبرة واسعة في البرمجة والحماية والتصميم والتعامل مع أنظمة اللينوكس.

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn