مواضيع عامةمواضيع ومقالات

مقال : استخراج وتحليل البيانات الوصفية Metadata

تم أرشفة هذا المحتوى


شرح طرق استخراج البيانات الوصفية Metadata وتحليلها بالتفصيل, تعتبر هذه المعلومات من أهم الأمور التي يبحث عنها المحقق الجنائي وتفيده بشكل كبير في تتبع أثر المتهم ويمكن اعتمادها كأدلة كافية لادانته. سنستخدم في هذا المقال ملف docx لتعرف كيف يمكن استخراج المعلومات منه وتحليله لدرجة تمكننا من معرفة مكان صاحب الملف الأصلي.

 

البيانات الوصفية هي البيانات التفصيلية لملف يحتوي على بيانات أخرى على سبيل المثال الصور والمستندات أو حتى البرامج حيث عندما نضغط على صورة أو ملف بالزر الأيمن ونضغط على خصائص سوف تظهر لنا بيانات على الملف سواء كانت حجم أو تاريخ الإنشاء أو تاريخ آخر تعديل, وفي بعض الأحيان نستطيع أن نجد معلومات عن المبرمج او مصوّر الصورة.

قد يكون الموضوع مفروغ منه, وتحدث فيه الكثير لكن رغم ذلك لازال يقع فيه الكثير من المشتبه بهم أو المذنبين في القضايا الجنائية, في هذا الموضوع سوف أقوم بشرح لكم طريقة إستخراج البيانات الوصفية للمستندات المكتوبة ببرنامج مايكروسوفت ورد للإصدارات القديمة والجديدة, ومن ثم سوف أعرض لكم كيف يمكن إستغلال هذه البيانات لمعرفة الكاتب وإلى أي مدى يمكنك أن تصل.

قبل أن أذهب إلى التطبيق سوف أقوم بسرد قصة واقعية في الإطاحة على سفاح اسمه “دينيس رايدر” الذي لقب نفسه بـ”BTK Killer” حيث تم حل هذه القضية عن طريق البيانات الوصفية. في هذه القضية كان السفاح يقوم بإرسال رسائل إلى الشرطة قبل اي عملية قتل يشرح فيها عن عمليات قتله على مدى 30 عام منذ عام 1974 وحتى تم إعتقاله في عام 2005 تقريباً. حيث قام بإرسال قرص مرن مع بعض المستندات إلى محطة تلفزيون محلية في عام 2005 , حيث عند فحص القرص المرن جنائياً وجد المحققون ملف ورد محذوف من القرص المرن موجود في بياناته الوصفية إسم “دينيس” وأيضاً وجدوا من ضمن البيانات الوصفية عنوان الكنيسة التي كان رئيس مجلس الجماعة فيها, حيث قام أفراد الشرطة بتجميع البيانات هذه التي قادتهم مباشرة إليه, حيث قاموا بمطابقة الـ DNA من القضايا القتل المختلفة التي تسبب بها وتطابقت ! وأخيراً تم إعتقاله بعدها. هذه قصة بسيطة تدل على أهمية البيانات الوصفية.

الآن إلى الجزء التاني من هذه المقالة وهي كيفية إستخراج الدليل من البيانات الوصفية, سوف أقوم بالتطبيق على مستندات قمت بكتابتها أنا وفي آخر الدرس سوف يتم التطبيق على مثال حي, بداية سوف أقوم بالتطبيق على الإصدار الذي قمت بتنصيبه على virtual machine وهو Office 2007

حيث قمت بكتابة الملف التالي كما هو واضح بالصورة:

Microsoft Word Document

ثم قمت بحفظة, الآن التحليل حيث هناك عدة طرق لإستخراج البيانات الوصفية, لكن للإصدار الجديد من مايكروسوفت الطريقة تختلف قليلاً عن الطرق السابقة

حيث كما هو معروف بأن نسخة 2007 من مايكروسوفت ورد تقوم بحفظ البيانات على هيئة XML

ولإثبات ذلك قم بتحويل إمتداد الملف إلى ZIP وسوف تتمكن من فتح ضغطه وإستعراض محتوياته حيث البيانات الوصفية توجد بداخل المجلد docProps حيث سوف تجد ملفين كالتالي:

7zip Microsoft Word Document

هذان الملفان يحتويان على جميع البيانات الوصفية المتعلقة بالملف, يمكنك قرائتها عن طريق محرر النصوص المفضل لك, أو يمكنك إستخدام الأداة read_open_xml.pl المبرمجة بلغة بيرل.

ملاحظة: الأداة السابقة قد لا تعمل على نظام ويندوز, إذا أردت إستخدامها على ويندوز فعليك تحميل هذا الاصدار read_open_xml_win.pl.

بعد التحميل قم بتطبيق الأداة كالتالي على الملف:

perl read_open_xml.pl filename.docx

 

perl read_open_xml.pl

كما هو واضح تم استخراج جميع البيانات وهذه البيانات كفيلة بأن تكون دليل قاطع في أي جريمة جنائية. لكن ماذا عن الإصدارات القديمة من مايكروسوفت اوفيس ورد ؟

الآن الجزء المشوق, في الحقيقة ليس لدي إصدار قديم من مايكروسوفت أوفيس ( 2003 أو أقل ) لذلك قمت بالبحث في جوجل بإستخدام مفاتيح البحث التالية:

Google Search word document

حيث بالمصادفة أول رابط كان ملف ورد يحتوي على 23 الف سيريال نمبر, وهذه تعتبر جريمة جنائية فيها سجن لفترة محترمة جداً قد تصل إلى 2- 5 سنين .. لقد قمت بتحميل الملف حتى أقوم بإستخراج البيانات منه ومعرفة صاحب الملف الأصلي.

ملاحظة: ملف الورد يحمل الإصدار 2003 , وهذه هي الطريقة الثانية لإستخراج البيانات

الآن بعد التحميل قمت بفتح الضغط عن الملف ويمكنك تحليلة ومعرفة بياناته عن طريق أمر strings في اللينكس أو اي Hex Editor في الويندوز ..

بالنسبة لي سوف أستخدم أمر strings بعد التعديل عليه قليلاً للتخلص من بعض رموز اليونيكود وتنقية النص قدر المستطاع  :

tr -d � < filename.doc | strings | less

وإستخدم الزر Page Down للنزول لآخر الملف إلى أن تجد البيانات بالقرب من نهاية الملف حيث وجدتها كالتالي:

strings less command

كما هو واضح الإسم: Djole والشركة هي: viss02

الآن بعضكم قد يتذمر ويقول صعب جداً قراءة هذه البيانات, حسناً إليكم هذا البرنامج (Metadata Analyzer) الذي يمكن إستخدامه مع جميع إصدارات مايكروسوفت أوفيس وهو خاص بنظام ويندوز ومجاني أيضاً لكن يشترط وجود نسخة مايكروسوفت أوفيس على الجهاز.

ومن ثم قم بتشغيله وأفحص ملف السيريالات حيث سوف تظهر النتيجة التالية:

Metadata Analyzer

كما ترون واجهة رسومية جميلة وبها جميع البيانات المهمة التي نحتاجها, قد يسألني البعض ماذا استفدنا؟ ما رأيكم بأن نحدد أين يعيش هذا الشخص حتى يقوم رجال الشرطة بالقبض عليه!

حسناً, من البيانات أعلاه تظهر لنا مفاتيح البحث التالية: djole و viss02 وهي المعلومات التي سأستخدامها للبحث عنه, حيث سوف أكتبها في جوجل وسوف تظهر لي النتائج التالية:

Google Search Serbia

حيث من أول رابط يظهر لنا بأن صاحب المستند شخص من دولة صربيا, لكن معرفة أنه شخص صربي لا يكفي, إذا ذهبت الصفحة الثانية سوف تجد الرابط يخبرك في أي مدينة يعيش الشخص كالتالي:

Location Serbia

ترجمة النص المحدد كالتالي:

Location: Novi Sad

فإذا كتبنا Novi Sad في جوجل فسوف يظهرلنا موقع المدينة على خريطة العالم .. وقد تمكنت على العثور على العديد من الأدلة ضد هذا الشخص الكافية بإعتقاله فعند البحث في جوجل عن: Djole warez

سوف ترا بأن هذا الشخص جداً مجتهد في هذه المواقع.. الآن أتوقع أهمية البيانات الوصفية قد أتضحت لكم فهي من أهم الأجزاء التي يبحث عنها المحقق الجنائي.

عن الكاتب:


ساري بخاري, طالب جامعي في قسم التحقيق الجنائي الرقمي في بريطانيا, لدي خبرة واسعة في البرمجة والحماية والتصميم والتعامل مع أنظمة اللينوكس.

مقالات ذات صلة

‫15 تعليقات

  1. كنت اتوقع من البداية انك ستجد اسم الحاسوب كدليل اول
    بانسبة Djole انت ذكرت انه اسم !!! اسم ماذا ؟ اسم شخص (الجاني)
    والشركة هي: viss02 !!!!!!!!!!!!!!!

    الشركة هي التي قامت بهذه العملية !!!!!! ام ……

    حسب ما فهمت

    الشخص هو يعمل في شركة viss02 تحت اسم Djole قام بفك شفرات بعض البرامج وقام وبوضعها في ملف وورد تم قام برفعها الى المواقع التحميل.

    بانسة ل البينات الملتصقة الا تضن انه من الغريب إلتصاق اسمه + اسم الشركة مع الملف

    الا في حالة اذا ما قام بحفض ملف باسمه تم قام بإعادة تسميته ربما !!!!!

    بانسبة للعتور عليه هو اصلا كان معرف بنفسواا في مواقع التعريف وليس من الصعب تحديد موقعه و يمكن من رجال التحقيق مطالبت صاحب الموقع با ايبي هذا الشخص عند تسجيل دخوله 🙂 واو حتى الايبيهات القديمة البحت عن ايبي هذا العضو
    الشئ الوحيد الذي حيرني وجود اسمه+ اسم الشركة في بينات الوصفية …..

    عموما لم اكن اسمع عن هذه الطرق شكرااا لك كتيراعلى هذه الـمعلومات القيمة

    لم يخطأ من قال
    ما من جريمة كاملة

    مع فائق احترامي اخي Sari Bukhar انشاء الله تتفاعل معنا في النقاش
     

  2. جميل جدا
    لكن هل بالإمكان الحصول على معلومات اكثر
    اقصد ان ليس كل من ارتكب جريمة سأجد عنه معلومات في قوقل
    فهل بالإمكان الوصول لمعلومات اكثر تفيدني في الوصول لصاحب الملف الأصلي لأن هذه المعلومات ليست كفيلة بأن تكون دليل قاطع في الجريمة

  3. @ســامي
    الإسم لايعني هذا فعلاً إسمه, والشركة لا تعني شركة, يجب أن تتعلم أن تفكر خارج الصندوق, أغلب الناس عند تنصيبهم نسخة من أي برنامج الإسم وإسم الشركة يكون عبارة عن اسماء مستعارة .

    وأنا عندما أضع شروحات وأشرح طرق لا أعني كل الناس كذلك لكن أعني ماذا لو فعلوا ذلك ..

    قم بكتابة ملف ورد بدون العبث فيه ثم أخبرني هل غريب أن (يلتصق) أسمك المستعار والشركة التي حددتها في الملف؟

    @عبدالصمد
    ماذا لو لم يكن الإسم مزيف وكل البيانات صحيحة ولم يعمل على بروكسي ولم يستخدم زومبي؟ =)

  4. @mohamed
    المحققين الجنائيين يهتموا لنقطة عدم العبث بالدليل, مجرد فتحك للملف فأنت سوف تعدل الـ metadata الخاصه به آلياً =) .. وتعدل تاريخ التعديل للملف, لذلك نقوم بإجراءات معقدة لإستخراج الدليل. وفي هذه الحالة أنا لم أفتح الملف قط =)

    أتمنى منك قراءة موضوع “ماذا تفعل في مسرح الجريمة الإلكترونية؟”
    حتى تعرف آلية عمل المحقق الجنائي في اكتشاف الأدلة.

    @Mr.JOKER
    عندما تعمل لجهاز حكومي, يمكنك أن تصل لباب بيت الشخص نفسه .. جوجل طريقة جديدة في البحث يستخدمها قليل من المحققين اليوم وأعني جداً قليل, سمعتها من المحقق الجنائي البريطاني Tony Noble في إحدى محاضراته, وقمت بتجربتها.. هناك طرق عديدة للوصول للجاني, وماذكرت إحدى الطرق وليس الطريقة الوحيدة !!

    =====

    التحقيق الجنائي ليس مجال محدود, بل هوا مجال واسع وشاسع ويحتوي على طرق كثير وماذكرته في الموضوع هذا عبارة عن طريقة من مليون طريقة غيرها للوصول للجاني.. التحقيق الجنائي الرقمي يجبر المحقق في التفكير “خارج الصندوق” .. أي التفكير في خلاف المتوقع..

  5. بارك الله فيك أخي Sari Bukhari على الموضوع
    ولكن توجد طريقة أسهل وبدون برنامج ، وهي الضغط بالزر اليمن على خصائص ملف الوورد وستظهر لك المعلومات ” properties >> summary”
    كذلك يوجد خيار security  في الوورد يمنع ظهور Metadata .
    أتمنى لك التوفيق

  6. أرجوا من إدارة الموقع تعديل الخطأ ” Sari Bukhar بدل من عبد المهيمن” في التعليق ,وحذف هذا التعليق

  7. شرح واضح و جيد
    لكن لنفرض أن صاحب ملف doc يستخدم إسم مزيف و كل البيانات اللي يسجل بها خاطئة
    و يشتغل ببروكسي elite أو يستخدم zombie 😀

  8. تحياتي لك اخي الكريم Sari Bukhari

    على هذا الشرح الوافي لكن عندي سؤال

    ظهر اسم الكاتب او المنشئ للملف وايضاً اسم الشركه

    السؤال هناء من اين ياتي بهذه البيانات هل هي من الاعدادات حق المستخدم نفسه

    للكمبيور او مكان اخر وسلامتك

  9. @فايز الخليفي
    نعم هي من إعداد المستخدم نفسه عند تنصيب نسخة مايكروسوفت أوفيس, ويمكن تعديلها أيضاً, لكن الكثير يتجاهلوا البيانات الوصفية.

  10. شكراااا لك اخي Sari Bukhari
    فهمت الان مصدر التصاق البينا ت الوصفية
    عموما عندما تفكر في هدف ما لن يخطر بباك تذكر يوم تنصيب الاوفيس واسم الذي سجلت به النسخة.

    شكراا كتيراااا اخي ♥ Sari Bukhar ♥ وهكذا اكتملت الفكرة .

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى