بسم الله الرحمن الرحيم

يوجد العديد من الأدوات المتخصصة في التحقيق الجنائي الرقمي منها ماهو المدفوع ومنها االمجاني مفتوح المصدر, سوف نستعرض اهم 10 ادوات مجانية في التحقيق الجنائي الرقمي .

 

1- SANS SIFT

081913_1409_SANSInvesti1

مشروع  SIFT اختصار لـ SANS INVESTIGATE FORENSIC TOOLKIT من اقوى المشاريع المجانية والمتاحة للجميع الخاصة بالتحقيق الجنائي الرقمي المقدم من SANS Forensic Team , وهي عباره عن توزيعة ابينتو معدلة تحتوي على اهم الادوات التي يحتاجها المحقق الجنائي الرقمي . تحتوي التوزيعة على العديد من الادوات المجانية والقوية في مجال التحقيق الجنائي الرقمي . كذلك التوزيعة تم بنائها خصيصا لهذا المجال .

بعض الادوات التي تحتويها التوزيعة  :

  • Autopsy
  • DFF – Digital Forensic Framework
  • EVTX – Event Log Viewer
  • Maltego
  • PTK
  • Md5deep
  • SANS Cheatsheets
  • Volatility

والعديد من الادوات الاخرى , للتحميل من هنا 

2- sleuthkit

url

احد افضل الادوات المجانية والمفتوحة المصدر , تحتوي على واجهة ويب لأدارة القضايا ( Case Management ) وانظمة الملفات ( NTFS, FAT, HFS+, Ext3,  UFS) الخاصة بالدليل , بمعنى ان المحقق الجنائي يستطيع اضافة مجموعة من القضايا مع مجموعة من المعلومات عن القضية مع اسماء المحققين العاملين في القضية وايضا يقوم بأرفاق صورة النظام الخاص بالدليل للبدء بعملية تحليل نظام الملفات في الصورة وادارة كل شئ من واجهة الويب والتي تعتبر اداة اخرى Autopsy وهي واجهة الويب اما Sleuth Kit فهي مجموعة من سطر الاوامر التي تقوم بادارة وتحليل صور نظام الملفات .

التحميل من هنا

 

3- FTK imager

6a010534de71eb970b0192aa1b1526970d-500wi

اداة  Forensic Toolkit Imager  احد منتجات شركة AccessData الخاصة بالتحقيق الجنائي الرقمي التي تعمل في نظام تشغيل وندوز المخصصة لاخذ صورة كاملة من الاجهزة وتدعم العديد من انظمة الملفات ونوع الصور خاصة بالتحقيق الجنائي الرقمي forensic images  . يوجد فيديو سابق تحدثنا عن اداة ftk imager واستعرضنا لمحة بسيطة عن الادة تستطيع مشاهدة الفيديو من هنا

دليل استخدام الاداة تستطيع تحميلة من هنا

 

4- DEFT linux

deft-mini-blackهي احد التوزيعات المعدلة المبنية على اوبينتو المخصصة في التحقيق الجنائي الرقمي والتي تحتوي على عدد كبير من الأدوات والبرمجيات المساعدة في عمليات التحقيق الجنائي الرقمي , الهدف التوزيعة هو العمل منها مباشرة دون العبث بالدليل كنظام تشغيل live يمكن للمحقق الاقلاع منه والعمل على الدليل , تعتمد التوزيعة على واجهة LXDE وهذا يجعلها خفيفة جدا وعملية , كذلك تحتوي على مشروع WINE لتشغيل بعض برمجيات الوندوز المهمة والتي قد يحتاجها المحقق الجنائي الرقمي على التوزيعة . وعلى حسب المعلومات الموجودة في الموقع الرسمي للأداة فأن التوزيعة حققت نجاح كبير وتستخدم من شريحة واسعه من خبراء التحقيق الجنائي الرقمي مثل :

  • Military
  • Government Officers
  • Law Enforcement
  • Investigators
  • Expert Witnesses
  • IT Auditors
  • Universities
  • Individuals

 

5- Volatility

volatility

اداة مجانية مفتوحة المصدر متخصصة في تحليل ذاكرة النظام RAM تدعم 32 بت و 64 بت تدعم جميع انظمة التشغيل كذلك Android systems ,كذلك يمكن استخدامها في اجهزة virtual machine  مثل vmware  تمت برمجة الاداة بـ Python .

 

6- LastActivityView

lastactivityview

اداة تعمل على نظام تشغيل لينكس مخصصة لعرض مجموعة من المعلومات التي تجمعها من مصادر مختلفه عن نشاط النظام مثل ماهي البرامج التي فتحت والملفات التي تم حفظها او فتحها  , اطفاء النظام وتشغيله , تثبيت البرمجيات او ازالتها , انهيار برنامج او نظام التشغيل والعديد من المعلومات الاخرى المفيدة , وكل هذه المعلومات مستخرجة من ملفات Logs الموجودة داخل نظام التشغيل . ايضا تستطيع تصدير المعلومات الى ملف csv وحفظها كمصدر عن اي معلومات مهمة في نشاط النظام . يمكنك تحميل الاداة من الرابط من هنا .

 

7- hxd tool
MiniShotHxD

من افضل محررات hex يملك العديد من المميزات الرائعة يمكنك قرأتها في الموقع الرسمي للبرنامج من هنا .

 

8- CAINE

caine5

التوزيعة الايطالية المتخصصة في التحقيق الجنائي الرقمي Computer Aided INvestigative Environment . هدف التوزيعة هو خلق بيئة متكاملة للتحقيق الجنائي بحيث تخضع بدقة للمراحل الاربع الخاصة بأي عملية تحقيق جنائي رقمي . توزيعة اكثر من رائعة . يحبذ لو تقرأ بعض المعلومات عنها في الموقع الرسمي من هنا

 

9- Mandiant Redline

15

اداة متخصصة في تحليل الرام واستخراج المعلومات عن المحتويات مثل العمليات التي تعمل في النظام ايضا file system metadata , ملفات logs ومعلومات الاتصال بالشبكة او الانترنت , تاريخ التصفح , الخدمات التي تعمل , والكثير الكثير من المعلومات المهمة والقيمة . الأداة تعمل جمع المعلومات ثم تحليلها , وسوف تخبرك ان تختار الخيار المناسب عند فتح الاداة جمع المعلومات او تحليلها , اذا كنت تملك صورة من الرام لديك يمكن البدء في عملية التحليل . او قم بالبدء في جمع المعلومات .

 

10- Linux ‘dd’

3

امر لينكس dd الذي يسمح لك باخذ صوره كاملة من القرص او الجهاز بكل سهولة تطرقنا للأمر سابقا في مقال  سابق من هنا .