بسم الله الرحمن الرحيم

والسلام عليكم ورحمة الله وبركاته

 

عندما تقوم بحذف ملف من نظام التشغيل تابع لشركة مايكروسوفت ، فأن الملف لا يحذف بشكل نهائي بل يتم تخزينه في recycle bin في حالة اراد المستخدم استعادة هذا الملف ، ولكن عندما تقوم بالضغط على زر او مفتاح SHIFT من لوحة المفاتيح ومن ثم اختيار الحذف ، فأن الملف يتم حذفه بشكل كل من النظام ولا يتم تخزينه في recycle bin .

 

من منظور المحلل الجنائي يعتبر recycle bin ، عبارة عن منجم ذهب ، لما يحتوي على الكمية الهائله من البيانات والمعلومات ، التي تساعد على جمع الادلة ، لذلك يقوم المحلل الجنائي بتحليل هذه الملفات !

 

الصوره ادناه توضح مسارات تواجد ملف recycle bin في جميع الانظمه التابعه لشركة مايكروسوفت

1

 

الان سوف نقوم بتحليل ملف INFO2 لنظام Windows XP المتواجد في recycle bin ، اولاً يجب ان نقوم بعملية اظهار المجلد لانه فعلياً مخفي في النظام ، ولكيفية ذلك الصوره القادمه توضح ذلك

2

 

بعد القيام بهذه العمليه ، نذهب الى مسار C ، لنشاهد امامنا مجلد RECYCLER

3

 

بعد الدخول للمجلد نلاحظ ملف اخر بأسم [ S-1-5-21-484763869-1220945662-682003330-500 ] ، حيث يقوم النظام بأنشاءه

4

 

نقوم بفتح سطر اوامر Command Line ، ونقوم بالذهاب للمسار الاتي ، نلاحظ وجود ملف INFO2 الذي سوف نقوم بتحليله

 

5

 

وللقيام بعملية التحليل سوف نستخدم اداة rifiuti من اصدار شركة مكافي

ولتحميل الاداة ، قم بالدخول للرابط

http://www.mcafee.com/in/downloads/free-tools/rifiuti.aspx

ولاستخدام الاداة من سطر الاوامر

 

7

 

 

نسحب ملف INFO2 ونضعه في مجلد الاداة ، ومن ثم نكتب الامر التالي ، لتحويل البيانات الى ملف TXT حتى نقوم باستعراضها

rifiuti.exe INFO2 >result.txt

8

 

بعد الانتهاء من هذا الامر ، نلاحظ وجود ملف result.txt ، داخل مجلد الاداة

 

9

 

لو قمنا بفتح الملف ، سوف نجد الكثير من البيانات التي تساعد المحلل الجنائي على اثبات ما يريد !

من حيث وقت حذف الملف والتاريخ ، وحجم الملف والمسار الذي كان يتواجد فيه الملف قبل حذفه

10

 

ان شاء الله الشرح ينال اعجابكم

نلتقي في الجزء القادم من طرق التحليل الجنائي 😉

والسلام عليكم ورحمة الله وبركاته

جميع الحقوق محفوظه لموقع Isecur1ty.org ، وأي عملية نقل للموضوع دون طلب أذن مسبق ، مرفوض تماماً.