قليلة هي الكتب التي تعطيك معلومات عمليه بدون الخوض في التفاصيل النظريه والتي قد لا تكون مهمه بدرجه كبيره كبدايه تعلم مجال او مهاره معينه . واحد من الكتب الرائعه التي استمتعت بقرائتها كان كتاب Linux forensics للمؤلف Philip Polstra

 

 .

الكتاب عن التحقيق الجنائي الرقمي لانظمه لينكس فقط , شرح كيفية القيام بعمليه التحقيق جنائي على جهاز يعمل بنظام لينكس . الكتاب تميز بتركيزه على كيفية تطبيق الامور على النظام وليس على كيفية تعمل هذه الامور , الكثير من الكتب تعلمك بعض الامور بعد الخوض في تفاصيل كثيره جدا قبل اعطائك التطبيق العملي لها وهذا نوعا ما لا احبذه كبدايه تعلم مهاره او مجال معين .

الكتاب شرح كيفية القيام بعمليه التحقيق الجنائي وشرح ايضا كيفة عمل كل شي بشكل يدوي ثم باستخدام لغه باش او بايثون لجعل كل شي اتوماتيكي بحيث هناك سكربت تقريبا لكل شي قام به . فعلى سبيل المثال شرح كيفية جمع المعلومات اثناء عمل Live analysis بشكل يدوي وفي الاخير اعطى سكربت للقيام بذلك بشكل تلقائي.

كل الادوات التي في الكتاب مجانيه ومفتوحه المصدر , ايضا السكربتات متوفر في موقع الكتاب  مع 10 فيديوهات لبعض المفاهيم التي يرى فيها الكاتب انه من الجيد ان يتم توضيحها بفيديو ايضا .

 

دعونا ننظر في محتوى الكتاب :

الفصل الاول : يناقش اول خطوه للبدء في عمليه التحقيق الجنائي ومراحل التحقيق الجنائي ويركز على المراحل التي تخوضها انت كمحقق بحسب خبرته العمليه والتي تبدا في الكلام مع مدير السرفر  وخطوات لا تكون على حسب معيار نظري تجده في الكثير من الكتب وانما خطوات هي العمليه التي يجب ان تمر بها اثناء اي عمليه ايتحقيق الجنائي . ايضا ناقش مجموعه من الفاهيم المهمه مثل chain of custody و Standard practices and documentation  بشكل سريع .

الفصل الثاني : يركز لى تحديد اذا ما كان الجهاز تم اختراقه بالفعل او مجرد اشتباه من مدير السرفر فأحيانا يظن مدير السرفر ان السيرفر يتصرف بشكل غير معتاد او هناك شي مريب فيظن ان هناك اختراق او هجوم فيقوم بالتبليغ بشكل مباشر ويحضر المختص في التحقيق الجنائي ويتضح ان لا شي داعي للقلق .

ذلك شرح بعض الامور  التي تقوم بها للتحديد اذا ما  السرفر مخترق عن طريق بعض المعلومات والمسارات المهمه التي تتطلع عليها وبعد ذلك تحدد اذا يجب الخوص في التحليل اكثر او مجرد اخبار مدير السرفر  ليس هناك اي شي مُقلق .

الفصل الثالث : هذا الفصل يشرح عمليه Live analysis والتي يمكن ان تعرف القصد بها من خلال فيديو سابق قمت بشرحه من هنا مع العلم في الفيديو التقطت بعض المعلومات للتوضيح كيف تقوم بذلك يجب ان تجمع معلومات اكثر . ايضا تم شرح كيفية اخذ صوره من الرام باستخدام LiME .

الفصل الرابع : يشرح كيفية اخذ صوره من النظام باستخدام ادوات مجانيه ومفتوحه المصدر والتي في الغالب موجوده في اي توزيعه امنيه مثل اداة dd و DCFLDD ايضا شرح مفاهيم Write blocker .

الفصل الخامس : في هذا الفصل يناقش الامور التي نقوم بها بعد الحصول على صوره من النظام وكيفية توصيلها بالجهاز بشكل اتوماتيكي باستخدام بايثون

الفصل السادس : في الفصل السابق شرح كيفية توصيل الصوره وفي هذا الفصل كيف نقوم بتحليل محتويات الصوره واستخراج الادله

الفصل السابق : هذا الفصل يناقش نظام الملفات ويشرح مفاهيم مهمه جدا مثل superblocks ثم عمل كل شي بشكل اتوماتيكي باستخدام بايثون

الفصل الثامن : يتناول مقدمه عن تحليل الرام للجهاز باستخدام مشروع volatility framework واستخراج المعلومات من صوره الرام مثل معلومات الشبكه ونظام الملفات وتاريخ الباش وغيرها

الفصل التاسع : يناقش بعض الامور المتقدمه لاختراق سيرفر لينكس ويضع سيناريو والشرح عليه ثم البدء بالتحليل بناء على السيناريو

الفصل العاشر : في هذا الفصل الكاتب اعطى مقدمه عن تحليل الملفات الخبيثه , قد يكون الكتاب مركز على لينكس وتحليل انظمه لينكس ولكن احيانا نجد ملفات خبيثه بعد تحليل النظام ويجب ان نكون على درايه ولو بالاساسيات عن استخراج معلومات من هذا الملف الخبيث والتي قد تقودنا الى امور اخرى تماما .

الفصل الحادي : عشر : مجرد ختام للكتاب وبعض النصائح والمصادر لمواصله المسيره في هذا المجال الرائع

 

بالنسبة لي شخصيا كان كتاب ممتع , انصحكم بقرائته .

رابط الكتاب على امازون 

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn