الإعلانات
سواء كان حفر مكتب التحقيقات الفدرالي في جهاز كمبيوتر يملكه مخترق ، أو شركة تقوم بتدقيق داخلي على الكمبيوتر ، أو مسؤول شبكة يحاول اكتشاف لماذا نشأ فيروس من جهاز كمبيوتر معين - الخلاصة هي أن التحليل الشامل للطب الشرعي لجهاز الكمبيوتر يتطلب برامج يمكنها الحفر بعمق والقيام بالمهمة حق.
في تجاربي الخاصة ، من النادر أن تجد برمجيات مجانية تؤدي عملاً جيدًا في ذلك. تشتري معظم وكالات الشرطة في جميع أنحاء العالم برامج باهظة الثمن لوحدة الطب الشرعي لجهاز الكمبيوتر.
مهما يكن هنا هم استكشاف أخطاء الكمبيوتر وإصلاحها أدوات هناك ، مثل تطبيقات استعادة البيانات 3 أدوات رائعة لاستعادة الملفات اقرأ أكثر قام Guy بتغطيته و Net Tools 2008 ، وهي أداة إدارية قام كارل بتغطيتها. أداة مجانية أخرى قوية وقادرة تمامًا مثل العديد من حزم برامج الطب الشرعي الكمبيوتر المدفوعة OSForensics.
إجراء تحليل الطب الشرعي
أفضل طريقة لتحليل نظام كمبيوتر واستكشاف أخطائه وإصلاحها من الأعلى إلى الأسفل بطريقة بطيئة ومنهجية. إن الشيء العظيم في OSForensics هو أنها مثل حقيبة مستندات افتراضية حيث يمكنك تخزين كل العمل الذي تقوم به. إذا كان لديك العديد من أجهزة الكمبيوتر التي تعمل عليها ، فيمكنك إعداد هذا البرنامج على كمبيوتر العمل ثم تعيين محرك الأقراص الثابتة للكمبيوتر البعيد للتحليل. سيتيح لك البرنامج تخزين "حالة" لكل جهاز كمبيوتر تعمل عليه.
كما ترى من الصورة أعلاه ، فإن جميع الأدوات مصطفة أسفل شريط القائمة الأيسر. كل ما عليك فعله هو شق طريقك للأسفل إذا لم تكن متأكدًا من أين تبدأ. إذا كان لديك هدف أكثر تركيزًا في ذهنك ، فانتقل إلى منطقة الكمبيوتر التي تريد التحقيق فيها عن كثب. واحدة من أفضل الأدوات لأي من موظفي الدعم الذين يتطلعون إلى تحديد ملف فيروس أو حصان طروادة هي "مجموعات التجزئة.”
![التحقيق في أنظمة الكمبيوتر وإصلاحها مع OSForensics [Windows] الطب الشرعي 2](/f/11109467d70d78eead3242f2ebaf32e5.jpg)
تتيح لك هذه المنطقة تحليل التطبيقات المحددة التي تحددها ، وليس الملفات فقط. يحتوي كل تطبيق على مجموعة من الملفات التي يمكنك مراجعتها عند النقر المزدوج فوق التطبيق. يعرض Hash Set Viewer جميع الحسابات لكل ملف.
الأداة التالية المتاحة هي القدرة على إنشاء "توقيع". هذا مفيد على المدى الطويل الدراسة ، عندما يشتبه في أن أنشطة معينة تجري في مكان معين على الحاسوب.
يمكنك إنشاء توقيع يأخذ لقطة من الملفات والدلائل. ثم يمكنك استخدام "قارن التوقيع"أداة للتحقق مما إذا كانت التغييرات قد تم إجراؤها بضعة أسابيع أو شهر على الطريق. يأتي البرنامج أيضًا مع أداة بحث عن الملفات ، حيث يمكنك تصفية النتائج حسب الصور أو مستندات المكتب أو الملفات المضغوطة.
والأفضل من ذلك ، يمكنك استخدام الميزة الفريدة والمفيدة للغاية "عدم تطابق ملف البحثأداة للتنقل بين الدلائل المشبوهة وتحديد أي ملفات ربما قام مالك الكمبيوتر بإعادة تسميتها ببساطة للتغطية على الهوية الحقيقية للملف. على سبيل المثال ، إعادة تسمية ملف صورة بملحق "txt" ، أو مستند مصنّف بامتداد ".jpg".
![التحقيق في أنظمة الكمبيوتر وإصلاحها مع OSForensics [Windows] الطب الشرعي 5](/f/ca7c428c91c92cbe59320635b094dd33.jpg)
بالعودة إلى استخدام أسلوب التجزئة لتحليل الملف ،تحقق / إنشاء تجزئة"تتيح لك الأداة المساعدة مقارنة قيمة التجزئة المعروفة لملف (ما الذي يحتوي على قيمة ينبغي يكون) ، وقيمة التجزئة المحسوبة للملف على هذا الكمبيوتر.
هناك مجال آخر حيث يتفوق فيه هذا البرنامج حقًا في تحليل الطب الشرعي وهو القدرة على غربلة الآلاف من الملفات بسرعة كبيرة من أجل تحديد كلمات نصية محددة. الخطوة الأولى لتسريع العملية هي إنشاء فهرس لأي دليل على الكمبيوتر. عندما يتم ذلك ، سيبلغ عن عدد الكلمات الفريدة الموجودة في جميع الملفات.
عند الانتهاء ، ما عليك سوى استخدام "فهرس البحث"لاستكشاف الملفات والصور ورسائل البريد الإلكتروني لتعقب أي حدث أو محتوى محدد تبحث عنه.
أداة أخرى للطب الشرعي في الكمبيوتر يتعرف عليها معظم مستخدمي Windows هي "النشاط الأخيرأداة. بينما تبدو مشابهة لـ "الوثائق الأخيرةأداة ، تقوم هذه الأداة في الواقع بالتعمق أكثر قليلاً ، والبحث في سجلات MRU ، وسجلات USB ، وملفات تعريف الارتباط ، والتنزيلات والمزيد. ربما حاول المالك تنظيف جهاز الكمبيوتر بالفعل ، لكن الكثير من الأشخاص لا يفهمون جميع الأماكن التي تم تسجيل هذا النشاط فيها - حتى تتمكن هذه الأداة من العثور على أي أثر متبقٍ لهذا النشاط.
ميزة أخرى رائعة جدًا هي "البحث عن الملفات المحذوفةأداة تتيح لك غربلة السجلات بحثًا عن أي إشارة إلى الملفات المحذوفة التي تم حذفها مؤخرًا. لقد لاحظت أن هذه الميزة بالتحديد ليست مقاومة للخداع. سيحاول تحديد عناصر التتبع لأي ملفات محذوفة ، ولكنه ليس ناجحًا دائمًا.
أخيرًا ، عندما تكون يائسًا حقًا للعثور على بعض البقايا المتبقية من الأدلة على الجريمة ، قد تحتاج إلى أخذ "عارض الذاكرة"لركوب. يعرض تطبيق الطب الشرعي للكمبيوتر هذا جميع عناوين الذاكرة الصلبة وكمية المعلومات المخزنة. يمكنك تفريغ محتويات الذاكرة إلى ملف CSV حتى تتمكن من البحث عن أي أدلة أو بندقية تدخين.
كما ترى ، OSForensics هو برنامج قوي جدًا لأي شخص لديه أحيانًا مهمة مؤسفة وهي الاضطرار إلى التحقيق في نظام الكمبيوتر لشخص متهم بالقيام به هل هناك خطب ما. في بعض الأحيان ، يمكن أن يؤدي تحقيق الطب الشرعي المناسب والكامل للكمبيوتر إلى تقديم أدلة مقنعة يمكن أن تؤدي إلى قضية أو تكسرها.
هل سبق لك استخدام OSForensics؟ ماذا تعتقد؟ هل تعرف أي تطبيقات أخرى مماثلة جيدة أو أفضل؟ شارك افكارك في قسم التعليقات في الاسفل.
حقوق الصورة: بيتر هوسترمان
ريان حاصل على درجة البكالوريوس في الهندسة الكهربائية. لقد عمل 13 عامًا في هندسة الأتمتة ، و 5 سنوات في مجال تكنولوجيا المعلومات ، وهو الآن مهندس تطبيقات. محرر إداري سابق لـ MakeUseOf ، وقد تحدث في المؤتمرات الوطنية حول تصور البيانات وقد ظهر في التلفزيون والإذاعة الوطنية.