تحليل جنائي رقمي

Questions and Answers

ما هو الخاصية الرئيسية لمحطة عمل التحليل الجنائي الرقمي؟

• كفائتها في الوصول إلى الإنترنت
• احتوائها على فتاحات إضافية وبرامج خاصة للتحليل (correct)
• قدرتها على العمل مع جميع أنظمة التشغيل المعروفة
• توافر واجهة مستخدم رسومية متقدمة

أي من أنظمة التشغيل التالية يُعتبر الأقل تدخلاً عند استعادة البيانات؟

• Windows 2000
• Windows XP
• MS-DOS 6.22 (correct)
• Linux

ما هو التحدي المرتبط بتشغيل النظام أثناء فحص القرص الصلب؟

• زيادة سرعة الفحص بشكل غير متوقع
• إدخال بيانات جديدة قد تفسد الدليل (correct)
• عدم القدرة على الوصول إلى الأدلة المؤرشفة
• تغيير تنسيق ملفات النظام

أي من أنظمة التشغيل التالية يُمكن استخدامه لقراءة تنسيقات نظام الملفات NTFS؟

Windows NT والإصدارات الأحدث (D)

ما هي ميزة استخدام أدوات حظر الكتابة أثناء استعادة البيانات؟

تمكين التمهيد على Windows دون كتابة البيانات (B)

ما الذي يُصبح صعبًا استعادته عند استخدام أنظمة تشغيل Windows الأحدث؟

الأرقام التسلسلية لمحركات الأقراص الثابتة (B)

لماذا يعتبر النظام MS-DOS 6.22 خيارًا مناسبًا في بيئة التحليل الجنائي؟

لأنه يقلل من تغيير البيانات خلال الفحص (D)

ما هي إحدى النتائج السلبية لاستخدام أنظمة تشغيل متقدمة خلال فحص البيانات؟

التسبب في إدخال بيانات جديدة تؤثر على الدليل (C)

ما الفرق الأساسي بين استعادة البيانات والتحليل الجنائي الرقمي؟

استعادة البيانات تركز فقط على استعادة المعلومات المعروفة (A)

ما هي إحدى التحديات التي تواجه استخدام أنظمة تشغيل MS-DOS الأقدم في العملية الجنائية؟

عدم توافقها مع الأجهزة الحديثة (A)

ما هي الأداة التي تملك القدرة على عمل حظر الكتابة أثناء تحليل البيانات؟

UltraBlock (C)

ما هي الأنظمة التي تتطلب جهاز حظر الكتابة عند استرجاع البيانات من نظام ملفات NTFS؟

أنظمة ملفات Windows (A)

ما هو الاسم المشهور لنسخة الأرشيف والتي تُعرف أيضًا بنسخة التيار-بت؟

صورة الأقراص (D)

أي جهاز ضروري لإعداد محطة العمل الخاصة بالتحليل الجنائي الرقمي؟

جهاز حظر الكتابة (B)

ما هو الغرض من استخدام أداة تصوير تيار-البت؟

لتأمين الأدلة الأصلية (B)

ما هي الطريقة الأكثر فعالية لاسترداد البيانات من قرص مشبوه؟

استخدام مجموعة متنوعة من الأدوات (B)

أي من الخيارات أدناه يتطلب عادة جهاز حظر الكتابة عند الاسترداد؟

أنظمة ملفات Windows NTFS (B)

لماذا يجب أن يكون القرص الهدف مطابقًا للقرص الأصلي في عملية استرداد البيانات؟

لزيادة الدقة في النسخة (A)

ما هو المطلوب عند إجراء التحليل على صورة وسائط التخزين؟

تحليل نسخة من البيانات (C)

أداة ProDiscover Basic متخصصة في ماذا؟

استرجاع البيانات من أنظمة مختلفة (A)

ما هو دور بطاقة واجهة الشبكة (NIC) في محطة العمل للتحليل الجنائي الرقمي؟

لتسهيل الاتصال بالشبكة (B)

ما الذي يميز صورة تيار-البت عن النسخة الاحتياطية التقليدية؟

تقوم بنسخ جميع البيانات بما في ذلك البيانات غير المرئية (D)

لماذا يجب استخدام نظام تشغيل مستقل عند استخدام أدوات حظر الكتابة؟

لتجنب تأثير النظام على البيانات (C)

ما هي الخطوة الأولى لبدء تشغيل ProDiscover Basic في نظام التشغيل Windows؟

النقر فوق ابدأ، وأشير إلى كافة البرامج (D)

ما هو اسم العملية التي يتم من خلالها جمع الأدلة الرقمية من الوسائط الإلكترونية؟

استحواذ البيانات (A)

عند قيام المستخدمين بحذف الملفات، ما الذي يحدث للمساحة التي تشغلها؟

تتحول إلى مساحة خالية، يمكن استخدامها لاحقاً (A)

ما هي الميزة الرئيسية لتنسيق RAW عند جمع الأدلة الرقمية؟

يمكن تجاهل الأخطاء البسيطة في القراءة (B)

ما هي الطريقة المعتمدة لتأكيد جودة البيانات المنسوخة في التنسيق الأولي؟

استخدام التحقق من الصحة باستخدام ملفات تجزئة منفصلة (D)

أي من أدوات تحليل الأدلة الرقمية يمكنها قراءة تنسيقات الملكية المختلفة؟

العديد من أدوات التحليل الجنائي (A)

الكلمة الصحيحة التي تصف البيانات التي تم الحصول عليها من الأدلة الرقمية هي:

ملف صورة (A)

أي من التالي يعتبر ميزة للتنسيق الأولي؟

سرعة النقل العالية للبيانات (C)

ما هي الخطوة الرابعة لتحليل محرك أقراص USB باستخدام ProDiscover Basic؟

فتح ملف الصورة المناسب (B)

تحتاج معظم أدوات التحليل الجنائي لمعايير خاصة، ما هي المعايير المستخدمة عادة؟

Check Sum وHash (D)

أي من التالي يمثل عيباً في استخدام التنسيق الأولي؟

يتطلب مساحة تخزينية تساوي حجم القرص الأصلي (D)

فتحت ProDiscover Basic، ما هي الخطوة التالية بعد اختيار محرك أقراص USB؟

اختيار المسار المحلي (B)

ما هو نوع الاستحواذ الذي يشمل جمع بيانات نشطة في ذاكرة الوصول العشوائي؟

الاستحواذ المباشر (B)

عند تحليل البيانات، أي من الخيارين التاليين هو الأكثر أهمية؟

القدرة على استرداد الملفات المحذوفة (C)

ما هي ميزة ضغط الصور التي تقدمها التنسيقات الاحترافية عند الاستحواذ على البيانات؟

تتيح مساحة أكبر في محرك الأقراص المستهدف (B)

ما هي القيود المترتبة على عمليات الاستحواذ باستخدام تنسيقات الملكية؟

صعوبة مشاركة الصورة بين الأدوات المختلفة (B)

ما هو التنسيق الذي تم تطويره بواسطة الدكتور Simson L.Garfinkel؟

تنسيق Advanced Forensic Format (AFF) (B)

ما هو الأسلوب الذي يعد الأكثر شيوعًا في جمع الأدلة الرقمية؟

إنشاء ملف صورة من قرص إلى قرص (A)

ما هي القيود التي يمكن مواجهتها عند استخدام تنسيقات خاصة للاستحواذ؟

الحد الأقصى لحجم الملف لكل وحدة تخزين مقسمة (C)

ما الهدف الرئيسي من استخدام خوارزميات ضغط متفاوتة خلال عملية الاستحواذ؟

توفير مساحة أكبر لمحرك الأقراص المستهدف (C)

في حال مواجهة مشاكل تقنية أثناء الاستحواذ، ما الطريقة المقترحة للاستحواذ؟

إنشاء نسخة من قرص إلى قرص (D)

ما هي فائدة إجراء تجزئة MD5 أو SHA-1 قبل وبعد عملية ضغط الملفات؟

للتأكد من عدم تلف البيانات المضغوطة (D)

ما هي الطريقة المستخدمة لتقليل حجم البيانات المراد نقلها أثناء الاستحواذ؟

استخدام أدوات الأرشفة الشائعة (D)

ما هي العوامل التي ينبغي مراعاتها لتحديد طريقة الاستحواذ المناسبة؟

حجم القرص المصدر وظروف التحقيق (A)

ما هي الطريقة المثلى لجمع الملفات الضرورية خلال التحقيق الجنائي؟

الاستحواذ المنطقي فقط (A)

ما هي ميزة استخدام Advanced Forensic Format (AFF)؟

البساطة والقابلية للتوسع (C)

ما هي دلالة استخدام الضغط بدون فقدان البيانات في الأدلة الرقمية؟

عدم وجود تغيير في البيانات الأصلية (B)

ما هي الخطوة التي يجب اتخاذها إذا كان الاستحواذ المنطقي غير مقبول؟

إحالة الأمر إلى مقدم الطلب (B)

ما هو المبرر لإنشاء نسخة مكررة من الأدلة الرقمية؟

لضمان أن النسخة الأولى تعمل بشكل صحيح (C)

ما هي الطريقة الأنسب للتعامل مع محركات الأقراص المشفرة؟

فك تشفير محرك الأقراص بالتعاون مع المستخدم (C)

لماذا يعتبر اختبار أداة الاستحواذ المستخدمة أمرًا حيويًا؟

للتأكد من عدم تلف الأدلة خلال عملية الاستحواذ (C)

ما هو التحدي الأساسي عند استخدام أدوات الاستحواذ في نظام التشغيل Windows؟

عدم القدرة على الوصول إلى البيانات المحمية (A)

ما هي الخطوة المهمة التي يجب اتخاذها كجزء من التحقق من صحة الأدلة الرقمية؟

استخدام خوارزمية التجزئة لإنشاء بصمة رقمية (C)

ما هي الميزة الفريدة لنظام التشغيل Linux في التحليل الجنائي الرقمي؟

القدرة على الوصول إلى محرك أقراص غير مثبت (A)

ما هو الشيء الذي يجب النظر فيه أثناء تخطيط الطوارئ لعمليات الاستحواذ؟

ضمان وجود نسخ احتياطية من البيانات (B)

لماذا يعتبر استخدام خوارزميات SHA-1 و MD5 مشكلة في بعض الحالات؟

احتمالية حدوث تصادمات مع قيم التجزئة (B)

كيف يمكن تعزيز فرص النجاح عند الاستحواذ على البيانات في حالة RAID؟

استخدام استراتيجيات ملائمة للوصول إلى البيانات من تكوين RAID (C)

ما هو الخطر المرتبط باستخدام أدوات الاستحواذ غير المجربة؟

التسبب في تلف الأدلة أثناء الاستحواذ (C)

ما هو الجانب الأكثر أهمية في تحليل الأدلة الرقمية؟

التحقق من صحة الأدلة الرقمية (B)

ما هي الطريقة الأكثر شيوعًا للاحتفاظ بالأدلة عند إجراء الاستحواذ؟

إنشاء نسختين على الأقل من الملف (C)

ما هو التحدي الرئيسي عند التعامل مع برامج التشفير مثل BitLocker؟

تعذر الوصول إلى البيانات دون فك التشفير (C)

ما هي التقنية التي تتضمن تغيير امتداد الملفات لإخفائها؟

تغيير امتداد الملف مثل jpg إلى xlsx (A)

كيف يمكن استخدام الأمر 'diskpart' في إخفاء الأقسام؟

لإلغاء تعيين حرف القسم، يجعله مخفيًا عن العرض (C)

ما هي الطريقة التي تستخدم لوضع البيانات الحساسة في مساحة غير مستخدمة في نظام FAT؟

استخدام Norton DiskEdit لتسمية المجموعات السيئة (A)

كيف تؤثر تقنية تحويل البت على البيانات؟

تجعل البيانات المضمنة غير قابلة للقراءة (B)

ما هي الخصائص التي تحدد طريقة تحليل إخفاء المعلومات المعروفة؟

يستخدم وسائط الغلاف المتاحة للتحليل (D)

لماذا يتم استخدام العلامات المائية الرقمية؟

لحماية ملكية الملف من النسخ غير المصرح بها (B)

كيف يعمل هجوم الرسائل المعروفة؟

يستخدم لتحليل الرسائل الجديدة بناءً على الرسالة المكتشفة سابقًا (B)

ما هو الهدف من أدوات إخفاء المعلومات؟

لإدخال المعلومات في أنواع مختلفة من الملفات غير القرائية (D)

ما هي النتيجة المحتملة لاستخدام Encoding في ملفات البيانات؟

يؤدي إلى بيانات مشوشة يصعب فهمها (D)

كيف يساهم 'PGP' في إخفاء المعلومات؟

يشفّر الملفات النصية العادية (B)

ما هو أحد التحديات المرتبطة بتحليل الملفات المخفية؟

الوصول إلى المعلومات المخفية بدقة (C)

ما هي أهمية استعادة البيانات في نظام الطب الشرعي الرقمي؟

يمكن المحققين من استعادة المحتوى المحذوف (A)

ما هو الهدف من تحليل إخفاء المعلومات؟

تحديد محتوى الرسالة المخفية (B)

ما هي الطريقة الأكثر فعالية لاستعادة بيانات مشفرة دون معرفة عبارة المرور?

استخدام تقنية مفتاح الضمان (A)

كيف يمكن التأكد من صحة الأدلة الرقمية خلال التحقيق الجنائي الرقمي؟

من خلال إجراء التجزئة ومقارنتها بالقيمة الأصلية (B)

ما هي أفضل طريقة للتأكد من أن البيانات من محرك الأقراص المشبوه تم الاستحواذ عليها بشكل صحيح؟

إنشاء تجزئة MD5 أو SHA-1 للتحقق من صحة الصورة (A)

ما هي أهمية تقرير التحليل الجنائي الرقمي؟

دعم الإجراءات القانونية المستقبلية أو التحقيقات الإدارية (D)

أي من التقنيات التالية تُعتبر أكثر فعالية من هجوم القوة الغاشمة في فك تشفير البيانات؟

هجوم القاموس (C)

أي من الخيارات التالية يمثل نوع RAID المستخدم في معظم الحالات لأغراض التحليل الجنائي الرقمي؟

RAID 5 (C)

ما هي الفائدة الرئيسية لاستخدام محرر نظام ست عشري متقدم خلال عمليات التحقيق الجنائي؟

يساعد في العثور على الملفات المشبوهة بسهولة (A)

ماذا تمثل أداة الاستحواذ عن بعد في عملية التحليل الجنائي الرقمي؟

تسمح بالاستحواذ السريع من خلال استهداف أجهزة الحاسوب عن بعد (B)

ما الغرض من استخدام قيم التجزئة في التحقيقات الجنائية؟

فرز الملفات الجيدة المعروفة عن الملفات المشبوهة (B)

ما الذي يجب أخذه في الاعتبار عند كتابة تقرير للتحليل الجنائي؟

تخصيص التقرير للجمهور المستهدف (C)

ما هي إحدى العيوب المحتملة لاستخدام أدوات الاستحواذ عن بعد؟

الفشل في الوصول إلى البيانات إذا كان هناك جدار ناري (A)

ما هي الطريقة المثلى لتحسين خطة التحقيق خلال حالة إساءة معاملة الموظفين؟

تحديد البيانات المطلوبة وزيادة نطاق البحث بشكل عشوائي (B)

ما الفرق بين هجوم القاموس وهجوم القوة الغاشمة؟

هجوم القاموس يعتمد على كلمات مرور معروفة، بينما القوة الغاشمة تجرب جميع الاحتمالات (B)

لماذا تحتاج أدوات كسر كلمة المرور إلى استيراد كلمات فريدة إضافية؟

لزيادة فرص كسر كلمة المرور المطلوبة (B)

ما هي الميزة الرئيسية لأدوات التحليل الجنائي الرقمية التجارية؟

احتواء ميزات للتحقق من البيانات المدمجة (D)

كيف يمكنك تحسين أمان الشبكة أثناء الاستحواذ على بيانات القرص؟

استخدام أدوات التحليل الجنائي المتقدمة مع قيود الوصول (B)

كيف يمكن لأدوات كسر كلمات المرور التعامل مع القيم المجزأة؟

تتطلب وقتًا إضافيًا لمعالجة كل محاولة (A)

كيف يمكنك توسيع نطاق البحث خلال تحقيق يرتبط باستخدام غير مصرح به للإنترنت؟

من خلال إضافة البيانات المالية التي قد تكون ذات صلة (C)

ماذا يجب عليك تضمينه عند التوثيق خلال عملية التحقيق؟

كل تفاصيل الاجهزة المستخدمة وكيفية الحصول على البيانات (B)

ما هي تقنية إخفاء البيانات التي تتضمن تغيير اسم الملف لجعله يبدو كما لو كان ملفا غير ضار؟

تغيير امتداد الملف (D)

ما هي جدولة قوس قزح في سياق تجزئة كلمات المرور؟

ملف يحتوي على قيم التجزئة لجميع كلمات المرور الممكنة (A)

ماذا يتطلب تحقيق جنائي في بيئة الشركات؟

طلب استعادة أكبر قدر ممكن من المعلومات (D)

ما هو الأسلوب الصحيح لفحص الأدلة الرقمية في إطار تحقيق؟

فحص البيانات بشكل منهجي ومنطقي (C)

ماذا تسهل عملية تحديد الأهداف في التقرير؟

تقلل الوقت والتكلفة للفحص (B)

لماذا يُعتبر من الضروري استخدام برامج تحرير نظام سداسي عشري متقدمة في التحليل الجنائي؟

لإجراء تجزئة للملفات أو القطاعات المحددة (B)

ما الذي يتضمنه نطاق البحث الكبير في التحقيقات؟

توسيع التحقيق ليشمل إعدادات إضافية غير متوقعة (D)

ما الدور الذي تلعبه قاعدة بيانات التجزئة المعروفة (KFF) في التحقيق الجنائي الرقمي؟

تصفية ملفات البرامج المعروفة فقط (D)

ما هو أكثر أنواع التقارير استخدامًا في التحليل الجنائي الرقمي؟

التقرير الرسمي (C)

ما هي العوامل التي تؤثر على زمن التحقق من التجزئة في ProDiscover؟

حجم الملف ونوعية البيانات (D)

كيف يمكن أن يؤثر حجم محرك الأقراص الثابتة على عملية الفحص؟

يؤدي إلى زيادة الوقت والتكلفة للفحص (C)

عند فحص محتويات صورة محرك الأقراص، ما يجب عليك فعله أولاً؟

فحص جميع الملفات والمجلدات بدءًا من الدليل الجذر (D)

ما هو الدور الأساسي لممثل الادعاء في سياق التقارير الجنائية؟

استخدام التقرير كدليل إرشادي أثناء الشهادة (A)

كيف يمكن التعامل مع الملفات المحمية بكلمة مرور خلال عملية التحقيق؟

استخدام أدوات استعادة كلمة المرور (D)

ما هو تحدي التعامل مع الصور ذات التنسيق الأولي (.dd) في عمليات الفحص؟

عدم وجود بيانات تعريف للتحقق من الصحة (C)

لماذا تعد أدوات التحليل الجنائي الرقمية المتقدمة ضرورية؟

لأنها تحقق من صحة البيانات المأخوذة (D)

ما هو الهدف وراء تقديم التقارير الأولية؟

لتجميع المعلومات التي لا تزال في مرحلة التحقيق (B)

ما هي البيانات التي يمكن تجاهلها عند استرجاع بيانات التحقيق في حالة حادث إساءة معاملة الموظفين؟

جميع البيانات غير ذات الصلة بالقضية (B)

ما هي الطريقة الصحيحة لتوثيق المعلومات في التقرير؟

الاستناد إلى الأدلة والتوصيات (D)

ما الذي يتطلبه الأمر لتحقيق أقصى استفادة من وقتك أثناء عمليات التحقيق؟

وجود خطة عمل مرنة ومراجعتها باستمرار (A)

ما هي المعايير التي ينبغي أعتمادها عند تحديد البيانات المطلوب جمعها في تحقيق جنائي؟

مراعاة طبيعة القضية وكمية البيانات المهمة (B)

ما هي الشرط الأساسي الذي يجب أن يتوافر في المحلل الجنائي الرقمي ليتمكن من الإدلاء بشهادة خبير؟

يستند رأيه إلى معرفة خاصة أو مهارة (B)

ما هو العنصر الأكثر أهمية عند صياغة المقدمة في التقرير؟

توضيح خريطة محتوى التقرير (D)

لماذا يجب تجنب استخدام كلمات مثل 'نسخة أولية' في التقارير الأولية المكتوبة؟

لأنها تمنح فرصة للمحامي المنافس لتشويه سمعة المحلل (B)

ما هي الوظيفة الأساسية للقسم الخاص بالمراجع والملاحق في التقرير؟

تقديم تفاصيل إضافية غير مدرجة داخل النص (B)

ما الذي يجب تضمينه في التقرير الأولي المكتوب لكي يكون فعالًا؟

تحديد الاستنتاج المبدئي و المجالات التي تحتاج لمزيد من التحقيق (A)

كيف يُمكن أن تُستخدم الحقائق البديلة في المحكمة؟

لتأكيد موقف المحلل الجنائي الرقمي (A)

ما هو العنصر الذي يجب تجنبه أثناء كتابة التقرير لتجنب سوء الفهم؟

استخدام المصطلحات الفنية دون شرح (C)

ما هي الخطوة الأهم عند كتابة الملخص في التقرير؟

تحديد النقاط الأساسية بشكل واضح ومختصر (B)

ما الذي يؤثر بشكل كبير على جودة كتابة التقرير؟

توفر سرد منطقي للأفكار (A)

كيف يجب أن يتم تقسيم محتوى التقرير؟

بشكل منطقي تحت عناوين مناسبة (D)

كيف يجب أن تتم صياغة الأسئلة الافتراضية في المحاكم؟

بشكل يجعلها واضحة ومرتبة بطريقة تساعد في دعم الرأي (C)

لماذا يُعتبر تدمير التقرير بمثابة دليل على إخفائه؟

لأنه يمكن أن يؤدي إلى عقوبات قانونية (B)

ما هو العنصر الذي يجب أن يتضمنه تقرير التحليل الجنائي بوضوح؟

تحديد أي قيود أو عدم يقين بشأن النتائج (B)

كيف يتم تنظيم التقرير بشكل عام؟

يتضمن أجزاء مرتبة تشمل الملخص، جدول المحتويات، والمتن (A)

ما هي إحدى الطرق المستخدمة في تعزيز جودة تقارير التحليل الجنائي؟

استخدام المصطلحات الفنية بشكل مثالي (D)

ما هو الهدف الأساسي من كتابة الخاتمة في التقرير؟

توضيح النقاط الرئيسية واستخلاص النتائج (D)

ما هي أهمية الخاتمة في التقارير؟

لترك انطباع نهائي موجز عن المحتوى (D)

كيف يجب أن تكون لغة التقرير؟

بسيطة ومباشرة مع وصف دقيق (B)

ما هو دور الملخص في التقرير المكتوب؟

يسلط الضوء على النقاط الرئيسية بأقل عدد من الكلمات (A)

ما هي القوانين المتعلقة بشهادة الشهود الخبراء؟

يجب أن تستند الشهادة إلى معرفة متخصصة مثبتة (B)

ما هو الغرض من استخدام أدوات البرامج الرقمية في التقارير الجنائية؟

توفير نتائج دقيقة حول الأدلة (D)

عند استخدام المصطلحات الفنية، ماذا يجب على المحللين الجنائيين فعله؟

تحديدها بلغة عادية (D)

كيف يمكن أن تتداخل إدارة الحقائق البديلة مع سير الحالة القضائية؟

عن طريق تقديم معلومات متناقضة تؤدي إلى تعقيد القضية (C)

ما هي الطريقة الأمثل لجعل التقرير جذابًا للقراء؟

تقديم المعلومات بطريقة منظمة وجذابة (D)

كيف يُمكن للمحلل الجنائي تقييم جودة كتابة التقرير؟

من خلال تطبيق معايير جودة الكتابة المحددة (C)

ما الصيغة التي قد تكون مفيدة لتقديم الأدلة الرقمية؟

تقارير موثوقة مع توضيح القيود (B)

نظام التشغيل Windows 95 هو الأقل تدخلاً عند استعادة البيانات.

False (B)

يمكن تشغيل أدوات التحليل الجنائي الرقمية القديمة في بيئة MS-DOS.

True (A)

أثناء فحص القرص الصلب، فإن نظام التشغيل يمكن أن يحافظ على جودة وسلامة الدليل.

False (B)

تتطلب تنسيقات نظام الملفات NTFS الوصول فقط من أنظمة التشغيل الأحدث.

True (A)

تعتبر أدوات حظر الكتابة غير ضرورية عند استرجاع البيانات.

False (B)

يمكن استخدام نظام تشغيل Linux لتحليل البيانات دون التأثير على جودتها.

True (A)

تسجيل الأرقام التسلسلية لمحركات الأقراص بسبب نظام التشغيل Windows قد يسهل استعادة تلك البيانات.

False (B)

خلال عملية الاستعادة، يتم عادةً معرفة ما يتم استرداده.

True (A)

من الأنظمة التي يمكن استخدامها لاسترداد الأدلة القديمة هو Mac OS X.

False (B)

محطة عمل التحليل الجنائي الرقمي تتطلب جهاز كمبيوتر عادي دون أي تعديلات خاصة.

False (B)

يجب أن تُخزن الأدلة الرقمية في صورة واحدة فقط أثناء الاستحواذ.

False (B)

يمكن لنظام التشغيل Windows التعامل مع محركات الأقراص المشفرة بسهولة.

False (B)

يعتبر الحصول على بيانات RAID مجموعة من البيانات في أماكن مختلفة على القرص الصلب.

True (A)

التحقق من صحة الأدلة الرقمية يتطلب أداة مساعدة لخوارزمية التجزئة فقط.

True (A)

يجب على المحققين الرقميين الحصول على نسخة مكررة من الأدلة دائمًا.

False (B)

عمليات الاستحواذ والتي تتضمن التعديل على البيانات تؤدي إلى إنتاج قيمة تجزئة مختلفة.

True (A)

يمكن استخدام نظام Linux للوصول إلى محركات الأقراص غير المثبتة.

True (A)

استخدام أدوات الاستحواذ يتطلب تشغيل نظام التشغيل قبل الاتصال بالأدلة الطبيعية.

False (B)

تعتبر التصادمات المعروفة في MD5 مشكلة تؤثر بشكل كبير على عمليات فحص الأدلة الرقمية.

False (B)

يجب إجراء عمليات الاستحواذ على جميع البيانات من خلال أدوات حصرية مرتخصة فقط.

False (B)

تعد أدوات الاستحواذ الخاصة بنظام Windows أكثر ملاءمة من تلك الموجودة في نظام Linux.

False (B)

يمكن أن يؤدي تكوين RAID إلى زيادة حجم البيانات إلى تيرابايت أو أكثر.

True (A)

يتطلب فك تشفير محركات الأقراص تعاون المستخدم في توفير مفتاح فك التشفير.

True (A)

أداة ProDiscover Basic تعمل فقط مع نظام التشغيل Windows 7 أو الإصدارات الأحدث.

False (B)

أدوات حظر الكتابة يمكن استخدامها فقط مع البيانات المخزنة على محركات الأقراص الثابتة.

False (B)

تتطلب عملية التحليل الجنائي الرقمي عادةً استخدام نظام تشغيل مستقل لتفادي الكتابة على بيانات الأصلية.

True (A)

يجب أن يكون عدد منافذ USB في محطة العمل للتحليل الجنائي الرقمي أقل من 3.

False (B)

من المستحسن استخدام أداة تصوير تيار-البت للحصول على نسخة دقيقة من القرص الأصلي.

True (A)

عند إجراء تحليل جنائي للبيانات، يفضل استخدام صورة تيار-البت المكررة بدلاً من النسخ الاحتياطية التقليدية.

True (A)

أداة WiebeTECH DriveDock تستخدم لتحليل البيانات فقط، وليس للحصول على البيانات.

False (B)

نسخة تيار-البت تسمح باستعادة الملفات المحذوفة كما لو كانت ما زالت موجودة.

False (B)

عند استخدام ProDiscover، يجب أن يكون محرك الأقراص الهدف أكبر من محرك الأقراص الأصلي.

False (B)

لا توجد أداة واحدة يمكنها استرداد كل البيانات من القرص خلال التحليل الجنائي.

True (A)

العملية التي يتم من خلالها الحصول على صورة من وسائط التخزين تعرف باسم 'الحصول على صورة'.

True (A)

هناك حاجة إلى أدوات حظر الكتابة فقط عند استرداد البيانات من أنظمة ملفات NTFS.

False (B)

التحليل الجنائي الرقمي يتطلب عادةً استخدام جهاز خزانة تأمين الأدلة لحماية الوسائط.

True (A)

يمكن استرداد الملفات المحذوفة حتى بعد الكتابة عليها بواسطة ملفات جديدة.

False (B)

يعد تنسيق البيانات الخام (raw) الأكثر شيوعًا في عمليات الاستحواذ بسبب سهولة القراءة.

True (A)

الملفات التي تم حذفها تبقى موجودة على القرص إلى أن يتم إدخال ملف جديد في نفس المكان الفعلي.

True (A)

يتطلب استخدام ProDiscover Basic نظام تشغيل Linux فقط.

False (B)

يمكن لعدة أدوات التحليل الجنائي قراءة ملفات الاستحواذ من تنسيقات مختلفة.

True (A)

يتطلب التنسيق الأولي مساحة تخزينية أكبر أو تساوي مساحة القرص الأصلي.

True (A)

الخطوة الأولى لتحليل محرك أقراص USB باستخدام ProDiscover Basic هي فتح ملف الصورة.

False (B)

الإجراءات المؤدية لجمع الأدلة الرقمية بحاجة إلى معالجة دقيقة للامتثال، خاصة بشأن كيفية استرداد البيانات.

True (A)

التنسيق الجديد

False (B)

تطلب معظم أدوات التحليل الجنائي الحفاظ على البيانات المنسوخة باستخدام خوارزميات التجزئة لضمان الجودة.

True (A)

يمكن استخدام أدوات التحليل الجنائي لتجاهل الأخطاء البسيطة في قراءة البيانات عند مسح محرك الأقراص.

True (A)

قتلت فائدة استخدام خوارزمية CRC32 في عمليات التحقق من الصحة في تحليل البيانات.

False (B)

أدوات القياس التجارية تقدم عادةً عمليات استحواذ أكثر موثوقية من الأدوات المجانية.

True (A)

تشمل العيوب الرئيسية لعمليات الاستحواذ على تنسيق الملكية عدم القدرة على مشاركة الصورة بين أدوات التحليل الجنائي المختلفة.

True (A)

يمكن لعملية الاستحواذ المباشرة أن تتم فقط عندما يكون الكمبيوتر مغلقًا.

False (B)

يمكن تعديل الحد الأقصى لحجم الملف لكل مقطع ليصل إلى 4 جيجابايت.

False (B)

تنسيق Advanced Forensic Format (AFF) يتيح ضغط الملفات بدون فقدان البيانات.

True (A)

تسمح معظم أدوات نسخ الصور باستخدام الضغط مع فقدان البيانات لتقليل حجم الملفات.

False (B)

أحد أهداف تصميم Advanced Forensic Format هو أن يكون مفتوح المصدر لمنصات متعددة.

True (A)

يتم إجراء عملية الاستحواذ الثابتة عندما يكون جهاز الكمبيوتر مغلقًا.

False (B)

يتطلب الاستحواذ المنطقي جمع كل البيانات من محرك الأقراص المشتبه به.

False (B)

يمكن استخدام أدوات الضغط القديمة مثل DoubleSpace فقط لمشروع ضغط البيانات.

False (B)

من الضروري استخدام بيانات تجزئة متعددة مثل MD5 وSHA-1 للتحقق من سلامة الملفات المضغوطة.

True (A)

تقنية الضغط مع فقدان البيانات تستخدم بشكل شائع في الأدلة الرقمية لجعل الملفات أصغر.

False (B)

يمكن أن يؤثر استخدام تنسيقات الملكية على القدرة على الوصول إلى البيانات من أدوات تحليل جنائي مختلفة.

True (A)

يمكن للضغط بدون فقدان البيانات أن يقلل حجم الملفات بنسبة تصل إلى 75%.

False (B)

يمكن لعملية الاستحواذ المباشرة أن تعتمد على توافر كلمة مرور للدخول إلى الكمبيوتر.

True (A)

يمكن أن تحتوي الملفات ذات التجزئة المختلفة على نفس المحتوى.

False (B)

تعتبر برامج تحرير النظام الست عشري غير ضرورية عند إجراء التجزئة.

False (B)

أدوات التحليل الجنائي الرقمية غالبًا ما تحتوي على ميزات للتحقق المدمج.

True (A)

يسمح لك توسيع نطاق البيانات المستردة دائمًا بتقليل الوقت والموارد المستخدمة.

False (B)

تقنيات إخفاء البيانات تشمل فقط تغيير أسماء الملفات.

False (B)

التجزئة تستخدم لتمييز الملفات القانونية عن الملفات غير القانونية.

True (A)

يمكن إخفاء الملفات عن طريق تغيير امتدادها إلى تنسيق غير متوافق مثل jpg.

True (A)

تتطلب أدوات التحليل الجنائي الرقمية التحقق اليدوي من كافة الملفات.

False (B)

التحقق من التجزئة يمكن أن يستغرق عدة ساعات بناءً على حجم الملف.

True (A)

استخدام الأداة diskpart لإلغاء تعيين حرف القسم يؤدي دائمًا إلى إخفاء القسم بشكل كامل.

False (B)

يمكن لأدوات الطب الشرعي الرقمي تحديد الملفات المخفية بسهولة عند استخدام خاصية السمة المخفية.

True (A)

يمكن أن تسبب تقنيات إخفاء البيانات التشويش على تحليل الأدلة.

True (A)

لا تحتاج جميع الحالات إلى خطة تحقيق مفصلة.

False (B)

تقنية إخفاء البيانات باستخدام مساحة حرة بالكومبيوتر أصبحت شائعة حديثًا.

False (B)

تستخدم تقنيات إخفاء البيانات برامج التشفير منخفضة المستوى لتغيير ترتيب البيانات الثنائية.

True (A)

يمكن أن يؤدي الفحص العشوائي للأدلة إلى نتائج أفضل.

False (B)

العلامات المائية الرقمية المستخدمة في إخفاء المعلومات غالبًا ما تكون مرئية عند عرض الملفات.

False (B)

تم تطوير RAID كتقنية لتقليل فقدان البيانات الناتج عن فشل القرص.

True (A)

يجب تقديم الأدلة الرقمية للمحكمة بعد ضمان سلامتها.

True (A)

تعد ProDiscover مثالًا على برنامج يستطيع تحميل ملفات الصور مع التحقق من سلامتها.

True (A)

الاستحواذ على بيانات RAID يمكن أن يتم بسهولة عبر أي أداة اقتناء.

False (B)

يمكن استخدام Norton DiskEdit لوضع علامات على المجموعات الجيدة كمجموعات سيئة.

True (A)

تشفير الملفات يُستخدم بشكل أساسي لمنع الوصول غير المصرح به.

True (A)

تتطلب أدوات الاستحواذ عن بعد عادةً تدخلاً يدويًا على أجهزة الكمبيوتر المشبوهة.

True (A)

تعتبر التحقيقات الجنائية محدودة فقط بأوامر التفتيش المصرح بها.

True (A)

تحليل إخفاء المعلومات يتطلب وجود الملف الأصلي ووسائط الإخفاء للتحليل.

True (A)

تسهل عمليات الاستحواذ عن بعد الاتصال بجهاز كمبيوتر مشتبه به دون الحاجة إلى السفر إليه.

True (A)

الهجوم المعروف يتطلب الوصول فقط إلى الملف الذي يحتوي على محتوى إخفاء المعلومات.

False (B)

يمكن استخدام برامج مثل WinHex لتحويل أنماط البايت للملفات.

True (A)

يعد تفتيش محركات الأقراص المستهدفة جزءًا ضروريًا من عملية الاستحواذ الجنائي الرقمي.

True (A)

استخدام

False (B)

يمكن لكل ملف محفوظ بكلمة مرور أن يُستعاد دون مجهود خلال التحقيقات الجنائية.

False (B)

يمكن لمستخدم الكمبيوتر إيجاد خطوات تغيير البتات في ملف نصي عبر البحث في الإنترنت.

True (A)

تعتبر بعض التحقيقات المدنية أقل تقييدًا مقارنةً بالتحقيقات الجنائية.

False (B)

يجب توثيق جميع مكونات الأجهزة كجزء من عملية جمع الأدلة.

True (A)

يجب أن تتم عمليات الاستحواذ على بيانات RAID بشكل غير مباشر فقط.

False (B)

تحتاج أدوات الوصول عن بعد إلى امتيازات متقدمة لتثبيت برمجيات الوكيل على النظام المستهدف.

True (A)

تشمل الممارسات الأساسية لتجميع البيانات معالجة البيانات بشكل غير منهجي.

False (B)

يمكن أن تؤدي تحقيقات الشركات إلى زيادة كبيرة في الطلبات لتوسيع نطاق التحقيق.

True (A)

أنظمة التشغيل القديمة تمنع اكتشاف البيانات إلى حد كبير أثناء عمليات الاستحواذ.

False (B)

يمكن استعادة البيانات المشفرة بدون عبارة مرور.

False (B)

تستخدم هجمات القوة الغاشمة كل حرف ورقم وحرف موجود على لوحة المفاتيح.

True (A)

يستطيع أي شخص استخدام مفتاح الضمان لاستعادة البيانات المشفرة دون أي قيود.

False (B)

جداول قوس قزح تجعل هجمات القوة الغاشمة أسرع.

True (A)

تستخدم أدوات كسر كلمات المرور بشكل حصري هجوم القاموس فقط.

False (B)

التقرير الشفهي يكون أكثر تنظيمًا من التقرير المكتوب.

False (B)

تتطلب هجمات القوة الغاشمة وقتًا أقل لكسر كلمات المرور القصيرة مقارنةً بالطويلة.

True (A)

يمكن استخدام أدوات كسر كلمات المرور دون الحاجة إلى الوصول إلى القرص أو ملفات الصورة.

False (B)

استعادة كلمات المرور لم تعد شائعة في تحليل الجنائي الرقمي.

False (B)

عادةً ما يكون التقرير الشفهي تقريرًا أوليًا يتناول مجالات التحقيق التي لم تكتمل بعد.

True (A)

تؤدي تحديد الأهداف إلى زيادة الوقت وتكلفة الفحص.

False (B)

يمكن استخدام مفاتيح تجزئة MD5 أو SHA بشكل مباشر في هجمات القوة الغاشمة.

False (B)

يمكن استخدام نتائح وأفكار الخبراء كأدلة في المحكمة.

True (A)

تدعم أدوات كسر كلمات المرور أكثر من لغة واحدة فقط.

True (A)

يجب على المحلل الجنائي الرقمي أن يمتلك معرفة شخصية بالنظام أو الحدث.

False (B)

يمكن اعتبار تدمير التقرير بمثابة إخفاء الأدلة.

True (A)

من الممكن أن يتطلب التقرير الأولي استخدام كلمات مثل 'نسخة مسودة'.

False (B)

الحقائق البديلة تعني حقائق متنافسة ضمن القضية.

True (A)

يجب أن يستند جميع آراء الشهود الخبراء إلى معرفة خاصة أو مهارة لا علاقة لها بالموضوع.

False (B)

تظهر الملخصات الإعلامية مثل المراجع أو جداول النتائج في الملخص.

False (B)

يعتبر تقرير المحلل الرقمي وثيقة عالية المخاطر نظرًا لإمكانية الاطلاع عليها من المحامي المنافس.

True (A)

يجب على المحلل الجنائي الرقمي الشهادات بدرجة ممكنة من الشك.

False (B)

يمكن للشاهد الخبير الإدلاء بشهادته على أساس خبرته فقط، دون الاعتماد على أدلة.

False (B)

يمكن استخدام الأسئلة الافتراضية بشكل منظم لضمان تقديم الآراء المدعومة بالأدلة.

True (A)

يجب أن يحتوي التقرير على قسم لتحديد الأنظمة التي تمت مراجعتها.

True (A)

ينبغي للملخص أن يتكون من عدة صفحات طويلة لتفصيل المعلومات.

False (B)

يجب أن يتم تأكيد نطاق الفحص والتحليل مع المحامي الممثل.

True (A)

يجب أن يتم تبرير سبب كتابة التقرير فقط دون الحاجة للإجابة على السؤال 'ما هي المشكلة؟'

False (B)

يجب أن تتضمن المقدمة خريطة واضحة لما يتم تقديمه في التقرير.

True (A)

يتطلب كتابة التقارير استخدام مصطلحات فنية بشكل متقطع وليس بشكل مكثف.

False (B)

تبدأ الخاتمة بالإشارة إلى غرض التقرير وتوضيح النقاط الرئيسية.

True (A)

إن أدوات تحليل الأدلة الجنائية الرقمية لا تحتاج إلى توضيح أي قيود أو عدم يقين نتج عن النتائج.

False (B)

يعتبر الأسلوب MLA أحد الأدلة المستخدمة لتنسيق عرض المراجع.

True (A)

التقارير الجيدة لا تحتاج إلى أن تكون سليمة نحويًا وصحيحًا إملائيًا.

False (B)

تعتبر الجملة المنطقية المتسلسلة أهم حيلة لكتابة التقارير بوضوح.

True (A)

يجب توضيح جميع الاختصارات في المرة الأولى التي يتم استخدامها في التقرير.

True (A)

يجب تنظيم المعلومات في التقرير تحت عناوين مرتبة وغير منطقية.

False (B)

تستخدم برامج التحليل الجنائي الرقمي مثل FTK و EnCase لجمع الأدلة فقط دون توضيح أهميتها.

False (B)

تعتبر الملاحق مواد مرجعية إضافية ولا تُدرج في نص التقرير.

True (A)

تكتب التقارير بشكل غير دوري ويجب أن تكون المعلومات متكررة.

False (B)

يتعين على المحلل الجنائي تحديد قيود الأدلة التي تم الحصول عليها، لذلك يجب أن نكون حذرين عند تفسيرها.

True (A)

Flashcards are hidden until you start studying

Study Notes

فهم محطات عمل وبرامج استعادة البيانات

• في عملية استعادة البيانات، عادةً ما يريد العميل استعادة البيانات فقط.
• في استعادة البيانات، تعرف عادةً ما تحاول استرداده.
• في التحليل الجنائي الرقمي، قد يكون لديك فكرة عما تبحث عنه، ولكن ليس بالضرورة.
• لأجراء التحقيق والتحليل، يجب أن يكون هناك جهاز كمبيوتر تم تكوينه خصيصًا يُعرف باسم محطة عمل التحليل الجنائي الرقمي.
• اعتمادًا على الاحتياج، يمكن لمحطة عمل التحليل الجنائي استخدام أنظمة التشغيل التالية:
  • MS-DOS 6.22
  • Windows 95, 98, or Me
  • Windows NT 3.5 or 4.0
  • Windows 2000, XP, Vista, 7, or 8
  • Linux (including Kali Linux)
  • Mac OS X
• إذا تم تشغيل أي نظام تشغيل أثناء القيام بفحص القرص الصلب، فإن نظام التشغيل يغير الدليل عن طريق كتابة البيانات إلى سلة المحذوفات ويفسد جودة وسلامة الدليل.
• يقوم نظام التشغيل Windows XP وأنظمة تشغيل Windows الأحدث أيضًا بتسجيل الأرقام التسلسلية لمحركات الأقراص الثابتة ووحدات المعالجة المركزيةCPU) ) في ملف، وهو ما قد يكون من الصعب استعادته.
• من بين جميع أنظمة تشغيل Microsoft، فإن نظام MS-DOS 6.22 هو الأقل تدخلاً على الأقراص.
• تتوفر في السوق العديد من أدوات حظر الكتابة على الأجهزة التي تتصل بمنافذUSB أوFireWire.
• تتوفر أيضًا أدوات حظر الكتابة للبرامج.
• تتطلب أدوات حظر الكتابة هذه قرصDVD أو محرك أقراصUSB محمول قابل للتمهيد يقوم بتشغيل نظام تشغيل مستقل في ذاكرة الوصول العشوائي لجهاز الكمبيوتر المشتبه به.

إعداد محطة العمل الخاصة بالتحليل الجنائي الرقمي

• يعد تكوين محطة عمل كمبيوتر أو كمبيوتر محمول كمحطة عمل للتحليل الجنائي الرقمي أمرًا بسيطًا.
• كل ما هو مطلوب هو ما يلي:
  • محطة عمل تعمل بنظام التشغيلWindows XP أو الإصدارات الأحدث
  • جهاز مانع الكتابة
  • أداة الحصول على الأدلة الجنائية الرقمية
  • أداة تحليل الأدلة الجنائية الرقمية
  • محرك أقراص مستهدف لتلقي بيانات القرص المصدر أو المشتبه بها
  • منافذPATA أوSATA احتياطية
  • منافذ USB
• تتضمن العناصر المفيدة الإضافية ما يلي:
  • بطاقة واجهة الشبكة NIC))
  • منافذUSB إضافية
  • منافذ فاير واير 400/800
  • بطاقة SCSI
  • أداة محرر القرص
  • أداة محرر النصوص
  • برنامج عارض الرسومات
  • أدوات عرض متخصصة أخرى

إجراء التحقيق

• بعد إنشاء خطة للتحقيق، وإعداد محطة عمل التحليل الجنائي، وتم تثبيت برنامج تحليل الجنائي الرقمي اللازم لفحص الأدلة،
  • ProDiscover أوEnCase أوFTK أو X-Ways Forensics
  • مجموعة مكتبية، مثل LibreOffice
  • وعارض الرسومات، مثلIrfanView
• يجب البدء بنسخ الأدلة باستخدام مجموعة متنوعة من الأساليب.
• لا توجد طريقة واحدة تقوم باسترداد كافة البيانات من القرص
• يعد استخدام عدة أدوات لاسترداد البيانات وتحليلها فكرة جيدة.
• العناصر المطلوبة:
  • وسائط التخزين الأصلية
  • نموذج حجز الأدلة
  • حاوية الأدلة لوسائط التخزين
  • أداة تصوير تيار-البت.
  • محطة عمل للتحليل الجنائي لنسخ الأدلة وفحصها
  • خزانة تأمين الأدلة

فهم نسخ تيار-البت

• نسخة تيار-البت هي نسخة خطوة بخطوة ( تُعرف أيضًا باسم "نسخة التحليل الجنائي الرقمي") من محرك الأقراص الأصلي أو وسيط التخزين وهي نسخة مكررة تمامًا.
• كلما كانت النسخة أكثر دقة، زادت الفرصة في استرداد الأدلة الموجودة على القرص.
• عادة ما يشار إلى هذه ال العملية باسم "الحصول على صورة" أو "إنشاء صورة" لمحرك مشبوه.
• تختلف نسخة تيار-البت عن النسخة الاحتياطية البسيطة للقرص.
• لا يمكن لبرنامج النسخ الاحتياطي نسخ الملفات المحذوفة ورسائل البريد الإلكتروني أو استعادة أجزاء الملف.
• صورة تيار-البت هي الملف الذي يحتوي على نسخة تيار-البت لجميع البيانات الموجودة على القرص أو قسم من القرص.
• للتبسيط، يُشار إليه عادةً باسم "صورة" أو "حفظ صورة" أو "ملف الصورة".
• لإنشاء صورة دقيقة للقرص الدليل， يفضل نسخ الصورة إلى قرص هدف مطابق لقرص الدليل.
• يجب أن تكون الشركة المصنعة للقرص المستهدف وطرازه، بشكل عام، هما نفس الشركة المصنعة للقرص الأصلي وطرازه.
• يمكن لبعض أدوات الحصول على الصور استيعاب قرص مستهدف بحجم مختلف عن القرص الأصلي.
• يمكن أن تعمل أدوات واجهة المستخدم الرسومية الحالية على كل من محرك الأقراص ومجموعات البيانات المنسوخة التي يشير إليها العديد من الشركات المصنعة باسم "حفظ الصور".

الحصول على صورة من أدلة وسائط التخزين

• بعد الحصول على الأدلة وتأمينها، تصبح جاهزًا لنسخ وسائط التخزين وتحليل البيانات الموجودة بها.

• القاعدة الأولى للتحليل الجنائي الرقمي هي الحفاظ على الأدلة الأصلية.

• ثم إجراء التحليل فقط على نسخة من البيانات، أي صورة وسيط التخزين الأصلي.

• يجد العديد من أدوات الحصول على MS-DOS وLinux وWindows.

• ومع ذلك، تتطلب أدواتWindows جهاز حظر الكتابة عند الحصول على البيانات من أنظمة الملفاتFAT أوNTFS.

• استخدامProDiscover Basic للحصول على محرك أقراص USB

  • ProDiscover Basic من Technology Pathways هي أداة تحليل جنائي رقمي.
  • يمكن استخدامه للحصول على البيانات وتحليلها من عدة أنظمة ملفات مختلفة.
  • الخطوات التالية توضح كيفية الحصول على صورة لمحرك أقراص USB.
  • يمكنك استخدام أي محرك أقراصUSB يحتوي بالفعل على ملفات لمعرفة كيفية حصولProDiscover على البيانات.
  • لإجراء عملية الحصول على محرك أقراصUSB باستخدام ProDiscover Basic， اتبع الخطوات التالية:
    • على محرك أقراص USB، حدد موقع مفتاح الحماية ضد الكتابة (إذا كان متاحًا)، ثم ضع محرك الأقراص في وضع الحماية ضد الكتابة، ثم قم بتوصيل محرك أقراصUSB بجهاز الكمبيوتر (لا تحتوي معظم محركات أقراصUSB المحمولة الحالية على مفتاح حظر الكتابة، و بالنسبة لهذا النشاط، من المفترض أن محرك أقراصUSB المحمول محمي ضد الكتابة).
    • لبدء تشغيلProDiscover Basic في نظام التشغيل Windows، انقر فوق ابدأ، وأشر إلى كافة البرامج، وانقر فوق ProDiscover، ثم انقر فوق ProDiscover Basic في نظام التشغيل. إذا تم فتح مربع الحوار Launch Dialog، فانقر فوق الغاء.
    • في النافذة الرئيسية، انقر فوق "إجراء"، ثم "التقاط صورة" من القائمة.
    • في مربع الحوار التقاط صورة، انقر فوق سهم قائمة محرك الأقراص المصدر، وحدد محرك أقراص USB.
    • انقر فوق الزر المجاور لمربع النص الوجهة وانقر فوق اختيار المسار المحلي. عند فتح مربع الحوار "حفظ باسم"، انتقل إلى مجلد العمل الخاص بك وأدخل اسمًا للصورة التي تقوم بإنشائها， ثم انقر فوق حفظ لحفظ الملف.
    • بعد ذلك، في مربع الحوار Capture Image، اكتب اسم المحلل الجنائي الرقمي في مربع النص Technician Name ورقم القضية في مربع النص Image Number، انقر فوق موافق.
    • عند انتهاء ProDiscover، انقر فوق "موافق" في مربع رسالة الإكمال. انقر فوق ملف، ثم خروج من القائمة للخروج من ProDiscover.

تحليل الأدلة الرقمية

• عند القيام بتحليل الأدلة الرقمية، فإنه من المهم استعادة البيانات.

• إذا قام المستخدمون بحذف الملفات أو الكتابة فوقها على القرص، فسيحتوي القرص على الملفات المحذوفة وأجزاء الملف بالإضافة إلى الملفات الموجودة.

• عند حذف الملفات، تصبح المساحة التي تشغلها مساحة خالية， مما يعني أنه يمكن استخدامها للملفات الجديدة التي تم حفظها أو الملفات التي تتوسع مع إضافة البيانات إليها.

• تظل الملفات التي تم حذفها موجودة على القرص حتى يتم حفظ ملف جديد في نفس الموقع الفعلي، مما يؤدي إلى الكتابة فوق الملف الأصلي.

• في هذه الأثناء، لا يزال من الممكن استرداد هذه الملفات.

• يمكن لأدوات الطب الشرعي مثلProDiscover Basic استرداد الملفات المحذوفة لاستخدامها كدليل.

• تحليل محرك أقراصUSB

  • المهمة الأولى هي تحميل الصورة التي حصلنا عليها من ProDiscover Basic وذلك باتباع الخطوات التالية:
    • ابدأ تشغيل ProDiscover Basic
    • إنشاء ملف جديد، انقر فوق ملف، ثم مشروع جديد من القائمة.
    • في مربع الحوار مشروع جديد، اكتب رقم المشروع في مربع النص ثم مرة أخرى في مربع النص اسم ملف المشروع، ثم انقر فوق موافق.
    • في العرض الشجري للنافذة الرئيسية، انقر لتوسيع العنصر إضافة، ثم انقر فوق ملف الصورة.
    • في مربع الحوار فتح، انتقل إلى المجلد الذي يحتوي على الصورة، وانقر فوق file_name.eve، ثم انقر فوق فتح. انقر فوق نعم في مربع الرسالة Auto Image Checksum، إذا لزم الأمر.

مقدمة

• الحصول على البيانات هو عملية نسخ البيانات.
• بالنسبة للتحليل الجنائي الرقمي، فنقصد بالاستحواذ على البيانات بمهمة جمع الأدلة الرقمية من الوسائط الإلكترونية.
• هناك نوعان من الحصول على البيانات:
  • عمليات الاستحواذ الثابتة (عمليات اكتساب ثابتة من وسائط الأقراص المغناطيسية ومحركات الأقراص المحمولة).
  • عمليات الاستحواذ المباشرة (مثل جمع بيانات نشطة في ذاكرة الوصول العشوائيRAM) ) للكمبيوتر المشتبه به).

فهم تنسيقات التخزين للأدلة الرقمية

• يتم تخزين البيانات التي تجمعها أداة الحصول على الدليل الرقمي كملف صورة، عادةً ما يكون ذلك بتنسيق مفتوح المصدر أو خاص.

• كل  اداة  لها  تنسيقات  الملكية  المتاحة.
  

• اعتمادًا على التنسيق الخاص، يمكن لعديد من أدوات التحليل الجنائي قراءة ملفات الاستحواذ المنسقة للأدوات الاخرى.

• تقوم عديد من أدوات الحصول على التحليل الجنائي بإنشاء ملف تحويل من القرص إلى صورة بتنسيق قديم مفتوح المصدر، يُعرف باسم الخام (raw).

• يحظى التنسيق الجديد مفتوح المصدر، ويسمى تنسيق التحليل الجنائي الرقمي المتقدم (AFF)، باعتراف بعض فاحصي التحليل الجنائي الرقمي.

• يتمتع كل تنسيق للحصول على البيانات بميزات فريدة إلى جانب المزايا والعيوب.

• تنسيق خام

  • في الماضي لم تكن هناك سوى طريقة عملية واحدة لنسخ البيانات بغرض حفظ الأدلة وفحصها.
  • أجرى الخبراء نسخة خطوة بخطوة من قرص إلى قرص آخر بنفس الحجم أو أكبر.
  • كوسيلة عملية للحفاظ على الأدلة الرقمية، قام صانعوا أدوات التحليل الجنائي و بعض أدوات نظام التشغيل المساعدة، مثل أمرLinux/UNIX dd) ) من الممكن كتابة بيانات تدفق البتات إلى الملفات.
  • تقوم تقنية النسخ هذه بإنشاء ملفات مسطحة تسلسلية بسيطة لمحرك أقراص أو مجموعة بيانات مشبوهة.
  • يُشار إلى إخراج هذه الملفات المسطحة باسم التنسيق الأولي.
  • يتمتع هذا التنسيق بمزايا و عيوب فريدة يجب مراعاتها عند اختيار تنسيق الاستحواذ.
  • تتمثل مزايا التنسيق الأولي في: - النقل السريع للبيانات - القدرة على تجاهل الأخطاء البسيطة في قراءة البيانات على محرك الأقراص المصدر. - يمكن لمعظم أدوات التحليل الجنائي الرقمي قراءة التنسيق الأولي، مما يجعلها تنسيق عالمي لمعظم الأدوات.

  • عيوب   التنسيق   الخام   :
    

    • هو أنه يتطلب مساحة تخزينية تساوي مساحة القرص الأصلي أو مجموعة البيانات.
    • بعض أدوات التنسيق الأولي، عادةً إصدارات مجانية، قد لا تجمع القطاعات الهامشية (السيئة) على محرك الأقراص المصدر، مما يعني أن لديها قدرة منخفضة لإعادة محاولة القراءة في نقاط الوسائط الضعيفة على محرك الأقراص.
  • تتمتع عديد من الأدوات التجارية بحد أعلى بكثير لإعادة محاولة القراءة لضمان جمع كافة البيانات.
  • يمكن لعديد من أدوات الاستحواذ التجارية إنتاج عمليات استحواذ على تنسيق أولي وعادةً ما تكون لكل نموذج فحص التحقق من الصحة باستخدام وظائف التجزئة Cyclic Redundancy Check (CRC32)، وMessage Digest 5 (MD5)، وSecure Hash Algorithm ((SHA-1 أو أحدث. ومع ذلك، عادةً ما تقوم عمليات التحقق من الصحة هذه بإنشاء ملف منفصل يحتوي على قيمة التجزئة.

• تنسيقات الملكية

  • معظم أدوات التحليل الجنائي التجارية لها تنسيقاتها الخاصة لجمع الأدلة الرقمية.
  • تقدم التنسيقات المهنية عادةً عديد من الميزات التي تكمل أداة التحليل الخاصة بالمورد، مثل ما يلي: - خيار ضغط أو عدم ضغط ملفات الصور الخاصة بمحرك الأقراص المشتبه به، وبالتالي توفير المساحة على محرك الأقراص المستهدف - القدرة على تقسيم الصورة إلى ملفات مجزأة أصغر لأغراض الأرشفة، مثل الأقراص المضغوطة أو أقراص الفيديو الرقمية DVD))، مع دمج عمليات التحقق من سلامة البيانات في كل مقطع - القدرة على دمج البيانات الوصفية في ملف الصورة، مثل تاريخ ووقت عملية الاستحواذ، وقيمة التجزئة (للمصادقة الذاتية) للقرص الأصلي أو الوسيط، و اسم المحقق أو الفاحص، و التعليقات أو تفاصيل الحالة
  • العيوب الرئيسية لعمليات الاستحواذ على تنسيق الملكية: - عدم القدرة على مشاركة الصورة بين أدوات التحليل الجنائي للكمبيوتر الخاصة بالموردين الاخرين.
    - على سبيل مثال، تنتج أداة النسخ ILookIX Iximager ثلاث تنسيقات خاصة -IDIF وIRBF وIEIF يمكن قراءتها فقط بواسطة (ILookIX) إذا لزم الأمر، يمكن لـIXimager نسخ تنسيقات IDIF وIRBF وIEIF إلى ملف صورة بتنسيق أولي يمكن قراءته بواسطة أدوات أخرى. - هناك مشكلة أخرى تتعلق بالتنسيقات الخاصة والخام هي قيود حجم الملف لكل وحدة تخزين مقسمة.
    - عادةً ما تنتج أدوات التنسيق الخاص ملفًا مقسمًا يبلغ حجمه 650 ميجابايت. - يمكن تعديل حجم الملف لأعلى أو لأسفل، بحيث لا يزيد الحد الأقصى لحجم الملف لكل مقطع عن 2 جيجابايت.
    - يصل حجم معظم أدوات التنسيق الخاص إلى 2 جيجابايت فقط لأن عديد من الفاحصين يستخدمون محرك أقراص مستهدف بتنسيق FAT، والذي يبلغ الحد الأقصى لحجم الملف 2 غيغابايت.

• تنسيق التحليل الجنائي المتقدم

  • قام الدكتور Simson L. Garfinkel بتطوير تنسيق اكتساب مفتوح المصدر يسمى Advanced Forensic Format (AFF).
  • يحتوي هذا التنسيق على أهداف التصميم التالية: - القدرة على إنتاج ملفات الصور المضغوطة أو غير المضغوطة - لا توجد قيود على حجم الملفات من القرص إلى الصورة - المساحة في ملف الصورة أو الملفات المجزأة للبيانات التعريفية - تصميم بسيط مع القابلية للتوسعة - مفتوح المصدر لمنصات الحوسبة و أنظمة التشغيل المتعددة - التحقق من الاتساق الداخلي للمصادقة الذاتية تتضمن امتدادات الملفات

تحديد أفضل طريقة للاستحواذ

• تحديد أفضل طريقة الاستحواذ كما ذكرنا، هناك نوعان من الاستحواذ: عمليات الاستحواذ الثابتة و عمليات الاستحواذ المباشرة.

• عادةً， يتم إجراء عملية استحواذ ثابتة على جهاز كمبيوتر تمت مصادرته أثناء مداهمة الشرطة، على سبيل مثال.

• إذا كان الكمبيوتر يحتوي على محرك أقراص مشفر， فسيتم إجراء عملية اكتساب مباشرة إذا كانت كلمة المرور أو عبارة المرور متاحة - مما يعني أن الكمبيوتر قيد التشغيل وتم تسجيل الدخول بواسطة المشتبه به.

• تعد عمليات الاستحواذ الثابتة دائمًا هي الطريقة المفضلة لجمع الأدلة الرقمية. ومع ذلك، لديهم قيود في بعض المواقف، مثل محرك أقراص مشفر لا يمكن قراءته إلا عند تشغيل الكمبيوتر أو كمبيوتر لا يمكن الوصول إليه إلا عبر الشبكة.

• بالنسبة لكلا النوعين من عمليات الاستحواذ، يمكن جمع البيانات بأربع طرق:

  • إنشاء ملف صورة من قرص إلى قرص
  • أو إنشاء نسخة من قرص إلى قرص
  • أو إنشاء ملف منطقي من قرص إلى قرص أو ملف من قرص إلى بيانات
  • أو إنشاء نسخة متفرقة من مجلد أو ملف.

• ويعتمد تحديد أفضل طريقة للاقتناء على ظروف التحقيق.

• يعد إنشاء ملف من قرص إلى صورة هو الأسلوب الأكثر شيوعًا ويوفر أكبر قدر من المرونة للتحقيق.

• باستخدام هذه الطريقة، يمكن عمل نسخة واحدة أو عدة نسخ من محرك الأقراص المشتبه به.

• في بعض الأحيان، لا يمكن إنشاء ملف من قرص إلى صورة بسبب وجود أخطاء في الأجهزة أو البرامج أو عدم التوافق.

• تكون    هذه    المشكلة    أكثر    شيوعًا    عندما    يتعين    الحصول    على    محركات    أقراص   قديمة.
  

• بالنسبة لمحركات الأقراص هذه، قد يتعين إنشاء نسخة من قرص إلى قرص لمحرك الأقراص المشتبه به.

• قد    يستغرق    جمع    الأدلة    من    محرك    أقراص    كبير    عدة    ساعات.    
  

• إذا كان وقتك محدودًا， ففكر في استخدام طريقة نسخ بيانات الاكتساب المنطقي أو الاستحواذ المتناثر.

• يلتقط الاستحواذ المنطقي فقط ملفات محددة ذات أهمية للحالة أو أنواع محددة من الملفات.

• عملية الاستحواذ المتناثر مشابهة، ولكنها تجمع أيضًا أجزاء من البيانات غير المخصصة (المحذوفة)؛ استخدم هذه الطريقة فقط عندما لا تحتاج إلى فحص محرك الأقراص بأكمل ه.

• لتحديد طريقة الاستحواذ التي سيتم استخدامها في التحقيق، ضع في الاعتبار حجم القرص المصدر (المشتبه به)، وما إذا كان بالإمكان الحفاظ على القرص المصدر كدليل أو يجب إعادته إلى المالك، و كم من الوقت متاح لإجراء عملية الاستحواذ، وأين يوجد الدليل.

• إذا كان القرص المصدر كبيرًا جداً، مثل 4 تيرابايت أو أكثر， فتأكد من أنه يوجد قرصًا مستهدفًا يمكنه تخزين ملف قرص إلى صورة للقرص الكبير.

• إذا لم يوجد قرص مستهدف بحجم مشابه، فراجع البدائل لتقليل حجم البيانات لإنشاء نسخة يمكن التحقق منها من محرك الأقراص المشتبه به.

• تعمل أدوات ضغط القرص القديمة من Microsoft، مثل DoubleSpace أو DriveSpace، على التخلص فقط من مساحة القرص الفارغة بين الملفات.

• تستخدم طرق الضغط الأخرى خوارزمية لتقليل حجم الملف.

• تستخدم    أدوات    الأرشفة    الشائعة،    مثلPKZip    و WinZip    و WinRAR،    خوارزمية    يشار    إليها    باسم    "الضغط    بدون    فقدان    البيانات".
  

• تستخدم خوارزميات ضغط ملفات الرسومات ما يسمى "الضغط مع فقدان البيانات"، والذي يمكنه تغيير البيانات.

• تحتوي معظم أدوات نسخ الصور على خيار استخدام الضغط بدون فقدان البيانات لتوفير مساحة القرص، مما يعني أن محرك الأقراص المستهدف لا يجب أن يكون كبيرًا مثل محرك الأقراص المشتبه به.

• يمكن تقليل ملفات الصور بنسبة تصل إلى 50% من الملفات الأصلية.

• إذا كان محرك الأقراص المشتبه به يحتوي بالفعل على بيانات مضغوطة， مثل عديد من الملفات المضغوطة الكبيرة، فلن تتمكن أداة النسخ من ضغط البيانات أكثر من ذلك.

•   إحدى    الطرق    السهلة    لاختبار    الضغط    بدون    فقدان    البيانات    هي    إجراء    تجزئة    MD5    أوSHA-1    على    الملف    قبل    ضغطه    وبعده.    
  

• إذا تم الضغط بشكل صحيح， فإن كلا الإصدارين لهما الملف نفس قيمة التجزئة.

• إذا لم تتطابق التجزئات، فهذا يعني أن هناك شيئًا تالفًا في الملف المضغوط， مثل خطأ في الأجهزة أو البرامج.

•   كإجراء    احترازي    إضافي،    قم   بإجراء    تجزئتين    منفصلتين    باستخدام    خوارزميات    مختلفة，     مثلMD5    وSHA-1.    
  

• هذه الخطوة ليست إلزامية. ومع ذلك، هي طريقة جيدة للتأكد من عدم تغير أي شيء أثناء معالجة البيانات.

تحديد أفضل طريقة للاستحواذ

• إذا لم يكن من الممكن الاحتفاظ بمحرك الأقراص الأصلي و يجب إعادته إلى المالك، فعليك مراجعة مقدم الطلب لمعرفة ما إذا كان الاستحواذ المنطقي مقبولًا أم لا.
• عند إجراء عملية استحواذ في هذه الحالة، تأكد من أن النسخة جيدة لأن معظم متطلبات الاكتشاف تمنح فرصة واحدة فقط لالتقاط البيانات.
• تأكد من وجود أداة موثوقة لتحليل الجنائي الرقمي و تعرف كيف تستخدمها.

التخطيط للطوارئ للحصول على الصور

• يجب اتخاذ الاحتياطات اللازمة لحماية الأدلة الرقمية من الضياع أو التلف.
• يجب أن يكون هناك خطط طوارئ في حالة تعطل البرامج أو الأجهزة أو في حالة مواجهة عطل أثناء عملية الاستحواذ.
• يجب عمل صورتين على الأقل من الأدلة الرقمية التي تم جمعها.
• إنشاء صورة بدون ضغط وصورة مضغوطة.

التخطيط للطوارئ للحصول على الصور

• تأكد من أن الأداة يمكنها نسخ البيانات الموجودة في منطقة محمية في محرك الأقراص.
• إذا كان محرك الأقراص مشفرًا بالكامل، ففكر في استخدام أداة حصول على المستوى BIOS للوصول إلى محرك الأقراص.
• قد تتطلب عملية الاستحواذ الثابتة على معظم محركات الأقراص المشفرة بالكامل فك تشفير محركات الأقراص، مما يتطلب تعاون المستخدم لتوفير مفتاح فك التشفير.
• إذا كان بإمكانك استرداد مفتاح القرص بالكامل، فتعرف على كيفية استخدامه لفك تشفير محرك الأقراص.

استخدام أدوات الاستحواذ

• أدوات Windows للاستحواذ تجعل الحصول على الأدلة من محرك أقراص المشبوه أكثر ملاءمة.
• يجب حماية محرك أقراص الأدلة باستخدام جهاز تم اختباره جيدًا لمنع الكتابة.
• معظم أدوات Windows لا يمكنها الحصول على البيانات من منطقة محمية في محرك الأقراص.

استخدام أدوات الاستحواذ

• نظام التشغيل Linux يمكنه الوصول إلى محرك أقراص غير مثبت.
• عند توصيل محرك أقراص عبر USB أو FireWire أو SATA خارجي، يقوم كلا نظامي التشغيل Linux و Windows بتثبيت محرك الأقراص والوصول إليه تلقائيًا.

التحقق من صحة عمليات الحصول على البيانات

• جانب مهم في التحليل الجنائي للكمبيوتر هو التحقق من صحة الأدلة الرقمية.
• يستلزم التحقق من صحة الأدلة الرقمية استخدام أداة مساعدة لخوارزمية التجزئة.
• يؤدي أي تغيير في أحد الملفات، حتى تغيير حرف واحد من أحرف كبيرة إلى صغيرة، إلى إنتاج قيمة تجزئة مختلفة تمامًا.

تنفيذ عمليات الحصول على بيانات RAID

• الحصول على محركات أقراص RAID يمكن أن يكون أمرًا صعبًا ومحبطًا بسبب كيفية تصميم أنظمة RAID وتكوينها وحجمها.
• RAID (مصفوفة متكررة من الأقراص المستقلة) عبارة عن تكوين كمبيوتر يحتوي على قرصين فعليين أو أكثر.
• تم تطوير RAID لتكرار البيانات لتقليل فقدان البيانات الناتج عن فشل القرص.

الاستحواذ على أقراص RAID

• لا توجد طريقة بسيطة للحصول على صورة لأقراص خادم RAID
• يجب التفكير في الأسئلة التالية:
  • كمية التخزين المطلوبة لصورة RAID؟
  • نوع RAID المستخدم؟
  • هل تمتلك أداة اقتناء قادرة على نسخ البيانات بشكل صحيح؟
  • هل يمكن للأداة قراءة نسخة RAID؟

استخدام أدوات الاستحواذ على الشبكة عن بعد

• تسمح أدوات التحليل الجنائي الرقمي بالحصول على بيانات القرص عن بعد.
• تستطيع أدوات الاستحواذ عن بعد الحصول على البيانات خلسة من خلال رابط مشفر.
• يجب أن تتم معظم عمليات الاستحواذ عن بعد كمستقيمة وليست ثابتة.

تحديد البيانات المطلوب جمعها وتحليلها

• يعتمد فحص الأدلة الرقمية وتحليلها على طبيعة التحقيق وكمية البيانات المطلوبة.
• قد تحتاج القضايا المدنية إلى فحص عناصر محددة فقط، مثل رسائل البريد الإلكتروني.
• غالبًا ما تشمل التحقيقات العثور على بعض العناصر المحددة واستعادتها.
• في بيئة الشركات، قد تحتاج إلى استرداد أكبر قدر ممكن من المعلومات.

تحديد البيانات المطلوب جمعها وتحليلها

• يمكن أن يؤدي هذا إلى زحف النطاق، حيث يتوسع التحقيق إلى ما هو أبعد من الوصف الأصلي بسبب الأدلة غير المتوقعة.
• تأكد من توثيق أي طلبات لإجراء تحقيق إضافي.

نهج التعامل مع قضايا التحليل الجنائي الرقمي

• يجب اتباع هذه الخطوات الأساسية لجميع تحقيقات التحليل الجنائي الرقمي:
  • فحص الوسائط وإزالة أي برامج ضارة محتملة قبل استخدامها.
  • جرد الأجهزة الموجودة على جهاز الكمبيوتر الخاص بالمتهم.
  • إزالة محرك الأقراص الأصلي من الكمبيوتر، إذا كان ذلك ممكنًا، ثم فحص قيم التاريخ والوقت في CMOS.
  • تسجيل كيفية حصولك على البيانات من محرك الأقراص المستهدف.

نهج التعامل مع قضايا التحليل الجنائي الرقمي

• تقع قيم تجزئة MD5 أو SHA-1 على عاتق الأداة.
• معالجة البيانات بشكل منهجي ومنطقي.
• إدراج كافة المجلدات والملفات على الصورة أو محرك الأقراص.
• فحص محتويات جميع ملفات البيانات في جميع المجلدات، بدءًا من الدليل الجذر.

نهج التعامل مع قضايا التحليل الجنائي الرقمي

• بذل قصارى جهد لاستعادة محتويات الملفات المحمية بكلمة مرور باستخدام أدوات استعادة كلمة المرور.
• تحديد وظيفة كل ملف قابل للتنفيذ (ثنائي أو exe) لا يتطابق مع قيم التجزئة المعروفة.
• الحفاظ على سيطرتك على جميع الأدلة والنتائج، وتوثيق كل شيء.

تنقيح وتعديل خطة التحقيق

• في القضايا المدنية والجنائية غالبًا ما يتم تحديد النطاق من خلال أوامر التفتيش أو مذكرات الاستدعاء.
• من المهم تحسين خطة التحقيق قدر الإمكان من خلال تحديد متطلبات الحالة.
• تريد أن يكون التحقيق واسعًا بما يكفي ليشمل جميع الأدلة ذات الصلة ولكن ليس واسع النطاق بحيث تضيع الوقت والموارد في تحليل البيانات التي لن تساعد قضيتك.

تنقيح وتعديل خطة التحقيق

• وجود خطة تقوم بمراجعتها عمدًا على طول الطريق أفضل بكثير from searching for evidence randomly.
• ستجد في بعض الأحيان أنك بحاجة إلى الانحراف عن خطتك والمتابعة إلى حيث تقودك الأدلة.
• على سبيل المثال، توسيع نطاق البيانات التي تبحث عنها إذا وجدت إشارات إلى جداول البيانات أو مستندات Word التي تحتوي على معلومات مالية.

التحقق من صحة بيانات التحليل الجنائي الرقمي

• ضمان سلامة البيانات التي تجمعها أمر ضروري لتقديم الأدلة إلى المحكمة.
• تقدم معظم أدوات التحليل الجنائي تجزئة ملفات الصور.
• يمكن أن يكون استخدام برامج التحرير السداسية العشرية المتقدمة ضروريًا لضمان سلامة البيانات.

التحقق من الصحة مع محرر النظام السادس عشر

• توفر برامج تحرير النظام الست عشري المتقدمة العديد من الميزات غير المتوفرة في أدوات التحليل الجنائي.
• تعلم كيفية استخدام محرر النظام الست عشري مهارة مهمة.

استخدام قيم التجزئة لتمييز البيانات

• وظيفة التمييز لفرز الملفات الجيدة المعروفة من الملفات المشبوهة.
• يقوم KFF بفلترة ملفات البرامج المعروفة، مثل winword.exe.
• قم AccessData بتحديث قيم التجزئة المعروفة بشكل دوري.
• تحتفظ المكتبة المرجعية الوطنية للبرامج NSRL بقاعدة بيانات وطنية لقيم التجزئة للملفات المحدثة.

التحقق من الصحة باستخدام أدوات التحليل الجنائي الرقمي

• تحتوي أدوات التحليل الجنائي الرقمي التجارية على ميزات التحقق المضمنة.
• تحقق من صحة البيانات يدويًا إذا لم تتطابق قيمة التجزئة.
• يمكنك استخدام قيم التجزئة للتحقق مما إذا كان ملف الصورة تالفًا.

معالجة تقنيات إخفاء البيانات

• إخفاء البيانات هو تغيير ملف أو معالجته لإخفاء المعلومات.
• تشمل تقنيات إخفاء البيانات إخفاء الأقسام بأكملها، وتغيير امتدادات الملفات، وتعيين سمات الملف إلى مخفية، وتغيير البت، واستخدام التشفير، وإعداد الحماية بكلمة مرور.

إخفاء الملفات عن طريق استخدام نظام التشغيل

• يمكن للمشتبه به تغيير امتداد ملف لإخفائه.
• أدوات الطب الشرعي الرقمي المتقدمة تفحص رؤوس الملفات ومقارنة امتداد الملف للتحقق من صحته.

معالجة تقنيات إخفاء البيانات

• يمكن للمشتبه به تحديد سمة مخفية في مربع حوار خصائص الملف.
• يمكن لأدوات الطب الشرعي الرقمي تحديد الملفات المخفية.

إخفاء الأقسام

• يمكن إخفاء قسم عن طريق إلغاء تعيين حرف القسم.
• تتوفر أيضًا أدوات أخرى لإدارة الأقراص، مثل Partition Magic و Partition Master و Linux Grand Unified Bootloader (GRUB).

معالجة تقنيات إخفاء البيانات

• يمكن وضع البيانات الحساسة أو المُجرمة في مساحة حرة أو بطيئة على مجموعات أقسام القرص.
• تستطيع أدوات مساعدة مثل Norton DiskEdit وضع علامة على المجموعات الجيدة كمجموعات سيئة في جدول FAT , ثم يعتبر نظام التشغيل هذه المجموعات غير قابلة للاستخدام.

معالجة تقنيات إخفاء البيانات

• تقنية تحويل البت هي تغيير ترتيب البيانات الثنائية لإخفاء المعلومات.

• تقوم هذه البرامج بإعادة ترتيب البتات لكل بايت في الملف. ### مُعالجة تقنيات إخفاء البيانات

• لضمان أمان ملفات تحتوي على معلومات سرية أو غير قانونية، قد يقوم بعض المستخدمين بتشغيل برنامج مخصص لخلط البتات في الملف.

• يتم استخدام برنامج آخر لاحقًا لإعادة ترتيب البتات المشوشة إلى الشكل الأصلي، مما يسمح بالوصول إلى الملف.

• لا تزال بعض هذه البرامج المستخدمة حتى اليوم، مما يجعل من الصعب على المحققين تحليل البيانات ذات الصلة.

• يعتبر تعلم لغات التجميع ولغات البرمجة عالية المستوى مثل Visual Basic و Visual C++ و Perl مفيدًا في هذا المجال.

• تُعد تقنية تغيير أنماط البت لِتغيير قيم البايت من تقنيات إخفاء البيانات الشائعة.

• يمكن لأدوات مثل WinHex و Hex Workshop أن تُستخدم لتحويل البتات وتغيير أنماط البايت في ملفات بأكملها أو بيانات محددة.

فهم طرق تحليل الإخفاء

• يُعرّف إخفاء المعلومات بأنه إخفاء الرسائل بطريقة لا يعرف بِوجودها إلا المستلم المقصود.
• تكمن مهمة "تحليل إخفاء المعلومات" في اكتشاف وتحليل ملفات إخفاء المعلومات.
• تُستخدم العلامات المائية الرقمية لحماية ملكية الملفات، وقد تكون مرئية أو غير مرئية، حسب الغرض منها.
• تُعد أدوات إخفاء المعلومات، والتي قد تكون مجانية أو مدفوعة، من تقنيات إخفاء البيانات الشائعة.
• تم تصميم العلامات المائية غير المرئية بحيث لا تُلاحظ في الملف، مثل الصورة الأصلية.
• يمكن استخدام برامج إخفاء المعلومات لدمج المعلومات في ملفات مختلفة، مثل إدخال نص مُشفّر باستخدام PGP في ملف إخفاء المعلومات.

فهم طرق تحليل إخفاء المعلومات

• تُعرّف "الهجمات" في سياق تحليل إخفاء المعلومات بِأنها طرق تحليل هجمات إخفاء المعلومات.
• هجوم إخفاء المعلومات فقط: تُستخدم هذه الطريقة عندما يكون الملف الذي يحتوي على محتوى إخفاء المعلومات المحتمل متاحًا للتحليل فقط.
• هجوم الغلاف المعروف: تُستخدم هذه الطريقة عندما تكون وسائط الغلاف، والملف الأصلي الذي لا يحتوي على رسالة مخفية، وملف وسائط الغلاف المحول الذي يخزن الرسالة المخفية، متاحة للتحليل.
• هجوم الرسائل المعروفة: تُستخدم هذه الطريقة عندما يتم الكشف عن الرسالة المخفية بعد ذلك، مما يسمح بمزيد من التحليل للرسائل الجديدة.
• هجوم إخفاء المعلومات المختار: تُستخدم هذه الطريقة عند استخدام أداة إخفاء المعلومات ووسائط إخفاء المعلومات لإخفاء محتوى الرسالة.
• هجوم الرسالة المختارة: تُستخدم لتحديد الأنماط المقابلة المستخدمة في وسائط التخزين.

فحص الملفات المشفرة

• يتم تشفير الملفات لمنع الوصول غير المصرح به.
• يحتاج المستخدمون إلى توفير كلمة مرور أو عبارة مرور لفك تشفير ملف مشفر.
• تُستخدم العديد من برامج التشفير التجارية "مفتاح الضمان" لاستعادة البيانات المشفرة إذا نسي المستخدمون عبارات المرور الخاصة بهم.
• يمكن لِفاحصي التحليل الجنائي استخدام مفتاح الضمان لمحاولة استعادة البيانات المشفرة أيضًا.
• يمكن أن تكون بعض أنظمة التشفير معقدة للغاية، مما يتطلب وقتًا طويلاً قد يصل إلى أيام أو أسابيع أو سنوات أو حتى عقود لفكها.

استعادة كلمات المرور

• تُعد استعادة كلمة المرور تقنية شائعة في تحليل الجنائي الرقمي.
• يتم استخدام العديد من الأدوات لاختراق كلمات المرور، بعضها متكامل مع أدوات التحليل الجنائي الرقمي مثل OSForensics، والبعض الآخر مستقل.
• تُستخدم بعض الأدوات هجوم القاموس أو هجوم القوة الغاشمة لاختراق كلمات المرور.
• تُستخدم هجمات القوة الغاشمة كل حرف ورقم وحرف موجود على لوحة المفاتيح، مما يتطلب وقتًا طويلاً و قوة معالجة كبيرة.
• تُستخدم هجمات القاموس كلمات شائعة من القواميس، مما يوفر وقتًا أكبر من هجمات القوة الغاشمة.
• تُخزّن العديد من أنظمة التشغيل والتطبيقات المحمية بكلمة مرور كلمات المرور كِقيم تجزئة MD5 أو SHA.
• تُستخدم جداول قوس قزح، التي تحتوي على قيم التجزئة مسبقًا، لتسريع اختراق كلمات المرور، لأنها تُجنب تحويل كلمة مرور القاموس من نص عادي إلى قيمة تجزئة.

فهم أهمية التقارير

• تهدف تقارير التحليل الجنائي الرقمي إلى نقل نتائج التحقيق إلى الجهات المعنية، مثل ممثلي الادعاء أو المحامين.
• تهدف تقارير التحليل الجنائي إلى توضيح الأدلة التي تدعم مزيدًا من التحقيقات، أو أن تُستخدم كِدليل في المحكمة، أو جلسات الاستماع الإدارية، أو كِشهادة خطية لدعم إصدار أمر الإحالة أو التفتيش.

قصر التقرير على التفاصيل

• يجب أن تحدد الجهات المعنية هدف التحقيق أو المهمة المطلوبة بوضوح قبل بدء كتابة التقرير.
• يجب تحديد الجمهور المستهدف للتقرير قبل بدء الكِتابة، مما يساعد على التركيز على التفاصيل المناسبة لِحجم الفهم لدى هؤلاء القراء.
• يجب تكريس جزء من التقرير لشرح المصطلحات الفنية إذا كان الجمهور محدودًا بالمعرفة التقنية.

أنواع التقارير

  -  يتم طلب أنواع مختلفة من التقارير من المحلل الجنائي الرقمي، مثل:
      - تقرير رسمي يتكون من حقائق ونتائج.
      - تقرير كتابي أو شفهي أولي لممثل الادعاء أو المحامي.
      - خطة التحليل والفحص المقدّمة لممثل الادعاء أو المحامي كِدليل إرشادي لِتوقع الأسئلة عند الإدلاء بالشهادة. 
  -  يُعدّ التقرير الشفهي أقل تنظيماً من التقرير المكتوب، وعادةً ما يُقدّم في مكتب ممثل الادعاء أو المحامي،  حيث يتم طلب المحلل كِخبير في التحليل  الجنائي.

أنواع التقارير

• يُعَدّ التقرير الشفهي عادة تقريراً أوليًا، حيث تُناقش مجالات التحقيق التي لم تُستكمل بعد مثل:
  • الاختبارات التي لم تُستكمل بعد.
  • الاستجوابات التي يرغب ممثل الادعاء أو المحامي في توجيهها إلى الخصوم.
  • إنتاج المستندات، مثل طلبات الاستجواب أو مذكرات الاستدعاء.
  • تحديد ما يجب عزله وخطة عزله.

مبادئ توجيهية لِكتابة التقارير

• تُطلب من المحلل الجنائي تقديم رأيه أو آرائه كِخبير في المجال بدلاً من الشهادة كِشاهد عادي.
• يجب أن تُذكَر الحقائق اللازمة للإجابة على السؤال الافتراضي، دون إدراج حقائق غير ضرورية.
• قد يكون من المُهمّ التصريح بالحقائق البديلة في بعض الحالات، حتى إذا كانت لا تغير رأي المحلل.

ما يجب تضمينه في التقارير الأولية المكتوبة

• يجب أن يكون المحلل الجنائي على دراية بأنّ أي تقرير مكتوب يُمكن أن يُطّلع عليه محامي الخصم.
• يُنصَح بعدم كتابة تقارير أولية، لأنها تُصبح عرضة للاطلاع من قبل المحامين، مما قد يؤثر على شهادة المحلل في النهاية.
• يُنصح بعدم استخدام مصطلحات مثل "نسخة أولية" أو "نسخة مسودة" أو "مسودة عمل" في هذه التقارير.

ما يجب تضمينه في التقارير الأولية المكتوبة

• يُنصح بعدم تدمير التقرير الأولي قبل انتهاء القضية أو حلّ أي مشكلة اكتشاف تتعلق به.
• يجب أن تُعرَف جميع تقارير التحليل الجنائي، بما في ذلك التقارير الأولية، بِاسم المحلل الجنائي في قائمة الشهود.
• يُشبه محتوى التقرير الأولي المكتوب محتوى التقرير الشفهي non-formal.

ما يجب تضمينه في التقارير الأولية المكتوبة

• يجب التأكد من مراجعة المهمة وتأكيدها بشكل صريح مع ممثل الادعاء أو المحامي.
• يجب تلخيص ما تم إنجازه، وتحديد الأنظمة التي تم فحصها، والأدوات المستخدمة، والنتائج التي تمّ مشاهدتها، والخطوات التي تم اتخاذها لحماية الأدلة.
• يُفضل تضمين تقرير عن تكاليف العمل حتى وقت كتابة التقرير وتقدير التكاليف اللازمة لاستكمال العمل.

### هيكل التقرير

• يُشمل التقرير عادةً على الأقسام التالية، مع اختلاف الترتيب تبعًا لِمتطلبات الحالة أو الإرشادات التنظيمية. - الملخص - جدول المحتويات - متن (صلب) التقرير - خاتمة - المراجع - قائمة المصطلحات - شكر وتقدير - الملاحق

هيكل التقرير

   - يجب أن يكون لكل قسم في التقرير عنوان محدد يصف محتوياته. 
 -  يُشمل التقرير الطويل أو المعقد على ملخص.
 -  يُلخص الملخص أهم النقاط الرئيسية في التقرير، ويُمكن أن يكون من فقرة واحدة إلى فقرتين، بِحد أقصى ١٥٠-٢٠٠ كلمة.

هيكل التقرير

• لا يُشمل الملخص معلومات مثل المراجع أو جداول النتائج.
• يُشمل جسم (متن) التقرير على مقدمة ومناقشة.
• يُشرح هدف التقرير في المقدمة، وتُعرّف مهارات ومؤهلات المحلل الجنائي، وتُذكر الطرق المستخدمة، والقيود، وطريقة تنظيم التقرير.
• يُجب الإجابة على سؤال "ما هي المشكلة؟" في المقدمة.

هيكل التقرير

• تُقدم المقدمة للقراء خطة لِمحتوى التقرير، ويُنصح بتقديم المشكلة ثم الانتقال إلى المواضيع الأوسع، وختامها بالأهداف المحددة للتقرير.
• يُرجى تنظيم أقسام المناقشة بشكل منطقي، واستخدام العناوين لتسهيل تصنيف المعلومات وضمان صلتها بالتحقيق.

هيكل التقرير

• تُشمل الخاتمة على الإشارة لِهدف التقرير، وتلخيص النقاط الرئيسية، واستخلاص النتائج، وإبداء الرأي، إذا لزم الأمر.
• تُشمل المراجع والملاحق على المواد الداعمة التي يتم الإشارة إليها في التقرير.
• تُشمل الملاحق على مواد مرجعية إضافية غير مدرجة في نصّ التقرير.

كتابة التقارير بشكل واضح

• يُفترض أن يكون التقرير واضحًا ومُوجزًا، مع مراعاة المعايير التالية لِتقييم جودة الكتابة: - جودة التواصل: هل تُقرأ بِسهولة؟ - الأفكار والتنظيم: هل المعلومات ذات صلة ومنظمة بشكل واضح؟ - القواعد والمفردات: هل تُستخدم اللغة بِشكل مُباشر وبسيط، مع تجنب التكرار؟ - علامات الترقيم والتهجئة: هل هي دقيقة ومتسقة؟

كتابة التقارير بشكل واضح

• يُفترض أن تُشكل الفقرات بناءً منطقيًا، مع وجود تدفق واضح من بداية التقرير إلى النهاية.
• تُشمل التقارير الجيدة على قواعد نحوية صحيحة، وإملاءً دقيقًا، وخلوًّا من الأخطاء الكتابية.
• تُجنّب المصطلحات باللغة العامية.
• يُشرح المصطلحات الفنية باللغة العادية، أو تُدرج في قاموس للمصطلحات في التقرير.

كتابة التقارير بشكل واضح

• يُعرّف جميع المختصرات غير القياسية عند أول استخدام لها.
• يُفرَق بين الاختصارات التي تُستخدم لقياسات قياسية، مثل "m" كِاختصار لِ "meter"، والمختصرات الأخرى.
• يُشرح الاختصار حتى إذا كانت هناك احتمالية لِسوء فهمه، أو تُستخدم الكلمة الكاملة.

إنشاء نتائج التقارير باستخدام أدوات التحليل الجنائي الرقمي

• يُمكن استخدام أدوات التحليل الجنائي مثل ProDiscover، و X-Ways Forensics، و FTK، و OSForensics، و ILookIX، و EnCase، لِإنشاء ملفات تّسجّل نتائج التحليل.
• يُمكن أن تُنتج هذه الأدوات تقارير حول البيانات المُستردة ومواقعها، لكنّ مسؤوليات المحلل الجنائي تتضمن توضيح أهمية الأدلة المُستردة، وأيّ قيود أو عدم يقين يُمكن أن تُثيره نتائج هذه الأدوات.
• تُقدم التقارير أو السجلات في شكل نصّي، أو معالجة كلمات، أو تنسيق HTML.

فهم محطات عمل وبرامج استعادة البيانات

• استعادة البيانات تختلف عن التحليل الجنائي الرقمي
• تكوين محطة عمل التحليل الجنائي الرقمي لفحص الأدلة يتطلب أجهزة ونظام تشغيل معين
• MS-DOS 6.22 هو الأكثر تناسبًا، لكن لا يمكن استخدامه مع أنظمة ملفات NTFS
• أجهزة حظر الكتابة ضرورية لحماية أدلة
• العديد من الأدوات متوفرة، مثل Technology Pathways NoWrite FPU و WiebeTECH DriveDock
• تتطلب أداة حظر للكتابة DVD أو محرك أقراص USB
• أدوات التحليل الجنائية تُطور لتناسب Windows ولكن Linux أفضل
• لا توجد أداة واحدة تناسب كل شيء
• تطوير مهارات باستخدام أنواع مختلفة من الأدوات ضروري

إعداد محطة العمل الخاصة بالتحليل الجنائي الرقمي

• محطة عمل للتحليل الجنائي الرقمي
• جهاز مانع الكتابة
• أداة الحصول على الأدلة الجنائية الرقمية
• أداة تحليل الأدلة الجنائية الرقمية
• منافذ PATA أو SATA
• منافذ USB
• بطاقة واجهة الشبكة (NIC)

إجراء التحقيق

• تتطلب خطة لتحديد الموارد
• تتطلب برامج فحص، مثل ProDiscover أو EnCase أو FTK أو X-Ways Forensics
• تتطلب أداة ضغط، مثل LibreOffice
• تتطلب عارض رسومات، مثل IrfanView
• تتطلب وسائط التخزين الأصلية
• تتطلب نموذج حجز الأدلة
• تتطلب أداة تصوير تيار-البت
• تتطلب خزانة تأمين الأدلة

فهم نسخ تيار-البت

• نسخة تيار-البت هي نسخة دقيقة من جميع البيانات
• تختلف عن النسخ الاحتياطية
• تُستخدم في جميع أدوات التحليل الجنائي
• تتطلب قرص مستهدف مطابق للقرص الأصلي
• تُعرف باسم "صورة" أو "حفظ صورة" أو "ملف الصورة"

الحصول على صورة من أدلة وسائط التخزين

• الحفاظ على أدلة الأصلية
• تُعرف العملية باسم "الحصول على صورة" أو "إنشاء صورة"
• ProDiscover Basic من Technology Pathways هو أداة جيدة
• يمكن الحصول على الصورة من USB أو محركات الأقراص

تحليل الأدلة الرقمية

• ProDiscover Basic - أداة تحليل جنائي جيدة
• يمكن استرداد الملفات المحذوفة
• يمكن تحليل ملفات الصورة التي تم إنشاؤها من خلال ProDiscover Basic
• توفر إمكانية فتح ملفات الصورة

مقدمة

• الحصول على البيانات هو عملية نسخ البيانات
• استحواذ ثابتة على البيانات - نسخ البيانات من محرك أقراص
• استحواذ مباشر - جمع RAM

فهم تنسيقات التخزين للأدلة الرقمية

• ملف الصورة - تنسيق مفتوح المصدر أو خاص
• يستخدم تنسيق الخام كتنسيق مفتوح المصدر
• تنسيق التحليل الجنائي الرقمي المتقدم (AFF)

تنسيق خام

• نسلة من قرص إلى قرص
• تُسجل جميع البيانات
• تتطلب مساحة تخزين كبيرة
• يمكن قراءتها بواسطة معظم أدوات التحليل الجنائي

تنسيقات الملكية

• تقدم العديد من الميزات
• خيار ضغط الملفات
• تقسيم الملفات إلى قطع
• دمج البيانات الوصفية

تنسيق التحليل الجنائي المتقدم (AFF)

• مفتوح المصدر
• ضغط الملفات
• لا يوجد قيود على حجم الملفات
• دمج البيانات الوصفية

تحديد أفضل طريقة للاستحواذ

• عمليات الاستحواذ الثابتة - نسخ البيانات
• عمليات الاستحواذ المباشرة - جمع بيانات نشطة

أفضل طريقة للاستحواذ

• ملف صورة من قرص إلى قرص - الطريقة الأكثر شيوعًا

• نسخة من قرص إلى قرص - بسبب أخطاء الجهاز

• ملف منطقي من قرص إلى قرص - لكل ملفات محددة

• نسخة متفرقة - جمع أجزاء من البيانات غير المخصصة ### تحديد أفضل طريقة للاستحواذ

• إذا لم يكن من الممكن الاحتفاظ بمحرك الأدلة الأصلي ويجب إعادته إلى صاحبه، كما في طلب الاكتشاف في قضية دعوى مدنية، فراجع مقدم الطلب (المحامي أو المراقب الخاص، على سبيل المثال)، واسألهم عما إذا كان الاستحواذ المنطقي مقبولًا.

• إذا لم يكن مقبولًا، يجب إحالة الأمر إلى مقدم الطلب.

• عند إجراء عملية استحواذ في ظل هذه الظروف، تأكد من أن النسخة جيدة، لأن معظم متطلبات الاكتشاف تمنح فرصة واحدة فقط لالتقاط البيانات.

• تأكد من وجود أداة موثوقة للتحليل الجنائي الرقمي وتعرف كيفية استخدامها.

التخطيط للطوارئ للحصول على الصور

• نظرًا لأن التعامل مع الأدلة الرقمية يكون خطرًا، ف يجب اتخاذ الاحتياطات لحمايتها من الفقد أو التلف.
• يجب أيضًا وضع خطط للطوارئ في حالة عدم عمل البرامج أو الأجهزة أو في حالة حدوث عطل أثناء عملية الاستحواذ.
• الطريقة الأكثر شيوعًا والتي تستغرق وقتًا طويلًا للحفاظ على الأدلة هي إنشاء نسخة مكررة من ملف تحويل القرص إلى صورة.
• لا يقوم العديد من المحققين الرقميين بعمل نسخ مكررة من أدلتهم لأنه ليس لديهم وقت أو موارد كافية لعمل صورة ثانية.
• ومع ذلك، فإذا كانت النسخة الأولى لا تعمل بشكل صحيح، فإن الحصول على نسخة مكررة يستحق الجهد والموارد.
• تأكد من اتخاذ خطوات للحد من مخاطر الفشل في التحقيق.

التخطيط للطوارئ للحصول على الصور

• كعملية قياسية، يتم عمل صورتين على الأقل للالدلة الرقمية التي تم جمعها.
• إذا كان يوجد أكثر من أداة تصوير، فقم بعمل النسخة الأولى باستخدام إحدى الأدوات، والنسخة الثانية باستخدام الأداة الأخرى.
• إذا كانت هناك أداة واحدة فقط، فكر في إنشاء صورتين لمحرك الأقراص باستخدام نفس الأداة، خاصة في عمليات البحث الهامة.

التخطيط للطوارئ للحصول على الصور

• تحقق من وثائق البائع للتأكد من أن أداته يمكنها نسخ البيانات الموجودة في المنطقة المحمية لمضيف القرص (HPA) للمحرك.
• في هذه المواقف، فكر في استخدام أداة الحصول على الأجهزة التي يمكنها الوصول إلى محرك الأقراص على مستوى BIOS.
• أضافتMicrosoft تشفير القرص بالكامل باستخدام BitLocker إلى أنظمة التشغيل الأحدث الخاصة بها، مثل Windows 7 و 8، مما يجعل إجراء عمليات الاستحواذ الثابتة أكثر صعوبة.
• (تتوفر العديد من أدوات تشفير القرص بالكامل التابعة لجهات خارجية، يجب أن تكون على دراية بقدر الإمكان منها).
• كجزء من التخطيط للطوارئ، يجب الاستعداد للتعامل مع محركات الأقراص المشفرة.
• تتضمن عملية الاستحواذ الثابتة على معظم محركات الأقراص المشفرة بشكل كامل حاليًا فك تشفير محركات الأقراص، وهو ما يتطلب تعاون المستخدم لتوفير مفتاح فك التشفير.

التخطيط للطوارئ للحصول على الصور

• إذا كان بإمكانك استرداد مفتاح القرص بالكامل باستخدام أدوات مثل Elcomsoft Forensic Disk Decryptor، فأنت بحاجة إلى معرفة كيفية استخدامه لفك تشفير محرك الأقراص.
• في التحقيقات الجنائية، قد يكون هذا مستحيلًا لأن المشتبه به قد يكون لديه دوافع قوية لعدم توفير مفتاح فك التشفير إذا كان القرص يحتوي على أدلة تدعم الجريمة.

استخدام أدوات الاستحواذ

• قام العديد من موردي برامج التحليل الجنائي الرقمي بتطوير أدوات الاستحواذ التي تعمل في نظام التشغيل Windows.
• تجعل هذه الأدوات الحصول على الأدلة من محرك أقراص مشبوه أكثر ملاءمة.
• أدوات الاستحواذ الخاصة بـWindows لها بعض العيوب:
  • نظرًا لأن نظام التشغيل Windows يمكن أن يلوث محرك أقراص الأدلة بسهولة عند تثبيته، يجب عليك حمايته باستخدام جهاز تم اختباره جيدًا لمنع الكتابة.
• تقوم عملية التثبيت التلقائي بتحديث ملفات التمهيد عن طريق تغيير بيانات التعريف، مثل وقت الوصول الأحدث.
• العيب الآخر هو أن معظم أدوات Windows لا يمكنها الحصول على البيانات من المنطقة المحمية مضيف محرك القرص.
• بالإضافة إلى ذلك، لم تقبل بعض البلدان حتى الآن استخدام أجهزة حظر الكتابة للحصول على البيانات.

استخدام أدوات الاستحواذ

• يحتوي نظام التشغيل Linux على العديد من الميزات التي تنطبق على التحليل الجنائي الرقمي، لا سيما عمليات الحصول على البيانات.
• إحدى الميزات الفريدة هي أن Linux يمكنه الوصول إلى محرك أقراص غير مثبت.
• في أنظمة تشغيل Windows وإصدارات Linux الأحدث، عند توصيل محرك أقراص عبر USB أو FireWire أو SATA خارجي أو حتى داخلي وحدات تحكم PATA أو SATA، يقوم كلا نظامي التشغيل بتثبيت محرك الأقراص والوصول إليه تلقائيًا.

التحقق من صحة عمليات الحصول على البيانات

• ربما يكون الجانب الأكثر أهمية في التحليل الجنائي للكمبيوتر هو التحقق من صحة الأدلة الرقمية.
• إن أضعف نقطة في أي تحقيق رقمي هي سلامة البيانات التي تجمعها، لذلك فإن التحقق من الصحة ضروري.
• يتطلب التحقق من صحة الأدلة الرقمية استخدام أداة مساعدة لخوارزمية التجزئة، والتي تم تصميمها لإنشاء رقم ثنائي أو سداسي عشري يمثل تفرد مجموعة البيانات مثل ملف أو محرك أقراص.
• ويُشار إلى هذا الرقم الفريد باسم "البصمة الرقمية".
• مع بعض الاستثناءات، يؤدي إجراء أي تغيير في أحد الملفات - حتى تغيير حرف واحد من أحرف كبيرة إلى أحرف صغيرة - إلى إنتاج قيمة تجزئة مختلفة تمامًا.
• تم اكتشاف حدوث هذه الاستثناءات، المعروفة باسم "التصادمات"، في عدد صغير من الملفات باستخدام MD5، وقد يكون SHA-1 أيضًا عرضة للتصادمات.
• ومع ذلك، بالنسبة لفحوصات التحليل الجنائي ملفات البيانات الموجودة على محرك الأقراص، لا تثير التصادمات قلقًا كبيرًا.
• إذا كان لدى ملفين محتوى مختلف لهما نفس قيمة التجزئة MD5 ، يمكن إجراء مُقارنة لكل بايت من الملف لمعرفة الاختلافات.

تنفيذ عمليات الحصول على بيانات RAID

• يمكن أن يكون الحصول على محركات RAID ( تخزين نفس البيانات في أماكن مختلفة على القرص الصلب ) أمرًا صعبًا و محبطًا للمحللين الجنائيين الرقمينيين بسبب كيفية تصميم أنظمة RAID و تكوينها و حجمها.
• الحجم هو المصدر الأكبر للقلق نظرًا لأن العديد من أنظمة RAID تعمل الآن على زيادة حجمها إلى تيرابايت من البيانات.
• هذه المصفوفة المتكررة من الأقراص المستقلة ( RAID )) عبارة عن تكوين كمبيوتر يتضمن قرصين فعليين أو أكثر.
• تم تطوير RAID في الأصل كإجراء لتكرار البيانات للحد من فقدان البيانات الناجم عن فشل القرص.

الاستحواذ على أقراص RAID

• لا توجد طريقة بسيطة للحصول على صورة لأقراص خادم RAID
• تحتاج إلى معالجة المخاوف التالية:
  • ما مقدار تخزين البيانات المطلوب للحصول على كافة البيانات اللازمة لصورة التحليل الجنائي الرقمي؟
  • ما هو نوع RAID المستخدم؟
  • هل لديك أداة اقتناء قادرة على نسخ البيانات بشكل صحيح؟
  • هل يمكن للأداة قراءة النسخة الجنائية الرقمية من صورة RAID؟
  • هل يمكن للأداة قراءة البيانات المحفوظة المقسمة لكل قرص RAID؟

استخدام أدوات الاستحواذ على الشبكة عن بعد

• تتضمن التحسينات الأخيرة في أدوات التحليل الجنائي الرقمي القدرة على الحصول على بيانات القرص أو أجزاء البيانات ( متفرقة أو منطقية ) عن بعد.

• باستخدام هذه الميزة، يمكنك الاتصال بجهاز كمبيوتر مشتبه به عن بعد عبر اتصال الشبكة، و نسخ البيانات منه.

• تختلف أدوات الاستحواذ عن بعد في التكوينات و الإمكانيات .

• ويتطلب بعضها تدخلًا يدويًا على أجهزة الكمبيوتر المشتبه بها عن بعد لبدء عملية نسخ البيانات.

• يمكن للآخرين الحصول على البيانات خلسة من خلال رابط مشفر عن طريق دفع برنامج الوصول عن بعد إلى جهاز الكمبيوتر الخاص بالمشتبه به.

• من منظور التحقيق، فإن القدرة على الاتصال ب جهاز الكمبيوتر الخاص بالمشتبه به عن بعد لإجراء عملية استحواذ له جاذبية هائلة.

• إنه يوفر الوقت لأنه لا يتعين عليك الذهاب إلى كمبيوتر المشتبه به، ويقلل من فرص اكتشاف المشتبه به أن التحقيق يجري.

• يجب أن تتم معظم عمليات الاستحواذ عن بعد على أنها عمليات استحواذ مباشرة، ليس عمليات استحواذ ثابتة.

• عند إجراء عمليات الاستحواذ عن بعد، تكون الامتيازات المتقدمة مطلوبة لدفع تطبيقات الوكيل إلى النظام البعيد.

• هناك بعض العيوب التي يجب مُراعاتها، مثل أدوات مكافحة الفيروسات و برامج مكافحة التجسس و جدار الحماية.

تحديد البيانات المطلوب جمعها وتحليلها

• يعتمد فحص الأدلة الرقمية و تحليلها على طبيعة التحقيق و كمية البيانات المطلوبة للمعالجة.
• تقتصر التحقيقات الجنائية على العثور على البيانات المحددة في أمر التفتيش، غالبًا ما يكون التحقيقات المدنية مُقيدة بأوامر المحكمة للاكتشاف و البحث.
• قد يبحث محققو الشركات عن انتهاكات سياسة الشركة التي تتطلب فحص عناصر مُحددة فقط، مثل البريد الإلكتروني.
• لذلك، غالبًا ما تتضمن التحقيقات تحديد موقع بعض العناصر المُحددة و استعادتها، مما يؤدي إلى تبسيط المعالجة و تسريعها.

تحديد البيانات المطلوب جمعها وتحليلها

• ومع ذلك، في بيئة الشركات، خاصة إذا كانت هناك دعوى قضائية أو متوقعة، غالبًا ما يوجه محامي الشركة المحقق لاستعادة أكبر مقدار ممكن من المعلومات.
• وتصبح تلبية هذا الطلب مهمة كبيرة تتطلب ساعات طويلة من العمل الشاق.
• يمكن أن تؤدي هذه الأنواع من التحقيقات أيضًا إلى زحف النطاق، حيث يتوسع التحقيق إلى ما هو أبعد من الوصف الأصلي بسبب الأدلة غير المتوقعة التي تجدها، مما يدفع المحامي إلى مطالبتك بفحص
  مُجالات أخرى لاستعادة المزيد من الأدلة.
• نطاق البحث الكبير يزيد من الوقت و الموارد اللازمة لاستخراج الأدلة و تحليلها و تقديمها.
• تأكد من توثيق أي طلبات لإجراء تحقيق إضافي، في حالة ضرورة توثيق سبب استغراق التحقيق وقتًا أطول من المخطط له، ولماذا اتسع النطاق أثناء التحقيق، و ما إلى ذلك.

نهج التعامل مع قضايا التحليل الجنائي الرقمي

• كممارسة قياسية، يجب عليك اتباع هذه الخطوات الأساسية لجميع تحقيقات التحليل الجنائي الرقمي:

• بالنسبة لمحركات الأقراص المستهدفة، توصي IACIS باستخدام الوسائط التي تم مسحها ( حذفها ) مؤخرًا والتي تم إعادة تهيئتها و فحصها بحثًا عن الفيروسات.

• على الأقل تقدير، يجب فحص الوسائط وإزالة أي برامج ضارة محتملة قبل استخدامها في الحالة.

• باستخدام    أدوات    التحليل    الجنائي    الرقمي    المتقدمة    التي    يمكنها    الوصول    إلى    وسائط    تخزين    الشبكة،    يمكنك    تطبيق                    ممارسات                    أمان                    الشبكة                    القياسية،                    مثل                    قيود                    الوصول                    (                    من                    خلال                    قائمة                    التحكم                    في                    الوصول                    )                    ،                    وأجهزة                    التوجيه                    التي                    تم                    تكوينها                    بشكل                    آمن،                    و   
  

  جدار الحماية.

• باستخدام النسخ الشرعية من قرص إلى قرص، يقوم محرك الأقراص الأصلي بإعادة تهيئة محرك الأقراص الهدف إلى نفس التكوين.

• إذا كنت بحاجة إلى مسح الوسائط، فيمكنك استخدام عديد من الأدوات المختلفة، مثل خيار Digital Intelligence PDWipe، لتنظيف جميع البيانات من الوسائط المستهدفة.

نهج التعامل مع قضايا التحليل الجنائي الرقمي

• 2. جرد الأجهزة الموجودة على جهاز الكمبيوتر الخاص بالمتهم، وملاحظة حالة الجهاز عند ضبطه. قم ب توثيق جميع مكونات الأجهزة المادية كجزء من عملية الحصول على الأدلة.
• 3. بالنسبة ل عمليات الاستحواذ الثابتة، قم ب إزالة محرك الأقراص الأصلي من الكمبيوتر, إذا كان ذلك ممكنًا، ثم تحقق من قيم التاريخ و الوقت في CMOS الخاص بالنظام.
• 4. قم ب تسجيل كيفية حصولك على البيانات من محرك الأقراص المشتبه به - لاحظ، على سبيل ال مثال، أنك قمت ب إنشاء صورة تدفق البتات و الأداة التي استخدمتها. يجب أيضًا على الأداة التي تستخدمها إنشاء تجزئة MD5 أو SHA-1 للتحقق من صحة الصورة.

نهج التعامل مع قضايا التحليل الجنائي الرقمي

• 5.   عند   فحص   صورة   محتويات   محرك   الأقراص،   قم   ب   معالجة   البيانات   بشكل   منهجي   و  منطقي.
  

• 6. قم ب إدراج كافة المجلدات و ال ملفات الموجودة على الصورة أو محرك الأقراص. على سبيل ال مثال، يمكن ل FTK إنشاء قاعدة بيانات Microsoft Access أو Oracle تُسرد جميع ال ملفات و المجلدات الموجودة على محرك الأقراص المشتبه به. لاحظ مكان العثور على أدلة مُحددة، و وضح مدى ارتباطها بال التحقيق.

نهج التعامل مع قضايا التحليل الجنائي الرقمي

• 7. إذا أمكن، قم ب فحص محتويات جميع ملفات البيانات في كافة المجلدات، بدءًا من الدليل الج ذري لقسم وحدة التخزين. الاستثناء هو للحالات ذات نطاق العمل المحدد المنصوص عليه في أمر التفتيش أو طلب الاكتشاف. في هذه الحالات، تبحث فقط عن العناصر المُحددة المدرجة في أمر الاعتقال أو طلب الاكتشاف.
• 8. بالنسبة ل جميع ال ملفات المحمية بكلمة مرور والتي قد تكون ذات صلة بال تحقيق، بذل قصارى الجهد لاستعادة محتويات الملف. يمكنك استخدام أدوات استعادة كلمة ال مرور لهذا الغرض، مثل استعادة كلمة ال مرور و فك التشفير الخاصة ب OS Forensics، أو مجموعة
     أدوات استعادة كلمة ال مرور AccessData (PRTK)، أو Passware Kit Enterprise.

نهج التعامل مع قضايا التحليل الجنائي الرقمي

• 9. حدد وظيفة كل ملف قابل لل تنفيذ (ثنائي أو exe) لا يتطابق مع قيم ال تجزئة ال معروفة. قم ب تدوين أي ملفات أو مجلدات في النظام، مثل المجلد System32 أو محتواه، التي
     ليست في مكانها الصحيح. إذا لم تتمكن من العثور على معلومات حول ملف قابل لل تنفيذ باستخدام محرر ال قرص، ف افحص المل ف ل معرفة ما يفعله و كيف يعمل.
• 10. حافظ على سيطرتك على جميع ال أدلة و النتائج، و قم ب توثيق ك ل شيء أثناء تقدمك في ال فحص.

تنقيح وتعديل خطة التحقيق

• في ال قضايا المد نية و ال جنائية غالبًا ما يتم تحديد ال نطاق من خلال أوامر ال تفتيش أو مذكرات ال استدعاء، والتي تحدد ال بيانات التي يمكنك استردادها.
• ومع ذلك، فإن حالات ال قطاع ال خاص، مثل التحقيقات في إساءة معاملة ال موظفين، قد لا تحدد قيودًا على
  استعادة ال بيانات.
• بالنسبة ل هذه ال حالات، من المهم تحسين خطة ال تحقيق قدر ال إمكان من خلال محاولة تحديد ما تتطلبه ال حالة.
• بشكل عام، تريد أن يكون ال تحقيق واسعًا بما يكفي ل يشمل جميع ال أدلة ذات ال صلة ولكن ليس واسع ال نطاق ب حيث تضيع ال وقت و ال موارد في تحليل ال بيانات التي لن تساعد قضيتك.
• وب طبيعة ال حال، حتى لو كانت خطتك الأولية سليمة، ستجد في بعض الأحيان أنك بحاجة إلى ال انحراف عنها و ال متابعة إلى حيث تقودك ال أدلة. و حتى في هذه ال حالات، فإن وجود خطة تقوم ب مراجعتها عمدًا على طول ال طريق
  أفضل بكثير من ال بحث عن ال أدلة بشكل عشوائي.

تنقيح وتعديل خطة التحقيق

• لنفترض على سبيل ال مثال، أن ال موظف متهم ب إدارة عمل تجاري عبر ال إنترنت باستخدام موارد ال الشركة أثناء ساعات ال عمل. يمكنك استخدام هذا ال إطار ال زمني ل تضييق نطاق مجموعة ال بيانات التي تبحث
  عنها، و ل أنك تبحث عن استخدام غير مُصرح به ل لإنترنت، ف أنت تركز ال بحث على ملفات ال إنترنت ال
  مؤقتة و سجل ال إنترنت و ال اتصالات عبر ال بريد ال إلكتروني. إن معرفة أنواع ال بيانات التي تبحث عنها في ال
  بداية يساعدك على تحقيق أقصى استفادة من وقتك و ي منعك من إلقاء شبكة واسعة جدا.
• ومع ذلك، أثناء مراجعة رسائل ال بريد ال إلكتروني ال متعلقة ب القضية، قد تجد إشارات إلى جداول ال بيانات أو مستندات Word التي تحتوي على معلومات مالية تتعلق ب الأعمال ال تجاري ة عبر ال إنترنت. في هذه ال حالة، من ال منطقي توسيع نطاق ال بيانات التي تبحث عنها ل ت
  شمل هذه ال أنواع من ال ملفات.

التحقق من صحة بيانات التحليل الجنائي الرقمي

• أحد أ هم جوانب ال تحليل ال جنائي ال رقمي هو ال تحقق من صحة ال أدلة ال رقمية ل أن ضمان س لامة ال بيانات ال تي تجمعها أمر ضروري ل تقديم ال أدلة إلى ال
  محكمة.
• تقدم معظم أدوات ال تحليل ال جنائي تجزئة ملفات ال صور. على سبيل ال مثال،
  عندما يقوم ProDiscover ب تحميل مل ف صورة، فإنه يقوم ب تشغيل تجزئة و
  يقارن تلك ال قيمة ب ال تجزئة ال أصلية ال محسوبة عند الحصول على ال
  صورة ل أول مرة.
• ومع ذلك، فإن أدوات ال تحليل ال جنائي ال رقمي له ا بعض ال قيود في إجراء ال
  تجزئة، ل ذلك فإن استخدام برامج ال ت حرير ال سداسي ال عشري ال متقدمة ضروري ل ضمان س لامة ال بيانات.

التحقق من الصحة مع محرر النظام السادس عشر

• توفر برامج ت حرير ال نظام ال ست عشري ال متقدمة عديدًا من ال ميزات غير ال
  متوفرة في أدوات ال تحليل ال جنائي ال رقمي، مثل تجزئة ملفات أو قطاعات
  مُعينة.
• يعد تعلم كيفية استخدام هذه ال أدوات أمرًا هامًا، خاصة عندما تحتاج إلى الع ثور على مل ف م عين، على سبيل ال مثال، صورة مهربة معروفة.
• باستخدام قيمة ال تجزئة، يمكنك استخدام أداة ال تحليل ال جنائي ل البحث عن مل ف مشبوه ربما تم تغيير اسمه ل يبدو كأنه مل ف غير ضار. ( تذكر أن هناك
  مل ف ين م يحتوي على مل ف ب الضبط نفس ال محتوى له نفس
  قيمة ال تجزئة، حتى لو كانت لها أسماء مختلفة.)
• يمكن أن يكون الحصول على قيم ال تجزئة باستخدام محرر سداسي عشري
  كامل ال ميزات أسرع و أسهل من محرر رقمي أداة ال تحليل ال جنائي.

استخدام قيم التجزئة لتمييز البيانات

• تستخدم وظيفة ال تمييز ل فرز ال ملفات ال جيدة ال معروفة من ال مل فات ال مشبوهة.
• هذه ال وظيفة مفيدة في ال حد من كمية ال بيانات ال تي يتعين عليك فحصها، و العديد من أدوات ال تحليل ال جنائي ال رقمي ال تي الحالية ت وفرها.
• يحتوي AccessData على قاعدة بيانات ال تجزئة ال خاصة به، وهي عامل ت صفي ة ال ملفات ال معروفة KFF )) ، والتي تتوفر فقط مع FTK. يقوم KFF
  ب صفية ملفات ال برامج ال معروفة، مثل winword.exe، من ال عرض
  و يحتوي على قيم ال تجزئة ل ملفات ال غير القانونية ال معروفة، مثل المواد ال إباحية ال متعلقة ب الأطفال.
• بعد ذلك يقارن قيم تجزئة ال مل ف ال معروفة مع ال ملفات ال تي موجودة
  على محرك ال أدلة أو ملفات ال صور ل معرفة ما إذا كانت تحتوي على
  بيانات مشبوهة.
• بشكل دور ي، يقوم AccessData ب ت حديث قيم ال ت جزئة ال تي
  معروفة هذه و ي نشر KFF م حدثًا.
• تحتفظ ال مكتبة ال مرجعية ال وطنية ل ل برامج NSRL ؛ www.nsrl.nist.gov / index.html))
  ب قاعدة بيانات وطنية ل قيم ال تجزئة ال ملفات ال م حد ثة ل م جموعة
  متنوعة من أنظمة ال تشغيل و ال ت طبيقات و ال صور؛ ومع ذلك، ف هو لا ي
  س رد قيم ال تجزئة ل الملفات ال غير ال قانونية ال معروفة.
• يمكن ل أدوات ال تحليل ال جنائي ال رقمي ال أخرى، مثل X-Ways Forensics
  و OSForensics، استيراد قاعدة بيانات NSRL و إجراء مُقارنات
  ال تجزئة.
• بالإضافة إلى ذلك، ي ت ضمن ProDiscover طريقة ل إنشاء ال ت جزئات
  ال تي خاصة ب ك في تنسيق HashKeeper ؛

التحقق من الصحة باستخدام أدوات التحليل الجنائي الرقمي

• ت حتوي أدوات ال تحليل ال جنائي ال رقمي ال تج اري ة على م يزات ال ت حقق ال مضمنة. على سبيل ال مثال، ت حتوي ملفات ProDiscover.eve
  على بيانات ت عر يف تتضمن قيمة ال تجزئة.

• لدى    ProDiscover     أيضًا     ت  فض  يل     يمكنك     ت   م  كينه    ل  استخدام      م  يزة 
  

  Auto Verify Image Checksum عند ت ح ميل مل فات ال صور.
• إذا لم ي تطابق ال م جموع ال ختبار ي ل ال ت ح قق ال تلق ائي
  من ال صورة و ال تجزئة في بيانات ال تع ريف ل مل ف .eve ،
  ف سي علم ProDiscover ب أن عملية ال ا ست ح واذ ت ال فة و### تقنيات إخفاء البيانات
• يستخدم مجرمو الإنترنت برامج خاصة لإخفاء ملفاتهم عن طريق خلط البتات، ثم استِِخدام برنامج آخر لإعادة ترتيبها إلى وضعها الأصلي.
• لا يزال يُستخدم بعض هذه البرامج اليوم.

طرق تحليل الإخفاء

• يُعرّف إخفاء المعلومات بِأنه إخفاء الرسائل بطريقة تجعلها قابلة للقراءة من قِبل المستلم المعني فقط.
• يُسمى التحقق مِن إخفاء المعلومات بـ "تحليل الإخفاء".
• يُستخدمُ تحليل الإخفاء أيضاً في مجال العلامات المائية الرقمية، التي تُمكن استخدامها لِحماية حقوق ملكية الملفات.
• يمكن أن تكون العلامات المائية الرقمية مرئية أو غير مرئية.
• يُمكن استخدام تطبيِقات مجانية أو تجارية لإخفاء المعلومات مِن خلال مجموعة متنوعة مِن الملفات.
• يُمكن إخفاء معلومات مشفرة في ملفات إخفاء المعلومات، مما يُعقّد عملية فك التشفير.

طرق تحليل إخفاء المعلومات ("الهجمات") :

• يُستخدم هجوم إخفاء المعلومات فقط عندما يكون الملف الذي يُشتبه بِاحتوائه على محتوى إخفاء المعلومات هو الوحيد المتاح للتحليل.
• يُستخدم هجوم الغلاف المعروفّ عندما تتوفرُ وسائط الغلاف، والملف الأصلي (خالي مِن الرسالة المخفية)، ووسائط التخزين، وملف وسائط الغلاف المُعدّل (وهو الذي يُخزن الرسالة المخفية).
• يُستخدمُ هجوم الرسائل المعروفة عندما تُكتشف الرسالة المخفية، مما يُمكن من إجراء تحليل مُقارن لِفك تشفير رسائل أخرى محتملة.
• يُستخدمُ هجوم إخفاء المعلومات المُختار عندما تُستخدم أداة إخفاء المعلومات ووسائط إخفاء المعلومات لإخفاء محتوى الرسالة.
• يُستخدم هجوم الرسالة المُختارة لتحديد الأنماط المُستخدمة في وسائط التخزين.

الملفات المُشفرة

• تُشفر الملفات لمنع الوصول غير المصرح به.
• يُمكن استخدام "مفتاح الضمان" لاستعادة البيانات المُشفرة في حالة نسيان كلمة المرور.
• يُمكن أن تكون أنظمة التشفير معقدة للغاية، ويُمكن أن تستغرق عملية فكها أياماً أو أسابيع أو سنوات أو حتى عقود.

استعادة كلمات المرور

• أصبحت استعادة كلمات المرور أكثر شيوعًا في التحليل الجنائي الرقمي.
• تُستخدم أدوات اختراق كلمات المرور لهجوم القاموس أو هجوم القوة الغاشمة.
• تُستخدم بعض الأدوات في برامج التحليل، بينما تتوفر ُأخرى بشكل منفصل.
• يُمكنُ أن يتطلب هجوم القوة الغاشمة الكثير مِن الوقت، خاصة إذا كانت كلمة المرور طويلة.
• يُستخدمُ هجوم القاموس كلمات شائعة من القواميس لِتجربة اختراقها.
• يُمكنُ استيراد قوائم كلمات فردية إلى أدوات اختراق كلمات المرور.

تّخزين كلماتّ المرور

• تُخزنُ أنظمة التشغيل والبرمجيات المحمية بكلمة مرور كلمات المرور في شكل قيم تجزئة (MD5 أو SHA).
• يُمكنُ استخدام جداول قوس قزح لتحديد قيم التجزئة دون الحاجة لتجربة اختراقها، مما يُسرع عملية فك التشفير.

تقارير التحليل الجنائي الرقمي

• يُستخدم تقرير التحليل الجنائي الرقمي لتقديم نتائج بحث متخصص في نظام كمبيوتر أو شبكة أو جهاز رقمي.
• يُمكن استخدام تقرير التحليل الجنائي الرقمي لدعم التحقيقات، وكمُرفق في المحكمة، أو كدليل على مَذكرات الاعتقال أو التفتيش.
• يُمكن أن تُستخدم التقارير أيضًا كدليل في جلسات الاستماع أو في جلسة استماع هيئة المحلفين الكبرى.
• يُمكنُ أن تُعتبَر التقارير أساسًا لاِتخاذ إجراء تأديبي ضد الموظفين الذين يُشتبه بِارتِكابهم مخالفات.

القصر على تفاصيل معينة

• يُحدّد ممثل الادعاء (الذي يُمكن أن يكون محاميًا أو محقّقًا) نطاق التحقيق.
• يُحدّد تحديد نطاق التحقيق نوع المعلومات المطلوبة، وبالتالي يُؤثر على الوقت والتكلفة اللازمة للتحقيق، خاصة مع ازدياد حجم محركات الأقراص الثابتة وتعقيد الشبكات.

تحديد مُتلقّي التقرير و هدفه

• يُمكنُ تحديد مستوى المعرفة التقنية لدى مُتلقّي التقرير، مما يُمكن من تقديم معلومات مُفصّلة إذا لزم الأمر.

أنواع التقارير

• يُمكنُ أن يُطلَب من المحلّل الجنائي الرقمي إنشاء أنواع متعددة من التقارير، مثل تقارير رسميّة أو أوليّة.
• تُقدم خطة التحليل المُتبعة مُلخّصًا للأسئلة المُمكن أن يُطرح َ على المُحلل الجنائي الرقمي أثناء جلسات الاستماع.
• يُمكن أن تكونِ التقارير شفهية أو مكتوبة.

المبادئ التوجيهية لِكتابة التقارير

• يُمكنُ أن يُصوغَ ممثل الادعاء َ أسئلة افتراضية لِتُجيب عليها المُحلّل الجنائي الرقمي.
• يُمكّنُ هذا مِن إبداء الرأي من قِبَل المُحلّل الجنائي عند مَناقشة سيناريوهات افتراضية، دون التَطرّق إلى واقعة مُحدّدة.
• يُفترض أن يكونَ الرأي مُستندًا إلى حقائق من الأدلة، وليس مُبنياً على الرأي الشخصي للمحلل.

العناصر التي يجب تضمينها في التقارير الأولية

• يُمكنُ أن تُطلَب من محامي الخصم المُطالعة على أيّ معلومات يتمّ كتابة كِ جزء من التحقيق.
• يُمكنُ أن تُستخدَم التقارير الأولية كِ أدلة ضد المحلّل الجنائي الرقمي في المحكمة.
• يُمنع استخدام كلمات مثل "نسخة أوليّة " أو "مسودة" في التقارير الأوليّة.
• يُمكنُ أن يُعتبَر تدمير التقرير كإخفاء للأدلة أو معالجة جنائية.

تضمين العناصر في التقارير الأولية

• يجبّ مُراجعة مُهام التحقيق مع ممثل الادعاء َ لتأكيد صحة َ الفهم.
• يُمكنُ أن تُدرَج في التقرير قائمة بِالمُعدات المُستخدمة في التحقيق.
• يُمكنُ أن تُشمل في التقرير تفاصيل عن التكاليف اللازمة لإنهاء التحقيق.

هيكل التقرير

• تُحدّد عناوين الأقسام في التقرير موضوع كل قِسم.
• يُمكنُ أن تُكتب المُلخّصات لتُقدّم نظرة عامة على التقرير لِلقراء.
• يُمكن أن تُشمل مُلخّصات لِلعناصر التي لا تُشمل في المُلخّص.

هيكل التقرير

• يُمكنُ أن يُشِمِل جِسم التقرير على مُقدّمة ومُناقشة.
• تُوضّح المُقدّمة غرض التقرير، والتقنيات المُستخدمة، وِ أيّ قيود.
• يُمكنُ أن تُصوَغ المُقدّمة كِ خريطة لِلتقرير إِلى الهدف النهائي.

هيكل التقرير

• يُمكنُ أن تُشمل في التقرير خاتمة ومواد داعمة، مثل المُراجع وِ المُلاحق.
• يُمكن أن تُشِمِل الخاتمة على مُلخّص لِغرض التقرير، والنتائج الأساسية.
• يُمكن أن تُشِمِل المُراجع على مُراجع وِ الُملحقات الاضافية.

كتابة تقارير واضحة

• يُمكن أن تُقَوّم جودة الكتابة عبر مُراجعة جودة التواصل، وِ الأفكار وِ التنظيم، وِ القواعد وِ المفردات، وِ علامات الترقيم وِ التهجئة.
• يُمكن أن تُحسّن جودة الكتابة من خلال التأكّد من وضوح المعنى وِ التجنُّب من تكرار الكلمات.

إنشاء نتائج التقارير عبر أدوات البرامج الرقمية

• يُمكن أن تُستخدم أدوات البرامج الرقمية (كِ ProDiscover وِ X-Ways Forensics وِ FTK وِ OSForensics وِ ILookIX وِ EnCase) لِِإنشاء ملفات لِِأنِِشِطة التحليل وِِ التقارير التي تُقدِِم معلومات عن نتائج القضايا.
• يُمكنُ أن تُستخدم أدوات البرامج الرقمية لِتُساعد على تحديد أهمية الأدلة المُسترجعة من التقارير الرقمية بِإشارة إلى أيّ قيود.