المملكة العربية السعودية
جامعة نايف العربية للعلوم الأمنية
التحقيق الجنائي الرقمي باستخدام توزيعة DEFT
بسم الله الرحمن الرحيم
المقدمــة
إن الحمد لله نحمده، ونستعينه، ونستغفره ، و نستهديه , من يهده الله فلا مضل له ومن يضلل فلن تجد له وليا مرشداً، وأشهد أن لا إله إلا الله وحده لا شريك له، وأشهد أن محمداً عبد الله ورسوله، صلى الله عليه وسلم وعلى آله وصحبه وسلم تسليماً كثيراً.
أما بعد...
فإن الحديث على صفحات هذا البحث سيدور بحول الله وقوته حول موضوع : " التحقيق الجنائي الرقمي "
ذلك النوع من أنواع التحقيق الجنائي الذي أملته التطورات التكنولوجيا و المعلوماتية ... و على صفحات هذا البحث سأتطرق لمفهوم التحقيق الجنائي نظريا و إجرائيا , بعد ذلك سأتطرق إلى تناول موضوع التحقيق الجنائي الرقمي باستخدام توزيعة DEFT 5... و سيتم في جمع مادة هذا الموضوع الاعتماد على جمع المعلومات من عدة مصادر ومراجع علمية وروابط انترنت و ذلك في ضوء ما تيسر لي من معلومات... وأرجو من الله العلي العظيم أن يلهمني السداد و التوفيق في عرض هذا الموضوع على النحو الأفضل ...إنه سميع مجيب ..
و الله الموفق...
التحقيق الجنائي بين المفهوم و الإجراء :
يعني التحقيق في مفهومه العام التحري والتدقيق في البحث عن شيء ما في سبيل التأكد من وجوده، أو السعي للكشف عن غموض واقعة معينة، وينبغي لذلك استعمال طرق ووسائل محددة كفلها القانون لإجراء التحقيق، وأصبح مفهوم التحقيق منذ زمن طويل واقعاً ملموساً لعلم يسمى علم التحقيق الجنائي، وهو علم يختص بالتدقيق والبحث في الجرائم المقترفة من مختلف أفراد المجتمع، وكما هو معلوم في أي إجراء يسعى للكشف عن جريمة ما، فإن هذا الإجراء يؤدي بالطبع إلى المساس بما هو ثابت أصلاً من الحرية الشخصية للفرد، ذلك أن التحقيق ينطوي على التعدي المبرر قانوناً على هذه الحرية، إلا أن الغاية من وجوب صيانة مصلحة المجتمع والحفاظ على استقراره ووقايته من الجريمة تستدعي القيام بهذا الإجراء، حتى ولو أدى إلى التضحية لبعض الوقت بالحرية الشخصية للفرد، والتحقيق الجنائي منسوب أساساً للجنايات، والجناية في معناها هي فعل التعدي المحرم مشرعاً، ولذلك نجد أن التحقيق يغطي ويبحث في ما يعتبر جناية بموجب الشرع أو القانون.( الزعنون , د . ت , 12)
ويرى البعض أن المقصود بالتحقيق الجنائي من الناحية الاصطلاحية هو تلمس السبل الموصلة لمعرفة الجاني في جناية ارتكبت أو شرع في ارتكابها وكذلك ظروف ارتكابها، وذلك باستعمال وسائل مشروعة للتحقيق ومحددة من جهة مختصة، أما من الناحية النظامية فإن عمليات التحقيق الجنائي وإجراءاته تقوم على أسس وقواعد فنية يستخدمها المحقق بما كفله له النظام من سلطات، إذ يقوم بإنفاذ هذه الأسس والقواعد حتى يتسنى له بواسطتها الكشف عن غموض الجريمة وتحديد مرتكبها والوقوف على كل الأدلة الخاصة بها، وكما ذكرنا فإن الذي يجمع تلك الأسس والقواعد الخاصة بالتحقيق هو علم التحقيق الجنائي، ومن ناحية أخرى فإن الحياد التام والنزاهة هما من الصفات التي ينبغي أن تكون ملازمة للمحقق، وذلك حتى يمكنه التوصل بنزاهة للنتيجة المرجوة من دون تـــأثر، وتلك النتيجة هي إثبات التهمة في حق المتهم أو نفيها عنه وتقرير براءته.( مرغلاني , 1424هـ )
وتعتبر مرحلة التحقيق مرحلة مهمة قبل أن يتم نظر الواقعة من المحكمة، وذلك أن مرحلة التحقيق تعتبر من المراحل الإعدادية المهمة لتقديم قضية أو دعوى جنائية مكتملة للقضاء، ويعطي التحقيق الواقعة طابعها الرسمي من حيث اكتمال أدلتها وتحديد مختلف جوانبها عند تقديمها أو إحالتها للقاضي. ( الزعنون , د . ت , 15)
ومن ناحية التأصيل الشرعي للتحقيق الجنائي وحظه من المشروعية، فقد ورد أن التحقيق الجنائي لم يعرف في عهد الرسول صلى الله عليه وسلم ولا حتى في صدر الإسلام، وأن مثل هذا التحقيق ورد في العصور المتأخرة، وإن كان أصل هذا العمل موجوداً في عهد الرسول صلى الله عليه وسلم وصحابته، ولكنه يندرج تحت اسم القضاء ويعتبر من اختصاص القاضي أو الوالي، إذ إن الجرائم كانت قليلة، كما أن قوة الإيمان وعلو الهمم في المسابقة للخير ما كانا يجعلان حاجة إلى مثل هذا العمل، ومع تطور المجتمع مادياً وضعف الوازع الديني نشأت الحاجة إلى مثل هذا العمل وهو التحقق من الجرائم، وجاء في الكتاب الكريم (إن الله يأمركم أن تأدوا الأمانات إلى أهلها وإذا حكمتم بين الناس أن تحكموا بالعدل)، الآية، إذ إن أداء الأمانات والحكم بين الناس بالعدل هو من الواجبات الشرعية، وإذا احتاج الواجب في سبيل إتمامه إلى عمل آخر فإن هذا العمل الآخر يصبح واجباً أيضاً، وبهذا المعنى فإن عمليات التحقيق الجنائي هي المعنية لتحقيق واجب العدل والإنصاف والتحقق من براءة أو اتهام مقترف الجريمة، وعلى ذلك، فإن خلاصة الأمر أن التحقيق الجنائي هو أمر تستدعيه المصلحة العامة وتطبيق قواعد العدل والإنصاف بين أفراد المجتمع، حماية لأمن المجتمع وصوناً لاستقراره، كما أن ولي الأمر أوجد دائماً السلطة أو الجهة التي يناط بها القيام بذلك الدور المهم.
http://3dpolice.maktoobblog.com
علم التحقيق الجنائي الرقمي :
العلم يعتبر من العلوم الحديثة التي بدأ الاهتمام بها يتزايد في الآونة الأخيرة خصوصا مع زيادة الاعتماد على الأجهزة الرقمية بمختلف أنوعها من الحاسبات وأجهزة الجوال إلى غيرها من الأجهزة الرقمية الأخرى. لذلك هذا العلم حتى وان كان اسمه الحاسب الجنائي فهو يشمل كل الأجهزة الرقمية كالجوالات والكاميرات الرقمية بل ويتعدى ذلك إلى بطاقات الائتمان والبطاقات الذكية ونستطيع القول أنه يشمل كل جهاز باستطاعته تخزين المعلومات.
بزوغ فجر الجريمة الإلكترونية
أحدث التقدم العلمي الهائل في مجال تقنيات المعلومات وتدفقها في العقود الثلاثة الأخيرة، ثورة إلكترونية تطبق الآن في جميع مناحي الحياة، وأضحى من الصعوبة بمكان الاستغناء عن خدماتها اللامحدودة، وكطبيعة النفس البشرية حيث يستغل بعض الأشرار المخترعات العلمية وما تقدمه من وسائل متقدمة في ارتكاب العديد من الجرائم التقليدية مستغلين الإمكانيات الهائلة لهذه المستحدثات، أو استحداث صور أخرى من الإجرام يرتبط بهذه التقنيات التي تصير محلا لهذه الجرائم أو وسيلة لارتكابها، وقد تزايدت معدلات هذه الجرائم في العقدين الآخرين على وجه الخصوص، بصورة أدت إلى بزوغ فجر ظاهرة إجرامية تعرف بالإجرام المعلوماتي أو الإجرام الإلكتروني.( اليوسف , 1425هـ )
فتم السطو على البنوك بمساعدة هذه الوسائل المستحدثة، ونمت الجريمة المنظمة وترعرعت في ظل هذه الثورة العلمية في مجال المعلومات والاتصالات، على وجه الخصوص في مجالات الإرهاب وتجارة المخدرات، والاتجار بالأسلحة والدعارة المنظمة بإستخدام الإنترنت، وارتكبت العديد من الجرائم التقليدية كالسرقة والنصب وخيانة الأمانة، وتزوير المحررات، والاعتداء على حرمة الحياة الخاصة، وعلى البيانات الشخصية، والتجسس.
وظهرت جرائم ملازمة لهذه المستحدثات، منها الغش الإلكتروني، وبالتلاعب في المدخلات وفي البرامج، والنسخ غير المشروع للبرامج، والعديد من الجرائم المتعلقة بالتجارة الإلكترونية، وإتلاف السجلات المدونة على الحاسب الآلي وبث الصور أو الأفلام الجنسية من خلال الأجهزة، والقذف والسب عن طريق الإيميل، وغسيل الأموال القذرة بإستخدام النقود الإلكترونية.
وخطورة هذه الظاهرة الإجرامية المستحدثة أن الجريمة يسهل ارتكابها على هذه الأجهزة أو بواسطتها، و أن تنفيذها لا يستغرق غالبا إلا دقائق معدودة، وأحيانا تتم في بضع ثوان، و أن محو آثار الجريمة و إتلاف أدلتها غالباً ما يلجأ إليه الجاني عقب ارتكابه للجريمة، فضلا عن أن مرتكبي هذه الجرائم، وبالذات في مجال الجريمة المنظمة يلجئون إلى تخزين البيانات المتعلقة بأنشطتهم الإجرامية في أنظمة الكترونية مع استخدام شفرات أو رموز سرية لإخفائها عن أعين أجهزة العدالة، مما يثير مشكلات كبيرة في جميع الأدلة الجنائية و إثبات هذه الجرائم قبلهم. (المكتب العربي للإعلام الأمني , 2005م)
التحليل الجنائي لمعلومات الحاسوب
إن التحليل الجنائي لمعلومات الحاسوب لهو أحد الطرق والتقنيات التي يمكن تطبيقها على أي تحقيق جنائي. كما أن طريقة إدارته يجب أن تضمن تكامله مع الأجزاء الأخرى من التحقيق بالإضافة إلى ضمان إتباع السياسات والإجراءات القياسية المتبعة.
إن الهدف الأساسي من تحليل جنائيات الحاسوب هو تقصي المعلومات لكشف الفاعل وما فعله ومع من فعله، بالإضافة إلى متى و أين ولماذا قام بفعلته. بناء على ذلك، تعد مهمة المحققين في جنائيات الحاسوب من أصعب المهام في مجال تقنية المعلومات وذلك لأنه يجب على المحقق أن يكون مؤهلاً تقنياً بالإضافة إلى إلمامه بمجال القانون.
وسواء كانت الجريمة قد تم وقوعها أو لازالت جارية، ففي النهاية يتحتم على المحققين تجهيز تقارير مفصلة عن النتائج لتشكيل قضية. وحتى لو أنه يمكن للمجرمين المتمرسين الدخول على مجموعة من المعدات تسهل عملية إخفاء الملفات التي يمكن أن تجرمهم، إلا أن القيام بعمل التحليل الجنائي لمعلومات الحاسوب على وجه تقني وقانوني وتحليلي من شأنه أن يوضح الحقائق وراء الأعمال الجنائية مثل التجسس والتخريب ضد الشركات، أو تجاوز سياسات الشركات بالإضافة إلى أعمال الاختراقات.
يعد جهاز الحاسوب التقليدي والأجهزة التي تعمل بمعالجات دقيقة مصادر خصبة بالنسبة للمحقق الماهر، فهي مصادر غنية بالأدلة المختلفة.
إذاً فوظيفة المحقق في جنائيات الحاسوب هي الكشف عن المعلومات المحذوفة أو الممسوحة أو التالفة أو الم شفرة بالإضافة إلى استرجاع كلمات المرور وذلك للدخول على محتويات الملفات. إن إتباع الإجراءات العلمية الصارمة والدقيقة من شأنه الحفاظ على الأدلة ضد التخريب أو التلويث أو حتى ضد الادعاء بأنه تم التلاعب بها أو أنه لم يتم حرزها بشكل صحيح. إذاً فالفشل في اتباع الإجراءات الصارمة والمتفق عليها قد يعرض تلك الأدلة للاستبعاد أو يجعلها محدودة الفاعلية في المحكمة. فالأدلة يجب أن تكون مقبولة، كاملة، موثوقة، ومعقولة لكي يتم الاستفادة منها. كل ذلك مع الأخذ بعين الاعتبار أن أي معلومات تم اكتشافها قد تكون أدلة لإثبات براءة شخص ما.
مصادر محتملة للأدلة
سابقا، وفي بداية عصر الحاسوب كان المصدر الوحيد الذي يمكن من خلاله جمع الأدلة من جهاز رقمي هو القرص الصلب والأقراص المرنة. فقد كانت الذاكرة المؤقتة محدودة الحجم ولا يمكن استرجاع أية أدلة من خلالها. أما في أجهزه الحاسوب الحديثة فإن الجهاز العادي بالإضافة إلى الأجهزة التي تعمل بمعالجات دقيقة تحتوي على مجموعة من المصادر المحتملة للأدلة والتي يمكن أن يستفيد منها المحقق الجيد. هنا بعض تلك المصادر:
• القرص الصلب سواء الداخلي أم الخارجي
• القرص المرن
• الأقراص المضغوطة CD وأقراص الفيديو الرقمية DVD
• Pen drives
• Flash drives
• المودم
• Routers
• الهواتف النقالة
• أشرطة التسجيل
• الكاميرات
• مشغلات MP3
• Jaz/Zip cartridges
• أجهزة الشبكات
• الأجهزة المتصلة بخاصية البلوتوث
• أجهزة الأشعة تحت الحمراء
• أجهزة WiFi
للتعامل مع هذا الكم من المصادر المحتملة لأداة يجب الإلمام بجموعه من المهارات والخبرات وذلك لتوظيف المعرفة والأدوات العاملة للدخول بشكل آمن على المعلومات.
تقنيات التحقيق الجنائي الرقمي
توجد هناك بعض التقنيات المستخدمة حاليا وتدعمها العديد من الأدوات والبرمجيات التجارية ومفتوحة المصدر أيضا. وسنتطرق لشرح مختصر كل تقنية ثم بعض البرمجيات المستخدمة.
أولا: تقنيات النسخ، وتقوم على أخد نسخة من محتويات الجهاز الرقمي مع عدم الإضرار أو التعديل على البيانات الموجودة فيه. ومن أمثلة البرامج المستخدمة: E-Case وهو أحد أشهر البرامج واعلاها تكلفة. ومن البرامج التجارية ايضا eSafBack .ومن البرامج المجانية التي تؤدي نفس الغرض هناك "Data Bumper" أيضا.
ثانيا: تقنيات التحليل، وتهدف إلى التعرف على أي بيانات مخفية أو مختفية أو محذوفة، كما أنها تهدف إلى اكتشاف أي صلات محتملة بين المعلومات الموجودة على الجهاز الرقمي وتتبع بعض المعلومات الأخري. ولعل من أبرز البرمجيات المستخدمة هنا 5md sum و Grep و SectorSpyXP و Whois
ثالثا: تقنيات التمثيل التخيلي، وهي من التقنيات الجديدة التي تساعد في تسريع عمليات الحاسب الجنائي التي تكون عادة بطيئة. حيث تستخدم تقنيات التطابق و التمثيل البصري للتعرف على البيانات المخفية أو المشفر. ولعل من أبرز البرامج المستخدمة لهذه التقنية ,برنامج RUMINT الذي طوره أحد الخبراء المصممين للتنقية.
المشكلات الإجرائية ذات الصلة بالجرائم الإلكترونية
تبدأ المشكلات الإجرائية في مجال الجرائم الإلكترونية بتعلقها في كثير من الأحيان ببيانات معالجة إلكترونيا وكيانات منطقية غير مادية، وبالتالي يصعب من ناحية كشف هذه الجرائم، ويستحيل من ناحية أخرى في بعض الأحيان جمع الأدلة بشأنها، ومما يزيد من صعوبة الإجراءات في هذه المجال كما اشرنا سلفا، سرعة ودقة تنفيذ الجرائم الإلكترونية وإمكانية محو آثارها، وإخفاء الأدلة المتحصلة عنها عقب التنفيذ مباشرة، ويواجه التفتيش وجمع الأدلة صعوبات كثيرة في هذا المجال، وقد يتعلقان ببيانات مخزنة في أنظمة أو شبكات إلكترونية موجودة بالخارج، ويثير مسألة الدخول إليها ومحاولة جمعها وتحويلها إلى الدولة التي يجري فيها التحقيق، أو مشكلات تتعلق بسيادة الدولة أو الدول الأخرى التي توجد لديها هذه البيانات. وفي هذه الحالة يحتاج الأمر إلى تعاون دولي في مجالات البحث والتفتيش والتحقيق وجمع الأدلة، وتسليم المجرمين، بل وتنفيذ الأحكام الأجنبية الصادرة في هذا المجال.
ويثير التفتيش أو الضبط أو المصادرة في مجال أنظمة الاتصال الإلكترونية ضرورة وضع ضوابط إجرائية لها، تعمل على إقامة التوازن بين الحرية الفردية وحرمة الحياة الخاصة للأفراد، وبين تحقيق الفاعلية المطلوبة للأجهزة الأمنية، وسلطات التحقيق في كشف غموض الجريمة وضبط فاعليها والتحقيق معهم وتقديمهم للمحكمة.
خصوصية التحقيق في الجرائم الإلكترونية ان خصوصية الجرائم المتعلقة بالحاسب الآلي تستدعي تطوير أساليب التحقيق الجنائي و إجراءاته بصورة تتلاءم مع هذه الخصوصية، وتمكن رجل الشرطة، والمحقق من كشف الجريمة، والتعرف على مرتكبيها بالسرعة والدقة اللازمين.
ولتحقيق ذلك يجب من ناحية تدريب الكوادر التي تباشر التحريات والتحقيقات مع الاستعانة بذوي الخبرة الفنية المتميزة في هذا المجال، فضلا عن تطوير الإجراءات الجنائية، لتحقيق الغرض المطلوب، كما ان الاستعانة بخبير فني في المسائل الفنية البحتة أمر واجب على جهة التحقيق والقاضي، فهي أوجب في مجال الجرائم الإلكترونية، حيث تتعلق بمسائل فنية آية في التعقيد ومحل الجريمة فيها غير مادي، والتطور في أساليب ارتكابها سريع ومتلاحق، ولا يكشف غموضها إلا متخصص وعلى درجة كبيرة من التميز في مجال تخصصه، فإجرام الذكاء والفن، لا يكشفه ولا يفله إلا ذكاء وفن مماثلين.
و أهمية الاستعانة بالخبيرة في مجال الجرائم الإلكترونية، تظهر عند غيابهِ، فقد تعجز الشرطة عن كشف غموض الجريمة، وقد تعجز هي أو جهة التحقق عن جميع الأدلة حول الجريمة وقد تدمر الدليل أو تمحوه بسبب الجهل أو الإهمال عند التعامل معه.
http://www.min-mag.com/researches/mindex.php?page=more&id
التحقيق الجنائي الرقمي باستخدام توزيعة DEFT 5
مفهوم التحقيق الجنائي الرقمي:
التحقيق الجنائي الرقمي (Digital Forensics) هو :عمليّة جمع أكبر قدر للمعلومات والأدلّة من أجهزة الأشخاص المشتبه بهم للوصول الى الملفات المخفيّة واسترجاع الملفّات الّتي تم حذفها مسبقاً يتضمّن ذلك معرفة المواقع التي قام المشتبه به بفتحها واستخراج كلمات مرور الحسابات المخزّنة بالنظام. Digital Evidence & Forensic Toolkit أو DEFT اختصاراً هي توزيعة من نظام لينوكس مبنيّة على Xubuntu تحوي على أغلب الأدوات المفتوحة المصدر المستخدمة في عمليّة التحقيق الجنائي الرقمي ويمكننا اعتبارها من أفضل التوزيعات المتوفّرة لهذه المهمة.
التحقيق الجنائي الرقمي هو قسم لا يستهان به من الهاكر, الدخول به يتطلّب معرفة قويّة بعدّة أمور بدءً من كيفية عمل القرص الصلب وأنظمة الملفات المختلفة (ntfs, fat32, ext3… ) وكيف تقوم هذه الأنظمة بتخزين وأرشفة الملفّات, فك التشفير وكسر الخوارزميات, انتهاءً بمعرفة الأمور المتقدّمة والمنخفضة المستوى بأنظمة التشغيل وكيف يمكننا الوصول لمعلومات تفيدنا في تعقّب المشتبه به ومعرفة الأمور التي نفّذها على النظام.
قد يسأل شخص كيف يمكن استرجاع الملف بعد حذفه؟ لقد قمت بحذفه وإفراغ سلّة المحذوفات أيضاً!
مهمّة التعامل مع الهارد هي وظيفة نظام التشغيل الذي تستخدمه وهذا الأمر يختلف بحسب نوع نظام الملفات المستخدم. حذفك للملف من النظام ليس بالضرورة يعني أنّه حذف من الهارد, قد يظهر النظام أنه حذف الملف وأزال اسمه من مستعرض الملفات لكن فعليّاً محتوياته مازالت موجودة ولم يتم الكتابة فوقها بعد ويمكن بقليل من الجهد عن طريق استخدام برامج وأدوات مختلفة استرجاع الملفّات التي قمت بحذفها. لأوضّح الفكرة أكثر لنفرض أنك تملك هارد بسعة 250 GB وقمت باستخدامه بشكل شبه كامل ثم قررت حذف 150 GB من الملفّات المخزّنة عليه, ماهي المدّة التي استغرقها نظام التشغيل لحذفهم؟ بضع ثوان صحيح؟ لماذا يستهلك نسخ 150 GB الى الهارد أضعاف أضعاف ذلك؟ ببساطة لأنك عندما حذفت الملفات حتى بعد افراغ سلّة المحذوفات النظام أزال أرشفتهم فقط ولم يقم بازالة محتوياتهم من الهارد وعندما تقوم بتعبئة الهارد مرّة أخرى سيتم الكتابة مكان الأماكن السابقة.
ماذا لو تم فرمتة الهارد كاملاً؟ هل من الممكن استعادة الملفات المحذوفة؟
فرمتة الهارد بشكل سريع تستغرق ثوان فقط! وفعليّاً هي لاتقوم بحذف شيء من الهارد بل تقوم باعداد جداول جديدة للأرشفة حسب نظام الملفات الذي اخترته وهذا يعني أننا نستطيع استرجاع الملفّات أيضاً حتى بعد الفرمتة, الا اذا استخدمت أدوات تقوم بـ “تصفير” الهارد أو كتابة معلومات عشوائية على كامل مساحة الهارد ثم فرمتته من جديدة, بهذه الحالة فقط لم يعد هنالك مجال لاستعادة المعلومات لأنها لم تعد موجودة أساساً.
في التحقيق الجنائي بالدول المتقدّمة (لا أعلم ان كان هذا الاختصاص موجود عربياً؟) غالباً يتم عمل نسخة طبق الأصل من الهارد باستخدام جهاز مخصص لهذه العمليّة (الجهاز ينسخ كل byte من الهارد وليس الملفات التي يظهرها نظام التشغيل فقط) ثم يتم استخدام برامج وأدوات خاصّة لمعرفة محتويات الهارد بشكل كامل واسترجاع الملفات التي تمّ حذفها سابقاً, لا يتم التعامل مع الهارد الأصلي بشكل مباشر ولا يتم العمل على نظام التشغيل المنصّب الّا من النسخة المأخوذة لكي لا يتم تغيير أي شيء أو تخريب الأدلّة والمعلومات الموجودة فيه.
ليس من الضروري استخدام الطريقة السابقة دائماً ففي الوقت الحالي أصبح بامكاننا استخدام احدى توزيعات نظام لينوكس للعمل من LiveCD أو ذاكرة USB واستخراج المعلومات التي نحتاجها وتخزينها على ذاكرة USB دون الحاجة لتشغيل النظام المنصّب بالجهاز أو تعديل أي شيء بالهارد لأن أنظمة التشغيل التي تعمل من LiveCD أو Live USB تنسخ الملفات التي تحتاجها الى ذاكرة الجهاز RAM وليس الى القرص الصلب.
أكبر خطأ في التحقيق الجنائي الرقمي هو تشغيل النظام المنصّب على الجهاز والعمل عليه مباشرة دون أخذ نسخة كاملة للهارد فاذا كان المتهم يملك خبرة برمجية بسيطة يستطيع برمجة برنامج يقوم بحذف الملفات بشكل تلقائي عند بدء التشغيل في حال لم تدخل كلمة مرور معيّنة أو توقف عمل البرنامج بعد بضع ثوان من بدء التشغيل مثلاً كذلك الأمر مع كلمات المرور فيمكن للمهاجم استخدام برنامج يقوم بفعل معيّن في حال أدخلت كلمة مرور خاطئة أو في حال أدخلت كلمة مرور مكشوفة! مخصصة لهذا الغرض (ورقة جانب اللابتوب كتب عليها My Password!! مثلا… (
قررت أن أستعرض احدى توزيعات نظام لينوكس بشكل سريع مع هذا الموضوع ووقع اختياري على توزيعة DEFT الايطاليّة, التوزيعة جميلة وخفيفة تستخدم LXDE كواجهة رسومية وتحتوي على أفضل الأدوات المفتوحة المصدر بهذا المجال.
صورة لتوزيعة DEFT 5 تعمل على جهازي من VirtualBox:
عند اقلاع التوزيعة يمكنك تشغيل الواجهة الرسومية بتنفيذ الأمر:
startx
بعض الأدوات الموجودة في التوزيعة:
هذه ليست كافة أدوات التحقيق الجنائي الموجودة في التوزيعة فكثير من البرامج والأدوات تعمل من سطر الأوامر لذلك لم يتم وضعهم قائمة الأدوات السابقة, يمكن الاطلاع على هذه الصفحة لمعرفة كافة الأدوات الموجودة في التوزيعة.
في النهاية ما يجب معرفته أن هذا الموضوع مجرّد مقدّمة بسيطة والطرق والأساليب المستخدمة في التحقيق الجنائي في تطوّر مستمر وتم تأليف كتب كاملة عن هذا الموضوع فالمحققين الجنائيين يطوّرون أدوات وبرامج وتقنيات جديدة لتسهّل لهم عملهم والهاكرز أيضاً يطوّرون برامج وأدوات مضادّة لذلك…
http://br4v3-h34r7.com/2009/12/13/deft-linux-digital-forensics-livecd
الخاتمة
الحمد لله الذي تتم بنعمته الصالحات و الصلاة و السلام على خاتم النبيين , محمد بن عبد الله صلى الله عليه و على آله و صحبه و سلم تسليما كثيرا ... أما بعد ...
فقد تناولت على الصفحات السابقة من هذا البحث موضوع : التحقيق الجنائي الرقمي و قد بدأت البحث بالتعريف بالتحقيق الجنائي ثم تطرقت بعد ذلك إلى التحقيق الجنائي الرقمي , و من ثم تطرقت في النهاية إلى موضوع التحقيق الجنائي الرقمي باستخدام توزيعة DEFT
هذا و أسأل المولى تبارك و تعالى و أدعوه أن أكون قد وفقت في عرض هذا الموضوع على نحو طيب ...
و بالله التوفيق ...
المراجع:
1- الزعنون , سليم (د . ت ) التحقيق الجنائي ج 1 - المبادئ العامة للتحقيق الجنائي, مكتبة دار الثقافة للنشر والتوزيع , عمان , د . ت .
2- مرغلاني , كمال بن سراج الدين مرغلاني(1424هـ) إجراءات الضبط والتحقيق الجنائي في ضوء نظام الإجراءات الجزائية الصادر بالمرسوم الملكي رقم (م/39) وتاريخ 28/7/1422 هـ , مجلة البحوث الأمنية كلية الملك فهد الأمنية , الرياض , المملكة العربية السعودية.
3- المكتب العربي للإعلام الأمني ( 2005م) أسس تعامل أجهزة الإعلام الأمني مع الجرائم المستجدة المؤتمر العربي السادس لرؤساء أجهزة الإعلام الأمني، تونس، مجلس وزراء الداخلية العرب.
4- اليوسف، عبدالله بن عبدالعزيز (1425هـ) أساليب تطوير البرامج والبرامج التدريبية لمواجهة الجرائم المستجدة، الرياض، جامعة نايف العربية للعلوم الأمنية.
5- روابط من الانترنت :
http://br4v3-h34r7.com/2009/12/13/deft-linux-digital-forensics-livecd
http://3dpolice.maktoobblog.com
http://www.min-mag.com/researches/mindex.php?page=more&i