في التحقيق الجنائي، اذا نريد نحلل سلوك المستخدم ونعرف ايش كان يفتح من برامج مع الوقت والفتره و مسار الملف وهاش الملف وغيرها من المعلومات.
هذه المعلمات موجوده بسبب ان مايكروسوفت فكرت انها تريد تسوي حياه المستخدم اسهل عن طريق تسجيل سلوكه ولما يرجع يستخدم الجهاز مره اخرى
هذه المعلمات موجوده بسبب ان مايكروسوفت فكرت انها تريد تسوي حياه المستخدم اسهل عن طريق تسجيل سلوكه ولما يرجع يستخدم الجهاز مره اخرى
يظهر له اخر الامور الي عملها ويختارهم بسهولة او مثلا لما يكتب اسم او رابط في المتصفح على طول يقترح له اخر شي فتح وهكذا تصبح تجربه الاستخدام افضل، من وجه نظر تحقيق جنائي. ممكن نستغل هذا ونعرف ايش كان يسوي ونبني تصور عن سلوكه والبرامج الي تم فتحها بالترتيب
هذه المعلومات يتم تلقائيا تخزينها بواسطة وندوز في ملف اسمه ActivitiesCache.db وهو قاعده بيانات sqlite موجود في
C:\Users\%profile name%\AppData\Local\ConnectedDevicesPlatform\L.%profile name%\
C:\Users\%profile name%\AppData\Local\ConnectedDevicesPlatform\L.%profile name%\
الملف هذا فيه معلومات اخر ثلاثين يوم ويمكن تقل اذا المستخدم غير اعدادات الخصوصيه في وندوز الى 3 ايام
عشان نحللها ننزل اي اداة تسوي parse في اداة Eric Zimmerman اسمها Windows 10 Timeline database parser وببساطه تنفذ امر بسيط وبيتم انتاج csv file
عشان تقرا ملف csv في اداه كمان اسمها Timeline Explorer كلهم حلمهم من هذا الرابط
ericzimmerman.github.io
عشان تقرا ملف csv في اداه كمان اسمها Timeline Explorer كلهم حلمهم من هذا الرابط
ericzimmerman.github.io
بعد ما تفتح ملفات csv بيكون عندك نافذه فيها عدة اعمده بالبرنامج الي تم فتحها بالترتيب مع الكثير من المعلومات الاخرى الي تخص الوقت بدء وانتهاء
في تفاصيل كثيره تخص المعلومات مثل هل تعدل او اول مره ينضاف او تم حذفه ..الخ بتركها لكم للبحث عن هذه Artifacts الجميله
في تفاصيل كثيره تخص المعلومات مثل هل تعدل او اول مره ينضاف او تم حذفه ..الخ بتركها لكم للبحث عن هذه Artifacts الجميله
القوه هنا مش فقط في الاعتماد على هذا الملف وحده وانما بناء تصور كامل مع بقية الملفات الي دائما يتم التركيز عليها في التحليل، مثال: تاريخ التصفح للانترنت
اخيرا هذه محاضرة من شركة blackbag شرح لتفاصيل كثيره انصحكم مشاهدته
youtube.com
youtube.com
@abduallah_123 احيانا بتبدا تشتغل على جهاز وانت عارف ال context وبيكون عندك زي فكره على ايش تدور، تتاكد من معلومه الفريق طلبها، او تجيب سلوك في time frame معين
هنا انت تعرف مع الخبره ايش بينفع وايش اكثر اهميه
لكن احيانا تمسك شي على عمى وبتحاول تبني لنفسك context عشان تتضح الصوره وتستين بكل شي
هنا انت تعرف مع الخبره ايش بينفع وايش اكثر اهميه
لكن احيانا تمسك شي على عمى وبتحاول تبني لنفسك context عشان تتضح الصوره وتستين بكل شي
المتميز في هذه Artifact وهي احيانا يكون في معلومات يخص كل Entry فيه اسم النافذه او input من المستخدم مثل URL او مسار ملف تم فتحه باستخدام البرنامج
ايضا الوقت من بدايه حتى نهايه استخدام البرنامج
ايضا الوقت من بدايه حتى نهايه استخدام البرنامج
اما الميزه العظمى وهي اذا المستخدم يستخدم حسابه في اكثر من جهاز وعمل sync مفعل بتشوف احداث كل الاجهزه في الملف
حتى لو ان الاجهزه التي سجل دخول ليست وندوز،
على سبيل المثال في الفيديو مثال، لو تدخل ب oneDrive في ماك وsync مفعل اثناء العمل على الملفات يقوم البرنامج بمزامنة هذه الاحداث وسوف تسجيلها في نفس الملف على وندوز
اندرويد ايضا
على سبيل المثال في الفيديو مثال، لو تدخل ب oneDrive في ماك وsync مفعل اثناء العمل على الملفات يقوم البرنامج بمزامنة هذه الاحداث وسوف تسجيلها في نفس الملف على وندوز
اندرويد ايضا
جاري تحميل الاقتراحات...