اليوم راح أناقش موضوع مهم في مجال التحقيق الرقمي والإستجابه لها. "البصمة الزمنية" وأهميتها البالغة لكل أنواع التحليل الرقمي من التحقيق في الجرائم على أجهزة الكمبيوتر إلى الأنظمة السحابية.
لنبدء بمناقشة البصمة الزمنية لملفات نظام
New Technology File System (NTFS)
لنبدء بمناقشة البصمة الزمنية لملفات نظام
New Technology File System (NTFS)
كل ملف على أي نظام يحمل التالي:
نأتي إلى الطرق والممارسات الصحيحة لتحليل وإستخراج تلك الأدلة: تحليل خصل النظام
اذا وبعد التعرف على جدول الملف الرئيسي للنظام لابد أن نقوم بالإستفادة من تلك الخصائص للتحقق من الأدلة الرقمية. على سبيل المثال: عند القيام بتحليل البصمة الزمنية للملفات وبعد الإطلاع على الجدول الرئيسي, نقوم بمقارنة الأدلة المتوفرة على الخصائص التالية:
$Standard_information ($SI)المعلومات الرئيسية
و
$ FILE_NAME ($FI)
و
$ FILE_NAME ($FI)
هنا يأتي دور التأكيد على الأدلة الرقمية المربوطة بوقت معين. مع العلم أنه من الممكن التعديل على جميع الطوابع الزمنية وتغيرها. لذلك يتطلب المقارنة بين الأدلة المتوفرة على خصائص المعلومات الرئيسية وإسم الملف. في الحالات الأكثر تعقيدا.
يقوم المحقق الرقمي بتحليل بيانات ال
/windows/prefetch
بالنسبة للملف الخاص بإسم_الملف فيمكن التعديل عليه أيضا ولكن عن طريق الوصول إلى نواة نظام الويندوز ولايوجد حتى الان برامج مضادة للتحليل الرقمي تفعل ذلك.
مالفائدة من هذه المقدمة وماعلاقة الطوابع الزمنية بالمجال؟
/windows/prefetch
بالنسبة للملف الخاص بإسم_الملف فيمكن التعديل عليه أيضا ولكن عن طريق الوصول إلى نواة نظام الويندوز ولايوجد حتى الان برامج مضادة للتحليل الرقمي تفعل ذلك.
مالفائدة من هذه المقدمة وماعلاقة الطوابع الزمنية بالمجال؟
الجدول الزمني مهم جدا لأي قضية سواء كانت رقمية أو تقليدية. وغالبا مايسهل تحليل ذلك الى معلومات أكثر تفصيلا. على سبيل المثال: ربط الطوابع الزمنية لحادثة سيبرانية وأنشطة تمت على النظام الحاسوبي. نعلم جيدا أن أغلب أدوات التحليل الرقمي تقوم بفرز الطوابع الزمنية بصيغة لايسهل قرائتها.
جاري تحميل الاقتراحات...