H4x0r
./ عضو
تحدث الاختراقات والحوادث الأمنية على الرغم من بذل فرق المختصة في الأمن قصارى جهدها لتجنبها في جميع أنحاء العالم لذلك الحل في مثل هذا السيناريو هو الاستعداد للوقت الذي سيحدث فيه الحادث او الاختراق حتى لا نتفاجأ وهكذا أصبح الطب الشرعي الرقمي والاستجابة للحوادث (DFIR) موضوعًا أساسيًا في الأمن الدفاعي. في هذا المقال سنغطي بعض المفاهيم الأساسية لل DFIR :
الان خلينا نتخيل مع بعض انو في جهاز صار عليه اختراق تمام و الاختراق هذا تم بعد ما المخترق تجاوز جميع اساليب الدفاع هوا صحيح الاختراق تم بس هذا لا يمنع انو لازم تعرف المخترق كيف وصل للجهاز كيف دخل كيف تخطى الدفاع و الاهم هو شو عمل ؟؟ هون المهم ليش هو المهم ؟
ببساطة لو فرضنا انو الاختراق صار على جهاز هذا للجهاز فيه بيانات مهمة في معلومات شخصية و معلومات مهمة الان بعد ما المخترق دخل على الجهاز لازم تعرف شو عمل لانو ممكن يكون تلاعب او غير بعض البيانات المهمة يلي ممكن تأثر بشكل كبيرر و ممكن يكون حذف بيانات و ممكن يكون سرق بيانات فا لازم تعرف شو يلي عملو عشان تعرف كيف تتصرف تمام رح تحكيلي كيف ؟
ايوا هاي كيف خليها بس نمشي شوي شوي الان بدنا نعرف شو هو DFIR :
بس تعال ابسطلك الحياه الان خلينا نتخيل انو في حرامي دخل على البيت عندك و هربب تمام رح ترن على الشرطة صححيح الان لما تيجي الشرطة رح تبلش تحقق في المكان يلي هو البيت حط هاي المعلومة في بالك و استخدمها في DF الحرامي دايما بترك اثرر يعني الشرطة رح تبلش دور ع اي اثر و تبلش تحلل لحتى تعرف هو من وين دخل كيف دخل و وين كان بزبط يعني هل دخل من الباب هل نط من شباك حسب الادلة الموجودة بقدرو يحددو و تفاصيل صغيرة بعدين ببلشو يبحثو عن وين كان بل بيت باني غرفة بزبط و بس يعرفو بيجو بحكولك شو كان عندك بهاي الغررفة بتذكرلهم و ببلشو يشوفو في اشي نسرق ؟ او نحط او نكسر ؟ مثل هذا السيناريو طبقو على DF الان لما يصير هجوم مهمتك تشوف كيف دخل ؟ شو اثر على النظام و محاولتك استعادة السيطرة يعني لو المخترق عمل باب خلفي للجهاز تكون عارف و تسكرلو هذا الباب .
رح احطلك تعريفين و الشرح يلي فوق مبسط جدا جدا ما خضت في تفاصيل بحيث هذا المقال باب تعريفي فقط .
الاثر : تمام اذا بتتذكرو حكينا فش حرامي بسرق ما بترك اثرر و حتى المهاجم بترك اثر الان هاي الاثار لازم نجمعها بناء على فرضيات يعني انا عشان اعرف تفاصيل اكثر ممكن احتاح ملفات Logs عشان احللهم و اشوف شو و ممكن يكون استخدم registry keys بطلبهم كا اثار عشان احقق و احلل فيهم .
نفترض أن نسخة القرص الصلب أثناء نقلها من الشخص يلي التقطها إلى الشخص يلي رح يعمل تحليل، وقعت النسخة في ايد شخص غير مؤهل للتعامل مع هذه الأدلة في هذه الحالة لا يمكننا التأكد مما إذا كان قد تعامل مع الأدلة بشكل صحيح او لا .
Order of volatility
تمام هون في موضوع بخص الشخص يلي بدو يوخد نسخة من الادلة لازم يكون عارف و حاسب انو بعض الادلة مش ثابتة كيف يعني ؟
يعني مثالا انا لما بدي احقق بدي اعرف اثناء حدوث الاختراق شو كان شغال على الجهاز صحح ؟ بدي اعرف شو البيرانج يلي كانت شغالة و هذا الاشي رح" نطبقو سوا في سيناريوهات واقعية ". تمام عشان اعرف شو كان شغالة بدي نسخة من RAM طيب بدك تحط في بالك انو ال RAM متطايرة يعني لو طفيت الجهاز و رجعت شغلتو راح كل اشي يعني لازم توخد النسخة في نفس الوقت بينما لو بدي نسخة لل hard عادي لانو هي مش متطايرة حتى لو طفيت الجهاز و شغلتو رح تلاقي البيانات هي هي هذا الاشي لازم يكون في بالك .
في المقال هذا بس كنا بندردش عن DFIR و لقدام رح نفوت في شو مختص و شو tool رح نفهم اكثر و اكثر .
ببساطة لو فرضنا انو الاختراق صار على جهاز هذا للجهاز فيه بيانات مهمة في معلومات شخصية و معلومات مهمة الان بعد ما المخترق دخل على الجهاز لازم تعرف شو عمل لانو ممكن يكون تلاعب او غير بعض البيانات المهمة يلي ممكن تأثر بشكل كبيرر و ممكن يكون حذف بيانات و ممكن يكون سرق بيانات فا لازم تعرف شو يلي عملو عشان تعرف كيف تتصرف تمام رح تحكيلي كيف ؟
ايوا هاي كيف خليها بس نمشي شوي شوي الان بدنا نعرف شو هو DFIR :
بس تعال ابسطلك الحياه الان خلينا نتخيل انو في حرامي دخل على البيت عندك و هربب تمام رح ترن على الشرطة صححيح الان لما تيجي الشرطة رح تبلش تحقق في المكان يلي هو البيت حط هاي المعلومة في بالك و استخدمها في DF الحرامي دايما بترك اثرر يعني الشرطة رح تبلش دور ع اي اثر و تبلش تحلل لحتى تعرف هو من وين دخل كيف دخل و وين كان بزبط يعني هل دخل من الباب هل نط من شباك حسب الادلة الموجودة بقدرو يحددو و تفاصيل صغيرة بعدين ببلشو يبحثو عن وين كان بل بيت باني غرفة بزبط و بس يعرفو بيجو بحكولك شو كان عندك بهاي الغررفة بتذكرلهم و ببلشو يشوفو في اشي نسرق ؟ او نحط او نكسر ؟ مثل هذا السيناريو طبقو على DF الان لما يصير هجوم مهمتك تشوف كيف دخل ؟ شو اثر على النظام و محاولتك استعادة السيطرة يعني لو المخترق عمل باب خلفي للجهاز تكون عارف و تسكرلو هذا الباب .
رح احطلك تعريفين و الشرح يلي فوق مبسط جدا جدا ما خضت في تفاصيل بحيث هذا المقال باب تعريفي فقط .
- Digital Forensics: These professionals are experts in identifying forensic artifacts or evidence of human activity in digital devices.
- Incident Response: Incident responders are experts in cybersecurity and leverage forensic information to identify the activity of interest from a security perspective.
الاثر : تمام اذا بتتذكرو حكينا فش حرامي بسرق ما بترك اثرر و حتى المهاجم بترك اثر الان هاي الاثار لازم نجمعها بناء على فرضيات يعني انا عشان اعرف تفاصيل اكثر ممكن احتاح ملفات Logs عشان احللهم و اشوف شو و ممكن يكون استخدم registry keys بطلبهم كا اثار عشان احقق و احلل فيهم .
Evidence Preservation
الحفاظ على الادلة : الان احنا حكينا عنا ادلة و اثر بدي احقق و احلل فيهم ما بزبط احلل في الجهاز نفسو يلي صار عليه الاختراق لانو ممكن يتم استخدام و الكتابة عليه وممكن يصير على الادلة تغيرات لذلك شو بنعمل بنوخد نسخة من الادلة او الاثر يلي بنحتاج نحقق فيه و في شغلة ممهمة الادلة يلي بنوخدها ك نسخة ما بنقدر نكتب او نعدل عليها عشان نتاكد ما يصير اي تغير على البيانات يلي سحبناها يعني لو اخدنا نسخة من الدسك هي لتحقيق ما بزبط تكتب او تعدل عليها .نفترض أن نسخة القرص الصلب أثناء نقلها من الشخص يلي التقطها إلى الشخص يلي رح يعمل تحليل، وقعت النسخة في ايد شخص غير مؤهل للتعامل مع هذه الأدلة في هذه الحالة لا يمكننا التأكد مما إذا كان قد تعامل مع الأدلة بشكل صحيح او لا .
تمام هون في موضوع بخص الشخص يلي بدو يوخد نسخة من الادلة لازم يكون عارف و حاسب انو بعض الادلة مش ثابتة كيف يعني ؟
يعني مثالا انا لما بدي احقق بدي اعرف اثناء حدوث الاختراق شو كان شغال على الجهاز صحح ؟ بدي اعرف شو البيرانج يلي كانت شغالة و هذا الاشي رح" نطبقو سوا في سيناريوهات واقعية ". تمام عشان اعرف شو كان شغالة بدي نسخة من RAM طيب بدك تحط في بالك انو ال RAM متطايرة يعني لو طفيت الجهاز و رجعت شغلتو راح كل اشي يعني لازم توخد النسخة في نفس الوقت بينما لو بدي نسخة لل hard عادي لانو هي مش متطايرة حتى لو طفيت الجهاز و شغلتو رح تلاقي البيانات هي هي هذا الاشي لازم يكون في بالك .
في المقال هذا بس كنا بندردش عن DFIR و لقدام رح نفوت في شو مختص و شو tool رح نفهم اكثر و اكثر .
التعديل الأخير بواسطة المشرف:
