استكشاف التقنيات الرئيسية والتحديات في علم الجرائم الرقمية لنظم التشغيل

إعداد: فيصل العتيبي، حسين السالم، محمد الزهراني، محسن بامردوف، يوسف الجويد، ابراهيم بوخمسين

تحقيقات أنظمة التشغيل الرقمية هي تخصص ضمن مجال التحقيق الرقمي يركز على فحص وتحليل الأدلة الرقمية داخل أنظمة التشغيل. تعمل أنظمة التشغيل كبرامج أساسية تدير أجهزة الكمبيوتر وتسهل تفاعل المستخدمين، مما يجعلها مصدرًا حاسمًا للأدلة المحتملة في التحقيقات الجنائية. من خلال استخراج وتحليل البيانات من مكونات مختلفة في أنظمة التشغيل، بما في ذلك نظام الملفات، والسجلات، والذاكرة، واتصالات الشبكة، وحسابات المستخدمين، جميعها تلعب دور مهم في تحقيقات أنظمة التشغيل في اكتشاف الأدلة المتعلقة بالجرائم الإلكترونية، وانتهاكات البيانات، والتهديدات الداخلية، وسرقة الملكية الفكرية، وغيرها من الأنشطة غير القانونية.

كيف يمكن جمع وتحليل الأدلة الرقمية داخل أنظمة التشغيل؟ 

أ. تحليل الذاكرة

ينطوي تحليل الذاكرة على تحليل ذاكرة النظام (RAM) في نظام الكمبيوتر. تخزن ذاكرة النظام معلومات مثل الملفات والبيانات النصية ومدخلات السجل وكلمات المرور واتصالات الشبكة وأنشطة المستخدم. يوفر الوصول إلى البيانات من الذاكرة الشفافة معلومات قد لا تكون متاحة بوسائل أخرى. هذا مفيد بشكل خاص في اكتشاف البرامج الضارة التي تحاول إخفاء العمليات أو المعلومات. في الماضي، كان يُستخدم بشكل شائع في التحقيقات الرقمية تحليل ثابت، والذي ينطوي على إيقاف تشغيل النظام لضمان سلامة معلومات القرص. ومع ذلك، مع تقدم التكنولوجيا وزيادة انتشار التشفير وكلمات المرور والبرامج الضارة الموجودة في الذاكرة، زادت أهمية تحليل البيانات الموجودة في الذاكرة. يتيح تحليل الذاكرة للمحققين اكتشاف العمليات المخفية والبيانات النصية العادية وبيانات الاعتماد ومكونات أخرى حاسمة. 

ب. تحقيقات نظام التشغيل

تركز تحقيقات نظام التشغيل على تحليل واسترداد الأدلة الرقمية من أنظمة التشغيل. ينطوي ذلك على التحقيق الشامل في مكونات مختلفة من نظام التشغيل لجمع معلومات حاسمة حول جرائم الكمبيوتر وقضايا الأمان أو الأنشطة غير القانونية. لضمان الحفاظ على الأدلة الرقمية وتفسيرها بدقة، تتطلب تحقيقات نظام التشغيل خبرة متخصصة وأدوات ومنهجيات متخصصة. من خلال استخدام هذه التقنيات وتحليل آثار نظام التشغيل بدقة، يمكن للمحققين الرقميين جمع أدلة قوية، وإعادة بناء الأحداث، وتقديم نتائج تساهم في الإجراءات القانونية، واستجابة الحوادث، وفهم أفضل لجرائم الكمبيوتر وحوادث الأمان.

تشمل تحقيقات نظام التشغيل فحص عدة آثار رئيسية:

١- آثار نظام الملفات: يخزن نظام الملفات معلومات حول الملفات والمجلدات وخصائص الملفات مثل الطوابع الزمنية والملكية. يوفر تحليل آثار نظام الملفات، مثل جداول تخصيص الملفات ورؤوس الملفات ومسارات الملفات وشظايا الملفات المحذوفة، نقاط نظر قيمة حول إنشاء الملفات وتعديلها وأوقات الوصول إليها.

٢- السجلات الأحداث: يعد سجل Windows سجل قاعدة بيانات تسلسلية يمكن للمحققين إعادة بناء أنشطة النظام والمستخدم، ويمكن فحص هذه الملفات المسجلة، بما في ذلك سجلات الأحداث وسجلات التطبيق وسجلات الأمان، لاكتشاف الأنشطة المشبوهة أو غير العادية، وتتبع أحداث تسجيل الدخول/الخروج، ومراقبة اتصالات الشبكة، وتحديد أخطاء النظام. يوفر تحليل سجلات السجل سجلاً تاريخيًا للأحداث يساعد في إعادة بناء سلسلة الإجراءات.

٣- تحليل ذاكرة النظام (RAM): تحتوي ذاكرة النظام أو الذاكرة العشوائية (RAM) على بيانات طارئة يمكن أن تكون قيمة جدًا في تحقيقات نظام التشغيل. فهي توفر معلومات حول البرامج التي تعمل حاليًا واتصالات الشبكة المفتوحة ومفاتيح التشفير وكلمات المرور التي قد لا يمكن الوصول إليها من صور القرص. تُستخدم أدوات تحليل الذاكرة لجمع وتحليل محتويات الذاكرة، مما يمكن من الكشف عن البرامج النشطة وأنشطة الشبكة ووجود برامج ضارة.

٤- أدلة حساب المستخدم: تخزن حسابات المستخدم داخل نظام التشغيل معلومات حاسمة مثل أسماء المستخدمين وكلمات المرور ونشاط الحساب وأوقات تسجيل الدخول/الخروج. يمكن أن تساعد في تحديد أعمال المستخدم، وتحديد محاولات الوصول غير المصرح بها، وتوفير أدلة على أنشطة المستخدم ذات الصلة بالتحقيق.

٥- تحليل البرامج الضارة: يشمل التحقيق في نظام التشغيل أيضًا تحليل البرامج الضارة الموجودة في النظام. يتضمن ذلك دراسة سلوك البرامج الضارة وخصائصها وتأثيرها، فضلاً عن تحديد مؤشرات الاختراق ونطاق الهجوم. من خلال تحليل البرامج الضارة، يمكن للمحققين الحصول على رؤى حول ناقل الهجوم، وتحديد مدى التضرر، وربما ترجع البرامج الضارة إلى أفراد أو مجموعات محددة.

٦- تكوين النظام: يمكن أن يوفر تكوين نظام التشغيل أدلة قيمة في التحقيقات الجنائية. يساعد تحليل ملفات تكوين النظام والإعدادات والبرامج المثبتة والتحديثات في تحديد الثغرات وتحديد أنماط استخدام النظام وإعادة بناء حالة النظام في أوقات محددة.

ج. تحليل الشبكة

تركز التحقيقات الجنائية للشبكات على رصد وتحليل بيانات الشبكة لتحديد مصدر الهجمات وجمع الأدلة وإعادة بناء الأحداث. في علوم التحقيقات الجنائية لنظم التشغيل، تلعب الشبكات دورًا كبيرًا في فهم الهجمات المبنية على الشبكة وتتبع الأنشطة الخبيثة وكشف الأدلة المتعلقة بجرائم الشبكة.

تتضمن علوم العمليات الجنائية للشبكات مكونات وتقنيات متنوعة:

١- رصد الشبكة: تعتمد علوم التحقيقات الجنائية للشبكات على جمع وتحليل حركة الشبكة. من خلال مراقبة اتصالات الشبكة، يمكن للمحققين التقاط حزم البيانات، وتحليل البروتوكولات، وتحديد الشذوذ، وتتبع مصدر ووجهة حركة الشبكة.

٢- آثار الشبكة: تشمل آثار الشبكة معلومات حول اتصالات الشبكة وعناوين الIP وعناوين الMAC ومنافذ الاتصال والبروتوكولات والطوابع الزمنية. يساعد تحليل هذه الآثار المحققين على فهم تدفق البيانات، وتحديد أنماط الاتصال، وتحديد الأنشطة الخبيثة المحتملة.

٣- أدوات التحقيقات الجنائية للشبكات: تساعد أدوات التحقيقات الجنائية للشبكات المحققين في جمع وتحليل وتصور بيانات الشبكة. يمكن لهذه الأدوات مساعدة في تحديد حركة الشبكة الخبيثة، وإعادة بناء جلسات الشبكة، واستخراج الملفات المرسلة عبر الشبكة، وإنشاء تقارير لأغراض قانونية. ومن أمثلة تلك الأدوات الخاصة بالتحقيقات الجنائية للشبكات Wireshark وNetworkMiner وغيرها من الأدوات والبرامج

٤- جمع سجلات الشبكات: أجهزة الشبكات مثل الجدران النارية (Firewall) وأجهزة التوجيه (routers)وأنظمة اكتشاف التسلل (IDS) تسجل أحداث وأنشطة الشبكة في السجلات. يمكن جمع وتحليل هذه السجلات توفير معلومات قيمة حول اتصالات الشبكة ومحاولات الوصول وأحداث النظام.

٥- استرجاع البيانات: تتضمن التحقيقات الجنائية للشبكات استرجاع البيانات المرسلة عبر الشبكة. ويشمل ذلك استخراج الملفات ورسائل البريد الإلكتروني ومحادثات الدردشة وغيرها من البيانات المتبادلة بين الأجهزة المشبكة. تمكن تقنيات استرجاع البيانات المحققين من استرداد وتحليل أدلة قيمة.

٦- التحليل عن بُعد: في بعض الحالات، يتطلب تحليل الشبكات إجراء تحقيقات على أنظمة أو شبكات بعيدة. تتيح تقنيات التحليل عن بُعد للمحققين الوصول إلى بيانات الشبكة وأنظمة الشبكة وتحليلها دون أن يكونوا حاضرين في الموقع بشكل فعلي، مما يوفر مرونة وكفاءة في التحقيقات الجنائية.

الخلاصة:

تهتم عمليات التحقيقات الجنائية لنظم التشغيل دورًا حاسمًا في التحقيقات الرقمية من خلال كشف الأدلة الرقمية داخل أنظمة التشغيل، من تحديد وحفظ واستخراج وتحليل آثار نظام التشغيل، والذاكرة، ونظام الملفات، وتحليل الشبكات، يمكن للمحققين بناء الأحداث وتقديم أدلة قوية. مع التقدم المستمر في التكنولوجيا وتطور التهديدات الأمنية، يستمر التحليل الجنائي لأنظمة التشغيل في التطور، مما يتطلب من المحققين البقاء على اطلاع بأحدث الأدوات والتقنيات والمنهجيات لتحليل الأدلة الرقمية وتفسيرها بشكل فعال.

المصدر العلمي من كتاب Operating System Forensics

Messier Ric. (2016). Operating System Forensics - Ric Messier . ELSEVIER.