تحدي: تحقيق جنائي ألكتروني رقم (1)

الكاتب: | يوم: 22 يونيو, 2015 | التعليقات: 7 | القراءات: - عدد المشاهدات 77٬932

في البداية رمضان مبارك على الجميع، وأدعوا الله أن يعيننا على صيامه وقيامه، وأن يغفر لنا جميع ذنوبنا.

قررنا في مجتمع الحماية العربي، عمل مسابقة أسبوعية خلال شهر رمضان المبارك، وتكون عبارة عن جريمة ألكترونية بسيطة وعليكم بالقيام بحل القضية وذلك بهدف زيادة الوعي في مجال التحقيقات الجنائية الالكترونية. المسابقات سوف تبدأ بقضية بسيطة، وبعد ذلك تتعقد شيئاً فشيئاً. خلال عملك في حل كل قضية سوف تكتسب خبرة ولو بسيطة في جانب من جوانب التحقيقات الجنائية الالكترونية وبإستخدام أداوت بسيطة ومتوفرة للجميع. على بركة الله نبدأ القضية الأولى، ولديكم أسبوع واحد من الآن لحل القضية.

ملاحظة: إن كانت لديك أفكار لجرائم ممكن يتم تحويلها الى قضايا للدراسة والإستفادة العلمية والتقنية منها، فلا تترددوا إما بإرسالها لنا وسيتم نشرها بإسمكم أو بالتواصل معنا لعملها لبقية زوار ومتابعي الموقع والإستفادة من الأفكار التي فيها.

التحدي رقم (1) – السيناريو:
أنت تعمل كمحقق جنائي ألكتروني وشركة S4A أتصلت بك لتقوم بعملية التحقيق على قرص صلب (Hard disk) لموظف مشتبه به يعمل لديهم. قبل أن تصل الى موقع الشركة، قام الموظف بعملية تخريب للقرص الصلب. مع العملية التي قام بها الموظف، أصبحت أنت مجبر على العمل على القضية بوجود هذه الظروف التقنية. دورك كمحقق هو أن تقوم بعملية إصلاح لجدول الأقسام للقرص الصلب (Harddisk Partition Table) وذلك لكي تتمكن من الوصول الى أي من البيانات التي قام بإخفائها الموظف.

الأدلة الجنائية التي معك هي: S4ADFChallenge1.7z، بداخله نسخة عن القرص الصلب تم أخذها منا هي. (كلمة المرور للملف هي: security4arabsRM2All)

في ختام التحقيق الذي قمت به، عليك تزويدنا بتقرير يحتوي على ما يلي:
1- عدد الأقسام الموجودة على القرص
2- ما هي الملفات المثيرة والمهمة التي أستطعت إيجادها
3- ما هي المنهجية التي أتبعتها للوصول الى الى الحل النهائي
4- ما هي فرضيتك حول ما قام به المشتبه به ولماذا
5- هل تمكنت من الوصول الى العلم (Flag) لهذا التحدي؟ وماذا كان محتوى العلم؟

أدوات ممكن تساعدك في التحليل هي: FTK Imager, PhotoRec, 7zip، وأي محرر لـ Hex

بالتوفيق، ورمضان مبارك على الجميع

نبذة عن الكاتب

علي ([email protected]). دكتوراة في أنظمة الحاسوب. يعمل كأستاذ جامعي في قسم علم الحاسوب. مختص في التحقيقات الجنائية الالكترونية والإستجابة للحوادث الالكترونية (DFIR)، أمن الشبكات وتحليلها، وكذلك أمن أنظمة التشغيل المختلفة. حاصل على العديد من الشهادات التقنية، وسابقاً كان يعمل كمختص في جدر النّار، أنظمة كشف الاختراق، ادارة الثغرات والترقيعات، حماية الأنظمة، فحصوصات الاختراق، وتطبيق السياسات. مسؤول سابق عن متابعة وتطبيق (PCI DSS).

التعليقات:

اترك تعليقاً | عدد التعليقات: (7)

  1. يقول S4udi:
    يونيو 23, 2015 الساعة 12:21 ص

    بسم الله نبدا

    رد
  2. يقول علي:
    يونيو 23, 2015 الساعة 10:48 ص

    السلام عليكم.. أنا أدخل موقعكم لأول مرة، وتمكنت من حل التحدي لكن كيف أرسله؟ وما المقصود بالعلم هنا؟ شكرا

    رد
  3. يقول ahmed fares:
    أغسطس 25, 2017 الساعة 6:06 م

    لو قام الموظف اثناء نشاطه المشبوه باستعمال deep freeze وطمس القرص ببرنامج يكتب على (Harddisk Partition Table) خمسة وثلاثون 35 مرة فلا تتعب حالك لاسترجاع بيانات محذوفة او غير محذوفة

    رد
  4. يقول TONI:
    يوليو 10, 2019 الساعة 12:37 م

    لقد قمت بحل السؤال والوصول الى ال FLAG , وفتحه حيث كان استكشاف كلمة المرور سهل من الصوره ولكنكم ذكرتم انه يمكن الاسفادة من اي محرر ل HEX لذالك اريد الاستفسار منكم ما الحاجه من المحرر في هذه القضية
    وكيف ارسل الحل لكم وشكرا

    رد

أكتب تعليق