تحدي: تحقيق جنائي ألكتروني رقم (2)
الكاتب: علي الشّمري | يوم: 01 يوليو, 2015 | التعليقات: 4 | القراءات: - عدد المشاهدات 62٬447
مرحباً مرة آخرى، اليوم نصل لتحدي مجتمع الحماية العربي الثاني، نتمنى تكونوا قد أستفدتم من التحدي السابق. كل تحدي سيكون أهدافه مختلفة وذلك لنستفيد من المشكلة الموجودة وكيف سنقوم بحلها بواسطة أدواة بسيطة متوفرة للجميع. كذلك سنقوم بجعل كل تحدي أصعب من الذي يسبقه، وبعضها هي التي تفتح لك إمكانية العمل على التحدي الذي بعده، أي لن تستطيع مثلاً أن تعمل على التحدي رقم 3 بدون حل التحدي رقم 2. تحدي اليوم إجباري تجاوزه إن كنت تريد الوصول للتحدي القادم، وذلك لأن القادم يعتمد بالكامل على نجاحك في التحدي الحالي وتجاوزه.
قبل أن أدخل في تفاصيل التحدي، أريد التأكيد على أفكار لتحديات. فإن كانت لديك أفكار لجرائم ممكن يتم تحويلها الى قضايا للدراسة والإستفادة العلمية والتقنية منها، فلا تترددوا إما بإرسالها لنا وسيتم نشرها بإسمكم أو بالتواصل معنا لعملها لبقية زوار ومتابعي الموقع والإستفادة من الأفكار التي فيها.
التحدي رقم (2):
أنت تعمل كمحقق جنائي ألكتروني وشركة S4A أتصلت بك لتقوم بعملية التحقيق على قرص صلب (Hard disk) لموظف مشتبه به يعمل لديهم. قبل أن تصل الى موقع الشركة، قام الموظف بعملية تخريب للقرص الصلب. وظيفتك الأولى هي إصلاح القرص الصلب وذلك لكي تتمكن من تحليله لاحقاً.
الأدلة الجنائية التي معك هي: S4ADFChallenge2.7z، بداخله نسخة عن القرص الصلب الذي يجب أن تقوم بإصلاحه. (كلمة المرور للملف هي: DFI2015)
في ختام التحقيق الذي قمت به، عليك تزويدنا بتقرير يحتوي على ما يلي:
1- ما هو حجم الـ Volume Boot Record أو مختصراً VBR
2- ما هي الـ Offset لكل من:
– النسخة الإحتياطية من قطاع الإقلاع (Backup Boot Sector)
– جزئية FAT1
– جزئية FAT2
3- إثبات على قيامك بإصلاح القرص بشكل سليم (قم بعرض محتويات القرص من خلال إما عمل mount له على لينُكس أو إستخدام FTK Imager)
4- ما هي المنهجية التي أتبعتها للوصول الى الى الحل النهائي
5- ما هي فرضيتك حول ما قام به المشتبه به، ولماذا تعتقد إنه فشل في إنجاز عملية مسح (wipe) للقرص الصلب
ملاحظات مهمة:
1- يجب إستخدام الأدوات المجانية، الحُرة، أو التي كتبتها أنت لحل القضية.
2- إصلاح الـ VBR سوف يقودك الى العلم الأول (Flag #1)
3- مصادر أنصح بقرائتها:
http://www.win.tue.nl/~aeb/linux/fs/fat/fat-1.html
http://www.cgsecurity.org/wiki/Advanced_FAT_Repair
بالتوفيق، ورمضان مبارك على الجميع
علي (B!n@ry). دكتوراة في أنظمة الحاسوب. يعمل كأستاذ جامعي في قسم علم الحاسوب. مختص في التحقيقات الجنائية الالكترونية والإستجابة للحوادث الالكترونية (DFIR)، أمن الشبكات وتحليلها، وكذلك أمن أنظمة التشغيل المختلفة. حاصل على العديد من الشهادات التقنية، وسابقاً كان يعمل كمختص في جدر النّار، أنظمة كشف الاختراق، ادارة الثغرات والترقيعات، حماية الأنظمة، فحصوصات الاختراق، وتطبيق السياسات. مسؤول سابق عن متابعة وتطبيق (PCI DSS).
التعليقات:
اترك تعليقاً | عدد التعليقات: (4)
تحدي ضمني:
هل تستطيع أن تكتب كود بايثون مثلاً لإصلاح القرص الصلب بشكل أوتوماتيكي؟؟؟
سأقوم بنشر الكود الذي أستخدمته لعمل التحدي وكذلك لإصلاحه بنهاية التحدي إن شاء الله 🙂
بالتوفيق …
بارك الله فيك
اين الحل للتحدي الاول ؟
@طويلب
ويبارك بك أخي الكريم. إن شاء الله سأقوم بنشر الحلول الذي أرسلوها الأخوة المشاركين في أسرع وقت ممكن.
المعذرة على هذا التأخير، وأشكرك لإهتمامك.
لو قام الموظف اثناء نشاطه المشبوه باستعمال deep freeze وطمس القرص ببرنامج يكتب على البيانات المحذوفة 35 مرة فلا تتعب حالك لاسترجاع بيانات محذوفة او غير محذوفة لانه حتى ملف ntuser.dat لايسجل اي شئ