مستند سازی ادله دیجیتال با ابزار رایگان coffee

coffee راهکاری برای مستند سازی ادله دیحیتال

ایجاد یک ابزار جمع آوری داده های ناپایدار رایگان

ابزار جمع آوری داده های قانونی مایکروسافت باعث جنجال در دنیای فناوری اطلاعات شده و آگاهی از جنبه های مختلف جرم شناسی دیجیتال را در سطح وسیعی افزایش داده است. بیل دین واقعیت را از شایعه جدا می کند و ارزیابی می کند که COFEE چه معنایی برای متخصصان جرم شناسی دیجیتال دارد.

همه اعضای جامعه جرم شناسی دیجیتال به خوبی می دانند که مایکروسافت اخیرا یک ابزار جمع آوری داده های قانونی به نام COFEE (استخراج کننده شواهد قانونی آنلاین کامپیوتر) ساخته و منتشر کرده است که فقط برای استفاده نیروهای قانون طراحی شده است. اما به محض اینکه این ابزار منتشر شد، تنها چند دقیقه بعد، این ابزار به وب سایت ها و فیدهای تورنت مختلف نشت پیدا کرد. به سرعت، بسیاری از متخصصان جرم شناسی دیجیتال شروع به جستجو برای این ابزار کردند، آن را پیدا کردند و سپس با اشتیاق اولین آزمایش خود را با این مجموعه ابزار انقلابی انجام دادند. اما ناامیدی سریعا فرا رسید. COFEE هیچ درب پشتی مخفی به سیستم نشان نمی دهد؟ COFEE به طور خودکار تمام رمزهای عبور را دور نمی زند یا کلیدهای رمزگشایی را فراهم نمی کند؟ این ابزار دکمه "نمایش تمام شواهد" را ندارد؟ نه، هیچکدام از این ها را ندارد. می خواهم یک نکته مهم را روشن کنم: COFEE جرم شناسی دیجیتال انجام نمی دهد. عملکرد اصلی آن جمع آوری داده هاست تا در زمان بعدی تحلیل شود. به نظر من، COFEE یک نقص طراحی اساسی دارد؛ زیرا فقط از ابزارهای مایکروسافت تشکیل شده است. از آنجایی که بسیاری از ما به طور قانونی دسترسی به COFEE نداریم، بهتر است که خودمان یک کیت بسازیم و قابلیت های کلیدی که ابزارهای مایکروسافت به ما نمی دهند، به آن اضافه کنیم.

قطع نکنید

COFEE مجموعه ای از ابزارهای مختلف جمع آوری داده است که از یک درایو USB قابل حمل اجرا می شود. این ابزار به طور خاص طراحی شده است تا به نیروهای قانون این امکان را بدهد که شواهد دیجیتال را از یک کامپیوتر در حال اجرا در محل جرم جمع آوری کنند. این ابزار داده های ناپایدار مانند اطلاعات ماشین، فرآیندهای در حال اجرا، اتصالات شبکه و غیره را جمع آوری می کند. در مجموع، من از تلاش های مایکروسافت برای کمک به جامعه نیروهای قانون استقبال می کنم. با تکامل تدریجی نیروهای قانون از روش «قطع برق» به جمع آوری اطلاعات ناپایدار از یک کامپیوتر در حال اجرا، این امر به آن ها کمک زیادی خواهد کرد تا در تحقیقات خود موفق تر عمل کنند. مایکروسافت به آن ها این امکان را می دهد که بدون نیاز به آموزش گسترده، این کار را انجام دهند. همانطور که در وب سایت آن ها آمده است: «یک افسر با حتی حداقل تجربه کامپیوتری می تواند در کمتر از ۱۰ دقیقه آموزش ببیند تا از دستگاه COFEE پیش پیکربندی شده استفاده کند.»

آنچه که بسیاری از اطلاعیه های مطبوعاتی به آن اشاره نکردند این است که آخرین نسخه منتشرشده COFEE در واقع نسخه دوم این ابزار است. نسخه اولیه آن در اوایل ۲۰۰۸ منتشر شد. نکته جالب این است که تیم حقوقی با تجربه مایکروسافت اکنون به طور کامل وارد عمل شده است تا COFEE را از وب سایت هایی که آن را میزبانی می کنند، حذف کند. علاوه بر این، شایعاتی در مورد فایل های باینری تغییر یافته در جریان است. من حدس می زنم که این تغییرات، ارتقاء های قانونی نباشند. مایکروسافت این کیت را تنها با استفاده از ابزارهای خود ساخته است؛ من مطمئنم که COFEE حتی بدون خرید مجموعه ابزارهای Sysinternals که توسط مارک روسینویچ و برایس کاگسول ساخته شده، وجود نداشت. چون مایکروسافت تنها از ابزارهای بومی خود برای این کیت استفاده کرده است، نمی تواند از ابزارهای رایگان و منبع باز عالی که برای ما در دسترس است، بهره برداری کند. به عنوان یک نکته احتیاطی، لطفا اگر مجاز به استفاده از این ابزار در تحقیقات خود نیستید، از آن استفاده نکنید. به جای آن، بیایید یک مجموعه ابزار بهتر بسازیم.

COFEE از ابزارهای بومی و رایگان مایکروسافت برای جمع آوری اطلاعات ناپایدار از یک کامپیوتر در حال اجرا استفاده می کند. در تجربه من از استفاده از بسیاری از ابزارهای مایکروسافت در پاسخ به حوادث و تحقیقات جرم شناسی، در زیر فهرستی از آثار ناپایدار مفید آورده شده که COFEE جمع آوری می کند و ابزارهای مربوط به هرکدام به شرح زیر است:

• اطلاعات خاص ماشین (msconfig.exe، hostname.exe، psuptime.exe، و psinfo.exe)

• اشتراک گذاری فایل های محلی و از راه دور (net.exe)

• اطلاعات گروه ها و کاربران (net.exe، showgrps.exe، psloggedon.exe)

• اطلاعات کاربر جاری (whoami.exe)

• فهرست خدمات و وضعیت آن ها (sclist.exe، sc.exe، و psservice.exe)

• فرآیندهای در حال اجرا (pslist.exe، tasklist.exe، و pstat.exe)

• وظایف زمانبندی شده (at.exe و schtasks.exe)

• فایل های باز (handles.exe و psfile.exe)

ویژگی جمع آوری اطلاعات دیجیتال / قانونی

• اطلاعات شبکه (ipconfig.exe، route.exe، netstat.exe، nbtstat.exe، arp.exe، getmac.exe)

• اطلاعات رجیستری (reg.exe، autorunsc.exe)

روش شناسی جمع آوری داده های ناپایدار

برخلاف برخی مقالات سفید و استانداردهای موجود در بخش های خاصی از زمینه کاری ما، قطع برق یک دستگاه در حال اجرا دیگر راه حل مناسبی برای حفظ اطلاعات در حین فعالیت دستگاه نیست. در واقع، قطع برق شواهد الکترونیکی را از بین می برد. بسته به موقعیت، ممکن است مهم ترین اطلاعاتی که نیاز به جمع آوری دارند، در مکان های موقتی قرار داشته باشند که احتمالا پس از خاموش شدن دستگاه در دسترس نخواهند بود. در حالی که اطلاعات ناپایدار همیشه در پاسخ به حوادث اهمیت داشته اند، تحقیقات قانونی دیجیتال موفق اکنون از این اطلاعات حساس بهره مند می شوند.

وقتی یک دستگاه در حال اجرا است، فرصتی وجود دارد که اطلاعات ناپایدار ممکن است به تحقیقات شما ارزش بدهد و باید جمع آوری شود. یک الگوی متداول در میان بسیاری از محققان که از این رویکرد استفاده می کنند، عدم تغییر شواهد به هیچ وجه است. این مفهوم قابل درک است و باید به آن توجه کرد، مگر اینکه آثار مورد نیاز شما باید نابود شوند مگر اینکه برخی تغییرات در شواهد انجام شود. اصولی که باید در نظر داشته باشیم هنگام تغییر شواهد، اصل مبادله لوکارد است. طبق این اصل، «با تماس بین دو شی، تبادل اتفاق می افتد». برای استفاده بسیار خوب از این اصل در شواهد الکترونیکی، می توانید کتاب «تحلیل جرم شناسی ویندوز» اثر هارلان کاروی را بخوانید و فصل اول آن را مطالعه کنید. اگر هر دو کتاب «تحلیل جرم شناسی ویندوز» را ندارید، پیشنهاد می کنم آن ها را تهیه کنید. با این اصل در نظر گرفته شده، باید بپذیریم که برای جمع آوری اطلاعات ناپایدار مورد نیاز، شواهد الکترونیکی را تغییر خواهیم داد.

در واقع، ایستادن در مقابل دستگاه در حال اجرا و تصمیم گیری در مورد اینکه آیا اطلاعات ناپایدار را جمع آوری کنیم یا نه، به طور غیرمستقیم شواهد دیجیتال را تغییر می دهد.

حال که پذیرفته ایم که برای جمع آوری اطلاعات ناپایدار باید شواهد را تغییر دهیم، ما گزینه هایی داریم که می توانیم هر دستور را به طور دقیق اجرا کنیم یا از ابزار جمع آوری خودکار برای جمع آوری حداکثر اطلاعات ممکن استفاده کنیم. این تصمیم بستگی به موقعیت خاص و حساسیت حادثه دارد. هنگامی که در حال پاسخ به یک حادثه در حال اجرا هستیم، گزینه دقیق بودن در اجرای دستورات ممکن است بیشترین کاربرد را داشته باشد. اما از آنجایی که ما در حال بحث در مورد COFEE و ساخت کیت خود هستیم، تمرکز ما بر جمع آوری هرچه بیشتر اطلاعات به صورت خودکار خواهد بود.

هنگام انتخاب جمع آوری اطلاعات از منابع مختلف ناپایدار به صورت خودکار، باید همچنان بسیار استراتژیک عمل کنیم و دستورات را به ترتیب صحیح اجرا کنیم. هدف این است که ابتدا اطلاعاتی را جمع آوری کنیم که بیشتر در معرض تغییر هستند و سپس به سراغ اطلاعات کمتر حساس برویم. در حالی که در این شیوه کار می کنیم، باید مراقب باشیم که اقدامات ما شواهدی را که برای استنتاج خاصی نیاز داریم، تغییر ندهد، یا حداقل این اقدامات را به انتهای پروسه منتقل کنیم.

چه کیتی برای پاسخ به حادثه بسازید و چه کیتی برای تحقیقات قانونی، شما خواهید دید که بیشتر اطلاعات مشابه را جستجو می کنید. به همین دلیل، بیایید یک کیت اصلی بسازیم که هر دو این اهداف را برآورده کند. ابتدا نوع اطلاعات ناپایدار مورد نظر را مشخص خواهیم کرد، اولویت های خود را از بیشترین ناپایدار به کمترین ناپایدار تعیین خواهیم کرد، ابزارهای جمع آوری اطلاعات را پیدا می کنیم و سپس اتوماسیون جمع آوری را اسکریپت خواهیم کرد. در طول ترتیب عملیات، باید بسیار مراقب باشیم که شواهدی را که واقعا به آن ها برای استنتاج نیاز داریم، تغییر ندهیم، هم در حین تحلیل اطلاعات ناپایدار و هم در طول تحلیل قانونی بیشتر.

برای مثال، اگر تمام فایل های دایرکتوری windows\system32 را هش کنیم، زمان آخرین دسترسی هر یک از این فایل ها تغییر خواهد کرد. اگر بعدا بخواهیم تحلیل زمانی از یک بدافزار در این دایرکتوری انجام دهیم، تلاش های جمع آوری داده های ناپایدار ما ممکن است از داشتن تمام اطلاعات مورد نیاز در طول تحلیل کامل قانونی جلوگیری کند. ما شواهد را تغییر خواهیم داد، اما باید درک کنیم که چه سطحی از تغییر را انجام می دهیم و پیامدهای این اقدامات را در طول تحلیل بفهمیم.

ما باید همیشه تلاش کنیم تا جمع آوری داده های ناپایدار را با استفاده از باینری های معتبر انجام دهیم. این موضوع به خوبی مستند شده و نشان داده شده است که ماشین های آلوده به روت کیت ها ممکن است ابزارهایی را که برای جمع آوری داده استفاده می کنیم تغییر دهند تا خود را مخفی کنند و اطلاعات مربوط به فعالیت های خود را بپوشانند. بهترین روش برای رسیدن به این هدف این است که تمام باینری ها و اسکریپت هایی که برای اتوماسیون وظایف خود استفاده می کنیم را روی رسانه هایی مانند CD-ROM قرار دهیم که فقط قابل خواندن باشند. با این حال، ممکن است شرایطی وجود داشته باشد که این کار عملی نباشد. واقعیت این است که ممکن است شما زمانی که کیت مورد نیاز است حضور نداشته باشید. شاید یک مشتری نهایی یا یک افسر نیروی قانون در حال اجرای یک حکم جستجو در یک موقعیت خطرناک باشد. زمانی که فرد نهایی که از کیت استفاده می کند «تجربه کمی در کامپیوتر» دارد، شما باید توانایی داشته باشید که یک درایو USB را به او بدهید و بگویید: «این را وارد کن، اجرایی را اجرا کن، درایو USB را به من برگردان». توصیه می شود که کیت شما با باینری های ثابت همراه باشد، اما ایده خوبی است که کیتی فراهم کنید که استفاده از آن تا حد امکان آسان باشد. با تمام این توضیحات، بیایید کیت خود را با این روش ها بسازیم.

ساخت کیت جمع آوری داده ها

اگرچه برخی از داده های ارزشمند وجود دارد که مایکروسافت به طور بومی نمی تواند آن ها را به دست آورد، همان طور که پیش تر اشاره کردیم، مایکروسافت ابزارهای بنیادی محکمی را برای شروع کار به ما ارائه می دهد. اطلاعات مربوط به فرآیندهای در حال اجرا، به اشتراک گذاری فایل ها، درایوهای نگاشته شده، اطلاعات کامپیوتر، سرویس ها، وظایف زمان بندی شده، فایل های باز، اطلاعات شبکه و اطلاعات رجیستری می توانند برای ما ارزشمند باشند. از آن جا که مایکروسافت ابزارهای لازم را فراهم کرده و ما نیز قبلا نحوه استفاده از آن ها را پوشش داده ایم، این ابزارها را به عنوان اساس برای ساخت کیت جمع آوری داده های قانونی خود استفاده خواهیم کرد.

تصاویر حافظه

یکی از جنبه های اصلی اطلاعات ناپایدار که مایکروسافت به طور بومی قادر به جمع آوری آن نیست و یکی از مهم ترین گنج های آثار ناپایدار به شمار می رود، یک حافظه دمپ کامل است. حافظه یکی از ناپایدارترین اطلاعات است و باید اولین چیزی باشد که جمع آوری می شود. من مطمئن هستم که توسعه دهندگان مایکروسافت اهمیت تصویر حافظه را درک می کنند، اما آن ها روشی برای ضبط این اطلاعات ندارند. تحلیل تصویر حافظه طی چند سال گذشته به موضوعی مهم تبدیل شده است. شخصا به برگزارکنندگان کارگاه «Digital Forensics Rodeo» و چالش تحلیل حافظه در سال ۲۰۰۸ آن ها اعتبار می دهم که موجب پیشرفت های عظیم در قابلیت ها و ابزارهای تحلیل حافظه شد. ابزارهای رایگان و متن باز زیادی برای ضبط تحلیل حافظه وجود دارند. یکی از ابزارهای مورد علاقه من از منظر اتوماسیون، mdd.exe از ManTech است. پس از اینکه حافظه ضبط شد، ابزارهای مختلفی برای تحلیل حافظه در پلتفرم های مختلف وجود دارد: Memoryze از Mandiant، Volatility، PTK، HBGary و FTK 3.0 در حال حاضر ابزارهای عالی برای تحلیل تصاویر حافظه هستند.

شبیه به تحلیل هارد دیسک سنتی، ابزارها و روش شناسی های جدید برای تحلیل به طور مداوم در حال توسعه هستند. برخی از نمونه های فعلی شواهدی که می توان از یک تصویر حافظه به دست آورد عبارتند از: فرآیندهای در حال اجرا، اتصالات شبکه جاری، پورت های باز، فایل های باز، هش های رمز عبور و کلیدهای رمزگشایی. یک پلاگین خاص از چارچوب Volatility به شما این امکان را می دهد که یک فایل اجرایی فرآیند را از حافظه استخراج کرده و آن را برای تحلیل بیشتر بررسی کنید. با سرعتی که تحلیل حافظه در حال پیشرفت است، احتمالا تا زمانی که این مقاله منتشر شود، اطلاعات بیشتری از یک تصویر حافظه قابل دسترس خواهد بود. مزیت ضبط حافظه این است که می توانیم به شواهد برگردیم و اطلاعات اضافی را استخراج کنیم به طوری که روش ها تکامل یابند. حالا که حافظه ضبط شده است، بیایید به جنبه های دیگری بپردازیم که به ما در رسیدن به هدف مان کمک می کند. در حالی که هنوز به یکپارچگی اطلاعات برای تحلیل احترام می گذاریم، بیایید جمع آوری اطلاعات از سایر منابع را به طور استراتژیک آغاز کنیم.

پریفچ

برای سیستم عامل های دسکتاپ ویندوز XP، دایرکتوری C:\WINDOWS\PREFETCH به ما آخرین ۱۲۸ برنامه ای که بر روی دستگاه اجرا شده اند را ارائه می دهد، با چند استثنا. ما می خواهیم این اطلاعات را ابتدا جمع آوری کنیم، زیرا دستورات بعدی ممکن است در این دایرکتوری ثبت شوند و آثار جالبی که ممکن است برای تحقیقات ما مهم باشند، با آن ها جایگزین شوند. هنگامی که محتویات دایرکتوری PREFETCH به دست آمد، می توانیم مشخص کنیم که کدام برنامه ها اجرا شده اند و از این اطلاعات برای پیشبرد تحلیل های خود استفاده کنیم.

اجرای برنامه ها

اطلاعات مربوط به اجرای برنامه ها، مانند: نام فایل اجرایی، مسیر فایل اجرایی، زمان اولین اجرا، زمان آخرین اجرا، و تعداد دفعات اجرا برای ما اهمیت دارد. یک کپی ساده از تمام محتوای پوشه ی C:\WINDOWS\PREFETCH به دایرکتوری ای با نام "prefetch" برای جمع آوری این داده ها کافی است.

تصاویر از صفحه نمایش (Screenshots)

همان طور که قبلا هم گفته شد، ممکن است در زمان جمع آوری داده های ناپایدار، شخصا پشت سیستم حضور نداشته باشیم. در برخی موارد حتی ترجیح می دهیم که نباشیم. بنابراین داشتن تصویری از صفحه ی سیستم می تواند برای هدف ما مفید باشد. آیا همیشه مفید است؟ شاید بله، شاید هم نه. اما همانطور که در بسیاری از موارد مشابه، داشتن اطلاعاتی که شاید هیچ وقت نیاز نشود بهتر از نیاز داشتن به اطلاعاتی است که جمع آوری نشده است. ابزار خط فرمان NIRCMD از Nirsoft مانند یک چاقوی سوئیسی است که برای گرفتن چنین اطلاعاتی بسیار مفید است.

اطلاعات مربوط به درایورها

در بسیاری از موارد پاسخگویی به رخدادها و بررسی های قانونی، دانستن اینکه چه درایورهایی روی سیستم بارگذاری شده اند می تواند بسیار ارزشمند باشد. ابزار DRIVERS.EXE از مایکروسافت، ابزاری مناسب برای جمع آوری این اطلاعات است.

اطلاعات مربوط به فایل های DLL

از دید پاسخگویی به رخدادها، باید بدانیم که چه فایل های DLL در سیستم بارگذاری و در حال استفاده هستند. ابزار LISTDLLS.EXE از مایکروسافت این کار را برای ما انجام می دهد.

اطلاعات رجیستری

دو روش برای جمع آوری اطلاعات از رجیستری ویندوز وجود دارد: یا اطلاعات خاص و کلیدی را جمع آوری کنیم، یا کل فایل های رجیستری (hives) را دریافت کنیم. به صورت شخصی، من ترجیح می دهم ترکیبی از این دو روش را به کار ببرم؛ یعنی ابتدا کلیدها و مقادیر خاصی را برای تحلیل اولیه بگیریم و بعد در صورت نیاز، کل ساختار رجیستری را برای تحلیل کامل جمع آوری کنیم. ابزار REG.EXE از مایکروسافت، از نظر خودکارسازی، انتخاب اصلی ماست.

لاگ های رخداد (Event Logs)

وقتی ممکن باشد، لاگ های رخداد ویندوز باید همیشه برای تحلیل جمع آوری شوند. خیلی از اوقات، رخدادی مانند شروع یک درایور یا کرش یک برنامه همان سرنخی است که در تحقیقات به دنبال آن هستیم. ابزار DUMPEL.EXE از بسته ی Windows Resource Kit مایکروسافت، ابزار بسیار خوبی برای این منظور است.

اطلاعات کلیپ بورد (Clipboard)

احتمال دارد اطلاعاتی که در کلیپ بورد ویندوز قرار دارد، شامل داده های مفید برای تحقیقات باشد. بار دیگر، ابزار خط فرمان NIRCMD گزینه ای مناسب برای این کار است.

تاریخ و زمان سیستم

برای ثبت نقطه ی مرجع زمانی در هنگام جمع آوری داده ها، دانستن تاریخ و زمان سیستم الزامی است. با استفاده از دستورات داخلی ویندوز DATE و TIME، می توان این اطلاعات را به دست آورد.

در این مقاله درباره ی جمع آوری داده های ناپایدار، بیل دین مجموعه ای از ابزارهای قانونی را معرفی می کند که به صورت مستقل گردآوری شده اند، در دسترس هستند و قابلیت سفارشی سازی دارند ابزاری که بر اساس COFEE مایکروسافت ساخته شده اما فراتر از آن عمل می کند.

پیامی که در دل این حرکت متن باز نهفته است این است که می توانید با ابزارهایی که به خوبی تست شده اند، طبق تشخیص خود عمل کنید، به شرط آنکه نسبت به قوانین داخلی و بین المللی بی توجه نباشید.

قوانین می توانند دام پهن کنند؛ عملیات جمع آوری و نگهداری داده ها که در ظاهر مدنی به نظر می رسند، ممکن است به راحتی تبدیل به جرم شوند. برای مثال، طبق بند ۵۵(۱) قانون حفاظت از داده های بریتانیا در سال ۱۹۹۸، به دست آوردن، افشا کردن یا زمینه سازی برای افشای اطلاعات شخصی بدون رضایت دارنده ی آن، جرم محسوب می شود. همچنین پردازش یا تغییر اطلاعات ثبت شده بدون اطلاع رسانی به کمیسیونر اطلاعات نیز می تواند جرم تلقی شود. استفاده از چنین ابزارهایی برای بررسی های داخلی یا روی سیستم قربانی به جای مظنون، می تواند از نظر قانونی تبعات جدی داشته باشد.

ویرایشگر حقوقی نشریه DFM، مویرا کارول-مایر، جنبه های قانونی استفاده از کیت های جمع آوری داده ی ناپایدار به صورت DIY (خودساخته) را بررسی می کند.

قهوه ی خودتان را دم کنید اما حدود را بشناسید

در بریتانیا، راهنمای ACPO برای شواهد الکترونیکی مبتنی بر رایانه، تاکید زیادی بر استفاده از ابزارهای قابل اعتماد و توسط کارشناسان با تجربه دارد؛ افرادی که می توانند تصمیم بگیرند آیا جمع آوری اطلاعات در آن لحظه از نظر حقوقی و تحقیقی ضروری هست یا نه.

همچنین استاندارد BS10008:2008 موسسه استاندارد بریتانیا درباره ی وزن حقوقی و قابلیت پذیرش قانونی اطلاعات الکترونیکی، نکاتی درباره ی ذخیره سازی، ارتباط و پیوند هویت ها به اسناد ارائه می دهد که باید در طراحی و اجرای ابزارها رعایت شود. عدم رعایت این استانداردها می تواند منجر به رد شواهد، آسیب به شهرت و از بین رفتن دستاوردهای تحقیقات شود.

از کشوری به کشور دیگر، روش اجرای قانون و پیگرد کیفری متفاوت است؛ اختلافات خطرناک بین قوانین بریتانیا و ایرلند را می توان شاهد بود.

در اکتبر ۲۰۰۸، بریتانیا سرانجام بند ۳۷ قانون پلیس و عدالت را اجرایی کرد که قانون سوءاستفاده از رایانه (CMA) 1990 را اصلاح می کرد. بند 3A، که پس از بند ۳ قانون قرار می گیرد،... (ادامه در متن بعدی خواهد بود اگر بخواهید).

هش های فایل

هش های فایل MD5 یا SHA1 امکان تحلیل سریع یکپارچگی مجموعه ای از فایل ها را فراهم می کنند. این کار می تواند با استفاده از یک مجموعه هش "بد" که فایل های شناخته شده خراب را شناسایی می کند، یا یک مجموعه هش "خوب" که فایل های غیرمهم را فیلتر می کند، انجام شود. بسیاری از مواقع برای شناسایی بدافزارها، مجموعه های هش بد در دسترس هستند. با این حال، به دلیل سرعت بالای شناسایی بدافزارهای جدید، به روزرسانی این مجموعه ها می تواند کار دشواری باشد. رویکرد دیگر استفاده از مجموعه هش "خوب" است. بهترین منبع برای دانلود مجموعه های هش شناخته شده یا "خوب" از وب سایت NIST است. با توجه به ارزشی که فیلتر کردن هش ها می تواند داشته باشد، این امکان وجود دارد که فایل ها را در دایرکتوری های خاص مانند C:\WINDOWS\SYSTEM32 هش کنیم. ابزارهای SHA1DEEP.EXE یا MD5DEEP.EXE ابزارهای عالی برای جمع آوری این اطلاعات هستند.

اطلاعات شبکه

در مجموعه ابزار اصلی ما، ابزارهای مایکروسافت برای جمع آوری اطلاعات شبکه مانند پورت ها، اتصالات، و اطلاعات آدرس های IP وجود دارند، اما جمع آوری اطلاعات بیشتر می تواند به ما ارزش افزوده بدهد. من ابزار FPORT از Foundstone را مفید می بینم که دیدگاه های عالی در مورد اتصالات شبکه و فرآیندهای مرتبط با آن ها ارائه می دهد. همچنین دوست دارم وضعیت و پیکربندی فایروال ویندوز را بدانم. این اطلاعات به ما نشان می دهند که چه قوانین پورت خاصی پیکربندی شده اند و اینکه آیا فایروال فعال بوده است یا خیر. اطلاعات پیکربندی فایروال ویندوز را می توان با استفاده از ابزار داخلی ویندوز NETSH جمع آوری کرد.

قانون CMA

طبق قانون CMA (قانون سوءاستفاده از رایانه)، این عمل که شخصی بخواهد ابزارهایی را بسازد، تامین کند یا دریافت کند که احتمالا در ارتکاب جرائم سوءاستفاده از رایانه استفاده می شود، جرم است. شخصی که طبق این بخش گناهکار شناخته شود، در صورت محکومیت خلاصه ای در انگلستان و ولز، ممکن است به حبس تا ۱۲ ماه یا جریمه محکوم شود یا هر دو؛ و در صورت محکومیت در دادگاه، به حبس تا ۲ سال یا جریمه یا هر دو محکوم می شود.

بسته یا باز؟

اصطلاح «احتمالا» هنوز تعریف نشده است، اما دادستان ها باید عملکرد ابزار را بررسی کنند و ببینند آیا مظنون به آن توجهی داشته که آن را برای چه کسی و به چه منظور استفاده کند. مثلا اینکه آیا ابزار به گروهی محدود و معتبر از متخصصین امنیت IT ارسال شده یا به صورت عمومی منتشر شده است؟ یا اینکه آیا ابزار به طور عمدی برای ارتکاب جرم CMA توسعه یافته است؟ در نهایت، سوال این است که آیا نرم افزار یک «چیز» در معنای بخش ۴ است.

شروع با ویژگی های اصلی COFEE

با شروع از ویژگی های اصلی که گفته می شود COFEE دارد و اضافه کردن تغییرات خود با استفاده از فایل های اجرایی مایکروسافت و غیرمایکروسافت، حالا ما یک کیت جمع آوری داده های ناپایدار پایه ساخته ایم. ممکن است جنبه هایی از این کیت وجود داشته باشد که برخی با آن مخالف باشند، یا شاید دیگران بپرسند چرا ویژگی خاصی را اضافه نکردیم، چرا برخی اطلاعات را نادیده گرفتیم یا چرا یکی از برنامه ها را به جای دیگری انتخاب کردیم. کیت ما به عنوان یک "کیت شروع" باید در نظر گرفته شود که به راحتی می توان آن را اصلاح و بهبود داد. با تلاش زیادی که شما در طراحی این کیت کرده اید، اکنون می توانید به بخش دانلودهای وب سایت http://www.digitalforensicsmagazine.com مراجعه کرده و کیت پایه ای را که ما ساخته ایم دانلود کرده و تغییرات مورد نظر خود را اعمال کنید. همان طور که بسیاری از افراد از COFEE ناامید شدند، این ابزار اکنون ویژگی ای دارد که کیت ما ندارد: خروجی HTML پویا از اطلاعاتی که جمع آوری کرده ایم. کیت ما در حال حاضر تنها خروجی خامی از داده های جمع آوری شده ارائه می دهد. مجله Digital Forensics Magazine از شما می خواهد که تلاش بیشتری در جهت توسعه یک موتور گزارش گیری برای این کیت انجام دهید. پاسخ های خود را به شماره 360 ارسال کنید.

کلیپ بورد ویندوز

همیشه این احتمال وجود دارد که مقادیر موجود در کلیپ بورد ویندوز شامل اطلاعاتی از اهمیت باشند.

این کیت های جمع آوری داده ها بسیار انعطاف پذیر هستند و به طور مداوم بهبود می یابند.

خلاصه

کیت های جمع آوری داده های ناپایدار توسط شرکت های مختلف در حال توسعه هستند تا به تحلیلگران جنایی با تجربه و بدون تجربه کمک کنند تا اطلاعات ناپایدار را از کامپیوترهای در حال اجرا جمع آوری کنند. فارغ از توسعه دهنده کیت، این ابزارها برای یکی از دو دلیل طراحی شده اند: جمع آوری اطلاعات ناپایدار قبل از خاموش کردن دستگاه برای گرفتن یک تصویر کامل جنایی یا جمع آوری اطلاعات برای تحلیل به منظور تعیین اینکه آیا تحقیقات جنایی کامل لازم است یا خیر. با وجود اینکه ممکن است از اصطلاح "جنایی" در نام یا توضیحات استفاده شود، این ابزارها تحلیل جنایی انجام نمی دهند. هدف اصلی و کاربرد کیت های جمع آوری داده های ناپایدار، بازیابی اطلاعات برای تحلیل در زمان بعدی است.

این کیت های جمع آوری داده ها بسیار انعطاف پذیر هستند و به طور مداوم بهبود می یابند. اخیرا پروژه های متعددی برای ساده سازی فرآیند جنایی دیجیتال آغاز شده اند که به بررسی کنندگان کم تجربه تر امکان جمع آوری شواهد دیجیتال را می دهد. من این تلاش ها را که مایکروسافت و دیگر شرکت ها برای این ابتکارات انجام داده اند تحسین می کنم. با توجه به اینکه حجم کار آزمایشگاه های جنایی دیجیتال همچنان برای نهادهای انتظامی افزایش می یابد، بسیاری از این نهادها به آزمایشگاه های تجاری جنایی دیجیتال برای کمک مراجعه می کنند.