ورود
مقالات فارسیISIکنفرانسهاژورنالها

علیرضا طباطبایی هاشمی

وکیل متخصص جرائم رایانه ای و جرائم اقتصادی

5 یادداشت منتشر شده

بررسی روش های مقابله با جرم شناسی دیجیتال (Counter-forensics) و تلاش های مستمر برای حفظ برتری در این حوزه

25 تیر 1404 - خواندن 38 دقیقه - 42 بازدید

بررسی روش های مقابله با جرم شناسی دیجیتال (Counter-forensics) و تلاش های مستمر برای حفظ برتری در این حوزه

یکی از واقعیت های شناخته شده در حوزه فناوری اطلاعات این است که داده ها و شواهد دیجیتال به راحتی قابل تغییر و حذف هستند. در طی سال ها فعالیت در زمینه تحلیل شواهد مبتنی بر سیستم های رایانه ای، گاه به گاه با مواردی مواجه شده ایم که در آن افراد اقدام به تغییر محتوای فایل ها و اسناد دیجیتال کرده اند تا موجب گمراهی یا اختلال در روند تحلیل اطلاعات مشتریان شوند. همچنین در برخی موارد، حجم زیادی از فایل ها به صورت عمدی حذف شده اند تا از دسترسی و بررسی آن ها جلوگیری گردد.

چنین اقداماتی به ندرت چالش های جدی ایجاد می کردند. ابزارهای تخصصی جرم شناسی دیجیتال (IT Forensics) در شناسایی اسناد دستکاری شده و بازیابی داده های حذف شده، البته در صورتی که حذف یا تغییر آنها از طریق روش های معمول انجام شده باشد، بسیار موثر هستند.



تا چند سال پیش، به ندرت با اقدامات پیشرفته مانند استفاده از ابزارهای «نابودسازی فایل» یا «حذف کامل شواهد» جهت حذف شواهد مواجه می شدیم، این نوع فعالیت ها برای حذف شواهد معمولا فقط در زمان هایی که تحلیل گران و متخصصین رایانه ای مشغول بررسی کارهای افراد حرفه ای در زمینه فناوری بودند، شناسایی می شدند. یعنی این اقدامات به قدری پیچیده و تخصصی بودند که فقط افرادی که مهارت بالایی در زمینه رایانه داشتند، می توانستند این فعالیت ها را پیدا کنند.

در چند سال اخیر، با پیشرفت های فناوری، استفاده از ابزارهای کشف الکترونیکی و تحلیل شواهد دیجیتال در پرونده های حقوقی رایج تر شده است. از طرف دیگر، افرادی که تحت تحقیق قرار می گیرند، برای جلوگیری از شناسایی شواهد واقعی از تکنیک های پیشرفته مقابله با جرم شناسی استفاده می کنند تا بازیابی شواهد معتبر از طریق رایانه ها را مختل کنند. اکنون در تمامی پرونده ها، بررسی دستکاری داده ها به صورت یک روال استاندارد و معمول در پرونده ها انجام می شود.

با پیشرفت تکنیک های مقابله با جرم شناسی، متخصصان جرم شناسی دیجیتال باید مهارت های جدیدی کسب کنند تا بتوانند با این ابزارهای پیچیده مقابله کنند. به علاوه، آن ها دیگر کمتر به نرم افزارهای سنتی جرم شناسی تکیه می کنند چون برخی از این نرم افزارها توسط ابزارهای مقابله با جرم شناسی دور زده می شوند.

چه نوع تکنیک هایی برای مقابله با جرم شناسی دیجیتال وجود دارد؟

چهار رویکرد اصلی وجود دارد که یک کاربر می تواند برای ممانعت یا اخلال در فرآیند تحلیل و بازیابی داده ها توسط متخصصان جرم شناسی دیجیتال از آن ها استفاده کند:

نابودسازی داده، دستکاری داده، پنهان سازی داده و جلوگیری از ذخیره سازی داده.

نابودسازی داده ها (Data Destruction)

در نگاه اول، ممکن است چنین به نظر برسد که بهترین راه برای مقابله با داده های مجرمانه، حذف کامل آن ها می باشد. افراد زیادی از تکنیک های گوناگون برای پاک سازی داده های ذخیره شده در سیستم های خود استفاده می کنند؛ از حذف ساده و معمول فایل ها، گرفته تا استفاده از ابزارهای پیشرفته حذف شواهد (evidence elimination tools)، و حتی تعویض یا جایگزینی (هارددیسک) حاوی شواهد.

حذف فایل (File Deletion)

وقتی شما یک فایل را از روی رایانه حذف می کنید، این کار به طور کامل فایل را از سیستم پاک نمی کند. در واقع، اطلاعات همچنان در سیستم باقی می ماند و می تواند در مکان های مختلفی از جمله:

  • فایل های لینک (لینک های شورتکات)
  • برچسب ها و نشانه ها در سیستم عامل
  • مراجع موجود در رجیستری ویندوز

این اطلاعات ممکن است به شکلی نشان دهنده این مسئله باشد که یک فایل در گذشته روی رایانه وجود داشته است.

علاوه بر این، بسیاری از برنامه ها نسخه های موقتی از فایل ها را در سیستم ذخیره می کنند. بنابراین حتی اگر شما یک فایل را حذف کنید، احتمال بازیابی داده ها از روی نسخه های موقتی وجود دارد.

بنابراین، حذف ساده فایل، به ویژه برای فردی که می خواهد شواهد را مخفی کند، کافی نیست. برای حذف کامل داده ها، باید از ابزارهای خاصی استفاده کرد که نه تنها فایل ها، بلکه نشانه ها و فایل های موقتی را نیز پاک کنند تا داده ها غیرقابل بازیابی شوند.

فرمت مجدد (Reformatting)

بسیاری از افراد فکر می کنند که فرمت کردن یک درایو، همه اطلاعات موجود در آن را از بین می برد، به ویژه چون فرآیند فرمت کردن معمولا زمان بر است و ممکن است چندین ساعت طول بکشد. اما این باور ناشی از درک نادرست درباره فرآیند فرمت می باشد. در حقیقت، ممکن است برای یک متخصص جرم شناسی دیجیتال کمتر از زمانی که برای فرمت کردن درایو صرف می شود، جهت برگرداندن اثرات فرمت کردن زمان نیاز باشد.

وقتی شما یک هارد دیسک را فرمت می کنید، در واقع:

1. جدول فایل ها (File Table) را بازنشانی یا مجددا تنظیم می کنید. این عمل باعث می شود که سیستم دیگر نتواند فایل ها را شناسایی کند، ولی فایل های واقعی همچنان روی دیسک باقی می مانند.

2. جستجو برای بخش های خراب (Bad Sectors) :فرمت کردن معمولا شامل بررسی دیسک برای یافتن بخش هایی است که ممکن است آسیب دیده باشند یا کار نمی کنند. این بررسی زمان بر است و در هارد دیسک های بزرگ ممکن است چندین ساعت طول بکشد. اگر این جستجو برای بخش های خراب انجام نشود، فرمت کردن معمولا فقط چند ثانیه زمان می برد.

بنابراین، فرمت کردن تنها ساختار جدول فایل ها را پاک می کند و اطلاعات اصلی را پاک نمی کند.

برای بازگرداندن فرمت، تمام کاری که یک کارشناس دیجیتال باید انجام دهد، این است که جدول فایل های حذف شده را پیدا کرده و آن را بازسازی کند. بسیاری از ابزارهای جرم شناسی دیجیتال به کارشناسان این امکان را می دهند که بسادگی این اقدام را انجام دهند.

گاهی اوقات، افراد پس از فرمت کردن سیستم، سیستم عامل را دوباره نصب می کنند. این کار ممکن است مشکلاتی ایجاد کند زیرا معمولا جدول فایل قدیمی را بازنویسی می کند. با این حال، فایل های حذف شده بر روی هارد دیسک هنوز هم قابل بازیابی هستند، هرچند که این فرآیند معمولا به مراتب دشوارتر و زمان برتر می باشد.

یکپارچه سازی (Defragmentation)

زمانی که هارد دیسک یک رایانه به شدت پر می شود، ذخیره سازی فایل های بزرگ بر روی آن دشوار می شود و گاهی اوقات حتی ممکن است نتوان یک فایل را در یک فضای پیوسته بر روی دیسک ذخیره کرد. در این صورت، رایانه بخش های مختلف فایل را در مکان های متفاوتی ذخیره می کند. که به این حالت فایل بخش بندی شده یا Fragmented گفته می شود.

تکه تکه شدن فایل ها (Fragmentation) معمولا باعث کند شدن محسوس عملکرد رایانه می شود. دلیل آن این است که برای بارگذاری یک فایل در حافظه (RAM)، سیستم عامل باید ابتدا بخش های مختلف آن فایل را از مکان های متعدد روی هارد دیسک جستجو کرده و جمع آوری کند.

این مسئله زمانی شدیدتر می شود که فایل های سیستمی(System Files) نیز به همین شکل دچار تکه تکه شدن شوند، چرا که این فایل ها به صورت مکرر و حیاتی توسط سیستم مورد استفاده قرار می گیرند. در نتیجه، افزایش زمان دسترسی تصادفی (Random Access Time) در دیسک رخ می دهد که موجب کاهش کلی کارایی سیستم خواهد شد.

فرایند یکپارچه سازی (Defragmentation) هارد دیسک را به گونه ای سازمان دهی مجدد می کند که تمام بخش های هر فایل در یک فضای پیوسته ذخیره شوند. همچنین این فرآیند تلاش می کند تا تمامی فایل های موجود روی سیستم را به صورت منطقی در یک ناحیه متمرکز از دیسک قرار دهد، که در نتیجه آن، سرعت جستجو و دسترسی به فایل ها در دیسک افزایش می یابد.

در حین اجرای این فرآیند، سیستم عامل فایل ها را بازنویسی و جابجا می کند، که این موضوع ممکن است منجر به تغییر یا حتی آسیب به داده هایی شود که در فضای تخصیص نیافته دیسک باقی مانده اند؛ فضایی که اغلب محل ذخیره سازی فایل های حذف شده و اطلاعات قابل بازیابی در تحلیل های دیجیتال می باشد.

این اقدامات همگی بخش های طبیعی و معمول از فرآیند یکپارچه سازی (Defragmentation) هستند و در شرایط عادی مشکل ساز محسوب نمی شوند مگر زمانی که رایانه تحت تجزیه و تحلیل جرم شناسی دیجیتال (Forensic Analysis) قرار گرفته باشد.

در چنین شرایطی، هرگونه اختلال در فضای تخصیص نیافته می تواند منجر به نابودی قطعی آثار باقی مانده از شواهد دیجیتال شود که در این نواحی از دیسک نوشته شده اند. این آثار باقی مانده ممکن است شامل داده های حذف شده، تکه های فایل، یا سایر نشانه های مهم در تحقیقات دیجیتال باشند.

هنگامی که عملیات یکپارچه سازی (Defragmentation) با حذف فایل ها (File Deletion) ترکیب شود، می تواند احتمال غیرقابل بازیابی شدن آثار جرم شناسی دیجیتال (Forensic Traces) مربوط به فایل های حذف شده را به طور قابل توجهی افزایش دهد.

همانند حذف فایل، فرایند یکپارچه سازی زمانی بیشترین اثربخشی را در نابود کردن شواهد دیجیتال دارد که یکی از دو حالت زیر وجود داشته باشد:

· دیسک تقریبا پر باشد. زیرا در این حالت، سیستم عامل احتمالا فایل های جدید را دقیقا روی نواحی قبلی بازنویسی می کند؛

· فرآیند یکپارچه سازی مدتی طولانی قبل از انجام تحلیل های جرم شناسی انجام شده باشد که باعث می شود شواهد موجود در فضای تخصیص نیافته، به مرور با داده های جدید جایگزین شوند.

همانند حذف فایل ها، فرآیند یکپارچه سازی هم شواهد ردپا یا آثار باقی مانده زیادی بر روی هارد دیسک باقی می گذارد که نشان می دهد فایل هایی از سیستم حذف شده اند.

بنابراین، کارایی این روش به عنوان یک تکنیک مقابله با جرم شناسی دیجیتال محدود می باشد و نمی توان به طور کامل بر روی آن جهت نابودی کامل شواهد تکیه کرد.

اگر فردی بصورت ناگهانی تصمیم بگیرد که عملیات یکپارچه سازی را روی رایانه اش انجام دهد، این رفتار ممکن است مشکوک به نظر برسد. چرا که این کار معمولا به طور ناگهانی فقط زمانی انجام می شود که احتمال تجزیه و تحلیل جرم شناسی دیجیتال روی رایانه وجود داشته باشد.

در واقع، اگر متهمی پس از این که احتمال بررسی داده ها از طریق تحقیقات دیجیتال وجود دارد، شروع به یکپارچه سازی رایانه خود کند، ممکن است دادگاه یا مراجع قضائی به این موضوع مشکوک شوند و این عمل را به عنوان تلاش یا اقدامی برای پنهان کردن شواهد تعبیر کنند.

فرمت کردن یک هارد دیسک 60 گیگابایتی 2.5 اینچی با سرعت 5400 دور در دقیقه (RPM) از نوع SATA، در دو حالت مختلف، زمان متفاوتی می برد:

1. فرمت کامل: این نوع فرمت که تمامی داده ها و اطلاعات را از هارد دیسک حذف می کند، حدود 27 دقیقه زمان می برد.

2. فرمت سریع : این روش فقط جدول فایل ها را بازنشانی می کند و داده ها را پاک نمی کند، بنابراین زمان آن تنها حدود 20 ثانیه می باشد.

حذف غیر قابل بازیابی فایل (File Shredding)

با انجام عملیات حذف غیر قابل بازیابی فایل (File Shredding)، یک فایل فقط حذف نمی شود، بلکه بازنویسی می شود. بایت های داده ای فایل که در هارد دیسک ذخیره شده اند، با داده های جدید بازنویسی می شوند و در بیشتر موارد، ورودی جدول فایل هم بازنویسی می شود. ابزارهای حذف غیر قابل بازیابی فایل هم برای خرید و هم به صورت دانلود رایگان از طریق اینترنت به راحتی قابل تهیه هستند.

حذف غیر قابل بازیابی فایل نسبت به حذف معمولی فایل موثرتر است، چرا که برخی داده های خاص ممکن است توسط تحلیل گران جرم شناسی (Forensic Analysts) قابل بازیابی نباشند. با این حال، این روش هم بسیاری از کاستی های موجود در حذف معمولی فایل را همچنان بهمراه دارد. در اغلب موارد، حذف غیر قابل بازیابی فایل نیز تمامی آثار باقی مانده فایل های حذف شده را از بین نمی برد.

یک تحلیل گر حرفه ای می تواند تشخیص دهد که چه فایل هایی قبلا روی سیستم وجود داشته اند و چه زمانی حذف شده اند. از این رو، این تکنیک همچنان ریسک قابل توجهی برای هر متهمی که تصمیم به استفاده از آن بگیرد را به همراه دارد. البته حذف غیر قابل بازیابی فایل می تواند کاربردهای مشروعی هم داشته باشد؛ مثلا برای افزایش امنیت در سیستم هایی که نیاز به حذف منظم داده های حساس دارند، استفاده می شود.

حذف شواهد (Evidence Elimination)

«حذف کننده های شواهد» یا (Evidence Eliminators) نرم افزارهایی هستند که به طور خاص طراحی شده اند تا بیشترین میزان از داده های باقی مانده (Residual Data) در یک رایانه را که ممکن است مورد توجه تحلیل گر جرم شناسی قرار گیرد، حذف کنند. این ابزارها در حذف داده ها، بسیار موثرتر از هر یک از روش هایی هستند که پیش تر به آن ها اشاره شد.

تقریبا تمامی ابزارهای حذف شواهد دارای قابلیت حذف غیر قابل بازیابی فایل (File Shredder) هستند، اما بسیاری از آن ها قابلیت های پیشرفته تری نیز دارند، از جمله:

· بازنویسی فضای خالی، فضای slackیا بخش بلااستفاده از فضای ذخیره سازی و فضای تخصیص نیافته (Unallocated Space)

· پاک سازی فایل های تاریخچه (History Files)

· حذف فایل های گزارش (Log Files)

· ویرایش یا حذف تنظیمات رجیستری (Registry Settings)

بهتر است نمونه های پیشرفته تر این ابزارها از طریق CD یا دستگاه USB اجرا شوند تا هیچ گونه ردی از خودشان روی رسانه ای که در حال "پاک سازی" آن هستند، باقی نگذارند. بیشتر نرم افزارهای موثر در حذف شواهد، تجاری هستند و تعدادی از بهترین نمونه های آن ها می توانند خیلی گران قیمت باشند.

با اینکه این روش ها موفق تر از سایر روش ها هستند، اما به هیچ وجه بی نقص و بدون خطا نیستند و در بسیاری از مواقع می توانند نتیجه ای معکوس برای کاربر خود به همراه داشته باشند.
مشکل اصلی آن ها این است که اغلب مقدار زیادی از داده ها را حذف می کنند.

یک تحلیل گر حرفه ای جرم شناسی دیجیتال انتظار دارد که همواره بخشی از داده های باقیمانده در برخی نواحی مشخص هارد دیسک وجود داشته باشد؛ برای مثال:

  • اطلاعات فایل ها در فضای slack
  • بخش هایی از فایل ها در فضای تخصیص نیافته

اگر چنین داده هایی وجود نداشته باشد، احتمالا تحلیل گر به پاک سازی عمدی مشکوک خواهد شد. با اندکی بررسی، یک تحلیل گر ماهر می تواند نه تنها تشخیص دهد که از یک ابزار حذف شواهد (Evidence Eliminator) استفاده شده، بلکه مشخص کند چه زمانی و توسط چه کسی این کار انجام شده است.

در واقع، برای افرادی که سعی در دست کاری یا حذف شواهد دارند، ابزارهای حذف شواهد کامل و بی نقص وجود ندارند؛ در نتیجه ممکن است اطلاعات مجرمانه همچنان روی سیستم باقی بماند.

پاک سازی کامل دیسک (Disk Wiping)

در برخی شرایط، فرد مجرم به این نتیجه می رسد که نابود کردن شواهد، صرف نظر از میزان پیامدهای احتمالی، ارزشش را دارد.

ابزارهای متعددی برای پاک سازی کامل دیسک در بازار وجود دارند، که بسیاری از آن ها به صورت رایگان در اینترنت قابل دانلود هستند و استفاده از آن ها معمولا ساده می باشد.

استفاده از این ابزارها، در صورتی که پس از دریافت احضاریه یا اخطار قانونی صورت گرفته باشد، مصداق بارز «توهین به دادگاه یا سرپیچی از حکم دادگاه یا قانون » تلقی می شود و می تواند با مجازات های سنگین همراه باشد.

گاهی اوقات با متهمانی مواجه می شویم که اقدام به پاک سازی دیسک و نصب مجدد سیستم عامل می کنند، یا اقدام به (Re-imaging) کامپیوترهایشان می کنند؛ یعنی تمام محتویات یک دیسک سخت دیگر را بر روی دیسک شواهد کپی می کنند، تا این حقیقت را پنهان کنند که دیسک قبلا پاک سازی شده است.

با این حال، نتایج حاصل از انجام چنین فعالیت هایی به قدری واضح هستند که فقط یک تحلیل گر بی دقت می تواند آن ها را نادیده بگیرد. البته ممکن است متهم ادعا کند که او به طور منظم سیستم خود را Re-imaging می کند و این اقدام هیچ گونه ارتباطی با اقدامات قانونی نداشته است. اما این رفتار در بیشتر مواقع،کاملا غیرمعمول می باشد و ممکن است هر دادگاهی آن را به عنوان رفتاری مشکوک در نظر بگیرد.

از نظر تئوری، داده های یک دیسک که به طور کامل بازنویسی (overwrite) شده باشد، قابل بازیابی هستند؛ اگرچه در این مورد، بین متخصصان علوم کامپیوتری اختلاف نظر وجود دارد. متاسفانه، فناوری موردنیاز برای انجام چنین بازیابی ای فراتر از توان اکثر ارائه دهندگان خدمات جرم شناسی دیجیتال می باشد (این فرآیند معمولا به یک میکروسکوپ نیروی مغناطیسی اسکن کننده – Scanning Magnetic Force Microscope نیاز دارد) و طبیعتا هزینه ی بسیار بالایی دارد.

حذف غیرقابل بازیابی فایل (File shredding)

اگر یک سند ورد در ویندوز به طور کامل و غیرقابل بازیابی حذف گردد، ممکن است فایل های پیوندی در پوشه Recent، رکوردهای MRU (Most Recently Used)در مکان های مختلف رجیستری، قطعاتی از فایل های موقتی که در هنگام ویرایش ایجاد شده اند (که خود شامل متادیتای گسترده ای هستند)، و احتمالا موارد دیگر در فایل های Pagefile و Hiberfile باقی بمانند.

MRU: به فهرستی از فایل ها یا برنامه هایی اطلاق می شود که اخیرا در یک سیستم عامل یا برنامه نرم افزاری استفاده شده اند.

حوادث ناخواسته (Unfortunate Accidents)

در نهایت، اگر یک مظنون توان تحمل از دست دادن داده ها و دستگاه خود را داشته باشد، اگر او بخواهد به طور منطقی از شر یک وسیله ی حاوی شواهد خلاص شود، هیچ جایگزینی بهتر از یک «حادثه ناخواسته» به موقع نمی باشد.

در حوزه ی امنیت فناوری اطلاعات، یک ضرب المثل معروف وجود دارد که می گوید:

"یک پتک ۵ پوندی، بهترین ابزار پاک سازی هارد دیسک است که بشر می شناسد."

متاسفانه، برخی از افرادی که ما آن ها را مورد بررسی قرار می دهیم نیز این حقیقت را کشف کرده و آن را برای از بین بردن دستگاه هایی که شواهد در آن ها قرار دارد، به کار می برند.

در واقع، بعضی مظنون ها ترجیح می دهند به جای استفاده از نرم افزار یا روش های پیشرفته پاک سازی اطلاعات، با یک "حادثه ی ساختگی" مثل شکستن هارد با پتک به صورت فیزیکی شواهد دیجیتال رو نابود کنند.

حتی اگر کسی از روش یکپارچه سازی برای پاک سازی هارد دیسک استفاده کند، باز هم آثار و نشانه هایی از فایل های حذف شده باقی می ماند که متخصصان جرم شناسی دیجیتال می توانند از آنها برای تشخیص عملیات حذف فایل استفاده کنند.

در سال گذشته، با مواردی مواجه شدیم که در آن ها لپ تاپ های حاوی شواهد به صورت «تصادفی» دچار حادثه شده بوند برای مثال:

  • یکی از آن ها «تصادفا» و دقیقا قبل از زمان جمع آوری اطلاعات توسط تیم بررسی از بالای پله ها به پایین افتاده بود،

· در یک مورد دیگر، لپ تاپ در حال روشن بودن به شدت تکان داده شده که منجر به نوعی آسیب جدی به هارد دیسک شده است؛ آسیبی که در اصطلاح فنی به آن Head Crash گفته می شود.

  • در مورد سوم، یک فنجان بزرگ قهوه روی لپ تاپ روشن ریخته بود که باعث اتصال کوتاه در هارد دیسک شده بود.

در دو مورد اول، آسیب وارده به هارد دیسک به حدی شدید بود که امکان بازیابی داده ها وجود نداشت. اما در مورد سوم، پس از بازسازی سخت افزاری هارد، توانستیم شواهد بسیار محکمه پسند و مجرمانه ای را بازیابی کنیم.

حتی تخریب فیزیکی شواهد هم نمی تواند تضمین کند که آن ها مجدد علیه مظنون به کار گرفته نخواهند شد.

در یک مورد، مظنون چند عدد فلاپی دیسک حاوی شواهد را با قیچی تکه تکه کرده و فکر می کرده که داده ها برای همیشه از بین رفته اند. اما در نهایت، اطلاعات با چسباندن تکه های فلاپی دیسک آسیب دیده به دیسک های سالم و خواندن داده ها به صورت عادی بازیابی شد. در این پرونده، مظنون محکوم و روانه ی زندان شد.

جعل (Counterfeiting )

یکی دیگر از روش های رایج برای پنهان کردن اطلاعات، تغییر دادن آن ها می داد. تغییر دادن داده ها یا اطلاعات ذخیره شده در کامپیوتر کاملا ساده می باشد و مستندات چاپی هیچ اثری از تغییرات احتمالی که ممکن است اعمال شده باشد، نشان نمی دهند. اما وقتی اسناد در حالت الکترونیکی مورد بررسی قرار می گیرند، تغییرات اخیر بسیار مشهود و واضح تر می باشند.

در این حالت، سیستم های دیجیتال معمولا اطلاعاتی مانند تاریخ و زمان آخرین ویرایش، نویسنده و تغییرات دیگر را ذخیره می کنند که به راحتی می توانند توسط کارشناسان بررسی شوند. این ردپاهای دیجیتال به افراد این امکان را می دهند که تغییرات اعمال شده روی اسناد یا داده ها را شناسایی کنند، که در بررسی های قانونی یا تحقیقات جنایی می تواند حیاتی باشد.

بسیاری از انواع فایل های استاندارد به طور پیش فرض مقادیر زیادی متادیتا (اطلاعات ساختاری که توصیف، توضیح یا مکان یک منبع اطلاعاتی را مشخص می کند) دارند که می تواند مسیر شواهدی از هرگونه تغییری که اخیرا روی فایل انجام شده باشد، فراهم کند.

برای مثال، یک فایل مایکروسافت ورد شامل فهرستی از نام ها و مکان های ذخیره سازی قبلی خود، زمان های آخرین دسترسی، چاپ یا ویرایش، تعداد ویرایش هایی که فایل انجام داده است، زمان کلی ویرایش و نام آخرین ویرایش کننده می باشد. تحلیل این متادیتا اغلب می تواند نشان دهد که یک فایل دستکاری شده است. این اطلاعات می توانند در تحقیقات جنایی دیجیتال مفید باشند، زیرا به راحتی نشان می دهند که آیا فایل ویرایش شده یا خیر و در چه زمانی این تغییرات اعمال شده اند.

اگر یک فایل مشکوک در زمینه کامپیوتری که آخرین بار روی آن ویرایش انجام شده بررسی شود، شواهد بیشتری ممکن است در دسترس باشد. سیستم عامل علاوه بر ذخیره سازی داده های اصلی فایل، اطلاعات اضافی و مرتبطی مانند زمان ویرایش، تاریخ ایجاد، نام کاربری که ویرایش کرده و مکان فایل را نیز ثبت می کند. این متادیتا می تواند به عنوان شواهدی از تاریخچه و تغییرات انجام شده بر روی فایل استفاده شود. همان طور که پیش تر گفته شد، بسیاری از برنامه ها از جمله مایکروسافت آفیس نسخه های موقت از فایل های در حال ویرایش ایجاد می کنند تا در صورت بروز مشکل یا خرابی در طول فرآیند ویرایش، از آن نسخه ها استفاده کنند. این فایل های موقت اغلب در پیگیری تاریخچه تدوین یک سند مفید هستند و می توانند به وضوح تلاش های دستکاری (جعل) را نشان دهند.

این فایل های موقت به عنوان شواهدی از تغییرات انجام شده در فایل اصلی عمل می کنند و می توانند به تحلیل گر کمک کنند تا روند ویرایش و احتمالا جعل ها را شناسایی کند.

از آنجایی که ممکن است اطلاعات مختلفی روی هارد دیسک ذخیره شوند که می توانند صحت یا شک در مورد اسناد شواهدی ذخیره شده را تایید یا رد کنند، متخصصان تحلیل های دیجیتال و کشف اطلاعات الکترونیکی ترجیح می دهند به جای کپی کردن فقط فایل های مرتبط، کل هارد دیسک دستگاه مورد هدف را کپی کنند تا اطلاعات بیشتری به دست آورند و بتوانند تحلیل دقیق تری انجام دهند. این کار به آنها کمک می کند تا هیچ داده ای از دست نرود و شواهد به طور کامل بررسی شود.

نرم افزارهای یکپارچه سازی، که قبلا مورد بحث قرار گرفتند، می توانند به عنوان ابزاری برای جعل هم مورد استفاده قرار گیرند. همان طور که توضیح داده شد، نرم افزارهای حذف شواهد یا حذف غیر قابل بازیابی فایل مقدار زیادی شواهد از استفاده خود بر روی هارد دیسک ها به جا می گذارند که ممکن است توسط یک تحلیل گر کشف شود. برای مثال، یک نرم افزار یکپارچه سازی ممکن است فایل های موجود را جابجا کند و فضاهای خالی (که به طور معمول شامل داده های حذف شده است) را دوباره پر کند، به این ترتیب می تواند شواهدی از استفاده نرم افزارهای حذف شواهد یا حذف غیرقابل بازیابی را از بین ببرد یا پیچیده تر کند. در نتیجه، این تکنیک ها می توانند به طور عمدی برای تغییر تاریخچه یا اطلاعات فایل ها و جعل شواهد استفاده شوند.

اگر یک تحلیل گر حرفه ای و دقیق به هارد دیسک بررسی شده نگاه کند، می تواند نواحی از داده های خالی یا به طور تصادفی تغییر یافته را روی دیسک شناسایی کند. این نوع داده ها که به آن ها حفره های داده (Data Voids) یا فضای خالی داده گفته می شود، معمولا زمانی ایجاد می شوند که کسی سعی کرده باشد شواهد را به عمد از بین ببرد. این فضاهای خالی می توانند نشانه ای از تلاش برای حذف داده ها و شواهد باشند و به تحلیل گر کمک می کنند تا متوجه شود که تخریب عمدی شواهد انجام شده است.

اجرای یک نرم افزار یکپارچه کننده (Defragmenter) ممکن است فایل های موجود را در فضاهای خالی دیسک جابجا کند. این فرآیند می تواند باعث شود نسخه های حذف شده ای از فایل های موجود به صورت ناخواسته در بخش هایی از دیسک ایجاد شوند. به عبارتی، فضاهای پاک شده ی قبلی (مناطق تخصیص نیافته دوباره با داده ها پر شوند. این کار باعث می شود که برای یک تحلیل گر، شناسایی اینکه از نرم افزار حذف شواهد استفاده شده، بسیار سخت تر شود.

خوشبختانه استفاده از ابزار یکپارچه سازی دیسک می تواند خودش به عنوان نشانه ای از تخریب شواهد تلقی شود. یک تحلیل گر حرفه ای در حوزه ی جرم شناسی دیجیتال معمولا می تواند استفاده از این ابزار را شناسایی و ثابت کند و از همه مهم تر، نشان دهد که استفاده از آن در این سیستم خاص، رفتاری غیرعادی بوده است.

در این مواقع، دفاع رایجی که برخی افراد ارائه می دهند این است که:

"آن ها به طور معمول از این ابزار استفاده می کنند تا عملکرد سیستم شان بهتر شود."

دفاع از این موضوع با توجه به این حقیقت تقویت می شود که مایکروسافت مستندات فنی منتشر کرده است که بیان می کند یکپارچه سازی منظم یک روش خوب و کارآمد می باشد (که واقعا همینطور است، اما در اکثر موارد این کار باید به طور سالانه یا نیمه سالانه انجام شود، نه به طور مثال به صورت هفتگی). نسخه های جدید سیستم عامل های مایکروسافت همچنین نرم افزار یکپارچه سازی را به طور خودکار به عنوان بخشی از عملیات معمول اجرا می کنند، بنابراین تحلیل گرهای جرم شناسی دیجیتال باید توانایی تفکیک بین دفعات اجرای خودکار و دستی فرآیند یکپارچه سازی را داشته باشند تا بتوانند از سوءاستفاده از این ابزار جهت پنهان سازی شواهد جلوگیری کنند.

کاربرانی که قصد دارند شواهد حذف شده یا فضای خالی یک هارد دیسک را جعل کنند (مثلا برای مخفی کردن شواهد) چندین روش مختلف دارند. یکی از این روش ها این است که پوشه های بزرگ موجود در کامپیوتر را کپی کرده و سپس آنها را حذف کنند. این کار باعث می شود که فایل های حذف شده فعلا روی دیسک باقی بمانند و ممکن است توسط یک تحلیل گر قابل شناسایی باشد.

روش دیگر این است که فرد تعداد زیادی صفحه وب را با استفاده از مرورگر خود باز کند تا کش مرورگر (که شامل اطلاعات صفحات وب بازدید شده است) فضای خالی را پر کند، یا فایل های رسانه ای بزرگی از اینترنت دانلود کند تا این فضا را پر کند. این کارها ممکن است باعث تغییر در داده ها و باقی ماندن ردپایی از این فعالیت ها شود.

مشکل این است که اگر فرد معمولا استفاده زیادی از وب نداشته باشد یا به طور منظم فایل های بزرگ دانلود نکند، رفتار او برای یک تحلیل گر غیرمعمول به نظر می آید و ممکن است باعث شود تحلیل گر بیشتر بر روی این فعالیت ها تمرکز کند. در واقع، جعل فضای خالی دیسک و مخفی کردن شواهد به راحتی نمی تواند بدون جلب توجه تحلیل گر انجام شود.

جعل شواهد تنها به استفاده از پردازشگرهای کلمه و مرورگرهای وب محدود نمی شود. در یک مورد خاص، فرد تحت بررسی تصمیم گرفته بود که کل هارد دیسک خود را با یک هارد جدید تعویض کند، ساعت سیستم خود را به سه سال پیش بازگردانده بود، سیستم عامل را نصب کرده و سپس زمان سیستم را دوباره به جلو برده بود. این کار ظاهرا نشان می داد که کامپیوتر به طور فرضی سه سال پیش تنظیم شده است و از آن زمان استفاده نشده است.

فرد مدعی شده بود که کامپیوتر به ندرت استفاده شده و داده ای مرتبط بر روی آن وجود ندارد. اما او غافل از این موضوع بود که تاریخ ساخت هارد دیسک جدید دو سال بعد از تاریخ فرضی نصب آن بوده، که همین مسئله اعتبار ادعای او را زیر سوال برد.

در واقع، این نمونه نشان می دهد که افراد ممکن است سعی کنند شواهد را جعل کنند یا اطلاعات خود را تغییر دهند تا از پیگیری های قانونی جلوگیری کنند، اما اگر به جزئیات توجه نشود، این جعل ها به راحتی قابل شناسایی هستند.

در مقابل دیدمان مخفی شده!

در فرمت های گرافیکی کامپیوتری (مثل تصاویر)، داده های اضافی وجود دارند که چشم انسان قادر به تشخیص تفاوت های آن ها نیست. این داده های اضافی، که به آن ها "داده های اضافی" یا "داده های افزوده" گفته می شود، به دلیل حساسیت پایین چشم انسان به تغییرات کوچک در رنگ ها، می توانند برای مخفی کردن اطلاعات دیگر استفاده شوند. به طور خاص، در هر پیکسل یک تصویر، می توان از 4 بیت داده اضافی استفاده کرد که در مجموع می تواند اطلاعات زیادی را در خود جای دهد.

برای مثال، شما می توانید با تغییر این داده های اضافی، به طور مخفی یک فایل متنی مثل فایل ورد را درون تصویر جای دهید، بدون آن که اندازه یا ظاهر تصویر تغییر کند. این تغییرات برای چشم انسان قابل مشاهده نیستند، اما اگر به درستی تحلیل شود، می توان آن فایل های پنهان را بازیابی کرد. این تکنیک می تواند برای مخفی کردن اطلاعات در فایل های دیگر مانند فایل های صوتی و ویدیویی نیز استفاده شود.

به عبارت دیگر، این تکنیک نشان می دهد که داده های اضافی در فایل های دیجیتال می توانند برای مخفی کردن اطلاعات استفاده شوند و هیچ تغییر ظاهری در فایل نهایی ایجاد نمی کنند.Top of FormBottom of Form

پنهان سازی داده ها (Data Hiding)

پنهان سازی داده ها یکی از استراتژی های مقابله با (تحقیقات جرم شناسی دیجیتال) می باشد که به آن کمتر توجه می شود، اما در واقع رایج تر از آن چیزی ست که معمولا تصور می شود. این روش به این اصل تکیه دارد که محققان معمولا زمان یا منابع محدودی برای اختصاص به یک تحقیق دارند و حجم زیادی از اطلاعات برای جستجو در دسترس می باشد. هارددیسک های رایانه ای مدرن بسیار بزرگ هستند و قادر به ذخیره سازی داده هایی معادل میلیون ها کتاب چاپی می باشند؛ به عنوان مثال، مجموعه های چاپی کتابخانه کنگره ایالات متحده که توسط دانشگاه کالیفرنیا در برکلی حدود ۱۰ ترابایت تخمین زده شده است، در اصل می تواند بر روی چند هارددیسک ارزان و با ظرفیت بالا ذخیره شود (یک هارددیسک ۱ ترابایتی در هنگام نگارش این متن، حدود ۶۵ پوند قیمت دارد). بنابراین، کاملا عملی ست که داده ها را بر روی یک رایانه یا شبکه مدرن پنهان کرد. اگر مکان یا ماهیت یک فایل به گونه ای مخفی شود که تکنیک های جستجوی داده معمولی قادر به شناسایی آن نباشند، می توان نتیجه گرفت که داده ها بخوبی مخفی شده اند و از دید یک محقق پنهان می مانند.

مشکل پنهان سازی داده ها این است که داده های پنهان شده همچنان بر روی رایانه یا شبکه ای که مدرک محسوب می شود باقی می مانند، و یک محقق ماهر، دقیق یا خوش شانس ممکن است همچنان بتواند آن ها را کشف کند. با توجه به روش هایی که تاکنون مطرح شد، موارد زیر قابل ملاحظه می باشد:

جابه جایی داده ها (Relocation of data)

ساده ترین روش پنهان سازی داده ها، انتقال آن ها به یک محل ذخیره سازی جداگانه می باشد که ممکن است توسط محقق بررسی نشود.

عیب این روش این است که رایانه ها اغلب موارد انتقال داده را در گزارش های خودکار (log) ثبت می کنند و این موضوع ممکن است به محقق هشدار دهد که داده ای جابه جا شده است.

همچنین، رایانه ها معمولا هنگام اتصال یک دستگاه ذخیره سازی جدید، گزارش های سیستمی خود را به روزرسانی می کنند، که این مسئله هم ممکن است باعث شود که محقق متوجه وجود مورد مشکوکی شود.

تغییر پسوند فایل ها (Modification of file extensions)

انواع مختلف فایل های کامپیوتری معمولا از طریق پسوند فایل (که معمولا سه حرفی می باشد) شناسایی می شوند، مانند .xls که برای یک فایل اکسل استفاده می شود. یکی از قدیمی ترین روش های پنهان کردن یک فایل از دید بررسی، تغییر پسوند آن می باشد.

به عنوان مثال، برای پنهان کردن یک فایل گرافیکی JPEG، فرد ممکن است پسوند آن را از .jpg به .exe تغییر دهد، بدین ترتیب، فایل به عنوان یک برنامه به نظر می رسد و یک تصویر محسوب نمی شود. ویندوز فایل ها را بر اساس پسوند آن ها شناسایی می کند. برای مثال، یک فایل تصویری را باز نمی کند مگر اینکه پسوند آن به طور مشخص نشان دهد که حاوی یک تصویر می باشد.

خوشبختانه، بیشتر برنامه های تحقیقاتی جدید به محققان این امکان را می دهند که تمام فایل های موجود بر روی یک رایانه شواهدی را از نظر "تحلیل امضا" بررسی کنند تا اطمینان حاصل کنند که پسوند فایل ها با نوع واقعی آن ها مطابقت دارد. بیشتر محققان به طور روتین این کار را به عنوان بخشی از هر تحقیق انجام می دهند و به فایل هایی که امضای آن ها با پسوند فایل شان تطابق ندارد، توجه زیادی می کنند.

امضا معمولا بر اساس مقادیر چند بایت اول یک فایل (فایل هدر) تعیین می شود، و گاهی اوقات بایت های آخر فایل نیز در این تحلیل دخیل هستند. این مقادیر اغلب برای فرمت خاصی از فایل استاندارد هستند. به عنوان مثال، ده بایت اول یک فایل JPEG همیشه به ترتیب FF D8 FF 60 00 10 4A 46 49 46 می باشد، و D0 CF 11 E0 همیشه اولین ۴ بایت یک سند Microsoft Word با پسوند .DOC می باشد.

پوشاندن (مخفی کردن) داده ها (Cloaking)

در این روش، داده ها فشرده سازی، کدگذاری یا رمزگذاری می شوند تا با استفاده از روش های جستجوی استاندارد مانند جستجوی کلمات کلیدی قابل شناسایی نباشند. با این حال، پوشاندن داده ها به هیچ وجه بی نقص نیست؛ زیرا هرچه داده ها بهتر مخفی شوند، احتمال جلب توجه محقق هم بیشتر می شود.

به عنوان مثال، فایل های فشرده (zipped) در رایانه های دارای شواهد بسیار رایج هستند، اما حفاظت چندانی از داده های درون خود ارائه نمی دهند.

در مقابل، فایل های رمزگذاری شده (encrypted) هستند که معمولا بدون کلید رمزگشایی بسیار سخت باز می شوند و حفاظت مناسبی از داده های درون خود ارائه می دهند. این نوع فایل ها نسبتا به ندرت در رایانه های دارای شواهد یافت می شوند و در صورت مشاهده، محققان دقیق توجه ویژه ای به این نوع فایل ها خواهند داشت.

هیچ ابزاری بهتر از یه پتک پنج پوندی برای پاک کردن هارد نیستJ

محصور کردن داده ها (Encapsulation of data)
موثرترین روش برای پنهان سازی داده ها، نامرئی سازی آن هاست – یعنی پنهان کردن داده به گونه ای که مشخص نباشد چیزی مخفی شده است.
در این روش، فایل ها درون فایل های بزرگ تر قرار داده می شوند، به گونه ای که وجود فایل پنهان شده به سختی یا به هیچ وجه قابل تشخیص نمی باشد.
دو روش موثر در این زمینه شامل استگانوگرافی (Steganography) و استریمینگ (Streaming) هستند.

استگانوگرافی یا پنهان نگاری موضوعی است که کتاب های زیادی درباره آن نوشته شده اند. تصاویر، صداها و ویدیوها شامل داده های خیلی زیادی هستند و بیشتر از چیزی ست که چشم یا گوش انسان بتواند درک کند. استگانوگرافی از این ویژگی استفاده می کند و اطلاعات رو داخل بخش های غیر قابل تشخیص این فایل ها جاسازی می کند.

فایل هایی که به روش استگانوگرافی پنهان می شوند، معمولا تنها در صورتی کشف می شوند که کاربر این روش آن قدر بی احتیاط باشد که برنامه انجام دهنده استگانوگرافی را روی رایانه دارای شواهد باقی بگذارد؛ که در این صورت، این موضوع محقق را از وجود احتمالی چنین فایل هایی آگاه می سازد.

استریمینگ (Streaming) پیچیدگی کمتری نسبت به استگانوگرافی دارد. در این روش، چندین فایل می توانند به یک ورودی در جدول فایل ها متصل شوند. این فرآیند بیشتر در سیستم فایل NTFS(سیستم فایل ویندوز) رایج است و به این ترتیب می توان اطلاعات پنهانی را در یک فایل ذخیره کرد بدون اینکه ظاهر فایل تغییر کند.

بیشتر ابزارهای جنایی دیجیتال فقط یک فایل را که به یک ورودی در جدول فایل ها (File Table Entry) مرتبط است، نمایش می دهند. سایر فایل ها به طور موثر «پنهان» هستند و در فضاهای تخصیص نیافته (unallocated space) هارد دیسک گم می شوند. این فایل ها ممکن است همچنان با استفاده از جستجوهای کلمه کلیدی یا سایر جستجوها شناسایی شوند، اما می توان آن ها را قبل از انجام فرآیند استریمینگ فشرده یا رمزگذاری کرد که باعث می شود تکنیک های جستجو بی اثر شوند. هکرها معمولا از استریمینگ برای پنهان کردن ابزارهای خود در سیستمی که به آن نفوذ کرده اند، استفاده می کنند.

در واقع، استریمینگ و تکنیک های مرتبط، چالش های زیادی برای تحقیقات جنایی دیجیتال ایجاد می کنند. این روش ها به هکرها و مجرمان سایبری این امکان را می دهند که داده ها و ابزارهای مخفی شده را از چشم محققان پنهان کنند، و تنها در صورتی که این داده ها رمزنگاری یا فشرده نشده باشند، ممکن است توسط جستجوهای معمول شناسایی شوند.

پیشگیری (Pre-emption)
این تکنیک شامل جلوگیری از جمع آوری شواهد در ابتدا بر روی کامپیوتر یا شبکه می باشد. در بسیاری از موارد، جلوگیری از جمع آوری داده های قابل استفاده جنایی در کامپیوترها دشوار است، زیرا این کار می تواند عملیات عادی کامپیوتر را مختل کند. با این حال، برخی روش های پیشگیرانه وجود دارند که به سرعت قابل دسترسی هستند و یکی از آن ها، غیرفعال کردن قابلیت کش مرورگر در نرم افزار مرورگر اینترنت می باشد.

در بیشتر موارد، غیرفعال کردن این قابلیت باعث توقف دانلود یا ذخیره سازی داده ها نمی شود، اما این اطمینان را می دهد که داده ها زمانی که مرورگر از وب سایت خارج می شود یا بسته می شود، حذف شوند. داده هایی که به طور معمول در کش مرورگر ذخیره می شوند، اگر قابلیت کش مرورگر غیرفعال شود، به طور موقت و پراکنده بر روی کامپیوتر باقی می مانند. این داده ها به راحتی قابل بازیابی نخواهند بود و بیشتر به صورت قطعات کوچکتر و غیرقابل دسترسی به طور کامل باقی می مانند. در نتیجه، این تکنیک باعث می شود که بازیابی شواهد جنایی از طریق این داده ها سخت تر شود.

محصورسازی (Encapsulation) فایل ها را در داخل فایل های بزرگ تر پنهان می کند، به طوری که شناسایی وجود فایل پنهان شده دشوار یا غیرممکن می شود.

تکنیک های پیشگیری (Pre-emption) معمولا توسط هکرهای کامپیوتر استفاده می شوند. برخی ابزارها مانند U3 pens – فلش درایوهای USB با مجموعه ای کامل از ابزارهای اداری و فنی – به گونه ای طراحی شده اند که از ذخیره شدن هرگونه داده ای روی هارد دیسک جلوگیری کنند. رویکرد دیگر این است که کامپیوتر با استفاده از یک سیستم عامل بارگذاری شده از یک سی دی یا دی وی دی قابل بوت به جای سیستم عاملی که روی هارد دیسک نصب شده، اجرا شود. بدین ترتیب، از نوشتن هرگونه داده بر روی هارد دیسک جلوگیری می شود.

مشکل این نوع پیشگیری این است که این رفتار غیرعادی می باشد. کاربران معمولی معمولا دیسک های خود را برای به حداقل رساندن داده های اضافی سازمان دهی نمی کنند و کش مرورگر را نیز به طور معمول خاموش نمی کنند، چرا که این کار باعث کاهش کارایی کامپیوتر می شود. به طور مشابه، بیشتر کامپیوترها به طور پیش فرض داده های ثبت شده (لاگ ها) را جمع آوری می کنند و حتی بزرگ ترین لاگ ها تنها بخش کوچکی از ظرفیت کل هارد دیسک را پر می کنند. بنابراین هیچ دلیل عملی برای خاموش کردن آن ها جز پنهان کردن فعالیت های شان در کامپیوتر وجود ندارد.
بنابراین پیشگیری به طور ذاتی رفتاری مشکوک می باشد. و به محققان هشدار می دهد که موردی "مشکوک" در حال رخ دادن می باشد و آن ها را ترغیب می کند که کامپیوتر را با دقت بیشتری بررسی کنند.

نتیجه گیری

ابزارهای مقابله با جرم شناسی دیجیتال به مرور زمان رایج تر و استفاده از آن ها آسان تر شده است. سال هاست که مقابله با این ابزارها در حوزه ی تحقیقات مربوط به هک، یک چالش جدی بوده است؛ چون که عاملان این اقدامات، معمولا از دانش بالای فناوری اطلاعات برخوردارند و به خوبی از نوع شواهد دیجیتالی که ابزارهای هک آن ها ممکن است بر جای بگذارند، آگاه هستند.

اگرچه تکنیک های متعددی برای مقابله با جرم شناسی دیجیتال وجود دارد، و در سال های اخیر بسیاری از قدرتمندترین و پیچیده ترین این ابزارها توسط هکرها و برای استفاده هکرها طراحی شده، اما هیچ یک از این روش ها نمی توانند به طور قطعی همه ی شواهد را از بین ببرند. در واقع، استفاده از آن ها احتمالا باعث برجای ماندن آثار و ردپاهایی در کامپیوترها، شبکه ها و سرورها خواهد شد.

در زمینه جرم شناسی دیجیتال، تلاش برای حذف یا دستکاری شواهد دیجیتال، مانند لاگ های سیستم، فایل های موقت، یا داده های ذخیره شده می تواند به عنوان نشانه ای از فعالیت های مخفیانه یا غیرقانونی تلقی شود. این اقدامات نه تنها ممکن است موجب از بین رفتن اطلاعات مهم شوند، بلکه می توانند شواهدی مبنی بر پنهان کاری در نظرگرفته شوند.​

از سوی دیگر، در برخی موارد، مجازات های مربوط به دستکاری شواهد ممکن است کمتر از مجازات های مربوط به جرم اصلی باشد. بنابراین این موضوع می تواند انگیزه ای برای برخی افراد باشد تا اقدام به پنهان کردن یا تخریب شواهد کنند.​

در هر صورت، نقش محققان و بازرسان دیجیتال در شناسایی و تحلیل این اقدامات بسیار حیاتی می باشد. آن ها با استفاده از ابزارها و تکنیک های پیشرفته، می توانند ردپای این فعالیت ها را کشف کرده و در فرآیند رسیدگی قضایی مورد استفاده قرار دهند.

وکیل علیرضا طباطبایی هاشمی وکیل جرائم رایانه ای و جرائم اقتصادی

تماس با من

وکیل سایبریوکیل طباطباییوکیل جرائم رایانه ایجذف دادهروش های حذف اطلاعات
یادداشت قبلی

نقش حیاتی INTERPOL در ارتقای امنیت جهانی و مقابله با تهدیدات بین المللی