مقدمة
فاحصو الطب الشرعي الحاسوبي مسؤولون عن البراعة التقنية ومعرفة القانون والموضوعية في سياق التحقيقات. يعتمد النجاح على النتائج المبلغ عنها التي يمكن التحقق منها والتكرار والتي تمثل دليلًا مباشرًا على ارتكاب خطأ مشتبه به أو تبرئة محتملة. تحدد هذه المقالة سلسلة من أفضل الممارسات لممارس الطب الشرعي للكمبيوتر ، والتي تمثل أفضل دليل للحلول التي يمكن الدفاع عنها في هذا المجال. تهدف أفضل الممارسات نفسها إلى التقاط تلك العمليات التي أثبتت مرارًا نجاحها في استخدامها. هذا ليس كتاب طبخ من المفترض أن تتم مراجعة أفضل الممارسات وتطبيقها بناءً على الاحتياجات المحددة للمؤسسة والحالة ووضع الحالة.
معرفةالوظيفة
يمكن للفاحص أن يكون على علم بذلك فقط عندما يدخل في الميدان. في كثير من الحالات ، سيقدم العميل أو ممثله بعض المعلومات حول عدد الأنظمة المعنية ، ومواصفاتها ، وحالتها الحالية. وكما هو الحال في كثير من الأحيان ، فهم مخطئون بشكل فادح. هذا صحيح بشكل خاص عندما يتعلق الأمر بأحجام محركات الأقراص الثابتة ، وتكسير أجهزة الكمبيوتر المحمولة ، واختراق كلمات المرور ، وواجهات الأجهزة. يجب أن تكون النوبة التي تعيد المعدات إلى المختبر دائمًا خط الدفاع الأول ، مما يوفر أقصى قدر من المرونة. إذا كان يجب عليك القيام بالأعمال في الموقع ، فقم بإنشاء قائمة عمل شاملة بالمعلومات التي سيتم جمعها قبل أن تصل إلى الحقل. يجب أن تتكون القائمة من خطوات صغيرة مع مربع اختيار لكل خطوة. يجب أن يكون الفاحص على علم تام بالخطوة التالية وألا يضطر إلى “التفكير مليًا”.
بالغ في التقدير
بالغ في تقدير الجهد بمقدار ضعفين على الأقل مقدار الوقت الذي ستحتاجه لإكمال المهمة. يتضمن ذلك الوصول إلى الجهاز ، والبدء في الحصول على الطب الشرعي باستخدام إستراتيجية حظر الكتابة المناسبة ، وملء الأوراق المناسبة ووثائق سلسلة الوصاية ، ونسخ الملفات المكتسبة إلى جهاز آخر واستعادة الأجهزة إلى حالتها الأولية. ضع في اعتبارك أنك قد تحتاج إلى أدلة متجر لتوجيهك في تفكيك الأجهزة الصغيرة للوصول إلى محرك الأقراص ، مما يخلق صعوبة أكبر في إنجاز الاستحواذ واستعادة الأجهزة. العيش حسب قانون مورفي. هناك شيء ما سيتحداك دائمًا ويستغرق وقتًا أطول مما كان متوقعًا – حتى لو قمت بذلك عدة مرات.
معدات الجرد يمتلك معظم الفاحصين ما يكفي من مجموعة متنوعة من المعدات التي تمكنهم من إجراء عمليات اقتناء سليمة من الناحية الجنائية بعدة طرق. قرر مسبقًا كيف ترغب في تنفيذ عملية الاستحواذ على موقعك بشكل مثالي. سنرى جميعًا أن المعدات تفسد أو أن بعض أوجه عدم التوافق الأخرى تصبح سدادة للعرض في أكثر الأوقات حرجًا. ضع في اعتبارك حمل اثنين من أدوات حظر الكتابة ومحرك تخزين كبير السعة ، مسح وجاهز. بين الوظائف ، تأكد من التحقق من المعدات الخاصة بك من خلال تمرين التجزئة. تحقق جيدًا وجرد كل أدواتك باستخدام قائمة تحقق قبل الإقلاع.
اكتساب مرن
بدلاً من محاولة إجراء “أفضل التخمينات” حول الحجم الدقيق لمحرك الأقراص الثابتة للعميل ، استخدم أجهزة تخزين كبيرة السعة وإذا كانت المساحة تمثل مشكلة ، فإن تنسيق الاستحواذ من شأنه ضغط بياناتك. بعد جمع البيانات ، انسخ البيانات إلى موقع آخر. يقصر العديد من الفاحصين أنفسهم على عمليات الاستحواذ التقليدية حيث يتم تكسير الآلة ، وإزالة محرك الأقراص ، ووضعه خلف مانع الكتابة والحصول عليه. هناك أيضًا طرق أخرى للاستحواذ يوفرها نظام التشغيل Linux. يسمح نظام Linux ، الذي تم تمهيده من محرك أقراص مضغوطة ، للفاحص بعمل نسخة أولية دون المساس بالقرص الصلب. كن على دراية كافية بالعملية لفهم كيفية جمع قيم التجزئة والسجلات الأخرى. تمت مناقشة الاكتساب المباشر أيضًا في هذا المستند. اترك محرك الأقراص المصور مع المحامي أو العميل وأعد النسخة إلى مختبرك لتحليلها.
اسحب القابس
تحدث مناقشة محتدمة حول ما يجب أن يفعله المرء عندما يواجه آلة قيد التشغيل. يوجد خياران واضحان ؛ سحب القابس أو إجراء إيقاف تشغيل نظيف (على افتراض أنه يمكنك تسجيل الدخول). يقوم معظم الفاحصين بسحب القابس ، وهذه هي أفضل طريقة لتجنب السماح بأي نوع من العمليات الخبيثة من التشغيل والتي قد تحذف البيانات أو تمسحها أو بعض الأخطاء المماثلة الأخرى. كما يسمح للفاحص بالوصول إلى إنشاء لقطة لملفات المبادلة ومعلومات النظام الأخرى كما كان يعمل آخر مرة. وتجدر الإشارة إلى أن سحب القابس قد يؤدي أيضًا إلى إتلاف بعض الملفات التي تعمل على النظام ، مما يجعلها غير متاحة للفحص أو وصول المستخدم. تفضل الشركات أحيانًا إغلاقًا نظيفًا ويجب أن تُمنح الاختيار بعد شرح التأثير. من الأهمية بمكان توثيق كيفية سقوط الآلة لأنها ستكون معرفة أساسية للغاية للتحليل.
عمليات الاستحواذ الحية
خيار آخر هو إجراء عملية استحواذ مباشرة. يعرّف البعض “مباشر” على أنه آلة قيد التشغيل كما تم العثور عليها ، أو لهذا الغرض ، سيتم تشغيل الجهاز نفسه أثناء عملية الاستحواذ من خلال بعض الوسائل. تتمثل إحدى الطرق في التمهيد في بيئة Linux المخصصة التي تتضمن دعمًا كافيًا لالتقاط صورة للقرص الصلب (غالبًا من بين قدرات الطب الشرعي الأخرى) ، ولكن يتم تعديل النواة بحيث لا تلمس الكمبيوتر المضيف أبدًا. توجد أيضًا إصدارات خاصة تسمح للفاحص بالاستفادة من ميزة التشغيل التلقائي للنافذة لأداء الاستجابة للحوادث. تتطلب هذه معرفة متقدمة بكل من Linux وخبرة في الطب الشرعي للكمبيوتر. يعتبر هذا النوع من الاستحواذ مثاليًا عندما لا يكون تفكيك الماكينة خيارًا معقولًا لأسباب تتعلق بالوقت أو التعقيد.
الاساسيات
إن الإشراف الوقح بشكل مذهل الذي يقوم به الفاحص غالبًا هو إهمال تشغيل الجهاز بمجرد خروج القرص الصلب منه. يعد فحص BIOS أمرًا بالغ الأهمية للقدرة على إجراء تحليل تم التحقق منه بالكامل. يجب الإبلاغ عن الوقت والتاريخ المبلغ عنه في BIOS ، خاصةً عندما تكون المناطق الزمنية مشكلة. تتوفر مجموعة متنوعة غنية من المعلومات الأخرى اعتمادًا على الشركة المصنعة التي كتبت برنامج BIOS. تذكر أن الشركات المصنعة لمحركات الأقراص قد تخفي أيضًا مناطق معينة من القرص (المناطق المحمية بالأجهزة) ويجب أن تكون أداة الاستحواذ الخاصة بك قادرة على عمل نسخة كاملة من دفق البت تأخذ ذلك في الاعتبار. المفتاح الآخر الذي يجب على الفاحص فهمه هو كيفية عمل آلية التجزئة: قد تكون بعض خوارزميات التجزئة مفضلة على الآخرين ليس بالضرورة من أجل سلامتها التكنولوجية ، ولكن لكيفية النظر إليها في موقف قاعة المحكمة.
تخزينها بشكل آمن
يجب تخزين الصور المكتسبة في بيئة محمية وغير ثابتة. يجب أن يتمكن الممتحنون من الوصول إلى خزنة مغلقة في مكتب مغلق. يجب تخزين محركات الأقراص في أكياس مقاومة للكهرباء الساكنة وحمايتها باستخدام مواد تعبئة غير ثابتة أو مواد الشحن الأصلية. يجب وضع علامة على كل محرك أقراص باسم العميل ومكتب المحامي ورقم الدليل. يقوم بعض الفاحصين بنسخ ملصقات محرك الأقراص على آلة النسخ ، إذا كان لديهم إمكانية الوصول إلى واحدة أثناء عملية الاستحواذ ، فيجب تخزينها مع الأوراق الخاصة بالحالة. في نهاية اليوم ، يجب أن يرتبط كل محرك بوثيقة سلسلة عهدة ووظيفة ورقم دليل.
وضع سياسة
سيدفع العديد من العملاء والمحامين من أجل الحصول على جهاز الكمبيوتر بشكل فوري ثم يجلسون على الأدلة لعدة أشهر. وضح مع المحامي المدة التي ترغب فيها في الاحتفاظ بالأدلة في مختبرك وتقاضي رسوم تخزين للوظائف الحرجة أو الكبيرة. ربما تقوم بتخزين أدلة مهمة لجريمة أو دعوى مدنية ، وبينما من منظور تسويقي قد يبدو الاحتفاظ بنسخة من محرك الأقراص فكرة جيدة ، فقد يكون من الأفضل من منظور القضية إعادة جميع النسخ إلى المحامي أو العميل مع وثائق سلسلة العهدة المناسبة.
استنتاج
يمتلك فاحصو الكمبيوتر العديد من الخيارات حول كيفية تنفيذ عملية الاستحواذ في الموقع. في الوقت نفسه ، يعتبر الاستحواذ في الموقع هو البيئة الأكثر تقلباً بالنسبة للفاحص. قد تفشل الأدوات ، وقد تكون قيود الوقت شديدة ، وقد يزيد المراقبون من الضغط ، وقد يكون المشتبه بهم حاضرين. يحتاج الممتحنون إلى أخذ صيانة أدواتهم على محمل الجد وتطوير المعرفة المستمرة لتعلم أفضل التقنيات لكل موقف. باستخدام أفضل الممارسات الواردة هنا ، يجب أن يكون الفاحص مستعدًا تقريبًا لأي موقف قد يواجهه ولديه القدرة على تحديد أهداف وتوقعات معقولة للجهد المعني.