بخش هفتاد و پنجم
آموزش رایگان سکیوریتی پلاس: چگونه صحت مدارک جمع‌آوری شده را تایید کنیم
بخش بزرگی از فرآیند جرم‌شناسی دیجیتالی، اعتبارسنجی یکپارچگی محتویات ایمیج‌های تهیه‌شده از طریق به کارگیری یک الگوریتم هش بر روی داده‌ها است تا یک مقدار هش یکپارچه به‌دست آید. هدف این است که مقدار هش تولیدشده بر اساس داده‌های موجود در شواهد منحصر‌به‌فرد باشد. در چنین شرایطی اگر نیاز دارید تا ثابت کنید کپی درایوی که با آن کار می‌کنید همان داده‌های اصلی است، می‌توانید مقادیر هش را با هم مقایسه کنید.

shabake-mag.jpg

برای مطالعه بخش قبل روی این آدرس کلیک کنید. 

اکثر ابزارهای جرم‌شناسی دیجیتالی هنگام ایجاد ایمیج بیت استریم یک مقدار هش تولید می‌کنند، اما می‌توانید از ابزارهای دیگری مانند MD5sum برای محاسبه مقدار هش داده‌ها استفاده کنید. همچنین، باید اطمینان حاصل کنید که ابزارها با استفاده از چک‌سام‌ها به نوعی اعتبارسنجی ایمیج را انجام می‌دهند. همان‌طور که پیش‌تر به آن اشاره کردیم، شما می‌توانید یکپارچگی شواهد را با حفظ زنجیره نگه‌داری تایید کنید.

شواهد را تجزیه‌و‌تحلیل کنید

پس از به دست آوردن ایمیج از درایو مشکوک و ساخت مقدار هش، آماده شروع تجزیه و تحلیل مدارک هستید. شما باید تجزیه و تحلیل خود را فقط بر روی یک کپی از شواهد انجام دهید و هیچ‌گاه به سراغ شواهد اصلی نروید.

هنگام انجام تجزیه و تحلیل از نرم‌افزارهای جرم‌شناسی دیجیتالی برای مکان‌یابی اطلاعات روی درایو، از جمله فایل‌های حذف شده، استفاده کنید. بسته به ماهیت پرونده، ممکن است مجبور شوید از طریق ایمیل مظنون، تاریخچه بازدیدهای اینترنتی و فایل‌های حذف شده مدارک بیشتری را دریافت کنید.

File Filtering   

بیشتر نرم‌افزارهای جرم‌شناسی دیجیتالی دارای ویژگی فیلتر کردن فایل‌ها هستند که به شما امکان می‌دهد فایل‌های شناخته شده با استفاده از ابزار تجزیه و تحلیل فیلتر کنید. مزیت روش فوق این است که اگر هزاران فایل روی سیستم نیاز به بررسی دارند، آن‌گاه می‌توانید نرم‌افزار جرم‌شناسی دیجیتالی را برای حذف فایل‌های شناخته شده سیستم عامل و غیر ضروری به خدمت بگیرید. در این حالت، فایل‌های کمتری برای بررسی در اختیار خواهید داشت.

ویژگی فیلتر کردن فایل با داشتن پایگاه داده‌ای از مقادیر هش فایل‌های شناخته شده سیستم عامل و موارد غیرمجاز قادر به تفکیک فایل‌های عادی از غیر عادی است. برای این منظور مقادیر هش پایگاه داده با مقادیر هش فایل‌های روی دیسک ارزیابی می‌شوند. رویکرد فوق به نرم‌افزار جرم‌شناسی دیجیتالی اجازه می‌دهد تا فایل‌های شناخته شده از فایل‌های مشکوک به ساده‌ترین شکل شناسایی کند، حتی اگر مظنون فایل‌ها را تغییر نام داده باشد.

EnCase Forensic و Forensic Toolkit (FTK) ابزارهای معروف این حوزه هستند که دارای ویژگی‌های هش-فیلتر فایل هستند که اغلب به نام ویژگی فیلتر فایل شناخته شده (KFF) سرنام known file filter شناخته می‌شود.

RAID Array   

یکی دیگر از ویژگی‌های نرم‌افزار جرم‌شناسی دیجیتالی است که باید به دنبال آن باشید. این ویژگی به این نکته اشاره دارد که آیا نرم‌افزار جرم‌شناسی دیجیتالی می‌تواند ایمیج‌هایی از درایوهای موجود در یک آرایه RAID به دست آورد یا خیر. رویکرد فوق ممکن است به دو صورت انجام شود. برخی از نرم‌افزارهای جرم شناسی دیجیتالی به شما امکان می‌دهند آرایه را به عنوان یک دیسک منطقی واحد نگاه کرده و از آن ایمیج تهیه کنید و در ادامه فرآیند تحلیل را روی کپی آماده شده انجام دهید. نرم‌افزارهای دیگر ممکن است یک ایمیج از هر دیسک فیزیکی در آرایه RAID ایجاد کنند و سپس یک فایل گروهی ایجاد کنند تا اطمینان حاصل شود که همه ایمیج‌های مربوط به دیسک‌ها به طور همزمان بارگذاری می‌شوند.

Network Traffic and Logs

بسته به نوع حادثه‌ای که در حال بررسی آن هستید، ممکن است لازم باشد به ترافیک شبکه و فایل‌های گزارش دستگاه‌ها و نرم‌افزارهای شبکه نگاه کنید. به عنوان مثال، اگر در حال بررسی یک حادثه امنیتی هستید که شامل هک کردن یک سیستم از طریق اینترنت توسط شخصی است، باید به گزارش‌های سرور آسیب‌دیده و همچنین گزارش‌های روتر و فایروال نگاه کنید. هنگام مشاهده گزارش‌ها، حتما گزارش‌های فعالیت سرویس‌های مورد نظر را مرور کنید که از آن جمله باید به گزارش‌های وب سرور که درخواست‌ها به وب‌سایت را نشان می‌دهند، مشاهده اطلاعات مرتبط به هر رویداد امنیتی و رویدادهای عادی سیستم اشاره کرد.

Witness Interviews

هنگام انجام تحقیقات، حتما با شاهدانی صحبت کنید که می‌توانند بینشی درباره آنچه اتفاق افتاده است در اختیارتان قرار دهند. در دنیای شرکتی، این حرف به معنای صحبت با کاربران سیستم و یادگیری فعالیت‌های عادی و غیر عادی آن‌ها با سیستم‌ها است.

Big Data Analysis

هر گونه تجزیه و تحلیل در ارتباط با کلان داده‌ها که نیاز است را انجام دهید. کلان داده‌ها مجموعه‌ای از داده‌ها است که به قدری بزرگ هستند که نمی‌توان با ابزارهای معمولی مدیریتی با آن‌ها کار کرد یا به تجزیه و تحلیل آن‌ها پرداخت. به خاطر داشته باشید که مقدار داده‌ای که برای پردازش به عنوان یک مجموعه بسیار بزرگ در نظر گرفته می شود، بر حسب اگزابایت داده است! شما ممکن است این موضوع را در ارتباط با صنایعی مانند هواشناسی، امور مالی و جستجوی اینترنتی مشاهده کنید.

Report on Findings

در طول تجزیه و تحلیل شواهد، اکثر نرم‌افزارهای جرم‌شناسی دیجیتالی به شما امکان می‌دهند موارد مورد علاقه خود را نشانه‌گذاری کنید و آن‌ها را به گزارشی که می‌توانید ایجاد کنید اضافه کنید. در حین انجام تحقیقات بسیار مهم است که با ثبت همه مراحل و علامت‌گذاری موارد مورد علاقه خود، گزارش‌هایی که قرار است آماده کنید را برنامه‌ریزی کنید. گزارش شما باید حاوی موارد زیر باشد:

  •  Items of interest: گزارش شما باید هر موردی که جالب توجه به نظر می‌رسد را در خود جای داده باشد. این موضوع ممکن است شامل پیام‌های ایمیل، تصاویر، فیلم‌ها و فایل‌های حذف شده باشد.
  •  Log of actions taken: برخی از نرم‌افزارهای جرم‌شناسی دیجیتالی هر اقدامی که در نرم‌افزار انجام می‌دهید را ثبت می‌کنند. این می‌تواند در تأیید اقداماتی که انجام داده‌اید مفید باشد. اگر نرم‌افزار اقدامات شما را ثبت نمی‌کند، باید این کار را به صورت دستی انجام دهید تا بتوانید مراحلی که انجام داده‌اید را توضیح دهید و با انجام همان مراحل، نتایج را دومرتبه بررسی کنید.
  •  Report of the investigation: گزارش باید دارای خلاصه‌ای از شواهدی باشد که در طول تحقیقات پیدا شده است. به عنوان مثال، اگر یک فایل حذف شده را بازیابی کرده‌اید که حاوی شواهد بالقوه مجرمانه است، باید به آن توجه کنید.

هنگام انجام تحقیقات خود، ثبت تمام فعالیت‌ها و زمان انجام هر فعالیت بسیار مهم است. ثبت زمان شروع هر اقدام و مدت زمان آن برای موفقیت تحقیق بسیار مهم است. پیکربندی افست زمان رکورد شامل پیکربندی زمان منطقه در نرم‌افزار هماهنگ با منطقه زمانی سیستم مظنون است تا تمام اطلاعات مهر زمانی موجود در شواهد دقیق باشد.

کجا شواهد را پیدا کنیم

هنگامی که در حال انجام تحقیقات جرم‌شناسی کامپیوتری هستید، بسیار مهم است که بدانید کجا می‌توانید شواهد را پیدا کنید و ترتیب انجام کارها را درک کنید. در زیر فهرستی از مکان‌هایی است که ممکن است هنگام انجام تحقیقات رایانه‌ای شواهدی در آن‌ها پیدا کنید، ارائه شده است:

  •  Memory/RAM Memory: حاوی اطلاعاتی است که اخیرا استفاده شده است. این موضوع ممکن است شامل مواردی مانند محتویات اسناد یا حتی رمزهای عبور باشد. این شواهد فرار را باید ضبط کنید، زیرا اطلاعات فقط برای مدت کوتاهی در حافظه خواهند ماند. حتما ابزاری مانند dd یا FTK Imager را تهیه کنید تا در صورت نیاز بتوانید از محتویات حافظه عکس بگیرید.
  •  Swap file/page file: اطلاعات دائما از RAM به صفحه فایل ریخته می‌شود. به این نکته دقت کنید.

.sys swap در سیستم‌های ویندوزی ساخته می‌شود. نسخه‌های جدیدتر ویندوز مانند ویندوز 10 نیز دارای فایلی به نام swapfile.sys هستند که برای جابجایی محتویات حافظه به دیسک استفاده می‌شود. هنگام تلاش برای ارزیابی حافظه فرار، حتما به فایل swap نگاه کنید.

  •  Hard disk: بیشتر تحقیقات مربتط با جرم‌شناسی دیجیتالی در ارتباط با ایمیج‌برداری از یک هارد دیسک (یا چندین درایو) و جستجوی شواهد ذخیره شده در رجیستری، ایمیل یا سیستم فایل است.
  •  Removable storage media: اگر هنگام توقیف رایانه متوجه انواع دیگری از رسانه‌ها در صحنه شدید، حتما آن رسانه را نیز بردارید. مظنون ممکن است فایل‌ها را در رسانه‌های قابل جابجایی مانند سی دی، دی وی دی یا درایوهای فلش ذخیره کند.
  •  Mobile devices: اگر متوجه دستگاه‌های همراه مانند لپ‌تاپ، تلفن‌های همراه، تبلت‌ها یا حتی آی‌پاد شدید، ممکن است مجبور شوید آن موارد را نیز برای پیدا کردن شواهد جستجو کنید.
  •  Cache Evidence: شواهد ممکن است در حافظه پنهان ذخیره شده باشند. این حافظه پنهان ممکن است به شکل فیزیکی در سیستم نصب شده باشد یا شاید یک فایل کش باشد.
  •  Network Evidence: اطلاعات ممکن است در مکان‌هایی مثل فهرست راهنمای کاربر یا سرورهای دیگر تحت شبکه ذخیره شده باشند. از مکان‌های درون شبکه که باید به دنبال اطلاعات در آن مکان‌ها باشید بایدب ه کتابخانه‌های روی سرور شیرپوینت، سرورهای FTP، سرورهای پروکسی، فایروال‌ها یا سرورهای ایمیل اشاره کرد.

علاوه بر این، شواهد ممکن است در مکان‌های دیگری نیز وجود داشته باشند که از آن جمله به موارد زیر باید اشاره کرد:

  •  سیستم‌عامل: ممکن است اطلاعات مربوط به فعالیت کاربر را ذخیره کند، مانند فایل‌های گزارشی که زمان‌های ورود/خروج از سیستم را نشان می‌دهند که می‌توانید در آن جستجو کنید. سیستم عامل همچنین دارای داده‌هایی مانند نرم‌افزارهایی که به تازگی اجرا شده‌اند و سیستم عامل با آن‌ها ارتباط برقرار کرده است.
  •  Snapshot: اگر با یک محیط مجازی‌شده سروکار دارید، ممکن است بتوانید شواهدی را در اسنپ‌شات‌ها مرتبط با یک ماشین مجازی پیدا کنید. اگر یک سیستم معمولی است، مانند سیستم ویندوز 10، ممکن است بتوانید از ویژگی‌های سیستم عامل مانند بازیابی سیستم یا تاریخچه فایل برای دسترسی آسان به اطلاعات قدیمی در سیستم استفاده کنید.
  •  نرم‌افزار: ممکن است بتوانید به شواهد موجود در میان‌افزار نیز دسترسی داشته باشید. سفت‌افزار شناسه‌های منحصربه‌فردی در ارتباط با سیستم را نشان می‌دهد که از آن جمله باید به GUID اشاره کرد.

ترتیب نوسان داده‌ها

هنگامی که صحبت از مکان‌های مختلف مثل حافظه به میان می‌آید، درک این نکته مهم است که ابتدا به سراغ بخش‌هایی بروید که فراتر هستند. فرار به این معنی است که داده‌ها ممکن است برای مدت طولانی در دسترس نباشند، بنابراین به عنوان یک کارشناس جرم‌شناسی دیجیتال بسیار مهم است که ابتدا شواهد را از مناطق فرار جمع‌آوری کنید و سپس به مناطق غیر فرار نگاه کنید. به عنوان مثال، از آن‌جایی که محتویات حافظه (RAM) فرار هستند، به این معنی است که اطلاعات به طور دائم در آن‌جا ذخیره نمی‌شود، اگر احساس می‌کنید محتویات حافظه ممکن است حاوی مدارک مهمی باشد، زمان‌بندی بسیار مهم است. به عنوان یک قاعده کلی، ابتدا مدارک را از نواحی فرار مانند حافظه جمع‌آوری کنید و سپس به سراغ داده‌های موجود در فایل swap، هارد دیسک و در نهایت دیسک‌های نوری مانند DVD بروید. در اینجا ترتیب کارهایی که باید انجام دهید و آزمون سکیوریتی پلاس برای آن‌‌ها اهمیت زیادی قائل است به شرح زیر هستند:

  1. حافظه پنهان
  2. رم
  3.   فایل/فایل صفحه را تعویض کنید
  4. هارد دیسک
  5.  گزارش‌های سیستم‌های راه دور (شبکه)
  6.  دیسک‌های نوری (DVD)

برای آزمون سکیوریتی پلاس باید بدانید که ابتدا داده‌ها را از مناطق فرار جمع‌آوری کنید و سپس به سراغ مناطق غیرفرار بروید. این موضوع به عنوان ترتیب نوسان شناخته می‌شود. شما باید داده‌ها را به ترتیب نوسان جمع‌آوری کنید. ترتیب نوسانات حافظه نهان، حافظه (RAM)، فایل swap، هارد دیسک، گزارش های از راه دور (شبکه) و سپس درایوهای نوری (DVD) است.

ابزارهای مورد استفاده

ابزارهای مختلف می‌توانند به شما در انجام تحقیقات جرم‌شناسی دیجیتالی و گرفتن و تجزیه و تحلیل شواهد کامپیوتری کمک کنند. در ادامه به معرفی برخی از ابزارهای محبوبی می‌رویم که برای به دست آوردن و تجزیه و تحلیل شواهد دیجیتال در دسترس قرار دارند.

Acquisition Tools

اولین گام پس از توقیف رایانه، تهیه یک کپی (ایمیج) بیت استریم از درایو است تا بتوانید تجزیه و تحلیل خود را انجام دهید. مهم است که از نرم‌افزار ایمیج‌برداری استفاده کنید که از نظر قانونی معتبر باشد، به این معنی که عملکرد آن ثابت شده باشد و به هیچ وجه اطلاعات درایو منبع را تغییر نمی‌دهد و داده‌ها را بخش به بخش از دیسک ضبط می‌کند، برخلاف کپی منطقی فایل‌ها. به عنوان یک اقدام ایمنی، همیشه باید درایو را به یک مسدود کننده نوشتن وصل کنید تا مطمئن شوید که تغییرات را در درایو نمی‌نویسید.

یک نرم‌افزار رایگان که می‌توانید برای به دست آوردن ایمیج از آن استفاده کنید، مجموعه‌ای از ابزارها است که به نام Forensic Acquisition Utilities  شناخته می‌شوند. FAU می‌تواند برای به دست آوردن ایمیج استفاده شود، اما هیچ راهی برای تجزیه و تحلیل شواهد ارائه نمی‌دهد.

Secure Wipe

اگر می‌خواهید محتویات درایو مظنون را در درایو هدف کپی کنید، باید یک درایو را به‌طور ایمن پاک کنید. از نظر قانونی مهم است که درایو هدف تمیز شده باشد تا درایو مظنون را آلوده نکند. FAU شامل یک برنامه پاک کردن ایمن (wipe.exe) است که برای اطمینان از پاک شدن داده‌های قبلی روی درایو، سه بار درایو مورد نظر را به طور ایمن پاک می‌کند. دستور زیر برای پاک کردن ایمن درایو E استفاده می‌شود.

Wipe \\. \e:

پس از پاک کردن ایمن درایوهای هدف، زمان ثبت ضبط ایمیج از درایو مظنون فرا رسیده است. وقتی ایمیجی از درایو مظنون تهیه می‌کنید، معمولا چند انتخاب برای دریافت ایمیج در اختیار دارید.

  •  Disk-to-Image: یک روش بسیار محبوب برای انجام تحقیق است که ایمیجی از یک دیسک تهیه کرده و در یک فایل ایمیج ثبت می‌کند.
  •  Disk-to-image: سازمان‌های بزرگ‌تری که جرم‌شناسی دیجیتالی انجام می‌دهند، معمولا مدارک را با انجام یک کپی سطح پایین (در سطح بخش) از یک دیسک به دیسک دیگر انتقال می‌دهند.
  •   Image-to-disk: سناریوی نهایی تهیه یک فایل ایمیج از درایو مظنون و انتقال آن به یک دیسک برای انجام تحقیقات بیشتر است.

مزیت روش disk-to-image  این است که برای تهیه ایمیج نیازی به داشتن دیسک‌های اضافی ندارید. در بسیاری از مواقع، کارشناسان امنیتی تمام محتویات درایو را در قالب یک ایمیج بزرگ تهیه می‌کنند و فایل را به دیسکی انتقال می‌دهد. در این سناریو، محقق آنالیز را روی درایو هدف انجام می‌دهد و به این ترتیب، کاری با درایو اصلی مظنون نخواهد داشت. نکته جالبی که در ارتباط با کاربران لینوکس وجود دارد و باید به خاطر بسپارید این است که لینوکس این قابلیت را دارد که فایل تصویری dd را مستقیما برای تجزیه و تحلیل فقط خواندنی ایجاد کند. این حرف بدان معنا است که برای انجام آنالیز نیازی به نرم‌افزار اضافی ندارید.

اگر می‌خواهید با استفاده از FAU تصویری از دیسک بگیرید، می‌توانید از دستور dd.exe استفاده کنید. dd یک ابزار خط فرمان برای ساخت یک ایمیج در سیستم عامل لینوکس است. ترکیب نحوی زیر نحوه استفاده از دستور فوق را نشان می‌دهد:

dd.exe if=\\.\F: of=e:\Case20110203_Drive1.img conv=noerror -localwrt

اگر می‌خواهید با استفاده از FAU محتویات حافظه را ضبط کرده و به یک پوشه اشتراکی در شبکه بفرستید، می‌توانید از دستور زیر استفاده کنید (توجه داشته باشید که دستور زیر در برخی از توزیع‌های لینوکسی قابل استفاده است):

dd.exe if=\\.\PhysicalMemory of=E:\compl_mem.img conv=noerror -localwrt

همچنین، می‌توانید از ابزارهای رابط کاربری گرافیکی مانند FTK Imager برای آماده‌سازی ایمیج مرتبط با جرم‌شناسی دیجیتالی از درایو مشکوک یا حتی محتویات حافظه روی سیستم استفاده کنید.

توجه به این نکته ضروری است که اکثر ابزارهای تجزیه و تحلیل جرم‌شناسی دیجیتالی مثل OSForensics، EnCase Forensic و Forensic Toolkit (FTK) به شما امکان می‌دهند یک ایمیج را تهیه کنید و تجزیه و تحلیل را روی ایمیج انجام دهید، در حالی که FAU ابزارهایی را فقط برای به دست آوردن شواهد در اختیار شما قرار می‌دهد (نه تجزیه و تحلیل کنید).

برای موفقیت در آزمون سکیوریتی پلاس ضروری است نحوه استفاده از ابزار FTK Imager را بیاموزید و بدانید که چگونه باید یک ایمیج از درایو یا حافظه تهیه کرد.

نحوه استفاده از FTK Imager  برای تهیه ایمیج از یک درایو

در این تمرین قصد داریم نحوه استفاده از FTK Imager برای ساخت یک ایمیج روی یک درایو USB را بررسی کنیم. به خاطر داشته باشید که با استفاده از همین مراحل می‌توانید تصویری از یک هارد دیسک معمولی ایجاد کنید، اما من در این مثال از درایو USB استفاده می‌کنم زیرا زمان کمتری می‌گیرد.

1.   FTK Imager را از آدرس زیر دانلود کنید و سپس نصب کنید.

 https://accessdata.com/product-download/ftk-imager-version-4-5

2. یک درایو فلش USB را به سیستم متصل کنید.

3.   FTK Imager را اجرا کنید.

4.   برای گرفتن تصویر از یک درایو، از منوی File گزینه Create Disk Image را انتخاب کنید.

5.   از شما خواسته می‌شود نوع منبعی که می‌خواهید تصویر از آن تهیه کنید را مشخص کنید. این منبع می‌تواند یک درایو فیزیکی (کل دیسک)، یک درایو منطقی (پارتیشن روی درایو)، یک فایل تصویری، محتوای یک پوشه، یا یک دی وی دی باشد. Physical Drive را انتخاب کنید و سپس Next را انتخاب کنید.

6.   لیستی از درایوهای سیستم به شما نمایش داده می‌شود. درایو USB را انتخاب کنید و سپس Finish را انتخاب کنید.

7. باید فایل تصویری را برای نوشتن در قسمت Image Destination مشخص کنید. Add را انتخاب کنید، سپس گزینه Raw dd را به عنوان نوع تصویر انتخاب کرده و Next را کلیک کنید. تصویر dd فرمت استاندارد دارد که توسط بسیاری از ابزارهای جرم‌شناسی دیجیتالی پشتیبانی می‌شود.

8. سپس از شما اطلاعاتی در مورد مدارک خواسته می‌شود. اطلاعات زیر را وارد کنید و سپس Next را انتخاب کنید:

  • شماره پرونده: 20210602_001
  •  شماره مدرک: 100
  •  توضیحات منحصر به فرد: درایو USB مشکوک
  •  ممتحن: حمیدرضا تائبی
  • یادداشت: درایو USB مشکوک در کشوی بالای میز پیدا شد.

9.   از اطلاعات زیر برای مقصد تصویر استفاده کنید و سپس Finish را انتخاب کنید:

  •  پوشه مقصد تصویر: c:\forensicsimages
  •  نام فایل تصویر: suspect_usb_drive.dd
  •  اندازه قطعه تصویر (مگابایت): 0 (به این معنی که به چند فایل تصویری تقسیم نشود)

10.   برای ساخت ایمیج جرم‌شناسی دیجیتالی درایو USB، را انتخاب کنید (بسته به اندازه درایو USB، فرآیند زمان‌بر است).

11. پس از تکمیل تصویر، FTK Imager را ببندید.

12.   تأیید کنید که فایل تصویر در پوشه c:\forensicsimages ویندوز قرار دارد.

استفاده از  FTK Imager برای ساخت تصویری از محتویات حافظه

در این تمرین در نظر داریم نحوه استفاده از FTK Imager برای ساخت تصویری از محتویات رم را بررسی کنیم. RAM حاوی داده‌هایی است که کاربر به تازگی از آن‌ها استفاده کرده یا به آن‌ها دسترسی پیدا کرده است. برای مثال، اگر مظنون به ایمیل یا نرم‌افزارهای دیگر هستید، ممکن است بتوانید رمز عبور را از RAM دریافت کنید.

1.   FTK Imager را اجرا کنید.

2.   از منوی File گزینه Capture Memory  را انتخاب کنید.

3.   در کادر گفتگوی Memory Capture اطلاعات زیر را وارد کنید و سپس Capture Memory را انتخاب کنید:

  •   مسیر مقصد: c:\forensicsimages
  •   نام فایل مقصد: suspect_memdump.mem
  •   شامل فایل صفحه: فعال (نام فایل صفحه را روی suspect_pagefile.sys تنظیم کنید)

4.   هنگامی که محتویات حافظه ضبط شد (کمی طول می کشد)، Close را انتخاب کنید.

5. پس از تکمیل تصویر، FTK Imager را ببندید.

6.   تأیید کنید که فایل تصویری در پوشه c:\forensicsimages قرار دارد.

نکته جالب در مورد FTK Imager این است که رایگان است و برخی قابلیت‌هایی در ارتباط با تحقیقات اولیه ارائه می‌کند که به شما امکان می‌دهد محتویات یک درایو محلی یا محتویات حافظه را مشاهده کنید.

 

برای مطالعه بخش بعد اینجا کلیک کنید

برای مطالعه تمام قسمت‌های آموزش سکیوریتی پلاس اینجا کلیک کنید.


تبلیغات لینکی: 

سایت استخدام

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟