العربية  

books criminal evidence investigations

If you do not find what you're looking for, you can use more accurate words.

View more

عمليات التحقيق في الأدلة الجنائية (Info)


تتوافق عملية التحقيق في الأدلة الجنائية للأجهزة المحمولة على نطاق واسع مع فروع العلوم الجنائية الرقمية الأخرى ؛ ومع ذلك، تنطبق بعض المخاوف الخاصة هنا بشكل خاص. وبشكل عام، يمكن تقسيم العملية إلى ثلاث فئات رئيسية: الاستيلاء، والاستحواذ، والفحص / التحليل. لا تزال هناك جوانب أخرى من عمليات التحقيق في الأدلة الجنائية الخاصة بالحاسب، مثل المدخل، والتحقق من الصحة، والوثائق / التقارير، والأرشفة التي لا تزال سارية المفعول.

الإستيلاء

تتم تغطية عمليات وتطبيق خطوات الاستيلاء على الأجهزة المحمولة بنفس الاعتبارات القانونية مثل الوسائط الرقمية الأخرى. غالباً ما يتم استرداد الهواتف المحمولة ؛ نظراً لأن الهدف من الحجز هو الحفاظ على الأدلة، فغالباً ما يتم نقل الجهاز في نفس الحالة لتجنب إيقاف التشغيل، مما قد يؤدي إلى تغيير الملفات. بالإضافة إلى ذلك، فإن المحقق أو المستجيب الأول سيخاطر بتنشيط قفل المستخدم.

ومع ذلك، فإن ترك الهاتف هو شيء من شأنه بأن يحمل مخاطر أخرى: لا يزال بإمكان الجهاز إجراء اتصال بشبكة / خلوية. هذا قد يجلب بيانات جديدة، أو الكتابة الرقمية فوق الأدلة. لمنع الاتصال، غالباً ما يتم نقل الأجهزة المحمولة وفحصها من داخل صندوق (أو حقيبة) فاراداي . ومع ذلك، هناك عيبان لهذه الطريقة. أولاً، يجعل الجهاز غير صالح للاستخدام، حيث لا يمكن استخدام شاشة اللمس أو لوحة المفاتيح. ثانياً، إن استنفاذ الجهاز لجهاز اتصال الشبكة سوف يستنزف البطارية بسرعة أكبر. بينما يمكن إعادة شحن الأجهزة والبطاريات الخاصة بهم في الغالب، مرة أخرى، يخاطر المحقق بأن يكون قفل مستخدم الهاتف قد تم تنشيطه. لذلك، يُنصح بعزل الشبكة إما من خلال وضع الجهاز في حالة وضع الطيران أو استنساخ بطاقة SIM الخاصة به (وهي تقنية يمكن أن تكون مفيدة أيضاً عندما يفقد الجهاز بطاقة SIM الخاصة به تماماً).

الإستحواذ

والخطوة الثانية في عمليات التحقيق الخاصة بالأدلة الجنائية للأجهزة المحمولة هي الاستحواذ، في هذه الحالة عادةً ما تشير إلى استرجاع المواد (بيانات) من جهاز (مقارنةً بتصوير نسخة بت المستخدمة في الأدلة الجنائية للحاسب العادي).

نظرًا لطبيعة الملكية للهواتف المحمولة، غالباً ما يتعذر الحصول على البيانات باستخدامها ؛ يتم تنفيذ معظم اقتناء الجهاز المحمول على الهواء مباشرة. مع وجود المزيد من الهواتف الذكية المتقدمة التي تستخدم الإدارة المتقدمة للذاكرة، قد لا يكون توصيلها بجهاز شحن ووضعه في قفص faraday ممارسة جيدة. يتعرف الجهاز المحمول على انقطاع الاتصال بالشبكة، وبالتالي فإنه سيغير معلومات الحالة التي يمكن أن تؤدي إلى تشغيل مدير الذاكرة لكتابة البيانات.

معظم أدوات الاستحواذ للأجهزة المحمولة تجارية بطبيعتها وتتألف من مكونات الأجهزة والبرامج، وغالباً ما تكون آلية.

الفحص والتحليل

نظراً لأن عدداً متزايدا من الأجهزة المحمولة يستخدم أنظمة ملفات عالية المستوى، على غرار أنظمة الملفات الخاصة بأجهزة الحاسب، يمكن الاستيلاء على الأساليب والأدوات من الأدلة الجنائية للقرص الصلب أو تحتاج فقط إلى تغييرات طفيفة.

يستخدم نظام الملفات FAT بشكل عام على ذاكرة NAND . الفرق هو حجم الكتلة المستخدم، والذي يزيد عن 512 بايت للأقراص الصلبة ويعتمد على نوع الذاكرة المستخدمة، على سبيل المثال، ذاكرة NOR من النوع 64 أو 128 و 256 و NAND 16 أو 128 أو 256 أو 512 كيلو بايت .

يمكن لأدوات البرامج المختلفة استخراج البيانات من صورة الذاكرة. يمكن للمرء استخدام منتجات برامج الأدلة الجنائية المتخصصة والآلية أو برامج مشاهدة الملفات العامة مثل أي محرر سداسي عشرية للبحث عن خصائص رؤوس الملفات. تتمثل ميزة محرر hex في رؤية أعمق لإدارة الذاكرة، ولكن العمل مع محرر hex يعني الكثير من العمل اليدوي ونظام الملفات بالإضافة إلى معرفة رأس الملف. في المقابل، يعمل برنامج الأدلة الجنائية المتخصص على تبسيط عملية البحث واستخراج البيانات ولكن قد لا يجد كل شيء. AccessData، Sleuthkit، و EnCase، على سبيل المثال لا الحصر، هي منتجات البرمجيات المتخصصة في الأدلة الجنائية الرقمية وذلك بغرض تحليل الصور الموجودة في الذاكرة. نظراً لعدم وجود أداة لاستخراج جميع المعلومات الممكنة، يُنصح باستخدام أداتين أو أكثر للفحص. لا يوجد حالياً (فبراير 2010) أي حل برنامج للحصول على جميع الأدلة من محتويات ذاكرة الفلاش.

Source: wikipedia.org