## مقدمة
يوفر هذا الدليل تحليلاً تفصيليًا لقطع الأدلة الجنائية الخاصة بنظام Windows وتقنيات اكتشاف البرامج الضارة، وهو أمر ضروري لمحترفي الأدلة الجنائية الرقمية والاستجابة للحوادث ( DFIR ). يتم تنظيم المعلومات في مجالات رئيسية لجمع الأدلة وتحليلها، مع أمثلة وتفسيرات عملية.
## الجزء 1: آثار الطب الشرعي لنظام التشغيل Windows
### 1. تحليل نشاط المستخدم
#### آثار سجل المتصفح
- **موقع**:
- إنترنت إكسبلورر: `%userprofile%\AppData\Local\Microsoft\Windows\History\`
- فايرفوكس: `%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\`
**مثال من العالم الحقيقي:**
أثناء التحقيق في تهديد داخلي، اكتشف المحللون تسريبًا غير مصرح به للبيانات من خلال فحص آثار سجل المتصفح. وكشف التحقيق عن:
- تنزيل الملفات في ساعات غير عادية
- الوصول إلى مواقع مشاركة الملفات
- مصطلحات البحث المتعلقة بالمعلومات التنافسية
#### نشاط الملف الأخير
- **OpenSaveMRU**: يتتبع الملفات المفتوحة/المحفوظة في مربعات حوار Windows
- **LastVisitedMRU**: يسجل التطبيقات المستخدمة لفتح الملفات
- **قوائم الانتقال السريع**: قوائم الوصول السريع لنظام التشغيل Windows 7+
**مثال على الحالة:**
في قضية تجسس مؤسسية، استخدم المحللون قوائم القفز لإثبات أن أحد الموظفين تمكن من الوصول إلى مستندات حساسة قبل الاستقالة:
```
C:\Users\employee\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\
- أظهر القدرة على الوصول إلى التوقعات المالية
- الطوابع الزمنية المطابقة للأنشطة التي تتم بعد ساعات العمل
- تم نسخ ملفات متعددة إلى محركات أقراص خارجية
```
### 2. دليل نشاط النظام
#### تحليل الاسترجاع المسبق
- يتتبع تنفيذ التطبيق
- يقتصر على 128 ملفًا على نظام التشغيل Windows
- يحتوي على أوقات التنفيذ ومقابض الملفات
**مثال عملي:**
أثناء التحقيق في البرامج الضارة:
```
C:\Windows\Prefetch\SUSPICIOUS.EXE-A8F924B1.pf
- أول إعدام: 2024-01-15 02:14:33
- تم تحميل ملفات DLL غير المعتادة من الدليل المؤقت
- اتصالات الشبكة بعناوين IP المشبوهة
```
## الجزء 2: عملية اكتشاف البرامج الضارة
### الخطوة 1: إعداد الأدلة
1. تقليل البيانات باستخدام قوائم التجزئة
2. استخراج الملفات القابلة للتنفيذ من المساحة غير المخصصة
3. اكتساب صورة الذاكرة
**مثال:**
```باش
# نحت الملفات القابلة للتنفيذ
أولاً -t exe،dll -i disk.img -o carved_files
# مقارنة التجزئة
md5deep -r /system32 > baseline_hashes.txt
```
### الخطوة 2: فحص مكافحة الفيروسات
- استخدام محركات متعددة
- أدلة مثبتة بالمسح العميق
- مسح القطع الأثرية المصدرة
**حالة حقيقية:**
```
تم اكتشاف البرامج الضارة: Trojan.Generic.DNS.Hijacker
- تم العثور عليه في: C:\Windows\System32\drivers\
- ملفات النظام المعدلة: 3
- تكوينات الشبكة المتأثرة: إعدادات DNS
```
[يتبع الخطوات التفصيلية من 3 إلى 13، كل منها مع أمثلة عملية...]
## التدريب الموصى به
للحصول على تدريب شامل في مجال الاستجابة للحوادث والتحليل الجنائي الرقمي، يوصى بشدة بالحصول على شهادةCompTIA CySA+ . تتضمن الشهادة:
- وحدات DFIR واسعة النطاق
- مختبرات CertMaster العملية
- تدريب على السيناريوهات الواقعية
- تقنيات عملية لتحليل البرمجيات الخبيثة
قم بزيارة www.certmaster.org للحصول على مزيد من المعلومات حول الشهادات وبيئات المختبر.
## الأدوات والموارد
يمكنك العثور على جميع الأدوات المذكورة في هذا الدليل على www.certmaster.org/tools، بما في ذلك:
- أدوات تحليل الذاكرة
- أدوات إنشاء الجدول الزمني
- نصوص جمع القطع الأثرية
- أطر التحليل
تذكر أنه يجب عليك دائمًا اتباع سلسلة الإجراءات الصحيحة للحراسة والتوثيق أثناء التحقيقات.
[يظل المحتوى السابق كما هو حتى الخطوة 2...]
### الخطوة 3: البحث عن مؤشرات الاختراق (IOC)
- يستخدم التعبيرات المنطقية لتحديد خصائص البرامج الضارة
- يجمع بين المؤشرات القائمة على المضيف والشبكة
- الاستفادة من قواعد YARA وإطار عمل OpenIOC
**مثال لحالة واقعية:**
```يامل
مثال على قواعد اللجنة الأولمبية الدولية:
- العملية: svchost.exe
شروط:
- التشغيل من: ليس C:\Windows\System32
- العملية الرئيسية: ليست services.exe
- الشبكة: تتصل بـ 185.128.xx.xx
النتيجة: تم اكتشاف متغير svchost ضار يستخدم مسارات غير عادية
```
### الخطوة 4: تحليل الذاكرة الآلي
- الكشف عن حقن الكود
- التحقق من مسار العملية
- التحقق من معرف الأمان
- فحص المقبض
**مثال عملي:**
```
نتائج تحليل الذاكرة:
العملية: iexplore.exe (PID 4528)
المؤشرات المشبوهة:
- تم حقن الكود في منطقة الذاكرة 0x7FF00000
- تم إنشاء cmd.exe بامتيازات المسؤول
- تم تحميل DLL غير الموقع من %temp%
الإجراء: تم وضع العملية قيد التحقيق لمزيد من التحقيق
```
### الخطوة 5: دليل الاستمرار
- تحليل مهام الجدول
- فحص الخدمة
- مواقع بدء التشغيل التلقائي للسجل
- تعديلات قطاع التمهيد
**دراسة الحالة:**
```السجل
تم العثور على استمرار البرامج الضارة:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- الاسم: "مساعد النظام"
- المسار: C:\Users\Admin\AppData\Local\Temp\syshelp.exe
- تم الإنشاء: 2024-01-20 03:14:22
- لا يوجد توقيع رقمي
- يتصل بخادم C2 عند بدء التشغيل
```
### الخطوة 6: التعبئة/فحص الإنتروبيا
- البحث عن الملفات القابلة للتنفيذ المعبأة
- تحليل الانتروبيا
- تحديد توقيع المترجم
- التحقق من التوقيع الرقمي
**مثال حقيقي:**
```
الملف: update_service.exe
نتائج التحليل:
- درجة الإنتروبيا: 7.84 (عالية جدًا)
- معبأة مع: متغير UPX
- لا يوجد توقيع رقمي صالح
- تم تعديل وقت التجميع الأصلي
```
### الخطوة 7: مراجعة سجل الأحداث
- تحليل الأحداث الأمنية
- فحص سجل النظام
- مراجعة سجل التطبيق
- التحقيق في السجل المخصص
**مثال للتحقيق:**
```
تحليل سجل الأحداث:
النافذة الزمنية: 2024-01-15 02:00-04:00
النتائج:
- محاولات تسجيل دخول متعددة فاشلة (معرف الحدث 4625)
- إنشاء الخدمة (معرف الحدث 7045)
- تم تغيير سياسة تنفيذ PowerShell
- تم إنشاء مهمة مجدولة مشبوهة
```
### الخطوة 8: فحص الجدول الزمني الفائق
- ربط مصادر البيانات المتعددة
- يوفر سياق النشاط
- تحديد الأحداث ذات الصلة
- اكتشاف شذوذ الجدول الزمني
**حالة عملية:**
```
تم اكتشاف تسلسل الجدول الزمني:
02:14:22 - تم فتح رسالة بريد إلكتروني احتيالية
02:14:23 - تم استخراج المرفق إلى %temp%
02:14:24 - تنفيذ PowerShell
02:14:25 - تم إنشاء خدمة جديدة
02:14:26 - اتصال C2 الخارجي
```
### الخطوة 9: تحليل الذاكرة اليدوي
- تحليل قائمة العمليات
- مراجعة اتصال الشبكة
- امتحان الوحدة المحملة
- الكشف عن الجذور الخفية
**التحقيق الحقيقي:**
```
نتائج تحليل الذاكرة:
- تم اكتشاف عملية مخفية (PID 4892)
- حقن DLL في العمليات المشروعة
- تم تحديد خطافات استدعاء النظام
- تم العثور على تعديلات النواة
```
### الخطوة 10: عمليات البحث عن التجزئة من جهات خارجية
- التكامل مع VirusTotal
- يتحقق Bit9 FileAdvisor
- مقارنة قاعدة بيانات NSRL
- استعلامات قاعدة بيانات التجزئة المخصصة
**نتائج المثال:**
```
الملف: system_update.exe
MD5: d41d8cd98f00b204e9800998ecf8427e
نتائج VirusTotal:
- تم اكتشافه بواسطة محركات 34/68
- شوهد لأول مرة: 2024-01-15
- العينات ذات الصلة: 12
- C2 المعروف: 185.128.xx.xx
```
### الخطوة 11: شذوذات MFT
- تحليل الأرقام التسلسلية
- ارتباط وقت الخلق
- مراجعة هيكل الدليل
- فحص سجل MFT
**مثال على الحالة:**
```
تحليل MFT:
ملفات System32 العادية:
- سجل MFT: 1000-1200 (متسلسل)
ملف مشبوه:
- svchost.exe
- سجل MFT: 458965 (خارج التسلسل)
- تم إنشاؤه بعد تثبيت النظام
```
### الخطوة 12: شذوذ وقت الملف
- مقارنة $STANDARD_INFORMATION
- تحليل سمة $FILENAME
- مراجعة الدقة النانوية
- اكتشاف الختم الزمني
**الكشف الحقيقي:**
```
الملف: winlogon.exe
الطوابع الزمنية:
إنشاء $SI: 2024-01-15 02:14:22
إنشاء $FN: 2023-12-25 10:00:00
شذوذ: وقت $FN يسبق وقت $SI
إشارة: من الممكن التلاعب بالطابع الزمني
```
### الخطوة 13: تأكيد البرامج الضارة والخطوات التالية
- عزل العينة
- استخراج التكوين
- حفظ لقطة الذاكرة
- تطوير المؤشرات
**نتيجة التحقيق:**
```
نتائج تحليل البرامج الضارة:
العينة: ransomware_loader.exe
القدرات:
- حقن العملية
- استمرارية التسجيل
- اتصالات C2
- تشفير البيانات
مؤشرات الشبكة:
- C2: 185.128.xx.xx:443
- DNS: update.malicious[.]com
مؤشرات الملف:
- SHA256: 8d4e7...
- Mutex: Global\Ransom_Instance
```
## مسار التدريب الموصى به
توفر شهادة CompTIA CySA+ تغطية شاملة لهذه التقنيات من خلال:
### مختبرات CertMaster
- تحليل عملي للبرامج الضارة
- الطب الشرعي للذاكرة الحية
- تحليل الجدول الزمني
- التحقيق في حركة المرور على الشبكة
### محتوى الدورة
- إجراءات الاستجابة للحوادث
- منهجية الطب الشرعي الرقمي
- تقنيات الكشف عن البرامج الضارة
- التعامل مع الأدلة
قم بزيارة www.certmaster.org للحصول على معلومات مفصلة عن الدورة والوصول إلى المختبر.
## الأدوات والموارد
يمكنك الوصول إلى جميع الأدوات المطلوبة على www.certmaster.org/tools:
- إطار التقلب
- محللون الجدول الزمني
- جامعي التحف
- أدوات التحليل
## أفضل الممارسات
1. حافظ دائمًا على سلسلة الحراسة
2. توثيق كافة النتائج
3. استخدم أدوات حظر الكتابة
4. التحقق من صحة نتائج الأداة
5. الحفاظ على الأدلة الأصلية
يوفر هذا الدليل الشامل نهجًا منظمًا لتحليلات الأدلة الجنائية لنظام Windows واكتشاف البرامج الضارة، وهو أمر ضروري لمحترفي الأمن المعاصرين.
شهادة CompTIA CySA+ https://certmaster.org/products/comptia-integrated-certmaster-learn-labs-for-cysa-cs0-003