دليل للحصول على بيانات الطب الشرعي الرقمي باستخدام FTK Imager

محتوى هذا المنشور هو مسؤولية المؤلف فقط. لا تتبنى AT&T أو تؤيد أيًا من وجهات النظر أو المواقف أو المعلومات التي يقدمها المؤلف في هذه المقالة.

في مجال الطب الشرعي الرقمي والاستجابة للحوادث (DFIR)، يعد الحصول على نسخة الطب الشرعي من جهاز تخزين المشتبه به خطوة أولى حاسمة. تتضمن هذه العملية إما تصوير القرص أو استنساخ القرص، ولكل منهما أغراضه ومنهجياته المميزة. في هذه المدونة، سنتعمق في الاختلافات بين تصوير القرص واستنساخ القرص، ومتى نستخدم كل طريقة، ونقدم إرشادات خطوة بخطوة حول كيفية إنشاء صورة قرص الطب الشرعي باستخدام FTK Imager.

تصوير القرص مقابل استنساخ القرص

تصوير القرص

تصوير القرص هو عملية إنشاء ملف بت مقابل بت نسخ أو لمحة لجهاز تخزين كامل أو قسم معين. في التصوير الجنائي، الهدف هو إنشاء نسخة دقيقة من القرص المصدر دون إجراء أي تغييرات على البيانات الأصلية. تشمل الخصائص الرئيسية لتصوير القرص ما يلي:

غير مدمرة: يعد تصوير القرص عملية غير مدمرة ولا تغير البيانات الأصلية الموجودة على الجهاز المصدر. ويحافظ على سلامة الأدلة.

الوصول على مستوى الملف: بعد التصوير، يمكن لفاحصي الطب الشرعي الوصول إلى الملفات والمجلدات الموجودة في الصورة وتحليلها باستخدام برامج الطب الشرعي المتخصصة. وهذا يسمح بالتحليل المستهدف واستعادة البيانات.

الحفاظ على البيانات الوصفية: يحتفظ تصوير القرص بالبيانات الوصفية الهامة مثل الطوابع الزمنية للملفات والأذونات والسمات، والتي يمكن أن تكون حاسمة في التحقيقات.

تخزين مرن: يمكن تخزين صور القرص بتنسيقات مختلفة (على سبيل المثال، E01، DD، AFF) وعلى وسائط مختلفة، مثل محركات الأقراص الثابتة الخارجية أو وحدات تخزين الشبكة.

استنساخ القرص

من ناحية أخرى، يتضمن استنساخ القرص إنشاء نسخة طبق الأصل من جهاز التخزين المصدر، بما في ذلك جميع الأقسام والمساحة غير المخصصة. على عكس نسخ الملفات، يؤدي استنساخ القرص أيضًا إلى تكرار أنظمة الملفات والأقسام وبيانات تعريف محرك الأقراص والمساحة الفارغة على محرك الأقراص. تشمل خصائص استنساخ القرص ما يلي:

نسخة طبق الأصل: ينتج عن استنساخ القرص نسخة مماثلة من الجهاز المصدر. فهو يكرر كل شيء، بما في ذلك المساحة الفارغة والأقسام المخفية.

الازدواجية السريعة: عادةً ما يكون الاستنساخ أسرع من التصوير لأنه لا يتضمن إنشاء ملف صورة منفصل. إنها في الأساس نسخة قطاعية.

الاستنساخ يشبه عمل نسخة طبق الأصل من كتاب، واللطخات وكل شيء. فهو ينسخ كل شيء، حتى الصفحات الفارغة. لذلك، إذا كنا نتعامل مع جهاز كمبيوتر كامل، فإنه يقوم بنسخ نظام التشغيل والبرامج وكل ملف، سواء كان مفيدًا أم لا.

إنشاء صورة قرص الطب الشرعي باستخدام FTK Imager

تصوير FTK هي أداة موثوقة ومستخدمة على نطاق واسع لإنشاء صور قرص الطب الشرعي. فيما يلي خطوات إنشاء صورة قرص باستخدام FTK Imager:

قم بتنزيل وتثبيت FTK Imager، وتأكد من استخدام أحدث إصدار ثابت متاح بالإضافة إلى ذكر الإصدار وتفاصيل البائع في ملاحظات الحالة. تعد هذه ممارسة جيدة في مجال الطب الشرعي الرقمي والاستجابة للحوادث (DFIR) لأنها تضمن أنك تستخدم الإصدار الأحدث والأكثر أمانًا من البرنامج، وتوفر وثائق مهمة حول الأدوات وتكويناتها المستخدمة في تحقيقاتك . يعد الحفاظ على تحديث البرامج أمرًا ضروريًا للحفاظ على سلامة وموثوقية عمليات الطب الشرعي الخاصة بك.

قم بتنزيل وتثبيت FTK Imager على محطة عمل الطب الشرعي لديك. ويمكن تحميله من هنا. ستحتاج إلى تقديم بعض المعلومات مثل الاسم والبريد الإلكتروني للعمل وما إلى ذلك، وبعد ملء النموذج، سيبدأ التنزيل تلقائيًا. يمكنك استخدام الخدمات التي تركز على الخصوصية أثناء ملء المعلومات. ابدأ التثبيت.

بمجرد تثبيت FTK Imager، قم بتشغيل FTK Imager بالنقر على أيقونة التطبيق.

• في قائمة “ملف”، اختر “إنشاء صورة قرص”.

حدد الجهاز المصدر (محرك الأقراص الذي تريد تصويره) من القائمة.

تحديد وجهة الصورة:

اختر موقعًا وقم بتوفير اسم لملف الصورة الناتج.

حدد تنسيق الصورة المطلوب (على سبيل المثال، E01 أو DD).

تكوين الخيارات:

قم بتكوين خيارات التصوير مثل الضغط والتحقق وخوارزمية التجزئة حسب الحاجة.

ابدأ التصوير:

انقر فوق الزر “ابدأ” لبدء عملية التصوير.

سيقوم FTK Imager بإنشاء صورة قرص الطب الشرعي للجهاز المصدر.

التحقق والتحقق:

بعد اكتمال التصوير، استخدم FTK Imager للتحقق من سلامة الصورة باستخدام قيم التجزئة.

تحليل:

افتح صورة الطب الشرعي في FTK Imager أو أدوات تحليل الطب الشرعي الأخرى لفحص البيانات وإجراء التحقيقات.

تذكر اتباع إجراءات سلسلة الحراسة المناسبة، وتوثيق أفعالك، والالتزام بالمعايير القانونية والأخلاقية عند إجراء تحقيقات الطب الشرعي الرقمي.

خاتمة

وفي الختام، فإن عملية الحصول على الأدلة الرقمية في مجال الطب الشرعي الرقمي هي عملية دقيقة ونقدية. سواء اخترت استنساخ جهاز تخزين أو تصويره، فإن كل طريقة تؤدي غرضها في الحفاظ على سلامة الأدلة.

يعد الاستنساخ، بفضل قدرته على إنشاء نسخة مكررة تمامًا من النظام أو محرك الأقراص، أمرًا لا يقدر بثمن بالنسبة للسيناريوهات التي يكون فيها النسخ المتماثل ضروريًا، مثل إعداد أنظمة النسخ الاحتياطي أو إنقاذ البيانات من الأجهزة الفاشلة. إن سرعته ودقته تجعله أداة لا غنى عنها في مجموعة أدوات المحقق الرقمي.

ومن ناحية أخرى، فإن التصوير، الذي يشبه التقاط لقطات من البيانات ذات الصلة، يتفوق عندما تحتاج إلى الحفاظ على الأدلة بطريقة سليمة من الناحية الجنائية. فهو يسمح للمحققين بالتركيز على أجزاء محددة من المعلومات دون تحمل عبء البيانات الزائدة أو غير ذات الصلة.
أيًا كانت الطريقة التي تختارها، فمن الأهمية بمكان الالتزام بأفضل الممارسات، وتوثيق أفعالك بدقة، والتأكد من الحفاظ على سلامة الأدلة الأصلية طوال العملية. ومن خلال الفهم الشامل لمتى وكيفية استخدام هذه التقنيات، يمكن لخبراء الطب الشرعي الرقمي كشف الحقيقة مع الحفاظ على سلامة الأدلة الرقمية.