فارنزیک (Forensic) چیست؟

فارنزیک (Forensic) چیست؟

در دنیای دیجیتال امروزی هر فرد و همچنین هر سازمان همواره در معرض حملات و نقض های امنیتی مختلف هستند، از این رو با گسترش این حملات، علمی با نام فارنزیک (جرم یابی) به وجود آمد که تاریخچه آن به دهه 90 میلادی برمیگردد. در این مقاله قصد داریم به بررسی علم فارنزیک پرداخته و یک جعبه ابزار کامل آن را معرفی کنیم.

فارنزیک در لغت به معنی پزشکی قانونی می‌باشد. مبحث Forensic به دو دسته مختلف Human Forensic و Digital Forensic تقسیم بندی می شود که یکی برای جرم شناسی دیجیتال و دیگری برای پزشکی قانونی انسان می باشد.

Digital Forensics ( به اختصار Digital Forensic Science) یکی از زیر شاخه های علوم پزشکی قانونی می باشد که در آن به بررسی و جمع آوری‌ اطلاعات و شواهد مختلف از یک سیستم رایانه ایی و یا دیجیتالی که غالبا به یک جرم خاص مرتبط باشد پرداخته می شود.

به صورت گفتار فارسی این علم به نام جرم شناسی دیجیتال هم شناخته می‌شود، افراد متخصص در این زمینه توانایی جمع آوری شواهد مهم، دسترسی به نقاطی که اطلاعات بسزائی در آن‌جا وجود دارد و توانایی بازیابی اطلاعات حذف شده را دارند‌.

این علم ابتدا مترادفی برای پزشکی قانونی انسان بوده است اما با گذشت زمان از سال 1970 تا به امروز پیشرفت بسزا و حیرت انگیزی داشته و جزوه یک شاخه های مهم در دنیای کامپیوتر و امنیت سایبری شده است.

مبحث Digital Forensic به دسته های مختلفی تقسیم بندی می شود از جمله:

• جرم یابی لینوکس (Linux Forensic)
• جرم یابی موبایل (Mobile Forensic)
• جرم یابی آیفون (iOS Forensic)
• جرم یابی اندروید (Android Forensic)
• جرم یابی شبکه (Network Forensic)
• جرم یابی حافظه (Memory Forensic)
• جرم یابی فلش مموری ها USB Forensic)

جعبه ابزار های فارنزیک (جرم یابی)

هر فردی که در زمینه جرم یابی دیجیتال فعالیت دارد، قطعا علاوه بر دانش در رابطه با این زمینه نیاز به ابزارها و فریمورک هایی نیز دارد که بتواند مراحل کار را با آن‌ها پیش ببرد. از جمله این جعبه ابزار ها عبارتند از:

• اولین جعبه ابزار Forensic: سیستم عامل کالی لینوکس را میتوان به عنوان یکی از جعبه ابزار های Forensic به کار برد. این سیستم عامل با داشتن حدود 600 ابزار فعال و کار آمد در زمینه های مختلفی از جمله شاخه های مختلف تست نفوذ محبوبیت بسیاری دربین هکران و تستر های نفوذ پیدا کرده است. همچنین این ابزار دارای یک بخش کامل در رابطه با ابزار ها و فریمورک های Forensic می‌باشد.
• جعبه ابزار دوم: سیستم عامل امنیتی Parrot OS این سیستم عامل که به عنوان سیستم عامل طوطی نیز شناخته می‌شود یکی از سیستم های امنیتی فوق العاده قوی و سبک می‌باشد که تقریبا شباهت زیادی به سیستم عامل Kali Linux نیز دارد.
• جعبه ابزار سوم: سیستم عامل SIFT Workstation به عنوان یک سیستم عامل کامل در رابطه با Forensic به حساب می‌آید.

در این مقاله قصد داریم به بررسی ابزار های فارنزیک سیستم عامل KaliLinux بپردازیم. این سیستم عامل از سال 2013 به بعد تکامل بسیار خوبی در زمینه Forensic پیدا کرده است.

اولین ابزار: Guymager

اولین مرحله شروع کار یک جرم شناس دیجیتال گرفتن یک Image از سطح هارد سیستم می‌باشد که ابزار قدرتمند Guymager یکی از موفق ترین ابزار های این زمینه می‌باشد.

ابزار دوم: Binwalk

این ابزار که از کتابخانه قدرتمند Libmagic استفاده می‌کند وظیفه دریافت Image ها و جست و جو فایل ها و منابع مختلف را در آن Image را دارد. (این ابزار برای آنالیز Firmware دستگاه های IoT نیز بکار می‌آید)

ابزار سوم: Bulk extractor

این ابزار وظیفه کشف اطلاعات بسیار مهمی را از جمله آدرس های E-Mail، شماره کارت های اعتباری و آدرس های Url که از جمله مباحث مهم جرم شناسی دیجیتال می‌باشند را دارد. این ابزار به شما در کشف حملات مختلف سایبری از جمله شکستن رمز های عبور و آسیب پذیری های مختلف نیز کمک شایان می‌کند. همچنین از مزیت های خوب این ابزار پشتیبانی از آنالیز انواع فایل ها حتی فایل های فشرده شده نیز می‌باشد.

ابزار چهارم: Magic rescue

این ابزار توانایی اسکن دستگاه های بلاک شده را خیلی راحت برای شما فراهم می‌سازد. این ابزار میتواند تمامی فایل های شناخته شده بر روی دستگاه را کشف و استخراج کند.

ابزار پنجم: Scalpel

این ابزار وظیفه لیست سازی تمامی پرونده ها و نرم افزار های درحال اجرا بر روی سیستم های لینوکسی و ویندوزی را فراهم می‌سازد.

ابزار ششم: Scrounge-NTFS

این ابزار قدرتمند وظیفه بازیابی اطلاعات از روی فایل سیستم های NTFS که خراب شده اند را دارد، میتوانید فایل های خود را از یک فایل سیستم خراب شده به یک فایل سیستم سالم هدایت کنید.

ابزار هفتم: Pdfid

این ابزار برای اسکن فایل های PDF به کار میرود و به شما این امکان را می‌دهد که به جست و جوی قسمت های مختلف در فایل بپردازید. حتی می توانید بررسی کنید که فایل PDF در هنگام اجرا کدی بر روی سیستم شما اجرا می‌سازد و یا خیر. همچنین این ابزار مشکلات فایل های PDF را نیز برطرف می‌سازد.

ابزار هشتم: PDF-Parser

این ابزار یکی از مهمترین ابزار جرم یابی برای فایل PDF می‌باشد. این ابزار وظیفه تجزیه و تحلیل فایل های PDF را برعهده دارد و عناصر مهم آن ‌را از فایل استخراج می‌سازد.

ابزار نهم: PEEPDF

یک ابزار به زبان پایتون که به بررسی فایل PDF می‌پردازد تا از بی خطر بودن و یا آلوده بودن آن‌ها اطمینان حاصل کند. تمامی تجزیه و تحلیل های فایل های PDF را ارائه میدهد و حتی از عناصر و تکنیک های مختلف که به منظور در امان ماندن از علم فارنزیک توسط هکر ها استفاده می‌شود نیز رد می‌شود. همچنین از مزیت های خوب این ابزار توانایی تجزیه و تحلیل فایل های PDF رمزنگاری شده می‌باشد.

ابزار دهم: Autopsy

یک ابزار بسیار سریع و قدرتمند که برای بازیابی اطلاعات و فیلتر Hash ها مورد استفاده قرار می‌گیرد. این ابزار با استفاده از PhotoRec توانایی بازیابی سریع اطلاعات حذف شده و حتی کشف داده های مهم مثله Exif Data را نیز دارد. (این ابزار پس از اجرا سازی از طریق محیط وب در مرورگر قابل دسترسی میباشد.)

ابزار یازدهم: ICAT

این ابزار یکی از چندین ابزار خانواده Sleuth Kit tool که با نام TSK نیز شناخته می‌شوند می‌باشد که وظیفه کشف اطلاعات مختلف مثل میزان مجوز ها و اطلاعات و تعداد فایل ها براساس inode هارا دارد.

ابزار دوازدهم: Srch_strings tool

این ابزار به دنبال متن ها ACSII و UniCode در فایل های باینری می‌پردازد و آن‌هارا استخراج می‌کند.

دوستان فراموش نکنید که علم فارنزیک صرفا برای کشف مجرمان سایبری نیست، این‌ علم در همه موارد به‌کار آمده است که به عنوان نمونه می توان به دستگیری تروریست ها و غیره اشاره کرد.