مختبر Anti-Forensics والـ Metadata

🙈 مكافحة الجنائيات (Anti-Forensics)

تقنيات يستخدمها الجناة لإخفاء آثارهم وتدمير الأدلة وإرباك المحققين. فهمها يُمكّن المحقق من اكتشافها والتحايل عليها.

📋 أنواع تقنيات Anti-Forensics — اضغط لمعرفة التفاصيل

⏰

Timestomping

تعديل تواريخ الملفات لإرباك الجدول الزمني

🧹

File Wiping

الكتابة فوق البيانات لمنع الاسترداد

🔐

Encryption

تشفير الملفات لمنع قراءتها

🖼️

Steganography

إخفاء البيانات داخل ملفات عادية

🗒️

Log Clearing

حذف أو تعديل السجلات

✏️

File Renaming

تغيير امتداد الملف لإخفاء نوعه

🕳️

Slack Space

إخفاء بيانات في المساحة الضائعة

🧅

Anonymization

Tor / VPN / Proxy لإخفاء الهوية

⚔️ الهجوم مقابل الدفاع — الجاني vs المحقق

تقنية Anti-Forensics	ما يفعله الجاني	كيف يكشفه المحقق
Timestomping	يُعدّل تواريخ الملفات	يقارن MACE times بسجل MFT وأحداث USN Journal
Log Clearing	يحذف Windows Event Logs	يُلاحظ ثغرة في تسلسل Event IDs + يفحص Shadow Copies
Secure Delete	يستخدم shred أو Eraser	يبحث في Slack Space والـ $LogFile وأجزاء لم تُكتب فوقها
File Extension Spoofing	يسمي malware.exe كـ report.docx	يفحص Magic Bytes بدل الامتداد
Encryption	يشفّر القرص بـ VeraCrypt	يستخرج مفتاح التشفير من صورة RAM
Slack Space Hiding	يخفي بيانات في File Slack	يفحص Slack Space بأدوات مثل Autopsy

❓ المحقق يرى أن Windows Event Log يبدأ فجأة من Event ID 1000 بعد Event ID 4999 — ماذا يعني الانقطاع؟

السجل يعيد الترقيم تلقائياً عند امتلائه أحداث 2000–4998 حُذفت — دليل على Log Clearing لإخفاء نشاط مشبوه خطأ في Windows الجهاز أُعيد تشغيله

⏰ Timestomping — تزوير تواريخ الملفات

Timestomping هي تعديل تواريخ MACE (Modified, Accessed, Created, Entry Modified) لملف ما، لإرباك الجدول الزمني للتحقيق وإخفاء وقت الجريمة الحقيقي.

🕐 فهم تواريخ MACE في NTFS

M — Modified: آخر تعديل لمحتوى الملف

A — Accessed: آخر فتح أو قراءة للملف

C — Created: تاريخ إنشاء الملف

E — Entry Modified: آخر تعديل لإدخال MFT نفسه (لا يستطيع المهاجم تغييره بسهولة!)

🔑 السر: في NTFS كل ملف له مجموعتان من التواريخ — واحدة في $STANDARD_INFORMATION (يمكن تعديلها) وأخرى في $FILE_NAME (أصعب في التعديل). مقارنتهما تكشف الـ Timestomping.

🧪 كشف Timestomping — محاكاة حية

❓ ملف Created date = 2024-03-20 لكن $FILE_NAME entry تقول Created = 2024-03-15. ماذا يعني هذا؟

خطأ في نظام الملفات الـ $STANDARD_INFORMATION عُدِّل (Timestomping) — الملف أُنشئ 15 مارس لكن المهاجم غيّر التاريخ إلى 20 مارس الملف نُسخ من مكان آخر التواريخ في NTFS دائماً غير دقيقة

🛠️ أدوات كشف Timestomping

analyst@forensics:~$ python3 analyzeMFT.py -f disk.img | grep "timestomp"

Checking timestamps for inconsistencies... [ALERT] secret_transfer.xlsx: $SI Created=2024-03-20 but $FN Created=2024-03-15 → TIMESTOMPED! [ALERT] payload.exe: $SI nanoseconds=000000000 (zeroed) → Classic Timestomp signature! [OK] report.docx: timestamps consistent

💡 أداة Timestomp الشهيرة تُصفّر nanoseconds — الـ NTFS يحفظ الوقت بدقة 100 نانوثانية، وجود أصفار كاملة نادر جداً ويدل على التزوير.

🗑️ محو البيانات (Wiping & Shredding)

الحذف العادي لا يمحو البيانات — فقط يعلّم المساحة "فارغة". الـ Wiping الحقيقي يكتب فوق البيانات بأنماط محددة. المحقق يبحث عما تبقّى.

🔬 الفرق بين الحذف العادي والـ Secure Wipe

🗑️ حذف عادي (Del / rm)

القرص قبل الحذف: [████ INVOICE.pdf ████] [████ SECRET.xlsx ████] بعد: rm SECRET.xlsx [████ SECRET.xlsx ████] ← يُعلَّم "حر" لكن البيانات لا تزال موجودة! → قابل للاسترداد بـ Autopsy

🧹 Secure Wipe (shred -n 3)

القرص قبل المحو: [████ SECRET.xlsx ████] التمريرة الأولى: [0101010101010101010101] التمريرة الثانية: [1010101010101010101010] التمريرة الثالثة (أصفار): [0000000000000000000000] → صعب الاسترداد على HDD → SSD: بقايا في NAND!

💡 محاكاة تمريرات الـ Wipe

🔍 ما يجده المحقق بعد الـ Wipe

📋 MFT Entry: إدخال MFT الخاص بالملف المحذوف لا يزال موجوداً — يُثبت وجود الملف وبياناته الوصفية (اسم، حجم، تاريخ) حتى لو لا يمكن استرداد المحتوى.

🗞️ USN Journal ($UsnJrnl): سجل جميع العمليات على الملفات في NTFS — حذف أو إنشاء أو تعديل — يُبقي أثراً حتى لو مُحيت البيانات.

📸 Volume Shadow Copies: Windows ينشئ نقاط استعادة تلقائياً — قد تحتوي نسخة من الملف قبل المحو!

💾 SSD خصوصية: TRIM command تجعل المحو أكثر فاعلية على SSD — لكن بيانات في NAND Flash قد تبقى في over-provisioned area.

analyst@forensics:~$ fsutil usn readjournal C: csv | grep "secret_transfer"

MajorVersion,Reason,Timestamp,FileName 2,DATA_OVERWRITE,2024-03-20T14:28:44,secret_transfer.xlsx 2,DATA_TRUNCATION,2024-03-20T14:29:01,secret_transfer.xlsx 2,FILE_DELETE,2024-03-20T14:30:22,secret_transfer.xlsx [*] USN Journal confirms file existed and was deleted at 14:30:22

❓ المجرم استخدم shred -vfz -n 7 لمحو ملف. ما الذي يمكن للمحقق إثباته رغم ذلك؟

لا شيء — المحو الكامل يمنع أي إثبات يُثبت من USN Journal و MFT أن الملف كان موجوداً واسمه وحجمه وتاريخ حذفه — حتى لو لا يستطيع استرداد محتواه يمكن استرداد المحتوى بالكامل فقط حجم الملف

📄 تحليل البيانات الوصفية (Metadata Analysis)

Metadata هي بيانات داخل البيانات — تكشف من أنشأ الملف، متى، بأي برنامج، وأحياناً أين (GPS). يستخدمها المجرمون لإخفاء هويتهم ويكتشفها المحققون.

📝 Metadata في ملف Word — من كتب هذا التقرير؟

📸 EXIF Metadata في الصور — من التقط هذه الصورة؟

🌃

image_evidence.jpg

🧹 كيف يُخفي المجرمون الـ Metadata

🔧 ExifTool: exiftool -all= suspicious.jpg يمسح كل الـ EXIF — لكن يترك أثراً في MFT (تعديل الملف)

📱 تطبيقات الخصوصية: Signal وبعض تطبيقات المراسلة تمسح الـ EXIF تلقائياً قبل الإرسال

🖼️ Metadata Scrubbing: أدوات مثل MAT2 تُزيل metadata من ملفات متعددة — لكن قد تُغيّر Hash الملف!

🕵️ للمحقق: حتى لو مُسح الـ EXIF، فحص Magic Bytes + حجم الملف + التواريخ في MFT + أي نسخ في Backup أو Cloud يُثبت أصل الملف.

❓ محقق يفحص صورة لا تحتوي أي EXIF. كيف يحدد كاميرا التقاطها؟

مستحيل — إذا حُذف EXIF فلا طريقة تحليل ضوضاء الكاميرا (Photo Response Non-Uniformity / PRNU) — بصمة فريدة لكل كاميرا في بكسلات الصورة تخمين من جودة الصورة فحص اسم الملف فقط

📅 بناء الجدول الزمني للحادثة (Incident Timeline)

المحقق يجمع أحداثاً من مصادر متعددة في جدول زمني موحّد يُثبت تسلسل الجريمة. هذا الجدول هو العمود الفقري لأي تقرير جنائي.

📚 مصادر الأحداث للجدول الزمني

🗂️ MFT / USN Journal

إنشاء/تعديل/حذف الملفات بدقة 100ns

📋 Windows Event Log

تسجيل دخول، تشغيل برامج، أخطاء النظام

🌐 Firewall / Proxy Logs

الاتصالات الشبكية الداخلة والخارجة

📶 Cell Tower Records

موقع الهاتف بالتقريب كل دقيقة

📸 CCTV / بطاقة الدخول

من دخل الغرفة ومتى بالضبط

💬 WhatsApp / Email

توقيت الرسائل والاتصالات

🕒 الجدول الزمني الموحّد — قضية خالد

⚠️ تعارض الأدلة — كشف التلاعب في الجدول الزمني

🚨 تناقض مكتشف: الـ CCTV يُثبت أن خالد غادر المبنى الساعة 15:00، لكن Windows Event Log يُظهر تسجيل دخول على حسابه الساعة 15:30. ماذا يعني هذا؟

مختبرات التحليل الجنائي الرقمي

مختبر مكافحة الجنائيات وتحليل البيانات الوصفية