🔒 بيئة تدريبية — للاستخدام الأكاديمي فقط  |  CHFI Interactive Lab م. عبدالله الأسمري  ·  Eng. Abdullah Alasmari
🔬

مختبرات التحليل الجنائي الرقمي

CHFI · Digital Forensics Interactive Labs
م. عبدالله الأسمري
استناداً إلى كتاب: التحليل الجنائي الرقمي — د. جميل حسين تويلح
🔍

مختبر التحليل الجنائي الرقمي التدريبي

Digital Forensics Training Lab — بناءً على كتاب د. جميل طويلة
🔴 LIVE 🏆 0/100 نقطة ← الرئيسية

المختبرات

التقدم الكلي
0 / 5 مختبرات مكتملة
0
مختبرات مكتملة
0
مجموع النقاط
5
إجمالي المختبرات
11
فصول الكتاب
📚 هذا المختبر مبني على كتاب التحليل الجنائي الرقمي للدكتور جميل حسين طويلة. كل مختبر يغطي مفاهيم عملية من فصول الكتاب.
💾

المختبر الأول: جمع الأدلة

تعلّم كيفية إنشاء نسخة طبق الأصل (Bit-by-bit) من القرص الصلب والتحقق من سلامة الأدلة باستخدام Hash.

سهل
📖 الفصلان 1 و2
🗑️

المختبر الثاني: استرداد الملفات

اكتشف الملفات المحذوفة في نظام FAT32/NTFS وتعرّف على كيفية عمل أدوات الاسترداد.

سهل
📖 الفصل الخامس
🗝️

المختبر الثالث: سجل ويندوز

حلّل سجل Windows لاستخراج معلومات أجهزة USB المتصلة وبيانات تسجيل الدخول والشبكات.

متوسط
📖 الفصل الحادي عشر
🌐

المختبر الرابع: تحليل الشبكة

افحص حزم الشبكة باستخدام Wireshark لاكتشاف بروتوكولات HTTP وأنماط الهجوم.

متوسط
📖 الفصلان 7 و8
🕵️

المختبر الخامس: تحقيق متكامل

قضية متكاملة تجمع كل المهارات السابقة: من جمع الأدلة إلى كتابة تقرير احترافي.

متقدم
📖 الفصل الرابع — كتابة التقرير

💾 المختبر الأول: جمع الأدلة الرقمية وإنشاء نسخة الجنائي

📋 السيناريو: تم إبلاغ قسم التحقيقات عن اختراق لنظام حاسوب الموظف "خالد أحمد". أنت المحقق الجنائي المكلف بجمع الأدلة. يجب عليك إنشاء نسخة جنائية دقيقة من القرص الصلب والتحقق من سلامتها قبل الشروع في التحليل.

📖 الفصل الأول 📖 الفصل الثاني 🛠️ dd / FTK Imager
المهمة 1.1 — تأمين مسرح الجريمة
لم تكتمل
⚠️ قبل أي إجراء يجب توثيق الحالة الراهنة للجهاز والبيئة المحيطة.

ما هي الخطوات الصحيحة لتأمين مسرح الجريمة الرقمية؟ اختر جميع الإجابات الصحيحة:

📸

تصوير الشاشة

التقاط صورة للشاشة الحالية وتوثيق ما يظهر على الجهاز قبل أي تدخل

🔌

عدم إيقاف الجهاز

إبقاء الجهاز في حالته لحفظ البيانات المتطايرة في RAM

🗑️

حذف الملفات المشبوهة

إزالة الملفات الضارة فوراً لحماية النظام

📝

توثيق سلسلة الحيازة

تسجيل من لمس الجهاز ومتى وأين لضمان قبول الدليل قانونياً

المهمة 1.2 — إنشاء نسخة جنائية بأمر dd
لم تكتمل

المحقق يستخدم أمر dd لإنشاء نسخة طبق الأصل (Bit-by-bit Image). شاهد الأمر التالي وحلله:

investigator@forensics:~$ dd if=/dev/sdb of=/mnt/evidence/khalid_disk.img bs=512 conv=noerror,sync status=progress
125829120 bytes (126 MB, 120 MiB) copied, 2.03451 s, 61.9 MB/s 61440+0 records in 61440+0 records out 31457280 bytes (31 MB, 30 MiB) copied, 0.509086 s, 61.8 MB/s Image created: khalid_disk.img (250GB)

❓ ماذا يعني المعامل conv=noerror,sync في أمر dd؟

المهمة 1.3 — التحقق من Hash (بصمة الدليل)
لم تكتمل
🔐 Hash هو البصمة الرقمية للدليل — أي تغيير ولو بت واحد يغير Hash بالكامل. هذا يثبت أن الدليل لم يُعبث به.
investigator@forensics:~$ md5sum khalid_disk.img
a3f5c8d2e4b7091643cc8a12fd93b6e7 khalid_disk.img
investigator@forensics:~$ sha256sum khalid_disk.img
b94d27b9934d3e08a52e52d7da7dabfac484efe04294e576f0eb8fb9ca33e67c khalid_disk.img
📋 بعد أسبوع، طلب المحكمة إعادة التحقق من الدليل. تم حساب Hash من جديد وظهرت النتيجة التالية:
investigator@forensics:~$ md5sum khalid_disk.img
c9a0f1e3d5b8012754dd9b23fe04c7f8 khalid_disk.img

❓ ماذا يعني هذا الاختلاف في Hash؟

🗑️ المختبر الثاني: استرداد الملفات المحذوفة

📋 السيناريو: الموظف "خالد" حذف عدداً من الملفات قبيل الإيقاف الطارئ للجهاز. تم عمل النسخة الجنائية ويجب الآن البحث عن الملفات المحذوفة واسترداد ما يمكن استرداده من القرص المنسوخ.

📖 الفصل الخامس 🛠️ Autopsy / TestDisk
المهمة 2.1 — فهم نظام الملفات FAT32
لم تكتمل
💡 في FAT32 عند حذف ملف، يُستبدل أول حرف من اسمه بـ 0xE5 في جدول FAT. البيانات الفعلية تبقى على القرص حتى يُكتب فوقها.
── جدول FAT32 — الإدخالات ──
0x0000E5 41 4C 48 41 4C 45 58·ALHALEX (محذوف)
0x002052 45 50 4F 52 54 20 20REPORT (موجود)
0x0040E5 52 49 56 41 54 45 20·RIVATE (محذوف)
0x006053 59 53 54 45 4D 20 20SYSTEM (موجود)

❓ كم عدد الملفات المحذوفة في الجدول أعلاه؟

المهمة 2.2 — تحليل محتويات القرص المحاكى
لم تكتمل

فيما يلي قائمة بالملفات الموجودة على قرص خالد. افحصها وحدد الملفات الجديرة بالتحليل الجنائي:

اسم الملفالحجمالتاريخالحالةملاحظة
quarterly_report.docx245 KB2024-03-15موجود
secret_transfer.xlsx88 KB2024-03-20محذوف⚠️ مشبوه
chat_logs_backup.zip1.2 MB2024-03-20محذوف⚠️ مشبوه
system32.dll512 KB2022-01-10موجودملف نظام
photo_evidence.jpg3.4 MB2024-03-19تم الاسترداد✅ مسترد
المهمة 2.3 — قراءة File Header لتحديد نوع الملف الحقيقي
لم تكتمل
🕵️ وجد المحقق ملفاً اسمه "document.txt" لكن محتواه مريب. فحص الـ Magic Bytes أول 8 بايت:
── أول 16 بايت من document.txt ──
0x0000FF D8 FF E0 00 10 4A 46 49 46 00 01ÿØÿà..JFIF..

❓ ما هو النوع الحقيقي لهذا الملف بناءً على الـ Magic Bytes؟

🗝️ المختبر الثالث: تحليل سجل Windows

📋 السيناريو: بعد تحليل القرص، يريد المحقق معرفة ما إذا كان خالد قد استخدم USB لنقل بيانات، وما هي المواقع التي زارها، وهل يوجد برنامج للتشغيل التلقائي عند بدء النظام.

📖 الفصل الحادي عشر 🛠️ RegEdit / RegRipper
المهمة 3.1 — اكتشاف أجهزة USB المتصلة
لم تكتمل

انقر على مفاتيح السجل لاستعراض محتواها:

HKEY_LOCAL_MACHINE\
└─ SYSTEM\
  └─ CurrentControlSet\
    └─ Enum\USBSTOR\ 👆 انقر

❓ ما هو مسار السجل الذي يحتوي على معلومات أجهزة USB في Windows؟

المهمة 3.2 — فحص برامج التشغيل التلقائي (Autostart)
لم تكتمل
🔍 البرامج الخبيثة كثيراً ما تضع نفسها في مفاتيح الـ Run لضمان التشغيل التلقائي عند بدء Windows.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"OneDrive" = "C:\Users\khalid\AppData\Local\Microsoft\OneDrive\OneDrive.exe"
"Skype" = "C:\Program Files\Skype\Phone\Skype.exe /minimized"
"svchost32" = "C:\Users\khalid\AppData\Roaming\svchost32.exe" ⚠️

❓ أي من إدخالات Run السابقة يثير الشك؟ ولماذا؟

🌐 المختبر الرابع: تحليل حركة الشبكة

📋 السيناريو: استطاع الفريق الاسترداد سجل الشبكة من الراوتر. يجب الآن تحليل حزم الشبكة لتحديد ما إذا كانت هناك اتصالات مشبوهة أو تسريب بيانات خارج الشركة.

📖 الفصل السابع 📖 الفصل الثامن 🛠️ Wireshark
المهمة 4.1 — تحليل حزم الشبكة (Packet Analysis)
لم تكتمل

انقر على أي حزمة لعرض تفاصيلها:

#109:14:22 192.168.1.1058.8.8.8 DNS Standard query A secretupload.ru
#209:14:23 192.168.1.105185.220.101.42 TCP SYN → Port 443
#309:14:24 192.168.1.105185.220.101.42 HTTP POST /upload.php — Length: 1,280,542 bytes
#409:14:25 185.220.101.42192.168.1.105 HTTP 200 OK — "upload successful"

❓ ما هو رأيك في الحزمة رقم 3؟

المهمة 4.2 — فلترة Wireshark وتتبع الجلسة
لم تكتمل
🎯 في Wireshark يمكن فلترة الحزم بتعبيرات مثل: http.request.method == "POST" أو ip.dst == 185.220.101.42

❓ ما هو فلتر Wireshark المناسب لعرض كل الحزم المرسلة إلى العنوان الخارجي المشبوه؟

🕵️ المختبر الخامس: التحقيق المتكامل وكتابة التقرير

📋 السيناريو: بعد جمع كل الأدلة من المختبرات السابقة، حان وقت توحيد النتائج في تقرير جنائي رسمي يمكن تقديمه للمحكمة. التقرير يجب أن يكون واضحاً وموثقاً ومبنياً على أدلة.

📖 الفصل الرابع 📝 Chain of Custody
المهمة 5.1 — مراجعة نتائج التحقيق
✅ ملخص الأدلة المجمّعة من المختبرات السابقة:
1

دليل جهاز USB — SanDisk Ultra

سجل Windows يُثبت اتصال USB في 2024-03-20 الساعة 14:32 — نفس وقت حذف الملفات

2

ملفات محذوفة مستردة

secret_transfer.xlsx و chat_logs_backup.zip محذوفان في تاريخ الحادثة — Hash موثّق

3

برنامج خبيث في Autostart

svchost32.exe في AppData يتنكر كملف نظام — تم رصده في مفتاح Run

4

تسريب بيانات عبر الشبكة

HTTP POST بحجم 1.2MB إلى secretupload.ru — توقيت مطابق لتاريخ الحادثة

المهمة 5.2 — كتابة التقرير الجنائي الرسمي
لم تكتمل

📋 بيانات القضية

🎯 ملخص التحقيق

🔍 المنهجية المتبعة

📊 النتائج والاستنتاجات

صُمِّمت بواسطة م. عبدالله الأسمري — Eng. Abdullah Alasmari

مستناداً إلى كتاب: التحليل الجنائي الرقمي — د. جميل حسين تويلح

© 2025 · جميع المحتوى لأغراض تعليمية أكاديمية