🔒 بيئة تدريبية — للاستخدام الأكاديمي فقط  |  CHFI Interactive Lab م. عبدالله الأسمري  ·  Eng. Abdullah Alasmari
🔬

مختبرات التحليل الجنائي الرقمي

CHFI · Digital Forensics Interactive Labs
م. عبدالله الأسمري
استناداً إلى كتاب: التحليل الجنائي الرقمي — د. جميل حسين تويلح
📱

مختبر جنائيات الهواتف الذكية

Mobile Forensics — الفصل التاسع
🏆 0/90 نقطة ← الرئيسية
📖 أساسيات
📶 بطاقة SIM
🔢 IMEI
🤖 Android
🍎 iOS
🔍 الأدلة والآثار
🛠️ أدوات التحليل

📖 مقدمة جنائيات الهواتف الذكية

الهاتف الذكي كنز من الأدلة الرقمية — يحتوي على رسائل، مكالمات، مواقع جغرافية، صور، وبيانات تطبيقات. تحليله يتطلب أدوات متخصصة واحترام القانون.

📱 ما يحتويه الهاتف من أدلة

9:41📶 WiFi 🔋
📞
مكالمات
💬
رسائل
📍
الخرائط
👥
جهات
🟢
واتساب
📷
صور
🌐
متصفح
📧
بريد
اضغط على أي تطبيق
📲 اضغط على أي تطبيق في الهاتف لرؤية نوع البيانات الجنائية التي يحتوي عليها
📞سجل المكالمات — من اتصل بمن ومتى وكم دامت
💬الرسائل النصية والواتساب — حتى المحذوفة أحياناً
📍البيانات الجغرافية في الصور (EXIF) والخرائط
🌐سجل التصفح، كلمات البحث، المواقع المزارة
☁️النسخ الاحتياطية على iCloud / Google Drive

⚖️ مستويات الاستخراج (من الأسهل للأصعب)

Manual
تصوير الشاشة يدوياً — الأبطأ والأقل شمولاً لكن لا يحتاج رمز فتح
Logical
استخراج البيانات عبر API النظام — سريع، يحتاج فتح USB debugging (Android)
File System
استخراج نظام الملفات كاملاً — يشمل الملفات المخفية والمحذوفة جزئياً
Physical
نسخ كاملة بت-لبت من الذاكرة — الأشمل، يكتشف كل شيء محذوف، يحتاج تقنيات متقدمة
Chip-Off
إزالة شريحة الذاكرة فيزيائياً وقراءتها مباشرة — للهواتف المكسورة أو المقفلة تماماً

❓ هاتف مقفل تماماً برمز غير معروف — ما مستوى الاستخراج الأنسب؟

📶 بطاقة SIM — كنز المعلومات

SIM (Subscriber Identity Module) تحتوي على هوية المشترك وسجلات الاتصال. حتى لو أُعيد ضبط الهاتف، السيم قد تحتفظ بالبيانات.

🗂️ البيانات المخزّنة على SIM

👤
IMSI
رقم هوية المشترك الدولي — يحدد المشترك لدى الشبكة
📞
MSISDN
رقم الهاتف (الـ MSISDN) — ما نعرفه كرقم الجوال
💬
SMS
رسائل SMS مخزّنة على السيم (محدودة)
📋
أرقام المتصلين
آخر الأرقام المتصلة — ADN / LND
📡
ICCID
الرقم التسلسلي للسيم نفسها
🔒
PIN / PUK
رموز قفل السيم — 3 محاولات خاطئة تقفلها

🔬 تحليل SIM محاكى

📡 Cell Tower — تحديد الموقع بالبرج

📍 حتى لو الـ GPS معطّل، شركة الاتصالات تعرف أي برج اتصل به الهاتف — يحدد الموقع في دائرة نصف قطرها 100م إلى 35كم
الوقترقم البرج (Cell ID)الشبكة (LAC)المنطقة التقريبية
2024-03-20 13:00458211234📍 الرياض — حي العليا
2024-03-20 14:15458991234📍 الرياض — طريق الملك فهد
2024-03-20 14:32612005678📍 مبنى الشركة — الطابق الثالث
2024-03-20 15:10458211234📍 الرياض — حي العليا
🚨 الهاتف كان في مبنى الشركة الساعة 14:32 — نفس وقت سرقة البيانات. هذا يربط المشتبه به بالحادثة!

❓ ما الفرق بين IMSI و MSISDN؟

🔢 IMEI — رقم الهاتف التسلسلي الدولي

IMEI (International Mobile Equipment Identity) رقم مكوّن من 15 رقماً، فريد لكل هاتف. يُشبه رقم الشاصي في السيارة. لا يمكن تغييره بسهولة.

🔍 تشريح رقم IMEI

356938 - 10 - 447402 - 1
TAC (Type Allocation Code) — رمز نوع الجهاز وشركة التصنيع (أول 6 أرقام)
SNR (Serial Number) — الرقم التسلسلي الفريد (8 أرقام)
CD (Check Digit) — رقم تحقق Luhn (آخر رقم)

🧮 التحقق من صحة IMEI بخوارزمية Luhn

كل IMEI حقيقي يجب أن يجتاز اختبار Luhn — يُكتشف به التزوير.

🚔 استخدام IMEI في التحقيق

📱 تتبع هاتف مسروق: IMEI لا يتغير بتغيير السيم — شركة الاتصالات تستطيع حجب الهاتف وتتبعه
🔍 ربط الجريمة بالهاتف: IMEI في سجلات الشبكة يثبت أن هذا الهاتف بالذات كان في موقع الجريمة
⚠️ تزوير IMEI: بعض الجناة يغيّرون IMEI — لكن يمكن كشفه بفحص برنامج البيوس
قاعدة GSMA: قاعدة بيانات دولية لكل الأجهزة المسجّلة — يمكن مقارنة IMEI للتحقق من الشركة والموديل

❓ مشتبه به غيّر السيم لكن المحقق ما زال يتتبعه. كيف؟

🤖 تحليل هاتف Android

Android أكثر انفتاحاً من iOS — أسهل في الاستخراج الجنائي. البيانات مخزّنة في SQLite databases يمكن قراءتها مباشرة.

📁 بنية نظام الملفات المهمة

/data/data/ ← تطبيقات المستخدم (يحتاج root)
├── com.android.providers.contacts/ ← جهات الاتصال
│  └── databases/contacts2.db ← SQLite
├── com.android.providers.telephony/ ← الرسائل
│  └── databases/mmssms.db ← SMS/MMS
├── com.android.browser/ ← سجل التصفح
│  └── databases/browser.db
└── com.whatsapp/
└── databases/msgstore.db ← رسائل واتساب!
/sdcard/ ← التخزين الخارجي
├── DCIM/ ← الصور (بها EXIF)
└── WhatsApp/Media/ ← وسائط واتساب

🗄️ قراءة قاعدة بيانات SMS (SQLite)

analyst@forensics:~$ sqlite3 mmssms.db "SELECT address,date,body FROM sms ORDER BY date DESC LIMIT 10"
جارٍ الاستعلام...

🌍 استخراج بيانات EXIF من الصور (الموقع الجغرافي)

📸 الصور الملتقطة بالهاتف تحتوي على إحداثيات GPS دقيقة في الـ EXIF metadata — تحدد مكان التقاطها بدقة أمتار!

❓ المحقق يريد قراءة رسائل WhatsApp من هاتف Android. أين الملف؟

🍎 تحليل هاتف iOS (iPhone)

iOS أكثر تشفيراً وحمايةً من Android — لكن النسخ الاحتياطية على iTunes أو iCloud غير مشفّرة (أحياناً) وتحتوي على كل شيء.

🔒 مقارنة iOS vs Android جنائياً

🤖 Android

✅ نظام ملفات أكثر انفتاحاً
✅ ADB يتيح استخراجاً سهلاً
✅ SQLite databases قابلة للقراءة
⚠️ يحتاج تفعيل USB Debugging
⚠️ التشفير اختياري (قديماً)
❌ تجزّؤ كبير (مئات الموديلات)

🍎 iOS

✅ النسخ الاحتياطية سهلة التحليل
✅ نظام موحّد — أدوات موثوقة
❌ تشفير قوي افتراضياً
❌ Secure Enclave يحمي المفاتيح
❌ بدون رمز المرور → استخراج محدود
⚠️ iCloud قد يحتاج تفويضاً قانونياً

💾 النسخة الاحتياطية لـ iTunes — كنز الأدلة

📦 النسخة الاحتياطية في Windows: C:\Users\[User]\AppData\Roaming\Apple Computer\MobileSync\Backup\

🗺️ ملف الـ Consolidated.db — سجل المواقع

📍 iOS كان يخزّن سجلاً كاملاً لمواقع الهاتف في ملف قاعدة بيانات — اكتُشف عام 2011 وأثار جدلاً واسعاً حول الخصوصية.
analyst@forensics:~$ python3 iphone_backup.py --extract-locations backup_dir/
Extracting location history from: consolidated.db Found 2,847 location entries (last 12 months) Top visited locations: 1. [24.6877, 46.7219] — 847 visits — الرياض، حي السليمانية 2. [24.7136, 46.6753] — 312 visits — الرياض، مركز الملك عبدالله المالي 3. [24.7254, 46.5986] — 89 visits — الرياض، مطار الملك خالد الدولي ✈️

❓ ما الأفضل لاستخراج بيانات iPhone مقفل وصاحبه لا يتعاون؟

🔍 الآثار الجنائية في الهواتف

في قضية خالد — وُجد هاتفه Android في مكان العمل. اضغط على كل أثر جنائي لفحصه.

📋 قائمة الآثار الجنائية — هاتف المشتبه به

📞

سجل المكالمات

آخر 30 مكالمة

/data/data/com.android.providers.contacts/databases/contacts2.db
▶ افحص
💬

الرسائل النصية

SMS مخزّنة على الجهاز

/data/data/com.android.providers.telephony/databases/mmssms.db
▶ افحص
🟢

رسائل WhatsApp

محادثات وملفات وسائط

/data/data/com.whatsapp/databases/msgstore.db
▶ افحص
🌐

سجل التصفح

Chrome browser history

/data/data/com.android.chrome/app_chrome/Default/History
▶ افحص
📍

سجل المواقع

Google Location History

/data/data/com.google.android.gms/databases/
▶ افحص

🛠️ أدوات التحليل الجنائي للهواتف

مقارنة بين أبرز الأدوات المستخدمة في التحقيقات الجنائية للهواتف الذكية — ذُكر بعضها صراحةً في الكتاب.

🔧 مقارنة الأدوات

الأداةAndroidiOSالسعرمستوى الاستخراج
Cellebrite UFEDمرتفع جداًPhysical
Oxygen ForensicsمرتفعPhysical + Logical
Magnet AXIOMمرتفعLogical + Cloud
AutopsyمحدودمجانيLogical
ADB (Android)مجانيLogical
iBackup Viewerمجاني جزئياًBackup

🖥️ ADB — أداة Android Debug Bridge

analyst@forensics:~$ adb devices
List of devices attached R58M91XXXXX device ← هاتف خالد متصل
analyst@forensics:~$ adb backup -apk -shared -all -f khalid_backup.ab
Now unlock your device and confirm the backup operation... [تم التأكيد] Backup archive is being created... [████████████████████] 100% — Done (2.3 GB)
analyst@forensics:~$ adb pull /sdcard/ ./evidence/sdcard/
pull: building file list... 4,821 files pulled. 0 files skipped. 8.642 MB/s (2,310,458,102 bytes in 254.426s)

❓ أي أداة مجانية يمكن استخدامها لتحليل نسخ Android الاحتياطية وملفات SQLite؟

صُمِّمت بواسطة م. عبدالله الأسمري — Eng. Abdullah Alasmari

مستناداً إلى كتاب: التحليل الجنائي الرقمي — د. جميل حسين تويلح

© 2025 · جميع المحتوى لأغراض تعليمية أكاديمية