مختبر RAM والأقراص الصلبة

🧠 الذاكرة العشوائية (RAM) — الدليل المتطاير

RAM تحتوي على بيانات حيّة لا توجد في أي مكان آخر: كلمات مرور مفكوكة، عمليات جارية، مفاتيح تشفير، اتصالات شبكية. تُفقَد نهائياً عند إيقاف الجهاز.

⚡ ما يوجد في RAM ولا يوجد على القرص

🔑

كلمات المرور

مفكوكة في الذاكرة

⚙️

العمليات الجارية

حتى المخفية

🌐

الاتصالات الشبكية

الجلسات المفتوحة

🔐

مفاتيح التشفير

BitLocker / VeraCrypt

📋

الحافظة (Clipboard)

ما تم نسخه

🦠

Fileless Malware

لا أثر على القرص

🗺️ خريطة الذاكرة — ما يحتله كل منطقة

فارغ نظام التشغيل تطبيقات مشبوه مخزن مؤقت

📸 كيف نستخرج صورة RAM (Memory Dump)

investigator@forensics:~$ winpmem_mini_x64.exe memdump.raw

WinPmem 4.0.rc1 - Memory Imager Dumping memory to: memdump.raw Imaging memory (16,384 MB)... [████████████████████] 100% — 16.0 GB written MD5: a3f7c9d2e1b845f0123456789abcdef0 Memory dump complete. File: memdump.raw (16,384 MB)

⚠️ ترتيب الأولوية للأدلة المتطايرة (RFC 3227):
1. سجلات CPU والـ Cache | 2. RAM | 3. حالة الشبكة | 4. العمليات الجارية | 5. القرص الصلب

❓ وصل المحقق لمشهد جريمة والجهاز يعمل. ما الخطوة الأولى؟

إيقاف الجهاز فوراً لحماية القرص الصلب استخراج صورة RAM أولاً قبل أي شيء — لأن إيقاف الجهاز يمحوها نهائياً تصوير الشاشة فقط فصل الإنترنت أولاً

⚡ Volatility Framework — تحليل صورة RAM

Volatility هي الأداة الأشهر لتحليل صور الذاكرة. تستطيع استخراج العمليات، الاتصالات، كلمات المرور، والبرمجيات الخبيثة من ملف RAM dump.

🔌 إضافات Volatility الأساسية — اضغط لتشغيل أي منها

pslist

قائمة كل العمليات الجارية من EPROCESS structure

pstree

شجرة العمليات — من أطلق من (Parent/Child)

netscan

كل الاتصالات الشبكية المفتوحة وقت أخذ الـ dump

cmdline

الأوامر التي نُفِّذت في command line

hashdump

استخراج هاشات كلمات مرور Windows من SAM في الذاكرة

malfind

اكتشاف مناطق ذاكرة مشبوهة قد تحتوي Shellcode أو Injected Code

dlllist

قائمة الـ DLL المحمّلة لكل عملية — يكشف DLL Injection

analyst@forensics:~$ volatility3 -f memdump.raw windows.pslist

اضغط على أي إضافة أعلاه لرؤية نتائجها...

🚨 تحليل العمليات المشبوهة

        PID
        الاسم
        PPID
        المسار / ملاحظة
        حكم
      

❓ وجدت عملية اسمها `svchost.exe` لكن PPID تابعة لـ `explorer.exe` بدلاً من `services.exe`. ماذا يعني هذا؟

أمر طبيعي — svchost يعمل من أي مكان مشبوه — svchost الحقيقي يُطلَق دائماً من services.exe. هذه علامة على Process Hollowing أو Malware خطأ في Volatility التطبيق يستخدم svchost للتسريع

💿 بنية القرص — MBR و GPT

القرص الصلب ليس مجرد ملفات — له بنية منطقية دقيقة. فهم هذه البنية يُمكّن المحقق من اكتشاف الأقسام المخفية والبيانات المحذوفة من خارج نظام الملفات.

📐 MBR — Master Boot Record (أول 512 بايت)

Bootstrap Code446 بايت

Partition Table64 بايت (4 إدخالات)

Signature0x55AA

🆚 MBR مقابل GPT

الخاصية	MBR (قديم)	GPT (حديث)
أقصى حجم قرص	2 تيرابايت	9.4 زيتابايت (لا نهاية عملياً)
عدد الأقسام	4 أقسام رئيسية	128 قسم
النسخ الاحتياطي	لا يوجد	نسخة احتياطية في نهاية القرص
التحقق من السلامة	لا يوجد	CRC32 checksum
التوافق	كل الأنظمة	يحتاج UEFI (أنظمة حديثة)
أهمية جنائية	الأقسام المخفية سهلة الإنشاء	GUID يُحدّد نوع كل قسم بدقة

🔍 قراءة جدول الأقسام من الـ Terminal

analyst@forensics:~$ fdisk -l khalid_disk.img

Disk khalid_disk.img: 500 GiB Disklabel type: dos (MBR) Device Boot Start End Sectors Size Type khalid_disk.img1 * 2048 206847 204800 100M EFI System khalid_disk.img2 206848 943720447 943513600 450G Microsoft basic data khalid_disk.img3 943720448 976771071 33050624 15.8G Hidden partition ← مشبوه!

🚨 قسم مخفي (Hidden) في نهاية القرص! لا يظهر في Windows العادي — ماذا يخفي؟

❓ ما الأمر الصحيح لفحص القسم المخفي الذي يبدأ عند sector 943720448؟

mount -o loop khalid_disk.img /mnt/ mount -o loop,offset=$((943720448*512)) khalid_disk.img /mnt/hidden/ fdisk -d khalid_disk.img dd if=khalid_disk.img of=hidden.img

📂 نظام ملفات NTFS والـ Master File Table

NTFS (New Technology File System) هو نظام ملفات Windows الحديث. قلبه هو MFT — جدول ضخم يحتوي إدخالاً لكل ملف وكل مجلد على القرص، حتى المحذوفة.

🗂️ بنية NTFS الأساسية

Cluster 0

VBR — Volume Boot Record (أول قطاع)

Cluster 4

$MFT — Master File Table ← اضغط 👆

Cluster 6

$MFTMirr — نسخة احتياطية من أول 4 إدخالات MFT

Cluster 8

$LogFile — سجل المعاملات (Journaling)

...

Data Area — بيانات الملفات الفعلية

🔬 إدخال MFT مفصّل — ملف واحد

🗑️ الملفات المحذوفة في NTFS

💡 في NTFS عند حذف ملف: الإدخال في MFT يُوسَم بـ "غير مستخدم" لكن البيانات تبقى حتى تُكتب فوقها. هذا ما يُمكّن الاسترداد.

analyst@forensics:~$ python3 analyzeMFT.py -f khalid_disk.img -o mft_output.csv

Analyzing MFT... Total records: 248,312 Active files: 231,445 Deleted files: 16,867 ← قابلة للفحص! Interesting deleted files found: [DELETED] secret_transfer.xlsx — 2024-03-20 14:30:22 [DELETED] chat_logs_backup.zip — 2024-03-20 14:31:05 [DELETED] payment_proof.pdf — 2024-03-20 14:31:58

🚨 ثلاثة ملفات حساسة محذوفة في نفس الدقيقة — يؤكد محاولة إخفاء الدليل!

❓ ملف حُذف من NTFS منذ ساعة. هل يمكن استرداده؟

لا — الحذف نهائي دائماً نعم — ما لم تُكتب بيانات جديدة فوق Clusters الملف، البيانات لا تزال موجودة فقط إذا كان في سلة المهملات يعتمد على نوع الملف فقط

🐧 تحليل أنظمة Linux

كثير من الخوادم تعمل بـ Linux. المحقق يحتاج معرفة مواقع الأدلة الجنائية: السجلات، سجل الأوامر، ملفات الجدولة، والاتصالات.

📁 خريطة الأدلة الجنائية في Linux

/var/log/ ← كنز الأدلة الأول
auth.log ← تسجيلات الدخول، sudo، SSH
syslog ← أحداث النظام العامة
apache2/access.log ← طلبات الويب
cron.log ← المهام المجدولة ⚠️
wtmp / btmp ← سجل كل جلسات الدخول
/home/user/ ← بيانات المستخدم
.bash_history ← سجل كل الأوامر المنفذة ⭐
.ssh/known_hosts ← الخوادم التي اتصل بها
.bash_profile / .bashrc ← قد يحتوي أوامر خبيثة
/etc/ ← إعدادات النظام
crontab / cron.d/ ← مهام مجدولة — Persistence!
passwd / shadow ← حسابات المستخدمين وكلمات المرور
/tmp/ و /dev/shm/ ← يُستخدمان لإخفاء الملفات الخبيثة ⚠️

🕵️ تحليل bash_history — سجل الأوامر

📊 تحليل سجلات auth.log

اضغط "تحميل السجل" لعرض المحتوى

❓ المحقق يرى 487 محاولة SSH فاشلة من IP واحد خلال دقيقة. ما هذا الهجوم؟

المستخدم نسي كلمة المرور Brute Force Attack — هجوم القوة الغاشمة على SSH خطأ في إعداد الخادم تحديث تلقائي للنظام

🗄️ نظام ملفات ext4 — قلب Linux

ext4 هو نظام الملفات الافتراضي في معظم توزيعات Linux. يختلف عن NTFS في البنية لكن مبدأ الاسترداد مشابه — الـ inode هو مكافئ إدخال MFT.

🏗️ بنية ext4 — Block Groups

Superblock Group Descriptor Inode Table Data Blocks Bitmap محذوف

🔢 الـ Inode — هوية الملف في Linux

🔄 استرداد الملفات المحذوفة من ext4

analyst@forensics:~$ extundelete khalid_server.img --restore-all --output-dir ./recovered/

Loading journal... Searching for recoverable files... Recovered: /home/khalid/Documents/transfer_log.txt Recovered: /home/khalid/.config/secret_config.json Partially recovered: /tmp/payload.sh (60% intact) Cannot recover: /var/log/auth.log (overwritten) Files recovered: 2 complete, 1 partial

⚠️ المهاجم حذف سجل auth.log لإخفاء آثار الدخول — لكن نسخته في journald قد لا تزال موجودة!

analyst@forensics:~$ journalctl --since "2024-03-20" --until "2024-03-21" _SYSTEMD_UNIT=sshd.service

Mar 20 09:15:22 server sshd[2341]: Accepted publickey for root from 185.220.101.42 Mar 20 09:15:23 server sshd[2341]: pam_unix(sshd:session): session opened for user root

🚨 دخول SSH كـ root من الـ IP الخبيث المعروف — بمفتاح عام مسروق!

❓ ما الفرق الرئيسي بين Inode في ext4 و إدخال MFT في NTFS؟

لا فرق — كلاهما يحفظ محتوى الملف مباشرة كلاهما يحفظ metadata الملف (الحجم، التواريخ، الصلاحيات) لكن اسم الملف في ext4 مخزّن في Directory Entry منفصل، بينما MFT يخزنه داخل الإدخال Inode يحفظ المحتوى، MFT يحفظ الاسم فقط MFT أحدث وأكثر أماناً دائماً

مختبرات التحليل الجنائي الرقمي

مختبر الذاكرة العشوائية والأقراص الصلبة

🧠 الذاكرة العشوائية (RAM) — الدليل المتطاير

⚡ ما يوجد في RAM ولا يوجد على القرص

🗺️ خريطة الذاكرة — ما يحتله كل منطقة

📸 كيف نستخرج صورة RAM (Memory Dump)

❓ وصل المحقق لمشهد جريمة والجهاز يعمل. ما الخطوة الأولى؟

⚡ Volatility Framework — تحليل صورة RAM

🔌 إضافات Volatility الأساسية — اضغط لتشغيل أي منها

🚨 تحليل العمليات المشبوهة

❓ وجدت عملية اسمها `svchost.exe` لكن PPID تابعة لـ `explorer.exe` بدلاً من `services.exe`. ماذا يعني هذا؟

💿 بنية القرص — MBR و GPT

📐 MBR — Master Boot Record (أول 512 بايت)

🆚 MBR مقابل GPT

🔍 قراءة جدول الأقسام من الـ Terminal

❓ ما الأمر الصحيح لفحص القسم المخفي الذي يبدأ عند sector 943720448؟

📂 نظام ملفات NTFS والـ Master File Table

🗂️ بنية NTFS الأساسية

🔬 إدخال MFT مفصّل — ملف واحد

🗑️ الملفات المحذوفة في NTFS

❓ ملف حُذف من NTFS منذ ساعة. هل يمكن استرداده؟

🐧 تحليل أنظمة Linux

📁 خريطة الأدلة الجنائية في Linux

🕵️ تحليل bash_history — سجل الأوامر

📊 تحليل سجلات auth.log

❓ المحقق يرى 487 محاولة SSH فاشلة من IP واحد خلال دقيقة. ما هذا الهجوم؟

🗄️ نظام ملفات ext4 — قلب Linux

🏗️ بنية ext4 — Block Groups

🔢 الـ Inode — هوية الملف في Linux

🔄 استرداد الملفات المحذوفة من ext4

❓ ما الفرق الرئيسي بين Inode في ext4 و إدخال MFT في NTFS؟

مختبرات التحليل الجنائي الرقمي

مختبر الذاكرة العشوائية والأقراص الصلبة

🧠 الذاكرة العشوائية (RAM) — الدليل المتطاير

⚡ ما يوجد في RAM ولا يوجد على القرص

🗺️ خريطة الذاكرة — ما يحتله كل منطقة

📸 كيف نستخرج صورة RAM (Memory Dump)

❓ وصل المحقق لمشهد جريمة والجهاز يعمل. ما الخطوة الأولى؟

⚡ Volatility Framework — تحليل صورة RAM

🔌 إضافات Volatility الأساسية — اضغط لتشغيل أي منها

🚨 تحليل العمليات المشبوهة

❓ وجدت عملية اسمها svchost.exe لكن PPID تابعة لـ explorer.exe بدلاً من services.exe. ماذا يعني هذا؟

💿 بنية القرص — MBR و GPT

📐 MBR — Master Boot Record (أول 512 بايت)

🆚 MBR مقابل GPT

🔍 قراءة جدول الأقسام من الـ Terminal

❓ ما الأمر الصحيح لفحص القسم المخفي الذي يبدأ عند sector 943720448؟

📂 نظام ملفات NTFS والـ Master File Table

🗂️ بنية NTFS الأساسية

🔬 إدخال MFT مفصّل — ملف واحد

🗑️ الملفات المحذوفة في NTFS

❓ ملف حُذف من NTFS منذ ساعة. هل يمكن استرداده؟

🐧 تحليل أنظمة Linux

📁 خريطة الأدلة الجنائية في Linux

🕵️ تحليل bash_history — سجل الأوامر

📊 تحليل سجلات auth.log

❓ المحقق يرى 487 محاولة SSH فاشلة من IP واحد خلال دقيقة. ما هذا الهجوم؟

🗄️ نظام ملفات ext4 — قلب Linux

🏗️ بنية ext4 — Block Groups

🔢 الـ Inode — هوية الملف في Linux

🔄 استرداد الملفات المحذوفة من ext4

❓ ما الفرق الرئيسي بين Inode في ext4 و إدخال MFT في NTFS؟

❓ وجدت عملية اسمها `svchost.exe` لكن PPID تابعة لـ `explorer.exe` بدلاً من `services.exe`. ماذا يعني هذا؟