Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L21
الفرق الزرقاء — الدفاعمتقدم65mL21

Chain of Custody — الدليل لو ضاع، خلصت

Imaging و hashing و write-blockers — دليل يقف في المحكمة

#Forensics#Custody#Imaging#Federal#Court

ليه سلسلة الحفظ مش بيروقراطية فاضية

بُص.

أي تحقيق فيدرالي ممكن يطلع في محكمة. الدليل اللي ما تقدرش تثبت سلامته — مصدره، مين لمسه، إمتى، اتخزّن إزاي — هيترفض. القضية تتهدّ رغم إن الدليل التقني قوي.

تشبيه — شرح مبسط
عيّنة دم في معمل جنائي. في التلاجة الصحيحة.. كل واحد استلمها وقّع.. فيها رقم تسلسل واضح.. القاضي بيقبلها. ناقص توقيع واحد بس؟ ترفض. التقنية ما بتنقذش سوء التوثيق.
اكتبها على ظهر إيدك
عامل كل دليل كأنه هيتقدّم قدّام محلّفين — حتى لو فاكر إن الحادث "بسيط". قرار التحوّل للمسار الجنائي بييجي بعدين، والدليل اللي اتلوّث ما يرجعش.
واقعة OJ Simpson — درس CoC الكلاسيكي
في 1995، الدم اللي ربط OJ بالجريمة كان دليل قوي. بس الـ chain of custody كانت فيها فجوات: vial دم اختفى لمدة ساعات، detective حط الدم في جيبه ساعتين بدون توثيق، الـ analyst قال "ممكن يكون فيه contamination". الـ defense طلعت من ده "reasonable doubt" والـ verdict "not guilty". الدليل التقني كان موجود. الـ paperwork كان مش موجود. خلاص. الدرس نفسه على digital evidence — لو الـ chain فيها فجوة 4 ساعات، القاضي ممكن يرميها.

ركائز الحفاظ على الدليل

Authenticity
إثبات أن الدليل هو ما يُدّعى أنه — لم يُستبدل، لم يُتلاعب به.
Integrity
إثبات أن الدليل لم يتغيّر منذ جمعه. عبر hashing.
Reliability
الأدوات و الإجراءات تنتج نتائج reproducible. منهجية معتمدة.
Best Evidence Rule
FRE 1001–1008 — الأصل مفضّل. النسخة المنطقية للدليل الرقمي = bit-by-bit image.

الجمع — قواعد الميدان

قبل أن تلمس أي شيء
  1. صوّر المكان — صور photos + video للنظام و البيئة قبل التغيير.
  2. وثّق حالة الجهاز: شاشة (هل مفتوحة؟ ما المعروض؟)، LEDs، الأسلاك، الـ ports.
  3. اسأل عن credentials من المسؤول قبل الإطفاء.
  4. قرّر: live أم dead? — الذاكرة طيارة (RAM)، إن أطفأت ضاعت.
  5. ارتدِ قفازات إن كان هناك بُعد جنائي (DNA / بصمات).

ترتيب التطايُر (Order of Volatility) — RFC 3227

text
اجمع بهذا الترتيب — الأكثر تطايراً أولاً:

1. Registers, Cache (CPU)              — يضيع في ms
2. Routing tables, ARP cache, kernel   — يضيع عند reboot
   stats, memory contents
3. Temporary file systems              — يضيع عند reboot
4. Disk                                — يبقى
5. Remote logging & monitoring data    — يبقى لكن قد يُمحى
6. Physical configuration, network     — ثابت
7. Archival media                      — ثابت

Imaging — كيف تأخذ نسخة قانونية

1) Hardware Write-Blocker إجباري

قبل توصيل أي قرص بحاسوب التحقيق، ضع write-blocker (Tableau, WiebeTech, CRU). يمنع أي كتابة. بدونه، nawigation عادي للقرص قد يحدث 100+ تعديل.

2) أدوات Imaging

bash
# dc3dd (تطوير من dd للـ forensics)
dc3dd if=/dev/sdb of=evidence.dd \
  hash=sha256 hash=md5 \
  log=evidence.log \
  hashlog=hash.txt \
  bs=1M

# FTK Imager — GUI الأشهر
# - يُولّد E01 (Expert Witness Format) مع compression و metadata
# - يحسب MD5 + SHA1 + SHA256 تلقائياً

# dcfldd
dcfldd if=/dev/sdb hash=sha256 of=evidence.dd 2>log.txt

# للذاكرة (Windows)
winpmem.exe -o memory.aff4

# للذاكرة (Linux)
LiME (Linux Memory Extractor) → /tmp/mem.lime
sudo insmod lime.ko "path=/tmp/mem.lime format=lime"

# للذاكرة (Mac)
Volexity Surge Collect — تجاري لكن المعتمد عملياً

3) صيغ standard

  • raw / dd — bit-by-bit. كبير، بسيط، universal.
  • E01 (EnCase) — مع metadata, compression, hash verification مدمج.
  • AFF / AFF4 — open standard. مفضّل للمشاريع الحديثة.
  • VMDK / VHD — مفيد لـ VMs، يفتح في Hypervisors.

Hashing — قلب Integrity

- طب يا حضرتك ليه hash قبل وبعد؟ أنا عامل image تمام..

يا مستجد، الـ image ده محتاج إثبات. احسب hash قبل الجمع (إن أمكن — على القرص الأصلي عبر write-blocker) و بعد. تطابق = سليم. اختلاف؟ يبقى في حاجة اتكتبت. خلاص.

$ # قبل الـ image
$ sha256sum /dev/sdb > before.txt
9f3a... /dev/sdb
$ # بعد الـ image
$ sha256sum evidence.dd > after.txt
9f3a... evidence.dd
$ # تحقق دوري — كل مرة يُسلَّم الدليل
$ sha256sum -c hashes.txt
MD5 + SHA256 معاً
MD5 مكسور cryptographically لكن لا يزال مقبولاً قانونياً للـ integrity (احتمال collision عرضي ≈ 0). أضف SHA256 دائماً لأن المحاكم الحديثة تتوقعه.

Chain of Custody Form — التوثيق الكلاسيكي

كل قطعة دليل تحمل نموذج. كل تسليم مسجّل. أي فجوة في التسلسل = اختراق محتمل = دليل قد يُرفض.

markdown
# CHAIN OF CUSTODY — Evidence Item

Case #: 2026-CR-0457
Item #: 001
Description: Dell Latitude 7420 laptop, S/N: ABC123XYZ
Source: Conference Room B, Building 4
Collected by: SA John Smith, Badge 4523
Collection date/time: 2026-04-30 14:32 EDT
Condition: Powered on, locked screen
SHA256 (post-image): 9f3a...

## Transfer log
| Date/Time         | From               | To                  | Reason          | Signature |
|-------------------|--------------------|---------------------|-----------------|-----------|
| 2026-04-30 14:32  | Scene              | SA Smith            | Initial seizure | [sig]     |
| 2026-04-30 18:00  | SA Smith           | Evidence Locker A12 | Storage         | [sig]/[sig] |
| 2026-05-01 09:15  | Evidence Locker    | SA Davis (Forensics)| Imaging         | [sig]/[sig] |
| 2026-05-01 16:30  | SA Davis           | Evidence Locker A12 | Return          | [sig]/[sig] |

التخزين و النقل

  • Faraday bag لـ phones / IoT / wireless devices — يمنع remote wipe.
  • Anti-static bag للـ HDDs.
  • Tamper-evident seals — أي فتح يترك أثراً واضحاً. مع توقيع و رقم seal.
  • Evidence locker — مقفّل، مسجّل، access controlled. ليس مكتبك.
  • عند النقل — لا تترك الدليل في سيارة دون رقابة. لا تُسجّل صور CoC على هاتفك الشخصي.
  • تصنيف الحرارة و الرطوبة — HDDs حسّاسة (هذا في polices رسمية).

Live forensics — الحالات الخاصة

أحياناً لا يمكن إطفاء النظام (production, encryption keys في RAM, evidence في memory). قواعد:

  1. وثّق كل أمر تنفّذه مع timestamp.
  2. اكتب أوامرك من media خارجي (USB موثوق، lab-prepared) — ليس من القرص محل التحقيق.
  3. أرسل output خارج النظام (netcat لـ analyst host)، لا تكتب على القرص محل التحقيق.
  4. اجمع memory أولاً ثم disk.
  5. اعلم: live collection يعدّل النظام بدرجة ما — وثّق هذا التعديل بالاسم.
bash
# على المحقق
nc -lvp 4444 > collected.bin

# على النظام محل التحقيق (من media موثوق)
F:\tools\winpmem.exe - | F:\tools\nc.exe analyst-host 4444

Encryption — التحديات الواقعية

ماذا تفعل عند BitLocker / FileVault / LUKS
  1. إن النظام يعمل — استخرج المفتاح من RAM فوراً (Volatility plugin, Rekall). إن أطفأت، يضيع.
  2. افحص TPM — في Windows مع BitLocker، Recovery Key قد يكون مخزّن في AD (TPM-only أو BitLocker recovery).
  3. iCloud / Microsoft account — قد يحتفظ بـ recovery keys. يحتاج legal process.
  4. FileVault keys — في keychain, قد تستخرج من memory.
  5. Cold Boot Attack — endpoint قديم لكن للأنظمة الحساسة قابل للتطبيق (DDR3 يحتفظ بالبيانات لثوان بعد الإطفاء).

Federal context — قواعد رسمية

ما يجب أن تعرفه
  • FRE 901 (Federal Rules of Evidence) — Authentication. أنت كـ analyst قد تكون الـ "witness" الذي يثبت أن الدليل authentic.
  • FRE 902(13–14) — Self-authentication للسجلات الرقمية مع certification (hash + chain of custody).
  • FRE 803(6) — Business Records Exception. logs المؤسسة قد تُقبل دون شاهد إذا certified.
  • NIST SP 800-86 — "Guide to Integrating Forensic Techniques into Incident Response" — مرجعي للمؤسسات الفيدرالية.
  • DoD 5220.22-M — معايير sanitization عند disposal.
  • SWGDE (Scientific Working Group on Digital Evidence) — guidelines معتمدة من المحاكم.

عند الشك: اتصل بـ FBI Cyber Action Team (CAT) أو فريق legal الخاص بك قبل اتخاذ قرار يؤثر على الدليل. لا توجد جائزة على السرعة لكن هناك عقوبات على إفساد الدليل.

أخطاء قاتلة — اوعى تعملها

  • تشغّل النظام «علشان تشوف بيحصل إيه». كل ثانية شغّال = آلاف التغييرات على القرص. حرقت الدليل بإيدك.
  • توصّل القرص الأصلي على لابتوبك. الـ OS بيعدّل timestamps فوراً. يا write-blocker، يا متوصلش أصلاً.
  • تخزّن الدليل على شبكة المؤسسة العادية. استخدم evidence-only storage مع ACLs صارمة.
  • تشغّل antivirus على الـ image. الـ AV ممكن «ينضّف» الـ malware — وده يعني هو دمّر الدليل بإيده.
  • ما توثّقش ساعة النظام. اقرا BIOS clock وقارنه بـ UTC الحالي. أي انحراف بيهدّ الـ timeline كله.
  • تتكلم في chat عام. أي كلام عن الدليل لازم يبقى في قناة رسمية وموثّق.
  • تأجّل كتابة الـ notes. اكتب الـ field notes في اللحظة. الذاكرة بتروح والتوقيتات بتختلط.

الخلاصة الناشفة

الـ digital forensics 70% توثيق، 30% تقنية.

الـ analyst اللي عنده تقنية ممتازة وتوثيق ضعيف = شغله بيتحرق في المحكمة.

اللي عنده توثيق ممتاز وتقنية متوسطة = شغله بيكسب القضية.

اختار صفك من قبل ما تلمس evidence.

السابق
Email Header Analysis — Phishing من جوّه
الوحدة التالية
Threat Intel — تعرف اللي قصادك