Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L61
الفرق الزرقاء — الدفاعمتقدم65mL61

إدارة الأدلة الرقمية وسلسلة الحفظ

التوثيق، التشفير، الـ hashing، الـ write-blockers، التسليم

#Forensics#Custody#Imaging#Federal#Court

لماذا سلسلة الحفظ ليست بيروقراطية

في أي تحقيق فيدرالي قد ينتهي في محكمة. الدليل الذي لا تستطيع إثبات سلامته — مصدره، من لمسه، متى، كيف خُزّن — غير مقبول. القضية تنهار رغم قوة الدليل التقني.

تشبيه — شرح مبسط
كعينة دم في معمل جنائي. لو كانت العينة في الثلاجة الصحيحة، مع توقيع كل من تسلّمها، و رقم تسلسل واضح — يستطيع القاضي قبولها. لو نقصت توقيع واحد، تُرفض. التقنية لا تنقذ سوء التوثيق.
القاعدة الذهبية
عامل كل دليل كأنه سيُقدّم أمام محلّفين — حتى لو ظننت أن الحادث "بسيط". القرار بالتحول للمسار الجنائي يأتي لاحقاً، و لا يمكن استرجاع الدليل المُلوَّث.

ركائز الحفاظ على الدليل

Authenticity
إثبات أن الدليل هو ما يُدّعى أنه — لم يُستبدل، لم يُتلاعب به.
Integrity
إثبات أن الدليل لم يتغيّر منذ جمعه. عبر hashing.
Reliability
الأدوات و الإجراءات تنتج نتائج reproducible. منهجية معتمدة.
Best Evidence Rule
FRE 1001–1008 — الأصل مفضّل. النسخة المنطقية للدليل الرقمي = bit-by-bit image.

الجمع — قواعد الميدان

قبل أن تلمس أي شيء
  1. صوّر المكان — صور photos + video للنظام و البيئة قبل التغيير.
  2. وثّق حالة الجهاز: شاشة (هل مفتوحة؟ ما المعروض؟)، LEDs، الأسلاك، الـ ports.
  3. اسأل عن credentials من المسؤول قبل الإطفاء.
  4. قرّر: live أم dead? — الذاكرة طيارة (RAM)، إن أطفأت ضاعت.
  5. ارتدِ قفازات إن كان هناك بُعد جنائي (DNA / بصمات).

ترتيب التطايُر (Order of Volatility) — RFC 3227

text
اجمع بهذا الترتيب — الأكثر تطايراً أولاً:

1. Registers, Cache (CPU)              — يضيع في ms
2. Routing tables, ARP cache, kernel   — يضيع عند reboot
   stats, memory contents
3. Temporary file systems              — يضيع عند reboot
4. Disk                                — يبقى
5. Remote logging & monitoring data    — يبقى لكن قد يُمحى
6. Physical configuration, network     — ثابت
7. Archival media                      — ثابت

Imaging — كيف تأخذ نسخة قانونية

1) Hardware Write-Blocker إجباري

قبل توصيل أي قرص بحاسوب التحقيق، ضع write-blocker (Tableau, WiebeTech, CRU). يمنع أي كتابة. بدونه، nawigation عادي للقرص قد يحدث 100+ تعديل.

2) أدوات Imaging

bash
# dc3dd (تطوير من dd للـ forensics)
dc3dd if=/dev/sdb of=evidence.dd \
  hash=sha256 hash=md5 \
  log=evidence.log \
  hashlog=hash.txt \
  bs=1M

# FTK Imager — GUI الأشهر
# - يُولّد E01 (Expert Witness Format) مع compression و metadata
# - يحسب MD5 + SHA1 + SHA256 تلقائياً

# dcfldd
dcfldd if=/dev/sdb hash=sha256 of=evidence.dd 2>log.txt

# للذاكرة (Windows)
winpmem.exe -o memory.aff4

# للذاكرة (Linux)
LiME (Linux Memory Extractor) → /tmp/mem.lime
sudo insmod lime.ko "path=/tmp/mem.lime format=lime"

# للذاكرة (Mac)
Volexity Surge Collect — تجاري لكن المعتمد عملياً

3) صيغ standard

  • raw / dd — bit-by-bit. كبير، بسيط، universal.
  • E01 (EnCase) — مع metadata, compression, hash verification مدمج.
  • AFF / AFF4 — open standard. مفضّل للمشاريع الحديثة.
  • VMDK / VHD — مفيد لـ VMs، يفتح في Hypervisors.

Hashing — قلب Integrity

احسب hash قبل الجمع (إن أمكن — على القرص الأصلي عبر write-blocker) و بعد. أي تطابق = الدليل سليم. أي اختلاف = شيء كُتب.

$ # قبل الـ image
$ sha256sum /dev/sdb > before.txt
9f3a... /dev/sdb
$ # بعد الـ image
$ sha256sum evidence.dd > after.txt
9f3a... evidence.dd
$ # تحقق دوري — كل مرة يُسلَّم الدليل
$ sha256sum -c hashes.txt
MD5 + SHA256 معاً
MD5 مكسور cryptographically لكن لا يزال مقبولاً قانونياً للـ integrity (احتمال collision عرضي ≈ 0). أضف SHA256 دائماً لأن المحاكم الحديثة تتوقعه.

Chain of Custody Form — التوثيق الكلاسيكي

كل قطعة دليل تحمل نموذج. كل تسليم مسجّل. أي فجوة في التسلسل = اختراق محتمل = دليل قد يُرفض.

markdown
# CHAIN OF CUSTODY — Evidence Item

Case #: 2026-CR-0457
Item #: 001
Description: Dell Latitude 7420 laptop, S/N: ABC123XYZ
Source: Conference Room B, Building 4
Collected by: SA John Smith, Badge 4523
Collection date/time: 2026-04-30 14:32 EDT
Condition: Powered on, locked screen
SHA256 (post-image): 9f3a...

## Transfer log
| Date/Time         | From               | To                  | Reason          | Signature |
|-------------------|--------------------|---------------------|-----------------|-----------|
| 2026-04-30 14:32  | Scene              | SA Smith            | Initial seizure | [sig]     |
| 2026-04-30 18:00  | SA Smith           | Evidence Locker A12 | Storage         | [sig]/[sig] |
| 2026-05-01 09:15  | Evidence Locker    | SA Davis (Forensics)| Imaging         | [sig]/[sig] |
| 2026-05-01 16:30  | SA Davis           | Evidence Locker A12 | Return          | [sig]/[sig] |

التخزين و النقل

  • Faraday bag لـ phones / IoT / wireless devices — يمنع remote wipe.
  • Anti-static bag للـ HDDs.
  • Tamper-evident seals — أي فتح يترك أثراً واضحاً. مع توقيع و رقم seal.
  • Evidence locker — مقفّل، مسجّل، access controlled. ليس مكتبك.
  • عند النقل — لا تترك الدليل في سيارة دون رقابة. لا تُسجّل صور CoC على هاتفك الشخصي.
  • تصنيف الحرارة و الرطوبة — HDDs حسّاسة (هذا في polices رسمية).

Live forensics — الحالات الخاصة

أحياناً لا يمكن إطفاء النظام (production, encryption keys في RAM, evidence في memory). قواعد:

  1. وثّق كل أمر تنفّذه مع timestamp.
  2. اكتب أوامرك من media خارجي (USB موثوق، lab-prepared) — ليس من القرص محل التحقيق.
  3. أرسل output خارج النظام (netcat لـ analyst host)، لا تكتب على القرص محل التحقيق.
  4. اجمع memory أولاً ثم disk.
  5. اعلم: live collection يعدّل النظام بدرجة ما — وثّق هذا التعديل بالاسم.
bash
# على المحقق
nc -lvp 4444 > collected.bin

# على النظام محل التحقيق (من media موثوق)
F:\tools\winpmem.exe - | F:\tools\nc.exe analyst-host 4444

Encryption — التحديات الواقعية

ماذا تفعل عند BitLocker / FileVault / LUKS
  1. إن النظام يعمل — استخرج المفتاح من RAM فوراً (Volatility plugin, Rekall). إن أطفأت، يضيع.
  2. افحص TPM — في Windows مع BitLocker، Recovery Key قد يكون مخزّن في AD (TPM-only أو BitLocker recovery).
  3. iCloud / Microsoft account — قد يحتفظ بـ recovery keys. يحتاج legal process.
  4. FileVault keys — في keychain, قد تستخرج من memory.
  5. Cold Boot Attack — endpoint قديم لكن للأنظمة الحساسة قابل للتطبيق (DDR3 يحتفظ بالبيانات لثوان بعد الإطفاء).

Federal context — قواعد رسمية

ما يجب أن تعرفه
  • FRE 901 (Federal Rules of Evidence) — Authentication. أنت كـ analyst قد تكون الـ "witness" الذي يثبت أن الدليل authentic.
  • FRE 902(13–14) — Self-authentication للسجلات الرقمية مع certification (hash + chain of custody).
  • FRE 803(6) — Business Records Exception. logs المؤسسة قد تُقبل دون شاهد إذا certified.
  • NIST SP 800-86 — "Guide to Integrating Forensic Techniques into Incident Response" — مرجعي للمؤسسات الفيدرالية.
  • DoD 5220.22-M — معايير sanitization عند disposal.
  • SWGDE (Scientific Working Group on Digital Evidence) — guidelines معتمدة من المحاكم.

عند الشك: اتصل بـ FBI Cyber Action Team (CAT) أو فريق legal الخاص بك قبل اتخاذ قرار يؤثر على الدليل. لا توجد جائزة على السرعة لكن هناك عقوبات على إفساد الدليل.

أخطاء قاتلة — لا تفعلها

  • تشغيل النظام لرؤية ماذا يحدث. كل ثانية تعمل = آلاف التغييرات على القرص.
  • توصيل القرص الأصلي بحاسوبك. نظام التشغيل يُحدّث timestamps فوراً. write-blocker أو لا توصيل.
  • تخزين الدليل على شبكة المؤسسة المعتادة. استخدم evidence-only storage مع ACLs.
  • تشغيل antivirus على الـ image. AV قد يحذف "malware" — يدمّر الدليل.
  • عدم توثيق ساعة النظام. اقرأ BIOS clock و قارن مع UTC الحالي. الانحرافات تهدم timeline.
  • المشاركة في chat عام. كل تواصل عن الدليل يجب أن يكون موثّقاً و في القناة الرسمية.
  • التأخر في كتابة الـ notes. اكتب notes ميدانية فوراً. الذاكرة تتلاشى، توقيتات تختلط.
السابق
أساسيات الاستخبارات السيبرانية وتحليل المؤشرات
التالي
أبحاث ثغرات الويب وعمليات الإقامة الطويلة