کامپیوتر

کامپیوتر

کامپیوتر
کلمات کلیدی

الکترونیک

نفس

تهذیب

اسلام

سالم

فن آوری

تجارت

پزشکی

نشانه

تندرستی

html

نهج البلاغه

تربیت اخلاقی

کارآفرینی

کودک

تربیت

بانکداری

انواع بانکداری

بایگانی
آخرین مطالب
پیوندها
ساخت وبلاگ در بلاگ بیان، رسانه متخصصان و اهل قلم

جرم شناسی رایانه ای

سه شنبه, ۱۱ آذر ۱۳۹۳، ۰۸:۱۴ ق.ظ

جرم شناسی رایانه ای

 

علم جرم شناسی رایانه ای(به عنوان شاخه ای از جرم شناسی دیجیتال) به شواهد و مدارک قانونی موجود در رایانه ها و محیطهای دیجیتالی ذخیره سازی اطلاعات می پردازد. هدف جرم شناسی دیجیتال ،ارائه توضیح پیرامون وضعیت فعلی یک ابزار دیجیتالی مثل سیستم کامپیوتر، رسانه ذخیره سازی (مثل دیسک سخت یا CD-ROM) یک سند الکترونیکی(مثل یک پیام ایمیل یا تصویر JPEG) می باشد. گستره فعالیت یک تحلیل جرم شناسی، از بازیابی اطلاعات ساده تا بازسازی یک سری رویداد را دربرمی گیرد.
سنجشهای خاصی برای انجام تحقیقات جرم شناسی وجود دارد که نتایج آن می تواند در دادگاه مورد استفاده قرار گیرد. هدف تکنیکهای جرم شناسی رایانه ای، جستجو، حفظ و آنالیز اطلاعات موجود بر روی سیستم های کامپیوتری به منظور یافتن شواهد ومدارک احتمالی برای یک دادرسی است. بسیاری از تکنیکهایی که کارآگاهان از آنها در تحقیقات صحنه جرم استفاده می کنند دارای المثنی دیجیتالی هستند، اما تحقیقات کامپیوتری دارای برخی جنبه های منحصربفرد نیز می باشد. برای مثال، تنها باز کردن یک فایل کامپیوتری باعث تغییر آن می شود(کامپیوتر، زمان و تاریخ دسترسی به فایل را بر روی خود آن ثتب می کند).
اگر کارآگاهان یک کامپیوتر را توقیف نموده و سپس شروع به باز کردن فایلها نمایند، هیچ راهی وجود نخواهد داشت که مطمئن باشند چیزی را تغییر نداده اند. وکلای مدافع می توانند در هنگام رجوع پرونده به دادگاه به اعتبار این مدارک اعتراض نمایند.
بعضی از مردم معتقداند که استفاده از اطلاعات دیجیتال بعنوان شواهد و مدارک یک پرونده ایده چندان خوبی نیست اگر تغییر دادهای کامپیوتری تا این اندازه آسان است، چگونه می توان از آنها بعنوان یک مدرک قابل اعتماد استفاده کرد؟ بسیاری از کشورها ،استفاده از مدارک کامپیوتری در طول دادرسیها را مجاز می دانند، اما اگر مدارک کامپیوتری در پرونده های آتی غیر قابل اعتماد به نظر برسند این وضعیت احتمالاًً تغییر خواهد کرد.
کامپیوترها دائما قدرت بیشتری پیدا می کنند، بنابراین حوزه جرم شناسی رایانه ای بایستی طور مستمر رشد و تکامل پیدا کند. در روزهای اولیه دوران کامپیوتر، این امکان برای یک کارآگاه تنها وجود داشت تا تمام فایلها را بررسی و دسته بندی نماید زیرا ظرفیت ذخیره سازی در آن زمان بسیار محدود بود.
امروزه با پیدایش درایوهای دیسکهای سختی که قادر به نگهداری چند ترابایت اطلاعات درایوهای دیسک سختی که قادر به نگهداری چند ترابایت اطلاعات هستند، اینکار به یک تلاش طاقت فرسا تبدیل می شود. کارآگاهان باید شیوه های جدیدی را برای جستجوی شواهد و مدارک پیدا کنند، بدون آنکه نیازی به

 

تخصیص منابع بیش از حد به این فرآیند داشته باشند.
اما اصول جرم شناسی رایانه ای چیست؟ تیم تحقیق قادر به جستجوهای چه مواردی است وکجا به جستجوی این موارد می پردازد؟ در ادامه با بررسی پاسخ این پرسشها می پردازیم.

مبانی جرم شناسی رایانه ای
 

جرم شناسی رایانه ای، یک حوزه نسبتا جوان است در روزهای اول دوران کامپیوتر، دادگاهها هیچ تفاوتی مابین مدارک بدست آمده از کامپیوترها و سایر انواع شواهد و مدارک قائل نبودند. با پیشرفت و ارتقا کامپیوترها، این عقیده تغییر نمود:
دادگاهها آموختند که مدارک کامپیوتری به آسانی تحریف می شوند، از بین می روند ویا تغییر می کنند.
ماموران تحقیق متوجه شده اند که باید ابزارهای وفرآیندهای خاصی را که برای جستجوی کامپیوترها به منظور یافتن مدارک و شواهد، آن هم بدون تاثیرگذاری برخود اطلاعات، توسعه دهند.
کارآگاهان برای تشریح رویه ها و ابزارهای مناسبی که بایستی از آنها برای بازیابی مدارک از یک کامپیوتر استفاده نمایند، با متخصصین کامپیوتری همکاری کردند. آنها تدریجا رویه هایی را توسعه دادند که اکنون حوزه جرم شناسی رایانه ای را تشکیل می دهند.
کارآگاهان معمولا باید یک مجوز را برای جستجوی کامپیوتر متهم جهت یافتن مدارک احتمالی دریافت کنند. این مجوز باید مکانهایی که کارآگاهان می توانند جستجو کنند و نوع مدارکی که می توانند به جستجوی آنها بپردازند را مشخص نموده باشد. بعبارت دیگر ،یک کارآگاه نمی تواند صرفاً یک مجوز را ارائه نموده وسپس به هرجایی که مایل است سرک بکشد تا موارد مشکوکی را پیدا کند .بعلاوه، شرایط مجوز نمی توانند بیش از حدکلی باشند. اکثر قضات ،کارآگاهان را ملزم می کنند تا در هنگام درخواست یک مجوز برای اینگونه تحقیقات تا حد امکان صریح باشند.
به همین دلیل، برای کارآگاهان بسیار مهم است که پیش از درخواست یک مجوز تا حدامکان درباره متهم تحقیق نمایند. این مثال را در نظر بگیرید: یک کارآگاه یک مجوز را برای جستجوی کامپیوتر لپ تاپ یک متهم دریافت می کند. کارآگاه به منزل متهم می رسد و مجوز را ارائه می نماید. کارآگاه پس از ورود به منزل متهم متوجه می شود که او یک کامپیوتر دسک تاپ نیز دارد. کارآگاه قانونا نمی تواندPC دسک تاپ متهم را جستجو نماید زیرا در مجوز اولیه به آن اشاره نشده است.
هر تحقیق کامپیوتری ،تا حدودی منحصربفرد است. ممکن است تکمیل بعضی از تحقیقات کامپیوتری تنها به یک هفته زمان نیاز داشته باشد، اما گروه دیگری از این پرونده ها می توانند ماهها طول بکشند. بعضی از

 

عواملی که می توانند بر طول یک تحقیق تاثیر بگذارند عبارتند از:
* مهارت کارآگاهان
* تعداد کامپیوترهایی که باید جستجو شوند
* حجم انباره ذخیره سازی که کارآگاهان باید به بررسی و دسته بندی آن بپردازند (درایوهای دیسک سخت،CDها، DVDها و درایوهای Flash)
* آیا متهم تلاش می کند تا اطلاعات را حذف یا مخفی نماید یا خیر
* وجود فایلهای رمزگذاری شده و یا فایلهایی که با کلمه عبور محافظت شده اند.

روال قانونی تحقیقات
 

Judd Robbins، یک دانشمند کامپیوتری و متخصص ارشد جرم شناسی رایانه ای، مراحلی که ماموران تحقیق باید برای بازیابی مدارک کامپیوتری دنبال نمایند را به ترتیب زیر فهرست می کند:
* ضبط سیستم کامپیوتری، برای تضمین اینکه تجهیزات و داده های آن در امنیت قرار دارند. این بدان معنی است که کارآگاهان باید مطمئن شوند که هیچ فرد غیرمجازی نمی تواند به کامپیوتر و ابزارهای ذخیره سازی مورد بحث تحقیقات، دسترسی پیدا کند. اگر سیستم کامپیوتری به اینترنت متصل است کارآگاهان باید این ارتباط را قطع نمایند.
* یافتن هر فایلی که بر روی سیستم کامپیوتری قرار دارد، شامل فایلهای رمزنگاری شده، فایلهایی که با کلمه عبور محافظت شده اند، فایلهای مخفی و فایلهایی که حذف گردیده اما هنوز اطلاعاتی بر روی آنها نوشه نشده است.
کارآگاهان باید از تمام فایلهای موجود بر روی سیستم، یک کپی تهیه کنند. این کپی، فایلهای موجود بر روی درایو دیسک سخت کامپیوتر و یا سایر ابزارهای ذخیره سازی آن را در بر می گیرد. از آنجاییکه دسترسی به یک فایل می تواند آن را تغییر دهد، بسیار مهم است که کارآگاهان در هنگام جستجو برای یافتن مدارک و شواهد تنها از کپی های فایلها استفاده نمایند. سیستم اصلی بایستی دست نخورده و محافظت شده باقی بماند.
* بازیابی اطلاعات حذف شده تا حد امکان با استفاده از نرم افزارهای کاربردی که داده های حذف شده را تشخیص داده و بازیابی می نمایند.
* آشکار نمودن محتوای تمام فایلهای مخفی با برنامه هایی که برای تشخیص وجود داده های مخفی طراحی شده اند.

* رمزگشایی و دسترسی به فایلهای محافظت شده
* آنالیز نواحی خاص دیسکهای کامپیوتر، شامل بخشهایی که معمولا غیر قابل دسترسی هستند(در زبان کامپیوتری، فضای بلااستفاده بر روی درایو یک کامپیوتر را فضایUnallocatedمی نامند) این فضا می تواند حاوی فایلها و یا قطعاتی از فایلهایی باشد که به پرونده مورد نظر ارتباط دارند.
* مستند سازی تمام مراحال فرآیند جستجو. برای کارآگاهان بسیار مهم است که اثبات کنند تحقیقات آنها تمام اطلاعات موجود را بر روی سیستم کامپیوتری را بدون تغییر و یا آسیب دیدگی حفظ کرده است. ممکن است یک فاصله چند ساله در بین فرآیند تحقیق و دادرسی وجود داشته باشد و بدون مستندسازی صحیح، مدارک قابل استفاده نخواهند بود.
Robbinsمعتقد است که مستندسازی بایستی نه تنها تمام فایلها و داده های بازیابی شده از سیستم را در بر گیرد، بلکه باید شامل یک گزارش در مورد چیدمان فیزیکی سیستم و اینکه آیا فایلهایی رمزگذاری یا مخفی شده بوده اند یا خیر نیزباشد.
*آمادگی برای شهادت در دادگاه به عنوان یک شاهد خبره در بازجویی کامپیوتری . حتی زمانیکه تحقیقات به پایان می رسد ،وظیفه کاراگاهان تمام نشده است .ممکن است هنوز برای ارائه شهادت در دادگاه به حضور آنها نیاز باشد.
تمام این مراحل دارای اهمیت هستند اما اولین قدم بسیار تعیین کننده خواهد بود. اگر ماموران تحقیق نتوانند ثابت کنند که سیستم کامپیوتری را دست نخورده حفظ نموده اند، مدارکی که پیدا می کنند قابل قبول نخواهند بود.
در روزهای آغازین عصر کامپیوتر، سیستم می توانست شامل یکPC و چند دیسک فلاپی باشد. امروزه یک سیستم می تواند شامل چندین کامپیوتر، دیسک، درایوهای Flash، درایوهای خارجی، تجهیزات جانبی و سرورهای وب باشد.

امکان بازیابی داده ها
 

هنگامیکه یک فایل را حذف(Delete) می کنید کامپیوتر شما آن فایل را یک دایرکتوری جدید منتقل می نماید. پس از آنکه Recycle bin خود را تخلیه می کنید، کامپیوترتان یک «یادداشت» ایجاد می کند که نشان میدهد فضای اشغال شده توسط فایل مورد نظر ،قابل دسترسی است. تا زمانیکه کامپیوتر شما داده های جدیدی را بر روی همان بخش از درایو ننویسد، فایل حذف شده همچنان بر روی درایو باقی خواهد

 

ماند. با یک نرم افزار مناسب، شما می توانید فایلهای حذف شده را بازیابی کنید، البته به شرط آنکه با داده های جدید رونویسی(Overwrite) نشده باشند.
بعضی از مجرمین ،راههایی را پیدا کرده اند تا کار ماموران تحقیق را برای یافتن اطلاعات برروی سیستمهای خود بیش از پیش دشوار نمایند. آنها از برنامه ها و نرم افزارهای کاربردی استفاده می کنند که تحت عنوانAnti-Forensicشناخته می شوند. اگر کارآگاهان بخواهند به اطلاعات موجود در سیستمهای کامپیوتری مجهز به اینگونه ابزارها دسترسی پیدا کنند ،باید از وجود و نحوه غیرفعال نمودن آنها آگاهی داشته باشند.
p class="p2"> Anti-Forensic<
ابزارهایAnti-Forensic می توانند بدترین کابوس یک کارآگاه کامپیوتری باشند. برنامه نویسان ابزارهای Anti-Forensicرا طراحی می کنند تا بازیابی اطلاعات در طول یک تحقیق را دشوار و یا غیر ممکن نمایند.
Anti-Forensic اساسا به هر تکنیک، ابزار و یا نرم افزار طراحی شده برای مختل نمودن تحقیقات کامپیوتری اشاره دارد.
راههای متعددی وجود دارند که افراد می توانند اطلاعات خود را از طریق آنها مخفی کنند. بعضی از برنامه ها می توانند کامپیوترها را با تغییر اطلاعات داخل هدر فایلها فریب دهند. یک هدر فایل معمولا برای انسانها غیر قابل مشاهده است. اما از اهمیت فوق العاده ای برخوردار می باشد(هدر فایل به کامپیوتر می گوید که به جه نوع فایلی تعلق دارد). اگر یک فایلMP3 را بصورتی تغییر نام دهید که یک پسودندgif داشته باشد، کامپیوتر بخاطر وجود اطلاعات داخل هدر هنوز می داند که فایل در واقع از نوعMP3 است.
بعضی از برنامه ها به شما اجازه می دهند تا اطلاعات داخل هدر فایل را بصورتی تغییر دهید که کامپیوتر تصور کند فایل از نوع متفاوتی است. کارآگاهانی که در جستجوی یک فرمت فایل بخصوص هستند، احتمالاًً مدارک مهمی را نادیده خواهند گرفت زیرا بنظر می رسد که هیچ ارتباطی با جستجوی آنها ندارند.
گروه دیگری از این برنامه ها می توانند فایلها را به بخشهای کوچکی تقسیم نموده و هر بخش را در انتهای سایر فایلها مخفی کنند. فایلها غالبا دارای فضای استفاده نشده ای تحت عنوان«Slack Space» هستند. با یک برنامه مناسب، شما می توانید فایلهای مورد نظرتان را با بهره گیری از این فضایSlackمخفی کنید. بازیابی و سرهم بندی مجدد اطلاعات مخفی شده می تواند یک چالش طاقت فرسا باشد.
از سوی دیگر ،امکان مخفی نمودن یک فایل در داخل یک فایل دیگر نیز وجود دارد. فایلهای اجرایی(فایلهایی که توسط کامپیوترها بعنوان برنامه شناسایی می شوند)، خصوصا در این زمینه مشکل ساز هستند.برنامه هایی که تحت عنوانPackers شناخته میشوند. می توانند فایلهای اجرایی را در داخل انواع دیگری از فایلها درج نمایند، در حالیکه ابزارهایBinder می توانند چند فایل اجرایی متعدد را به یکدیگر

 

الصاق(Bind) کنند.
رمزنگاری، شیوه دیگری برای مخفی نمودن داده ها است. هنگامی که شما داده ها را رمزنگاری می کنید، از یک مجموعه پیچیده از قواعد که تحت عنوان الگوریتم شناخته می شوند بهره گیری می کنید تا داده ها را غیرقابل قرائت نمایید. برای مثال، ممکن است الگوریتم مورد استفاده شما یک فایل متنی را به یک مجموعه ظاهرا بی معنی از اعداد وسمبلها تبدیل کند. شخصی که می خواهد داده ها را بخواند، به کلید رمزگذاری نیاز خواهد داشت که فرآیند رمزنگاری را معکوس کرده واعداد وسمبلها را به متن تبدیل می نماید. بدون یک کلید، کارآگاهان باید از برنامه های کامپیوتری طراحی شده برای شکستن الگوریتم رمزنگاری استفاده کنند. هرچه الگوریتم پیشرفته تر و پیچیده تر باشد ،رمزگشایی آن بدون در اختیار داشتن کلید مقتضی به زمان بیشتری نیاز خواهد داشت.
گروه دیگری از ابزارهایAnti-Foeensicمی توانند متادیتای (Metadata) متصل به فایل را تغییر دهند. متادیتا شامل اطلاعاتی نظیر زمان ایجاد و زمان اعمال آخرین تغییرات در فایل است. شما بطور عادی نمی توانید این اطلاعات را تغییردهید ،اما برنامه هایی وجود دارند که می توانند به یک فرد اجازه دهید اما برنامه هایی وجود دارند که می توانند به یک فرد اجازه دهند تا متادیتای متصل به یک فایل را ویرایش نماید. فرض کنید که متادیتای یک فایل را بررسی کرده و متوجه می شوید که نشان می دهد فایل تا سه سال دیگر ایجاد نخواهد شد اما آخرین دسترسی به آن، یک قرن پیش اتفاق افتاده است. اگر متادیتا در معرض خطر قرار گرفته باشد ،ارائه مدارک قابل قبول را دشوارتر خواهد نمود.
بعضی از نرم افزارهای کاربردی کامپیوتری، داده ها را در شرایطی که یک کاربر غیرمجاز برای دسترسی به سیستم تلاش نماید، حذف می کنند بعضی از برنامه نویسان، نحوه کار برنامه های بازجویی کامپیوتری را بررسی نموده و تلاش کرده اند تا نرم افزارهای کاربردی را تهیه کنند که عملکرد این برنامه ها را مسدود نموده و یا خودشان به آنها حمله کنند.
افراد معدودی از Anti-Foeensic استفاده می کنند تا نمایش دهند که داده های کامپیوتری تا جه اندازه می توانند آسیب پذیر و غیرقابل اعتماد باشند. اگر نتوانید مطمئن باشید که یک فایل در چه زمانی ایجاد شده، آخرین دسترسی به آن در چه زمانی بوده و یا حتی اصولا آیا وجود داشته است یا خیر، چگونه می توانید استفاده از مدارک کامپیوتری دریک دادرسی قانونی را توجیه نمایید؟ در حالیکه این یک پرسش معتبر است، مدارک کامپیوتری در دادگاههای بسیاری از کشورها پذیرفته می شوند ،هرچند که استانداردهای مربوط به شواهد و مدارک در کشورهای مختلف تفاوت دارد.

 

مستندات رایانه ای قانونی
درایالات متحده قوانین گسترده ای در زمینه توقیف و استفاده از مدارک کامپیوتری وجود دارد. وزارت دادگستری آمریکا، یک دستورالعمل تحت عنوان«جستجو و توقیف کامپیوترها و جمع آوری مدارک الکترونیکی در تحقیقات جنایی» را تهیه کرده است. این مستند تشریح می کنند که ماموران تحقیق در چه مواردی اجازه دارند کامپیوترها را درجستجوهای خود دخیل نمایند، چه نوع اطلاعاتی قابل قبول خواهند بود و کدامیک از قوانین «Hearsay» (شایعات) در مورد اطلاعات کامپیوتری و راهبردهای انجام یک جستجو اعمال می شوند.
یکی از چالشهایی که تحقیقات کامپیوتری با آن مواجه می باشد این است که جرایم کامپیوتری هیچ رمزی نمی شناسند، اما این موضوع در مورد قوانین صادق نیست .چیزی که در یک کشور غیرقانونی است، می تواند در کشور دیگری قانونی باشد بعلاوه هیچ مقررات کامپیوتری استانداردسازی شده ای در رابطه با جمع آوری مدارک کامپیوتری وجود ندارد. بعضی از کشورها تلاش می کنند تا این وضعیت را تغییر دهند.
گروهG8که از کشورهای آمریکا، کانادا،فرانسه، آلمان، انگلستان، ژاپن، ایتالیا و روسیه تشکیل شده، 6 راهبرد عمومی را در رابطه با جرم شناسی رایانه ای پیش بینی نموده است. این راهبردها بر حفظ سلامت مدارک ،متمرکز هستند.
اگر ماموران تحقیق به این نتیجه برسند که سیستم کامپیوتری تنها بعنوان یک ابزار ذخیره سازی عمل می کند، معمولا اجازه ندارند تا خود سخت افزار را توقیف نمایند. این وضعیت، هرگونه تحقیقاتی را محدود می نماید. از سوی دیگر اگر ماموران تحقیق به این نتیجه برسند که خود سخت افزار نیز جزئی از شواهد و مدارک به حساب می آید می توانند سخت افزار را توقیف نموده و آن را به محل دیگری انتقال دهند. برای مثال اگر کامپیوتر مسروقه باشد ،ماموران تحقیق می توانند سخت افزار آن را توقیف کنند.
بمنظور استفاده از مدارک یک سیستم کامپیوتری در جریان دادرسی، تعقیب کننده باید اعتبار مدارک را تایید نماید. بعبارت دیگر، تعقیب کننده باید بتواند ثابت کند که اطلاعات ارائه شده بعنوان مدرک، از کامپیوتر متهم جمع آوری شده و دست نخورده (و بدون تغییر) باقی مانده اند.
با وجود آنکه عموم مردم می دانند که دستکاری داده های کامپیوتری امکان پذیر بوده و کار نسبتا ساده ای است، دادگاههای آمریکا تاکنون مدارک کامپیوتری را بطور کامل رد نکرده اند .در مقابل ،دادگاهها برای رد مدارک کامپیوتری به دلایل قطعی و یا مدارک دستکاری داده ها نیاز دارند.
موضوع دیگری که دادگاهها را در رابطه با مدارک کامپیوتری در نظر می گیرند، شایعات استHearsay(شایعه) عبارتی است که به اظهار نظرهای انجام شده در خارج از یک دادگاه اشاره دارد.
دراکثرموارد، دادگاهها نمی توانند شایعات را بعنوان مدرک بپذیرند. دادگاه در اکثر موارد باید تعیین کند که اطلاعات موجود بر روی یک کامپیوتر از شایعات تشکیل نشده و به همین دلیل قابل قبول است.
اگر سوابق کامپیوتری شامل گفته های انسانی نظیر پیامهایe-mailباشد دادگاه پیش از پذیرفتن آنها باید تعیین کند که آیا این گفته ها می توانند قابل اعتماد باشند یا خیر. دادگاهها این موضوع را برای هر پرونده بطور جداگانه بررسی می کنند.

درجه اعتبار دادرسی ها
 

یک متخصص امنیت کامپیوتری با نامVincent Liuدر زمینه ایجاد نرم افزاریهای کاربردی Anti-Forensicفعالیت می کند. او اینکار را نه برای پنهان کردن فعالیتهای خود و نه جهت دشوارتر کردن زندگی برای ماموران تحقیق انجام می دهد. در مقابل ،او اینکار را انجام می دهد تا نشان دهد که داده های کامپیوتری غیر قابل اعتماد هستند ونباید بعنوان مدرک در دادگاه مورد استفاده قرار گیرند.
Liuنگران است که ابزارهای بازجویی کامپیوتری کاملا«بدون خطا» نیستند و تکیه بر شواهد و مدارک کامپیوتری یک اشتباه واقعی است.

ابزارهای جرم شناسی رایانه ای
 

برنامه نویسان تعداد زیادی از نرم افزارهای کاربردی جرم شناسی رایانه ای را ایجاد کرده اند. برای بسیاری از دوایر پلیس، انتخاب ابزارها بودجه و تخصص موجود در این ادارات بستگی دارد.
تعدادی از ابزارها و برنامه های جرم شناسی رایانه ای که امکان تحقیقات کامپیوتری را بوجود می آورند، عبارتند از:
* نرم افزار تصویربرداری(Imaging) از دیسک که ساختار و محتوای یک درایو دیسک سخت را ضبط و بایگانی می نماید. با چنین نرم افزاری نه تنها امکان کپی برداری از اطلاعات داخل یک درایو وجود خواهد داشت بلکه حفظ سازماندهی فایلها و رابطه آنها با یکدیگر نیز امکانپذیر خواهد بود.
* ابزارهای سخت افزاری یا نرم افزاری«Write» که در درایوهای دیسک سخت را بصورت بیت به بیت کپی نموده و بازسازی می کنند هردو گروه ابزارهای سخت افزاری و نرم افزاری از تغییر اطلاعات موجود اجتناب می نمایند. بعضی از این ابزارها، ماموران تحقیق را ملزم می کنند که پیش از تهیه یک کپی، درایو

 

 

دیسک سخت را از کامپیوتر متهم جدا نمایند.
* ابزارهایHashingکه درایوهای دیسک سخت اصلی را با کپی های تهیه شده مقایسه می کنند. این

 

ابزارها، داده ها را آنالیز نموده و یک شماره منحصربفرد را به آن تخصیص می دهند. اگر اعداد Hashبر روی یک درایو اصلی وکپی آن با یکدیگر انطباق داشته باشند کپی یک «تکرار»بی نقص از داده های اصلی است.
* ماموران تحقیق از برنامه های بازیابی برای جستجو و بازیابی داده های حذف شده استفاده می کنند. این برنامه ها، داده هایی که توسط کامپیوتر برای حذف علامتگذاری شده اما هنوز رونویسی نشده اند را مکان یابی می نماید. نتیجه این جستجو در بعضی از موارد یک فایل ناقص است که تجزیه و تحلیل آن دشوارتر خواهد بود.
* برنامه های مختلفی وجود دارند که برای حفظ اطلاعات داخل حافظه اصلی(RAM) یک کامپیوتر طراحی شده اند. برخلاف اطلاعات موجود بر روی یک درایو دیسک سخت، داده های داخل RAM به محض خاموش شدن کامپیوتر از بین خواهند رفت. بدون نرم افزار، مناسب این اطلاعات به آسانی ازدست خواهند رفت.
* نرم افزارهای آنالیز که به بررسی تمام اطلاعات موجود بر روی یک درایو دیسک سخت پرداخته و محتویات خاصی را جستجو می کنند.
ازآنجاییکه کامپیوترهای مدرن می توانند چندین گیگابایت از اطلاعات را در خود نگهداری نمایند، جستجوی فایلهای کامپیوتری بصورت دستی بسیار دشوار و وقتگیر خواهد بود. برای مثال، بعضی از برنامه های تحلیلگر به جستجو و ارزیابی کوکی های اینترنتی می پردازند که می توانند برای تشخیص فعالیتهای اینترنتی متهم به ماموران تحقیق کمک کنند. گروه دیگری از برنامه ها، به ماموران تحقیق اجازه می دهند تا مندرجات خاصی را جستجو نمایند که می توانند بر روی سیستم کامپیوتری متهم وجود داشته باشند.
* نرم افزار کدگشائی رمزنگاری و نرم افزار مخصوص شکستن کلمه عبور برای دسترسی به داده های محافظت شده ،مفید خواهند بود.
* این ابزارها صرفاً تا زمانی مفید خواهند بود که ماموران تحقیق از رویه های صحیح پیروی کنند. در غیر این صورت ،یک وکیل مدافع خبره می تواند ادعا کند که مدارک جمع آوری شده در طی تحقیقات کامپیوتری قابل اعتماد نیستند. البته، یک متخصصAnti-Forensicsاعتقاد دارد که هیچ مدرک کامپیوتری کاملا قابل اعتماد به حساب نمی آید.
باید دید دادگاهها تا چه زمانی مدارک کامپیوتری را«قابل اعتماد» در نظر می گیرند. متخصصینAnti-Forensicsمعتقدند ثابت شدن این موضوع در یک دادگاه که دستکاری داده های کامپیوتر بدون اینکه تشخیص داده شود کاملا امکانپذیر و باور کردنی است، تنها به زمان بستگی دارد .در چنین شرایطی ،دادگاهها به سختی می توانند درج مدارک کامپیوتری در یک دادرسی یا تحقیقات را توجیه نمایند.

  • ali teymoori

نظرات  (۰)

هیچ نظری هنوز ثبت نشده است

ارسال نظر

ارسال نظر آزاد است، اما اگر قبلا در بیان ثبت نام کرده اید می توانید ابتدا وارد شوید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">
تجدید کد امنیتی