لكل نوع من الجرائم أشخاص مختصون وللجرائم الإلكترونية هناك عدة دراسات وعلوم وأدوات يتم إستخدامها لتحليل الجرائم وفحصها لإكتشاف الجاني وهو ما يعرف بمجال التحقيق الجنائي الرقمي .
ماهو التحقيق الجنائى الرقمى ؟
----------------------------------
عبارة عن فحص جهاز الجانى او المشتبة بة من قبل المحققين، فمثلاً اذا تمت جريمة عن طريق الحاسوب أو الأجهزة الذكية المختلفة، فياتى المحقق المتخصص ليفحص ما بة لكن بإستخدام أدوات خاصة ودراسات سابقة وكل ما هو ممكن والهدف منها لجمع الادلة المطلوبة لكى تُعطى للنيابة اثناء عملية التحقيق.
عملية التحقيق الجنائي الرقمي ليست مقتصرة فقط على اﻷجهزه الإلكترونية أو أدلة ملموسة (Hardware) بل من الممكن أن تكون أيضاً عملية تتبع لبعض اﻷدلة والأمور التي تم إجرائها إثناء عملية الإختراق او بعد عملية الإختراق من خلال تحليل ملفات النظام وتتبع أثراه والحركات التي قام بها او يقوم بها في نفس اللحظه وهذه الأمور جميعها تفيد في عملية التحقيق الجنائي الرقمي ليس فقط لمعرفة الجاني بل لمعرفة نقاط ضعف الموقع لديك من خلال تحليل الحركات التي قام بها المخترق أثناء عملية الإختراق.
في حال وجود أي إشعار يدل على وجود عمليات إختراق سواء من خلال مراقبتك الدورية لملفات log أو من خلال متابعة الإشعارات الناتجة عن الجدار الناري الموجود على السيرفر مثل csf firewall وسوف يحاول البرنامج تحديد الأيبيهات التي حاولت التخمين والدخول على السيرفر.
FTK إسطوانة المحقق الجنائي الرقمي.
-----------------------------------------
ما هى FTK ؟
الـ FTK يعتبر اكبر واقوى اسطوانة تستعملها الشرطة التى تُستخدم فى التحقيقات الرقمية فمثلاً بمجرد حصول المحقق العادى على الجهاز المستخدم فى الجريمة الالكترونية يستدعى المحقق الجنائى الرقمى فيحصل على الجهاز وهنا ياتى دورة فى الفحص .. فهذة الحزمة تفحص القرص الصلب فحص كامل بحثاً عن معلومات مختلفة فمثلاً نجد فولدرات مختفية وتم مسحها فتظهرها ويمكن لهذة الحزمة مساعدتة فى رؤية كافة الرسائل الالكترونية التى استخدمها الجانى فى تهديد او ما شابة اى يقرأ البريد الاكترونى بالامايلات المحذوفة كما تُمكنة من كسر تشفير اى فولدر او ملف مغلق بكلمة سر .. لكن كل هذا مخصص فقط للمحقق الجنائى الرقمى.
هذة الاسطوانة من اهم الاسطوانات التى تلعب دور هام فى التحقيق الجنائى الرقمى
1- اولاً يستخدم FTK imager وهذا يلعب دوراً هاماً حيث ياخذ نسخة من الهارد ديسك والفلاشات من اجل الفحص والحفاظ على البيانات
2- استخدام password recovery toolkit ويلعب ايضاً دور هام فى كسر حماية الملفات والفولدرات المحمية بكلمة السر
3- Registry viewer وهذة الاداة تلعب دور هام ايضاً حيث انهاتمكنك من مشاهدة ملفات رجستري إضافة إلى ذلك البرنامج يمكنك من الكشف عنالرجستري الخفية في الجهاز ..
4- distributed denial attack : هذا البرنامج يقوم بكسر حماية الباسوردات لكن بإستخدام اكثر من معالج وذلك بهدف تسريع عملية الكشف عن الباسورد..
ومن البرامج الحديثة التى يستخدمها هى برنامج Executed Programs List هذا البرنامج ليس من ضمن حزمة FTK ولكنها مفيدة ويمكن لاى شخص تحميلها حيث انها تعرف وقت وتاريخ تشغيل أي برنامج في اي حاسوب حتى إذا تم حذفه بعد الإستعمال . على سبيل المثال اذا استخدم برنامج النجرات ( هذا البرنامج يستطيع التجسس على الاجهزة ومراقبة ما يفعلة الضحية ) فبعد ان يعلم انة قد انكشف والشرطة تحاول القبض علية فبطبيعة الحال سيمسحة فوراً بل ويحاول فرمتة الحاسوب بالكامل لكن هذا البرنامج يحاول تحديد جميع البرامج التى استعملت تجد هذا البرنامج هنا