20 درصد تخفیف ویژه دوره های جامع آکادمی تکوان24!

فقط 0 روز و 0 ساعت و 0 دقیقه و 0 ثانیه باقی مانده!

فارنزیک چیست؟|جرم شناسی| forensic

زمان مطالعه: 9 دقیقه

آنچه در این مقاله می‌خوانید

فارنزیک چیست؟ forensic یا جرم شناسی کامپیوتری کاربرد تکنیک‌های تحقیق و تجزیه‌وتحلیل برای جمع‌آوری و حفظ شواهد از یک دستگاه محاسباتی خاص به‌گونه‌ای است که برای ارائه در دادگاه مناسب باشد. هدف فارنزیک یا جرم شناسی کامپیوتری انجام یک تحقیق ساختاریافته و حفظ یک زنجیره مستند از شواهد برای یافتن اینکه دقیقاً چه اتفاقی روی یک دستگاه یا رایانه افتاده است و چه کسی مسئول آن بوده است.

فارنزیک چیستفارنزیک چیست؟

فارنزیک کامپیوتری یا جرم شناسی در اینترنت که گاهی به آن علم پزشک قانونی کامپیوتری نیز گفته می‌شود – اساساً بازیابی داده‌ها با دستورالعمل‌های انطباق قانونی برای قابل‌قبول کردن اطلاعات در رسیدگی‌های قانونی است. اصطلاحات فارنزیک دیجیتال و فارنزیک سایبری اغلب به‌عنوان مترادف برای فارنزیک رایانه استفاده می‌شود.

فارنزیک دیجیتال با جمع‌آوری اطلاعات به‌گونه‌ای شروع می‌شود که یکپارچگی آن را حفظ کند. سپس محققان داده‌ها یا سیستم را تجزیه‌وتحلیل می‌کنند تا تعیین کنند که آیا تغییر کرده است، چگونه تغییر کرده است و چه کسی این تغییرات را ایجاد کرده است. استفاده از فارنزیک یا جرم شناسی کامپیوتری همیشه با جرم مرتبط نیست. فرآیند فارنزیک همچنین به‌عنوان بخشی از فرآیندهای بازیابی داده‌ها برای جمع‌آوری داده‌ها از یک سرور خراب، درایو خراب، سیستم‌عامل (OS) فرمت مجدد یا شرایط دیگری که در آن‌یک سیستم به‌طور غیرمنتظره‌ای کار نمی‌کند، استفاده می‌شود.

چرا فارنزیک در امنیت سایبری مهم است؟

در سیستم قضایی مدنی و کیفری، فارنزیک کامپیوتری به اطمینان از یکپارچگی مدارک دیجیتال ارائه‌شده در پرونده‌های قضایی کمک می‌کند. ازآنجایی‌که رایانه‌ها و سایر دستگاه‌های جمع‌آوری داده‌ها در هر جنبه‌ای از زندگی بیشتر مورداستفاده قرار می‌گیرند، شواهد دیجیتال و فرآیند فارنزیک که برای جمع‌آوری، حفظ و بررسی آن‌ها استفاده می‌شود، در حل جرائم و سایر مسائل حقوقی اهمیت بیشتری پیداکرده است.

فارنزیک چیستافراد معمولی هرگز اطلاعات زیادی از اطلاعات جمع‌آوری‌شده توسط دستگاه‌های مدرن را نمی‌بینند. به‌عنوان‌مثال، تراشه‌ها یا کامپیوترهای موجود در اتومبیل‌ها به‌طور مداوم اطلاعاتی را درباره زمانی که راننده ترمز می‌کند، تغییر مسیر می‌دهد و یا سرعت را تغییر می‌دهد بدون اینکه راننده بداند جمع‌آوری می‌کنند. بااین‌حال، این اطلاعات می‌تواند در حل یک موضوع قانونی یا یک جرم حیاتی باشد و فارنزیک کامپیوتری و جرم شناسی سایبری اغلب در شناسایی و حفظ آن اطلاعات نقش دارد.

کاربردهای جرم شناسی کامپیوتری  یا forensic

شواهد دیجیتال فقط در حل جرائم دنیای دیجیتال، مانند سرقت اطلاعات، نقض شبکه و تراکنش‌های غیرقانونی آنلاین مفید نیستند. همچنین برای حل جرائم فیزیکی مانند سرقت، حمله، تصادفات و قتل نیز استفاده می‌شود.

کاربرد فارنزیککسب‌وکارها اغلب از مدیریت داده‌های چندلایه، مدیریت داده و استراتژی امنیت شبکه برای حفظ امنیت اطلاعات اختصاصی استفاده می‌کنند. داشتن داده‌هایی که به‌خوبی مدیریت‌شده و ایمن هستند می‌تواند به ساده‌سازی روند فارنزیک در امنیت سایبری کمک کند، درصورتی‌که این داده‌ها موردبررسی قرار گیرند.

کسب‌وکارها همچنین از فارنزیک کامپیوتری برای ردیابی اطلاعات مربوط به سیستم یا شبکه استفاده می‌کنند که می‌تواند برای شناسایی و تعقیب مهاجمان سایبری استفاده شود. کسب‌وکارها همچنین می‌توانند از کارشناسان و فرآیندهای فارنزیک دیجیتال برای کمک به بازیابی اطلاعات در صورت خرابی سیستم یا شبکه ناشی از یک بلایای طبیعی یا دیگر استفاده کنند.

انواع فارنزیک در امنیت سایبری

انواع مختلفی از جرم شناسی در امنیت سایبری وجود دارد. هرکدام با جنبه خاصی از فناوری اطلاعات سروکار دارند. برخی از انواع اصلی شامل موارد زیر است:

  • انواع فارنزیکفارنزیک پایگاه داده: بررسی اطلاعات موجود در پایگاه‌های داده، هم داده‌ها و هم فراداده‌های مرتبط.
  • ایمیل فارنزیک: بازیابی و تجزیه‌وتحلیل ایمیل‌ها و سایر اطلاعات موجود در پلتفرم‌های ایمیل، مانند برنامه‌ها و مخاطبین.
  • فارنزیک بدافزار: غربال کردن کد برای شناسایی برنامه‌های مخرب احتمالی و تجزیه‌وتحلیل بار آن‌ها. چنین برنامه‌هایی ممکن است شامل اسب‌های تروجان، باج افزار یا ویروس‌های مختلف باشد.
  • فارنزیک حافظه: جمع‌آوری اطلاعات ذخیره‌شده در حافظه با دسترسی تصادفی (RAM) و کش کامپیوتر.
  • فارنزیک موبایل: بررسی دستگاه‌های تلفن همراه برای بازیابی و تجزیه‌وتحلیل اطلاعات موجود در آن‌ها، ازجمله مخاطبین، پیام‌های متنی ورودی و خروجی، تصاویر و فایل‌های ویدئویی.
  • جرم شناسی یا فارنزیک شبکه: جستجوی شواهد با نظارت بر ترافیک شبکه، با استفاده از ابزارهایی مانند فایروال یا سیستم تشخیص نفوذ.

فارنزیک کامپیوتری چگونه کار می‌کند؟

در ادامه‌ی بحث که کتوجه شدیم فارنزیک چیست حال به چگونگی کارکرد آن می‌پردازیم، محققان جرم شناسی سایبری یا فارنزیک معمولاً از رویه‌های استاندارد پیروی می‌کنند که بسته به زمینه تحقیقات، دستگاه موردبررسی یا اطلاعاتی که محققان به دنبال آن هستند، متفاوت است. به‌طورکلی، این مراحل شامل سه مرحله زیر است:

نحوه کار فارنزیکجمع‌آوری داده‌ها در جرم شناسی سایبری

اطلاعات ذخیره‌شده الکترونیکی باید به‌گونه‌ای جمع‌آوری شود که یکپارچگی خود را حفظ کند. این کار اغلب شامل جداسازی فیزیکی دستگاه تحت بررسی است تا اطمینان حاصل شود که به‌طور تصادفی آلوده یا دست‌کاری نشده است. بازرسان ‌یک کپی دیجیتال که به آن تصویر فارنزیک نیز می‌گویند، از رسانه ذخیره‌سازی دستگاه می‌سازند و سپس دستگاه اصلی را در یک مکان امن یا سایر امکانات امن قفل می‌کنند تا وضعیت بکر آن را حفظ کنند. بررسی بر روی نسخه دیجیتال آن انجام می‌شود. در موارد دیگر، اطلاعات در دسترس عموم ممکن است برای اهداف فارنزیک استفاده شود، مانند پست‌های فیس بوک و… .

تحلیل و بررسی

محققین نسخه‌های دیجیتالی رسانه‌های ذخیره‌سازی را در یک محیط استریل تجزیه‌وتحلیل می‌کنند تا اطلاعات موردی را جمع‌آوری کنند. ابزارهای مختلفی برای کمک به این فرآیند استفاده می‌شود، ازجمله کالبدشکافی پایه فناوری برای بررسی هارددیسک و تحلیلگر پروتکل شبکه Wireshark. همچنین جیگلر ماوس هنگام معاینه کامپیوتر برای جلوگیری از به حالت خواب رفتن و از دست دادن داده‌های حافظه فرار که هنگام حالت خواب رایانه از بین می‌رود یا برق قطع می‌شود، مفید است.

ارائه

بازرسان فارنزیک یافته‌های خود را در یک دادرسی قانونی ارائه می‌کنند، جایی که قاضی یا هیئت منصفه از آن‌ها برای کمک به تعیین نتیجه یک دعوا استفاده می‌کنند. در یک وضعیت بازیابی اطلاعات، محققان فارنزیک آنچه را که از یک سیستم در معرض خطر بازیابی می‌کنند، ارائه می‌کنند. اغلب، ابزارهای متعددی در تحقیقات فارنزیک کامپیوتری برای تأیید نتایجی که تولید می‌کنند استفاده می‌شود.

تکنیک‌هایی که محققان جرم شناسی سایبری استفاده می‌کنند کدام ها هستند؟

محققان از انواع تکنیک‌ها و برنامه‌های کاربردی فارنزیک اختصاصی برای بررسی نسخه‌ای که از یک دستگاه در معرض خطر ساخته‌اند استفاده می‌کنند. آن‌ها پوشه‌های مخفی و فضای دیسک اختصاص داده نشده را برای کپی فایل‌های حذف‌شده، رمزگذاری شده یا آسیب‌دیده جستجو می‌کنند.

هر مدرکی که در نسخه دیجیتالی یافت می‌شود به‌دقت در یک گزارش یافته ثبت می‌شود و با دستگاه اصلی در آماده‌سازی برای اقدامات قانونی که شامل کشف، سپرده‌گذاری یا دعوای حقوقی واقعی است، تأیید می‌شود. تحقیقات فارنزیک کامپیوتری از ترکیبی از تکنیک‌ها و دانش تخصصی استفاده می‌کند. برخی از تکنیک‌های رایج عبارت‌اند از:

استگانوگرافی معکوس:Steganography

تاکتیک رایجی است که برای پنهان کردن داده‌ها در هر نوع فایل دیجیتال، پیام یا جریان داده استفاده می‌شود. کارشناسان فارنزیک رایانه با تجزیه‌وتحلیل هش داده‌ها که فایل موردنظر حاوی آن است، تلاش‌های استگانوگرافی را معکوس می‌کنند. اگر یک مجرم سایبری اطلاعات مهمی را در داخل یک تصویر یا فایل دیجیتالی دیگر پنهان کند، ممکن است قبل و بعدازآن برای چشم آموزش ندیده یکسان به نظر برسد، اما هش یا رشته داده‌های زیرین که تصویر را نشان می‌دهد تغییر می‌کند.

فارنزیک تصادفی:

در این تکنیک جرم شناسی سایبری، محققین بدون استفاده از مصنوعات دیجیتال، فعالیت‌های دیجیتال را تجزیه‌وتحلیل و بازسازی می‌کنند. مصنوعات تغییرات ناخواسته داده‌هایی هستند که از فرآیندهای دیجیتالی رخ می‌دهند. مصنوعات شامل سرنخ‌های مربوط به یک جرم دیجیتال، مانند تغییرات در ویژگی‌های فایل در حین سرقت داده‌ها هستند. فارنزیک تصادفی اغلب در تحقیقات نقض داده‌ها استفاده می‌شود، جایی که تصور می‌شود مهاجم یک فرد خودی است که ممکن است مصنوعات دیجیتالی را پشت سر نگذارد.

تجزیه‌وتحلیل متقابل درایو:

این تکنیک اطلاعات یافت شده در چندین درایو کامپیوتر را برای جستجو، تجزیه‌وتحلیل و حفظ اطلاعات مربوط به یک تحقیق مرتبط و ارجاع متقابل می‌کند. رویدادهایی که شبهه ایجاد می‌کنند با اطلاعات موجود در درایوهای دیگر مقایسه می‌شوند تا به دنبال شباهت‌ها و ارائه زمینه باشند. این تکنیک به‌عنوان تشخیص ناهنجاری در امنیت سایبری نیز شناخته می‌شود.

تحلیل زنده در جرم شناسی

با استفاده از این تکنیک، یک کامپیوتر از درون سیستم‌عامل درحالی‌که کامپیوتر یا دستگاه در حال اجرا است، با استفاده از ابزارهای سیستم روی کامپیوتر تحلیل می‌شود. این تکنیک فارنزیک تجزیه‌وتحلیل داده‌های فرار را بررسی می‌کند که اغلب در حافظه پنهان یا RAM ذخیره می‌شوند. بسیاری از ابزارهایی که برای استخراج داده‌های فرار استفاده می‌شوند، مستلزم حضور دستگاه یا کامپیوتر در آزمایشگاه فارنزیک برای حفظ مشروعیت زنجیره‌ای از شواهد هستند.

بازیابی فایل‌های پاک‌شده در فارنزیک

این تکنیک شامل جستجوی یک سیستم کامپیوتری و حافظه برای یافتن قطعاتی از فایل‌هایی است که تا حدی در یک مکان حذف‌شده‌اند اما آثاری را در جای دیگری از دستگاه باقی می‌گذارند. این گاهی اوقات به‌عنوان حکاکی فایل یا حکاکی داده نیز شناخته می‌شود.

معرفی کتاب تکنیک‌های فارنزیک

در کتاب Python Forensics: A Workbench for Inventing and Sharing Digital Forensic Technology، نوشته چت هاسمر، اطلاعات زیادی در مورد تجزیه‌وتحلیل فارنزیک کامپیوتر پیدا می‌کنید. این کتاب نشان می‌دهد که چگونه با استفاده از پایتون و فناوری امنیت سایبری برای امنیت دیجیتال استفاده کنید.

نمونه‌هایی از جرم شناسی سایبری

فارنزیک کامپیوتری از دهه ۱۹۸۰ به‌عنوان مدرک توسط سازمان‌های مجری قانون و در قوانین جزایی و مدنی بین‌المللی استفاده‌شده است. برخی از نمونه‌های قابل‌توجه کشف جرائم سایبری با استفاده از فارنزیک شامل موارد زیر است:

سرقت اسرار تجاری اپل:

مهندسی به نام Xiaolang Zhang در بخش خودروهای خودران اپل بازنشستگی خود را اعلام کرد و گفت که برای مراقبت از مادر مسن خود به چین بازخواهد گشت. او به مدیرش گفت که قصد دارد در یک تولیدکننده خودروهای الکترونیکی در چین کار کند و این باعث شک و تردید آن‌ها شد.

بر اساس سوگندنامه دفتر تحقیقات فدرال (FBI)، تیم امنیتی اپل فعالیت‌های ژانگ را در شبکه شرکت بررسی کردند و متوجه شدند، در روزهای قبل از استعفا، او اسرار تجاری را از پایگاه‌های اطلاعاتی شرکت‌های محرمانه‌ای که به آن‌ها دسترسی داشت، دانلود کرده است. او در سال ۲۰۱۸ توسط FBI متهم شد. این تحقیق توسط تیم فارنزیک FBI انجام شد.

انرون دریکی از شایع‌ترین رسوایی‌های کلاه‌برداری حسابداری:

Enron، یک شرکت انرژی، کالا و خدمات ایالات‌متحده امریکا است، میلیاردها دلار درآمد را قبل از ورشکستگی در سال ۲۰۰۱ گزارش کرد که باعث آسیب مالی به بسیاری از کارمندان و سایر افرادی شد که در شرکت سرمایه‌گذاری کرده بودند. تحلیلگران فارنزیک کامپیوتری، چندین ترابایت داده را برای درک این طرح کلاه‌برداری پیچیده بررسی کردند و عامل سرقت و دست‌کاری داده‌ها را یافتند.

سرقت اسرار تجاری گوگل آنتونی اسکات لواندوفسکی:

مدیر سابق اوبر و گوگل، به ۳۳ مورد سرقت اسرار تجاری در سال ۲۰۱۹ متهم شد. از سال ۲۰۰۹ تا ۲۰۱۶، لواندوفسکی در برنامه ماشین خودران گوگل کار می‌کرد، جایی که هزاران فایل مرتبط با این برنامه را از یک سرور شرکتی محافظت‌شده با رمز عبور دانلود کرده بود.

به گفته نیویورک تایمز، او از گوگل جدا شد و اتو، یک شرکت کامیون‌های خودران را ایجاد کرد که اوبر آن را در سال ۲۰۱۶ خرید. لواندوفسکی به یک فقره سرقت اسرار تجاری اعتراف کرد و به ۱۸ ماه زندان و ۸۵۱,۴۹۹ دلار جریمه نقدی و جبران خسارت محکوم شد. این یک نمونه بارز از فارنزیک کامپیوتری بود که در گوگل اتفاق افتاد.

مایکل جکسون:

محققان از فراداده‌ها و اسناد پزشکی آیفون دکتر مایکل جکسون استفاده کردند که نشان می‌داد دکتر کنراد موری مقادیر کشنده ای دارو برای جکسون که در سال ۲۰۰۹ درگذشت، تجویز کرده است.

میکایلا مون:

مون نوزاد تازه متولدشده خود را در سال ۲۰۱۶ در وان اتاق خوابگاهش در دانشگاه منچستر غرق کرد. بازرسان جستجوهای گوگل را در کامپیوتر او یافتند که حاوی عبارت “سقط‌جنین در خانه” بود که برای محکوم کردن او استفاده‌شده بود. این هم یک نمونه بارز از فارنزیک رایانه‌ای بود.

مشاغل و گواهینامه‌های فارنزیک چیست

شغل فارنزیک و جرم شناسیفارنزیک کامپیوتری به حوزه تخصصی علمی خود تبدیل شده است. طبق گزارش Salary.com، متوسط ​​حقوق سالانه یک تحلیلگر فارنزیک کامپیوتری در سطح پایه حدود ۶۵۰۰۰ دلار در سطح بین‌المللی است. برخی از نمونه‌ مسیرهای شغلی فارنزیک سایبری شامل موارد زیر است:

مهندس فارنزیک یا جرم شناسی:

این متخصصان با مرحله جمع‌آوری فرآیند فارنزیک کامپیوتری، جمع‌آوری داده‌ها و آماده‌سازی آن برای تجزیه‌وتحلیل سروکار دارند. آن‌ها به تعیین چگونگی خرابی یک دستگاه کمک می‌کنند.

حسابدار فارنزیک

این موقعیت به جرائم مربوط به پول‌شویی و سایر معاملاتی که برای سرپوش گذاشتن بر فعالیت‌های غیرقانونی انجام می‌شود، می‌پردازد.

تحلیلگر امنیت سایبری

این موقعیت به تجزیه‌وتحلیل داده‌ها پس از جمع‌آوری و ترسیم بینش‌هایی می‌پردازد که بعداً می‌تواند برای بهبود استراتژی امنیت سایبری سازمان استفاده شود.

گواهینامه‌های فارنزیک یا جرم شناسی معتبر

امنیت سایبری یا یک‌رشته مرتبط برای متخصصان فارنزیک کامپیوتر موردنیاز است. چندین گواهینامه در این زمینه وجود دارد که ازجمله آن‌ها می‌توان به موارد زیر اشاره کرد:

تحلیلگر قانونی امنیت سایبری موسسه CyberSecurity.

این گواهینامه برای متخصصان امنیتی با حداقل دو سال تجربه طراحی‌شده است. سناریوهای آزمایش بر اساس موارد واقعی است.

انجمن بین‌المللی متخصصان تحقیقات کامپیوتری

این گواهی‌نامه فارنزیک در درجه اول بر اعتبار سنجی مهارت‌های لازم برای اطمینان از اینکه تجارت از دستورالعمل‌های فارنزیک رایانه‌ای پیروی می‌کند تمرکز دارد.

بازپرس قانونی هک کامپیوتر EC-Council

این گواهی توانایی متقاضی را برای شناسایی متجاوزان و جمع‌آوری شواهدی که می‌تواند در دادگاه مورداستفاده قرار گیرد، ارزیابی می‌کند. این جستجو و توقیف سیستم‌های اطلاعاتی، کار با اثبات دیجیتال و سایر مهارت‌های فارنزیک سایبری را پوشش می‌دهد.

بازرس رایانه گواهی‌شده توسط انجمن بین‌المللی بازرسان رایانه قانونی (ISFCE)

این برنامه بازرس فارنزیک نیاز به آموزش در یک مرکز آموزشی بوت کمپ مجاز دارد و متقاضیان باید کد اخلاقی و مسئولیت حرفه‌ای ISFCE را امضا کنند.

اگر به مقاله‌ی فارنزیک چیست علاقه داشتید و به دنبال شروع مسبر آمورش در حوزه‌ی فارنزیک هستید، حتما صفحه‌ی دوره های آموزشی آکادمی تکوان ۲۴ را بررسی کنید.

منبع ۱

منبع ۲

یک نظر

  • Bardia گفت:

    خیلی عالی

  • دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد.

    20 درصد تخفیف ویژه دوره های جامع آکادمی تکوان24!

    فقط 0 روز و 0 ساعت و 0 دقیقه و 0 ثانیه باقی مانده!