الطب الشرعي لنظامي التشغيل Windows و Linux: الفرق والمقارنة

الوجبات السريعة الرئيسية

1. Windows هو نظام تشغيل يستخدم على نطاق واسع وكان عنصرًا أساسيًا في الحوسبة الشخصية لعقود.
2. Linux هو نظام تشغيل مفتوح المصدر شائع الاستخدام في مجالات مختلفة ، بما في ذلك الخوادم وأجهزة الكمبيوتر المكتبية والأنظمة المضمنة.
3. يستخدم Windows نظام ملفات التكنولوجيا الجديدة (NTFS) ، بينما يستخدم التحليل الجنائي في Linux Ext4 و XSZ.

ما هو Windows Forensics؟

يشير Windows Forensics إلى عملية جمع الأدلة الرقمية وتحليلها وتفسيرها من أنظمة تشغيل Windows في سياق تحقيق أو استعلام. يهدف تحليل الطب الشرعي هذا إلى فهم تسلسل الأحداث ، واستعادة البيانات المفقودة ، وتحديد الأنشطة الخبيثة ، أو تحديد الإجراءات المتخذة على نظام معين. فيما يلي بعض العناصر والاعتبارات الأساسية المتعلقة بـ Windows Forensics:

1. الحصول على البيانات: قبل أي تحليل ، يجب جمع البيانات من النظام المشتبه فيه. يمكن القيام بذلك بعدة طرق ، مثل إنشاء نسخة بت مقابل بت (صورة) من القرص الصلب أو التقاط محتويات ذاكرة RAM. من الضروري إجراء هذه العمليات دون تغيير البيانات الأصلية.
2. تحليل نظام الملفات: يستخدم Windows بشكل أساسي نظام ملفات NTFS. يتضمن التحليل الجنائي لـ Windows تحليل جدول الملفات الرئيسية (MFT) ، والذي يتتبع جميع الملفات الموجودة على وحدة تخزين NTFS وخصائصها ومواقعها. يتم فحص الملفات المحذوفة والطوابع الزمنية للوصول إلى الملفات والبيانات الوصفية الأخرى ذات الصلة.
3. تحليل التسجيل: سجل Windows هو قاعدة بيانات هرمية تخزن إعدادات المستوى المنخفض لنظام التشغيل والتطبيقات التي تعمل على النظام الأساسي. يمكن لتحليل الطب الشرعي استرداد معلومات حول البرامج المثبتة ونشاط المستخدم واتصالات الشبكة والمزيد من السجل.
4. سجلات الأحداث: يحتفظ Windows بسجلات الأحداث التفصيلية التي تتعقب أنشطة النظام والأخطاء والتحذيرات والأحداث الإعلامية. يمكن لخبراء الطب الشرعي تحليل هذه السجلات للحصول على عرض زمني للأحداث وفهم أي شذوذ أو أنشطة مشبوهة.
5. مصنوعات الإنترنت: يمكن أن يؤدي تحليل سجلات المتصفح وذاكرة التخزين المؤقت وملفات تعريف الارتباط والملفات الأخرى المتعلقة بالويب إلى الكشف عن مواقع الويب التي تمت زيارتها والملفات التي تم تنزيلها والأنشطة الأخرى عبر الإنترنت.
6. الطب الشرعي الذاكرة: تحليل محتويات ذاكرة الوصول العشوائي (RAM) للنظام يمكن أن يكشف عن العمليات الجارية حاليًا، والملفات المفتوحة، واتصالات الشبكة، والمزيد. تحتوي هذه "الذاكرة المتطايرة" على معلومات قيمة لا تدوم بمجرد إيقاف تشغيل الكمبيوتر.
7. استعادة البيانات المحذوفة: حتى لو تم حذف البيانات أو تم بذل جهد لمسحها، يمكن لأدوات الطب الشرعي استرداد أجزاء أو ملفات بأكملها بناءً على كيفية تعامل Windows مع الحذف.
8. أدوات التحليل: تم تطوير العديد من الأدوات المتخصصة مثل Encase و FTK (Forensic Toolkit) و Volatility وغيرها خصيصًا للطب الشرعي لـ Windows. تساعد هذه الأدوات خبراء الطب الشرعي في أتمتة وتبسيط العديد من المهام المعقدة.
9. سلسلة الحضانة: يعد الحفاظ على سلسلة احتجاز مناسبة أمرًا بالغ الأهمية في السياقات القانونية. يضمن هذا بقاء الأدلة الرقمية سليمة وغير ملوثة ، ويمكن إرجاعها إلى المصدر. أي تعديلات أو الوصول غير المصرح به يمكن اعتبار الأدلة غير مقبولة في المحكمة.

يعد Windows Forensics ضروريًا للأمن السيبراني والتحقيقات القانونية والاستجابة للحوادث. نظرًا لانتشار أنظمة Windows في جميع أنحاء العالم ، تظل الخبرة في هذا المجال مطلوبة بشدة.

ما هو Linux Forensics؟

التحليل الجنائي للينكس هو مجال مطلوب في التحقيقات الرقمية والأمن السيبراني. لقد أصبح نظام تشغيل يستخدم على نطاق واسع في بيئات الخادم وأجهزة الكمبيوتر الشخصية. يتضمن تطبيق تقنيات وأدوات الطب الشرعي لجمع الأدلة الرقمية من أنظمة Linux وحفظها وتحليلها وتفسيرها.

يهدف هذا في المقام الأول إلى جمع واستخراج وإعادة بناء المعلومات المعفاة من مصادر مختلفة داخل بيئة Linux ، مثل سجلات الملفات والذاكرة والشبكة وحركة المرور وتكوينات النظام. تساعد هذه العملية المحققين على فهم الجدول الزمني للأحداث ، وتحديد المهاجمين المحتملين أو الأنشطة الخبيثة ، وتقديم أدلة للإجراءات القانونية.

يعد تحليل الذاكرة جزءًا أساسيًا من التحليل الجنائي في نظام Linux. يلتقط المحققون الذاكرة المتقلبة (RAM) لنظام Linux لاستخراج معلومات قيمة مثل العمليات الجارية ، واتصالات الشبكة ، والملفات المفتوحة ، وبقايا الكود أو النشاط الخبيث. كما أنها تنطوي على التعامل مع مختلف تقنيات مكافحة الطب الشرعي والتدابير المضادة التي يستخدمها المهاجمون لعرقلة أو التهرب من عملية الكشف.

الفرق بين الطب الشرعي لنظامي التشغيل Windows و Linux

1. نظام الملفات الأكثر استخدامًا في Windows هو NTFS (نظام ملفات التكنولوجيا الجديدة) ، بينما يشتمل نظام الملفات السائد في Linux على Ext4 و XFS.
2. سجل Windows هو قاعدة بيانات مركزية هرمية ، بينما لا تحتوي أنظمة Linux على أي سجل مركزي مكافئ مثل Windows.
3. يعتمد Windows على أدوات وبرامج خاصة مثل Encase وFTK، بينما يستخدم Linux، من ناحية أخرى، أدوات مفتوحة المصدر مثل The Sleuth kit وAutopsy.
4. يستخدم Windows نظام قائمة التحكم بالوصول (ACL) لإدارة أنظمة الملفات ، بينما يستخدم Linux نموذج أذونات مختلفًا يعتمد على المالك والمجموعة والأذونات الأخرى.
5. يركز Windows على المصنوعات اليدوية مثل سجلات الأحداث والجلب المسبق وملفات الارتباط. وفي الوقت نفسه، يتضمن التحليل الجنائي لنظام التشغيل Linux تحليل ملفات السجل وسجلات النظام وغيرها من المصنوعات اليدوية الخاصة ببيئة Linux.

مقارنة بين الطب الشرعي لنظامي التشغيل Windows و Linux

1. https://commons.erau.edu/adfsl/2015/tuesday/6
2. https://www.sciencedirect.com/science/article/pii/S1742287618301944