<h1 style=" color:#2563eb; font-weight:800; font-size:20px; margin:0 0 14px; line-height:1.3; text-align:center; display:flex; align-items:center; justify-content:center; gap:10px; direction:rtl; "> <span style="font-size:20px;">🔍</span> أساسيات الـ Digital Forensics </h1>

أساسيات الـ Digital Forensics 🔍💻

مدخل عملي للتحليل الجنائي الرقمي: المفاهيم الجوهرية، المراحل، السلاسل القانونية، التعامل مع الأدلة، والفروقات بين الحاسوب والمحمول والشبكات والسحابة—بأسلوب مبسّط ودقيق، وبلا صور.

Chain of Custody Imaging & Hashing Volatile vs Non‑Volatile Mobile & Network Anti‑Forensics Reporting

التحليل الجنائي الرقمي أدلة رقمية سلامة البيانات أمن المعلومات استجابة للحوادث

📚 فهرس المحتوى

1. 📌مقدمة وتعريفات أساسية
2. 🧭مبادئ ذهبية (قانونية وتقنية)
3. 🧩المراحل الخمس (ملوّنة)
4. 🧾أنواع الأدلة وحفظها
5. 🖴الاستحواذ والهاش
6. 🧱حواسيب / هواتف / شبكات / سحابة
7. 🕵️مكافحة مضادات التحليل
8. 📊جدول مقارنة أساليب الاستحواذ
9. ✅قائمة تحقق للميدان
10. 🚫أخطاء شائعة
11. ❓الأسئلة الشائعة
12. 🧾الخلاصة

✨ مقدمة وتعريفات أساسية

التحليل الجنائي الرقمي (Digital Forensics) هو منهجية جمع وحفظ وفحص وتحليل الأدلة الرقمية، مع إعداد تقرير قابل للدفاع قضائيًا. الهدف: الوصول إلى حقائق قابلة للإثبات دون التأثير على سلامة الأدلة.

💡 قاعدة عامة: كل خطوة تقوم بها يجب أن تكون قابلة للتكرار وموثّقة ولا تغيّر الأصل.

🧭 مبادئ ذهبية (قانونية وتقنية)

• Chain of Custody: سلسلة حفظ الدليل بأسماء وتواريخ وتواقيع.
• Integrity: سلامة الدليل باستخدام هاش (MD5/SHA‑256) قبل/بعد.
• Repeatability: إمكانية تكرار الخطوات والحصول على نفس النتائج.
• Least Intrusive: أقل تدخّل—العمل على نسخة وليس الأصل.
• Documentation: توثيق كل أمر/أداة/توقيت/شخص مسؤول.

🧩 المراحل الخمس للتحليل الجنائي — ملوّنة واحترافية

1️⃣ التعريف (Identification)

• تحديد مصادر الأدلة: أجهزة، حسابات، سجلات.
• تقييم المخاطر: تشفير/حذف تلقائي/وصول.

2️⃣ الحفظ (Preservation)

• عزل الجهاز ومنع الكتابة إن لزم.
• توثيق الحالة: زمن/طاقة/شبكات.

3️⃣ الجمع (Collection)

• استحواذ Bit‑by‑Bit للصورة الكاملة.
• حساب الهاش قبل/بعد لضمان التطابق.

4️⃣ الفحص والتحليل (Examination/Analysis)

• فحص الملفات/السجلات/الزمنيات.
• استخلاص الأنماط والعلاقات.

5️⃣ التقرير (Reporting)

• نتائج واضحة قابلة للفهم لغير التقنيين.
• ملاحق: أدوات/أوامر/لقطات/قيم هاش.

🧾 أنواع الأدلة الرقمية وحفظها

أدلة متطايرة (Volatile)

• RAM، جداول العمليات، اتصالات الشبكة النشطة.
• تُلتقط قبل إطفاء الجهاز في سيناريوهات معيّنة (Live Response).

أدلة غير متطايرة (Non‑Volatile)

• أقراص صلبة/SSD، مفاتيح USB، نسخ سحابية، سجلات.
• تُحفظ بالتصوير الجنائي ومنع الكتابة (Write‑Blockers/Read‑Only).

تلميح: حافظ على ترتيب منطقي: المتطاير ثم غير المتطاير، مع توثيق كامل.

🖴 الاستحواذ (Imaging) والهاش

• Bit‑stream Image: نسخة قطاع‑بقطاع تشمل المساحة غير المخصصة.
• Hashing: حساب MD5 و/أو SHA‑256 قبل/بعد لضمان التطابق.
• Write Protection: استخدام حواجز كتابة مادية/منطقية.
• Verification: توثيق قيم الهاش والتواريخ والأدوات.

⚠️ لا تعمل أبدًا على الأصل؛ اعمل على الصورة (النسخة) فقط إلا عند ضرورة Live Response.

🧱 حواسيب / هواتف / شبكات / سحابة

حواسيب

• أنظمة ملفات: NTFS، exFAT، APFS، ext4…
• Artifacts: سجلات، Prefetch، ريجستري، متصفّحات.
• التشفير: BitLocker/مكافئاته—التعامل قبل الإطفاء قد يكون حاسمًا.

هواتف

• Android/iOS: نسخ منطقية/ملفات/كاملة حسب الصلاحيات.
• اعتبارات قفل/تشفير/نسخ احتياطية محلية.
• الرسائل/الوسائط/البيانات التطبيقية كأدلة.

شبكات

• PCAP، NetFlow، سجلات جدران نارية.
• تحليلات زمنية للهجمات/الاتصالات المشبوهة.

سحابة

• سجلات موحّدة، وصول API، أذونات.
• نُسَخ كائنات/مرفقات/لقطات (Snapshots).

🕵️ مكافحة مضادات التحليل (Anti‑Forensics)

• طمس/تغيير الطوابع الزمنية (Timestomping).
• التشفير الكامل/الجزئي والملفات المقنّعة.
• الحذف الآمن/الكتابة فوق المساحة غير المخصصة.
• إخفاء (Steganography) وقنوات جانبية.

💡 واجه ذلك بترابط الأدلة (Corroboration)، والتحليل الزمني، ومصادر متعددة (قرص/ذاكرة/شبكة).

📊 جدول مقارنة: أساليب الاستحواذ

الأسلوب	الوصف	المزايا	القيود	متى يُستخدم؟
Physical (Bit‑by‑Bit)	نسخ كل القطاعات بما فيها غير المخصصة	أكمل صورة ممكنة	وقت/حجم كبير	الأولوية عند الجرائم المعقّدة
Logical	نسخ الملفات/المجلدات الظاهرة	أسرع وأخف	يفوّت أدلة مخفية/محذوفة	تقدير أولي/قيود صلاحيات
File‑based Mobile	نسخ بيانات التطبيقات/النسخ الاحتياطية	مناسب عند قفل/قيود	ليست صورة كاملة	في الهواتف الحديثة
Memory Dump	التقاط RAM والعمليات الحيّة	يكشف مفاتيح/اتصالات/حقن	متطاير للغاية	قبل الإطفاء عند الضرورة
Network Capture	التقاط حركة المرور (PCAP/Logs)	إعادة بناء أحداث الشبكة	حجم وضبط الخصوصية	تحقيقات الاختراق

✅ قائمة تحقق سريعة للميدان

• تأمين الموقع والعزل حسب الضرورة.
• تصوير الحالة (صور/ملاحظات): شاشات، كابلات، زمن.
• تقدير الحاجة لـ Live Response (RAM/شبكة) قبل الإطفاء.
• منع الكتابة على الوسائط، وبدء Chain of Custody.
• الاستحواذ مع توثيق الهاش قبل/بعد.
• العمل على نُسخ فقط، وتدوين كل الأوامر/الأدوات.
• تخزين آمن للأصل والنسخ (مؤمّن وموسوم).

🚫 أخطاء شائعة

• العمل على الأصل بدل النسخة.
• نسيان حساب الهاش أو توثيقه.
• تجاهل الأدلة المتطايرة في سيناريوهات حرجة.
• استخدام أدوات تعدّل الميتاداتا دون قصد.
• تقرير غامض لا يفرّق بين الحقائق والاستنتاجات.

❓ الأسئلة الشائعة

ما الفرق بين Incident Response وDigital Forensics؟

الاستجابة للحوادث تركّز على الاحتواء والاستعادة السريعة؛ التحليل الجنائي يركّز على أدلة قابلة للدفاع قضائيًا وإثبات ما حدث وكيف ولماذا.

هل يُمكن الاعتماد على نسخ منطقية فقط؟

تصلح كبداية أو عند القيود، لكنها قد تفوّت أدلة محذوفة/مخفية. الأفضل صورة فيزيائية عندما تسمح الظروف بذلك.

أي خوارزمية هاش أستخدم؟

يُفضّل SHA‑256 (أو أعلى) مع إمكان ذكر MD5 لأغراض التوافق/المقارنة التاريخية.

متى يكون Live Response حتميًا؟

عندما تكون الأدلة المتطايرة (RAM/اتصالات) حاسمة وقد تضيع بإطفاء النظام.

🧾 الخلاصة

أساسيات التحليل الجنائي الرقمي تتمحور حول: الحفاظ على سلامة الدليل، العمل على نُسخ، توثيق كامل، وقابلية التكرار. باتباع المراحل الخمس والمنهجية الصحيحة عبر المنصّات (حاسوب/هاتف/شبكة/سحابة)، تحصل على نتائج دقيقة قابلة للدفاع.

🎯 تذكّر: القوة في المنهج لا في الأداة. وثّق كل شيء، ووازن بين السرعة والدقّة، واحمِ سلسلة الحيازة.