درس 27: التحقيق الجنائي الرقمي — أساسيات Digital Forensics

ماذا ستتعلم في هذا الدرس

• فهم مراحل التحقيق الجنائي الرقمي الأربع وكيفية تطبيقها عملياً
• إنشاء نسخة جنائية (Forensic Image) من القرص مع الحفاظ على سلامة الأدلة
• تحليل الذاكرة العشوائية باستخدام Volatility لاكتشاف البرمجيات الخبيثة
• بناء سلسلة حفظ الأدلة (Chain of Custody) بشكل يُقبل قانونياً في السعودية

ما التحقيق الجنائي الرقمي ولماذا تحتاجه مؤسستك؟

تخيّل أن فريق SOC اكتشف تسريباً لبيانات عملاء من قاعدة بيانات أحد البنوك. الحادثة احتُويت، لكن الإدارة تريد إجابات: من فعلها؟ متى بدأ الاختراق؟ ما حجم البيانات المسرّبة؟ هل هناك باب خلفي لا يزال مفتوحاً؟ هنا يبدأ دور التحقيق الجنائي الرقمي — العلم الذي يُعنى بجمع الأدلة الإلكترونية وحفظها وتحليلها وتقديمها بشكل منهجي يصمد أمام التدقيق القانوني والتنظيمي.

التحقيق الجنائي الرقمي ليس مجرد "فحص الأجهزة". إنه عملية منضبطة تمر بأربع مراحل متسلسلة: التحديد (Identification)، والجمع (Collection)، والتحليل (Analysis)، والتقديم (Presentation). كل مرحلة لها أدواتها وقواعدها، وأي خطأ في مرحلة مبكرة قد يُبطل الدليل بالكامل. في بيئة المؤسسات المالية السعودية الخاضعة لرقابة SAMA، القدرة على إجراء تحقيق جنائي رقمي سليم ليست ميزة إضافية — بل متطلب تنظيمي صريح.

المرحلة الأولى والثانية: التحديد والجمع — لا تلمس الدليل قبل أن تحميه

أول قاعدة ذهبية في التحقيق الجنائي: لا تعمل أبداً على الدليل الأصلي. عندما تصل إلى جهاز مشتبه به، مهمتك الأولى هي إنشاء نسخة جنائية طبق الأصل (Forensic Image) باستخدام أداة مثل dd أو الأداة الأكثر تطوراً dc3dd. هذه النسخة هي bit-by-bit copy تشمل كل شيء: الملفات الموجودة، المحذوفة، والمساحات غير المخصصة (unallocated space) التي قد تحتوي أدلة حاسمة.

مثال عملي: اكتشف فريق أمن المعلومات في شركة تأمين سعودية أن أحد الموظفين نقل ملفات عملاء إلى USB خارجي قبل استقالته. المحقق الجنائي أوقف الجهاز بشكل صحيح (لم يُغلقه من الزر مباشرة بل التقط صورة الذاكرة أولاً)، ثم أنشأ نسخة جنائية من القرص الصلب، وحسب الهاش للتحقق من سلامة النسخة. كل خطوة وُثّقت بالوقت والتاريخ واسم المحقق.

لإنشاء نسخة جنائية والتحقق من سلامتها:

# إنشاء نسخة جنائية باستخدام dc3dd
dc3dd if=/dev/sda of=/forensics/case001/disk.img hash=sha256 log=/forensics/case001/acquisition.log

# التحقق من سلامة النسخة لاحقاً
sha256sum /forensics/case001/disk.img

# بديل سريع باستخدام dd مع حساب الهاش
dd if=/dev/sda bs=4096 conv=noerror,sync | tee /forensics/case001/disk.img | sha256sum > /forensics/case001/hash.txt

لاحظ استخدام conv=noerror,sync — هذا يضمن أن الأداة لا تتوقف عند أخطاء القراءة (شائعة في الأقراص التالفة) وتملأ القطاعات غير المقروءة بأصفار للحفاظ على حجم النسخة مطابقاً للأصل. أداة dc3dd هي الخيار الأفضل لأنها تحسب الهاش تلقائياً أثناء النسخ وتُنتج سجل تفصيلي.

المرحلة الثالثة: التحليل — استخراج القصة من البيانات

بعد تأمين الأدلة، يبدأ التحليل الفعلي. هناك نوعان رئيسيان: تحليل القرص (Disk Forensics) وتحليل الذاكرة (Memory Forensics). تحليل القرص يكشف الملفات والسجلات والتاريخ المخزّن، بينما تحليل الذاكرة يكشف ما كان يحدث لحظة التقاط الصورة — العمليات الجارية، الاتصالات المفتوحة، وأحياناً كلمات المرور المكشوفة.

أداة Autopsy (الواجهة الرسومية لـ Sleuth Kit) هي نقطة البداية لتحليل الأقراص. تتيح لك تصفح نظام الملفات، واستعادة الملفات المحذوفة، واستخراج البيانات الوصفية (metadata)، وبناء خط زمني (timeline) للأحداث:

# تثبيت Autopsy على Ubuntu
sudo apt install autopsy sleuthkit

# إنشاء خط زمني من النسخة الجنائية باستخدام Sleuth Kit
fls -r -m "/" /forensics/case001/disk.img > /forensics/case001/bodyfile.txt
mactime -b /forensics/case001/bodyfile.txt -d > /forensics/case001/timeline.csv

الخط الزمني هو أقوى أداة في يد المحقق. يجمع تواريخ الإنشاء والتعديل والوصول لكل ملف (MAC times)، مما يرسم صورة واضحة: متى دخل المهاجم؟ أي ملفات عدّلها؟ ما الأدوات التي استخدمها؟

لتحليل الذاكرة، أداة Volatility 3 هي المعيار الصناعي:

# التقاط صورة الذاكرة (على نظام Linux)
sudo avml /forensics/case001/memory.lime

# عرض العمليات الجارية
python3 vol.py -f /forensics/case001/memory.lime linux.pslist

# البحث عن اتصالات الشبكة المفتوحة
python3 vol.py -f /forensics/case001/memory.lime linux.sockstat

# على Windows: كشف العمليات المخفية
python3 vol.py -f memory.raw windows.psscan

# كشف الحقن في العمليات (Process Injection)
python3 vol.py -f memory.raw windows.malfind

أمر malfind تحديداً قوي جداً — يبحث عن مناطق في الذاكرة تحتوي كود قابل للتنفيذ في أماكن غير متوقعة، وهو مؤشر كلاسيكي على حقن البرمجيات الخبيثة في عمليات شرعية.

المرحلة الرابعة: التقديم — سلسلة حفظ الأدلة

كل التحليل التقني يفقد قيمته إذا لم تتمكن من إثبات أن الأدلة لم تُعبث بها. سلسلة حفظ الأدلة (Chain of Custody) هي السجل الموثّق لكل شخص تعامل مع الدليل، ومتى، وماذا فعل به. في السياق السعودي، هذا التوثيق ضروري ليس فقط للتقارير الداخلية، بل لأن SAMA قد تطلب تقارير الحوادث مدعومة بأدلة، وقد يُحال الملف إلى النيابة العامة إذا تضمّن جريمة معلوماتية بموجب نظام مكافحة الجرائم المعلوماتية.

سجل حفظ الأدلة يجب أن يتضمن كحد أدنى: وصف الدليل (نوع الجهاز، الرقم التسلسلي)، تاريخ ووقت الاستلام، اسم المستلم وتوقيعه، قيمة الهاش عند الاستلام وعند كل نقل، وسبب كل عملية وصول. أداة بسيطة مثل جدول موقّع تكفي، لكن الأفضل استخدام نظام إدارة أدلة إلكتروني.

الربط بالواقع السعودي

إطار SAMA CSCC في مجال "إدارة الحوادث والتهديدات" يتطلب صراحةً قدرات تحقيق جنائي رقمي تشمل جمع الأدلة وحفظها وتحليلها. ضوابط NCA ECC تُلزم الجهات بالقدرة على إجراء تحليل جنائي للحوادث الأمنية وتقديم تقارير مفصّلة. نظام مكافحة الجرائم المعلوماتية السعودي (الصادر بالمرسوم الملكي رقم م/17) يشترط أن تكون الأدلة الرقمية مجموعة بطريقة تحفظ سلامتها لقبولها قانونياً. كما أن PDPL يفرض على المؤسسات الإبلاغ عن تسريبات البيانات الشخصية، والتحقيق الجنائي هو الطريقة الوحيدة لتحديد نطاق التسريب بدقة وتقديم تقرير موثوق للجهات الرقابية.

أخطاء شائعة يجب تجنبها

• العمل على الدليل الأصلي مباشرة: أي تعديل — حتى مجرد فتح ملف — يغيّر البيانات الوصفية ويُفسد الدليل. أنشئ نسخة جنائية دائماً واعمل عليها فقط. استخدم write blocker (جهاز أو برنامج) عند توصيل الأقراص المشتبه بها.
• إغلاق الجهاز قبل التقاط صورة الذاكرة: إيقاف التشغيل يمحو محتوى الذاكرة العشوائية نهائياً. التقط صورة الذاكرة أولاً باستخدام أداة مثل AVML أو WinPMEM، ثم تعامل مع القرص. البرمجيات الخبيثة المتقدمة (fileless malware) لا تترك أثراً إلا في الذاكرة.
• إهمال التوثيق أثناء التحقيق: كثير من المحققين ينغمسون في التحليل التقني وينسون توثيق كل خطوة. بدون توثيق مُحكم — بما في ذلك لقطات شاشة وقيم هاش وسجلات زمنية — لا يمكنك إعادة إنتاج النتائج ولا تقديمها بشكل مقبول تنظيمياً أو قانونياً.

ملخص الدرس

• التحقيق الجنائي الرقمي يمر بأربع مراحل: التحديد، الجمع (مع نسخة جنائية وهاش)، التحليل (قرص وذاكرة)، والتقديم (مع سلسلة حفظ أدلة موثقة).
• أدوات مثل dc3dd و Autopsy و Volatility 3 تشكّل مجموعة أدوات أساسية يجب أن يتقنها كل محقق جنائي، وبناء الخط الزمني هو المفتاح لفهم تسلسل الحادثة.
• الأطر التنظيمية السعودية (SAMA CSCC و NCA ECC) ونظام مكافحة الجرائم المعلوماتية تتطلب قدرات تحقيق جنائي رقمي موثقة، وسلامة الأدلة شرط لقبولها قانونياً.

الدرس القادم

في الدرس التالي سنتناول: Cloud Security — AWS, Azure, and GCP — ستتعلم كيف تختلف تحديات الأمن في البيئات السحابية عن البيئات التقليدية، وكيف تطبّق ضوابط الحماية على الخدمات السحابية الأكثر استخداماً في المؤسسات السعودية.

هل تريد تطبيق ما تعلمته على مؤسستك؟ تواصل مع فريق فنترالينك للحصول على تقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.