فارنزیک چیست؟

فارنزیک (Forensic) یا پزشک قانونی رایانه‌ای به چه معناست و چه کاربردی دارد؟

این روزها، به واسطه‌ی گسترش اینترنت و رشد تکنولوژی، تحلیل رفتار مجرمانه در فضای مجازی و جرم‌شناسی در بستر آنلاین، به یکی از مباحث مهم و حیاتی تبدیل شده است. بر همین اساس؛ در ادامه این مطلب قصد داریم با مفهوم فارنزیک یا جرم‌شناسی رایانه‌ای، شاخه‌های آن، ابزارهای مورد استفاده کارشناسان فارنزیک و دوره‌‌های آموزشی پزشکی قانونی رایانه‌ای آشنا شویم؛ همراه ما باشید.

جرم‌شناسی رایانه‌ای یا فارنزیک چیست؟

از علم فارنزیک برای جمع‌آوری ادله و بررسی شواهد استفاده می‌شود. همان‌طور که در دنیای واقعی شاهد وقوع جرایم هستیم؛ در دنیای دیجیتال نیز وقوع جرم امر رایجی است. با این حال پیگیری و جمع‌آوری ادله و جرم‌شناسی در بستر آنلاین و در فضای مجازی بسیار سخت‌تر است؛ زیرا در دنیای دیجیتال، افراد مجرم در میان کدها و اطلاعات مجازی پنهان شده‌اند.  برای مثال بسیاری از مجرمان از ابزارهای آنتی فارنزیک (Anti-Forensic) استفاده می‌کنند و فرآیند تحلیل داده‌ها و شناسایی نشانه‌های وقوع جرم را با مشکل مواجه می‌سازند.

بر همین اساس برای تشخیص هویت مجرمان و نحوه وقوع جرم، به کارشناسان متخصص در علم فانزیک دیجیتال(Digital Forensic) نیاز است تا با بررسی شرایط وقوع جرم و جمع‌آوری اطلاعات، ادله و شواهد کافی را برای پیگیری جرم جمع‌آوری کند

به عبارت دیگر؛ فارنزیک دیجیتال (Forensic) مجموعه‌ای از روش‌هایی است که جرم‌شناس رایانه‌ای با استفاده از آن‌ها، به جمع‌آوری ادله و کشف جرم با استفاده از پردازش داده‌های آنلاین می‌پردازد.

فارنزیک و پزشک قانونی رایانه‌ای در زمینه‌های مختلف مورد استفاده قرار می‌گیرد که برخی از آن‌ها به شرح زیر است:

• جرم‌یابی حافظه (Memory Forensic)
• جرم‌یابی ویندوز (Windows forensic)
• جرم‌یابی فلش مموری‌ها (USB Forensic)
• جرم‌یابی لینوکس (Linux Forensic)
• جرم‌یابی موبایل (Mobile Forensic)
• جرم‌یابی بدافزار (Malware forensic)
• جرم‌یابی آیفون (iOS Forensic)
• جرم‌یابی اندروید (Android Forensic)
• جرم‌یابی شبکه (Network Forensic)

ابزار مورد استفاده کارشناسان فارنزیک

کارشناسان فارنزیک برای کشف جرم از نرم‌افزارها، روش‌ها، تکنیک‌ها و ابزارهای مختلف استفاده می‌کنند. برای مثال سیستم عامل امنیتی Parrot OS، سیستم عامل Kali Linux و سیستم عامل SIFT Workstation از جمله ابزارهای مورد استفاده کارشناسان فارنزیک هستند.

به طور کلی ابزارهای فارنزیک برای اهداف زیر مورد استفاده قرار می‌گیرند:

• نرم‌افزارهای بازیابی اطلاعات

از این نرم‌افزارها برای بازیابی داده‌های از دست‌رفته، پاک‌شده و یا تغییر کرده استفاده می‌شود. بنابراین اگر مجرم اطلاعاتی را پاک یا دستکاری کرده باشد؛ امکان بازیابی آن وجود دارد.

• ابزار مقایسه داده‌ها

برای تهیه مدارک معتبر از جرم و ردپای مجرم، یکی از ابزارهای مهم، ابزاری است که امکان مقایسه داده‌ها را برای ما فراهم می‌سازد.

• نرم‌افزارهای کپی‌برداری از حافظه

برای تسهیل روند دسترسی به داده‌ها و جمع‌آوری مدارک و جلوگیری از پاک شدن داده‌ها، می‌توان با این نرم‌افزار از حافظه کپی‌برداری کرد.

• ابزارهای رمزگشایی

در برخی موارد، داده‌ها رمزگذاری شده‌اند. در نتیجه برای دسترسی به این اطلاعات و عبور از پسوردها از ابزارهای رمزگشا استفاده می‌شود.

• ابزار دسترسی به Meta Data

هر فایلی در کامپیوتر پس از باز شدن یا ذخیره شدن، در خصوص خود اطلاعاتی را برای سیستم عامل ارسال می‌کند. فارنزیک با ابزارهای مختلف و برای جمع‌آوری شواهد، به این جزئیات و اطلاعات دسترسی پیدا می‌کند.

در اینجا به طور خاص به برخی از ابزارهای مورد استفاده در فارنزیک اشاره می‌کنیم:

1. Scrounge-NTFS برای بازیابی اطلاعات از فایل‌های خراب‌شده در سیستم‌های NTFS
2. ابزار Pdfid برای اسکن فایل‌های PDF و آنالیز این فایل‌ها
3. ابزار PDF-Parser برای تجزیه و تحلیل PDFها و استخراج عناصر مهم آن‌ها
4. PEEPDF که ابزاری به زبان پایتون و برای بررسی فایل‌های PDF است.
5. Autopsy برای بازیابی اطلاعات حذف‌شده
6. ICAT برای کشف اطلاعات مختلف
7. ابزار Guymager که برای عکس‌برداری از هارد سیستم مورد استفاده قرار می‌گیرد.
8. ابزار Srch_strings tool که متن‌های ACSII و UniCode در فایل‌های باینری را استخراج می‌کند.
9. ابزار Binwalk که با استفاده از کتابخانه Libmagic تصاویر (Images) را دریافت و منابع مختلف آن‌ها را جست‌وجو می‌کند. علاوه بر این می‌توان با این ابزار Firmware دستگاه‌های IoT را نیز آنالیز کرد.

• ابزار Bulk extractor که برای کشف اطلاعات مانند آدرس ایمیل، شماره کارت اعتبار و آدرس URL مورد استفاده قرار می‌گیرد. این ابزار توانایی آنالیز انواع فایل‌ها را دارد.
• Magic rescue که ابزاری برای اسکن دستگاه‌های بلاک‌شده است.
• ابزار Scalpel که از پرونده‌ها و نرم‌افزارهای در حال اجرا در سیستم لینوکس و ویندوز، لیست تهیه می‌کند.

دوره‌ SANS FOR 500  و سایر دوره‌های فارنزیک موسسه SANS

موسسه SANS یک مجموعه غیردولتی و برگزارکننده دوره‌های امنیتی است. این موسسه در زمینه جرم‌شناسی دیجیتال و پزشکی قانونی رایانه‌ای نیز دوره‌های متعددی ارائه می‌کند که یکی از آن‌ها، دوره‌ SANS FOR 500 است که به بررسی مباحث پیشرفته فارنزیک با تمرکز بر فارنزیک ویندوز می‌پردازد.

جمع‌بندی

در این مطلب با علم فارنزیک (Forensic) یا جرم‌شناسی رایانه‌ای آشنا شدیم. در حال حاضر با رشد فناوری و تکنولوژی‌های نوین، اهمیت پیگری جرایم فضای دیجیتال با استفاده از تکنیک‌های تخصصی برای جمع‌آوری ادله و جرم‌شناسی نیز افزایش یافته است. فارنزیک یا جرم‌شناسی سایبری با بررسی ادله و شواهد دیجیتال، فرآیند کشف مجرم و جرم را در دنیای مجازی تسهیل و تسریع می‌کند.

درحال حال حاضر دوره‌های متعددی برای جرم‌شناسی رایانه‌ای، فارنزیک ویندوز، فارنزیک شبکه، فارنزیک موبایل و … برگزار می‌شود. در همین راستا؛ اگر به مبحث فارنزیک و جرم‌شناسی رایانه‌ای علاقه دارید؛ می‌توانید در دوره‌های Forensic مجموعه دوران آکادمی شرکت کنید و با کمک متخصصان و مدرسان داخلی و بین‌المللی، مهارت و تخصص کافی در این زمینه را کسب کنید.