جمع آوری داده ها در جرائم رایانه ای
اهمیت جمع آوری داده ها در جرائم رایانه ای:
مهمترین و اصلی ترین بخش در تأمین دلیل برای بررسی وقوع یک جرم رایانه ای جمع آوری داده ها می باشد.
جمع آوری داده ها در جرائم رایانه ای در واقع همان تحصیل ادله ارتکاب جرم است که اگر بدون دانش کافی صورت گیرد سبب خواهد شد که اثبات ارتکاب جرم و نیز شناسایی مجرم واقعی با مشکل مواجه گردد .
چرا که همانگونه که میدانید در اثبات وقوع یک جرم رایانه ای و انتساب آن به یک شخص خاص تنها دلیلی که میتواند مورد توجه واقع گردد مستندات و یا همان لاگ فایلهایی است که از صحنه جرم به دست آمده است .
برای آشنایی بیشتر در مورد پیگیری حقوقی جرایم رایانه ای و اینترنتی نیز می توانید به این مقاله مراجعه نمایید و برای مشاوره با وکلا و کارشناسان سایبری فرم مشاوره را پر نمایید تا در اسرع وقت با شما تماس بگیرند.
در هنگام مواجهه با یک صحنه جرم رایانه ای ما همواره با دو حالت مواجه هستیم :
الف) سیستم های رایانه ای همچنان روشن هستند.
ب) سیستمهای رایانه ای خاموش اند
با توجه به اینکه نحوه جمع آوری داده در هر یک از حالات فوق متفاوت است و نیز نظر به این که داده هایی که از یک سیستم روشن به دست می آید تفاوتهای عدیده ای با داده های موجود در سیستم های خاموش می باشد در این مقاله به بررسی تفاوت های این دو صحنه جرم می پردازیم:
الف) سیستمهای رایانه ای روشن هستند:
در این وضعیت اطلاعاتی که جمع آوری میشوند بسیار حساس و مهم میباشند از جمله:
- امکان بررسی برنامه های در حال اجرا
- امکان بررسی پسوردهای ذخیره شده در حافظه موقت (RAM) که اغلب هم فاقد رمز نگاری می باشند.
- امکان بررسی پیامهای ارسال شده و دریافتی در لحظه(INSTANT MESSAGES)
- امکان بررسی کنسول ترمینال(Command Prompt)
- کنترل آی پی متعلق به سیستم در لحظه جمع آوری شواهد جرم
- امکان بررسی بدافزارهای احتمالی فعال بر روی سیستم
- امکان جمع آوری داده های فاقد رمز نگاری
- نام کاربری که در لحظه جمع آوری شواهد به سیستم ورود کرده است (logged in user).
- کنترل دیوایس هایی که به سیستم وصل هستند (نظیر هارد اکسترنال ، فلش مموری و …)
- کنترل اطلاعات سیستم (System Information)
- کنترل رجیستری سیستم
- بررسی پورتهای باز و نرم افزارهای استفاده کننده از آنها.
توجه داشته باشید با توجه به این حجم عظیم اطلاعات که میتواند شما را در رسیدن به جرم و مجرم راهنمایی نماید به هیچ عنوان نسبت به خاموش کردن سیستم اقدام نکنید.
ب) سیستمهای رایانه ای خاموش اند:
در این حالت جابجایی سیستم دیگر حساسیتی ندارد چرا که تمام داده ها بصورت آفلاین هستند و امکان ایجاد تغییر وجود ندارد اگرچه باید توجه داشت در حالتی که سامانه مورد نظر بصورت خاموش در اختیار شما قرار دارد بسیاری از این اطلاعات که در بالا به آن اشاره شد به راحتی قابل دستیابی نیستند.
نکته بسیار مهم در بررسی داده های جمع آوری شده که باید مورد توجه قرار گیرد آن است که به هیچ عنوان بررسی داده های جمع آوری شده را نباید بر روی دیتای اصلی انجام داد .
به این منظور ضروریست یک بکاپ بیت به بیت از دیتای جمع آوری شده تهیه کرده و تمام بررسی ها بر روی این بکاپ صورت گیرد .
چرا که امکان از بین رفتن داده ها در طول فرآیند بررسی و تحلیل وجود دارد .
دقت داشته باشید که بکاپ هایی که با ابزارهای تجاری تهیه میشوند قابلیت استناد پذیری در محاکم را ندارند .
تنها نسخه ای که میتواند مورد استناد قرار گیرد بکاپهایی است که بصورت بیت به بیت تهیه میشوند.
در این نوع بکاپ گیری کلیه داده های پنهان و باقیمانده در قسمتهای مختلف هارد دیسک قابل کپی برداری هستند.
اما منظور از داده های پنهان یا باقیمانده در قسمتهای مختلف هارد دیسک چیست؟
برای شناخت اینگونه داده ها باید ابتدا با مفهوم فضای اسلک – فضای جا افتاده- (Slack Space)و فضای آن الوکیتد(Unallocated space) – فضای تخصیص نیافته – آشنا شویم.
ساختار هارد دیسک بگونه ای است که یک هارد دیسک از بخشهای کوچکی بنام کلاستر تشکیل یافته است که بسته به نوع فرمت هارد دیسک شما اندازه این بخشهای کوچک متفاوت خواهد بود هر چه اندازه کلاسترها کوچک تر باشد شما حجم بیشتری از اطلاعات را میتوانید ذخیره کنید.
در این مقاله فرصت بررسی ساختار هارد دیسک را نخواهیم داشت فلذا ضروری است در این خصوص مطالعه خود را از منابع دیگر انجام دهید.
لیکن منظور از فضای جا افتاده یا Slack Space فضاهایی است که در بین کلاسترهای یک هارد دیسک بصورت خالی باقی مانده و در آن امکان ذخیره اطلاعات وجود ندارد .
حال نکته این است که در این فضا ممکن است اطلاعاتی از قبل وجود داشته باشد که این اطلاعات در کشف جرم کمک حائز اهمیتی بنماید.
از سوی دیگر فضای تخصیص نیافته یا همان Unallocated Space نیز بخشی از هارد دیسک است که توسط سیستم عامل آدرس دهی نشده و امکان ذخیره اطلاعات در آن وجود ندارد.
نکته قابل تأمل آن است که این فضا ها اگرچه در حال حاضر امکان ثبت دیتا را ندارند لیکن اهمیت بسیار زیادی را دارند چرا که میتواند رد پایی از فعالیتهای قبلی را در خود داشته باشد که منجر به شناسایی مجرم یا اقدامات وی گردد.
در روش بکاپ گیری بیت به بیت این فضا ها نیز دقیقا منتقل شده و اطلاعات موجود در آنها – در صورت وجود – کپی میشوند.
حال آنکه در روشهای کپی بصورت معمولی این امکان وجود نداشته و تنها اطلاعات موجود کپی میگردد.
توجه داشته باشید تکه های باقیمانده از فایلهای پاک شده و رد پاهای اینگونه فایلها اغلب در فضاهای جا افتاده هارد و یا در فضاهای تخصیص نیافته یافت میشود .
برای همین توجه به این بخشهای یک هارد درایو بسیار حیاتی است.
همچنین برای آشنایی بیشتر در زمینه انواع جرائم رایانه ای به این مقاله رجوع کنید.