هذه مقالة غير مراجعة. ينبغي أن يزال هذا القالب بعد أن يراجعهامحرر؛ إذا لزم الأمر فيجب أن توسم المقالة بقوالب الصيانة المناسبة. يمكن أيضاً تقديم طلب لمراجعة المقالة في الصفحة المخصصة لذلك.(نوفمبر 2024)
التحليل الجنائي للذاكرة الرقمية هو تحليل جنائي لتفريغ ذاكرة الكمبيوتر . تطبيقه الأساسي هو التحقيق في هجمات الكمبيوتر المتقدمة والتي تكون خفية بدرجة كافية لتجنب ترك البيانات على القرص الصلب للكمبيوتر. وبالتالي، يجب تحليل ذاكرة الـ ( RAM ) للحصول على أدلة ومعلومات جنائية.
نبذة تاريخية
أدوات الجيل الصفري
قبل عام 2004، تم إجراء التحليل الجنائي للذاكرة على أساس مخصص ، باستخدام أدوات تحليل البيانات العامة مثل السلاسل و grep . لم يتم إنشاء هذه الأدوات خصيصًا للتحليل الجنائي للذاكرة، وبالتالي تواجه الكثير تلك الادوات الكثير من الصعوبات. كما أنها توفر معلومات محدودة. بشكل عام، استخدامها الأساسي هو استخراج النص وتفريغه من الذاكرة.[1]
توفر العديد من أنظمة التشغيل ميزات لمطوري مكوناته والمستخدمين النهائيين لإنشاء نسخة من الذاكرة الفعلية إما لأغراض تصحيح الأخطاء ( التفريغ الأساسي أو شاشة الموت الزرقاء ) أو تجربة التحسين ( الإسبات (الحوسبة) ). في حالة Microsoft Windows ، كانت عمليات تفريغ الأعطال والإسبات موجودة منذ نظام التشغيل Microsoft Windows NT . كانت مخلفات الأعطال من Microsoft قابلة للتحليل دائمًا بواسطة Microsoft WinDbg ، وأصبحت ملفات الإسبات Windows (hiberfil.sys) قابلة للتحويل في الوقت الحاضر في مخلفات الأعطال من Microsoft باستخدام أدوات مساعدة مثل MoonSols Windows Memory Toolkit التي صممها Matthieu Suiche .[بحاجة لمصدر]
أدوات الجيل الأول
في فبراير 2004، قدم مايكل فورد التحليل الجنائي للذاكرة في التحقيقات الأمنية بمقالة في مجلة SysAdmin.[2] في تلك المقالة، أظهر تحليلًا للإدوات الخفية المستندة إلى الذاكرة. استخدمت العملية أداة أعطال Linux الموجودة بالإضافة إلى أداتين تم تطويرهما خصيصًا لاستعادة الذاكرة وتحليلها بشكل شرعي،[ بحاجة لمصدر ]
في عام 2005، أصدرت DFRWS تحدي التحليل الجنائي الرقمي للذاكرة.[3] واستجابة لهذا التحدي، تم إنشاء المزيد من الأدوات في هذا الجيل، المصممة خصيصًا لتحليل تفريغ الذاكرة. تتمتع هذه الأدوات بمعرفة هياكل البيانات الداخلية لنظام التشغيل ، وبالتالي كانت قادرة على إعادة بناء قائمة عملياتنظام التشغيل ومعلومات العملية.[3]
على الرغم من أنها تهدف إلى أن تكون أدوات بحث، إلا أنها أثبتت أن التحليل الجنائي الرقمي للذاكرة على مستوى نظام التشغيل ممكن وعملي.[بحاجة لمصدر]
أدوات الجيل الثاني
وفي وقت لاحق، تم تطوير العديد من أدوات التحليل الجنائي للذاكرة المخصصة للاستخدام العملي. وتشمل هذه الأدوات التجارية مثل Responder PRO، و Memoryze ، و MoonSols Windows Memory Toolkit، وwinen ، و Belkasoft Live RAM Capturer، وما إلى ذلك؛ أدوات مفتوحة المصدر مثل Volatility . تمت إضافة ميزات جديدة، مثل تحليل تفريغ ذاكرة Linux وMac OS X، كما تم إجراء بحث أكاديمي كبير.[4][5]
على عكس تمام من Microsoft Windows، يعد الاهتمام بنظام التشغيل Mac OS X جديدًا نسبيًا ولم يبدأه إلا Matthieu Suiche [6] في عام 2010 خلال مؤتمر Black Hat الأمني.[بحاجة لمصدر]
منذ العام 2010، ظهر المزيد من الأدوات المساعدة التي تركز على الجانب المرئي لتحليل الذاكرة مثل برنامجي MoonSols LiveCloudKd الذي قدمه [8] Matthieu Suiche في Microsoft BlueHat Security Summaryings والذي ألهم [9] ميزة جديدة في Microsoft LiveKd كتبها مارك روسينوفيتش [10] للسماح باستكشاف الأجهزة الافتراضية عن طريق الوصول إلى ذاكرة الجهاز الإفتراضية من الجهاز الافتراضي المضيف إما لتحليلها مباشرة بمساعدة Microsoft WinDbg أو للحصول على تفريغ ذاكرة بتنسيق ملف تفريغ الأعطال من Microsoft.[بحاجة لمصدر]