Mobile Forensics
Mobile Forensics (اَلْعَرَبِيَّةُ)
Mobile Forensics (اَلْعَرَبِيَّةُ)
  • Introduction
  • Preparations
    • Knowledge
    • Safety
    • Trust
    • Backup
  • Methodology
  • التحقق من أجهزة الكمبيوتر التي تعمل بنظام ويندوز (Windows)
    • فحص البرامج التي تبدأ مع تمهيد تشغيل الكمبيوتر
    • فحص العمليات قيد التشغيل
    • مراجعة اتصالات الشبكة
    • استخراج البيانات لإجراء تحليل إضافي
  • Checking Mac Computers
    • Review Programs Launching at Startup
    • Review Running Processes
    • Review Kernel Extensions
    • Review Network Connections
    • Review XProtect Logs
    • Extract Data for Further Analysis
  • فحص الهواتف الذكية
    • ملاحظة: المنهج
    • بنية نظام الهاتف الذكي
    • فحص الأجهزة المرتبطة بتطبيقات الدردشة
    • التحقق من الرسائل المشبوهة
    • مراقبة حركة المرور على الشبكة
    • ملاحظة: مراقبة حركة مرور الشبكة على لينوكس (Linux)
  • Checking Android Devices Basic
    • Review Installed Applications
    • Check Storage
    • Check if the Phone is under Android Device Policy
    • Check if the Phone is Rooted
    • Check if Developer Options is Enabled
    • Analyze Applications
    • Extract Data for Further Analysis
    • Optional : Check for Indicators of Stalkerware Installation
  • Checking Android Devices Advanced
    • Wireshark
    • MVT
    • Other Tools
  • Checking iOS Devices
    • Review iCloud Accounts
    • Review Installed Applications
    • Check for Mobile Device Management Profiles
    • Check for Shortcuts
    • Check for Jailbreaks
    • Enable and Check App Privacy Report
    • Extract Data for Further Analysis
    • Analyzing Extracted Data
    • About Lockdown Mode
  • Checking Devices Remotely
    • Mac Computers
    • Android
  • Concluding a Forensic Gathering
  • References and Further Learning
  • License and Credits
Powered by GitBook
On this page
  1. التحقق من أجهزة الكمبيوتر التي تعمل بنظام ويندوز (Windows)

مراجعة اتصالات الشبكة

Previousفحص العمليات قيد التشغيلNextاستخراج البيانات لإجراء تحليل إضافي

Last updated 4 months ago

ستحتاج برمجيات التجسس في النهاية إلى نقل البيانات التي تم جمعها (مثل لقطات الشاشة وكلمات المرور وضغطات المفاتيح وما إلى ذلك) إلى موقع بعيد وهو . وبالرغم من أنه من غير الممكن أن تتمكن من التنبؤ بموعد حدوث عمليات الإرسال هذه، من الممكن أن بعض برمجيات التجسس تجري اتصالًا دائم مع الخادم أو تتصل به بشكل متكرر بما يكفي لكشفها.

من أجل التحقق من الاتصالات الجارية يمكنك على سبيل المثال تسجيل حركة مرور الشبكة بأكملها باستخدام وفحص النتائج المخزنة لاحقًا، ولكن النهج الأكثر الأفضل هو استخدام الأدوات التي لا تراقب نشاط الشبكة فحسب بل يمكنها أيضًا ربطها بالعمليات قيد التشغيل. بشكل عام يجب أن تبحث عن عمليات غير عادية تتصل بعناوين بروتوكول إنترنت مشبوهة.

وإحدى الأدوات الشائعة للقيام بذلك هي ) أيضًا من سيسينترنال سويت (Sysinternals Suite) من مايكروسوفت.

تُعدّ هذه الأداة سهلة للغاية فهي تسرد جميع اتصالات الشبكة القائمة وتوفر معلومات حول عملية المصدر والوجهة، ومن المحتمل أن تتفاجأ بملاحظة كمية اتصالات الشبكة النشطة حتى في الأنظمة التي تبدو خاملة. غالبًا ما سترى نشاط شبكة من العمليات الخلفية على سبيل المثال لخدمات مايكروسوفت وجوجل كروم وأدوبي ريدر (Adobe Reader) وسكايب (Skype) وما إلى ذلك.

توجد أداة أخرى يمكننا استخدامها لمراقبة اتصالات الشبكة النشطة وهي كراود إنسبكت التي عرضناها في القسم السابق حول . تشابه المعلومات التي تقدمها أداة كراود إنسبكت كثيرًا تلك التي تقدمها تي سي بي فيو.

على سبيل المثال، في لقطة الشاشة أعلاه يمكننا رؤية عملية iexplore.exe قيد التشغيل والتي تظهر عليها علامة محقونة، ويبدو أيضًا أنها تحاول بنشاط الاتصال ببروتوكول إنترنت بعيد على العنوان 216.6.0.28. نظرًا لعدم وجود نافذة ظاهرة لبرنامج إنترنت اكسبلورر تعمل على النظام، يثير الشك بالتأكيد مشاهدة اتصالات شبكة نشطة منه، ويظهر تي سي بي فيو كما يلي على النظام المصاب ذاته:

(ملاحظة: تعرض هذه الأدوات محاولات الاتصال بالمواقع البعيدة حتى لو كان الكمبيوتر في الوقت الحالي غير متصل بالإنترنت).

NetRange:       216.6.0.0 - 216.6.1.255  
CIDR:           216.6.0.0/23  
NetName:        SYRIAN-5  
NetHandle:      NET-216-6-0-0-2  
Parent:         TATAC-ARIN-9 (NET-216-6-0-0-1)  
NetType:        Reassigned  
OriginAS:  
Organization:   STE (Syrian Telecommunications Establishment) (SSTE)  
RegDate:        2005-07-21  
Updated:        2005-07-21  
Comment:        Fax-no-963 11 3739765  
Ref:            https://rdap.arin.net/registry/ip/216.6.0.0

OrgName:        STE (Syrian Telecommunications Establishment)  
OrgId:          SSTE  
Address:        Fayz Mansour St  
Address:        STE Building  
City:           Damascus  
StateProv:  
PostalCode:  
Country:        SY  
RegDate:        2005-07-21  
Updated:        2011-09-24  
Ref:            https://rdap.arin.net/registry/entity/SSTE

يشير هذا إلى أن برنامج iexplore.exe المحقون كان يحاول بشكل مريب للغاية الاتصال بعنوان بروتوكول إنترنت موجود في سوريا. في الواقع ولغرض العرض التوضيحي استخدمنا نسخة قديمة من فيروس حصان طروادة الذي يتيح الوصول عن بُعد المسمى DarkComet الذي عثر على أنه يُستخدم في سوريا في عام 2011 تقريبا,

عندما تشك في وجود اتصال نشط يمكنك (ويفضل أن تقوم بذلك من جهاز كمبيوتر منفصل) البحث عن عنوان بروتوكول الإنترنت ومحاولة تحديد لمن يعود وما إذا كان معروفًا أنه سليم أم ضار باستخدام أدوات عبر الإنترنت مثل أو . على سبيل المثال، ينتج عن بحث WHOIS بسيط يتعلق بعنوان بروتوكول الإنترنت هذا:

وحتى بحث بسيط عن عنوان بروتوكول الإنترنت عبر محرك البحث المفضل لديك قد يكشف عن معلومات مفيدة. بالإضافة إلى ذلك، قد ترغب في التفكير في استخدام خدمات أبحاث التهديدات مثل أو لمعرفة ما إذا كان لديهم أي معلومات عن عناوين بروتوكول الإنترنت أو أسماء النطاقات التي تصادفها.

Central Ops
ipinfo
ريسك آي كيو (RiskIQ)
ثريت ماينر (ThreatMiner)
خادم القيادة والتحكم
Wireshark
تي سي بي فيو (TCPView
فحص العمليات قيد التشغيل