المقدمة
في هذه المقالة استعرض من خلالها أداة تساعد على أتمتة المراحل الاولية في التحليل الرقمي(Digital Forensics) وتمت هذه الأتمتة من خلال الـ Powershell بالإعتماد على أدوات مفتوحة المصدر او أن يكون إستخدامها مجاني. بالإعتماد على هذه الأداة؛ بإمكاننا تسريع استخراج الأدلة ذات القيمة الأهم والتخلص من العمل الروتيني وهو معرض للخطأ في حال عدم اتباع الاجراءات بشكل دائم.
تحتوي أنظمة Windows على أدلة حيوية ومهمة، ولأن العملية التي يتم فيها استخراج هذه الأدلة وتحليلها أولياً يدوي في حال عدم شراء اداة تساعد على ذلك فإنه يستغرق وقتًا طويلاً ومعرض للخطأ البشري. من خلال هذه الأداة نهدف إلى تطوير حل مؤتمت لاستخراج الأدلة اللازمة وعمل تحليل أولي مبسّط. تتميز Heed بأنها تعمل على استخراج الأدلة في حال وجود أكثر من Windows image وعمل Yara & Sigma scan. كما أنه في حالة وجود Memory image فإنها تستخرج بعض العمليات التي قد تساعد في فهم حالة النظام وقت بدأ الاستحواذ.
تعتمد Heed على KAPE في استخراج الأدلة و Arsenal Mount Imager في التعامل مع الـ Windows image و ZircoLite لفحص الـ Windows Events من خلال SIGMA rules و LOKI لإجراء مسح والبحث عن الملفات الخبيثة والتي يمكن اكتشافها من خلال Yara rules. في حال وجود
memory image فإن Volatility ستسخرج أهم الأدلة مثل عرض العمليات و فحص الاتصالات الخ.
متى تحتاج HEED ؟ تم بناء HEED لتسريع عملية استخراج الأدلة اللازمة للانتقال مباشرة إلى مرحلة التحليل. لذا، إذا كان يزعجك القيام بنفس المهمة مرارًا وتكرارًا، فيمكنك استخدام HEED. أيضًا، تفيدك الآداة في حال كنت تمتلك العديد من Windows images في نفس الوقت، ستقوم HEED بمعالجتها جميعًا
والحفاظ على البيانات المرتبطة بها منفصلة.
كيف تستخدم HEED ؟
أولاً وقبل كل شيء، HEED هو نص برمجي باستخدام Powershell. وتقوم الأداة بالتعامل مع أدوات أخرى كـ KAPE, Arsenal, ZircoLite, LOKI and Volatility. لذلك، تأكد من وجود الأدوات في نفس المجلد الذي يحتوي الأداة HEED.
قم بتحميل الأدوات السابقة ووضع الملفات بجانب HEED كما هو موضح في الصورة التالية