HEED, A Windows Forensics Tool
عبدالله الشريف
14\8\2023
14\8\2023
المقدمة
في هذه المقالة استعرض من خلالها أداة تساعد على أتمتة المراحل الاولية في التحليل الرقمي(Digital Forensics) وتمت هذه الأتمتة من خلال الـ Powershell بالإعتماد على أدوات مفتوحة المصدر او أن يكون إستخدامها مجاني. بالإعتماد على هذه الأداة؛ بإمكاننا تسريع استخراج الأدلة ذات القيمة الأهم والتخلص من العمل الروتيني وهو معرض للخطأ في حال عدم اتباع الاجراءات بشكل دائم.
تحتوي أنظمة Windows على أدلة حيوية ومهمة، ولأن العملية التي يتم فيها استخراج هذه الأدلة وتحليلها أولياً يدوي في حال عدم شراء اداة تساعد على ذلك فإنه يستغرق وقتًا طويلاً ومعرض للخطأ البشري. من خلال هذه الأداة نهدف إلى تطوير حل مؤتمت لاستخراج الأدلة اللازمة وعمل تحليل أولي مبسّط. تتميز Heed بأنها تعمل على استخراج الأدلة في حال وجود أكثر من Windows image وعمل Yara & Sigma scan. كما أنه في حالة وجود Memory image فإنها تستخرج بعض العمليات التي قد تساعد في فهم حالة النظام وقت بدأ الاستحواذ.
تعتمد Heed على KAPE في استخراج الأدلة و Arsenal Mount Imager في التعامل مع الـ Windows image و ZircoLite لفحص الـ Windows Events من خلال SIGMA rules و LOKI لإجراء مسح والبحث عن الملفات الخبيثة والتي يمكن اكتشافها من خلال Yara rules. في حال وجود
memory image فإن Volatility ستسخرج أهم الأدلة مثل عرض العمليات و فحص الاتصالات الخ.
متى تحتاج HEED ؟
تم بناء HEED لتسريع عملية استخراج الأدلة اللازمة للانتقال مباشرة إلى مرحلة التحليل. لذا، إذا كان يزعجك القيام بنفس المهمة مرارًا وتكرارًا، فيمكنك استخدام HEED. أيضًا، تفيدك الآداة في حال كنت تمتلك العديد من Windows images في نفس الوقت، ستقوم HEED بمعالجتها جميعًا
والحفاظ على البيانات المرتبطة بها منفصلة.
كيف تستخدم HEED ؟
أولاً وقبل كل شيء، HEED هو نص برمجي باستخدام Powershell. وتقوم الأداة بالتعامل مع أدوات أخرى كـ KAPE, Arsenal, ZircoLite, LOKI and Volatility. لذلك، تأكد من وجود الأدوات في نفس المجلد الذي يحتوي الأداة HEED.
قم بتحميل الأدوات السابقة ووضع الملفات بجانب HEED كما هو موضح في الصورة التالية
في هذه المقالة استعرض من خلالها أداة تساعد على أتمتة المراحل الاولية في التحليل الرقمي(Digital Forensics) وتمت هذه الأتمتة من خلال الـ Powershell بالإعتماد على أدوات مفتوحة المصدر او أن يكون إستخدامها مجاني. بالإعتماد على هذه الأداة؛ بإمكاننا تسريع استخراج الأدلة ذات القيمة الأهم والتخلص من العمل الروتيني وهو معرض للخطأ في حال عدم اتباع الاجراءات بشكل دائم.
تحتوي أنظمة Windows على أدلة حيوية ومهمة، ولأن العملية التي يتم فيها استخراج هذه الأدلة وتحليلها أولياً يدوي في حال عدم شراء اداة تساعد على ذلك فإنه يستغرق وقتًا طويلاً ومعرض للخطأ البشري. من خلال هذه الأداة نهدف إلى تطوير حل مؤتمت لاستخراج الأدلة اللازمة وعمل تحليل أولي مبسّط. تتميز Heed بأنها تعمل على استخراج الأدلة في حال وجود أكثر من Windows image وعمل Yara & Sigma scan. كما أنه في حالة وجود Memory image فإنها تستخرج بعض العمليات التي قد تساعد في فهم حالة النظام وقت بدأ الاستحواذ.
تعتمد Heed على KAPE في استخراج الأدلة و Arsenal Mount Imager في التعامل مع الـ Windows image و ZircoLite لفحص الـ Windows Events من خلال SIGMA rules و LOKI لإجراء مسح والبحث عن الملفات الخبيثة والتي يمكن اكتشافها من خلال Yara rules. في حال وجود
memory image فإن Volatility ستسخرج أهم الأدلة مثل عرض العمليات و فحص الاتصالات الخ.
متى تحتاج HEED ؟
تم بناء HEED لتسريع عملية استخراج الأدلة اللازمة للانتقال مباشرة إلى مرحلة التحليل. لذا، إذا كان يزعجك القيام بنفس المهمة مرارًا وتكرارًا، فيمكنك استخدام HEED. أيضًا، تفيدك الآداة في حال كنت تمتلك العديد من Windows images في نفس الوقت، ستقوم HEED بمعالجتها جميعًا
والحفاظ على البيانات المرتبطة بها منفصلة.
كيف تستخدم HEED ؟
أولاً وقبل كل شيء، HEED هو نص برمجي باستخدام Powershell. وتقوم الأداة بالتعامل مع أدوات أخرى كـ KAPE, Arsenal, ZircoLite, LOKI and Volatility. لذلك، تأكد من وجود الأدوات في نفس المجلد الذي يحتوي الأداة HEED.
قم بتحميل الأدوات السابقة ووضع الملفات بجانب HEED كما هو موضح في الصورة التالية
كيف تقوم بإستخدام HEED ؟
يعتمد HEED على ثلاث مدخلات، Windows Image(s)، موقع الحفظ، واسم المجلد الذي يحتوي على البيانات المستخرجة.
يعتمد HEED على ثلاث مدخلات، Windows Image(s)، موقع الحفظ، واسم المجلد الذي يحتوي على البيانات المستخرجة.
.\heed.ps1 -i "K:\drive\images" -e "artifacts_CVE_xxx" -s "E:\saved\path\"
# PARAMETER i
## The image location. e.g E:\Path\to\image\
# PARAMETER e
## The folder name that contains the artifacts. e.g. Artifacts
# PARAMETER s
##This parameters is required to specify where you want the artifacts to be stored. e.g. E:\Path\
مخرجات HEED
عندما يتم استخدام HEED, فإن جميع المخرجات يتم عرضها على التيرمنال. ولكن عند وجود اكثر من Windows image فإنه من الصعب ان تتم المراجعة من خلال التيرمنال، ولذلك، HEED ستقوم بحفظ البيانات داخل المجلد الذي تم اختياره وستقوم ايضًا بفصل النتائج والمخرجات الخاصة بكل أداة على حده كما هو موضح في الصورة التالية.
عندما يتم استخدام HEED, فإن جميع المخرجات يتم عرضها على التيرمنال. ولكن عند وجود اكثر من Windows image فإنه من الصعب ان تتم المراجعة من خلال التيرمنال، ولذلك، HEED ستقوم بحفظ البيانات داخل المجلد الذي تم اختياره وستقوم ايضًا بفصل النتائج والمخرجات الخاصة بكل أداة على حده كما هو موضح في الصورة التالية.
بامكانك تجربه الأداة من خلال رابط المشروع على Github
لمشاركة هذه المدونة
تابعنا
طور مهاراتك من خلال متابعة آخر منشورات فريقنا
مدونات آخرى