مرحباً مرة آخرى، اليوم نصل لتحدي مجتمع الحماية العربي الثاني، نتمنى تكونوا قد أستفدتم من التحدي السابق. كل تحدي سيكون أهدافه مختلفة وذلك لنستفيد من المشكلة الموجودة وكيف سنقوم بحلها بواسطة أدواة بسيطة متوفرة للجميع. كذلك سنقوم بجعل كل تحدي أصعب من الذي يسبقه، وبعضها هي التي تفتح لك إمكانية العمل على التحدي الذي بعده، أي لن تستطيع مثلاً أن تعمل على التحدي رقم 3 بدون حل التحدي رقم 2. تحدي اليوم إجباري تجاوزه إن كنت تريد الوصول للتحدي القادم، وذلك لأن القادم يعتمد بالكامل على نجاحك في التحدي الحالي وتجاوزه.
قبل أن أدخل في تفاصيل التحدي، أريد التأكيد على أفكار لتحديات. فإن كانت لديك أفكار لجرائم ممكن يتم تحويلها الى قضايا للدراسة والإستفادة العلمية والتقنية منها، فلا تترددوا إما بإرسالها لنا وسيتم نشرها بإسمكم أو بالتواصل معنا لعملها لبقية زوار ومتابعي الموقع والإستفادة من الأفكار التي فيها.
التحدي رقم (2):
أنت تعمل كمحقق جنائي ألكتروني وشركة S4A أتصلت بك لتقوم بعملية التحقيق على قرص صلب (Hard disk) لموظف مشتبه به يعمل لديهم. قبل أن تصل الى موقع الشركة، قام الموظف بعملية تخريب للقرص الصلب. وظيفتك الأولى هي إصلاح القرص الصلب وذلك لكي تتمكن من تحليله لاحقاً.
الأدلة الجنائية التي معك هي: S4ADFChallenge2.7z، بداخله نسخة عن القرص الصلب الذي يجب أن تقوم بإصلاحه. (كلمة المرور للملف هي: DFI2015)
في ختام التحقيق الذي قمت به، عليك تزويدنا بتقرير يحتوي على ما يلي:
1- ما هو حجم الـ Volume Boot Record أو مختصراً VBR
2- ما هي الـ Offset لكل من:
– النسخة الإحتياطية من قطاع الإقلاع (Backup Boot Sector)
– جزئية FAT1
– جزئية FAT2
3- إثبات على قيامك بإصلاح القرص بشكل سليم (قم بعرض محتويات القرص من خلال إما عمل mount له على لينُكس أو إستخدام FTK Imager)
4- ما هي المنهجية التي أتبعتها للوصول الى الى الحل النهائي
5- ما هي فرضيتك حول ما قام به المشتبه به، ولماذا تعتقد إنه فشل في إنجاز عملية مسح (wipe) للقرص الصلب
ملاحظات مهمة:
1- يجب إستخدام الأدوات المجانية، الحُرة، أو التي كتبتها أنت لحل القضية.
2- إصلاح الـ VBR سوف يقودك الى العلم الأول (Flag #1)
3- مصادر أنصح بقرائتها:
http://www.win.tue.nl/~aeb/linux/fs/fat/fat-1.html
http://www.cgsecurity.org/wiki/Advanced_FAT_Repair
بالتوفيق، ورمضان مبارك على الجميع