العودة إلى الدورة

أخذ صور الأقراص (مفاهيمي: dd, FTK Imager)

احتراف الأمن السيبراني: من الصفر إلى الاحتراف

الحفاظ على البيانات

لضمان عدم تعديل القرص الصلب الأصلي أبداً، يقوم المحققون الجنائيون بإنشاء نسخة مثالية، بت تلو الآخر، تسمى الصورة الجنائية (Forensic Image) للقرص.

مانعات الكتابة (Write Blockers)

قبل أخذ الصورة، يتم استخدام مانع كتابة عتادي أو برمجزي لضمان عدم قيام محطة عمل التحقيق الجنائي بكتابة بيانات بالخطأ على قرص الدليل الأصلي، مما يحافظ على نزاهته.

أدوات أخذ الصور

  1. dd (Disk Dump): أمر Linux أصلي وقوي يستخدم لإنشاء صور جنائية خام. bash

    مثال لنسخ القرص /dev/sda إلى الصورة image.dd

    dd if=/dev/sda of=/mnt/evidence/image.dd bs=4M status=progress

  2. FTK Imager: أداة مجانية شهيرة في Windows تنشئ صوراً جنائية بتنسيقات شائعة (مثل E01) وتحسب تلقائياً الهاشات التشفيرية أثناء عملية الاستحواذ.