التخصص: تقنية المعلومات

المستخلص: هذا العمل يقدم تحليل جنائي رقمي لادوات مسح الملفات المضادة للتحليل الجنائي الرقمي على انظمة ويندوز. الهدف من هذا العمل هو تحديد واستخراج ادلة عن الادوات المستخدمة في حذف الملفات وماهي الملفات المحذوفه على انظمة الويندوز. لتحقيق هذا الهدف، قمنا بتحليل التغييرات التي حدثت بواسطة ادوات مسح الملفات المضادة للتحليل الجنائي الرقمي على هياكل البيانات الوصفية لانظمة ويندوز اثناء مسح الملفات. قمنا ايضا بتحليل مفاتيح التسجيل والملفات المختصرة لجمع الادلة. في تجربتنا استخدمنا اربع ادوات لمسح الملفات المضادة للتحليل الجنائي الرقمي وهي ( سيكيوردليت اصدار 1.0 ، سيكيور اريزير اصدار 5.2 ، بي سي شريدير اصدار 1.1 و بلانك اند سيكيور اصدار 5.88 ) على ثلاث انظمة ملفات في ويندوز وهي ( ان تي اف اس ، فات 32 و اكس فات ). تشير النتائج الى ان دليل انظمة الملفات في ( فات 32 و اكس فات ) و جدول الملفات الرئيسي في ( ان تي اف اس ) يمكنهم تأكيد استخدام ادوات مسح الملفات المضادة للتحليل الجنائي الرقمي وتحديد هذه الادوات وعرض بقايا للملفات التي تمت ازالتها. ايضاً ملفات السجل ، مجلة الملفات في نظام الملفات ان تي اف اس و مفاتيح التسجيل في ويندوز تقدم دليلاً تفصيلياً على ادوات مسح الملفات المضادة للتحليل الجنائي والملفات التي تم مسحها. وجدنا ايضاً ان محتويات تدفقات البيانات المقيمة والغير مقيمة ، ملفات السجل ، مجلة الملفات ومفاتيح التسجيل لا يتم ازالتها بواسطة ادوات مسح الملفات المضادة للتحليل الجنائي. اخيراً تقدم هذه الدراسة العديد من التوصيات وتسلط الضوء على حدود العمل وتشير الى النطاق المستقبلي.

Abstract: This work presents forensic analysis of anti-forensic file-wiping tools on the Windows platform. The goal is to identify and extract the evidence of the tools used to wipe files and the files wiped by them on the Windows operating system. To achieve this goal, we analyzed the changes made by these tools to metadata structures of Windows file systems during file wiping. We also analyzed Registry keys and .lnk files to collect the evidence. Our experiments used four file wiping tools (SecureDelete v1.0, SecureEraser v5.2, PCShredder v1.1, and Blank and Secure v5.95) to wipe files on three Windows file systems (FAT32, exFAT and NTFS). The results suggest that FAT32 and exFAT file system directory structures and $MFT entries of NTFS file system can confirm the use of wiping tools, identify these tools and provide the remnants of the wiped files. Also, $LogFile and $UsnJrnl files of NTFS file system, and Windows Registry keys provide detailed evidence of wiping tools used and the files wiped by them. We also found that the contents of resident and non-resident alternate data-streams, $LogFile and $UsnJrnl files, and Windows Registry keys are not wiped by these tools. Finally, this study makes many recommendations, highlights the limitations of the work and points out the future scope

المشرف على البحث: علي موسى غرم الله الزهراني

تاريخ إنجاز البحث: 02.10.2021

تاريخ المناقشة: 03.28.2022

أعضاء لجنة المناقشة :