- بواسطة x32x01 ||
هل سبق وسمعت عن أداة Autopsy؟أداة Autopsy هي واحدة من أشهر أدوات التحليل الجنائي الرقمي (Digital Forensics)، وتُستخدم لفحص الأدلة بعد وقوع حادثة سيبرانية، سواء كانت اختراق، تسريب بيانات، أو نشاط داخلي مشبوه.
خلونا نتعرف على كيف تُستخدم، ومتى يحتاجها محلل الـ SOC
ما هي Autopsy؟
Autopsy = واجهة رسومية (GUI) لأداة التحليل الجنائي الشهيرة Sleuth Kitتُستخدم لفحص الصور (Images) المستخرجة من أقراص الأجهزة المصابة وتحليلها على مستوى الملفات، المستخدمين، الأنشطة، وحتى الميتاداتا.
ماذا يمكنك أن تفعل باستخدام Autopsy؟
• استعراض الملفات المحذوفة والمعدّلة• تحليل نشاط المستخدم (فتح/تحميل/تصفح)
• استخراج سجلات المتصفحات (History & Downloads)
• فحص البريد الإلكتروني المحلي (مثل eMClient أو Outlook)
• البحث عن كلمات مفتاحية داخل النظام
• تحليل الصور والبحث عن المحتوى المريب داخلها
• تتبع الحسابات، نقاط الدخول، والاتصالات الخارجية
سيناريو عملي:حادثة داخلية: موظف يشتبه في أنه نقل ملفات حساسة خارج الشركة
كمحلل، تقوم بالتالي:
١- فحص القرص الصلب الخاص بالموظف باستخدام Autopsy
٢- استخراج الـ USB History
٣- التحقق من الملفات المفتوحة أو المعدّلة مؤخرًا
٤- فحص سجل المتصفح ونشاط التنزيلات
٥- مراجعة ملفات البريد الإلكتروني
النتيجة؟تحليل شامل يُستخدم كدليل رسمي في التحقيقات أو حتى في القضايا القانونية.
مميزات Autopsy:
• مجانية ومفتوحة المصدر• واجهة سهلة ومناسبة للمبتدئين
• مرنة جدًا في التعامل مع أنواع الأدلة
• تستخدم على نطاق واسع في أقسام DFIR وسلاسل الحوادث السيبرانية
هل يحتاج كل محلل SOC يتعلمها؟
مش بالضرورة في أول الطريق، لكن مع الوقت:كل محلل SOC مميز، راح يواجه موقف يتطلب منه فحص أثر حادثة من داخل النظام نفسه، وهنا تبدأ رحلة الدخول إلى عالم التحليل الجنائي الرقمي (DFIR)
Autopsy بوابتك الأولى