- بواسطة x32x01 ||
يعني إيه Cyber Crime؟ وما علاقتها بـ Forensics؟ 
الـ Cyber Crime هي أي جريمة بتحصل باستخدام الكمبيوتر أو الإنترنت: ابتزاز، سرقة بيانات حساسة، دخول غير مصرح، سبام، وغيرها. مهم نفهم المصطلح ده عشان هو اللي بيجيبنا لـ Digital Forensics - التحقيق الجنائي الرقمي اللي بيشتغل بعد ما الجريمة تحصل علشان يجمع أدلة ويجيب المجرم.يعني إيه Digital Forensics؟ 
الـ Digital Forensics أو Computer Forensics بالعربي هو عملية تحقيق بعد وقوع جريمة سيبرانية. الفكرة إنك تجمع أدلة من الأجهزة أو السيرفرات بطريقة قانونية ومرتبة (علشان تصلح كمستندات تقدم في المحكمة)، وتعمل Acquisition للبيانات وتفك الشفرة لحد ما توصل لصاحب الفعل.مراحل التحقيق في الفورنسيك - اختصار IPEDIP 
فيه اختصار بسيط بيشرح كل المراحل: IPEDIP (Identification, Preservation, Extraction/Acquisition, Documentation, Presentation). نمر عليهم بسرعة:Identification - التعريف بالحادثة
ببساطة: إنت بتشوف حصل إيه؟ نوع الهجمة؟ أجهزة مين متأثرة؟ بترتب الصورة كلها ف دماغك الأول.Preservation - تأمين مسرح الجريمة
بتمنع أي حد يقرب الأجهزة أو السيرفرات المتأثرة. ممكن تحجز أو تقفل غرفة أو الـ Datacenter لو الهجمة هناك - الفكرة منع أي تغيير للأدلة.Extraction / Acquisition - جمع الأدلة
دي مرحلة حساسة جدًا. في نوعين من الـ Acquisition:- Static Acquisition: بيانات ثابتة على الهارد (Non-Volatile) - ممكن تجيبها بعد.
- Live Acquisition: بيانات في الذاكرة (RAM) أو الريجيستري أو الكاش - لو طفيت الجهاز هتروح، فلازم تجيبها أول.
Documentation - توثيق كل حاجة
كل خطوة بتعملها لازم تتسجل بشكل قانوني: مين عمل إيه؟ إمتى؟ إزاي أخدنا الأدلة؟ لأن السجل ده هيتقدم للمحكمة.Presentation - عرض النتائج
بتعرض كل اللي عملته من Identification لحد Documentation، وتثبت ليه الشخص ده هو المجرم على أساس الأدلة والتحليل.أنوع البيانات اللي بنتعامل معاها في الفورنسيك 
- Volatile Data: بيانات هتتغير أو تختفي لو حصل أي حاجة (زي الـ RAM).
- Non-Volatile Data: بيانات ثابتة على الهارد (ملفات، برامج).
- Fragile Data: بيانات مؤقتة وممكن تتعدل بسهولة (مثلاً ملفات الـ Temp).
- Temp Accessible Data: بيانات تُستخدم مرة واحدة وبتمحي بعد (زي بعض Save States).
- Active Data: بيانات شغالة دلوقتي في الذاكرة للعمليات الجارية.
- Archival Data: بيانات محفوظة لمدى طويل (logs، records).
ليه الـ Digital Forensics صعبة؟ وليه المرتبات عالية؟ 
في مثل: "بتدور على إبرة جوه كومة قش" - وده توصيف مضبوط!أسباب الصعوبة:
- الـ Anonymity: المهاجمين غالبًا مستخدمين بروكسيات معقدة وVPNs، فتتبُعهم صعب.
- Availability: أي حد ممكن يبقى ضحية - من رؤساء لجمهور عادي.
- Ease of Use: الأدوات بقت سهلة، وممكن أي واحد يعمل أذى بسرعة.
- No Geo Limitations: العُنف الإلكتروني ملوش حدود جغرافية - المهاجم ممكن يكون في بلد تانية خالص.
أشهر الأدوات اللي بيستخدمها المحققين الرقميين 
- Logicube Portable Forensic Lab (PFL)
- Forensic Talon, Forensic Dossier
- FTK (Forensic Toolkit), Sleuth Kit
- X-Ways Forensics, X-Ways Trace
- MOBILedit!, Oxygen Forensic Suite, Paraben
- CDR-Analyzer (Call Data Record)
- NetworkMiner, Wireshark
- Helix, DEFT, SANS SIFT Kit, Matriux
تطبيقات Forensics مش بس للحوادث الجنائية 
حتى لو مفيش "جريمة" صريحة، الـ Forensics مفيدة في حاجات تانية:- Penetration Testing: تعمل Dump للـ RAM أثناء اختبارات الاختراق وتلاقي Passwords أو جلسات مفتوحة.
- Reverse Engineering: تحلل Malware وتشوف ازاي اشتغل والخطوات اللي عملها.
- دعم التحقيقات الداخلية داخل الشركات، وتحليل الحوادث الأمنية.
المجال مطلوب؟ وهل أدخل فيه؟ 
مش هديك أرقام، بس كل ما الهجمات السيبرانية بتزيد، كل ما الطلب على محققي الـ Forensics يزيد. لو بتحب التدقيق، الصبر، والـ puzzle solving - المجال مناسب جدًا. بعدين هنتكلم عن Incident Handling كموضوع لوحده لأن ليه تفاصيل كبيرة.نصايح سريعة لو حابب تبدأ 
- اتعلم أساسيات الملفات، الأنظمة (Windows, Linux)، والـ Networking.
- اتدرب عمليًا: اعمل Labs، Practice VMs، واشتغل على حالات واقعية.
- اتعلم استخدام أدوات Forensics المشهورة.
- حافظ على توثيقك وترتيبك - المحقق المرتب أقوى بكتير.
- اتابع أحدث الهجمات والأدوات عشان تكون دايمًا في الصورة.
التعديل الأخير: