في عالم التحقيقات الجنائية الرقمية، غالبًا ما يصادف المحققون ملفات وبرمجيات خبيثة لا تُظهر محتواها بشكل مباشر. وذلك بسبب استخدام تقنيات تشويش (Obfuscation) وتشفير (Encryption) تهدف إلى إخفاء الكود البرمجي أو تعقيد تحليله. هذه الأساليب تجعل عملية الهندسة العكسية وتحليل البرمجيات الخبيثة أكثر تعقيدًا، وتتطلب أدوات ومهارات متقدمة.<br /><br />أولًا: الفرق بين التشفير والتشويش<br />المقارنة التشفير (Encryption) التشويش (Obfuscation)<br />الهدف حماية البيانات من القراءة إلا بواسطة من يملك مفتاحًا إرباك المحلل البشري أو الآلي للكود<br />إمكانية الاسترجاع يمكن فك التشفير بمفتاح صحيح لا حاجة لفك الكود، بل يُنفّذ كما هو<br />الاستخدام حماية الاتصالات، الملفات، والكود إخفاء الكود البرمجي من التحليل والفهم<br /><br />ثانيًا: تقنيات التشويش (Obfuscation)<br />1. تشويش أسماء المتغيرات والدوال<br />استبدال الأسماء المفهومة مثل getPassword() بـ a1b2c3()<br /><br />يصعب فهم وظيفة كل جزء من البرنامج.<br /><br />2. إدخال أكواد غير فعالة (Junk Code)<br />إضافة تعليمات عديمة الفائدة لزيادة تعقيد التحليل دون تغيير الوظيفة.<br /><br />3. التشفير الذاتي (Self-Modifying Code)<br />الكود يُعدل نفسه أثناء التنفيذ، مما يصعّب تحليله ساكنًا.<br /><br />4. استخدام تقنية الترجمة اللحظية (Just-In-Time)<br />الكود يُولّد أثناء التنفيذ، وليس قبل ذلك.<br /><br />5. تمويه تدفق التحكم (Control Flow Obfuscation)<br />تغيير ترتيب الأوامر والمنطق لتشويش المحللين (مثل استخدام الحلقات غير الضرورية).<br /><br />ثالثًا: تقنيات التشفير (Encryption)<br />1. تشفير الحمولة (Payload Encryption)<br />تشفير الجزء الذي ينفذ الهجوم، ويُفك فقط عند وقت التشغيل.<br /><br />2. استخدام مشفرات متعددة الطبقات (Multi-layered Encryption)<br />تغليف الكود بعدة طبقات من التشفير تتطلب فك متسلسل.<br /><br />3. تخزين الشيفرة على الخادم (Code Fetching)<br />عدم تضمين الكود الخبيث داخل الملف الأصلي، بل تحميله لاحقًا من الإنترنت بشكل مشفر.<br /><br />4. استخدام مفتاح من النظام المصاب<br />تشفير الشيفرة باستخدام قيمة مأخوذة من الجهاز الضحية مثل MAC address، ما يجعل التحليل خارج الجهاز صعبًا.<br /><br />رابعًا: أثر هذه التقنيات في التحقيق الجنائي الرقمي<br />الأثر التفسير<br />تأخير التحليل يتطلب وقتًا أطول لفك التشفير وفهم الكود<br />تعقيد الأدلة بعض الأدلة تبقى مشفّرة ما لم يُفكّ الكود بنجاح<br />الحاجة لأدوات متقدمة مثل محللات ذاكرة حية، محاكيات بيئة التشغيل، وأدوات فك التشفير<br />إمكانية إخفاء المصدر يصعب تتبع الجهة المهاجمة بسبب إخفاء التواقيع والكود الأصلي<br /><br />خامسًا: أدوات وطرق لتجاوز التشويش والتشفير<br />✅ أدوات الهندسة العكسية:<br />Ghidra – لفك وتحليل الكود المشوش.<br /><br />IDA Pro – لتحليل الملفات التنفيذية المتقدمة.<br /><br />x64dbg / OllyDbg – لتفكيك البرامج وتتبع التنفيذ خطوة بخطوة.<br /><br />✅ تحليل ديناميكي:<br />تشغيل البرمجية في بيئة افتراضية (مثل Cuckoo Sandbox) لمراقبة فك التشفير أثناء التشغيل.<br /><br />✅ استخراج الكود من الذاكرة:<br />أخذ لقطة من الذاكرة (Memory Dump) للحصول على الكود بعد فك التشفير وقت التشغيل.<br /><br />خاتمة<br />تقنيات التشفير والتشويش تُعد أسلحة رقمية متقدمة تُستخدم لإخفاء الأنشطة الخبيثة، مما يفرض على فرق الأدلة الجنائية الرقمية تطوير أدواتهم وتحسين مهاراتهم في الهندسة العكسية وتحليل السلوك. فهم هذه التقنيات ليس فقط خطوة نحو كشف الجناة، بل أيضًا في تعزيز أنظمة الدفاع ضد الهجمات المستقبلية.<br /><br />جامعة المستقبل الجامعة الاولى في العراق