بارومتر العراق/ كتب ضياء ثابت، خبير اليونسكو للاتصالات والمعلومات

في عالم تتعاظم فيه الهجمات الإلكترونية وتتحول لهاجس عالمي، وينتعش فيه نشاط البرمجيات الخبيثة، أصبحت ذاكرة الحاسوب (RAM) أقرب ما تكون إلى “صندوق أسود” يكشف أسرار ما دار داخل النظام لحظة الحادثة. ومن بين الأدوات التي برزت بقوة في هذا المجال، تقف أداة Volatility باعتبارها إحدى أهم أدوات التحليل الجنائي الرقمي المتخصصة في تفكيك وتحليل محتوى الذاكرة.

هذه الأداة مفتوحة المصدر تحوّلت خلال السنوات الماضية إلى شريك أساسي للمحققين الرقميين، فهي تمنحهم القدرة على تتبع العمليات الجارية، والاتصالات الشبكية، والملفات المفتوحة، وحتى البرمجيات الخفية التي تحاول التستر داخل النظام.

لماذا Volatility؟

لأنها ببساطة تمكّن الخبير من الدخول إلى أعماق الذاكرة، حيث تبقى آثار المهاجمين مطبوعة رغم محاولاتهم للمحو والتخفي. فبين عمليات النظام، ومسارات الملفات، وتعريفات الأجهزة، ونشاط المستخدم… تظهر الحقيقة وتنكشف الخيوط الدقيقة التي قد تغيّر مجرى التحقيق.

البداية: صورة الذاكرة هي الحقيقة الخام

قبل كل شيء، يحتاج المحلل الرقمي الجنائي إلى صورة كاملة من ذاكرة الجهاز. هذه الصورة هي المادة الأولية التي سيقوم Volatility بتشريحها. يتم أخذها عبر أدوات متخصصة تحفظ الذاكرة كما كانت وقت وقوع الحادثة، مما يضمن مصداقية الأدلة الرقمية.

فهم نوع النظام… مفتاح التحليل

بعد الحصول على صورة الذاكرة، يقوم المحلل بتحديد نوع النظام الذي التُقطت منه الصورة. لماذا؟

لأن كل نظام — سواء كان Windows أو Linux — يملك طريقة مختلفة في ترتيب بياناته داخل الذاكرة.

وهذا يساعد Volatility على استخدام “الملف التعريفي” المناسب، مما يضمن قراءة البيانات بشكل صحيح واستخراج المعلومات بدقة عالية.

تحليل العمليات… تعقّب ما كان يجري خلف الستار

من أهم ما تمنحه Volatility للمحقق الرقمي هو القدرة على استعراض العمليات التي كانت تعمل داخل الجهاز لحظة التقاط الذاكرة.

هذه الخطوة وحدها قد تكشف:

• برنامجًا خبيثًا كان يعمل في الخلفية.

• عملية مخفية يحاول المهاجم إخفاءها.

• اتصالًا غير طبيعي إلى شبكة خارجية.

• سلوكًا غريبًا لبرنامج يبدو في الظاهر “طبيعيًا”.

ان تحليل العمليات هو غالبًا الخطوة التي تفتح الباب لفهم ما حدث، ومن أين بدأ الخلل، وكيف تسلل الهجوم.

مثال واقعي… مشهد من قلب التحقيق الرقمي

تخيّل وجود جهاز يشتبه أنه تعرض لبرمجية تجسس متطورة.

بعد أخذ صورة من الذاكرة وتحليلها عبر Volatility، يظهر أن العملية المسؤولة عن التجسس كانت تعمل باسم يبدو عاديًا جدًا، لكنها تتواصل مع عنوان خارجي مشبوه وتفتح ملفات حساسة للمستخدم دون علمه.

هذه المعلومات لا يمكن رؤيتها بالطرق التقليدية… لكنها تظهر بوضوح داخل صورة الذاكرة، وهنا تكمن قوة Volatility.

تحذير مهني مهم

العمل على الذاكرة الحية مباشرة من الجهاز مسألة حساسة، وقد يؤدي إلى تغيير البيانات أو إتلاف الأدلة الرقمية. لذلك يعتمد المحترفون دائمًا على صور الذاكرة المحفوظة لضمان الدقة وسلامة التحقيق.

ان أداة Volatility ليست مجرد برنامج، بل هي مسرح تحقيق كامل يسمح لك بفهم ما دار حقًا داخل النظام، حتى إن حاول المهاجم محو أثره. إنها العدسة المكبّرة التي تتيح للمحقق الرقمي رؤية ما لا يُرى، وتتبع الخطوات الخفية داخل الذاكرة، والوصول إلى الحقائق التي تغيّر مسار التحقيق بالكامل.

استخدامها اليوم أصبح ضرورة لكل باحث جنائي رقمي، محلل أمن، أو فريق يستجيب للحوادث الإلكترونية. فهي تمثل إحدى أقوى الأدوات التي تربط بين الأدلة الرقمية… والحقيقة.

انتهى.