Digital Forensics:User Access Logging (UAL)

 Digital Forensics:UAL  Log

What Is User Access Logging?

UAL is a feature included by default in Server editions of Microsoft Windows, starting with Server 2012. As defined by Microsoft, UAL is a feature that “logs unique client access requests, in the form of IP addresses and user names, of installed products and roles on the local server.”(Patrick Bennettuser, access-logging-ual-overview ,June 8, 2021)

• User Access Logging (UAL) is enabled by default on Windows Server operating systems, starting with 2012 and later 
• Collects user access and system-related statistical data in near real-time 
• Examples of services and roles from which data is collected include DNS, DHCP, IIS, WSUS, etc.
• Stored within multiple .mdb files (ESE databases) located in %SYSTEMROOT%\System32\ LogFiles\SUM 

Export  UAL log with Autopspy

• SystemIdentity.mdb, Current.mdb, and one or more files with a GUID-based name should exist in this location

Current.mdb : The database for the current year
{GUID}.mdb : Archived data from the Current.mdb, and previous years
SystemIdentity.mdb : Contains role information and system details

Open with Autopspy

• The GUID-based file names will hold data from the current year, the previous year, and two (2) years prior 

Open with ESEDB Viewer

Open with ESEDB Viewer

• Every 24 hours, data from Current.mdb will be copied to the GUID-named database for the current year 

• SystemIdentity.mdb will track the other UAL databases and contain basic server configuration info

• This artifact is only present on Windows Server operating systems, 2012 and later 
• The IP address tracked is the location from which the associated activity originated; the destination is the Windows Server system from which UAL was obtained 
• On the first day of the year, UAL will create a new GUIDnamed .mdb file 
• The old GUID-named file is retained as an archive; after two (2) years, the original GUID.mdb will be overwritten 

• The activity is tracked by server role, which maps to the roles configured on the Windows Server from which the data was acquired
• This artifact can be used to identify abnormal access to systems and to profile lateral movement from various clients to servers running Windows Server 2012 or later 
• The InsertDate is logged in UTC, and represents the first access for the year for a combination of the specific user, source IP address, and role 
• The LastAccess is logged in UTC, and represents the last access for the year for a combination of the specific user, source IP address, and role 
• The “File Server” role is usually associated with SMB access, but in some cases, access via other protocols may be associated with this role

Photo Credit: Microsoft  Incident Responders Team

Reference : 

• Guidance for Incident Responders ,Microsoft  Incident Responders Team
• User Access Logging and KStrike ,Kevin Stokes
• Manage User Access Logging
• Patrick Bennettuser, access-logging-ual-overview :crowdstrike ,June 8, 2021

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD 

Digital Forensics:Guidance for Incident Responders

Guidance for Incident Responders

 It includes the following topics:

• AmCache’s contribution to forensic investigations: The AmCache registry hive’s role in storing information about executed and installed applications is crucial, yet it’s often mistakenly believed to capture every execution event. This misunderstanding can lead to significant gaps in forensic narratives, particularly where malware employs evasion techniques. Moreover, the lack of execution timestamp specificity in AmCache data further complicates accurate timeline reconstruction.

• Browser forensics: Uncovering digital behaviors: The comprehensive analysis of browser artifacts is fraught with challenges, particularly regarding the interpretation of local file access records. The misconception that browsers do not track local file access can lead to significant oversight in understanding user behavior, underscoring the need for thorough and nuanced analysis of browser data.
• The role of Link files and Jump Lists in forensics: Link, or LNK, files and Jump Lists are pivotal for documenting user behaviors. However, investigators sometimes neglect the fact that they’re prone to manipulation or deletion by users or malware. This oversight can lead to flawed conclusions. Furthermore, Windows’ automatic maintenance tasks, which can alter or delete these artifacts, add another layer of complexity to their analysis.

• Prefetch files and program execution: Prefetch files’ role in improving application launch times and their forensic value in tracking application usage is well-documented. However, the common error of conflating the prefetch file’s creation date with the last execution date of an application leads to mistaken conclusions about usage patterns. Also, overlooking the aggregation of data from multiple prefetch files can result in a fragmented understanding of application interactions over time.

• ShellBags forensic analysis: ShellBags, with their ability to record user interactions with the File Explorer environment, offer a rich source of information. Yet not all investigators recognize that ShellBags track deleted and moved folders, in addition to current ones. This oversight can lead to incomplete reconstructions of user activities.
• Shimcache’s forensic evolution: The Shimcache has long served as a source of forensic information, particularly as evidence of program execution. However, the changes in Windows 10 and later have significantly impacted the forensic meaning of Shimcache artifacts: indicating file presence, and not indicating execution. This misunderstanding can mislead investigators, especially since Shimcache logs the last modification timestamp, not execution time, and data is only committed to disk upon shutdown or reboot.
• Forensic insights with SRUM: SRUM’s tracking of application execution, network activity, and resource consumption is a boon for forensic analysts. However, the wealth of data can also be overwhelming, leading to crucial details being missed or misinterpreted. For instance, the temporal discrepancies between the SRUM database and system logs can confuse investigators, making it challenging to align activities accurately. Additionally, the finite storage of SRUM data means older information can be overwritten without notice, a fact that’s often overlooked, resulting in gaps in data analysis.

• The importance of User Access Logging (UAL): UAL’s tracking of user activities based on roles and access origins is essential for security analysis, especially since this feature is designed for Windows Server operating systems (specifically 2012 and later). Its vast data volume can be daunting, leading to potential oversight of unusual access patterns or lateral movements. Additionally, the annual archiving system of UAL data can cause confusion regarding the longevity and accessibility of logs, impacting long-term forensic investigations.
• Decoding UserAssist for forensic evidence: The UserAssist feature’s tracking of GUI-based program interactions is often misunderstood, with analysts mistakenly prioritizing run counts over focus time. This misstep can lead to inaccurate assumptions about application usage, as focus time—a more reliable indicator of execution—gets overlooked.

Reference : Microsoft Incident Response guide

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD 

 DIGITAL FORENSICS: BINWALK CTF

วันนี้แอดมาแนะนำหลักสูตร ด้านความมั่นคงปลอดภัยไซเบอร์ (Basic Cyber security) สำหรับผู้เริ่มต้นศึกษามี Lab ให้เล่น เป็นภาษาไทย และที่สำคัญคือ ฟรี

Binwalk command

Binwalk เป็นเครื่องมือที่ใช้ในการค้นหาไฟล์ binary เช่นภาพ, เสียงที่อยู่ภายใต้ไฟล์ รวมถึงไฟล์ zip ที่อยู่ภายใน binary ด้วยเช่นกัน โดยปกติมักจะใช้ใน firmware analysis

Download the file below and try to find the answer.

ข้อความถูกซ่อนอยู่ในภาพ

$ binwalk -M crypto5-binwalk.jpg

 คำสั่งที่ใช้ scanไฟล์ที่อยู่ในไฟล์ crypto5-binwalk.jpg ว่ามีไฟล์ชนิดไหนบ้าง
To scan the files Recursively
 .

 คำสั่งที่ใช้แตกไฟล์ที่อยู่ในไฟล์ firmware

$ binwalk -e crypto5-binwalk.jpg

To extract known file types from the firmware image

ไฟล์ 3029b.zip , secret.jpg   ที่ถูกแตกออกมา

Flag{...}

อ่านเพิ่มเติม

• Binwalk
• Binwalk part II
• หลักฐานดิจิทัล
• หลักสูตร COMPUTER FORENSICS  ONLINE TRAINING
• หลักการพื้นฐานด้านนิติคอมพิวเตอร์
• Steganography
• การจัดทำรายงานการตรวจพิสูจน์หลักฐาน
• รอบรู้เรื่อง Digital Forensic พร้อมการรับมือกับ Advanced Threat และ Social Media

ที่มา: https://play.mooc.ncsa.or.th


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

ความรู้ที่ใช้ในการขอรับใบอนุญาต ประกอบวิชาชีพวิทยาศาสตร์และเทคโนโลยีควบคุม สาขานิติวิทยาศาสตร์

ใบประกอบวิชาชีพ

วิทยาศาสตร์และเทคโนโลยีควบคุม คือ ใบอนุญาตประกอบวิชาชีพเกี่ยวกับวิทยาศาสตร์และเทคโนโลยีควบคุม โดยแบ่งตามสาขา

ความสำคัญของใบประกอบวิชาชีพวิทยาศาสตร์และเทคโนโลยีควบคุม

บุคคลที่จะประกอบวิชาชีพที่ต้องใช้ความรู้และทักษะทางวิทยาศาตร์และเทคโนโลยี มีความจำเป็นอย่างยิ่งที่ต้องได้รับใบอนุญาตเป็นผู้ประกอบวิชาชีพวิทยาศาสตร์ และเทคโนโลยีควบคุมจากสภาวิชาชีพวิทยาศาสตร์และเทคโนโลยีควบคุม (สวทช.) ทั้งนี้ เพื่อให้มาตรฐานการประกอบอาชีพเป็นไปตามหลักสากล และเพิ่มความน่าเชื่อถือในการประกอบอาชีพอีกด้วย

วิชาชีพวิทยาศาสตร์และเทคโนโลยีควบคุม สาขานิติวิทยาศาสตร์

1. ความรู้พื้นฐานด้านนิติวิทยาศาสตร์

(1) หลักการทางนิติวิทยาศาสตร

(2) การตรวจหา ตรวจค้น เก็บรักษา และตรวจวิเคราะห์วัตถุพยาน 

(3) การดูแลรักษาห่วงโซ่วัตถุพยาน 

(4) ความปลอดภัยในการปฏิบัติงาน 

(5) กฎหมายสำหรับการปฏิบัติงานทาง นิติวิทยาศาสตร์และกระบวนการ ยุติธรรม 

(6) ระบบบริหารคุณภาพด้านนิติวิทยาศาสตร์ตามมาตรฐานสากล 

2. ความรู้เฉพาะด้านนิติวิทยาศาสตร์

1. การตรวจพิสูจน์ทางพิษวิทยาและสารเสพติด
2. การตรวจพิสูจน์ทางชีววิทยาและสาร พันธุกรรมมนุษย์

     3.การตรวจพิสูจน์เทคโนโลยี สารสนเทศ

หลักการทางเทคโนโลยีสารสนเทศและ วิทยาศาสตร์คอมพิวเตอร์ในกระบวนการ นิติดิจิทัลสำหรับการตรวจค้น จัดเก็บ วิเคราะห์พยานหลักฐานนิติดิจิทัล และ รายงานผลข้อเท็จจริง 

3.1 เทคโนโลยีสารสนเทศสำหรับนิติวิทยาศาสตร์

3.2 การจัดเก็บและการสืบค้นข้อมูลสำหรับการ สืบสวนอาชญากรรม 

3.3 ฐานข้อมูล 

3.4 Cybersecurity 

3.5 Digital Evidence หรือ Electronic Evidence  

3.6 โครงสร้างระบบคอมพิวเตอร์และ ระบบปฏิบัติการ  

3.7 Digital Forensics  

    - Computer Forensics 

    - Windows Forensics 

    - macOS Forensics 

    - Network Forensics 

    - Mobile Forensics 

   - เทคโนโลยีการสื่อสารเคลื่อนที่ 

3.8 อื่น ๆ ที่เกี่ยวข้อง  

** การตรวจพิสูจน์เทคโนโลยีสารสนเทศ  1. กรณีมีความรู้ด้านการตรวจพิสูจน์เทคโนโลยีสารสนเทศมาแล้ว โดยมีใบประกาศนียบัตรผ่านการอบรมใน รายวิชาข้อ 3.1-3.6 จากในประเทศหรือต่างประเทศมาแสดง ให้อบรมเพิ่มเติมจำนวน 18 ชั่วโมง ในรายวิชา ข้อ 3.7 จำนวน 15 ชั่วโมง และข้อ 3.8 จำนวน 3 ชั่วโมง 2. กรณีไม่มีความรู้ด้านการตรวจพิสูจน์เทคโนโลยีสารสนเทศมาก่อนต้องเข้ารับการอบรมจำนวน 24 ชั่วโมง 

อ้างอิงจาก: ประกาศสภาวิชาชีพวิทยาศาสตร์และเทคโนโลยี ที่ 4/2566 เรื่อง หลักเกณฑ์ และวิธีการยื่นขอเป็นหน่วยงานจัดอบรม ผู้ขอรับใบอนุญาตประกอบวิชาชีพวิทยาศาสตร์และเทคโนโลยีควบคุม สาขานิติวิทยาศาสตร์

อ่านเพิ่มเติม:

• มาตรฐานวิชาชีพด้านนิติวิทยาศาสตร์
• อบรมและสอบ  เพื่อขอรับใบอนุญาต สาขา นิติวิทยาศาสตร์ การตรวจพิสูจน์เทคโนโลยีสารสนเทศ
• เรียนจบ Computer Forensics and Cyber Security มานี้จะทำงานด้านไหนครับ
• How to Become a Computer Forensics Investigator
• Certified Digital Forensic in Thailand

• วิชาชีพวิทยาศาสตร์และเทคโนโลยีสาขานิติวิทยาศาสตร์
• ข้อบังคับสภาวิชาชีพวิทยาศาสตร์และเทคโนโลยี ว่าด้วยการประกอบวิชาชีพวิทยาศาสตร์และเทคโนโลยีควบคุม สาขานิติวิทยาศาสตร์ พ.ศ.  ๒๕๖๕
• องค์ความรู้ด้านนิติวิทยาศาสตร์ของผู้ขอรับใบอนุญาต ประกอบวิชาชีพวิทยาศาสตร์และเทคโนโลยีควบคุม สาขานิติวิทยาศาสตร์  

อ้างอิงจาก:

• ใบประกอบวิชาชีพ วิทยาศาสตร์และเทคโนโลยี , chulatutor ,27,มี.ค,2567
• องค์ความรู้ด้านนิติวิทยาศาสตร์ของผู้ขอรับใบอนุญาต ประกอบวิชาชีพวิทยาศาสตร์และเทคโนโลยีควบคุม สาขานิติวิทยาศาสตร์ ,สภาวิชาชีพวิทยาศาสตร์และเทคโนโลยี ,6 ธ.ค 2565

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #วิชาชีพนิติวิทยาศาสตร์

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

รอบรู้เรื่อง Digital Forensic พร้อมการรับมือกับ Advanced Threat และ Social Media

พร้อมเรียนรู้กลยุทธ์สำคัญที่จะช่วยให้แกะรอยอาชญากรรมเหล่านี้ได้ ผ่านการสืบค้นหลักฐานทางดิจิทัล (Digital Forensic) จากกรณีตัวอย่าง!!

• Digital Forensic คือ

• Problems & Challenge

• กระบวนการจัดการพยานหลักฐาน

• ระบุ

• การพิสูจน์ตัวตน

• กระบวนการจัดการพยานหลักฐาน

• จัดเก็บ

• ข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน

• พยานหลักฐานที่บุคคลภายนอก

• วิเคราะห์

• การชั่งน้ำหนักพยานหลักฐาน

• หลักการรักษาความน่าเชื่อถือ

• พยานหลักฐานดิจิทัล คือ อะไร

• ข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน

• ประเภทพยานหลักฐานดิจิทัล

• แบ่งตามสื่อบันทึึกข้อมูล

• แบ่งตามการะบวนการสื่่อสาร

• แบ่งตามการเข้ารหัส

• แบ่งตามชนิดอุปกรณ์

• กระบวนการเกิดพยานหลักฐาน

• การปฎิบัติงาน

• เข้าค้น ยืด และจัดเก็บพยานเหลักฐาน

• จัดเก็บหน่วยความจำ

• ถ่ายถาพ บันทึก VDO

• ตัวอย่างของกลาง

• การปฎิบัติในห้องปฎิบัติิการ

• ขั้นตอนการปฎิบัติงานที่เกี่ยวข้องกับการตรวจพิสูจน์

• ถ่ายภาพบันทึกลงทะเบียนของกลาง

• มาตรฐานของเครื่องมือที่ใช้ในการตรวจพิสูจน์พยานหลักฐานอิเล็กทรอนิสก์

• การทำสำเนาพยานหลักฐาน

• Autopsy

• ผู้ทำหน้าที่ตรวจสพิสูจน์พยานหลักฐาน

• การวิเคราะห์พยานหลักฐาน

• การบันทึกและรายงานผลการตรวจสอบ

• รายงานการตรวจพิสูจน์

• รายละเอียดของพยานหลักฐาน

• การตั้งประเด็นคำถามการจตรวจพิสูจน์

• ประเภทของประเด็นคำถาม

• การตอบประเด็นคำถามของผู้ตรวจพิสูจน์

อ่านเพิ่มเติม:

• Digital Evidence : หลักฐานดิจิทัล
• Forensics Investigation Report
• หลักสูตร EC-Council Security Specialist (ECSS)

Reference : Thailand National Cyber Academy (THNCA) by NCSA

การอบรม NCSA Cybersecurity Knowledge Sharing ครั้งที่ 4/2567 หัวข้อ รอบรู้เรื่อง Digital Forensic พร้อมการรับมือกับ Advanced Threat และ Social Media โดย สำนักวิชาการความมั่นคงปลอดภัยไซเบอร์แห่งชาติ สกมช. ร่วมกับวิทยากรผู้เชี่ยวชาญจาก กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี

ขอขอบคุณวิทยากร ท่าน พ.ต.ต วีระพงษ์ แนวคำดี  สว. กลุ่มงานป้องกันอาชญากรรมทางเทคโนโลยี ท่ี่ได้นำความรู้และประสบการณ์มาให้ความรู้ในงานนี้ด้วยครับ และขอนำข้อมูลมาเผยแพร่เพื่อประโยชน์ต่อไป

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD