Digital Forensics:แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

ที่่มา: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

นิยาม : Electronic Evidence

Photo By: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

เมทาดาตา (Metadata) คืออะไร

Photo By: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

หลักเกณฑ์การรับฟังพยานหลักฐานอิเล็กทรอนิกส์

Photo By: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

ข้อมูลจากคอมพิวเตอร์ ถือเป็นพยานหลักฐานได้

Photo By: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

ประเภทของพยานหลักฐานอิเล็กทรอนิกส์

Photo By: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

พยานหลักฐานอิเล็กทรอนิกส์ที่น่าสนใจ

Photo By: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

กฎการพิสูจน์ความถูกต้องและครบถ้วนของข้อมูลอิเล็กทรอนิกส์

Photo By: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

ประเด็นพิจารณาพยานอิเล็กทรอนิกส์และเทคโนโลยี

Photo By: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

Photo By: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

การรับฟังพยานเอกสาร - เอกสารดิจิทัล

Photo By: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

อ่านเพิ่มเต้ิม: 

• การรับฟังพยานเอกสารอิเล็กทรอนิกส์ (Electronic Document)
• ข้อมูลคอมพิวเตอร์
• พยานหลักฐานอิเล็กทรอนิกส์ แยกไม่ออกจาก "เศรษฐกิจดิจิทัล"

• การรับฟังและชั่งน้ำหนักพยานหลักฐาน

• การรับฟังข้อมูลอิเล็กทรอนิกส์เป็นพยานหลักฐาน

• การรับฟังพยานหลักฐานดิจิทัลในคดีอาญา

• ข้อควรรู้เกี่ยวกับการนำพยานหลักฐานทางอิเล็กทรอนิกส์ มาใช้เป็นพยานหลักฐานในชั้นศาล

Download Slide:แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

ที่มา:สื่อศาล Facebook ;ศาลยุติธรรม

        ท่านปกรณ์ ธรรมโรจน์ อัยการผู้เชี่ยวชาญพิเศษ สำนักงานอัยการพิเศษ

ขอขอบคุณ ท่านอาจารย์. ปกรณ์ ธรรมโรจน์ อัยการผู้เชี่ยวชาญพิเศษ ขออนุญาตแชร์เป็นวิทยาทาน

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรียนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

Digital Forensics:KAPE

Digital Forensics:An introduction to Kroll Artifact Parser and Extractor (KAPE) 

Kroll Artifact Parser And Extractor (KAPE)

Kroll's Artifact Parser and Extractor (KAPE) – created by Kroll senior director and three-time Forensic 4:cast DFIR Investigator of the Year Eric Zimmerman – lets forensic teams collect and process forensically useful artifacts within minutes.

Photo cradit:kroll.com

• We will use the forensics tool KAPE to collect and process files from a device.
• KAPE does not need to be installed. It is portable and can be used from network locations or USB drives. 

Prerequisite steps:

• Download KAPE and unzip.
• Create a new ZIP file named ‘kape.zip’ by compressing only two items: ‘kape.exe’ and the ‘Target’ directory.
  

Q1.

• From amongst kape.exe and gkape.exe, which binary is used to run GUI version of KAPE?
• Ans:gkape.exe

Now that we have learned about the different components of KAPE let's take it for a test drive. In the attached host, double-click to open the gkape.exe file. You will see the following Window:

• Use the search bar to search for the targets needed based on reading what is being asked in the challenge questions.
• You can also use the “KapeTriage” compound Target which collects most of the files needed for a DFIR investigation.

In particular, the KapeTriage Compound Target was created to selectively collect the most important artifacts from a computer in minutes, rather than creating a full disk image, with forensically reliable, quick win results.

Photo credit:kapetriage-mindmap-for-dfir-practitioners (Kroll)

• Select the “Use Module options” option.
• Set the “Module destination” as the path to an empty folder created on the desktop
• Select the !EZParser module

We have selected the KapeTriage compound Target and !EZParser Compound Module. The command line below shows the CLI command that will be run. The Execute! button in the bottom right corner will execute the command. 

We can press any key to terminate the command window.

• Open EZViewer.
• File > Open.
• Open this csv file in EZViewer:

Q2.

• What is the name of the file that was deleted on 30/05/2024?
• See the “DeleteOn” column:

Explanation:

• In EZViewer go to File > Open.
• Open this csv file in EZViewer:
• EZparser\FileDeletion

The RecycleBin_InfoFiles Target collects metadata files that reside within a user’s Recycle Bin. Parsing these files will provide information about which files were deleted by a given user. These files do NOT contain the original files that were deleted. 

Q3.

• How many times did this program py.exe run?
• 10
• What is the full path to the program executable?
• \WINDOWS\PY.EXE 
• Interesting Directories Accessed?
• \ZIP-PASSWORD-BRUTEFORCER-MASTER\ZIP-PASSWORD-BRUTEFORCER.PY
• See the “ExecutableName” column:

Explanation:

• In EZViewer go to File > Open.
• Open this csv file in EZViewer:
• EZparser\ProgramExecution

EvidenceOfExecution

The EvidenceOfExecution Target will collect files related to various program execution artifacts, including Prefetch and Amcache that reside within Windows.

Q4.

• When was the last time the USB drive was removed?
• See the “LastRemove” column:

Explanation:

• In EZViewer go to File > Open.
• Open this csv file in EZViewer:
• EZparser\Registry

RegistryHives

The RegistryHives Target collects the Registry Hives specified within the following Targets: RegistryHivesSystem.tkape and RegistryHivesUser.tkape. This means the following Registry Hives will be collected: SAM, SOFTWARE, SYSTEM, SECURITY, NTUSER.dat, DEFAULT, UsrClass.dat.

Credit Video : Kroll Artifact Parser and Extractor (KAPE) Official Demo

ทีมา :   Kape

อ่านเพิ่มเติม: Timeline Explorer

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรียนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

Digital Forensics:Windows Forensics with Belkasoft

Photo credit: belkasoft 

Belkasoft เป็นผู้นำระดับโลกในด้านการตรวจพิสูจน์หลักฐานดิจิทัลและซอฟต์แวร์ตอบสนองเหตุการณ์ แพลตฟอร์ม Belkasoft X  ช่วยในการไขคดีทางนิติวิทยาศาสตร์ดิจิทัล ตอบสนองต่อเหตุการณ์ทางไซเบอร์

This course is designed for digital forensics investigators who deal with Windows computers in their work. It offers an opportunity to enhance your knowledge and gain hands-on experience in discovering and analyzing Windows artifacts.

หลักสูตรนี้ได้รับการออกแบบมาสำหรับผู้สืบสวนนิติเวชดิจิทัลที่ต้องทำงานกับคอมพิวเตอร์ บนระบบปฏิบัติการวินโดวส์ และใช้สามารถโปรแกรม Belkasoft X   วิเคราะห์หลักฐานได้

Photo credit: belkasoft 

Photo credit: belkasoft 

Why should Digital Forensic Investigators take this training? You will
learn:

• How to review common Windows file systems, and which file system
• features might be useful in a DFIR investigation
• How to examine Windows applications, such as chats, browsers, and
• mail clients
• How to inspect media files and documents, and utilize media-specific
• analysis options, such as text recognition and keyframe extraction
• How to identify and analyze forensically important Windows system
• files, such as registry files, event logs, and LNK files
• How to get more evidence from a Windows data source by using
• carving, embedded data analysis, and other advanced forensic techniques

Free Window Forensics Training  6 CPE Credits

ปกติหลักสูตรนี้ราคา 999  USD แต่ในช่วงนี้ทางbelkasoft  จะให้คุณอบรมฟรี ในช่วงเดือน ม.ค -ก.พ เท่านั้น

Photo credit: belkasoft 

Photo credit: belkasoft 

Download the course data  คุณจำเป็นต้องดาวน์โหลด ไฟล์หลักฐาน Image file เพื่อมาวิเคราะห์และตอบคำถามในแต่ละบทเรียน

Photo credit: belkasoft 

Install or update Belkasoft Evidence Center X  คุณสามารถใช้โปรแกรมสำหรับวิเคราะห์หลักฐานได้ เป็นรุ่นทดลองใช้

Photo credit: belkasoft 

Final exam สอบได้ 2 ครั้ง

Windows Forensics with Belkasoft Certificate

คุณสามารถอ่านบทความทั้งหมดเพิ่มเติมได้  Belkasoft

ทีมา :   belkasoft  สมัครฟรี, เรียนฟรี

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรียนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

Practical Phishing Email Analysis | PhishTool

PhishTool ช่วยให้นักวิเคราะห์สามารถตรวจสอบอีเมล์ฟิชชิ่งได้ เพื่อให้สามารถป้องกันการส่งอีเมลเหล่านั้นได้ดีขึ้น PhishTool เป็นเครื่องมือสำหรับตรวจจับโดยอัตโนมัติว่าอีเมลฟิชชิ่งละเมิดการควบคุมความปลอดภัยได้อย่างไร และผู้โจมตีพยายามใช้กลวิธีทางสังคมกับเป้าหมายอย่างไร

Phishing Email Examples

1.นำเมลมาวิเคราะห์ โดยการ download หรือ save eml เป็นต้น

2.สมัครใช้งาน Phish Tool

PhishTool Overview

• Dashboard:

Displays recent analysis results.

• Analysis Section:

2. Upload email files in formats like .eml or plain text. ทำการ Upload email ไฟล์ไปวิเคราะห์

• History:

Logs past submissions and analysis results for reference.

3.What is the URL link.

4.VirusTotal URL check  ตรวจสอบ Url ด้วยVirusTotal 

ทีมา :   phishtool

อ่านเพิ่มเติม

• การดำเนินคดีและร่างฟ้อง กรณี ฟิชชิ่ง (PHISHING) 
• Email Header Analyzer

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรียนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD