A step-by-step guide on how to perform a drive acquisition using dc3dd

Photo by Gemini

Step 1: Identify the Target Drive

Before starting, you must identify the correct device path for the drive you wish to image. Using a command like fdisk helps ensure you don't accidentally image the wrong disk.

• Command: sudo fdisk -l

• 
  


• Result: In the provided example, the target drive is identified as /dev/sdb, a 1.9 GiB device.

  

Step 2: Prevent Data Overwriting (Write-Blocking)

ISO/IEC 27037

Option A: Hardware Write-Blocker (Recommended)

ฮาร์ดแวร์คอมพิวเตอร์

Use a physical hardware write-blocker (like Tableau or WiebeTech) between the suspect drive and your workstation. This is the gold standard in forensics.

Option B: Software Write-Block (Forensics Mode) 

Step 3: Execute the Acquisition Command

Run the dc3dd command with the necessary flags for hashing and logging. This ensures the integrity of your forensic image.

Command: sudo dc3dd if=/dev/sdb of=Desktop/CF005.dd hash=sha256 log=CF005.log

Breaking down the flags:

• if=/dev/sdb: The input file (source drive).
• of=Desktop/CF005.dd: The output file (forensic image destination).
• hash=sha256: Calculates the SHA256 hash during the imaging process.
• log=CF005.log: Creates a log file detailing the acquisition.

Step 4: Monitor Progress

dc3dd provides a real-time progress bar, showing the percentage completed, the amount of data copied, and the current transfer speed.

• Example: The image shows the process at 9% completion with a speed of 7.4 M/s.

  

Step 5: Review Acquisition Results

Once completed, dc3dd will display the input and output results. This includes the total sectors processed and the final hash value.

• Input Results: 3870720 sectors in.

• SHA256 Hash: f2404d910f82fc1e7d5907e28cb511cfb1d8a7d61d2f965e17f9019200054184.

• 

A log file detailing the acquisition

• 
  
  

Step 5: Verify Integrity 

To ensure the image is a perfect bit-for-bit copy, you should manually verify the hashes of both the source drive and the resulting image file.

1. Check Source Hash: sudo sha256sum /dev/sdb > source_CF005.txt

   
   


2. Check Image Hash: sudo sha256sum Desktop/CF005.dd > Image_CF005.txt

Pro Tip: If the hashes match (as seen in the example images), you have successfully maintained the chain of custody and proven that the data has not been altered during the process.

Forensic Imaging with DD command

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Essential Linux Commands for Log Analysis

Prepare Sample SSH Log Files

Log download  the log files contain relevant SSH events, including timestamps, source IP addresses, usernames, actions (login, logout), etc.

Commands for Hashing Log Files

1. Generating a Hash (SHA-256)

The most common and secure standard for forensic imaging and log analysis is SHA-256.

• Command: sha256sum ssh.log

  

• Explanation: This command calculates the SHA-256 hash of the file ssh.log. It will output a 64-character hexadecimal string followed by the filename.

2. Saving the Hash to a Verification File

In a forensic investigation, you must save the hash immediately after collecting the evidence.

• Command: sha256sum ssh.log > ssh.log.sha256

  

• Explanation: The > operator redirects the output into a new file named ssh.log.sha256. This file acts as your "Evidence Reference".

3. Verifying the Integrity

To check if the log file has been tampered with or corrupted later:

• Command: sha256sum -c ssh.log.sha256

• Explanation: The -c (check) flag tells the system to read the hash from the .sha256 file and compare it with the current state of ssh.log.

  • Result OK: The file is identical to the original.

    

  • Result FAILED: The file has been modified or corrupted.

Essential Linux Commands for Log Analysis

1. grep (Global Regular Expression Print)

Used to search for specific text patterns within the log file.

• Command: grep "success" ssh.log

• Purpose: To filter and display only the lines where a login was successful.

• Command: grep "failure" ssh.log | wc -l

• Purpose: To count the total number of failed login attempts.

  

Steps to Analyze SSH Log Files

#cat Desktop/Web_Server_Logs/ssh.log 

Analyze failed login attempts:

 #cat Desktop/Web_Server_Logs/ssh.log | grep failure 

Investigate SSH sessions from unusual or suspicious source IP addresses: 

awk (Pattern Scanning and Processing)

Used to extract specific columns (fields) from the log.

• Command: awk '{print $3}' ssh.log

• Purpose: To extract the Source IP address (which is in the 3rd column)

  
  
  

• Command: awk '{print $5}' ssh.log

• Purpose: To extract the Destination IP address (which is in the 5th column).

  
  
  

If you want to find the Top 10 IP addresses trying to hack your server, use this combined

Step-by-step breakdown:

1. awk '{print $3}': Get all Source IPs.

2. sort: Group identical IPs together.

3. uniq -c: Count how many attempts each IP made.

4. sort -nr: Sort numerically in reverse (highest count at the top).

5. head -n 10: Show only the top 10 results.

#awk '{print $3}' Desktop/Web_Server_Logs/ssh.log | sort | uniq -c | sort -nr | head -n 10

Top Target (Destination) IPs:

• 192.168.28.254 (High frequency of attempts)

  
  
  

• 192.168.23.203 (High frequency of attempts)

• 
  
  

• 192.168.27.203 (High frequency of attempts)

• 

1. 1331904022.010000
   → Unix Timestamp (เวลาที่เกิดเหตุการณ์)

2. CU46Bb2UypzdF4eTW
   → Session ID / Connection ID ของ SSH

3. 192.168.202.110
   → Source IP (เครื่องที่พยายามเชื่อมต่อ)

4. 36586
   → Source Port

5. 192.168.27.203
   → Destination IP (เครื่องปลายทาง = SSH Server)

6. 22
   → Destination Port (SSH)

7. undetermined / failure
   → สถานะการเชื่อมต่อ

• undetermined = ยังไม่ทราบผล (handshake)

• failure = login ล้มเหลว

8. INBOUND
   → เป็นการเชื่อมต่อขาเข้า (incoming connection)

9. SSH-2.0-OpenSSH_5.8p1 Debian-ubuntu3
   → Banner ของ SSH 

• The SSH log indicates repeated inbound connection attempts from IP address 192.168.202.110 targeting the SSH service on 192.168.27.203 over port 22.
  Multiple sessions resulted in authentication failures, which is consistent with a brute-force or unauthorized login attempt.

 Time Conversion Command

Since the log uses Unix Epoch Time, you can convert it to a human-readable format using the date command.

• Command: date -d @1332017793.040000 

• Purpose: Converts the timestamp 1332017793.040000  into a standard Date/Time format.

อ่านเพิ่มเติม:

การจัดเก็บ Log file ให้ถูกกฎหมายด้วย 5 เครื่องมือ ใช้งานฟรีๆ

FortiGate Sample logs

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

หลักสูตรนิติวิทยาศาสตร์ทางคอมพิวเตอร์และกฎหมายที่เกี่ยวข้องกับอาชญากรรมทางรคอมพิวเตอร์

หลักสูตรนิติวิทยาศาสตร์ทางคอมพิวเตอร์และกฎหมายที่เกี่ยวข้องกับอาชญากรรมทางรคอมพิวเตอร์

โครงการอบรม “หลักสูตรนิติวิทยาศาสตร์ทางคอมพิวเตอร์ และกฎหมายที่เกี่ยวข้องกับอาชญากรรมทางคอมพิวเตอร์” 

วันที่ 25 – 27 มีนาคม 2569 ณ อาคาร A1 ห้อง 407 มหาวิทยาลัยกรุงเทพ Main Campus 

ภายใต้ความร่วมมือระหว่าง มหาวิทยาลัยกรุงเทพ บริษัท P&P Law Firm บริษัท Cyber Forensic and Investigation (CFI)  Magnet Forensics (USA) และ MSAB (Sweden) 

หลักการและเหตุผล 

ในยุคที ่อาชญากรรมทางดิจิทัลขยายตัวอย่างรวดเร็วและซับซ้อนขึ ้นทุกวัน ข้อมูลอิเล็กทรอนิกส์และ หลักฐานดิจิทัลได้กลายเป็นหัวใจสำคัญของกระบวนการยุติธรรมสมัยใหม่ ทั้งในคดีอาชญากรรมทางคอมพิวเตอร์ คดีฉ้อโกงออนไลน์ คดีละเมิดทรัพย์สินทางปัญญา ไปจนถึงคดีความมั ่นคงของชาติ ความสามารถในการ ตรวจ พิสูจน์ รวบรวม และนำเสนอหลักฐานดิจิทัล อย่างถูกต้องตามหลักนิติวิทยาศาสตร์และกฎหมายที่เกี่ยวข้องจึงเป็น ทักษะที่ขาดไม่ได้สำหรับผู้ประกอบวิชาชีพในยุคนี้ สถาบันฝึกอบรมการพิสูจน์หลักฐานดิจิทัลและความปลอดภัยไซเบอร์ (Digital Forensics and Cyber Security Training Institute: DFCT) มหาวิทยาลัยกรุงเทพ ซึ ่งเกิดขึ ้นจากความร่วมมือ MOU ระหว่าง มหาวิทยาลัยกรุงเทพกับพันธมิตรผู ้เชี ่ยวชาญระดับนานาชาติ ได้จัดโครงการอบรมหลักสูตรนิติวิทยาศาสตร์ทาง คอมพิวเตอร์ฉบับนี ้ขึ ้น เพื ่อเปิดโอกาสให้ผู ้ที ่สนใจได้เข้าถึงองค์ ความรู ้เชิงปฏิบัติอย่างเข้มข้น ภายใต้การนำของ ผู้เชี่ยวชาญที่มีประสบการณ์จริงจากภาคกฎหมาย ภาครัฐ และภาคเทคโนโลยีระดับโลก  

วัตถุประสงค์ 

1. เพื่อให้ผู้เข้าอบรมมีความรู้ ด้านนิติวิทยาศาสตร์ทางคอมพิวเตอร์ (Computer Forensics) และกฎหมาย ที่เกี่ยวข้องกับอาชญากรรมทางคอมพิวเตอร์อย่างครบถ้วนและเป็นระบบ 
2. เพื่อพัฒนาทักษะเชิงปฏิบัติ ในการใช้งานโปรแกรม AXIOM และ XRY เพื่อการตรวจพิสูจน์หลักฐาน ดิจิทัลจากอุปกรณ์คอมพิวเตอร์และโทรศัพท์มือถือ ผ้านการฝึกปฏิบัติจริงใน Lab 18 ชั่วโมง 
3. เพื่อให้ผู้เข้าอบรมเข้าใจ กระบวนการทางกฎหมายในการนำหลักฐานดิจิทัลไปใช้ในกระบวนพิจารณาคดี และข้อกำหนดทางกฎหมายที่เกี่ยวข้อง  
4. เพื่อเสริมสร้างเครือข่ายวิชาชีพ ระหว่างนักกฎหมาย นักนิติวิทยาศาสตร์ เจ้าหน้าที่บังคับใช้กฎหมาย และ ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ 
5. เพื่อสนับสนุนพันธกิจของสถาบัน DFCT มหาวิทยาลัยกรุงเทพในการเป็นศูนย์กลางการพัฒนาบุคลากร ด้านนิติวิทยาศาสตร์ดิจิทัลและความปลอดภัยไซเบอร์ในระดับภูมิภาคอาเซียน 

รูปแบบการอบรม การอบรมแบบลงมือปฏิบัติ จำนวน 18 ชั่วโมง ในระยะเวลา 3 วัน เน้นการฝึกปฏิบัติใชืงานโปรแกรม AXIOM และ XRL เพื่องานนิติวิทยาศาสตร์ ในหืองปฏิบัติการคอมพิวเตอร์ คุณสมบัติผู้เข้าอบรม

1. นักกฎหมายและวิชาชีพกฎหมายซึ่งต้องการทักษะทางเทคโนโลยีและการพิสูจน์พยานหลักฐานในคดี 

2. เจ้าหน้าที ่ภาครัฐและบังคับใช้กฎหมายซึ่งต้องการพัฒนาทักษะ Computer Forensics เพื ่อใช้ในการสืบสวน สอบสวน 

3. ผู ้เชี ่ยวชาญดืาน IT และ CybersecurityIT Security นักพัฒนาระบบซึ ่งต้องการความรู ้ด้าน Forensics เพิ่มเติม  

4. นักวิชาการและนักศึกษาระดับบัณฑิตศึกษาอาจารย์มหาวิทยาลัย ซึ่งต้องการเสริมความเชี่ยวชาญเพื่องานวิจัย และวิชาชีพเกี ่ยวกับนิติวิทยาศาสตร์ทางคอมพิวเตอร์และกฎหมายที ่เกี ่ยวข้องกับอาชญากรรมทาง คอมพิวเตอร์ 

5. บุคคลทั่วไปผู้มีความสนใจในการพัฒนาความรูืและทักษาด้านนิติวิทยาศาสตร์ทางคอมพิวเตอร์และกฎหมายที่ เกี่ยวข้องกับอาชญากรรมทางคอมพิวเตอร์  

**** ผู้เข้าร่วมการอบรมไม่จำเป็นต้องมีทักษะทางด้านเทคโนโลยีหรือความรู้เฉพาะทางทางด้านกฎหมายขั้นสูง เพียงสามารถใช็คอมพิวเตอร์เบื้องต้นได้ 

กำหนดการอบรม 

อบรมวันที่ 1   วันที่ 25 มีนาคม 2569 

เวลา 9.00 – 9.30 น. 

การบรรยายในหัวข้อ   “ภาพรวมพยานหลักฐานดิจิทัล: แนวคิดพื้นฐาน ประเภท และการประยุกต์ใช็ในการสืบสวน สอบสวน” 

• แนวคิดและความสำคัญของการสืบสวน สอบสวนในยุคดิจิทัล 

• บทบาทของพยานหลักฐานอิเล็กทรอนิกส์ใน กระบวนการยุติธรรม 

• ความแตกต่างระหว่างพยานหลักฐานทั่วไป และพยานหลักฐานอิเล็กทรอนิกส์ 

• ประเภทและลักษณะของพยานหลักฐาน อิเล็กทรอนิกส์

การฝึกปฏิบัติการเชิงเทคนิคในการสืบค้นข้อมูล กู้ ข้อมูล เพื่อรวบรวมพยานอิเล็กทรอนิกส์ และ วิธีการส่งต่อพยานหลักฐานอิเล็กทรอนิกส์ โดย จำลองสถานการณ์จริง (Computer Crime) ด้วย โปรแกรมคอมพิวเตอร์ Axiom  

เวลา 13.00 – 16.00 น. 

การฝึกปฏิบัติการเชิงเทคนิคในการสืบค้นข้อมูล กู้ ข้อมูล เพื ่อรวบรวมพยานอิเล็กทรอนิกส์และ วิธีการส่งต่อพยานหลักฐานอิเล็กทรอนิกส์โดย จำลองสถานการณ์จริง (Computer Crime) ด้วย โปรแกรมคอมพิวเตอร์ XRY 

อบรมวันที่ 2  วันที่ 26 มีนาคม 2569 

เวลา 9.00 – 10.30 น. 

 การรับฟังพยานหลักฐานอิเล็กทรอนิกส์ตาม กฎหมาย 

• หลักเกณฑ์ทางกฎหมายเกี่ยวกับ พยานหลักฐานอิเล็กทรอนิกส์

• เงื่อนไขการรับฟังและน้ำหนักพยาน 

• แนวคำพิพากษาและตัวอย่างกรณีศึกษา 

เวลา 10.45 – 12.00 น. 

การสืบสวนสอบสวนเชิงเทคนิค (IT-based Investigation) และการวิเคราะห์และประเมิน พยานหลักฐานอิเล็กทรอนิกส์ 

• หลักการรวบรวมและรักษาพยานหลักฐาน อิเล็กทรอนิกสื 

• การป้องกันการเปลี่ยนแปลงหรือสูญหายของ ข้อมูล 

• กระบวนการ Digital Forensics เบื้องต้น 

• การตรวจสอบความถูกตืองและความ น่าเชื่อถือของข้อมูล 

• การเชื่อมโยงพยานหลักฐานกับ พฤติการณ์แห่งคดี 

• ข้อจำกัดและความเสี่ยงของ พยานหลักฐานอิเล็กทรอนิกส์ 

เวลา 13.00 – 14.30 น.

Chain of Custody และมาตรฐานการจัดการ พยานหลักฐานอิเล็กทรอนิกส์ในการปฏิบัติงานจริง 

• หลัก Chain of Custody สำหรับ พยานหลักฐานดิจิทัล 

• การจัดเก็บ บันทึก และส่งมอบ พยานหลักฐานอิเล็กทรอนิกส์ 

• ความเสี่ยงที่ทำให้พยานหลักฐานขาด ความน่าเชื่อถือ 

• ตัวอย่างปัญหาที่พบในทางปฏิบัติ 

เวลา 14.45 – 16.00 น. 

การจัดทำรายงานและการนำเสนอพยานหลักฐาน อิเล็กทรอนิกส์ในชั้นสอบสวนและชั้นศาล 

• หลักการจัดทำรายงานผลการตรวจพิสูจน์ พยานหลักฐานอิเล็กทรอนิกส์ 

• การอธิบายข้อมูลเชิงเทคนิคประกอบการ สืบพยาน 

• การจัดลำดับและนำเสนอพยานหลักฐาน ดิจิทัลอย่างเป็นระบบ 

•  ข้อผิดพลาดที่พบบ่อยในการนำเสนอ พยานหลักฐานอิเล็กทรอนิกส์ 

อบรมวันที่ 3  วันที่ 27 มีนาคม 2569  

เวลา 9.00 – 12.00 น. 
Workshop (ปฏิบัติการจริง) เรื่อง วิธีการรวบรวมสืบสวนสอบสวนและสืบค้น พยานหลักฐานอิเล็กทรอนิกส์ ในระบบอินเทอร์เน็ตและสื่อสังคมออนไลน์

13.00 – 16.00 น.    
นำเสนอรายงาน วิเคราะห์ วิจารณ์ ผลงาน Workshop รวมทั้งประเด็นข้อกฎหมายเกี่ยวกับ พยานหลักฐานอิเล็กทรอนิกส์ - ประกาศผลผู้ผ่านการอบรมหลักสูตรและมอบ รางวัล - แจกประกาศนียบัตร  

ยกระดับทักษะสาย Tech & Law สู่มาตรฐานสากล! กับหลักสูตรนิติวิทยาศาสตร์ทางคอมพิวเตอร์

� โอกาสมาถึงแล้ว! สำหรับใครที่อยากเจาะลึกการสืบสวนอาชญากรรมทางคอมพิวเตอร์ สถาบัน DFCT มหาวิทยาลัยกรุงเทพ ร่วมกับพาร์ทเนอร์ระดับโลก (Magnet Forensics & MSAB) เปิดหลักสูตรอบรมเข้มข้นที่จะเปลี่ยนคุณให้เป็นมือโปร

� Highlight ที่ไม่ควรพลาด:
- Practical Learning: ฝึกปฏิบัติจริง 18 ชั่วโมงเต็ม ใน 3 วัน
- World-Class Tools: ใช้โปรแกรม AXIOM และ XRY มาตรฐานสากล
- Expert Instructors: เรียนกับผู้เชี่ยวชาญตัวจริงด้านกฎหมายและเทคโนโลยี
- Certification: รับใบประกาศนียบัตรรับรองจากสถาบัน DFCT

� วันที่: 25-27 มีนาคม 2569
� สถานที่: ห้อง LAB A1-407 มหาวิทยาลัยกรุงเทพ

� Special Offer! ลงทะเบียน Early Bird ก่อน 15 มีนาคม นี้
เหลือเพียง 25,200 บาท (จากปกติ 28,000 บาท)
� รับจำกัดเพียง 40 ท่านเท่านั้น!

ทีมา: คณะนิติศาสตร์ มหาวิทยาลัยกรุงเทพ BU LAW เอกสาร

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud