Digital Forensics Examiner: 2011

Friday, November 25, 2011

กระบวนการด้านนิติวิทยาศาสตร์ทางดิจิตอล

Digital Forensics:กระบวนการด้านนิติวิทยาศาสตร์ทางดิจิตอล

บทความเรื่อง กระบวนการด้านนิติวิทยาศาสตร์ทางดิจิตอล

โดย อ.ไชยกร อภิวัฒโนกุล CISSP, CSSLP, GCFA, IRCA:ISMS, CEO @ S-Generation กันยายน 2554

*หมายเหตุ : บทความนี้มีวัตถุประสงค์เพื่อนำเสนอกรอบความคิดโดยรวมที่เกี่ยวข้องกับกระบวนการด้านนิติวิทยาศาสตร์ทางดิจิตอลเท่านั้น จึงไม่ได้กล่าวถึงขั้นตอนโดยละเอียดในการปฏิบัติ ทั้งนี้คู่มือในการปฏิบัติงานที่ได้มาตรฐานเป็นที่ยอมรับให้ใช้ได้ในประเทศไทย ยังอยู่ในระหว่างการพัฒนา

กระบวนการด้านนิติวิทยาศาสตร์มีความสำคัญอย่างมากในการพิจารณาวิเคราะห์หลักฐานต่างๆ ที่เกี่ยวข้องกับคดีความซึ่งส่วนใหญ่จะได้มาจากสถานที่เกิดเหตุ แล้วนำมาวิเคราะห์ที่ห้องแล็บด้วยวิธีการทางวิทยาศาสตร์ เพื่อนำผลที่ได้ไปประกอบการสืบสวนสอบสวนขยายผลตลอดจนการพิจารณาคดีในชั้นศาล ในอดีตกระบวนการด้านนิติวิทยาศาสตร์มักเกี่ยวข้องกับหลักฐานประเภท คราบเลือด เขม่าดินปืน รอยนิ้วมือ และ DNA เป็นต้น แต่เนื่องด้วยปัจจุบัน อาชญากรรมต่างๆ มักมีเครื่องมือหรืออุปกรณ์ที่ทันสมัยเข้าไปเกี่ยวข้องเช่น เครื่องคอมพิวเตอร์ โน๊ทบุ๊ค โทรศัพท์มือถือ และอุปกรณ์ต่างๆ ที่เป็นระบบดิจิตอล จึงเป็นที่มาของนิติวิทยาศาสตร์ทางดิจิตอล หรือ Digital Forensics

ดังนั้นนิยามของนิติวิทยาศาสตร์ทางดิจิตอลคือ การจัดเก็บรวบรวมและวิเคราะห์หลักฐานทางดิจิตอล ซึ่งรวมถึงหลักฐานที่ได้มาจากเครื่องคอมพิวเตอร์ เครือข่าย โทรศัพท์มือถือหรืออุปกรณ์จัดเก็บข้อมูลที่อยู่ในรูปแบบดิจิตอลต่างๆ ด้วยกระบวนการที่น่าเชื่อถือเพื่อให้สามารถนำข้อเท็จจริงจากการวิเคราะห์หลักฐานนำไปใช้เป็นหลักฐานที่ศาลยอมรับฟังได้ ทั้งนี้หากเป็นเหตุอาชญากรรมหรือวินาศกรรมโดยทั่วไป กระบวนการนี้จะถูกดำเนินการโดยหน่วยงานที่มีภาระกิจเกี่ยวข้องกับการบังคับใช้กฎหมายหรือหน่วยงานสนับสนุน เช่นกองพิสูจน์หลักฐาน สำนักงานตำรวจแห่งชาติ, สถาบันนิติวิทยาศาสตร์, กรมสอบสวนคดีพิเศษ และกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารเป็นต้น ทั้งนี้หากเป็นการสืบสวนสอบสวนเหตุทุจริตหรือการละเมิดนโยบายภายในองค์กร ก็อาจเป็นหน่วยงานเฉพาะกิจขององค์กรเองหรือหน่วยงานที่เอกชนที่มีความเชี่ยวชาญเป็นผู้ดำเนินการให้ก็เป็นได้

ภาพรวมของกระบวนการทางนิติวิทยาศาสตร์ด้านดิจิตอลสามารถแบ่งออกได้เป็น 3 ส่วนใหญ่ๆ กล่าวคือ

1. ขั้นตอนการเตรียมการ

ขั้นตอนนี้จะเกี่ยวข้องกับการเริ่มต้นเตรียมการเพื่อให้เกิดความสามารถในการปฏิบัติการได้อย่างถูกต้องเหมาะสมตามหลักปฏิบัติสากล และเป็นที่น่าเชื่อถือ

1.1 การเตรียมการด้านบุคลากร

เนื่องจากหลักฐานทางดิจิตอลมีความละเอียดอ่อนและเปราะบางมากหากดำเนินการโดยผู้ที่ไม่ผ่านการฝึกอบรมหรือขาดทักษะที่เพียงพอแล้วจะทำให้หลักฐานเสียหายซึ่งอาจเป็นเพียงหลักฐานชิ้นเดียวที่จะนำไปสู่การสิ้นสุดคดีหรือเป็นตัวเชื่อมโยงหลักที่สำคัญต่อรูปคดีก็เป็นได้ ดังนั้นกระบวนการด้านนิติวิทยาศาสตร์จะต้องดำเนินการด้วยเจ้าหน้าที่หรือผู้ที่มีทักษะผ่านการฝึกอบรมที่จำเป็นมาแล้วเท่านั้น เพราะหากมีการดำเนินการในขั้นตอนหนึ่งขั้นตอนใดโดยผู้ที่ขาดทักษะแล้ว นอกจากจะทำให้หลักฐานเสียหายแล้วยังอาจมีผลทำให้ความน่าเชื่อถือของหลักฐานหรือผลการวิเคราะห์ในหลักฐานนั้น ด้อยลงไป

การฝึกอบรมนั้นจะต้องประกอบไปด้วยการฝึกอบรมพื้นฐานด้านเทคนิคที่เกี่ยวข้องจำเป็น ขั้นตอนในการสืบสวนสอบสวน และข้อกำหนดทางกฎหมายต่างๆ ที่เกี่ยวข้อง ปัจจุบันในต่างประเทศมีหลักสูตรและการสอบรับรองคุณวุฒิของหลายสถาบันที่เป็นที่ยอมรับ เช่น GCFA (GIAC Certified Forensic Analyst) ของสถาบัน SANS, CCFE (Certified Computer Forensics Examiner) ของ IACRB และ CCE (Certified Computer Examiner) ของ ISFCE เป็นต้น

1.2 การเตรียมการด้านกระบวนการ

การที่จะให้หลักฐานและผลการวิเคราะห์หลักฐานมีความน่าเชื่อถือได้นั้น กระบวนการต่างๆ ที่กระทำเพื่อให้ได้มาซึ่งหลักฐานและการกระทำต่อหลักฐานต้องเป็นไปตามหลักวิชาการที่เป็นที่ยอมรับโดยสากล และมีการทำบันทึกเป็นลายลักษณ์อักษรตลอดกระบวนการ สามารถตรวจสอบย้อนหลังได้ว่าผู้ใดเป็นผู้ดำเนินการส่วนใด ณ วันเวลาใด เป็นต้น ส่วนใหญ่การเตรียมการในขั้นตอนนี้จะเน้นเรื่องการออกแบบพัฒนาขั้นตอนการปฏิบัติงาน ตั้งแต่การขออนุญาตดำเนินการในสถานที่เกิดเหตุ การเก็บรวบรวมหลักฐานทางดิจิตอล การนำส่งหลักฐานให้กับหน่วยงานดูแลหลักฐาน การเบิกหลักฐาน การทำสำเนา การวิเคราะห์ การเขียนรายงานตลอดจนการทำลายสำเนาของหลักฐานเมื่อสิ้นสุดคดีความ และการพัฒนาแบบฟอร์มต่างๆ ที่ต้องนำไปใช้ในแต่ละขั้นตอนการปฏิบัติงาน เช่น แบบฟอร์มการยึดอายัดหลักฐาน และแบบฟอร์ม COC (Chain of Custody) เป็นต้น

นอกจากกระบวนการในการรวบรวม นำส่งและวิเคราะห์หลักฐานให้มีความน่าเขื่อถือแล้ว ยังต้องมีการบวนการควบคุมเพื่อให้เกิดความมั่นคงปลอดภัยต่อหลักฐานในการดำเนินการทุกขั้นตอนเพื่อมิให้หลักฐานถูกทำลาย เปลี่ยนแปลงหรือหลุดรั่วออกไปโดยไม่ได้รับอนุญาตอีกด้วย

1.3 การเตรียมการด้านเครื่องมือและอุปกรณ์

เครื่องมือพื้นฐานที่จำเป็นแบ่งออกได้เป็น 3 กลุ่มคือ

1.3.1 เครื่องมือช่วยในการเก็บรวบรวมหลักฐาน

ส่วนใหญ่จะเป็นเครื่องมือภาคสนามที่สามารถเคลื่อนย้ายได้สะดวกหรือเป็นขนาดพกพา (portable) ซึ่งสามารถนำไปใช้งาน ณ สถานที่เกิดเหตุได้อย่างคล่องตัว เช่นอุปกรณ์จัดเก็บ Volatile Data หรือข้อมูลที่อยู่ใน RAM อุปกรณ์ต่อพ่วง อุปกรณ์ทำสำเนา hard disk ที่ต้องมีคุณลักษณะพิเศษคือมีลักษณะเป็นแบบป้องกันการเขียนทับข้อมูลลงไปบนหลักฐานหรือ writer-blocker ถุงป้องกันไฟฟ้าสถิตย์ (Static Bag) และ ถุงป้องกันคลื่อนแม่เหล็กไฟฟ้า (Faraday Bag) เป็นต้น โดยมีเป้าหมายเพื่อให้สามารถจัดเก็บและรักษาสภาพของหลักฐานไว้ให้อยู่ในสภาพเดิมให้ได้มากที่สุด

1.3.2 เครื่องมือช่วยในการวิเคราะห์หลักฐาน

จะเป็นเครื่องมือที่อาจเป็นทั้ง hardware และ software ที่นำมาใช้ช่วยในกระบวนการวิเคราะห์หลักฐาน ซึ่งส่วนใหญ่มักจะเกี่ยวข้องกับการกู้คืนข้อมูลที่ถูกลบ การประมวลผล file system รูปแบบต่างๆ การทำแผนผังลำดับเหตุการณ์ (timeline) และการค้นหาด้วยคำค้นต่างๆ (keyword search) การวิเคราะห์ยังมักเกี่ยวกับการวิเคราะห์หาความเชื่อมโยงของคน กิจกรรม วัน เวลา หรือเรียกง่ายๆ ว่า ใคร ที่ไหน เมื่อไหร่ อย่างไร เท่าที่จะหาได้จากหลักฐานที่ได้มา ซึ่งถ้ามีเครื่องมือที่ดี ก็จะช่วยให้สามารถวิเคราะห์ค้นหาและหาความสัมพันธ์เชื่อมโยงต่างๆ ได้อย่างรวดเร็วมากยิ่งขึ้น

1.3.3 เครื่องมือช่วยอื่นๆ

เครื่องมือช่วยปฏิบัติงานอื่นๆ ขึ้นอยู่กับประเภทของหลักฐาน เช่น เครื่องอ่านข้อมูลในโทรศัพท์มือถือ เครื่องช่วยลบข้อมูลในสื่อบันทึกข้อมูลที่เสร็จสิ้นการใช้งานจากคดีหนึ่งแล้ว และต้องการนำกลับไปใช้กับคดีอื่น

1.4 การเตรียมการเรื่องห้องปฏิบัติการ

ห้องปฏิบัติการด้านนิติวิทยาศาสตร์นั้นจะต้องเป็นพื้นที่ที่มีการควบคุมในระดับสูงเนื่องจากต้องมีการจัดเก็บและดำเนินการเกี่ยวกับหลักฐานที่เกี่ยวข้องกับอาชญากรรมต่างๆ จึงมีข้อกำหนดต่างๆ มากมายเกี่ยวกับด้านความมั่นคงปลอดภัย คุณภาพ บุคลากร กระบวนการทำงานต่างๆ และจรรยาบรรณ ต้องเป็นไปตามมาตรฐานที่เป็นที่ยอมรับสากล ซึ่งมักจะอ้างอิงถึง ASCLD/LAB (The American Society of Crime Laboratory Directors/Laboratory Accreditation Board) เป็นหลัก

2. ขั้นตอนดำเนินการ

เมื่อเกิดเหตุที่พนักงานเจ้าหน้าที่ด้านนิติวิทยาศาสตร์ต้องเข้าไปเก็บหลักฐานเพื่อนำมาวิเคราะห์ พอจะสรุปเป็นขั้นตอนหลักๆ ได้ดังต่อไปนี้

2.1 การเก็บรวบรวมหลักฐานจากที่เกิดเหตุ

กระบวนการนี้หลักๆ ต้องพยายามจัดเก็บรวบรวมข้อมูลหลักฐานที่เป็น volatile และที่เป็น non-volatile ซึ่งมีขั้นตอนในรายละเอียดมาก จากนั้นจะมาเน้นที่ขั้นตอนการหุ้มห่อลงในถุงหรือหีบห่อที่มีคุณสมบัติป้องกันไฟฟ้าสถิตย์ และป้องกันคลื่นแม่เหล็กไฟฟ้าในกรณีที่หลักฐานมีความไวต่อคลื่นแม่เหล็กไฟฟ้า

2.2 การนำส่ง การจัดเก็บและการเบิกหลักฐาน

ในทุกๆ ขั้นตอนของการเคลื่อนย้ายหลักฐานจำเป็นต้องมีหนังสือหรือแบบฟอร์มกำกับเพื่อให้สามารถตรวจสอบย้อนหลังได้ว่าในแต่ละช่วงเวลามีใครเป็นถือครองหรือรับผิดชอบต่อหลักฐานนั้นๆ เพื่อป้องกันการลักลอบเข้าถึง เปลี่ยนแปลงหรือทำลายหลักฐานโดยไม่ได้รับอนุญาต

2.3 การทำสำเนาหลักฐาน

การทำสำเนาหลักฐานต้องทำด้วยอุปกรณ์ที่ถูกออกแบบมาเฉพาะเพื่อใช้ในงานด้าน Digital Forensic โดยเฉพาะโดยต้องมีอุปกรณ์ write-blocker เพื่อช่วยป้องกันไม่ให้มีการเขียนทับข้อมูลลงไปในสื่อบันทึกข้อมูลที่เป็นหลักฐานต้นฉบับ เพื่อรักษาให้คงสภาพเดิม และไม่สามารถทำโดยการ copy file ตามปกติได้ แต่ต้องใช้วิธีการทำ bit-by-bit imaging และเมื่อทำการสำเนาแล้วต้องมีการทำเอกลักษณ์ทางดิจิตอลเพื่อเป็นการรับรองสำเนา หรือทางเทคนิคเรียกว่าการทำ image authentication ด้วยเทคนิค data hashing ซึ่ง algorithm ที่เป็นที่นิยมคือ MD5 และ SHA-1 การทำเอกลักษณ์เพื่อรับรองสำเนานี้ จะทำให้ทราบได้ว่าหลักฐานที่ได้ทำสำเนาขึ้นใหม่นี้มีความคงเดิมและไม่มีการเปลี่ยนแปลงไปแม้แต่ bit เดียว เพราะหากมีการเปลี่ยนแปลงไปแม้เพียง bit เดียว จะทำให้ได้ค่า MD5 และ SHA-1 ผิดไปจากที่เคยทำไว้เดิม

2.4 การวิเคราะห์หลักฐาน

การวิเคราะห์หลักฐานมีวัตถุประสงค์เพื่อค้นหาข้อมูลที่จะนำไปสู่ความเชื่อมโยงของบุคคลและบ่งบอกได้ถึงกิจกรรมต่างๆ ที่เกิดขึ้นตามช่วงเวลาที่สนใจจากหลักฐานทางดิจิตอลที่ได้จัดเก็บรวมรวมมาจากสถานที่เกิดเหตุ เช่น การสืบค้นดูว่ามีการส่งข้อความ SMS ออกจากโทรศัพท์มือถือในช่วงเวลาใดและส่งถึงใคร หรือว่ามีการรับส่ง email ถึงใคร เมื่อใด เป็นต้น การวิเคราะห์มักจะรวมถึงการจัดทำแผนผังลำดับเหตุการณ์หรือ timeline ของเหตุการณ์ที่เกิดขึ้นบนเครื่องคอมพิวเตอร์หนึ่งๆ หรือในภาพรวม เช่น มีการ download โปรแกรมบางอย่างเข้ามาลงในเครื่อง ก่อนที่จะมีการติดไวรัสและแพร่กระจายออกไปที่เครื่องอื่นๆ นักวิเคราะห์หลักฐานต้องพยายามหาข้อมูลเชื่อมโยงให้ได้ว่า user คนใดเป็นคน download โปรแกรมนั้นเข้ามาในช่วงเวลานั้น และ download มาจากที่ใด ก่อนที่จะมีการแพร่กระจายของไวรัส เป็นต้น การวิเคราะห์จะมีความสลับซับซ้อนมากน้อยเพียงใดขึ้นอยู่กับความซับซ้อนของรูปคดีและความเชี่ยวชาญของอาชญากรหรือผู้กระทำความผิดที่อาจใช้ความพยายามในการปกปิดข้อมูลหรือทำลายหลักฐานเพื่อให้ไม่สามารถติดตามร่องรอยได้โดยง่าย

สิ่งที่สำคัญในการวิเคราะห์หลักฐานคือเจ้าหน้าที่หรือนักวิเคราะห์หลักฐานจะไม่ทำการวิเคราะห์บนตัวหลักฐานที่เป็นต้นฉบับที่ได้มาจากสถานที่เกิดเหตุ แต่จะใช้การทำสำเนาแบบ forensic copy จากตัวต้นฉบับ แล้วส่งคืนต้นฉบับไปยังห้องเก็บหลักฐาน แล้วจึงดำเนินการวิเคราะห์กับตัวสำเนาแทน ทั้งนี้การทำสำเนาจะมีรายละเอียดในการทำเอกลักษณ์ทางดิจิตอลของสำเนาเพื่อยืนยันความถูกต้องของสำเนา และเป็นตัวที่จะใช้ยืนยันว่าสำเนานั้นไม่ได้ถูกเปลี่ยนแปลงแก้ไข และมีความถูกต้องตรงกันกับหลักฐานต้นฉบับ

3. ขั้นตอนสิ้นสุดการดำเนินการ

ขั้นตอนนี้จะเน้นเกี่ยวกับการเขียนรายงานสรุปสิ่งที่ตรวจพบและบทวิเคราะห์ต่างๆ เพื่อนำไปประกอบสำนวนหรือส่งมอบให้แก่พนักงานเจ้าหน้าที่หรือผู้ว่าจ้างเพื่อนำไปใช้ประโยชน์ในการพิจารณาอื่นๆ ต่อไป การเขียนรายงานจำเป็นอย่างยิ่งที่ผู้เชี่ยวชาญต้องเขียนแยกให้เห็นเด่นชัดว่าส่วนใดเป็นข้อเท็จจริงที่ค้นพบจากหลักฐาน และส่วนใดเป็นข้อคิดเห็นของผู้เชี่ยวชาญ สิ่งที่สำคัญที่สุดที่ผู้เขียนรายงานต้องเข้าใจคือผู้เขียนรายงานไม่ใช่ผู้พิพากษาดังนั้นจะต้องเขียนรายงานตามข้อเท็จจริงที่ตรวจพบจากหลักฐานเท่านั้น ส่วนเรื่องการสรุปความหรือตีความนั้นเป็นหน้าที่ของทนาย อัยการ หรือศาลต่อไป

ทั้งหมดนี้เป็นภาพรวมของกระบวนการด้านนิติวิทยาศาสตร์ทางดิจิตอลโดยสังเขป ซึ่งในทางปฏิบัติแล้วจะมีรายละเอียดปลีกย่อยอีกมาก เนื่องจากหลักฐานทางดิจิตอลมีความหลากหลาย ไม่ว่าจะเป็นข้อมูลโดยทั่วไป ข้อมูลเสียง ภาพถ่ายหรือวิดีโอ อุปกรณ์หรือระบบงานที่ใช้จัดเก็บข้อมูลที่แตกต่างกัน ล้วนแล้วแต่มีกรรมวิธีและเทคนิคเฉพาะในการรวบรวมและวิเคราะห์ ซึ่งงานด้าน digital forensic ยังสามารถแยกแตกแขนงความเชี่ยวชาญออกไปเป็นสาขาย่อยๆ ได้อีก เช่น computer forensic, network forensic, mobile forensic, cloud-computing forensic, live-system forensic, audio forensic, video forensic, image forensic ฯลฯ ในปัจจุบันต้องถือว่าเรื่อง digital forensic ยังเป็นเรื่องที่ค่อนข้างใหม่ ทั้งกับพนักงานเจ้าหน้าที่ อัยการ ศาล และผู้ที่เกี่ยวข้องอื่นๆ มีผู้เชี่ยวชาญอยู่จำนวนน้อยและเป็นที่ต้องการของหลายหน่วยงาน ทั้งหน่วงงานด้าน law enforcement และหน่วยงานภาคเอกชนอื่นๆ ที่ให้ความสำคัญ ดังนั้นจึงจำเป็นต้องมีการสนับสนุนและส่งเสริมให้เกิดการสร้างบุคลากรด้านนี้เพิ่มมากขึ้น และมีการให้ความรู้ต่อทั้งหน่วยงานที่เกี่ยวข้องและสังคมในวงกว้างมากขึ้นให้ได้รู้จักศาสตร์ในด้านนี้ และความเป็นวิชาชีพของผู้ที่ประกอบอาชีพในด้านนี้ต่อไป

ที่มา:อ.ไชยกร อภิวัฒโนกุล ( Narinrit Prem-apiwathanokul )

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

DIGITAL FORENSICS:กรอบขั้นตอนการปฏิบัติงานการรับมือภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสาร

ขั้นตอนในการปฏิบัติงานบริหารจัดการภัยคุกคามทางด้านเทคโนโลยีสารสนเทศและการสื่อสาร 5 ขั้นตอนดังนี้

การระบุเหตุและรายงานภัยคุกคามฯ (Identication and Reporting)

การควบคุมภัยคุกคามฯ (Containment)

การแก้ไขและจำกัดภัยคุกคามฯ (Eradication)

การกู้คืนระบบ (Recovery)

กิจกรรมหลังภัยคุกคามฯ (Post-Incident Activity)

Incident Response plan

ข้อเสนอแนะการรับมือภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสาร

แบบฟอร์มรายงานการรับมือภัยคุกคามทางด้านเทคโนโลยีสารสนเทศและการสื่อสาร

ที่มา:

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Saturday, November 5, 2011

Digital Forensics: Shell Folder

Shell Folder คือค่าตั้งต้นของ path ต่างๆ ที่ windows กำหนดไว้ เช่น Downloads ,
Desktop , Music, Documents , Pictures เป็นต้น โดยปกติจะอยู่ที่ Drive c: แต่เราสามารถปรับเปลี่ยนไป Drive อื่นได้ โดยเข้าไปแก้ไขใน registry

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\User Shell Folders

Shell Folder and Default Locations Reference

แต่ละ User : สำหรับบัญชีผู้ใช้ปัจจุบันเส้นทางโฟลเดอร์จะถูกเก็บไว้ในคีย์รีจิสทรีต่อไปนี้:

Shell Folder Name / Value	Location
	%USERPROFILE%\Downloads
AppData	%USERPROFILE%\AppData\Roaming
Cache	%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCache
Cookies	%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCookies
Desktop	%USERPROFILE%\Desktop
Favorites	%USERPROFILE%\Favorites
History	%USERPROFILE%\AppData\Local\Microsoft\Windows\History
Local AppData	%USERPROFILE%\AppData\Local
My Music	%USERPROFILE%\Music
My Pictures	%USERPROFILE%\Pictures
My Video	%USERPROFILE%\Videos
NetHood	%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Network Shortcuts
Personal	%USERPROFILE%\Documents
PrintHood	%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Printer Shortcuts
Programs	%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
Recent	%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent
SendTo	%USERPROFILE%\AppData\Roaming\Microsoft\Windows\SendTo
Start Menu	%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu
Startup	%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Templates	%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Templates

Registry Timestamps

แต่ละคีย์รีจิสทรีมี timestamp ที่เก็บเวลาในการแก้ไขล่าสุดเช่นเดียวกับโฟลเดอร์ในระบบไฟล์ ข้อมูลดังกล่าวอาจมีประโยชน์ในบางครั้ง ต่อไปนี้คือวิธีการนำข้อมูลTimestamps ออกมา

Export to text in regedit:

เราสามารถ export registry ออกมาได้ โดยเลือกนามสกุล .txt เพื่อดูค่า last write time

Last write time

ที่มา:
https://bit.ly/2JDpU98
https://bit.ly/2RCWr24
https://bit.ly/2AMa2yi
https://bit.ly/2yUipqm

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud

Wednesday, May 25, 2011

Digital Forensics:(ASCII) คือ

แอสกี้ ASCII: American Standard Code for Information Interchange) เป็นรหัสมาตรฐานของสหรัฐอเมริกาเพื่อการแลกเปลี่ยนสารสนเทศนี้ เป็นรหัสมาตรฐานที่ใช้กับคอมพิวเตอร์รหัสหนึ่ง ที่ใช้เลขฐานสอง รหัสแอสกี, รหัสมาตรฐาน ใช้แทนอักขระด้วย 7 บิต (ถ้ารวม parity check ด้วยจะเป็น 8 บิต)

ประวัติ รหัสแอสกีมีใช้ในระบบคอมพิวเตอร์ และเครื่องมือสื่อสารแบบดิจิทัลต่างๆ พัฒนาขึ้นโดยคณะกรรมการ X3 ซึ่งอยู่ภายใต้การดูแลของสมาคมมาตรฐานอเมริกา (American Standards Association) ภายหลังกลายเป็น สถาบันมาตรฐานแห่งชาติอเมริกา (American National Standard Institute : ANSI) ในปี ค.ศ. 1969 โดยเริ่มต้นใช้ครั้งแรกในปี ค.ศ. 1967 ซึ่งมีอักขระทั้งหมด 128 ตัว (7 บิต) โดยจะมี 33 ตัวที่ไม่แสดงผล (unprintable/control character) ซึ่งใช้สำหรับควบคุมการทำงานของคอมพิวเตอร์บางประการ เช่น การขึ้นย่อหน้าใหม่สำหรับการพิมพ์ (CR & LF - carriage return and line feed) การสิ้นสุดการประมวลผลข้อมูลตัวอักษร (ETX - end of text) เป็นต้น และ อีก 95 ตัวที่แสดงผลได้ (printable character) ดังที่ปรากฏตามผังอักขระ (character map) ด้านล่าง รหัสแอสกีได้รับการปรับปรุงล่าสุดเมื่อ ค.ศ. 1986 ให้มีอักขระทั้งหมด 256 ตัว (8 บิต) และเรียกใหม่ว่าแอสกีแบบขยาย อักขระที่เพิ่มมา 128 ตัวใช้สำหรับแสดงอักขระเพิ่มเติมในภาษาของแต่ละท้องถิ่นที่ใช้ โดยจะมีผังอักขระที่แตกต่างกันไปในแต่ละภาษาซึ่งเรียกว่า โคดเพจ (codepage) โดยอักขระ 128 ตัวแรกส่วนใหญ่จะยังคงเหมือนกันแทบทุกโคดเพจ มีส่วนน้อยที่เปลี่ยนแค่บางอักขระ


ASCII TABLE

แอสกี้(ASCII) คือ

ตัวอย่าง รหัสแทนข้อมูลแบบ ASCII

บิตที่	7	6	5	4	3	2	1	0
	0	0	1	1	0	1	1	1	แทน 7
	0	1	0	0	0	1	1	1	แทน G
	0	1	1	0	0	1	1	1	แทน g
	0	1	0	0	1	0	1	0	แทน J
	0	0	1	0	1	0	1	1	แทน +

จากหลักการของระบบเลขฐานสอง แต่ละบิตสามารแทนค่าได้ 2 แบบ คือ เลข 0 หรือเลข 1 ถ้าเราเขียนเลขฐานสอง เรียงกัน 2 บิต ในการแทนอักขระ เราจะมีรูปแบบในการแทนอักขระได้ 2 หรือ 4 รุปแบบคือ 00 ,01 ,10 ,11 ดังนั้นในการใช้รหัสแอสกีซึ่งมี 8 บิต ในการแทนอักขระแล้ว เราจะมีรูปแบบที่ใช้แทนถึง 28 หรือ 256 รูปแบบ ซึ่งเมื่อใช้แทนตัวอักษรภาษาอังกฤษแล้ว ยังมีเหลืออยู่ สำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม หรือ สมอ.จึงได้กำหนดรหัสภาษาไทยเพิ่มลงไปเพื่อให้ใช้งานร่วมกัน

ตัวอย่าง การแทนข้อมูลในเครื่องคอมพิวเตอร์

A	0100 0001	X	0101 1000
B	0100 0010	Y	0101 1001
C	0100 0011	Z	0101 1010
D	0100 0100	0	0011 0000
E	0100 0101	1	0011 0001
F	0100 0110	2	0011 0010
G	0100 0111	3	0011 0011
H	0100 1000	4	0011 0100
I	0100 1001	5	0011 0101
J	0100 1010	6	0011 0110
K	0100 1011	7	0011 0111
L	0100 1100	8	0011 1000
M	0100 1101	9	0011 1001
N	0100 1110	.	0010 1110
O	0100 1111	(	0010 1000
P	0101 0000	+	0010 1011
Q	0101 0001	$	0010 0100
R	0101 0010	*	0010 1010
S	0101 0011	)	0010 1001
T	0101 0100	-	0010 1101
U	0101 0101	/	0010 1111
V	0101 0110	'	0010 1100
W	0101 0111	=	0010 1101

character set คืออะไร

ก่อนจะไปพูดถึง Character set ขอเล่าถึงที่มาและรูปแบบการเก็บข้อมูลในคอมพิวเตอร์กันซักนิด เราคงทราบกันดีกว่าคอมพิวเตอร์เก็บข้อมูลในรูปแบบดิจิทัลโดยใช้แค่ตัวเลข 0 กับ 1 ตัวเลขหนึ่งตัวเรียกว่า 1 bit ถ้ามีตัวเลขแปดตัว (8 bit) เรียกว่า 1 byte

เนื่องจากว่าการรับส่งข้อมูลในคอมพิวเตอร์โดยแท้จริงแล้วเป็นแค่การรับส่งตัวเลข 0 กับ 1 ดังนั้นถ้าจะส่งข้อมูลที่เป็นตัวอักษร ก็จำเป็นต้องมีการสร้างรหัสขึ้นมาเพื่อใช้อ้างอิงว่าตัวเลขชุดนี้แทนตัวอักษรอะไร ซึ่งถ้าหากจะเปรียบเทียบให้เห็นภาพในสิ่งที่คล้ายๆ กันก็ลองเปรียบเทียบกับรหัสมอร์สที่ใช้การเคาะจังหวะสั้นกับยาวเพื่อใช้ในการส่งข้อความ

ASCII เป็นรหัสที่ทางอเมริกากำหนดขึ้นมาเพื่อใช้ในการแลกเปลี่ยนข้อมูล โดยในรหัส ASCII ประกอบด้วยตัวอักษรภาษาอังกฤษ (แบบ Latin) ตัวเลขอารบิค เครื่องหมายวรรคตอน และสัญลักษณ์ต่างๆ โดยมีตารางแอสกี (ASCII table) หรือชุดอักขระแอสกี (ASCII character set) มาใช้ในการอ้างอิงว่ารหัสนี้แทนตัวอักษรอะไร เช่น ตัว A ในภาษาอังกฤษ ถูกแทนด้วย 65 ในเลขฐานสิบ (Decimal) หรือ 41 ในเลขฐานสิบหก (Hexadecimal) เป็นต้น [1] ตัวอย่างตารางแอสกีเป็นดังรูปที่ 1

เนื่องจากอักขระ (Character) ในภาษาอังกฤษ (ตัวเลข+ตัวอักษร+เครื่องหมาย+อักขระพิเศษอื่นๆ) รวมกันแล้วมีประมาณร้อยกว่าตัว จึงสามารถใช้รหัส ASCII แบบ 7 bit ที่สามารถเก็บข้อมูลได้ 128 รูปแบบ (2^7 = 128) มาใช้ในการเก็บตัวอักษรและอักขระพิเศษทั้งหมดได้ในรหัสตั้งแต่ 0 - 127

ASCII code คืออะไร

ASCII TABLE

Dec	Hex	Oct	Char	Description
0	0	000		null
1	1	001		start of heading
2	2	002		start of text
3	3	003		end of text
4	4	004		end of transmission
5	5	005		enquiry
6	6	006		acknowledge
7	7	007		bell
8	8	010		backspace
9	9	011		horizontal tab
10	A	012		new line
11	B	013		vertical tab
12	C	014		new page
13	D	015		carriage return
14	E	016		shift out
15	F	017		shift in
16	10	020		data link escape
17	11	021		device control 1
18	12	022		device control 2
19	13	023		device control 3
20	14	024		device control 4
21	15	025		negative acknowledge
22	16	026		synchronous idle
23	17	027		end of trans. block
24	18	030		cancel
25	19	031		end of medium
26	1A	032		substitute
27	1B	033		escape
28	1C	034		file separator
29	1D	035		group separator
30	1E	036		record separator
31	1F	037		unit separator
32	20	040		space
33	21	041	!
34	22	042	"
35	23	043	#
36	24	044	$
37	25	045	%
38	26	046	&
39	27	047	'
40	28	050	(
41	29	051	)
42	2A	052	*
43	2B	053	+
44	2C	054	,
45	2D	055	-
46	2E	056	.
47	2F	057	/
48	30	060	0
49	31	061	1
50	32	062	2
51	33	063	3
52	34	064	4
53	35	065	5
54	36	066	6
55	37	067	7
56	38	070	8
57	39	071	9
58	3A	072	:
59	3B	073	;
60	3C	074	<
61	3D	075	=
62	3E	076	>
63	3F	077	?


64	40	100	@
65	41	101	A
66	42	102	B
67	43	103	C
68	44	104	D
69	45	105	E
70	46	106	F
71	47	107	G
72	48	110	H
73	49	111	I
74	4A	112	J
75	4B	113	K
76	4C	114	L
77	4D	115	M
78	4E	116	N
79	4F	117	O
80	50	120	P
81	51	121	Q
82	52	122	R
83	53	123	S
84	54	124	T
85	55	125	U
86	56	126	V
87	57	127	W
88	58	130	X
89	59	131	Y
90	5A	132	Z
91	5B	133	[
92	5C	134	\
93	5D	135	]
94	5E	136	^
95	5F	137	_
96	60	140	`
97	61	141	a
98	62	142	b
99	63	143	c
100	64	144	d
101	65	145	e
102	66	146	f
103	67	147	g
104	68	150	h
105	69	151	i
106	6A	152	j
107	6B	153	k
108	6C	154	l
109	6D	155	m
110	6E	156	n
111	6F	157	o
112	70	160	p
113	71	161	q
114	72	162	r
115	73	163	s
116	74	164	t
117	75	165	u
118	76	166	v
119	77	167	w
120	78	170	x
121	79	171	y
122	7A	172	z
123	7B	173	{
124	7C	174	\|
125	7D	175	}
126	7E	176	~
127	7F	177	DEL

ASCII Encoding:

แปลงค่าจาก

68 105 103 105 116 97 108 32 70 111 114 101 110 115 105 99 115 32 69 120 97 109 105 110 101 114

ให้กลายเป็น String =?

onlinestringtools

สรุป

รูปแบบของ ASCII จะเก็บข้อมูลโดยใช้ 8 Bits (1 Bytes) ต่อ 1 Character

รูปแบบของ Unicode จะเก็บข้อมูลโดยใช้ 16 Bits (2 Bytes) ต่อ 1 Character

ที่มา:
thaicert
devlist
bcom56146

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Digital Forensics Examiner

Friday, November 25, 2011

กระบวนการด้านนิติวิทยาศาสตร์ทางดิจิตอล

Digital Forensics:กระบวนการด้านนิติวิทยาศาสตร์ทางดิจิตอล

บทความเรื่อง กระบวนการด้านนิติวิทยาศาสตร์ทางดิจิตอล

DIGITAL FORENSICS:กรอบขั้นตอนการปฏิบัติงานการรับมือภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสาร

DIGITAL FORENSICS:กรอบขั้นตอนการปฏิบัติงานการรับมือภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสาร

Incident Response plan

Saturday, November 5, 2011

Digital Forensics: Shell Folder

Digital Forensics: Shell Folder

Shell Folder and Default Locations Reference

Registry Timestamps

Wednesday, May 25, 2011

Digital Forensics:(ASCII) คือ

Digital Forensics:(ASCII) คือ

character set คืออะไร

ASCII code คืออะไร

ASCII TABLE

DIGITAL FORENSICS: BINWALK CTF

Report Abuse


64	40	100	@
65	41	101	A
66	42	102	B
67	43	103	C
68	44	104	D
69	45	105	E
70	46	106	F
71	47	107	G
72	48	110	H
73	49	111	I
74	4A	112	J
75	4B	113	K
76	4C	114	L
77	4D	115	M
78	4E	116	N
79	4F	117	O
80	50	120	P
81	51	121	Q
82	52	122	R
83	53	123	S
84	54	124	T
85	55	125	U
86	56	126	V
87	57	127	W
88	58	130	X
89	59	131	Y
90	5A	132	Z
91	5B	133	[
92	5C	134	\
93	5D	135	]
94	5E	136	^
95	5F	137	_
96	60	140	`
97	61	141	a
98	62	142	b
99	63	143	c
100	64	144	d
101	65	145	e
102	66	146	f
103	67	147	g
104	68	150	h
105	69	151	i
106	6A	152	j
107	6B	153	k
108	6C	154	l
109	6D	155	m
110	6E	156	n
111	6F	157	o
112	70	160	p
113	71	161	q
114	72	162	r
115	73	163	s
116	74	164	t
117	75	165	u
118	76	166	v
119	77	167	w
120	78	170	x
121	79	171	y
122	7A	172	z
123	7B	173	{
124	7C	174	\|
125	7D	175	}
126	7E	176	~
127	7F	177	DEL


64	40	100	@
65	41	101	A
66	42	102	B
67	43	103	C
68	44	104	D
69	45	105	E
70	46	106	F
71	47	107	G
72	48	110	H
73	49	111	I
74	4A	112	J
75	4B	113	K
76	4C	114	L
77	4D	115	M
78	4E	116	N
79	4F	117	O
80	50	120	P
81	51	121	Q
82	52	122	R
83	53	123	S
84	54	124	T
85	55	125	U
86	56	126	V
87	57	127	W
88	58	130	X
89	59	131	Y
90	5A	132	Z
91	5B	133	[
92	5C	134	\
93	5D	135	]
94	5E	136	^
95	5F	137	_
96	60	140	`
97	61	141	a
98	62	142	b
99	63	143	c
100	64	144	d
101	65	145	e
102	66	146	f
103	67	147	g
104	68	150	h
105	69	151	i
106	6A	152	j
107	6B	153	k
108	6C	154	l
109	6D	155	m
110	6E	156	n
111	6F	157	o
112	70	160	p
113	71	161	q
114	72	162	r
115	73	163	s
116	74	164	t
117	75	165	u
118	76	166	v
119	77	167	w
120	78	170	x
121	79	171	y
122	7A	172	z
123	7B	173	{
124	7C	174	\|
125	7D	175	}
126	7E	176	~
127	7F	177	DEL


64	40	100	@
65	41	101	A
66	42	102	B
67	43	103	C
68	44	104	D
69	45	105	E
70	46	106	F
71	47	107	G
72	48	110	H
73	49	111	I
74	4A	112	J
75	4B	113	K
76	4C	114	L
77	4D	115	M
78	4E	116	N
79	4F	117	O
80	50	120	P
81	51	121	Q
82	52	122	R
83	53	123	S
84	54	124	T
85	55	125	U
86	56	126	V
87	57	127	W
88	58	130	X
89	59	131	Y
90	5A	132	Z
91	5B	133	[
92	5C	134	\
93	5D	135	]
94	5E	136	^
95	5F	137	_
96	60	140	`
97	61	141	a
98	62	142	b
99	63	143	c
100	64	144	d
101	65	145	e
102	66	146	f
103	67	147	g
104	68	150	h
105	69	151	i
106	6A	152	j
107	6B	153	k
108	6C	154	l
109	6D	155	m
110	6E	156	n
111	6F	157	o
112	70	160	p
113	71	161	q
114	72	162	r
115	73	163	s
116	74	164	t
117	75	165	u
118	76	166	v
119	77	167	w
120	78	170	x
121	79	171	y
122	7A	172	z
123	7B	173	{
124	7C	174	\|
125	7D	175	}
126	7E	176	~
127	7F	177	DEL