กระบวนการด้านนิติวิทยาศาสตร์ทางดิจิตอล

Digital Forensics:กระบวนการด้านนิติวิทยาศาสตร์ทางดิจิตอล

บทความเรื่อง กระบวนการด้านนิติวิทยาศาสตร์ทางดิจิตอล 

โดย อ.ไชยกร อภิวัฒโนกุล CISSP, CSSLP, GCFA, IRCA:ISMS, CEO @ S-Generation กันยายน 2554

*หมายเหตุ : บทความนี้มีวัตถุประสงค์เพื่อนำเสนอกรอบความคิดโดยรวมที่เกี่ยวข้องกับกระบวนการด้านนิติวิทยาศาสตร์ทางดิจิตอลเท่านั้น จึงไม่ได้กล่าวถึงขั้นตอนโดยละเอียดในการปฏิบัติ ทั้งนี้คู่มือในการปฏิบัติงานที่ได้มาตรฐานเป็นที่ยอมรับให้ใช้ได้ในประเทศไทย ยังอยู่ในระหว่างการพัฒนา

                                กระบวนการด้านนิติวิทยาศาสตร์มีความสำคัญอย่างมากในการพิจารณาวิเคราะห์หลักฐานต่างๆ ที่เกี่ยวข้องกับคดีความซึ่งส่วนใหญ่จะได้มาจากสถานที่เกิดเหตุ แล้วนำมาวิเคราะห์ที่ห้องแล็บด้วยวิธีการทางวิทยาศาสตร์ เพื่อนำผลที่ได้ไปประกอบการสืบสวนสอบสวนขยายผลตลอดจนการพิจารณาคดีในชั้นศาล ในอดีตกระบวนการด้านนิติวิทยาศาสตร์มักเกี่ยวข้องกับหลักฐานประเภท คราบเลือด เขม่าดินปืน รอยนิ้วมือ และ DNA เป็นต้น แต่เนื่องด้วยปัจจุบัน อาชญากรรมต่างๆ มักมีเครื่องมือหรืออุปกรณ์ที่ทันสมัยเข้าไปเกี่ยวข้องเช่น เครื่องคอมพิวเตอร์ โน๊ทบุ๊ค โทรศัพท์มือถือ และอุปกรณ์ต่างๆ ที่เป็นระบบดิจิตอล จึงเป็นที่มาของนิติวิทยาศาสตร์ทางดิจิตอล หรือ Digital Forensics

                                ดังนั้นนิยามของนิติวิทยาศาสตร์ทางดิจิตอลคือ การจัดเก็บรวบรวมและวิเคราะห์หลักฐานทางดิจิตอล ซึ่งรวมถึงหลักฐานที่ได้มาจากเครื่องคอมพิวเตอร์ เครือข่าย โทรศัพท์มือถือหรืออุปกรณ์จัดเก็บข้อมูลที่อยู่ในรูปแบบดิจิตอลต่างๆ ด้วยกระบวนการที่น่าเชื่อถือเพื่อให้สามารถนำข้อเท็จจริงจากการวิเคราะห์หลักฐานนำไปใช้เป็นหลักฐานที่ศาลยอมรับฟังได้ ทั้งนี้หากเป็นเหตุอาชญากรรมหรือวินาศกรรมโดยทั่วไป กระบวนการนี้จะถูกดำเนินการโดยหน่วยงานที่มีภาระกิจเกี่ยวข้องกับการบังคับใช้กฎหมายหรือหน่วยงานสนับสนุน เช่นกองพิสูจน์หลักฐาน สำนักงานตำรวจแห่งชาติ, สถาบันนิติวิทยาศาสตร์, กรมสอบสวนคดีพิเศษ และกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารเป็นต้น ทั้งนี้หากเป็นการสืบสวนสอบสวนเหตุทุจริตหรือการละเมิดนโยบายภายในองค์กร ก็อาจเป็นหน่วยงานเฉพาะกิจขององค์กรเองหรือหน่วยงานที่เอกชนที่มีความเชี่ยวชาญเป็นผู้ดำเนินการให้ก็เป็นได้

                                ภาพรวมของกระบวนการทางนิติวิทยาศาสตร์ด้านดิจิตอลสามารถแบ่งออกได้เป็น 3 ส่วนใหญ่ๆ กล่าวคือ

1.       ขั้นตอนการเตรียมการ

ขั้นตอนนี้จะเกี่ยวข้องกับการเริ่มต้นเตรียมการเพื่อให้เกิดความสามารถในการปฏิบัติการได้อย่างถูกต้องเหมาะสมตามหลักปฏิบัติสากล และเป็นที่น่าเชื่อถือ

1.1   การเตรียมการด้านบุคลากร

เนื่องจากหลักฐานทางดิจิตอลมีความละเอียดอ่อนและเปราะบางมากหากดำเนินการโดยผู้ที่ไม่ผ่านการฝึกอบรมหรือขาดทักษะที่เพียงพอแล้วจะทำให้หลักฐานเสียหายซึ่งอาจเป็นเพียงหลักฐานชิ้นเดียวที่จะนำไปสู่การสิ้นสุดคดีหรือเป็นตัวเชื่อมโยงหลักที่สำคัญต่อรูปคดีก็เป็นได้ ดังนั้นกระบวนการด้านนิติวิทยาศาสตร์จะต้องดำเนินการด้วยเจ้าหน้าที่หรือผู้ที่มีทักษะผ่านการฝึกอบรมที่จำเป็นมาแล้วเท่านั้น  เพราะหากมีการดำเนินการในขั้นตอนหนึ่งขั้นตอนใดโดยผู้ที่ขาดทักษะแล้ว นอกจากจะทำให้หลักฐานเสียหายแล้วยังอาจมีผลทำให้ความน่าเชื่อถือของหลักฐานหรือผลการวิเคราะห์ในหลักฐานนั้น ด้อยลงไป

การฝึกอบรมนั้นจะต้องประกอบไปด้วยการฝึกอบรมพื้นฐานด้านเทคนิคที่เกี่ยวข้องจำเป็น ขั้นตอนในการสืบสวนสอบสวน และข้อกำหนดทางกฎหมายต่างๆ ที่เกี่ยวข้อง ปัจจุบันในต่างประเทศมีหลักสูตรและการสอบรับรองคุณวุฒิของหลายสถาบันที่เป็นที่ยอมรับ เช่น GCFA (GIAC Certified Forensic Analyst) ของสถาบัน SANS, CCFE (Certified Computer Forensics Examiner) ของ IACRB และ CCE (Certified Computer Examiner) ของ ISFCE เป็นต้น

1.2   การเตรียมการด้านกระบวนการ

การที่จะให้หลักฐานและผลการวิเคราะห์หลักฐานมีความน่าเชื่อถือได้นั้น กระบวนการต่างๆ ที่กระทำเพื่อให้ได้มาซึ่งหลักฐานและการกระทำต่อหลักฐานต้องเป็นไปตามหลักวิชาการที่เป็นที่ยอมรับโดยสากล และมีการทำบันทึกเป็นลายลักษณ์อักษรตลอดกระบวนการ สามารถตรวจสอบย้อนหลังได้ว่าผู้ใดเป็นผู้ดำเนินการส่วนใด ณ วันเวลาใด เป็นต้น ส่วนใหญ่การเตรียมการในขั้นตอนนี้จะเน้นเรื่องการออกแบบพัฒนาขั้นตอนการปฏิบัติงาน ตั้งแต่การขออนุญาตดำเนินการในสถานที่เกิดเหตุ การเก็บรวบรวมหลักฐานทางดิจิตอล การนำส่งหลักฐานให้กับหน่วยงานดูแลหลักฐาน การเบิกหลักฐาน การทำสำเนา การวิเคราะห์ การเขียนรายงานตลอดจนการทำลายสำเนาของหลักฐานเมื่อสิ้นสุดคดีความ และการพัฒนาแบบฟอร์มต่างๆ ที่ต้องนำไปใช้ในแต่ละขั้นตอนการปฏิบัติงาน เช่น แบบฟอร์มการยึดอายัดหลักฐาน และแบบฟอร์ม COC (Chain of Custody) เป็นต้น

นอกจากกระบวนการในการรวบรวม นำส่งและวิเคราะห์หลักฐานให้มีความน่าเขื่อถือแล้ว ยังต้องมีการบวนการควบคุมเพื่อให้เกิดความมั่นคงปลอดภัยต่อหลักฐานในการดำเนินการทุกขั้นตอนเพื่อมิให้หลักฐานถูกทำลาย เปลี่ยนแปลงหรือหลุดรั่วออกไปโดยไม่ได้รับอนุญาตอีกด้วย

1.3   การเตรียมการด้านเครื่องมือและอุปกรณ์

เครื่องมือพื้นฐานที่จำเป็นแบ่งออกได้เป็น 3 กลุ่มคือ

1.3.1          เครื่องมือช่วยในการเก็บรวบรวมหลักฐาน

ส่วนใหญ่จะเป็นเครื่องมือภาคสนามที่สามารถเคลื่อนย้ายได้สะดวกหรือเป็นขนาดพกพา (portable) ซึ่งสามารถนำไปใช้งาน ณ สถานที่เกิดเหตุได้อย่างคล่องตัว เช่นอุปกรณ์จัดเก็บ Volatile Data หรือข้อมูลที่อยู่ใน RAM อุปกรณ์ต่อพ่วง อุปกรณ์ทำสำเนา hard disk ที่ต้องมีคุณลักษณะพิเศษคือมีลักษณะเป็นแบบป้องกันการเขียนทับข้อมูลลงไปบนหลักฐานหรือ writer-blocker ถุงป้องกันไฟฟ้าสถิตย์ (Static Bag) และ ถุงป้องกันคลื่อนแม่เหล็กไฟฟ้า (Faraday Bag) เป็นต้น  โดยมีเป้าหมายเพื่อให้สามารถจัดเก็บและรักษาสภาพของหลักฐานไว้ให้อยู่ในสภาพเดิมให้ได้มากที่สุด

1.3.2          เครื่องมือช่วยในการวิเคราะห์หลักฐาน

จะเป็นเครื่องมือที่อาจเป็นทั้ง hardware และ software ที่นำมาใช้ช่วยในกระบวนการวิเคราะห์หลักฐาน ซึ่งส่วนใหญ่มักจะเกี่ยวข้องกับการกู้คืนข้อมูลที่ถูกลบ การประมวลผล file system รูปแบบต่างๆ การทำแผนผังลำดับเหตุการณ์ (timeline) และการค้นหาด้วยคำค้นต่างๆ (keyword search) การวิเคราะห์ยังมักเกี่ยวกับการวิเคราะห์หาความเชื่อมโยงของคน กิจกรรม วัน เวลา หรือเรียกง่ายๆ ว่า ใคร ที่ไหน เมื่อไหร่ อย่างไร เท่าที่จะหาได้จากหลักฐานที่ได้มา ซึ่งถ้ามีเครื่องมือที่ดี ก็จะช่วยให้สามารถวิเคราะห์ค้นหาและหาความสัมพันธ์เชื่อมโยงต่างๆ ได้อย่างรวดเร็วมากยิ่งขึ้น

1.3.3          เครื่องมือช่วยอื่นๆ

เครื่องมือช่วยปฏิบัติงานอื่นๆ ขึ้นอยู่กับประเภทของหลักฐาน เช่น เครื่องอ่านข้อมูลในโทรศัพท์มือถือ เครื่องช่วยลบข้อมูลในสื่อบันทึกข้อมูลที่เสร็จสิ้นการใช้งานจากคดีหนึ่งแล้ว และต้องการนำกลับไปใช้กับคดีอื่น

1.4   การเตรียมการเรื่องห้องปฏิบัติการ

ห้องปฏิบัติการด้านนิติวิทยาศาสตร์นั้นจะต้องเป็นพื้นที่ที่มีการควบคุมในระดับสูงเนื่องจากต้องมีการจัดเก็บและดำเนินการเกี่ยวกับหลักฐานที่เกี่ยวข้องกับอาชญากรรมต่างๆ จึงมีข้อกำหนดต่างๆ มากมายเกี่ยวกับด้านความมั่นคงปลอดภัย คุณภาพ บุคลากร กระบวนการทำงานต่างๆ และจรรยาบรรณ ต้องเป็นไปตามมาตรฐานที่เป็นที่ยอมรับสากล ซึ่งมักจะอ้างอิงถึง ASCLD/LAB (The American Society of Crime Laboratory Directors/Laboratory Accreditation Board) เป็นหลัก

2.       ขั้นตอนดำเนินการ

เมื่อเกิดเหตุที่พนักงานเจ้าหน้าที่ด้านนิติวิทยาศาสตร์ต้องเข้าไปเก็บหลักฐานเพื่อนำมาวิเคราะห์ พอจะสรุปเป็นขั้นตอนหลักๆ ได้ดังต่อไปนี้

2.1   การเก็บรวบรวมหลักฐานจากที่เกิดเหตุ

กระบวนการนี้หลักๆ ต้องพยายามจัดเก็บรวบรวมข้อมูลหลักฐานที่เป็น volatile และที่เป็น non-volatile ซึ่งมีขั้นตอนในรายละเอียดมาก จากนั้นจะมาเน้นที่ขั้นตอนการหุ้มห่อลงในถุงหรือหีบห่อที่มีคุณสมบัติป้องกันไฟฟ้าสถิตย์ และป้องกันคลื่นแม่เหล็กไฟฟ้าในกรณีที่หลักฐานมีความไวต่อคลื่นแม่เหล็กไฟฟ้า

2.2   การนำส่ง การจัดเก็บและการเบิกหลักฐาน

ในทุกๆ ขั้นตอนของการเคลื่อนย้ายหลักฐานจำเป็นต้องมีหนังสือหรือแบบฟอร์มกำกับเพื่อให้สามารถตรวจสอบย้อนหลังได้ว่าในแต่ละช่วงเวลามีใครเป็นถือครองหรือรับผิดชอบต่อหลักฐานนั้นๆ เพื่อป้องกันการลักลอบเข้าถึง เปลี่ยนแปลงหรือทำลายหลักฐานโดยไม่ได้รับอนุญาต

2.3   การทำสำเนาหลักฐาน

การทำสำเนาหลักฐานต้องทำด้วยอุปกรณ์ที่ถูกออกแบบมาเฉพาะเพื่อใช้ในงานด้าน Digital Forensic โดยเฉพาะโดยต้องมีอุปกรณ์ write-blocker เพื่อช่วยป้องกันไม่ให้มีการเขียนทับข้อมูลลงไปในสื่อบันทึกข้อมูลที่เป็นหลักฐานต้นฉบับ เพื่อรักษาให้คงสภาพเดิม และไม่สามารถทำโดยการ copy file ตามปกติได้ แต่ต้องใช้วิธีการทำ bit-by-bit imaging และเมื่อทำการสำเนาแล้วต้องมีการทำเอกลักษณ์ทางดิจิตอลเพื่อเป็นการรับรองสำเนา หรือทางเทคนิคเรียกว่าการทำ image authentication ด้วยเทคนิค data hashing ซึ่ง algorithm ที่เป็นที่นิยมคือ MD5 และ SHA-1 การทำเอกลักษณ์เพื่อรับรองสำเนานี้ จะทำให้ทราบได้ว่าหลักฐานที่ได้ทำสำเนาขึ้นใหม่นี้มีความคงเดิมและไม่มีการเปลี่ยนแปลงไปแม้แต่ bit เดียว เพราะหากมีการเปลี่ยนแปลงไปแม้เพียง bit เดียว จะทำให้ได้ค่า MD5 และ SHA-1 ผิดไปจากที่เคยทำไว้เดิม

2.4   การวิเคราะห์หลักฐาน

การวิเคราะห์หลักฐานมีวัตถุประสงค์เพื่อค้นหาข้อมูลที่จะนำไปสู่ความเชื่อมโยงของบุคคลและบ่งบอกได้ถึงกิจกรรมต่างๆ ที่เกิดขึ้นตามช่วงเวลาที่สนใจจากหลักฐานทางดิจิตอลที่ได้จัดเก็บรวมรวมมาจากสถานที่เกิดเหตุ  เช่น การสืบค้นดูว่ามีการส่งข้อความ SMS ออกจากโทรศัพท์มือถือในช่วงเวลาใดและส่งถึงใคร หรือว่ามีการรับส่ง email ถึงใคร เมื่อใด เป็นต้น การวิเคราะห์มักจะรวมถึงการจัดทำแผนผังลำดับเหตุการณ์หรือ timeline ของเหตุการณ์ที่เกิดขึ้นบนเครื่องคอมพิวเตอร์หนึ่งๆ หรือในภาพรวม เช่น มีการ download โปรแกรมบางอย่างเข้ามาลงในเครื่อง ก่อนที่จะมีการติดไวรัสและแพร่กระจายออกไปที่เครื่องอื่นๆ นักวิเคราะห์หลักฐานต้องพยายามหาข้อมูลเชื่อมโยงให้ได้ว่า user คนใดเป็นคน download โปรแกรมนั้นเข้ามาในช่วงเวลานั้น และ download มาจากที่ใด ก่อนที่จะมีการแพร่กระจายของไวรัส เป็นต้น การวิเคราะห์จะมีความสลับซับซ้อนมากน้อยเพียงใดขึ้นอยู่กับความซับซ้อนของรูปคดีและความเชี่ยวชาญของอาชญากรหรือผู้กระทำความผิดที่อาจใช้ความพยายามในการปกปิดข้อมูลหรือทำลายหลักฐานเพื่อให้ไม่สามารถติดตามร่องรอยได้โดยง่าย

สิ่งที่สำคัญในการวิเคราะห์หลักฐานคือเจ้าหน้าที่หรือนักวิเคราะห์หลักฐานจะไม่ทำการวิเคราะห์บนตัวหลักฐานที่เป็นต้นฉบับที่ได้มาจากสถานที่เกิดเหตุ แต่จะใช้การทำสำเนาแบบ forensic copy จากตัวต้นฉบับ แล้วส่งคืนต้นฉบับไปยังห้องเก็บหลักฐาน แล้วจึงดำเนินการวิเคราะห์กับตัวสำเนาแทน ทั้งนี้การทำสำเนาจะมีรายละเอียดในการทำเอกลักษณ์ทางดิจิตอลของสำเนาเพื่อยืนยันความถูกต้องของสำเนา และเป็นตัวที่จะใช้ยืนยันว่าสำเนานั้นไม่ได้ถูกเปลี่ยนแปลงแก้ไข และมีความถูกต้องตรงกันกับหลักฐานต้นฉบับ

3.       ขั้นตอนสิ้นสุดการดำเนินการ

ขั้นตอนนี้จะเน้นเกี่ยวกับการเขียนรายงานสรุปสิ่งที่ตรวจพบและบทวิเคราะห์ต่างๆ เพื่อนำไปประกอบสำนวนหรือส่งมอบให้แก่พนักงานเจ้าหน้าที่หรือผู้ว่าจ้างเพื่อนำไปใช้ประโยชน์ในการพิจารณาอื่นๆ ต่อไป การเขียนรายงานจำเป็นอย่างยิ่งที่ผู้เชี่ยวชาญต้องเขียนแยกให้เห็นเด่นชัดว่าส่วนใดเป็นข้อเท็จจริงที่ค้นพบจากหลักฐาน และส่วนใดเป็นข้อคิดเห็นของผู้เชี่ยวชาญ สิ่งที่สำคัญที่สุดที่ผู้เขียนรายงานต้องเข้าใจคือผู้เขียนรายงานไม่ใช่ผู้พิพากษาดังนั้นจะต้องเขียนรายงานตามข้อเท็จจริงที่ตรวจพบจากหลักฐานเท่านั้น ส่วนเรื่องการสรุปความหรือตีความนั้นเป็นหน้าที่ของทนาย อัยการ หรือศาลต่อไป

                                ทั้งหมดนี้เป็นภาพรวมของกระบวนการด้านนิติวิทยาศาสตร์ทางดิจิตอลโดยสังเขป ซึ่งในทางปฏิบัติแล้วจะมีรายละเอียดปลีกย่อยอีกมาก เนื่องจากหลักฐานทางดิจิตอลมีความหลากหลาย ไม่ว่าจะเป็นข้อมูลโดยทั่วไป ข้อมูลเสียง ภาพถ่ายหรือวิดีโอ อุปกรณ์หรือระบบงานที่ใช้จัดเก็บข้อมูลที่แตกต่างกัน ล้วนแล้วแต่มีกรรมวิธีและเทคนิคเฉพาะในการรวบรวมและวิเคราะห์ ซึ่งงานด้าน digital forensic ยังสามารถแยกแตกแขนงความเชี่ยวชาญออกไปเป็นสาขาย่อยๆ ได้อีก เช่น computer forensic, network forensic, mobile forensic, cloud-computing forensic, live-system forensic, audio forensic, video forensic, image forensic ฯลฯ ในปัจจุบันต้องถือว่าเรื่อง digital forensic ยังเป็นเรื่องที่ค่อนข้างใหม่ ทั้งกับพนักงานเจ้าหน้าที่ อัยการ ศาล และผู้ที่เกี่ยวข้องอื่นๆ มีผู้เชี่ยวชาญอยู่จำนวนน้อยและเป็นที่ต้องการของหลายหน่วยงาน ทั้งหน่วงงานด้าน law enforcement และหน่วยงานภาคเอกชนอื่นๆ ที่ให้ความสำคัญ ดังนั้นจึงจำเป็นต้องมีการสนับสนุนและส่งเสริมให้เกิดการสร้างบุคลากรด้านนี้เพิ่มมากขึ้น และมีการให้ความรู้ต่อทั้งหน่วยงานที่เกี่ยวข้องและสังคมในวงกว้างมากขึ้นให้ได้รู้จักศาสตร์ในด้านนี้ และความเป็นวิชาชีพของผู้ที่ประกอบอาชีพในด้านนี้ต่อไป

ที่มา:อ.ไชยกร อภิวัฒโนกุล ( Narinrit Prem-apiwathanokul )

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

DIGITAL FORENSICS:กรอบขั้นตอนการปฏิบัติงานการรับมือภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสาร

DIGITAL FORENSICS:กรอบขั้นตอนการปฏิบัติงานการรับมือภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสาร 

ขั้นตอนในการปฏิบัติงานบริหารจัดการภัยคุกคามทางด้านเทคโนโลยีสารสนเทศและการสื่อสาร 5 ขั้นตอนดังนี้

1. การระบุเหตุและรายงานภัยคุกคามฯ (Identication and Reporting)
2. การควบคุมภัยคุกคามฯ (Containment)
3. การแก้ไขและจำกัดภัยคุกคามฯ (Eradication)
4. การกู้คืนระบบ (Recovery)
5. กิจกรรมหลังภัยคุกคามฯ (Post-Incident Activity)

Incident Response plan

ข้อเสนอแนะการรับมือภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสาร

แบบฟอร์มรายงานการรับมือภัยคุกคามทางด้านเทคโนโลยีสารสนเทศและการสื่อสาร 

ที่มา:

1. NIST SP800-61 Revision 1 – Computer Security Incident Handling Guide
2. ENISA, A step-by-step approach on how to setup a CSIRT – Doing Incident Handling
3.  thaicert  ข้อเสนอแนะกรอบขั้นตอนการปฏิบัติงานการรับมือภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสาร

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Digital Forensics: Shell Folder

Digital Forensics: Shell Folder

Shell Folder คือค่าตั้งต้นของ path ต่างๆ ที่ windows กำหนดไว้  เช่น   Downloads ,
Desktop , Music, Documents , Pictures เป็นต้น โดยปกติจะอยู่ที่  Drive c: แต่เราสามารถปรับเปลี่ยนไป Drive อื่นได้ โดยเข้าไปแก้ไขใน  registry

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\User Shell Folders

Shell Folder and Default Locations Reference

แต่ละ User : สำหรับบัญชีผู้ใช้ปัจจุบันเส้นทางโฟลเดอร์จะถูกเก็บไว้ในคีย์รีจิสทรีต่อไปนี้:

Shell Folder Name / Value	Location
	%USERPROFILE%\Downloads
AppData	%USERPROFILE%\AppData\Roaming
Cache	%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCache
Cookies	%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCookies
Desktop	%USERPROFILE%\Desktop
Favorites	%USERPROFILE%\Favorites
History	%USERPROFILE%\AppData\Local\Microsoft\Windows\History
Local AppData	%USERPROFILE%\AppData\Local
My Music	%USERPROFILE%\Music
My Pictures	%USERPROFILE%\Pictures
My Video	%USERPROFILE%\Videos
NetHood	%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Network Shortcuts
Personal	%USERPROFILE%\Documents
PrintHood	%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Printer Shortcuts
Programs	%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
Recent	%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent
SendTo	%USERPROFILE%\AppData\Roaming\Microsoft\Windows\SendTo
Start Menu	%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu
Startup	%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Templates	%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Templates

Registry Timestamps

แต่ละคีย์รีจิสทรีมี timestamp ที่เก็บเวลาในการแก้ไขล่าสุดเช่นเดียวกับโฟลเดอร์ในระบบไฟล์ ข้อมูลดังกล่าวอาจมีประโยชน์ในบางครั้ง  ต่อไปนี้คือวิธีการนำข้อมูลTimestamps ออกมา

Export to text in regedit:

เราสามารถ export  registry ออกมาได้ โดยเลือกนามสกุล .txt  เพื่อดูค่า  last write time

  Last write time

ที่มา:
https://bit.ly/2JDpU98
https://bit.ly/2RCWr24
https://bit.ly/2AMa2yi
https://bit.ly/2yUipqm


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud