Friday, November 25, 2011

กระบวนการด้านนิติวิทยาศาสตร์ทางดิจิตอล

Digital Forensics:กระบวนการด้านนิติวิทยาศาสตร์ทางดิจิตอล

บทความเรื่อง กระบวนการด้านนิติวิทยาศาสตร์ทางดิจิตอล 


โดย อ.ไชยกร อภิวัฒโนกุล CISSP, CSSLP, GCFA, IRCA:ISMS, CEO @ S-Generation กันยายน 2554
*หมายเหตุ : บทความนี้มีวัตถุประสงค์เพื่อนำเสนอกรอบความคิดโดยรวมที่เกี่ยวข้องกับกระบวนการด้านนิติวิทยาศาสตร์ทางดิจิตอลเท่านั้น จึงไม่ได้กล่าวถึงขั้นตอนโดยละเอียดในการปฏิบัติ ทั้งนี้คู่มือในการปฏิบัติงานที่ได้มาตรฐานเป็นที่ยอมรับให้ใช้ได้ในประเทศไทย ยังอยู่ในระหว่างการพัฒนา
                                กระบวนการด้านนิติวิทยาศาสตร์มีความสำคัญอย่างมากในการพิจารณาวิเคราะห์หลักฐานต่างๆ ที่เกี่ยวข้องกับคดีความซึ่งส่วนใหญ่จะได้มาจากสถานที่เกิดเหตุ แล้วนำมาวิเคราะห์ที่ห้องแล็บด้วยวิธีการทางวิทยาศาสตร์ เพื่อนำผลที่ได้ไปประกอบการสืบสวนสอบสวนขยายผลตลอดจนการพิจารณาคดีในชั้นศาล ในอดีตกระบวนการด้านนิติวิทยาศาสตร์มักเกี่ยวข้องกับหลักฐานประเภท คราบเลือด เขม่าดินปืน รอยนิ้วมือ และ DNA เป็นต้น แต่เนื่องด้วยปัจจุบัน อาชญากรรมต่างๆ มักมีเครื่องมือหรืออุปกรณ์ที่ทันสมัยเข้าไปเกี่ยวข้องเช่น เครื่องคอมพิวเตอร์ โน๊ทบุ๊ค โทรศัพท์มือถือ และอุปกรณ์ต่างๆ ที่เป็นระบบดิจิตอล จึงเป็นที่มาของนิติวิทยาศาสตร์ทางดิจิตอล หรือ Digital Forensics
                                ดังนั้นนิยามของนิติวิทยาศาสตร์ทางดิจิตอลคือ การจัดเก็บรวบรวมและวิเคราะห์หลักฐานทางดิจิตอล ซึ่งรวมถึงหลักฐานที่ได้มาจากเครื่องคอมพิวเตอร์ เครือข่าย โทรศัพท์มือถือหรืออุปกรณ์จัดเก็บข้อมูลที่อยู่ในรูปแบบดิจิตอลต่างๆ ด้วยกระบวนการที่น่าเชื่อถือเพื่อให้สามารถนำข้อเท็จจริงจากการวิเคราะห์หลักฐานนำไปใช้เป็นหลักฐานที่ศาลยอมรับฟังได้ ทั้งนี้หากเป็นเหตุอาชญากรรมหรือวินาศกรรมโดยทั่วไป กระบวนการนี้จะถูกดำเนินการโดยหน่วยงานที่มีภาระกิจเกี่ยวข้องกับการบังคับใช้กฎหมายหรือหน่วยงานสนับสนุน เช่นกองพิสูจน์หลักฐาน สำนักงานตำรวจแห่งชาติ, สถาบันนิติวิทยาศาสตร์, กรมสอบสวนคดีพิเศษ และกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารเป็นต้น ทั้งนี้หากเป็นการสืบสวนสอบสวนเหตุทุจริตหรือการละเมิดนโยบายภายในองค์กร ก็อาจเป็นหน่วยงานเฉพาะกิจขององค์กรเองหรือหน่วยงานที่เอกชนที่มีความเชี่ยวชาญเป็นผู้ดำเนินการให้ก็เป็นได้
                                ภาพรวมของกระบวนการทางนิติวิทยาศาสตร์ด้านดิจิตอลสามารถแบ่งออกได้เป็น 3 ส่วนใหญ่ๆ กล่าวคือ
1.       ขั้นตอนการเตรียมการ
ขั้นตอนนี้จะเกี่ยวข้องกับการเริ่มต้นเตรียมการเพื่อให้เกิดความสามารถในการปฏิบัติการได้อย่างถูกต้องเหมาะสมตามหลักปฏิบัติสากล และเป็นที่น่าเชื่อถือ

1.1   การเตรียมการด้านบุคลากร
เนื่องจากหลักฐานทางดิจิตอลมีความละเอียดอ่อนและเปราะบางมากหากดำเนินการโดยผู้ที่ไม่ผ่านการฝึกอบรมหรือขาดทักษะที่เพียงพอแล้วจะทำให้หลักฐานเสียหายซึ่งอาจเป็นเพียงหลักฐานชิ้นเดียวที่จะนำไปสู่การสิ้นสุดคดีหรือเป็นตัวเชื่อมโยงหลักที่สำคัญต่อรูปคดีก็เป็นได้ ดังนั้นกระบวนการด้านนิติวิทยาศาสตร์จะต้องดำเนินการด้วยเจ้าหน้าที่หรือผู้ที่มีทักษะผ่านการฝึกอบรมที่จำเป็นมาแล้วเท่านั้น  เพราะหากมีการดำเนินการในขั้นตอนหนึ่งขั้นตอนใดโดยผู้ที่ขาดทักษะแล้ว นอกจากจะทำให้หลักฐานเสียหายแล้วยังอาจมีผลทำให้ความน่าเชื่อถือของหลักฐานหรือผลการวิเคราะห์ในหลักฐานนั้น ด้อยลงไป
การฝึกอบรมนั้นจะต้องประกอบไปด้วยการฝึกอบรมพื้นฐานด้านเทคนิคที่เกี่ยวข้องจำเป็น ขั้นตอนในการสืบสวนสอบสวน และข้อกำหนดทางกฎหมายต่างๆ ที่เกี่ยวข้อง ปัจจุบันในต่างประเทศมีหลักสูตรและการสอบรับรองคุณวุฒิของหลายสถาบันที่เป็นที่ยอมรับ เช่น GCFA (GIAC Certified Forensic Analyst) ของสถาบัน SANS, CCFE (Certified Computer Forensics Examiner) ของ IACRB และ CCE (Certified Computer Examiner) ของ ISFCE เป็นต้น
1.2   การเตรียมการด้านกระบวนการ
การที่จะให้หลักฐานและผลการวิเคราะห์หลักฐานมีความน่าเชื่อถือได้นั้น กระบวนการต่างๆ ที่กระทำเพื่อให้ได้มาซึ่งหลักฐานและการกระทำต่อหลักฐานต้องเป็นไปตามหลักวิชาการที่เป็นที่ยอมรับโดยสากล และมีการทำบันทึกเป็นลายลักษณ์อักษรตลอดกระบวนการ สามารถตรวจสอบย้อนหลังได้ว่าผู้ใดเป็นผู้ดำเนินการส่วนใด ณ วันเวลาใด เป็นต้น ส่วนใหญ่การเตรียมการในขั้นตอนนี้จะเน้นเรื่องการออกแบบพัฒนาขั้นตอนการปฏิบัติงาน ตั้งแต่การขออนุญาตดำเนินการในสถานที่เกิดเหตุ การเก็บรวบรวมหลักฐานทางดิจิตอล การนำส่งหลักฐานให้กับหน่วยงานดูแลหลักฐาน การเบิกหลักฐาน การทำสำเนา การวิเคราะห์ การเขียนรายงานตลอดจนการทำลายสำเนาของหลักฐานเมื่อสิ้นสุดคดีความ และการพัฒนาแบบฟอร์มต่างๆ ที่ต้องนำไปใช้ในแต่ละขั้นตอนการปฏิบัติงาน เช่น แบบฟอร์มการยึดอายัดหลักฐาน และแบบฟอร์ม COC (Chain of Custody) เป็นต้น

นอกจากกระบวนการในการรวบรวม นำส่งและวิเคราะห์หลักฐานให้มีความน่าเขื่อถือแล้ว ยังต้องมีการบวนการควบคุมเพื่อให้เกิดความมั่นคงปลอดภัยต่อหลักฐานในการดำเนินการทุกขั้นตอนเพื่อมิให้หลักฐานถูกทำลาย เปลี่ยนแปลงหรือหลุดรั่วออกไปโดยไม่ได้รับอนุญาตอีกด้วย
1.3   การเตรียมการด้านเครื่องมือและอุปกรณ์
เครื่องมือพื้นฐานที่จำเป็นแบ่งออกได้เป็น 3 กลุ่มคือ

1.3.1          เครื่องมือช่วยในการเก็บรวบรวมหลักฐาน
ส่วนใหญ่จะเป็นเครื่องมือภาคสนามที่สามารถเคลื่อนย้ายได้สะดวกหรือเป็นขนาดพกพา (portable) ซึ่งสามารถนำไปใช้งาน ณ สถานที่เกิดเหตุได้อย่างคล่องตัว เช่นอุปกรณ์จัดเก็บ Volatile Data หรือข้อมูลที่อยู่ใน RAM อุปกรณ์ต่อพ่วง อุปกรณ์ทำสำเนา hard disk ที่ต้องมีคุณลักษณะพิเศษคือมีลักษณะเป็นแบบป้องกันการเขียนทับข้อมูลลงไปบนหลักฐานหรือ writer-blocker ถุงป้องกันไฟฟ้าสถิตย์ (Static Bag) และ ถุงป้องกันคลื่อนแม่เหล็กไฟฟ้า (Faraday Bag) เป็นต้น  โดยมีเป้าหมายเพื่อให้สามารถจัดเก็บและรักษาสภาพของหลักฐานไว้ให้อยู่ในสภาพเดิมให้ได้มากที่สุด
1.3.2          เครื่องมือช่วยในการวิเคราะห์หลักฐาน
จะเป็นเครื่องมือที่อาจเป็นทั้ง hardware และ software ที่นำมาใช้ช่วยในกระบวนการวิเคราะห์หลักฐาน ซึ่งส่วนใหญ่มักจะเกี่ยวข้องกับการกู้คืนข้อมูลที่ถูกลบ การประมวลผล file system รูปแบบต่างๆ การทำแผนผังลำดับเหตุการณ์ (timeline) และการค้นหาด้วยคำค้นต่างๆ (keyword search) การวิเคราะห์ยังมักเกี่ยวกับการวิเคราะห์หาความเชื่อมโยงของคน กิจกรรม วัน เวลา หรือเรียกง่ายๆ ว่า ใคร ที่ไหน เมื่อไหร่ อย่างไร เท่าที่จะหาได้จากหลักฐานที่ได้มา ซึ่งถ้ามีเครื่องมือที่ดี ก็จะช่วยให้สามารถวิเคราะห์ค้นหาและหาความสัมพันธ์เชื่อมโยงต่างๆ ได้อย่างรวดเร็วมากยิ่งขึ้น

1.3.3          เครื่องมือช่วยอื่นๆ
เครื่องมือช่วยปฏิบัติงานอื่นๆ ขึ้นอยู่กับประเภทของหลักฐาน เช่น เครื่องอ่านข้อมูลในโทรศัพท์มือถือ เครื่องช่วยลบข้อมูลในสื่อบันทึกข้อมูลที่เสร็จสิ้นการใช้งานจากคดีหนึ่งแล้ว และต้องการนำกลับไปใช้กับคดีอื่น
1.4   การเตรียมการเรื่องห้องปฏิบัติการ
ห้องปฏิบัติการด้านนิติวิทยาศาสตร์นั้นจะต้องเป็นพื้นที่ที่มีการควบคุมในระดับสูงเนื่องจากต้องมีการจัดเก็บและดำเนินการเกี่ยวกับหลักฐานที่เกี่ยวข้องกับอาชญากรรมต่างๆ จึงมีข้อกำหนดต่างๆ มากมายเกี่ยวกับด้านความมั่นคงปลอดภัย คุณภาพ บุคลากร กระบวนการทำงานต่างๆ และจรรยาบรรณ ต้องเป็นไปตามมาตรฐานที่เป็นที่ยอมรับสากล ซึ่งมักจะอ้างอิงถึง ASCLD/LAB (The American Society of Crime Laboratory Directors/Laboratory Accreditation Board) เป็นหลัก

2.       ขั้นตอนดำเนินการ
เมื่อเกิดเหตุที่พนักงานเจ้าหน้าที่ด้านนิติวิทยาศาสตร์ต้องเข้าไปเก็บหลักฐานเพื่อนำมาวิเคราะห์ พอจะสรุปเป็นขั้นตอนหลักๆ ได้ดังต่อไปนี้

2.1   การเก็บรวบรวมหลักฐานจากที่เกิดเหตุ
กระบวนการนี้หลักๆ ต้องพยายามจัดเก็บรวบรวมข้อมูลหลักฐานที่เป็น volatile และที่เป็น non-volatile ซึ่งมีขั้นตอนในรายละเอียดมาก จากนั้นจะมาเน้นที่ขั้นตอนการหุ้มห่อลงในถุงหรือหีบห่อที่มีคุณสมบัติป้องกันไฟฟ้าสถิตย์ และป้องกันคลื่นแม่เหล็กไฟฟ้าในกรณีที่หลักฐานมีความไวต่อคลื่นแม่เหล็กไฟฟ้า

2.2   การนำส่ง การจัดเก็บและการเบิกหลักฐาน
ในทุกๆ ขั้นตอนของการเคลื่อนย้ายหลักฐานจำเป็นต้องมีหนังสือหรือแบบฟอร์มกำกับเพื่อให้สามารถตรวจสอบย้อนหลังได้ว่าในแต่ละช่วงเวลามีใครเป็นถือครองหรือรับผิดชอบต่อหลักฐานนั้นๆ เพื่อป้องกันการลักลอบเข้าถึง เปลี่ยนแปลงหรือทำลายหลักฐานโดยไม่ได้รับอนุญาต

2.3   การทำสำเนาหลักฐาน
การทำสำเนาหลักฐานต้องทำด้วยอุปกรณ์ที่ถูกออกแบบมาเฉพาะเพื่อใช้ในงานด้าน Digital Forensic โดยเฉพาะโดยต้องมีอุปกรณ์ write-blocker เพื่อช่วยป้องกันไม่ให้มีการเขียนทับข้อมูลลงไปในสื่อบันทึกข้อมูลที่เป็นหลักฐานต้นฉบับ เพื่อรักษาให้คงสภาพเดิม และไม่สามารถทำโดยการ copy file ตามปกติได้ แต่ต้องใช้วิธีการทำ bit-by-bit imaging และเมื่อทำการสำเนาแล้วต้องมีการทำเอกลักษณ์ทางดิจิตอลเพื่อเป็นการรับรองสำเนา หรือทางเทคนิคเรียกว่าการทำ image authentication ด้วยเทคนิค data hashing ซึ่ง algorithm ที่เป็นที่นิยมคือ MD5 และ SHA-1 การทำเอกลักษณ์เพื่อรับรองสำเนานี้ จะทำให้ทราบได้ว่าหลักฐานที่ได้ทำสำเนาขึ้นใหม่นี้มีความคงเดิมและไม่มีการเปลี่ยนแปลงไปแม้แต่ bit เดียว เพราะหากมีการเปลี่ยนแปลงไปแม้เพียง bit เดียว จะทำให้ได้ค่า MD5 และ SHA-1 ผิดไปจากที่เคยทำไว้เดิม
2.4   การวิเคราะห์หลักฐาน
การวิเคราะห์หลักฐานมีวัตถุประสงค์เพื่อค้นหาข้อมูลที่จะนำไปสู่ความเชื่อมโยงของบุคคลและบ่งบอกได้ถึงกิจกรรมต่างๆ ที่เกิดขึ้นตามช่วงเวลาที่สนใจจากหลักฐานทางดิจิตอลที่ได้จัดเก็บรวมรวมมาจากสถานที่เกิดเหตุ  เช่น การสืบค้นดูว่ามีการส่งข้อความ SMS ออกจากโทรศัพท์มือถือในช่วงเวลาใดและส่งถึงใคร หรือว่ามีการรับส่ง email ถึงใคร เมื่อใด เป็นต้น การวิเคราะห์มักจะรวมถึงการจัดทำแผนผังลำดับเหตุการณ์หรือ timeline ของเหตุการณ์ที่เกิดขึ้นบนเครื่องคอมพิวเตอร์หนึ่งๆ หรือในภาพรวม เช่น มีการ download โปรแกรมบางอย่างเข้ามาลงในเครื่อง ก่อนที่จะมีการติดไวรัสและแพร่กระจายออกไปที่เครื่องอื่นๆ นักวิเคราะห์หลักฐานต้องพยายามหาข้อมูลเชื่อมโยงให้ได้ว่า user คนใดเป็นคน download โปรแกรมนั้นเข้ามาในช่วงเวลานั้น และ download มาจากที่ใด ก่อนที่จะมีการแพร่กระจายของไวรัส เป็นต้น การวิเคราะห์จะมีความสลับซับซ้อนมากน้อยเพียงใดขึ้นอยู่กับความซับซ้อนของรูปคดีและความเชี่ยวชาญของอาชญากรหรือผู้กระทำความผิดที่อาจใช้ความพยายามในการปกปิดข้อมูลหรือทำลายหลักฐานเพื่อให้ไม่สามารถติดตามร่องรอยได้โดยง่าย

สิ่งที่สำคัญในการวิเคราะห์หลักฐานคือเจ้าหน้าที่หรือนักวิเคราะห์หลักฐานจะไม่ทำการวิเคราะห์บนตัวหลักฐานที่เป็นต้นฉบับที่ได้มาจากสถานที่เกิดเหตุ แต่จะใช้การทำสำเนาแบบ forensic copy จากตัวต้นฉบับ แล้วส่งคืนต้นฉบับไปยังห้องเก็บหลักฐาน แล้วจึงดำเนินการวิเคราะห์กับตัวสำเนาแทน ทั้งนี้การทำสำเนาจะมีรายละเอียดในการทำเอกลักษณ์ทางดิจิตอลของสำเนาเพื่อยืนยันความถูกต้องของสำเนา และเป็นตัวที่จะใช้ยืนยันว่าสำเนานั้นไม่ได้ถูกเปลี่ยนแปลงแก้ไข และมีความถูกต้องตรงกันกับหลักฐานต้นฉบับ

3.       ขั้นตอนสิ้นสุดการดำเนินการ
ขั้นตอนนี้จะเน้นเกี่ยวกับการเขียนรายงานสรุปสิ่งที่ตรวจพบและบทวิเคราะห์ต่างๆ เพื่อนำไปประกอบสำนวนหรือส่งมอบให้แก่พนักงานเจ้าหน้าที่หรือผู้ว่าจ้างเพื่อนำไปใช้ประโยชน์ในการพิจารณาอื่นๆ ต่อไป การเขียนรายงานจำเป็นอย่างยิ่งที่ผู้เชี่ยวชาญต้องเขียนแยกให้เห็นเด่นชัดว่าส่วนใดเป็นข้อเท็จจริงที่ค้นพบจากหลักฐาน และส่วนใดเป็นข้อคิดเห็นของผู้เชี่ยวชาญ สิ่งที่สำคัญที่สุดที่ผู้เขียนรายงานต้องเข้าใจคือผู้เขียนรายงานไม่ใช่ผู้พิพากษาดังนั้นจะต้องเขียนรายงานตามข้อเท็จจริงที่ตรวจพบจากหลักฐานเท่านั้น ส่วนเรื่องการสรุปความหรือตีความนั้นเป็นหน้าที่ของทนาย อัยการ หรือศาลต่อไป

                                ทั้งหมดนี้เป็นภาพรวมของกระบวนการด้านนิติวิทยาศาสตร์ทางดิจิตอลโดยสังเขป ซึ่งในทางปฏิบัติแล้วจะมีรายละเอียดปลีกย่อยอีกมาก เนื่องจากหลักฐานทางดิจิตอลมีความหลากหลาย ไม่ว่าจะเป็นข้อมูลโดยทั่วไป ข้อมูลเสียง ภาพถ่ายหรือวิดีโอ อุปกรณ์หรือระบบงานที่ใช้จัดเก็บข้อมูลที่แตกต่างกัน ล้วนแล้วแต่มีกรรมวิธีและเทคนิคเฉพาะในการรวบรวมและวิเคราะห์ ซึ่งงานด้าน digital forensic ยังสามารถแยกแตกแขนงความเชี่ยวชาญออกไปเป็นสาขาย่อยๆ ได้อีก เช่น computer forensic, network forensic, mobile forensic, cloud-computing forensic, live-system forensic, audio forensic, video forensic, image forensic ฯลฯ ในปัจจุบันต้องถือว่าเรื่อง digital forensic ยังเป็นเรื่องที่ค่อนข้างใหม่ ทั้งกับพนักงานเจ้าหน้าที่ อัยการ ศาล และผู้ที่เกี่ยวข้องอื่นๆ มีผู้เชี่ยวชาญอยู่จำนวนน้อยและเป็นที่ต้องการของหลายหน่วยงาน ทั้งหน่วงงานด้าน law enforcement และหน่วยงานภาคเอกชนอื่นๆ ที่ให้ความสำคัญ ดังนั้นจึงจำเป็นต้องมีการสนับสนุนและส่งเสริมให้เกิดการสร้างบุคลากรด้านนี้เพิ่มมากขึ้น และมีการให้ความรู้ต่อทั้งหน่วยงานที่เกี่ยวข้องและสังคมในวงกว้างมากขึ้นให้ได้รู้จักศาสตร์ในด้านนี้ และความเป็นวิชาชีพของผู้ที่ประกอบอาชีพในด้านนี้ต่อไป

ที่มา:อ.ไชยกร อภิวัฒโนกุล ( Narinrit Prem-apiwathanokul )

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

DIGITAL FORENSICS:กรอบขั้นตอนการปฏิบัติงานการรับมือภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสาร

DIGITAL FORENSICS:กรอบขั้นตอนการปฏิบัติงานการรับมือภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสาร 


ขั้นตอนในการปฏิบัติงานบริหารจัดการภัยคุกคามทางด้านเทคโนโลยีสารสนเทศและการสื่อสาร 5 ขั้นตอนดังนี้

  1. การระบุเหตุและรายงานภัยคุกคามฯ (Identication and Reporting)
  2. การควบคุมภัยคุกคามฯ (Containment)
  3. การแก้ไขและจำกัดภัยคุกคามฯ (Eradication)
  4. การกู้คืนระบบ (Recovery)
  5. กิจกรรมหลังภัยคุกคามฯ (Post-Incident Activity)

ที่มา:
  1. NIST SP800-61 Revision 1 – Computer Security Incident Handling Guide
  2. ENISA, A step-by-step approach on how to setup a CSIRT – Doing Incident Handling
  3.  thaicert  ข้อเสนอแนะกรอบขั้นตอนการปฏิบัติงานการรับมือภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสาร
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Saturday, November 5, 2011

Digital Forensics: Shell Folder

Digital Forensics: Shell Folder



Shell Folder คือค่าตั้งต้นของ path ต่างๆ ที่ windows กำหนดไว้  เช่น   Downloads ,
Desktop , Music, Documents , Pictures เป็นต้น โดยปกติจะอยู่ที่  Drive c: แต่เราสามารถปรับเปลี่ยนไป Drive อื่นได้ โดยเข้าไปแก้ไขใน  registry

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\User Shell Folders




Shell Folder and Default Locations Reference

แต่ละ User : สำหรับบัญชีผู้ใช้ปัจจุบันเส้นทางโฟลเดอร์จะถูกเก็บไว้ในคีย์รีจิสทรีต่อไปนี้:
Shell Folder Name / ValueLocation

%USERPROFILE%\Downloads
AppData%USERPROFILE%\AppData\Roaming
Cache%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCache
Cookies%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCookies
Desktop%USERPROFILE%\Desktop
Favorites%USERPROFILE%\Favorites
History%USERPROFILE%\AppData\Local\Microsoft\Windows\History
Local AppData%USERPROFILE%\AppData\Local
My Music%USERPROFILE%\Music
My Pictures%USERPROFILE%\Pictures
My Video%USERPROFILE%\Videos
NetHood%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Network Shortcuts
Personal%USERPROFILE%\Documents
PrintHood%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Printer Shortcuts
Programs%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
Recent%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent
SendTo%USERPROFILE%\AppData\Roaming\Microsoft\Windows\SendTo
Start Menu%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu
Startup%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Templates%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Templates

Registry Timestamps

แต่ละคีย์รีจิสทรีมี timestamp ที่เก็บเวลาในการแก้ไขล่าสุดเช่นเดียวกับโฟลเดอร์ในระบบไฟล์ ข้อมูลดังกล่าวอาจมีประโยชน์ในบางครั้ง  ต่อไปนี้คือวิธีการนำข้อมูลTimestamps ออกมา
Export to text in regedit:
เราสามารถ export  registry ออกมาได้ โดยเลือกนามสกุล .txt  เพื่อดูค่า  last write time
  Last write time





ที่มา:
https://bit.ly/2JDpU98
https://bit.ly/2RCWr24
https://bit.ly/2AMa2yi
https://bit.ly/2yUipqm


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud

Wednesday, May 25, 2011

Digital Forensics:(ASCII) คือ

Digital Forensics:(ASCII) คือ

แอสกี้ ASCII: American Standard Code for Information Interchange) เป็นรหัสมาตรฐานของสหรัฐอเมริกาเพื่อการแลกเปลี่ยนสารสนเทศนี้ เป็นรหัสมาตรฐานที่ใช้กับคอมพิวเตอร์รหัสหนึ่ง ที่ใช้เลขฐานสอง รหัสแอสกี, รหัสมาตรฐาน ใช้แทนอักขระด้วย 7 บิต (ถ้ารวม parity check ด้วยจะเป็น 8 บิต)

ประวัติ รหัสแอสกีมีใช้ในระบบคอมพิวเตอร์ และเครื่องมือสื่อสารแบบดิจิทัลต่างๆ พัฒนาขึ้นโดยคณะกรรมการ X3 ซึ่งอยู่ภายใต้การดูแลของสมาคมมาตรฐานอเมริกา (American Standards Association) ภายหลังกลายเป็น สถาบันมาตรฐานแห่งชาติอเมริกา (American National Standard Institute : ANSI) ในปี ค.ศ. 1969 โดยเริ่มต้นใช้ครั้งแรกในปี ค.ศ. 1967 ซึ่งมีอักขระทั้งหมด 128 ตัว (7 บิต) โดยจะมี 33 ตัวที่ไม่แสดงผล (unprintable/control character) ซึ่งใช้สำหรับควบคุมการทำงานของคอมพิวเตอร์บางประการ เช่น การขึ้นย่อหน้าใหม่สำหรับการพิมพ์ (CR & LF - carriage return and line feed) การสิ้นสุดการประมวลผลข้อมูลตัวอักษร (ETX - end of text) เป็นต้น และ อีก 95 ตัวที่แสดงผลได้ (printable character) ดังที่ปรากฏตามผังอักขระ (character map) ด้านล่าง รหัสแอสกีได้รับการปรับปรุงล่าสุดเมื่อ ค.ศ. 1986 ให้มีอักขระทั้งหมด 256 ตัว (8 บิต) และเรียกใหม่ว่าแอสกีแบบขยาย อักขระที่เพิ่มมา 128 ตัวใช้สำหรับแสดงอักขระเพิ่มเติมในภาษาของแต่ละท้องถิ่นที่ใช้ โดยจะมีผังอักขระที่แตกต่างกันไปในแต่ละภาษาซึ่งเรียกว่า โคดเพจ (codepage) โดยอักขระ 128 ตัวแรกส่วนใหญ่จะยังคงเหมือนกันแทบทุกโคดเพจ มีส่วนน้อยที่เปลี่ยนแค่บางอักขระ
 
ASCII TABLE

แอสกี้(ASCII) คือ
ตัวอย่าง รหัสแทนข้อมูลแบบ ASCII

บิตที่
7
6
5
4
3
2
1
0


0
0
1
1
0
1
1
1
แทน 7

0
1
0
0
0
1
1
1
แทน G

0
1
1
0
0
1
1
1
แทน g

0
1
0
0
1
0
1
0
แทน J

0
0
1
0
1
0
1
1
แทน +

จากหลักการของระบบเลขฐานสอง แต่ละบิตสามารแทนค่าได้ 2 แบบ คือ เลข 0 หรือเลข 1 ถ้าเราเขียนเลขฐานสอง เรียงกัน 2 บิต ในการแทนอักขระ เราจะมีรูปแบบในการแทนอักขระได้ 2 หรือ 4 รุปแบบคือ 00 ,01 ,10 ,11 ดังนั้นในการใช้รหัสแอสกีซึ่งมี 8 บิต ในการแทนอักขระแล้ว เราจะมีรูปแบบที่ใช้แทนถึง 28 หรือ 256 รูปแบบ ซึ่งเมื่อใช้แทนตัวอักษรภาษาอังกฤษแล้ว ยังมีเหลืออยู่ สำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม หรือ สมอ.จึงได้กำหนดรหัสภาษาไทยเพิ่มลงไปเพื่อให้ใช้งานร่วมกัน

ตัวอย่าง การแทนข้อมูลในเครื่องคอมพิวเตอร์

A
0100 0001
X
0101 1000
B
0100 0010
Y
0101 1001
C
0100 0011
Z
0101 1010
D
0100 0100
0
0011 0000
E
0100 0101
1
0011 0001
F
0100 0110
2
0011 0010
G
0100 0111
3
0011 0011
H
0100 1000
4
0011 0100
I
0100 1001
5
0011 0101
J
0100 1010
6
0011 0110
K
0100 1011
7
0011 0111
L
0100 1100
8
0011 1000
M
0100 1101
9
0011 1001
N
0100 1110
.
0010 1110
O
0100 1111
(
0010 1000
P
0101 0000
+
0010 1011
Q
0101 0001
$
0010 0100
R
0101 0010
*
0010 1010
S
0101 0011
)
0010 1001
T
0101 0100
-
0010 1101
U
0101 0101
/
0010 1111
V
0101 0110
'
0010 1100
W
0101 0111
=
0010 1101

character set คืออะไร

ก่อนจะไปพูดถึง Character set ขอเล่าถึงที่มาและรูปแบบการเก็บข้อมูลในคอมพิวเตอร์กันซักนิด เราคงทราบกันดีกว่าคอมพิวเตอร์เก็บข้อมูลในรูปแบบดิจิทัลโดยใช้แค่ตัวเลข 0 กับ 1 ตัวเลขหนึ่งตัวเรียกว่า 1 bit ถ้ามีตัวเลขแปดตัว (8 bit) เรียกว่า 1 byte

เนื่องจากว่าการรับส่งข้อมูลในคอมพิวเตอร์โดยแท้จริงแล้วเป็นแค่การรับส่งตัวเลข 0 กับ 1 ดังนั้นถ้าจะส่งข้อมูลที่เป็นตัวอักษร ก็จำเป็นต้องมีการสร้างรหัสขึ้นมาเพื่อใช้อ้างอิงว่าตัวเลขชุดนี้แทนตัวอักษรอะไร ซึ่งถ้าหากจะเปรียบเทียบให้เห็นภาพในสิ่งที่คล้ายๆ กันก็ลองเปรียบเทียบกับรหัสมอร์สที่ใช้การเคาะจังหวะสั้นกับยาวเพื่อใช้ในการส่งข้อความ

ASCII เป็นรหัสที่ทางอเมริกากำหนดขึ้นมาเพื่อใช้ในการแลกเปลี่ยนข้อมูล โดยในรหัส ASCII ประกอบด้วยตัวอักษรภาษาอังกฤษ (แบบ Latin) ตัวเลขอารบิค เครื่องหมายวรรคตอน และสัญลักษณ์ต่างๆ โดยมีตารางแอสกี (ASCII table) หรือชุดอักขระแอสกี (ASCII character set) มาใช้ในการอ้างอิงว่ารหัสนี้แทนตัวอักษรอะไร เช่น ตัว A ในภาษาอังกฤษ ถูกแทนด้วย 65 ในเลขฐานสิบ (Decimal) หรือ 41 ในเลขฐานสิบหก (Hexadecimal) เป็นต้น [1] ตัวอย่างตารางแอสกีเป็นดังรูปที่ 1

เนื่องจากอักขระ (Character) ในภาษาอังกฤษ (ตัวเลข+ตัวอักษร+เครื่องหมาย+อักขระพิเศษอื่นๆ) รวมกันแล้วมีประมาณร้อยกว่าตัว จึงสามารถใช้รหัส ASCII แบบ 7 bit ที่สามารถเก็บข้อมูลได้ 128 รูปแบบ (2^7 = 128) มาใช้ในการเก็บตัวอักษรและอักขระพิเศษทั้งหมดได้ในรหัสตั้งแต่ 0 - 127

ASCII code คืออะไร

ASCII TABLE

Dec Hex Oct Char Description
0 0 000 null
1 1 001 start of heading
2 2 002 start of text
3 3 003 end of text
4 4 004 end of transmission
5 5 005 enquiry
6 6 006 acknowledge
7 7 007 bell
8 8 010 backspace
9 9 011 horizontal tab
10 A 012 new line
11 B 013 vertical tab
12 C 014 new page
13 D 015 carriage return
14 E 016 shift out
15 F 017 shift in
16 10 020 data link escape
17 11 021 device control 1
18 12 022 device control 2
19 13 023 device control 3
20 14 024 device control 4
21 15 025 negative acknowledge
22 16 026 synchronous idle
23 17 027 end of trans. block
24 18 030 cancel
25 19 031 end of medium
26 1A 032 substitute
27 1B 033 escape
28 1C 034 file separator
29 1D 035 group separator
30 1E 036 record separator
31 1F 037 unit separator
32 20 040 space
33 21 041 !
34 22 042 "
35 23 043 #
36 24 044 $
37 25 045 %
38 26 046 &
39 27 047 '
40 28 050 (
41 29 051 )
42 2A 052 *
43 2B 053 +
44 2C 054 ,
45 2D 055 -
46 2E 056 .
47 2F 057 /
48 30 060 0
49 31 061 1
50 32 062 2
51 33 063 3
52 34 064 4
53 35 065 5
54 36 066 6
55 37 067 7
56 38 070 8
57 39 071 9
58 3A 072 :
59 3B 073 ;
60 3C 074 <
61 3D 075 =
62 3E 076 >
63 3F 077 ?





64 40 100 @
65 41 101 A
66 42 102 B
67 43 103 C
68 44 104 D
69 45 105 E
70 46 106 F
71 47 107 G
72 48 110 H
73 49 111 I
74 4A 112 J
75 4B 113 K
76 4C 114 L
77 4D 115 M
78 4E 116 N
79 4F 117 O
80 50 120 P
81 51 121 Q
82 52 122 R
83 53 123 S
84 54 124 T
85 55 125 U
86 56 126 V
87 57 127 W
88 58 130 X
89 59 131 Y
90 5A 132 Z
91 5B 133 [
92 5C 134 \
93 5D 135 ]
94 5E 136 ^
95 5F 137 _
96 60 140 `
97 61 141 a
98 62 142 b
99 63 143 c
100 64 144 d
101 65 145 e
102 66 146 f
103 67 147 g
104 68 150 h
105 69 151 i
106 6A 152 j
107 6B 153 k
108 6C 154 l
109 6D 155 m
110 6E 156 n
111 6F 157 o
112 70 160 p
113 71 161 q
114 72 162 r
115 73 163 s
116 74 164 t
117 75 165 u
118 76 166 v
119 77 167 w
120 78 170 x
121 79 171 y
122 7A 172 z
123 7B 173 {
124 7C 174 |
125 7D 175 }
126 7E 176 ~
127 7F 177 DEL


 

ASCII Encoding:

แปลงค่าจาก

 68 105 103 105 116 97 108 32 70 111 114 101 110 115 105 99 115 32 69 120 97 109 105 110 101 114

ให้กลายเป็น String =?

onlinestringtools

 

สรุป

  • รูปแบบของ ASCII จะเก็บข้อมูลโดยใช้ 8 Bits (1 Bytes) ต่อ 1 Character

  • รูปแบบของ Unicode จะเก็บข้อมูลโดยใช้ 16 Bits (2 Bytes) ต่อ 1 Character


  • ที่มา:
    thaicert
    devlist
    bcom56146 


    * หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
    ขอบคุณครับ

    #WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics  #computerforensic #investigation #cybercrime #fraud