Saturday, December 28, 2013

DIGITAL FORENSICS:Flash Drive จับโจร

DIGITAL FORENSICS:Flash Drive จับโจร

ฉายแวว [by Mahidol] ซีรีย์ งานวิจัยนักศึกษา : Flash Drive จับโจร

 เมื่อโจรใช้เทคโนโลยีในการทำความผิด ตำรวจก็ต้องอัพเดท "เครื่องมือ" เพื่อจับโจรไฮเทค นักศึกษาจากภาควิชาวิศวกรรมคอมพิวเตอร์ คณะวิศวกรรมศาสตร์ ม.มหิดล มิ้ง - นฤนาถ ลาภปริสุทธิ์ และ โบ - เกศินี แดงคง ได้คิดค้นเครื่องมือเพื่อช่วยตำรวจจับโจรไฮเทค นั่นคือ Flash Drive ที่สามารถคัดลอก "ข้อมูลสำคัญแต่ยากในการเข้าถึง" จากคอมพิวเตอร์ต้องสงสัย เพื่อค้นหาหลักฐานในการทำความผิด ซึ่งเป็นส่วนหนึ่งของงานด้านนิติวิทยาดิจิทัล (Digital Forensic Science) เราเคยชินกับคำว่านิติวิทยาศาสตร์ (Forensic Science) กันมานานแล้ว ตอนนี้แพร พิมพ์ลดา จะพาไปรู้จักกับ "นิติวิทยาดิจิทัล" ผ่านผลงานของนักศึกษาที่ผลิต "Flash Drive จับโจร"

 

อ่านเพิ่มเติม "นิติวิทยาดิจิทัล"

 

 

ที่มา:


Mahidol Channel มหิดล แชนแนล
https://channel.mahidol.ac.th

 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #Digital Forensic มหิดล

Thursday, December 26, 2013

Digital Forensics:Forensic Imaging with DD command

Digital Forensics:Forensic Imaging with DD command

dd – Linux Command คำสั่ง backup ข้อมูลใน harddisk ในทาง digital forensics ใช้คำสั่ง DD ในการทำสำเนาหลักฐาน Forensic Imaging

 คำสั่ง

dd if=<source file name> of=<target file name> [Options]
  • if=<source> – กำหนดตำแหน่ง directory ต้นทางที่ต้องการ Forensic Image ข้อมูล โดย “if” คือ input-file
  • of=<destination> –กำหนดตำแหน่ง file ปลายทางที่ต้องการ  Image file ทำการเขียนข้อมูลลงไป โดย “of” คือ output-file
1. ทำการ clone hardisk จากลูกหนึ่งไปอีกลูกหนึ่ง
dd if=/dev/sda of=/dev/sdb

2. ทำการ backup partition ที่ต้องการ ไปยัง file ที่กำหนด
dd if =/dev/sda2 of=~/hdadisk.img

3. ทำการ restore จาก Image file
dd if=hdadisk.img of=/dev/sdb3
 
4.  คำสั่งลบข้อมูล (WIPE Disk) บน Harddisk
 
dd if=/dev/zero of=/dev/hda bs=4K conv=noerror,sync 
 
5.  Hash > Hashing the evidence for integrity checking
sha1sum /dev/hda | tee ForensicImage_sha1.txt 
md5sum /dev/hda | tee ForensicImage_md5.txt

6. example 
dd if=/dev/hda bs=4K conv=sync,noerror | tee ForensicImage.img | md5sum > ForensicImage.md5
 เมื่อทำ ForensicImage แล้ว ควรทำการ hash ไฟล์ข้อมูลทุกครั้งด้วย md5 หรือ SHA-1  

โครงสร้างคำสั่ง

 dd [OPERAND]... dd OPTION 

if             => input file
/dev/hda       => the linux name of a physical disk.  Mac has their own names.
/dev/zero      => in linux, this is an infinite source of nulls
of             => output file
ForensicImage.img  => The name of the image file you are creating
bs             => blocksize
65536          => 64K  (I normally use 4K in linux.  That is what the linux kernel uses as a page size.) 
        เป็นการบอกให้ dd ทำการอ่านและเขียนข้อมูลทีล่ะ 1024*64 k = 65536 byte blocksize 
 
noerror        => don't die if you have a read error from the source drive
 
conv=noerror    คือในกรณีที่คำสั่ง dd ทำการอ่านข้อมูลแล้วเกิดข้อผิดพลาดขึ้น ให้ dd ทำการอ่านข้อมูลต่อไปโดยที่ไม่ต้องหยุดการทำงาน
 
 sync           => if there is an error, null fill the rest of the block.

 note: 

  • ถ้ามี bad bad มาด้วย
  • HDD ควรมีขนาดเท่ากัน หรืออย่างน้อยขนาดของ HDD ที่จะเก็บข้อมูลที่จะ backup ต้องมีขนาดไม่เล็กกว่าตัวหลัก

DD command

ที่มา:

saixiii

www.forensicswiki

howtoforge

packtpub


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

 

Wednesday, December 25, 2013

Digital Forensics: Cybercrime

Digital Forensics:อาชญากรรมทางเทคโนโลยีสารสนเทศ

อาชญากรรมทางเทคโนโลยีสารสนเทศ คือ

ปัจจุบันปัญหาอาชญากรรมได้เกิดขึ้นหลายรูปแบบ มีการขยายตัวเป็นวงกว้างและสลับซับซ้อน มีการนำเทคโนโลยีและการสื่อสารต่าง ๆ เข้ามาใช้เป็นเครื่องมือในการกระทำความผิดรวมทั้งมีแนวโน้มที่บุคคลต่างชาติเข้ามามีส่วนร่วมในการกระทำความผิดเพิ่มมากขึ้น ซึ่งส่งผลกระทบต่อความปลอดภัยในชีวิตและทรัพย์สินของประชาชน เป็นภัยต่อความมั่นคงและระบบเศรษฐกิจของประเทศ
อาชญากรรม(ทาง)คอมพิวเตอร์ หรือ อาชญากรรมไซเบอร์ หมายถึงอาชญากรรมใด ๆ ที่เกี่ยวข้องกับคอมพิวเตอร์และเครือข่ายคอมพิวเตอร์ [1] อาชญากรรม(บน)อินเทอร์เน็ต ก็เป็นอีกคำหนึ่งซึ่งหมายถึงการแสวงหาผลประโยชน์อย่างผิดกฎหมายบนอินเทอร์เน็ต [2] คอมพิวเตอร์นั้นอาจถูกใช้เป็นเครื่องมือก่ออาชญากรรม หรืออาจตกเป็นเป้าหมายของการกระทำก็ได้ [3] Dr. Debarati Halder และ Dr. K. Jaishankar ได้นิยามอาชญากรรมไซเบอร์ไว้ว่าเป็น "ความผิดที่กระทำขึ้นต่อปัจเจกบุคคลหรือกลุ่มของปัจเจกบุคคล ด้วยเหตุจูงใจทางอาญา ที่เจตนาทำให้เหยื่อเสื่อมเสียชื่อเสียง หรือทำร้ายร่างกายหรือจิตใจของเหยื่อ โดยทางตรงหรือทางอ้อม โดยใช้เครือข่ายโทรคมนาคมสมัยใหม่ อาทิ อินเทอร์เน็ต (ห้องแช็ต อีเมล กระดานประกาศ และกลุ่มข่าว) และโทรศัพท์เคลื่อนที่ (เอสเอ็มเอส/เอ็มเอ็มเอส)" [4] อาชญากรรมเช่นนั้นอาจคุกคามความมั่นคงและสภาวะทางการคลังของรัฐ [5] ปัญหาต่าง ๆ ที่เกี่ยวข้องกับอาชญากรรมชนิดนี้ได้กลายมาเป็นปัญหาสำคัญ โดยเฉพาะที่เกี่ยวข้องกับการเจาะระบบเครือข่าย การละเมิดลิขสิทธิ์ สื่อลามกอนาจารเด็ก และการล่อลวงเด็ก นอกจากนี้ยังมีปัญหาเรื่องความเป็นส่วนตัวเมื่อสารสนเทศที่เป็นความลับถูกสกัดกั้นหรือถูกเปิดเผย โดยทางกฎหมายหรือไม่ก็ตาม  
ทีมา: th.wikipedia

อาชญากรรมทางคอมพิวเตอร์ (Computer Crime)

อาชญากรรมคอมพิวเตอร์ หมายถึง     การกระทำผิดทางอาญาในระบบคอมพิวเตอร์ หรือการใช้คอมพิวเตอร์เพื่อกระทำผิดทางอาญา เช่น ทำลาย เปลี่ยนแปลง หรือขโมยข้อมูลต่าง ๆ เป็นต้น   ระบบคอมพิวเตอร์ในที่นี้ หมายรวมถึงระบบเครือข่ายคอมพิวเตอร์และอุปกรณ์ที่เชื่อมกับระบบดังกล่าวด้วยสำหรับอาชญากรรมในระบบเครือข่ายคอมพิวเตอร์ (เช่น อินเทอร์เน็ต) อาจเรียกได้อีกอย่างหนึ่งคือ
อาชญากรรมไซเบอร์ (อังกฤษ: Cybercrime) อาชญากรที่ก่ออาชญากรรมประเภทนี้ มักถูกเรียกว่า แครกเกอร์

       1.การกระทำการใด ๆ เกี่ยวกับการใช้คอมพิวเตอร์ อันทำให้เหยื่อได้รับความเสียหาย และผู้กระทำได้รับผลประโยชน์ตอบแทน
2.การกระทำผิดกฎหมายใด ๆ ซึ่งใช้เทคโนโลยี คอมพิวเตอร์เป็นเครื่องมือและในการสืบสวนสอบสวนของเจ้าหน้าที่เพื่อนำผู้กระทำผิดมาดำเนินคดีต้องใช้ความรู้ทางเทคโนโลยีเช่นเดียวกันการประกอบอาชญากรรมทางคอมพิวเตอร์ได้ก่อให้เกิดความเสียหาย ต่อเศรษฐกิจของประเทศจำนวนมหาศาล อาชญากรรมทางคอมพิวเตอร์ จึงจัดเป็นอาชญากรรมทางเศรษฐกิจ หรือ อาชญากรรมทางธุรกิจรูปแบบ หนึ่งที่มีความสำคัญ
ทีมา: dek-d



ฉ้อโกงออนไลน์

ฉ้อโกงออนไลน์ แจ้งความที่ไหน
ละเมิดทรัพย์สินทางปัญญา
ค้ามนุษย์
ROMANCE SCAM

พนันออนไลน์
ที่มา:
tactics

อาชญากรรม 8 ประเภท ที่พบบ่อยบนอินเทอร์เน็ต

อาชญากรรม  ที่พบบ่อยบนอินเทอร์เน็ต

1. การเงิน – อาชญากรรมที่ขัดขวางความสามารถขององค์กรธุรกิจในการทำธุรกรรม อี-คอมเมิร์ซ
2. การละเมิดลิขสิทธิ์ – การคัดลอกผลงานที่มีลิขสิทธิ์ รวมถึง การละเมิดลิขสิทธิ์ ใดๆ ที่เกี่ยวข้องกับการใช้อินเท
อร์เน็ตเพื่อจำหน่ายหรือเผยแพร่ผลงานสร้างสรรค์ที่ได้รับการคุ้มครองลิขสิทธิ์
3. การเจาะระบบ – การให้ได้มาซึ่งสิทธิในการเข้าถึงระบบคอมพิวเตอร์หรือเครือข่ายโดยไม่ได้รับอนุญาต
4. การก่อการร้ายทางคอมพิวเตอร์ – การเจาะระบบ โดยมีจุดมุ่งหมายเพื่อสร้างความหวาดกลัว
5. ภาพอนาจารทางออนไลน์ – การประมวลผลหรือการเผยแพร่ภาพอนาจารเด็กถือเป็นการกระทำที่ผิดกฎหมาย
และการเผยแพร่ภาพลามกอนาจารในรูปแบบใดๆ แก่เยาวชนถือเป็นการกระทำที่ขัดต่อกฎหมาย
6. ภายในโรงเรียน – ถึงแม้ว่าอินเทอร์เน็ตจะเป็นแหล่งทรัพยากรสำหรับการศึกษาและสันทนาการ แต่เยาวชน
จำเป็นต้องได้รับทราบเกี่ยวกับวิธีการใช้งานเครื่องมืออย่างปลอดภัยและมีความรับผิดชอบ
7. การหลอกค้าขายลงทุนผ่านทางเครือข่ายคอมพิวเตอร์ เช่น การประกาศโฆษณา การชักชวนให้เข้าร่วมลงทุน
8. การแทรกแซงข้อมูลโดยมิชอบ โดยการนำเอาข้อมูลเหล่านั้นมาเป็นประโยชน์ต่อตน
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

ที่มา

tcsd

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics  #computerforensic #investigation #cybercrime #fraud 

Monday, December 9, 2013

Digital Forensics: Computer Forensics – Certification

Digital Forensics: Computer Forensics – Certification

Accessdata Certified Examiner ACE

The ACE certification will test the user’s knowledge of forensic theory, tool features, and include a hands on portion testing the users ability to use the above mentioned tools to find and report on evidence found in a case. If the user does not have a copy of AccessData’s Forensic Tools, but would like to take the exam, they should contact training@accessdata.com for options.

Certification information:

  • Cost: $100.00
  • Number of Questions: 88
  • Passing Score: 80%
  • Number of Attempts: 2
  • Valid For: 2 Years
  • Recertification: As the certificate nears expiration a reminder email will be sent. The user will be able to login to AccessData’s training site and take the certification test again to renew.
  • Certificate: The certificate should be emailed to the student upon successful completion and passing of the exam. Certificates may also be managed from the users account page within the AccessData Training page.
  • ACE Study TopicsView Study Topics
  • ACE Image Download: Download ACE Image.


http://accessdata.com/training/computer-forensics-certification

ACE Process

The ACE certification consists of an online exam with both knowledge-based and practical-based components. There are no prerequisites. You MUST have a fully licensed copy of FTK to take this exam.
  • To take the ACE exam, click HERE.
  • Click: Register.
  • Complete the requested information.
  • Click: Create New User.
  • Select the ACE 6 exam.
  • The number of test questions, time limit, scoring information, and testing functionality will be presented to you after clicking on the exam of your choice. At that point, you may click “Start this Test” or logout and take the exam at a future date.
  • To download the ACE 6 image file, click HERE.


 ACCESSDATA CERTIFIED EXAMINER

ACE Study Materials

 Download the ACE Study Guide
Download ACE Study Guide

**The below study guide is designed to list the knowledge topics the examiner needs
to be familiar with to successfully pass the exam. Also, listed at the bottom, are the
topics of practical ability an examiner will need to pass the exam


What are three types of evidence that can be added to a case in FTK? (Choose three.)


  • A. local drive
  • B. registry MRU list
  • C. contents of a folder
  • D. acquired image of a drive
  • E. compressed volume files (CVFs)   
Answer : A,C,D

ou used FTK Imager to create several hash list files. You view the location where the files
were exported. What is the file extension type for these files?

  • A. .txt = ASCII Text File
  • B. .dif = Data Interchange Format
  • C. .prn = Formatted Text Delimited
  • D. .csv = Comma Separated Values
 Answer : D
 
You view a registry file in Registry Viewer. You want to create a report, which includes
items that you have marked "Add to Report." Which Registry Viewer option accomplishes
this task?

A. Common Areas

B. Generate Report

C. Define Summary Report

D. Manage Summary Reports

 

Answer : B

Which pattern does the following regular expression recover?
(\d{4}[\- ]){3}\d{4}

A. 000-000-0000
B. ddd-4-3-dddd-4-3
C. 000-00000-000-ABC
D. 0000-0000-0000-0000

Answer : D

 

FTK uses Data Carving to find which three file types? (Choose three.) 

A. JPEG files 

B. Yahoo! Chat Archives 

C. WPD (Word Perfect Documents) 

D. Enhanced Windows Meta Files (EMF) 

E. OLE Archive Files (Office Documents)

Answer : A,D,E

AccessData FTK 6.0 Product Webinar

สอบ Accessdata Certified Examiner

#Passed Accessdata Certified Examiner ACE

#Digital Forensics Certification
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud

Friday, November 29, 2013

Digital Forensics:Timestamp

Digital Forensics:Timestamp

Unix Timestamp คืออะไร?


Unix Time คือเวลาที่บวก 1 เพิ่มทุกๆวินาที โดยเป็นตัวเลขที่เริ่มนับตั้งแต่วินาทีที่ 00:00:00 ของวันพฤหัสบดี วันที่ 1 มกราคม ค.ศ.1970 เป็นตันมาตามเวลาสากล UTC แล้วยูทีซีคืออะไร มันก็คือเวลาสากลซึ่งเป็นที่ยอมรับกันทั่วโลก มาจากอักษรเต็มๆในภาษาอังกฤษคือ Coordinated Universal Time หรือถ้าแปลเป็นไทยให้ฟังยากๆก็คือ เวลาสากลเชิงพิกัด ในแต่ละประเทศก็ใช้เวลาของตัวเองบวกเพิ่มเข้าไปเช่นประเทศอังกฤษคือ UTC+0 ที่นี้คือกรีนิช, ประเทศไทยคือ UTC+7, รัฐอะแลสกา ประเทศสหรัฐอเมริกา คือ UTC-9 เป็นต้น
ที่มา: 






 ตัวอย่าง การนำค่า Timestamp มาแปลงให้เป็นค่าวันเวลาปกติ

1. เข้าไปที่website  http://www.onlineconversion.com/unix_time.htm

2. เข้าไปที่ Windows Registry


 3 นำค่า Windows Install date (1385630218)

  


4. นำค่าที่ได้เข้าไปใส่ใน  Unix TimeStamp และกด Submit
5. เราก็ทราบได้ว่า เครื่องคอมพิวเตอร์นี้ ติดตั้ง windows วันที่  28 พฤศจิกายน 2013 เวลา 9:16  58 วินาที



Unix Timestamp Conversion Tools

อีกเว็ปไซค์  https://www.epochconverter.com

ทำซ้ำอีกครั้ง โดยการใส่ค่า Unix Timestamp ในช่อง




ทำการแปลงค่าวันเวลาปัจจุบัน เป็น Unix Timestamp



ที่มา:
https://bit.ly/2JdgTDD
https://bit.ly/2q9VmTK
https://bit.ly/1icNemY
https://bit.ly/2unVnDn
http://en.wikipedia.org/wiki/Unix_time

#Computer Forensics

#Digital Forensics
#DForensics-Examiner
#dforensic.blogspot.com

Wednesday, October 16, 2013

DIGITAL FORENSICS:Challenge Treasure Hunt

DIGITAL FORENSICS:Challenge Treasure Hunt

วันนี้่จะมาแนะนำการฝึกทำ Digital Forensics  ในเว็บ http://securitytreasurehunt.com

แพลตฟอร์ม securitytreasurehunt เป็นสภาพแวดล้อมออนไลน์ที่ออกแบบมาเพื่อช่วยระบุผู้ที่มีความสนใจและทักษะด้านความปลอดภัยของข้อมูล ความท้าทายต่างๆจะถูกโพสต์ไว้ที่นี่เพื่อทดสอบความรู้และทักษะของผู้เข้าร่วมในด้านต่างๆของการรักษาความปลอดภัยข้อมูลเช่น Digital Forensics ทุกคนสามารถเข้าร่วมได้

To begin using this environment, simply follow the link below to the challenge you are interested in, or browse by category on the left. Once registered with the Question Engine, participants can enroll in the quiz associated with a particular challenge. Most quizzes have no time limit, and everything is open book, open Internet, and open to the public.

Links to existing challenges can be found below, arranged by level of difficulty. Check back often for new challenges! 

https://questionengine.securitytreasurehunt.com/


Digital Forensics

Level 1

DF100

Level 2

DF200

Level 3

DF300

Level 4

DF400

Level 5

DF500

 

 

 

Digital Forensics Challenge Treasure Hunt – Round 1

Digital Forensics Challenge Treasure Hunt – Round 2

    The second round of the Digital Forensics Challenge is now available! This challenge, written by Mike Murr of the SANS Digital Forensics Team, requires participants to analyze a graphical image file to answer questions. To participate, click the Question Engine link to the left, register, and make sure you enroll in the Digital Forensics Challenge Treasure Hunt - Round 2 quiz. 

Digital Forensics Challenge Treasure Hunt – Round 3

The third round of the Digital Forensics Challenge is now available! This challenge, written by the DC3 Challenge Team, requires participants to analyze a series of graphical image files (contained in a ZIP file) to answer questions. 

Digital Forensics Challenge Treasure Hunt – Round 4

The fourth round of the Digital Forensics Challenge is now available! This challenge, written by the DC3 Challenge Team, requires participants to analyze a series of files (contained in a ZIP file) to answer questions.

The Department of Defense Cyber Crime Center (DC3) has received a request for a digital forensics exam from a Defense Criminal Investigative Organization. After the SUBJECT of the investigation seized laptop was imaged, its hard drive is reviewed by a DCFL (Defense Computer Forensics Lab) computer forensic examiner. The examiner identifies a set of 13 files that have been marked as suspicious in a single directory.

With your knowledge and skills, the examiner has provided you with a copy of the 13 suspicious files and asked you to identify the file signatures for each file. In addition, the agent that submitted the case has several questions they want answered for their report and to increase their general knowledge.

Click here to download the ZIP file containing the files to analyze.
SHA1: 18b4055f7119bd17dac61d2c755db68ca0aebbee

Web Vulnerability Assessment Security Treasure Hunt 

Navy Security Treasure Hunt


ฝึกทำLab Digital Forensics 


Ref: 
http://securitytreasurehunt.com 
https://www.dc3.mil
https://digital-forensics.sans.org
www.uscyberchallenge.org.

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

 

Digital Forensics:CDIC2024

Digital Forensics:CDIC2024    งานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์  27-28 พฤศจิกายน 2567 ณ Grand Hall ไบเทค บางนา วันนี้แอดแวะมางาน ...