Friday, July 26, 2013

Digital Forensics: TRIM

Digital Forensics: TRIM

TRIM  เป็นคำสั่งสำหรับอินเทอร์เฟซ ATA (Advanced Technology Attachment) เมื่อระบบปฏิบัติการต้องการแจ้งให้ SSD ทราบว่าจะทำการลบไฟล์

เพื่อจะได้ทำการลบข้อมูลส่วนนั้นออกไว้ก่อนได้ เพราะว่าหน่วยความจำแฟลชที่นำมาใช้ทำโซลิตสเตตไดรฟ์ส่วนใหญ่นั้นเป็นชนิด NAND ซึ่งไม่สามารถเขียนข้อมูลทับได้ แต่ต้องลบข้อมูลเก่าก่อนแล้วจึงเขียนข้อมูลใหม่ลงไป ดังนั้นการลบข้อมูลออกไปก่อนที่จะมีการเขียนข้อมูลทำให้สามารถเขียนได้ทันทีเมื่อต้องการ ย่อมทำให้การเขียนข้อมูลในโซลิดสเตตไดรฟ์เร็วขึ้นไปด้วย (จากวิกิพีเดีย สารานุกรมเสรี)


TRIM เป็นคำสั่งช่วยเหลือของระบบปฏิบัติการสามารถบอกโซลิดสเตตไดรฟ์ (SSD) ว่าบล็อกข้อมูลใดที่ไม่ต้องการอีกต่อไปและสามารถลบได้หรือทำเครื่องหมายว่าว่างสำหรับการเขียนใหม่ ในคำอื่น ๆ TRIM เป็นคำสั่งที่ช่วยให้ระบบปฏิบัติการทราบได้อย่างแม่นยำว่าข้อมูลที่คุณต้องการย้ายหรือลบถูกเก็บไว้ที่ใด ด้วยวิธีนี้ไดรฟ์โซลิดสเตตสามารถเข้าถึงได้เฉพาะบล็อกที่เก็บข้อมูล นอกจากนี้เมื่อใดก็ตามที่คำสั่งลบ  โดยผู้ใช้หรือระบบปฏิบัติการคำสั่ง TRIM จะเครียหรือลบบล็อกที่จัดเก็บไฟล์ทันที ซึ่งหมายความว่าในครั้งต่อไปที่ระบบปฏิบัติการพยายามเขียนข้อมูลใหม่ในพื้นที่นั้น ไม่จำเป็นต้องรอก่อนที่จะลบมัน


SSD
โซลิดสเตทไดรฟ์  Solid State Drives ประกอบไปด้วยชิปหน่วยความจำแฟลช ระบบปฏิบัติการจะต้องสามารถอ่านและจัดการข้อมูลบนชิปเหล่านี้ได้  SSD จะต้องมีวิธีการจัดเรียงข้อมูลนี้ ข้อมูลที่เก็บไว้ใน SSD แบ่งออกเป็นกลุ่มของข้อมูล ในบล็อก
TRIM

การทำงานของ ระบบ TRIM

สีเขียว   = แสดงพื้นที่ที่ยังไม่มีข้อมูล (no data)
สีน้ำเงิน = แสดงพื้นที่ที่มีการเขียนข้อมูล (Write data)
สีแดง =  แสดงพื้นที่ที่ลบข้อมูล

1) SSD แสดงพื้นที่ที่ยังไม่มีข้อมูล   พื้นที่ว่าง ไม่มีข้อมูลอะไรเลย
2) ผู้ใช้งานเขียนข้อมูลลง (Write data)  Solid State Drives
3) ผู้ใช้งานลบข้อมูลบางอย่างในรูปคือลบข้อมูล 2 ช่องที่เป็นสีเเดง ระบบปฎิบัติการทำการใส่สถานะ Not in use ในตำแหน่งที่ถูกลบ (สีแดง)
4) TRIM  ทำการสั่งให้ Controller ทำความเครียในส่วนของข้อมูลที่ลบในช่องเซลล์นั่น คือลบข้อมูลออก
5) ตำแหน่งสีแดงที่ถูกลบออกไป เป็นพื้นที่ว่าง ไม่มีข้อมูลอะไรเลย เพื่อรองรับข้อมูล

Download How to check that trim is active 

Ref:
https://rivervalleygetaway.com/th/productivity/370-what-is-ssd-trim-why-is-it-useful-and-how-to-check-whether-it-is-turned-on.html
https://www.windowscentral.com/how-ensure-trim-enabled-windows-10-speed-ssd-performance


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #DataRecovery #TRIM

Friday, July 19, 2013

ข้อควรรู้ เมื่อถูกแฮกระบบ (Digital Forensics)

Digital Forensics:ข้อควรรู้ เมื่อถูกแฮกระบบ (Digital Forensics)

14 May 2013 at 11:15

เมื่อมีการแฮกเกิดขึ้น ก็ถือว่ามีการละเมิดหรือมีความผิดอาญาเกิดขึ้นจากการเข้าถึงหรือก่อกวนระบบคอมพิวเตอร์หรือข้อมูลคอมพิวเตอร์โดยมิชอบ ซึ่งเป็นความผิดต่อ พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 จำเป็นต้องมีการสืบสวนสอบสวนเพื่อหาตัวผู้กระทำความผิดมาดำเนินคดี ซึ่งกระบวนการในการรวบรวมจัดเก็บหลักฐาน เพื่อนำมาวิเคราะห์และจัดทำรายงานผลการวิเคราะห์หลักฐานที่เป็นดิจิตอลนั้น เราเรียกว่าการทำ Digital Forensics อาจแปลเป็นไทยว่านิติวิทยาศาสตร์ทางดิจิตอล ซึ่งหลักสำคัญของการทำ Digital Forensics คือความน่าเชื่อถือของหลักฐานหรือวัตถุพยาน (digital evidence) ซึ่งจะมีผลมากต่อการนำไปติดสำนวนฟ้องหรือการไต่สวนพิจารณาคดีในชั้นศาล เนื่องจากเป็นหลักฐานที่มีความเปราะบางถูกแก้ไขและเปลี่ยนแปลงได้ง่าย สิ่งสำคัญที่จะช่วยยืนยันได้ว่าหลักฐานมีคุณภาพ ได้มาโดยชอบ และไม่ถูกเปลี่ยนแปลงแก้ไขระหว่างทางก่อนจะมาถึงชั้นศาลก็จะต้องพูดถึงองค์ประกอบในการทำงานกับหลักฐานที่สำคัญหลักๆ 2 เรื่องคือเรื่อง First Response และ Chain-of Custody (CoC)

1. First Response คือการเข้าดำเนินการกับหลักฐาน ณ สถานที่เกิดเหตุ ซึ่งการที่หลักฐานที่ได้มาจากสถานที่เกิดเหตุจะมีความน่าเชื่อถือและสามารถนำไปใช้ในศาลได้นั้น ต้องประกอบด้วย- บุคคลากรที่เข้าดำเนินการต้องมีความน่าเชื่อถือ กล่าวคือเป็นบุคคลที่มีอำนาจหน้าที่หรือได้รับมอบหมายจากหน่วยงานที่มีหน้าที่ให้เป็นผู้ดำเนินการ และต้องเป็นผู้ที่ได้รับการอบรมฝึกฝน มีความรู้ความเข้าใจและทักษะในการทำงานกับ digital evidence ที่ได้รับการรับรองจากสถาบันหรือหน่วยงานที่มีหน้าที่ออกใบรับรองคุณวุฒิในเรื่องดังกล่าวที่ได้รับการยอมรับ- กระบวนการดำเนินการต้องน่าเชื่อถือ โดยใช้วิธีการที่มีมาตรฐานเป็นที่ยอมรับในสากล- เครื่องมือที่ใช้ต้องน่าเชื่อถือ โดยเป็นเครื่องมือที่ผ่านการรับรองจากหน่วยงานรับรองเรื่องเครื่องมือทาง digital forensics หรือสามารถอธิบายได้ว่ามีขั้นตอนการทำงานตามขั้นตอนที่เป็นที่ยอมรับอย่างไรหากสามส่วนนี้ไม่เป็นไปตามนี้แล้วก็ยากที่จะบอกได้ว่าหลักฐานที่เก็บมานั้นมีคุณภาพ ครบถ้วนและไม่ถูกเปลี่ยนแปลงแก้ไข หรือถูก contaminate หรือไม่
First Response
digital evidence

2. Chain-of-Custody คือมาตรการในการควบคุมเพื่อให้สามารถตรวจสอบย้อนหลังได้ว่า ณ เวลาหนึ่งๆ มีใครเข้าถึงหรือถือครองหลัฐานไว้บ้างในแต่ละช่วงเวลา นับตั้งแต่การเก็บหลักฐานจากสถานที่เกิคเหตุ จนถูกนำไปแสดงต่อศาล ซึ่งจะมีแบบฟอร์มให้ลงนาม ระบุวันเวลา พยานและเหตุผลในการเข้าถึงหรือถือครอง เป็นต้นหาก First Response และ Chain-of-Custody กระทำอย่างไม่ถูกต้องเหมาะสมก็จะนำไปสู่ความไม่น่าเชื่อถือของหลักฐาน อาจอนุมานได้ว่าหลักฐานถูกเปลี่ยนแปลงแก้ไขหรือได้มาไม่ครบถ้วน ทำให้การวิเคราะห์และตีความจากข้อเท็จจริงที่ปรากฏในหลักฐานถูกครางแครงสงสัยได้ ว่าเป็นไปตามนั้นจริงหรือไม่ ซึ่งแน่นอนอาจส่งผลต่อการพิจารณาคดีในชั้นศาลได้ โดยเฉพาะบางคดีที่ไม่สามารถหาหลักฐานอื่นมาใช้มัดตัวได้และเหลือเพียงแต่หลักฐาน digital เท่านั้น แต่ถ้าหลักฐานดิจิตอลที่ได้มาขาดความน่าเชื่อถือ ก็อาจทำให้ไม่สามารถเอาผิดกับจำเลยได้ ทั้งนี้ก็ขึ้นอยู่กับความรู้ความสามารถของทนายฝ่ายจำเลยด้วย หากมีความรู้มากและสามารถถามจี้ประเด็นให้ศาลเห็นถึงการขาดความน่าเชื่อถือของหลักฐานได้ ก็อาจเป็นประโยชน์ต่อจำเลย
Chain-of-Custody

โดย ไชยกร อภิวัฒโนกุล, 
CISSP, CSSLP, GCFA, IRCA:ISMS
CEO S-GENERATION, TISA Committee
S-Generation Co.,Ltd.


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #Chain of custody