DIGITAL FORENSICS:Flash Drive จับโจร

DIGITAL FORENSICS:Flash Drive จับโจร

ฉายแวว [by Mahidol] ซีรีย์ งานวิจัยนักศึกษา : Flash Drive จับโจร

 เมื่อโจรใช้เทคโนโลยีในการทำความผิด ตำรวจก็ต้องอัพเดท "เครื่องมือ" เพื่อจับโจรไฮเทค นักศึกษาจากภาควิชาวิศวกรรมคอมพิวเตอร์ คณะวิศวกรรมศาสตร์ ม.มหิดล มิ้ง - นฤนาถ ลาภปริสุทธิ์ และ โบ - เกศินี แดงคง ได้คิดค้นเครื่องมือเพื่อช่วยตำรวจจับโจรไฮเทค นั่นคือ Flash Drive ที่สามารถคัดลอก "ข้อมูลสำคัญแต่ยากในการเข้าถึง" จากคอมพิวเตอร์ต้องสงสัย เพื่อค้นหาหลักฐานในการทำความผิด ซึ่งเป็นส่วนหนึ่งของงานด้านนิติวิทยาดิจิทัล (Digital Forensic Science) เราเคยชินกับคำว่านิติวิทยาศาสตร์ (Forensic Science) กันมานานแล้ว ตอนนี้แพร พิมพ์ลดา จะพาไปรู้จักกับ "นิติวิทยาดิจิทัล" ผ่านผลงานของนักศึกษาที่ผลิต "Flash Drive จับโจร"

 

อ่านเพิ่มเติม "นิติวิทยาดิจิทัล"

 

 

ที่มา:

Mahidol Channel มหิดล แชนแนล
https://channel.mahidol.ac.th

 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #Digital Forensic มหิดล

Digital Forensics:Forensic Imaging with DD command

Forensic Imaging with DD command

Using the dd (Dataset Definition) command is a foundational skill in digital forensics for creating Bit-stream Images. This process ensures that every single bit—including deleted files and unallocated space—is captured for analysis.

Step 1: Identify the Source and Destination

Before running any commands, you must identify the correct drive identifiers to avoid the "Data Destroyer" accidental overwrite.

1.List all block devices:

lsblk

2.Verify drive details (Size, Model):

Source: /dev/sdb (The suspect's drive)

Destination: /dev/sda (Your forensic workstation's storage)

Step 2: Prevent Data Overwriting (Write-Blocking)

ISO/IEC 27037

Option A: Hardware Write-Blocker (Recommended)

Use a physical hardware write-blocker (like Tableau or WiebeTech) between the suspect drive and your workstation. This is the gold standard in forensics.

Photo by Gemini (Last update March 2026)

Option B: Software Write-Block (Forensics Mode) 

Step 3: Execute the Forensic Image (dd)

sudo dd if=/dev/sdb of=/evidence/suspect_drive.dd bs=4K  conv=noerror,sync

Command Breakdown:

• if=/dev/sdb: Input File (The source evidence).

• of=...: Output File (The destination image file).

• bs=4K: Block Size. 4KB is generally efficient for modern drives.

• conv=noerror,sync:

  • noerror: Instructs dd to continue if it hits a bad sector (crucial for damaged drives).

  • sync: Pads any bad sectors with zeros to keep the image size identical to the source.

Step 4: Integrity Verification (Hashing)

Per RFC 3227, you must prove that the copy is identical to the original. We use cryptographic hashes (SHA-256) to create a "digital fingerprint."

1. Hash the Source Disk:

sudo sha256sum /dev/sdb > source_CF005.txt

    2.Hash the Forensic Image:

sha256sum suspect_drive.dd > image_CF005.txt

Compare: If the strings in both .txt files match, your evidence is verified and admissible.

Summary of Standards Reference

• ISO/IEC 27037: Focuses on the "Digital Evidence First Responder" role—emphasizing write-protection and identification.

• NIST SP 800-86: Provides the technical framework for the "Collection" phase—ensuring the data is captured as a complete bit-stream.

dd – Linux Command คำสั่ง backup ข้อมูลใน harddisk ในทาง digital forensics ใช้คำสั่ง DD ในการทำสำเนาหลักฐาน Forensic Imaging

 คำสั่ง

dd if=<source file name> of=<target file name> [Options]

• if=<source> – กำหนดตำแหน่ง directory ต้นทางที่ต้องการ Forensic Image ข้อมูล โดย “if” คือ input-file
• of=<destination> –กำหนดตำแหน่ง file ปลายทางที่ต้องการ  Image file ทำการเขียนข้อมูลลงไป โดย “of” คือ output-file

1. ทำการ clone hardisk จากลูกหนึ่งไปอีกลูกหนึ่ง
dd if=/dev/sda of=/dev/sdb

2. ทำการ backup partition ที่ต้องการ ไปยัง file ที่กำหนด
dd if =/dev/sda2 of=~/hdadisk.img

3. ทำการ restore จาก Image file

dd if=hdadisk.img of=/dev/sdb3

4.  คำสั่งลบข้อมูล (WIPE Disk) บน Harddisk

dd if=/dev/zero of=/dev/hda bs=4K conv=noerror,sync 

5.  Hash > Hashing the evidence for integrity checking

sha1sum /dev/hda | tee ForensicImage_sha1.txt 
md5sum /dev/hda | tee ForensicImage_md5.txt

6. example 
dd if=/dev/hda bs=4K conv=sync,noerror | tee ForensicImage.img | md5sum > ForensicImage.md5

 เมื่อทำ ForensicImage แล้ว ควรทำการ hash ไฟล์ข้อมูลทุกครั้งด้วย md5 หรือ SHA-1  

DD command

ที่มา:

saixiii

www.forensicswiki

howtoforge

packtpub

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

 

Digital Forensics: Cybercrime

Digital Forensics:อาชญากรรมทางเทคโนโลยีสารสนเทศ

อาชญากรรมทางเทคโนโลยีสารสนเทศ คือ

ปัจจุบันปัญหาอาชญากรรมได้เกิดขึ้นหลายรูปแบบ มีการขยายตัวเป็นวงกว้างและสลับซับซ้อน มีการนำเทคโนโลยีและการสื่อสารต่าง ๆ เข้ามาใช้เป็นเครื่องมือในการกระทำความผิดรวมทั้งมีแนวโน้มที่บุคคลต่างชาติเข้ามามีส่วนร่วมในการกระทำความผิดเพิ่มมากขึ้น ซึ่งส่งผลกระทบต่อความปลอดภัยในชีวิตและทรัพย์สินของประชาชน เป็นภัยต่อความมั่นคงและระบบเศรษฐกิจของประเทศ
อาชญากรรม(ทาง)คอมพิวเตอร์ หรือ อาชญากรรมไซเบอร์ หมายถึงอาชญากรรมใด ๆ ที่เกี่ยวข้องกับคอมพิวเตอร์และเครือข่ายคอมพิวเตอร์ ^[1] อาชญากรรม(บน)อินเทอร์เน็ต ก็เป็นอีกคำหนึ่งซึ่งหมายถึงการแสวงหาผลประโยชน์อย่างผิดกฎหมายบนอินเทอร์เน็ต ^[2] คอมพิวเตอร์นั้นอาจถูกใช้เป็นเครื่องมือก่ออาชญากรรม หรืออาจตกเป็นเป้าหมายของการกระทำก็ได้ ^[3] Dr. Debarati Halder และ Dr. K. Jaishankar ได้นิยามอาชญากรรมไซเบอร์ไว้ว่าเป็น "ความผิดที่กระทำขึ้นต่อปัจเจกบุคคลหรือกลุ่มของปัจเจกบุคคล ด้วยเหตุจูงใจทางอาญา ที่เจตนาทำให้เหยื่อเสื่อมเสียชื่อเสียง หรือทำร้ายร่างกายหรือจิตใจของเหยื่อ โดยทางตรงหรือทางอ้อม โดยใช้เครือข่ายโทรคมนาคมสมัยใหม่ อาทิ อินเทอร์เน็ต (ห้องแช็ต อีเมล กระดานประกาศ และกลุ่มข่าว) และโทรศัพท์เคลื่อนที่ (เอสเอ็มเอส/เอ็มเอ็มเอส)" ^[4] อาชญากรรมเช่นนั้นอาจคุกคามความมั่นคงและสภาวะทางการคลังของรัฐ ^[5] ปัญหาต่าง ๆ ที่เกี่ยวข้องกับอาชญากรรมชนิดนี้ได้กลายมาเป็นปัญหาสำคัญ โดยเฉพาะที่เกี่ยวข้องกับการเจาะระบบเครือข่าย การละเมิดลิขสิทธิ์ สื่อลามกอนาจารเด็ก และการล่อลวงเด็ก นอกจากนี้ยังมีปัญหาเรื่องความเป็นส่วนตัวเมื่อสารสนเทศที่เป็นความลับถูกสกัดกั้นหรือถูกเปิดเผย โดยทางกฎหมายหรือไม่ก็ตาม  
ทีมา: th.wikipedia

อาชญากรรมทางคอมพิวเตอร์ (Computer Crime)

อาชญากรรมคอมพิวเตอร์ หมายถึง     การกระทำผิดทางอาญาในระบบคอมพิวเตอร์ หรือการใช้คอมพิวเตอร์เพื่อกระทำผิดทางอาญา เช่น ทำลาย เปลี่ยนแปลง หรือขโมยข้อมูลต่าง ๆ เป็นต้น   ระบบคอมพิวเตอร์ในที่นี้ หมายรวมถึงระบบเครือข่ายคอมพิวเตอร์และอุปกรณ์ที่เชื่อมกับระบบดังกล่าวด้วยสำหรับอาชญากรรมในระบบเครือข่ายคอมพิวเตอร์ (เช่น อินเทอร์เน็ต) อาจเรียกได้อีกอย่างหนึ่งคือ
อาชญากรรมไซเบอร์ (อังกฤษ: Cybercrime) อาชญากรที่ก่ออาชญากรรมประเภทนี้ มักถูกเรียกว่า แครกเกอร์

       1.การกระทำการใด ๆ เกี่ยวกับการใช้คอมพิวเตอร์ อันทำให้เหยื่อได้รับความเสียหาย และผู้กระทำได้รับผลประโยชน์ตอบแทน
2.การกระทำผิดกฎหมายใด ๆ ซึ่งใช้เทคโนโลยี คอมพิวเตอร์เป็นเครื่องมือและในการสืบสวนสอบสวนของเจ้าหน้าที่เพื่อนำผู้กระทำผิดมาดำเนินคดีต้องใช้ความรู้ทางเทคโนโลยีเช่นเดียวกันการประกอบอาชญากรรมทางคอมพิวเตอร์ได้ก่อให้เกิดความเสียหาย ต่อเศรษฐกิจของประเทศจำนวนมหาศาล อาชญากรรมทางคอมพิวเตอร์ จึงจัดเป็นอาชญากรรมทางเศรษฐกิจ หรือ อาชญากรรมทางธุรกิจรูปแบบ หนึ่งที่มีความสำคัญ

ทีมา: dek-d

ฉ้อโกงออนไลน์

ฉ้อโกงออนไลน์ แจ้งความที่ไหน

ละเมิดทรัพย์สินทางปัญญา

ค้ามนุษย์

ROMANCE SCAM

พนันออนไลน์

ที่มา:
tactics

อาชญากรรม 8 ประเภท ที่พบบ่อยบนอินเทอร์เน็ต

อาชญากรรม  ที่พบบ่อยบนอินเทอร์เน็ต

1. การเงิน – อาชญากรรมที่ขัดขวางความสามารถขององค์กรธุรกิจในการทำธุรกรรม อี-คอมเมิร์ซ
2. การละเมิดลิขสิทธิ์ – การคัดลอกผลงานที่มีลิขสิทธิ์ รวมถึง การละเมิดลิขสิทธิ์ ใดๆ ที่เกี่ยวข้องกับการใช้อินเท
อร์เน็ตเพื่อจำหน่ายหรือเผยแพร่ผลงานสร้างสรรค์ที่ได้รับการคุ้มครองลิขสิทธิ์
3. การเจาะระบบ – การให้ได้มาซึ่งสิทธิในการเข้าถึงระบบคอมพิวเตอร์หรือเครือข่ายโดยไม่ได้รับอนุญาต
4. การก่อการร้ายทางคอมพิวเตอร์ – การเจาะระบบ โดยมีจุดมุ่งหมายเพื่อสร้างความหวาดกลัว
5. ภาพอนาจารทางออนไลน์ – การประมวลผลหรือการเผยแพร่ภาพอนาจารเด็กถือเป็นการกระทำที่ผิดกฎหมาย
และการเผยแพร่ภาพลามกอนาจารในรูปแบบใดๆ แก่เยาวชนถือเป็นการกระทำที่ขัดต่อกฎหมาย
6. ภายในโรงเรียน – ถึงแม้ว่าอินเทอร์เน็ตจะเป็นแหล่งทรัพยากรสำหรับการศึกษาและสันทนาการ แต่เยาวชน
จำเป็นต้องได้รับทราบเกี่ยวกับวิธีการใช้งานเครื่องมืออย่างปลอดภัยและมีความรับผิดชอบ
7. การหลอกค้าขายลงทุนผ่านทางเครือข่ายคอมพิวเตอร์ เช่น การประกาศโฆษณา การชักชวนให้เข้าร่วมลงทุน
8. การแทรกแซงข้อมูลโดยมิชอบ โดยการนำเอาข้อมูลเหล่านั้นมาเป็นประโยชน์ต่อตน

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

ที่มา
tcsd

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics  #computerforensic #investigation #cybercrime #fraud 

Digital Forensics: Computer Forensics – Certification

Digital Forensics: Computer Forensics – Certification

Accessdata Certified Examiner ACE

The ACE certification will test the user’s knowledge of forensic theory, tool features, and include a hands on portion testing the users ability to use the above mentioned tools to find and report on evidence found in a case. If the user does not have a copy of AccessData’s Forensic Tools, but would like to take the exam, they should contact training@accessdata.com for options.

Certification information:

• Cost: $100.00
• Number of Questions: 88
• Passing Score: 80%
• Number of Attempts: 2
• Valid For: 2 Years
• Recertification: As the certificate nears expiration a reminder email will be sent. The user will be able to login to AccessData’s training site and take the certification test again to renew.
• Certificate: The certificate should be emailed to the student upon successful completion and passing of the exam. Certificates may also be managed from the users account page within the AccessData Training page.
• ACE Study TopicsView Study Topics
• ACE Image Download: Download ACE Image.

ACE Process

The ACE certification consists of an online exam with both knowledge-based and practical-based components. There are no prerequisites. You MUST have a fully licensed copy of FTK to take this exam.

• To take the ACE exam, click HERE.
• Click: Register.
• Complete the requested information.
• Click: Create New User.
• Select the ACE 6 exam.
• The number of test questions, time limit, scoring information, and testing functionality will be presented to you after clicking on the exam of your choice. At that point, you may click “Start this Test” or logout and take the exam at a future date.
• To download the ACE 6 image file, click HERE.

 

ACE Study Materials

 Download the ACE Study Guide

Download ACE Study Guide

**The below study guide is designed to list the knowledge topics the examiner needs

to be familiar with to successfully pass the exam. Also, listed at the bottom, are the

topics of practical ability an examiner will need to pass the exam


What are three types of evidence that can be added to a case in FTK? (Choose three.)

• A. local drive
• B. registry MRU list
• C. contents of a folder
• D. acquired image of a drive
• E. compressed volume files (CVFs)   

Answer : A,C,D

ou used FTK Imager to create several hash list files. You view the location where the files
were exported. What is the file extension type for these files?

• A. .txt = ASCII Text File
• B. .dif = Data Interchange Format
• C. .prn = Formatted Text Delimited
• D. .csv = Comma Separated Values

 Answer : D
 

You view a registry file in Registry Viewer. You want to create a report, which includes
items that you have marked "Add to Report." Which Registry Viewer option accomplishes
this task?

A. Common Areas

B. Generate Report

C. Define Summary Report

D. Manage Summary Reports

 

Answer : B

Which pattern does the following regular expression recover?
(\d{4}[\- ]){3}\d{4}

A. 000-000-0000
B. ddd-4-3-dddd-4-3
C. 000-00000-000-ABC
D. 0000-0000-0000-0000

Answer : D

 

FTK uses Data Carving to find which three file types? (Choose three.) 

A. JPEG files 

B. Yahoo! Chat Archives 

C. WPD (Word Perfect Documents) 

D. Enhanced Windows Meta Files (EMF) 

E. OLE Archive Files (Office Documents)

Answer : A,D,E

AccessData FTK 6.0 Product Webinar

สอบ Accessdata Certified Examiner

#Passed Accessdata Certified Examiner ACE

#Digital Forensics Certification
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud