Digital forensic examiners are investigators who are experts in gathering, recovering, analyzing, and presenting data evidence from computers and other digital media related to computer-based .They might work on cases concerning identity theft, electronic fraud,investigation of material found in digital devices ,electronic evidence, often in relation to cyber crimes.
Saturday, December 28, 2013
DIGITAL FORENSICS:Flash Drive จับโจร
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
Thursday, December 26, 2013
Digital Forensics:Forensic Imaging with DD command
Digital Forensics:Forensic Imaging with DD command
dd – Linux Command คำสั่ง backup ข้อมูลใน harddisk ในทาง digital forensics ใช้คำสั่ง DD ในการทำสำเนาหลักฐาน Forensic Imaging
คำสั่ง
dd if=<source file name> of=<target file name> [Options]- if=<source> – กำหนดตำแหน่ง directory ต้นทางที่ต้องการ Forensic Image ข้อมูล โดย “if” คือ input-file
- of=<destination> –กำหนดตำแหน่ง file ปลายทางที่ต้องการ Image file ทำการเขียนข้อมูลลงไป โดย “of” คือ output-file
dd if=/dev/sda of=/dev/sdb
2. ทำการ backup partition ที่ต้องการ ไปยัง file ที่กำหนด
dd if =/dev/sda2 of=~/hdadisk.img
3. ทำการ restore จาก Image file
dd if=hdadisk.img of=/dev/sdb3
4. คำสั่งลบข้อมูล (WIPE Disk) บน Harddisk
dd if=/dev/zero of=/dev/hda bs=4K conv=noerror,sync
5. Hash > Hashing the evidence for integrity checkingsha1sum /dev/hda | tee ForensicImage_sha1.txt
md5sum /dev/hda | tee ForensicImage_md5.txt
6. example dd if=/dev/hda bs=4K conv=sync,noerror | tee ForensicImage.img | md5sum > ForensicImage.md5
เมื่อทำ ForensicImage แล้ว ควรทำการ hash ไฟล์ข้อมูลทุกครั้งด้วย md5 หรือ SHA-1
โครงสร้างคำสั่ง
dd [OPERAND]... dd OPTIONif => input file
/dev/hda => the linux name of a physical disk. Mac has their own names.
/dev/zero => in linux, this is an infinite source of nulls
of => output file
ForensicImage.img => The name of the image file you are creating
bs => blocksize
65536 => 64K (I normally use 4K in linux. That is what the linux kernel uses as a page size.)
เป็นการบอกให้ dd ทำการอ่านและเขียนข้อมูลทีล่ะ 1024*64 k = 65536 byte blocksize
noerror => don't die if you have a read error from the source drive
conv=noerror คือในกรณีที่คำสั่ง dd ทำการอ่านข้อมูลแล้วเกิดข้อผิดพลาดขึ้น ให้ dd ทำการอ่านข้อมูลต่อไปโดยที่ไม่ต้องหยุดการทำงาน
sync => if there is an error, null fill the rest of the block.
note:
- ถ้ามี bad bad มาด้วย
- HDD ควรมีขนาดเท่ากัน หรืออย่างน้อยขนาดของ HDD ที่จะเก็บข้อมูลที่จะ backup ต้องมีขนาดไม่เล็กกว่าตัวหลัก
DD command
ที่มา:
saixiii
www.forensicswiki
howtoforge
packtpub
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud
Wednesday, December 25, 2013
Digital Forensics: Cybercrime
Digital Forensics:อาชญากรรมทางเทคโนโลยีสารสนเทศ
อาชญากรรมทางเทคโนโลยีสารสนเทศ คือ
ปัจจุบันปัญหาอาชญากรรมได้เกิดขึ้นหลายรูปแบบ มีการขยายตัวเป็นวงกว้างและสลับซับซ้อน มีการนำเทคโนโลยีและการสื่อสารต่าง ๆ เข้ามาใช้เป็นเครื่องมือในการกระทำความผิดรวมทั้งมีแนวโน้มที่บุคคลต่างชาติเข้ามามีส่วนร่วมในการกระทำความผิดเพิ่มมากขึ้น ซึ่งส่งผลกระทบต่อความปลอดภัยในชีวิตและทรัพย์สินของประชาชน เป็นภัยต่อความมั่นคงและระบบเศรษฐกิจของประเทศอาชญากรรม(ทาง)คอมพิวเตอร์ หรือ อาชญากรรมไซเบอร์ หมายถึงอาชญากรรมใด ๆ ที่เกี่ยวข้องกับคอมพิวเตอร์และเครือข่ายคอมพิวเตอร์ [1] อาชญากรรม(บน)อินเทอร์เน็ต ก็เป็นอีกคำหนึ่งซึ่งหมายถึงการแสวงหาผลประโยชน์อย่างผิดกฎหมายบนอินเทอร์เน็ต [2] คอมพิวเตอร์นั้นอาจถูกใช้เป็นเครื่องมือก่ออาชญากรรม หรืออาจตกเป็นเป้าหมายของการกระทำก็ได้ [3] Dr. Debarati Halder และ Dr. K. Jaishankar ได้นิยามอาชญากรรมไซเบอร์ไว้ว่าเป็น "ความผิดที่กระทำขึ้นต่อปัจเจกบุคคลหรือกลุ่มของปัจเจกบุคคล ด้วยเหตุจูงใจทางอาญา ที่เจตนาทำให้เหยื่อเสื่อมเสียชื่อเสียง หรือทำร้ายร่างกายหรือจิตใจของเหยื่อ โดยทางตรงหรือทางอ้อม โดยใช้เครือข่ายโทรคมนาคมสมัยใหม่ อาทิ อินเทอร์เน็ต (ห้องแช็ต อีเมล กระดานประกาศ และกลุ่มข่าว) และโทรศัพท์เคลื่อนที่ (เอสเอ็มเอส/เอ็มเอ็มเอส)" [4] อาชญากรรมเช่นนั้นอาจคุกคามความมั่นคงและสภาวะทางการคลังของรัฐ [5] ปัญหาต่าง ๆ ที่เกี่ยวข้องกับอาชญากรรมชนิดนี้ได้กลายมาเป็นปัญหาสำคัญ โดยเฉพาะที่เกี่ยวข้องกับการเจาะระบบเครือข่าย การละเมิดลิขสิทธิ์ สื่อลามกอนาจารเด็ก และการล่อลวงเด็ก นอกจากนี้ยังมีปัญหาเรื่องความเป็นส่วนตัวเมื่อสารสนเทศที่เป็นความลับถูกสกัดกั้นหรือถูกเปิดเผย โดยทางกฎหมายหรือไม่ก็ตาม
ทีมา: th.wikipedia
อาชญากรรมทางคอมพิวเตอร์ (Computer Crime)
อาชญากรรมไซเบอร์ (อังกฤษ: Cybercrime) อาชญากรที่ก่ออาชญากรรมประเภทนี้ มักถูกเรียกว่า แครกเกอร์
2.การกระทำผิดกฎหมายใด ๆ ซึ่งใช้เทคโนโลยี คอมพิวเตอร์เป็นเครื่องมือและในการสืบสวนสอบสวนของเจ้าหน้าที่เพื่อนำผู้กระทำผิดมาดำเนินคดีต้องใช้ความรู้ทางเทคโนโลยีเช่นเดียวกันการประกอบอาชญากรรมทางคอมพิวเตอร์ได้ก่อให้เกิดความเสียหาย ต่อเศรษฐกิจของประเทศจำนวนมหาศาล อาชญากรรมทางคอมพิวเตอร์ จึงจัดเป็นอาชญากรรมทางเศรษฐกิจ หรือ อาชญากรรมทางธุรกิจรูปแบบ หนึ่งที่มีความสำคัญ
ฉ้อโกงออนไลน์ |
ฉ้อโกงออนไลน์ แจ้งความที่ไหน |
ละเมิดทรัพย์สินทางปัญญา |
ค้ามนุษย์ |
ROMANCE SCAM |
พนันออนไลน์ |
tactics
อาชญากรรม 8 ประเภท ที่พบบ่อยบนอินเทอร์เน็ต
อาชญากรรม ที่พบบ่อยบนอินเทอร์เน็ต |
2. การละเมิดลิขสิทธิ์ – การคัดลอกผลงานที่มีลิขสิทธิ์ รวมถึง การละเมิดลิขสิทธิ์ ใดๆ ที่เกี่ยวข้องกับการใช้อินเท
อร์เน็ตเพื่อจำหน่ายหรือเผยแพร่ผลงานสร้างสรรค์ที่ได้รับการคุ้มครองลิขสิทธิ์
3. การเจาะระบบ – การให้ได้มาซึ่งสิทธิในการเข้าถึงระบบคอมพิวเตอร์หรือเครือข่ายโดยไม่ได้รับอนุญาต
4. การก่อการร้ายทางคอมพิวเตอร์ – การเจาะระบบ โดยมีจุดมุ่งหมายเพื่อสร้างความหวาดกลัว
5. ภาพอนาจารทางออนไลน์ – การประมวลผลหรือการเผยแพร่ภาพอนาจารเด็กถือเป็นการกระทำที่ผิดกฎหมาย
และการเผยแพร่ภาพลามกอนาจารในรูปแบบใดๆ แก่เยาวชนถือเป็นการกระทำที่ขัดต่อกฎหมาย
6. ภายในโรงเรียน – ถึงแม้ว่าอินเทอร์เน็ตจะเป็นแหล่งทรัพยากรสำหรับการศึกษาและสันทนาการ แต่เยาวชน
จำเป็นต้องได้รับทราบเกี่ยวกับวิธีการใช้งานเครื่องมืออย่างปลอดภัยและมีความรับผิดชอบ
7. การหลอกค้าขายลงทุนผ่านทางเครือข่ายคอมพิวเตอร์ เช่น การประกาศโฆษณา การชักชวนให้เข้าร่วมลงทุน
8. การแทรกแซงข้อมูลโดยมิชอบ โดยการนำเอาข้อมูลเหล่านั้นมาเป็นประโยชน์ต่อตน
ที่มา
tcsd
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud
Monday, December 9, 2013
Digital Forensics: Computer Forensics – Certification
Digital Forensics: Computer Forensics – Certification
Accessdata Certified Examiner ACE
The ACE certification will test the user’s knowledge of forensic theory, tool features, and include a hands on portion testing the users ability to use the above mentioned tools to find and report on evidence found in a case. If the user does not have a copy of AccessData’s Forensic Tools, but would like to take the exam, they should contact training@accessdata.com for options.
Certification information:
- Cost: $100.00
- Number of Questions: 88
- Passing Score: 80%
- Number of Attempts: 2
- Valid For: 2 Years
- Recertification: As the certificate nears expiration a reminder email will be sent. The user will be able to login to AccessData’s training site and take the certification test again to renew.
- Certificate: The certificate should be emailed to the student upon successful completion and passing of the exam. Certificates may also be managed from the users account page within the AccessData Training page.
- ACE Study TopicsView Study Topics
- ACE Image Download: Download ACE Image.
ACE Process
The ACE certification consists of an online exam with both knowledge-based and practical-based components. There are no prerequisites. You MUST have a fully licensed copy of FTK to take this exam.- To take the ACE exam, click HERE.
- Click: Register.
- Complete the requested information.
- Click: Create New User.
- Select the ACE 6 exam.
- The number of test questions, time limit, scoring information, and testing functionality will be presented to you after clicking on the exam of your choice. At that point, you may click “Start this Test” or logout and take the exam at a future date.
- To download the ACE 6 image file, click HERE.
ACE Study Materials
Download the ACE Study GuideDownload ACE Study Guide |
What are three types of evidence that can be added to a case in FTK? (Choose three.)
- A. local drive
- B. registry MRU list
- C. contents of a folder
- D. acquired image of a drive
- E. compressed volume files (CVFs)
ou used FTK Imager to create several hash list files. You view the location where the files
were exported. What is the file extension type for these files?
- A. .txt = ASCII Text File
- B. .dif = Data Interchange Format
- C. .prn = Formatted Text Delimited
- D. .csv = Comma Separated Values
items that you have marked "Add to Report." Which Registry Viewer option accomplishes
this task?
A. Common Areas
B. Generate Report
C. Define Summary Report
D. Manage Summary Reports
Answer : B
Which pattern does the following regular expression recover?
(\d{4}[\- ]){3}\d{4}
A. 000-000-0000
B. ddd-4-3-dddd-4-3
C. 000-00000-000-ABC
D. 0000-0000-0000-0000
Answer : D
FTK uses Data Carving to find which three file types? (Choose three.)
A. JPEG files
B. Yahoo! Chat Archives
C. WPD (Word Perfect Documents)
D. Enhanced Windows Meta Files (EMF)
E. OLE Archive Files (Office Documents)
Answer : A,D,E
AccessData FTK 6.0 Product Webinar
สอบ Accessdata Certified Examiner
#Passed Accessdata Certified Examiner ACE
#Digital Forensics Certificationหมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud