Digital forensic examiners are investigators who are experts in gathering, recovering, analyzing, and presenting data evidence from computers and other digital media related to computer-based .They might work on cases concerning identity theft, electronic fraud,investigation of material found in digital devices ,electronic evidence, often in relation to cyber crimes.
Saturday, December 28, 2013
DIGITAL FORENSICS:Flash Drive จับโจร
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
Thursday, December 26, 2013
Digital Forensics:Forensic Imaging with DD command
Digital Forensics:Forensic Imaging with DD command
dd – Linux Command คำสั่ง backup ข้อมูลใน harddisk ในทาง digital forensics ใช้คำสั่ง DD ในการทำสำเนาหลักฐาน Forensic Imaging
คำสั่ง
dd if=<source file name> of=<target file name> [Options]- if=<source> – กำหนดตำแหน่ง directory ต้นทางที่ต้องการ Forensic Image ข้อมูล โดย “if” คือ input-file
- of=<destination> –กำหนดตำแหน่ง file ปลายทางที่ต้องการ Image file ทำการเขียนข้อมูลลงไป โดย “of” คือ output-file
dd if=/dev/sda of=/dev/sdb
2. ทำการ backup partition ที่ต้องการ ไปยัง file ที่กำหนด
dd if =/dev/sda2 of=~/hdadisk.img
3. ทำการ restore จาก Image file
dd if=hdadisk.img of=/dev/sdb3
4. คำสั่งลบข้อมูล (WIPE Disk) บน Harddisk
dd if=/dev/zero of=/dev/hda bs=4K conv=noerror,sync
5. Hash > Hashing the evidence for integrity checkingsha1sum /dev/hda | tee ForensicImage_sha1.txt
md5sum /dev/hda | tee ForensicImage_md5.txt
6. example dd if=/dev/hda bs=4K conv=sync,noerror | tee ForensicImage.img | md5sum > ForensicImage.md5
เมื่อทำ ForensicImage แล้ว ควรทำการ hash ไฟล์ข้อมูลทุกครั้งด้วย md5 หรือ SHA-1
โครงสร้างคำสั่ง
dd [OPERAND]... dd OPTIONif => input file
/dev/hda => the linux name of a physical disk. Mac has their own names.
/dev/zero => in linux, this is an infinite source of nulls
of => output file
ForensicImage.img => The name of the image file you are creating
bs => blocksize
65536 => 64K (I normally use 4K in linux. That is what the linux kernel uses as a page size.)
เป็นการบอกให้ dd ทำการอ่านและเขียนข้อมูลทีล่ะ 1024*64 k = 65536 byte blocksize
noerror => don't die if you have a read error from the source drive
conv=noerror คือในกรณีที่คำสั่ง dd ทำการอ่านข้อมูลแล้วเกิดข้อผิดพลาดขึ้น ให้ dd ทำการอ่านข้อมูลต่อไปโดยที่ไม่ต้องหยุดการทำงาน
sync => if there is an error, null fill the rest of the block.
note:
- ถ้ามี bad bad มาด้วย
- HDD ควรมีขนาดเท่ากัน หรืออย่างน้อยขนาดของ HDD ที่จะเก็บข้อมูลที่จะ backup ต้องมีขนาดไม่เล็กกว่าตัวหลัก
DD command
ที่มา:
saixiii
www.forensicswiki
howtoforge
packtpub
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud
Wednesday, December 25, 2013
Digital Forensics: Cybercrime
Digital Forensics:อาชญากรรมทางเทคโนโลยีสารสนเทศ
อาชญากรรมทางเทคโนโลยีสารสนเทศ คือ
ปัจจุบันปัญหาอาชญากรรมได้เกิดขึ้นหลายรูปแบบ มีการขยายตัวเป็นวงกว้างและสลับซับซ้อน มีการนำเทคโนโลยีและการสื่อสารต่าง ๆ เข้ามาใช้เป็นเครื่องมือในการกระทำความผิดรวมทั้งมีแนวโน้มที่บุคคลต่างชาติเข้ามามีส่วนร่วมในการกระทำความผิดเพิ่มมากขึ้น ซึ่งส่งผลกระทบต่อความปลอดภัยในชีวิตและทรัพย์สินของประชาชน เป็นภัยต่อความมั่นคงและระบบเศรษฐกิจของประเทศอาชญากรรม(ทาง)คอมพิวเตอร์ หรือ อาชญากรรมไซเบอร์ หมายถึงอาชญากรรมใด ๆ ที่เกี่ยวข้องกับคอมพิวเตอร์และเครือข่ายคอมพิวเตอร์ [1] อาชญากรรม(บน)อินเทอร์เน็ต ก็เป็นอีกคำหนึ่งซึ่งหมายถึงการแสวงหาผลประโยชน์อย่างผิดกฎหมายบนอินเทอร์เน็ต [2] คอมพิวเตอร์นั้นอาจถูกใช้เป็นเครื่องมือก่ออาชญากรรม หรืออาจตกเป็นเป้าหมายของการกระทำก็ได้ [3] Dr. Debarati Halder และ Dr. K. Jaishankar ได้นิยามอาชญากรรมไซเบอร์ไว้ว่าเป็น "ความผิดที่กระทำขึ้นต่อปัจเจกบุคคลหรือกลุ่มของปัจเจกบุคคล ด้วยเหตุจูงใจทางอาญา ที่เจตนาทำให้เหยื่อเสื่อมเสียชื่อเสียง หรือทำร้ายร่างกายหรือจิตใจของเหยื่อ โดยทางตรงหรือทางอ้อม โดยใช้เครือข่ายโทรคมนาคมสมัยใหม่ อาทิ อินเทอร์เน็ต (ห้องแช็ต อีเมล กระดานประกาศ และกลุ่มข่าว) และโทรศัพท์เคลื่อนที่ (เอสเอ็มเอส/เอ็มเอ็มเอส)" [4] อาชญากรรมเช่นนั้นอาจคุกคามความมั่นคงและสภาวะทางการคลังของรัฐ [5] ปัญหาต่าง ๆ ที่เกี่ยวข้องกับอาชญากรรมชนิดนี้ได้กลายมาเป็นปัญหาสำคัญ โดยเฉพาะที่เกี่ยวข้องกับการเจาะระบบเครือข่าย การละเมิดลิขสิทธิ์ สื่อลามกอนาจารเด็ก และการล่อลวงเด็ก นอกจากนี้ยังมีปัญหาเรื่องความเป็นส่วนตัวเมื่อสารสนเทศที่เป็นความลับถูกสกัดกั้นหรือถูกเปิดเผย โดยทางกฎหมายหรือไม่ก็ตาม
ทีมา: th.wikipedia
อาชญากรรมทางคอมพิวเตอร์ (Computer Crime)
อาชญากรรมไซเบอร์ (อังกฤษ: Cybercrime) อาชญากรที่ก่ออาชญากรรมประเภทนี้ มักถูกเรียกว่า แครกเกอร์
2.การกระทำผิดกฎหมายใด ๆ ซึ่งใช้เทคโนโลยี คอมพิวเตอร์เป็นเครื่องมือและในการสืบสวนสอบสวนของเจ้าหน้าที่เพื่อนำผู้กระทำผิดมาดำเนินคดีต้องใช้ความรู้ทางเทคโนโลยีเช่นเดียวกันการประกอบอาชญากรรมทางคอมพิวเตอร์ได้ก่อให้เกิดความเสียหาย ต่อเศรษฐกิจของประเทศจำนวนมหาศาล อาชญากรรมทางคอมพิวเตอร์ จึงจัดเป็นอาชญากรรมทางเศรษฐกิจ หรือ อาชญากรรมทางธุรกิจรูปแบบ หนึ่งที่มีความสำคัญ
ฉ้อโกงออนไลน์ |
ฉ้อโกงออนไลน์ แจ้งความที่ไหน |
ละเมิดทรัพย์สินทางปัญญา |
ค้ามนุษย์ |
ROMANCE SCAM |
พนันออนไลน์ |
tactics
อาชญากรรม 8 ประเภท ที่พบบ่อยบนอินเทอร์เน็ต
อาชญากรรม ที่พบบ่อยบนอินเทอร์เน็ต |
2. การละเมิดลิขสิทธิ์ – การคัดลอกผลงานที่มีลิขสิทธิ์ รวมถึง การละเมิดลิขสิทธิ์ ใดๆ ที่เกี่ยวข้องกับการใช้อินเท
อร์เน็ตเพื่อจำหน่ายหรือเผยแพร่ผลงานสร้างสรรค์ที่ได้รับการคุ้มครองลิขสิทธิ์
3. การเจาะระบบ – การให้ได้มาซึ่งสิทธิในการเข้าถึงระบบคอมพิวเตอร์หรือเครือข่ายโดยไม่ได้รับอนุญาต
4. การก่อการร้ายทางคอมพิวเตอร์ – การเจาะระบบ โดยมีจุดมุ่งหมายเพื่อสร้างความหวาดกลัว
5. ภาพอนาจารทางออนไลน์ – การประมวลผลหรือการเผยแพร่ภาพอนาจารเด็กถือเป็นการกระทำที่ผิดกฎหมาย
และการเผยแพร่ภาพลามกอนาจารในรูปแบบใดๆ แก่เยาวชนถือเป็นการกระทำที่ขัดต่อกฎหมาย
6. ภายในโรงเรียน – ถึงแม้ว่าอินเทอร์เน็ตจะเป็นแหล่งทรัพยากรสำหรับการศึกษาและสันทนาการ แต่เยาวชน
จำเป็นต้องได้รับทราบเกี่ยวกับวิธีการใช้งานเครื่องมืออย่างปลอดภัยและมีความรับผิดชอบ
7. การหลอกค้าขายลงทุนผ่านทางเครือข่ายคอมพิวเตอร์ เช่น การประกาศโฆษณา การชักชวนให้เข้าร่วมลงทุน
8. การแทรกแซงข้อมูลโดยมิชอบ โดยการนำเอาข้อมูลเหล่านั้นมาเป็นประโยชน์ต่อตน
ที่มา
tcsd
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud
Monday, December 9, 2013
Digital Forensics: Computer Forensics – Certification
Digital Forensics: Computer Forensics – Certification
Accessdata Certified Examiner ACE
The ACE certification will test the user’s knowledge of forensic theory, tool features, and include a hands on portion testing the users ability to use the above mentioned tools to find and report on evidence found in a case. If the user does not have a copy of AccessData’s Forensic Tools, but would like to take the exam, they should contact training@accessdata.com for options.
Certification information:
- Cost: $100.00
- Number of Questions: 88
- Passing Score: 80%
- Number of Attempts: 2
- Valid For: 2 Years
- Recertification: As the certificate nears expiration a reminder email will be sent. The user will be able to login to AccessData’s training site and take the certification test again to renew.
- Certificate: The certificate should be emailed to the student upon successful completion and passing of the exam. Certificates may also be managed from the users account page within the AccessData Training page.
- ACE Study TopicsView Study Topics
- ACE Image Download: Download ACE Image.
ACE Process
The ACE certification consists of an online exam with both knowledge-based and practical-based components. There are no prerequisites. You MUST have a fully licensed copy of FTK to take this exam.- To take the ACE exam, click HERE.
- Click: Register.
- Complete the requested information.
- Click: Create New User.
- Select the ACE 6 exam.
- The number of test questions, time limit, scoring information, and testing functionality will be presented to you after clicking on the exam of your choice. At that point, you may click “Start this Test” or logout and take the exam at a future date.
- To download the ACE 6 image file, click HERE.
ACE Study Materials
Download the ACE Study GuideDownload ACE Study Guide |
What are three types of evidence that can be added to a case in FTK? (Choose three.)
- A. local drive
- B. registry MRU list
- C. contents of a folder
- D. acquired image of a drive
- E. compressed volume files (CVFs)
ou used FTK Imager to create several hash list files. You view the location where the files
were exported. What is the file extension type for these files?
- A. .txt = ASCII Text File
- B. .dif = Data Interchange Format
- C. .prn = Formatted Text Delimited
- D. .csv = Comma Separated Values
items that you have marked "Add to Report." Which Registry Viewer option accomplishes
this task?
A. Common Areas
B. Generate Report
C. Define Summary Report
D. Manage Summary Reports
Answer : B
Which pattern does the following regular expression recover?
(\d{4}[\- ]){3}\d{4}
A. 000-000-0000
B. ddd-4-3-dddd-4-3
C. 000-00000-000-ABC
D. 0000-0000-0000-0000
Answer : D
FTK uses Data Carving to find which three file types? (Choose three.)
A. JPEG files
B. Yahoo! Chat Archives
C. WPD (Word Perfect Documents)
D. Enhanced Windows Meta Files (EMF)
E. OLE Archive Files (Office Documents)
Answer : A,D,E
AccessData FTK 6.0 Product Webinar
สอบ Accessdata Certified Examiner
#Passed Accessdata Certified Examiner ACE
#Digital Forensics Certificationหมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud
Friday, November 29, 2013
Digital Forensics:Timestamp
Digital Forensics:Timestamp
Unix Timestamp คืออะไร?
Unix Time คือเวลาที่บวก 1 เพิ่มทุกๆวินาที โดยเป็นตัวเลขที่เริ่มนับตั้งแต่วินาทีที่ 00:00:00 ของวันพฤหัสบดี วันที่ 1 มกราคม ค.ศ.1970 เป็นตันมาตามเวลาสากล UTC แล้วยูทีซีคืออะไร มันก็คือเวลาสากลซึ่งเป็นที่ยอมรับกันทั่วโลก มาจากอักษรเต็มๆในภาษาอังกฤษคือ Coordinated Universal Time หรือถ้าแปลเป็นไทยให้ฟังยากๆก็คือ เวลาสากลเชิงพิกัด ในแต่ละประเทศก็ใช้เวลาของตัวเองบวกเพิ่มเข้าไปเช่นประเทศอังกฤษคือ UTC+0 ที่นี้คือกรีนิช, ประเทศไทยคือ UTC+7, รัฐอะแลสกา ประเทศสหรัฐอเมริกา คือ UTC-9 เป็นต้น
ที่มา: Chin Chayut
Epoch หรือ Unix Epoch คือ
ปัจจุบันการระบุวันเวลามีด้วยกันหลายวิธีหรือหลายรูปแบบ และ หน่วยวัดที่หลากหลายเช่น ปี, เดือน, วัน, ชั่วโมง, นาที, วินาที เป็นสาเหตุให้หลายท่านอาจจะได้ยินและสงสัยคำว่า Epoch หรือ Unix Epoche คือ อะไร เนื่องจากรูปแบบการระบุเวลายังไม่มีมาตราฐานชัดเจน แต่สำหรับการเขียน program ที่จำเป็นต้องอ้างอิงวันเวลา รวมถึงการคำนวณในหน่วยเวลาที่เป็นมาตราฐานเดียวกัน Epoch จึงเป็นมาตราฐานอย่างนึงในการระบุเวลา โดยการอ้างอิงระยะห่างจากวันที่ใช้อ้างอิง จนถึงวันที่กำหนดเป็นหน่วยวินาที ส่วนช่วงเวลาที่ก่อนหน้านั้นจะใช้เป็นค่าลบแทน ซึ่งวันที่ใช้อ้างอิงดังกล่าวมีได้หลายแบบขึ้นอยู่กับ software ที่ใช้งาน เช่น วันที่ UTC (00:00) January 1, 1900 เป็นเวลามาตราฐานของ Network Time Protocol (NTP) แต่ ที่เรานิยมพูดถึงหรือใช้งานกับ Unix, Linux หรือ programming ซึ่ง Unix Epoch จะมีวันที่อ้างอิงคือ January 1, 1970 นั้นหมายถึงว่า 1 วันถัดไปจะมีค่าเท่ากับ 60 x 60 x 24 = 86,400 วินาที ซึ่ง Unix Epoch คือ วันที่ January 2, 1970 ด้วยนั้นเอง
ที่มา:Suphakit Annoppornchai https://bit.ly/2PNcY2O
ตัวอย่าง การนำค่า Timestamp มาแปลงให้เป็นค่าวันเวลาปกติ
1. เข้าไปที่website http://www.onlineconversion.com/unix_time.htm
2. เข้าไปที่ Windows Registry
3 นำค่า Windows Install date (1385630218)
Unix Timestamp Conversion Tools
อีกเว็ปไซค์ https://www.epochconverter.com
ทำซ้ำอีกครั้ง โดยการใส่ค่า Unix Timestamp ในช่อง
ที่มา:
https://bit.ly/2JdgTDD
https://bit.ly/2q9VmTK
https://bit.ly/1icNemY
https://bit.ly/2unVnDn
http://en.wikipedia.org/wiki/Unix_time
#Computer Forensics
#dforensic.blogspot.com
Wednesday, October 16, 2013
DIGITAL FORENSICS:Challenge Treasure Hunt
DIGITAL FORENSICS:Challenge Treasure Hunt
วันนี้่จะมาแนะนำการฝึกทำ Digital Forensics ในเว็บ http://securitytreasurehunt.com
แพลตฟอร์ม securitytreasurehunt เป็นสภาพแวดล้อมออนไลน์ที่ออกแบบมาเพื่อช่วยระบุผู้ที่มีความสนใจและทักษะด้านความปลอดภัยของข้อมูล ความท้าทายต่างๆจะถูกโพสต์ไว้ที่นี่เพื่อทดสอบความรู้และทักษะของผู้เข้าร่วมในด้านต่างๆของการรักษาความปลอดภัยข้อมูลเช่น Digital Forensics ทุกคนสามารถเข้าร่วมได้
To begin using this environment, simply follow the link below to the challenge you are interested in, or browse by category on the left. Once registered with the Question Engine, participants can enroll in the quiz associated with a particular challenge. Most quizzes have no time limit, and everything is open book, open Internet, and open to the public.
Links to existing challenges can be found below, arranged by level of difficulty. Check back often for new challenges!
https://questionengine.securitytreasurehunt.com/
Digital Forensics |
|
Level 1 |
|
Level 2 |
|
Level 3 |
|
Level 4 |
|
Level 5 |
DF500 |
Digital Forensics Challenge Treasure Hunt – Round 1
Digital Forensics Challenge Treasure Hunt – Round 2
The second round of the Digital Forensics Challenge is now available! This challenge, written by Mike Murr of the SANS Digital Forensics Team, requires participants to analyze a graphical image file to answer questions. To participate, click the Question Engine link to the left, register, and make sure you enroll in the Digital Forensics Challenge Treasure Hunt - Round 2 quiz.
Digital Forensics Challenge Treasure Hunt – Round 3
The third round of the Digital Forensics Challenge is now available! This challenge, written by the DC3 Challenge Team, requires participants to analyze a series of graphical image files (contained in a ZIP file) to answer questions.
Digital Forensics Challenge Treasure Hunt – Round 4
The fourth round of the Digital Forensics Challenge is now available! This challenge, written by the DC3 Challenge Team, requires participants to analyze a series of files (contained in a ZIP file) to answer questions.
The Department of Defense Cyber Crime Center (DC3) has received a request for a digital forensics exam from a Defense Criminal Investigative Organization. After the SUBJECT of the investigation seized laptop was imaged, its hard drive is reviewed by a DCFL (Defense Computer Forensics Lab) computer forensic examiner. The examiner identifies a set of 13 files that have been marked as suspicious in a single directory.
With your knowledge and skills, the examiner has provided you with a copy of the 13 suspicious files and asked you to identify the file signatures for each file. In addition, the agent that submitted the case has several questions they want answered for their report and to increase their general knowledge.
Click here to download the ZIP file containing the files to analyze.
SHA1: 18b4055f7119bd17dac61d2c755db68ca0aebbee
Web Vulnerability Assessment Security Treasure Hunt
Navy Security Treasure Hunt
ฝึกทำLab Digital Forensics
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ