Digital Forensics: Metadata
Update 2017Metadata
คือข้อมูลที่ใช้สำหรับอธิบายรายละเอียดของข้อมูลอื่น เช่น Metadata ในรูปถ่ายจากกล้องดิจิทัล อาจจะประกอบไปด้วยข้อมูลวันเวลาที่ถ่าย หรือชื่อรุ่นของกล้องที่ถ่าย ถ้าเป็นไฟล์เอกสาร อาจจะประกอบไปด้วยชื่อผู้สร้างไฟล์ หรือถ้าเป็นไฟล์เพลง อาจจะประกอบไปด้วยชื่อเพลง ชื่อศิลปิน ชื่ออัลบัม เป็นต้น อ้างอิง http://www.techterms.com/definition/metadatametadata คือ ข้อมูลรายละเอียดที่อธิบายถึงความเป็นมาของข้อมูล
อาทิเช่น ชื่อผู้แต่ง ชื่อเจ้าของผลงาน ผู้รับผิดชอบ ปีที่เขียน ชื่อเรื่อง
จริงๆแล้ว มันก็คล้ายๆ กับการวิเคราะห์ทรัพยากรสารสนเทศที่เป็นสิ่งพิมพ์
แต่ metadata จะใช้กับทรัพยากรสารสนเทศที่อยู่ในรูปของอิเล็กทรอนิกส์ต่างหาก
หลักที่เรายึดและใช้ในการกำหนดมาตรฐานเราจะใช้ของ Dublin core
ซึ่งใช้แสดงลักษณะพื้นฐานของสารสนเทศ 15 ข้อ ดังต่อไปนี้
1. TITLE – ชื่อเรื่อง
2. AUTHOR OR CREATOR – ผู้แต่ง หรือ เจ้าของงาน
3. SUBJECT OR KEYWORDS – หัวเรื่อง หรือ คำสำคัญ
4. DESCRIPTION – ลักษณะ
5. PUBLISHER – สำนักพิมพ์
6. OTHER CONTRIBUTORS – ผู้ร่วมงาน
7. DATE – ปี
8. RESOURCE TYPE – ประเภท
9. FORMAT – รูปแบบ
10. RESOURCE IDENTIFIER – รหัส
11. SOURCE – ต้นฉบับ
12. LANGUAGE – ภาษา
13. RELATION – เรื่องที่เกี่ยวข้อง
14. COVERAGE – สถานที่และเวลา
15. RIGHT MANAGEMENT – สิทธิ
จากตัวอย่าง
1. แสดงรายละเอียด ไฟล pdf มีการแก้ไขเมื่อ (modified date) 27 December 2010
2. ทำสอบเปลี่ยน Rename ชื่อไฟล์ Pdf พบว่าค่า (modified date) 27 December 2010 เหมือนเดิม
3 ทำการ เปรียบเทียบค่า hash ก่อนทำการเพิ่มสิทธิในไฟล์ Pdf
4 ทำการ เปรียบเทียบค่า hash หลังทำการเพิ่มสิทธิในไฟล์ Pdf
5.พบว่าการเปลี่่ยนสิทธ์ ในไฟล์ Pdf ค่า hash ไม่เปลี่ยนแปลง , ค่า (modified date) 27 December 2010 เหมือนเดิม
6 ทำการแก้ไข metadata ค่า author ,Title Subject ,Create onในไฟล์ Pdf โดยใช้โปรแกรม PDFCandy dowload
ก่อนเปลี่ยนแปลง
7. เลือกคำสั่ง Edit Metadata
8 ทำการเปลี่ยนข้อมูล แก้ไข metadata
หลัง ทำการแก้ไข metadata พบว่าค่า hash เปลี่ยน และค่า (modified date) เปลี่ยน
ทำการเปรียบเทียบค่า hash ก่อน ทำการแก้ไข metadata
79e57c5dbdd875d3a3954c69c483570ae6b83b87,G:\Windows 2012R2\Digital Forensics Examiner.pdf SHA1
5f238654736831a84cc4df7eb8d20d5a,G:\Windows 2012R2\Digital Forensics Examiner.pdf MD5
d6bb0f71,G:\Windows 2012R2\Digital Forensics Examiner.pdf CRC32
ทำการเปรียบเทียบค่า hash หลังเปลี่ยนชื่อไฟล์ rename ค่า hash ไม่เปลี่ยน
79e57c5dbdd875d3a3954c69c483570ae6b83b87,G:\Windows 2012R2\Digital Forensics Examiner.pdf SHA1
5f238654736831a84cc4df7eb8d20d5a,G:\Windows 2012R2\Digital Forensics Examiner.pdf MD5
d6bb0f71,G:\Windows 2012R2\Digital Forensics Examiner.pdf CRC32
ทำการเปรียบเทียบค่า hash หลังทำการแก้ไข metadata พบว่า ค่า hash เปลี่ยน
def765887b05751beaa9113c3ee23768c5c993ec,G:\Windows 2012R2\Digital Forensics Examiner.pdf SHA1
7935b27fb129e822db3d40865a0b3809,G:\Windows 2012R2\Digital Forensics Examiner.pdf MD5
646978eb,G:\Windows 2012R2\Digital Forensics Examiner.pdf CRC32
.....................................................................................................................
ทำการทดสอบการเปลี่ยนค่า metadata กับ ไฟล์ Excel
ค่า hash ก่อน ทำการแก้ไข metadata
หลัง ทำการแก้ไข metadata พบว่าค่า hash เปลี่ยน
ทำการเปรียบเทียบค่า hash ก่อน ทำการแก้ไข metadata
31bd050c C:\Users\ 2\Desktop\TestMetadata.xlsx CRC32
1e07bb736262e15a4eb9b722bd33ee6d ,C:\Users\2\Desktop\TestMetadata.xlsx MD5
a17d5b72cc64c15bc55d2b7b2ad9b055713de6f8 ,C:\Users\ 2\Desktop\TestMetadata.xlsx SHA1
ทำการเปรียบเทียบค่า hash หลัง ทำการแก้ไข metadata พบว่าค่า hash เปลี่ยน
b62aeff0 C:\Users\ 2\Desktop\TestMetadata.xlsx CRC32
df9ee7c7498c7692b394334692f7ceab ,C:\Users\ 2\Desktop\TestMetadata.xlsx MD5
67d7f3cf44a682ecadaab6d70e9d055309cda1d6 C:\Users\ \Desktop\TestMetadata.xlsx SHA1
จากตัวอย่างค่า metadata ของไฟล์ PDF,Excel และไฟล์ดิจิตอลอื่นๆ นั้นสามารถเปลี่ยนแปลงได้ โดยการแก้โดย User หรือใช้ซอฟแวร์เฉพาะ เช่น เปลี่ยนวันเดือนปี เปลี่ยนชื่อ หรือรายละเอียดต่างๆ
อาจใช้ในสิ่งเหล่านี้ในการพิจารณา กรณีศึกษา การปลอมแปลงเอกสาร
- Integrity
- Creation time
- Modified time
- Last Accessed
- Metadata
https://eforensicsmag.com/download/metadata-analysis-tools-and-techniques/
https://www.etda.or.th/terminology-detail/1309.html
http://dublincore.org/
https://en.wikipedia.org/wiki/Metadata
http://www.libraryhub.in.th/2009/11/27/what-is-metadata
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud
No comments:
Post a Comment