Tuesday, September 2, 2014

Digital Forensics: Metadata

Digital Forensics: Metadata

  Update 2017

Metadata

คือข้อมูลที่ใช้สำหรับอธิบายรายละเอียดของข้อมูลอื่น เช่น Metadata ในรูปถ่ายจากกล้องดิจิทัล อาจจะประกอบไปด้วยข้อมูลวันเวลาที่ถ่าย หรือชื่อรุ่นของกล้องที่ถ่าย ถ้าเป็นไฟล์เอกสาร อาจจะประกอบไปด้วยชื่อผู้สร้างไฟล์ หรือถ้าเป็นไฟล์เพลง อาจจะประกอบไปด้วยชื่อเพลง ชื่อศิลปิน ชื่ออัลบัม เป็นต้น อ้างอิง http://www.techterms.com/definition/metadata




metadata คืออะไร

metadata คือ ข้อมูลรายละเอียดที่อธิบายถึงความเป็นมาของข้อมูล
อาทิเช่น ชื่อผู้แต่ง ชื่อเจ้าของผลงาน ผู้รับผิดชอบ ปีที่เขียน ชื่อเรื่อง
จริงๆแล้ว มันก็คล้ายๆ กับการวิเคราะห์ทรัพยากรสารสนเทศที่เป็นสิ่งพิมพ์
แต่ metadata จะใช้กับทรัพยากรสารสนเทศที่อยู่ในรูปของอิเล็กทรอนิกส์ต่างหาก
หลักที่เรายึดและใช้ในการกำหนดมาตรฐานเราจะใช้ของ Dublin core
ซึ่งใช้แสดงลักษณะพื้นฐานของสารสนเทศ 15 ข้อ ดังต่อไปนี้
1. TITLE – ชื่อเรื่อง
2. AUTHOR OR CREATOR – ผู้แต่ง หรือ เจ้าของงาน
3. SUBJECT OR KEYWORDS – หัวเรื่อง หรือ คำสำคัญ
4. DESCRIPTION – ลักษณะ
5. PUBLISHER – สำนักพิมพ์
6. OTHER CONTRIBUTORS – ผู้ร่วมงาน
7. DATE – ปี
8. RESOURCE TYPE – ประเภท
9. FORMAT – รูปแบบ
10. RESOURCE IDENTIFIER – รหัส
11. SOURCE – ต้นฉบับ
12. LANGUAGE – ภาษา
13. RELATION – เรื่องที่เกี่ยวข้อง
14. COVERAGE – สถานที่และเวลา
15. RIGHT MANAGEMENT – สิทธิ

 
 จากตัวอย่าง

1. แสดงรายละเอียด ไฟล pdf   มีการแก้ไขเมื่อ (modified date)  27 December 2010

2. ทำสอบเปลี่ยน Rename ชื่อไฟล์ Pdf    พบว่าค่า (modified date)  27 December 2010  เหมือนเดิม

3 ทำการ เปรียบเทียบค่า  hash  ก่อนทำการเพิ่มสิทธิในไฟล์ Pdf

4 ทำการ เปรียบเทียบค่า  hash  หลังทำการเพิ่มสิทธิในไฟล์ Pdf
5.พบว่าการเปลี่่ยนสิทธ์ ในไฟล์  Pdf   ค่า  hash  ไม่เปลี่ยนแปลง     , ค่า (modified date)  27 December 2010  เหมือนเดิม 

6 ทำการแก้ไข metadata ค่า  author  ,Title Subject ,Create onในไฟล์  Pdf    โดยใช้โปรแกรม  PDFCandy dowload
https://pdfcandy.com/download.html

  ก่อนเปลี่ยนแปลง


7. เลือกคำสั่ง Edit Metadata



8 ทำการเปลี่ยนข้อมูล แก้ไข metadata

   หลัง  ทำการแก้ไข metadata  พบว่าค่า hash เปลี่ยน   และค่า (modified date) เปลี่ยน

 ทำการเปรียบเทียบค่า  hash ก่อน  ทำการแก้ไข metadata
 79e57c5dbdd875d3a3954c69c483570ae6b83b87,G:\Windows 2012R2\Digital Forensics Examiner.pdf  SHA1
5f238654736831a84cc4df7eb8d20d5a,G:\Windows 2012R2\Digital Forensics Examiner.pdf          MD5
d6bb0f71,G:\Windows 2012R2\Digital Forensics Examiner.pdf                                  CRC32



ทำการเปรียบเทียบค่า  hash หลังเปลี่ยนชื่อไฟล์ rename   ค่า  hash ไม่เปลี่ยน

79e57c5dbdd875d3a3954c69c483570ae6b83b87,G:\Windows 2012R2\Digital Forensics Examiner.pdf  SHA1
5f238654736831a84cc4df7eb8d20d5a,G:\Windows 2012R2\Digital Forensics Examiner.pdf          MD5
d6bb0f71,G:\Windows 2012R2\Digital Forensics Examiner.pdf                                  CRC32

ทำการเปรียบเทียบค่า  hash  หลังทำการแก้ไข metadata   พบว่า ค่า  hash  เปลี่ยน
                                                                                                  
def765887b05751beaa9113c3ee23768c5c993ec,G:\Windows 2012R2\Digital Forensics Examiner.pdf SHA1
7935b27fb129e822db3d40865a0b3809,G:\Windows 2012R2\Digital Forensics Examiner.pdf         MD5
646978eb,G:\Windows 2012R2\Digital Forensics Examiner.pdf                                 CRC32
 
.....................................................................................................................


ทำการทดสอบการเปลี่ยนค่า metadata กับ ไฟล์ Excel

  ค่า  hash ก่อน  ทำการแก้ไข metadata


 หลัง   ทำการแก้ไข metadata  พบว่าค่า hash เปลี่ยน

ทำการเปรียบเทียบค่า  hash ก่อน  ทำการแก้ไข metadata

31bd050c          C:\Users\ 2\Desktop\TestMetadata.xlsx                                                          CRC32   
1e07bb736262e15a4eb9b722bd33ee6d     ,C:\Users\2\Desktop\TestMetadata.xlsx                  MD5
a17d5b72cc64c15bc55d2b7b2ad9b055713de6f8    ,C:\Users\ 2\Desktop\TestMetadata.xlsx  SHA1

 ทำการเปรียบเทียบค่า  hash หลัง   ทำการแก้ไข metadata    พบว่าค่า hash เปลี่ยน

b62aeff0         C:\Users\ 2\Desktop\TestMetadata.xlsx                                                       CRC32
df9ee7c7498c7692b394334692f7ceab  ,C:\Users\ 2\Desktop\TestMetadata.xlsx               MD5
67d7f3cf44a682ecadaab6d70e9d055309cda1d6  C:\Users\ \Desktop\TestMetadata.xlsx  SHA1


  จากตัวอย่างค่า metadata  ของไฟล์ PDF,Excel และไฟล์ดิจิตอลอื่นๆ  นั้นสามารถเปลี่ยนแปลงได้ โดยการแก้โดย User หรือใช้ซอฟแวร์เฉพาะ   เช่น เปลี่ยนวันเดือนปี เปลี่ยนชื่อ หรือรายละเอียดต่างๆ

อาจใช้ในสิ่งเหล่านี้ในการพิจารณา กรณีศึกษา การปลอมแปลงเอกสาร
  •   Integrity
  •   Creation time
  •   Modified time 
  •   Last Accessed 
  •   Metadata  
METADATA ANALYSIS TOOLS AND TECHNIQUES  download

Reference

https://eforensicsmag.com/download/metadata-analysis-tools-and-techniques/
https://www.etda.or.th/terminology-detail/1309.html 
http://dublincore.org/
https://en.wikipedia.org/wiki/Metadata
http://www.libraryhub.in.th/2009/11/27/what-is-metadata


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud
at
Labels: ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)

เจาะลึก 14 Certifications ด้าน Cybersecurity

เจาะลึก 14 Certifications ด้าน Cybersecurity เจาะลึก 14 Certifications ด้าน Cybersecurity ที่น่าสนใจ! แชร์มุมมองส่วนตัวเกี่ยวกับ certificati...

  • Digital Forensics: ค่าแฮช (hash value)
    Digital Forensics: ค่าแฮช (hash value) ค่า hash คือ ค่าแฮช (hash value) คือ  เกิดจาก วิธีการที่ทำให้ข้อมูลย่อลงแต่มีลักษณะจำเพาะของข้อ...
  • Digital Forensics: Binwalk
    Digital Forensics: Binwalk       จริงๆโปรแกรมนี้ ส่วนใหญ่ มักใช้ในการแข่ง CTF  forensic เจอในโจทย์ตลอด ใครต้องแข่ง ก็ลองศึกษาดูครับมีประโ...
  • Digital Forensics: Chain of Custody
    Digital Forensics: Chain of Custody Chain of custody คือ Chain of custody คือขบวนการในการปฏิบัติงานกับพยานหลักฐาน ในกรณีของการพิสูจน์ห...