Saturday, June 13, 2015

Digital Forensics Foundation Training Course 4 Days

Digital Forensics Foundation Training Course 4 Days

    Introduction to Digital Forensics

    Investigation Fundamentals

    Identification and seizure of digital equipment

    Forensic Acquisitions

    Understanding Digital Data
    Understanding Hard Drive Terminology
    • Physical Drives
    • Understanding Hard Drive Terminology
    • Unified Extensible Firmware Interface (UEFI)
    • GUID Partition Table (GPT)

    File Systems & Data Storage

    File Information

    Forensic Analysis Techniques

Day 1  1-3 

Exercise 3-1 – Identifying Sources of Electronic Evidence (10)
Exercise 3-2 – Dealing with Electronic Devices (15)
Exercise 3-3 – Capturing Volatile Data (30) 

Day 2  4-5 

Exercise 4-1 – Creating a Forensic Image 30 
Exercise 4.2 – Creating a Custom Content Forensic Image 20 
Exercise 4-3 – Mounting a Forensic Image 15
Exercise 4-4 – Create a Ventoy Bootable Hard Drive 20
Exercise 4-5 – Capturing RAM Memory 10 
Exercise 4-6 – Comparing Hash Values 15
        Exercise 5.1 – Physical and Logical Disks 15 

Day 3  6-8  

Exercise 6.1 – Extracting Artefacts from the $UsnJrnl:$J File  20
Exercise 6.2 – MFT Records 20
Exercise 6.3 – File Metadata 20
Exercise 7.1 – Forensic Case Preparation & File/Folder Recovery 15
Exercise 7.2 – File Signature Analysis 5
Exercise 7.3 – Data Carving 15
        Exercise 8.1 – Windows Registry 15
        Exercise 8.2 – USB Forensics 20

Day 4    8-9

Exercise 8.3 – Internet History 20
Exercise 8.4 – Prefetch File Analysis 15
Exercise 8.5 – Identifying Installed Software 20
Exercise 8.6 – Learn how to access the contents of a volume shadow copy 20
Exercise 8.7 – Look for Evidence of Executed Programs 15
Exercise 8.8 – Examination of Link Files 15
Exercise 8.9 – Searching the Registry  15
Exercise 8.10 Exercise 8.10 – Log File Analysis  15



 หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น


* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud


Friday, June 12, 2015

Digital Forensics:NDA คืออะไร

Digital Forensics:NDA คืออะไร

non-disclosure agreement หรือย่อว่า NDA หมายความว่า สัญญาการไม่เปิดเผยข้อมูล หรือ สัญญาการเก็บรักษาความลับ ซึ่งคือสัญญาทางกฎหมายระหว่างบุคคลหรือกลุ่มบุคคลหรือบริษัทในการรับรู้ข้อมูลร่วมกันและหรือใช้ข้อมูลนั้นร่วมกัน แต่จะไม่เปิดเผยเนื้อหาความรู้หรือข้อมูลใดๆให้กับบุคคลที่สาม

รักษาข้อมูลที่เป็นความลับมิให้รั่วไหล ไปยังบุคคลที่ไม่เกี่ยวข้องโดยเฉพาะอย่างยิ่งขอมูลที่อาจมีผลกระทบต่อบริษัทฯ หรือผู้มีส่วนได้เสีย  และห้ามเอาความลับนั้นไปใช้เสียเอง โดยไม่ได้รับอนุญาติจากคู่สัญญาเสียก่อน


เช่น  พนักงานเอาความลับของลูกค้าไปเปิดเผยกับคนภายนอก แล้วต่อมาทำให้ลูกค้าอับอาย เสียชื่อเสียง อย่างนี้ถือว่าพนักงานทำให้ลูกค้าเสียหาย และอาจโดยฟ้องร้องตามมาภายหลัง

ในทางการตรวจพิสูจน์หลักฐาน จะมีข้อมูล บนเครื่องคอมพิวเตอร์, USB flash drive ,HDD สื่อจัดเก็บข้อมูลอิเล็กทรอนิกส์ ,พยานหลักฐานระบบโทรศัพท์มือถือและบันทึกรายละเอียดการโทร -- พยานหลักฐานอีเมล -- ประวัติการใช้งานอินเทอร์เน็ต  -- ข้อมูลเครือข่าย --หมายเลขไอพี (IP Address) -- พยานหลักฐานวิดีโอและภาพถ่าย -- ฐานข้อมูล -- ระบบบัญชีและซอฟต์แวร์การเงิน -- ชื่อบัญชีเกมออนไลน์ที่มีผู้เล่นหลายคน  -- บันทึกการใช้งาน Application สนทนาออนไลน์-- พยานหลักฐานเสียงสนทนา -- พยานหลักฐานสื่อสังคมออนไลน์ Social Network -- เผยพยานหลักฐานสื่อลามกอนาจาร -- ชื่อบัญชีรายชื่อผู้ใช้งาน--บันทึกของผู้ให้บริการอินเทอร์เน็ต -- พยานหลักฐานระบบกำหนดตำแหน่งบนพื้นโลก  GPS เป็นต้น ซึ่งจะมีข้อมูลที่สำคัญอยู่  จำเป็นต้องมีการทำ  NDA  ทุกครั้ง และต้องระมัดระวังไม่ให้ข้อมูลรั่วไหล

ตัวอย่าง สัญญาห้ามเปิดเผยข้อมูล

1.“บริษัท ก.” กับ “ลูกค้า” (หรือ “บริษัทลูกค้า”) ตกลงเจรจาเรื่อง ตรวจสอบหลักฐาน

2. ตกลงจะเก็บรักษาเป็นความลับ โดยจะไม่นำข้อมูลทั้งหมดหรือส่วนหนึ่งส่วนใดของข้อมูลไปเผยแพร่ต่อสาธารณชน บุคคลที่สาม และ/หรือนำข้อมูลที่ได้ไปแสวงหาผลประโยชน์ไม่ว่าทางหนึ่งทางใดในเชิงพาณิชย์ รวมตลอดถึงจะไม่นำข้อมูลที่ได้ไปกระทำการใดๆ อันเป็นทางที่จะก่อให้เกิดความเสียหายแก่ “ลูกค้า.” หาก “พนักงาน” (หรือ “บริษัท ก”) ต้องใช้ข้อมูล ดังกล่าวจาก “ลูกค้า.” จะทำการตกลงกันเป็นลายลักษณ์อักษรในภายหลัง


3. บรรดาข้อมูลใดๆ ของ “ลูกค้า” (หรือ “บริษัทลูกค้า”) ที่ได้เปิดเผยในการเจรจา (หรือ ในตรวจสอบ) ครั้งนี้ “บริษัท ก.” ตกลงจะเก็บรักษาเป็นความลับ โดยจะไม่นำข้อมูลทั้งหมดหรือส่วนหนึ่งส่วนใดของข้อมูลไปเผยแพร่ต่อสาธารณชน บุคคลที่สาม และ/หรือนำข้อมูลที่ได้ไปแสวงหาผลประโยชน์ไม่ว่าทางหนึ่งทางใดในเชิงพาณิชย์ รวมตลอดถึงจะไม่นำข้อมูลที่ได้ไปกระทำการใดๆ อันเป็นทางที่จะก่อให้เกิดความเสียหายแก่ “ลูกค้า” (หรือ “บริษัทลูกค้า”) 

4.ในกรณีที่มีการผิดข้อตกลงดังกล่าวไม่ว่าทั้งหมดหรือบางส่วน ฝ่ายที่ผิดข้อตกลงยินยอมชดใช้บรรดาค่าเสียหายต่างๆ ที่เกิดขึ้นหรืออาจเกิดขึ้นในภายหลังให้แก่ฝ่ายที่เสียหายตามความเสียหายที่เกิดขึ้นจริงและสามารถใช้สิทธิฟัองร้องเป็นคดีต่อศาลได้

“สัญญา” นี้ทำขึ้นไว้เป็นสองฉบับ มีข้อความถูกต้องตรงกันทุกประการ ทั้งสองฝ่ายได้อ่านและเข้าใจข้อความใน “สัญญา” นี้โดยตลอดแล้ว จึงได้ลงลายมือชื่อไว้เป็นสำคัญต่อหน้าพยาน และต่างยึดถือไว้ฝ่ายละฉบับ


ที่มา:
https://www.kmutt.ac.th/rippc/agree.htm 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Monday, June 8, 2015

Digital Forensics: CONVERT IMAGES TO BASE64

Digital Forensics: Base64

CONVERT IMAGES
TO BASE64


BASE64 (เบส 64) คือ วิธีการเข้ารหัสข้อมูลรูปแบบหนึ่ง ที่จะเปลี่ยนข้อความ หรือข้อมูลต้นฉบับไปเป็นข้อความ หรือข้อมูลชุดใหม่ ที่ไม่สามารถอ่าน หรือรู้ว่าข้อมูลชุดนี้คืออะไร ซึ่งการเข้ารหัสชนิดนี้จะแทนที่ข้อมูลด้วยตัวอักษร 64 ตัว นั่นคือที่มาของ BASE64 ตามตัวอย่างต่อไปนี้

Table BASE64
 วิธีการเข้ารหัส และถอดรหัส BASE64 อ่านเพิ่มเติมที่ https://bit.ly/2yaBrZ2

นอกจากนี้ยังมีการ แปลงรูปเป็น  BASE64 ด้วยดังตัวอย่างต่อไปนี้

1. ทำการเตรียมรูป main-qimg-c94ce1d1c94da89a2e3e64f68dd082da.png


2. เข้าไปที่ https://www.base64-image.de  สำหรับแปลงรูปเป็น base64

 3. ทำการ Copy Code ไปทดสอบ
 4.   เข้าเว็บไซต์  https://codepen.io/anon/pen/QbVWXw?editors=1000   แล้ววาง code ที่ได้ลงไป

 5. ดูผลลัพธ์ที่ได้

6.  ทำการ Convert Base64 to Image โดยเข้าเว็บไซต์ https://www.base64-image.de


7. ผลลัพธ์ที่ได้ตรงกับรูปที่นำมาทดสอบ

8. จุดสังเกตุ ของการเข้ารหัส Base64 คือ ** bit ที่ถูกเติมเข้าไปที่เป็น 00 แทนด้วย "="
กรณี bit สุดท้าย ก็จะได้ == สองตัว


ที่มา:
https://bit.ly/2yaBrZ2
https://en.wikipedia.org/wiki/Base64

 หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud

Digital Forensics:WhatsMyName (OSINT)

Digital Forensics:WhatsMyName (OSINT) Welcome to WhatsMyName This tool allows you to enumerate usernames across many websites How to use: 1....