Saturday, December 19, 2015

Digital Forensics: หลักฐานทางอิเล็กทรอนิกส์และการตรวจพิสูจน์พยานหลักฐานทางดิจิทัล

Digital Forensics:หลักฐานทางอิเล็กทรอนิกส์และการตรวจพิสูจน์พยานหลักฐานทางดิจิทัล

 

โปรแกรมบรรยายสาธารณะว่าด้วย "หลักฐานทางอิเล็กทรอนิกส์และการตรวจพิสูจน์พยานหลักฐานทางดิจิทัล" 

Digital Forensics & Electronic Evidence

Digital Forensics & Electronic Evidence

หลักฐานทางอิเล็กทรอนิกส์และการตรวจพิสูจน์พยานหลักฐานทางดิจิทัล (Public lectures on digital forensics and electronic evidences) ว่าด้วยการสืบค้นข้อเท็จจริงที่เกิดขึ้น โดยอาศัยวิธีการทางวิทยาศาสตร์และเทคโนโลยีเป็นเครื่องมือในการตรวจพิสูจน์ ซึ่งกระบวนการจะดำเนินไปตามที่กฎหมายกำหนด ในการตรวจพิสูจน์จะมุ่งให้ได้มาซึ่งข้อมูลอิเล็กทรอนิกส์ที่เกิดจากกระบวนทำงานของคอมพิวเตอร์และข้อมูลอิเล็กทรอนิกส์ที่เกิดจากการกระทำของบุคคล ทั้งนี้ การได้มาซึ่งข้อมูลจะนำไปสู่การสืบค้นความจริงหรือค้นหาผู้กระทำความผิดต่อไปได้ การสร้างความชัดเจนตั้งแต่กระบวนการเก็บรักษา การตรวจพิสูจน์ การนำมาวิเคราะห์ เครื่องมือและแนวทางปฏิบัติที่นำมาใช้ในการตรวจพิสูจน์ การเชื่อมโยงกับข้อกฎหมายทั้งทางแพ่งและทางอาญา การนำเสนอเพื่อต่อสู้ทางคดี จะทำให้แนวทางการตรวจพิสูจน์พยานหลักฐานทางดิจิทัลได้รับการยอมรับ ซึ่งจะช่วยหนุนเสริมกระบวนการยุติธรรมโดยเฉพาะในคดีที่เกี่ยวข้องกับคอมพิวเตอร์ได้

ในการนี้ “โปรแกรมบรรยายสาธารณะว่าด้วยหลักฐานทางอิเล็กทรอนิกส์และการตรวจพิสูจน์พยานหลักฐานดิจิทัล” จึงถูกจัดขึ้น เพื่อส่งเสริมความรู้ความเข้าใจด้านหลักฐานทางอิเล็กทรอนิกส์และการตรวจพิสูจน์พยานหลักฐานดิจิทัลให้กับผู้ที่เกี่ยวข้องกลุ่มต่างๆ ตลอดจนมุ่งหวังว่าความรู้ด้งกล่าวจะสามารถนำไปใช้สนับสนุนการต่อสู้คดีอย่างเป็นธรรมให้กับพยานได้นั่นเอง

 

การบรรยายครั้งที่ 1 : หลักการและกฎหมายพยานหลักฐานอิเล็กทรอนิกส์


digital forensics and electronic evidences

โดย ผศ.สาวตรี สุขศรี อาจารย์ประจำคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์วันที่ 11 ตุลาคม 2558 ที่ห้อง 412 คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์

..................................................................................................................

การบรรยายครั้งที่ 2 หัวข้อ "กระบวนการแสวงหาและพิสูจน์พยานหลักฐานดิจิทัลเชิงเทคนิค"

Digital Forensics & Electronic Evidence

โดย กิตติพงษ์ ปิยะวรรณโณ

วันที่ 18 ตุลาคม 2558 ห้อง 202 คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ท่าพระจันทร์

................................................................................................................

 

การบรรยายครั้งที่ 3 หัวข้อ "พยานหลักฐานอิเล็กทรอนิกส์ในรัฐ

Digital Forensics & Electronic Evidence

โดย
พ.ต.ท.หญิง จีรบูรณ์ บำเพ็ญนรกิจ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)

พ.ต.ท.สันติพัฒน์ พรหมะจุล กองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี

วันที่ 25 ตุลาคม 2558 ห้อง 202 คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ท่าพระจันทร์

.................................................................................................................

 

การบรรยายครั้งที่ 4 หัวข้อ "ทนายกับการต่อสู้คดีในกระบวนการพยานหลักฐานอิเล็กทรอนิกส์"

บรรยายโดย
1) ยิ่งชีพ อัชฌานนท์ โครงการอินเทอร์เน็ตเพื่อกฎหมายประชาชน
2) ธีรพันธุ์ พันธุ์คีรี ศูนย์ทนายความเพื่อสิทธิมนุษยชน
3) ธิติพงษ์ ศรีแสน ทนายด้านกฎหมายทรัพย์สินทางปัญญา
ที่ห้อง 202 คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ท่าพระจันทร์

วันอาทิตย์ ที่ 8 พฤศจิกายน 2558 คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ท่าพระจันทร์

.................................................................................................................

 

การบรรยายครั้งที่ 5 หัวข้อ "กรณีศึกษาคดีพยานหลักฐานอิเล็กทรอนิกส์ในประเทศไทย"

กรณีศึกษาคดีพยานหลักฐานอิเล็กทรอนิกส์ในประเทศไทย

โดย
ยิ่งชีพ อัชฌานนท์ โครงการอินเทอร์เน็ตเพื่อกฎหมายประชาชน
กิตติพงษ์ ปิยะวรรณโณ ผู้เชี่ยวชาญด้านกระบวนการอิเล็กทรอนิกส์
อาทิตย์ สุริยะวงศ์กุล เครือข่ายพลเมืองเน็ต

 


วันที่ 15 พ.ย.2558 ที่ห้อง 202 คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์

...............................................................................................................

 

การบรรยายครั้งที่ 6 หัวข้อ "กรณีศึกษาคดีพยานหลักฐานอิเล็กทรอนิกส์ในต่างประเทศ"

กรณีศึกษาคดีพยานหลักฐานอิเล็กทรอนิกส์ในต่างประเทศ


บรรยายโดย

สฤณี อาชวานันทกุล เครือข่ายพลเมืองเน็ต
อาทิตย์ สุริยะวงศ์กุล เครือข่ายพลเมืองเน็ต
สาวตรี สุขศรี คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์

 

 

วันที่ 13 ธันวาคม 2558 คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ท่าพระจันทร์

...............................................................................................................

 

ที่มา:

Thai Netizen มูลนิธิเพื่ออินเทอร์เน็ตและวัฒนธรรมพลเมือง (เครือข่ายพลเมืองเน็ต)

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #ElectronicEvidenceคือ

Monday, November 30, 2015

DIGITAL FORENSICS: NCIS

DIGITAL FORENSICS: NCIS


เป็นหน่วยสืบสวนของนาวิกโยธินสหรัฐ สืบสวนเฉพาะคดีของข้าราชการทหารเรือ สืบสวนอาชญากรรมทหารเรือและนาวิกโยธินแห่งสหรัฐอเมริกา โดยจะเน้นไปที่การสืบสวนอาชญากรรม ปฏิบัติการ และการก่อการร้ายในกองทัพเรือและเหล่านาวิกโยธินสหรัฐอเมริกาทั้งกองทัพเรือ (USN : United States Navy) และ นาวิกโยธิน (USMC : United States Marine Corps.)

Computer Crime NCIS American Special Agent Documentary Discovery TV


The Naval Criminal Investigative Service (NCIS) is a civilian law enforcement agency within the United States Department of the Navy. It serves as the primary investigative agency for the U.S. Navy and Marine Corps and has jurisdiction over both criminal and counterintelligence investigations involving Navy and Marine Corps personnel, as well as civilians affiliated with the Department of the Navy.

NCIS operates worldwide and is responsible for investigating a wide range of criminal offenses, including:

  1. Homicide
  2. Sexual assault
  3. Fraud
  4. Espionage
  5. Terrorism
  6. Cybercrime
  7. Drug trafficking
  8. Theft
  9. Corruption
  10. Violations of military law

In addition to its investigative responsibilities, NCIS also provides protective services for Navy and Marine Corps leaders and conducts threat assessments to identify and mitigate potential risks to naval operations and personnel.

NCIS employs special agents, forensic experts, intelligence analysts, and support personnel to carry out its mission. It collaborates closely with other law enforcement agencies, both within the United States and internationally, to ensure the safety and security of the U.S. Navy and Marine Corps community.

ที่มา:

https://en.wikipedia.org/wiki/Naval_Criminal_Investigative_Service

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud

Saturday, November 14, 2015

DIGITAL FORENSICS:หลักฐานดิจิทัล#1: ความเข้าใจพื้นฐาน ผู้ใช้อินเทอร์เน็ตต้องรู้!

DIGITAL FORENSICS:หลักฐานดิจิทัล#1: ความเข้าใจพื้นฐาน ผู้ใช้อินเทอร์เน็ตต้องรู้!

สรุปการบรรยายของสาวตรี สุขศรี อาจารย์นิติศาสตร์ มธ. ถึงมาตรฐานขั้นต่ำในการรวบรวมและเก็บรักษาหลักฐานดิจิทัลซึ่งจำเลยในคดีร้ายแรงเคยสู้ในประเด็นนี้ที่บกพร่องจนชนะคดีมาแล้ว ผู้ใช้อินเทอร์เน็ตงูๆ ปลาๆ ควรรู้สิทธิและกระบวนการขั้นพื้นฐานเพราะคดีทางอินเทอร์เน็ตมีหลายแง่มุม และคุณอาจเกี่ยวพันไม่ทางใดก็ทางหนึ่ง

เครือข่ายพลเมืองเน็ต (Thai Netizen Network) เป็นองค์กรรณรงค์เรื่องเสรีภาพและความเท่าทันการใช้อินเทอร์เน็ตของพลเมือง ในช่วงเดือนตุลาคมองค์กรนี้จัดบรรยายสาธารณะว่าด้วยเรื่อง การตรวจพิสูจน์พยานหลักฐานดิจิทัลและกฎหมายที่เกี่ยวข้อง เพื่อสร้างความรู้ความเข้าใจต่อสาธารณะในสถานการณ์ที่สมาร์ทโฟนเข้าถึงลุงป้าน้าอาเกือบหมดแล้ว ขณะเดียวกันก็มีคดีมากมายที่เกี่ยวข้องกับอินเทอร์เน็ตซึ่งผู้ใช้งานอาจยังไม่ตระหนักและให้ความสำคัญ พูดอย่างง่ายที่สุด คดีต่างๆ อาจเกิดขึ้นกับคุณ หรือเกี่ยวข้องกับคุณไม่ทางใดก็ทางหนึ่ง จึงต้องเตรียมพร้อมทำความเข้าใจเรื่องกระบวนการยุติธรรมที่เกี่ยวพันกับเรื่องดิจิทัลเพื่อปกป้องสิทธิของพลเมืองเอง  

โครงการนี้จะมีการบรรยาย 6 ครั้งพร้อมรวบรวมเนื้อหาตีพิมพ์เป็นหนังสือเล่ม ครั้งแรกจัดขึ้นในวันนี้ (11 ต.ค.) ว่าด้วยเรื่องพื้นฐานความเข้าใจการตรวจพิสูจน์พยานหลักฐานดิจิทัล บรรยายโดย อาจารย์สาวตรี สุขศรี จากคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ซึ่งเชี่ยวชาญกฎหมายอาญาและกฎหมายคอมพิวเตอร์ ครั้งที่สอง (18 ต.ค.) จะลงในรายละเอียดทางเทคนิค โดย กิตติพงษ์ ปิยะวรรณโณ ผู้เชี่ยวชาญคอมพิวเตอร์ ครั้งที่สาม (25 ต.ค.) น่าสนใจยิ่ง เพราะจะมีหน่วยงานรัฐมาให้ข้อมูลและแลกเปลี่ยนในเรื่องนี้ ทั้งในส่วนสำนักงานตำรวจแห่งชาติ, กองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (ปอท.), และสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (ETDA) ฯลฯ

สไลด์ของวิทยากรและวิดีโอบันทึกการบรรยาย ติดตามได้ที่ www.thainetizen.org [1]


ที่มา: ประชาไท Prachatai.com(2015)

สำหรับการบรรยายครั้งแรก สาวตรีได้แบ่งการบรรยายออกเป็น 1.บทบาทและความสำคัญของพยานหลักฐานดิจิทัลในกระบวนการยุติธรรมในปัจจุบัน 2.ประเภทความผิดที่ต้องอาศัยพยานหลักฐานดิจิทัล 3.การตรวจพิสูจน์พยานหลักฐานดิจิทัล 4.กฎหมายที่ให้อำนาจรัฐในการค้นหา เข้าถึงและเก็บรวบรวมพยานหลักฐานดิจิทัล 5.สถานภาพ น้ำหนัก และหลักการรับฟังพยานหลักฐานดิจิทัล

รายงานนี้จะสรุปหลักการที่สาวตรีอธิบายโดยกระชับ

คดีดิจิทัลเกี่ยวกับคุณอย่างไร

คดีที่ตำรวจและศาลจะพิจารณาจากหลักฐานดิจิทัล แบ่งเป็น

1) คดีอาชญากรรมคอมพิวเตอร์ เช่น การแฮกระบบ, ดักข้อมูลและจารกรรมข้อมูลคอมพิวเตอร์ ก่อวินาศกรรมคอมพิวเตอร์อย่างพวกการปล่อยไวรัส มัลแวร์, การฉ้อโกงทางคอมพิวเตอร์  ฯลฯ

2) คดีอาชญากรรมอินเทอร์เน็ต เช่น การส่งสแปม, ฟิชชิ่ง, การพนันบนอินเทอร์เน็ต, การเผยแพร่ภาพลามกอนาจาร, การฟอกเงิน, การละเมิดลิขสิทธิ์, การหมิ่นประมาท ฯลฯ

3) คดีอาชญากรรมทั่วไป ซึ่งมีความเกี่ยวพันกับอุปกรณณ์หรือเครื่องมืออิเล็กทรอนิกส์

ในยุคที่อินเทอร์เน็ตมีบทบาทอย่างมากท่านอาจเป็นผู้เสียหาย หรือผู้ต้องสงสัย หรือผู้ที่เกี่ยวข้องในคดีไม่มากก็น้อย โดยเฉพาะเมื่อพิจารณาถึง พ.ร.บ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 (เรียกสั้นๆ ว่า พ.ร.บ.คอมพิวเตอร์) จะพบว่า มันถูกนำมาฟ้องร้องกันในส่วนของการหมิ่นประมาท (ในอินเทอร์เน็ต) มากที่สุด

สาวตรีระบุว่า จากงานวิจัยที่เธอและทีมงานได้ทำไว้ พบว่า ปี 2550-2554 มีคดีความผิดตาม พ.ร.บ.คอมพิวเตอร์ในทุกชั้นกระบวนพิจารณา 325 คดี แบ่งเป็น หมิ่นประมาทบุคคลทั่วไป  31% หมิ่นประมาทกษัตริย์ 12% เผยแพร่ภาพลามกอนาจาร 10% ฉ้อโกงทางอินเทอร์เน็ต 10% และเป็นคดีอาชญากรรมคอมพิวเตอร์โดยแท้เพียง 14% ส่วนอีก 18%  นั้นไม่สามารถระบุประเภทได้เนื่องจากไม่มีการเปิดเผยข้อมูล

หากใครติดตามข่าวสารทางการเมืองก็จะเห็นว่า คดีหมิ่นประมาทกษัตริย์ตามกฎหมายอาญามาตรา 112 นั้นขยายตัวมากยิ่งขึ้น และพื้นที่ที่ปรากฏการกระทำผิดตามฟ้องจำนวนมากก็คือ อินเทอร์เน็ต คดีลักษณะนี้ก็ใช้ พ.ร.บ.คอมพิวเตอร์ควบคู่ไปด้วยเพราะเป็นกฎหมายที่ให้อำนาจพนักงานเจ้าหน้าที่เข้าถึง ยึด จับกุม ผู้ต้องสงสัยได้โดยง่าย แต่ภายใต้ความง่ายนั้นก็มีหลักการและมาตรฐานสากลอยู่ ซึ่งควรค่าแก่การทำความเข้าใจ

ประเภทของข้อมูลอิเล็กทรอนิกส์/ดิจิทัล

ก่อนจะไปถึงมาตรฐานต่างๆ คงต้องทำความเข้าใจก่อนว่า พยานหลักฐานทางดิจิทัลนั้นอยู่ใน “ทุกที่” ทั้งตัวอุปกรณ์และเครือข่าย

สาวตรีขยายความให้ฟังว่า หลักฐานสามารถอยู่ใน 1.ระบบคอมพิวเตอร์ หรืออุปกรณ์อิเล็กทอร์นิกส์  เช่น ใน free space หรือ deleted space, ในหน่วยความจำเสมือน ในแฟ้มชั่วคราว, ในแหมประวัติที่สร้างโดยซอฟต์แวร์ประยุกต์, ในระบบการลงทะเบียนใช้งาน ฯลฯ 2.ชั้นโปรแกรมประยุกต์ เช่น อีเมล, กระดานข่าว, โปรแกรมสนทนา, เว็บไซต์, แฟ้มประวัติอินเทอร์เน็ต (Internet history files) แฟ้มอินเทอร์เน็ตชั่วคราว (Cache file) 3.ชั้นส่งข้อมูลและชั้นไอพี เช่น ข้อมูลชุดหมายเลขเครื่อง, แฟ้มบันทึกการเข้าออกและตารางแสดงสถานะ (Log file) 4.ชั้นเชื่อมโยงเครือข่าย เช่น หน่วยความจำแคช, log file ของเราท์เตอร์

หลักการพื้นฐานของการตรวจพิสูจน์พยานหลักฐานดิจิทัล

องค์กรที่ทำด้านนี้เจ้าแรกคือ FBI จากนั้นมาตรฐานต่างๆ ก็ถูกพัฒนาเรื่อยมา จนได้รับการรับรองให้ใช้ในหน่วยงานต่างๆ ทั่วทั้งสหรัฐอเมริกาและที่อื่นๆ ในโลก ของไทยเองไม่มีกฎหมายกำหนดมาตรฐานอย่างชัดเจนนัก อาศัยส่งเจ้าหน้าที่ที่เกี่ยวข้องไปฝึกอบรมยังต่างประเทศเพื่อนำมาตรฐานมาปรับใช้

มาตรฐานพื้นฐานของกระบวนการทั้งหมดที่เกี่ยวพันกับการพิสูจน์พยานหลักฐานทางดิจิทัล เริ่มตั้งแต่ 1.การรวบรวมพยานหลักฐาน 2.การเก็บรักษาพยานหลักฐาน 3. การวิเคราะห์หลักฐาน 4 การนำเสนอผลต่อศาล

สาวตรีกล่าวว่า กระบวนการทั้งสี่อย่างนี้สำคัญมาก เพราะหลักฐานทางดิจิทัลนั้นอ่อนไหวมาก เพียงแค่ยึดคอมพิวเตอร์ไป แล้วเจ้าหน้าที่ไม่ทำการสำเนาข้อมูล แต่เปิดคอมที่ยึดนั้นโดยตรงในระหว่างสอบสวน เพียงเท่านี้ก็จำเลยก็สามารถโต้แย้งได้แล้วเพราะทุกครั้งที่เปิดคอมพิวเตอร์จะกระทบต่อการจัดเก็บข้อมูลภายในไม่มากก็น้อย ในต่างประเทศนั้นการต่อสู้คดีดิจิทัลนั้นให้น้ำหนักสำคัญใน 3 สิ่งคือ ความแท้จริงของข้อมูลว่าไม่ถูกแก้ไขเปลี่ยนแปลงหรือได้รับความเสียหาย ซึ่งก็อาศัยการสืบจากมาตรฐานขั้นต่ำในการจัดการหลักฐานทางดิจิทัลในระหว่างการสืบสวนสอบสวนของตำรวจนั่นเอง 2.ความน่าเชื่อถือของโปรแกรมหรือซอฟต์แวร์ที่นำมาใช้วิเคราะห์หลักฐาน 3.ตัวผู้เชี่ยวชาญที่ต้องผ่านการอบรมด้านนี้โดยเฉพาะ

เราสรุปการบรรยายของสาวตรีให้สั้นลงและง่ายขึ้นได้ว่า

ที่มา: ประชาไท Prachatai.com(2015)

การเก็บรวบรวมหลักฐานดิจิทัล ต้องทำโดย “ผู้เชี่ยวชาญด้านการเก็บพยานหลักฐานดิจิทัล” เท่านั้น เครื่องมือที่ใช้เก็บก็ต้องได้มาตรฐาน เมื่อได้มาแล้ว ไม่ว่าจะเป็นคอมพิวเตอร์ เราท์เตอร์ มือถือ ฯลฯ เจ้าหน้าที่จะต้องเก็บทันทีและไม่เปิดมันอีก หากจะทำการตรวจหลักฐานในนั้นต้องทำการจำลองแบบแล้วดึงข้อมูลออกมา ซึ่งจะมีค่า hash เพื่อตรวจว่าตรงกับต้นฉบับหรือไม่ จากนั้นจึงทำการสืบค้นในข้อมูลที่จำลองมาด้วยซอฟต์แวร์ที่เป็นที่ยอมรับ เพื่อตอบคำถามให้ได้มากกว่าว่าในอุปกรณ์มีหลักฐานอะไรบ้าง แต่ต้องตอบให้ได้ว่ามันมาได้อย่างไร ใครเป็นคนนำเข้า และมีวัตถุประสงค์อย่างไร

“คดีไหนที่ตรวจกับอุปกรณ์ของผู้ต้องหาโดยตรงจะมีปัญหาความถูกต้องแท้จริงแน่นอน” สาวตรีกล่าว

เรื่องนี้สำคัญมาก คดี 112 และ พ.ร.บ.คอมพิวเตอร์ ของจำเลยชื่อสุรภักดิ์นั้น จำเลยสู้ชนะทั้งสามศาล โดยเหตุใหญ่ในความอยู่ที่ความไม่ได้มาตรฐานในการจัดเก็บอุปกรณ์ มีการเปิดคอมพิวเตอร์ของจำเลยในระหว่างที่จำเลยถูกคุมขังและปรากฏหลักฐานที่อาจจะเท็จในเครื่องดังกล่าวที่เจ้าหน้าที่นำมาเป็นหลักฐานฟ้องคดีจำเลย การสู้คดีในลักษณะนี้ซับซ้อน จำเลยต้องทำการพิสูจน์และอธิบายเรื่องทางเทคนิคให้ศาลเข้าใจ เนื่องจากกฎหมายไทยเป็นระบบกล่าวหา ภาระการพิสูจน์อยู่ที่จำเลย และเหตุที่มันเป็นไปได้ก็เพราะจำเลยเป็นผู้เชี่ยวชาญทางคอมพิวเตอร์

นอกจากนี้การจะไปตรวจยึดอุปกรณ์ที่ต้องสงสัยโดยปกติแล้วต้องขอหมายค้นหรือยึด จะต้องมีการถ่ายภาพพยานหลักฐานในสถานที่นั้นๆ ก่อนทำการรวบรวม ต้องทำรายการโดยละเอียดของอุปกรณ์ที่ยึดไป ต้องบรรจุอุปกรณ์นั้นๆ ในภาชนะที่ปลอดภัย เช่น ถุงกันรังสี และที่สำคัญคือต้องปิดผนึกไม่ให้บุคคลอื่นเข้าถึงก่อนการตรวจพิสูจน์และเก็บในที่ปลอดภัย

มาตรฐานในการเข้าถึงและรวบรวมพยานหลักฐานเหล่านี้ มีเขียนอยู่ในกฎหมายบางฉบับอย่างกว้างๆ แต่ไม่สามารถใช้ในทางปฏิบัติได้มากนัก ส่วนมาตรฐานในการเก็บรักษานั้นไมมีเขียนในกฎหมายเลย ในพ.ร.บ.คอมพิวเตอร์ก็ไม่ได้เขียนไว้ หากจะมีการเขียนว่าต้องเก็บอะไร อย่างไร ยาวนานแค่ไหนก็เป็นเรื่องที่เกี่ยวพันกับเอกชนหรือไอเอสพี แต่ไม่ได้กำหนดมาตรฐานการเก็บรักษาพยานหลักฐานอิเล็กทรอนิกส์ของภาครัฐ

เขาตรวจพิสูจน์อะไรกันบ้าง ?

Computer Forensics เช่น บัญชีผู้ใช้ รอยประทับเวลา รูปภาพ อีเมลที่บันทึกอยู่ในฮาร์ดไดฟ์คอมพิวเตอร์ รวมทั้งบันทึกจากหน่วยความจำ

Cell Phone Forensics เช่น บันทึกที่สร้างขึ้นโดยผู้ให้บริการโทรศัพท์มือถืออย่างข้อมูลการเรียกเก็บเงิน การบันทึกการใช้บริการ ไม่ว่าหมายเลขที่โทรออก โทรเข้า ระยะเวลาการโทร วันเวลาการโทร สถานีเครือข่ายที่โทรศัพท์เครื่องนั้นใช้งาน รายชื่อในโทรศัพท์ ข้อความ รูปภาพ อีเมล ฯลฯ

GPS Forensics เช่น ตำแหน่งที่ไปเมื่อเร็วๆ นี้ สถานที่ที่ชอบ หยุดที่สถานที่ใดบ้าง นานเท่าใด ฯลฯ

Social Media Forensics เช่น ข้อมูลเกี่ยวกับกิจกรรมออนไลน์ของกลุ่มเพื่อน การสื่อสาร กระทั่งแนวคิดของบุคคลผู้ต้องสงสัย

Digital Video and Photo Forensics คือ การตรวจสอบรวมทั้งวิเคราะห์ภาพถ่าย

Digital Camera Forensics เช่น ภาพถ่าย ข้อมูลเกี่ยวกับภาพ metadata รุ่นของกล้อง วันเวลาบันทึกภาพ

Game Console forensics เช่น metadata ข้อมูลผู้เล่น บัญชีออนไลน์

กฎหมายที่ให้อำนาจเจ้าหน้าที่เข้าถึงหลักฐาน

ก่อนจะไปเก็บรวบรวมหลักฐานได้ เรื่องอำนาจในการเข้าถึงข้อมูลดิจิทัลของเจ้าหน้าที่นั้นก็เป็นประเด็นสำคัญ สรุปรวบรวมความแล้ว ใครจะยึดคอมพิวเตอร์ของบุคคลได้ต้องมีหมายจากศาลเท่านั้น

สาวตรีกล่าวว่า การออกหมายค้นนั้นหากเจ้าหน้าที่ใช้ประมวลกฎหมายวิธีพิจารณาความอาญาก็จะพบข้อจำกัดมาก เช่น ม.69 การจะขอหมายศาลต้องระบุชัดเจนว่าสิ่งที่จะค้นนั้นใช้กระทำความผิด และจะค้นอะไร ส่วนไหนบ้าง ซึ่งระบุให้ชัดเจนได้ยากในส่วนของคอมพิวเตอร์ แต่ครั้นจะใช้ ม.92 ที่สามารถทำการค้นโดยไม่ต้องมีหมายศาลก็มีปัญหาอีกว่า ข้อมูลคอมพิวเตอร์ นับเป็น “สิ่งของ” ตามนิยามกฎหมายหรือไม่ ดังนั้นจึงมีกฎหมายเฉพาะในการเข้าถึงข้อมูลเหล่านั้น เท่าที่สำรวจมีกฎหมายหลายฉบับที่อนุญาตให้เจ้าหน้าที่เจาะเข้าระบบคอมพิวเตอร์ส่วนบุคคล แต่ก็ต้องต่อสู้กับประเด็นสิทธิเสรีภาพประชาชนที่รัฐธรรมนูญรับรองไว้และสิทธิความเป็นส่วนตัว กับอีกแบบคือค้นข้อมูลในอินเทอร์เน็ต หากเป็นพื้นที่สาธารณะ เช่น เว็บบอร์ด  บล็อก คงไม่มีคำถามมากเท่าพื้นที่ส่วนบุคคล เช่น อีเมล เฟซบุ๊ก ที่ตั้งค่าเฉพาะ ซึ่งประมวลกฎหมายวิธีพิจารณาความอาญาไม่ได้พูดถึงเลยว่ากระทำได้หรือไม่

กฎหมายเฉพาะที่เจ้าหน้าที่ตีความเพื่อใช้ในการเข้าถึงข้อมูดิจิทัลของบุคคลได้ มีหลายฉบับ เช่น พ.ร.บ.ป้องกันและปราบปรามยาเสพติด ให้อำนาจอธิบดีผู้พิพากษาอนุมัติการเข้าถึงหรือได้มาซึ่งข้อมูลดิจิทัลของเจ้าหน้าที่ แต่จะต้องใช้ในคดีนั้นเท่านั้น แม้เจอความผิดในฐานอื่นอีกก็ไม่สามารถดำเนินการได้ เช่นเดียวกับ พ.ร.บ.ป้องกันและปราปราบการฟอกเงิน และพ.ร.บ.การสอบสวนคดีพิเศษ

ที่น่าสนใจ คือ พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ มาตรา 18 เนื่องจากกำหนดให้พนักงานเจ้าหน้าที่กระทำการได้หลายอย่างโดยไม่ต้องขออำนาจศาล เช่น มีหนังสือสอบถาม, เรียกข้อมูลจราจรคอมพิวเตอร์, สั่งให้ส่งมอบข้อมูล แต่ก็มีส่วนที่ต้องขอนุญาตศาล เช่น สั่งให้บุคคลมอบข้อมูลหรืออุปกรณ์, ทำสำเนาข้อมูล, เข้าถึงระบบคอมพิวเตอร์, ถอดรหัสลับ, ยึดคอมพิวเตอร์  แต่ทั้งหมดนี้ต้องเป็นคดีที่เกี่ยวพันกับกฎหมายนี้เท่านั้นและจะกระทำการโดยลับไม่ได้ ต่อให้ทำในส่วนที่ไม่ต้องขอหมายศาล สุดท้ายกฎหมายก็กำหนดให้ต้องแจ้งผู้ต้องสงสัย ซึ่งไม่ปรากฏข้อบังคับนี้ในกฎหมายยาเสพติด ปปง. การสอบสวนคดีพิเศษ

อย่างไรก็ตาม ต้องหมายเหตุไว้ด้วยว่า ร่าง พ.ร.บ.คอมพิวเตอร์ฉบับแก้ไข ดูเหมือนจะให้ เจ้าหน้าที่ใช้วิธีการหรือใช้อำนาจแบบเดียวกับพ.ร.บ.คอมพิวเตอร์ได้ แม้จะเป็นอาชญากรรมตามกฎหมายอื่นๆ

อีกฉบับที่น่าจับตาคือหนึ่งในกฎหมายชุดเศรษฐกิจดิจิทัล นั่นคือร่างพ.ร.บ.ความมั่นคงไซเบอร์ ร่างนี้ระบุให้เจ้าหน้าที่เข้าถึงข้อมูลดิจิทัลได้โดยไม่ได้กำหนดเงื่อนไข ในกรณีที่เป็นไป “เพื่อประโยชน์ในการรักษาความมั่นคงปลอดภัยไซเบอร์” ซึ่งยังไม่มีนิยามที่ชัดเจน

#ยึดคอมพิวเตอร์ 

ที่มา:

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Saturday, October 31, 2015

Digital Forensics: การตรวจพิสูจน์พยานหลักฐานดิจิทัล

Digital Forensics: การตรวจพิสูจน์พยานหลักฐานดิจิทัล

การตรวจพิสูจน์พยานหลักฐานดิจิทัลของปอท.

พ.ต.ท.สันติพัฒน์ พรหมะจุล จากกองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (ปอท.) กล่าวถึงการปฏิบัติงานตรวจและพิสูจน์พยานหลักฐานดิจิทัลของ ปอท. ว่า

  • ในการตรวจยึดพยานหลักฐานดิจิทัลกรณีที่เป็นเครื่องคอมพิวเตอร์ หากเครื่องเปิดอยู่เจ้าหน้าที่จะถ่ายภาพหน้าจอเก็บไว้ ส่วนกรณีที่ต้องการเก็บข้อมูลที่ใช้ในการประมวลผล (volatile data หรือ volatile memory ซึ่งเป็นข้อมูลที่สามารถสูญหายไปทันทีที่ปิดเครื่องคอมพิวเตอร์ อาทิ ข้อมูลที่บันทึกในแรม) เจ้าหน้าที่ต้องใส่ซอฟต์แวร์เข้าไปในคอมพิวเตอร์ของผู้ต้องสงสัย แต่หากผู้ต้องสงสัยไม่ยอมเนื่องจากกลัวว่าอุปกรณ์ที่บรรจุซอฟต์แวร์จะนำข้อมูลอื่นเข้าไปในคอมพิวเตอร์ของตน เจ้าหน้าที่ก็จะไม่ทำ เพราะผู้ต้องสงสัยอาจหยิบยกการกระทำดังกล่าวมาเป็นข้อต่อสู้ในศาลได้
  • ในกรณีที่พบพยานหลักฐานปรากฎบนหน้าจอ เจ้าหน้าที่จะถ่ายภาพหน้าจอแล้วพิมพ์ออกมาเมื่อให้ผู้ต้องสงสัยเซ็นชื่อรับรอง
  • ในการตรวจยึดสมาร์ตโฟนและแท็บเล็ตที่มีรหัสป้องกัน เจ้าหน้าที่จะปลดรหัสโดยถามรหัสจากเจ้าของอุปกรณ์ โดย พ.ร.บ.คอมพิวเตอร์ 2550  ได้ให้อำนาจเจ้าหน้าที่ในการสั่งให้ผู้ต้องสงสัยบอกรหัสผ่าน แต่ในการปฏิบัติงานที่ผ่านมา พนักงานเจ้าหน้าที่ยังไม่เคยใช้อำนาจตามข้อกฎหมายดังกล่าว แต่จะใช้วิธีการกดดัน พูดเกลี้ยกล่อม หรือวิธีการอื่นร่วมด้วยในการทำให้ผู้ต้องสงสัยยอมบอกรหัสผ่าน
Enter Password
  • เมื่อปลดรหัสได้แล้ว เจ้าหน้าที่จะปรับอุปกรณ์ให้เป็นโหมดการบิน (flight mode) เพื่อป้องกันไม่ให้อุปกรณ์ติดต่อกับเครือข่ายคอมพิวเตอร์ เพื่อไม่ให้เกิดการเปลี่ยนแปลงในพยานหลักฐานดิจิทัล จากนั้นจะบรรจุอุปกรณ์ลงในถุงฟาราเดย์ (Faraday Bag) ซึ่งเป็นถุงที่ป้องกันคลื่นแม่เหล็กไฟฟ้า แต่เนื่องจากถุงดังกล่าวมีราคาแพง บางครั้งเจ้าหน้าที่จึงห่ออุปกรณ์ด้วยกระดาษตะกั่วหรือแผ่นฟอยล์หลายชั้น พ.ต.ท.สันติพัฒน์ยอมรับว่า บางครั้งการห่อดาษตะกั่วหรือแผ่นฟอยล์ก็ไม่สามารถรักษาสภาพพยานหลักฐานดิจิทัลไม่ให้เปลี่ยนแปลงได้ดีเหมือนถุงฟาราเดย์ ในการยึดพยานหลักฐานนี้ เจ้าหน้าที่จะยึดสายสัญญาณที่แปลงไฟฟ้าของเครื่องมาด้วย 
(Faraday Bag)
  • เมื่อยึดอุปกรณ์ดิจิทัลมาจากผู้ต้องสงสัยได้แล้ว สิ่งที่เจ้าหน้าที่ตรวจพิสูจน์พยานหลักฐานดิจิทัลจะทำคือการทำสำเนาข้อมูล และยืนยันความถูกต้องของต้นฉบับและสำเนาด้วยการเปรียบเทียบค่าแฮช (hash) ซึ่งค่าแฮชเป็นตัวทำให้มั่นใจว่าจะไม่มีการ “ยัดยา” หรือการที่เจ้าหน้าที่แอบใส่ข้อมูลผิดกฎหมายลงไปในอุปกรณ์ของผู้ต้องสงสัย อย่างไรก็ตาม ที่ผ่านมายังไม่มีคดีใดที่ศาลขอให้มีการเปรียบเทียบค่าแฮชระหว่างต้นฉบับและสำเนา

การตรวจพิสูจน์พยานหลักฐานดิจิทัล

การทำสำเนาข้อมูล

พ.ต.ท.สันติพัฒน์กล่าวต่อว่า ในการรวบรวมพยานหลักฐานในสถานที่เกิดเหตุ นอกจากหลักฐานดิจิทัลแล้ว พยานหลักฐานอื่นเช่น ลายนิ้วมือบนเครื่องคอมพิวเตอร์โน้ตบุ๊กก็เป็นสิ่งที่ไม่ควรมองข้าม
ส่วนข้อมูลการกระทำผิดที่อยู่ในคลาวด์ (cloud) นั้น บ่อยครั้งที่เจ้าหน้าที่ไม่พบข้อมูลการกระทำผิดในอุปกรณ์ผู้ต้องสงสัย เพราะข้อมูลเหล่านั้นอยู่ในคลาวด์ นอกจากนี้ ผู้เผยแพร่ภาพลามกเด็กยังมักใช้วิธีเผยแพร่ภาพเหล่านี้ด้วยวิธีการแจกบัญชีผู้ใช้ (account) เพื่อให้คนอื่นเข้าไปดูได้ การทำแบบนี้เป็นการยากต่อการสืบสวนของเจ้าหน้าที่ เนื่องจากเจ้าหน้าที่ไม่สามารถทราบได้ว่าใครเป็นผู้อัปโหลดข้อมูลเข้าไปในคลาวด์ และหลายครั้ง เมื่อมีผู้กระทำผิดคนหนึ่งถูกจับ คนอื่นๆ ที่ใช้ชื่อบัญชีเดียวกันก็จะเข้าไปลบข้อมูลบนคลาวด์ออก
Forensic

ลายนิ้วมือบนเครื่องคอมพิวเตอร์โน้ตบุ๊ก

พ.ต.ท.สันติพัฒน์กล่าวถึงความท้าทายในการทำงานของเจ้าหน้าที่ว่า คือการพิสูจน์ว่าผู้ใดเป็นผู้ใช้อุปกรณ์ซึ่งเป็นอุปกรณ์ที่ใช้กระทำความผิด ยังมีความท้าทายจากการที่ผู้กระทำผิดเก็บข้อมูลการกระทำผิดไว้บนคลาวด์ มีอุปสรรคจากการเข้ารหัสอุปกรณ์ และความท้าทายจากการปฏิบัติงานให้ทันกับเวลา โดยพ.ร.บ.คอมพิวเตอร์ 2550 ที่บังคับให้ผู้ให้บริการต้องเก็บข้อมูลของผู้ใช้ไว้ 90 วันนั้น ในบางครั้งเจ้าหน้าที่ก็ไม่สามารถปฏิบัติงานได้ทันกับระยะเวลาดังกล่าว

ที่มา:
เครือข่ายพลเมืองเน็ต  บรรยายสาธารณะว่าด้วยหลักฐานทางอิเล็กทรอนิกส์และการตรวจพิสูจน์พยานหลักฐานทางดิจิทัล ครั้งที่ 3 ในหัวข้อ “พยานหลักฐานอิเล็กทรอนิกส์ในรัฐ” ณ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ท่าพระจันทร์ 2015.10.27 17:32
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #การตรวจพิสูจน์พยานหลักฐานดิจิทัล

Friday, September 18, 2015

Digital Forensics: Forensics Tools > LastActivityView

Digital Forensics: Forensics Tools >  LastActivityView

LastActivityView  โปรแกรม LastActivityView  เป็นโปรแกรมที่เอาไว้ดูเหตุการณ์  กิจกรรม ครั้งล่าสุด ที่เกิดขึ้นบนคอมพิวเตอร์  ซึ่งทำงานได้กับระบบปฏิบัติการวินโดวส์

เป็น ยูทิลิตี้ฟรี, แบบพกพา (ไม่ต้องติดตั้งซึ่งทำให้มัน ใช้งานง่าย) สามารถเรียกใช้จาก USB  Flash drive  ข้อมูลเหล่านี้จะสามารถนำไปใช้ช่วยในการวิเคราะห์หา ร่อยรอย หรือพฤติกรรมของผู้ใช้งานคอมพิวเตอร์ เพราะบางทีเกิดจากไวรัส หรือ ผู้ไม่หวังดี เข้ามาทำลาย สร้างความเสียหาย จะได้รู้ว่า จุดไหน ไฟล์ไหน เมื่อไหร่ ที่มันเข้ามายุ่งกับคอมพิวเตอร์คุณ เป็นตัวการทำให้คอมพิวเตอร์ช้า หรือเสียหาย  โดยไม่ทราบสาเหต โปรแกรม LastActivityView ตัวนี้ จะสามารถช่วยวิเคราะห์ได้

 โปรแกรม LastActivityView  จะแสดง เวลาที่เกิดขึ้น (Action Time), รายละเอียดประเภทของไฟล์ (Description) ,ชื่อไฟล์ที่เปิด (Filename) ,ที่อยู่ของไฟล์ (File Path) 
นอกจากนี้โปรแกรมยังสามารถบันทึกข้อมูลนี้ในรูปแบบของ txt ไฟล์, CSV , XMLหรือในรูปแบบของ รายงาน html 



Description

LastActivityView is a tool for Windows operating system that collects information from various sources on a running system, and displays a log of actions made by the user and events occurred on this computer. The activity displayed by LastActivityView includes: Running .exe file, Opening open/save dialog-box, Opening file/folder from Explorer or other software, software installation, system shutdown/start, application or system crash, network connection/disconnection and more... You can easily export this information into csv/tab-delimited/xml/html file or copy it to the clipboard and then paste into Excel or other software.




Command-Line Options

/stext <Filename> Save the actions and events list into a regular text file.
/stab <Filename> Save the actions and events list into a tab-delimited text file.
/scomma <Filename> Save the actions and events list into a comma-delimited text file (csv).
/stabular <Filename> Save the actions and events list into a tabular text file.
/shtml <Filename> Save the actions and events list into HTML file (Horizontal).
/sverhtml <Filename> Save the actions and events list into HTML file (Vertical).
/sxml <Filename> Save the actions and events list into XML file.

Download
Website :https://www.nirsoft.net/utils/computer_activity_view.html

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud

Thursday, September 17, 2015

Digital Forensics: CDFE – Certified Digital Forensics Examiner

Digital Forensics: CDFE – Certified Digital Forensics Examiner

Last Update 17-8-2020

เตรียมสอบ Certified Digital Forensics เป็นค่ายที่โด่งดังมาก่อนในอดีต  แต่ปัจจุบันมีค่ายอื่นๆมาแข่งมากขึ้น


CDFE


Certified Digital Forensics Examiner

The Certified Digital Forensics Examiner vendor-neutral certification is designed to train Cyber Crime and Fraud Investigators whereby students are taught electronic discovery and advanced investigation techniques. This course is essential to anyone encountering digital evidence while conducting an investigation. Mile2’s Certified Digital Forensics Examiner training teaches the methodology for conducting a computer forensic examination. Students will learn to use forensically sound investigative techniques in order to evaluate the scene, collect and document all relevant information, interview appropriate personnel, maintain chain-of-custody, and write a findings report. The Certified Digital Forensics Examiner course will benefit organizations, individuals, government offices, and law enforcement agencies interested in pursuing litigation, proof of guilt, or corrective action based on digital evidence.
Upon completion, Certified Digital Forensics Examiner students will be able to establish industry acceptable digital forensics standards with current best practices and policies


Certified Digital Forensics Examiner


New website 

The CDFE training covers a wide range of topics including:

    • Forensic Examination
    • Tools of the trade
    • Seizure Concepts
    • Incident Investigation
    • Fundamentals of conducting an effective computer forensic examination
    • Electronic Discovery and Digital Evidence

 

Learning Objectives

Module 1: Introduction

Module 2: Computer Forensic Incidents

Module 3: Investigation Process

Module 4: Disk Storage Concepts

Module 5: Digital Acquisition & Analysis

Module 6: Forensic Examination Protocols

Module 7: Digital Evidence Protocols

Module 8: CFI Theory

Module 9: Digital Evidence Presentation

Module 10: Computer Forensic Laboratory Protocols

Module 11: Computer Forensic Processing Techniques

Module 12: Digital Forensics Reporting

Module 13: Specialized Artifact Recovery

Module 14: e-Discovery and ESI

Module 15: Cell Phone Forensics

Module 16: USB Forensics

Module 17: Incident Handling

Student Workbook


Exam Prep Guide

Lab Guide
ให้เรา remote เข้าไปทำ Lab > Cyber Range
Lab 0 - Connecting to the Cyber Range



Evidence Chain of Custody Tracking Form

Completed The Following Course:

CDFE:Certified Digital Forensics Examiner(UC)

CDFE Simulator Exam

The MD5 hash algorithm produces a ____ value.

A. 32-bit
B. 64-bit
C. 128-bit
D. 256-bit

Answer: C

The smallest area on a drive that data can be written to is a _______while the
smallest area on a drive that a file can be written to is a _______.

a. Bit and byte
b. Sector and cluster
c. Volume and drive
d. Memory and disk

Answer: B

What is found at Cylinder 0, Head 0, Sector 1 on a hard drive?

A. Master boot record
B. Master file table
C. Volume boot record
D. Volume boot sector

Answer: A
 
Because this file will hold the contents of RAM when the machine is powered off,
the ______ file will be the size of the system RAM and will be in the root directory.

A. hiberfil.sys
B. WIN386.SWP
C. PAGEFILE.SYS
D. NTUSER.DAT

Answer: A
 
 What is the length of the cryptographic key used in the Data Encryption Standard
(DES) cryptosystem?

A. 56 bits
B. 128 bits
C. 192 bits
D. 256 bits
 
Answer: A
 
Under the Windows OS, files have 3 dates attached to them. Pick the 3
timestamps that you’ll find.

A. Date Modified
B. Date Copied
C. Date Last Accessed
D. Date Created

Answer: A, C, D
 
 
The smallest area on a drive that data can be written to is a _______while the
smallest area on a drive that a file can be written to is a _______.

a. Bit and byte
b. Sector and cluster
c. Volume and drive
d. Memory and disk

Answer: B


 
The Certified Digital Forensics Examiner exam is taken online through Mile2’s Assessment and Certification System (“MACS”), which is accessible on your mile2.com account. The C)DFE exam will take roughly 2 hours and consist of 100 multiple choice questions.

CDFE Certified Digital Forensics Examiner Passed




สรุป รีวิว CDFE – Certified Digital Forensics Examiner ของ Mile2  ถือว่าเป็นค่ายที่อบรมที่อยู่มานานหลายสิบปี ปัจจุบันมีการออกหลักสูตรใหม่ๆ และ cert ใหม่ๆ มากมาย   สำหรับ CDFE – Certified Digital Forensics Examiner  ตัวนี้เนื้อหายังไม่ได้ update เนื่องจากที่แอดดูยังมีเนื้อหาเก่าอยู่   ไม่ Update ปัจจุบัน  ตัว Lab ไม่ยากมาก ให้เรา Remote เข้าไปทำ lab และ courseนี้เหมาะสำหรับผู้เริ่มต้นศึกษา Digital Forensics  มีหนังสือ เอกสารบทเรียน , video, lab และ ข้อสอบไม่ยากอยู่ในเนื่อหา ส่วนใหญ่เป็นความรู้ทางทฤษฎี และทบทวนตาม เอกสารท้ายบทเรียนและฝึก Simulator Exam ก็จะผ่าน   ขอให้ทำความเข้าใจกับเนื้อหาและฝึกฝนให้ใช้งานได้จริงๆ แล้วก็สอบให้ผ่าน เชื่อเถอะว่าจะเป็นประโยชน์กับการทำงานอย่างแน่นอน

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics
#computerforensic #investigation #cybercrime #fraud