Digital Forensics Examiner: 2016

Thursday, December 29, 2016

Digital Forensics:นิติวิทยาทางดิจิทัล (Digital Forensics)

digital forensic courses

หลักสูตร “การฝึกอบรมและสอบวัดสมรรถนะเพื่อพัฒนามาตรฐานการรับรองบุคลากร
ด้านความมั่นคงปลอดภัยระบบสารสนเทศของประเทศไทย (iSEC)” ครั้งที่ ๕

Digital Forensics

CBK Competency Area Description:

Task Statements: Manage

หลักสูตรอบรม Computer Forensics

Download Slide

ที่มา: อ.ชยุตม์ สิงห์ธงธำรงคกุล (isec.tisa )

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #หลักสูตรการพิสูจน์หลักฐานทางดิจิทัล

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

Wednesday, December 28, 2016

Digital Forensics:IMEI

วันนี้มาทำความรู้จัก IEMI ว่าคืออะไร สำคัญอย่างไร
เลข IMEI ของตัวเครื่องโทรศัพท์ สมาร์ทโฟน และแฟบเล็ตนั้นเป็นอีก 1 สิ่งสำคัญที่ผู้ใช้งานหลายๆ คนมักจะใช้ในการตรวจสอบตัวเครื่องก่อนทำการซื้อเครื่องนั้นๆ มาใช้งาน รวมถึงเราจะสามารถตรวจดูได้อย่างไรบ้าง

เลข IMEI คืออะไร?

หากจะอธิบายแบบง่ายๆ เลยเลข IMEI หรือ International Mobile Equipment Identity นั้นก็เสมือนเป็นหมายเลขบัตรประชาชนของโทรศัพท์รุ่นนั้นๆ ที่แสดง หรือบ่งบอกตัวตนของตัวเครื่อง โดยจะมีเลขตัวเลข 15 หลัก แบ่งเป็น 4 กลุ่ม ดังนี้

เลข 6 ตัวแรก จะอยู่ในกลุ่ม TAC (Type Approval Code) โดยจะบ่งบอกถึงรหัสของประเทศนั้นๆ ซึ่งจะดูได้จากเลข 2 จากใน 6 ตัวแรก
เลขลำดับที่ 7 และ 8 จะอยู่ในกลุ่ม FAC (Final Assembly Code) จะบ่งบอกถึงแหล่งผลิต หรือโรงงานที่ผลิตขึ้นมา บริษัทผู้ผลิตโทรศัพท์
เลขลำดับที่ 9 ถึง 14 จะอยู่ในกลุ่ม SNR (Serial Number) จะเป็นรหัสซีเรียล หรือหมายเลขประจำของตัวเครื่องนั้น
เลขลำดับที่ 15 จะอยู่ในกลุ่ม SP (Spare) จะเป็นเลขสำรองหลักสุดท้าย ,เป็นค่าฟรี

เช่นเลข IMEI 490154100837810

490154 จะเป็นเลข TAC
10 จะบ่งบอกแหล่งผลิต (ดูแหล่งผลิตตามตัวเลขตามในตาราง)

083781 เป็นหมายเลขซีเรียลตัวเครื่อง
0 เป็นเลขที่สำรองไว้ ส่วนมากจะเป็นเลข 0

ที่มา *ขอบคุณข้อมูลเพิ่มเติมจาก Cellular.co.za ,news.siamphone.com

Credit:Cellebrite Reader Online

เลข IMEI มีไว้ทำไม? ประโยชน์หลักๆ ของเลข IMEI ที่เราสามารถพบเจอได้ในชีวิตประจำวันเลย นั้นคือการแสดงตัวตนของตัวเครื่องผ่านผู้ให้บริการเครือข่ายที่เราได้นำ SIM Card มาใช้งานนั้นเอง ซึ่งหลายๆ คนคงเคยได้ยินหรือพบเจอด้วยตนเอง ยามที่โทรศัพท์ สมาร์ทโฟน แฟบเล็ตเครื่องโปรด หรือของคนใกล้ชิดได้หายไป และสิ่งแรกที่ต้องทำคือการแจ้งหายไปยังผู้ให้บริการเครือข่ายในบ้านเรา

พวกเขาก็จะทำการขอหมายเลข IMEI ไว้เพื่อช่วยในการค้นหา เมื่อยามที่เครื่องเปิดใช้งานนั้นเอง และในต่างประเทศบางประเทศนั้น ยังมีข้อบังคับให้ผู้ให้บริการเครือข่ายนั้นๆ ได้ระบุเลข IMEI ลงไปพร้อมกับชื่อของผู้ใช้งานทันทีที่มีการซื่อ-ขายเครื่องอีกด้วย เพื่อป้องกันการขโมยในภายหลัง และประโยชน์อีกอย่างที่ผู้ใช้งานในบ้านเรานิยมใช้กันก็คือ การนำเลข IMEI ไว้ตรวจดูหรือใช้เป็นหลักฐานในการซื้อ-ขายตัวเครื่อง

จะดูเลข IMEI ได้จากที่ไหนบ้าง?

Android

จากข้างกล่อง
กดหมายเลข *#06#
จากเมนู Status ใน Setting
ตัวเครื่องใต้ฝาแบตฯ
โหลดแอป IMEI.info ทาง Play Store เลย แล้วเปิดแอปดูก็จะทราบหมายเลข IMEI เครื่อง
ข้าไปที่เว็บไซต์ https://www.google.com/settings/dashboard จากนั้น Login ด้วยบัญชี Google แล้วเลือกในส่วน Android แตะให้ลูกศรลงมา

ซึ่งมีประโยชน์มากในกรณีมือถือ Android หายไป ถูกลืม ถูกขโมยไป ก็สามารถหาหมายเลย IMEI ที่ปรากฎในเว็บนี้ไว้แจ้งกับผู้ให้บริการเครือข่ายมือถือ ตลอดจนแจ้งที่สถานีตำรวจ เพื่อช่วยตรวจสอบต่อไป
ที่มา *ขอบคุณข้อมูลเพิ่มเติมจาก Cellular.co.za ,news.siamphone.com

blacklist checker ท่านสามารถนำ IEMI ของโทรศัพท์ มาตรวจสอบว่าเป็นเครื่องโทรศัพท์ดังกล่าง ขโมยมาหรือโดนแจ้ง Blacklist เข้าไปที่ https://imei24.com/blacklist_check/

1. *#06# เพื่อเรียกดู IEMI ของโทรศัพท์

2. ใส่หมายเลข ลงในช่อง และกด Check

3. Clean แสดงรายละเอียด ว่า เรื่องนี้ไม่โดน Blacklist

4. กด Phone detail เพื่อดูรายละเอียดของโทรศัพท์

ดูตัวอย่างงเพิ่มเติมได้ที่

#Computer Forensics
#digital forensics

สำคัญอย่างไรดูได้จาก
คดีความที่เกี่ยวกับ IEMI
https://bit.ly/2Dzt4KW
https://bit.ly/2B0Cjl1
https://bit.ly/2qGHXmp

แนวทางสืบสวนคดีที่เกี่ยวข้องกับโทรศัพท์มือถือ

หมายเลขโทรศัพท์มือถือ
เอกสารข้อมูลการใช้โทรศัพท์ (CDR- Call Detail Records) จากผูั้ให้บริการโทรศัพท์เคลื่อนที่
หมายเลขอีมี่ (IMEI)
ผู้ใช้โทรศัพท์
ข้อมูลจาก Cell Site สถานีฐาน (Base Station : BS) หรืออาจเรียกว่าที่ตั้งเซลล์ (Cell Site) นั้นเป็นสถานที่ที่ติดตั้งเครื่องรับ-ส่งสัญญาณ เพื่อเชื่อมต่อสัญญาณวิทยุที่อยู่ระหว่างระบบสื่อสารแบบไร้สายและอุปกรณ์สื่อสารไร้สาย จำนวนของสถานีฐานเป็นปัจจัยที่จำเป็นมากสำหรับการสื่อสารแบบไร้สาย เพราะเซลล์แต่ละเซลล์บนเครือช่ายจะต้องส่งสัญญาณผ่านสถานีฐาน

หลักการทำงานของมันก็คือเมื่อเราใช้มือถือในพื้นที่นั้น ๆ เครื่องมือถือของเราจะมีการ register (ลงทะเบียน) กับระบบของ Cell นั้น

โดยทางระบบคอมพิวเตอร์ของผู้ให้บริการ (dtac true AIS) จะมีการบันทึกใว้ว่า เบอร์ใด
เข้ามาใช้งานใน Cell site แห่งนั้นบ้าง ซึ่งทางตำรวจก็สามารถขอข้อมูลนี้จากผู้ให้บริการได้
ว่าเบอร์นั้นได้อยู่ในพื้นที่ตามตำแหน่ง ID ของ Cell นั้นจริงหรือไม่ ?

ที่มา :
http://www3.truecorp.co.th/assets/files/files/MAC_TRUE_Smart_E.pdf
https://consumer.huawei.com/th/support/find-imei/
https://news.siamphone.com/news-19837.html
https://www.it24hrs.com/2016/6-ways-find-imei-android-device/
https://www.imei.info/?imei=353380072752081
http://www.imeipro.info/

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Saturday, December 24, 2016

Digital Forensics:Data Carving using Foremost

Foremost คือ

Foremost เป็นเครื่องมือตัวหนึ่งที่ใช้สำหรับงานทางด้าน Digital Forensics

ถูกพัฒนา Jesse Kornblum และ Kris Kendallขึ้นโดยหน่วยงาน Air Force Office of Special Investigations และ Defense Computer Forensics Lab's carvthis program ของอเมริกา ในปัจจุบัน Foremost ได้ถูกเผยแพร่ให้บุคคลทั่วไปได้นำไปใช้งาน ถึงแม้ในขั้นต้น จะถูกพัฒนาขึ้นเพื่อให้ใช้ สำหรับหน่วยงานบังคับใช้กฎหมายเป็นหลักก็ตาม แต่ด้วยประโยชน์หลากหลาย จึงถูกนำไปใช้ในด้านอื่นๆ ด้วย

Foremost เป็นโปรแกรมที่ทำงานแบบ command line ถูกพัฒนาขึ้นเพื่อใช้บน แพลตฟอร์ม Linux

หรือเราจะติดตั้ง ให้สามารถใช้งานบน Windows ก็ได้ สำหรับ Foremost นั้น ถูกนำมาใช้ในการกู้ไฟล์คืนกลับมา โดยดูจากลักษณะ Headers, Footers และ โครงสร้างภายในของไฟล์ประเภทนั้นๆ มันสามารถกู้คืน filetypes เฉพาะรวมทั้ง jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, htm โดยสามารถกำหนดค่า (โดยปกติจะอยู่ที่ /usr/local/etc/foremost.conf) ซึ่งสามารถใช้เพื่อกำหนดประเภทไฟล์เพิ่มเติม ซึ่งเราอาจเรียกการกู้ข้อมูลในลักษณะนี้ได้ว่าเป็นการทำ Data Carving

SIFT Workstation

สร้าง โฟรเดอร์ ชื่อ Recove สำหรับเก็บไฟล์ฺ Output

Input & Output Folder

Type the following “foremost -t jpeg,doc -i Linux Financial Case.001 -o recove –v”.
พิมพ์คำสั่ง #foremost -t jpeg,doc -i Linux Financial Case.001 -o recove –v

To break this down “-t” is setting the file types we want to carve out of the disk image, here those are .jpeg and .png.
-t คำสั่ง ชนิดของไฟล์ที่ต้องการค้นหา เช่น jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc

“-i” is specifying the input file, the “Linux Financial Case.001” that is placed on the desktop.
-i คำสั่ง ระบุตำแหน่งของสำเนาหลักฐาน( forensic image ) *.001 ,*.E01 ,*.raw ,*.dd

“-o” is telling Foremost where we want the carved files to be stored, for that we have the “recove” folder on the desktop that we made earlier.
-o คำสั่ง ระบุตำแหน่งโฟลเดอร์ปลายทาง (destination )ที่กู้ไฟล์มาได้ Output file

“-v” is to tell Foremost to log all the messages that appear on screen as the file is being carved into a text file in the output folder (recove) as an audit report.
-v คำสั่งให้แสดง Log report

เมื่อทำงานเสร็จจะแสดงรายละเอียดข้อมูลที่กุ้ได้

ไฟล์ที่กู้ได้จะอยู่ในโฟรเดอร์ Recove doc และ JPG และไฟล์ audit.txt

Out Put & Audit file

ไฟล์ JPEG ที่กู้ได้

audit.txt จะแสดงรายละเอียดของไฟล์ทั้งหมดที่กู้ได้

Foremost Report

Ref:
https://en.wikipedia.org/wiki/Foremost_(software)
https://www.forensicswiki.org/wiki/Foremost
https://bit.ly/2CTp9GU

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #DataRecovery

Sunday, November 27, 2016

Digital Forensics Exam

Computer Forensics Exam

A technician is conducting a forensics analysis on a computer system. Which of the following should bedone FIRST?
A. Look for hidden files.
B. Analyze temporary files.
C. Get a binary copy of the system.
D. Search for Trojans.

Answer: C

Which of the following prevents damage to evidence during forensic analysis?
A. Write-only drive connectors
B. Drive sanitization tools
C. Read-only drive connectors
D. Drive recovery tools

Answer: C

Which of the following is a common practice in forensic investigation?
A. Performing a Gutman sanitization of the drive
B. Performing a binary copy of the systems storage media
C. Performing a file level copy of the systems storage media
D. Performing a sanitization of the drive

Answer: B

Which of the following is established immediately upon evidence seizure?
A. Start the incident respond plan
B. Damage and loss control
C. Chain of custody
D. Forensic analysis

Answer: C

Which of the following should Jane, a security administrator, perform before a hard drive is analyzed with forensics tools?
A. Identify user habits
B. Disconnect system from network
C. Capture system image
D. Interview witnesses

Correct Answer: C

A security administrator needs to image a large hard drive for forensic analysis. Which of the following will allow for faster imaging to a second hard drive?
A. cp /dev/sda /dev/sdb bs=8k
B. tail -f /dev/sda > /dev/sdb bs=8k
C. dd in=/dev/sda out=/dev/sdb bs=4k
D. locate /dev/sda /dev/sdb bs=4k

Correct Answer: C

The security manager received a report that an employee was involved in illegal activity and has saved data to a workstation’s hard drive. During the investigation, local law
enforcement’s criminal division confiscates the hard drive as evidence. Which of the following forensic procedures is involved?
A. Chain of custody
B. System image
C. Take hashes
D. Order of volatility

Correct Answer: A

Which of the following is the MOST important step for preserving evidence during forensic procedures?
A. Involve law enforcement
B. Chain of custody
C. Record the time of the incident
D. Report within one hour of discovery

Correct Answer: B

Matt, a forensic analyst, wants to obtain the digital fingerprint for a given message. The message is 160-bits long. Which of the following hashing methods would Matt have to use to obtain this digital fingerprint?
A. SHA1
B. MD2
C. MD4
D. MD5

Correct Answer: A

After making a bit-level copy of compromised server, the forensics analyst Joe wants to verify that he bid not accidentally make a change during his investigation. Which of the
following should he perform?
A. Take a hash of the image and compare it to the one being investigated
B. Compare file sizes of all files prior to and after investigation
C. Make a third image and compare it to the second image being investigated
D. Compare the logs of the copy to the actual server

Correct Answer: A

An intrusion has occurred in an internet facing system. The security administrator would like to gather forensic evidence while the system is still in operation. Which of the following
procedures should the administrator perform FIRST on the system?
A. Make a drive image
B. Take hashes of system data
C. Collect information in RAM
D. Capture network traffic

Correct Answer: D

After receiving the hard drive from detectives, the forensic analyst for a court case used a log to capture corresponding events prior to sending the evidence to lawyers. Which of the
following do these actions demonstrate?
A. Chain of custody
B. Order if volatility
C. Data analysis
D. Tracking man hours and expenses

Correct Answer: A

A security manager is preparing the training portion of an incident plan. Which of the following job roles should receive training on forensics, chain of custody, and the order of
volatility?
A. System owners
B. Data custodians
C. First responders
D. Security guards

Correct Answer: C

A forensics analyst is tasked identifying identical files on a hard drive. Due to the large number of files to be compared, the analyst must use an algorithm that is known to have the lowest collision rate. Which of the following should be selected?
A. MD5
B. RC4
C. SHA-128
D. AES-256

Correct Answer: C

Joe a computer forensic technician responds to an active compromise of a database server. Joe first collects information in memory, then collects network traffic and finally
conducts an image of the hard drive. Which of the following procedures did Joe follow?
A. Order of volatility
B. Chain of custody
C. Recovery procedure
D. Incident isolation

Correct Answer: A

Which of the following best describes the initial processing phase used in mobile device
forensics?
A. The phone should be powered down and the battery removed to preserve the state of data on
any internal or removable storage utilized by the mobile device
B. The removable data storage cards should be processed first to prevent data alteration when
examining the mobile device
C. The mobile device should be examined first, then removable storage and lastly the phone without
removable storage should be examined again
D. The phone and storage cards should be examined as a complete unit after examining the
removable storage cards separately.

Answer: D

The __________Sleuthkit tools processes the full directory tree and finds the file name that points to a given inode number.
a. ffind
b fnfind
c. fsfind
d. ifind

Answer: A

Following are forensic imaging tools?
a. dd
b. vdd
c. sdd
d. dcfldd

Answer: A,D

The Google drive file ??? contains a detailed list of a user's cloud transactions
a. loggedtransactions.log
b. sync_log.log
c. transact_user.db
d. history.db

Answer: B

The tcpdump and Wireshark utilities both use what well known packet capture format
a. Netcap
b. Pcap
c. Packetd
d. RAW

Answer: B

What Windows Registry key contains associations for file extensions
a. HKEY_CLASSES_ROOT
b. HKEY_USERS
c. HKEY_LOCAL_MACHINE
d. HKEY_CURRENT_CONFIG

Answer: A

At what offset is a prefetch file's create date & time located
a. 0x88
b. 0x80
c. 0x98
d. 0x90

Answer: B

In a prefetch file, the application's last access date and time are at offset ???
a. 0x80
b. 0x88
c. 0xD4
d. 0x90

Answer:D

With cloud systems running in a virtual environment, ??? can give you valuable information before, during, and after an incident
a. carving
b. live acquisition
c. RAM
d. snapshot

Answer:D

To reduce the time it takes to start applications, Microsoft has created ??? files, which contain the DLL pathnames and metadata used by application
a. temp
b. cache
c. config
d. prefetch

Answer:D

Metadata in a prefetch file contains an application's ??? times in UTC format and a counter of how many times the application has run since the prefect file was created
a. startup / access
b. log event
c. ACL
d. MAC

Answer:D

Which one of the following types of evidence is the most volatile ?
a. Network status and Connections
b. Swap Space
c. Memory
d. Processes running

Answer:C

During copying of evidence which is a important process, to a forensic drive, the forensic drive should be :
a. Erased, deleting all files on the drive
b. A new drive
c. Wiped clean
d. No preparation is needed

Answer:C

Backup copy contains exactly the same data as a bit-image copy. This statement is ____
a. True
b. False

Answer:B

Is it true that Pagefile.sys file on a computer can contain message fragments from instant messaging applications?
a. Yes
b. No

Answer:A

When will file’s hash value change?
a. Changing character
b. Changing filename
c. Changing file permission
d. Creating a symlink

Answer:A

_____ Windows Registry key contains file extensions associations.
a. HKEY_USERS
b. HKEY_CLASSES_ROOT.
c. HKEY_LOCAL_MACHINE
d. HKEY_CURRENT_CONFIG

Answer:B

The suspect evidence media be write-protected ______
a. To ensure that data is not altered
b. To ensure data is available
c. To alter the data
d. None of them

Answer: A

Data for roaming phones is stored in ____
a . HLR
b. GSM
c. BTS
d. VLR

Answer: d

To preserve digital evidence how many copies of a each evidence should be created and maintained :
a. At least two copies
b. One copy
c. No copies
d. None of the above

Answer: A

Issue/s with search & seizure procedure for cell mobile devices is/are:
a. Power Loss
b. Cloud services synchronization
c. Remote wiping
d. All of the above
Answer: D

_______ requires using a modified boot loader to access RAM for analysis?.
a. Chip-off
b. Manual extraction
c. Hex dumping
d. Micro read
Answer: C

_____ Sleuthkit tools can be used to display statistics of the file system.
a. fsfind
b fsstat
c. fstab
d. fstat
Answer: B

When shutting down a computer what information is typical lost?

a. Non-volatile information

b. Digital information

c. Volatile information

d. Static information

Answer: C

Which method of acquisition is always the most preferred?

a. Live

b. Static

c. Logical

d. Illogical

Answer: B

How many disk-to-image copies should you make?

a. Never more than 1.

b. At least 2

c. You should always use disk-to-disk rather than disk-to-image.

d. This is not a required step for digital forensics.

Answer: B

Ref:
CompTIA. Security+.TestInside.SY0-201.sec+.769q.vce SY0-401.examcollection.premium.exam.1752q

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud