Wednesday, July 27, 2016

DIGITAL FORENSICS: Resident Data

DIGITAL FORENSICS: Resident Data

RESIDENT DATA  คืออะไร    

ข้อมูลที่ถูกเก็บอยู่ในรายการ MFT แทนที่จะเป็นส่วนที่เหลือของระบบไฟล์ เนื่องจากไฟล์ MFT นั้นมีขนาดมาตรฐานเท่ากับ 1024 ไบต์ และเก็บข้อมูล Metadata เกี่ยวกับไฟล์ และโฟลเดอร์ , ชื่อไฟล์ ,วันเวลาและอื่น ๆ พื้นที่ใน MFT เพื่ออธิบายตำแหน่งของไฟล์ (เช่นการเรียกใช้ข้อมูล) อย่างไรก็ตามหากไฟล์มีขนาดน้อยกว่า 512 ไบต์ (ตัวอย่างทั่วไปคือ พวกไฟล์ text ขนาดเล็ก ) ระบบไฟล์จะวางไฟล์ไว้ใน MFT แทน แต่ถ้าไฟล์ใหญ่มากกว่า 512 ไบต์ก็ให้เอาไปเก็บข้างนอก MFT ENTRY แล้วค่อยชี้ไปหาอีกทีว่าเก็บอยู่ที่ไหน
  • ไฟล์มีขนาดน้อยกว่า 512 ไบต์ที่ถูกเก็บอยู่ใน MFT entry เรียกว่า resident data
  • ไฟล์ที่ใหญ่มากกว่า 512 ไบต์  ที่เก็บอยู่นอก MFT entry เรียกว่า non-resident data
www.berghel.net

ทำการทดสอบ RESIDENT  data

1. ใช้โปรแกรม x-WAYs Forensics 
2. ทำการ copy  ไฟล์ลงใน Flash Drive
  • The Resident data.txt   45 Byte  Text file
  • FTK_Imager.pdf    16843 KB   PDF File
  • sift13.jpg 172 KB  JPEG Image
  • Lab.docx 41 KB  Microsoft Word
  • 16110921205.pdf  26 KB PDF File
File Size
2.  ใส่ข้อมูล ในไฟล์  THE RESIDENT DATA.TXT  และบันทึก 
RESIDENT DATA
3. ใช้โปรแกรม X-WAYS FORENSICS  ทำการ add CASE  Flash drive ค้นหาคำว่า This is Resident Data ใน MFT
MFT 

MFT RESIDENT DATA

ตัวอย่าง RESIDENT DATA 

ไฟล์ The Resident Data.txt   ขนาด 45 Byte
อยู่ใน $MFT   FILE0
Offset : 3221270528
Physical sector No. 6291607
ตำแหน่ง Cluster No. 786443> The Resident Data.txt

RESIDENT DATA  Size 45 bytes

จากจุดนี้เองก็เลยทำให้พวก text file ที่มีขนาดเล็กๆ มักจะถูกเก็บอยู่ใน MFT แต่ถ้าเกิดมีข้อมูลในไฟล์มีขนาดใหญ่ขึ้นมากกว่า 512 KB เนื้อหาของไฟล์จะถูกไปเก็บข้างนอก MFT แล้วใช้วิธีการชี้ตำแหน่งแทน

ตัวอย่าง NON-RESIDENT DATA 

ไฟล์ Sift13.jpg   ขนาด  171 KB
อยู่นอก $MFT  
Offset : 3217448960
Physical sector No. 6284143

ตำแหน่ง Cluster No. 785510 
NON-RESIDENT DATA  Size 171 KB


ตัวอย่าง NON-RESIDENT DATA 

ไฟล์ ListWebKMS.txt    ขนาด 2.1 KB
อยู่นอก $MFT
Offset : 143360
Physical sector No. 343
ตำแหน่ง Cluster No. 32
NON-RESIDENT DATA   Size 2.1 KB

Encase: Viewing Resident Data


How to export Master File Table to csv


Ref:
http://us.mrtlab.com/filesystem/NTFS-introduction-one.html
https://digital-forensics.sans.org/blog/2012/10/15/resident-data-residue-in-ntfs-mft-entries
https://slideplayer.com/slide/12642802/
https://www.slideshare.net/primeteacher32/windows-file-systems-87060217
http://www.berghel.net/col-edit/digital_village/aug-06/dv_8-06.php
https://whereismydata.wordpress.com/2009/03/29/mft-slack/

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น


* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ



#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud

Saturday, July 23, 2016

DIGITAL FORENSICS: BROWSER AUTOMATION

DIGITAL FORENSICS: Browser Automation Investigations

iMacros คือ

iMacros เป็น Tools ทำงานบน Browser เช่น Chrome , Firefox ช่วยการทำงานซ้ำ ๆ สะดวกขึ้น

iMacros Tools ทำงานบน Web Browser เช่น Chrome , Firefox ช่วยการทำงานซ้ำ ๆ :: iMacros คืออะไร
iMarcro นับเป็นเครื่องมือเสริมที่ทำงานบน Web Browser เช่น Google Chrome หรือ Mozilla Firefox ที่มีประโยชน์อย่างมาก เพราะช่วยในการกระทำสิ่งใดสิ่งหนึ่งซ้ำ ๆ เช่นถ้าจะเข้าใจง่าย ๆ คือ ถ้าเราต้องการ Login เข้าสู่ Hotmail เราจะต้องเปิดหน้าแรกของ Hotmail.com กรอก Email และ Password ในการ Login ซึ่งทุก ๆ คั้งเราก็จะทำอย่างนี้ทุกครั้ง แต่ถ้าเราไม่อยากเสียเวลามานั่งกรอกแบบนี้จำเจ ก็สามารถใช้ iMacros บันทึกการทำงานกับสิ่งที่เราทำลงไป จากนั้นก็ให้ iMacros ทำการ Login แทนเรา โดยข้อมูลต่าง ๆ เช่น Email และ Password ตัว iMacros จะเอามาจากที่เราได้บันทึกไว้ ถ้าจะให้เข้าใจง่าย ๆ ก็คือ iMacros จะทำการอัด VDO ไว้ว่าเราทำอะไรลงไปกับหน้าจอนั้น ๆ จากนั้นเราก็สามารถกด Play เพื่อให้ iMacros ทำงานตามที่ได้บันทึกไว้ ซึ่งจะช่วยลดเวลาการทำงานได้ อีนนี้เป็นข้อเปรียบเทียบที่ง่าย ๆ เพื่อความเข้าใจ แต่ในทางปฏิบัติแล้ว iMacros มีประโยชน์เช่น ถ้าเรากรอกข้อมูลบน Form ที่ซ้ำ ๆ กันหลาย ๆ ครั้งเราก็สามารถใช้ iMacro เข้ามาจัดการได้ หรือกรณีที่เรามีฐานข้อมูลที่อยู่ในรูปแบบ CSV ไฟล์ เราก็สามารถให้ iMacros อ่านข้อมูลเข้าและโพสลง Form ได้เช่นเดียวกัน ซึ่งในกรณีที่ถ้าเรามีข้อมูลเป็นร้อย พัน หมื่น หรือแสน Record ที่ต้องการ Input ลงใน Form เราก็ไม่ต้องมานั่งกรอกเองทีล่ะ Form ซึ่งสะดวกและลดเวลาการทำงานได้อย่างมาก สำหรับวิธีใช้งานร่วมกับ CSV ไฟล์ถ้ามีโอกาศจะนำมา Review ให้ได้ศึกษากัน
iMacros Tools




สำหรับทางการสืบสวน จุดสังเกตุคือ

 1. Extensions  เครื่องผู้ต้องสงสัยมีการติดต้องเครื่องมืออัตโนมัติมาพร้อมกับ web browser  Extensions


iMacros For Chrome


2. Control panel    เครื่องผู้ต้องสงสัยมีการติดตั้งโปรแกรมใน  Control panel

iMacros



ที่มา:
wiki.imacros.net
thaicourt.blogspot.com


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud 

Sunday, July 17, 2016

Digital Forensics:Online Calculators & Tools

Digital Forensics:Online Calculators & Tools

Online Calculators & Tools


Hex,decimal,octal,binary converter

(245.347)8 = (?)16

ที่มา:
https://www.rapidtables.com

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#สุดยอดทูลในการใช้งาน Cyber Forensic

#WINDOWSFORENSIC #COMPUTERFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS

#DIGITALFORENSICS #INVESTIGATION #CYBERCRIME #FRAUD #4N6 #CYBERFORENSIC


Saturday, July 2, 2016

Hacker Highschool (HHS) DIGITAL FORENSICS AND COUNTER FORENSICS

Hacker Highschool (HHS) DIGITAL FORENSICS AND COUNTER FORENSICS


About Us
Hacker Highschool (HHS) started in 2003 as a means of teaching teens problem solving, resourcefulness, and empathy through hacking. The Institute for Security and Open Methodologies (ISECOM) created this project to use hands-on, challenging exercises for teens to learn cybersafety and can grow with the curriculum into the professional cybersecurity field.

The Hacker Highschool project team is an international volunteer team of security professionals, hackers, writers, teachers, and teen ambassadors who bring these lessons to life, present at a variety of events, and provide workshops for schools. As an open source project our doors are open to volunteers who want to help as speakers, writers, and ambassado

Hacker Highschool 



Lessons



Hacker Highschool  DIGITAL FORENSICS AND COUNTER FORENSICS


Table of Contents

Digital Forensic Methodology

Digital Forensics Process



Software Tools and Collections


 Exercises



Digital Forensics and Counter Forensics Download
Ref:
https://www.hackerhighschool.org/

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น


* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

Digital Forensics:WhatsMyName (OSINT)

Digital Forensics:WhatsMyName (OSINT) Welcome to WhatsMyName This tool allows you to enumerate usernames across many websites How to use: 1....