Saturday, October 8, 2016

Digital Forensics:การเก็บรวบรวมหลักฐานโทรศัพท์เคลื่อนที่ (Evidence collection)

Digital Forensics:การเก็บรวบรวมหลักฐานโทรศัพท์เคลื่อนที่ (Evidence collection)

(1) ห้ามบุคคลที่ไม่มีส่วนเกี่ยวข้องเข้าไปในสถานที่เกิดเหตุ 

(2) ควรสวมถุงมือระหว่างการปฏิบัติงานในสถานที่เกิดเหตุ 

Forensic Imaging & DATA Extraction

(3) กำหนดรูปแบบการตรวจค้นสถานที่เกิดเหตุและดำเนินการตามที่กำหนดอย่างถี่ถ้วน 

(4) กำหนดหมายเลขและวางป้ายหมายเลขกำกับหลักฐานแต่ละชิ้น

Forensic Imaging & DATA Extraction

(5) ถ่ายภาพรายละเอียดต่อไปนี้ 

(5.1) หากพบเครื่องมือสื่อสารเคลื่อนที่ ให้ถ่ายภาพทุกด้านและพื้นที่รอบ ๆ หลักฐานที่จะจัดเก็บ อุปกรณ์เชื่อมต่อภายนอกและจุดเชื่อมต่อ รวมทั้งสภาพโดยรวมให้ เห็นว่าหลักฐานแต่ละชิ้นวางไว้ในตำแหน่งใด 

(5.2) ข้อมูลเฉพาะของหลักฐาน เช่น หมายเลข Serial number ผู้ผลิต รุ่น ความเสียหายที่พบ เป็นต้น

(5.3) สิ่งอื่นที่อาจเป็นประโยชน์เพิ่มเติม เช่น สิ่งพิมพ์ กระดาษบันทึกข้อความ หรือหนังสือ เกี่ยวกับความรู้ทางคอมพิวเตอร์เพื่อบ่งบอกถึงระดับความรู้ทางคอมพิวเตอร์ของผู้ต้อง สงสัย

(6) จดบันทึกรายละเอียดต่อไปนี้

(6.1) สิ่งที่พบ สิ่งที่ได้ดำเนินการ รวมถึงสิ่งผิดปกติเช่น ร่องรอยความเสียหายภายนอกของ หลักฐาน 

(6.2) สภาพและรายการอุปกรณ์ภายนอกที่เชื่อมต่อกับหลักฐาน 

(6.3) สิ่งอื่นที่อาจเป็นประโยชน์เพิ่มเติม เช่น สิ่งพิมพ์ กระดาษบันทึกข้อความ หรือหนังสือ เกี่ยวกับความรู้ทางคอมพิวเตอร์เพื่อบ่งบอกถึงระดับความรู้ทางคอมพิวเตอร์ของผู้ต้อง สงสัย 

(7) กรณีพบหลักฐานอยู่ภายนอกอาคาร และสภาพอากาศขณะนั้นอาจส่งผลต่อหลักฐาน ควร พิจารณาดำเนินการกับหลักฐานนั้นเป็นลำดับแรก 

(8) รวบรวมข้อมูลที่เกี่ยวข้อง เช่น ชื่อผู้ใช้ รหัสผ่าน ข้อมูลในการเข้าใช้งานระบบปฏิบัติการ หรือ ระบบเครือข่าย การใช้เทคโนโลยีเฉพาะ เช่น   การเข้ารหัสลับข้อมูล (Encryption) เป็นต้น

 

กรณีหลักฐานเป็นเครื่องมือสื่อสารเคลื่อนที่ 

(1) หากทำได้ ให้สอบถามรหัสผ่านเพื่อปลดล็อคเครื่องและซิมการ์ด และจดบันทึกโดยให้ระบุด้วย ว่าเป็น PIN หรือ Pattern lock 

Photo illustration by Aurich Lawson

(2) ในกรณีที่หลักฐานเปิดใช้งานอยู่ และสามารถเข้าใช้งานได้ ควรดำเนินการดังนี้ 

(2.1) ตรวจสอบรายละเอียดเกี่ยวกับหลักฐาน และตั้งค่าเครื่องมือสื่อสาร ดังนี้ 

ก. บันทึกภาพหลักฐานและเนื้อหาที่ปรากฏบนหน้าจอแสดงผล และจดบันทึกข้อมูล โดยละเอียด 

ข. ตรวจสอบข้อมูลเฉพาะของหลักฐาน เช่น IMEI รุ่น ผู้ให้บริการ เป็นต้น 

iPhone IMEI Check
iPhone IMEI Check  (Photo by Jarod Lee).

ค. เปิดการใช้งานโหมดเครื่องบิน (Airplane mode) เพื่อตัดการรับสัญญาณ 

Forensic Imaging & DATA Extraction
(Photo by Jakub Porzycki/NurPhoto via Getty Images).

ง. ปิดการใช้งานสัญญาณไร้สาย (Wi-Fi) เพื่อตัดการสื่อสารผ่านระบบเน็ตเวิร์ก 

จ. ปิดการใช้งานสัญญาณบลูทูธ (Bluetooth) 

ฉ. ปิดการใช้รหัสผ่าน เพื่อให้สามารถเข้าถึงเครื่องได้ภายหลัง 

ช. ปิดการล็อคหน้าจอแสดงผล (Disable screen lock) 

(2.2) ดำเนินการบรรจุและเคลื่อนย้ายหลักฐาน 

(3) กรณีที่ไม่สามารถเข้าใช้งานหลักฐานได้ เช่น ติดล็อครหัสผ่าน ให้บันทึกภาพหลักฐานและ เนื้อหาที่ปรากฏบนหน้าจอแสดงผล และจดบันทึกโดยละเอียด หลังจากนั้นจึงดำเนินการบรรจุ และเคลื่อนย้ายหลักฐาน 

Forensic Imaging & DATA Extraction

(4) กรณีที่หลักฐานอยู่ในสถานะปิดการใช้งาน ให้ดำเนินการบรรจุและเคลื่อนย้ายหลักฐาน 

(5) ไม่ควรถอดแบตเตอรี่ออกจากตัวเครื่องเนื่องจากอาจทำให้สูญเสียข้อมูล เช่น ประวัติการโทร การ ตั้งค่าวันเวลาในหลักฐาน เป็นต้น เว้นแต่ในกรณีที่จำเป็นต้องเก็บเครื่องเป็นระยะเวลานาน ควร ถอดแบตเตอรี่ออกเพื่อป้องกันแบตเตอรี่เสื่อมสภาพซึ่งอาจทำให้สารที่อยู่ในแบตเตอรี่รั่วซึมและ ก่อให้เกิดความเสียหายแก่หลักฐานนั้นได้ 

(6) เก็บอุปกรณ์เสริมทั้งหมด เช่น สายเคเบิลสำหรับชาร์จไฟ สายเคเบิลข้อมูลสำหรับต่อเชื่อม SD card ซิมการ์ด เป็นต้น รวมทั้งตรวจดูบริเวณรอบ ๆ ว่ามีการจดรหัสผ่านไว้หรือไม่ หากพบให้ รวบรวมไว้

Photo: Michael Hession ELECTRONICSACCESSORIES

(7) หากพบเครื่องมือสื่อสารเคลื่อนที่อยู่ในน้ำ ให้รีบถอดแบตเตอรี่ออกทันที แล้วจัดเก็บอุปกรณ์ ในสภาพที่มีน้ำในแหล่งที่พบหลักฐานอยู่ และนำกลับไปตรวจวิเคราะห์ในห้องปฏิบัติการ โดยเร็ว 

การบรรจุและการเคลื่อนย้าย (Packaging and Transportation)

(1)กรณีหลักฐานเป็นเครื่องมือสื่อสารเคลื่อนที่ซึ่งสถานะของเครื่องเปิดใช้งานและติดรหัสผ่าน ทำให้ ไม่สามารถตั้งค่าอุปกรณ์เพื่อตัดสัญญาณได้ ให้บรรจุหลักฐานลงในอุปกรณ์ป้องกันคลื่นสัญญาณ ก่อน แล้วจึงดำเนินการในขั้นตอนต่อไป 

Forensic Imaging & DATA Extraction

(2)จัดเก็บหลักฐานลงในบรรจุภัณฑ์ ใช้เทปปิดผนึกปิดผนึกหลักฐานให้เรียบร้อย ไม่ให้มีรอยชำรุดฉีก ขาด ลงชื่อผู้ปฏิบัติงานและวันเวลาคร่อมทับเทปปิดผนึกกำกับไว้ 

Forensic Imaging & DATA Extraction

mobile phone evidence box


(3)ติดป้ายหมายเลขกำกับ (Label) หลักฐานลงบนบรรจุภัณฑ์ทุกชิ้น โดยห้ามติดบนหลักฐานโดยตรง
Forensic Imaging & DATA Extraction

(4)ในการดำเนินการควรระบุรายละเอียดใน Chain of custody โดยบันทึกข้อมูลให้ครบถ้วน

(5)ควรขนย้ายหลักฐานมายังยานพาหนะเป็นลำดับสุดท้ายก่อนที่จะออกจากสถานที่เกิดเหตุและขน ย้ายหลักฐานไปเก็บในที่ปลอดภัยทันทีที่ถึงจุดหมายปลายทาง 

(6)เคลื่อนย้ายหลักฐานด้วยความระมัดระวังเป็นพิเศษ หลีกเลี่ยงการกระทบกระเทือน การวาง หลักฐานซ้อนทับกัน บริเวณที่มีสนามแม่เหล็กไฟฟ้าหรือไฟฟ้าสถิต เช่น ใกล้ลำโพงและวิทยุสื่อสาร เป็นต้น บริเวณที่มีแสงแดดจัดหรือมีความชื้นและการเปลี่ยนแปลงของอุณหภูมิหรือความชื้น กะทันหัน 

(7)ในการรับและส่งมอบหลักฐาน ก่อนส่งมอบให้สังเกตสภาพบรรจุภัณฑ์ว่าชำรุดหรือไม่ เทปปิดผนึก ฉีกขาดหรือไม่ และถ่ายภาพสภาพหลักฐานที่ได้รับมา 

ภาคผนวก ข ข้อมูลเพิ่มเติมทางเทคนิค 

ข.1 การเทียบเวลา ระหว่างกระบวนการเก็บหรือสำเนาหลักฐานดิจิทัล ผู้ปฏิบัติงานจำเป็นต้องเทียบเวลาของหลักฐาน ดิจิทัล กับเวลามาตรฐาน และให้บันทึกความคลาดเคลื่อนจากเวลามาตรฐาน โดยให้บันทึกเป็นหน่วย ของเวลาระดับที่ละเอียดที่สุดที่จะทำได้ ตัวอย่างของเวลามาตรฐาน ได้แก่ เวลาจากนาฬิกามาตรฐาน ของสถาบันมาตรวิทยาแห่งชาติ (รายละเอียดของนาฬิกาอ้างอิงสามารถดูเพิ่มเติมได้ที่ http://www.nimt.or.th/index.php?menu=time) 

ข.2 การตรวจสอบข้อมูลที่สำคัญในเครื่องมือสื่อสารเคลื่อนที่ ตามหลักการแล้ว ผู้ปฏิบัติงานไม่ควรเปิดดูข้อมูลในเครื่องมือสื่อสารเคลื่อนที่โดยไม่จำเป็น เพราะจะทำ ให้ข้อมูลในหลักฐานเปลี่ยนแปลง แต่เพื่อประโยชน์ในการสืบสวน ก่อนที่จะสำเนาข้อมูลหรือส่งตรวจ ในห้องปฏิบัติการ ผู้รับผิดชอบคดีอาจพิจารณาตรวจดูเฉพาะข้อมูลที่สำคัญอย่างระมัดระวัง และทำให้ ข้อมูลเปลี่ยนแปลงน้อยที่สุด โดยตรวจสอบข้อมูลดังนี้ 

(1) ตรวจสอบ IMEI โดยกด *#06# 

(2) ตรวจสอบหมายเลขโทรศัพท์ โดย 

ก. สำหรับเครือข่าย AIS กด *545# แล้วกดโทรออก 

ข. สำหรับเครือข่าย DTAC กด *102# แล้วกดโทรออก 

ค. สำหรับเครือข่าย TRUE กด *933# แล้วกดโทรออก 

(3) ตรวจสอบชื่อบัญชีของแอปพลิเคชันที่ใช้ติดต่อสื่อสาร เช่น อีเมล, LINE และ Facebook เป็นต้น

 

อ่านเพิ่มเติม: 

ที่มา:ข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัล ในงานตรวจพิสูจน์พยานหลักฐาน (สํานักพัฒนาธุรกรรมทางอิเล็กทรอนิกส์)

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud #พยานหลักฐานดิจิทัล

No comments:

Post a Comment

Digital Forensics:CDIC2024

Digital Forensics:CDIC2024    งานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์  27-28 พฤศจิกายน 2567 ณ Grand Hall ไบเทค บางนา วันนี้แอดแวะมางาน ...