Sunday, October 16, 2016

Digital Forensics: วิธียึดคอมพิวเตอร์

  Digital Forensics: วิธียึดคอมพิวเตอร์

วิธียึดคอมพิวเตอร์

Seizing and Preserving an Electronic Device

     ปัจจุบันนี้ พยานหลักฐานทางอิเล็กทรอนิกส์มีความเกี่ยวพันกับคดีต่าง ๆ เกือบทุกคดี ไม่ว่าทางตรงหรือทางอ้อม ดังนั้น การยึดเครื่องคอมพิวเตอร์จึงมีความสำคัญเป็นอย่างมาก และมีผลต่อความน่าเชื่อถือในการพิจารณาคดีในชั้นศาล สำหรับข้อแนะนำในการเข้าตรวจค้นและยึดพยานหลักฐานทางอิเล็กทรอนิกส์ในเบื้องต้นมี ดังนี้


    1) คำนึงถึงความปลอดภัยของเจ้าหน้าที่เป็นอันดับแรก

    2) วาดแผนที่ในภาพรวมเช่นเดียวกับคดีทั่วไป
    3) สวมถุงมือขณะตรวจค้นและยึดเพื่อป้องกันการปนเปื้อนของพยานหลักฐาน

    4) วางป้ายระบุลำดับที่ของจุดต่าง ๆ พร้อมถ่ายภาพไว้ในทุกขั้นตอน
crime scene
    5) กันผู้ต้องสงสัยออกจากเครื่องคอมพิวเตอร์

    6) ตรวจสอบสถานะของเครื่องคอมพิวเตอร์ว่าเปิดอยู่หรือปิดอยู่ ถ้าเครื่องคอมพิวเตอร์ปิดอยู่ให้ข้ามไปที่ข้อ 7) ถ้าไม่มั่นใจให้พิจารณา ดังนี้
        - ตรวจจอภาพว่าพักหน้าจอ (โดยการขยับเมาส์) หรือ ปิดหน้าจออยู่ (โดยการกดปุ่มเปิด/ปิดที่หน้าจอ)
        - ถ่ายภาพที่ปรากฎบนหน้าจอคอมพิวเตอร์ ให้ปรากฎวันที่และเวลาบริเวณหน้าจอภาพ เทียบกับเวลาของเครื่องโทรศัพท์เคลื่อนที่ซึ่งมีการตั้งค่าให้ซิงค์กับ Time Server เรียบร้อยแล้ว กรณีที่มีหน้าต่างซ้อนกันหลาย ๆ หน้าต่าง ให้คลิ๊กเลือกทีละหน้าต่าง แล้วถ่ายภาพเก็บเป็นหลักฐานเอาไว้
        - ในกรณีที่ไม่เข้าเงื่อนไขตามที่กล่าวมาแล้ว เช่น มีไฟล์กำลังถูกลบ, ติดรหัสผ่าน เป็นต้นก็ให้ดึงปลั๊กออกจากหลังเครื่องคอมพิวเตอร์ ถ้าเป็นเครื่องคอมพิวเตอร์แบบพกพาให้ถอดแบตเตอร์รี่ก่อน ยกเว้นในกรณีที่เป็นเครื่องคอมพิวเตอร์แบบแม่ข่ายรันระบบปฏิบัติการ Windows Server รุ่นต่าง ๆ , ระบบ Unix ให้ใช้วิธีการ Shutdown แทนการดึงปลั๊กออกจากหลังเครื่อง

    7) ติดป้ายกำกับเป็นคู่ไว้บริเวณจุดเชื่อมต่อของเครื่องคอมพิวเตอร์ กับ สายที่เชื่อมต่อ ดังรูป

    8) การถ่ายภาพควรถ่ายให้เห็นภาพรวม จุดเชื่อมต่อ และรายละเอียดของอุปกรณ์ที่ยึดทั้งหมด โดยเฉพาะหมายเลขประจำเครื่อง จากนั้น ดำเนินการบรรจุเครื่องคอมพิวเตอร์ที่ต้องการยึดลงในกล่อง ถุงพลาสติก แล้วปิดผนึกด้วยเทปกาว พร้อมลงลายมือชื่อกำกับไว้


     9) บันทึกรายละเอียดของเครื่องคอมพิวเตอร์ที่ยึด ลงลายมือชื่อผู้ยึด พร้อมระบุวันเดือนปีและเวลาที่ยึด เมื่อมีการส่งมอบพยานหลักฐานทางอิเล็กทรอนิกส์ ให้จดบันทึกเหตุผลในการส่งมอบ พร้อมลงลายมือชื่อผู้รับ และ ผู้ส่งมอบ พร้อมระบุวัน เวลา ให้ชัดเจน เพื่อเป็นการรักษาห่วงโซ่ของพยานหลักฐานให้มีความน่าเชื่อถือตลอดเวลา



   10) การเคลื่อนย้ายพยานหลักฐานทางอิเล็กทรอนิกส์ ควรหลีกเลี่ยงสัญญาณวิทยุกำลังสูงภายในรถยนต์สายตรวจ สนามแม่เหล็ก โดยระวังในเรื่องการกระแทก ความเปียกชื้น และความร้อน เพราะอาจทำให้พยานหลักฐานทางอิเล็กทรอนิกส์เกิดความเสียหายได้






*** ข้อควรระวัง ***
  • พบเครื่องคอมพิวเตอร์ปิดอยู่ ห้ามเปิดเครื่อง
  • กรณีที่มีความซับซ้อน ให้ขอความช่วยเหลือจากผู้เชี่ยวชาญ
ทีมา:


อ่านเพิ่มเติม

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

No comments:

Post a Comment

เจาะลึก 14 Certifications ด้าน Cybersecurity

เจาะลึก 14 Certifications ด้าน Cybersecurity เจาะลึก 14 Certifications ด้าน Cybersecurity ที่น่าสนใจ! แชร์มุมมองส่วนตัวเกี่ยวกับ certificati...