Digital Forensics: วิธียึดคอมพิวเตอร์

  Digital Forensics: วิธียึดคอมพิวเตอร์

วิธียึดคอมพิวเตอร์

Seizing and Preserving an Electronic Device

     ปัจจุบันนี้ พยานหลักฐานทางอิเล็กทรอนิกส์มีความเกี่ยวพันกับคดีต่าง ๆ เกือบทุกคดี ไม่ว่าทางตรงหรือทางอ้อม ดังนั้น การยึดเครื่องคอมพิวเตอร์จึงมีความสำคัญเป็นอย่างมาก และมีผลต่อความน่าเชื่อถือในการพิจารณาคดีในชั้นศาล สำหรับข้อแนะนำในการเข้าตรวจค้นและยึดพยานหลักฐานทางอิเล็กทรอนิกส์ในเบื้องต้นมี ดังนี้

    1) คำนึงถึงความปลอดภัยของเจ้าหน้าที่เป็นอันดับแรก

    2) วาดแผนที่ในภาพรวมเช่นเดียวกับคดีทั่วไป

    3) สวมถุงมือขณะตรวจค้นและยึดเพื่อป้องกันการปนเปื้อนของพยานหลักฐาน

    4) วางป้ายระบุลำดับที่ของจุดต่าง ๆ พร้อมถ่ายภาพไว้ในทุกขั้นตอน

crime scene

    5) กันผู้ต้องสงสัยออกจากเครื่องคอมพิวเตอร์

    6) ตรวจสอบสถานะของเครื่องคอมพิวเตอร์ว่าเปิดอยู่หรือปิดอยู่ ถ้าเครื่องคอมพิวเตอร์ปิดอยู่ให้ข้ามไปที่ข้อ 7) ถ้าไม่มั่นใจให้พิจารณา ดังนี้

        - ตรวจจอภาพว่าพักหน้าจอ (โดยการขยับเมาส์) หรือ ปิดหน้าจออยู่ (โดยการกดปุ่มเปิด/ปิดที่หน้าจอ)

        - ถ่ายภาพที่ปรากฎบนหน้าจอคอมพิวเตอร์ ให้ปรากฎวันที่และเวลาบริเวณหน้าจอภาพ เทียบกับเวลาของเครื่องโทรศัพท์เคลื่อนที่ซึ่งมีการตั้งค่าให้ซิงค์กับ Time Server เรียบร้อยแล้ว กรณีที่มีหน้าต่างซ้อนกันหลาย ๆ หน้าต่าง ให้คลิ๊กเลือกทีละหน้าต่าง แล้วถ่ายภาพเก็บเป็นหลักฐานเอาไว้

        - ในกรณีที่ไม่เข้าเงื่อนไขตามที่กล่าวมาแล้ว เช่น มีไฟล์กำลังถูกลบ, ติดรหัสผ่าน เป็นต้นก็ให้ดึงปลั๊กออกจากหลังเครื่องคอมพิวเตอร์ ถ้าเป็นเครื่องคอมพิวเตอร์แบบพกพาให้ถอดแบตเตอร์รี่ก่อน ยกเว้นในกรณีที่เป็นเครื่องคอมพิวเตอร์แบบแม่ข่ายรันระบบปฏิบัติการ Windows Server รุ่นต่าง ๆ , ระบบ Unix ให้ใช้วิธีการ Shutdown แทนการดึงปลั๊กออกจากหลังเครื่อง

    7) ติดป้ายกำกับเป็นคู่ไว้บริเวณจุดเชื่อมต่อของเครื่องคอมพิวเตอร์ กับ สายที่เชื่อมต่อ ดังรูป

    8) การถ่ายภาพควรถ่ายให้เห็นภาพรวม จุดเชื่อมต่อ และรายละเอียดของอุปกรณ์ที่ยึดทั้งหมด โดยเฉพาะหมายเลขประจำเครื่อง จากนั้น ดำเนินการบรรจุเครื่องคอมพิวเตอร์ที่ต้องการยึดลงในกล่อง ถุงพลาสติก แล้วปิดผนึกด้วยเทปกาว พร้อมลงลายมือชื่อกำกับไว้

     9) บันทึกรายละเอียดของเครื่องคอมพิวเตอร์ที่ยึด ลงลายมือชื่อผู้ยึด พร้อมระบุวันเดือนปีและเวลาที่ยึด เมื่อมีการส่งมอบพยานหลักฐานทางอิเล็กทรอนิกส์ ให้จดบันทึกเหตุผลในการส่งมอบ พร้อมลงลายมือชื่อผู้รับ และ ผู้ส่งมอบ พร้อมระบุวัน เวลา ให้ชัดเจน เพื่อเป็นการรักษาห่วงโซ่ของพยานหลักฐานให้มีความน่าเชื่อถือตลอดเวลา

   10) การเคลื่อนย้ายพยานหลักฐานทางอิเล็กทรอนิกส์ ควรหลีกเลี่ยงสัญญาณวิทยุกำลังสูงภายในรถยนต์สายตรวจ สนามแม่เหล็ก โดยระวังในเรื่องการกระแทก ความเปียกชื้น และความร้อน เพราะอาจทำให้พยานหลักฐานทางอิเล็กทรอนิกส์เกิดความเสียหายได้

*** ข้อควรระวัง ***

• พบเครื่องคอมพิวเตอร์ปิดอยู่ ห้ามเปิดเครื่อง
• กรณีที่มีความซับซ้อน ให้ขอความช่วยเหลือจากผู้เชี่ยวชาญ

ทีมา:

• ศูนย์อาชญากรรมทางเทคโนโลยี (High-Tech Crime Center)
• Digital Forensic Data Acquisition

อ่านเพิ่มเติม

• การถ่ายภาพในที่เกิดเหตุ 
• การปฎิบัติงานในสถานที่เกิดเหตุ 
• การเก็บหลักฐานอิเล็กทรอนิกส์ คดีละเมิดลิขสิทธิ์และพนันออนไลน์
• นิติวิทย์ฯ ร่วมกับ DSI เข้าร่วมตรวจค้นและจัดเก็บพยานหลักฐาน ตามกฎหมายฟอกเงินและกฏหมายปราบปรามยาเสพติด
• การตรวจค้นและยึดพยานหลักฐานดิจิทัล 
  
• การตรวจยึดพยานหลักฐานทางคอมพิวเตอร์
• วิธียึดคอมพิวเตอร์
• วิธีการปฏิบัติต่อของกลางประเภทอุปกรณ์คอมพิวเตอร์ และอุปกรณ์อิเลคทรอนิกส์ เพื่อนำส่งตรวจพิสูจน์
• Case study Forensic Acquisition DIGITAL FORENSICS:CASE STUDY FORENSIC ACQUISITION 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud