Digital Forensics:นิติวิทยาทางดิจิทัล (Digital Forensics)

Digital Forensics:นิติวิทยาทางดิจิทัล (Digital Forensics)

digital forensic courses

หลักสูตร “การฝึกอบรมและสอบวัดสมรรถนะเพื่อพัฒนามาตรฐานการรับรองบุคลากร
ด้านความมั่นคงปลอดภัยระบบสารสนเทศของประเทศไทย (iSEC)” ครั้งที่ ๕

Digital Forensics

CBK Competency Area Description:

 Task Statements: Manage

 

หลักสูตรอบรม Computer Forensics

Download Slide

ที่มา:  อ.ชยุตม์ สิงห์ธงธำรงคกุล (isec.tisa  )

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #หลักสูตรการพิสูจน์หลักฐานทางดิจิทัล

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

Digital Forensics:IMEI

Digital Forensics:IMEI

 วันนี้มาทำความรู้จัก IEMI ว่าคืออะไร สำคัญอย่างไร
เลข IMEI ของตัวเครื่องโทรศัพท์ สมาร์ทโฟน และแฟบเล็ตนั้นเป็นอีก 1 สิ่งสำคัญที่ผู้ใช้งานหลายๆ คนมักจะใช้ในการตรวจสอบตัวเครื่องก่อนทำการซื้อเครื่องนั้นๆ มาใช้งาน  รวมถึงเราจะสามารถตรวจดูได้อย่างไรบ้าง 

เลข IMEI คืออะไร? 

หากจะอธิบายแบบง่ายๆ เลยเลข IMEI หรือ International Mobile Equipment Identity นั้นก็เสมือนเป็นหมายเลขบัตรประชาชนของโทรศัพท์รุ่นนั้นๆ ที่แสดง หรือบ่งบอกตัวตนของตัวเครื่อง โดยจะมีเลขตัวเลข 15 หลัก แบ่งเป็น 4 กลุ่ม ดังนี้

• เลข 6 ตัวแรก จะอยู่ในกลุ่ม TAC (Type Approval Code) โดยจะบ่งบอกถึงรหัสของประเทศนั้นๆ ซึ่งจะดูได้จากเลข 2 จากใน 6 ตัวแรก
• เลขลำดับที่ 7 และ 8 จะอยู่ในกลุ่ม FAC (Final Assembly Code) จะบ่งบอกถึงแหล่งผลิต หรือโรงงานที่ผลิตขึ้นมา บริษัทผู้ผลิตโทรศัพท์
• เลขลำดับที่ 9 ถึง 14 จะอยู่ในกลุ่ม SNR (Serial Number) จะเป็นรหัสซีเรียล หรือหมายเลขประจำของตัวเครื่องนั้น
• เลขลำดับที่ 15 จะอยู่ในกลุ่ม SP (Spare) จะเป็นเลขสำรองหลักสุดท้าย  ,เป็นค่าฟรี

• เช่นเลข IMEI  490154100837810 
• 490154 จะเป็นเลข TAC 
• 10 จะบ่งบอกแหล่งผลิต (ดูแหล่งผลิตตามตัวเลขตามในตาราง)

• 083781 เป็นหมายเลขซีเรียลตัวเครื่อง
• 0 เป็นเลขที่สำรองไว้ ส่วนมากจะเป็นเลข 0

ที่มา *ขอบคุณข้อมูลเพิ่มเติมจาก Cellular.co.za ,news.siamphone.com

  Credit:Cellebrite Reader Online 

🎯 IMEI ใช้ทำอะไรบ้าง?

1. ระบุและยืนยันตัวตนอุปกรณ์มือถือ

   • ใช้โดยผู้ให้บริการเครือข่ายโทรศัพท์เพื่อตรวจสอบอุปกรณ์ที่เชื่อมต่อ

2. ติดตามหรือบล็อกเครื่องที่สูญหาย/ถูกขโมย

   • สามารถแจ้งเลข IMEI ต่อเครือข่ายให้บล็อกเครื่อง (Blacklisting)

3. ตรวจสอบประวัติการซื้อ-ขายเครื่อง

   • เช่น IMEI Checker, GSMA Registry

4. ใช้ในการสืบสวนอาชญากรรม

   • ระบุการใช้งานของอุปกรณ์ในพื้นที่ก่อเหตุผ่านข้อมูลจาก Cell Site

จะดูเลข IMEI ได้จากที่ไหน?

Android

• จากข้างกล่อง
• Android / iOSกดหมายเลข *#06#
• จากเมนู Status ใน Setting
•  ตัวเครื่องใต้ฝาแบตฯ
•  โหลดแอป IMEI.info ทาง Play Store เลย แล้วเปิดแอปดูก็จะทราบหมายเลข IMEI เครื่อง
• ข้าไปที่เว็บไซต์ https://www.google.com/settings/dashboard จากนั้น Login ด้วยบัญชี Google แล้วเลือกในส่วน Android  แตะให้ลูกศรลงมา 

ซึ่งมีประโยชน์มากในกรณีมือถือ Android หายไป ถูกลืม ถูกขโมยไป ก็สามารถหาหมายเลย IMEI ที่ปรากฎในเว็บนี้ไว้แจ้งกับผู้ให้บริการเครือข่ายมือถือ ตลอดจนแจ้งที่สถานีตำรวจ เพื่อช่วยตรวจสอบต่อไป
 ที่มา *ขอบคุณข้อมูลเพิ่มเติมจาก Cellular.co.za ,news.siamphone.com

 blacklist checker  ท่านสามารถนำ IEMI ของโทรศัพท์ มาตรวจสอบว่าเป็นเครื่องโทรศัพท์ดังกล่าง ขโมยมาหรือโดนแจ้ง Blacklist    เข้าไปที่ https://imei24.com/blacklist_check/

1. *#06# เพื่อเรียกดู  IEMI ของโทรศัพท์

2.  ใส่หมายเลข ลงในช่อง และกด Check
 

3.  Clean แสดงรายละเอียด ว่า เรื่องนี้ไม่โดน Blacklist

4. กด Phone detail   เพื่อดูรายละเอียดของโทรศัพท์

 

 

ดูตัวอย่างงเพิ่มเติมได้ที่

สำคัญอย่างไรดูได้จาก
คดีความที่เกี่ยวกับ IEMI
https://bit.ly/2Dzt4KW
https://bit.ly/2B0Cjl1
https://bit.ly/2qGHXmp

แนวทางการสืบสวนที่เกี่ยวข้องกับอุปกรณ์มือถือ

ประเภทข้อมูล	ความสำคัญ
📞 หมายเลขโทรศัพท์ / SIM	เชื่อมโยงตัวบุคคลและผู้ให้บริการ
📁 CDR (Call Detail Records)	แสดงการติดต่อ, เวลา, ตำแหน่ง cell site
📡 IMEI	ระบุอุปกรณ์, ตรวจสอบการใช้ผิดกฎหมาย
🗺️ Cell Site Info	ระบุตำแหน่งโดยประมาณของอุปกรณ์
🔍 แอป + พฤติกรรมผู้ใช้	เชื่อมโยงกับการใช้งานเครื่อง/การก่อเหตุ

• เอกสารข้อมูลการใช้โทรศัพท์ (CDR- Call Detail Records) จากผูั้ให้บริการโทรศัพท์เคลื่อนที่
• ข้อมูลจาก Cell Site  สถานีฐาน (Base Station : BS) หรืออาจเรียกว่าที่ตั้งเซลล์ (Cell Site) นั้นเป็นสถานที่ที่ติดตั้งเครื่องรับ-ส่งสัญญาณ เพื่อเชื่อมต่อสัญญาณวิทยุที่อยู่ระหว่างระบบสื่อสารแบบไร้สายและอุปกรณ์สื่อสารไร้สาย จำนวนของสถานีฐานเป็นปัจจัยที่จำเป็นมากสำหรับการสื่อสารแบบไร้สาย เพราะเซลล์แต่ละเซลล์บนเครือช่ายจะต้องส่งสัญญาณผ่านสถานีฐาน

 

หลักการทำงานของมันก็คือเมื่อเราใช้มือถือในพื้นที่นั้น ๆ  เครื่องมือถือของเราจะมีการ register (ลงทะเบียน) กับระบบของ Cell นั้น

โดยทางระบบคอมพิวเตอร์ของผู้ให้บริการ (dtac  true  AIS)  จะมีการบันทึกใว้ว่า  เบอร์ใด
เข้ามาใช้งานใน Cell site แห่งนั้นบ้าง  ซึ่งทางตำรวจก็สามารถขอข้อมูลนี้จากผู้ให้บริการได้
ว่าเบอร์นั้นได้อยู่ในพื้นที่ตามตำแหน่ง ID ของ Cell นั้นจริงหรือไม่ ?

เครื่องมือยอดนิยมใน Mobile Forensics

เครื่องมือ	ความสามารถ
Cellebrite UFED / Physical Analyzer	ถอดรหัส IMEI, การโทร, SMS, GPS, App data
XRY by MSAB	Logical & Physical extraction พร้อม IMEI display
Magnet AXIOM	วิเคราะห์พฤติกรรมผู้ใช้จาก image file
ADB / iTunes Backup	เทคนิคแบบ Manual ในกรณีไม่มีเครื่องมือ commercial

สรุป: ทำไม IMEI ถึงสำคัญในการ Forensics?

✅ ใช้ระบุอุปกรณ์ที่เกี่ยวข้องกับเหตุการณ์
✅ ใช้เป็นหลักฐานทางนิติวิทยาศาสตร์ได้
✅ ช่วยติดตามอุปกรณ์ที่หายหรือถูกขโมย
✅ เป็นข้อมูลเชิงเทคนิคที่สามารถใช้ตรวจสอบข้ามจากฐานข้อมูลต่างประเทศได้

ที่มา :
http://www3.truecorp.co.th/assets/files/files/MAC_TRUE_Smart_E.pdf
https://consumer.huawei.com/th/support/find-imei/
https://news.siamphone.com/news-19837.html
https://www.it24hrs.com/2016/6-ways-find-imei-android-device/
https://www.imei.info/?imei=353380072752081
http://www.imeipro.info/

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Digital Forensics:Data Carving using Foremost

Digital Forensics:Data Carving using Foremost

Foremost  คือ

Foremost เป็นเครื่องมือตัวหนึ่งที่ใช้สำหรับงานทางด้าน Digital Forensics 

ถูกพัฒนา  Jesse Kornblum และ Kris Kendallขึ้นโดยหน่วยงาน Air Force Office of Special Investigations และ  Defense Computer Forensics Lab's carvthis program ของอเมริกา ในปัจจุบัน Foremost ได้ถูกเผยแพร่ให้บุคคลทั่วไปได้นำไปใช้งาน ถึงแม้ในขั้นต้น จะถูกพัฒนาขึ้นเพื่อให้ใช้ สำหรับหน่วยงานบังคับใช้กฎหมายเป็นหลักก็ตาม แต่ด้วยประโยชน์หลากหลาย จึงถูกนำไปใช้ในด้านอื่นๆ ด้วย

Foremost เป็นโปรแกรมที่ทำงานแบบ command line ถูกพัฒนาขึ้นเพื่อใช้บน แพลตฟอร์ม Linux 

หรือเราจะติดตั้ง ให้สามารถใช้งานบน Windows ก็ได้ สำหรับ Foremost นั้น ถูกนำมาใช้ในการกู้ไฟล์คืนกลับมา โดยดูจากลักษณะ Headers, Footers และ โครงสร้างภายในของไฟล์ประเภทนั้นๆ มันสามารถกู้คืน filetypes เฉพาะรวมทั้ง jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, htm  โดยสามารถกำหนดค่า (โดยปกติจะอยู่ที่ /usr/local/etc/foremost.conf) ซึ่งสามารถใช้เพื่อกำหนดประเภทไฟล์เพิ่มเติม ซึ่งเราอาจเรียกการกู้ข้อมูลในลักษณะนี้ได้ว่าเป็นการทำ Data Carving

SIFT Workstation

สร้าง โฟรเดอร์ ชื่อ  Recove สำหรับเก็บไฟล์ฺ Output

Input & Output Folder

Type the following “foremost -t jpeg,doc -i Linux Financial Case.001 -o recove –v”.
พิมพ์คำสั่ง  #foremost -t jpeg,doc -i Linux Financial Case.001 -o recove –v



To break this down “-t” is setting the file types we want to carve out of the disk image, here those are .jpeg and .png.
-t คำสั่ง ชนิดของไฟล์ที่ต้องการค้นหา เช่น   jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc

“-i” is specifying the input file, the “Linux Financial Case.001” that is placed on the desktop.
-i คำสั่ง ระบุตำแหน่งของสำเนาหลักฐาน( forensic image   )  *.001 ,*.E01 ,*.raw ,*.dd

“-o” is telling Foremost where we want the carved files to be stored, for that we have the “recove” folder on the desktop that we made earlier.
-o คำสั่ง ระบุตำแหน่งโฟลเดอร์ปลายทาง (destination )ที่กู้ไฟล์มาได้  Output file


“-v” is to tell Foremost to log all the messages that appear on screen as the file is being carved into a text file in the output folder (recove) as an audit report.
-v คำสั่งให้แสดง Log report

เมื่อทำงานเสร็จจะแสดงรายละเอียดข้อมูลที่กุ้ได้

 ไฟล์ที่กู้ได้จะอยู่ในโฟรเดอร์ Recove  doc  และ JPG  และไฟล์ audit.txt

Out Put & Audit file

ไฟล์ JPEG ที่กู้ได้

 audit.txt  จะแสดงรายละเอียดของไฟล์ทั้งหมดที่กู้ได้

Foremost Report

Ref:
https://en.wikipedia.org/wiki/Foremost_(software)
https://www.forensicswiki.org/wiki/Foremost
https://bit.ly/2CTp9GU

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #DataRecovery