Digital Forensics:นิติวิทยาทางดิจิทัล (Digital Forensics)

Digital Forensics:นิติวิทยาทางดิจิทัล (Digital Forensics)

digital forensic courses

หลักสูตร “การฝึกอบรมและสอบวัดสมรรถนะเพื่อพัฒนามาตรฐานการรับรองบุคลากร
ด้านความมั่นคงปลอดภัยระบบสารสนเทศของประเทศไทย (iSEC)” ครั้งที่ ๕

Digital Forensics

CBK Competency Area Description:

 Task Statements: Manage

 

หลักสูตรอบรม Computer Forensics

Download Slide

ที่มา:  อ.ชยุตม์ สิงห์ธงธำรงคกุล (isec.tisa  )

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #หลักสูตรการพิสูจน์หลักฐานทางดิจิทัล

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

Digital Forensics:IMEI

Digital Forensics:IMEI

 วันนี้มาทำความรู้จัก IEMI ว่าคืออะไร สำคัญอย่างไร
เลข IMEI ของตัวเครื่องโทรศัพท์ สมาร์ทโฟน และแฟบเล็ตนั้นเป็นอีก 1 สิ่งสำคัญที่ผู้ใช้งานหลายๆ คนมักจะใช้ในการตรวจสอบตัวเครื่องก่อนทำการซื้อเครื่องนั้นๆ มาใช้งาน  รวมถึงเราจะสามารถตรวจดูได้อย่างไรบ้าง 

เลข IMEI คืออะไร? 

หากจะอธิบายแบบง่ายๆ เลยเลข IMEI หรือ International Mobile Equipment Identity นั้นก็เสมือนเป็นหมายเลขบัตรประชาชนของโทรศัพท์รุ่นนั้นๆ ที่แสดง หรือบ่งบอกตัวตนของตัวเครื่อง โดยจะมีเลขตัวเลข 15 หลัก แบ่งเป็น 4 กลุ่ม ดังนี้

• เลข 6 ตัวแรก จะอยู่ในกลุ่ม TAC (Type Approval Code) โดยจะบ่งบอกถึงรหัสของประเทศนั้นๆ ซึ่งจะดูได้จากเลข 2 จากใน 6 ตัวแรก
• เลขลำดับที่ 7 และ 8 จะอยู่ในกลุ่ม FAC (Final Assembly Code) จะบ่งบอกถึงแหล่งผลิต หรือโรงงานที่ผลิตขึ้นมา บริษัทผู้ผลิตโทรศัพท์
• เลขลำดับที่ 9 ถึง 14 จะอยู่ในกลุ่ม SNR (Serial Number) จะเป็นรหัสซีเรียล หรือหมายเลขประจำของตัวเครื่องนั้น
• เลขลำดับที่ 15 จะอยู่ในกลุ่ม SP (Spare) จะเป็นเลขสำรองหลักสุดท้าย  ,เป็นค่าฟรี

• เช่นเลข IMEI  490154100837810 
• 490154 จะเป็นเลข TAC 
• 10 จะบ่งบอกแหล่งผลิต (ดูแหล่งผลิตตามตัวเลขตามในตาราง)

• 083781 เป็นหมายเลขซีเรียลตัวเครื่อง
• 0 เป็นเลขที่สำรองไว้ ส่วนมากจะเป็นเลข 0

ที่มา *ขอบคุณข้อมูลเพิ่มเติมจาก Cellular.co.za ,news.siamphone.com

  Credit:Cellebrite Reader Online 

 เลข IMEI มีไว้ทำไม? ประโยชน์หลักๆ ของเลข IMEI ที่เราสามารถพบเจอได้ในชีวิตประจำวันเลย นั้นคือการแสดงตัวตนของตัวเครื่องผ่านผู้ให้บริการเครือข่ายที่เราได้นำ SIM Card มาใช้งานนั้นเอง ซึ่งหลายๆ คนคงเคยได้ยินหรือพบเจอด้วยตนเอง ยามที่โทรศัพท์ สมาร์ทโฟน แฟบเล็ตเครื่องโปรด หรือของคนใกล้ชิดได้หายไป และสิ่งแรกที่ต้องทำคือการแจ้งหายไปยังผู้ให้บริการเครือข่ายในบ้านเรา

  พวกเขาก็จะทำการขอหมายเลข IMEI ไว้เพื่อช่วยในการค้นหา เมื่อยามที่เครื่องเปิดใช้งานนั้นเอง และในต่างประเทศบางประเทศนั้น ยังมีข้อบังคับให้ผู้ให้บริการเครือข่ายนั้นๆ ได้ระบุเลข IMEI ลงไปพร้อมกับชื่อของผู้ใช้งานทันทีที่มีการซื่อ-ขายเครื่องอีกด้วย เพื่อป้องกันการขโมยในภายหลัง และประโยชน์อีกอย่างที่ผู้ใช้งานในบ้านเรานิยมใช้กันก็คือ การนำเลข IMEI ไว้ตรวจดูหรือใช้เป็นหลักฐานในการซื้อ-ขายตัวเครื่อง

จะดูเลข IMEI ได้จากที่ไหนบ้าง?

Android

• จากข้างกล่อง
• กดหมายเลข *#06#
• จากเมนู Status ใน Setting
•  ตัวเครื่องใต้ฝาแบตฯ
•  โหลดแอป IMEI.info ทาง Play Store เลย แล้วเปิดแอปดูก็จะทราบหมายเลข IMEI เครื่อง
• ข้าไปที่เว็บไซต์ https://www.google.com/settings/dashboard จากนั้น Login ด้วยบัญชี Google แล้วเลือกในส่วน Android  แตะให้ลูกศรลงมา 

ซึ่งมีประโยชน์มากในกรณีมือถือ Android หายไป ถูกลืม ถูกขโมยไป ก็สามารถหาหมายเลย IMEI ที่ปรากฎในเว็บนี้ไว้แจ้งกับผู้ให้บริการเครือข่ายมือถือ ตลอดจนแจ้งที่สถานีตำรวจ เพื่อช่วยตรวจสอบต่อไป
 ที่มา *ขอบคุณข้อมูลเพิ่มเติมจาก Cellular.co.za ,news.siamphone.com

 blacklist checker  ท่านสามารถนำ IEMI ของโทรศัพท์ มาตรวจสอบว่าเป็นเครื่องโทรศัพท์ดังกล่าง ขโมยมาหรือโดนแจ้ง Blacklist    เข้าไปที่ https://imei24.com/blacklist_check/

1. *#06# เพื่อเรียกดู  IEMI ของโทรศัพท์

2.  ใส่หมายเลข ลงในช่อง และกด Check
 

3.  Clean แสดงรายละเอียด ว่า เรื่องนี้ไม่โดน Blacklist

4. กด Phone detail   เพื่อดูรายละเอียดของโทรศัพท์

 

 

ดูตัวอย่างงเพิ่มเติมได้ที่

#Computer Forensics
#digital forensics


สำคัญอย่างไรดูได้จาก
คดีความที่เกี่ยวกับ IEMI
https://bit.ly/2Dzt4KW
https://bit.ly/2B0Cjl1
https://bit.ly/2qGHXmp

  แนวทางสืบสวนคดีที่เกี่ยวข้องกับโทรศัพท์มือถือ

• หมายเลขโทรศัพท์มือถือ
• เอกสารข้อมูลการใช้โทรศัพท์ (CDR- Call Detail Records) จากผูั้ให้บริการโทรศัพท์เคลื่อนที่
• หมายเลขอีมี่ (IMEI)
• ผู้ใช้โทรศัพท์
• ข้อมูลจาก Cell Site  สถานีฐาน (Base Station : BS) หรืออาจเรียกว่าที่ตั้งเซลล์ (Cell Site) นั้นเป็นสถานที่ที่ติดตั้งเครื่องรับ-ส่งสัญญาณ เพื่อเชื่อมต่อสัญญาณวิทยุที่อยู่ระหว่างระบบสื่อสารแบบไร้สายและอุปกรณ์สื่อสารไร้สาย จำนวนของสถานีฐานเป็นปัจจัยที่จำเป็นมากสำหรับการสื่อสารแบบไร้สาย เพราะเซลล์แต่ละเซลล์บนเครือช่ายจะต้องส่งสัญญาณผ่านสถานีฐาน

 

หลักการทำงานของมันก็คือเมื่อเราใช้มือถือในพื้นที่นั้น ๆ  เครื่องมือถือของเราจะมีการ register (ลงทะเบียน) กับระบบของ Cell นั้น

โดยทางระบบคอมพิวเตอร์ของผู้ให้บริการ (dtac  true  AIS)  จะมีการบันทึกใว้ว่า  เบอร์ใด
เข้ามาใช้งานใน Cell site แห่งนั้นบ้าง  ซึ่งทางตำรวจก็สามารถขอข้อมูลนี้จากผู้ให้บริการได้
ว่าเบอร์นั้นได้อยู่ในพื้นที่ตามตำแหน่ง ID ของ Cell นั้นจริงหรือไม่ ?

ที่มา :
http://www3.truecorp.co.th/assets/files/files/MAC_TRUE_Smart_E.pdf
https://consumer.huawei.com/th/support/find-imei/
https://news.siamphone.com/news-19837.html
https://www.it24hrs.com/2016/6-ways-find-imei-android-device/
https://www.imei.info/?imei=353380072752081
http://www.imeipro.info/

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Digital Forensics:Data Carving using Foremost

Digital Forensics:Data Carving using Foremost

Foremost  คือ

Foremost เป็นเครื่องมือตัวหนึ่งที่ใช้สำหรับงานทางด้าน Digital Forensics 

ถูกพัฒนา  Jesse Kornblum และ Kris Kendallขึ้นโดยหน่วยงาน Air Force Office of Special Investigations และ  Defense Computer Forensics Lab's carvthis program ของอเมริกา ในปัจจุบัน Foremost ได้ถูกเผยแพร่ให้บุคคลทั่วไปได้นำไปใช้งาน ถึงแม้ในขั้นต้น จะถูกพัฒนาขึ้นเพื่อให้ใช้ สำหรับหน่วยงานบังคับใช้กฎหมายเป็นหลักก็ตาม แต่ด้วยประโยชน์หลากหลาย จึงถูกนำไปใช้ในด้านอื่นๆ ด้วย

Foremost เป็นโปรแกรมที่ทำงานแบบ command line ถูกพัฒนาขึ้นเพื่อใช้บน แพลตฟอร์ม Linux 

หรือเราจะติดตั้ง ให้สามารถใช้งานบน Windows ก็ได้ สำหรับ Foremost นั้น ถูกนำมาใช้ในการกู้ไฟล์คืนกลับมา โดยดูจากลักษณะ Headers, Footers และ โครงสร้างภายในของไฟล์ประเภทนั้นๆ มันสามารถกู้คืน filetypes เฉพาะรวมทั้ง jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, htm  โดยสามารถกำหนดค่า (โดยปกติจะอยู่ที่ /usr/local/etc/foremost.conf) ซึ่งสามารถใช้เพื่อกำหนดประเภทไฟล์เพิ่มเติม ซึ่งเราอาจเรียกการกู้ข้อมูลในลักษณะนี้ได้ว่าเป็นการทำ Data Carving

SIFT Workstation

สร้าง โฟรเดอร์ ชื่อ  Recove สำหรับเก็บไฟล์ฺ Output

Input & Output Folder

Type the following “foremost -t jpeg,doc -i Linux Financial Case.001 -o recove –v”.
พิมพ์คำสั่ง  #foremost -t jpeg,doc -i Linux Financial Case.001 -o recove –v



To break this down “-t” is setting the file types we want to carve out of the disk image, here those are .jpeg and .png.
-t คำสั่ง ชนิดของไฟล์ที่ต้องการค้นหา เช่น   jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc

“-i” is specifying the input file, the “Linux Financial Case.001” that is placed on the desktop.
-i คำสั่ง ระบุตำแหน่งของสำเนาหลักฐาน( forensic image   )  *.001 ,*.E01 ,*.raw ,*.dd

“-o” is telling Foremost where we want the carved files to be stored, for that we have the “recove” folder on the desktop that we made earlier.
-o คำสั่ง ระบุตำแหน่งโฟลเดอร์ปลายทาง (destination )ที่กู้ไฟล์มาได้  Output file


“-v” is to tell Foremost to log all the messages that appear on screen as the file is being carved into a text file in the output folder (recove) as an audit report.
-v คำสั่งให้แสดง Log report

เมื่อทำงานเสร็จจะแสดงรายละเอียดข้อมูลที่กุ้ได้

 ไฟล์ที่กู้ได้จะอยู่ในโฟรเดอร์ Recove  doc  และ JPG  และไฟล์ audit.txt

Out Put & Audit file

ไฟล์ JPEG ที่กู้ได้

 audit.txt  จะแสดงรายละเอียดของไฟล์ทั้งหมดที่กู้ได้

Foremost Report

Ref:
https://en.wikipedia.org/wiki/Foremost_(software)
https://www.forensicswiki.org/wiki/Foremost
https://bit.ly/2CTp9GU

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #DataRecovery