Saturday, May 27, 2017

Digital Forensics:Write blocker

Digital Forensics:Write blocker

บทความนี้จะเน้นพื้นฐานเกี่ยวกับการเก็บหลักฐานดิจิทัลที่ใช้ในการทำ Digital Forensics และเครื่องมือและอุปกรณ์ที่ใช้ในการเก็บหลักฐานดิจิทัล

Write blocker คือ

เป็นอุปกรณ์ป้องกันการเขียนทับข้อมูลต้นฉบับ มีหลายแบบ (Interface) ขึ้นอยู่กับการเชื่อมต่อกับสื่อ
บันทึกข้อมูลต้นฉบับที่ต้องการสำเนา เช่น USB, SATA, IDE, SCSI, SAS ในการใช้งานจะเชื่อมต่อกับ
คอมพิวเตอร์ผ่านพอร์ตต่าง ๆ ได้ เช่น USB, FireWire, eSATA ตัวอย่างเช่น Tableau และ Digital
Intelligence เป็นต้น
 
Tableau Forensic USB 3.0 Bridge


Write blocker PCIe

Write blocker หมายถึง ฮาร์ดแวร์หรือซอฟต์แวร์ที่มีความสามารถในการป้องกันการเขียนข้อมูลลงในสื่อบันทึกข้อมูล  (ที่มา:ข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน version1.0)

ใช้สำหรับเชื่อมต่อกับวัตถุพยานประเภทสื่อบันทึกข้อมูลดิจิทัล เช่น ฮาร์ดิดสก์ และหน่วยความจำแฟช เป็นต้น มีคุณสมบัติป้องกันการเปลี่ยนแปลงของหลักฐาน หรือเขียนทับข้อมูลดิจิทัลต้นฉบับสามารถรองรับมาตรฐานการเชื่อมต่อชนิด PATA ,SATA, SCSI หน่วยความจำแฟลชแบบ USB2.0,USB3.0 หรือ PCIe เป็นต้น เพื่อทำสำเนาข้อมูลไปยังเครื่องตรวจพิสูจน์หลักฐานคอมพิวเตอร์


A write blocker is a hardware or software tool used in digital forensics to prevent write operations (modifications) to storage devices such as hard drives, solid-state drives (SSDs), USB drives, and memory cards.

Here's how it works:

  • Hardware Write Blocker: This type of write blocker is a physical device that sits between the storage device and the forensic workstation. It intercepts all write commands issued by the computer to the storage device, effectively blocking any attempts to modify the data on the device. Hardware write blockers typically have multiple interfaces to accommodate different types of storage devices and are often used in conjunction with forensic imaging software to create forensic copies (images) of storage devices without altering the original data.
  • Software Write Blocker: This type of write blocker is a software application or driver installed on the forensic workstation. It intercepts write commands issued by the operating system to the storage device and prevents them from being executed. Software write blockers are commonly used when hardware write blockers are not available or practical, such as when analyzing storage devices connected via network or virtual machines.
Write blockers are essential tools in digital forensics because they help preserve the integrity of the original evidence by preventing accidental or intentional modifications to the data on storage devices. They ensure that forensic investigators can acquire a forensically sound copy of the data without altering the original evidence, which is crucial for maintaining the admissibility and reliability of the evidence in legal proceedings.

Forensic Data Acquisition - Hardware Write Blockers


Cerdit:DFIR.Science youtube
Forensic evangelist Jeff Hedlesky presents the very latest in forensic duplication and write-blocking technologies. Whether you are a Tableau user who wants to hear about the latest equipment available, or just looking for intel on the most advanced new duplicators and write-blockers in the forensic technology market, this webinar will give you the facts you need.
In this webinar, you’ll learn:
  • How the new Tableau TD3 complements TD2 with advanced networking imaging, remote triage capability, and more
  • How the Tableau T35u proves to be the fastest portable SATA/IDE write-blocker available today
  • The latest methods and tools for performing fast duplications and remote acquisitions – and one with no signal cables required


ที่มา:https://www.guidancesoftware.com/
ข้อเสนอแนะมาตรฐาน การจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน
 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud  #Cyber Forensic เบื้องต้น  #digitalforensics เบื้องต้น #digital forensics สำหรับเจ้าหน้าที่พิสูจน์หลักฐาน #4N6 #เครื่องมือ Cyber Forensic #computer forensics  เจ้าหน้าที่พิสูจน์หลักฐาน #ตรวจพิสูจน์หลักฐานอาชญากรรมคอมพิวเตอร์ 

at No comments:
Labels:

Saturday, May 20, 2017

Digital Forensics:Mail Transfer Agent

Digital Forensics:Mail Transfer Agent


การส่งอีเมล 
เมื่อผู้ใช้เขียนอีเมลโดยใช้โปรแกรมรับส่งอีเมล เช่น Microsoft OutlookEudora หรือผ่านเว็บเมล เมื่อกดส่งอีเมล ไคลเอนท์จะติดต่อกับเครื่องเซิร์ฟเวอร์ โดยใช้โพรโทคอล SMTP (Simple Mail Transport Protocol) อีเมลจะถูกส่งมาเก็บยังเครื่องเมลเซิร์ฟเวอร์ จัดเก็บลงในคิว เพื่อรอการจัดส่งต่อไป การทำงานนี้อาจจะเรียกอีกอย่างว่า การส่งเมล
การแลกเปลี่ยนอีเมลระหว่างเอ็มทีเอ 
อีเมลที่ผู้ใช้ส่งมายังเซิร์ฟเวอร์ จะถูกจัดการโดยโปรแกรมแลกเปลี่ยนอีเมล (MTA: Mail Transport Agent) โดยอ่านที่อยู่อีเมลปลายทาง และนำโดเมนปลายทางไปตรวจสอบกับเนมเซิร์ฟเวอร์ (Name Server) เพื่อหาว่าเมลเซิร์ฟเวอร์ใดเป็นเมลเซิร์ฟเวอร์ที่ให้บริการโดเมนปลายทาง จากนั้นจะติดต่อไปยังเครื่องเมลเซิร์ฟเวอร์นั้น และส่งเมลไปยังเมลเซิร์ฟเวอร์ปลายทางโดยใช้โพรโทคอล SMTP เพื่อรอให้ผู้ใช้ปลายทางมารับเอาอีเมลฉบับนี้ไป
การรับอีเมล 
ผู้ใช้ปลายทางสามารถรับอีเมลได้โดยผ่านโปรแกรมรับส่งอีเมล หรือเว็บเมล โดยโปรแกรมจะติดต่อมายังเครื่องเมลเซิร์ฟเวอร์ แล้วส่งชื่อผู้ใช้และรหัสผ่าน เมื่อเมลเซิร์ฟเวอร์ตรวจสอบว่า ชื่อผู้ใช้และรหัสผ่านถูกต้อง ก็จะอนุญาตให้ผู้ใช้คนนั้นรับอีเมลได้ โพรโทคอลที่ใช้ในการรับอีเมลนี้ เช่น POP3 หรือ IMAP4


ส่วนประกอบการทํางานของการรับส่งข้อความ (Messaging) มีส่วนประกอบสําคัญดังต่อไปนี
 • MTA (Mail Transfer Agent) เปรียบได้กับที ทําการไปรษณีย์ (Post Office) โดย ทําหน้าที ในการส่งอีเมลไปยังปลายทาง (Destination) ตามที อยู่ของผู้รับที ปรากฏบนอีเมล ซึง ปลายทางนั้นๆ คือ MTA อื นๆ โดยจะใช้ SMTP เป็นโปรโตคอลในการสือสารระหว่าง MTA ด้วยกัน โปรแกรมที่ทําหน้าที่เป็น MTA ได้แก่โปรแกรม Postfix, Qmail, Sendmail 

MUA (Mail User Agent) หมายถึงโปรแกรมทีทําหน้าทีเป็นตัวกลางระหว่าง ผู้ใช้งานอีเมลกับระบบสือสารด้วยอีเมล ซึงก็คือโปรแกรมประเภทเมลไคลแอนต์ทีเรารู้จัก โดยทัวไป เช่น Outlook Express เป็นต้น โดยโปรแกรมเหล่านีจะทําหน้าทีติดต่อระหว่าง ผู้ใช้งานกับเมลบ็อกซ์ทีเครืองเซิร์ฟเวอร์ โดยผ่านโปรโตคอลทีมีชือเรียกว่า IMAP หรือ POP และทําหน้าทีส่งอีเมลโดยติดต่อกับเมล์เซิร์ฟเวอร์ผ่านโปรโตคอล SMTP

 MDA (Mail Delivery Agent) เป็นโปรแกรมทีทําหน้าทีจัดส่งอีเมลไปสู่ส่วนต่างๆ ใน ระบบ หรือควบคุมทิศทางการไหลเวียนของอีเมล์ในระบบ นอกจากนันหาก MDA นีทํางานอยู่ ภายในเมลเซิร์ฟเวอร์ทีเป็นเมลเซิร์ฟเวอร์ในเครือข่ายท้องถิน (Local MTA) โปรแกรม MDA นี จะทําหน้าทีเขียนอีเมลลงสู่เมลบ็อกซ์ของแต่ละยูสเซอร์ หลังจากที MTA ได้รับอีเมลเข้ามา โดย จะมาจากเครือข่ายเดียวกันหรือเครือข่ายอืน นอกจากนี MDA ยังมีความสามารถในส่วนของ การกรองอีเมลได้อีกด้วย โปรแกรมทีทําหน้าทีเป็น MDA ได้แก่ Procmail, Maildrop Postfix จะ มีโมดูลทีทําหน้าทีในการเขียนอีเมลลงเมลบ็อกซ์ในตัวเอง โดยทีไม่จําเป็นต้องใช้ MDA ตัวอืน แต่ในกรณีทีต้องการความสามารถพิเศษมากขึน เช่น การกรองหรือคัดแยกอีเมล์จําเป็นต้อง จัดการให้ MDA ทําหน้าทีร่วมด้วย



https://pdfs.semanticscholar.org/8625/a3b17d199e5cabbb796bad0df56a7979c77c.pdf


Cradit:
TECHNIQUES AND TOOLS FOR FORENSIC INVESTIGATION OF E-MAIL
Email-forensics-investigation-techniques
mail-transfer-agent/
http://www.nextproject.net/contents/?00037



หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud
at No comments:
Labels:

Saturday, May 13, 2017

Digital Forensics:Free Automated Malware Analysis Sandboxes and Services

Digital Forensics:Free Automated Malware Analysis Sandboxes and Services

In the malware analysis course I teach at SANS Institute, I explain how to reverse-engineer malicious software in your own lab. It’s a useful skill for incident responders and security practitioners; however, analyzing all software in this manner is impractical without some automated assistance. Malware analysis sandboxes save time and help with triage. They provide an overview of the specimen’s capabilities, so that analysts can decide where to focus their follow-up efforts:

  • IRIS-H (focuses on document files)

Refer:

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #MalwareForensics
at No comments:
Labels:

Wednesday, May 10, 2017

DIGITAL FORENSICS:digital footprints from IOT

DIGITAL FORENSICS:digital footprints from iot devices for investigations

เมื่อการเก็บหลักฐานจากอุปกรณ์ IoT จะกลายเป็นอนาคตของการสืบสวนและการทำ Digital Forensics

ความแพร่หลายของอุปกรณ์ Internet of Things (IoT) นั้นเติบโตขึ้นเรื่อยๆ จน IoT ได้เข้าไปมีส่วนในชีวิตประจำวันของแต่ละคนแล้ว และในวงการตำรวจเองก็เริ่่มมีแนวโน้มในการตรวจสอบและเก็บหลักฐานทาง Digital จากอุปกรณ์ IoT กันมากขึ้นเรื่อยๆ ในหลากหลายแง่มุมที่คุณอาจไม่เคยคิดถึงกันมาก่อน
securityintelligence
ระบบ Smart Home ที่ทำให้การใช้ชีวิตอยู่ภายในบ้านนั้นกลายเป็นเรื่องที่สะดวก อัตโนมัติ และเป็นอัจฉริยะ ได้กลายเป็นช่องทางใหม่สำหรับเหล่าตำรวจในการสืบสวนคดีอาชญากรรมเพิ่มเติม ไม่ว่าจะเป็นการตรวจสอบเหตุการณ์ต่างๆ ที่เกิดขึ้นภายในบ้านในยามเกิดเหตุได้ย้อนหลัง ทั้งจากการตรวจจับของ Sensor ที่พบว่ามีคนเข้ามาอยู่ในบ้าน, การเปิดหรือปิดอุปกรณ์ต่างๆ, อุณหภูมิในแต่ละห้อง, เวลาและตำแหน่งของบุคคลต่างๆ ในยามเกิดเหตุ และอื่นๆ อีกมากมาย ซึ่งแง่มุมเหล่านี้ไม่เคยปรากฎให้เห็นมาก่อนในอดีต
VectorStock
นอกจากนี้เหล่าอุปกรณ์ IoT เองก็ยังมีแนวโน้มที่จะถูกติดตั้งมาพร้อมกับระบบกล้องวงจรปิดมากขึ้นเรื่อยๆ ทั้งเพื่อเหตุผลด้านความปลอดภัย และการต่อยอดด้วยเทคโนโลยี Computer Vision เพื่อให้อุปกรณ์ IoT เหล่านั้นสามารถมองเห็นได้ และข้อมูลเหล่านี้เองที่จะกลายเป็นประโยชน์ต่อการสืบสวนในหลากหลายคดีเป็นอย่างมาก รวมถึงการติดตามการใช้ทรัพยากรต่างๆ ได้ภายในที่พักอาศัยเองก็อาจจะกลายเป็นหลักฐานที่น่าสนใจ เช่น หากพบจากระบบ Smart Meter ว่ามีการใช้น้ำเป็นปริมาณมากในระหว่างเกิดเหตุอาชญากรรม ก็อาจนำไปสู่การสันนิษฐานถึงความพยายามในการใช้น้ำชำระล้างหลักฐานในขณะเกิดเหตุได้ เป็นต้น
IOT
อุปกรณ์ Smart Home Hub ที่สามารถรับคำสั่งจากเสียงได้นั้นก็ถือเป็นอีกหนึ่งอุปกรณ์ที่น่าสนใจในแง่ของการเก็บหลักฐาน เนื่องจากอุปกรณ์เหล่านี้จะทำการตรวจจับเสียงทั้งหมดที่เกิดขึ้นเพื่อนำมาวิเคราะห์รูปประโยคและค้นหาข้อมูลหรือทำตามคำสั่งอยู่เสมอ ดังนั้นหากมองในมุมของการสืบสวนแล้วอุปกรณ์เหล่านี้ก็คือแหล่งบันทีกหลักฐานในรูปของเสียงได้เป็นอย่างดี

ไม่เพียงแต่อุปกรณ์ Smart Home เท่านั้น แต่อุปกรณ์ IoT ต่างๆ ไม่ว่าจะเป็น Wearable Device หรือ Driverless Car และอื่นๆ นั้นต่างก็มีแนวโน้มว่าจะมีบทบาทสำคัญสำหรับการเป็นหลักฐานในการสืบสวนคดีต่างๆ กันมากขึ้นเรื่อยๆ ด้วยข้อมูลเชิงลึกที่ไม่เคยมีการตรวจสอบได้มาก่อนในอดีต เช่น อัตราการเต้นของหัวใจของเหยื่อ, กิจกรรมต่างๆ ที่เกิดขึ้นในระหว่างที่เกิดเหตุ, การยืนยันตำแหน่งของบุคคลในขณะเกิดเหตุ และอื่นๆ อีกมากมาย
อย่างไรก็ดี ประเด็นทางด้านความเป็นส่วนตัวของข้อมูลนั้นก็ยังเป็นเรื่องที่ต้องถกเถียงกันในกรณีนี้ เพราะโดยทั่วไปแล้วอุปกรณ์ IoT นั้นนอกจากจะมีการเก็บข้อมูลบางส่วนเอาไว้ภายในตัวอุปกรณ์เองแล้ว ก็ยังอาจมีการส่งข้อมูลขึ้นไปบนระบบ Cloud เพื่อทำการจัดเก็บหรือประมวลผลข้อมูลด้วยเช่นกัน ซึ่งในมุมของผู้ให้บริการ Cloud หรือผู้พัฒนา IoT Solution นั้น การออกแบบระบบให้ผู้อื่นนอกเหนือจากเจ้าของระบบไม่สามารถเข้าถึงข้อมูลเหล่านี้ได้ถือเป็นแนวคิดพื้นฐานในการจัดการทางด้าน Data Privacy ดังนั้นเราก็อาจพบกับกรณีที่เจ้าหน้าที่ตำรวจทำการร้องขอข้อมูลไปยังผู้ให้บริการเหล่านี้และถูกปฏิเสธได้เช่นกัน คล้ายกับกรณีที่เจ้าหน้าที่ตำรวจขอดูข้อมูล Chat ภายในระบบที่ทำการเข้ารหัสไว้ และผู้ให้บริการก็ไม่อาจให้ข้อมูลเหล่านั้นได้ ไม่ว่าจะเป็นเพราะเพื่อรักษาความเป็นส่วนตัวของผู้ใช้บริการทุกรายอย่างเท่าเทียมกัน หรือเทคโนโลยีนั้นถูกออกแบบมาให้แม้แต่ผู้ให้บริการก็ไม่สามารถเปิดอ่านข้อความเหล่านั้นได้ก็ตามที

ประเด็นเหล่านี้ก็ถือว่าน่าสนใจทีเดียว และวงการ Digital Forensics เองหลังจากนี้ก็คงมีความกว้างและหลากหลายมากขึ้นยิ่งกว่าแต่ก่อนมากทีเดียวครับ

ข้อมูลจาก techtalkthai January 3, 2017
อ้างอิง: http://www.networkworld.com/article/3154064/security/cops-to-increasingly-use-digital-footprints-from-iot-devices-for-investigations.html

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #IOT #InternetofThings

at No comments:
Labels:
Subscribe to: Posts (Atom)

DIGITAL FORENSICS: BINWALK CTF

 DIGITAL FORENSICS: BINWALK CTF วันนี้แอดมาแนะนำหลักสูตร ด้านความมั่นคงปลอดภัยไซเบอร์ (Basic Cyber security) สำหรับผู้เริ่มต้นศึกษามี Lab ให...

  • Digital Forensics: ค่าแฮช (hash value)
    Digital Forensics: ค่าแฮช (hash value) ค่า hash คือ ค่าแฮช (hash value) คือ  เกิดจาก วิธีการที่ทำให้ข้อมูลย่อลงแต่มีลักษณะจำเพาะของข้อ...
  • Digital Forensics: Chain of Custody
    Digital Forensics: Chain of Custody Chain of custody คือ Chain of custody คือขบวนการในการปฏิบัติงานกับพยานหลักฐาน ในกรณีของการพิสูจน์ห...
  • Digital Forensics:Digital Forensic คือ
    Digital Forensics: Digital Forensic คือ What is Digital Forensics ?  What is Digital Forensics การพิสูจน์หลักฐานทางดิจิทัล...