DIGITAL FORENSICS: BitLocker how to image
เครื่องมือที่ใช้ทดสอบ BitLocker Drive Encryption
- Flash Drive Kingston DataTraveler 3.0 USB 16 GB
- FTK Imager
- EnCase
Bitlocker encrypted
CF-DFE-FD001.E01 >Decrypted > Forensic Disk image
CF-DFE-FD001.1.E01 >Encrypted > Forensic Disk image
CF-DFE-FD001.2.E01 >Decrypted >Logical Drive > Forensic Disk image
วัตถุประสงค์
Compare Hash value Bitlocker encrypted on Windows
- เปรียบเทียบค่า hash ของ Disk Image ที่ Encrypted กับ ค่า hash ของ Disk Image ที่ Decryption โดยใช้ Bitlocker บนอุปกรณ์ Flash Drive Kingston DataTraveler 3.0 USB 16 GB
- วิธีการจัดการเมื่อต้องทำ Forensic Image บน Disk ที่มีการทำ Encrypted with Bitlocker
|
Encrypted |
|
Decryption |
1.CF-DFE-FD001.E01 > Decrypted > Forensic Disk image
1.1 ทำการเปิดการทำงาน Bitlocker Drive Encryption ที่ Drive F:
1.2. ทำการ Decryption Drive F:
1.3. ทำการสร้าง Create Disk Image แบบ Physical Drive
|
Create Disk Image > Physical Drive |
\\PHYSICALDRIVE-Kingston Data traveler 3.0 USB Device
|
Physical Drive |
1.4. ตั้งชื่อ Case CF-DFE-FD0001.E01
1.5. ข้อมูลที่ถอดรหัส (
Decryption) ก่อนการทำ Disk Image ได้ค่า hash
ชื่อไฟล์ CF-DFE-FD001.E01
Image Verification Results:
Verification started: Mon Jun 17 17:02:14 2019
Verification finished: Mon Jun 17 17:07:00 2019
MD5 checksum: a67c13873e1540223d3e45700600d4f7 : verified
SHA1 checksum: ca5048f63fdff8f5f86ed88ddba8abba08d1d058 : verified
|
Hash Value |
1.6. เมื่อทำการดูข้อมูลที่โดนเข้ารหัส Bitlocker Encrypted ไม่สามารถอ่านข้อมูลได้เนื่องจากข้อมูลโดนเข้ารหัสไว้ CF-DFE-FD001.E01
|
CF-DFE-FD001.E01 |
2. CF-DFE-FD001.1.E01 >Encrypted > Forensic Disk image
2.1. ทำการ เข้ารหัส Encryption ดังรูป
|
Encryption |
2.2. ทำการสร้าง Create Disk Image แบบ Physical Drive
\\PHYSICALDRIVE1
|
Physical Drive |
2.3. ตั้งชื่อเคส Case CF-DFE-FD0001.1.E01
2.4.ค่า hash ที่ได้จากการทำ Disk Image ที่ถูกเข้ารหัสไว้
Image Verification Results:
ชื่อไฟล์ CF-DFE-FD001.1.E01
Verification started: Mon Jun 17 17:31:23 2019
Verification finished: Mon Jun 17 17:36:13 2019
MD5 checksum: 958b6973f1285f982cfc6f0dd94cc48e : verified
SHA1 checksum: 64f9f68d8f7cd872a583f171243fbda5ada47706 : verified
2.5. เมื่อเปิด Image file CF-DFE-FD001.1.E01 ทำการดูข้อมูลที่โดนเข้ารหัส Bitlocker Encrypted ไม่สามารถอ่านข้อมูลได้เนื่องจากข้อมูลโดนเข้ารหัสไว้
|
Bitlocker Encrypted |
3. CF-DFE-FD001.2.E01 >Decrypted >Logical Drive > Forensic Disk image
3.1 ทดสอบการทำ Forensic Image แบบ Logical Drive เลือก Source Select Form Drive F:
|
Logical Drive F: |
3.2 ตั้งชื่อเคส CaseCF-DFE-FD001.2.E01
|
Create Image |
3.3 ค่า hash ที่ได้จากการทำ Disk Image แบบ Logical Drive
Image Verification Results:
ชื่อไฟล์ CF-DFE-FD001.2.E01
Verification started: Mon Jun 17 18:25:14 2019
Verification finished: Mon Jun 17 18:30:01 2019
MD5 checksum: 0bce6c29c07b3850495f9fdbfbd15696 : verified
SHA1 checksum: 9a36f1e6ea6f2b19a7dd92a0325b823bee9f12ed : verified
- เมื่อทำการดูข้อมูล จาก Disk Image ที่ทำแบบ Logical Drive สามารถอ่านข้อมูลได้เนื่องจากข้อมูลไม่โดนเข้ารหัส
อ้างอิง: ข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน
ข้อที่ 2 หากพบคอมพิวเตอร์เปิดทำงานอยู่ให้ดำเนินการตามแนวทางดังนี้
ข้อที่ 2.9 หากพบซอฟต์แวร์เข้ารหัสลับข้อมูล (Encryption) ติดตั้งอยู่ หรือสันนิษฐานว่าอาจมีการเข้ารหัสลับฮาร์ดดิสก์ ให้ทำสำเนาข้อมูลแบบ Logical ตามข้อ 5.3.1.4 (2) เนื่องจากสำเนาข้อมูลที่ได้จะไม่ถูกเข้ารหัสลับ ก่อนที่จะปิดเครื่องคอมพิวเตอร์ และให้สอบถามรหัสผ่านจากเจ้าของข้อมูล
4. การเปิด forensic image file ทีเข้ารหัส BitLocker Encryption โดยใช้โปรแกรม EnCase
4.1 เมื่อใช้โปแกรม Encase เปิด Image file CF-DFE-FD0001.1.E01 จะพบว่าข้อมูลถูกเข้ารหัสไว้ BitLocker Encryption
|
BitLocker Encryption |
4.2 ทำการ rescan Image file จะมีหน้าต่างแสดงให้ใส่ BitLocker Recovery Key
4.3 ใส่ 524865-631323-508673-501765-491491-518881-423874-275022 ในช่อง Recovery password
|
Recovery password |
|
BitLocker Recovery Key |
Recovery Key
เมื่อใช้ใส่ BitLocker Recovery Key แล้วจะเห็นข้อมูลที่ถูก Decryption แล้ว
|
BitLocker Recovery Key |
ดังนั้นคุณต้องการ export คีย์ recovery key BitLocker Encryption
เตรียมไว้ก่อนทำ forensic image ทุกครั้ง และอย่าลืมเก็บคีย์กู้คืน recovery key แยกต่างหาก
สรุปการทดสอบ
- การทำ Forensic Image บน Disk ที่เข้ารหัส Bitlocker Encrypted ค่า hash จะต่างกับ Disk ที่ถอดรหัสแล้ว บน disk ลูกเดียวกัน
|
COMPARE HASH VALUE
|
CF-DFE-FD001.E01 >Decrypted > Forensic Disk image
MD5 checksum: a67c13873e1540223d3e45700600d4f7
SHA1 checksum: ca5048f63fdff8f5f86ed88ddba8abba08d1d058
CF-DFE-FD001.1.E01 >Encrypted > Forensic Disk image
MD5 checksum: 958b6973f1285f982cfc6f0dd94cc48e
SHA1 checksum: 64f9f68d8f7cd872a583f171243fbda5ada47706
- ในกรณีไม่พบ recovery key ของ bitlocker ของเครื่องคอมพิวเตอร์หลักฐาน เมื่อทำ Forensic Image ได้ไฟล์ *.Raw,*.e01 จะไม่สามารถนำมาวิเคราะห์ได้
- ในกรณีเครื่องคอมพิวเตอร์เปิดไว้และไม่พบ recovery key ของ bitlocker ให้ทำ Forensic disk Image แบบ logical Drive แทน เนื่องจากหากเครื่องคอมพิวเตอร์ shutdown จะไม่สามารถเปิดข้อมูลได้เนื่องจาก ไม่มี recovery key ของ bitlocker
- ในกรณีเครื่องคอมพิวเตอร์เปิดไว้และไม่พบ recovery key ของ bitlocker ให้ใช้เครื่องมือสำหรับ Forensic Disk Decryptor หรือ Recovery key scan หาใน memory และในส่วนอื่นๆของเครื่องคอมพิวเตอร์
หมายเหตุ:
* หากคุณต้องทำ Forensic image แบบ .E01 ที่มีการเข้ารหัสโดย BitLocker คุณสามารถใช้โปรแกรม EnCase > Decryption + recovery key เพื่อเปิดไฟล์ จะมีข้อความแจ้งให้ขอคีย์การกู้คืน BitLocker หรือใช้รหัสผ่าน
ดังนั้นคุณต้อง export คีย์ recovery key BitLocker เตรียมไว้ก่อนทำ forensic image ทุกครั้ง และอย่าลืมเก็บคีย์กู้คืน recovery key แยกต่างหาก
|
EnCase Decryption Suite
|
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud