Saturday, June 17, 2017

DIGITAL FORENSICS: BitLocker how to image

DIGITAL FORENSICS: BitLocker  how to image

เครื่องมือที่ใช้ทดสอบ  BitLocker Drive Encryption

  • Flash Drive Kingston DataTraveler 3.0 USB  16 GB
  • FTK Imager
  • EnCase 
  • Bitlocker encrypted

  • CF-DFE-FD001.E01    >Decrypted > Forensic Disk image 
  • CF-DFE-FD001.1.E01 >Encrypted > Forensic Disk image 
  • CF-DFE-FD001.2.E01 >Decrypted >Logical Drive > Forensic Disk image 
วัตถุประสงค์

Compare Hash value Bitlocker encrypted on Windows

  • เปรียบเทียบค่า hash ของ Disk Image  ที่ Encrypted  กับ ค่า  hash ของ Disk Image  ที่ Decryption  โดยใช้  Bitlocker  บนอุปกรณ์ Flash Drive Kingston DataTraveler 3.0 USB  16 GB
  • วิธีการจัดการเมื่อต้องทำ Forensic Image  บน Disk  ที่มีการทำ Encrypted  with Bitlocker 
  
Encrypted
Decryption


1.CF-DFE-FD001.E01  > Decrypted > Forensic Disk image 

1.1 ทำการเปิดการทำงาน  Bitlocker Drive Encryption ที่ Drive F: 


1.2. ทำการ  Decryption Drive F: 
1.3. ทำการสร้าง Create Disk Image  แบบ Physical Drive

Create Disk Image > Physical Drive
\\PHYSICALDRIVE-Kingston Data traveler 3.0 USB Device
Physical Drive
1.4. ตั้งชื่อ Case CF-DFE-FD0001.E01


1.5. ข้อมูลที่ถอดรหัส (Decryption) ก่อนการทำ Disk Image   ได้ค่า hash
 ชื่อไฟล์ CF-DFE-FD001.E01
 Image Verification Results:
 Verification started:  Mon Jun 17 17:02:14 2019
 Verification finished: Mon Jun 17 17:07:00 2019
 MD5 checksum:    a67c13873e1540223d3e45700600d4f7 : verified
 SHA1 checksum:   ca5048f63fdff8f5f86ed88ddba8abba08d1d058 : verified

Hash Value
1.6. เมื่อทำการดูข้อมูลที่โดนเข้ารหัส Bitlocker Encrypted  ไม่สามารถอ่านข้อมูลได้เนื่องจากข้อมูลโดนเข้ารหัสไว้ CF-DFE-FD001.E01
CF-DFE-FD001.E01

2. CF-DFE-FD001.1.E01 >Encrypted > Forensic Disk image 

2.1. ทำการ เข้ารหัส  Encryption ดังรูป

Encryption
2.2. ทำการสร้าง Create Disk Image แบบ Physical Drive
\\PHYSICALDRIVE1
Physical Drive

2.3. ตั้งชื่อเคส Case CF-DFE-FD0001.1.E01


2.4.ค่า hash  ที่ได้จากการทำ Disk Image  ที่ถูกเข้ารหัสไว้
Image Verification Results:
 ชื่อไฟล์ CF-DFE-FD001.1.E01
 Verification started:  Mon Jun 17 17:31:23 2019
 Verification finished: Mon Jun 17 17:36:13 2019
 MD5 checksum:    958b6973f1285f982cfc6f0dd94cc48e : verified
 SHA1 checksum:   64f9f68d8f7cd872a583f171243fbda5ada47706 : verified

2.5. เมื่อเปิด Image file CF-DFE-FD001.1.E01 ทำการดูข้อมูลที่โดนเข้ารหัส Bitlocker Encrypted  ไม่สามารถอ่านข้อมูลได้เนื่องจากข้อมูลโดนเข้ารหัสไว้

Bitlocker Encrypted



3. CF-DFE-FD001.2.E01 >Decrypted >Logical Drive > Forensic Disk image 

 3.1 ทดสอบการทำ Forensic Image  แบบ Logical Drive  เลือก Source Select Form Drive F:

Logical Drive F:

3.2 ตั้งชื่อเคส CaseCF-DFE-FD001.2.E01
Create Image
3.3 ค่า hash  ที่ได้จากการทำ Disk Image  แบบ Logical Drive 
Image Verification Results:
ชื่อไฟล์ CF-DFE-FD001.2.E01
 Verification started:  Mon Jun 17 18:25:14 2019
 Verification finished: Mon Jun 17 18:30:01 2019
 MD5 checksum:    0bce6c29c07b3850495f9fdbfbd15696 : verified
 SHA1 checksum:   9a36f1e6ea6f2b19a7dd92a0325b823bee9f12ed : verified

  • เมื่อทำการดูข้อมูล จาก Disk Image ที่ทำแบบ Logical Drive สามารถอ่านข้อมูลได้เนื่องจากข้อมูลไม่โดนเข้ารหัส

อ้างอิง: ข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน
ข้อที่ 2 หากพบคอมพิวเตอร์เปิดทำงานอยู่ให้ดำเนินการตามแนวทางดังนี้
ข้อที่ 2.9  หากพบซอฟต์แวร์เข้ารหัสลับข้อมูล (Encryption) ติดตั้งอยู่ หรือสันนิษฐานว่าอาจมีการเข้ารหัสลับฮาร์ดดิสก์ ให้ทำสำเนาข้อมูลแบบ Logical ตามข้อ 5.3.1.4 (2) เนื่องจากสำเนาข้อมูลที่ได้จะไม่ถูกเข้ารหัสลับ ก่อนที่จะปิดเครื่องคอมพิวเตอร์ และให้สอบถามรหัสผ่านจากเจ้าของข้อมูล

4. การเปิด forensic image file ทีเข้ารหัส BitLocker Encryption โดยใช้โปรแกรม EnCase

4.1 เมื่อใช้โปแกรม Encase  เปิด Image file  CF-DFE-FD0001.1.E01  จะพบว่าข้อมูลถูกเข้ารหัสไว้ BitLocker Encryption
BitLocker Encryption
4.2 ทำการ rescan Image file  จะมีหน้าต่างแสดงให้ใส่ BitLocker Recovery Key

4.3  ใส่ 524865-631323-508673-501765-491491-518881-423874-275022  ในช่อง Recovery password

Recovery password
BitLocker Recovery Key

Recovery Key

  เมื่อใช้ใส่ BitLocker Recovery Key แล้วจะเห็นข้อมูลที่ถูก Decryption แล้ว
BitLocker Recovery Key
  ดังนั้นคุณต้องการ export คีย์ recovery  key  BitLocker Encryption เตรียมไว้ก่อนทำ forensic image ทุกครั้ง และอย่าลืมเก็บคีย์กู้คืน recovery  key แยกต่างหาก


สรุปการทดสอบ
  • การทำ Forensic Image  บน Disk ที่เข้ารหัส Bitlocker Encrypted  ค่า  hash  จะต่างกับ Disk ที่ถอดรหัสแล้ว  บน disk ลูกเดียวกัน

COMPARE HASH VALUE

CF-DFE-FD001.E01    >Decrypted > Forensic Disk image 
 MD5 checksum:    a67c13873e1540223d3e45700600d4f7
 SHA1 checksum:   ca5048f63fdff8f5f86ed88ddba8abba08d1d058

CF-DFE-FD001.1.E01 >Encrypted > Forensic Disk image 
 MD5 checksum:    958b6973f1285f982cfc6f0dd94cc48e
 SHA1 checksum:   64f9f68d8f7cd872a583f171243fbda5ada47706

  • ในกรณีไม่พบ recovery key  ของ bitlocker ของเครื่องคอมพิวเตอร์หลักฐาน เมื่อทำ Forensic Image ได้ไฟล์ *.Raw,*.e01 จะไม่สามารถนำมาวิเคราะห์ได้
  • ในกรณีเครื่องคอมพิวเตอร์เปิดไว้และไม่พบ recovery key  ของ bitlocker ให้ทำ Forensic disk Image  แบบ logical Drive แทน เนื่องจากหากเครื่องคอมพิวเตอร์ shutdown  จะไม่สามารถเปิดข้อมูลได้เนื่องจาก ไม่มี  recovery key  ของ bitlocker 
  • ในกรณีเครื่องคอมพิวเตอร์เปิดไว้และไม่พบ recovery key  ของ bitlocker ให้ใช้เครื่องมือสำหรับ Forensic Disk Decryptor หรือ  Recovery key  scan หาใน memory และในส่วนอื่นๆของเครื่องคอมพิวเตอร์

หมายเหตุ:

* หากคุณต้องทำ Forensic image แบบ .E01 ที่มีการเข้ารหัสโดย BitLocker   คุณสามารถใช้โปรแกรม EnCase > Decryption + recovery  key    เพื่อเปิดไฟล์ จะมีข้อความแจ้งให้ขอคีย์การกู้คืน  BitLocker หรือใช้รหัสผ่าน 

ดังนั้นคุณต้อง export คีย์ recovery  key  BitLocker  เตรียมไว้ก่อนทำ forensic image ทุกครั้ง และอย่าลืมเก็บคีย์กู้คืน recovery  key แยกต่างหาก 

EnCase Decryption Suite


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud



Thursday, June 15, 2017

Digital Forensics: XRY Mobile Forensics

Digital Forensics: อุปกรณ์ XRY Mobile Forensics

ปัจจุบันอุปกรณ์สื่อสารเคลื่อนที่มีผุ้ใช้งานมาก ซึ่งถูกนำมาใช้เป็นเครื่องมือในการก่ออาชญกรรมได้ง่าย เนื่องจากเป็นอุปกรณ์ที่สามารถ ปกปิก และซ่อนได้ง่าย จึงมีความจำเป็นต้องมีเครื่องมือทางนิติวิทยาศาสตร์เฉพาะสำหรับเก็บหลักฐานและตรวจพิสูจน์โดยเฉพาะ

สำหรับภารกิจในงานตรวจพิสูจน์การสื่อสาร โทรศัพท์เครื่องที่ ปัจจุบันมีเครื่องมือที่ใช้ในการตรวจพิสูจน์ทางโทรศัพท์เครื่องที่ Mobile Phone เช่น

XRY Mobile Forensics คือ อุปกรณ์ตรวจพิสูจน์ สืบค้นพยานทางดิจิทัลจากเครื่องโทรศัพท์มือถือ การ์ดหน่วยความจำ และอุปกรณ์พกพา

Forensic Imaging & DATA Extraction

XRY Mobile Forensics

อุปกรณ์เก็บข้อมูลทางโทรศัพท์เคลือนที่  XRY Mobile Forensics

คุณสมบัติ
  •  มีความสามารถรองรับโทรศัพท์เคลื่อนที่หลายรุ่น
  •  มีความสามารถในการอ่านข้อมูลจาก SIM card Reader
  •  มีความสามารถในการทำสำเนาข้อมูลจาก SIM card Cloning
  •  มีความสามารถในการกู้คืนข้อมูลที่ถุกลบไปแล้วจาก SIM card เช่น Contacts, SMS
  •  มีความสามารถรองรับระบบปฎิบัติการ Windows Mobile 8 Android 6 , IOS 9 ,Symbian และ Blackberry ของโทรศัพท์เคลื่อนที่ได้
  • มีความสามารถในการเชื่อมคต่อกับโทรศัพท์เคลื่อนที่ด้วยสาย Cable, Bluetooth, Infrared
  • ในการสืบค้นข้อมูลในเครื่องโทรศัพท์ Call History, SMS ,Phonebook, Contacts ,Audio, Video Picture, Email ,Calendar ,IMEI
  • รองรับการวิเคราะห์ข้อมูลอุปกรณ์โทรศัพท์ Mobile Phone แบบ Physical และ Logical
  • รองรับการวิเคราะห์ข้อมูลสื่อจัดเก็บข้อมูล Memory Card แบบ Physical และ Logical
  • รองรับการ bypass lock code  Pattern PIN password ในโทรศัพท์ ได์
  • รองรับการ bypass IPhone 4S 5 5S ด้วย PListfile ในโทรศัพท์ ได์
  • สามารถในการตรวจสอบข้อมูลการใช้งานระยยเครือข่าย Network Information
  • มีความสามารถในการสืบค้นประวัติการใช้งาน โปรแกรม Chat line Whatsapp Telegtam Messenger
  • มีความสามารถในการกู้ข้อมูล Delete File PNG GIF JPEG ที่ถูกลบไปแล้วใน SD Card
  • รองรับ MD5 ในการทำ Hashing เพื่อตรวจสอบความถูกต้องข้อมูล

Forensic Imaging & DATA Extraction

อุปกรณ์ XRY Mobile Forensics

Forensic Imaging & DATA Extraction

อุปกรณ์เก็บข้อมูลทางโทรศัพท์เคลือนที่  XRY Mobile Forensics

Forensic Imaging & DATA Extraction

XRY Mobile Forensics

Forensic Imaging & DATA Extraction

อุปกรณ์ตรวจพิสูจน์ สืบค้นพยานทางดิจิทัลจากเครื่องโทรศัพท์มือถือ

Forensic Imaging & DATA Extraction
XRY Find the Evidence

Mobile Forensics Crash Course using XRY 

 

ที่มา:

XRY Mobile Forensics Tool



กรมสอบสวนคดีพิเศษ

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น


* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป

ขอบคุณครับ


#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud

Sunday, June 11, 2017

DIGITAL FORENSICS: Collections of Computer Forensics Tools

DIGITAL FORENSICS: Collections of Computer Forensics Tools

Tools

Distributions

Frameworks

  • dff – Forensic framework
  • IntelMQ – IntelMQ collects and processes security feeds
  • Laika BOSS – Laika is an object scanner and intrusion detection system
  • PowerForensics – PowerForensics is a framework for live disk forensic analysis
  • The Sleuth Kit – Tools for low level forensic analysis
  • turbinia – Turbinia is an open-source framework for deploying, managing, and running forensic workloads on cloud platforms

Live forensics

  • grr – GRR Rapid Response: remote live forensics for incident response
  • Linux Expl0rer – Easy-to-use live forensics toolbox for Linux endpoints written in Python & Flask
  • mig – Distributed & real time digital forensics at the speed of the cloud
  • osquery – SQL powered operating system analytics

Imaging

  • dc3dd – Improved version of dd
  • dcfldd – Different improved version of dd (this version has some bugs!, another version is on github adulau/dcfldd)
  • FTK Imager – Free imageing tool for windows
  • Guymager – Open source version for disk imageing on linux systems

Carving

more at Malware Analysis List
  • bstrings – Improved strings utility
  • bulk_extractor – Extracts informations like email adresses, creditscard numbers and histrograms of disk images
  • floss – Static analysis tool to automatically deobfuscate strings from malware binaries
  • photorec – File carving tool

Memory Forensics

more at Malware Analysis List
  • inVtero.net – High speed memory analysis framework developed in .NET supports all Windows x64, includes code integrity and write support.
  • KeeFarce – Extract KeePass passwords from memory
  • Rekall – Memory Forensic Framework
  • volatility – The memory forensic framework
  • VolUtility – Web App for Volatility framework
  • BlackLight – Windows/MacOS Computer Forensics tools client supporting hiberfil, pagefile, raw memory analysis.
  • DAMM – Differential Analysis of Malware in Memory, built on Volatility.
  • evolve – Web interface for the Volatility Memory Forensics Framework.
  • FindAES – Find AES encryption keys in memory.
  • inVtero.net – High speed memory analysis framework developed in .NET supports all Windows x64, includes code integrity and write support.
  • Muninn – A script to automate portions of analysis using Volatility, and create a readable report.
  • Rekall – Memory analysis framework, forked from Volatility in 2013.
  • TotalRecall – Script based on Volatility for automating various malware analysis tasks.
  • VolDiff – Run Volatility on memory images before and after malware execution, and report changes.
  • Volatility – Advanced memory forensics framework.
  • VolUtility – Web Interface for Volatility Memory Analysis framework.
  • WDBGARK – WinDBG Anti-RootKit Extension.
  • WinDbg – Live memory inspection and kernel debugging for Windows systems.

Network Forensics

  • SiLK Tools – SiLK is a suite of network traffic collection and Computer Forensics tools analysis tools
  • Wireshark – The network traffic analysis tool
  • NetLytics – Analytics platform to process network data on Spark.

Windows Artifacts

OS X Forensics

Internet Artifacts

  • chrome-url-dumper – Dump all local stored infromation collected by Chrome
  • hindsight – Internet history forensics for Google Chrome/Chromium

Timeline Analysis

  • DFTimewolf – Framework for orchestrating Computer Forensics tools collection, processing and data export using GRR and Rekall
  • plaso – Extract timestamps from various files and aggregate them
  • timesketch – Collaborative forensic timeline analysis

Disk image handling

  • aff4 – AFF4 is an alternative, fast file format
  • imagemounter – Command line utility and Python package to ease the (un)mounting of forensic disk images
  • libewf – Libewf is a library and some tools to access the Expert Witness Compression Format (EWF, E01)
  • xmount – Convert between different disk image formats

Decryption

Learn forensics

CTFs

Resources

Books

more at Recommended Readings by Andrew Case

File System Corpora

Twitter

Blogs

Other

 

 BALAJI is a Security Researcher (Threat Research Labs) at Comodo Cybersecurity. Editor-in-Chief, Author & Co-Creator of GBHackers On Security 
http://www.gbhackers.com

 สุดยอดทูลในการใช้งาน Cyber Forensic

 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud