Saturday, June 17, 2017

DIGITAL FORENSICS: BitLocker how to image

DIGITAL FORENSICS: BitLocker  how to image

เครื่องมือที่ใช้ทดสอบ  BitLocker Drive Encryption

  • Flash Drive Kingston DataTraveler 3.0 USB  16 GB
  • FTK Imager
  • EnCase 
  • Bitlocker encrypted

  • CF-DFE-FD001.E01    >Decrypted > Forensic Disk image 
  • CF-DFE-FD001.1.E01 >Encrypted > Forensic Disk image 
  • CF-DFE-FD001.2.E01 >Decrypted >Logical Drive > Forensic Disk image 
วัตถุประสงค์

Compare Hash value Bitlocker encrypted on Windows

  • เปรียบเทียบค่า hash ของ Disk Image  ที่ Encrypted  กับ ค่า  hash ของ Disk Image  ที่ Decryption  โดยใช้  Bitlocker  บนอุปกรณ์ Flash Drive Kingston DataTraveler 3.0 USB  16 GB
  • วิธีการจัดการเมื่อต้องทำ Forensic Image  บน Disk  ที่มีการทำ Encrypted  with Bitlocker 
  
Encrypted
Decryption


1.CF-DFE-FD001.E01  > Decrypted > Forensic Disk image 

1.1 ทำการเปิดการทำงาน  Bitlocker Drive Encryption ที่ Drive F: 


1.2. ทำการ  Decryption Drive F: 
1.3. ทำการสร้าง Create Disk Image  แบบ Physical Drive

Create Disk Image > Physical Drive
\\PHYSICALDRIVE-Kingston Data traveler 3.0 USB Device
Physical Drive
1.4. ตั้งชื่อ Case CF-DFE-FD0001.E01


1.5. ข้อมูลที่ถอดรหัส (Decryption) ก่อนการทำ Disk Image   ได้ค่า hash
 ชื่อไฟล์ CF-DFE-FD001.E01
 Image Verification Results:
 Verification started:  Mon Jun 17 17:02:14 2019
 Verification finished: Mon Jun 17 17:07:00 2019
 MD5 checksum:    a67c13873e1540223d3e45700600d4f7 : verified
 SHA1 checksum:   ca5048f63fdff8f5f86ed88ddba8abba08d1d058 : verified

Hash Value
1.6. เมื่อทำการดูข้อมูลที่โดนเข้ารหัส Bitlocker Encrypted  ไม่สามารถอ่านข้อมูลได้เนื่องจากข้อมูลโดนเข้ารหัสไว้ CF-DFE-FD001.E01
CF-DFE-FD001.E01

2. CF-DFE-FD001.1.E01 >Encrypted > Forensic Disk image 

2.1. ทำการ เข้ารหัส  Encryption ดังรูป

Encryption
2.2. ทำการสร้าง Create Disk Image แบบ Physical Drive
\\PHYSICALDRIVE1
Physical Drive

2.3. ตั้งชื่อเคส Case CF-DFE-FD0001.1.E01


2.4.ค่า hash  ที่ได้จากการทำ Disk Image  ที่ถูกเข้ารหัสไว้
Image Verification Results:
 ชื่อไฟล์ CF-DFE-FD001.1.E01
 Verification started:  Mon Jun 17 17:31:23 2019
 Verification finished: Mon Jun 17 17:36:13 2019
 MD5 checksum:    958b6973f1285f982cfc6f0dd94cc48e : verified
 SHA1 checksum:   64f9f68d8f7cd872a583f171243fbda5ada47706 : verified

2.5. เมื่อเปิด Image file CF-DFE-FD001.1.E01 ทำการดูข้อมูลที่โดนเข้ารหัส Bitlocker Encrypted  ไม่สามารถอ่านข้อมูลได้เนื่องจากข้อมูลโดนเข้ารหัสไว้

Bitlocker Encrypted



3. CF-DFE-FD001.2.E01 >Decrypted >Logical Drive > Forensic Disk image 

 3.1 ทดสอบการทำ Forensic Image  แบบ Logical Drive  เลือก Source Select Form Drive F:

Logical Drive F:

3.2 ตั้งชื่อเคส CaseCF-DFE-FD001.2.E01
Create Image
3.3 ค่า hash  ที่ได้จากการทำ Disk Image  แบบ Logical Drive 
Image Verification Results:
ชื่อไฟล์ CF-DFE-FD001.2.E01
 Verification started:  Mon Jun 17 18:25:14 2019
 Verification finished: Mon Jun 17 18:30:01 2019
 MD5 checksum:    0bce6c29c07b3850495f9fdbfbd15696 : verified
 SHA1 checksum:   9a36f1e6ea6f2b19a7dd92a0325b823bee9f12ed : verified

  • เมื่อทำการดูข้อมูล จาก Disk Image ที่ทำแบบ Logical Drive สามารถอ่านข้อมูลได้เนื่องจากข้อมูลไม่โดนเข้ารหัส

อ้างอิง: ข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน
ข้อที่ 2 หากพบคอมพิวเตอร์เปิดทำงานอยู่ให้ดำเนินการตามแนวทางดังนี้
ข้อที่ 2.9  หากพบซอฟต์แวร์เข้ารหัสลับข้อมูล (Encryption) ติดตั้งอยู่ หรือสันนิษฐานว่าอาจมีการเข้ารหัสลับฮาร์ดดิสก์ ให้ทำสำเนาข้อมูลแบบ Logical ตามข้อ 5.3.1.4 (2) เนื่องจากสำเนาข้อมูลที่ได้จะไม่ถูกเข้ารหัสลับ ก่อนที่จะปิดเครื่องคอมพิวเตอร์ และให้สอบถามรหัสผ่านจากเจ้าของข้อมูล

4. การเปิด forensic image file ทีเข้ารหัส BitLocker Encryption โดยใช้โปรแกรม EnCase

4.1 เมื่อใช้โปแกรม Encase  เปิด Image file  CF-DFE-FD0001.1.E01  จะพบว่าข้อมูลถูกเข้ารหัสไว้ BitLocker Encryption
BitLocker Encryption
4.2 ทำการ rescan Image file  จะมีหน้าต่างแสดงให้ใส่ BitLocker Recovery Key

4.3  ใส่ 524865-631323-508673-501765-491491-518881-423874-275022  ในช่อง Recovery password

Recovery password
BitLocker Recovery Key

Recovery Key

  เมื่อใช้ใส่ BitLocker Recovery Key แล้วจะเห็นข้อมูลที่ถูก Decryption แล้ว
BitLocker Recovery Key
  ดังนั้นคุณต้องการ export คีย์ recovery  key  BitLocker Encryption เตรียมไว้ก่อนทำ forensic image ทุกครั้ง และอย่าลืมเก็บคีย์กู้คืน recovery  key แยกต่างหาก


สรุปการทดสอบ
  • การทำ Forensic Image  บน Disk ที่เข้ารหัส Bitlocker Encrypted  ค่า  hash  จะต่างกับ Disk ที่ถอดรหัสแล้ว  บน disk ลูกเดียวกัน

COMPARE HASH VALUE

CF-DFE-FD001.E01    >Decrypted > Forensic Disk image 
 MD5 checksum:    a67c13873e1540223d3e45700600d4f7
 SHA1 checksum:   ca5048f63fdff8f5f86ed88ddba8abba08d1d058

CF-DFE-FD001.1.E01 >Encrypted > Forensic Disk image 
 MD5 checksum:    958b6973f1285f982cfc6f0dd94cc48e
 SHA1 checksum:   64f9f68d8f7cd872a583f171243fbda5ada47706

  • ในกรณีไม่พบ recovery key  ของ bitlocker ของเครื่องคอมพิวเตอร์หลักฐาน เมื่อทำ Forensic Image ได้ไฟล์ *.Raw,*.e01 จะไม่สามารถนำมาวิเคราะห์ได้
  • ในกรณีเครื่องคอมพิวเตอร์เปิดไว้และไม่พบ recovery key  ของ bitlocker ให้ทำ Forensic disk Image  แบบ logical Drive แทน เนื่องจากหากเครื่องคอมพิวเตอร์ shutdown  จะไม่สามารถเปิดข้อมูลได้เนื่องจาก ไม่มี  recovery key  ของ bitlocker 
  • ในกรณีเครื่องคอมพิวเตอร์เปิดไว้และไม่พบ recovery key  ของ bitlocker ให้ใช้เครื่องมือสำหรับ Forensic Disk Decryptor หรือ  Recovery key  scan หาใน memory และในส่วนอื่นๆของเครื่องคอมพิวเตอร์

หมายเหตุ:

* หากคุณต้องทำ Forensic image แบบ .E01 ที่มีการเข้ารหัสโดย BitLocker   คุณสามารถใช้โปรแกรม EnCase > Decryption + recovery  key    เพื่อเปิดไฟล์ จะมีข้อความแจ้งให้ขอคีย์การกู้คืน  BitLocker หรือใช้รหัสผ่าน 

ดังนั้นคุณต้อง export คีย์ recovery  key  BitLocker  เตรียมไว้ก่อนทำ forensic image ทุกครั้ง และอย่าลืมเก็บคีย์กู้คืน recovery  key แยกต่างหาก 

EnCase Decryption Suite


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud



No comments:

Post a Comment