Digital Forensics: JTAG and Chip-off

Digital Forensics: JTAG and Chip-off

 กระบวนการตรวจพิสูจน์อุปกรณ์สื่อสารเคลื่อนที่นั้น ต้องพยายามหลีกเลี่ยงการกระทำที่จะก่อให้เกิดการเปลี่ยนแปลงต่อพยานหลักฐานให้ได้มากที่สุด ดังนั้น จึงต้องทำการสกัดข้อมูลการใช้งานจากอุปกรณ์ดังกล่าวเพื่อนำไปตรวจพิสูจน์ การตรวจดูข้อมูลการใช้งานโดยตรงที่พยานหลักฐานเป็นสิ่งที่ไม่ควรทำ เป็นอย่างยิ่ง เพราะจะทำให้เกิดการปนเปื้อนต่อ พยานหลักฐาน การสกัดข้อมูลการใช้งานอุปกรณ์แอนดรอยด์สามารถทำได้หลายวิธี 

 JTAG และ Chip-Off

 เป็นเทคนิคการสกัดข้อมูลที่เป็นพยานหลักฐานจากโทรศัพท์เคลื่อนที่ซึ่งไม่สามารถใช้งาน

Physical Technique

 เป็นการสกัดข้อมูลการใช้งานของอุปกรณ์สื่อสารเคลื่อนที่ทั้งหมด ทั้งที่ยังคงมีอยู่ในเครื่อง
(Allocated) และข้อมูลที่ถูกลบออกจากเครื่องไปแล้ว (Deleted data) รวมถึงข้อมูลที่ถูกเข้ารหัสด้วย ซึ่ง

สามารถทำได้ 2 รูปแบบ ดังนี้

(1) การสกัด โดยใช้ Hardware ปัจจุบันมี 2 เทคนิค คือ การทำ JTAG และ Chip-off
ซึ่งวิธีนี้คือการนำเอา NAND Flash ออกมาจากอุปกรณ์สื่อสารเคลื่อนที่เพื่อสกัดข้อมูลการใช้งาน ถือเป็นการตรวจพิสูจน์แบบทำลายตัวอย่าง เหมาะสำหรับพยานหลักฐานที่ถูกทำลายเสียหาย ไม่สามารถเชื่อมต่อด้วยวิธีการตามปกติได้

(2) การสกัด โดยใช้ Software เป็นการสกัดข้อมูลที่ไม่ยุ่งยากเหมือนเทคนิค Hardware
และไม่ท าให้อุปกรณ์พยานหลักฐานเสียหาย สามารถเข้าถึงข้อมูลของพยานหลักฐานในระดับ
File System โดยในการสกัดข้อมูลนั้นต้องท าการ Root เครื่องเสียก่อน จากนั้นจึงทำการสกัดข้อมูล

Chip-Off Forensic

JTAG Forensic

 

 

 ที่มา:

• กองบังคับการสนับสนุนทางเทคโนโลยี (บก.สสท.) สำนักงานเทคโนโลยีสารสนเทศและการสื่อสาร (สทส.) 

• Journal of Criminology and Forensic Science

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud