Sunday, September 24, 2017

Digital Forensics: Malware Forensics > IDA

Digital Forensics: Malware Forensics >IDA

จากเรื่อง Malware Forensics
      Static Analysis  เราจำทดสอบโดยการเอาไฟล์มัลแวร์ มาเปิดใน IDA Pro เพื่อวิเคราะห์

IDA  Pro เป็น Software ใช้สำหรับ De-compiler หรือ Disassembler ให้กลับไปเป็น Source Code หรือภาษา Assembly ความสามารถหลักของโปรแกรมคือ การท า Reverse  Engineer,  Cracking, Exploiting,  Unpacking โดยในการทำ Reverse  Engineer นั้นทำให้สามารถวิเคราะห์ตัวโปรแกรมได้ทั้งรูปแบบ Static Analysis และ Dynamic Analysis
IDA Pro นั้นครอบคลุมการทำ reversing ได้ดีกว่าโปรแกรมอื่นๆ โดยจะรองรับทั้ง 32/64 bit ทำได้ทั้ง disassembler และ debugger
ในโปรแกรมเดียว และ Support ครอบคลุมหลายแพลตฟอร์ม เช่น Android, Linux, Mac, Windows เป็นต้น



หนึ่งสิ่งสำคัญที่ IDA  Pro สามารถบอกได้คือมี DLLอะไรบ้างที่จะถูก Import เข้าไปที่เครื่องคอมพิวเตอร์หลังจากที่มีการรัน
Processของไฟล์ Malware (EXE)โดย DLL คือไลบรารีที่มีรหัสและข้อมูลที่โปรแกรมอย่างน้อยหนึ่งโปรแกรมสามารถนำไปใช้ได้ในเวลาเดียวกันรายละเอียดของ
DLLต่างๆมีดังนี้

Kernel32.dll –เป็น DLLทั่วไปที่มีอยู่ใน Core   Functionเช่น การเข้าถึงและการจัดการที่หน่วยความจำ,ไฟล์ต่างๆ,และอุปกรณ์ฮาร์ดแวร์

Advapi32.dll –เป็น DLLที่สามารถเข้าถึงวินโดว์ในส่วนของ AdvancedCore เช่น Service Manager และRegistry

ได้ User32.dll –เป็น DLLที่มีส่วนประกอบของ User-Interface ทั้งหมดเช่น ปุ่มต่างๆ แถบเลื่อนขึ้นลง (Scroll Bars) และยังรวมถึงส่วนที่ควบคุมและตอบสนองการท างานของ User

Gdi32.dll –เป็น DLLในส่วนของฟังก์ชันการแสดงผลและการปรับกราฟฟิค

Ntdll.dll -DLL นี้เป็นส่วนติดต่อกับเคอร์เนลของ Windows โดยทั่วไปการรัน Execute ไฟล์จะไม่มีการ Import มาที่ส่วนนี้โดยตรง แต่จะเป็นการ Import ทางอ้อมผ่าน

Kernel32.dll ดังนั้นหากไฟล์ exe มีการ Import มาที่ส่วนนี้หมายความว่าผู้สร้างไฟล์ตั้งใจใช้ฟังก์ชันที่ผิดไปจากปกติในการติดตั้งโปรแกรม เช่น ต้องการซ่อนฟังก์ชันหรือกระบวนการการทำงานบางอย่าง เป็นต้น

WSock32.dll and Ws2_32.dll –เป็น DLLที่เกี่ยวกับ Network โดยโปรแกรมที่เข้าถึงในส่วนนี้มักจะเกี่ยวกับการเชื่อมต่อทางด้าน Networkหรือทำงานเกี่ยวข้องกับส่วนนี้

Wininet.dll –เป็น DLL ที่มีฟังก์ชัน Network ระดับสูงที่ใช้โปรโตคอลเช่น FTP, HTTP และ NTP


https://www.hex-rays.com/products/ida
Practical Malware Analysis, March 2012, p.3,p17
Hacking & Security ฉบับ ก้าวสู่นักทดสอบและป้องกันการเจาะระบบ, September 2011

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#Malware Forensics #WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Saturday, September 23, 2017

Digital Forensics:WIPE Part II

Digital Forensics:WIPE Part 2

 เทคนิคการเตรียม hard disk ไว้สำหรับเตรียมเก็บข้อมูลหรือทำสำเนาข้อมูล  คือการ Wipe  ซึ่งเราจะใช้อุปกรณ์ Tableau Forensic Duplicator (TD2)  ในการทดสอบครั้งนี้  เพื่อให้แน่ใจว่า hard disk ที่จะนำไปใช้สำหรับทำสำเนาข้อมูลไม่มีข้อมูลปนเปื้อนหรือสิ่งอื่นใดหลงเหลืออยู่ Hard disk 
Forensic Duplicator TD2
Standard operations:
  • Disk-to-Disk (clone) duplication
  • Disk-to-File (image) duplication
  • Format
  • Wipe
  • Hash (MD5 or SHA-1)


1. Hard disk ที่จะทำการ Wipe   ให้บันทึกรายละเอียด  Model: WDC WD5000AAKX-00ERMA0
                                              S/N: WD-WMC2E3267484 


2. ทำการเชือมต่อ Hard disk กับอุปกรณ์  Tableau Forensic Duplicator (TD2)

Forensic Duplicator TD2

3. ทำการเลือกคำสั่ง Wipe Disk


TD2 Duplicator

4. รอจนเครื่องทำงานเสร็จ  ทำการ export log file ออกมา เพื่อทำรายงาน

TD2 Duplicator

5. ตัวอย่าง Log file

Task: Wipe
Status: Ok
Created: 2018-08-10 14:39
Closed : 2018-08-10 18:26
User: Dforensic Examiner

Duplicator serial num: 01d21065
Duplicator firmware timestamp: Mar 27 2012 19:49:00
Duplicator firmware revision: 3.15
Duplicator log ID num: 121

--------------------------Wipe Options--------------------------

Wipe method: Multi-pass Write
# of sectors: 976,773,168 (500.1 GB)

--------------------------Dest-1 Disk---------------------------

Model: WDC WD5000AAKX-00ERMA0
S/N: WD-WMC2E3267484
Firmware Revision: 15.01H15
Capacity in sectors reported Pwr-ON: 976,773,168 (500.1 GB)
Capacity in sectors reported by HPA: 976,773,168 (500.1 GB)
Capacity in sectors reported by DCO: 976,773,168 (500.1 GB)
HPA in use: No
DCO in use: No
ATA Security in use: No
Cable/Interface type: SATA
ATA PIO mode: PIO 4
ATA DMA mode: UDMA 6

6. นำ Harddsik ที่ผ่านการ Wipe แล้ว แยกเก็บไว้ในตู้  เพื่อใช้ในเคสต่อไป


 หมายเหตุ ท่านสามารถศึกษาเครื่องมือ Tableau Forensic Duplicator (TD2) เพิ่มเติมได้ที่ website ด้านล่าง

Referent
https://www.guidancesoftware.com/tableau/hardware/td2u

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#wipe #secureerase #diskwiping #Sanitization #Computer Forensics #DigitalForensics

Thursday, September 21, 2017

Digital Forensics: IP Logger

Digital Forensics:IP Logger

Tools ที่ช่วยในการติดตามตำแหน่งและบันทึกที่อยู่ IP address ผู้ต้องสงสัย  หรือคนที่เราคุยด้วย และ การค้นหา IP และตรวจสอบผู้ให้บริการ ip และ information  Time , Country ,  Device ,  ISP   เช่น  ต้องการ Track IP Line ,Facebook ,whatapp



1. ไปที่  https://iplogger.org
 

2. ลงทะเบียนหรือไม่ก็ได้ 


3.  หา url link  ที่น่าสนใจ หรือเป็นสิ่งที่   คนที่เราจะส่งไปสนใจ



 

4.  Paste link  url ที่ลงใน  > Url Shortener   


5         Copy   URL  ที่ทำการ ทำการ redirect    และย่อ URL เพื่อไม่ให้สงสัย        
                           

6. วาง url ลงใน chat  Line ,Facebook ,whatapp ส่งให้คนที่เราต้องการรู้ IP address


            https://2no.co/2dzXr5




7.  ผลลัพธ์ เมื่อมีการ click link   Logged IP’s






หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud