Saturday, October 21, 2017

Digital Forensics: การตรวจค้นและยึดพยานหลักฐานดิจิทัล

Digital Forensics: การตรวจค้นและยึดพยานหลักฐานดิจิทัล

วิดีโอสอนพื้นฐานการเข้าตรวจค้นและยึดพยานหลักฐานดิจิทัล รวมถึงอุปกรณ์คอมพิวเตอร์

Digital Crime Scene อบรมการจัดเก็บพยานหลักฐานทางอิเล็กทรนิกส์


ขั้นตอนการปฎิบัติขณะเข้าตรวจค้น และ เก็บพยานหลักฐานทางอิเล็กทรนิกส์


1.หัวหน้าชุดมอบหมายภารกิจ

 2. ตรวจสอบเป้าหมาย แสดงหมายค้น และชี้แจงขั้นตอนการปฎิบัติ

3.ก่อนเข้าตรวจค้นต้องแสดงหมายค้นและอ่านหมายแจ้งผู้ครอบครองเคหสถาน


 4.ค้นตัวผู้เกี่ยวข้องที่เข้าข่ายกระทำความผิด

 5.มาร์คจุดที่พบอุปกรณ์อิเล็กทรอนิกส์


6. สเก็ตภาพสถานที่เกิดเหตุและ ถ่ายภาพพยานหลักฐาน


 จัดทำแผนที่พบหลักฐานตามหมายเลข

7.เก็บรวบรวมพยานหลักฐานตามลำดับที่มาร์คจุดไว้ และ ลงชื่อกำกับ

 ใส่ถุงมืิอป้องกันหลักฐานปนเปื้อน

8.หากพบโทรศัพท์มือถือให้ทำการ เปิด Flight Mode หรือโหมดเครื่องบินทันที

จดรายละเอียดของหลักฐานในแบบฟอร์ม
 ขณะตรวจสอบให้ทำการบันทึกถาพและวีดิโอ


 ในกรณีคอมพิวเตอร์  ให้ดึงปลั๊กออกจากหลังเครื่องคอมพิวเตอร์


 กรณีโน๊ตบุ๊คให้ทำการถอดแบตเตอรี่ออก เพื่อป้องกันเครื่องเปิด

 ทำการใส่ถุงเก็บหลักฐานและบันทึกรายละเอียดลงในแบบฟอร์ม
ดำเนินการบรรจุเครื่องคอมพิวเตอร์ที่ต้องการยึดลงในกล่อง หรือ ถุงพลาสติก แล้วปิดผนึกด้วยเทปกาว พร้อมลงลายมือชื่อกำกับไว้

9.ตรวจค้นแบบละเอียด



 เจ้าหน้าที่ตำรวจและผู้ต้องสงสัยจะต้องทำการเซ็นชื่อกำกับ

ขั้นตอนการปฎิบัติขณะเข้าตรวจค้น และ เก็บพยานหลักฐานทางอิเล็กทรนิกส์

อ่านเพิ่ม


ที่มา:
Amornchai Leelakajonjit กองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี - บก.ปอท


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #พยานหลักฐานดิจิทัล


Wednesday, October 11, 2017

Digital Forensics: Hash function

Digital Forensics: (Hash function) ฟังก์ชันแฮช > LAB MD5

  จุดประสงค์ของ Lab MD5


   1. อะไรบ้างที่ทำให้ค่า  Hash เปลี่ยน

 ฟังก์ชันแฮช (อังกฤษ: hash function) คือวิธีการอย่างหนึ่งซึ่งทำให้ข้อมูลส่วนหนึ่งหรือทั้งหมด ให้กลายเป็นจำนวนเล็กๆ อันหนึ่งอย่างมีปฏิสัมพันธ์ ซึ่งจำนวนดังกล่าวเปรียบได้ว่าเป็น "ลายนิ้วมือ" ของข้อมูล ขั้นตอนวิธีของฟังก์ชันแฮชส่วนใหญ่จะเป็นการแบ่งย่อยข้อมูลและการผสมข้อมูลย่อยทั้งหมดเข้าด้วยกันเพื่อให้ได้ผลลัพธ์สุดท้าย ผลลัพธ์ดังกล่าวอาจเรียกว่า   ค่าแฮช (hash value)

         การสร้าง Signature นั้นอาศัยการทำHash Functionซึ่งเป็นฟังก์ชันที่มีบทบาทอย่างมากต่อการรักษาความมั่นคงปลอดภัยในเครือข่าย จากคุณสมบัติที่สำคัญหลายๆประการของฟังก์ชันแฮชนั้นพบว่า ฟังก์ชันแฮชมี คุณสมบัติหลักในการตรวจสอบความคงสภาพของข้อมูล

ทำไมต้องมีฟังก์ชันแฮช?

  1. เพื่อใช้ตรวจสอบว่าข้อมูลมีการเปลี่ยนแปลงหรือไม่
  2. เพื่อใช้เก็บข้อมูลสำหรับเปรียบเทียบ โดยการเปรียบเทียบข้อมูลจะทำได้รวดเร็วขึ้น
  3. หากข้อมูลที่จะใช้เปรียบเทียบมีขนาดใหญ่มาก จะช่วยย่อข้อมูลให้เล็กลงได้มาก แต่ขึ้นอยู่กับวิธีของฟังก์ชันแฮช
  4. อื่นๆ 

ชนิดของฟังก์ชันแฮช

  1. MD5 (128bits) คิดค้นโดย Ronald Rivests
  2. SHA1 (160bits) คิดค้นโดย National Security Agency : NSA
  3. SHA2 (SHA-224, SHA-256, SHA-384, SHA-512) คิดค้นโดย National Security Agency : NSA
  4. อื่นๆ


SHA-256 ย่อมาจาก Secure Hash Algorithmเป็นฟังก์ชันแฮชที่ถูกพัฒนาขึ้นหลังจาก MD5 แรกเริ่มพัฒนาเป็น SHA-1 ถัดมากลายเป็น SHA-256,และ SHA-512โดยปัจจุบันได้นำมาใช้แทน MD5
เนื่องจากมีความปลอดภัยที่สูงกว่าและแม่นยำกว่าซึ่งแก้ปัญหาการชนกันของค่าแฮช(Collision)ที่ข้อมูลสองข้อมูลมีค่าแฮชตรงกัน

ทำการ download Hash Tool  Hash Tool is a utility to calculate the hash of multiple files.
 1. ทำการติดตั้งโปรแกรม  Hash Tool

2. ทดสอบค่า MD5  hash กับไฟล์รูป ชื่อ chain of Custody.jpg
    MD5 = 4723fd6167cf3074e36981959e2b1d8e

3. ทำการ Rename ไฟล์รูป ชื่อ chain of Custody.jpg  เป็น chain.jpg
    run Hash  MD5 = 4723fd6167cf3074e36981959e2b1d8e   ค่าไม่เปลี่ยน

4. ทำการเพิ่มข้อมูลใน Properties Details (meta data) ในส่วน Title ,Subject ,Authors
  run Hash  MD5 = 9fd4e6c35217e30d4eaaee86a92b6939   ค่า เปลี่ยน



5. ทำการลบข้อมูลใน Properties Details (meta data) ในส่วน Title ,Subject ,Authors
  run Hash  MD5 = bf176eec3c4b2e29db1e29dfa3d7a9d5   ค่า เปลี่ยน

6 ทำการลบข้อมูล user  Account Unknown ใน Properties Security ในส่วน (permission)
  run Hash  MD5 = bf176eec3c4b2e29db1e29dfa3d7a9d5   ค่าไม่เปลี่ยน

7 ทำการเพิ่มข้อมูล user Everyoneใน Properties Security ในส่วน (permission)
  run Hash  MD5 = bf176eec3c4b2e29db1e29dfa3d7a9d5   ค่าไม่เปลี่ยน




สรุป  การทดสอบ ปัจจัยที่ทำให้ค่า  Hash เปลี่ยน
       1. แก้ไข content
  
 
อ้างอิง
https://www.thaicert.or.th/papers/technical/2012/pa2012te013.html
https://blog.inslash.com/%E0%B8%9F%E0%B8%B1%E0%B8%87%E0%B8%81%E0%B9%8C%E0%B8%8A%E0%B8%B1%E0%B8%99%E0%B9%81%E0%B8%AE%E0%B8%8A-hash-function-a985ed40351d


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud
#hash value  #MD5


Monday, October 9, 2017

Digital Forensics:National Software Reference Library (NSRL)

Digital Forensics:National Software Reference Library (NSRL)


           ท่านทราบมั้ยครับ ว่าหน่วยงาน NIST (US National Institute of Standards and Technology) ทำหน้า ที่รวบรวม Hash set ของ software สำคัญๆ ทั่วโลกเก็บไว้ เช่น ระบบปฎิบัติการต่างๆ หน่วยงานนี้มีชื่อว่า National Software Reference Library (NSRL) ซึ่งเป็นแหล่งข้อมูลที่สนับสนุนการสืบสวนทางนิติวิทยาศาสตร์แบบดิจิตอล จุดประสงค์เพื่อเก็บชุดข้อมูลซอฟท์แวร์ ในเวอร์ชันต่างๆมากมาย ในรูปแบบ hash set ไว้เพื่อเป็นประโยนชน์ ในการลดการตรวจสอบไฟล์ในระบบคอมพิวเตอร์  เพื่อแยกแยะและลดขั้นตอนการในการสืบสวนคดีอาชญากรรมไซเบอร์ และงานอื่นๆ



สำหรับใครที่ต้องใช้เครื่องมือในการตรวจสอบเทคโนโลยีทั้งหลาย ในนี้จะมีตัวอย่างในการหาเครื่องมือให้ตรงกับการใช้งาน
NIST Catalog

Computer Forensics Tools & Techniques Catalog





ทีมา: NIST
https://bit.ly/2r7nc3u

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ