Digital Forensics:Timestamp II
คำถามที่พบบ่อยของพนักงานสอบสวนเกี่ยวกับ Created / Modified / Accessed
1. ศัพท์ภาษาอังกฤษในโปรแกรมคอมพิวเตอร์ Created / Modified นั้นหมายความว่าอย่างไรบ้าง และเป็นไปได้หรือไม่ว่า Create จะเกิดขึ้นหลังจากที่ได้ทำการ Modified หรือ Accessed แล้ว และหากเกิดขึ้นได้ จะเกิดขึ้นได้ในกรณีใดบ้างตอบ : ศัพท์ภาษาอังกฤษในโปรแกรมคอมพิวเตอร์ Created / Modified
Created – เป็นวันและเวลาที่ไฟล์ถูกสร้างหรือปรากฎเป็นครั้งแรกในระบบ เมื่อไฟล์นี้ถูก copy ไปยังที่อื่น ค่าของ Created จะถูกเปลี่ยนเป็นค่าใหม่ แต่ถ้าไฟล์นี้ถูกย้าย(move)ไปที่อื่น ค่าของ Created จะยังคงเหมือนเดิม
Modified – เป็นวันและเวลาล่าสุดที่ไฟล์ถูกเปลี่ยนแปลง,แก้ไข เมื่อไฟล์นี้ถูก copy ไปยังที่อื่น ค่าของ Modified จะยังคงเหมือนเดิม
Accessed – เป็นวันและเวลาล่าสุดที่ไฟล์ถูกเข้าถึง มีข้อระวังเรื่องจากค่าของ Last Accessed อาจจะเป็นวันและเวลาที่ไฟล์นั้น
ถูกเข้าถึงโดยผู้ใช้งานหรือโดยการทำงานของระบบ หรือบางระบบค่านี้อาจไม่ได้เปิดทำงาน
เมื่อมีไฟล์ถูกสร้างเป็นครั้งแรกในระบบคอมพิวเตอร์ ค่าวันเวลา Created / Modified /Accessed จะเท่ากันเสมอ
Windows Time Rules
 |
MAC(b) times in Windows forensic analysis |
1.1 ผู้ใช้ทำการ ก๊อปปี้ ไฟล์งานนี้ถูกสร้าง (Created / Modified ) มาก่อน ตั้งแต่วันที่ 09 October 2018 แล้วจากอุปกรณ์ จำพวก ยูเอสบีแฟลชไดรฟ์ (USB flash drive) หรือสื่อบันทึกข้อมูลอิเล็กทรอนิกส์แบบพกพา (external drive ) และทำการบันทึก(save)ไฟล์ดังกล่าวลงในเครื่อง คอมพิวเตอร์ดังกล่าว วันที่ 15 April 2019 ซึ่งไฟล์งานนี้จะถูกใส่เวลาสร้าง (Create)เป็นวันที่ 15 April 2019 และ ค่าวันเวลา เปลี่ยนแปลง ,แก้ไข (Modified) คือ วันที่ 09 October 2018 เหมือนไฟล์เดิม
 |
| (Modified) 09 October 2018 Test on win 7 pro |
 |
| Download file from Email |
 |
| Created / Modified Test on win 7 pro |
1.3 ผู้ใช้ทำการ Save as รูปจากเว็ปไซต์ดังกล่าว และบันทึก(save as)รูปดังกล่าวในเครื่องคอมพิวเตอร์ดังกล่าว วันที่ 17 August 2019 ซึ่งไฟล์งานนี้จะมีค่าวันเวลา (Create) เป็นวันที่ 17 August 2019 และ ค่าวันเวลา (Modified) เปลี่ยนแปลง ,แก้ไข คือ วันที่ 17 August 2019 เหมือนไฟล์เดิม
 |
| 1.3.1 Save Image As |
 |
| 1.3.2 Created / Modified same |
| 1.3.4 ในกรณีที่รูปภาพเคยดาวน์โหลดแล้ว เมื่อดาวน์โหลดซ้ำ จะมีข้อความให้บันทึกไฟล์ซ้ำภาพเดิม รูปดังกล่าวในเครื่องคอมพิวเตอร์ดังกล่าว วันที่ 17 August 2019 ซึ่งไฟล์งานนี้จะมีค่าวันเวลา (Create) เป็นวันที่ 12 June 2019 และ ค่าวันเวลา (Modified) เปลี่ยนแปลง ,แก้ไข คือ วันที่ 17 August 2019 |
 |
| This image has already been downloaded. |
1.4. ผู้ใช้ทำการดาว์โหลดไฟล์งานดังกล่าวมาจากเว็บไซต์ฝากไฟล์ หรือ ลิงค์ดาวด์โหลด จำพวกเว็บแชร์ไฟล เช่น เว็ปไซต์ดรอปบ๊อก( Dropbox), กูเกิลไดรฟ์ (Google Drive) และทำการบันทึก(save)ไฟล์ดังกล่าวลงในเครื่อง คอมพิวเตอร์ดังกล่าว วันที่ 17 August 2019 ซึ่งไฟล์งานนี้จะถูกใส่เวลาสร้าง (Create)เป็นวันที่ 17 August 2019 และ ค่าวันเวลา เปลี่ยนแปลง ,แก้ไข (Modified) คือ 17 August 2019 เพื่อสะดวกในการทำงานในที่ต่างๆ กัน สามารถใข้งานที่ไหนก็ได้ที่เชื่อมต่ออินเตอร์เน็ท
 |
| Download Google drive |
 |
| (Create) 17 August 2019 Test on win 7 pro |
 |
| Download zip file |
 |
| Unzip |
 |
| Unzip |
Windows Time Rules
 |
| Windows Time Rules according to SANS Institute |
ที่มา:
https://cyberforensicator.com/2018/03/25/windows-10-time-rules/
https://www.andreafortuna.org/2017/10/06/macb-times-in-windows-forensic-analysis/
https://windowsir.blogspot.com/2017/03/incorporating-amcache-data-into.html
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud
No comments:
Post a Comment