DIGITAL FORENSICS:13Cubed Introduction To Windows Forensics

หลักสูตรอบรมออนไลน์  WINDOWS FORENSICS

13Cubed   เป็นโครงการได้พัฒนาเป็นที่รู้จักจากช่อง YouTube ที่มีชื่อเดียวกันซึ่งสร้างเนื้อหาหลากหลายครอบคลุมการพิสูจน์พยานหลักฐานดิจิทัลและการตอบสนองเหตุการณ์ (DFIR) เช่นเดียวกับหัวข้ออื่น ๆ ที่เกี่ยวข้องกับความปลอดภัย บริษัทยังให้บริการให้คำปรึกษาและพัฒนาซอฟแวร์ด้วย

What is 13Cubed?

13Cubed started as a side project and was later developed into a full-fledged company. Most will recognize 13Cubed from the YouTube channel of the same name, which produces a wide range of content covering Digital Forensics and Incident Response (DFIR), as well as other security-related topics. The company also provides consulting services, and occasionally develops software distributed under the brand.

Introduction to Windows Forensics

Windows Application Compatibility Forensics

Windows SRUM Forensics

Windows MACB Timestamps (NTFS Forensics)

Windows NTFS Index Attributes ($I30 Files)

LNK Files and Jump Lists

Introduction to Plaso Heimdall

Shellbag Forensics

Recycle Bin Forensics

RDP Cache Forensics

Introduction to USB Detective

Event Log Forensics with Log Parser

Ref:

https://www.13cubed.com

https://13cubed.blogspot.com

Windows Artifacts (Part II)

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Digital Forensics: Volatile Data

Digital Forensics: การทำสำเนาข้อมูลดิจิทัล แบบ Volatile Data 

Volatile data หมายถึง 

ข้อมูลที่จะเปลี่ยนแปลงได้ง่าย หากมีความเปลี่ยนแปลงต่ออุปกรณ์ดิจิทัลที่เกี่ยวข้อง เช่น ข้อมูลที่อยู่ในหน่วยความจำหลัก (RAM) ที่จะสูญไปเมื่อไม่มีกระแสไฟฟ้าหล่อเลี้ยงคอมพิวเตอร์ ข้อมูลการเชื่อมต่อในระบบเน็ทเวิร์ค ของอุปกรณ์ดิจิทัลที่จะเปลี่ยนแปลงไปและสูญหายเมื่อถูกตัดการเชื่อมต่อ  (ที่มา:ข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน version1.0)

Random-access memory (RAM)

Volatile Data คือ

ข้อมูลที่บันทึกอยู่ในหน่วยความจำประเภทที่สามารถสูญหายได้เมื่อปิดอุปกรณ์ หรือเมื่อไม่มีไฟเลี้ยง

Volatile data 

เป็นข้อมูลที่สามารถสูญหายไปทันทีที่ปิดเครื่องคอมพิวเตอร์ ได้แก่ข้อมูลที่บันทึกในแรม เช่น ข้อมูล Network connections, Running applications, Running processes, Open/listening network connections รวมถึงพาสเวิร์ดสำหรับใช้งานโปรแกรม เปิดอ่านอีเมล หรือเข้าถึงพาร์ทิชันฮาร์ดดิสก์ที่ถูกเข้ารหัสไว้ เป็นต้น

Conducting of Live Forensic

Volatile Data

 

    ข้อมูลอะไรบ้างที่อยู่ใน  Volatile Data

                 - ข้อมูลการเชื่อมต่อไปยัง hacker

                 - Process การทำงาน Malware
                 - รหัสผ่าน
                 - อื่นๆ

Network Connections

ประโยชน์ของข้อมูล Volatile data

 นอกจากจะสามารถใช้กู้พาสเวิร์ดที่คนร้ายอาจไม่ยอมบอกแล้วยังสามารถใช้ในการตรวจยืนยันว่าเครื่องคอมพิวเตอร์มีมัลแวร์ฝังอยู่หรือไม่ หรือถูกควบคุมโดยบุคคลอื่นโดยที่เจ้าของไม่รู้ตัวหรือไม่ด้วย

Volatility - Pslist

การทำสำเนาข้อมูลดิจิทัล แบบ Volatile Data

• สำเนาข้อมูลจากหน่วยความจำหลัก (RAM) ของ คอมพิวเตอร์ที่กำลังเปิดใช้งานอยู่ (Live) ซึ่งข้อมูลสามารถเปลี่ยนแปลงได้ตลอดเวลา
• ขณะรัน ซอฟต์แวร์สำหรับจัดเก็บ Volatile data จากสื่อบันทึกข้อมูล (เช่น USB flash drive) ที่เชื่อถือได้
• การรันคำสั่งซอฟต์แวร์สำหรับจัดเก็บ  ข้อมูลต้องใช้สิทธิ ระดับสูงที่สุด (Administrator) เพื่อให้สามารถจัดเก็บข้อมูลได้ครบถ้วน
• ซอฟต์แวร์สำหรับจัดเก็บ ข้อมูลบางตัว จะบันทึกสำเนาข้อมูล ลงในโฟลเดอร์เดียวกับโฟลเดอร์ที่ซอฟต์แวร์นั้นอยู่ ดังนั้นจึงต้องตรวจสอบพื้นที่ในสื่อบันทึกข้อมูลให้มีเพียงพอจัดเก็บก่อนเริ่มจัดเก็บข้อมูล
• ห้ามจัดเก็บ Volatile data ลงในหลักฐาน

A collection of free tools  (เครื่องมือเก็บหลักฐานประเภท Volatile Memory)

เครื่องมือที่ใช้เก็บข้อมูลชนิด Volatile data

• FTK Imager Lite

• DumpIT

  

  DumpIT   Collecting Volatile Data

• Memoryze & Audit Viewver, 

• Helix

• Magnet Ram Capture

FTK Imager Lite

 FTK Imager Lite  เป็นโปรแกรมเก็บหลักฐาน  โดยสามารถเก็บได้ทั้ง Harddisk, Memory โดยทำงานในรูปแบบของ Portable สามารถ Run ไม่จำเป็นต้องติดตั้งลงในเครื่องคอมพิวเตอร์พยานหลักฐาน   สามารถดาวน์โหลดแล้วแตกไฟล์ใส่ลงใน Flash Drive ก็สามารถใช้งานได้เลย แล้วนำไปเสียบกับเครื่องคอมพิวเตอร์ที่ต้องการเก็บแรม  สามารถเริ่มสำเนาแรมได้ทันทีโดยโปรแกรมจะเก็บไฟล์ Image ไว้ในโฟลเดอร์เดียวใน Flash Drive

โปรแกรม FTK Imager Lite  ของบริษัท AccessData สามารถดาวน์โหลดได้จาก http://www.accessdata.com

หมายเหตุ : ข้อควรระวังเมื่อใช้โปรแกรมนี้คือเนื่องจากโปรแกรมนี้ไม่มีการตั้งค่าอะไรดังนั้นจะต้องเตรียมพื้นที่Thumb drive ให้เพียงพอกับขนาดแรมที่ต้องการจัดเก็บ

ไฟล์ Image ที่เก็บมานี้สามารถนำไปวิเคราะห์ต่อโดยใช้โปรแกรม เช่น Volatility , Rekallหรือโปรแกรมวิเคราะห์พยานหลักฐานดิจิทัลอื่น ๆ ซึ่งสามารถช่วยสกัดข้อมูลที่เป็นประโยชน์ออกมาได้

memory analysis

Volatility -Image Info

หมายเหตุ เนื่องจากการจัดเก็บข้อมูล Volatile data นั้นจำเป็นต้องทำในขณะที่เครื่องคอมพิวเตอร์ยังเปิดใช้งานอยู่ ดังนั้นข้อมูลในแรมจะเปลี่ยนแปลงได้ตลอดเวลา ทำให้การทำสำเนาข้อมูล Volatile data ในแต่ละครั้งอาจได้ผลลัพธ์ที่แตกต่างกันได้ถึงแม้ว่าจะเป็นเครื่องคอมพิวเตอร์เครื่องเดียวกันภายในเวลาที่ใกล้เคียงกัน ทั้งนี้ Image file จะมีร่องรองยของโปรแกรมที่ใช้ในการทำสำเนาติดมาด้วย

การทำสำเนาข้อมูลดิจิทัล แบบ Volatile Data

 ที่มา:

• ETDA Channel 

• thaicert

• ข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud 

DIGITAL FORENSICS: เครื่องทำสำเนาข้อมูลดิจิทัล Forensic Imager

DIGITAL FORENSICS: เครื่องทำสำเนาข้อมูลดิจิทัล (Forensic Imager)

อุปกรณ์ในการเก็บหลักฐานดิจิทัล

สำหรับใช้เชื่อมต่อวัตถุพยานประเภทสื่อบันทึกข้อมูลดิจิทัล เช่น ฮาร์ดดิสก์ และหน่วยความจำแฟลช เพื่อทำสำเนาข้อมูล มีคุณสมบัติป้องกันการเปลี่ยนแปลง หรือเขียนทับข้อมูลดิจิทัลต้นฉบับ

Forensic data acquisition หมายถึง

การสำเนาข้อมูลจากหลักฐานดิจิทัล  โดยทั่วไปจะมีการคำนวณค่าแฮชยืนยันความถูกต้องครบถ้วนของสำเนาข้อมูลได้

เครื่องทำสำเนาข้อมูลดิจิทัล คือ

เป็นอุปกรณ์ใช้ทำสำเนาข้อมูลจากวัตถุพยานประเภท ฮาร์ดิสก์ และหน่วยความจำแฟลช สามารถทำสำเนาข้อมูลจากสื่อบันทึกดิจิทัลต้นฉบับไปยังสื่อบันทึกข้อมูลดิจิทัลปลายทาง มีความสามารถบีบอัดข้อมูลสำหรับการตรวจพิสูจน์หลักฐาน และยืนยันความถูกต้องของข้อมูล

คุณลักษณะ 

- เป็นอุปกรณ์ที่มีคุณสมบัติทำสำเนาข้อมูลแบบการตรวจพิสูจน์หลักฐาน (Forensic) หรือมีการป้องกันการเปลี่ยนแปลง หรือเขียนทับข้อมูลดิจิทัลต้นฉบับ (write-Protected)
- สามารถรองรับการเชื่อมต่อ (interface)แบบ SATA/SAS ,USB 3.0 ,PCie ,Fire Wire, Ethernet ,IDE
- สามารถทำสำเนาข้อมูลเป็น disk to disk , bit for bit และทำสำเนาข้อมูลเป็น image แบบ DD และ E01
- สามารถจัดเตรียมพื้นที่การทำสำเนาข้อมูล หรือล้างข้อมูลโดยวิธีการ Wipe
- มีกระบวนการตรวจสอบความถูกต้องของข้อมูลโดยวิธีการ Hash ,MD5 ,SHA-1

FORENSIC IMAGER

 #เครื่องทำสำเนาหลักฐาน

Forensic Duplicator

#เครื่องทำสำเนาข้อมูลดิจิทัล

สามารถทำสำเนาข้อมูลจากต้นทางจำนวน 1 ตัว ไปยังปลายทางจำนวนไม่น้อยกว่า  2 ตัว แบบพร้อมกัน

Forensic Duplicator

* การตรวจพยานหลักฐานอิเล็กทรอนิกส์ในคอมพิวเตอร์จำเป็นต้องมีการทำสำเนาข้อมูลทั้งหมด

Forensic Imager

ใช้ในการสำเนาหลักฐานในรูปแบบของ Disk to File (Image) เป็นการเก็บหลักฐานโดยทำการสำเนาจาก Disk ต้นทาง ไปเป็นไฟล์ Disk Image (Raw, E01,..) ลงบนปลายทาง

Forensic Imager 

รูปจำลองทางการตรวจพิสูจน์หลักฐาน (Forensic image) หรือสำเนาของสื่อต้นฉบับ

ใช้ในการสำเนาหลักฐานในรูปแบบของ Disk to disk เป็นการเก็บหลักฐานโดยทำการสำเนาจาก Disk ต้นทาง ไปยัง Disk ปลายทาง

Disk to Disk

Tableau Forensic Duplicator TD2u

Forensic Imager Introduction

Forensic Duplicator TD3 Download

ที่มา:

กลุ่มงานตรวจพิสูจน์อาชญากรรมคอมพิวเตอร์ กองพิสูจน์หลักฐานกลาง

tableau
Guidance Software

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป

ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud

Windows Forensic for Beginner Admin

เปิดรับสมัครอบรม Windows Forensic for Beginner Admin

หัวข้อ Technical Workshop  1 วัน (5.30 Hrs.)

9.30 – 12.00 (2.30 Hrs.)

Fundamental of Windows Forensics

1.Why Forensics

What is Digital Forensics?

2.What the windows memory contains and why memory forensic?

Demo1: Memory Acquisition                            

• FTK imager memory dump ,Memory Forensic Tools 

                          
Volatility framework 

1.           

13.00 – 16.00 (3 Hrs.)

3. Important of Disk Imaging

• Demo2: Tools & Disk Imaging

4. Windows Network

• Demo3: Network Traffic Capture

5.Windows Event Log Analysis

Demo4: Event Log

 

 OSForensics

หลักสูตรอบรม Windows Security & Forensic

Certificate of Completion  Windows Security & Forensic 

กติกาการรับสมัคร

เปิดรับสมัคร วัน เสาร์ ที่ 16 มิถุนายน 2561 เวลา 16.00น. ผู้ที่สนใจเข้าร่วม Workshop  บริจาคเงินเท่าไรก็ได้ ให้สถานพยาบาล (โดยเป็นชื่อตัวเอง) แล้ว Post ใบเสร็จใต้ URL https://www.facebook.com/mvpskill/photos/a.226559497357544.73166.199476786732482/2131874896825985/?type=3&theater 10 อันดับแรก จะได้ Confirmed ที่นั่งอบรม  โดยใบเสร็จรับเงินการบริจาคจะต้องเป็นใบเสร็จรับเงินในระหว่างวันที่ 16 มิย. – 6 กค. 61 เท่านั้น

ศึกษาเพิ่มเติม Windows Security & Forensics Free Online

ขอขอบคุณ ผู้เข้าอบรมที่นอกจากเก่งแล้วใจบุญด้วย อีกทั้งอาจารย์ระดับเทพ พอฟังแล้วนี่มันไม่ใช่ Basic Admin มันคือระดับเทพ Admin หวังว่าจะได้รับประโยชน์ทุกท่าน กับ Windows Forensics Workshop งานครั้งที่ 3 ของทีม mvpskill.com และขอบคุณสปอนเซอร์ บริษัท ฟิวชั่น โซลูชั่น จำกัด / Fusion Solution Co., Ltd. ในการสนับสนุนสถานที่ ขนมเบรก และข้าวกลางวันให้กับทางเราด้วยครับ...ผู้อบรมมีความเห็นอย่างไรบ้างแชร์กันได้เลย....(ปล.ยังเทรนไม่จบเพราะคนเรียนคนสอนมันกันมาก)

 

 

 

 

Reference :  mvpskill windows forensics 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

Digital Forensics: พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544

Digital Forensics: พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544

พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 และที่แก้ไขเพิ่มเติม ได้รับรองสถานะหรือผลทางกฎหมายของข้อมูลอิเล็กทรอนิกส์ ในมาตรา 7 และมาตรา 11 เพื่อให้สามารถใช้ได้เช่นเดียวกับเอกสารกระดาษ พร้อมทั้งกำหนดหลักเกณฑ์ขั้นต่ำของการจัดทำเอกสารอิเล็กทรอนิกส์ในวงจรเอกสารที่สำคัญ เช่น การทำเป็นหนังสือ การลงลายมือชื่อ การเก็บรักษาหรือนำเสนอเอกสารต้นฉบับ เป็นต้น
ทั้งนี้ ปัจจุบันมีตัวอย่างของคำพิพากษาที่ตัดสินคดีที่มีการนำข้อมูลอิเล็กทรอนิกส์มาใช้เป็นพยานหลักฐานในชั้นศาล และศาลได้รับรองให้ใช้ได้ตามกฎหมาย ได้แก่

คำพิพากษาศาลฎีกาที่ 8089/2560 และคำพิพากษาศาลฎีกาที่ 6757/2560

นอกจากนี้ ศาลยุติธรรมได้เตรียมพร้อมสู่การเป็นศาลอิเล็กทรอนิกส์ (e-Court) ในหลาย ๆ เรื่อง เช่น การรองรับการยื่นและส่งคําคู่ความในรูปแบบข้อมูลอิเล็กทรอนิกส์ ซึ่งเป็นไปตามพระราชบัญญัติแก้ไขเพิ่มเติมประมวลกฎหมายวิธีพิจารณาความแพ่ง (ฉบับที่ 28) พ.ศ. 2558
ทั้งนี้ สามารถดูรายละเอียดของพระราชบัญญัติธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 และที่แก้ไขเพิ่มเติม รวมถึงติดตามข่าวสารกฎหมายเทคโนโลยีสารสนเทศอื่น ๆ ได้ที่ https://ictlawcenter.etda.or.th

 การรับฟังข้อมูลอิเล็กทรอนิกส์เป็นพยานหลักฐาน

ความน่าเชื่อถือของพยานหลักฐาน

 ตัวอย่างการรับฟังข้อมูลอิเล็กทรอนิกส์เป็นพยานหลักฐาน

ฎีกา 8089/2556

 คำพิพากษาฎีกา

ฎีกา 6757/2560

 ที่มา ETDA

 หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud