Digital Forensics: Volatile Data

Digital Forensics: การทำสำเนาข้อมูลดิจิทัล แบบ Volatile Data 

Volatile data หมายถึง 

ข้อมูลที่จะเปลี่ยนแปลงได้ง่าย หากมีความเปลี่ยนแปลงต่ออุปกรณ์ดิจิทัลที่เกี่ยวข้อง เช่น ข้อมูลที่อยู่ในหน่วยความจำหลัก (RAM) ที่จะสูญไปเมื่อไม่มีกระแสไฟฟ้าหล่อเลี้ยงคอมพิวเตอร์ ข้อมูลการเชื่อมต่อในระบบเน็ทเวิร์ค ของอุปกรณ์ดิจิทัลที่จะเปลี่ยนแปลงไปและสูญหายเมื่อถูกตัดการเชื่อมต่อ  (ที่มา:ข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน version1.0)

Random-access memory (RAM)

Volatile Data คือ

ข้อมูลที่บันทึกอยู่ในหน่วยความจำประเภทที่สามารถสูญหายได้เมื่อปิดอุปกรณ์ หรือเมื่อไม่มีไฟเลี้ยง

Volatile data 

เป็นข้อมูลที่สามารถสูญหายไปทันทีที่ปิดเครื่องคอมพิวเตอร์ ได้แก่ข้อมูลที่บันทึกในแรม เช่น ข้อมูล Network connections, Running applications, Running processes, Open/listening network connections รวมถึงพาสเวิร์ดสำหรับใช้งานโปรแกรม เปิดอ่านอีเมล หรือเข้าถึงพาร์ทิชันฮาร์ดดิสก์ที่ถูกเข้ารหัสไว้ เป็นต้น

Conducting of Live Forensic

Volatile Data

 

    ข้อมูลอะไรบ้างที่อยู่ใน  Volatile Data

                 - ข้อมูลการเชื่อมต่อไปยัง hacker

                 - Process การทำงาน Malware
                 - รหัสผ่าน
                 - อื่นๆ

Network Connections

ประโยชน์ของข้อมูล Volatile data

 นอกจากจะสามารถใช้กู้พาสเวิร์ดที่คนร้ายอาจไม่ยอมบอกแล้วยังสามารถใช้ในการตรวจยืนยันว่าเครื่องคอมพิวเตอร์มีมัลแวร์ฝังอยู่หรือไม่ หรือถูกควบคุมโดยบุคคลอื่นโดยที่เจ้าของไม่รู้ตัวหรือไม่ด้วย

Volatility - Pslist

การทำสำเนาข้อมูลดิจิทัล แบบ Volatile Data

• สำเนาข้อมูลจากหน่วยความจำหลัก (RAM) ของ คอมพิวเตอร์ที่กำลังเปิดใช้งานอยู่ (Live) ซึ่งข้อมูลสามารถเปลี่ยนแปลงได้ตลอดเวลา
• ขณะรัน ซอฟต์แวร์สำหรับจัดเก็บ Volatile data จากสื่อบันทึกข้อมูล (เช่น USB flash drive) ที่เชื่อถือได้
• การรันคำสั่งซอฟต์แวร์สำหรับจัดเก็บ  ข้อมูลต้องใช้สิทธิ ระดับสูงที่สุด (Administrator) เพื่อให้สามารถจัดเก็บข้อมูลได้ครบถ้วน
• ซอฟต์แวร์สำหรับจัดเก็บ ข้อมูลบางตัว จะบันทึกสำเนาข้อมูล ลงในโฟลเดอร์เดียวกับโฟลเดอร์ที่ซอฟต์แวร์นั้นอยู่ ดังนั้นจึงต้องตรวจสอบพื้นที่ในสื่อบันทึกข้อมูลให้มีเพียงพอจัดเก็บก่อนเริ่มจัดเก็บข้อมูล
• ห้ามจัดเก็บ Volatile data ลงในหลักฐาน

A collection of free tools  (เครื่องมือเก็บหลักฐานประเภท Volatile Memory)

เครื่องมือที่ใช้เก็บข้อมูลชนิด Volatile data

• FTK Imager Lite

• DumpIT

  

  DumpIT   Collecting Volatile Data

• Memoryze & Audit Viewver, 

• Helix

• Magnet Ram Capture

FTK Imager Lite

 FTK Imager Lite  เป็นโปรแกรมเก็บหลักฐาน  โดยสามารถเก็บได้ทั้ง Harddisk, Memory โดยทำงานในรูปแบบของ Portable สามารถ Run ไม่จำเป็นต้องติดตั้งลงในเครื่องคอมพิวเตอร์พยานหลักฐาน   สามารถดาวน์โหลดแล้วแตกไฟล์ใส่ลงใน Flash Drive ก็สามารถใช้งานได้เลย แล้วนำไปเสียบกับเครื่องคอมพิวเตอร์ที่ต้องการเก็บแรม  สามารถเริ่มสำเนาแรมได้ทันทีโดยโปรแกรมจะเก็บไฟล์ Image ไว้ในโฟลเดอร์เดียวใน Flash Drive

โปรแกรม FTK Imager Lite  ของบริษัท AccessData สามารถดาวน์โหลดได้จาก http://www.accessdata.com

หมายเหตุ : ข้อควรระวังเมื่อใช้โปรแกรมนี้คือเนื่องจากโปรแกรมนี้ไม่มีการตั้งค่าอะไรดังนั้นจะต้องเตรียมพื้นที่Thumb drive ให้เพียงพอกับขนาดแรมที่ต้องการจัดเก็บ

ไฟล์ Image ที่เก็บมานี้สามารถนำไปวิเคราะห์ต่อโดยใช้โปรแกรม เช่น Volatility , Rekallหรือโปรแกรมวิเคราะห์พยานหลักฐานดิจิทัลอื่น ๆ ซึ่งสามารถช่วยสกัดข้อมูลที่เป็นประโยชน์ออกมาได้

memory analysis

Volatility -Image Info

หมายเหตุ เนื่องจากการจัดเก็บข้อมูล Volatile data นั้นจำเป็นต้องทำในขณะที่เครื่องคอมพิวเตอร์ยังเปิดใช้งานอยู่ ดังนั้นข้อมูลในแรมจะเปลี่ยนแปลงได้ตลอดเวลา ทำให้การทำสำเนาข้อมูล Volatile data ในแต่ละครั้งอาจได้ผลลัพธ์ที่แตกต่างกันได้ถึงแม้ว่าจะเป็นเครื่องคอมพิวเตอร์เครื่องเดียวกันภายในเวลาที่ใกล้เคียงกัน ทั้งนี้ Image file จะมีร่องรองยของโปรแกรมที่ใช้ในการทำสำเนาติดมาด้วย

การทำสำเนาข้อมูลดิจิทัล แบบ Volatile Data

 ที่มา:

• ETDA Channel 

• thaicert

• ข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud