Digital Forensics: การทำสำเนาข้อมูลดิจิทัล แบบ Volatile Data
Vo latile data หมายถึง
ข้อมูล ที่จะเปลี่ยนแปลงได้ง่าย หากมีความเปลี่ยนแปลงต่ออุปกรณ์ดิจิทัลที่ เกี่ยวข้อง เช่น ข้อมูลที่อยู่ในหน่วยความจำหลัก (RAM) ที่จะสูญไปเมื่อไม่มีกระแสไฟฟ้าหล่อเลี้ยง คอมพิวเตอร์ ข้อมูลการเชื่อมต่อในระบบเน็ทเวิร์ค ของอุปกรณ์ดิจิทัลที่จะเปลี่ยนแปลงไปและสูญหายเมื่อถูกตัด การเชื่อมต่อ (ที่มา:ข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน version1.0)
Random-access memory (RAM)
Volatile Data คือ
ข้อมูลที่บันทึกอยู่ในหน่วยความจำประเภทที่สามารถสูญหายได้เมื่อปิดอุปกรณ์ หรือเมื่อไม่มีไฟเลี้ยง
Volatile data
เป็นข้อมูลที่สามารถสูญหายไปทันทีที่ปิดเครื่องคอมพิวเตอร์
ได้แก่ข้อมูลที่บันทึกในแรม เช่น ข้อมูล Network connections, Running
applications, Running processes, Open/listening network connections
รวมถึงพาสเวิร์ดสำหรับใช้งานโปรแกรม เปิดอ่านอีเมล
หรือเข้าถึงพาร์ทิชันฮาร์ดดิสก์ที่ถูกเข้ารหัสไว้ เป็นต้น
Conducting of Live Forensic
Volatile Data
ข้อมูลอะไรบ้างที่อยู่ใน Volatile Data
- ข้อมูลการเชื่อมต่อไปยัง hacker
- Process การทำงาน Malware
- รหัสผ่าน
- อื่นๆ
Network Connections
ประโยชน์ของข้อมูล Volatile data
นอกจากจะสามารถใช้กู้พาสเวิร์ดที่คนร้ายอาจไม่ยอมบอกแล้วยังสามารถใช้ในการตรวจยืนยันว่าเครื่องคอมพิวเตอร์มีมัลแวร์ฝังอยู่หรือไม่
หรือถูกควบคุมโดยบุคคลอื่นโดยที่เจ้าของไม่รู้ตัวหรือไม่ด้วย
Volatility - Pslist
การทำสำเนาข้อมูลดิจิทัล แบบ Volatile Data
สำเนาข้อมูลจากหน่วยความจำหลัก (RAM) ของ คอมพิวเตอร์ที่กำลังเปิดใช้งานอยู่ (Live) ซึ่งข้อมูลสามารถเปลี่ยนแปลงได้ตลอดเวลา
ขณะรัน ซอฟต์แวร์สำหรับจัดเก็บ Volatile data จากสื่อบันทึกข้อมูล (เช่น USB flash drive) ที่เชื่อถือได้
การรันคำสั่งซอฟต์แวร์สำหรับจัดเก็บ ข้อมูลต้องใช้สิทธิ ระดับสูงที่สุด (Administrator) เพื่อให้สามารถจัดเก็บข้อมูลได้ครบถ้วน
ซอฟต์แวร์สำหรับจัดเก็บ ข้อมูลบางตัว จะบันทึกสำเนาข้อมูล ลงในโฟลเดอร์เดียวกับโฟลเดอร์ที่ซอฟต์แวร์นั้นอยู่ ดังนั้นจึงต้องตรวจสอบพื้นที่ในสื่อบันทึกข้อมูลให้มีเพียงพอจัดเก็บก่อนเริ่มจัดเก็บข้อมูล
ห้ามจัดเก็บ Volatile data ลงในหลักฐาน
A
collection of free tools (เครื่องมือ เก็บหลักฐานประเภท Volatile Memory)
เครื่องมือที่ใช้เก็บข้อมูลชนิด Volatile data
FTK Imager Lite
DumpIT
DumpIT Collecting Volatile Data
Memoryze & Audit Viewver,
Helix
Magnet Ram Capture
FTK Imager Lite
FTK Imager Lite เป็นโปรแกรมเก็บหลักฐาน โดยสามารถเก็บได้ทั้ง Harddisk, Memory โดยทำงานในรูปแบบของ Portable สามารถ Run ไม่จำเป็นต้องติดตั้งลงในเครื่องคอมพิวเตอร์พยานหลักฐาน สามารถดาวน์โหลด แล้วแตกไฟล์ใส่ลงใน Flash Drive ก็สามารถใช้งานได้เลย แล้วนำไปเสียบกับเครื่องคอมพิวเตอร์ที่ต้องการเก็บแรม สามารถเริ่มสำเนาแรมได้ทันทีโดยโปรแกรมจะเก็บไฟล์ Image ไว้ในโฟลเดอร์เดียวใน Flash Drive
โปรแกรม FTK Imager Lite ของบริษัท AccessData สามารถดาวน์โหลดได้จาก http://www.accessdata.com
หมายเหตุ : ข้อควรระวังเมื่อใช้โปรแกรมนี้คือเนื่องจากโปรแกรมนี้ไม่มีการตั้งค่าอะไรดังนั้นจะต้องเตรียมพื้นที่Thumb drive ให้เพียงพอกับขนาดแรมที่ต้องการจัดเก็บ
ไฟล์ Image ที่เก็บมานี้สามารถนำไปวิเคราะห์ต่อโดยใช้โปรแกรม เช่น Volatility , Rekall หรือโปรแกรมวิเคราะห์พยานหลักฐานดิจิทัลอื่น ๆ ซึ่งสามารถช่วยสกัดข้อมูลที่เป็นประโยชน์ออกมาได้
memory analysis
Volatility -Image Info
หมายเหตุ เนื่องจากการจัดเก็บข้อมูล Volatile data
นั้นจำเป็นต้องทำในขณะที่เครื่องคอมพิวเตอร์ยังเปิดใช้งานอยู่
ดังนั้นข้อมูลในแรมจะเปลี่ยนแปลงได้ตลอดเวลา ทำให้การทำสำเนาข้อมูล
Volatile data
ในแต่ละครั้งอาจได้ผลลัพธ์ที่แตกต่างกันได้ถึงแม้ว่าจะเป็นเครื่องคอมพิวเตอร์เครื่องเดียวกันภายในเวลาที่ใกล้เคียงกัน ทั้งนี้ Image file จะมีร่องรองยของโปรแกรมที่ใช้ในการทำสำเนาติดมาด้วย
การทำสำเนาข้อมูลดิจิทัล แบบ Volatile Data
VIDEO
ที่มา:
ข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud
No comments:
Post a Comment