Digital Forensics:คดีดิจิทัล (Digital Case)

ความเข้าใจพื้นฐานฯ ผู้ใช้อินเทอร์เน็ต ยุค 4.0 ต้องรู้

พยานหลักฐานดิจิทัลมีอยู่ที่ไหน บ้าง ?

พยานหลักฐานทางดิจิทัล หรือที่เรียกสั้นๆ ว่า หลักฐานดิจิทัล นั้นอยูุใน “ทุกที่” ทั้งข้อมูลในตัวอุปกรณ์และจากเครือข่ายที่ใช้งาน สามารถจําแนกแหล่ง

ข้อมูลได้ดังนี้ 

1) ระบบคอมพิวเตอร์ หรืออุปกรณ์อิเล็กทอร์นิกส์ (Physical Layer) เช่น 

ในพื้นที่ว่าง (Free space) ในฮาร์ดดิสก์ หรือ พื้นที่เก็บรวบรวมแฟ้มที่ถูกลบ (Deleted space) ที่เรารู้จักกันชื่อ ถังขยะรีไซเคิ้ล (Recycle Bin) พื้นที่หน่วย- ความจําเสมือน (Virtual Memory) แฟ้มชั่วคราว (Temperately File) แฟ้มประวัติ(History File) ที่สร้างโดยซอฟต์แวร์ประยุกต์ และข้อมูลจากการลงทะเบียนใช้งานระบบ (Register File) เป็นต้น

2) ชั้นโปรแกรมประยุกต์ (Application Layer) เช็น จดหมายอิเล็กทรอนิกส์(อีเมล) กระดานข่าว (เว็บบอร์ด) โปรแกรมสนทนา (ไลน์และวอตแอพ) เว็บไซต์แฟ้มประวัติอินเทอร์เน็ต (Internet history files) และแฟ้มอินเทอร์เน็ตชั่วคราว(Cache file) เป็นต้น

3) ชั้นส่งข้อมูลและชั้นไอพี (Transport layer) เช่น ข้อมูลชุดหมายเลขเครื่องที่รู้จักกันในชื่อ ไอพีแอดเดรส (IP Address) และแฟ้มบันทึกการเข้าออกและตารางแสดงสถานะ(log file)เป็นต้น

4) ชั้นเชื่อมโยงเครือข่าย (Inter-networking layer) เช่น หน่วยความจําแคช(Cache) และแฟ้มบันทึกการทํางาน (Log file) ของเราท์เตอร์ เป็นต้น

การตรวจพิสูจน์หลักฐานดิจิทัลิสูจน์หลักฐานดิจิทัล

การตรวจพิสูจน์หลักฐานในคดีความทางดิจิทัล เจ้าหน้าที่ตํารวจหรือเจ้าหน้าที่ผู้มีอํานาจหน้าที่ ต้องตรวจพิสูจน์หลักฐานอะไรกันบ้าง มาติดตามกัน

1) หลักฐานคอมพิวเตอร์ (Computer Forensics) ได้แก่ บัญชีผู้ใช้ (UserName) รอยประทับเวลา (Time stamp) รูปภาพ จดหมายอิเล็กทรอนิกส์ (อีเมล)แฟ้มข้อมูลที่บันทึกอยู่ในฮาร์ดดิสก์ของเครื่องคอมพิวเตอร์ รวมทั้งที่บันทึกจากหน่วยความจํา เป็นต้น

2) หลักฐานในโทรศัพท์เคลื่อนที่ (Cell Phone Forensics) ได้แก่ ข้อมูลบันทึกที่สร้างขึ้นโดยผู้ให้บริการโทรศัพท์มือถืออย่าง เช่น ข้อมูลการเรียกเก็บเงิน

การบันทึกการใช้บริการ ทั้งหมายเลขที่โทรออก โทรเข้า ระยะเวลาการใช้บริการ-โทรศัพท์ วันเวลาการโทรศัพท์ สถานีเครือข่ายที่โทรศัพท์เครื่องนั้นใช้งาน รายชื่อ-ผู้ติดต่อในโทรศัพท์ แฟ้มข้อความ แฟ้มรูปภาพ และจดหมายอิเล็กทรอนิกส์(อีเมล) ที่จัดเก็บในโทรศัพท์ เป็นต้น

3) หลักฐานตําแหน่งจีพีเอส (GPS Position) เช่น ต้นทางอยู่ที่ไหนตําแหน่งที่อยู่ก่อนหน้านี้ สถานที่ที่ชอบเดินทางไป ไปบ่อยแค่ไหน หยุดที่สถานที่-ใดบ้าง นานเท่าใด เป็นต้น

4) หลักฐานจากเครือข่ายสังคมออนไลน์ (Social Media Forensics) ได้แก่ข้อมูลเกี่ยวกับกิจกรรมออนไลน์กับกลุ่มเพื่อน การสื่อสาร กระทั่งข้อความที่แสดงถึงแนวคิดของบุคคลผู้ต้องสงสัย เป็นต้น

5) หลักฐานสื่อวีดิทัศนและภาพถาย (Digital Video and Photo Forensics)ได้แก่ การตรวจสอบและวิเคราะหสื่อประเภทวีดีทัศน์และภาพถ่าย ที่เป็นหลักฐานเกี่ยวข้องกับผู้ต้องสงสัย เป็นต้น

6) หลักฐานในตัวกล้องถ่ายภาพ (Digital Camera Forensics) ได้แก่ ภาพถ่ายข้อมูลเกี่ยวกับภาพ ข้อมูลรายละเอียดของภาพถ่าย (meta data) ชนิดแฟ้มขนาดแฟ้ม จํานวนพิกเซลของภาพถ่าย รุ่นของกล้อง วันเวลาบันทึกภาพ เป็นต้น

7) หลักฐานจากเกม (Game Console Forensics) ได้แก่ รายละเอียดของผู้เล่นเกม (meta data) ข้อมูลผู้เล่น บัญชีออนไลน์ วันเวลาที่เล่น และจํานวนชั่วโมงที่เล่นของตัวผู้ต้องสงสัย เป็นต้น

สรุป

การต่อสู้คดีดิจิทัลนั้นให้นํ้าหนักสําคัญ 3 สิ่ง คือ 

1) ความแท้จริงของหลักฐาน ว่าไม่ถูกแก้ไขเปลี่ยนแปลงหรือได้รับความเสียหาย 

2) ความน่าเชื่อถือของโปรแกรมหรือซอฟต์แวร์ที่นํามาใช้วิเคราะห์หลักฐาน และ 

3) ผู้เชี่ยวชาญที่ต้องผ่านการอบรมมาโดยเฉพาะ สาเหตุเพราะหลักฐานทางดิจิทัลอ่อนไหวมากเพียงแค่ยึดคอมพิวเตอร์ไป แล้วเจ้าหน้าที่ไม่ทําการสําเนาข้อมูล แต่เปิดคอมพิวเตอร์ที่ยึดนั้น ในระหว่างสอบสวน เพียงเท่านี้จําเลยก็สามารถโต้แย้ง้เพราะทุกครั้ง

ที่เป็นคอมพิวเตอร์จะกระทบต่อการจัดเก็บข้อมูลภายในไม่มากก็น้อย ดังนั้นต้องมีมาตรฐานขอกระบวนการทั้งหมดที่เกี่ยวกับการพิสูจน์พยานหลักฐานทางดิจิทัล โดยเริ่มตั้งแต่ 

1) การรวบรวมพยานหลักฐาน 

2) การเก็บรักษาพยานหลักฐาน กฎหมายไทยได้ โดยเฉพาะพวกหัวหน้าอั้งยี่ทั้งหลาย

3) การวิเคราะห์หลักฐาน 

4) การนําเสนอหลักฐานต่อหน้าผู้พิพากษาและที่สําคัญคือจะยึดคอมพิวเตอร์ของส่วนบุคคลเพื่อตรวจค้นหาหลักฐานได้นั้น ต้องมีหมายจากศาลเท่านั้น

Credit:ข่าวรามคำแหง ฉบับที่ 10 ปีที่ 48 วันที่ 18-24 มิถุนายน 2561 อาจารย์ประหยัด เลวัน ภาควิชาวิทยาการคอมพิวเตอร์ คณะวิทยาศาสตร์

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud #พยานหลักฐานดิจิทัล

Digital Forensics: RDP Cache

Digital Forensics: RDP Cache

ในระบบ Windows จะมีเครื่องมือสำหรับรีโมตไปควบคุมเครื่องคอมพิวเตอร์เครื่องอื่นผ่านระบบเครือข่ายเรียกว่า  Remote Desktop ด้วยการเปิดรันคำสั่ง  mstsc.exe   บน  Microsoft Windows  เมื่อทำการรีโมตไปควบคุมคอมพิวเตอร์เครื่องอื่น  จะมีการสร้างประวัติไฟล์ที่เรียกว่า Bitmap cache เก็บไว้ในดิสก์ซึ่งจะมีรูปภาพหน้าจอของเครื่องคอมพิวเตอร์ที่ถูกควบคุมเก็บไว้ในรูปแบบไฟล์  *.bmc และ*.bin

 Bitmap cache ถูกเก็บไว้ที่

Where Bitmap cache are stored?

%LOCALAPPDATA%\Microsoft\Terminal Server Client\Cache

 Cache File

เราต้องใช้เครื่องมือbmc-tools สำหรับแตกไฟล์  Bitmap cache  ออกมาเป็นรูปภาพ

bmc-tools processes bcache*.bmc and cache*.bin files found inside Windows user profiles.
Dowload bmc-tools

-h  Help

-s SRC, --src SRC Specify the BMCache file or directory to process.

-d DEST, --dest DEST Specify the directory where to store the extracted bitmaps.

-d Output

./bmc-tools.py [-h] -s SRC -d DEST

RDP Bitmap Cache parser.

 Output of Parsed cached file

จากการทดสอบ ร่อยรอยที่พบ เช่น เคยเข้าถึงเครื่องคอมพิวเตอร์เครื่องใดบ้าง  , วันเวลาที่เข้าใช้งาน , เคยเข้าไฟล์และโฟลเดอร์ เป็นต้น

User  access event log

Time and Date

Access to  windows server 2008R2

OS version

user access file and folder permissions settings 

 ที่มา:

BMC-Tools
cbtgeeks


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Digital Forensics: Forensic Acquisition Of Solid State Drives (M2 SSD)

Digital Forensics: Forensic Acquisition Of Solid State Drives (M2 SSD)

บทความนี้จะเน้นเกี่ยวกับพื้นฐานเกี่ยวกับการเก็บหลักฐานที่ใช้ในการทำ Digital Forensics 

 วันนี้ Admin จะนำเสนอ การใช้เครื่องมือในการทำสำเนาหลักฐาน Forensic Image Solid State Drives ( M2 SSD)

ในปัจจุบัน SSD มีให้เลือกใช้งานหลากหลายประเภท เเล้วเเต่ว่าเครื่องคอมพิวเตอร์นั้นจะรองรับ SSD แบบใด ตอนนี้ในตลาดเราก็มี SSD ให้เลือกใช้ดังนี้ (เฉพาะ PC เเละ Notebook )

1.SATA lll มาตรฐาน SSD ทั่วไปสามารถใช้ได้ทั้ง PC และ Notebook
2.mSATA ใช้ได้กับ MB รุ่น Z68 Z77 Z87 และ Notebook เมื่อ 1-2 ปีเเล้ว
3.M.2 2242/2260/2280 มีทั้งแบบ SATA และ PCIe มาตรฐานใหม่สำหรับ MB Z97 /H97 / Z170 / H170 และ Notebook Gaming รุ่นใหม่ๆ
4.PCI-Express ความเเรงที่เเหกกฏคอขวดของ SATA มีความเร็วที่มากกว่าแบบ SATA lll
5.M.2 NVMe เทคโนโลยีใหม่ล่าสุดที่เปลี่ยน Protocol เป็นแบบ NVMe เเทนที่ Protocol เดิมอย่าง AHCI (เเนะนำให้ใช้กับ MB Z170)

 NVMe (Non-Volatile Memory Express) เป็นอินเทอร์เฟซการรับส่งข้อมูลและไดร์เวอร์ที่อาศัยข้อดีของ PCIe ที่มีแบนด์วิธมากกว่า  ถ่ายโอนข้อมูลได้เร็วกว่า SATA
6.USB คือ SSD External ที่มีความรวดเร็วในการโอนถ่ายข้อมูล มากกว่า HDD 3-4 เท่าตัว ปัจจุบันมีทั้งแบบ USB 3.0 / USB 3.1 / USB 3.1 + USAP

ที่มา :  https://bit.ly/2CwXOeh

An mSATA SSD (left) compared side-by-side to an M.2 2242 SSD

Photo by  Arrow Electronics

Check your M.2 SSD TYPE

M.2 NVME NGFF SSD Enclosure Adapter

การส่งข้อมูล

Photo by : www.kingston.com 

วันนี้จะมาแนะนำ การใช้เครื่องมือในการทำสำเนาหลักฐาน Forensic Image Solid State Drives ( M.2 SSD)


1. สิ่งที่ต้องเตรียม  M2 SSD  ใช้ที่ทำสอบ SAMSUNG 970 EVO 250GB  รุ่นนี้ มาพร้อมกับอินเทอร์เฟส NVMe ที่เป็นแบบ PCIe

2. Adapter สำหรับแปลง  M.2 SSD    (Tableau PCIe M.2 SSD Adapter)

FEATURES

Image PCIe M.2 SSDs in a forensically-sound manner when used with the Tableau Forensic Imager, Tableau Forensic PCIe Bridge, or Tableau Forensic Universal Bridge

3.  อุปกรณ์ write-blocker Tableau Forensic PCIe Bridge T7u    

ใช้สำหรับป้องกันการเขียนทับข้อมูลต้นฉบับ

อุปกรณ์ write-blocker

4. ทำการเชื่อมต่อ  SAMSUNG 970 EVO 250GB  กับ adapter + write-blocker ดังภาพ   และเชื่อมต่อกับเครื่องคอมพิวเตอร์สำหรับตรวจสอบ

The Tableau Forensic PCIe Bridge is the first-ever portable write-blocker that enables forensic acquisition of PCIe solid-state-drives when used with a Tableau PCIe Adapter. 

การทำสำเนาฮาร์ดดิสก์ M2 SSD ด้วยซอฟต์แวร์ FTK Imager โดยใช้อุปกรณ์ Write blocker

 5. ตรวจสอบฮาร์ดดิสก์พยานหลักฐานต้นฉบับ  Samsung SSD 970

 6. ตรวจสอบฮาร์ดดิสก์สำเนา  WD50 00AAKX

           ในกรณีที่ไม่มีฮาร์ดแวร์เฉพาะสำหรับทำสำเนาข้อมูล ก็สามารถใช้โปรแกรมเช่น FTK Imager อ่านข้อมูลจากฮาร์ดดิสก์พยานหลักฐานผ่าน Write blocker เพื่อป้องกันการเปลี่ยนแปลงข้อมูลพยานหลักฐานต้นฉบับ แล้วเขียนข้อมูลไปยังฮาร์ดดิสก์สำเนา ในตัวอย่างนี้ฮาร์ดดิสก์พยานหลักฐานต้นฉบับอยู่ในอุปกรณ์ Write blocker (Tableau) ด้านขวามือซึ่งมีไฟสีเขียวแสดงสถานะทำงาน เมื่อโปรแกรม FTK Imager ซึ่งติดตั้งอยู่ในเครื่องคอมพิวเตอร์แล็ปท็อป อ่านข้อมูลมาแล้วก็จะเขียนลงในฮาร์ดดิสก์สำเนาแบบ bit-to-bit จนกว่าจะอ่านข้อมูลทั้งหมดจากพยานหลักฐานต้นฉบับและเขียนไว้ในสำเนาครบถ้วนสมบูรณ์ ซึ่งสามารถตรวจสอบได้จากไฟล์ Log ที่บันทึกข้อมูลที่เกี่ยวข้องทั้งหมด

7. เริ่มขั้นตอนการสร้าง Image โดย  FTK Imager โดยเลือก ฮาร์ดดิสก์พยานหลักฐานต้นฉบับ

 Download FTK® Imager Lite 3.1.1

 8.เมื่อทำตามขั้นตอนครบแล้ว ให้รอจนกว่าโปรแกรมจะทำงานเสร็จ

Creating Image

 9. เมื่อโปรแกรมทำงานเสร็จจะแสดง รายงาน Log file แสดงข้อมูลเกี่ยวกับฮาร์ดดิสก์ วันและเวลาที่ทำสำเนา และค่าแฮชของพยานหลักฐานต้นฉบับ

 MD5 checksum:    fa6f26bdcd2e254e2f0f1af652604440
 SHA1 checksum:   637f000e73e792b7065cee6151970308d96766d8

Verify Results

Report

สรุป

 -วิธีการตรวจสอบความสมบูรณ์ของไฟล์โดยใช้ MD5 และ SHA1 Hashes อัลกอริทึมที่ใช้กันทั่วไปสองค่าสำหรับค่าแฮชคือค่า MD5 และ SHA1

คุณสามารถเปรียบเทียบค่าแฮชได้กับไฟล์ต้นฉบับของไฟล์ (Original  Evidence)เพื่อตรวจสอบว่าไฟล์ที่คุณมีนั้นไม่มีใครแตะต้องหรือไม่ ด้วย MD5 และ SHA-1  ซึ่งโดยหลักการ  ค่าแฮช  MD5 และ SHA1 ของต้นฉบับ ต้องเหมือนกัน  เพื่อยืนยันความครบถ้วนสมบูรณ์ของกระบวนการทำสำเนา

-  การใช้อุปกรณ์ป้องกันการเขียนทับ (Write Blocker) ข้อมูลต้นฉบับ จะสามารถป้องกันการเข้าถึงและการเขียนข้อมูลลงหลักฐานจากเครื่องคอมพิวเตอร์ที่ตรวจสอบได้ แต่จะไม่สามารถป้องกัน การทำงานจาก Garbage Collection ที่เกิดจากชิป controller ใน SSD ได้

Forensic Data Acquisition - Hardware Write Blockers

Credit: DFIR.Science youtube

ที่มา:
https://en.wikipedia.org/wiki/Write_amplification#Garbage_collection
https://bit.ly/2Amyqq4
https://bit.ly/2J76lFT
https://bit.ly/1CyCHhg
https://bit.ly/2rpCVM1
https://bit.ly/30jYjS6
https://bit.ly/2ZcSgBh

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud