Digital Forensics: Forensic Acquisition Of Solid State Drives (M2 SSD)

Digital Forensics: Forensic Acquisition Of Solid State Drives (M2 SSD)

บทความนี้จะเน้นเกี่ยวกับพื้นฐานเกี่ยวกับการเก็บหลักฐานที่ใช้ในการทำ Digital Forensics 

 วันนี้ Admin จะนำเสนอ การใช้เครื่องมือในการทำสำเนาหลักฐาน Forensic Image Solid State Drives ( M2 SSD)

ในปัจจุบัน SSD มีให้เลือกใช้งานหลากหลายประเภท เเล้วเเต่ว่าเครื่องคอมพิวเตอร์นั้นจะรองรับ SSD แบบใด ตอนนี้ในตลาดเราก็มี SSD ให้เลือกใช้ดังนี้ (เฉพาะ PC เเละ Notebook )

1.SATA lll มาตรฐาน SSD ทั่วไปสามารถใช้ได้ทั้ง PC และ Notebook
2.mSATA ใช้ได้กับ MB รุ่น Z68 Z77 Z87 และ Notebook เมื่อ 1-2 ปีเเล้ว
3.M.2 2242/2260/2280 มีทั้งแบบ SATA และ PCIe มาตรฐานใหม่สำหรับ MB Z97 /H97 / Z170 / H170 และ Notebook Gaming รุ่นใหม่ๆ
4.PCI-Express ความเเรงที่เเหกกฏคอขวดของ SATA มีความเร็วที่มากกว่าแบบ SATA lll
5.M.2 NVMe เทคโนโลยีใหม่ล่าสุดที่เปลี่ยน Protocol เป็นแบบ NVMe เเทนที่ Protocol เดิมอย่าง AHCI (เเนะนำให้ใช้กับ MB Z170)

 NVMe (Non-Volatile Memory Express) เป็นอินเทอร์เฟซการรับส่งข้อมูลและไดร์เวอร์ที่อาศัยข้อดีของ PCIe ที่มีแบนด์วิธมากกว่า  ถ่ายโอนข้อมูลได้เร็วกว่า SATA
6.USB คือ SSD External ที่มีความรวดเร็วในการโอนถ่ายข้อมูล มากกว่า HDD 3-4 เท่าตัว ปัจจุบันมีทั้งแบบ USB 3.0 / USB 3.1 / USB 3.1 + USAP

ที่มา :  https://bit.ly/2CwXOeh

An mSATA SSD (left) compared side-by-side to an M.2 2242 SSD

Photo by  Arrow Electronics

Check your M.2 SSD TYPE

M.2 NVME NGFF SSD Enclosure Adapter

การส่งข้อมูล

Photo by : www.kingston.com 

วันนี้จะมาแนะนำ การใช้เครื่องมือในการทำสำเนาหลักฐาน Forensic Image Solid State Drives ( M.2 SSD)


1. สิ่งที่ต้องเตรียม  M2 SSD  ใช้ที่ทำสอบ SAMSUNG 970 EVO 250GB  รุ่นนี้ มาพร้อมกับอินเทอร์เฟส NVMe ที่เป็นแบบ PCIe

2. Adapter สำหรับแปลง  M.2 SSD    (Tableau PCIe M.2 SSD Adapter)

FEATURES

Image PCIe M.2 SSDs in a forensically-sound manner when used with the Tableau Forensic Imager, Tableau Forensic PCIe Bridge, or Tableau Forensic Universal Bridge

3.  อุปกรณ์ write-blocker Tableau Forensic PCIe Bridge T7u    

ใช้สำหรับป้องกันการเขียนทับข้อมูลต้นฉบับ

อุปกรณ์ write-blocker

4. ทำการเชื่อมต่อ  SAMSUNG 970 EVO 250GB  กับ adapter + write-blocker ดังภาพ   และเชื่อมต่อกับเครื่องคอมพิวเตอร์สำหรับตรวจสอบ

The Tableau Forensic PCIe Bridge is the first-ever portable write-blocker that enables forensic acquisition of PCIe solid-state-drives when used with a Tableau PCIe Adapter. 

การทำสำเนาฮาร์ดดิสก์ M2 SSD ด้วยซอฟต์แวร์ FTK Imager โดยใช้อุปกรณ์ Write blocker

 5. ตรวจสอบฮาร์ดดิสก์พยานหลักฐานต้นฉบับ  Samsung SSD 970

 6. ตรวจสอบฮาร์ดดิสก์สำเนา  WD50 00AAKX

           ในกรณีที่ไม่มีฮาร์ดแวร์เฉพาะสำหรับทำสำเนาข้อมูล ก็สามารถใช้โปรแกรมเช่น FTK Imager อ่านข้อมูลจากฮาร์ดดิสก์พยานหลักฐานผ่าน Write blocker เพื่อป้องกันการเปลี่ยนแปลงข้อมูลพยานหลักฐานต้นฉบับ แล้วเขียนข้อมูลไปยังฮาร์ดดิสก์สำเนา ในตัวอย่างนี้ฮาร์ดดิสก์พยานหลักฐานต้นฉบับอยู่ในอุปกรณ์ Write blocker (Tableau) ด้านขวามือซึ่งมีไฟสีเขียวแสดงสถานะทำงาน เมื่อโปรแกรม FTK Imager ซึ่งติดตั้งอยู่ในเครื่องคอมพิวเตอร์แล็ปท็อป อ่านข้อมูลมาแล้วก็จะเขียนลงในฮาร์ดดิสก์สำเนาแบบ bit-to-bit จนกว่าจะอ่านข้อมูลทั้งหมดจากพยานหลักฐานต้นฉบับและเขียนไว้ในสำเนาครบถ้วนสมบูรณ์ ซึ่งสามารถตรวจสอบได้จากไฟล์ Log ที่บันทึกข้อมูลที่เกี่ยวข้องทั้งหมด

7. เริ่มขั้นตอนการสร้าง Image โดย  FTK Imager โดยเลือก ฮาร์ดดิสก์พยานหลักฐานต้นฉบับ

 Download FTK® Imager Lite 3.1.1

 8.เมื่อทำตามขั้นตอนครบแล้ว ให้รอจนกว่าโปรแกรมจะทำงานเสร็จ

Creating Image

 9. เมื่อโปรแกรมทำงานเสร็จจะแสดง รายงาน Log file แสดงข้อมูลเกี่ยวกับฮาร์ดดิสก์ วันและเวลาที่ทำสำเนา และค่าแฮชของพยานหลักฐานต้นฉบับ

 MD5 checksum:    fa6f26bdcd2e254e2f0f1af652604440
 SHA1 checksum:   637f000e73e792b7065cee6151970308d96766d8

Verify Results

Report

สรุป

 -วิธีการตรวจสอบความสมบูรณ์ของไฟล์โดยใช้ MD5 และ SHA1 Hashes อัลกอริทึมที่ใช้กันทั่วไปสองค่าสำหรับค่าแฮชคือค่า MD5 และ SHA1

คุณสามารถเปรียบเทียบค่าแฮชได้กับไฟล์ต้นฉบับของไฟล์ (Original  Evidence)เพื่อตรวจสอบว่าไฟล์ที่คุณมีนั้นไม่มีใครแตะต้องหรือไม่ ด้วย MD5 และ SHA-1  ซึ่งโดยหลักการ  ค่าแฮช  MD5 และ SHA1 ของต้นฉบับ ต้องเหมือนกัน  เพื่อยืนยันความครบถ้วนสมบูรณ์ของกระบวนการทำสำเนา

-  การใช้อุปกรณ์ป้องกันการเขียนทับ (Write Blocker) ข้อมูลต้นฉบับ จะสามารถป้องกันการเข้าถึงและการเขียนข้อมูลลงหลักฐานจากเครื่องคอมพิวเตอร์ที่ตรวจสอบได้ แต่จะไม่สามารถป้องกัน การทำงานจาก Garbage Collection ที่เกิดจากชิป controller ใน SSD ได้

Forensic Data Acquisition - Hardware Write Blockers

Credit: DFIR.Science youtube

ที่มา:
https://en.wikipedia.org/wiki/Write_amplification#Garbage_collection
https://bit.ly/2Amyqq4
https://bit.ly/2J76lFT
https://bit.ly/1CyCHhg
https://bit.ly/2rpCVM1
https://bit.ly/30jYjS6
https://bit.ly/2ZcSgBh

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud