Saturday, December 29, 2018

Digital Forensics:การเก็บหลักฐานอิเล็กทรอนิกส์ คดีละเมิดลิขสิทธิ์และพนันออนไลน์

Digital Forensics:การเก็บหลักฐานอิเล็กทรอนิกส์ คดีละเมิดลิขสิทธิ์และพนันออนไลน์


นิติวิทยาศาสตร์ สนับสนุน ดีเอสไอ และ กสทช. ในการเก็บหลักฐานอิเล็กทรอนิกส์ คดีละเมิดลิขสิทธิ์และพนันออนไลน์

Digital Forensics: Case Study

Server & digital evidence
Evidence markers numbers


Router , Server ,Computer & digital evidence

chain of custody form

วันที่ ๑๓ ธันวาคม ๒๕๖๑ กลุ่มปฏิบัติการทางนิติวิทยาศาสตร์ (ส่วนกลาง) และกลุ่มตรวจพิสูจน์พยานหลักฐานทางอิเล็กทรอนิกส์ สถาบันนิติวิทยาศาสตร์ สนับสนุนทีมปฏิบัติการ ร่วมกับกรมสอบสวนคดีพิเศษ โดยกองเทคโนโลยีและสารสนเทศ และสำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์และกิจการโทรคมนาคมแห่งชาติ (กสทช.) เข้าตรวจค้นเป้าหมายพร้อมกันในพื้นที่กรุงเทพมหานคร นนทบุรี ปทุมธานี สุพรรณบุรี เชียงใหม่ และลำปาง จำนวน ๑๙ จุด ทั่วประเทศ ในคดีความผิดตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ มาตรา ๘ และความผิดฐานร่วมกันแพร่เสียง แพร่ภาพ โดยเรียกเก็บเงินเพื่อประโยชน์อย่างอื่นในทางการค้าโดยไม่ได้รับอนุญาตจากเจ้าของลิขสิทธิ์
ผลการดำเนินการเข้าตรวจค้น และเก็บพยานหลักฐานทางนิติวิทยาศาสตร์ในพื้นที่เป้าหมายในพื้นที่กรุงเทพมหานคร พบผู้ดูแลระบบเว็บไซต์ คอมพิวเตอร์แม่ข่ายในการกระทำผิดและกล่องถ่ายทอดสัญญาณ โดยเป็นจุดปล่อยสัญญาณ (สตรีมมิ่ง) และถ่ายทอดสัญญาณของรายการต่างๆ เช่น รายการช่อง ๓ ช่อง ๕ ช่อง ๗ ช่อง ๙ และช่องสกายสปอร์ต โดยไม่ได้รับอนุญาต พบพยานหลักฐานอิเล็กทรอนิกส์หลายรายการ ทีมนิติวิทย์ฯ ได้จัดเก็บตามระบบส่งมอบให้พนักงานสอบสวนคดีพิเศษ เพื่อรวบรวมและส่งตรวจพิสูจน์ทางห้องปฏิบัติการต่อไป

ทีมา:
moj
innnews

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Friday, December 28, 2018

Digital Forensics: LogonSessions

Digital Forensics:LogonSessions


โปรแกรม LogonSessions เป็นเครื่องมือที่อยู่ในชุดของ Sysinternals Suite  ใช้สำหรับตรวจสอบ user logon และ sessions ที่อยู่ในระบบมีอะไรบ้าง ที่สำคัญ Free

 
 
logonsessions -p   เป็นคำสั่งแสดง user logon และ Process ที่ใช้อยู่ปัจจุบัน
 




 

C:\>logonsessions -p

[13] Logon session 00000000:6a6d6160:
    User name:    NTDEV\markruss
    Auth package: Kerberos
    Logon type:   RemoteInteractive
    Session:      1
    Sid:          S-1-5-21-397955417-626881126-188441444-3615555
    Logon time:   7/2/2015 6:05:31 PM
    Logon server: NTDEV-99
    DNS Domain:   NTDEV.CORP.MICROSOFT.COM
    UPN:          markruss@ntdev.microsoft.com
    15368: ProcExp.exe
    17528: ProcExp64.exe
    13116: cmd.exe
    17100: conhost.exe
     6716: logonsessions.exe


ที่มา: https://bit.ly/2LCiYdx

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

Digital Forensics: SSD กับการตรวจพิสูจน์พยานหลักฐานดิจิทัล

Digital Forensics: SSD กับการตรวจพิสูจน์พยานหลักฐานดิจิทัล

SSD กับการตรวจพิสูจน์พยานหลักฐานดิจิทัล

ในปี 2560 ศูนย์ดิจิทัลฟอเรนสิกส์ ได้รับพยานหลักฐานประเภท SSD (Solid State Drive) เข้ามาให้ตรวจพิสูจน์มากขึ้นเนื่องมาจากความนิยมใช้ SSD ที่เพิ่มสูงขึ้นถึงแม้ว่าจะมีราคาสูงกว่าและมีขนาดความ
จุที่น้อยกว่าฮาร์ดดิสก์แบบจานหมุน HDD(Hard Disk Drive) ก็ตาม แต่ SSD มีข้อดีและมีความสามารถอื่น ๆ ที่เหนือกว่า HDDหลายประการ เช่น ใช้ไฟฟ้าน้อยกว่า มีขนาดเล็กกว่าและน้ำหนักเบากว่า มีความร้อนน้อยกว่า เสียงเบากว่า ไม่มีเสียงดังของจานหมุน และข้อดีที่สำคัญคือ ทำงานเร็วกว่า HDD โดยสามารถเข้าถึงข้อมูลใน ตำแหน่งที่ต้องการอ่านหรือเขียนได้ทันที ในขณะที่ HDD ต้องรอให้หัวอ่านเลื่อนไปหาตำแหน่งข้อมูลที่ต้องการก่อน

เนื่องด้วย SSD ใช้หน่วยเก็บข้อมูลประเภท NAND Flash ซึ่งมีข้อจำกัดของจำนวนครั้งที่สามารถเขียนข้อมูลลงในหน่วยความจำได้ หากมีการเขียนข้อมูลลงในหน่วยเก็บข้อมูลพื้นที่เดิมบ่อย ๆ จะทำให้พื้นที่นั้นใช้งานไม่ได้อีกต่อไป ดังนั้น เพื่อแก้ปัญหาเรื่องอายุการใช้งานของ SSD จึงได้มีการใช้ 2 เทคนิค ดังนี้

1. Ware Leveling: เมื่อมีการเปลี่ยนแปลงเนื้อหาของไฟล์ใด ๆ เนื้อหาของไฟล์นั้นจะถูกย้ายไปแล้วบันทึกเป็นไฟล์ใหม่ลงในพื้นที่อื่นใน SSD ส่วนพื้นที่เดิมที่เก็บเนื้อหาของไฟล์เก่าจะไปเข้าคิวรอการเคลียร์ข้อมูล
An SSD experiences write amplification as a result of garbage collection and wear leveling, thereby increasing writes on the drive and reducing its life.[1]

2. Drive Trimming: หรือTrimming เป็นการเคลียร์ข้อมูลที่อยู่ในตำแหน่งเก่า อาจเป็นข้อมูลที่เกิดจากการเปลี่ยนแปลงเนื้อหาไฟล์ การลบไฟล์หรือการฟอร์แมต เพื่อให้พื้นที่นั้นพร้อมรับการเขียนข้อมูลใหม่ ในระบบปฏิบัติการWindows 7/8/10 กระบวนการ Trimmingได้ตั้งค่าเริ่มต้น (Default) ให้ทำงานอัตโนมัติตามการตั้งค่าของระบบปฏิบัติการ(Scheduler) โดยทั่วไปมักทำเป็นรายสัปดาห์
แม้ว่าเทคนิค Ware Leveling และTrimming จะช่วยเรื่องอายุการใช้งานของ SSD และทำให้ SSD ทำงานได้เร็วขึ้น แต่ส่งผลกระทบต่อการตรวจพิสูจน์ด้วยอุปสรรคที่เกิด ได้แก่

1. การเก็บรวบรวมพยานหลักฐานไม่สามารถใช้วิธีดั้งเดิมอีกต่อไปวิธีดั้งเดิมในข้างต้นหมายถึง กรณีเมื่อผู้เก็บรวบรวมพยานหลักฐาน ณ ที่เกิดเหตุพบเครื่องคอมพิวเตอร์ที่เปิดทิ้งไว้ หลังจากทำสำเนา Volatile Data แล้ว (โดยทั่วไป Volatile Data หมายถึงข้อมูลที่อยู่ใน RAM ซึ่งจะหายไปเมื่อปิดคอมพิวเตอร์) ก็จะดึงปลั๊กที่เชื่อมต่อกับเครื่องคอมพิวเตอร์ออกเพื่อรักษาสภาพของข้อมูล (หากปิดเครื่องด้วยวิธีปกติ จะทำให้มีการเขียนไฟล์และข้อมูลอื่น ๆ เพิ่มเติมก่อนเครื่องถูกปิดลง)จากนั้นจึงนำเครื่องคอมพิวเตอร์เพื่อกลับมาวิเคราะห์ต่อไปหากคอมพิวเตอร์ที่กำลังทำงานอยู่ใช้ SSD การดึงปลั๊กออกอย่างกะทันหันอาจทำให้ SSD เสียหาย (Brick) อย่างไรก็ตามเมื่อมีการจ่ายไฟเข้าไปอีกครั้ง SSD ส่วนมากจะสามารถซ่อมแซมข้อมูลในตัวเองได้ซึ่งในกระบวนการซ่อมแซมข้อมูลนั้นรวมไปถึงการทำ Ware Leveling และTrimming ซึ่งจะเป็นปัญหา เนื่องจากสภาพหลักฐาน (ข้อมูลใน SSD) จะถูกเปลี่ยนแปลงไปแล้วเมื่อเทียบกับข้อมูลในสถานที่เกิด เหตุดังนั้น แนวทางปฏิบัติที่นิยมกันสำหรับ SSD จึงเป็นการทำสำเนาข้อมูลในเครื่องคอมพิวเตอร์ในที่เกิดเหตุ ขณะที่เครื่องกำลังเปิดอยู่

2. การใช้เครื่องมือป้องกันการเขียน
(Write Blocker) ไม่สามารถป้องกันการเปลี่ยนแปลงข้อมูลได้ โดยปกติ Write Blocker จะใช้เชื่อมต่อกับสื่อบันทึกข้อมูล เพื่อป้องกันการเขียนข้อมูลลงไปในสื่อบันทึกข้อมูลนั้น เช่น การเชื่อมต่อกับพยานหลักฐานต้นฉบับ ในขั้นตอนการทำเนาข้อมูล เป็นต้น ในกรณีของ SSD เมื่อเชื่อมต่อกับ Write Blocker จะมีการจ่ายไฟเข้าไป Controller ของ SSD และ Controller อาจเริ่มกระบวนการ Ware Leveling และTrimming โดยอัตโนมัติ ทำให้ข้อมูลในพยานหลักฐานถูกเปลี่ยนแปลง ดังนั้น หากมีการนำ SSD เดิมมาทำสำเนาข้อมูลซ้ำอีกครั้ง อาจจะได้ค่าแฮชไม่เหมือนเดิม
 (ค่าแฮชเป็นค่าที่ได้มาจากการใช้อัลกอริทึมคำนวณเนื้อหาของข้อมูล โดยหากข้อมูล 2 ชุดมีค่าแฮชตรงกัน สามารถเชื่อได้ว่าข้อมูลทั้ง 2 ชุดมีเนื้อหาเหมือนกันทุกประการ รูปแบบค่าแฮชที่นิยม เช่น MD5,SHA1 และ SHA256)

3. อาจไม่สามารถกู้คืนข้อมูลที่ถูกลบไปแล้วได้ในกรณีของ HDD ข้อมูลที่ลบหรือฟอร์แมตไปแล้วจะยังสามารถกู้คืนกลับมาได้ ตราบเท่าที่พื้นเก็บข้อมูลตำแหน่งนั้นยังไม่มีการเขียนทับ เนื่องจากระบบไฟล์ (เช่น NTFS หรือ FAT32) และระบบปฏิบัติการเพียงแค่บันทึกข้อมูลไว้ว่าพื้นที่ตำแหน่งนี้ว่าง สามารถเขียนทับได้ ทำให้ผู้ใช้งานมองไม่เห็นข้อมูลนั้นอีก แต่ข้อมูลยังมีอยู่ที่ตำแหน่งเดิม ในกรณีของ SSD หากเกิดกระบวนการTrimming แล้ว ข้อมูลเก่าจะถูกลบออกไปโดยไม่สามารถกู้คืนได้อีก ซึ่งนับเป็นอุปสรรคสำคัญต่อการตรวจพิสูจน

(ThaiCERT Annual Report 2017-2018  Download)

Garbage collection

Pages are written into blocks until they become full. Then, the pages with current data are moved to a new block and the old block is erased.[2]

Garbage Collection คือ เทคโนโลยีที่ SSD รุ่นใหม่ใช้เพื่อปรับปรุงประสิทธิภาพและความทนทานในการใช้งาน

Garbage Collection เป็นฟังก์ชั่นในระบบควบคุม solid-state drivesโดยทั่วไปอุปกรณ์แฟลข NAND จะไม่เขียนทับข้อมูลที่มีอยู่ ข้อมูลจะผ่านรอบการเขียน/ลบ หากต้องการเขียนบล็อคข้อมูลที่ใช้อยู่แล้ว ชุดควบคุม solid-state drives จะคัดลอกไฟล์ที่ใช้งานทั้งหมดก่อนและเขียนข้อมูลชุดนี้ไปยังหน้าเปล่าของบล็อคข้อมูลอื่น ๆ และลบข้อมูลในเซลล์ทั้งหมดในบล็อคปัจจุบัน (ทั้งที่ใช้และไม่ได้ใช้งาน) จากนั้นจะเริ่มการเขียนข้อมูลใหม่ไปยังบล็อคที่เพิ่งถูกลบข้อมูลทิ้ง กระบวนการนี้เรียกว่า Garbage Collection (การรวบรวมข้อมูลขยะ) OS รุ่นใหม่ ๆ ยังรองรับคำสั่ง TRIM โดย OS จะแจ้งให้ SSD ทราบว่ามีการลบไฟล์บางตัวเพื่อให้ SSD สามารถจัดการกระบวนการ Garbage Collection ได้อย่างมีประสิทธิภาพและเตรียมพื้นที่จัดเก็บข้อมูลได้ก่อนล่วงหน้า ที่มา: kingston

ที่มา:
thaicert
http://www.thessdreview.com/daily-news/latest-buzz/garbage-collection-and-trim-in-ssds-explained-an-ssd-primer/
https://en.wikipedia.org/wiki/Garbage_collection_(SSD)#Garbage_collection

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #ศูนย์ดิจิทัลฟอเรนสิกส์

Digital Forensics: คดี DSIค้น18จุดทั่วปท.รวบผู้ต้องหาละเมิดเด็ก

Digital Forensics: คดี DSIค้น18จุดทั่วปท.รวบผู้ต้องหาละเมิดเด็ก


ดีเอสไอ สนธิกำลังพันธมิตรปูพรมตรวจค้น 18 จุดทั่วประเทศ จับกุม ผู้ต้องหา ล่วงละเมิดทางเพศเด็ก


Digital Forensics: Case Study 

กรมสอบสวนคดีพิเศษ หรือดีเอสไอ พร้อมหน่วยงานที่เกี่ยวข้องสนธิกำลัง เข้าตรวจค้น 18 จุด ใน 12 จังหวัดทั่วประเทศไทย โดยมีผู้ต้องสงสัยทั้งคนไทยและต่างชาติที่มีส่วนเกี่ยวข้อง อันเป็นความผิดฐานครอบครองและเผยแพร่สื่อลามกอนาจารเด็ก ภายใต้ชื่อ “ปฏิบัติการเสือดาว” หรือ “Operation Leopard”

ผลการตรวจค้น พบพยานหลักฐานที่บ่งชี้ถึงการกระทำความผิดทั้งหมด 8 จุด ใน 8 จังหวัด มีการตรวจยึดวัตถุพยานทางอิเล็กทรอนิกส์จำนวน 24 ชิ้นไว้เป็นหลักฐาน ประกอบด้วย เครื่องคอมพิวเตอร์ จำนวน 7 เครื่อง, โทรศัพท์มือถือ จำนวน 3 เครื่อง, ฮาร์ดดิสก์สำหรับเก็บข้อมูล จำนวน 11 ตัว, แท็บเล็ต (Tablet) 1 เครื่อง และเราเตอร์ (Router) 2 ตัว และมีการจับกุมผู้กระทำความผิดรวม 8 ราย ในข้อหาครอบครองสื่อลามกอนาจารเด็กเพื่อแสวงหาประโยชน์ในทางเพศสำหรับตนเองหรือผู้อื่น โดยในจำนวนทั้งหมด เป็นชาวไทยจำนวน 4 ราย และชาวต่างชาติ สัญชาติ อังกฤษ ออสเตรเลีย อิตาลีและฝรั่งเศส จำนวนทั้งหมด 4 ราย
กรมสอบสวนคดีพิเศษและสถาบันนิติวิทยาศาสตร์ จะร่วมกันตรวจสอบวิเคราะห์พยานหลักฐานทางอิเล็กทรอนิกส์ที่ตรวจยึดได้เพื่อใช้เป็นพยานหลักฐานในการพิสูจน์การกระทำผิดของบุคคลและจะได้สืบสวนสอบสวนเพื่อประสานการดำเนินการและส่งต่อให้พนักงานสอบสวน สำนักงานตำรวจแห่งชาติดำเนินคดีตามกฎหมายต่อไป และขยายผลเพิ่มเติมว่าการกระทำดังกล่าวมีลักษณะเข้าข่ายเป็นการค้ามนุษย์หรือไม่


ที่มา:

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Thursday, December 27, 2018

Digital Forensics:Windows Activate Event log

Digital Forensics:Windows Activate

  ทดสอบ: การตรวจสอบ Event log เมื่อ Activate windows แบบ MAK  

การเปิดใช้งาน Microsoft Windows  แบบโวลุ่มไลเซนส์ด้วย MAK นั้นสามารถทำได้ 2 วิธี คือ การใช้ Setting ซึ่งแผงควบคุมแบบใหม่ วิธีการนี้จะมีอินเทอร์เฟซแบบกราฟิกและมีการทำงานเป็นขั้นตอน (ทำงานแบบ Wizard) หรือใช้คำสั่ง SLMGR.VBS ซึ่งเป็นการทำงานแบบบรรทัดคำสั่งที่คอมมานด์พร้อมท์ โดยคุณสามารถเลือกใช้วิธีการใดก็ได้แล้วแต่ความชื่นชอบหรือความถนัดครับ

1. เตรียมตัวก่อนเปิดใช้งาน Windows 7,10 ด้วย MAK
ก่อนลงมือทำการเปิดใช้งาน Windows 7,10 แบบโวลุ่มไลเซนส์ด้วย MAK ให้คุณเตรียมความพร้อมดังนี้

  •     หมายเลขผลิตภัณฑ์ MAK ซึ่งคุณเข้าไปดูได้จากเว็บไซต์ Microsoft Volume License Service Center (VLSC)
  •     เครื่องพีซี Windows 7,10 แบบโวลุ่มไลเซนส์
  •     การเชื่อมต่ออินเทอร์เน็ต
Windows is not activated.


2. ทำการ Clear Event log > application
   และใช้คำสั่ง Slmgr -dlv  เพื่อดู สถานะ License

License Status : Notification
Clear Event log



3. ทำการ Activate MAK 

 ทำการใส่ MAK key
Add MAK Key
4.  หลังจากที่ Windows activate แล้วให้ ใช้คำสั่ง Slmgr -dlv  เพื่อดู สถานะ License

Activate ID: 2ffd8952-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Windows is Activated

5.  สังเกตุ Event log > Application > 1003
    The Software Protection service has completed licensing status check.
Activate ID: 2ffd8952-xxxx-xxxx-xxxx-xxxxxxxxxxxx
                              License Status : Licensed

Event Log : 1003
หมายเหตุ : สำหรับ License ที่ activate แบบ KMS  เราสามารถไปดู Registry

Registry >SoftwareProtectionsPlatform.
ProductActivationTime
ProductActivationTime  จะแสดงวันเวลาที่ Windows Activate  หลังจาก windows Activate  ซึ่งจะมีที่เป็นe  activate  licens แบบ KMS เท่านั้น

Event ID 12289
Event ID 12289 > processed an activation response

Event ID 12288
 Event ID 12288  > client has sent an activation request to the key management





ที่มา:
https://bit.ly/2wG2Hiu
https://bit.ly/2OdPke7
https://bit.ly/2OT4ISB




* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#Digital forensics
#Windows forensics
#dforensic.blogspot.com










Saturday, December 22, 2018

Digital Forensics:International Organization on Computer Evidence (IOCE)

Digital Forensics:International Organization on Computer Evidence (IOCE)

International Organization on Computer Evidence

IOCE Principles

IOCE คือ

International Organization on Computer Evidence หรือ IOCE ซึ่งเป็นหน่วยงานสากลที่ดูแลเกี่ยวกับการปฏิบัติต่อพยานหลักฐานคอมพิวเตอร์ ได้กำหนดหลักการสำคัญใน การเข้าค้นแล ะยึดอุปกรณ์อิเล็กทรอนิกส์ไว้ ๖ ประการ (Federal Bureau ofInvestigation, 2018) ดังนี้

หลักการสำคัญในการเข้าค้นแล ะยึดอุปกรณ์อิเล็กทรอนิกส์


๑. เมื่อใดก็ตามที่ต้องดำเนินการกับพยานหลักฐานดิจิทัล จะต้องมีการดำเนินการตามหลักปฏิบัติทั่วไปทางนิติคอมพิวเตอร์ และต้องดำเนินการตามขั้นตอนของนิติคอมพิวเตอร์

๒. ในขณะปฏิบัติการเก็บยึดพยานหลักฐานดิจิทัล การดำเนินการทุกอย่างจะต้องไม่ก่อให้เกิดการเปลี่ยนแปลงต่อพยานหลักฐานนั้น

๓. หากมีความจำเป็นที่จะต้องเข้าถึงข้อมูลในพยานหลักฐานต้นฉบับ บุคคลผู้ปฏิบัติจะต้องได้ผ่านการอบรมมาเพื่อดำเนินการนั้นเป็นการเฉพาะ

๔. จะต้องมีการจดบันทึกทุกขั้นตอน ทุกการกระทำที่เกี่ยวข้องกับการเก็บยึด การเข้าถึงข้อมูล การเคลื่อนย้ายอย่างละเอียด และต้องมีการเก็บบันทึกนั้นไว้เป็นอย่างดี และสามารถนำมาแสดงให้ดูได้ทุกเมื่อเมื่อถูกร้องขอ

๕. จะต้องมีบุคคลผู้รับผิดชอบที่ชัดเจนต่อทุกก ารกระทำที่เกิดขึ้นในขณ ที่พยานหลักฐานดิจิทัลนั้นอยู่ในความดูแลของบุคคลนั้น
๖. หน่วยงานและเจ้าหน้าที่ที่ดำเนินการเก็บยึด เข้าถึงข้อมูล บันทึกข้อมูล โอนถ่าย
เคลื่อนย้ายพยานหลักฐานดิจิทัล จะต้องรับผิดชอบในการปฏิบัติการให้สอดคล้องกับหลักการทั้ง ๖ ข้อนี้

ที่มา:

https://archives.fbi.gov/archives/about-us/lab/forensic-science-communications/fsc/april2000/swgde.htm
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #IOCE

Saturday, December 8, 2018

Digital Forensics: วิธีตามโทรศัพท์มือถือหาย

Digital Forensics: วิธีตามโทรศัพท์มือถือหาย Step by Step

จากบทความก่อนหน้านี้เราได้รูัจัก IEMI   แล้ว


วิธีตามโทรศัพท์มือถือหายแบบขั้นเทพ มีโอกาสได้คืน 99%


 วิธีติดตามผ่าน IMEI

1.แจ้งความมือถือหาย โดยนำหลักฐานการเป็นเจ้าของ พร้อม เลข IMEI ของเครื่องที่หาย ไปแจ้งความต่อพนักงานสอบสวน ที่พื้นที่ที่คุณทำหาย

2.ติดตามว่า พนักงานสอบสวนได้ส่งเลข IMEI โทรศํพท์ของคุณไปยัง ผู้ให้บริการเครือข่ายโทรศัพท์ทั้งหมดหรือไม่ โดยดูหลักฐานจาก หนังสือส่งข้อมูลไปยังผู้ให้บริการเครือข่ายโทรศัพท์ ถ้าส่งแล้วก็จบขั้นตอนของคุณครับ

3.รอหนังสือตอบกลับจากเครือข่ายโทรศัพท์ เมื่อเครื่องของคุณถูกนำไปเปิดเบอร์ใหม่ ผู้ให้บริการโทรศัพท์จะตอบกลับมา ทำให้พนักงานสอบสามารถเรียกเจ้าของหมายเลขโทรศัพท์ที่ใช้เครื่องของคุณมาพบได้ครับ หวังว่าคงเป็นประโยชน์กับทุกท่านนะครับ

ข้อมูลที่ต้องเตรียม

  •  เลข IMEI หรือ กล่อง โทรศัทพ์ ยี่ห้อ   พร้อมหลักฐานความเป็นเจ้าของเช่น ใบเสร็จ  บิลค่าใช้โทรศัพท์ ว่าเราเป็นเจ้าของหรือจดทะเบียน
  • เบอร์โทรศัพท์
  • วันเวลาที่หาย
  • แจ้งความ ที่สน.
  • ติดต่อผู้ให้บริการ call center
  • พนักงานสอบสวน ส่งหนังสือ ตราครุท ติดต่อไปที่ ผู้ให้บริการ เพื่อส่งเอกสารไปที่ผู้ให้บรืการ AIS ฝ่ายป้องกันและปราบปราม ,TRUE ฝ่ายกฎหมาย, DTAC ฝ่ายกฎหมาย
  •  
    https://pantip.com/topic/36977040
    https://pantip.com/topic/36997125
  • ผู้ให้บริการ AIS ,TRUE , DTAC จะส่ง เบอร์โทรศัพท์และชื่อผู้เปิดซิม ที่ใช้  เลข IMEI ล่าสุุด  

* หมายเหตุ จะติดตามได้ เมื่อคนร้ายนำเครื่องโทรศัพท์ที่ขโมยไปใช้งาน  เนื่องจากผู้ให้บริการจะเช็คข้อมูลจาก การใช้งานล่าสุด

วิธีตามหาโทรศัพท์หาย 2 [ตามหาด้วยเลข IMEI]
 แล้ววิธีหาเลขIMEI ในเครื่องทำได้อย่างไรบ้าง

1.ดูจากข้างกล้องผลิตภัณท์
2.กดแป้นโทรออก *#06# แล้วโทรออก
3.ดูใน Setting ของเครื่อง
4.ดูจากตัวเครื่องใต้ฝาแบต
5.ติดต่อขอจากเครือข่ายโทรศัพท์ของเบอร์ที่เราใช้กับเครื่องนั้นๆครับ





ไปดูได้ที่ลิงค์นี้นะครับ https://youtu.be/jpogWeN_qr0 ก็ได้มีคำถามเข้ามาจำนวนมาก ว่าถ้าเครื่องของเราถูกรีเซ็ต ไม่ต่อเน็ต และไม่สามารถเช็คจาก Email และ Password แล้วจะทำอย่างไรได้บ้าง วิธีสุดท้ายที่จะสามารถทำได้ก็คือตามจากเลข IMEI ครับ IMEI คืออะไรและตามได้อย่างไรผมจะมาแนะนำในคลิปนี้ครับ IMEI คือ เลขประจำตัวเครื่องโทรศัพท์ เหมือนเลขบัตรประชาชนของเรา คือแต่ละเครื่องจะมี IMEI ที่ไม่ซ้ำกัน 14 หลัก ดังนั้นเมื่อเราทราบเลข IMEI ของเราแล้ว ใครมาเอาไปแล้วอ้างว่าเค้าเป็นเจ้าของ เราสามารถยืนยันได้จากเลข IMEI นี่แหละครับ



#แบไต๋เครื่องไปไหน! #1 “Find my iPhone” หา iPhone หายให้เจอ


#แบไต๋เครื่องไปไหน #2 วิธีตามหา Android หาย และล้างรหัสเข้าเครื่อง!

ที่มา:
ขอขอบคุณท่าน พันตำรวจตรี วสุเทพ ใจอินทร์ ,ท่านสารวัตรเป็นไท และทีมงาน 191 พิจิตร ขออนุญาตแชร์เป็นวิทยาทาน


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud