DIGITAL FORENSICS:HOW TO CHECK WINDOWS INSTALL DATE

DIGITAL FORENSICS:How to Check windows install date

วิธีการตรวจสอบวันและเวลาที่ทำการติดตั้ง Windows

Step 1 : Check Windows 10 installation date by Command Prompt >systeminfo

Step 2: Navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion. Then on the right-side pane locate the InstallDate key and its value. There in the brackets, it displays a number in seconds. You can convert it into the date, which is just your Windows 1installation date.

Install Date 5c3e58a2

DCode Format: Unix:32 bit Hex Value - Big Endian

Step 3 Convert Date by Dcode software > Wed, 16 January 2019 05:03:14 +0700

Step 4 Windows Install Date  Value = 1547589794

Step 5 Convert Date by Dcode software > Wed, 16 January 2019 05:03:14 +0700

Decode Format : Numeric  

Windows Install Date  Value = 1547589794

Dcode Format: Unix:Numeric Value

Date & Time : Wed, 16 January 2019 05:03:14 +0700

Alternative: Or you can type WMIC OS GET installdate and press Enter key to get the installation date.

WMIC OS GET installdate

Step 6 Navigate to C:\Windows\System32\winevt . I have a snapshot of my system previous to the supposed install date of 16 January 2019. Note the created dates on the Event Logs - 16 January 2019:

Step 7. Navigate to MFT record  by FTKImager > Date Create

Extract data and timeline from Master File Table on NTFS filesystem.

1/15/2019 1:45:53 PM

  MFTExplorer  load $MFT

https://ericzimmerman.github.io/#!index.md

(1/15/2019 13:45:53 )

Step 8. view your Windows Update history.

Step 9. Windows 10 OS has yet another registry subkey, this one in the SYSTEM hive file:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\Setup\

The Install Date information here is the original computer OS install date/time. It also tells you when the update started, ie

 Computer\HKEY_LOCAL_MACHINE\SYSTEM\Setup\Source OS (Updated on xxxxxx)."

Previous installation dates and times can be found in the following hive: SYSTEM\Setup\Source OS (Updated on MM/DD/YYYY HH:MM:SS)

Step 10.The following steps provide the most accurate way to check for the Windows installation date.

    10.1 Open File Explorer and double left click on the C: drive >Look for the Windows folder 

    10.2 Right click on the Windows folder and select properties

Windows Properties.

10.3 Right click on the User Profile folder and select properties (1-16-2019 5:03)

User Properties

Look for the Create date of the User folder.

Note: The original install date provided by System Info reflects major changes to Windows, including a "Reset This PC" or major Window updates. The method above is the preferred way of finding the installation date.

When a partition was created/Modify (Master File Table)

REF:

check-windows-10-installation-date/

what-the-last-version-of-windows-means-for-digital-forensics/

/when-windows-lies

determining-windows-10-installation-date

how-do-i-tell-if-windows-10-was-a-fresh-install-or-upgrade

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

Digital Forensics: volatility-workbench

Digital Forensics:volatility-workbench

 สำหรับ คนที่เคยใช้  volatility  วิเคราะห์ memory มาก่อน แอดมินขอแนะนำเครื่องมืออีกตัวที่ใช้งานง่าย ไม่ต้องใช้ Command line เพราะเป็น  (Graphical User Interface, GUI) ลดปัญหาพิมพ์คำสังผิด เครื่องมือนี้ชื่อว่า volatility-workbench  จาก PassMark Software  พัฒนาจาก Volatility  นอกจากนี้ยัง สนับสนุน Mac and Linux memory ด้วยครับ

Installation Instructions

  โปรแกรมเป็น Portable โดยไม่ต้องติดตั้งโปรแกรม  ทำการ Download the Zip file และ Unzip  double click  Volatilit Workbench.exe  ก็ทำงานได้เลย

  

Requirements

รองรับ Windows 10, or Windows 7


1. ให้ทำการ Browse Image (memory ที่เรา Dump มาเตรีัยมไว้

Sample Memory Dumps

     Windows (Windows 10 64bit): Windows-10-Dump (1.6GB)

     Mac (Maverick 10.9.3 64bit): Mac-10-9-3-Dump (930MB)

     Linux (Ubuntu 16.04 64bit): Linux-16-04-Dump (256MB)

2. เลือก Profile ของ OS ให้ตรงกับ Memory ที่เรา Dump   ในตัวอย่าเราใช้ windows XP32bit service pack 3

3. ทำการเลือก Command คำสั่งที่ต้องการใช้งาน

ตัวอย่างการใช้คำสั่ง Pslist  เป็นคำสั่งในการดู Process id   และชื่อ โปรแกรมที่ทำงานอยู่  

 ตัวอย่างการใช้คำสั่ง Pslist  เป็นคำสั่งในการดูเฉพาะที่เราสนใจ  Process id  เลขที่ 2980 และชื่อ โปรแกรมที่ทำงานอยู่  FTKImager.exe

 คำสั่ง Command Info เป็นคำอธิบายว่าคำสั่งใช้ทำอะไร

สามารถ บันทึก Log ออกมาเป็น .txt ได้

 แสดงรายงานที่บันทึกลง เป็น ไฟลฺ์ txt

 หมายเหตุ: บางคำสั่งอาจใช้ไม่ได้ กับบาง OS

  ที่มา: 

• https://bit.ly/2w9EUGO
• Memory Forensics 101 

#computerforensics
#digitalforensics
#digitalforensicsexaminer 

#dforensic.blogspot.com

Digital Forensics: Forensic Acquisition of Solid State Drives With TD2

Digital Forensics: Forensic Acquisition of Solid State Drives With TD2

 ทดสอบ การสำเนาข้อมูลจาก Solid State Drives (SSD)  จำนวน 2 ครั้ง

ตัวอย่างที่ 1
1.  สำเนาข้อมูลจาก Solid State Drives (SSD) ขนาด 240 GB ชนิด SATA
แสดงวิธีการทำสำเนาฮาร์ดดิสก์ชนิดโดยใช้อุปกรณ์ Forensic Duplicator ซึ่งมีสายดาต้า เชื่อมต่อไปยังพยานหลักฐานต้นฉบับที่อยู่ด้านซ้ายเพื่ออ่านข้อมูล และมีสายดาต้าอีกเส้นที่ต่อไปยังฮาร์ดดิสก์สำเนาที่อยู่ด้านขวาเพื่อเขียนข้อมูล

 

2. เก็บ Forensic Image  ไว้ใน HD WD 500 GB

 อุปกรณ์นี้มีจอแสดงผลซึ่งสามารถแสดงค่าแฮชเพื่อยืนยันความครบถ้วนสมบูรณ์ของกระบวนการทำสำเนา และนอกจากนี้ก็ยังมีการสร้าง Log เพื่อบันทึกรายละเอียดที่เกี่ยวข้องทั้งหมด เช่น ข้อมูลรุ่น ยี่ห้อ Serial number ความจุ จำนวนและขนาดเซ็กเตอร์ เวลาเริ่มต้น/สำเร็จ ค่าแฮช เป็นต้น

 

3.ค่า Hash ที่ได้
        Task: Disk to File
         Status: Verified
        Created: 2018-10-17 15:22
        Closed : 2018-10-17 16:30
        SHA1: 64403bb85afae6e58fe5265c1c6e198d31276907
         MD5 : fd98f9338b277bc835bd2215a53f7559

Log file แสดงข้อมูลเกี่ยวกับฮาร์ดดิสก์ วันและเวลาที่ทำสำเนา และค่าแฮชของพยานหลักฐานต้นฉบับ

ตัวอย่างที่ 2
1.  สำเนาข้อมูลจาก Solid State Drives (SSD) ขนาด 240 GB  ทำซ้ำเหมือนตัวอย่างที่ 1

2.ค่า Hash ที่ได้
        Task: Disk to File
        Status: Verified
        Created: 2018-10-17 17:12
        Closed : 2018-10-17 18:19
        SHA1: 64403bb85afae6e58fe5265c1c6e198d31276907
         MD5 : fd98f9338b277bc835bd2215a53f7559
Log file แสดงข้อมูลเกี่ยวกับฮาร์ดดิสก์ วันและเวลาที่ทำสำเนา และค่าแฮชของพยานหลักฐานต้นฉบับ

 สรุป

ผลการทดสอบ  การใช้อุปกรณ์ที่มีฟังก์ชั่นป้องกันการเขียนทับ (Write Blocker) ข้อมูลต้นฉบับ จะสามารถป้องกันการเข้าถึงและการเขียนข้อมูลลงหลักฐานจากเครื่องคอมพิวเตอร์ที่ตรวจสอบได้ แต่จะไม่สามารถป้องกัน การทำงานจาก Garbage Collection ที่เกิดจากชิป controller ใน SSD ได้

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#computerforensics
#digitalforensics#dforensic.blogspot.com

Digital Forensics: CyberChef

Digital Forensics: CyberChef

วันนี้มาลองเป็นนักล่าอาหาร  ค้นหาวัตถุดิบใหม่ๆ กับวิจัยพัฒนาวัตถุดิบ จำเป็นต้องใช้เครื่องมือสำหรับทำอาหารในโลกกรูเมต์ (ไม่ใช่ล่ะ.....โลกไซเบอร์)

CyberChef

CyberChef คือ

 เป็น web app เครื่องมือในการทำ encryption, decryption, encode, decode, compress, decompress และอื่นๆ   สะดวกในการใช้งานผ่านเว็บเบราว์เซอร์ ไม่ต้องใช้ Command line

https://gchq.github.io/CyberChef/

วิธีการใช้ CyberChef

ตัวอย่าง
 ให้ทำการ Decode ข้อมูลด้านล่างให้ได้ผลลัพธ์ที่ถูกต้อง

1.เข้าไปที่ https://gchq.github.io/CyberChef  หรือ download

Download CyberChef

2. เลือก Operation From Base64 

Operation From Base64

3. copy ข้อความของ  ข้างต้นไปใส่ในส่วน Input ขวาบน
Input
U28gbG9uZyBhbmQgdGhhbmtzIGZvciBhbGwgdGhlIGZpc2gu

Input

4 .สังเกตเห็นผลลัพธ์ในช่อง Output ขวาล่างจอ

Output

How it works

There are four main areas in CyberChef:

1. The input box in the top right, where you can paste, type or drag the text or file you want to operate on.
2. The output box in the bottom right, where the outcome of your processing will be displayed.
3. The operations list on the far left, where you can find all the operations that CyberChef is capable of in categorised lists, or by searching.
4. The recipe area in the middle, where you can drag the operations that you want to use and specify arguments and options.

ที่มา:
https://github.com/mattnotmax/cyber-chef-recipes
https://github.com/gchq/CyberChef

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud#computerforensics

Digital Forensics :หลักสูตรการสืบสวนสอบสวนคดีการเงินการธนาคาร

Financial Crime Investigations

หลักการและเหตุผล 

        สืบเนื่องจากภาคธุรกิจการเงินการธนาคารได้ประสบกับปัญหาการบังคับใช้กฎหมาย โดยพบคดี ความผิดหลายคดีที่มีการปล่อยสินเชื่อและแสวงหาประโยชน์โดยมิชอบ มีการยักยอกฉ้อโกงและกระทำทุจริต และเชื่อมโยงไปถึงการกระทำความผิดฐานฟอกเงิน ส่งผลกระทบอย่างมหาศาลทั้งต่อระบบเศรษฐกิจและ ความเชื่อมั่นด้านการค้าการลงทุน ปัญหาดังกล่าวส่วนใหญ่เกิดจากการสืบสวนสอบสวนและดำเนินคดีอาทิ ในความผิดเกี่ยวกับสถาบันการเงินที่พบว่า สถาบันการเงินหลายแห่งมีการปล่อยสินเชื่อหละหลวม พบการ ทุจริตของพนักงานหรือผู้บริหารสถาบันการเงินและมีการดำเนินคดีกับผู้บริหารสถาบันการเงินจำนวนหลายคดี แต่ผลการดำเนินคดีที่ประสบความสำเร็จมีจำนวนไม่มากนัก ส่วนใหญ่รัฐไม่สามารถดำเนินคดีอาญากับผู้กระทำ ความผิดได้ เนื่องมาจากการขาดพยานหลักฐานที่ครบถ้วนสมบูรณ์และเพียงพอในการนำเข้าสู่ขั้นตอนของ กระบวนการยุติธรรม พบปัญหาการพิสูจน์พยานหลักฐาน ปัญหาการติดตามทรัพย์สินเพราะเทคโนโลยีใน ปัจจุบันทำให้การสืบสวนสอบสวนเพื่อปราบปรามความผิดเกี่ยวกับการเงินและสถาบันการเงินกระทำได้ยากขึ้น ด้วยลักษณะความผิดมีรูปแบบที่หลากหลายและมีพัฒนาการที่ซับซ้อนมากขึ้นยากต่อการแสวงหา พยานหลักฐาน และพยานหลักฐานที่ได้มาส่วนใหญ่เป็นพยานหลักฐานทางอิเล็กทรอนิกส์ข้อมูลคอมพิวเตอร์ หรือพยานดิจิทัล นอกจากนั้น ยังพบปัญหาการขยายผลในคดีฟอกเงินเ พราะผู้กระทำความผิดจะกระทำการ ฟอกเงิน โดยการโอนเงินหรือโยกย้ายทรัพย์สินด้วยวิธีการต่าง ๆ ซึ่งในการสืบสวนสอบสวนคดีการเงินการ ธนาคารมีเกี่ยวข้องในกระบวนการบังคับใช้หลายฉบับ อาทิประมวลกฎหมายวิธีพิจารณาความอาญา กฎหมาย ว่าด้วยการสอบสวนคดีพิเศษและกฎหมายป้องกันและปราบปรามการฟอกเงิน ดังนั้น จึงมีความจำเป็นอย่างยิ่ง ที่ต้องสร้างความรู้ความเข้าใจเกี่ยวกับรูปแบบการกระทำความผิดในสถาบันการเงิน การสืบสวน รวบรวม พยานหลักฐานและการสอบสวนคดีการเงินการธนาคาร การติดตามเส้นทางการเงิน การนำสืบและการชั่ง น้ำหนักพยานหลักฐาน ตลอดจนการขยายผลในคดีฟอกเงินให้ผู้ที่ปฏิบัติงานในภาคการเงินการธนาคาร สมาคม รัฐศาสตร์แห่งมหาวิทยาลัยเกษตรศาสตร์ ได้ตระหนักถึงความจำเป็นในการส่งเสริมความรู้ทางวิชาการ จึงได้ จัดโครงการอบรมหลักสูตรการสืบสวนสอบสวนคดีการเงินการธนาคาร (รุ่น 2) ขึ้น โดยมีกลุ่มเป้าหมายคือ บุคลากรของสถาบันการเงินหรือองค์กรธุรกิจ ผู้ตรวจสอบภายใน ผู้กำกับดูแลการปฎิบัติงาน ทนายความ ที่ ปรึกษากฎหมาย หรือผู้สนใจทั่วไป 

วัตถุประสงค์ 

• เพื่อให้ผู้อบรมมีความเข้าใจเกี่ยวกับรูปแบบของความผิดเกี่ยวกับการเงินการธนาคาร 
• เพื่อให้ผู้อบรมมีความเข้าใจเกี่ยวกับการสืบสวน การรวบรวมพยานหลักฐาน และการสอบสวน ความผิดคดีการเงินการธนาคาร 
• เพื่อให้ผู้อบรมมีความเข้าใจเกี่ยวกับการตรวจพิสูจน์พยานหลักฐาน การนำสืบพยานหลักฐาน การรับ ฟังและชั่งน้ำหนักพยานหลักฐานทางอิเล็กทรอนิกส์หรือพยานหลักฐานดิจิทัล 
• เพื่อให้ผู้อบรมเข้าใจเกี่ยวกับการตรวจสอบและติดตามเส้นทางการเงินและขยายผลในคดีฟอกเงินใน คดีความผิดเกี่ยวกับการเงินการธนาคาร 
• เพื่อเปิดโอกาสให้มีการแลกเปลี่ยนประสบการณ์และแสดงความคิดเห็นเกี่ยวกับการบังคับใช้กฎหมาย และตัวอย่างกรณีศึกษาคดีความผิดเกี่ยวกับสถาบันการเงินและความผิดเกี่ยวกับการทุจริตระหว่าง ผู้เข้าร่วมอบรมกับวิทยากร 
• เพื่อส่งเสริมกิจกรรมทางวิชาการของสมาคมรัฐศาสตร์แห่งมหาวิทยาลัยเกษตรศาสตร์ 
• 
  
  

หัวข้อบรรยาย

• ความผิดเกี่ยวกับการเงินการธนาคาร 

• การสืบสวนและรวบรวมพยานหลักฐาน คดีการเงินการธนาคาร

• การตรวจพิสูจน์พยานหลักฐานทาง อิเล็กทรอนิกส์

• การสอบสวนคดีการเงินการธนาคาร

• การสืบพยานหลักฐานทางอิเล็กทรอนิกส์ 

• การขยายผลในคดีฟอกเงินและ การติดตามเส้นทางการเงิน

• การตรวจพิสูจน์พยานเอกสาร

• การรับฟังและชั่งน้ำหนัก พยานหลักฐานทางอิเล็กทรอนิกส

วุฒิบัตร ผู้อบรมที่เข้าร่วมการอบรมไม่น้อยกว่าร้อยละ 80 ของเวลาอบรมตลอดโครงการจะได้รับวุฒิบัตรจาก สมาคมรัฐศาสตร์แห่งมหาวิทยาลัยเกษตรศาสตร์ 5. หัวข้อและกำหนดการ

หัวข้อและกำหนดการ

สอบถามรายละเอียดเพิ่มเติม โทรศัพท์ 095 – 951- 0017 E-mail thailawtraining@gmail.com Website www.thailawtraining.com 

ภาพประกอบโครงการอบรมหลักสูตร

ที่มา:  Thailawtraining เอกสารสำหรับ Download

           

อ่านเพิ่มเติม:  อบรม computer forensic

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD