Digital Forensics:Forensic Data Carving using Foremost
วันนี้ทำการตรวจสอบและกู้ข้อมูล(Data Recovery)หลักฐานจากเครื่อง Notebook asus พบ Harddisk ชนิด mSATA SSDสิ่งที่ต้องเตรียม
- mSATA SSD- External Box
- Deft boot DVD
- Guymager
- Foremost on Kali linux
- FTK Imager
mSATA SSD จะมีขนาดเล็กกว่าแบบ SATA ส่วนมากจะนำมาใช้อัพเกรด Notebook ในNotebook หลายๆรุ่นจะมีช่องให้ติดตั้งเพิ่มได้ ทำให้น้ำหนักเครื่องเบาขึ้น ปัจจุบันความนิยมของ SSD มากขึ้น
Notebook Main board |
Slot mSATA SSD |
Slot mSATA SSD |
mSATA SSD |
หลังจากนั้นทำการต่ออุปกรณ์กับ forensic machine และทำการใช้ Deft boot DVD เพื่อป้องกันการเขียนทับข้อมูล
Deft Zero
DEFT |
Deft |
ใช้ Guymager ทำการทำ Forensic Image หลักฐานที่อยู่ใน mSATA
Guymager |
Guymager |
Guymager |
FTK Imager |
Image File Report |
Forensic Image File |
ทำการ Mount Image File
|
Foremost คือ
เป็นโปรแกรม command line บน linux เพื่อกู้คืนไฟล์ตามส่วนหัว header ส่วนท้าย Footer และโครงสร้างภายในข้อมูล กระบวนการนี้มักเรียกกันว่าการ data carving สำคัญที่สุดสามารถทำงานกับ Forensic image files เช่นที่สร้างขึ้นโดย dd, Safeback, Encase ฯลฯ หรือโดยตรงบนไดรฟ์ ส่วนหัวและท้าย ของไฟล์ สามารถระบุได้โดย กำหนดค่า Config หรือ คุณสามารถใช้ Command line เพื่อระบุประเภทไฟล์ได้ เพื่อให้การกู้ข้อมูลได้รวดเร็วยิ่งขึ้นเราทำการใช้โปรแกรม Foremost เพื่อหาข้อมูลในหลักฐานที่ได้สำเนาไว้แล้ว
Foremost |
Output File |
Evidence File |
สรุป การทดสอบ
การใช้เทคนิค data-carving เป็นเทคนิคการค้นหาไฟล์จาก (File Signature ) ชนิดของไฟล์ข้อมูล โดย มีหลัก การทำงาน คือ การใช้การค้นหาข้อมูลที่เป็นเฮดเดอร์ (Header) และ ฟุตเตอร์ (Footer) ของไฟล์ชนิดต่างๆ ในการค้นหาตำแหน่งเริ่มต้นและสิ้นสุด ตลอดจนชนิดของไฟล์ ซึ่งก็จะทำให้สามารถกู้คืนข้อมูลในส่วนนี้คืนกลับมาได้ เหมาะกับ ข้อมูลและ Harddisk ที่ถูก Format , MFT ถูกทำลาย และถูกลบข้อมูล แต่ข้อมูลที่กู้มาได้จะไม่มีข้อมูลในส่วนของ Metadata และ Timestamp ของเดิมอยู่ที่มา:
https://bit.ly/2GGz8lH
https://bit.ly/2I7wvdr
https://bit.ly/2CTp9GU
https://www.peerlyst.com/posts/how-to-perform-ssd-forensics-or-part-i-sudhendu?trk=search_page_search_result
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #DataRecovery