Tuesday, April 30, 2019

Digital Forensics:Forensic Data Carving using Foremost

Digital Forensics:Forensic Data Carving using Foremost

 วันนี้ทำการตรวจสอบและกู้ข้อมูล(Data Recovery)หลักฐานจากเครื่อง Notebook asus  พบ  Harddisk ชนิด mSATA SSD

สิ่งที่ต้องเตรียม

 -  mSATA SSD
 -  External Box
 -  Deft  boot DVD
 -  Guymager
 -  Foremost on Kali linux
 -  FTK Imager
  

mSATA SSD จะมีขนาดเล็กกว่าแบบ SATA  ส่วนมากจะนำมาใช้อัพเกรด Notebook ในNotebook หลายๆรุ่นจะมีช่องให้ติดตั้งเพิ่มได้ ทำให้น้ำหนักเครื่องเบาขึ้น ปัจจุบันความนิยมของ SSD มากขึ้น

Notebook Main board
Slot mSATA SSD
Slot mSATA SSD
ทำการต่อ mSATA กับ External Box  เพื่อทำสำเนาข้อมูล
mSATA SSD

 หลังจากนั้นทำการต่ออุปกรณ์กับ forensic machine และทำการใช้  Deft  boot DVD เพื่อป้องกันการเขียนทับข้อมูล
 Deft Zero
DEFT
 เลือก DEFT-Zero Linux Live  เพื่อทำการสำเนาข้อมูล
Deft
ใช้ Guymager ทำการทำ Forensic Image หลักฐานที่อยู่ใน mSATA
Guymager

Guymager

Guymager

FTK Imager

Image File Report
Forensic Image file +  .info ที่ได้
Forensic Image File
ทำการ Mount image file เพื่อดูว่าไฟล์สำเนาหลักฐานสมบูรณ์หรือไม่

ทำการ Mount Image File
Output Report 
data-carving เป็นเทคนิคการค้นหาไฟล์จาก image ต่างๆไม่ว่าจะเป็น image ของ harddisk, memory, หรือ USB storage โดยการค้นหาดังกล่าวนี้จะอาศัยการค้นหา header ของประเภทของไฟล์ที่ต้องการหา ไม่ว่าจะเป็นไฟล์รูปภาพ (.gif, .jpg, .png) ไฟล์เสียง (.mp3, .wav) หรือไฟล์วีดีโอต่างๆ (.avi) โดยหลังจากที่เจอ header ของไฟล์ดังกล่าวแล้ว ก็จะ extract ไฟล์ต่างๆออกมา

Foremost  คือ

 เป็นโปรแกรม command line บน linux เพื่อกู้คืนไฟล์ตามส่วนหัว header  ส่วนท้าย Footer และโครงสร้างภายในข้อมูล กระบวนการนี้มักเรียกกันว่าการ data carving สำคัญที่สุดสามารถทำงานกับ Forensic image files เช่นที่สร้างขึ้นโดย dd, Safeback, Encase ฯลฯ หรือโดยตรงบนไดรฟ์ ส่วนหัวและท้าย ของไฟล์ สามารถระบุได้โดย  กำหนดค่า Config หรือ คุณสามารถใช้ Command line เพื่อระบุประเภทไฟล์ได้  เพื่อให้การกู้ข้อมูลได้รวดเร็วยิ่งขึ้น

 เราทำการใช้โปรแกรม Foremost  เพื่อหาข้อมูลในหลักฐานที่ได้สำเนาไว้แล้ว
Foremost
#foremost -t Jpeg,png,zip.pdf,avi -i CFFFESSD1.E02




Output File
Evidence File

สรุป การทดสอบ

    การใช้เทคนิค data-carving เป็นเทคนิคการค้นหาไฟล์จาก (File  Signature ) ชนิดของไฟล์ข้อมูล โดย มีหลัก การทำงาน คือ การใช้การค้นหาข้อมูลที่เป็นเฮดเดอร์ (Header) และ ฟุตเตอร์   (Footer) ของไฟล์ชนิดต่างๆ ในการค้นหาตำแหน่งเริ่มต้นและสิ้นสุด ตลอดจนชนิดของไฟล์  ซึ่งก็จะทำให้สามารถกู้คืนข้อมูลในส่วนนี้คืนกลับมาได้ เหมาะกับ   ข้อมูลและ  Harddisk ที่ถูก Format  , MFT  ถูกทำลาย และถูกลบข้อมูล แต่ข้อมูลที่กู้มาได้จะไม่มีข้อมูลในส่วนของ Metadata และ Timestamp ของเดิมอยู่

ที่มา:
https://bit.ly/2GGz8lH
https://bit.ly/2I7wvdr
https://bit.ly/2CTp9GU
https://www.peerlyst.com/posts/how-to-perform-ssd-forensics-or-part-i-sudhendu?trk=search_page_search_result

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #DataRecovery

Friday, April 26, 2019

DIGITAL FORENSICS: data Recovery on SSD

DIGITAL FORENSICS: data Recovery on SSD

วันนี้จะทดสอบการลบและกู้ข้อมูลบน (SSD) solid state device

จุดประสงค์

1.เพื่อดูว่าเมื่อทำการลบข้อมูล สามารถกู้ข้อมูลได้หรีอไม่
2. ตรวจสอบตำแหน่งข้อมูลที่อยู่บนดิสมีการเปลี่ยนแปลงหรือไม่ (Physical Sector)

 เครื่องมือที่ใช้ทดสอบ I

  • Encase Imager
  • AccessData FTK Imager
  • Hxd HEX Editor
  • DigitalVolcano Hash Tools
  • SSD 240 GB  WD Green Sata M.2 2280  NTFS
  • SSD TEST2.jpg  
  • Windows 8
1.  ทำการใช้ Encase Imager และ AccessData FTK Imager ตรวจสอบตำแหน่งของรูป SSD TEST2.jpg ใน SSD

 Encase Imager
AccessData FTK Imager 

2.   ตำแหน่ง Physical Sector  ของ TEST2.jpg คือ 56898064
3.  ทำการลบไฟล์  Test2ssd พบว่าไฟล์ อยู่ใน recycle bin
4.   ทำการดูตำแหน่ง Physical Sector  ของ TEST2.jpg คือ 56898064  อีกครั้ง พบว่ามีไฟล์อยู่ใน recycle bin
Physical Sector  56898064
5.   ทำการ Empty recycle bin 
ุ6.    ทำการดูตำแหน่ง Physical Sector  ของ TEST2.jpg คือ 56898064  อีกครั้ง พบว่าไม่มีไฟล์อยู่ใน recycle bin
Physical Sector  56898064
7. ใช้โปรแกรม Hxd HEX Editor เปิด SSD ค้นหาตำแหน่ง Physical Sector  ของ TEST2.jpg คือ 56898064 ทำการกู้ไฟล์รูปภาพโดยใช้เทคนิค Carving ของไฟล์  jpg magic number (https://en.wikipedia.org/wiki/List_of_file_signatures)

 FF D8  56898064    ตำแหน่งเริ่มต้น 

FF D8
FF D9   56898436   ตำแหน่งสิ้นสุด
FF D9
8.  ทำการ  copy ค่า  hex  ตั้งแต่ 56898064 - 56898436 ไปสร้างไฟล์ใหม่  และบันทึกไฟล์เป็น TEST2SSD.jpg 
Timestamp

9.  ทำการใช้ 
DigitalVolcano Hash Tools เปรียบเทียบค่า Hash 
Hash 




.............................................................................................................


เครื่องมือที่ใช้ทดสอบ II

  • Encase Imager
  • AccessData FTK Imager
  • Hxd HEX Editor
  • DugitalVolcano Hash Tools
  • SSD SATA2.5 240 GB WDs240g2g0A Green  ( ไฟล์ NTFS)
Test2ssd.JPG

    1.  ตำแหน่งSSD Test2.jpg  อยู่ที่  sector 76808448
    2   กดลบ Shift Delete  ไฟล์ SSD Test2.jpg   ไม่พบว่าไฟล์ อยู่ใน recycle bin
      3 เมื่อดูใน Drive  พบว่าไฟล์SSD Test2.jpg ถูกลบไปแล้ว 
        4  เปิดโปรแกรม Hxd HEX Editor  ค้นหา sector 76808448   เจอไฟล์ SSD Test2.jpg

          5    ใช้โปรแกรม AccessData FTK Imager   พบว่ามีไฟล์มีสัญลักษณ์กากบาดสีแดงที่ไฟล์ Test2ssd.jpg



          .......................................................................................................................

          เครื่องมือที่ใช้ทดสอบ III

          • Encase Imager
          • AccessData FTK Imager
          • Hxd HEX Editor
          • DugitalVolcano Hash Tools
          • SSD M.2 2280 NAND 500 GB WD BLUE   ( ไฟล์ NTFS)
          • SSD TEST2.jpg  
          • Windows 8



          1.  ทำการใช้ Encase Imager และ AccessData FTK Imager ตรวจสอบตำแหน่งของรูป SSD Test2.jpg  ใน SSD   ตำแหน่ง sector 6510480

           sector 6510480
          SSD Test2.jpg 

          2. Shift Delete  SSD Test2.jpg   ไม่พบว่าไฟล์ใน recycle bin

           Shift Delete
          3   ค้นหา sector 6510480    ไม่เจอไฟล์ SSD Test2.jpg
          4. ใช้ Hxd HEX Editor   ไปที่ sector 6510480    ไม่เจอไฟล์ SSD Test2.jpg 




          ..............................................................................................

          เครื่องมือที่ใช้ทดสอบ IV

          • AccessData FTK Imager
          • Hxd HEX Editor
          • 512 GB SSD ADATA XPG SX7000 PCIe/NVMe M.2 2280 (ASX7000NP-512GT-C)  ( ไฟล์ NTFS)
          • SSD TEST2.jpg  
          • Windows 8

          Physical sector  6507720
          1.  ทำการใช้ AccessData FTK Imager ตรวจสอบตำแหน่งของรูป SSD Test2.jpg  ใน SSD   ตำแหน่ง sector 6507720
          SSD TEST2.jpg
          2 Shift Delete  SSD Test2.jpg   ไม่พบว่าไฟล์ใน recycle bin
          Shift Delete
          Shift Delete
          NTFS
          3   ค้นหา sector6507720   ไม่เจอไฟล์ SSD Test2.jpg
          4. ใช้ Hxd HEX Editor   ไปที่ sector 6507720   ไม่เจอไฟล์ SSD Test2.jpg 


          Not Found SSD Test2.jpg
          5.  ทดสอบซ้ำอีกครั้ง ทำการ Copy SSD Test2.jpg ใส่ใน SSD Test2.jpg
          6. ทำการใช้ AccessData FTK Imager ตรวจสอบตำแหน่งของรูป SSD Test2.jpg  ใน SSD   ตำแหน่ง sector 6507344

          Physical sector  6507344
          7. Shift Delete  SSD Test2.jpg   ไม่พบว่าไฟล์ใน recycle bin

          Shift Delete
          8.   ค้นหา sector6507344   ไม่เจอไฟล์ SSD Test2.jpg
          9. ใช้ Hxd HEX Editor   ไปที่ sector 6507344   ไม่เจอไฟล์ SSD Test2.jpg

          ตำแหน่ง Physical sector  6507344 ไม่พบข้อมูล

          สรุป


          - ข้อมูลใน   Harddisk magnetic ทีเป็นแบบ  NTFS เมื่อมีการลบข้อมูลไปสามารถกู้ขึ้นมาได้ หากยังไม่มีข้อมูลอื่นมาทับในตำแหน่ง Physical Sector  เดิม
          การใช้เทคนิค  Carving  สามารถช่วยในการกู้ข้อมูล Harddisk magnetic  ได้ หากข้อมูลไม่ถูกทับ
          - SSD แบบ NAND   เมื่อลบข้อมูลแล้วตำแหน่ง Physical Sector   เปลี่ยนไป พื่นที่ blog เดิมจะถูกลบ รอข้อมูลใหม่เข้ามา เพราะการทำงาน Ware Leveling: เมื่อมีการเปลี่ยนแปลงเนื้อหาของไฟล์ใด ๆ เนื้อหาของไฟล์นั้นจะถูกย้ายไปแล้วบันทึกเป็นไฟล์ใหม่ลงใน blog ใหม่ใน SSD ส่วนพื้นที่เดิมที่เก็บเนื้อหาของไฟล์เก่าจะถูกเครียข้อมูล เพื่อเตรียมพื้นที่สำหรับใช้งาน
          - SSD แบบ PCIe/NVMe  บางชนิด เมื่อลบข้อมูลแล้วตำแหน่ง Physical Sector   เปลี่ยนไป  เนื่องจากการทำงานของ TRIM ในระบบ Microsoft windows

          TRIM

          TRIM เป็นคำสั่งสำหรับอินเทอร์เฟซ ATA (Advanced Technology Attachment) เมื่อระบบปฏิบัติการต้องการแจ้งให้ SSD ทราบว่าจะทำการลบไฟล์  เพราะว่าหน่วยความจำแฟลชที่นำมาใช้ทำโซลิตสเตตไดรฟ์ส่วนใหญ่นั้นเป็นชนิด NAND ซึ่งไม่สามารถเขียนข้อมูลทับได้ แต่ต้องลบข้อมูลเก่าก่อนแล้วจึงเขียนข้อมูลใหม่ลงไป ดังนั้นการลบข้อมูลออกไปก่อนที่จะมีการเขียนข้อมูลทำให้สามารถเขียนได้ทันทีเมื่อต้องการ ย่อมทำให้การเขียนข้อมูลในโซลิดสเตตไดรฟ์เร็วขึ้นไปด้วย

          TRIM ให้ระบบปฏิบัติการบอก SSD ว่ากำลังลบไฟล์และทำเครื่องหมายหน้าของไฟล์เหล่านั้น

          Refer:
          https://www.file-recovery.com/jpg-signature-format.htm
          หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

          * หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
          ขอบคุณครับ

          #WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud