Digital Forensics:Forensic Data Carving using Foremost

Digital Forensics:Forensic Data Carving using Foremost

 วันนี้ทำการตรวจสอบและกู้ข้อมูล(Data Recovery)หลักฐานจากเครื่อง Notebook asus  พบ  Harddisk ชนิด mSATA SSD

สิ่งที่ต้องเตรียม

 -  mSATA SSD
 -  External Box
 -  Deft  boot DVD
 -  Guymager
 -  Foremost on Kali linux
 -  FTK Imager
  

mSATA SSD จะมีขนาดเล็กกว่าแบบ SATA  ส่วนมากจะนำมาใช้อัพเกรด Notebook ในNotebook หลายๆรุ่นจะมีช่องให้ติดตั้งเพิ่มได้ ทำให้น้ำหนักเครื่องเบาขึ้น ปัจจุบันความนิยมของ SSD มากขึ้น

Notebook Main board

Slot mSATA SSD

Slot mSATA SSD

ทำการต่อ mSATA กับ External Box  เพื่อทำสำเนาข้อมูล

mSATA SSD

 หลังจากนั้นทำการต่ออุปกรณ์กับ forensic machine และทำการใช้  Deft  boot DVD เพื่อป้องกันการเขียนทับข้อมูล

 Deft Zero

DEFT

 เลือก DEFT-Zero Linux Live  เพื่อทำการสำเนาข้อมูล

Deft

ใช้ Guymager ทำการทำ Forensic Image หลักฐานที่อยู่ใน mSATA

Guymager

Guymager

Guymager

FTK Imager

Image File Report

Forensic Image file +  .info ที่ได้

Forensic Image File

ทำการ Mount image file เพื่อดูว่าไฟล์สำเนาหลักฐานสมบูรณ์หรือไม่

ทำการ Mount Image File

Output Report 

data-carving เป็นเทคนิคการค้นหาไฟล์จาก image ต่างๆไม่ว่าจะเป็น image ของ harddisk, memory, หรือ USB storage โดยการค้นหาดังกล่าวนี้จะอาศัยการค้นหา header ของประเภทของไฟล์ที่ต้องการหา ไม่ว่าจะเป็นไฟล์รูปภาพ (.gif, .jpg, .png) ไฟล์เสียง (.mp3, .wav) หรือไฟล์วีดีโอต่างๆ (.avi) โดยหลังจากที่เจอ header ของไฟล์ดังกล่าวแล้ว ก็จะ extract ไฟล์ต่างๆออกมา

Foremost  คือ

 เป็นโปรแกรม command line บน linux เพื่อกู้คืนไฟล์ตามส่วนหัว header  ส่วนท้าย Footer และโครงสร้างภายในข้อมูล กระบวนการนี้มักเรียกกันว่าการ data carving สำคัญที่สุดสามารถทำงานกับ Forensic image files เช่นที่สร้างขึ้นโดย dd, Safeback, Encase ฯลฯ หรือโดยตรงบนไดรฟ์ ส่วนหัวและท้าย ของไฟล์ สามารถระบุได้โดย  กำหนดค่า Config หรือ คุณสามารถใช้ Command line เพื่อระบุประเภทไฟล์ได้  เพื่อให้การกู้ข้อมูลได้รวดเร็วยิ่งขึ้น

 เราทำการใช้โปรแกรม Foremost  เพื่อหาข้อมูลในหลักฐานที่ได้สำเนาไว้แล้ว

Foremost

#foremost -t Jpeg,png,zip.pdf,avi -i CFFFESSD1.E02

 

Output File

Evidence File

สรุป การทดสอบ

    การใช้เทคนิค data-carving เป็นเทคนิคการค้นหาไฟล์จาก (File  Signature ) ชนิดของไฟล์ข้อมูล โดย มีหลัก การทำงาน คือ การใช้การค้นหาข้อมูลที่เป็นเฮดเดอร์ (Header) และ ฟุตเตอร์   (Footer) ของไฟล์ชนิดต่างๆ ในการค้นหาตำแหน่งเริ่มต้นและสิ้นสุด ตลอดจนชนิดของไฟล์  ซึ่งก็จะทำให้สามารถกู้คืนข้อมูลในส่วนนี้คืนกลับมาได้ เหมาะกับ   ข้อมูลและ  Harddisk ที่ถูก Format  , MFT  ถูกทำลาย และถูกลบข้อมูล แต่ข้อมูลที่กู้มาได้จะไม่มีข้อมูลในส่วนของ Metadata และ Timestamp ของเดิมอยู่

ที่มา:
https://bit.ly/2GGz8lH
https://bit.ly/2I7wvdr
https://bit.ly/2CTp9GU
https://www.peerlyst.com/posts/how-to-perform-ssd-forensics-or-part-i-sudhendu?trk=search_page_search_result

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #DataRecovery