Digital Forensics:Storage Sense

Digital Forensics:Storage Sense

 วันก่อนผมได้รับงานที่เกี่ยวกับ Malware Analysis และ Hack Tools  และเมื่อได้ทำการทดสอบ พบว่ามีฟังก์ชันของ Windows 10  ทำให้หลักฐานเปลี่ยนแปลง  เลยนำมาเล่าให้ฟังครับ

Storage Sense เป็นฟีเจอร์ที่ทำหน้าที่ลบไฟล์ขยะเช่น ไฟล์ชั่วคราวที่สร้างขึ้นโดยระบบปฏิบัติหรือแอปต่าง ๆ และทำการลบไฟล์ตามเงื่อนไขที่กำหนดได้ เช่น ไฟล์เก่า, ไฟล์ที่ไม่มีการใช้งาน ไฟล์ที่เก็บอยู่ในถังขยะที่เก่ากว่าจำนวนวันที่กำหนด (นานสุด 60 วัน) ไฟล์ที่เก็บอยู่ในโฟลเดอร์ Downloads ที่ไม่มีความเปลี่ยนแปลงในจำนวนวันที่กำหนด (นานสุด 60 วัน) รวมถึงออปชันสำหรับใช้ลบไฟล์ระบบ Windows 10 เวอร์ชันเก่าออกหลังจากทำการอัปเกรดเวอร์ชันใหม่ได้อีกด้วย

ในเวอร์ชัน Windows 10 เวอร์ชัน 1809 นั้น Storage Sense ได้รับการปรับปรุงโดยเพิ่มความสามารถในการลบไฟล์ที่เก็บไว้บน OneDrive ที่เก่า ไม่มีการใช้งาน ไฟล์สำเนาของไฟล์ที่ตั้งให้พร้อมใช้งานแบบออนไลน์เท่านั้น (Available online-only) ออกจากฮาร์ดดิสก์โดยอัตโนมัติ โดยไฟล์เหล่านั้นจะถูกแสดงเป็น placeholder บนอุปกรณ์ ในขณะที่ไฟล์ถูกเก็บอย่างปลอดภัยอยู่บน OneDrive

ไมโครซอฟท์เรียกโปรเซสนี้ว่า “dehydration”

การเปิด Storage Sense บน Windows 10

Storage Sense ไม่ได้ถูกเปิดใช้งานโดยเริ่มต้น ดังนั้นถ้าหากต้องการใช้งานผู้ใช้จะต้องทำการเปิดใช้งานเองจากแอป Settings ตามขั้นตอนดังนี้

1. คลิก Start จากนั้นคลิก Settings

2. บนหน้า Settings คลิก System

3. บนหน้าถัดไปคลิก Storage จากนั้นในด้านขวาเลื่อนการตั้งค่า Storage Sense เป็น On

Run storage sense

Delete files in my recycle bin if they have been for over

Run storage sense
หัวข้อนี้เป็นการเลือกเงื่อนไขการทำงานของ Storage Sense

During low fee disk space = ให้ Storage Sense ทำงานเมื่อพื้นที่ว่างบนดิสก์เหลือหน้อย
Every day = ให้ Storage Sense ทำงานทุกวัน
Every week = ให้ Storage Sense ทำงานทุกสัปดาห์
Every month = ให้ Storage Sense ทำงานทุกเดือน

Temporary Files
Deleting temporary files that my app aren’t using (ถูกเลือกโดยเริ่มต้น) = ให้ Storage Sense ทำการลบไฟล์ชั่วคราวที่ไม่มีการใช้งานโดยอัตโนมัติ

Delete files in my recycle bin if they have been for over
หัวข้อนี้เป็นเป็นการเลือกเงื่อนไขการลบไฟล์ในถังขยะ

Never = ไม่ทำการลบไฟล์ในถังขยะ
1 day = ทำการลบไฟล์ในถังขยะทุกวัน
14 days = ทำการลบไฟล์ในถังขยะทุก 14 วัน
30 days = ทำการลบไฟล์ในถังขยะทุก 30 วัน
60 days = ทำการลบไฟล์ในถังขยะทุก 60 วัน

Delete files in my Downloads folder if they have been for over
หัวข้อนี้เป็นเป็นการเลือกเงื่อนไขการลบไฟล์ในโฟลเดอร์ Downloads

Never = ไม่ทำการลบไฟล์ในถังขยะ
1 day = ทำการลบไฟล์ในถังขยะทุกวัน
14 days = ทำการลบไฟล์ในถังขยะทุก 14 วัน
30 days = ทำการลบไฟล์ในถังขยะทุก 30 วัน
60 days = ทำการลบไฟล์ในถังขยะทุก 60 วัน

ประเด็นคือ  ไฟล์จะถูกรันใน Temp Folder

Standard Executable localtions

Suspicious executable locations

Hunting for Malware

สิ่งที่ทำให็เกิดการเปลี่ยนแปลงคือ

1. Malware หลายประเภทมักถูก executable files อยู่ที่ Temp file ดังนั้นหากเปิด Storage Sense  ร่อยรอยจะโดนลบโดยอัตโนมัติ

2. การทำงานโดยใช้หลัก Digital Forensics  หลักฐานที่นำมาตรวจสอบต้องไม่ถูกแก้ไขหรือเปลี่ยนแปลง เช่น ไม่ควรเปิดคอมพิวเตอร์และตรวจสอบหลักฐานโดยตรง  เพราะเมื่อเปิดคอมพิวเตอร์แล้วหากคอมพิวเตอร์มีฟังก์ชันนี้ Storage Sense  เปิดอยู่หลักฐานก็จะโดนลบไป  และ Timestamp ก็มีการเปลี่ยนแปลงด้วย  ทำให้หลักฐานขาดความน่าเชื่อถือและก็สามารถโต้แย้งได้

ที่มา:
malicious-streams.com
saranitus.com
digital-forensics.sans.org

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud