Digital Forensics:Storage Sense
วันก่อนผมได้รับงานที่เกี่ยวกับ Malware Analysis และ Hack Tools และเมื่อได้ทำการทดสอบ พบว่ามีฟังก์ชันของ Windows 10 ทำให้หลักฐานเปลี่ยนแปลง เลยนำมาเล่าให้ฟังครับ
Storage Sense เป็นฟีเจอร์ที่ทำหน้าที่ลบไฟล์ขยะเช่น ไฟล์ชั่วคราวที่สร้างขึ้นโดยระบบปฏิบัติหรือแอปต่าง ๆ และทำการลบไฟล์ตามเงื่อนไขที่กำหนดได้ เช่น ไฟล์เก่า, ไฟล์ที่ไม่มีการใช้งาน ไฟล์ที่เก็บอยู่ในถังขยะที่เก่ากว่าจำนวนวันที่กำหนด (นานสุด 60 วัน) ไฟล์ที่เก็บอยู่ในโฟลเดอร์ Downloads ที่ไม่มีความเปลี่ยนแปลงในจำนวนวันที่กำหนด (นานสุด 60 วัน) รวมถึงออปชันสำหรับใช้ลบไฟล์ระบบ Windows 10 เวอร์ชันเก่าออกหลังจากทำการอัปเกรดเวอร์ชันใหม่ได้อีกด้วย
ในเวอร์ชัน Windows 10 เวอร์ชัน 1809 นั้น Storage Sense ได้รับการปรับปรุงโดยเพิ่มความสามารถในการลบไฟล์ที่เก็บไว้บน OneDrive ที่เก่า ไม่มีการใช้งาน ไฟล์สำเนาของไฟล์ที่ตั้งให้พร้อมใช้งานแบบออนไลน์เท่านั้น (Available online-only) ออกจากฮาร์ดดิสก์โดยอัตโนมัติ โดยไฟล์เหล่านั้นจะถูกแสดงเป็น placeholder บนอุปกรณ์ ในขณะที่ไฟล์ถูกเก็บอย่างปลอดภัยอยู่บน OneDrive
ไมโครซอฟท์เรียกโปรเซสนี้ว่า “dehydration”
การเปิด Storage Sense บน Windows 10
Storage Sense ไม่ได้ถูกเปิดใช้งานโดยเริ่มต้น ดังนั้นถ้าหากต้องการใช้งานผู้ใช้จะต้องทำการเปิดใช้งานเองจากแอป Settings ตามขั้นตอนดังนี้
1. คลิก Start จากนั้นคลิก Settings
2. บนหน้า Settings คลิก System
3. บนหน้าถัดไปคลิก Storage จากนั้นในด้านขวาเลื่อนการตั้งค่า Storage Sense เป็น On
Run storage sense |
Delete files in my recycle bin if they have been for over |
Run storage sense
หัวข้อนี้เป็นการเลือกเงื่อนไขการทำงานของ Storage Sense
หัวข้อนี้เป็นการเลือกเงื่อนไขการทำงานของ Storage Sense
During low fee disk space = ให้ Storage Sense ทำงานเมื่อพื้นที่ว่างบนดิสก์เหลือหน้อย
Every day = ให้ Storage Sense ทำงานทุกวัน
Every week = ให้ Storage Sense ทำงานทุกสัปดาห์
Every month = ให้ Storage Sense ทำงานทุกเดือน
Every day = ให้ Storage Sense ทำงานทุกวัน
Every week = ให้ Storage Sense ทำงานทุกสัปดาห์
Every month = ให้ Storage Sense ทำงานทุกเดือน
Temporary Files
Deleting temporary files that my app aren’t using (ถูกเลือกโดยเริ่มต้น) = ให้ Storage Sense ทำการลบไฟล์ชั่วคราวที่ไม่มีการใช้งานโดยอัตโนมัติ
Deleting temporary files that my app aren’t using (ถูกเลือกโดยเริ่มต้น) = ให้ Storage Sense ทำการลบไฟล์ชั่วคราวที่ไม่มีการใช้งานโดยอัตโนมัติ
Delete files in my recycle bin if they have been for over
หัวข้อนี้เป็นเป็นการเลือกเงื่อนไขการลบไฟล์ในถังขยะ
หัวข้อนี้เป็นเป็นการเลือกเงื่อนไขการลบไฟล์ในถังขยะ
Never = ไม่ทำการลบไฟล์ในถังขยะ
1 day = ทำการลบไฟล์ในถังขยะทุกวัน
14 days = ทำการลบไฟล์ในถังขยะทุก 14 วัน
30 days = ทำการลบไฟล์ในถังขยะทุก 30 วัน
60 days = ทำการลบไฟล์ในถังขยะทุก 60 วัน
1 day = ทำการลบไฟล์ในถังขยะทุกวัน
14 days = ทำการลบไฟล์ในถังขยะทุก 14 วัน
30 days = ทำการลบไฟล์ในถังขยะทุก 30 วัน
60 days = ทำการลบไฟล์ในถังขยะทุก 60 วัน
Delete files in my Downloads folder if they have been for over
หัวข้อนี้เป็นเป็นการเลือกเงื่อนไขการลบไฟล์ในโฟลเดอร์ Downloads
หัวข้อนี้เป็นเป็นการเลือกเงื่อนไขการลบไฟล์ในโฟลเดอร์ Downloads
Never = ไม่ทำการลบไฟล์ในถังขยะ
1 day = ทำการลบไฟล์ในถังขยะทุกวัน
14 days = ทำการลบไฟล์ในถังขยะทุก 14 วัน
30 days = ทำการลบไฟล์ในถังขยะทุก 30 วัน
60 days = ทำการลบไฟล์ในถังขยะทุก 60 วัน
ประเด็นคือ ไฟล์จะถูกรันใน Temp Folder1 day = ทำการลบไฟล์ในถังขยะทุกวัน
14 days = ทำการลบไฟล์ในถังขยะทุก 14 วัน
30 days = ทำการลบไฟล์ในถังขยะทุก 30 วัน
60 days = ทำการลบไฟล์ในถังขยะทุก 60 วัน
Standard Executable localtions |
Suspicious executable locations |
Hunting for Malware |
สิ่งที่ทำให็เกิดการเปลี่ยนแปลงคือ
1. Malware หลายประเภทมักถูก executable files อยู่ที่ Temp file ดังนั้นหากเปิด Storage Sense ร่อยรอยจะโดนลบโดยอัตโนมัติ
2. การทำงานโดยใช้หลัก Digital Forensics หลักฐานที่นำมาตรวจสอบต้องไม่ถูกแก้ไขหรือเปลี่ยนแปลง เช่น ไม่ควรเปิดคอมพิวเตอร์และตรวจสอบหลักฐานโดยตรง เพราะเมื่อเปิดคอมพิวเตอร์แล้วหากคอมพิวเตอร์มีฟังก์ชันนี้ Storage Sense เปิดอยู่หลักฐานก็จะโดนลบไป และ Timestamp ก็มีการเปลี่ยนแปลงด้วย ทำให้หลักฐานขาดความน่าเชื่อถือและก็สามารถโต้แย้งได้
ที่มา:
malicious-streams.com
saranitus.com
digital-forensics.sans.org
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud
No comments:
Post a Comment