Digital Forensics: GUYMAGER Acquisition Tool II

Digital Forensics: GUYMAGER Acquisition Tool II

       เตรียม อุปกรณ์และ ทดสอบก่อนไป Acquisition Tool On site step by step

1. Notebook Kingston 120 GB   (Evidence) 

2. Deft ZERO 2018 DVD Boot or USB Boot
3. Guymager 0.8.8

4. Western SATA HDD 4 TB  (forensics Image)

5. External box  (Orico)

6. Clock & Camera

ค้นหาว่า Notebook HP กดปุ่ม Esc + F9

กด Esc ทำการเข้า BIOS ทำการเลือก  Boot Option Menu   

DVD BOOT  DRIVE

ทำการ  Boot Deft ZERO  จาก DVD

Deft ZERO 2018

เลือก GUI Mode

DEFT GUI MODE

ตรวจสอบ  Hard disk ที่เชื่อมต่อ แสดงครบหรือไม่ พร้อมจดรายละเอียด และถ่ายรูป

Kingston 120 GB   (Evidence) 

 เปิดโปรแกรม GUYMAGER เลือก  Kingston 120 GB   (Evidence)  ใช้คำสั่ง  Acquire Image

ACQUIRE IMAGE Guymager 0.8.8

เลือก path  ที่เก็บ forensics Image file

 forensics Image file Location

เตรียม  HDD format  FAT32 ,exFAT  สำหรับเก็บ forensics Image file  รองรับ Linux  เพราะ Deft  ทำงานบน Linux

HDD 4 TB

 ตรวจสอบวันเวลา (Data Time ) เมื่อทำเสร็จ และ Path

Finished-Verified OK

ตรวจสอบ Forensic Image *.E01

Forensic Image File   *.E01 

 ตรวจสอบ Report .Info  แสดงรายละเอียด Forensic Image , Flash Drive ,ค่า Hash MD5,SHA1   ก่อนปิดเครื่อง 

GUYMAGER ACQUISITION INFO FILE
==============================

Guymager
========

Version              : 0.8.8-1                                                                       
Compilation timestamp: 2018-01-24-14.41.10                                                           
Compiled with        : gcc 4.9.2                                                                     
libewf version       : 20140608 (not used as Guymager is configured to use its own EWF module)       
libguytools version  : 2.1.0beta5                                                                    
Host name            : DeftZ                                                                         
Domain name          : (none)                                                                        

System               : Linux DeftZ 4.4.0-53-generic #74~14.04.1 SMP Tue Dec 20 14:33:58 CET 2016 i686

 Forensics Report  *.Info  

 GUYMAGER ACQUISITION INFO FILE

GUYMAGER ACQUISITION INFO FILE

ทำการ Mount Image File เพื่อตรวจสอบว่าใช้งานได้หรือไม่

Mount Image To Drive

 ทำแบบเดียวกันอีกครั้ง เพื่อดูว่าค่า Hash เปลี่ยนแปลงหรือไม่

Hash Compare

สิ่งที่ต้องตรวจสอบก่อนการทำสำเนาหลักฐาน
  - การเตรียมอุปกรณ์สำรองไฟ  UPS
  - ในกรณี เครื่องคอมพิวเตอร์ที่จะทำสำเนาหลักฐาน มีการต่อพ่วง Harddisk  หลายลูก ให้ตรวจสอบกำลัง power supply (PSU)  เพียงพอหรือไม่
  - ตรวจสอบลำดับ  boot  ถ้าMainboard ที่รองรับ UEFI  กรณี  USB boot หากไม่แน่ใจให้ถอด สายไฟเชื่อมต่อ HDD ออกก่อน จนแน่ใจว่าตั้งค่าถูกต้อง ค่อยเสียบสายเหมือนเดิม


https://bit.ly/2OHjY5i 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud