Saturday, May 18, 2019

Digital Forensics: GUYMAGER Acquisition Tool II

Digital Forensics: GUYMAGER Acquisition Tool II


       เตรียม อุปกรณ์และ ทดสอบก่อนไป Acquisition Tool On site step by step

1. Notebook Kingston 120 GB   (Evidence) 
2. Deft ZERO 2018 DVD Boot or USB Boot
3. Guymager 0.8.8
4. Western SATA HDD 4 TB  (forensics Image)
5. External box  (Orico)
6. Clock & Camera

ค้นหาว่า Notebook HP กดปุ่ม Esc + F9

กด Esc ทำการเข้า BIOS ทำการเลือก  Boot Option Menu   
DVD BOOT  DRIVE

ทำการ  Boot Deft ZERO  จาก DVD
Deft ZERO 2018
เลือก GUI Mode
DEFT GUI MODE

ตรวจสอบ  Hard disk ที่เชื่อมต่อ แสดงครบหรือไม่ พร้อมจดรายละเอียด และถ่ายรูป

Kingston 120 GB   (Evidence) 

 เปิดโปรแกรม GUYMAGER เลือก  Kingston 120 GB   (Evidence)  ใช้คำสั่ง  Acquire Image

ACQUIRE IMAGE Guymager 0.8.8

เลือก path  ที่เก็บ forensics Image file
 forensics Image file Location
เตรียม  HDD format  FAT32 ,exFAT  สำหรับเก็บ forensics Image file  รองรับ Linux  เพราะ Deft  ทำงานบน Linux
HDD 4 TB


 ตรวจสอบวันเวลา (Data Time ) เมื่อทำเสร็จ และ Path
Finished-Verified OK

ตรวจสอบ Forensic Image *.E01
Forensic Image File   *.E01 
 ตรวจสอบ Report .Info  แสดงรายละเอียด Forensic Image , Flash Drive ,ค่า Hash MD5,SHA1   ก่อนปิดเครื่อง 

GUYMAGER ACQUISITION INFO FILE
==============================

Guymager
========

Version              : 0.8.8-1                                                                       
Compilation timestamp: 2018-01-24-14.41.10                                                           
Compiled with        : gcc 4.9.2                                                                     
libewf version       : 20140608 (not used as Guymager is configured to use its own EWF module)       
libguytools version  : 2.1.0beta5                                                                    
Host name            : DeftZ                                                                         
Domain name          : (none)                                                                        

System               : Linux DeftZ 4.4.0-53-generic #74~14.04.1 SMP Tue Dec 20 14:33:58 CET 2016 i686

 Forensics Report  *.Info  
 GUYMAGER ACQUISITION INFO FILE
GUYMAGER ACQUISITION INFO FILE
ทำการ Mount Image File เพื่อตรวจสอบว่าใช้งานได้หรือไม่
Mount Image To Drive

 ทำแบบเดียวกันอีกครั้ง เพื่อดูว่าค่า Hash เปลี่ยนแปลงหรือไม่

Hash Compare

สิ่งที่ต้องตรวจสอบก่อนการทำสำเนาหลักฐาน
  - การเตรียมอุปกรณ์สำรองไฟ  UPS
  - ในกรณี เครื่องคอมพิวเตอร์ที่จะทำสำเนาหลักฐาน มีการต่อพ่วง Harddisk  หลายลูก ให้ตรวจสอบกำลัง power supply (PSU)  เพียงพอหรือไม่
  - ตรวจสอบลำดับ  boot  ถ้าMainboard ที่รองรับ UEFI  กรณี  USB boot หากไม่แน่ใจให้ถอด สายไฟเชื่อมต่อ HDD ออกก่อน จนแน่ใจว่าตั้งค่าถูกต้อง ค่อยเสียบสายเหมือนเดิม


https://bit.ly/2OHjY5i 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud 

No comments:

Post a Comment