Digital Forensics:สำหรับประกันภัย

การตรวจพิสูจน์พยานหลักฐานดิจิทัลสำหรับประกันภัย

Credit:Pol.Maj.Manupat Sriboonlue

พยานหลักฐานในดคีประกันภัย

ข้อโต้แย้งเรื่องพยานหลักฐานดิจิทัล

ขั้นตอนการรวบรวมหลักฐานเพื่อแจ้งความดำเนินคดี

ขั้นตอนการรวบรวมหลักฐานดิจิทัล

การสืบสวนหาตัวผู้กระทำผิดในดคีความผิดเกี่ยวกับประกันภัย

Insurance Investigation

สืบสวนจากพยานหลักฐาน

How to Search Evidence

ที่มา:https://www.slideshare.net/manupatsriboonlue/digital-forensic-for-insurance-2019
ขอขอบคุณท่าน อ. (Pol.Maj.Manupat Sriboonlue) ขออนุญาตแชร์เป็นวิทยาทานครับ
 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#พยานหลักฐานดิจิทัล

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD  #CYBER FORENSIC เบื้องต้น  #DIGITALFORENSICS เบื้องต้น #DIGITAL FORENSICS สำหรับเจ้าหน้าที่พิสูจน์หลักฐาน #4N6 #เครื่องมือ CYBER FORENSIC #COMPUTER FORENSICS  เจ้าหน้าที่พิสูจน์หลักฐาน #ตรวจพิสูจน์หลักฐานอาชญากรรมคอมพิวเตอร์ 

Digital Forensics: Binwalk

Digital Forensics: Binwalk

      จริงๆโปรแกรมนี้ ส่วนใหญ่ มักใช้ในการแข่ง CTF  forensic เจอในโจทย์ตลอด ใครต้องแข่ง ก็ลองศึกษาดูครับมีประโยชน์ 

Binwalk คือ

เป็นเครื่องมือที่ใช้งาน สำหรับการวิเคราะห์ไฟล์ไบนารี (binary files) โดยเฉพาะ   มันถูกออกแบบมาเพื่อค้นหาไฟล์และ(embeded files)โค้ดที่ฝังอยู่ภายใน firmware images ส่วนใหญ่จะใช้เพื่อ Extract ไฟล์ฺออกมาจาก firmware images บนระบบ Linux

Binwalk ยังสามารถแยกไฟล์ทั้งหมดที่พบภายใน firmware ได้โดยอัตโนมัติด้วยคำสั่ง -e 

$ binwalk -e firmware.bin

Binwalk ยังสามารถค้นหา string ในไฟล์ไบนารีด้วยตัวเลือก -S  
คำสั่ง -M เป็นการวิเคราะห์ลายเซ็นต์ของไฟล์ที่ระบุ  และจะทำการ  Extract ไฟล์ฺออก

$ binwalk -e -M firmware.bin

Download firmware TL-WR841N_V8_130506.zip

เมื่อดาวโหลดไฟล์มาแล้วให้ทำการแตก zip ออกมา 

Binwalk

Binwalk

คำสั่ง Help สำหรับดูค่า option 

list all the options with Binwalk

Binwalk

พิมพ์คำสั่งและตามด้วยไฟล์ firmware เพื่อดูว่าภายในมีไฟล์อะไรอยู่บ้าง

$ binwalk firmware.bin

To scan the firmware for embedded file types and systems. 

Binwalk

 คำสั่งที่ใช้ scanไฟล์ที่อยู่ในไฟล์ firmware ว่ามีไฟล์ชนิดไหนบ้าง

$ binwalk -M firmware.bin

To scan the files Recursively
 .

Binwalk

 คำสั่งที่ใช้แตกไฟล์ที่อยู่ในไฟล์ firmware

$ binwalk -e firmware.bin

To extract known file types from the firmware image

Binwalk

Binwalk

$ binwalk -Me firmware.bin

คำสั่งที่scan หาไฟลและแตกไฟล์ที่อยู่ในไฟล์ firmware

Binwalk

Binwalk 

 ไฟล์*. crt ที่ถูกแตกออกมา จาก Firmware

Extract

Extract

 

ที่มา:
https://github.com/ReFirmLabs/binwalk/wiki/Usage#signature
https://github.com/briankip/binwalk-tutorial
https://gbhackers.com/analyzing-embedded-files-and-executable-code-with-frimware-images-binwalk/


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Digital Forensics: “ฉ้อโกง” อาชญากรรมทางเศรษฐกิจบนโลกออนไลน์

ความผิดฐาน “ฉ้อโกง” เป็นบทกฎหมายสำคัญในการปราบปรามอาชญากรรมทางเศรษฐกิจ ตามประมวลกฎหมายอาญา มาตรา 341 “ผู้ใดโดยทุจริต หลอกลวงผู้อื่นด้วยการแสดงข้อความอันเป็นเท็จ หรือปกปิดข้อความจริงซึ่งควรบอกให้แจ้ง และโดยการหลอกลวงดังว่านั้นได้ไปซึ่งทรัพย์สินจากผู้ถูกหลอกลวงหรือบุคคลที่สาม หรือทำให้ผู้ถูกหลอกลวง หรือบุคคลที่สาม ทำ ถอน หรือทำลายเอกสารสิทธิ…” “ฉ้อโกง” คือการหลอกลวงให้ได้ไปซึ่งทรัพย์  วิธีการหลองลวงคือการแสดงข้อความจริงอันเป็นเท็จหรือการปกปิดความจริงซึ่งควรบอกให้แจ้ง กฎหมายอาญามาตรา 341 มีผลบังคับถึงการกระทำผิดในระบบคอมพิวเตอร์

อุทาหรณ์ เมื่อเดือนพฤศจิกายน 2561 ผู้เสียหายที่ 1 ประกอบอาชีพค้ารถยนต์มือสองชาวจังหวัดน่าน โพสต์ภาพสินค้ารถยนต์กระบะมือสองในเว็บไซต์ Kaidee ต้นเดือนธันวาคม 2561 ผู้ต้องสงสัยติดต่อกับผู้เสียหายที่ 1 ทาง Messenger (ไม่ทราบหมายเลขโทรศัพท์) หลังจากนั้น ผู้ต้องสงสัยตกลงซื้อรถยนต์คันดังกล่าวในราคา 210,000 บาท โดยให้ผู้เสียหายที่ 1 ส่งภาพถ่ายตนเองพร้อมสินค้า ภาพถ่ายเอกสารทะเบียนรถ ภาพถ่ายบัตรประชาชน ภาพถ่ายบัญชีธนาคาร เมื่อผู้เสียหายที่ 1 ส่งภาพดังกล่าวให้ในแชทรูม ผู้ต้องสงสัยยุติการติดต่อ

เดือนธันวาคม 2561 ผู้ต้องสงสัยโพสต์ภาพสินค้ารถยนต์กระบะมือสองคันเดิมของผู้เสียหายที่ 1 ลงบนเว็บไซต์ Kaidee กำหนดราคาขาย 120,000 บาท ผู้เสียหายคนที่ 2 ประกอบอาชีพพ่อค้ารถยนต์มือสองชาวจังหวัดเชียงราย ติดต่อขอซื้อรถยนต์กระบะคันเดิมผ่านแชทรูม Line เชื่อมต่อด้วยไลน์ไอดี (ไม่ทราบหมายเลขโทรศัพท์) ผู้ต้องสงสัยส่งภาพถ่ายให้กับผู้เสียหายที่ 2  ประกอบด้วย 1 ภาพถ่ายของผู้เสียหายกับรถยนต์คันเดิม  2.ภาพถ่ายเอกสารทะเบียนรถที่ถูกตัดต่อ 3.ภาพถ่ายบัตรประชาชนที่ถูกตัดต่อ 4.ภาพถ่ายบัญชีธนาคาร ผู้เสียหายที่ 2 หลงเชื่อโอนเงินมัดจำให้ 2,000 บาท ระหว่างเดินทางผู้ต้องสงสัยขอให้โอนเงินเพิ่มอีก 15,000 บาท ผู้เสียหายที่ 2 ปฏิเสธ ผู้ต้องสงสัยยุติการติดต่อ

วันที่ 27 พฤษภาคม 2562 ผู้ต้องสงสัยโพสต์ภาพสินค้ารถยนต์กระบะมือสองคันเดิมของผู้เสียหายที่ 1 ลงบนเว็บไซต์ Kaidee กำหนดราคาขาย 110,000 บาท ผู้เสียหายที่ 3 พ่อค้ารถยนต์มือสองชาวจังหวัดพิษณุโลก ติดต่อขอซื้อรถยนต์กระบะคันเดิมผ่านแชทรูม Line ผู้ต้องสงสัยส่งภาพให้กับผู้เสียหายที่ 3 ประกอบด้วย 1 ภาพถ่ายของผู้เสียหายที่ 1 กับรถยนต์คันเดิม 2.ภาพถ่ายทะเบียนรถที่ถูกตัดต่อ 3.ภาพถ่ายบัตรประชาชนที่ถูกตัดต่อ 4.ภาพถ่ายบัญชีธนาคารของบุคคลอื่น ผู้เสียหายที่ 3 หลงเชื่อโอนเงินมัดจำให้ 5,000 บาท ระหว่างเดินทางมารับรถยนต์ผู้เสียหายที่ 3 โอนเงินเพิ่มให้อีก 15,000 บาท รวม 20,000 บาท ผู้ต้องสงสัยยุติการติดต่อ

พยานหลักฐานบนโลกออนไลน์

จากการศึกษาพยานหลักฐานอันปรากฏในแชทรูม (Chat Room) ๑.ภาพถ่ายบัญชีธนาคาร สำเนาภาพถ่ายบัญชีธนาคาร หรือหมายเลขบัญชีธนาคาร พบว่าเป็นบัญชีธนาคารของบุคคลอื่นซึ่งมิใช่ของผู้ต้องสงสัย  ๒.ภาพถ่ายบัตรประชาชน ภาพถ่ายสำเนาบัตรประชาชน เป็นภาพตัดต่อโดยมีการตัดต่อเปลี่ยนชื่อบนภาพถ่ายบัตรประชาชนให้เป็นชื่อเจ้าของบัญชีธนาคาร ๓.ภาพถ่ายสินค้า เช่น รถยนต์ โทรศัพท์มือถือ คอมพิวเตอร์

หลักการสังเกตเบื้องต้น ๑.ควรตรวจสอบภาพถ่ายสินค้าว่าถูกคัดลอกมาจากแห่งใด ด้วยการเข้า  images.google.com จากนั้นอัปโหลดภาพถ่ายสินค้าลงบนเว็บแล้วกดค้นหา หากเป็นภาพซึ่งถูกคัดลอกมาจากเว็บไซต์จะปรากฏแหล่งที่มาบนเว็บไซต์ อีกวิธีการคือเข้าเว็บไซต์ jeffrey’s image metadata viewer เพื่อตรวจสอบรายละเอียดภาพถ่าย วันเวลาถ่ายภาพ วันเวลาตกแต่ภาพ วันเวลาอัปโหลดภาพ หากมีการถ่ายภาพนานเกินสมควร นั่นส่อให้เห็นว่าผู้จำหน่ายสินค้ามีเจตนาหลอกลวง

๒. การตรวจสอบภาพถ่ายบัตรประชาชนหรือสำเนาบัตรประชาชน สามารถตรวจสอบด้วยสายตาโดยสังเกตสีตัวอักษรบนบัตรประชาชน สีของหมายเลขบัตรประชาชน สีของตัวอักษรชื่อนามสกุล สีของตัวอักษรบอกบ้านเลขที่ ควรเป็นสีเดียวกัน ไม่มีควรมีตัวอักษรสีดำเข้มอ่อนกว่ากัน หรือหากไม่มั่นใจก็สามารถใช้โปรแกรม  jeffrey’s image metadata viewer ตรวจสอบ หากภาพถ่ายถูกบันทึกมานานก็แสดงว่าเป็นภาพถ่ายบัตรประชาชนถูกตัดต่อ

๓. หมายเลขบัญชีธนาคาร ภาพถ่ายบัญชีธนาคาร ภาพถ่ายสำเนาบัญชีธนาคาร เป็นเหมือนประตูปิดเกมส์ของผู้ต้องหา บัญชีธนาคารหาได้ง่ายด้วยการจ้างคนอื่นเปิดบัญชี จากการตรวจสอบพบว่า บัญชีธนาคารเป็นของบุคคลอื่นมิใช่ของผู้ต้องสงสัย โดยเงินมักจะถูกถอนหรือโยกย้ายในทันทีที่เงินถูกโอนเข้าบัญชี

การตรวจสอบพยานหลักฐานเป็นการตรวจสอบถึงเจตนา “ทุจริต” ของผู้ต้องสงสัยว่า มีเจตนาหลอกลวงด้วยการแสดงข้อความอันเป็นเท็จจนได้ไปซึ่งทรัพย์สิน ครบองค์ประกอบความผิดฐาน “ฉ้อโกง” ตามประมวลกฎหมายอาญามาตรา 341 หรือไม่ หากตรวจสอบไม่พบพิรุธในพยานหลักฐานและคู่สัญญายังคงติดต่อทางโทรศัพท์ แต่อาจไม่สามารถส่งมอบสินค้า หรือชำระราคาได้ตามตกลง ก็ถือเป็นการผิดสัญญาทางแพ่ง                                                                 

ที่มา:“ฉ้อโกง” อาชญากรรมทางเศรษฐกิจบนโลกออนไลน์ ผู้เขียน ร.ต.อ.ทรงวุฒิ  จันธิมา (กระจอกชัย) เว็บหนังสือพิมพ์พะเยาบิส

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

Memory forensics:How to install volatility 3 in windows

Memory forensics:How to install volatility 3 in windows

วิธีติดตั้ง  volatility framework 3 บน windows

Step 1. ต้องติดตั้งภาษา Python คุณต้องไปที่หน้าดาวน์โหลดของภาษา Python เพื่อดาวน์โหลดโปรแกรมลงคอมพิวเตอร์ของคุณก่อน หน้าดาวน์โหลด Python

ในหน้าของการดาวน์โหลด จะปรากฏ Package ของภาษา Python สองเวอร์ชัน เราจะเลือกติดตั้งเวอร์ชันล่าสุด คือ Python 3.8.7 ซึ่งเป็นเวอร์ชันที่ได้รับการพัฒนาล่าสุดและมีคุณสมบัติใหม่เพิ่มเข้ามามากมาย

คุณจะเห็นรายการของ Python package ที่รองรับ ให้เลือกแพลตฟอร์มที่คุณต้องการ  สำหรับการติดตั้งบน Windows หลังจากนั้นให้รอจนกว่าการดาวน์โหลดจะเสร็จสมบูรณ์

ต่อไปจะเป็นการติดตั้งภาษา Python ลงบนคอมพิวเตอร์ของคุณ  Install Now

รอจนกว่าการติดตั้งจะเสร็จ หลังจากที่การติดตั้งเสร็จสิ้นแล้ว คลิก "Close" เพื่อเสร็จสิ้นการติดตั้งภาษา Python

ในตอนนี้ เราได้ติดตั้งภาษา Python เรียบร้อยแล้วต่อไปเราจะทำการตรวจสอบการติดตั้ง โดยให้คุณเปิด Command line ขึ้นมา และพิมพ์คำสั่ง "python" ซึ่งจะได้ผลลัพธ์ดังนี้ ซึ่งถือว่าการติดตั้งเสร็จสมบูรณ์ 

Step 2. ทำการดาวน์โหลด Volatility 3

Download the Volatility source code archive and extract files

แตกไฟล์ออกมา

#pip install pefile 

We can get started with Volatility by running “vol.py -h” from the command line to see the syntax.

 ที่มา:

• installing-volatility-on-windows/

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud