Saturday, June 8, 2019

Digital Forensics : Acquisition in Kali Linux - Guymager

Digital Forensics : Acquisition in Kali Linux - Guymager


       เตรียม อุปกรณ์และ ทดสอบ Acquisition Tool On site step by step


1. Notebook Kingston 120 GB   (Evidence)
2. Kali Linux  USB Boot (SanDisk Extreme USB 3.0 32 GB
3. Guymager 0.8.8
4. Western SATA HDD 4 TB  (forensics Image)
5. External box  (Orico)
6. Clock & Camera


เตรียมติดตั้ง Kali Linux  บน Flash Drive  SanDisk Extreme USB 3.0  32 GB
SanDisk Extreme USB 3.0
กด Esc ทำการเข้า BIOS ทำการเลือก  Boot Option Menu   
F9 Boot Option
เลือก USB Hard Drive (UEFI)
USB Hard Drive (UEFI)
เลือก Kali Linux Forensics Mode  เพื่อป้องกันการเขียนทับข้อมูลบนหลักฐานดิจิทัล

Kali Linux Forensics Mode

Acquisition in Kali Linux 


เตรียม  HDD format  FAT32 ,exFAT  สำหรับเก็บ forensics Image file  รองรับ Linux  เพราะ Kali ทำงานบน Linux
HDD 4 TB
Mount Disk สำหรับเก็บสำเนาหลักฐาน
Mount Disk :  Forensics Image

ตรวจสอบ  Hard disk ที่เชื่อมต่อ แสดงครบหรือไม่ พร้อมจดรายละเอียด และถ่ายรูป

 เปิดโปรแกรม GUYMAGER เลือก  KINGSTON 120 GB   (EVIDENCE)  ใช้คำสั่ง  ACQUIRE IMAGE

เลือก path  ที่เก็บ forensics Image file   ตั้งชื่อที่เก็บ Forensics Image and Check box : Hash

ใช้คำสั่ง  ACQUIRE IMAGE


Forensics Image file Location


ก่อนทำให้ทำการ กำหนดค่า  Automatic Screen look >  Off
Automatic Screen look >  Off
Blank Screen > Never
Blank Screen > Never
  • Check Re-read source after acquisition for verification (Takes twice as long)
  • Verify image after acquisition (Takes twice as long)  
Source verification  on 
Image verification  on 

Start 

Finished-Verified OK

Complete 

 ตรวจสอบวันเวลา (Data Time ) เมื่อทำเสร็จ และ Path  จะปรากฎไฟล์ Forensic Image นามสกุล *.E01 
 ตรวจสอบ Forensic Image *.E01
 ตรวจสอบ Report .Info  แสดงรายละเอียด Forensic Image ,ค่า Hash MD5,SHA1    
 ทำแบบเดียวกันอีกครั้ง เพื่อดูว่าค่า Hash เปลี่ยนแปลงหรือไม่

 Forensics Report  *.Info  & Hash Compare
ทำการ Mount Image File เพื่อตรวจสอบว่าใช้งานได้หรือไม่  ก่อนเก็บหลักฐาน (seizure )

Digital Forensics with Kali Linux : Introduction to Forensic Imaging


Forensic Acquisition in Linux - Guymager



สรุป:Kali Linux ในการทำสำเนาหนักฐาน
  •  จำเป็นต้องตรวจสอบค่าวันเวลา
  • เตรียม  HDD format  FAT32 ,exFAT   ที่รองรับ Linux  สำหรับเก็บ Image file


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud 

No comments:

Post a Comment