DIGITAL FORENSICS: HASH SET
วันนี้จะมีทดสอบการใช้ HASH SET โดยโปรแกรม osfORENSICS โดยยกตัวอย่าง เปรียบเทียบ ไฟล์ windows 8.1 pro กับไฟล์ต้นฉบับ
HASH SET คือ
เทคนิคการกรองข้อมูลโดยใช้ค่าแฮชเป็นเทคนิคที่ช่วยประหยัดเวลาสำหรับผู้ตรวจสอบนิติคอมพิวเตอร์เมื่อทำงานกับดิสก์อิมเมจขนาดใหญ่ โดยสรุปเทคนิคนี้สามารถกรองไฟล์ทั้งหมดที่อยู่ใน forensic Imge ของคุณที่เป็นของระบบปฏิบัติการหรือแพคเกจซอฟต์แวร์ที่ใช้กันทั่วไป เช่น windows OS วิธีนี้จะช่วยให้ผู้ตรวจสอบให้ความสำคัญกับไฟล์ที่ไม่รู้จักลดขอบเขตของการตรวจสอบ ท้ายที่สุดเราไม่มีเวลาตรวจสอบไฟล์ที่เรารู้อยู่แล้ว
จุดประสงค์
- สามารถเข้าใจความหมาย HASH SET
- สามารถนำ HASH SET มาประยุกต์ใช้งานได้
สิ่งที่ต้องเตรียม
- โปรแกรม OSfrensics
- ไฟล์ Windows_8.1_Pro_(x64). Hash Set จาก website
- เครืองคอมพิวเตอร์ที่ติดตั้ง windows 8.1 pro สำหรับทดสอบ
|
Hash Sets |
ทำการติดตั้งโปรแกรม OSForensics และ Copy Hashsets ลงใน Path ตามรูป
|
WINDOWS 8. 1 PRO HASH SET |
เมื่อเปิดโปรแกรม OSForensics เข้าไปที่หัวข้อ Hashset
|
Config Hash Sets on OSForensics |
|
เครื่องคอมพิวเตอร์ windows 8.1 pro สำหรับตรวจสอบ |
ฟังก์ชันแฮช (Hash function) คือ วิธีการที่ทำให้ข้อมูลย่อลงแต่มีลักษณะจำเพาะของข้อมูลนั้น โดยอาจกระทำโดยการแบ่งข้อมูลออกเป็นส่วนๆ ผ่านวิธีการใดๆแล้วนำกลับมารวมกัน เรียกว่า ค่าแฮช (hash value)
ทำไมต้องใช้ HASH SET
- เพื่อใช้ตรวจสอบว่าข้อมูลว่ามีการเปลี่ยนแปลงหรือไม่
- เพื่อใช้ตรวจสอบข้อมูลที่เก็บเปรียบเทียบ โดยการเปรียบเทียบข้อมูลกับต้นฉบับจะทำได้รวดเร็วขึ้น
- หากข้อมูลที่จะใช้เปรียบเทียบมีขนาดใหญ่มาก จะช่วยย่อข้อมูลให้เล็กลงได้มาก แต่ขึ้นอยู่กับวิธีของฟังก์ชันแฮช
|
OSForensics |
OSForensics คือ
โปรแกรมหาหลักฐานทางดิจิทัล ต่างๆ ที่เกิดขึ้นกับเครื่องคอมพิวเตอร์ ใช้สำหรับเจ้าหน้าที่รัฐ ,เจ้าหน้าที่ตำรวจ, ฝ่ายสืบสวนสอบสวนคดี และเจ้าหน้าที่พิสูจน์หลักฐานทางดิจิทัล ต่างๆ ว่ามีกิจกรรมใดที่เกิดขึ้นกับเครื่องคอมพิวเตอร์
ของผู้ต้องสงสัย หรือ ผู้ต้องหาได้บ้าง มันมีความสามารถใช้ช่วยในการหาหลักฐานทางคอมพิวเตอร์ ได้อย่างดีเยี่ยม พร้อมจัดทำรายงานสรุป ออกมาได้หลากหลายรูปแบบ อาทิเช่นกราฟ เป็นต้น ซึ่งหากเปิดโปรแกรมขึ้นมาดูแล้ว มันจะมีเมนูตัวเลือก ให้เลือกใช้งานอยู่มากมายทางด้านซ้ายมือ พร้อมกับมีคำแนะนำอยู่ด้านล่าง โดยเจ้าโปรแกรม OSForensics ตัวนี้มันสามารถใช้สืบค้น ค้นหาข้อมูล ได้ว่าเครื่องคอมพิวเตอร์เครื่องนี้ มีใครใช้บ้าง และ ทำอะไรกับมันบ้าง เปิดเว็บไซต์อะไรบ้าง ค้นหาอีเมล์ต่างๆ ที่ถูกเก็บเอาไว้ในเครื่อง มีแฟลชไดร์ฟ หรือ อุปกรณ์ USB ใดๆ เสียบเข้ามาใช้งานกับเครื่องนี้หรือไม่ ลบไฟล์อะไรไปบ้าง ซึ่งผู้ใช้งานสามารถพิมพ์ค้นหาคำค้น (Keywords) ที่ต้องการได้เลย นอกจากนี้ตัวโปรแกรมยังมีความสามารถของ โปรแกรมกู้ข้อมูล ให้สามารถกู้ไฟล์ รวมไปถึง ชื่อผู้ใช้ (Username) หรือแม้แต่ รหัสผ่าน (Password) ที่ถูกลบไปแล้วกลับมาได้
OSForensics สามารถสร้างสำเนาของฮาร์ดไดรฟ์ของคอมพิวเตอร์ได้
ใช้คำสั่ง Filename Search ในการค้นหา ใน โฟร์เดอร์ windows
|
Filename Search in OSForensics |
ผลลัพถ์ที่ได้สังเกต สัญลักษณ์ ขวามือ
Icon สีแดง = แสดงว่าไฟล์มีค่า hash ไม่ตรงกับ Hast set
Icon สีดำ = แสดงว่าไฟล์มีค่า hash ตรงกับ Hast set
|
Hash Set Match |
|
ไฟล์ มีค่า hash ตรงกับ Hast set |
|
ไฟล์ มีค่า hash ไม่ตรงกับ Hast set |
สรุปผลการทดสอบ
- เพื่อใช้ตรวจสอบว่าข้อมูลว่ามีการเปลี่ยนแปลงหรือไม่
- เพื่อใช้ตรวจสอบข้อมูลที่เก็บเปรียบเทียบ โดยการเปรียบเทียบข้อมูลกับต้นฉบับจะทำได้รวดเร็วขึ้น
หมายเหตุ: ค่า hashไม่ตรงกันเกิดจากการเปลี่ยนแปลง อาจเกิดได้จากมีไฟล์ใหม่มา เช่น Windows Update หรือ มีไฟล์ใหม่มาเพิ่ม
ที่มา:
ท่านสามารถดาวโหลด Hashset ได้ตาม link ด้านล่าง
|
Rainbow Tables |
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ