DIGITAL FORENSICS: HASH SET

DIGITAL FORENSICS: HASH SET

 วันนี้จะมีทดสอบการใช้  HASH SET  โดยโปรแกรม  osfORENSICS  โดยยกตัวอย่าง เปรียบเทียบ ไฟล์ windows 8.1 pro  กับไฟล์ต้นฉบับ

HASH SET คือ

เทคนิคการกรองข้อมูลโดยใช้ค่าแฮชเป็นเทคนิคที่ช่วยประหยัดเวลาสำหรับผู้ตรวจสอบนิติคอมพิวเตอร์เมื่อทำงานกับดิสก์อิมเมจขนาดใหญ่ โดยสรุปเทคนิคนี้สามารถกรองไฟล์ทั้งหมดที่อยู่ใน forensic Imge ของคุณที่เป็นของระบบปฏิบัติการหรือแพคเกจซอฟต์แวร์ที่ใช้กันทั่วไป เช่น windows OS  วิธีนี้จะช่วยให้ผู้ตรวจสอบให้ความสำคัญกับไฟล์ที่ไม่รู้จักลดขอบเขตของการตรวจสอบ ท้ายที่สุดเราไม่มีเวลาตรวจสอบไฟล์ที่เรารู้อยู่แล้ว

จุดประสงค์

    - สามารถเข้าใจความหมาย HASH SET

    - สามารถนำ HASH SET มาประยุกต์ใช้งานได้

  สิ่งที่ต้องเตรียม

    - โปรแกรม OSfrensics

    -  ไฟล์ Windows_8.1_Pro_(x64). Hash Set จาก website 

    -  เครืองคอมพิวเตอร์ที่ติดตั้ง windows 8.1  pro สำหรับทดสอบ 

Hash Sets

ทำการติดตั้งโปรแกรม OSForensics  และ Copy Hashsets ลงใน Path ตามรูป

WINDOWS 8. 1 PRO  HASH SET

เมื่อเปิดโปรแกรม  OSForensics    เข้าไปที่หัวข้อ Hashset

Config Hash Sets on OSForensics

เครื่องคอมพิวเตอร์ windows 8.1 pro สำหรับตรวจสอบ

ฟังก์ชันแฮช (Hash function) คือ วิธีการที่ทำให้ข้อมูลย่อลงแต่มีลักษณะจำเพาะของข้อมูลนั้น โดยอาจกระทำโดยการแบ่งข้อมูลออกเป็นส่วนๆ ผ่านวิธีการใดๆแล้วนำกลับมารวมกัน เรียกว่า ค่าแฮช (hash value)

ทำไมต้องใช้ HASH SET

• เพื่อใช้ตรวจสอบว่าข้อมูลว่ามีการเปลี่ยนแปลงหรือไม่
• เพื่อใช้ตรวจสอบข้อมูลที่เก็บเปรียบเทียบ โดยการเปรียบเทียบข้อมูลกับต้นฉบับจะทำได้รวดเร็วขึ้น
• หากข้อมูลที่จะใช้เปรียบเทียบมีขนาดใหญ่มาก จะช่วยย่อข้อมูลให้เล็กลงได้มาก แต่ขึ้นอยู่กับวิธีของฟังก์ชันแฮช

OSForensics

OSForensics คือ

โปรแกรมหาหลักฐานทางดิจิทัล ต่างๆ ที่เกิดขึ้นกับเครื่องคอมพิวเตอร์   ใช้สำหรับเจ้าหน้าที่รัฐ  ,เจ้าหน้าที่ตำรวจ, ฝ่ายสืบสวนสอบสวนคดี และเจ้าหน้าที่พิสูจน์หลักฐานทางดิจิทัล ต่างๆ ว่ามีกิจกรรมใดที่เกิดขึ้นกับเครื่องคอมพิวเตอร์ 
ของผู้ต้องสงสัย หรือ ผู้ต้องหาได้บ้าง มันมีความสามารถใช้ช่วยในการหาหลักฐานทางคอมพิวเตอร์ ได้อย่างดีเยี่ยม พร้อมจัดทำรายงานสรุป ออกมาได้หลากหลายรูปแบบ อาทิเช่นกราฟ เป็นต้น ซึ่งหากเปิดโปรแกรมขึ้นมาดูแล้ว มันจะมีเมนูตัวเลือก ให้เลือกใช้งานอยู่มากมายทางด้านซ้ายมือ พร้อมกับมีคำแนะนำอยู่ด้านล่าง โดยเจ้าโปรแกรม OSForensics ตัวนี้มันสามารถใช้สืบค้น ค้นหาข้อมูล ได้ว่าเครื่องคอมพิวเตอร์เครื่องนี้ มีใครใช้บ้าง และ ทำอะไรกับมันบ้าง เปิดเว็บไซต์อะไรบ้าง ค้นหาอีเมล์ต่างๆ ที่ถูกเก็บเอาไว้ในเครื่อง มีแฟลชไดร์ฟ หรือ อุปกรณ์ USB ใดๆ เสียบเข้ามาใช้งานกับเครื่องนี้หรือไม่ ลบไฟล์อะไรไปบ้าง ซึ่งผู้ใช้งานสามารถพิมพ์ค้นหาคำค้น (Keywords) ที่ต้องการได้เลย นอกจากนี้ตัวโปรแกรมยังมีความสามารถของ โปรแกรมกู้ข้อมูล ให้สามารถกู้ไฟล์ รวมไปถึง ชื่อผู้ใช้ (Username) หรือแม้แต่ รหัสผ่าน (Password) ที่ถูกลบไปแล้วกลับมาได้

OSForensics สามารถสร้างสำเนาของฮาร์ดไดรฟ์ของคอมพิวเตอร์ได้

ใช้คำสั่ง Filename Search ในการค้นหา ใน โฟร์เดอร์ windows 

                  

Filename Search in OSForensics

ผลลัพถ์ที่ได้สังเกต สัญลักษณ์ ขวามือ

Icon สีแดง = แสดงว่าไฟล์มีค่า hash ไม่ตรงกับ Hast set 

Icon สีดำ   = แสดงว่าไฟล์มีค่า hash ตรงกับ Hast set 

Hash Set Match

ไฟล์ มีค่า hash ตรงกับ Hast set 

ไฟล์ มีค่า hash ไม่ตรงกับ Hast set 

 สรุปผลการทดสอบ

• เพื่อใช้ตรวจสอบว่าข้อมูลว่ามีการเปลี่ยนแปลงหรือไม่
• เพื่อใช้ตรวจสอบข้อมูลที่เก็บเปรียบเทียบ โดยการเปรียบเทียบข้อมูลกับต้นฉบับจะทำได้รวดเร็วขึ้น

หมายเหตุ:  ค่า  hashไม่ตรงกันเกิดจากการเปลี่ยนแปลง  อาจเกิดได้จากมีไฟล์ใหม่มา  เช่น Windows Update   หรือ  มีไฟล์ใหม่มาเพิ่ม

ที่มา:

https://www.thaicert.or.th

https://blog.inslash.com/

https://www.hashsets.com/

PassMark

ท่านสามารถดาวโหลด Hashset ได้ตาม link ด้านล่าง

ศึกษาเพิ่มเติม NATIONAL SOFTWARE REFERENCE LIBRARY (NSRL)

Rainbow Tables

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ