Thursday, August 29, 2019

DIGITAL FORENSICS: HASH SET

DIGITAL FORENSICS: HASH SET


 วันนี้จะมีทดสอบการใช้  HASH SET  โดยโปรแกรม  osfORENSICS  โดยยกตัวอย่าง เปรียบเทียบ ไฟล์ windows 8.1 pro  กับไฟล์ต้นฉบับ

HASH SET คือ

เทคนิคการกรองข้อมูลโดยใช้ค่าแฮชเป็นเทคนิคที่ช่วยประหยัดเวลาสำหรับผู้ตรวจสอบนิติคอมพิวเตอร์เมื่อทำงานกับดิสก์อิมเมจขนาดใหญ่ โดยสรุปเทคนิคนี้สามารถกรองไฟล์ทั้งหมดที่อยู่ใน forensic Imge ของคุณที่เป็นของระบบปฏิบัติการหรือแพคเกจซอฟต์แวร์ที่ใช้กันทั่วไป เช่น windows OS  วิธีนี้จะช่วยให้ผู้ตรวจสอบให้ความสำคัญกับไฟล์ที่ไม่รู้จักลดขอบเขตของการตรวจสอบ ท้ายที่สุดเราไม่มีเวลาตรวจสอบไฟล์ที่เรารู้อยู่แล้ว

จุดประสงค์
    - สามารถเข้าใจความหมาย HASH SET
    - สามารถนำ HASH SET มาประยุกต์ใช้งานได้

  สิ่งที่ต้องเตรียม
    - โปรแกรม OSfrensics
    -  ไฟล์ Windows_8.1_Pro_(x64). Hash Set จาก website 
    -  เครืองคอมพิวเตอร์ที่ติดตั้ง windows 8.1  pro สำหรับทดสอบ 

Hash Sets
ทำการติดตั้งโปรแกรม OSForensics  และ Copy Hashsets ลงใน Path ตามรูป
WINDOWS 8. 1 PRO  HASH SET
เมื่อเปิดโปรแกรม  OSForensics    เข้าไปที่หัวข้อ Hashset
Config Hash Sets on OSForensics
เครื่องคอมพิวเตอร์ windows 8.1 pro สำหรับตรวจสอบ
ฟังก์ชันแฮช (Hash functionคือ วิธีการที่ทำให้ข้อมูลย่อลงแต่มีลักษณะจำเพาะของข้อมูลนั้น โดยอาจกระทำโดยการแบ่งข้อมูลออกเป็นส่วนๆ ผ่านวิธีการใดๆแล้วนำกลับมารวมกัน เรียกว่า ค่าแฮช (hash value)

ทำไมต้องใช้ HASH SET

  • เพื่อใช้ตรวจสอบว่าข้อมูลว่ามีการเปลี่ยนแปลงหรือไม่
  • เพื่อใช้ตรวจสอบข้อมูลที่เก็บเปรียบเทียบ โดยการเปรียบเทียบข้อมูลกับต้นฉบับจะทำได้รวดเร็วขึ้น
  • หากข้อมูลที่จะใช้เปรียบเทียบมีขนาดใหญ่มาก จะช่วยย่อข้อมูลให้เล็กลงได้มาก แต่ขึ้นอยู่กับวิธีของฟังก์ชันแฮช
OSForensics

OSForensics คือ

โปรแกรมหาหลักฐานทางดิจิทัล ต่างๆ ที่เกิดขึ้นกับเครื่องคอมพิวเตอร์   ใช้สำหรับเจ้าหน้าที่รัฐ  ,เจ้าหน้าที่ตำรวจ, ฝ่ายสืบสวนสอบสวนคดี และเจ้าหน้าที่พิสูจน์หลักฐานทางดิจิทัล ต่างๆ ว่ามีกิจกรรมใดที่เกิดขึ้นกับเครื่องคอมพิวเตอร์ 
ของผู้ต้องสงสัย หรือ ผู้ต้องหาได้บ้าง มันมีความสามารถใช้ช่วยในการหาหลักฐานทางคอมพิวเตอร์ ได้อย่างดีเยี่ยม พร้อมจัดทำรายงานสรุป ออกมาได้หลากหลายรูปแบบ อาทิเช่นกราฟ เป็นต้น ซึ่งหากเปิดโปรแกรมขึ้นมาดูแล้ว มันจะมีเมนูตัวเลือก ให้เลือกใช้งานอยู่มากมายทางด้านซ้ายมือ พร้อมกับมีคำแนะนำอยู่ด้านล่าง โดยเจ้าโปรแกรม OSForensics ตัวนี้มันสามารถใช้สืบค้น ค้นหาข้อมูล ได้ว่าเครื่องคอมพิวเตอร์เครื่องนี้ มีใครใช้บ้าง และ ทำอะไรกับมันบ้าง เปิดเว็บไซต์อะไรบ้าง ค้นหาอีเมล์ต่างๆ ที่ถูกเก็บเอาไว้ในเครื่อง มีแฟลชไดร์ฟ หรือ อุปกรณ์ USB ใดๆ เสียบเข้ามาใช้งานกับเครื่องนี้หรือไม่ ลบไฟล์อะไรไปบ้าง ซึ่งผู้ใช้งานสามารถพิมพ์ค้นหาคำค้น (Keywords) ที่ต้องการได้เลย นอกจากนี้ตัวโปรแกรมยังมีความสามารถของ โปรแกรมกู้ข้อมูล ให้สามารถกู้ไฟล์ รวมไปถึง ชื่อผู้ใช้ (Username) หรือแม้แต่ รหัสผ่าน (Password) ที่ถูกลบไปแล้วกลับมาได้
OSForensics สามารถสร้างสำเนาของฮาร์ดไดรฟ์ของคอมพิวเตอร์ได้

ใช้คำสั่ง Filename Search ในการค้นหา ใน โฟร์เดอร์ windows 

                  

Filename Search in OSForensics
ผลลัพถ์ที่ได้สังเกต สัญลักษณ์ ขวามือ
Icon สีแดง = แสดงว่าไฟล์มีค่า hash ไม่ตรงกับ Hast set 
Icon สีดำ   = แสดงว่าไฟล์มีค่า hash ตรงกับ Hast set 
Hash Set Match
ไฟล์ มีค่า hash ตรงกับ Hast set 

ไฟล์ มีค่า hash ไม่ตรงกับ Hast set 


 สรุปผลการทดสอบ
  • เพื่อใช้ตรวจสอบว่าข้อมูลว่ามีการเปลี่ยนแปลงหรือไม่
  • เพื่อใช้ตรวจสอบข้อมูลที่เก็บเปรียบเทียบ โดยการเปรียบเทียบข้อมูลกับต้นฉบับจะทำได้รวดเร็วขึ้น
หมายเหตุ:  ค่า  hashไม่ตรงกันเกิดจากการเปลี่ยนแปลง  อาจเกิดได้จากมีไฟล์ใหม่มา  เช่น Windows Update   หรือ  มีไฟล์ใหม่มาเพิ่ม


ที่มา:


ท่านสามารถดาวโหลด Hashset ได้ตาม link ด้านล่าง
ศึกษาเพิ่มเติม NATIONAL SOFTWARE REFERENCE LIBRARY (NSRL)
Rainbow Tables


#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

No comments:

Post a Comment

เจาะลึก 14 Certifications ด้าน Cybersecurity

เจาะลึก 14 Certifications ด้าน Cybersecurity เจาะลึก 14 Certifications ด้าน Cybersecurity ที่น่าสนใจ! แชร์มุมมองส่วนตัวเกี่ยวกับ certificati...