Saturday, June 13, 2020

DIGITAL FORENSICS: HOW TO MOUNT A FORENSIC IMAGE WITH FULL DISK BITLOCKER ENCRYPTED

DIGITAL FORENSICS: HOW TO MOUNT A Forensic IMAGE WITH  Full Disk BITLOCKER ENCRYPTED



วันนี้มาทดสอบการทำ  Disk Image ที่โดนเข้ารหัส  ( Full disk ENCRYPTED with BITLOCKER)

เครื่องมือที่ใช้ (Tools)
1. Bitlocker Disk image + Key Recovery
2. Tableau Forensic Duplicator - TD2
3. Forensic Workstations
4. Arsenal Image Mounter  
5. OSForensics
6. FTK Imager 

ขั้นตอน

1. ได้รับเคสให้ตรวจสอบ Harddisk  ที่พบว่ามีการทำ Full disk ENCRYPTED โดย BITLOCKER  ขนาด 120 gb
Full disk ENCRYPTED WITH BITLOCKER


2. ทำสำเนาหลักฐานโดยใช้Tableau Forensic Duplicator - TD2
    ตั้งค่า forensics image file เป็น e01
Tableau Forensic Duplicator - TD2



3. เมื่อเสร็จให้ตรวจสอบ สำเนาหลักฐานและดู Log
ใช้ FTK Imager เปิด CF-BITLOCKER.E01  ว่าไฟล์สมบูรณ์หรือไม่

สังเกต Header  The FVE metadata block header consists of the signature “-FVE-FS”.
BitLocker
ตรวจสอบ log file 2020-05-19 11-09-04 00358 D2F.LOG จาก Tableau Forensic Duplicator - TD2


4. ทำการใช้ FTK Imager   ทดสอบเปิด forensics image file ว่าสามารถเปิดได้หรือไม่
    ทดสอบ Mount  CF-BITLOCKER.E01 file พบว่าสามารถ Mount  แต่ไม่สามารถเปิด Drive: K ได้ เนื่องจาก โปรแกรม FTK Imager  ไม่รองรับการใส่ recovery Key ของBIT-LOCKER
Mount CF-BITLOCKER.E01 image file


Mount drive k: แต่เปิดไม่ได้



5. ใช้โปรแกรม Arsenal Image Mounter  Mount CF-BITLOCKER.E01 image file

Mount CF-BITLOCKER.E01 image file
เปิด Drive I:
 Drive I: Recover key
 Unlock this Drive.



6. ใช้โปรแกรม 
OSForensics ทำการค้นหาหลักฐานที่เราได้ mount Drive I: ออกมา ทำการวิเคราะห์และค้นหาข้อมูล



 จากการตรวจสอบพบว่าเครื่องคอมพิวเตอร์ติดตั้ง OS Windows 10 pro


สรุป
1. ขนาด Forensic Image file  ที่จากการทำสำเนาได้ประมาณ 14 GB จาก SSD harddisk 120 GB
2. โปรแกรม FTK Imager ไม่สามารถ  Mount ไฟล์ forensic image ที่มีการเข้ารหัส Bitlocker  ได้ ทำให้เปิดไม่ได้
3. โปรแกรมArsenal Image Mounter สามารถ  Mount ไฟล์ forensic image  รองรับการใส่ recovery Key ของ BIT-LOCKER   ทำให้เปิด drive ได้
4. ใน Header  ของ forensic image file จะมี signature “-FVE-FS” เกิดจากการเข้ารหัสโดย Bitlocker

อ่านเพิ่ม

Ref:


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #Full disk ENCRYPTED

No comments:

Post a Comment