DIGITAL FORENSICS:ICSI Certified Network Security Specialist (CNSS)

DIGITAL FORENSICS:ICSI Certified Network Security Specialist (CNSS)

วันนี้แนะนำคอร์สออนไลน์ฟรีสำหรับ Network Security รีบลงทะเบียนก่อนหมดเวลา

Free online cybersecurity courses

Certified Network Security Specialist (CNSS)

Use coupon code #StaySafeHome during checkout to claim your free access. Offer is valid till 31/08/2020.

Course Overview

Course curriculum

Exam and Lab Information

ICSI Certified Network Security Specialist (CNSS)

 นอกจากนี้ยังมี Course อื่น ICSI | CDFE Certified Digital Forensics Examiner

CDFE Certified Digital Forensics Examiner

 

ref:

ICSI,UK (International CyberSecurity Institute

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #CPE #cpe free credits #FREE CPE

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

Mobile Forensics:UFED Touch Clone SIM Card

Mobile Forensics:UFED Touch Clone SIM Card

   

  วันนี้มาลอง Clone SIM Card โดยใช้เครื่องมือ cellebrite  UFED (Universal Forensic Extraction Device'  สามารถทำสำเนาข้อมูลใน SIM CARD ( SIM Card Clone)

ชุดตรวจพิสูจน์โทรศัพท์เคลือนที่ Cellebrite  UFED คือ

อุปกรณ์ตรวจพิสูจน์ สืบค้นพยานทางดิจิทัลจากเครื่องโทรศัพท์มือถือ ใช้สำหรับใช้ตรวจพิสูจน์หลักฐานโทรศัพท์เคลื่อนที่ โทรศัพท์สมาร์ทโฟน และอุปกรณ์พกพา

Clone SIM ID The “Clone SIM ID” option allows an investigator to create an exact replica of the original SIM ID and extract phone data without allowing the cellular device to connect to the internet, which preserves the current call and SMS history and no Faraday Bag is needed. This option also allows an investigator to manually enter the ICCID or IMSI of the SIM, if the SIM card is missing, so that they can create a SIM card that mimics the original SIM card. This option also allows an investigator to clone and extract data from the original SIM card if it is locked by a PIN.

1. To clone a SIM card ID, if you have the original SIM card, click the “OK” 

button on “Clone SIM ID”.Click “OK”

 on “Clone an existing SIM card”.

Insert The SIM Card into the matching size slot

Select the partition to read, “USIM (3GPP)” or “SIM

(GSM)” and click “OK”. Remove the SIM card that you want to clone and then insert the Target SIM

ID Access Card into the SIM card slot and click the right arrow to continue. 

The SIM ID will be cloned  .

On process

Insert Target Card > Continue

 blank sim card

 blank sim card

Extraction in Progress

Extraction Summary  >Finish

UFED Touch Clone SIM Card

ที่มา:

https://www.cellebrite.com

Credit: ขอขอบคุณ ผู้เชี่ยวทางด้านโทรศัพท์เคลื่อนที่ ผู้แนะนำและสอนเทคนิคต่างๆ และเป็นผู้อยู่เบื้องหลัง Blog ของเรา  

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#อุปกรณ์ซิมการ์ดโคลน  #โคลนนิ่งSim #วิธีการโคลนSIM #WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #MobileForensics # forensic_data_collections

Digital Forensics:Android Forensics Challenge

Digital Forensics:Android Forensics Challenge

 

 

Download files: 

LINK: data1

LINK: data2

---

For evidence in the data1 folder, perform analysis and answer the following questions: 

1. When was the usagestats file created? 
2. On that same day, when and for how long was a messaging app used? 
3. True or false: Twitter application has been used on the device between Apr 6th 2020, 03:51 AM, GMT and Apr 7th
   2020, 03:51AM GMT.
4. True or false: User has logged into an active Twitter account on this device.

 

For evidence in the data2 folder, perform analysis and answer the following questions: 

1. One application has the debuggable flag set to 1. What is its APPID? 
2. Where is the data of that app stored? 
3. Does it have any supplementary GIDs, and if yes, what are they? 
4. Which three packages share the user ID 1001

 

 Credit:eforensicsmag

 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

 

Digital Forensics: CelleBrite Physical Analyzer AKSFRIDGE.SYS Blue Screen Error

Digital Forensics:  CelleBrite Physical Analyzer AKSFRIDGE.SYS Blue Screen Error

CelleBrite Physical Analyzer AKSFRIDGE.SYS Blue Screen Error

The Cellebrite UFED Physical Analyzer  

Cellebrite - BSoD When Installing or Upgrading Win10

The  old HASP driver can cause Blue Screens in the following cases. The message is:

Stop code: PAGE_FAULT_IN_NONPAGED_AREA

What failed: aksfridge.sys

Case #1 - When installing Cellebrite on a Windows 10 Version 2004 OS.

Case #2 - When upgrading to Windows 10 Version 2004 (the latest as of May, 2020) when Cellebrite is already installed.

Resolution - The old HASP driver needs to be upgraded before you can proceed. Download and install the updated HASP driver from https://digitalintelligence.com/files/HASPUserSetup.exe before installing Cellebrite or upgrading Windows to version 2004.

Driver Download page:
https://supportportal.thalesgroup.com/csm?sys_kb_id=61fb0ee1dbd2e78cfe0aff3dbf9619ab&id=kb_article_view&sysparm_rank=8&sysparm_tsqueryId=d846bbc81b511450f12064606e4bcbf6&sysparm_article=KB0018320

How to troubleshoot and fix Windows 10 blue screen errors

Refer:

https://digitalintelligence.com/support/knowledgebase/3-setup-troubleshooting/docs/155-cellebrite-bsod-when-installing-or-upgrading-win10-to-version-2004

https://supportportal.thalesgroup.com/csm?sys_kb_id=61fb0ee1dbd2e78cfe0aff3dbf9619ab&id=kb_article_view&sysparm_rank=8&sysparm_tsqueryId=d846bbc81b511450f12064606e4bcbf6&sysparm_article=KB0018320

https://answers.microsoft.com/en-us/windows/forum/all/blue-screen-of-death-bsod-while-installing/ec2b8709-a949-4404-9b9b-161ac4782f31

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

Digital Forensics:Windows prefetch part II

Digital Forensics:Windows prefetch part II

  วันนี้มาลองทดสอบ Windows prefetch  โดยใช้เครื่องมือ WinPrefetchView

สำหรับผู้ใช้งาน Windows ถ้าสังเกตจะพบโฟลเดอร์ ใน C:\Windows\Prefetch ไม่ทราบว่าใช้ทำอะไร มีประโยชน์อะไรบางหรือเปล่า แล้วทำไมมีไฟล์อยู่เต็มไปหมด

Windows Prefetch คืออะไร

เป็นเทคนิคของ Windows ที่ใช้สำหรับการเก็บข้อมูลโปรแกรมที่เราเรียกใช้งานบ่อยๆ โดยจะเก็บเป็นไฟล์ข้อมูลเล็กๆ นามสกุล .pf  ใช้สำหรับการเก็บข้อมูลโปรแกรมที่เราเรียกใช้งานบ่อยๆ ในครั้งต่อไปที่เราเรียกใช้โปรแกรม  จะทำให้เรียกใช้โปรแกรมต่างๆ ได้เร็วขึ้น

Windows Prefetch จึงมีความสำคัญต่อการสืบสวนนิติดิจิตอล 
สำหรับผู้ตรวจสอบทางนิติวิทยาศาสตร์ สามารถใช้ Windows Prefetch  เป็นหลักฐานการใช้งานโปรแกรม   พวกเขาสามารถพิสูจน์ได้ว่าผู้ต้องสงสัยที่รันโปรแกรมเช่น CCleaner เพื่อปกปิดการกระทำผิดที่อาจเกิดขึ้น หากโปรแกรมถูกลบไปตั้งแต่นั้นไฟล์ prefetch อาจยังคงมีอยู่ในระบบเพื่อแสดงหลักฐาน การใช้ไฟล์ prefetch 
ประโยชน์อีกอย่างหนึ่งคือ ใช้ Windows Prefetch ในการตรวจสอบมัลแวร์ซึ่งสามารถช่วยผู้ตรวจสอบในการกำหนดว่าเมื่อใดจะมีการเรียกใช้โปรแกรมที่เป็นอันตราย เมื่อรวมสิ่งนี้เข้ากับการวิเคราะห์ Timeline  ผู้ตรวจสอบสามารถระบุไฟล์ที่เป็นอันตรายเพิ่มเติม จำนวนครั้งที่โปรแกรม run หรือ execute จากการดาวน์โหลดหรือสร้างขึ้นในระบบและช่วยระบุสาเหตุที่แท้จริงของเหตุการณ์ได้  

WinPrefetchView เป็นฟรีโปรแกรมที่ใช้ดูประวัติรายละเอียดต่าง ๆ ของ Prefetch

ซึ่งสามารถแสดงรายละเอียดได้ดีกว่าดูจากโฟลเดอร์ของ Prefetch และแสดงผลในรูปแบบที่เข้าใจได้ง่าย

prefetch files are found in the directory C:\Windows\Prefetch. Prefetch files have a .pf extension

Prefetch files contain the following metadata:

• The name of the corresponding executable
• The number of times the executable has been run
• The size of the prefetch file
• The files and directories that were referenced during the application startup (this is what Windows wants to trace)
• Information related to the volume that the executable is on, including the volume path and serial number.

Here’s a sample of some prefetch files from my test host:

C:\Digital Forensics Tools.exe    = DIGITAL FORENSICS TOOLS.EXE-52542CA8.pf

\127.0.0.1\C$\Digital Forensics Tools.exe  = DIGITAL FORENSICS TOOLS.EXE-95205518.pf

C$Digital Forensics Tools.exe

H:\Digital Forensics Tools.exe  = DIGITA~1.EXE-7EC97B47.pf

F:\Digital Forensics Tools.exe  = DIGITAL FORENSICS TOOLS.EXE-1C722632.pf

• z:\Digital Forensics Tools.exe is executed
• it is mapped to its UNC path 
• \\Localhost\Z\Digital Forensics Tools.exe = DIGITAL FORENSICS TOOLS.EXE-7DE46524.pf

Note that I’ve got several applications with the same name, but a different location. That is evidence by the somewhat-similar hashes, and in many application’s cases, is likely indicative of folder structure change.

สรุปจากทดสอบ

    1 เมื่อUser.เปิดไฟล์ Digital Forensics Tools.exe ใน Drive ที่แตกต่างกัน ค่า prefetch files ที่ได้จึงมีแตกต่างกันตาม 

ทีมา :  

https://www.hexacorn.com

https://www.magnetforensics.com/blog/forensic-analysis-of-prefetch-files-in-windows/

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

DIGITAL FORENSICS:MAGNET AXIOM MEMORY ANALYSIS

DIGITAL FORENSICS:Magnet AXIOM  Memory Analysis

    วันนี้ลองมาใช้เครื่องมือสำหรับวิเคราะห์ memory ที่ไม่ฟรีบ้างครับ ว่าทำงานอะไรบ้าง 

Magnet AXIOM เป็นซอฟต์แวร์สำหรับตรวจพิสูจน์หลักฐานดิจิทัล พัฒนาโดยบริษัท Magnet Forensics ช่วยในการตรวจพิสูจน์ข้อมูลดิจิทัล เพื่อสืบค้นและวิเคราะห์ข้อมูล ที่บันทึกอยู่ในสื่อบันทึกข้อมูลดิจิทัลต่าง ๆ อีกทั้งยังสามารถสืบค้นและวิเคราะห์ข้อมูล  memory ,windows usb,ระบบโซเลียลเน็ตเวิร์ค ข้อมูลร่องรอยการใช้งานระบบโซเลียลเน็ตเวิร์คได้อีกด้วย  ซอฟต์แวร์นี้ต้องซื้อ license ครับ

Tools 

-  Magnet AXIOM

- Windows  workstation

- Download Image WIN-TTUMF6EI3O3-20140203-123134.zip

ทำการสร้างเคส Create New case และใส่รายละเอียด

เลือก Evidence Source  > เลือก Computer

เลือก Memory 

WIN-TTUMF6EI3O3-20140203-123134.raw

 ทำการเลือก Profile >windows WIN7SP1x86

เริ่มทำการ analyze evidence

Search in Process

Operating System

เลือกหัวข้อ Malware Finder เพื่อดู Process ที่น่าสงสัย

 สังเกตุ Process 1524   สังเกต Details

เลือก ดูในส่วน Connections > Matching >Process 1524

runddl32.exe

*MSDCSC is a common path utilized by DarkComet. Most likely a default path in the builder.

Export > Process 1524   ที่สงสัยแล้วเอาไป scan virus

 พบว่า Process 1524 ที่ export ออกมามีมัลแวร์น่าสงสัย ทำการ Up ไฟล์ ไปที่ virustotal

 ทำการ Upload ไฟล์ไปที่ sandbox analysis

Backdoor DarkKomet

Magnet AXIOM 2.0 — Memory Analysis

สรุป ผลการใช้งานเบื้องต้นโปรแกม Magnet AXIOM ในการวิเคราะห์ memory  เนื่องด้วยในการทดสอบนี้เป็นการวิเคราะห์Static analysis เบื้องต้นเท่านั้นเพื่อไม่ได้ลงลึก  ครับขออภัยมาณที่นี้ด้วยครับ

    - ทำงานได้รวดเร็ว ขึ้นอยู่กับ spec เครื่อง workstation 

    - ยังรองรับเฉพาะ windows memory  เท่าที่เห็นในส่วน Profile

    - ใช้งานง่าย มี GUI ไม่ต้องใช้ commandline สามารถศึกษาคู่มือและวิดิโอจากเว็บไซต์ได้

    - หากต้องใช้งานสำหรับ malware analysis อาจต้องมีเครื่องมืออื่นเพิ่มเติมสำหรับงานโดยเฉพาะ

    

     

Ref:

magnetforensics

analyzing-darkcomet-in-memory

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud