Digital Forensics:Case study Forensic Acquisition

Digital Forensics:Case Study Forensic Acquisition 

วันนี้ได้ทำการทดสอบ กระบวนการได้มาซึ่งหลักฐานดิจิทัล  ในการเตรียมอุปกรณ์สำหรับการสำเนาหลักฐานอุปกรณ์เก็บข้อมูลแบบ SSD PCIe  ในเครื่อง Notebook รุ่นใหม่

(เนื่องจากบทความนี้ทำพอสังเขป และใช้ภาพจาก Internet เป็นตัวอย่างประกอบ อาจจะข้ามขั้นตอนบางส่วนไป จึงขออภัยมา ณ ที่นี้ด้วย)

การเก็บหลักฐานเป็นไฟล์ Disk Image (Image Acquisition)

โดยทั่วไปการได้มาของไฟล์ Disk Image จะดำเนินการในห้องปฏิบัติการทางนิติดิจิทัลโดยผู้เชี่ยวชาญที่ผ่านการฝึกอบรมและได้รับการรับรองว่าได้รับไฟล์ Disk Imageจากอุปกรณ์คอมพิวเตอร์บางประเภท (เช่นโทรศัพท์มือถือแล็ปท็อปหรือแท็บเล็ต)

สมมติว่าในขณะที่คอมพิวเตอร์ปิดอยู่ผู้ตรวจสอบควรเริ่มต้นด้วยขั้นตอนดังนี้:

•ตรวจสอบหลักฐานทางกายภาพ(physical evidence)และเบิกออกจากที่เก็บหลักฐานตามขั้นเอกสารหลักฐาน (chain of custody)

•เมื่อเอาซีลที่วางอยู่บนช่องเปิดของเคสคอมพิวเตอร์ สิ่งนี้ควรได้รับการบันทึกไว้ในสมุดบันทึกของผู้ตรวจสอบ

•ถอดอุปกรณ์จัดเก็บข้อมูล จากนั้นอุปกรณ์จัดเก็บข้อมูลสามารถเชื่อมต่อกับคอมพิวเตอร์นิติดิจิทัล (forensic workstation)โดยเฉพาะโดยมีตัวบล็อกการเขียน(write blocker)ติดอยู่กับดิสก์  ในหลาย ๆ กรณีอาจทำได้โดยไม่ต้องรีสตาร์ทคอมพิวเตอร์

•การสร้างภาพดิสก์ (Image Acquisition) จะอาศัยซอฟต์แวร์ที่ติดตั้งบนคอมพิวเตอร์  (forensic workstation)หรือผู้ตรวจสอบสามารถติดตั้งตัวบล็อกการเขียน(write blocker) และที่เก็บข้อมูลเพิ่มเติมที่จะเก็บภาพไว้ล่วงหน้า

•บูตคอมพิวเตอร์ด้วยดิสก์สำหรับบูตทางนิติดิจิทัล Bootable Live USB forensics tools

สิ่งที่ต้องเตรียมการสำเนาหลักฐานดิจิทัล

  1. ศึกษารายละเอียดของ Notebook Model แต่ละรุ่น https://support.lenovo.com และวิธีการถอดอุปกรณ์

  2. เตรียมอุปกรณ์สำหรับรองรับการเชื่อมต่อ Harddisk ssd M.2 ,PCle 

  3. ชุดเครื่องมืออุปกรณ์ 

  4. กล้องดิจิทัลและตั้งค่าเวลาเป็นปัจจุบน

  5. กล่องหรือพลาสติกกันกระแทก สำหรับบรรจุหลักฐาน

  6. ถุงพลาสติกสำหรับใส่หลักฐาน 

  7. Label สำหรับเขียนรายละเอียดหลักฐาน

ชุดเครื่องมือ(Hardware Tools) 

ขั้นตอนการเตรียมการสำเนาหลักฐานดิจิทัล

Check list

1. Evidence คือเครื่อง Notebook  (Notebook Lenovo )  เปิดเครื่องและกด Enter Setup เพื่อเข้า Bios >Power (ควรจดรายละเอียด ของหลักฐานเช่นรอยแตก รอยขีดข่วน สถานะเครื่องก่อนตรวจสอบ และถ่ายรูปไว้)

ควรดูคู่มือวิธีการกดปุ่มเข้า Bios ทุกครั้ง ก่อนเปิดเครื่อง

2. ทำการถ่ายรูป BIOS version , System Date &Time and Disk Storage  ตรวจสอบกล้องถ่ายรูปว่ามีการตั้งค่าเวลาเป็นปัจจุบัน

3. ทำการ Disable Battery เพื่อป้องกันการเสียหายจากกระแสไฟขณะที่ถอด HDD  

 

Disable Battery

3.1  Disconnect Battery ถอดขั้วต่อแบตเตอรี่ออกจากแผงวงจรหลักโดยดึงขั้วต่อเข้าหาแบตเตอรี่  หากไม่ได้ปิดใน Bios ภาพตัวอย่าง

4. ถอด Harddsik SSD adapter PCIe m.2 ,NVME

สังเกต Solid State Disk

* สังเกตว่ามี HDD .ในเครื่อง notebook  มี  1 หรือ  2 ตัว

ภาพตัวอย่าง เครื่อง notebook  มี  HDD 2 ตัว  

ภาพตัวอย่าง เครื่อง notebook  มี  HDD 2 ตัว  

ภาพตัวอย่าง เครื่อง notebook  มี  HDD 2 ตัว  

5. เตรียมออุปกรณ์ สำรองไฟ UPS  เพื่อใช้สำหรับต่อกับเครื่องทำ disk image

6.เตรียม  Hardware Write blocker  >Tableau PCIe M.2 SSD Adapter  เชื่อมต่อ SSD Harddsik 

Tableau PCIe M.2 SSD Adapter

* ใช้อุปกรณ์รองรับ SSD เชื่อมต่อกับอุปกรณ์ writer blocker

Check Status OK

- Hard disk storage (forensic Image file)

7. เริ่มทำ  Forensic Image - Forensics workstation install FTK Imager or Forensic acquisition tools

Create Image

7.1 หลังจากทำสำเนาหลักฐานเสร็จแล้วให้ทำการเปิด Forensic Image เพื่อตรวจสอบความครบถ้วนสมบูรณ์  เนื่องจากหาก Forensic Image  ไม่สมบูรณ์หรือเปิดไม่ได้ เราสามารถทำใหม่อีกครั้งได้ ก่อนเก็บหลักฐาน  ให้ทำการสำเนาหลักฐานไว้ 2 ชุดเพื่อป้องกันความเสียหาย

8.    ถ่ายรูป อุปกรณ์หลักฐาน และ Update Process

 Check list >Computer Bios Time ,Clock

- Chain of Custody Form

- Hardware Tools

- Label

9. เมื่อเสร็จเรียบร้อย ให้ทำการใส่อุปกรณ์ และประกอบ  Notebook ให้เหมือนเดิมและ  ทำการ Enable Battery เพื่อให้เครื่องทำงานตามปกติ  ตรวจสอบร่องรอยต่างๆ ว่ามีการแตกหักหรือชำรุดใดๆหรือไม่  และจดบันทึก  

 

Enable Battery

9.1 ถ่ายรูปหลักฐานอีกครั้งก่อนส่งคืน ไปห้องเก็บหลักฐาน

10.  ส่งหลักฐานไปห้องเก็บหลักฐาน เพื่อดำเนินการต่อไป

Evidence Room

ปัญหาที่พบ

 1. การกดเข้า Bios

     เช่น กด F1 , Del ,F11, F8 ,Enter แต่ละรุ่นไม่เหมือนกัน ควรศึกษาก่อนทำจากคู่มือก่อนทำ

 2. การปิด-เปิด แบตเตอรี่ใน Bios

Disable Battery

* เมื่อทำสำเนาเสร็จ ให้ทำการใส่ Hard Disk เข้าที่ Notebook และทำการ Enable Battery  ใน Bios

 3. ศึกษาการถอดประกอบเครื่อง Notebook จะได้ทราบตำแหน่งของอุปกรณ์ และ ชนิดของอุปกรณ์

 4.  หากไม่สามารถแกะหลักฐานออกมาได้ ให้ใช้วิธีการ boot ผ่าน อุปกรณ์ USB bootable forensic tools

ข้อควรปฎิบัติทั่วไปในการเก็บหลักฐาน 

   ไม่ควรทำให้เกิดการเปลี่ยนแปลงของหลักฐานในขั้นตอนการเก็บ เนื่องจากอาจทำให้กระทบต่อขั้นตอนการวิเคราะห์หลักฐานได้ 

 เพิ่มเติม:  ในกรณีที่ผิดพลาด ระบบ boot เข้า windows ให้ทำการบันทึก รายละเอียดและวันเวลาและสาเหตุที่เกิดผิดพลาด

ThinkPad - Solid State Drive Replacement

How to Turn off Lenovo ThinkPad T470 / T570 Internal Battery

Refer:

• LenovoSupport
• How to disable battery warning in BIOS setup
• Guide/ThinkPad+X1+Carbon+SSD

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #DataRecovery

Digital Forensics:หลักสูตรการสืบสวนสอบสวนและการรับฟังพยานหลักฐานอิเล็กทรอนิกส์ (Thammasat Digital Evidence) 

ผู้ที่สนใจสามารถลงทะเบียนได้ที่: ลงทะเบียนหลักสูตรการสืบสวนสอบสวนและการรับฟังพยานหลักฐานอิเล็กทรอนิกส์

หัวข้อการอบรม

1. หลักกฎหมายไทยที่เกี่ยวข้องกับการสืบสวนสอบสวน การรับฟัง การรวบรวมพยานหลักฐานอิเล็กทรอนิกส์
2. การเตรียมการในการรวบรวมพยานหลักฐานอิเล็กทรอนิกส์ในคดีต่างๆ
3. การแสวงหาพยานหลักฐานจากเงินสกุลดิจิตัล (Digital Coin) และระบบ NDID การยืนยันตัวตน
4. วิธีการสืบสวนสอบสวนพยานหลักฐานอิเล็กทรอนิกส์ในคดีต่าง ๆ บนอินเตอร์เน็ต โดยใช้ Google Platform และ iTools
5. การใช้โปรแกรมเจาะระบบคอมพิวเตอร์ หรือ Facebook เพื่อรวบรวมพยานหลักฐานอิเล็กทรอนิกส์
6. การใช้เทคโนโลยีและโปรแกรมคอมพิวเตอร์ในการสืบค้นข้อมูล เพื่อรวบรวมพยานอิเล็กทรอนิกส์ในคดีแพ่งและคดีอาญา ผ่านทาง Mobile , Computer, Social Media, Cloud และ Bitcoin
7. หลักการรับฟังและชั่งน้ำหนักพยานหลักฐานทางอิเล็กทรอนิกส์ของศาลไทย และหลัก Chain of Custody
8. การดำเนินการทางนิติวิทยาศาสตร์ทางคอมพิวเตอร์ (Computer Forensics) โดยการใช้โปรแกรมคอมพิวเตอร์กู้ข้อมูลจากมือถือเพื่อใช้ในคดีหรือข้อพิพาททางกฎหมาย

วิธีการอบรม

การฝึกอบรมเป็นไปในลักษณะที่วิทยากรให้ความรู้ในหัวข้อกำหนด และให้ผู้เข้าอบรมได้แลกเปลี่ยนความคิดเห็นในระหว่างการอบรม โดยมีการหยิบยกกรณีศึกษาประกอบการบรรยายและการแลกเปลี่ยนความคิดเห็น

บรรยายร้อยละ 60 ภาคปฏิบัติร้อยละ 40

ขอให้ผู้เข้ารับการอบรมทุกท่านจัดเตรียมโน๊ตบุ๊ค เพื่อฝึกการเข้าถึงพยานหลักฐานอิเล็กทรอนิกส์ร่วมกัน

วิทยากร

1.ศาสตราจารย์ ณรงค์ ใจหาญ
อาจารย์ประจำคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์
2.อาจารย์ พ.ต.อ. ญาณพล ยั่งยืน
กรรมการผู้ทรงคุณวุฒิในคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
3.อาจารย์ไพบูลย์ อมรภิญโญเกียรติ
กรรมการผู้ทรงคุณวุฒิในคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
4.อาจารย์ ดร. ธีร์รัฐ บุนนาค
ผู้พิพากษาหัวหน้าคณะ
5.อาจารย์ณัฐพงษ์ ลิ้มแดงสกุล
ผู้เชี่ยวชาญด้านนิติวิทยาศาสตร์
6.อาจารย์โดม เจริญยศ
ผู้เชี่ยวชาญด้านเงินสกุลดิจิตัล

กลุ่มผู้เข้าร่วมอบรม

นักกฎหมายที่ปฏิบัติงานหรือมีความสนใจในกฎหมายที่เกี่ยวข้องกับการสืบสวนสอบสวนและการรับฟังพยานหลักฐานอิเล็กทรอนิกส์

วุฒิบัตร

ผู้เข้าอบรมที่เข้าอบรมไม่น้อยกว่า 80% ของเวลาอบรมทั้งหมด จะได้รับวุฒิบัตรจากคณะนิติศาสตร์  มหาวิทยาลัยธรรมศาสตร์

ระยะเวลาการอบรม

วันที่ 19-21 กันยายน เวลา 9.00-17.30 น.

สถานที่อบรม

ณ โรงแรมไบหยกสกาย

ค่าธรรมเนียมการอบรม

ค่าธรรมเนียมในการอบรมจำนวน 23,000  บาท

ราคานี้รวมอาหาร เครื่องดื่ม เอกสารประกอบการบรรยายและวุฒิบัตร

**ค่าใช้จ่ายในการอบรม บริษัทหรือหน่วยงานสามารถนำไปหักลดหย่อนภาษีได้ 200%**

สอบถามข้อมูลเพิ่มเติมได้ที่

ศูนย์อบรมและให้คำปรึกษาด้านกฎหมาย (Legal Training and Consultancy Center (LeTec))
คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์
ท่าพระจันทร์ กรุงเทพฯ 10200
โทร. 02-613-2139
Facebook: LeTEC.LawTU
Line: @leteclawtu
E-mail : letec@tu.ac.th

ที่มา:   law.tu.ac.th 

           

อ่่านเพิ่มเติม:  อบรม computer forensic.

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

Mobile Forensics:XAMN Viewer

DIGITAL FORENSICS:Mobile forensics:XAMN Viewer

free mobile forensics analysis tool

   ในงานตรวจพิสูจน์การสือสาร  เช่น โทรศัพท์เคลื่อนที่  หลายคนคงรู้จัก เครื่องมือที่ใช้ในการตรวจพิสูจน์ทางโทรศัพท์เคลื่อนที่ Mobile Phone เช่น XRY Forensic ของบริษัท MSAB สิิ่งที่สำคัญคืือ การวิเคราะห์ข้อมูลและการรีวิวข้อมูล  มีเครื่องมือสำหรับช่วยให้ผู้ตรวจสอบ ได้พร้อมๆกันช่วยในการตรวจสอบ

XAMN Viewer เป็นเครื่องมือ mobile forensics ที่ง่ายและใช้งานได้ฟรี สามารถให้กับทีมวิเคราะห์ช่วยกันตรวจสอบข้อมูลโทรศัพท์เคลื่อนที่ หรือรายงานข้อมูลอุปกรณ์มือถือ จากไฟล์ .xry files  และ *.ufdr

XAMN Viewer is a simplified analysis tool that is free to download and use.The products and platforms for mobile devices forensics

  วันนี่จะมาแนะคำเครื่องมือ Mobile Forensics Tools สำหรับทำ Report ง่ายๆของ MSAB  ชื่อว่า XAMN Viewer   สามารถไปเปิดที่ไหนก็ได้โดยไม่ต้องติดตั้งโปรแกรม  และสามารถออก รายงานได้สะดวก
    

MOBILE FORENSICS TOOLS 

สิ่งที่ต้องเตรียม
1.XAMN Viewer
2.Androind Image
3.computer forensic workstations with XAMN Viewer

ขั้นตอน
1. ทำการ Download Android Image เพื่อใช้ในการทดสอบ 

 The first version is the extraction as it came from Cellebrite UFED 4PC (in the folder Cellebrite Extraction).  The .ufd file is included with the extraction.  

The .ufd file is included with the extraction.

> Generate  reports > *.ufdr

2. ทำการ Download โปรแกรม XAMN Viewer เพื่อใช้ในการทดสอบ 

3. Import UFED

Import Processing

Details

 App Artifacts

Pictures

 Email

XRY Reader to XAMN Viewer transition course

The password for the course is “xamnviewer”
Module 1:
https://bit.ly/2tgjipU

Module 2:
https://bit.ly/2DBrHJc

Module 3:
https://bit.ly/2RSAmfH

Module 4:
https://bit.ly/2N0uZu0


https://www.msab.com/training/free-courses/xry-reader-to-xamn-viewer-transition-modules/

สรุป  - XAMN Viewer เป็นเครื่องมือที่ใช้ในการตรวจพิสูจน์หลักฐานทางโทรศัพท์เคลื่อนที่ ใช้งานง่าย ใช้ทรัพยากรเครื่องไม่มาก ไม่ต้องติดตั้งเป็นโปรแกรม portable   และฟรี
          -ผู้ตรวจสอบควรเรียนรู้เครื่องมือสำหรับการช่วยรีวิวหลักฐานทางโทรศัพท์


Credit:
https://www.msab.com


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

พิสูจน์พยานหลักฐานทางอิเล็กทรอนิกส์: นิติวิทย์ฯ ร่วมกับ DSI เข้าร่วมตรวจค้นและจัดเก็บพยานหลักฐาน ตามกฎหมายฟอกเงินและกฏหมายปราบปรามยาเสพติด

พิสูจน์พยานหลักฐานทางอิเล็กทรอนิกส์: นิติวิทย์ฯ ร่วมกับ DSI เข้าร่วมตรวจค้นและจัดเก็บพยานหลักฐาน ตามกฎหมายฟอกเงินและกฏหมายปราบปรามยาเสพติด

วันที่ 19 สิงหาคม 2563 เจ้าหน้าที่จากกลุ่มปฏิบัติการทางนิติวิทยาศาสตร์ (ส่วนกลาง) และกลุ่มตรวจพิสูจน์พยานหลักฐานทางอิเล็กทรอนิกส์ สถาบันนิติวิทยาศาสตร์ ร่วมกับกรมสอบสวนคดีพิเศษ เข้าร่วมตรวจค้นและจัดเก็บพยานหลักฐาน จากกรณี ผู้ต้องสงสัยร่วมกันทำธุรกรรมทางการเงินที่มีจำนวนสูงผิดปกติ ไม่สอดคล้องกับรายได้ และยังไม่ปรากฏแหล่งที่มาของรายได้ อันอาจเป็นการหลีกเลี่ยงการเสียภาษีอากร ซึ่งเป็นการกระทำผิดตามประมวลรัษฎากร พระราชบัญญัติมาตรการในการปราบปรามผู้กระทำความผิดเกี่ยวกับยาเสพติด พ.ศ.2534 อันเป็นการกระทำความผิดมูลฐานตามพระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน พ.ศ.2542 จำนวน 5 เป้าหมาย ในพื้นที่จังหวัดชลบุรี จังหวัดสมุทรปราการและกรุงเทพมหานคร ซึ่งตรวจพบพยานหลักฐานที่เกี่ยวข้องกับคดีจำนวนหลายรายการ ทั้งนี้วัตถุพยานทั้งหมดได้ส่งมอบคืนให้พนักงานสอบสวนคดีพิเศษในแต่ละจุดเพื่อดำเนินการในส่วนที่เกี่ยวข้องต่อไป

ที่มา: กระทรวงยุติธรรม

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

DIGITAL FORENSICS:FEX Image advanced forensics

DIGITAL FORENSICS:FEX Image advanced forensics

 

We can download FEX Image advance Forensics  from Download and Install FEX Image advance Forensics

After installing the FEX Image we can start by creating an image and to do so, we have to go to the source >select

it will ask you the source to acquire image.
After selecting the create disk image it will ask you the evidence type whether i.e. Device, etc. 

and once you have selected the evidence type then press OK the next button to move further in the process.

After this, it will ask you for the destination folder i.e. where you want your image to be saved along with its name and path, format, checksum and other evidence related details. Once you fill up all the details, click on the next button.

And now the process to create the image will start and it will simultaneously inform you about the elapsed time, estimated time left, image source, destination and status.

After the progress bar completes and status shows Image created successfully then it means our forensic image is created successfully .

And so, after the creation of the image you can go to the destination folder and verify the image as shown in the picture below :

First Download autopsy from here and install in your pc. Click ‘Create a New Case’ option.

A new page will open. Enter the details in ‘Case Name’ and ‘Base Directory’ . Then click on next to proceed to next step. 

Here in next step you have to enter the case number and Examiner details and click on finish to proceed to next step.

A new window will open .It will ask for add data source in Step 1. Select source type to add & browse the file Path (Disk Image and click on NEXT Option to proceed further.

In Step .  Configure ingest Modules I have chosen all the modules as I am looking for complete information on evidence device or disk or system  etc. and click next to proceed further.

After Process completion, it will show Forensic Investigation Report. Now click on Devices Attached option, it will show the list of attached device with system.

ที่มา:

http://www.forensicexplorer.com/

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud