Saturday, September 26, 2020

DIGITAL FORENSICS:Forensic Imaging through Tableau Imager

DIGITAL FORENSICS:Forensic Imaging through Tableau Imager

Tableau Imager

Tableau Imager (TIM) is Tableau’s free forensic imaging software application. Optimized for imaging with Tableau Forensic Bridges, TIM is an intuitive and information-rich application for Microsoft Windows XP, Vista, 7 or later (compatible with both 32 and 64-bit versions) built to improve your forensic imaging productivity.

วันนี้จะมาแนะนำเครื่องมือ Forensic Imager ฟรี TABLEAU IMAGER  ของบริษัท Guidance Software
https://www.guidancesoftware.com/tableau/download-center

เครื่องมือที่ใช้
1. Flash Drive 16 GB (evidence)
2. TABLEAU IMAGER (TIM)
3. Tableau Forensic Bridges (Write Blocker)
4. Forensic workstation computers

การเก็บหลักฐานบน Windows โดยการใช้ TABLEAU IMAGER(TIM) ซึ่งเป็นโปรแกรมทำสำเนาหลักฐานดิจิทัล ของบริษัท Guidance Software

 
1. เตรียมตัว โดยก่อนอื่น ทำการ  Download and Install เราจะนำโปรแกรมTableau Imager (TIM) ไปติดตั้งบนเครื่อง Forensic workstation


หากเชื่อมต่อหลักฐานโดยผ่าน อุปกรณ์ Tableau Forensic Bridges โปรแกรมจะแสดง  สถานะ Read Only ในการทำ Acquisition ได้
อุปกรณ์ป้องกันการเขียนทับข้อมูลดิจิทัล
with Tableau Forensic Bridges

Write Blocker : ใช้สำหรับป้องกันการเขียน โดยจะใช้เพื่อป้องกันไม่ให้เกิดการเปลี่ยนแปลงของหลักฐานดิจิทัล อ่านเพิ่มเติม

วิดิโอสาธิตวิธีการเชื่อมต่ออุปกรณ์ Tableau Forensic Bridges
Forensic Data Acquisition - Hardware Write Blockers

Credit:DFIR.Science youtube

2. เชื่อมต่อ USB Flash Drive (evidence) ผ่าน Tableau Forensic Bridges จะแสดง  Read Only ที่ต่อผ่านเครื่องคอมพิวเตอร์ Forensic workstation
 ทำการตรวจสอบว่าเป็นหลักฐานที่จะทำสำเนาหรือไม่
กำหนดค่าตำแหน่งที่เก็บไฟล์สำเนาหลักฐานและ File Format
เลือก Destination path ตำแหน่งที่เก็บสำเนาหลักฐานดิจิทัล(Image File) ว่าจะทำการเก็บสำเนาหลักฐานดิจิทัลไปที่ไหน เช่น External Storage จะต้องมีพื้นที่มากพอที่จะสามารถเก็บหลักฐานได้

 3. จะเริ่มจากการเก็บโดย เลือก Flash Drive และ เลือกคำสั่ง Acquisition Device  เพื่อเริ่มทำสำเนาหลักฐานดิจิทัล(Disk image) 


4. ทำสำเนาหลักฐานดิจิทัล 2  ครั้ง file format แบบ 001และ E01  เพื่อเปรียบเที่ยบการทำงาน
Acquisition Queue  แสดงรายละเอียด สถานะ  วันเวลาที่เริ่มทำ และเสร็จ ใช้เวลาทั้งหมด ของหลักฐานทั้งหมด ในการเลือกประเภทของ Image โดยส่วนมากจะนิยมใช้ Raw, E01, กัน ซึ่งข้อแตกต่างหลักๆก็จะเป็นในส่วนของเรื่องความสามารถในการบีบอัด (Compression) ,ความเร็วในการทำสำเนาและ Metadata ต่างๆ

Setting แสดงรายละเอียด ชื่อไฟล์สำเนาหลักฐาน , ขนาดหลักฐาน ,File Format 
Tableau Imager2020-05-07 14-39-1160A44Cxxxxxxxxxx.001
Tableau Imager2020-05-07 14-02-3760A44Cxxxxxxxxxx.E01

Status แสดงรายละเอียด  วันเวลาที่เริ่มทำ และเสร็จ ใช้เวลาทั้งหมด
Log แสดงรายละเอียด  ค่า hash MD5  SHA1
ท่านสามารถดูตัวอย่าง Tableau Imager Log ผลลัพธ์ออกมาเป็น 2ไฟล์ โดยไฟล์ที่บอกเกี่ยวกับข้อมูลของ Image ที่เก็บมา Disk to File Results 
Download Log  001 E01

หมายเหตุ:ไฟล์ E01

ไฟล์ E01 ใช้สำหรับจัดเก็บข้อมูลที่สำคัญสำหรับนิติวิทยาศาสตร์ดิจิทัล ในโลกไซเบอร์ สามารถใช้ในการพิจารณาคดี และนำเสนอหลักฐานดิจิทัล
ไฟล์ E01 คือ ไฟล์อิมเมจดิสก์(Encase Image File) ของ digital forensic ที่สร้างโดยโปรแกรม EnCase ซึ่งเป็นแอปพลิเคชันซอฟต์แวร์ forensic ใช้บันทึกสำเนา ของเนื้อหาที่ดึงมาจากดิสก์ของอุปกรณ์หลักฐานต้นฉบับ; สามารถติดตั้งและอ่านโดยโปรแกรม EnCase หรือโปรแกรมอื่นที่รองรับรูปแบบ E01


Ref:

  GUIDANCESOFTWARE 

 
 
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD 



Friday, September 25, 2020

DIGITAL FORENSICS:OSForensic Rebuild RAID

DIGITAL FORENSICS:OSForensic Rebuild RAID

วันนี้แนะนำการ Rebuild RAID ด้วยโปรแกรม OSForensic  หลายครั้งที่เรามีความจำเป็นต้องรับมืิอกับหลักฐานบนเครื่อง Server ,file share NAS เป็นต้น ซึ่งอุปกรณ์เหล่านี้มักมีการจัดเก็บข้อมูลแบบ Disk Raid ซึ่งผู้เชี่ยวชาญจำเป็นต้องมีความรู้และประสบการณ์เพื่อที่จะสามารถเก็บข้อมูลมาได้อย่างถูกต้องไม่เสียหาย

เครื่องมือ Tools
- Forensic workstations
- Harddisk Seagate  80 GB disk Raid
- OSforensic
- FTK Imager

1. เตรียม Harddisk    80 GB disk Raid สำหรับทำสำเนาหลักฐาน
Harddisk Seagate  80 GB ทำ Raid 0 ไว้




หมายเหตุ :  การทำสำเนาหลักฐานต้องผ่านอุปกรณ์ป้องกันการเขียนทับ (Write Blocker)

2.ใช้โปรแกรม FTK Imager ทำสำเนาหลักฐานตั้งชื่อเป็น CF-006-01.e01  กับ harddisk ลูกแรก



3. ใช้โปรแกรม FTK Imager ทำสำเนาหลักฐานตั้งชื่อเป็น CF-006-02.e01  กับ Hard disk ลูกที่สอง

ทำการตรวจสอบค่า Hash  CF-006-01.E01


ทำการตรวจสอบค่า Hash  CF-006-02.E01




เราสามารถทำสำเนาข้อมูลได้พร้อมกันโดยใช้โปรแกรม FTK Imager

ทำการตรวจสอบ Image  ว่าเปิดได้หรือไม่


4. ใช้ FTK Imager ทำการ add image  แล้วเปิดดูข้อมูล

 CF-006-01.e01
CF-006-02.e01
5. ใช้ FTK Imager ทำการ add image  CF-006-01.e01 , CF-006-02.e01 เพื่อรอ Rebuild RAID

6.โปรแกรม OSForensics รองกับการ Rebuild RAID

OSForensics™ can rebuild a single RAID image from a set of physical disk images belonging to a RAID array. Being able to properly image systems with RAID configurations for forensics analysis is sometimes challenging, due to the fact that having access to the RAID parameters (such as the RAID level and stripe size) that were used may not be possible. The following RAID levels are supported:

RAID 0
RAID 1
RAID 3
RAID 4
RAID 5
RAID 0+1
RAID 1+0
Once the RAID parameters are known, they can be used to rebuild the RAID logical image.

เลือก Disk Image

Disk Image
เลือก Tab RAID rebuild > add forensic image  CF-006-01.e01 ,CF-006-02.e01

กดดู Raid Info  > Raid 0
ทำการ Rebuild RAID Image จะได้ CF-006-03.e01   ควรเลือกลำดับของ Image file ให้ถูกก่อนจะ Rebuild
Rebuild RAID Image สมบูรณ์


ใช้ FTK Imager เปิด Image file  CF-006-03.e01  ที่ทำการ Rebuild RAID แล้ว พบว่ามีข้อมูลอยู่




สรุป

  • การทำสำเนาหลักฐานข้อมูลที่เป็นDisk Raid ต้องสำรวจชนิดของ Raid ที่ใช้ เช่นเป็น 0 ,1,5 เป็น hardware หรือ software 
  • ทำ forensic image Harddisk ทุกลูกที่เชื่อมต่อ Raid เท่าที่ทำได้เพื่อความสมบูณ์ของหลักฐาน
  • เตรียมเครื่องมือสำหรับ Rebuild RAID
  • เตรียม adapter สำหรับรองรับ Harddisk เช่น IDE SCSII  SATA 
  • โปรแกรม OSForensic  ใช้งานง่ายเมนูไม่ซับซ้อน



หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud


Saturday, September 12, 2020

DIGITAL FORENSICS:นิติคอมพิวเตอร์และการสืบสวนอาชญากรรมไซเบอร์

DIGITAL FORENSICS:นิติคอมพิวเตอร์และการสืบสวนอาชญากรรมไซเบอร์

ชุดวิชา ความมั่นคงปลอดภัยไซเบอร์ 

หน่วยที่  14  นิติคอมพิวเตอร์และการสืบสวนอาชญากรรมไซเบอร์ 

หลักสูตรวิทยาศาสตรบัณทิต แขนงวิชาเทคโนโลยีสารสนเทศและการสื่อสาร

นิติคอมพิวเตอร์

นิติวิทยาศาสตร์ดิจิทัล หรือ นิติดิจิทัล

ตัวอย่างอุปกรณ์ที่ใช้

ความน่าเชื่อถือของการสืบสวนเกี่ยวกับคอมพิวเตอร ์

พื้นฐานการวิเคราห์ของการสืบสวนเกี่ยวกับคอมพิวเตอร์

การถ่ายโอนหลักฐานในมิติทางกายภาพและดิจิทัล

การประมวลเหตุการณ์เพื่อเชื่อมโยงกับอาชญากรรมที่เกิดขึ้น

วิธีวิเคราะห์การประมวลเหตุการณ์ที่เกิดขึ้น

เทคนิคสำหรับผู้พิสูจน์หลักฐาน

การสืบสวนอาชญากรรมไซเบอร์

องค์ประกอบของการวิเคราะห์หลักฐานทางดิจิทัล

เทคนิคสำหรับผู้พิสูจน์หลักฐาน

เทคนิคสำหรับผู้พิสูจน์หลักฐาน

การสืบสวนหรือเก็บหลักฐาน

การตรวจสอบเครื่องมือการวิจัย

การระบุตัว

การประเมินข้อแก้ต่าง

การระบุเจตนา

การประเมินที่มาของข้อมูล

การยืนยันข้อมูลเกี่ยวกับเอกสารดิจิทัล

การเก็บรวบรวมข้อูล

การตั้งข้อสันนิษฐาน

การประเมินข้อสันนัษฐาน

การสรุปผลและรายงาน

สรุปได้ว่า


 

Credit: Sukhothai Thammathirat Open University ชุดวิชา 99419 ความมั่นคงปลอดภัยไซเบอร์  หน่วยที่  14  นิติคอมพิวเตอร์และการสืบสวนอาชญากรรมไซเบอร์ หลักสูตรวิทยาศาสตรบัณทิต แขนงวิชาเทคโนโลยีสารสนเทศและการสื่อสาร (ผศ.ดร.สุชาดา สิทธิจงสถาพร)
 
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #นิติคอมพิวเตอร์ #นิติวิทยาศาสตร์คอมพิวเตอร์ #การพิสูจน์พยานหลักฐานทางคอมพิวเตอร์