DIGITAL FORENSICS:Forensic Imaging through Tableau Imager

บทความนี้ขอพูดแค่ส่วนสร้างสำเนาพยานหลักฐาน (Acquisition) โดยศึกษาข้อมูลจาก ISO/IEC 27037:2012

Photo by : ISO.org

ISO/IEC 27037:2012 – แนวทางสำหรับการระบุ รวบรวม การได้มา และการเก็บรักษาพยานหลักฐานดิจิทัล

มาตรฐานนี้มีจุดมุ่งหมายเพื่อให้แนวทางแก่ผู้ปฏิบัติงานด้านการพิสูจน์หลักฐานดิจิทัล (Digital Evidence First Responders, Digital Evidence Specialists) ในการ ปฏิบัติอย่างถูกต้อง ถูกกฎหมาย และรักษาความน่าเชื่อถือของพยานหลักฐาน ที่พบในอุปกรณ์ดิจิทัลหลากหลายประเภท

Forensic Acquisition Process ตาม ISO/IEC 27037:2012

การได้มาซึ่งพยานหลักฐานดิจิทัล (Acquisition) เป็นกระบวนการที่สำคัญในการสืบสวนทางนิติวิทยาศาสตร์ดิจิทัล ซึ่งมีวัตถุประสงค์เพื่อ สร้างสำเนา (copy) ของพยานหลักฐานดิจิทัลจากต้นฉบับอย่างถูกต้องที่สุด โดยต้องไม่ส่งผลกระทบต่อความสมบูรณ์ของข้อมูลต้นฉบับ

หลักการสำคัญจาก ISO/IEC 27037 ในทุกสถานการณ์

หลักการ	รายละเอียด
Identification	ระบุแหล่งของข้อมูล เช่น IP, MAC, Serial number
Collection	เก็บรวบรวมข้อมูลแบบ volatile และ non-volatile อย่างเหมาะสม
Acquisition	ทำสำเนาแบบ forensic โดยไม่เปลี่ยนต้นฉบับ
Preservation	จัดเก็บให้คงสภาพเดิม พร้อมสร้าง hash (MD5, SHA)

 

จุดประสงค์หลักของ Acquisition

• สร้างสำเนาพยานหลักฐานที่สามารถนำไปวิเคราะห์ได้

• คงสภาพของต้นฉบับไว้ไม่ให้เปลี่ยนแปลง

• ยึดตามหลักความน่าเชื่อถือทางกฎหมาย (Legal Admissibility)

เครื่องมือที่ใช้ในเคสนี้ 

• Flash Drive 16 GB (evidence)
• TABLEAU IMAGER (TIM)
• Tableau Forensic Bridges (Write Blocker)
• Forensic workstation computers

Physical Acquisition

• เป็นการได้มาซึ่งข้อมูลทั้งหมดจากสื่อเก็บข้อมูล เช่น ฮาร์ดดิสก์ แบบ sector-by-sector หรือ Flash drive หรือ อุปกรณ์จัดเก็บข้อมูลที่พบในอุปกรณ์ดิจิทัลหลากหลายประเภท

• เหมาะกับการวิเคราะห์ในเชิงลึก เช่น การค้นหาไฟล์ที่ลบไปแล้ว, การฉ้อโกง, ขโมยข้อมูล และ อื่นๆ 

หลักปฏิบัติที่สำคัญตาม ISO/IEC 27037

1. (Non-alteration Principle):

   • ห้ามแก้ไขข้อมูลต้นฉบับโดยเด็ดขาด

   • ใช้ write-blocker ในการสร้างสำเนา (copy) ของพยานหลักฐานดิจิทัลจากต้นฉบับ

2. Chain of Custody:

   • บันทึกทุกขั้นตอนในการได้มา การถ่ายโอน และการเข้าถึงพยานหลักฐาน

3. Hash Verification:

   • สร้างและตรวจสอบ hash (เช่น SHA) ของต้นฉบับและสำเนาเพื่อยืนยันความถูกต้อง

เครื่องมือที่ใช้ใน Acquisition Process: 

Tableau Imager

Tableau Imager (TIM) is Tableau’s free forensic imaging software application. Optimized for imaging with Tableau Forensic Bridges, TIM is an intuitive and information-rich application for Microsoft Windows XP, Vista, 7 or later (compatible with both 32 and 64-bit versions) built to improve your forensic imaging productivity.

วันนี้จะมาแนะนำเครื่องมือ Forensic Imager ฟรี TABLEAU IMAGER  ของบริษัท Guidance Software

https://www.guidancesoftware.com/tableau/download-center

การเก็บหลักฐานบน Windows โดยการใช้ TABLEAU IMAGER(TIM) ซึ่งเป็นโปรแกรมทำสำเนาหลักฐานดิจิทัล ของบริษัท Guidance Software

 
1. เตรียมตัว โดยก่อนอื่น ทำการ  Download and Install เราจะนำโปรแกรมTableau Imager (TIM) ไปติดตั้งบนเครื่อง Forensic workstation

หากเชื่อมต่อหลักฐานโดยผ่าน อุปกรณ์ Tableau Forensic Bridges โปรแกรมจะแสดง  สถานะ Read Only ในการทำ Acquisition ได้

with Tableau Forensic Bridges

Tableau Forensic Bridges ป้องกันไม่เปลี่ยนแปลงข้อมูลต้นฉบับ ( Write Blocker)

Write Blocker : ใช้สำหรับป้องกันการเขียน โดยจะใช้เพื่อป้องกันไม่ให้เกิดการเปลี่ยนแปลงของหลักฐานดิจิทัล อ่านเพิ่มเติม

วิดิโอสาธิตวิธีการเชื่อมต่ออุปกรณ์ Tableau Forensic Bridges
Forensic Data Acquisition - Hardware Write Blockers

Credit:DFIR.Science youtube

2. เชื่อมต่อ USB Flash Drive (evidence) ผ่าน Tableau Forensic Bridges จะแสดง  Read Only ที่ต่อผ่านเครื่องคอมพิวเตอร์ Forensic workstation

 ทำการตรวจสอบว่าเป็นหลักฐานที่จะทำสำเนาหรือไม่

กำหนดค่าตำแหน่งที่เก็บไฟล์สำเนาหลักฐานและ File Format

เลือก Destination path ตำแหน่งที่เก็บสำเนาหลักฐานดิจิทัล(Image File) ว่าจะทำการเก็บสำเนาหลักฐานดิจิทัลไปที่ไหน เช่น External Storage จะต้องมีพื้นที่มากพอที่จะสามารถเก็บหลักฐานได้

 3. จะเริ่มจากการเก็บโดย เลือก Flash Drive และ เลือกคำสั่ง Acquisition Device  เพื่อเริ่มทำสำเนาหลักฐานดิจิทัล(Disk image) 

4. ทำสำเนาหลักฐานดิจิทัล 2  ครั้ง file format แบบ 001และ E01  เพื่อเปรียบเที่ยบการทำงาน
Acquisition Queue  แสดงรายละเอียด สถานะ  วันเวลาที่เริ่มทำ และเสร็จ ใช้เวลาทั้งหมด ของหลักฐานทั้งหมด ในการเลือกประเภทของ Image โดยส่วนมากจะนิยมใช้ Raw, E01, กัน ซึ่งข้อแตกต่างหลักๆก็จะเป็นในส่วนของเรื่องความสามารถในการบีบอัด (Compression) ,ความเร็วในการทำสำเนาและ Metadata ต่างๆ

Setting แสดงรายละเอียด ชื่อไฟล์สำเนาหลักฐาน , ขนาดหลักฐาน ,File Format 

Tableau Imager2020-05-07 14-39-1160A44Cxxxxxxxxxx.001

Tableau Imager2020-05-07 14-02-3760A44Cxxxxxxxxxx.E01

Status แสดงรายละเอียด  วันเวลาที่เริ่มทำ และเสร็จ ใช้เวลาทั้งหมด

Log แสดงรายละเอียด คำนวณค่า hash (เช่น MD5, SHA )  ใช้คำนวณ hash ก่อนและหลัง imaging

ท่านสามารถดูตัวอย่าง Tableau Imager Log ผลลัพธ์ออกมาเป็น 2ไฟล์ โดยไฟล์ที่บอกเกี่ยวกับข้อมูลของ Image ที่เก็บมา Disk to File Results 

Download Log  001 E01 

Hash Verification:

• สร้างและตรวจสอบ hash (เช่น MD , SHA) ของต้นฉบับและสำเนาเพื่อยืนยันความถูกต้อง

หมายเหตุ:ไฟล์ E01

ไฟล์ E01 ใช้สำหรับจัดเก็บข้อมูลที่สำคัญสำหรับนิติวิทยาศาสตร์ดิจิทัล ในโลกไซเบอร์ สามารถใช้ในการพิจารณาคดี และนำเสนอหลักฐานดิจิทัล
ไฟล์ E01 คือ ไฟล์อิมเมจดิสก์(Encase Image File) ของ digital forensic ที่สร้างโดยโปรแกรม EnCase ซึ่งเป็นแอปพลิเคชันซอฟต์แวร์ forensic ใช้บันทึกสำเนา ของเนื้อหาที่ดึงมาจากดิสก์ของอุปกรณ์หลักฐานต้นฉบับ; สามารถติดตั้งและอ่านโดยโปรแกรม EnCase หรือโปรแกรมอื่นที่รองรับรูปแบบ E01

Ref:

• GUIDANCESOFTWARE 
• ISO/IEC 27037:2012, ISO Official Website
• NIST SP 800-86: Guide to Integrating Forensic Techniques into Incident Response
• อ่านเพิ่มเติม: กระบวนการนิติวิทยาศาสตร์ทางดิจิทัล

 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD