Friday, September 25, 2020

DIGITAL FORENSICS:OSForensic Rebuild RAID

DIGITAL FORENSICS:OSForensic Rebuild RAID

วันนี้แนะนำการ Rebuild RAID ด้วยโปรแกรม OSForensic  หลายครั้งที่เรามีความจำเป็นต้องรับมืิอกับหลักฐานบนเครื่อง Server ,file share NAS เป็นต้น ซึ่งอุปกรณ์เหล่านี้มักมีการจัดเก็บข้อมูลแบบ Disk Raid ซึ่งผู้เชี่ยวชาญจำเป็นต้องมีความรู้และประสบการณ์เพื่อที่จะสามารถเก็บข้อมูลมาได้อย่างถูกต้องไม่เสียหาย

เครื่องมือ Tools
- Forensic workstations
- Harddisk Seagate  80 GB disk Raid
- OSforensic
- FTK Imager

1. เตรียม Harddisk    80 GB disk Raid สำหรับทำสำเนาหลักฐาน
Harddisk Seagate  80 GB ทำ Raid 0 ไว้




หมายเหตุ :  การทำสำเนาหลักฐานต้องผ่านอุปกรณ์ป้องกันการเขียนทับ (Write Blocker)

2.ใช้โปรแกรม FTK Imager ทำสำเนาหลักฐานตั้งชื่อเป็น CF-006-01.e01  กับ harddisk ลูกแรก



3. ใช้โปรแกรม FTK Imager ทำสำเนาหลักฐานตั้งชื่อเป็น CF-006-02.e01  กับ Hard disk ลูกที่สอง

ทำการตรวจสอบค่า Hash  CF-006-01.E01


ทำการตรวจสอบค่า Hash  CF-006-02.E01




เราสามารถทำสำเนาข้อมูลได้พร้อมกันโดยใช้โปรแกรม FTK Imager

ทำการตรวจสอบ Image  ว่าเปิดได้หรือไม่


4. ใช้ FTK Imager ทำการ add image  แล้วเปิดดูข้อมูล

 CF-006-01.e01
CF-006-02.e01
5. ใช้ FTK Imager ทำการ add image  CF-006-01.e01 , CF-006-02.e01 เพื่อรอ Rebuild RAID

6.โปรแกรม OSForensics รองกับการ Rebuild RAID

OSForensics™ can rebuild a single RAID image from a set of physical disk images belonging to a RAID array. Being able to properly image systems with RAID configurations for forensics analysis is sometimes challenging, due to the fact that having access to the RAID parameters (such as the RAID level and stripe size) that were used may not be possible. The following RAID levels are supported:

RAID 0
RAID 1
RAID 3
RAID 4
RAID 5
RAID 0+1
RAID 1+0
Once the RAID parameters are known, they can be used to rebuild the RAID logical image.

เลือก Disk Image

Disk Image
เลือก Tab RAID rebuild > add forensic image  CF-006-01.e01 ,CF-006-02.e01

กดดู Raid Info  > Raid 0
ทำการ Rebuild RAID Image จะได้ CF-006-03.e01   ควรเลือกลำดับของ Image file ให้ถูกก่อนจะ Rebuild
Rebuild RAID Image สมบูรณ์


ใช้ FTK Imager เปิด Image file  CF-006-03.e01  ที่ทำการ Rebuild RAID แล้ว พบว่ามีข้อมูลอยู่




สรุป

  • การทำสำเนาหลักฐานข้อมูลที่เป็นDisk Raid ต้องสำรวจชนิดของ Raid ที่ใช้ เช่นเป็น 0 ,1,5 เป็น hardware หรือ software 
  • ทำ forensic image Harddisk ทุกลูกที่เชื่อมต่อ Raid เท่าที่ทำได้เพื่อความสมบูณ์ของหลักฐาน
  • เตรียมเครื่องมือสำหรับ Rebuild RAID
  • เตรียม adapter สำหรับรองรับ Harddisk เช่น IDE SCSII  SATA 
  • โปรแกรม OSForensic  ใช้งานง่ายเมนูไม่ซับซ้อน



หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud


No comments:

Post a Comment

Digital Forensics:User Access Logging (UAL)

 Digital Forensics:UAL  Log What Is User Access Logging? UAL is a feature included by default in Server editions of Microsoft Windows, start...