Digital Forensics:Case Study Forensic Acquisition
วันนี้ได้ทำการทดสอบ กระบวนการได้มาซึ่งหลักฐานดิจิทัล ในการเตรียมอุปกรณ์สำหรับการสำเนาหลักฐานอุปกรณ์เก็บข้อมูลแบบ SSD PCIe ในเครื่อง Notebook รุ่นใหม่
(เนื่องจากบทความนี้ทำพอสังเขป และใช้ภาพจาก Internet เป็นตัวอย่างประกอบ อาจจะข้ามขั้นตอนบางส่วนไป จึงขออภัยมา ณ ที่นี้ด้วย)
การเก็บหลักฐานเป็นไฟล์ Disk Image (Image Acquisition)
โดยทั่วไปการได้มาของไฟล์ Disk Image จะดำเนินการในห้องปฏิบัติการทางนิติดิจิทัลโดยผู้เชี่ยวชาญที่ผ่านการฝึกอบรมและได้รับการรับรองว่าได้รับไฟล์ Disk Imageจากอุปกรณ์คอมพิวเตอร์บางประเภท (เช่นโทรศัพท์มือถือแล็ปท็อปหรือแท็บเล็ต)
สมมติว่าในขณะที่คอมพิวเตอร์ปิดอยู่ผู้ตรวจสอบควรเริ่มต้นด้วยขั้นตอนดังนี้:
•ตรวจสอบหลักฐานทางกายภาพ(physical evidence)และเบิกออกจากที่เก็บหลักฐานตามขั้นเอกสารหลักฐาน (chain of custody)
•เมื่อเอาซีลที่วางอยู่บนช่องเปิดของเคสคอมพิวเตอร์ สิ่งนี้ควรได้รับการบันทึกไว้ในสมุดบันทึกของผู้ตรวจสอบ
•ถอดอุปกรณ์จัดเก็บข้อมูล จากนั้นอุปกรณ์จัดเก็บข้อมูลสามารถเชื่อมต่อกับคอมพิวเตอร์นิติดิจิทัล (forensic workstation)โดยเฉพาะโดยมีตัวบล็อกการเขียน(write blocker)ติดอยู่กับดิสก์ ในหลาย ๆ กรณีอาจทำได้โดยไม่ต้องรีสตาร์ทคอมพิวเตอร์
•การสร้างภาพดิสก์ (Image Acquisition) จะอาศัยซอฟต์แวร์ที่ติดตั้งบนคอมพิวเตอร์ (forensic workstation)หรือผู้ตรวจสอบสามารถติดตั้งตัวบล็อกการเขียน(write blocker) และที่เก็บข้อมูลเพิ่มเติมที่จะเก็บภาพไว้ล่วงหน้า
•บูตคอมพิวเตอร์ด้วยดิสก์สำหรับบูตทางนิติดิจิทัล Bootable Live USB forensics tools
สิ่งที่ต้องเตรียมการสำเนาหลักฐานดิจิทัล
1. ศึกษารายละเอียดของ Notebook Model แต่ละรุ่น https://support.lenovo.com และวิธีการถอดอุปกรณ์
2. เตรียมอุปกรณ์สำหรับรองรับการเชื่อมต่อ Harddisk ssd M.2 ,PCle
3. ชุดเครื่องมืออุปกรณ์
4. กล้องดิจิทัลและตั้งค่าเวลาเป็นปัจจุบน
5. กล่องหรือพลาสติกกันกระแทก สำหรับบรรจุหลักฐาน
6. ถุงพลาสติกสำหรับใส่หลักฐาน
7. Label สำหรับเขียนรายละเอียดหลักฐาน
ชุดเครื่องมือ(Hardware Tools)
ขั้นตอนการเตรียมการสำเนาหลักฐานดิจิทัล
Check list
1. Evidence คือเครื่อง Notebook (Notebook Lenovo ) เปิดเครื่องและกด Enter Setup เพื่อเข้า Bios >Power (ควรจดรายละเอียด ของหลักฐานเช่นรอยแตก รอยขีดข่วน สถานะเครื่องก่อนตรวจสอบ และถ่ายรูปไว้)
 |
| ควรดูคู่มือวิธีการกดปุ่มเข้า Bios ทุกครั้ง ก่อนเปิดเครื่อง |
2. ทำการถ่ายรูป BIOS version , System Date &Time and Disk Storage ตรวจสอบกล้องถ่ายรูปว่ามีการตั้งค่าเวลาเป็นปัจจุบัน
3. ทำการ Disable Battery เพื่อป้องกันการเสียหายจากกระแสไฟขณะที่ถอด HDD
 |
Disable Battery
|
4. ถอด Harddsik SSD adapter PCIe m.2 ,NVME
  |
| สังเกต Solid State Disk |
* สังเกตว่ามี HDD .ในเครื่อง notebook มี 1 หรือ 2 ตัว
 |
| ภาพตัวอย่าง เครื่อง notebook มี HDD 2 ตัว |
 |
| ภาพตัวอย่าง เครื่อง notebook มี HDD 2 ตัว |
 |
| ภาพตัวอย่าง เครื่อง notebook มี HDD 2 ตัว |
5. เตรียมออุปกรณ์ สำรองไฟ UPS เพื่อใช้สำหรับต่อกับเครื่องทำ disk image
6.เตรียม Hardware Write blocker >Tableau PCIe M.2 SSD Adapter เชื่อมต่อ SSD Harddsik
 |
| Tableau PCIe M.2 SSD Adapter |
* ใช้อุปกรณ์รองรับ SSD เชื่อมต่อกับอุปกรณ์ writer blocker
 |
| Check Status OK |
- Hard disk storage (forensic Image file)
7. เริ่มทำ Forensic Image - Forensics workstation install FTK Imager or Forensic acquisition tools
 |
| Create Image |
7.1 หลังจากทำสำเนาหลักฐานเสร็จแล้วให้ทำการเปิด Forensic Image เพื่อตรวจสอบความครบถ้วนสมบูรณ์ เนื่องจากหาก Forensic Image ไม่สมบูรณ์หรือเปิดไม่ได้ เราสามารถทำใหม่อีกครั้งได้ ก่อนเก็บหลักฐาน ให้ทำการสำเนาหลักฐานไว้ 2 ชุดเพื่อป้องกันความเสียหาย
8. ถ่ายรูป อุปกรณ์หลักฐาน และ Update Process
Check list >Computer Bios Time ,Clock
- Chain of Custody Form
- Hardware Tools
- Label
9. เมื่อเสร็จเรียบร้อย ให้ทำการใส่อุปกรณ์ และประกอบ Notebook ให้เหมือนเดิมและ ทำการ Enable Battery เพื่อให้เครื่องทำงานตามปกติ ตรวจสอบร่องรอยต่างๆ ว่ามีการแตกหักหรือชำรุดใดๆหรือไม่ และจดบันทึก
|
Enable Battery
|
9.1 ถ่ายรูปหลักฐานอีกครั้งก่อนส่งคืน ไปห้องเก็บหลักฐาน
10. ส่งหลักฐานไปห้องเก็บหลักฐาน เพื่อดำเนินการต่อไป
 |
| Evidence Room |
ปัญหาที่พบ
1. การกดเข้า Bios
เช่น กด F1 , Del ,F11, F8 ,Enter แต่ละรุ่นไม่เหมือนกัน ควรศึกษาก่อนทำจากคู่มือก่อนทำ
2. การปิด-เปิด แบตเตอรี่ใน Bios
|
| Disable Battery |
* เมื่อทำสำเนาเสร็จ ให้ทำการใส่ Hard Disk เข้าที่ Notebook และทำการ Enable Battery ใน Bios
3. ศึกษาการถอดประกอบเครื่อง Notebook จะได้ทราบตำแหน่งของอุปกรณ์ และ ชนิดของอุปกรณ์
4. หากไม่สามารถแกะหลักฐานออกมาได้ ให้ใช้วิธีการ boot ผ่าน อุปกรณ์ USB bootable forensic tools
ข้อควรปฎิบัติทั่วไปในการเก็บหลักฐาน
ไม่ควรทำให้เกิดการเปลี่ยนแปลงของหลักฐานในขั้นตอนการเก็บ เนื่องจากอาจทำให้กระทบต่อขั้นตอนการวิเคราะห์หลักฐานได้
เพิ่มเติม: ในกรณีที่ผิดพลาด ระบบ boot เข้า windows ให้ทำการบันทึก รายละเอียดและวันเวลาและสาเหตุที่เกิดผิดพลาด
ThinkPad - Solid State Drive Replacement
How to Turn off Lenovo ThinkPad T470 / T570 Internal Battery
Refer:
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
Nice information.
ReplyDeleteBeing the top digital forensic company, Paraben helps you get Digital forensics training under the guidance of experienced investigators.