Mobile Forensics:cellebrite CTF

วันนี้มาแนะนำการแข่งขัน Mobile Forensics CTF ซึ่ง cellebrite มีจัดกิจกรรม Capture The Flag (CTF)  โดยกิจกรรมจะเปิดและปิดเป็นช่วงต้องติดตามในตารางของแต่ละช่วง

 คุณสามารถเข้าไปลงทะเบียนรอบต่อไปได้ที่ https://cellebrite.ctfd.io/register  โดยจำเป็นต้องทำการติดตั้งโปรแกรม Cellebrite Physical Analyzer  และขอ activate code จาก ctf@cellebrite.com

Timeframe: From the moment you register, you will gain access to the datasets that must be downloaded prior to answering the CTF challenges.

Ready Player One – The CTF: https://cellebrite.ctfd.io has all the information you need to participate after you register.

Scoring: There are three levels of questions and the points are listed accordingly.

• Level 1 – 10 points each
• Level 2 – 20 points each
• Level 3 – 50 or 100 points each

HINTS may be provided for Level 1 and Level 2. Keep in mind, you will lose points for using hints.

The Datasets: Below, you can find the links to download the four devices provided to start the CTF. One device is split into two .7z files for ease of downloading due to the large size. Make sure you put them into the same directory for unzipping. If you experience issues with e-mail access, please reach out to ctf@cellebrite.com.

Preparing for the CTF: CTF_Samsung_Galaxy_S8_Rene_Gade.7z

https://d17k3c8pvtyk2s.cloudfront.net/CTF_Samsung_Galaxy_S8_Rene_Gade.7z

MD5: d2c7b87142573cb759c89cb8c4e61272

SHA256: 5b3af6564a19e3da69266f15dac8d31bd6996b113adb97dbef62103ca3c7d056

CTF_Samsung_Galaxy_A10e_Tony_Mederos.7z

https://d17k3c8pvtyk2s.cloudfront.net/CTF_Samsung_Galaxy_A10e_Tony_Mederos.7z

MD5: 83b8a3fa183bcaf430f9668725e675f1

SHA256: c258f19d6625ea6f83a2da3fc9180b8e60ce2b14855c8b79dd695915f01e7b8e

CTF_Apple_iPhone_X_Ruth_Langmore.7z

https://d17k3c8pvtyk2s.cloudfront.net/CTF_Apple_iPhone_X_Ruth_Langmore.7z

MD5: 47dfe3d59830aba325a5ab685105c073

SHA256: f485ac92faa6f0628b5d186a63805b1b679556f42789edd14c8a5ffbb1f1f3d5

CTF_Apple_iPhone X_Juan_Mortyme_parts.7z.001

https://d17k3c8pvtyk2s.cloudfront.net/CTF_Apple_iPhone_X_Juan_Mortyme_parts.7z.001

MD5: ae0bd55abdc3e033bcd9aa56566359c3

SHA256: 1f4eea82ce91eec4944097fdb732e93ef2426ec2e9566344172a8af36627ce2e

CTF_Apple_iPhone X_Juan_Mortyme_parts.7z.002

https://d17k3c8pvtyk2s.cloudfront.net/CTF_Apple_iPhone_X_Juan_Mortyme_parts.7z.002

MD5: d30beac700582ddae2c530b24afc3b1e

SHA256: a6cd01cdc7cf297e548ebe4e8c50853deff34e4feabdb8dc45622414824cb5eb

Please note that after downloading the forensic extractions of the four devices, they are password protected.

Extraction zip password: 3ECC2C9F723B2CA0F58FD042DC4A5E6112909ED4ABC919FAA0343463A39B634D

Challenge Ruth Langmore - iPhone X

TikTok

Reminded

Wipe

และเป็นอีกครั้งที่ผมทำ LAB ไม่เสร็จ ขอค้างไว้แค่นี้ก่อนแล้วค่อยทยอย ทำเรื่อยๆครับ

สรุป

 1. กิจกรรมนี้เหมาะสำหรับผู้ที่ศึกษา Mobile Forensics 

 2. ทำให้สามารถใช้งานโปรแกรม Cellebrite Physical Analyzer ได้คล่องขึ้น 

 3. มี Image File .UFD Apple iPhone, Samsung Galaxy หลากหลายให้ฝึกทำ 

cellebrite ctf write up

    ที่มา: join-the-first-cellebrite-capture-the-flag-ctf-event

              ciofecaforensics 

              episode-10-ibeg-to-dfir-capture-the-flag

Credit: ขอขอบคุณ ผู้เชี่ยวทางด้านโทรศัพท์เคลื่อนที่ ผู้แนะนำและสอนเทคนิคต่างๆ และเป็นผู้อยู่เบื้องหลัง Blog ของเรา  

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #ฝึกทำLAB #CTF

Digital Forensics:Remote Acquisition of Digital Devices with Belkasoft

Digital Forensics:REMOTE FORENSICS WITH BELKASOFT

Remote Acquisition of Digital Devices with Belkasoft

• Remote acquisition of hard and removable drives, volatile memory
• Remote acquisition of connected smart devices(iOS, Android)
• Forensic analysis of the acquired image at the central location

Process Guide Remote acquisition

How-to

• Click on the "View" main menu item.
• Then click on "Remote acquisition". The following screen will be shown:

• If you have not deployed the agent, do it with "Deploy agent" button.
• Once you have clicked "Deploy agent", there will be two kinds of agent deployment with Belkasoft Evidence Center:
• your option is "Local deployment". You need to choose a folder on your computer and click on the second "Generate" button in this case. As a result, a set of files will be generated which should be passed to the computer of interest: via network folders, a thumb drive, etc. After that, the agent executable file should be run on such a machine.

Remote Option >LAN

Check Network setting

Check Agent file

a set of files will be generated which should be passed to the computer of interest: via a thumb drive, 

• After you complete the previous stage, you can launch the process of acquisition by clicking on "Acquire" and selecting one of the available agents in the list at the right.

Upon clicking on the "Acquire" button, a list of connected remote computer names is shown along with their IP addresses. Select any to start the acquisition

Please remember that hard drives can be acquired unattended, 

• Let us assume that you would like to acquire a hard drive image. Once you have clicked on the "Drive" button, you will see the following screen with a range of options:

• • "Source drive". Here you can choose a physical drive or a logical one (of course, they mean remote drives connected to the computer of interest).
  • "Destination". You can select a location for the acquired image on both a remote computer and your local one.
  • "File format", "Checksum" and "Split output" output work the same as for a drive acquisition.
• You can schedule your image uploading. We recommend scheduling it for nighttime especially if you would like to upload several images at once or just one big image. Otherwise your (and your colleagues) connection quality may degrade.

• After the image uploading is finished, you can add images acquired remotely to your local Belkasoft Evidence Center case. You can then analyze their contents the same way you do with locally acquired images.

Once we click the Create and open button a new window will open, asking us to add evidences for the case. As you can see, we can add a wide variety of evidece types:

• Disk images, either E01, AFF, DD…
• An installed storage device on the system (such as a cloned hard drive).
• A folder containing evidence files.

On the other hand, we are also presented options about about adquiring and anylizing a storage drive, a mobile device or even make an adquisition of a cloud storage account.

In our case we will add a testing disk image, consisting on a E01 file from a Windows 8  created specially for this.

As you can see, we are able to select the options of performing an analysis of the date to find artifacts (which is both preselected and convenient) and also perform a search for files which hash matches a value stored in an internal database in the program. This is interesting if we are looking for a concrete indicator of compromise or IOC in our investigation.

Once we click Finish we will be asked if we wish to add another source of information. For the moment, we will say no and focus on the hard drive analysis.

Automatically we will be sent to the Case Explorer tab, and we will soon start to see diverse artifacts appear on the left panel. We can also see the number of tasks being executed currently. Clicking on this indicator will show us the detail about these tasks and their state, with higher detail if we select each of them, inside the Task Manager tab.

Conclusion

Belkasoft Evidence Center contains a nice and useful toolset for forensic evidences inspection. 

The timeline will allow you to locate events very quickly and I am sure about the usefulness of common artifact search when analyzing several cases, aiding an internal thread hunting process inside an organization.

Remote Forensics with Belkasoft Evidence Center

• Credit:https://belkasoft.com/remote-acquisition-digital-devices

              https://bit.ly/3nxmh8y

  
  
  หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
  
  * หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
  ขอบคุณครับ
  

  
  #WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

DIGITAL FORENSICS:การรับฟังและชั่งน้ำหนักพยานหลักฐาน

หลักสูตร "กระบวนพิจารณาชั้นอนุญาโตตุลาการ"

ในเรื่องพยานหลักฐานดิจิทัลนั้น การวิเคราะห์น้ำหนักพยานหลักฐานดิจิทัลในกฎหมาย พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 มาตรา 11 วรรคสอง เขียนวางหลักเอาไว้ว่า การชั่งน้ำหนักพยานหลักฐานดิจิทัลนั้น ให้ดู 3 เรื่อง คือ 

1. ลักษณะวิธีการสร้างข้อมูล ว่าสร้างได้มาตรฐานหรือไม่ 

2. วิธีการเก็บข้อมูล ว่าระบบจัดเก็บรักษานั้นได้มาตรฐานหรือไม่ 

3. ระบบการเรียกข้อมูลออกมาใช้ ถูกต้องแม่นยำและไม่คลาดเคลื่อนกับข้อความที่บันทึกหรือไม่ แต่อย่างไรก็ตาม ยังมีหลักสากลที่กฎหมายฉบับนี้ไม่ได้เขียนไว้ แต่เป็นหลักสากลที่นักกฎหมายหรือ อนุญาโตตุลาการต้องเข้าใจและต้องทราบ คือ เวลาที่จะให้น้ำหนักพยานหลักฐานที่เกิดขึ้นจากข้อมูลดิจิทัล จะต้องแยกออกเป็น 3 กลุ่ม คือ 

กลุ่มแรก ทำขึ้นโดยระบบคอมพิวเตอร์ถ้าหากเป็นข้อมูลที่จัดขึ้นโดยระบบคอมพิวเตอร์ โดยไม่มี มนุษย์เป็นผู้สร้างขึ้น แต่เป็นเรื่องระบบเป็นผู้สร้างขึ้น ถ้าหากระบบนั้นเป็นระบบที่ได้มาตรฐาน ไม่มีความ ผิดพลาดคลาดเคลื่อนในการสร้างข้อมูล ก็จะให้น้ำหนักพยานหลักฐานนั้นเกือบเต็มร้อยเปอร์เซ็นต์ โดยพยานหลักฐานที่เกิดขึ้นโดยระบบคอมพิวเตอร์สร้างขึ้นนั้น เราเรียกว่าเป็นพยานโดยตรง ตัวอย่างเช่น พยานหลักฐานที่เกิดขึ้นโดยระบบดิจิทัลจากกล้อง CCTV ที่บันทึกไว้ ซึ่งเป็นระบบที่ฟ้องด้วยภาพ ก็จะต้อง เชื่อข้อมูลที่เกิดขึ้นโดยอัตโนมัติจากระบบคอมพิวเตอร์มากกว่าการให้การที่ขัดแย้งของพยานบุคคล แต่ถ้าหากจะสู้คงต้องสู้ว่าภาพที่ได้จากกล้องนั้นมีการตัดต่อ เปลี่ยนแปลงภาพ ซึ่งการต่อสู้ในลักษณะนี้ จะเกิดปัญหาขึ้นเพราะหากเกิดขึ้นในชั้นศาล ศาลจะต้องส่งไปตรวจพิสูจน์ แต่ถ้าพิสูจน์แล้วผู้เชี่ยวชาญ มีความเห็นแล้ว ก็จะต้องมีพยานอื่นมาประกอบให้เห็นว่าภาพนั้นเป็นภาพแท้จริงถูกต้อง เพราะภาพ ที่เกิดขึ้นจากระบบดิจิทัลนั้นสามารถตัดต่อเปลี่ยนแปลงได้และพิสูจน์ความถูกต้องแท้จริงได้ยากมาก ๆ 

Photo: https://www.cctvbangkok.com/bangkok-cctv/

พยานเอกสารนั้นมีความสำคัญ เมื่อมีการเขียนไว้ โดยหลักแล้วเปลี่ยนแปลงไม่ได้ แต่คนที่ เปลี่ยนแปลงก็คือคนเขียน ก็สามารถที่จะปลอมหรือเพิ่มเติมได้ จึงต้องมาวิเคราะห์ว่าเอกสารที่ทำขึ้นนั้น ถูกต้องหรือไม่ เป็นเอกสารจริงหรือเท็จ ถ้าเป็นเอกสารเท็จก็ไม่รับฟังเป็นพยานหลักฐานตามหลักทั่วไป ในตอนต้น ดังนั้นพยานหลักฐานที่เป็นการบันทึกโดยระบบคอมพิวเตอร์โดยตรงนั้น มีความแม่นยำสูง และเชื่อถือได้ ยกตัวอย่างเช่น มีเหตุการณ์ที่คนร้ายใส่ชุดเสื้อสีดำ กางเกงลายพราง ใส่หมวกไหมพรมสีดำ ใช้อาวุธปืนจี้ชิงทองที่ลพบุรี และได้ใช้รถจักรยานยนต์หลบหนีไป แต่ก่อนที่จะหลบหนีนั้น ได้ยิงผู้อื่นตาย 3ศพ บาดเจ็บอีก 4 ราย ถ้าหากเป็นเรื่องที่เกิดขึ้นในอดีตที่ไม่มีกล้องบันทึกไว้ เราก็จะไม่สามารถจับคนร้ายได้ เพราะคนร้ายแต่งกายมิดชิด ไม่สามารถรู้ได้ว่าเป็นผู้ใด แต่ในเรื่องนี้มีการบันทึกจากกล้อง CCTV ไว้ ในร้านขายทองดังกล่าว และตามจุดต่าง ๆ ปรากฏว่าเมื่อนำกล้องมาเปิดดูก็เห็นว่า คนร้ายรูปร่างอย่างไร ลักษณะการเดินของคนร้ายมีอาการบาดเจ็บ และตำรวจได้ให้ความสนใจอาวุธปืนที่คนร้ายใช้ ปรากฎว่าปืน ที่ใช้นั้นเป็นอาวุธปืนขนาด 9 มม. ยี่ห้อ CZ และปลายปากกระบอกปืนติดตั้งท่อเก็บเสียง และพบว่า ท่อเก็บเสียงนั้นผลิตในประเทศไทย และตามไปสอบถามก็พบว่ามีการขายไปให้กับผู้ใด และได้ตามสืบจนพบที่มาของอาวุธปืนและรถจักรยานยนต์ที่ใช้หลบหนี และนำภาพจากกล้อง CCTV ไปติดตามจับกุม คนร้ายได้ ภาพตรงนี้จึงสามารถเชื่อถือได้

Photo: https://mgronline.com/crime/detail/9630000003573 

  โดย: ทีมข่าวอาชญากรรม mgronlin

ประการที่สอง ภาพหรือข้อมูลที่อยู่ในกล้อง CCTV หรือข้อมูลที่เกิดในระบบคอมพิวเตอร์นั้น เป็นข้อมูลที่บันทึกไว้โดยบุคคล โดยหลักถือว่าข้อความที่บันทึกไว้ในคอมพิวเตอร์นั้น ถ้าหากเป็นการเล่า เหตุการณ์ใดไว้ในระบบคอมพิวเตอร์ถือว่าเป็นพยานบอกเล่า

 

อ้างอ้งจาก:โครงการอบรมสำหรับผู้ที่จะปฎิบัติหน้าที่โตตึุลาการอนุญาโตตุลาการ ครั้งที่ 2/2563  สถาบันอนุญาโตตุลาการ  (Thai Arbitration Institute)

อ่านเพิ่มเติม:  การรับฟังข้อมูลอิเล็กทรอนิกส์เป็นพยานหลักฐาน
                   พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544
                   การรับฟังพยานหลักฐานดิจิทัลในคดีอาญา
                   หลักการชั่งน้ำหนักและการรับฟังพยานหลักฐานดิจิทัลในชั้นศาล

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

Digital Forensics: Size vs Size on Disk

Digital Forensics: Size vs Size on Disk

วันนี้จะมาพูดเกี่ยวกับความต่างระหว่าง Size และ Size on Disk คืออะไร ? ต่างกันอย่างไร ?

What is Size?

Size หมายถึงขนาดที่แท้จริงของไฟล์ที่กำหนด ขนาดไฟล์จะวัดปริมาณข้อมูลที่จัดเก็บไว้ในไฟล์นั้น ๆ เมื่อเราคลิกที่ไอคอนคุณสมบัติไฟล์ จะแสดงผลลัพธ์สองประการ 

   1. Size  ขนาดจริงของไฟล์

   2. Size on Disk  ขนาดของไฟล์บนดิสก์

ขนาดจริงของไฟล์แสดงเป็นไบต์ มันหมายถึงจำนวนไบต์ที่แท้จริงของไฟล์ใดๆ ที่ระบุ ค่านี้มักจะน้อยกว่าขนาดของไฟล์เดียวกันบนดิสก์มาก

การขยายจำนวนไบต์เกิดขึ้นเนื่องจากการจัดเก็บไฟล์ในกลุ่มบนฮาร์ดไดรฟ์ ขนาดของไฟล์มักจะถูกปัดเศษขึ้นและรวมถึงพื้นที่ดิสก์ที่ไม่ได้ใช้ด้วย สิ่งนี้นำไปสู่การบวมของจำนวนไบต์บนฮาร์ดไดรฟ์สำหรับไฟล์เดียวกัน

What is Size on Disk?

ขนาดบนดิสก์หมายถึงขนาดของไฟล์ที่กำหนดเมื่อจัดเก็บไว้ในฮาร์ดไดรฟ์ ฮาร์ดไดรฟ์ใช้คลัสเตอร์เพื่อจัดเก็บไฟล์ การวัดพื้นที่ที่จัดสรรคลัสเตอร์ของไฟล์บนฮาร์ดไดรฟ์นี้เรียกว่าขนาดบนดิสก์ กล่าวอีกนัยหนึ่ง ขนาดของไฟล์บนดิสก์(Size on Disk)จะใหญ่กว่าขนาดของไฟล์

การบันทึกเก็บไฟล์ของเราจึงเป็นการบันทึกลงพื้นที่ Allocate unit หลายๆหน่วย ลงไปหรือหน่วยการจัดเก็บไฟล์บน Cluster นั้น ๆ ที่มีต่างกัน ดังนั้น Size on disk จึงเป็นการบอกว่าเราใช้พื้นที่เก็บลงไป Allocate unit เป็นจำนวนเท่าไร คูณด้วย ขนาดของ Allocate unit   ใน Cluster 

ซึ่งเราสามารถกำหนดขนาดของ Allocate unit size ได้โดยการ Format ขนาดของ Allocate unit size 

ใน Harddisk เมื่อเราต้องการใช้งานเก็บข้อมูลเราจะทำการ Format  ระบบจะจัดสรรพื้นที่ เตรียมสร้างคลัสเตอร์ ไว้เก็บข้อมูล โดยขนาด คลัสเตอร์จะขึ้นอยู่กับระบบไฟล์

ตัวอย่างนี้ มี  Cluster ที่ถูกสร้างมีค่าตั้งต้นในระบบไฟล์ NTFS  จะแบ่งพื้นที่ Allocate unit size ขนาด 4096 ไบต์  (4 KB) 

ในCluster แรกบริเวณสีแดงเมื่อเราสร้างไฟล์ขนาด 2 KB  เท่ากับเราใช้พื้นที่ 2 KB ในคลัสเตอร์นี้แล้ว

ในCluster แรกบริเวณสีฟ้าในไฟล์นี้ยังมีพื้นที่เหลือขนาด 2 KB  เรามักเรียกว่า Slack space  จะเห็นได้ว่าไฟล์นี้ใช้พื้นที่ทั้งหมดไป 4 KB

• Slack space : เป็นพื้นที่ในส่วนที่เหลือจากการใช้งาน เช่นมี Cluster มีขนาด 4096  bytes แต่ไฟล์มีขนาดเพียง 2096 bytes ก็จะเหลือพื้นที่ที่เป็น Slack space ขนาด 2000 bytes ซึ่งหากพื้นที่ในส่วน Slack space เคยถูกใช้งานในการเก็บข้อมูลก่อนหน้านี้แล้วอาจทำให้มีข้อมูลเก่าเหลืออยู่บนพื้นที่นี้ได้

ในตัวอย่างนี้ขนาดไฟล์ (size = 13.2 KB)

จากไฟล์นี้ขนาดไฟล์ (Size = 13.2 KB) จำเป็นต้องใช้ถึง 4  คลัสเตอร์ รวมเป็น (16 KB Size on disk )

ดังนั้น Size on disk จะนับขนาดไฟล์ตามจำนวน Allocate unitที่ใช้พื้นที่ใน Hard disk 

Comparison	Size	Size on Disk
คำจำกัดความ	ขนาดไฟล์หมายถึงขนาดที่แท้จริงของไฟล์	ขนาดบนดิสก์หมายถึงขนาดของไฟล์เมื่อจัดเก็บไว้ในฮาร์ดดิสก์
ขนาด	ขนาดของไฟล์มักจะเล็กกว่าขนาดบนดิสก์	ขนาดบนดิสก์มักจะใหญ่กว่าขนาดของไฟล์
เปลืองเนื้อที่	ขนาดไฟล์จริงไม่เปลืองเนื้อที่	ขนาดบนดิสก์ทำให้เปลืองพื้นที่คลัสเตอร์

Video:SANS Digital Forensics and Incident Response

Video : Windows File System | Windows Forensics Tutorial | eForensics Magazine

Size on disk กับ Size ต่างกันอย่างไร

เพิ่มเติม: 

Slack space : เป็นพื้นที่ในส่วนที่เหลือจากการใช้งาน เรามักพบไฟล์หรือข้อมูลเก่าที่เคยลบไปแล้ว และยังไม่ถูกเขียนทับอยู่ในส่วนนี้ด้วย

ที่มา:  

       difference-between-size-and-size-on-disK 

       why-is-there-a-big-difference-between-size-and-size-on-disk

      size-on-disk 

      file-system-forensics-analyze-disk-images-harddisk

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #หลักสูตรการพิสูจน์หลักฐานทางดิจิทัล

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ