Friday, February 26, 2021

BitLocker for Digital Forensics – Part II

BitLocker for Digital Forensics – Part II

     วันนี้พบบทความน่าสนใจเรื่องการจัดการหลักฐานที่มีการเข้ารหัสด้วย  BitLocker   โดยในกรณีศึกษา เช่น เมื่อเราไปเก็บหลักฐานจากแล็ปท็อปและทำสำเนาหลักฐานดิจิทัล ( forensic Image ) แล้วพบว่า ในหลักฐานมีการเข้าBitLockerไว้ ไม่มี recovery Key  ก็มีคำแนะนำว่าให้ทำการ ทำสำเนาเก็บไว้ก่อนแล้ว ค่อยไปขอ key และ รหัสผ่านจากผู้ต้องสงสัยทีหลัง  หรือทำการกู้คืน forensic Image ลงบน  Harddisk SSD ใหม่แทน และสลับเปลี่ยน SSD ของแล็ปท็อปด้วยไดรฟ์โคลน แล้วนำรหัสผ่าน Windows และรหัสBitLocker  ที่ได้จากผู้ต้องสงสัย Login แล็ปท็อป จากนั้นทำการ Export recovery Key ออกมา แล้วนำ Key  ที่ได้ไปใส่ในเครื่อง  Forensic workstation ที่กำลังวิเคราะห์หลักฐานและถอดรหัสได้อย่างสมบูรณ์

 


 ณ จุดนี้เนื่องจากคุณมีสำเนาหลักฐานดิจิทัล forensic Image  file อยู่แล้วคุณจึงไม่ต้องยุ่งกับหลักฐานต้นฉบับบน SSD ของแล็ปท็อปเว้นแต่ว่าจำเป็นจริงๆ คุณสามารถรับ BitLocker PIN และรหัสผ่าน Windows จากผู้ต้องสงสัยของคุณได้ ขั้นตอนการทำงานของคุณดังต่อไปนี้:

1. การกู้คืนอิมเมจทางนิติวิทยาศาสตร์ใส่ในฮาร์ดดิสก์ SSD ใหม่ ("ไดรฟ์โคลน")

2. การเปลี่ยน SSD ของแล็ปท็อปด้วยไดรฟ์โคลน


3. การบูตแล็ปท็อปป้อน PIN และรหัสผ่าน Windows

4. การแยกคีย์การกู้คืน BitLocker

5. การลบ BitLocker ออกจากภาพทางนิติวิทยาศาสตร์บนเวิร์กสเตชันทางนิติวิทยาศาสตร์

6. เริ่มต้นการวิเคราะห์ของคุณจากภาพทางนิติวิทยาศาสตร์ที่ถอดรหัสอย่างสมบูรณ์

(1) นอกจากนี้ยังมีความเป็นไปได้ซึ่งรวมถึงคีย์การกู้คืน BitLocker ที่ผู้ใช้จัดเก็บไว้ในอุปกรณ์จัดเก็บข้อมูลแบบถอดได้หรือสำเนาหลักฐานดิจิทัล ( forensic Image ) หรือจัดเก็บไว้ในบัญชีออนไลน์ของ Microsoft

เปรียบเทียบค่า hash ของ Disk Image  ที่เข้ารหัสโดย BitLocker

Credit:bitlocker-for-dfir-part-iii

           How to Enable BitLocker

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud

 

No comments:

Post a Comment