Friday, March 26, 2021

Digital Forensics:CAPTURE THE FLAG BELKADAY

Digital Forensics:CAPTURE THE FLAG BELKADAY

วันนี้มาแนะนำการแข่งขัน Belkasoft CTF  ซึ่งจัดโดยบริษัท  Belkasoft  เป็นโซลูชันด้านนิติวิทยาศาสตร์และ incident response ที่ใช้งานง่ายและมีประสิทธิภาพซึ่งช่วยลดความซับซ้อนและเร่งขั้นตอนการสืบสวนทางดิจิทัล   โดยกิจกรรมจะเปิดและปิดเป็นช่วง   March 2021

Hi, brave CTF warriors!

You can download the CTF image (7 GB) using one of these links: pass: rhpm




Flag

Anit Ghosh



Flag

Ifangstrasse 6, 8952 Schlieren, Zurich, Switzerland



Flag

Thu, 05 Nov 2020 19:21:56 UTC (the flag submission engine accepted various time formats, including the 12-hour format with 'PM' indication)


Flag

John Finney, Noelle Johnson, Rachel Corbin (any order, with or without commas, case-insensitive. First or last names only are not accepted)


Flag

add33ea905399c5063bcc3437cb5c0436a2fd6deb086bb0ec5bf886f72767242





Flag

Mark Zukko 381

  1. Then, inspect its alternative stream Zone.Identifier:

    \Users\anit.ghosh\Downloads>cat xraicommend-761263a55b8cfed4bcb8f87cbbb68beaf2ec2423.tar.gz:Zone.Identifier

    [ZoneTransfer]
    ZoneId=3
    HostUrl=http://git.pm.internal/GBringley/xraicommend/archive/761263a55b8cfed4bcb8f87cbbb68beaf2ec2423.tar.gz

Flag

http://git.pm.internal/GBringley/xraicommend/archive/761263a55b8cfed4bcb8f87cbbb68beaf2ec2423.tar.gz







Flag

+8562097771657, +8562099907377



In '\Users\anit.ghosh\AppData\Roaming\Microsoft\Windows\Recent\' there is a shortcut PHOTOS.lnk, pointing to C:\Users\anit.ghosh\Desktop\tmp\PHOTOS.7z.

Using the link https://anonfiles.com/z3jek3J2p3 you can download the PHOTOS.7z archive

root@vsi:~# sha256sum PHOTOS.7z
d96d26861e81673f7255f4e039384f77fe07f6c6e489670db6000e52c4b72113 PHOTOS.7z


Flag

48sEiGKnT5hMcZBmaDvFVg9FTdEfQByzcWSRgKDbwZHg9ELnZoto2uvHo8yqvWDztUJeHAke8E5sL9vDJGvg5fDJJtJJFdP


Belkasoft Certificate Participation

Belkasoft CTF March 2021_ Write-up



Refer: https://belkasoft.com/ctf  

           https://belkasoft.com/ctf_march/

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #CTF

at No comments:
Labels: , ,

Monday, March 22, 2021

How to convert an Encase (E01) image using VFC Part 1

How to convert an Encase (E01) image using VFC

 VFC (Virtual Forensic Computing)

การสร้างเครื่องเสมือนจากสำเนาหลักฐานดิจิทัล (Forensic Copy)

Virtual Forensic Computing คืออะไร?

การเข้าถึง "หลักฐานดิจิทัล" สามารถให้ประโยชน์แก่ผู้ตรวจสอบ ไม่ว่าจะเป็นการสืบสวนการฉ้อโกงการฆาตกรรม , การทารุณกรรมเด็กหรือสิ่งอื่น ๆ การมองเห็นคอมพิวเตอร์ผ่านสายตาของผู้ต้องสงสัยอาจเป็นสิ่งสำคัญ การสร้างเครื่องเสมือน (VM virtual machine) ของคอมพิวเตอร์ของผู้ต้องสงสัยเป็นวิธีง่ายๆวิธีหนึ่งในการเข้าถึงสภาพแวดล้อมของผู้ใช้ด้วยเหตุผลทางกฎหมาย เพื่อไม่ทำให้หลักฐานดิจิทัลต้นฉบับปนเปื้อนหรือโดนแก้ไข

วันนี้เรามาแนะนำเครื่องมือสร้างเครื่องเสมือนจากสำเนาหลักฐานดิจิทัล ชื่อ VFC จากบริษัท MD เป็นโปรแกรมเชิงพาณิช

สิ่งที่ต้องเตรียมสำหรับการทดสอบ

- Notebook workstation

- Forensics Image file (E01) (CF002.E01)

VFC (Virtual Forensic Computing) +Dongle

- Vmware

How to convert an Encase (E01) image using VFC
1. หลังจากทำการติดตั้งโปรแกรม Vmware +VFC และลง Drive  แล้วก็ทำการเปิดโปรแกรม  VFC ในเครื่อง notebook workstation พร้อมแล้ว

How to convert an Encase (E01) image using VFC

How to convert an Encase (E01) image using VFC

2.นำ Forensic Image file.(E01)  สำเนาหลักฐานดิจิทัลที่เก็บมาเตรียมไว้
How to convert an Encase (E01) image using VFC
3. เปิดโปรแกรม VFC (Virtual Forensic Computing)  เลือก VFC Mount
How to convert an Encase (E01) image using VFC
4. เปิดโปรแกรม VFC (Virtual Forensic Computing)  เลือก VFC Mount
How to convert an Encase (E01) image using VFC

5.ทำการเลือกคำสั่ง Mount ไปที่ไฟล์ Forensics Image file (E01) (CF002.E01)
How to convert an Encase (E01) image using VFC
เลือกคำสั่ง Mount
How to convert an Encase (E01) image using VFC
6. ทำการสร้าง VM (virtual machine ) โดยไปที่ Tab Create VM
How to convert an Encase (E01) image using VFC
7.เลือก VFCMount ที่ Mount ไว้ก่อนหน้านี้ เลือก  4 VFCMount Virtual Disk SCSI DISK Device 
How to convert an Encase (E01) image using VFC
8.ทำการเลือก Partition : Basic data partition ที่มี windows  ติดตั้งอยู่  โดยดูรายละเอียดของ OS ด้านขวาตามรูป  ตั้งชื่อ VM Name ,Virtual Disk Name
How to convert an Encase (E01) image using VFC
9.กด Make New VM เพื่อสร้าง VM (virtual machine ) และระบุตำแหน่งที่เก็บไฟล์ ตามรูป
How to convert an Encase (E01) image using VFC
10. กด Launch Now เพื่อเปิด VM (virtual machine ) ว่าสามารถทำงานได้
How to convert an Encase (E01) image using VFC
11. ทำการ reset password login เพื่อ  bypass windows login password
How to convert an Encase (E01) image using VFC
How to convert an Encase (E01) image using VFC
12. ทำการเข้าถึงเครื่องเสมือน (VM virtual machine) ของคอมพิวเตอร์ของผู้ต้องสงสัยหรือหลักฐานดิจิทัล เป็นวิธีหนึ่งในการเข้าถึงสภาพแวดล้อมของผู้ใช้โดยไม่ทำให้หลักฐานดิจิทัลต้นฉบับปนเปื้อนหรือโดนแก้ไข


Virtual Forensic Computing (VFC)
29th January 2021 by Forensic Focus


สรุป:
      - หากพบปัญหาไม่สามารถ Convert ได้ให้ ตรวจสอบการติดตั้ง โปรแกรม VFC (Virtual Forensic Computing) +Dongle +Vmware และ Update
 

 ตัวอย่าง     Case study 1 ,  Case study 2


อ่านเพิ่มเติม :Booting a forensic image in VirtualBox with FTK Imager


 หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น


* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud

at No comments:
Labels: ,

Saturday, March 20, 2021

DIGITAL FORENSICS:การรับฟังข้อมูลอิเล็กทรอนิกส์เป็นพยานหลักฐาน

DIGITAL FORENSICS:การรับฟังข้อมูลอิเล็กทรอนิกส์เป็นพยานหลักฐาน

การรับฟังข้อมูลอิเล็กทรอนิกส์เป็นพยานหลักฐาน

Photo by :สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA)

กฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ ม.11

มาตรา 11 ห้ามมิให้ปฏิเสธการรับฟังข้อมูลอิเล็กทรอนิกส์เป็นพยานหลักฐาน ในกระบวนการพิจารณาตามกฎหมายเพียงเพราะ เหตุว่าเป็นข้อมูลอิเล็กทรอนิกส์ในการชั่งน้ำหนักพยานหลักฐานว่าข้อมูลอิเล็กทรอนิกส์จะเชื่อถือได้หรือไม่เพียงใดนั้น ให้พิเคราะห์ถึงความน่าเชื่อถือของลักษณะหรือ วิธีการที่ใช้สร้าง เก็บรักษา หรือสื่อสารข้อมูลอิเล็กทรอนิกส์ ลักษณะ หรือวิธีการรักษา ความครบถ้วน และไม่มีการเปลี่ยนแปลงของข้อความ ลักษณะหรือวิธีการ ที่ใช้ในการระบุหรือแสดงตัวผู้ส่งข้อมูล รวมทั้งพฤติการณ์ที่เกี่ยวข้องทั้งปวง

 

ความน่าเชื่อถือของพยานหลักฐานพิจารณาจาก

คำพิพากษาศาลฎีกาที่ 8089/2556


คำพิพากษาศาลฎีกาที่ 6757/2560

การรับฟังข้อมูลอิเล็กทรอนิกส์เป็นพยานหลักฐาน ศาลฎีกา ก็มีคำพิพากษารองรับชัดเจนว่า ลายมือชื่ออิเล็กทรอนิกส์ เขียนไว้ในกฎหมายและใช้ได้จริง ๆ สามารถนำลายมือชื่ออิเล็กทรอนิกส์ ไปบังคับคดีในศาลได้

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD



 

at No comments:
Labels: ,

Monday, March 15, 2021

DIGITAL FORENSICS:How to Wipe a USB flash drive

DIGITAL FORENSICS:How to Wipe a USB flash drive

WIPE Part IV 

Disk Wiping Software with PALADIN Forensic


 Wipe Tool  step by step

1. Digital Forensics Laptop Workstation 
2. PALADIN EDGE 64 (Version 8.01) USB boot
3. Datatraveler flash drive 16 GB (For Wipe)
4. Autopsy 4.15

PALADIN Toolbox - Preparing Media - Sterilize (Wiping)

PALADIN Toolbox sterilizes media by writing “zeros” to the entire device with a single

pass. Toolbox gives you the option to perform a verification to ensure that the drive only

consists of zeros. Most tools tend to hash the drive with a CRC-64 algorithm which will

return a result of zero if properly wiped. Any algorithm takes time to calculate.



Booting PALADIN  USB on a Computer. > Forensic Mode


To sterilize a drive navigate to the Disk Manager tab, highlight the physical drive that you

want to sterilize and click “Wipe”.

Once you have clicked “Wipe” Toolbox will ask you if you are sure ... ONCE!

write zeros across the entire drive in a single pass. A new Verify after Wipe

PALADIN Toolbox will then ask if you would like to “Verify” the Wipe.

“Device Wiped successfully” message appears after
successful verification. The device is now ready for
formatting if desired.

Log write zeros to hard drive 
 The command used is dc3dd wipe=/dev/sdcdevice




หมายเหตุ: เลือก path  บันทึก wipe log 

Preview files and folders on local Physical drives with FTK Imager.

WIPE คืออะไร , มาตรฐาน DoD คืออะไร

สรุป  

     - PALADIN EDGE มีคำสั่งในการ wipe  ข้อมูลได้

     -เมื่อ wipe  hard disk  แล้วมี log เก็บไว้

Freeware Disk Wiping Software

  • Active@Killdisk www.killdisk.com
  • Darik's Nuke and Boot www.dban.org
  • Eraser www.heidi.ie/eraser

Refer:

https://sumuri.com/product/paladin-edge-64-bit/

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

at No comments:
Labels: ,
Subscribe to: Posts (Atom)

DIGITAL FORENSICS: BINWALK CTF

 DIGITAL FORENSICS: BINWALK CTF วันนี้แอดมาแนะนำหลักสูตร ด้านความมั่นคงปลอดภัยไซเบอร์ (Basic Cyber security) สำหรับผู้เริ่มต้นศึกษามี Lab ให...

  • Digital Forensics: ค่าแฮช (hash value)
    Digital Forensics: ค่าแฮช (hash value) ค่า hash คือ ค่าแฮช (hash value) คือ  เกิดจาก วิธีการที่ทำให้ข้อมูลย่อลงแต่มีลักษณะจำเพาะของข้อ...
  • Digital Forensics: Chain of Custody
    Digital Forensics: Chain of Custody Chain of custody คือ Chain of custody คือขบวนการในการปฏิบัติงานกับพยานหลักฐาน ในกรณีของการพิสูจน์ห...
  • Digital Forensics:Digital Forensic คือ
    Digital Forensics: Digital Forensic คือ What is Digital Forensics ?  What is Digital Forensics การพิสูจน์หลักฐานทางดิจิทัล...