Friday, March 26, 2021

Digital Forensics:CAPTURE THE FLAG BELKADAY

Digital Forensics:CAPTURE THE FLAG BELKADAY

วันนี้มาแนะนำการแข่งขัน Belkasoft CTF  ซึ่งจัดโดยบริษัท  Belkasoft  เป็นโซลูชันด้านนิติวิทยาศาสตร์และ incident response ที่ใช้งานง่ายและมีประสิทธิภาพซึ่งช่วยลดความซับซ้อนและเร่งขั้นตอนการสืบสวนทางดิจิทัล   โดยกิจกรรมจะเปิดและปิดเป็นช่วง   March 2021

Hi, brave CTF warriors!

You can download the CTF image (7 GB) using one of these links: pass: rhpm




Flag

Anit Ghosh



Flag

Ifangstrasse 6, 8952 Schlieren, Zurich, Switzerland



Flag

Thu, 05 Nov 2020 19:21:56 UTC (the flag submission engine accepted various time formats, including the 12-hour format with 'PM' indication)


Flag

John Finney, Noelle Johnson, Rachel Corbin (any order, with or without commas, case-insensitive. First or last names only are not accepted)


Flag

add33ea905399c5063bcc3437cb5c0436a2fd6deb086bb0ec5bf886f72767242





Flag

Mark Zukko 381

  1. Then, inspect its alternative stream Zone.Identifier:

    \Users\anit.ghosh\Downloads>cat xraicommend-761263a55b8cfed4bcb8f87cbbb68beaf2ec2423.tar.gz:Zone.Identifier

    [ZoneTransfer]
    ZoneId=3
    HostUrl=http://git.pm.internal/GBringley/xraicommend/archive/761263a55b8cfed4bcb8f87cbbb68beaf2ec2423.tar.gz

Flag

http://git.pm.internal/GBringley/xraicommend/archive/761263a55b8cfed4bcb8f87cbbb68beaf2ec2423.tar.gz







Flag

+8562097771657, +8562099907377



In '\Users\anit.ghosh\AppData\Roaming\Microsoft\Windows\Recent\' there is a shortcut PHOTOS.lnk, pointing to C:\Users\anit.ghosh\Desktop\tmp\PHOTOS.7z.

Using the link https://anonfiles.com/z3jek3J2p3 you can download the PHOTOS.7z archive

root@vsi:~# sha256sum PHOTOS.7z
d96d26861e81673f7255f4e039384f77fe07f6c6e489670db6000e52c4b72113 PHOTOS.7z


Flag

48sEiGKnT5hMcZBmaDvFVg9FTdEfQByzcWSRgKDbwZHg9ELnZoto2uvHo8yqvWDztUJeHAke8E5sL9vDJGvg5fDJJtJJFdP


Belkasoft Certificate Participation

Belkasoft CTF March 2021_ Write-up



Refer: https://belkasoft.com/ctf  

           https://belkasoft.com/ctf_march/

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #CTF

Monday, March 22, 2021

How to convert an Encase (E01) image using VFC Part 1

How to convert an Encase (E01) image using VFC

 VFC (Virtual Forensic Computing)

การสร้างเครื่องเสมือนจากสำเนาหลักฐานดิจิทัล (Forensic Copy)

Virtual Forensic Computing คืออะไร?

การเข้าถึง "หลักฐานดิจิทัล" สามารถให้ประโยชน์แก่ผู้ตรวจสอบ ไม่ว่าจะเป็นการสืบสวนการฉ้อโกงการฆาตกรรม , การทารุณกรรมเด็กหรือสิ่งอื่น ๆ การมองเห็นคอมพิวเตอร์ผ่านสายตาของผู้ต้องสงสัยอาจเป็นสิ่งสำคัญ การสร้างเครื่องเสมือน (VM virtual machine) ของคอมพิวเตอร์ของผู้ต้องสงสัยเป็นวิธีง่ายๆวิธีหนึ่งในการเข้าถึงสภาพแวดล้อมของผู้ใช้ด้วยเหตุผลทางกฎหมาย เพื่อไม่ทำให้หลักฐานดิจิทัลต้นฉบับปนเปื้อนหรือโดนแก้ไข

วันนี้เรามาแนะนำเครื่องมือสร้างเครื่องเสมือนจากสำเนาหลักฐานดิจิทัล ชื่อ VFC จากบริษัท MD เป็นโปรแกรมเชิงพาณิช

สิ่งที่ต้องเตรียมสำหรับการทดสอบ

- Notebook workstation

- Forensics Image file (E01) (CF002.E01)

VFC (Virtual Forensic Computing) +Dongle

- Vmware

How to convert an Encase (E01) image using VFC
1. หลังจากทำการติดตั้งโปรแกรม Vmware +VFC และลง Drive  แล้วก็ทำการเปิดโปรแกรม  VFC ในเครื่อง notebook workstation พร้อมแล้ว

How to convert an Encase (E01) image using VFC

How to convert an Encase (E01) image using VFC

2.นำ Forensic Image file.(E01)  สำเนาหลักฐานดิจิทัลที่เก็บมาเตรียมไว้
How to convert an Encase (E01) image using VFC
3. เปิดโปรแกรม 
VFC (Virtual Forensic Computing)  เลือก VFC Mount
How to convert an Encase (E01) image using VFC
4. เปิดโปรแกรม VFC (Virtual Forensic Computing)  เลือก VFC Mount
How to convert an Encase (E01) image using VFC

5.ทำการเลือกคำสั่ง Mount ไปที่ไฟล์ Forensics Image file (E01) (CF002.E01)
How to convert an Encase (E01) image using VFC
เลือกคำสั่ง Mount
How to convert an Encase (E01) image using VFC
6. ทำการสร้าง VM (virtual machine ) โดยไปที่ Tab Create VM
How to convert an Encase (E01) image using VFC
7.เลือก VFCMount ที่ Mount ไว้ก่อนหน้านี้ เลือก  4 VFCMount Virtual Disk SCSI DISK Device 
How to convert an Encase (E01) image using VFC
8.ทำการเลือก Partition : Basic data partition ที่มี windows  ติดตั้งอยู่  โดยดูรายละเอียดของ OS ด้านขวาตามรูป  ตั้งชื่อ VM Name ,Virtual Disk Name
How to convert an Encase (E01) image using VFC
9.กด Make New VM เพื่อสร้าง VM (virtual machine ) และระบุตำแหน่งที่เก็บไฟล์ ตามรูป
How to convert an Encase (E01) image using VFC
10. กด Launch Now เพื่อเปิด VM (virtual machine ) ว่าสามารถทำงานได้
How to convert an Encase (E01) image using VFC
11. ทำการ reset password login เพื่อ  bypass windows login password
How to convert an Encase (E01) image using VFC
How to convert an Encase (E01) image using VFC
12. ทำการเข้าถึงเครื่องเสมือน (VM virtual machine) ของคอมพิวเตอร์ของผู้ต้องสงสัยหรือหลักฐานดิจิทัล เป็นวิธีหนึ่งในการเข้าถึงสภาพแวดล้อมของผู้ใช้โดยไม่ทำให้หลักฐานดิจิทัลต้นฉบับปนเปื้อนหรือโดนแก้ไข


Virtual Forensic Computing (VFC)
29th January 2021 by Forensic Focus


สรุป:
      - หากพบปัญหาไม่สามารถ Convert ได้ให้ ตรวจสอบการติดตั้ง โปรแกรม VFC (Virtual Forensic Computing) +Dongle +Vmware และ Update
 

 ตัวอย่าง     Case study 1 ,  Case study 2


อ่านเพิ่มเติม :Booting a forensic image in VirtualBox with FTK Imager


 หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น


* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud

Saturday, March 20, 2021

DIGITAL FORENSICS:การรับฟังข้อมูลอิเล็กทรอนิกส์เป็นพยานหลักฐาน

DIGITAL FORENSICS:การรับฟังข้อมูลอิเล็กทรอนิกส์เป็นพยานหลักฐาน

การรับฟังข้อมูลอิเล็กทรอนิกส์เป็นพยานหลักฐาน

Photo by :สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA)

กฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ ม.11

มาตรา 11 ห้ามมิให้ปฏิเสธการรับฟังข้อมูลอิเล็กทรอนิกส์เป็นพยานหลักฐาน ในกระบวนการพิจารณาตามกฎหมายเพียงเพราะ เหตุว่าเป็นข้อมูลอิเล็กทรอนิกส์ในการชั่งน้ำหนักพยานหลักฐานว่าข้อมูลอิเล็กทรอนิกส์จะเชื่อถือได้หรือไม่เพียงใดนั้น ให้พิเคราะห์ถึงความน่าเชื่อถือของลักษณะหรือ วิธีการที่ใช้สร้าง เก็บรักษา หรือสื่อสารข้อมูลอิเล็กทรอนิกส์ ลักษณะ หรือวิธีการรักษา ความครบถ้วน และไม่มีการเปลี่ยนแปลงของข้อความ ลักษณะหรือวิธีการ ที่ใช้ในการระบุหรือแสดงตัวผู้ส่งข้อมูล รวมทั้งพฤติการณ์ที่เกี่ยวข้องทั้งปวง

ความน่าเชื่อถือของพยานหลักฐานพิจารณาจาก

คำพิพากษาศาลฎีกาที่ 8089/2556


คำพิพากษาศาลฎีกาที่ 6757/2560

การรับฟังข้อมูลอิเล็กทรอนิกส์เป็นพยานหลักฐาน ศาลฎีกา ก็มีคำพิพากษารองรับชัดเจนว่า ลายมือชื่ออิเล็กทรอนิกส์ เขียนไว้ในกฎหมายและใช้ได้จริง ๆ สามารถนำลายมือชื่ออิเล็กทรอนิกส์ ไปบังคับคดีในศาลได้

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD