Monday, March 22, 2021

How to convert an Encase (E01) image using VFC Part 1

How to convert an Encase (E01) image using VFC

 VFC (Virtual Forensic Computing)

การสร้างเครื่องเสมือนจากสำเนาหลักฐานดิจิทัล (Forensic Copy)

Virtual Forensic Computing คืออะไร?

การเข้าถึง "หลักฐานดิจิทัล" สามารถให้ประโยชน์แก่ผู้ตรวจสอบ ไม่ว่าจะเป็นการสืบสวนการฉ้อโกงการฆาตกรรม , การทารุณกรรมเด็กหรือสิ่งอื่น ๆ การมองเห็นคอมพิวเตอร์ผ่านสายตาของผู้ต้องสงสัยอาจเป็นสิ่งสำคัญ การสร้างเครื่องเสมือน (VM virtual machine) ของคอมพิวเตอร์ของผู้ต้องสงสัยเป็นวิธีง่ายๆวิธีหนึ่งในการเข้าถึงสภาพแวดล้อมของผู้ใช้ด้วยเหตุผลทางกฎหมาย เพื่อไม่ทำให้หลักฐานดิจิทัลต้นฉบับปนเปื้อนหรือโดนแก้ไข

วันนี้เรามาแนะนำเครื่องมือสร้างเครื่องเสมือนจากสำเนาหลักฐานดิจิทัล ชื่อ VFC จากบริษัท MD เป็นโปรแกรมเชิงพาณิช

สิ่งที่ต้องเตรียมสำหรับการทดสอบ

- Notebook workstation

- Forensics Image file (E01) (CF002.E01)

VFC (Virtual Forensic Computing) +Dongle

- Vmware

How to convert an Encase (E01) image using VFC
1. หลังจากทำการติดตั้งโปรแกรม Vmware +VFC และลง Drive  แล้วก็ทำการเปิดโปรแกรม  VFC ในเครื่อง notebook workstation พร้อมแล้ว

How to convert an Encase (E01) image using VFC

How to convert an Encase (E01) image using VFC

2.นำ Forensic Image file.(E01)  สำเนาหลักฐานดิจิทัลที่เก็บมาเตรียมไว้
How to convert an Encase (E01) image using VFC
3. เปิดโปรแกรม VFC (Virtual Forensic Computing)  เลือก VFC Mount
How to convert an Encase (E01) image using VFC
4. เปิดโปรแกรม VFC (Virtual Forensic Computing)  เลือก VFC Mount
How to convert an Encase (E01) image using VFC

5.ทำการเลือกคำสั่ง Mount ไปที่ไฟล์ Forensics Image file (E01) (CF002.E01)
How to convert an Encase (E01) image using VFC
เลือกคำสั่ง Mount
How to convert an Encase (E01) image using VFC
6. ทำการสร้าง VM (virtual machine ) โดยไปที่ Tab Create VM
How to convert an Encase (E01) image using VFC
7.เลือก VFCMount ที่ Mount ไว้ก่อนหน้านี้ เลือก  4 VFCMount Virtual Disk SCSI DISK Device 
How to convert an Encase (E01) image using VFC
8.ทำการเลือก Partition : Basic data partition ที่มี windows  ติดตั้งอยู่  โดยดูรายละเอียดของ OS ด้านขวาตามรูป  ตั้งชื่อ VM Name ,Virtual Disk Name
How to convert an Encase (E01) image using VFC
9.กด Make New VM เพื่อสร้าง VM (virtual machine ) และระบุตำแหน่งที่เก็บไฟล์ ตามรูป
How to convert an Encase (E01) image using VFC
10. กด Launch Now เพื่อเปิด VM (virtual machine ) ว่าสามารถทำงานได้
How to convert an Encase (E01) image using VFC
11. ทำการ reset password login เพื่อ  bypass windows login password
How to convert an Encase (E01) image using VFC
How to convert an Encase (E01) image using VFC
12. ทำการเข้าถึงเครื่องเสมือน (VM virtual machine) ของคอมพิวเตอร์ของผู้ต้องสงสัยหรือหลักฐานดิจิทัล เป็นวิธีหนึ่งในการเข้าถึงสภาพแวดล้อมของผู้ใช้โดยไม่ทำให้หลักฐานดิจิทัลต้นฉบับปนเปื้อนหรือโดนแก้ไข


Virtual Forensic Computing (VFC)
29th January 2021 by Forensic Focus


สรุป:
      - หากพบปัญหาไม่สามารถ Convert ได้ให้ ตรวจสอบการติดตั้ง โปรแกรม VFC (Virtual Forensic Computing) +Dongle +Vmware และ Update
 

 ตัวอย่าง     Case study 1 ,  Case study 2


อ่านเพิ่มเติม :Booting a forensic image in VirtualBox with FTK Imager


 หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น


* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud

at
Labels: ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)

เจาะลึก 14 Certifications ด้าน Cybersecurity

เจาะลึก 14 Certifications ด้าน Cybersecurity เจาะลึก 14 Certifications ด้าน Cybersecurity ที่น่าสนใจ! แชร์มุมมองส่วนตัวเกี่ยวกับ certificati...

  • Digital Forensics: ค่าแฮช (hash value)
    Digital Forensics: ค่าแฮช (hash value) ค่า hash คือ ค่าแฮช (hash value) คือ  เกิดจาก วิธีการที่ทำให้ข้อมูลย่อลงแต่มีลักษณะจำเพาะของข้อ...
  • Digital Forensics: Binwalk
    Digital Forensics: Binwalk       จริงๆโปรแกรมนี้ ส่วนใหญ่ มักใช้ในการแข่ง CTF  forensic เจอในโจทย์ตลอด ใครต้องแข่ง ก็ลองศึกษาดูครับมีประโ...
  • Digital Forensics: Chain of Custody
    Digital Forensics: Chain of Custody Chain of custody คือ Chain of custody คือขบวนการในการปฏิบัติงานกับพยานหลักฐาน ในกรณีของการพิสูจน์ห...