Thursday, September 30, 2021

Digital Forensics:Replace Battery Tableau Forensic Duplicator - TD2

Digital Forensics:Replace Battery Tableau Forensic Duplicator - TD2

Battery Replacement The TD2 has a built-in real-time clock (RTC) with a battery backup.  The battery will allow the TD2 to keep time accurately for 1 to 1 ½ years when power is not applied to the unit.  If you use your TD2 frequently and the TD2 power switch is ON, then battery life may be extended. The battery is a user-serviceable item, and the TD2 will display a warning message after power-ON if the battery is low.  The following sections illustrate the replacement of the TD2 battery

Replacing the Battery It is necessary to open the TD2u case in order to replace the battery.You need a#1Phillips screw driver to open theTD2u case and a small flat blade screw driver to remove the battery. The following procedure provides the steps for replacing the battery.

1.Disconnect all the power supply and all cables from the TD2u before opening theTD2u case. Never connect the power supply or operate the TD2u when the case is open.

2.Afterdisconnectingthepowersupplyandallcables,turntheTD2uupsidedownonacleanworksurface.

3.Remove  the four screws and set them aside.The following photograph shows the location of the four case screws.

Using the flat-blade screw driver, pry the battery gently from the battery holder.

Using a compatible battery,replace the RTC backup battery,making sure that the positive terminal of the battery is facing upward.For a list of compatible batteries
After replacing the battery, reattach the case
  • Care fully place the bottom plastic section of the enclosure straight down on top of the PCB,while aligning the screw opening swith the appropriate connectors on the PCB
  • Ensure that the case and main circuit board are aligned and replace the four case screws.The four screws that hold theTD2u case together also secure the main circuit board.
  • Afterreplacingthefourcasescrews,inspecttheTD2uanddeterminewhetherthecaseistightlysecured.72TableauTD2uUserGuideVersion1.2.0

Testing the New Battery
After  you have securely fastened the TD2u'scase,return it to its normal upright position and attach just theTP5 power supply.Turn theTD2u on and observe the start upsequence.You should not see a battery warning dialog,but you will probably see a date/time warning to reset the RTC.

To reset the date/time,fromtheTD2u Main menu,select System Settings>Set Date and Time(Menu). For detailed information about setting the date and time,see System Settings(Menu) 

After resetting the date/time,turn theTD2u Off,wait two minutes,and turn theTD2u ON. The date/time,located in the upper left corner of the Main menu,should be correct.



Credit:forensic-duplicator-2u-user-guide

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

Monday, September 27, 2021

Mobile Forensics:How to Extract Evidence From HUAWEI Devices

Mobile Forensics:How to Extract Evidence From HUAWEI Devices

Mobile Forensics:How to Extract Evidence From Samsung Devices

วันนี้มาทดสอบการดึงข้อมูลออกจาก โทรศัพท์ HUAWEI Y7 Pro 2019  โดยใช้ Cellebrite UFED  Version: 7.5.1.850

Forensic Imaging & DATA Extraction

Cellebrite ผู้ผลิต Universal Forensic Extraction Device (UFED) อุปกรณ์ดึงข้อมูลจากอุปกรณ์เคลื่อนที่เช่นโทรศัพท์เคลื่อนที่และแท็บเล็ต

Forensic Imaging & DATA Extraction
Forensic Imaging & DATA Extraction
Forensic Imaging & DATA Extraction
เราสามารถเลือก Auto detect  เพื่อให้ Cellebrite ค้นหารุ่นของโทรศัพท์โดยอัตโนมัติ
Forensic Imaging & DATA Extraction

Forensic Imaging & DATA Extraction
Forensic Imaging & DATA Extraction
Forensic Imaging & DATA Extraction

Forensic Imaging & DATA Extraction

Mobile Forensics

Mobile Forensics
ทำการดึงข้อมูลเสร็จสิ้น
Mobile Forensics

ที่มา:https://www.cellebrite.com 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud

Digital Forensics:Windows Artifacts Jump list(Part II)

 Digital Forensics:Windows Artifacts Jump list (Part II) 

Forensic artifacts are the forensic objects that have some forensic value. Any object that contains some data or evidence of something that has occurred like logs, register, hives, and many more. In this section, we will be going through some of the forensic artifacts that a forensic investigator look for while performing a Forensic analysis in Windows.


สิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ ที่มีค่าทางนิติวิทยาศาสตร์บางอย่าง  เช่น  ข้อมูลหรือหลักฐานบางอย่างที่เกิดขึ้น เช่น บันทึก  (event log )  , ค่า Windows Registry  และอื่นๆ อีกมากมาย ในส่วนนี้ เราจะพูดถึงสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ที่ผู้ตรวจสอบพิสูจน์หลักฐานทางดิจิทัลมองหาขณะทำการวิเคราะห์หลักฐานดิจิทัลใน Windows เช่น ข้อมูลใน  Recycle Bin ,Metadata , LNK FilesJump ListsPrefetch Files ,Remote Desktop Protocol Cache

Jump Lists เป็นคุณสมบัติใหม่เปิดตัวในเดือนกรกฎาคม 2009 ด้วยการเปิดตัว Windows 7 และ มีในเวอร์ชันของ Windows   10  

Jump list   ถูกสร้างโดยระบบปฏิบัติการดังนั้น  ผู้ใช้สามารถ “Jump” ได้โดยตรงไปยังไฟล์ (files)(ที่เพิ่งเปิดล่าสุดและโฟลเดอร์ (folders)    ในส่วน Start หรือ Taskbar ข้อมูลที่บันทึกไว้  และแสดงจำนวนรายการที่เคยเรียกใช้

Jump Lists ทำหน้าที่เก็บรายการ การเข้าถึงไฟล์และโฟลเดอร์ล่าสุดที่เราเรียกเปิดโปรแกรมต่างๆ มาว่าจะเป็นไฟล์เอกสาร ไฟล์เพลง ไฟล์วิดีโอ หรือไฟล์อื่นๆ เราเพียงคลิกขวาที่ไอคอน Windows Explorer ที่ Taskbar ก็จะเห็นรายการไฟล์ที่เรียกใช้  สามารถให้ข้อมูลประวัติผู้ใช้ หรือแอปพลิเคชัน ชื่อไฟล์ เส้นทางของไฟล์ MAC (แก้ไข เข้าถึง และสร้าง) Jump list เหล่านี้ยังคงอยู่แม้หลังจากไฟล์และเป้าหมาย แอปพลิเคชันจะถูกลบออกจากระบบแล้ว

Jump List

เป็นรายชื่อของรายการที่ถูกเปิดใช้งานล่าสุด เช่น ไฟล์ โฟลเดอร์ หรือเว็บไซต์ เมื่อคลิกขวาที่โปรแกรมไมโครซอฟท์พาวเวอร์พอยต์ (MS PowerPoint) บนแถบแสดงกำรทำงานของโปรแกรม (Taskbar) จะปรากฏชื่อไฟล์ MS PowerPoint ที่เคยเปิดใช้งานล่าสุด

ตำแหน่งของ  JUMP LISTS

%systemdrive%\Users\%username%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations

มาทดสอบและค้นหาข้อมูลที่ได้จาก JUMP LISTS

เมื่อมีการเปิด App ไฟล์ชื่ออะไรบ้าง
  1. ยกตัวอย่าง เปิดโปรแกรม  Microsoft Paint  มีประวัติอะไรบ้าง  หรือเปิดไฟล์อะไรบ้าง


Paint recent Pictures

Windows Artifacts Jump list


2.Recent Items บอกที่อยู่ของไฟล์

Windows Artifacts Jump list

Jump Lists Folders


The jump lists information is stored under the following folders:


C:\Users\[User Profile]\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations

C:\Users\[User Profile]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations



ตัวอย่าง
1.ทำการสร้างไฟล์รูป และบันทึกบนโฟล์เดอร์  "C:\Users\.....\Download\Location of automaticDestinations-ms files in Windows.jpg"

2.สังเกตุใน Path Location   %systemdrive%\Users\%username%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations

   

Windows Artifacts Jump list


ตรวจสอบ Jumplist  ให้คลิกขวาที่ไอคอน Microsoft Paint ที่ Taskbar ?จะมีรายการไฟล์ที่เคยเปิดแสดงออกมา


3.ใช้โปรแกรม  Jump list explorer By Eric Zimmerman Freeware  

การค้นหา ตำแหน่งของ  JUMP LIST โดยใช้ Browser 


Windows Artifacts Jump list
:Windows Artifacts Jump list(

ทำการ copy  path ไปเปิดใน  Jump list explorer

Windows Artifacts Jump list

AppId := 12dc1ea8e34b5a6
AppId Description:  คือ Microsoft Paint 6.1
Lnk File Count :1538
จะเห็นได้ว่ามีการใช้โปรแกรม Microsoft Paint เปิดไฟล์รูปภาพหลายครั้ง โดยสังเกตุจากชื่อไฟล์

Windows Artifacts Jump list


Windows Artifacts Jump list


JumpListsView เป็นฟรีโปรแกรมที่ใช้สำหรับเปิดดูประวัติรายการที่ถูกเปิดใช้งานล่าสุด เช่น ไฟล์ โฟลเดอร์ หรือ เว็บไซต์


4. ใช้โปรแกรม jump list view  by Nir Soft เปิด

JumpListsView is a simple tool that displays the information stored by the 'Jump Lists' feature of Windows 7 and Windows 8. For every record found in the Jump Lists, 


Windows Artifacts Jump list

Application Id = 12dc1ea8e34b5a06 
Application name  ไม่แสดงชื่อโปรแกรม
จะเห็นได้ว่ามีการใช้ AppId นี้เปิดไฟล์รูปภาพหลายครั้ง โดยสังเกตุจากชื่อไฟล์

Windows Artifacts Jump list


Windows Artifacts Jump list


5.เปิดไฟล์รูป แก้ไขเอกสาร สังเกต Date & Time    ใน Path Location


Location: C:\Users\......\Downloads\Jumplist Location of automaticDestinations-ms files in Windows.jpg


‎Created, ‎September ‎27, ‎2021, ‏‎4:04:22 PM
‎Modified, ‎September ‎27, ‎2021, ‏‎4:49:38 PM
‎Accessed, ‎September ‎27, ‎2021, ‏‎4:49:38 PM

Windows Artifacts Jump list


Location: C:\Users\......\AppData\Roaming\Microsoft\Windows\Recent         Shortcut (.lnk)

Windows Artifacts Jump list
‎Created, ,   ‎September ‎27, ‎2021, ‏‎4:04:23 PM
Modified, ‎   September ‎28, ‎2021
‎Accessed, ‎‎ September ‎28, ‎2021

Location: C:\Users\.....\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\12dc1ea8e34b5a6.automaticDestinations-ms

Windows Artifacts Jump list
‎Created, ,  ‎  March ‎5, ‎2019, ‏‎5:09:00 PM
Modified, ‎   ‎ September ‎28, ‎2021
‎Accessed, ‎‎  ‎March ‎5, ‎2019, ‏‎5:09:00 PM



อ่านเพิ่มเติม : jump-list 

                        Windows 10 Jump List and Link File Artifacts - Saved, Copied and Moved


ที่มา :A forensic insight into Windows 10 Jump Lists Bhupendra Singh  , Upasna Singh

        

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud

Wednesday, September 22, 2021

Digital Forensics:กระบวนการนิติวิทยาศาสตร์ทางดิจิทัล

Digital Forensics:กระบวนการนิติวิทยาศาสตร์ทางดิจิทัล

 

    กระบวนการนิติวิทยาศาสตร์ทางดิจิทัล เป็นที่สนใจมากขึ้น เหตุจากช่วงที่ผ่านมามีเหตุการณ์ต่างๆ เกิดขึ้นกับระบบโครงสร้างพื้นฐานและระบบเครือข่ายของหน่วยงาน องค์กรทางภาครัฐและเอกชน

 

บทความโดย... รศ.ดร.พงษ์พิสิฐ วุฒิดิษฐโชติ และ เกียรติศักดิ์ จันทร์ลอย 
ภาควิชาการสื่อสารข้อมูลและเครือข่าย คณะเทคโนโลยีสารสนเทศและนวัตกรรมดิจิทัล มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าพระนครเหนือ

ปัญหาเหตุการณ์ด้านความมั่นคงปลอดภัยที่เกิดขึ้น เช่น ระบบโครงสร้างพื้นฐานหยุดทำงานจากการถูกการโจมตี หรือเหตุการณ์ข้อมูลสารสนเทศสำคัญทางการแพทย์รั่วไหล รวมถึงการที่ข้อมูลลูกค้าของภาคธุรกิจการถูกจารกรรม 

จากเหตุการณ์ที่เกิด ย่อมทำให้หน่วยงานภาครัฐและภาคธุรกิจมีความกังวลและมีความตื่นตัวเกิดขึ้น โดยการเตรียมแผน (Plan) นโยบาย (Policy) กระบวนการ (Process) การให้ความรู้ (Awareness) รวมถึงเทคโนโลยี (Technology) ต่าง ๆ ที่นำมาประยุกต์ใช้ในการรับมือและตอบสนองต่อเหตุการณ์ผิดปกติ ภัยคุกคามต่าง ๆ ที่เกิดขึ้น 


    ที่ผ่านมาทุกส่วนงานต่าง ๆ มุ่งเน้นกระบวนการทางด้านการตอบสนองต่อเหตุการณ์ฉุกเฉินที่เกิดขึ้น สำหรับบริหารความเสี่ยงและผลกระทบที่เกิดขึ้น ซึ่งนอกจากกระบวนการในการตอบสนองต่อเหตุการณ์ต่าง ๆ (Incident Response) แล้ว ยังมีอีกหนึ่งกระบวนการที่สำคัญซึ่งโดยทั่วไปเรียกว่า “กระบวนการพิสูจน์หลักฐานทางด้านดิจิทัล” (Digital Forensics Investigation) ซึ่งเป็นกระบวนการที่ใช้สำหรับหาตัวผู้กระทำความผิดหรือใช้สำหรับเก็บรวมรวบ ข้อมูล หลักฐานต่าง ๆ ที่อาจเกี่ยวข้องกับคดีความหรือการฟ้องร้องต่าง ๆ ที่เกิดขึ้น หลังจากเหตุการณ์การจารกรรมข้อมูล ภัยคุกคาม หรือข้อมูลสำคัญรั่วไหล 


    ISO (International Organization for Standardization) ได้กำหนดมาตรฐานสากล ISO/IEC 27037:2012 Information technology-Security techniques-Guidelines for identification, collection, acquisition, and preservation of digital evidence  ที่เกี่ยวกับหลักการด้าน “กระบวนการจัดการข้อมูลหลักฐานดิจิทัล” ซึ่งประกอบไปด้วยองค์ประกอบ 4 ส่วนดังนี้

หลักฐานดิจิทัล” หมายถึง ข้อมูลใด ๆ ที่เกิดขึ้นจากอุปกรณ์ดิจิทัล หรือถูกสร้างขึ้นด้วยวิธีการ กระบวนการที่ได้รับการรับรองตามหลักการสากล สำหรับนำเสนอหรือใช้งานเหตุการณ์ที่มีคดีความ ให้สามารถใช้นำเสนอเป็นหลักฐานในชั้นศาล เพื่อรับฟังเป็นพยานหลักฐานในศาลที่มีเขตอำนาจได้ มาตรฐานจะหลีกเลี่ยงการใช้คำศัพท์เฉพาะเขตอำนาจศาลใดศาลหนึ่ง และจะไม่ครอบคลุมถึงการวิเคราะห์หลักฐานดิจิทัลหรือการยอมรับหรือการชั่งน้ำหนักพยานหลักฐาน และความเกี่ยวข้อง ฯลฯ นอกจากนี้ ยังไม่กำหนดให้ใช้เครื่องมือหรือวิธีการเฉพาะ

รูปที่ 1 กระบวนการจัดการข้อมูลหลักฐาน
ภาพจาก A Novel Process Framework for Digital Forensics Tools: Based on ISO/IEC 27037:2012, โดย Da-Yu Kao, Guan-Jie Wu and Ying-Hsuan Chiu

 


ท่านสามารถอ่านฉบับเต็มได้ที่ link ด้านล่าง



อ่านเพิ่มเติม


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud #กระบวนการพิสูจน์หลักฐานทางด้านดิจิทัล

 

Friday, September 17, 2021

Digital Forensics:พยานผู้เชี่ยวชาญของศาลยุติธรรม(Court's expert witness)

Digital Forensics:พยานผู้เชี่ยวชาญของศาลยุติธรรม

ผู้เชี่ยวชาญของศาลยุติธรรม หมายถึงผู้เชี่ยวชาญของศาลยุติธรรม หมายถึง บุคคลที่ศาลมีคำสั่งแต่งตั้ง โดยที่ศาลเห็นสมควร หรือโดยที่คู่ความฝ่ายใดฝ่ายหนึ่งร้องขอเพื่อจะ ตรวจบุคคล วัตถุ สถานที่ โดยใช้หลักการทางการพิสูจน์ทาง วิทยาศาสตร์ต่าง ๆ หรือการให้ความเห็นจากความช านาญจาก ประสบการณ์ของผู้เชี่ยวชาญ โดยที่ความเห็นที่ได้จากผู้เชี่ยวชาญ ของศาลยุติธรรมนั้น  จะเป็นประโยชน์ในการพิจารณาพิพากษาคดี ของศาลยุติธรรม


พยานผู้เชี่ยวชาญของศาลยุติธรรม

พยานผู้เชี่ยวชาญของศาลยุติธรรม

พยานผู้เชี่ยวชาญของศาลยุติธรรม

 การพัฒนาระบบพยานผู้เชี่ยวชาญของศาลยุติธรรม:การขึ้นทะเบียนและข้อบังคับที่เกี่ยวข้อง





อ้างอิง:  โครงการเผยแพร่ความรู้ทางด้านกฎหมายและการพิจารณาพิพากษาคดีของข้าราชการฝ่ายตุลาการศาลยุติธรรม เรื่อง "การพัฒนาระบบพยานผู้เชี่ยวชาญของศาลยุติธรรม:การขึ้นทะเบียนและข้อบังคับที่เกี่ยวข้อง"

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

DIGITAL FORENSICS:WINDOWS.EDB

DIGITAL FORENSICS:Windows.edb

Windows.edb เป็นไฟล์ฐานข้อมูลของบริการ Windows Search ซึ่งจะมีการจัดทำดัชนีเนื้อหาและผลการค้นหาสำหรับไฟล์อีเมลและเนื้อหาอื่น ๆ ตามค่าเริ่มต้น Windows 10/8 จะจัดทำดัชนีเอกสาร สำหรับการค้นหาที่รวดเร็วขึ้น ด้วยเหตุนี้ข้อมูลทั้งหมดที่เกี่ยวข้องกับดัชนีจะถูกเก็บไว้ในไฟล์ Windows.edb

 Windows.edb file location



C:\ProgramData\Microsoft\Search\Data\Applications\Windows


What data exists in Windows.edb? :


 - Outlook Mail Data (Time ,Contents)

 - Internet History (URLs, Last visit time)

 - Lnk list

 - Network Drive (When adding offline)

 - Favorites

 - File, Folder Information 

 - Activity History  (Recently used programs


OSForensics™ includes an ESE database (ESEDB) viewer for databases stored in the Extensible Storage Engine (ESE) file format, including the new Win10 database structure. The ESEDB format, in particular, is used by several Microsoft applications that store data with potential forensics value, including the following:

The ESE DB Viewer is capable of displaying thumbnails stored in the following files:

  • Windows (Desktop) Search
  • Windows Live Mail
  • Microsoft Exchange Server
  • Internet Explorer


ในทางการพิสูจน์หลักฐานผู้สืบสวนควรศึกษาวิธีการและเครื่องมือที่ใช้งานเพื่อประโยชน์ในการค้นหาหลักฐาน

1. สิ่งที่ต้องเตรียมในการทดสอบโดย ESE DB Viewer

  • OSforensics V.7 
  • FTK Imager
  • windows.edb
  • WinsearchDBAnalyzer
  • Keword:  "OtterCTF  Memory Forensics strings"  OtterCTF  Memory Forensics strings.jpg

ใน lab นี้เราจะทำการค้นหาไฟล์ OtterCTF  Memory Forensics strings.jpg ว่าเมื่อถูกลบไปแล้วจะพบร่องรอยอะไรบ้าง โดยค้นหาใน windows.edb


1.1 ใช้ FTK Imager Export windows.edb ออกมา

1.2 ใช้ OSforensics เลือก  ESE DB Viewer และเลือกไฟล์ windows.edb  ที่เตรียมไว้

1.3 ค้นหาโดยใช้ Keyword "OtterCTF  Memory Forensics strings"

System_DateCreated Wednesday, August 25, 2021, 16:22:33
พบว่าใน windows ไฟล์ถูกสร้างขึ้น August 25, 2021, 4:22 PM 
พบว่า Timestamp ของไฟล์ถูกสร้างขึ้น August 25, 2021, 4:22 PM
1.4 ใช้ ESE DB Viewer export to CSV 

16F-System_DateCreated   August 25, 2021, 16:22

1.5 ทดสอบ delete ไฟล์  OtterCTF  Memory Forensics strings.jpg  และค้นหาโดยใช้ OSforensics  ESE DB Viewer 
 ไม่พบข้อมูล OtterCTF  Memory Forensics strings


1.6 ทดสอบ delete ไฟล์  OtterCTF  Memory Forensics strings.jpg  และค้นหาโดยใช้  WinsearchDBAnalyzer  พบข้อมูล OtterCTF  Memory Forensics strings มีสถานะ Deleted



สรุป การทำงานด้านพิสูจน์หลักฐานทางดิจิทัลจำเป็นต้องใช้เครื่องมือหลายตัวในการตรวจสอบหลักฐานเพื่อให้ได้คำตอบที่ถูกต้องที่สุด

ที่มา:   windows-search-forensics 
            winsearchdbanalyzer  
            esedb-viewer
    


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD