Free Online Digital Forensics Courses:Introduction to Evidence Acquisition
CyberDefenders เป็นแพลตฟอร์มการฝึกอบรมที่เน้นด้านการป้องกันความปลอดภัยทางไซเบอร์ โดยมีเป้าหมายเพื่อสำหรับ blue teams ในการฝึกฝน ตรวจสอบทักษะที่พวกเขามีและพัฒนาทักษะที่พวกเขาต้องการ และยังมี BlueTeam CTF Challenges สำหรับให้เล่นด้วยโดย CyberDefenders เปิดคอร์สออนไลน์ด้าน Digital Forensics (การตรวจพิสูจน์พยานหลั
คอร์ส INTRODUCTION TO EVIDENCE ACQUISITION นี้จะเกี่ยวกับกระบวนการได้มาซึ่งหลักฐานข้อมูล(forensic image)ซึ่งจะนำไปวิเคราะห์ และค้นหาหลักฐาน หากเกิด ความผิดพลาดใด ๆ อาจทำให้หลักฐานดิจิทัลเสียหายทำให้ไม่สามารถยอมรับได้ในศาล คุณอาจมีโอกาสมากกว่าสองครั้งในส่วนการวิเคราะห์ แต่การได้ซึ่งหลักฐานดิจิทัลและการทำสำเนาข้อมูลมานั้นเป็นโอกาสครั้งเดียว เพียงแค่ดูไฟล์หรือเปิดเครื่องคอมพิวเตอร์ คุณอาจทำลายหรือสูญเสียหลักฐานดิจิทัลได้
INTRODUCTION TO EVIDENCE ACQUISITION
ดังนั้นการทำตามขั้นตอนที่ถูกต้องในการได้มาซึ่งหลักฐานจะรับประกันหลักฐานที่ถูกต้องและจะทำให้คุณมั่นใจในหลักฐานระหว่างที่อยู่กับคุณ ในหลักสูตรนี้ คุณจะได้เรียนรู้แนวคิดที่จำเป็นที่เกี่ยวข้องกับการได้มาซึ่งหลักฐานทางนิติวิทยาศาสตร์ดิจิทัล ในการได้มาซึ่งข้อมูล คุณจะจัดการกับข้อมูลสามประเภท:
- active คือข้อมูลที่ใช้งานอยู่ซึ่งเป็นข้อมูลที่คุณเห็นจริง ข้อมูลที่ใช้งานอยู่รวมถึงข้อมูลไฟล์ โปรแกรม และไฟล์ระบบปฏิบัติการ
- archival ข้อมูลที่เก็บถาวร ซึ่งสำรองและจัดเก็บไว้ ซึ่งรวมถึงเทป ซีดี หรือฮาร์ดไดรฟ์ทั้งหมด
- latent data ข้อมูลที่ถูกลบหรือเขียนทับบางส่วน ข้อมูลประเภทนี้ต้องใช้เครื่องมือพิเศษในการเข้าถึง
คุณต้องเรียนรู้หัวข้อต่อไปนี้
- Understanding the order of volatility
- Understanding imaging methods
- knowing available forensic image files formats
- Be familiar with the capabilities of imaging tools
- Keep continuity in mind.
- Understand and know how to use write-blockers
- Understand and know how to validate acquired images.
- Last but most important documentation aka CoC.
- คัดลอกหลักฐานให้ข้อมูลจริงของไฟล์เฉพาะ ดังนั้น คุณเพียงแค่คัดลอกข้อมูลโดยไม่มีข้อมูลเพิ่มเติม เช่น ข้อมูลเมตาของไฟล์ เนื่องจากความสำคัญของข้อมูลเมตาและข้อมูลอื่นๆ บนไดรฟ์
- ผู้ตรวจสอบนิติวิทยาศาสตร์ดิจิทัลจึงจับภาพของไดรฟ์ได้ การถ่ายภาพไดรฟ์หลักฐานช่วยให้สามารถจับภาพไดรฟ์ทั้งหมดแบบทีละบิต Bit by Bit รวมถึงไฟล์จริง ข้อมูลในพื้นที่ว่าง slack space ,swap files และพื้นที่ที่ไม่ได้จัดสรร unallocated space (ซึ่งอาจมีไฟล์ที่ถูกลบ)
- คำว่าโคลน (cloning) ถูกใช้แทนการสำเนาข้อมูล (forensic
image) ทำได้ดีกว่าการโคลนนิ่ง เนื่องจากการสร้างภาพไดรฟ์(forensic
image) จะบีบอัดของไดรฟ์ จึงให้ความยืดหยุ่นมากขึ้น บ่อยครั้ง (forensic
image) ภาพทางนิติเวชจะถูกบีบอัดเพื่อประหยัดพื้นที่และอาจแยกส่วนเป็นไฟล์หลายไฟล์ที่ทำให้จัดการได้ง่ายขึ้น นอกจากนี้ ดิสก์โคลนยังพบปัญหาที่เกี่ยวข้องกับ (forensic integrity )การรับประกันความสมบูรณ์ทางนิติวิทยาศาสตร์ดิจิทัลของหลักฐานในไดรฟ์ปลายทาง ยกเว้นในกรณีที่ติดตั้งแบบอ่านอย่างเดียว จึงไม่นิยมใช้
ที่มา: learn.cyberdefenders.org/
#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #หลักสูตรการพิสูจน์หลักฐานทางดิจิทัล
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ
No comments:
Post a Comment