Free Online Digital Forensics Courses:Introduction to Evidence Acquisition

 Free Online Digital Forensics Courses:Introduction to Evidence Acquisition

CyberDefenders เป็นแพลตฟอร์มการฝึกอบรมที่เน้นด้านการป้องกันความปลอดภัยทางไซเบอร์ โดยมีเป้าหมายเพื่อสำหรับ blue teams ในการฝึกฝน ตรวจสอบทักษะที่พวกเขามีและพัฒนาทักษะที่พวกเขาต้องการ และยังมี BlueTeam CTF Challenges สำหรับให้เล่นด้วย

โดย CyberDefenders เปิดคอร์สออนไลน์ด้าน Digital Forensics (การตรวจพิสูจน์พยานหลักฐานทางดิจิทัล) ให้ผู้ที่สนใจสมัครเรียนได้โดยไม่มีค่าใช้จ่ายและมีค่าใช้จ่าย

คอร์ส INTRODUCTION TO EVIDENCE ACQUISITION นี้จะเกี่ยวกับกระบวนการได้มาซึ่งหลักฐานข้อมูล(forensic image)ซึ่งจะนำไปวิเคราะห์ และค้นหาหลักฐาน หากเกิด ความผิดพลาดใด ๆ อาจทำให้หลักฐานดิจิทัลเสียหายทำให้ไม่สามารถยอมรับได้ในศาล คุณอาจมีโอกาสมากกว่าสองครั้งในส่วนการวิเคราะห์ แต่การได้ซึ่งหลักฐานดิจิทัลและการทำสำเนาข้อมูลมานั้นเป็นโอกาสครั้งเดียว เพียงแค่ดูไฟล์หรือเปิดเครื่องคอมพิวเตอร์ คุณอาจทำลายหรือสูญเสียหลักฐานดิจิทัลได้

INTRODUCTION TO EVIDENCE ACQUISITION

ดังนั้นการทำตามขั้นตอนที่ถูกต้องในการได้มาซึ่งหลักฐานจะรับประกันหลักฐานที่ถูกต้องและจะทำให้คุณมั่นใจในหลักฐานระหว่างที่อยู่กับคุณ ในหลักสูตรนี้ คุณจะได้เรียนรู้แนวคิดที่จำเป็นที่เกี่ยวข้องกับการได้มาซึ่งหลักฐานทางนิติวิทยาศาสตร์ดิจิทัล ในการได้มาซึ่งข้อมูล คุณจะจัดการกับข้อมูลสามประเภท: 

• active คือข้อมูลที่ใช้งานอยู่ซึ่งเป็นข้อมูลที่คุณเห็นจริง ข้อมูลที่ใช้งานอยู่รวมถึงข้อมูลไฟล์ โปรแกรม และไฟล์ระบบปฏิบัติการ
• archival ข้อมูลที่เก็บถาวร   ซึ่งสำรองและจัดเก็บไว้ ซึ่งรวมถึงเทป ซีดี หรือฮาร์ดไดรฟ์ทั้งหมด
• latent data ข้อมูลที่ถูกลบหรือเขียนทับบางส่วน ข้อมูลประเภทนี้ต้องใช้เครื่องมือพิเศษในการเข้าถึง

คุณต้องเรียนรู้หัวข้อต่อไปนี้ 

• Understanding the order of volatility
• Understanding imaging methods
• knowing available forensic image files formats
• Be familiar with the capabilities of imaging tools
• Keep continuity in mind. 
• Understand and know how to use write-blockers
• Understand and know how to validate acquired images.
• Last but most important documentation aka CoC.
• 
  

COPY OR IMAGE

ในระหว่างการสอบสวนนิติวิทยาศาสตร์ดิจิทัล เราไม่สามารถดำเนินการกับหลักฐานต้นฉบับได้โดยตรง เนื่องจากจะถือว่าทำให้หลักฐานปนเปื้อน หากเราไม่สามารถทำงานกับหลักฐานต้นฉบับได้ เราควรคัดลอกCopy หรือโคลน (Clone)ไดร์หรือสำเนาข้อมูล (Capture an image)หรือไม่ 

อะไรคือความแตกต่างระหว่างแนวคิดทั้งสามนี้ 

• คัดลอกหลักฐานให้ข้อมูลจริงของไฟล์เฉพาะ ดังนั้น คุณเพียงแค่คัดลอกข้อมูลโดยไม่มีข้อมูลเพิ่มเติม เช่น ข้อมูลเมตาของไฟล์ เนื่องจากความสำคัญของข้อมูลเมตาและข้อมูลอื่นๆ บนไดรฟ์ 
• ผู้ตรวจสอบนิติวิทยาศาสตร์ดิจิทัลจึงจับภาพของไดรฟ์ได้ การถ่ายภาพไดรฟ์หลักฐานช่วยให้สามารถจับภาพไดรฟ์ทั้งหมดแบบทีละบิต Bit by Bit  รวมถึงไฟล์จริง ข้อมูลในพื้นที่ว่าง slack space ,swap files  และพื้นที่ที่ไม่ได้จัดสรร unallocated space (ซึ่งอาจมีไฟล์ที่ถูกลบ) 
• คำว่าโคลน (cloning) ถูกใช้แทนการสำเนาข้อมูล  (forensic
  image)  ทำได้ดีกว่าการโคลนนิ่ง เนื่องจากการสร้างภาพไดรฟ์(forensic
  image) จะบีบอัดของไดรฟ์ จึงให้ความยืดหยุ่นมากขึ้น บ่อยครั้ง (forensic
  image) ภาพทางนิติเวชจะถูกบีบอัดเพื่อประหยัดพื้นที่และอาจแยกส่วนเป็นไฟล์หลายไฟล์ที่ทำให้จัดการได้ง่ายขึ้น  นอกจากนี้ ดิสก์โคลนยังพบปัญหาที่เกี่ยวข้องกับ (forensic integrity )การรับประกันความสมบูรณ์ทางนิติวิทยาศาสตร์ดิจิทัลของหลักฐานในไดรฟ์ปลายทาง ยกเว้นในกรณีที่ติดตั้งแบบอ่านอย่างเดียว จึงไม่นิยมใช้

VALIDATION OF DATA ACQUISITION  การตรวจสอบความถูกต้องของการได้มาซึ่งข้อมูล(หลักฐานดิจิทัล)

ACQUISITION METHODS วิธีการได้มาซึ่งข้อมูล(หลักฐานดิจิทัล) 

PHYSICAL AND LOGICALACQUISITION  

FORENSIC IMAGE FILE FORMAT รูปแบบไฟล์สำเนาข้อมูล

หลังจากเรียนจบ สามารถกลับมาทบทวนได้

สรุป 

    เป็นคอร์สฟรีที่ทำออกมาสำหรับผู้เริ่มต้นใช้เวลาศึกษาไม่นาน  อ่านเข้าใจง่าย  นอกจากนี้ยังมีคอร์สอื่นๆที่น่าสนใจอีกมาก

ที่มา:  learn.cyberdefenders.org/       

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #หลักสูตรการพิสูจน์หลักฐานทางดิจิทัล

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ