เทคนิคการสืบค้นหาหลักฐานทางด้านการบัญชีนิติวิทยา (Investigative Technique in Forensic Accounting)

เทคนิคการสืบค้นหาหลักฐานทางด้านการบัญชีนิติวิทยา (Investigative Technique in Forensic Accounting)

ขอเชิญรับฟังการเสวนา โครงการอบรมความรู้ด้านการบัญชีนิติวิทยา (Forensic Accounting Series) หัวข้อ เทคนิคการสืบค้นหาหลักฐานทางด้านการบัญชีนิติวิทยา (Investigative Technique in Forensic Accounting)

            วันพฤหัสบดีที่ 23 กันยายน 2564 เวลา 09.00 – 12.00 น.

- เทคนิคการสืบค้นหาหลักฐานทางด้านการบัญชีนิติวิทยา (Investigative Technique in Forensic Accounting)
- รูปแบบของการทุจริตคอรัปชันและคดีความที่เกิดขึ้นในองค์กรมีความซับซ้อนเพียงใดในปัจจุบัน
- สัญญาณเตือนคืออะไร และควรดำเนินการสอบสวนเมื่อไร
- ประเภทและแหล่งที่มาของพยานหลักฐาน
- เทคนิคของนักบัญชีนิติวิทยา ในการสืบค้นหาหลักฐานเพื่อให้ได้ข้อเท็จจริงที่เป็นประโยชน์ต่อคดีความ
- ปัญหาและอุปสรรคที่นักบัญชีนิติวิทยาต้องเผชิญในการปฏิบัติงาน และแนวทางการปฏิบัติงานให้บรรลุวัตถุประสงค์
- การอธิบายและตอบคำถามประเด็น

ผู้ร่วมเสวนา

• คุณพันธ์ศักดิ์ เสตเสถียร
  - Risk Consulting Partner PricewaterhouseCoopers Consulting (Thailand) Ltd.
• ผศ.สมชาย ศุภธาดา
  - ประธานคณะทำงานศึกษาและพัฒนาหลักสูตรการป้องกันการทุจริตการฟอกเงินและการสนับสนุนการก่อการร้าย สภาวิชาชีพบัญชี

            หากท่านมีคำถามที่อยากให้วิทยากรอภิปราย สามารถส่งเข้ามาได้ก่อนการสัมมนา ได้ที่ Click
            เอกสารประกอบการเสวนา Click
            รับชมย้อนหลังได้ที่  Click

ขออนุญาตประชาสัมพันธ์

ที่มา:สภาวิชาชีพบัญชีในพระบรมราชูปถัมภ์

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

โ

Digital Forensics:USB Forensic Tracker (USBFT)

Digital Forensics:USB Forensic Tracker (USBFT)

วันนี้แนะนำเครื่องมือสำหรับศึกษา USB Forensics Tools  เครื่องมือที่ใช้สำหรับการตรวจสอบหลักฐานจาก USB Flash Drive  สามารถติดตามว่าใครใช้ USB Flash Drive มาเสียบกับคอมพิวเตอร์ของเราเมื่อไร ยี่ห้ออะไร เชื่อมต่อ Drive อะไร บอกรายละเอียดเกี่ยวกับ USB ที่มาเชื่อมต่อกับเครื่องคอมพิวเตอร์ 

USB Forensic Tracker (USBFT)

USB Forensic Tracker (USBFT) is a comprehensive forensic tool that extracts USB device connection artefacts from a range of locations within the live system, from mounted forensic images, from extracted Windows system files and from both extracted Mac OSX and Linux system files. The extracted information from each location is displayed within its own table view.  The information can be exported to an Excel file

เครื่องมือนี้สามารถรองรับระบบ Windows OS  โดยดึงข้อมูลจาก registry key  และสามารถ วิเคราะห์ log file จาก  Mac OSX and และ Linux  สามารถแสดงผลลัพธ์ออกเป๋็นไฟล์ excel ได้  

Free Forensic Tools Download 

Step 1 เลือก version  Download

Download 

Step 2 สามารถศึกษาได้จาก Manual 

Help 

เลือก  Help > Open Help File

Open Help File

Step 3 ใช้คำสั่ง Run เพื่อวิเคราะห์ข้อมูล  Flash Drive

Run Program

แสดงข้อมูลการการเข้าถึงไฟล์(Access File)ใน Flash Drive

• Device name/description เป็นชื่อรุ่นของอุปกรณ์
• serial number (for mass storage devices) หมายเลขของอุปกรณ์

Access File

แสดงข้อมูลชื่อ User Profile ที่เชื่อมต่อ  Flash Drive

Registry-MountPoints2

แสดงข้อมูลชื่อ Drive Letter ที่เชื่อมต่อ  Flash Drive

Registry-USBSTOR

สามารถวิเคราะห์ข้อมูล USB flash Drive  จากไฟล์ที่มาจากเครื่อง Mac OSX and Linux 

คุณสามารถศึกษาเพิ่มเติมเกี่ยวกับ  USB Forensic ในหนังสือนี้

Digital Forensics Basics: A Practical Guide Using Windows OS

 

Photo Credit: Book google

 

CHAPTER 7 WINDOWS FORENSICS ANALYSIS  (P.206)

Photo Credit: Book google

 

 

 

Credit : YouTube Channel mufaro

 

USB Forensics

Digital Forensics: USB Forensics >  Part 2

 

 

Reference :

Usb-forensic-tracker
http://forensics.sans.org
http://twitter.com/sansforensics

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud

DIGITAL FORENSICS:Windows Forensics Workshop Case

CASE OVERVIEW: You have been given a system that has been used for some illegal activity were the user accessed confidential files that the user was not supposed to access. The system has two user accounts which are the main suspects involved in this case ("joker" and "IEUser"). You are required to provide answers to all the questions below by providing evidence (proof) with details and screenshots. Remember: SCREENSHOT OR IT DID NOT HAPPEN ;)

All of the case files can be found here.

They can also be found here and here too.

To successfully solve this challenge, a report with answers to the tasks below is required:
• What is the hash value for the given forensic image?
• Which user account was used to access some confidential documents?
• Explain in detail what proof do you have to support your answer?
• Did the user access the confidential files from a local drive or network location?
  
• 
  
• 

• What proof do you have to support your answer?
• List all the files that were accessed with full paths.
• Provide two different evidence to prove that those files were truly accessed.
• Which application was used to open any of the confidential document(s)?
• The next three questions are related to the image with the text "AnotherPassword4U" found inside the user's home directory.
• What is the full path to the files of interest?
• What is the Volume Serial Number where the file exists?
• What are the Modified, Accessed, and Creation (MAC) timestamps in UTC for the file?
• The DCode.exe application was used by one of the users. Provide evidence to the next four questions below, but, be careful, this is a tricky question!!!
• Which user do you think ran the application and what evidence do you have to support your hypothesis?
• How many times was it used?
• When was it last used?
• Where was the application located (full path)?

Ref:https:acashemery 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #CTF

DIGITAL FORENSICS:bitcoin investigative

DIGITAL FORENSICS:bitcoin investigative

Bitcoin ถูกเก็บไว้ที่ไหน?

Bitcoin ถูกเก็บไว้ในกระเป๋าเงิน หรือที่เรียกว่า Bitcoin Wallets ซึ่งอนุญาตให้ผู้ใช้ จัดส่ง จัดเก็บ และรับ Bitcoin จากผู้ใช้รายอื่น   กระเป๋าเงินมีส่วนช่วยทำให้กระบวนการลงนามในการทำธุรกรรมทางการเงิน การเผยแพร่ไปยังบล็อกเชน (Blockchain) และการตรวจสอบธุรกรรมทางเงินใด ๆ ที่เข้ามานั้นง่ายขึ้น

กระเป๋าเงินมี 4 ประเภท:

·         กระเป๋าเงินคอมพิวเตอร์ (Computer Wallets) ทำงานเป็นแอปพลิเคชันชันบนคอมพิวเตอร์ และเป็นวิธีการจัดเก็บและรักษาความปลอดภัย Bitcoin ที่พบได้บ่อยที่สุด คำแนะนำในโปรแกรมจะบอกผู้ใช้ถึงวิธีการโอนเงิน โดยทั่วไปแล้ว กระเป๋าเงินเหล่านี้จะถูกระบุโดยไอคอนบนเดสก์ท็อปของผู้ใช้ แต่ไอคอนสามารถซ่อนได้ ดังนั้นจึงสามารถใช้ฟังก์ชันในการค้นหา โดยค้นหาคำว่า “wallet" หรือนามสกุลไฟล์ “.dat”

·         กระเป๋าเงินมือถือ (Mobile Wallets) จะมีอยู่ในสมาร์ทโฟน Android หรือ IOS  โดยทั่วไปแล้ว กระเป๋าเงินประเภทนี้จะมีระบบอินเทอร์เฟซพื้นฐาน และสามารถใช้งานได้โดยง่าย ซึ่งออกแบบมาสำหรับผู้ใช้ทั่วไปที่เพิ่งเริ่มใช้ Bitcoin สามารถระบุได้ด้วย โลโก้หรือไอคอนบนหน้าจอหลักหรือ App Tray ในบางครั้งกระเป๋าเงินมือถือจะมีระบบรักษาความปลอดภัยด้วย PIN รหัสผ่าน หรือการรักษาความปลอดภัยจำพวก Biometric เพิ่มเติม

·         กระเป๋าเงินออนไลน์ (Online Wallets) มีอยู่บนเว็บไซต์และโดยทั่วไปแล้วจะทำหน้าที่เป็นส่วนขยายของการแลกเปลี่ยนที่ซื้อ เข้าถึงได้ด้วยการลงชื่อเข้าใช้งาน (Log-ln) กระเป๋าเงินออนไลน์มีการใช้มาตรการรักษาความปลอดภัยเพิ่มเติมคือ กระเป๋าเงินออนไลน์นั้นจะยากต่อการระบุ ผู้ให้บริการกระเป๋าเงินออนไลน์สามารถระงับบัญชีและสามารถให้รายละเอียดแก่หน่วยงานบังคับใช้กฎหมายเกี่ยวกับผู้ใช้งานภายใต้การสืบสวน

·         กระเป๋าเงินเย็น (Cold Wallets) เป็นอีกทางเลือกหนึ่งในการจัดเก็บ Bitcoin และเป็นวิธีที่ปลอดภัยที่สุด ต้องใช้รหัสส่วนตัวเพื่อส่ง Bitcoin ซึ่งหมุนเวียนไปกับแนวคิดที่จะไม่มีทางที่จะสามารถเปิดเผยกุญแจ (Key) สู่อินเทอร์เน็ต กระเป๋าเงินเย็นเหล่านี้ระบุได้ยากเนื่องจากอาจมีกุญแจอยู่ใน USB ไดร์ฟ กระดาษ หรือถูกจดจำโดยผู้ต้องสงสัย และ Recovery Seeds ซึ่งใช้ในการสำรองข้อมูลกระเป๋าเงิน Bitcoin มักจะมีคำสุ่มอยู่ระหว่าง 12 ถึง 24 คำ (กระเป๋าที่ไม่ต้องเชื่อมต่อกับอินเทอร์เน็ตตลอดเวลา มักจะมาในรูปแบบของ Hardware Wallet หรือ Paper Wallet)

กระเป๋าเงิน Bitcoin ได้มาอย่างไร ?

กระเป๋าเงินคอมพิวเตอร์ (Computer Wallets) และกระเป๋าเงินมือถือ (Mobile Wallets) ส่วนใหญ่มีให้บริการฟรีจากผู้จำหน่ายที่สามโดยตรงหรือใน Apple App และร้านค้า Google Play กระเป๋าเงินออนไลน์ (Online Wallets) และกระเป๋าเงินเย็น (Cold Wallets) มีให้บริการโดยสมัครสมาชิกหรือในดอกเบี้ยอัตราคงที่ เมื่อเลือกกระเป๋าเงิน (Wallets) ให้ไปที่เว็บไซต์ของผู้ขายและพิจารณาคำวิจารณ์และการให้คะแนนของผู้ใช้ ผู้ให้บริการกระเป๋าเงินควรให้ข้อมูลเพิ่มเติม เช่น อัตราแลกเปลี่ยน Bitcoin ปัจจุบันและข้อมูลติดต่อสำหรับการสนับสนุนทางเทคนิค

 

 

Bitcoin ควรถูกรวบรวมโดยเร็วที่สุดเมื่อได้รับการพิจารณาแล้วว่าการยึดทำตามขั้นตอน

1.        การระบุตัวตน (Identification) ทำความคุ้นเคยกับผู้ให้บริการกระเป๋าเงิน Bitcoin ประเภทต่างๆ สำหรับคอมพิวเตอร์ อุปกรณ์มือถือ และเว็บไซต์ เมื่อพบว่ากิจกรรมทางอาญาอาจเกี่ยวข้องกับ Bitcoin มักจะมีเวลาจำกัดในการเข้าถึงกระเป๋าเงิน Bitcoin ของผู้ต้องสงสัย ณ จุดนี้ให้พิจารณาว่าสามารถรับรหัสผ่านหรือรหัสของอุปกรณ์และกระเป๋าเงิน Bitcoin ได้หรือไม่ จำกัดการเข้าถึงอุปกรณ์ทั้งหมด ที่อาจพบหลักฐานได้

2.        การรวบรวม (Collection) หากไม่สามารถเข้าถึงกระเป๋าเงิน Bitcoin ของผู้ต้องสงสัยได้ ต้องป้องกันการปลอมแปลงโดยเปิดอุปกรณ์ในโหมดการบิน (Airplane Mode) หรือใส่ไว้ในถุงฟาราเดย์ (Faraday Bag) เมื่อกระเป๋าเงิน Bitcoin ของผู้ต้องสงสัยไม่มีการเข้ารหัสบนอุปกรณ์มือถือหรือคอมพิวเตอร์ คุณสามารถโอนเงินไปยังกระเป๋าเงิน Bitcoin แผนกที่รับผิดชอบของคุณ ใส่ที่อยู่ของกระเป๋าเงินหรือสแกนรหัส QR หากเป็นไปได้ คลิกปุ่มโอนเพื่อย้ายเงิน กระเป๋าเงิน Bitcoin อาจมีหลายไฟล์ที่เก็บ Bitcoin แยกจากกัน อย่าลืมตรวจสอบโฟลเดอร์ย่อยและแท็บภายในโปรแกรมหรือแอปพลิเคชัน

3.        การเก็บรักษา (Preservation) หลังจากโอน Bitcoin ไปยังกระเป๋าเงินของแผนกที่รับผิดชอบแล้ว Bitcoin จะค่อนข้างปลอดภัย ณ จุดนี้ ให้ปฏิบัติตามขั้นตอนการคุ้มครองพยานหลักฐานและระเบียบการจัดการหลักฐานดิจิทัล ตรวจสอบเพื่อดูว่ากระเป๋าเงินแผนกอนุญาตให้สร้างที่เก็บนิรภัย Bitcoin หรือไม่ นี่เป็นคุณลักษณะด้านความปลอดภัยที่กำหนดให้หลายฝ่ายมีส่วนร่วมในการดำเนินการโอนให้เสร็จสิ้น ผู้ให้บริการกระเป๋าเงินออนไลน์หลายรายให้ความช่วยเหลือเกี่ยวกับการสอบถามและการสอบสวนของหน่วยงานบังคับใช้กฎหมาย

4.        วิธีการสืบสวน (Investigative Use)  Bitcoin มักใช้ใน "เว็บมืด" (Dark Web) ซึ่งเป็นส่วนหนึ่งของ เวิลด์ไวด์เว็บที่ต้องใช้ ซอฟต์แวร์พิเศษในการเข้าถึง เป็นไปได้ว่า Bitcoin ที่ยึดได้นั้นเป็นส่วนหนึ่งของธุรกรรมที่เกิดขึ้นในตลาดเว็บมืด ฐานข้อมูลบล็อกเชน (Blockchain) จะเหมือนกับประวัติการทำธุรกรรมทางธนาคารทั้งหมด สิ่งนี้สามารถให้ข้อมูลและข้อพิสูจน์ที่อาจมีความสำคัญต่อการสืบสวน การติดตามทาง “เงิน” มักจะเปิดเผยผู้ต้องสงสัยและองค์กรได้บ่อยครั้ง

Refer: แปลและเรียบเรียงโดย Opal 

            Bitcoin investigative Field guide

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #CTF