Saturday, November 27, 2021

CCTV Forensics Tools

CCTV Forensics Tools

วันนี้จะมาแนะนำเครื่องมือที่ใช้สำหรับการทำ CCTV Forensics  ชื่อว่า DVR Examiner

CCTV คือ ระบบการบันทึกภาพเคลื่อนไหวที่ถูกจับภาพโดยกล้องวงจรปิด ซึ่งได้ติดตั้ง ตามสถานที่ต่างๆ มายังส่วนรับภาพซึ่งเรียกว่า จอภาพ (Monitor) เป็นระบบส�ำหรับใช้เพื่อรักษา ความปลอดภัยหรือเพื่อการสอดส่องดูแลเหตุการณ์หรือสถานการณ์ต่างๆ

การเข้าดำเนินการกับหลักฐาน ณ สถานที่เกิดเหตุ ซึ่งการที่หลักฐานที่ได้มาจากสถานที่เกิดเหตุ ทำการถ่ายรูป สถานพบหลักฐาน CCTV  ตรวจสอบสถานะของเครื่องCCTV ว่าเปิดอยู่หรือปิดอยู่ 
 การถ่ายภาพควรถ่ายให้เห็นภาพรวม จุดเชื่อมต่อ และรายละเอียดของอุปกรณ์ที่ยึดทั้งหมด 

บันทึกรายละเอียด ยี่ห้อ รุ่น CCTV และ ขนาดของฮาร์ดดิสก์ควรถ่ายภาพภายนอกของอุปกรณ์ และหมายเลขเครื่อง (SN) จดบันทึกรายละเอียดต่าง ๆ เช่น ยี่ห้อ ความจุ และหมายเลขอื่น ๆ ที่ปรากฏ และหยิบจับอุปกรณ์ด้วยความระมัดระวังเนื่องจากเป็นอุปกรณ์ที่ได้รับความเสียหายได้ง่าย 

ถอดสายที่เชื่อมต่อกับอุปกรณ์ต่อพ่วงทั้งหมด และควรบันทึกการเชื่อมต่อสายต่าง  ๆ ข้างต้นไว้ด้วย

การบรรจุและการเคลื่อนย้าย

ในการดำเนินการควรระบุรายละเอียดใน Chain of custody  โดยบันทึกข้อมูลให้ครบถ้วน เก็บหลักฐานและจดรายละเอียดของหลักฐานในแบบฟอร์มกลับมาที่ Forensics Lab  

การนำส่งต้องบรรจุใส่กล่องกระดาษหรือห่อกระดาษแบบมีวัสดุกันกระแทก ก่อนปิดผนึกให้เรียบร้อยพร้อมทั้ง เซ็นชื่อกำกับ แล้วจึงนำส่งตรวจพิสูจน์


ทำสำเนาหลักฐาน ผ่านอุปกรณ์ Write blocker 
เมือทำการเปิดด้วยโปรแกรม AccessData® FTK® Imager 4.5.0.3   จะพบว่า unallocated space
ทำสำเนาหลักฐานโดยโปรแกรม AccessData® FTK® Imager 4.5.0.3  บันทึกเป็น DD file
เครื่องมือที่ใช้สำหรับการทำ CCTV Forensics  ชื่อว่า DVR Examiner
Detect and Scan Image File  เปิดไฟล์ CCTV.001
เปิดไฟล์ CCTV.001
เลือก CH และวันเวลาที่เกิดเหต  และ Export

Preview Clip


ใส่ Option  information  ,Name ,Case Number ,Model , 
Report

How to Use the DVR Examiner



การเก็บหลักฐานจากอุปกรณ์บันทึก CCTV  ควรขอคำแนะนำจากผู้เชี่ยวชาญ CCTV เนื่องจากหากผิดพลาดอาจทำให้ข้อมูลหลักฐานเสียหาย

พยานหลักฐานกล้องวงจรปิด

ข้อมูลภาพวีดิทัศน์ที่ถูกประมวลผลออกมาในครั้งแรก ถือเป็นต้นฉบับ ของพยานเอกสาร แต่เมื่อมีการบันทึกข้อมูลของภาพวีดิทัศน์ (CCTV) ออกมาจากหน่วยความจำ ในเครื่องบันทึกข้อมูลภาพวีดิทัศน์ในครั้งแรก หากโดยบันทึกภาพวีดิทัศน์ลงใน แผ่นซีดี แผ่น ดีวีดี ตัวบันทึกข้อมูล (Flash drive) การ์ดความจำ (Memory Cards) ฯลฯ ไม่ถือว่าเป็นต้นฉบับ พยานเอกสาร ปัญหาต่อมาคือ เมื่อสิ่งเหล่านั้นที่ไม่ใช่ต้นฉบับเอกสารจะถือให้รับฟังแบบสำเนา เอกสารสามารถอ้างเป็นพยานได้หรือไม่ ตามประมวลกฎหมายวิธีพิจารณาความอาญา มาตรา 238 ได้กำหนดไว้ว่า ต้นฉบับเอกสารเท่านั้นที่อ้างเป็นพยานได้ แต่ในกรณีที่หาต้นฉบับไม่ได้ สามารถใช้สำเนาที่รับรองว่าถูกต้องหรือพยานบุคคลที่รู้ข้อความอ้างเป็นพยานได้ ดังนั้น เมื่อมี การบันทึกข้อมูลของภาพวีดิทัศน์ (CCTV) ออกมาจากหน่วยความจำในเครื่องบันทึกข้อมูลภาพ และเสียงจากวีดิทัศน์ในครั้งแรก โดยบันทึกภาพและเสียงจากวีดิทัศน์ลงใน แผ่นซีดี แผ่นดีวีดี ตัวบันทึกข้อมูล (Flash drive) การ์ดความจำ (Memory Cards) ฯลฯ และได้มีการพิมพ์ข้อมูล จากอุปกรณ์เหล่านี้ลงกระดาษหรือวัตถุอื่นใด ก็สามารถอ้างเป็นพยานได้ เพราะมีลักษณะเป็น สำเนาเอกสาร46

พยานหลักฐานประเภทวีดิทัศน์ ซึ่งเกิดจากกล้องวงจรปิด ถือเป็นพยาน หลักฐานที่สามารถพิสูจน์แสดงข้อเท็จจริงให้ศาลพิจารณาได้ แต่หากพยานหลักฐานใดก็ตามที่ เกิดขึ้นหรือได้มาโดยมิชอบด้วยกฎหมาย ต้องห้ามมิให้ศาลรับฟังพยานหลักฐานนั้น และต้องห้ามโจทก์และจำเลยนำพยานหลักฐานที่มีลักษณะเป็นพยานหลักฐานดังกล่าวเข้ามานำสืบ หรือ เข้ามาในกระบวนการพิจารณาคดีเลย ตามประมวลกฎหมายวิธีพิจารณาความอาญา มาตรา 226 เว้นแต่กรณีที่การรับฟังพยานหลักฐานนั้นจะเป็นประโยชน์ต่อการอำนวยความยุติธรรมมากกว่า ผลเสียอันเกิดจากผลกระทบต่อมาตรฐานของระบบงานยุติธรรมทางอาญาหรือสิทธิเสรีภาพ พื้นฐานของประชาชน ซึ่งเป็นข้อยกเว้นของกฎหมายสามารถรับฟังเป็นพยานหลักฐานได้ ตามประมวลกฎหมายวิธีพิจารณาความอาญา มาตรา 226/1

กล้องวงจรปิด จะมีความสำคัญมากหรือน้อยขึ้นอยู่กับว่าภาพจากกล้องนั้น นำเสนออะไรเป็นพยานตรงหรือพยานแวดล้อมและขั้นตอนวิธีการเก็บ ดูแลรักษา ส่งต่อ วิเคราะห์ ถูกต้องหรือไม่และการได้มา ชอบด้วยกฎหมายหรือไม่

ปัญหาการพิสูจน์และการรับฟัง พยานหลักฐานประเภทวีดิทัศน์ จากกล้องวงจรปิดในคดีอาญา :วารสารนิติศาสตร์ มหาวิทยาลัยนเรศวร ที่ 13 ฉบับที่ 2 กรกฎาคม-ธันวาคม พ.ศ. 2563

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD 


Friday, November 19, 2021

DIGITAL FORENSICS:Automate Live Response

 DIGITAL FORENSICS:Automate Live Response

 Live Response Collection – Cedarpelta Build  – Automated tool that collects volatile data from Windows, OSX/macOS, and *nix based operating systems

1.Go to the Windows Live Response directory.


2. Double click on the “Windows Live Response Collection.exe” file.


3. A window will appear, similar to the one below:

4.Now, just to do a quick test, let’s use the third option titled “Secure-Triage” and
then click the “Run Selected Windows Live Response Script.”


5. It will take some time to complete and then you will be presented with a “Press any
key to continue.” Before you press the Enter key; make sure you have recorded the
key to open the encrypted 7zip archive. Without this key you won’t be able to open
the final archive; you have been warned.


 6. I recommend that you open the archive and check its contents.

Event Log

Network INfo.





Re. :brimorlabs

        

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud

 

DIGITAL FORENSICS:Image File Metadata and GPS

DIGITAL FORENSICS:Image File Metadata and GPS 

วันนี้่จะมาแนะนำการฝึกทำ Digital Forensics & Image File Metadata and GPS  โดยการแข่งขัน CTF ในเว็บ https://ctf.holyokecodes.org ซึ่งจัดโดย holyokecodes   มีโจทย์ CTF มาให้ลองเล่น เป็นโจทย์แนวCryptography ,Binary Code,additive Secret Sharing ,Image File Metadata and GPS,Steganography ,Recover Deleted Files,Cracking Passwords,HTML, JavaScript และความท้าทายด้าน Forensics  บทความนี้ครอบคลุมเฉพาะส่วน ของ Image File Metadata and GPS 


 มีเหตุการณ์ เมื่อคืนตอนตี 3 เจ้าหน้าที่ถูกเรียกตัวไปที่ Main St. ใน Amherst เพื่อสอบสวนเหตุไฟไหม้ในร้านกาแฟท้องถิ่น ร้านกาแฟที่ตั้งอยู่ระหว่างร้านอาหารและร้านเสื้อผ้า ได้รับรางวัล Best Coffee shop ในแมสซาชูเซตส์ตะวันตกเมื่อปีที่แล้ว เจ้าของร้านอาหารข้างบ้านแจ้งเหตุเพลิงไหม้ และกำลังทำความสะอาดหลังปิดร้านเมื่อเธอได้กลิ่นควัน ไม่มีการบาดเจ็บจากไฟไหม้ แต่มีความเสียหายอย่างมากต่อโครงสร้าง พื้นที่นี้เป็นของเจ้าของบ้านซึ่งจะต้องรับผิดชอบค่าเสียหาย ร้านกาแฟเพิ่งมีข่าวเกี่ยวกับการใช้พื้้นที่บนทางเท้าสาธารณะ เจ้าของบูติกรายงานว่าโต๊ะและเก้าอี้ของร้านกาแฟอยู่บนทางเท้าสาธารณะมากเกินไป  นักสืบกำลังสืบสวนคดีนี้

 ผู้ต้องสงสัย:

    Debra Duns - Debra เป็นเจ้าของร้านอาหาร เดบร้าอยู่รอบ ๆ เมื่อไฟเริ่มและเรียกเจ้าหน้าที่ง? เธอสามารถจุดไฟได้หรือไม่?
    Cara Campbell - Cara เป็นเจ้าของร้านกาแฟ ร้านกาแฟของเธอได้รับรางวัลกาแฟที่ดีที่สุดในภูมิภาค คู่แข่งของเธอพยายามป้องกันไม่ให้เธอชนะในปีนี้หรือไม่?
    Barbara Baker - บาร์บาร่าเป็นเจ้าของบูติก บาร์บาร่ามักไม่พอใจคาร่าเพราะโต๊ะและเก้าอี้ของร้านกาแฟขวางทางเท้า เธอสามารถจุดไฟเพื่อแก้แค้นได้หรือไม่?
    ลุค ลอว์เรนซ์ - ลุคเป็นเจ้าของอาคารซึ่งเป็นที่ตั้งของร้านอาหาร ร้านกาแฟ และร้านบูติก ลุคมีสัญญาประกันเกี่ยวกับทรัพย์สินของเขา จะเกิดอะไรขึ้นหากอาคารใดอาคารหนึ่งเสียหาย

ภารกิจของคุณ:

คุณเป็นผู้ตรวจสอบนิติคอมพิวเตอร์ ตำรวจสายสืบได้รวบรวมหลักฐานที่ต้องวิเคราะห์ หลักฐานจะถูกนำเสนอแก่คุณในการท้าทาย สำหรับแต่ละความท้าทาย คุณต้องค้นหาคำตอบ (Flag) แล้วพิมพ์ลงไป โชคดี!

 

มาลองทำโจทย์ ในหมวด 2 Not so Hard > Metada


 ข้อ Metadata

นักสืบได้ยึดโทรศัพท์ของเจ้าของบ้าน เจ้าของร้านอาหาร เจ้าของร้านกาแฟ และเจ้าของร้านบูติก ในโทรศัพท์ของเจ้าของบูติก พวกเขาพบภาพด้านล่างที่ถ่ายในวันที่เกิดเพลิงไหม้! 

คำถาม: อยากรู้ว่าชื่อสถานที่ในรูปดังกล่าวอยู่ที่ไหน 
Step 1. ทำการ download รูปภาพไปวิเคราะห์   https://tool.geoimgr.com

 
ผลที่ได้ 

Geotags

ตอบ: ชื่อสถานที่ในรูปดังกล่าวอยู่ที่ Mt. Washington
 

 
อ้างอิงจาก  holyokecodes
 
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #CTF #DFIR

 

Saturday, November 13, 2021

DIGITAL FORENSICS:MFTDump

DIGITAL FORENSICS:MFTDump

MFTDump – Tool to Parse MFT Files

The MFT Master File Table files on NTFS file system are table that will store and provide information about file changes on the hard disk. information may include file size, file name, date and time stamps and more. If you are looking to analyze MFT files you can check MFTDump.
MFTDump is a tool provides a quick and easy way to extract forensic metadata from an NTFS volume $MFT file. It is designed to supplement some forensic tools such as EnCase, FTK, Hex-Ways Forensic, etc.

 

I will pull the $MFT using FTK Imager Lite$MFT.copy0 File. The parse the MFT using MFTDump.

 

#MFTDump_V.1.3.0>mftdump.exe /l /o mft.csv "C:\Users\xxx\Downloads\MFTDump_V.1.3.0\$MFT.copy0"

Identifying alternate data streams (ADS).
#MFTDump_V.1.3.0>mftdump.exe -a "C:\Users\xxx\Downloads\MFTDump_V.1.3.0\$MFT.copy0"

Menu > Data > Text to Columns
 


Jeff Harrison mftdump Extra Credit

 

 

Download MFTDump

How to export Master File Table to csv

When a partition was created/Modify (Master File Table) 

Ref:  

You can read more and download the tool over here: http://malware-hunters.net/freetools/ 
https://sectechno.com/mftdump-tool-to-parse-mft-files/
  • "A Journey into NTFS"
    • Part 1: https://medium.com/@bromiley/a-journey-into-ntfs-part-1-e2ac6a6367ec
    • Part 2: https://medium.com/@bromiley/ntfs-series-2b3b91faaf21
    • Part 3: https://medium.com/@bromiley/a-journey-into-ntfs-part-3-5e197a0cab58
    • Part 4: https://medium.com/@bromiley/a-journey-into-ntfs-part-4-f2865c39ac83
    • Part 5: https://medium.com/@bromiley/ntfs-part-5-13e20588af59
    • Part 6: https://medium.com/@bromiley/ntfs-part-6-43a50fad89f3
    • Part 7: https://medium.com/@bromiley/ntfs-part-7-an-ntfs-story-caf42565855b
  • https://github.com/dkovar/analyzeMFT
  • https://github.com/jschicht/Mft2Csv
  • https://github.com/libyal/libfsntfs/blob/master/documentation/New%20Technologies%20File%20System%20(NTFS).asciidoc
alternate-data-streams-overview
beginning-analysisbeginning-analysis
http://az4n6.blogspot.com/2015/09/
forensics-tools-by-windows-artefact-cheat-sheet

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #MobileForensics


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ