Digital Forensics:Meta Information

ExifTool is a platform-independent Perl library plus a command-line application for reading, writing and editing meta information

File Types using Exiftool

#CD C:\Users\ ...\Downloads\exiftool-12.51

# C:\Users\ ...\Downloads\exiftool-12.51>"exiftool(-k).exe" -filetype DSCN0010.jpg

The basic way of using the exiftool utility on Windows, is similar to the command used below:

#"exiftool(-k).exe" DSCN0010.jpg

From the snapshot, we can gather the following useful information:

1. File Size: 162 KB

2. File Creation Date: 2022:11:30 15:28:23+07:00

3. File Type: JPG

4. File Name: DSCN0010.jpg

5.GPS Date/Time                   : 2008:10:23 14:27:07.24Z

6.GPS Latitude                    : 43 deg 28' 2.81" N

7.GPS Longitude                   : 11 deg 53' 6.46" E

8.Make                                   : NIKON

9.Camera Model Name          : COOLPIX P6000

Generate a single report for  photo.

#C:\Users\...\Downloads\exiftool-12.51>"exiftool(-k).exe" -a -u -g1 -w %f.txt DSCN0010.jpg

generate a single report with all the information

# "exiftool(-k).exe" *.jpg -csv > report.csv

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud

Windows Forensics:MRU artifacts

MRU artifacts ( Most Recently Used )พูดง่ายๆ ก็คือ เป็นคีย์รีจิสทรีของ Windows นี้จะติดตามไฟล์ที่เปิดหรือบันทึกภายในไดอะล็อกบ็อกซ์ของ Windows สิ่งนี้เกิดขึ้นเป็นชุดข้อมูลขนาดใหญ่ ไม่เพียงแต่รวมถึงเว็บเบราว์เซอร์เช่น Internet Explorer และ Explorer  แต่ยังรวมถึงแอปพลิเคชันส่วนใหญ่ที่ใช้กันทั่วไปด้วย ซึ่งให้รายละเอียดที่สำคัญเกี่ยวกับการโต้ตอบของผู้ใช้กับไฟล์ โฟลเดอร์ และโปรแกรมที่อาจถูกเรียกใช้งานโดยใช้ยูทิลิตี Windows Run นี่เป็นโชคดีสำหรับผู้ตรวจสอบ เนื่องจากกิจกรรมของผู้ใช้โปรไฟล์เป็นสิ่งที่ผู้ตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัลมักได้รับมอบหมายให้ยืนยันสิ่งที่เราเชื่อว่าเกิดขึ้นในคอมพิวเตอร์ เป็นวิธีการสนับสนุนทฤษฎีของเราเกี่ยวกับพฤติกรรมของผู้ใช้ในระบบ

MRU artifacts มีประโยชน์ต่อผู้ตรวจสอบ DFIR เนื่องจากสามารถแสดงไฟล์ที่ผู้ใช้ให้ความสนใจเมื่อเร็วๆ นี้:

ในกรณีการบุกรุกที่มีการเข้าควบคุมบัญชี รายการนี้จะแสดงไฟล์ที่ผู้โจมตีสนใจ ไฟล์เหล่านี้อาจเป็นเอกสารที่มีทรัพย์สินทางปัญญาหรือไฟล์การกำหนดค่าสำหรับเครื่องมือโจมตีของพวกเขา

สำหรับกรณีภัยคุกคามจาก Insider threat case  มันสามารถแสดงได้ว่าผู้ใช้กำลังเปิดเอกสารประเภทใดอยู่

ในการตรวจสอบทั่วไป การรู้ว่าเอกสารใดที่ผู้ใช้เพิ่งเปิดสามารถเปิดเผยได้ว่าพวกเขาใช้คอมพิวเตอร์ทำอะไร

LastVisitedMRU (Track the application executables used to open files in OpenSaveMRU and the file path used

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDIg32\LastVisitedMRU

LastVisitedMRU/LastVisitedPidlMRU  เป็นคีย์รีจิสทรีของ Windows ที่ติดตามแอปพลิเคชันที่ใช้ในการเปิดหรือบันทึกไฟล์ที่มีการจัดทำเอกสารไว้ในคีย์รีจิสทรีของ Windows 

OpenSaveMRU คีย์ยังติดตามตำแหน่งของไฟล์ล่าสุดที่แอปพลิเคชันนั้นเข้าถึง (เปิดหรือบันทึก) นี่คือวิธีที่กล่องโต้ตอบ Windows shell dialog box  "เปิด"/"บันทึกเป็น"  โดยแอปพลิเคชันนั้น ติดตามไดเร็กทอรีล่าสุดที่แอปพลิเคชันใช้เมื่อผู้ใช้พยายามเปิดหรือบันทึกไฟล์ คีย์นี้แตกต่างกันเล็กน้อยระหว่าง Windows XP และ Windows เวอร์ชันที่สูงกว่า XP (LastVisitedMRU บน Windows XP และ 2003; LastVisitedPidlMRU บน Vista ผ่านระบบ Windows 10)  ความสามารถในการติดตามข้อมูลดังกล่าวอาจมีความสำคัญในระหว่างกระบวนการวิเคราะห์ทางนิติวิทยาศาสตร์แบบดิจิทัล

คีย์มีหลายค่า ค่า/รายการเหล่านี้ถูกกำหนดเป็นตัวเลขเป็นชื่อ (หรือตัวอักษรสำหรับ Windows ) รายการจะมีหมายเลขตามลำดับจากน้อยไปมากตามเวลาที่สร้าง และแต่ละรายการจะจัดเก็บข้อมูล (โปรแกรมเรียกทำงานของแอปพลิเคชันและเส้นทางแบบเต็ม) ในรูปแบบไบนารี คีย์ LastVisitedMRU/LastVisitedPidlMRU ยังมี 'MRUListEx' (หรือ 'MRUList' สำหรับ Windows) ซึ่งแสดงรายการลำดับที่ไฟล์ถูกเข้าถึง

Windows  uses the following as the root key: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDLg32\OpenSaveMRU

ข้อมูล OpenSave MRU ถูกจัดเก็บไว้ในกลุ่มรีจิสทรี NTUSER.DAT ของผู้ใช้ อยู่ในสองตำแหน่งที่แตกต่างกันขึ้นอยู่กับเวอร์ชันของ Windows ทั้งคู่มีโครงสร้างเดียวกันซึ่งเป็นคีย์ย่อยตามนามสกุลไฟล์ เช่น “docx”, “txt” หรือ “zip”

:Subkey store file into from the Open Save dialog by specific Extensions (*.7z)

บทความนี้มุ่งเน้นไปที่คีย์ (MRU) ที่ใช้ล่าสุดซึ่งมีค่าข้อมูล (ชื่อไฟล์, URL,command line  รายการบรรทัดคำสั่ง ฯลฯ) ที่เกี่ยวข้องกับกิจกรรมของผู้ใช้ล่าสุด  ตัวอย่าง key คือ  HKCU\Software\Microsoft\Office\15.0\PowerPoint\File MRU that stores the list of recently opened Microsoft PowerPoint 2013 presentation.  ไฟล์ MRU ที่เก็บรายการงานนำเสนอ Microsoft PowerPoint 2013 ที่เพิ่งเปิด

Windows OpenSave MRU ประกอบด้วยอะไรบ้าง?

ตั้งแต่ Windows Vista แต่ละคีย์ย่อยของส่วนขยายสามารถมีค่าได้สูงสุด 20 ค่า ชื่อของพวกเขาเป็นตัวนับ (0 ถึง 19) และค่าเป็นโครงสร้างไบนารีที่มีเส้นทาง (และข้อมูลอื่น ๆ )

แต่เส้นทางไม่ได้จัดเก็บเป็นสตริงที่อ่านง่าย แต่จะจัดเก็บเป็น "PIDL" ซึ่งเป็นรายการ ID ที่แสดงถึงรายการในโฟลเดอร์แทน ชื่อไฟล์ถูกเก็บไว้ในค่าแม้ว่าจะเป็น ASCII และ UTF-16

มีค่า “MRUListEx” ที่มีรายการเรียงลำดับของตัวนับ (เช่น 0 ถึง 19) ซึ่งแสดงถึงลำดับไฟล์ที่ใช้ล่าสุด ในตัวอย่างด้านล่าง คุณจะเห็นว่า 19 รายการเป็นรายการล่าสุด ตามด้วย 1 และ 0

Recent Presentations

การวิเคราะห์ไฟล์และโฟลเดอร์ที่เปิดหรือเรียกดูโดยใช้โปรแกรมสำรวจไฟล์ของ Windows อาจช่วยในการสืบเสาะเพื่อระบุสิ่งที่เกิดขึ้นบนคอมพิวเตอร์ในช่วงเวลาที่สำคัญของการสืบสวน วันที่และเวลาที่เกี่ยวข้องกับการโต้ตอบของไฟล์หรือโฟลเดอร์สามารถช่วยสร้างไทม์ไลน์ของกิจกรรมบนอุปกรณ์ใดอุปกรณ์หนึ่ง

Ref: OpenSaveMRU and LastVisitedMRU

        what is a windows opensave mru artifact

        What is MRU (Most Recently Used)?

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD 

Digital Forensics:online hex editor

 Digital Forensics:online hex editor

HexEd.it, the powerful online hex editor running in your web browser using HTML5/JavaScript technology. Analyse and edit binary files everywhere.

วันนี้มาแนะนำการใช้งานเครื่องมือ hex editor ออนไลน์ 

ตัวอย่างพบว่ามีไฟล์ที่พบว่าไม่ทราบว่าเป็นไฟล์อะไร

1.ทำการ Download file    File Examples.png มาตรวจสอบ  พบว่าเปิดไม่ได้

2. เข้าไปที่ https://hexed.it/  แล้วเปิดไฟล์  File Examples.png

จะเห็นได้ว่า signature file ไม่ถูกต้อง

3. ให้ทำการแก้ ค่า Hex  89 50 4E 47 0D 0A 1A 0A  ในแทนที่  47 49 46 38 OD 0A 1A 0A 

https://en.wikipedia.org/wiki/List_of_file_signatures

4 และ Save As to Test1.png

4 ทำการเปิดรูป Test1.png  ดังภาพ 

ที่มา:  hexed.it

 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์

Mobile Forensics:How to Extract Evidence From Samsung Galaxy A13

 Mobile Forensics:How to Extract Evidence From Samsung Galaxy A13

Forensic Imaging & DATA Extraction

Evidence Intake Phase 

Identification Phase

The purpose of the forensic examination

The information regarding manufacture, model and type of the Android devices should be identified

Samsung Galaxy A13

Brand	Samsung
Device Name/ Model number	Samsung Galaxy / SM-A135F
Android Version	Android 12
Baseband version	SP1A.210812.016.A135FXXU2AV
Kernel Version	4.19198
Build Number	SP1A.210812.016.A135FXXU2AVJ3
Serial Number	-
MicroSD Card	64

Preparation Phase

How to Prepare an Android Device for Acquisition

• Cellebrite  Physical Analyzer 7.30.0.228
• Cellebrite UFED 7.58.0172
• Samsung Galaxy A13
• USB Cable 170
• Lenovo Workstation 

Isolation Phase

Before the examination, Android devices should be isolated from networks that can be connected with Android devices via wireless (Wi-Fi), infrared and Bluetooth network capabilities. Isolation of the mobile from these communication sources is a significant phase before examination because it prevents the adding of new data to the phone during new calls and texting. Remote wiping or remote access

Summary of types of data that can be extracted using logical, file system and physical extraction. Source: Cellebrite article

UFED Physical Analyzer Examination

Data specification of Android mobile device.

Evidence Collection

SMS  Message

Audio 

Call Log

Images

Calendar

Contact 

Verification Phase 

The Image Hash Details dialog displays the comparison result of the reference and calculated hash values of each image.

Documentation and Reporting Phase

Selective File System Extraction in Cellebrite UFED

ขั้นตอนการตรวจสอบพิสูจน์พยานหลักฐานทางดิจิทัล ( DIGITAL FORENSICS )เป็นอย่างไร

 

ที่มา:@sureandshare

 

อ่านเพิ่มเติม How to Extract Evidence From HUAWEI Device

                     ufed-fundamentals-a-basic-review-of-mobile-device-data-collection 

               ชุดตรวจพิสูจน์โทรศัพท์เคลื่อนที่ 

ที่มา: android-logical-and-full-file-system-data-collection

         Guidelines on Mobile Device Forensics

      

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud

DIGITAL FORENSICS: CELLEBRITE FORENSIC MEMORY CARD READER II

Mobile Forensics: CELLEBRITE FORENSIC MEMORY CARD READER II

  วันนี้แอด เจออุปกรณ์ ตัวหนึ่งใน Lab เลยเอามาทดสอบดู  ชื่อว่า Cellebrite Forensic Memory Card Reader  อุปกรณ์ชุดนี้มาพร้อมในชุด  Cellebrite คือชุดอุปกรณ์จัดเก็บหลักฐานบนโทรศัพท์มือถือ

จุดประสงค์

  ตรวจสอบข้อมูลใน SD memory card 2 GB

อุปกรณ์ที่ใช้ในการทดสอบ

• Cellebrite Forensic Memory Card Reader 
• Cellebrite  Physical Analyzer 7.56.0.20
• Scalpel
• Cellebrite UFED
• SD memory card 2 GB

* คำแนะนำ  switch on write protection (read only  mode )from SD Card 

ทำการเชื่อ,ต่อ SD card  with CELLEBRITE FORENSIC MEMORY CARD READER

Memory card using Memory card reader with the Block switch set to Read Only.

สถานะไฟเขียว Write Block ทำงาน 

Select > Mass Storage

Select > Mass Storage Device Memory Card

Select > Removable Drive

Select > Physical 

On Process

เมื่อเสร็จจะได้ สำเนาหลักฐาน (forensic Image file )  ได้ไฟล์  (Dump_001.bin) ,log.txt ,Mass Storage Device_memory Card.ufd

ทำการเปิด โดยใช้โปรแกรม Cellebrite   Physical Analyzer (PA) 

• Cellebrite  Physical Analyzer 7.56.0.20

Analyzed Data

File System >export File

Dump_001.bin

Search 

Tag 

Forensic data recovery using  scalpel 
ใช้โปรแกรม Scalpel (carved by Scalpel) ทำการ Carve  file  จาก Image file (Dump_001.bin)  

ทำการแก้ไข scalpel.conf  เลือก ชนิดของ Type ตามที่ต้องการค้นหา

Any line that begins with a '#' is considered

# a comment and ignored. Thus, to skip a file type just put a '#' at

# the beginning of the line containing the rule for the file type.

หลังจากทำการแก้ไข scalpel.conf  แล้ว ทำการพิมพ์คำสั่ง

G:\Software\Scalpel>scalpel.exe "F:\UFED Mass Storage Device Memory Card 2022_10_20 (001)\Physical Method 1 01\Dump_001.bin"

ไฟล์ที่ได้จากการ carved อยู่ใน โฟล์เดอร์ scalpel-output

ดู log Audit.txt 

ผลลัพธ์ที่ได้จากการ carved

สรุป คือ อุปกรณ์ Memory Card Reader ชุดนี้มี สวิตท์ เปิด/ปิด เพื่อป้องกันการเขียนข้อมูลทับ สำหรับ SD ,MMC XD SM MicroSD,T Flash  เพื่อป้องกันข้อมูล หรือป้องกันการเขียนทับ ก่อนทำสำเนาข้อมูลหลักฐาน  และการค้นหาข้อมูลใน สำเนาหลักฐาน (forensic Image file )อาจใช้เทคนิค Carve  เป็นอีกทางเลือกในการกู้ข้อมูล 

A Demo of SD Card Data Extraction - Cellebrite UFED 4PC

อ่านเพิ่มเติม Cellebrite Forensic Memory Card Reader

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD