DIGITAL FORENSICS: CELLEBRITE FORENSIC MEMORY CARD READER II

Mobile Forensics: CELLEBRITE FORENSIC MEMORY CARD READER II

  วันนี้แอด เจออุปกรณ์ ตัวหนึ่งใน Lab เลยเอามาทดสอบดู  ชื่อว่า Cellebrite Forensic Memory Card Reader  อุปกรณ์ชุดนี้มาพร้อมในชุด  Cellebrite คือชุดอุปกรณ์จัดเก็บหลักฐานบนโทรศัพท์มือถือ

จุดประสงค์

  ตรวจสอบข้อมูลใน SD memory card 2 GB

อุปกรณ์ที่ใช้ในการทดสอบ

• Cellebrite Forensic Memory Card Reader 
• Cellebrite  Physical Analyzer 7.56.0.20
• Scalpel
• Cellebrite UFED
• SD memory card 2 GB

* คำแนะนำ  switch on write protection (read only  mode )from SD Card 

ทำการเชื่อ,ต่อ SD card  with CELLEBRITE FORENSIC MEMORY CARD READER

Memory card using Memory card reader with the Block switch set to Read Only.

สถานะไฟเขียว Write Block ทำงาน 

Select > Mass Storage

Select > Mass Storage Device Memory Card

Select > Removable Drive

Select > Physical 

On Process

เมื่อเสร็จจะได้ สำเนาหลักฐาน (forensic Image file )  ได้ไฟล์  (Dump_001.bin) ,log.txt ,Mass Storage Device_memory Card.ufd

ทำการเปิด โดยใช้โปรแกรม Cellebrite   Physical Analyzer (PA) 

• Cellebrite  Physical Analyzer 7.56.0.20

Analyzed Data

File System >export File

Dump_001.bin

Search 

Tag 

Forensic data recovery using  scalpel 
ใช้โปรแกรม Scalpel (carved by Scalpel) ทำการ Carve  file  จาก Image file (Dump_001.bin)  

ทำการแก้ไข scalpel.conf  เลือก ชนิดของ Type ตามที่ต้องการค้นหา

Any line that begins with a '#' is considered

# a comment and ignored. Thus, to skip a file type just put a '#' at

# the beginning of the line containing the rule for the file type.

หลังจากทำการแก้ไข scalpel.conf  แล้ว ทำการพิมพ์คำสั่ง

G:\Software\Scalpel>scalpel.exe "F:\UFED Mass Storage Device Memory Card 2022_10_20 (001)\Physical Method 1 01\Dump_001.bin"

ไฟล์ที่ได้จากการ carved อยู่ใน โฟล์เดอร์ scalpel-output

ดู log Audit.txt 

ผลลัพธ์ที่ได้จากการ carved

สรุป คือ อุปกรณ์ Memory Card Reader ชุดนี้มี สวิตท์ เปิด/ปิด เพื่อป้องกันการเขียนข้อมูลทับ สำหรับ SD ,MMC XD SM MicroSD,T Flash  เพื่อป้องกันข้อมูล หรือป้องกันการเขียนทับ ก่อนทำสำเนาข้อมูลหลักฐาน  และการค้นหาข้อมูลใน สำเนาหลักฐาน (forensic Image file )อาจใช้เทคนิค Carve  เป็นอีกทางเลือกในการกู้ข้อมูล 

A Demo of SD Card Data Extraction - Cellebrite UFED 4PC

อ่านเพิ่มเติม Cellebrite Forensic Memory Card Reader

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD