Digital Forensics:Browser forensics

Browsers keep a record of visited websites, which can reveal a user's search history and potential malicious activity.

Kroll Artifact Parser And Extractor (KAPE) 

KAPE gives you access to targets and modules for the most common operations required in forensic exams, helping investigators gather a wider range of artifacts 

Description. ChromeHistoryView is a small utility that reads the history data file of Google Chrome Web browser, and displays the list of all visited Web pages 

Google Chrome’s browsing data is stored in the user’s AppData\\Local\\Google\\Chrome\\User Data\\Default directory.

Browser forensics Lab

Instruction

We found an attacker who compromised the machine and download malware . Please help find the URL which use by attacker.

Download History

Hint

Reveal download activity from Browser History.

Step 1.  KAPE Collecting Browser Artifacts

Step 2. Chrome History provides analysts with the following information: 

Chrome History View is a free utility developed by NirSoft

To run it, navigate to where you downloaded and extracted the tool Chrome History View.exe and double click the file.

When it opens load the history from the users data folder  from the Advance Options menu.

Then navigate to the path of the Users profiles from your Kape collection.

Click OK and it displays the Chrome history.

Step 3. SQLite Viewer Web App

SQLite Viewer Web is a free, web-based SQLite Explorer, inspired by DB Browser for SQLite and Airtable.

URL Table

Or  SQLite Browser 

Open SQLite Browser  and navigate to the Chrome database stored at C\Users\<User Name>\AppData\Local\Google\Chrome\User Data\Default.

Step 4. Check suspicious websites

Step 5. Tracking Changes Over Time The Wayback Machine

Q1. What sites have been visited in the last days ?

Ans:

Q2.How many times a site was visited (most frequency information) and what the page title by User visits  ?

Ans:

Q3.What is the name of the malicious file that was downloaded?

Ans:

Hint

Reveal download activity from Browser History.

Q4.What is the profile of the user who downloaded the malicious file? 

Ans:

Q5.The URL, page title, and referring website for visits used by the insider threat.

Ans:

อ่านเพิ่มเติม: How to analyze WebCacheV01.dat

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรียนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

Digital Forensics:Meta Information

ข้อมูล EXIF ​​คืออะไร?

EXIF (Exchangeable Image File Format) คือมาตรฐานที่กำหนดข้อมูลเฉพาะที่เกี่ยวข้องกับภาพหรือสื่ออื่นๆ ที่ถ่ายด้วยกล้องดิจิทัล โดยสามารถจัดเก็บข้อมูลสำคัญต่างๆ เช่น การรับแสงของกล้อง วันที่/เวลาที่ถ่ายภาพ และแม้แต่ตำแหน่ง GPS

ExifTool is a platform-independent Perl library plus a command-line application for reading, writing and editing meta information

ExifTool ใช้ในการอ่านและเขียนข้อมูลเมตาในไฟล์ประเภทต่างๆ ดาวน์โหลดเครื่องมือ EXIF

File Types using Exiftool

Step 1. #CD C:\Users\ ...\Downloads\exiftool-12.51

E:\Software\exiftool-12.51

Step 2: # C:\Users\ ...\Downloads\exiftool-12.51>"exiftool(-k).exe" -filetype DSCN0010.jpg

The basic way of using the exiftool utility on Windows, is similar to the command used below:

#"exiftool(-k).exe" DSCN0010.jpg

Step 3: From the snapshot, we can gather the following useful information:

1. File Size: 162 KB

2. File Creation Date: 2022:11:30 15:28:23+07:00

3. File Type: JPG

4. File Name: DSCN0010.jpg

5.GPS Date/Time                   : 2008:10:23 14:27:07.24Z

6.GPS Latitude                    : 43 deg 28' 2.81" N

7.GPS Longitude                   : 11 deg 53' 6.46" E

8.Make                                   : NIKON

9.Camera Model Name          : COOLPIX P6000

ค้นหา “ละติจูด GPS” และ “ลองจิจูด GPS” ในหน้าต่างผลลัพธ์

Generate a single report for  photo.

#C:\Users\...\Downloads\exiftool-12.51>"exiftool(-k).exe" -a -u -g1 -w %f.txt DSCN0010.jpg

Step 4: generate a single report with all the information

# "exiftool(-k).exe" *.jpg -csv > report.csv

Step 5:Verify  pic2map 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud

Windows Forensics:MRU artifacts

MRU artifacts ( Most Recently Used )พูดง่ายๆ ก็คือ เป็นคีย์รีจิสทรีของ Windows นี้จะติดตามไฟล์ที่เปิดหรือบันทึกภายในไดอะล็อกบ็อกซ์ของ Windows สิ่งนี้เกิดขึ้นเป็นชุดข้อมูลขนาดใหญ่ ไม่เพียงแต่รวมถึงเว็บเบราว์เซอร์เช่น Internet Explorer และ Explorer  แต่ยังรวมถึงแอปพลิเคชันส่วนใหญ่ที่ใช้กันทั่วไปด้วย ซึ่งให้รายละเอียดที่สำคัญเกี่ยวกับการโต้ตอบของผู้ใช้กับไฟล์ โฟลเดอร์ และโปรแกรมที่อาจถูกเรียกใช้งานโดยใช้ยูทิลิตี Windows Run นี่เป็นโชคดีสำหรับผู้ตรวจสอบ เนื่องจากกิจกรรมของผู้ใช้โปรไฟล์เป็นสิ่งที่ผู้ตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัลมักได้รับมอบหมายให้ยืนยันสิ่งที่เราเชื่อว่าเกิดขึ้นในคอมพิวเตอร์ เป็นวิธีการสนับสนุนทฤษฎีของเราเกี่ยวกับพฤติกรรมของผู้ใช้ในระบบ

MRU artifacts มีประโยชน์ต่อผู้ตรวจสอบ DFIR เนื่องจากสามารถแสดงไฟล์ที่ผู้ใช้ให้ความสนใจเมื่อเร็วๆ นี้:

ในกรณีการบุกรุกที่มีการเข้าควบคุมบัญชี รายการนี้จะแสดงไฟล์ที่ผู้โจมตีสนใจ ไฟล์เหล่านี้อาจเป็นเอกสารที่มีทรัพย์สินทางปัญญาหรือไฟล์การกำหนดค่าสำหรับเครื่องมือโจมตีของพวกเขา

สำหรับกรณีภัยคุกคามจาก Insider threat case  มันสามารถแสดงได้ว่าผู้ใช้กำลังเปิดเอกสารประเภทใดอยู่

ในการตรวจสอบทั่วไป การรู้ว่าเอกสารใดที่ผู้ใช้เพิ่งเปิดสามารถเปิดเผยได้ว่าพวกเขาใช้คอมพิวเตอร์ทำอะไร

LastVisitedMRU (Track the application executables used to open files in OpenSaveMRU and the file path used

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDIg32\LastVisitedMRU

LastVisitedMRU/LastVisitedPidlMRU  เป็นคีย์รีจิสทรีของ Windows ที่ติดตามแอปพลิเคชันที่ใช้ในการเปิดหรือบันทึกไฟล์ที่มีการจัดทำเอกสารไว้ในคีย์รีจิสทรีของ Windows 

OpenSaveMRU คีย์ยังติดตามตำแหน่งของไฟล์ล่าสุดที่แอปพลิเคชันนั้นเข้าถึง (เปิดหรือบันทึก) นี่คือวิธีที่กล่องโต้ตอบ Windows shell dialog box  "เปิด"/"บันทึกเป็น"  โดยแอปพลิเคชันนั้น ติดตามไดเร็กทอรีล่าสุดที่แอปพลิเคชันใช้เมื่อผู้ใช้พยายามเปิดหรือบันทึกไฟล์ คีย์นี้แตกต่างกันเล็กน้อยระหว่าง Windows XP และ Windows เวอร์ชันที่สูงกว่า XP (LastVisitedMRU บน Windows XP และ 2003; LastVisitedPidlMRU บน Vista ผ่านระบบ Windows 10)  ความสามารถในการติดตามข้อมูลดังกล่าวอาจมีความสำคัญในระหว่างกระบวนการวิเคราะห์ทางนิติวิทยาศาสตร์แบบดิจิทัล

คีย์มีหลายค่า ค่า/รายการเหล่านี้ถูกกำหนดเป็นตัวเลขเป็นชื่อ (หรือตัวอักษรสำหรับ Windows ) รายการจะมีหมายเลขตามลำดับจากน้อยไปมากตามเวลาที่สร้าง และแต่ละรายการจะจัดเก็บข้อมูล (โปรแกรมเรียกทำงานของแอปพลิเคชันและเส้นทางแบบเต็ม) ในรูปแบบไบนารี คีย์ LastVisitedMRU/LastVisitedPidlMRU ยังมี 'MRUListEx' (หรือ 'MRUList' สำหรับ Windows) ซึ่งแสดงรายการลำดับที่ไฟล์ถูกเข้าถึง

Windows  uses the following as the root key: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDLg32\OpenSaveMRU

ข้อมูล OpenSave MRU ถูกจัดเก็บไว้ในกลุ่มรีจิสทรี NTUSER.DAT ของผู้ใช้ อยู่ในสองตำแหน่งที่แตกต่างกันขึ้นอยู่กับเวอร์ชันของ Windows ทั้งคู่มีโครงสร้างเดียวกันซึ่งเป็นคีย์ย่อยตามนามสกุลไฟล์ เช่น “docx”, “txt” หรือ “zip”

:Subkey store file into from the Open Save dialog by specific Extensions (*.7z)

บทความนี้มุ่งเน้นไปที่คีย์ (MRU) ที่ใช้ล่าสุดซึ่งมีค่าข้อมูล (ชื่อไฟล์, URL,command line  รายการบรรทัดคำสั่ง ฯลฯ) ที่เกี่ยวข้องกับกิจกรรมของผู้ใช้ล่าสุด  ตัวอย่าง key คือ  HKCU\Software\Microsoft\Office\15.0\PowerPoint\File MRU that stores the list of recently opened Microsoft PowerPoint 2013 presentation.  ไฟล์ MRU ที่เก็บรายการงานนำเสนอ Microsoft PowerPoint 2013 ที่เพิ่งเปิด

Windows OpenSave MRU ประกอบด้วยอะไรบ้าง?

ตั้งแต่ Windows Vista แต่ละคีย์ย่อยของส่วนขยายสามารถมีค่าได้สูงสุด 20 ค่า ชื่อของพวกเขาเป็นตัวนับ (0 ถึง 19) และค่าเป็นโครงสร้างไบนารีที่มีเส้นทาง (และข้อมูลอื่น ๆ )

แต่เส้นทางไม่ได้จัดเก็บเป็นสตริงที่อ่านง่าย แต่จะจัดเก็บเป็น "PIDL" ซึ่งเป็นรายการ ID ที่แสดงถึงรายการในโฟลเดอร์แทน ชื่อไฟล์ถูกเก็บไว้ในค่าแม้ว่าจะเป็น ASCII และ UTF-16

มีค่า “MRUListEx” ที่มีรายการเรียงลำดับของตัวนับ (เช่น 0 ถึง 19) ซึ่งแสดงถึงลำดับไฟล์ที่ใช้ล่าสุด ในตัวอย่างด้านล่าง คุณจะเห็นว่า 19 รายการเป็นรายการล่าสุด ตามด้วย 1 และ 0

Recent Presentations

การวิเคราะห์ไฟล์และโฟลเดอร์ที่เปิดหรือเรียกดูโดยใช้โปรแกรมสำรวจไฟล์ของ Windows อาจช่วยในการสืบเสาะเพื่อระบุสิ่งที่เกิดขึ้นบนคอมพิวเตอร์ในช่วงเวลาที่สำคัญของการสืบสวน วันที่และเวลาที่เกี่ยวข้องกับการโต้ตอบของไฟล์หรือโฟลเดอร์สามารถช่วยสร้างไทม์ไลน์ของกิจกรรมบนอุปกรณ์ใดอุปกรณ์หนึ่ง

Ref: OpenSaveMRU and LastVisitedMRU

        what is a windows opensave mru artifact

        What is MRU (Most Recently Used)?

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD 

Digital Forensics:Incident Handling Cycle

Computer Security Incident Handling Guide NIST SP 800-61

ขั้นตอนที่ 1: การเตรียมการและป้องกันการเกิดภัยคุกคามทำงไซเบอร์

การดำเนินมาตรการเพื่อเตรียมการและป้องกันการเกิดภัยคุกคามทางไซเบอร์ (preparation)

เป็นสิ่งที่จะต้องทาในระยะเริ่มต้น เพื่อเตรียมความพร้อมเมื่อต้องเผชิญเหตุ ได้แก่ การจัดเตรียมข้อมูลให้พร้อมการจัดตั้งและฝึกอบรมบุคลากรหรือทีมงาน การจัดหาเครื่องมือและทรัพยากรต่าง ๆ ที่จ าเป็น การตั้งค่าระบบต่าง ๆให้ปลอดภัย การจัดทานโยบาย แผนงาน และกระบวนการที่เกี่ยวข้อง รวมถึงการสร้างเครือข่ายความร่วมมือ

ขั้นตอนที่ 2: กำรตรวจจับและวิเครำะห์ภัยคุกคำมทำงไซเบอร์

แม้ว่าหน่วยงานจะจัดให้มีมาตรการต่าง ๆ เพื่อป้องกันหรือควบคุมมิให้เกิดภัยคุกคามทางไซเบอร์

ขึ้นแล้วก็ตาม แต่หน่วยงานก็ยังคงต้องเตรียมความพร้อมอยู่เสมอเพื่อรับมือกับสถานการณ์ภัยคุกคามทางไซเบอร์ที่ไม่อาจหลีกเลี่ยงได้ การดาเนินมาตรการในการตรวจจับและวิเคราะห์ภัยคุกคามทางไซเบอร์

(detection and analysis) จึงเป็นสิ่งจำเป็นที่จะช่วยให้หน่วยงานสามารถบรรเทาความเสี่ยงที่ยังคงเหลืออยู่

และสามารถแจ้งเตือนได้อย่างทันท่วงทีเมื่อมีภัยคุกคามทางไซเบอร์เกิดขึ้น 

ขั้นตอนที่ 3: การระงับภัยคุกคามทำงไซเบอร์

1 ปราบปรำมภัยคุกคามทางไซเบอร์ 2 และการฟื้นฟูระบบงาน

ที่ได้รับผลกระทบเมื่อมีภัยคุกคามทางไซเบอร์เกิดขึ้นหรือเมื่อหน่วยงานได้รับแจ้งเตือนการเกิดภัยคุกคามทางไซเบอร์หน่วยงานควรกาหนดแนวทางการดาเนินมาตรการเพื่อระงับภัยคุกคามทางไซเบอร์ การปราบปรามภัยคุกคามทางไซเบอร์ และการฟื้นฟูระบบงานที่ได้รับผลกระทบ (containment, eradication, and recovery) โดยการดำเนินการดังกล่าว ควรกาหนดให้สอดคล้องกับความรุนแรงและระดับของภัยคุกคามทางไซเบอร์แต่ละระดับจนกระทั่งสามารถกู้คืนทรัพย์สินสาคัญทางสารสนเทศให้กลับมาดาเนินงานหรือให้บริการได้ตามปกติ การตรวจจับและวิเคราะห์ภัยคุกคามทางไซเบอร์ที่อาจมีการลุกลามหรือทวีความรุนแรงมากขึ้นเพื่อให้การระงับและการปราบปรามภัยคุกคามทางไซเบอร์ ตลอดจนการฟื้นฟูระบบงานที่ได้รับผลกระทบจากการเกิดภัยคุกคามทางไซเบอร์ สอดคล้องกับสถานการณ์ที่เปลี่ยนแปลงไป

ขั้นตอนที่ 4: กำรดำเนินการภายหลังกำรแก้ปัญหาภัยคุกคามทางไซเบอร์

การดำเนินกิจกรรมที่เกี่ยวข้องภายหลังการแก้ปัญหาภัยคุกคามทางไซเบอร์ (post-incident activity)นั้น หน่วยงานควรกำหนดขั้นตอน วิธีปฏิบัติ หรือกำหนดนโยบายภายในที่เกี่ยวข้องเพื่อให้มีแนวทางที่ชัดเจน  ซึ่งการปฏิบัติตามมาตรการดังกล่าว จะช่วยให้หน่วยงานสามารถเรียนรู้จากเหตุภัยคุกคามทางไซเบอร์ที่ผ่านมา และสามารถหาแนวทางเพื่อแก้ไขจุดบกพร่องและพัฒนาแนวทางรับมือกับภัยคุกคามทางไซเบอร์ต่อไปในอนาคต นอกจากนี้หน่วยงานต้องเก็บรักษาข้อมูลและพยานหลักฐานที่จำเป็น เพื่อใช้ในกระบวนการทางนิติวิทยาศาสตร์ หรือใช้ในกรณี

ที่ต้องการร้องทุกข์หรือดาเนินคดี เนื่องจากภัยคุกคามทางไซเบอร์ที่เกิดขึ้นนั้น อาจเข้าลักษณะเป็นความผิดตามประมวลกฎหมายอาญา หรือพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๖๐และที่แก้ไขเพิ่มเติม (ถ้ามี) หรือกฎหมายอื่น ๆ ที่เกี่ยวข้อง (โดยการเก็บข้อมูลบางประเภทนั้นอาจจำเป็นต้องดาเนินการตั้งแต่เมื่อมีการตรวจพบว่ามีภัยคุกคามทางไซเบอร์เกิดขึ้น เนื่องจากข้อมูลดังกล่าวอาจสูญหายไปในระหว่างที่ต้องระงับเหตุภัยคุกคามทางไซเบอร์นั้น หรืออาจถูกลบหรือทำลายโดยผู้โจมตี)เมื่อมีการเก็บรวบรวมข้อมูลและหลักฐานที่จำเป็นตามวรรคหนึ่งแล้ว หน่วยงานควรนำข้อมูลและหลักฐานที่รวบรวมได้มาใช้ในการจัดทำบันทึกข้อมูลสถิติภัยคุกคามทางไซเบอร์ โดยอาจจัดทำเป็นรายสัปดาห์หรือรายเดือน เพื่อเสนอต่อผู้ที่มีหน้าที่ดูแลและรับผิดชอบภายในหน่วยงาน และกาหนดขั้นตอนที่หน่วยงานควรดำเนินการ เพื่อป้องกันไม่ให้เกิดภัยคุกคามทางไซเบอร์ในลักษณะดังกล่าวขึ้นอีกในอนาคต

นิยามศัพท์

การวางแผนบริหารความต่อเนื่อง (Business Continuity Planning : BCP) หมายถึง

กระบวนการในการสร้างระบบการทํางานเพื่อการป้องกันและฟื้นฟู จากภาวะคุกคามต่าง ๆ ที่ส่ง

ผลกระทบต่อธุรกิจ โดยการวางแผนนั้นต้องมั่นใจว่าบุคลากรรวมไปถึงทรัพยากรและสินทรัพย์ต่าง ๆ

จะได้รับการปกป้องเป็นอย่างดี และพร้อมใช้งานได้อย่างดีในทุก ๆ สถานการณ์

การจัดการภาวะวิกฤติ (Crisis Management) หมายถึง การจัดการในลักษณะที่

ลดความเสียหายให้น้อยที่สุดและช่วยให้องค์กรที่ได้รับผลกระทบสามารถฟื้นตัวได้อย่างรวดเร็ว

Traffi c Light Protocol (TLP) หมายถึง การจัดระดับชั้นความลับและความละเอียดอ่อนของ

ข่าวสารที่ใช้แบ่งปัน โดยมักแบ่งตามลําดับชั้นของสี

Web Defacement หมายถึง การโจมตีเว็บไซต์ที่เปลี่ยนรูปลักษณ์ของเว็บไซต์หรือหน้าเว็บ

ซึ่งเจาะเข้าไปในเว็บเซิร์ฟเวอร์และแทนที่เว็บไซต์ที่โฮสต์ด้วยเว็บไซต์ของตนเอง

อ้างอิงจาก

• NIST 800-86  Guide to Integrating Forensic Techniques into Incident Response
• Incident Response Plan & Playbook
• สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)The National Cyber Incident Response Plan of Thailand

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

DIGITAL FORENSICS:หลักสูตรอบรมเตรียมพร้อมเป็นพนักงานเจ้าหน้าที่ตามพ.ร.บ.ไซเบอร์ฯ (เร่งรัด 2 วัน)

DIGITAL FORENSICS: Cyber Forensics 2 DAY

การพิสูจน์หลักฐานทางดิจิทัล (Digital Forensics) เตรียมพร้อมเป็นพนักงานเจ้าหน้าที่ตามพ.ร.บ.ไซเบอร์ฯ (เร่งรัด) 2 วัน

เนื้อหาหลักสูตร 

ระยะเวลา: 2 วัน (รวมภาคทฤษฎีและปฏิบัติ)
เป้าหมาย: พัฒนาทักษะการพิสูจน์หลักฐานทางดิจิทัล และปฏิบัติงานตามกระบวนการทางนิติวิทยาศาสตร์ดิจิทัล

1.    พัฒนาความรู้พื้นฐานด้านนิติวิทยาศาสตร์ดิจิทัล

o    ให้ผู้เข้าร่วมเข้าใจแนวคิดหลักการทำงานของ Digital Forensics และ Forensic Readiness เพื่อเตรียมความพร้อมรับมือกับเหตุละเมิดความปลอดภัยทางไซเบอร์

2.    ฝึกทักษะกระบวนการสืบสวนทางดิจิทัลตามมาตรฐานสากล

o    ปฏิบัติตามขั้นตอนการสืบสวนอย่างเป็นระบบ ตั้งแต่การรวบรวมหลักฐาน การรักษา Chain of Custody ไปจนถึงการวิเคราะห์ข้อมูลและการจัดทำรายงาน

3.    เสริมสร้างความสามารถในการใช้เครื่องมือพิสูจน์หลักฐานทางดิจิทัล

o    ฝึกใช้งานเครื่องมือชั้นนำ เช่น FTK Imager, Autopsy, Wireshark, Volatility และ  Commercial software  เพื่อสกัดและวิเคราะห์หลักฐานจากแหล่งข้อมูลหลากหลาย (ฮาร์ดดิสก์ เครือข่าย คลาวด์ มือถือ)

4.    เตรียมความพร้อมรับมือเทคนิค Anti-Forensics

o    เรียนรู้วิธีกู้ข้อมูลที่ถูกปกปิดหรือลบ วิเคราะห์ Metadata และตรวจสอบการเปลี่ยนแปลงที่ผิดปกติในระบบ

5.    ส่งเสริมการปฏิบัติงานตามกรอบกฎหมายและมาตรฐาน

o    ปรับใช้ความรู้ให้สอดคล้องกับพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ และมาตรฐานสากล เช่น NIST SP 800-86

6.    พัฒนาทักษะการรายงานผลเชิงนิติวิทยาศาสตร์

o    ฝึกจัดทำรายงานการสืบสวนที่ชัดเจน ถูกต้องตามหลักฐาน และนำเสนอข้อมูลได้อย่างน่าเชื่อถือในฐานะพยานผู้เชี่ยวชาญ

ผลลัพธ์ที่คาดหวัง:

ผู้เข้าร่วมสามารถปฏิบัติงานเป็นพนักงานเจ้าหน้าที่ตาม พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์ ได้อย่างมีประสิทธิภาพ ตั้งแต่การรวบรวมหลักฐาน การวิเคราะห์ข้อมูล ไปจนถึงการรายงานผลตามกระบวนการทางกฎหมาย และใช้งานเครื่องมือ Digital Forensics เพื่อแก้ไขสถานการณ์จริงได้ทันทีหลังการอบรม

Fundamentals of Computer Forensics and Forensic Readiness 2 Day

หลักสูตรพื้นฐานนิติวิทยาศาสตร์คอมพิวเตอร์และการเตรียมความพร้อมทางนิติวิทยาศาสตร์

1. Computer Forensics Investigation Process (กระบวนการสืบสวนทางนิติวิทยาศาสตร์คอมพิวเตอร์)

• Obtain Search Warrant
• Evaluate and Secure the Scene
• Collect the Evidence
• Secure the Evidence and Chain of Custody
• Acquire Data and Analyze Data
• Assess Evidence and Case
• Testify as Expert Witness

2. Defeating Anti-Forensics Techniques (การรับมือกับเทคนิคต่อต้านนิติวิทยาศาสตร์)

• Anti-forensics
• Metadata

3. Operating System Forensics ( นิติวิทยาศาสตร์ระบบปฏิบัติการ)

• Windows Artifacts Analysis
• Prefetch,Memory Dump ,Volatility, Registry Explorer

4. Network Forensics (นิติวิทยาศาสตร์เครือข่าย)

• นิติวิทยาระบบเครือข่าย
• Network Forensic Exercise
• NETWORK FORENSICS ANALYSIS

5. Web Attack Forensics(นิติวิทยาศาสตร์การโจมตีเว็บ)

• ตรวจสอบ Log เว็บไซต์

6. Database Forensics  (นิติวิทยาศาสตร์ฐานข้อมูล)
7. Cloud Forensics   (นิติวิทยาศาสตร์ระบบคลาวด์)

• How To Extract Credential Data Using KeyScout

8. Wireless Forensics (นิติวิทยาศาสตร์เครือข่ายไร้สาย)

9. Malware Forensics (นิติวิทยาศาสตร์มัลแวร์)

• INVESTIGATE MALWARE & RANSOMWARE WITH MAGNET FORENSICS
• FREE AUTOMATED MALWARE ANALYSIS SANDBOXES AND SERVICES

10. Email-Crime Forensics (นิติวิทยาศาสตร์อาชญากรรมอีเมล)

• Email Header Analysis IP Tracker
• แนวทางการตรวจสอบ E-MAIL HEADER
• EMAIL INVESTIGATION PART II.
• Email Forensics Tools

11. Mobile Forensics  (นิติวิทยาศาสตร์อุปกรณ์เคลื่อนที่)

• How to Extract Evidence From Samsung Galaxy A13
• How to Extract Evidence From Samsung Devices
• Using Chat Capture Now Built-in to Cellebrite UFED

12. Application Password Cracker (แอปพลิเคชันการถอดรหัสรหัสผ่าน)

• Breaking Password and Encryption:hashcat

• ZIP PASSWORD BRUTEFORCER

• BRUTE FORCE ATTACK FTP

13. Investigative Reports (การจัดทำรายงานสืบสวน)

• การจัดทำรายงานการตรวจพิสูจน์หลักฐาน (Forensics Investigation Report)
• เอกสารรายงานการตรวจสอบหลักฐาน
• Data Breach Scenario

หลักสูตรนี้เหมาะสำหรับนักสืบสวนทางนิติวิทยาศาสตร์ เจ้าหน้าที่ไอทีหน่วยงานรัฐ และผู้ที่ต้องการพัฒนาทักษะในการตรวจสอบและวิเคราะห์หลักฐานดิจิทัล ข้าราชการหรือพนักงานเจ้าหน้าที่ทำงานเกี่ยวกับการสืบสวนสอบสวน ด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security ) ด้านความมั่นคงปลอดภัยไซเบอร์ (Cyber Security ) ด้านการบริหารจัดการเหตุภัยคุกคามไซเบอร์ (Incident Handling ) หรือ ด้านการพิสูจน์หลักฐานทางดิจิทัล (Digital Forensics )  ในหน่วยงาน CII , หน่วยงานภาครัฐ

อ่านเพิ่มเติม:

• เรื่อง การกำหนดระดับความรู้ความชำนาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์เพื่อแต่งตั้งเป็นพนักงานเจ้าหน้าที่
• หลักสูตรเตรียมความพร้อมเป็นพนักงานเจ้าหน้าที่ตามพรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์

โครงการอบรมหลักสูตรเร่งรัดเพื่อแต่งตั้งเป็นพนักงานเจ้าหน้าที่ตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

ที่มา:

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud