Friday, December 16, 2022

Digital Forensics:Meta Information

Digital Forensics:Meta Information

ExifTool is a platform-independent Perl library plus a command-line application for reading, writing and editing meta information


File Types using Exiftool

#CD C:\Users\ ...\Downloads\exiftool-12.51

# C:\Users\ ...\Downloads\exiftool-12.51>"exiftool(-k).exe" -filetype DSCN0010.jpg

Digital Forensics:Meta Information
The basic way of using the exiftool utility on Windows, is similar to the command used below:
#"exiftool(-k).exe" DSCN0010.jpg

Digital Forensics:Meta Information

From the snapshot, we can gather the following useful information:
1. File Size: 162 KB
2. File Creation Date: 2022:11:30 15:28:23+07:00
3. File Type: JPG
4. File Name: DSCN0010.jpg
5.GPS Date/Time                   : 2008:10:23 14:27:07.24Z
6.GPS Latitude                    : 43 deg 28' 2.81" N
7.GPS Longitude                   : 11 deg 53' 6.46" E
8.Make                                   : NIKON
9.Camera Model Name          : COOLPIX P6000


Generate a single report for  photo.
#C:\Users\...\Downloads\exiftool-12.51>"exiftool(-k).exe" -a -u -g1 -w %f.txt DSCN0010.jpg

Digital Forensics:Meta Information

Digital Forensics:Meta Information

generate a single report with all the information
# "exiftool(-k).exe" *.jpg -csv > report.csv

Digital Forensics:Meta Information


Digital Forensics:Meta Information



หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud

Monday, November 28, 2022

Windows Forensics:MRU artifacts

Windows Forensics:MRU artifacts

MRU artifacts ( Most Recently Used )พูดง่ายๆ ก็คือ เป็นคีย์รีจิสทรีของ Windows นี้จะติดตามไฟล์ที่เปิดหรือบันทึกภายในไดอะล็อกบ็อกซ์ของ Windows สิ่งนี้เกิดขึ้นเป็นชุดข้อมูลขนาดใหญ่ ไม่เพียงแต่รวมถึงเว็บเบราว์เซอร์เช่น Internet Explorer และ Explorer  แต่ยังรวมถึงแอปพลิเคชันส่วนใหญ่ที่ใช้กันทั่วไปด้วย ซึ่งให้รายละเอียดที่สำคัญเกี่ยวกับการโต้ตอบของผู้ใช้กับไฟล์ โฟลเดอร์ และโปรแกรมที่อาจถูกเรียกใช้งานโดยใช้ยูทิลิตี Windows Run นี่เป็นโชคดีสำหรับผู้ตรวจสอบ เนื่องจากกิจกรรมของผู้ใช้โปรไฟล์เป็นสิ่งที่ผู้ตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัลมักได้รับมอบหมายให้ยืนยันสิ่งที่เราเชื่อว่าเกิดขึ้นในคอมพิวเตอร์ เป็นวิธีการสนับสนุนทฤษฎีของเราเกี่ยวกับพฤติกรรมของผู้ใช้ในระบบ

MRU artifacts มีประโยชน์ต่อผู้ตรวจสอบ DFIR เนื่องจากสามารถแสดงไฟล์ที่ผู้ใช้ให้ความสนใจเมื่อเร็วๆ นี้:

ในกรณีการบุกรุกที่มีการเข้าควบคุมบัญชี รายการนี้จะแสดงไฟล์ที่ผู้โจมตีสนใจ ไฟล์เหล่านี้อาจเป็นเอกสารที่มีทรัพย์สินทางปัญญาหรือไฟล์การกำหนดค่าสำหรับเครื่องมือโจมตีของพวกเขา

สำหรับกรณีภัยคุกคามจาก Insider threat case  มันสามารถแสดงได้ว่าผู้ใช้กำลังเปิดเอกสารประเภทใดอยู่

ในการตรวจสอบทั่วไป การรู้ว่าเอกสารใดที่ผู้ใช้เพิ่งเปิดสามารถเปิดเผยได้ว่าพวกเขาใช้คอมพิวเตอร์ทำอะไร

LastVisitedMRU (Track the application executables used to open files in OpenSaveMRU and the file path used

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDIg32\LastVisitedMRU
LastVisitedMRU/LastVisitedPidlMRU  เป็นคีย์รีจิสทรีของ Windows ที่ติดตามแอปพลิเคชันที่ใช้ในการเปิดหรือบันทึกไฟล์ที่มีการจัดทำเอกสารไว้ในคีย์รีจิสทรีของ Windows 

OpenSaveMRU คีย์ยังติดตามตำแหน่งของไฟล์ล่าสุดที่แอปพลิเคชันนั้นเข้าถึง (เปิดหรือบันทึก) นี่คือวิธีที่กล่องโต้ตอบ Windows shell dialog box  "เปิด"/"บันทึกเป็น"  โดยแอปพลิเคชันนั้น ติดตามไดเร็กทอรีล่าสุดที่แอปพลิเคชันใช้เมื่อผู้ใช้พยายามเปิดหรือบันทึกไฟล์ คีย์นี้แตกต่างกันเล็กน้อยระหว่าง Windows XP และ Windows เวอร์ชันที่สูงกว่า XP (LastVisitedMRU บน Windows XP และ 2003; LastVisitedPidlMRU บน Vista ผ่านระบบ Windows 10)  ความสามารถในการติดตามข้อมูลดังกล่าวอาจมีความสำคัญในระหว่างกระบวนการวิเคราะห์ทางนิติวิทยาศาสตร์แบบดิจิทัล

LastVisitedMRU

คีย์มีหลายค่า ค่า/รายการเหล่านี้ถูกกำหนดเป็นตัวเลขเป็นชื่อ (หรือตัวอักษรสำหรับ Windows ) รายการจะมีหมายเลขตามลำดับจากน้อยไปมากตามเวลาที่สร้าง และแต่ละรายการจะจัดเก็บข้อมูล (โปรแกรมเรียกทำงานของแอปพลิเคชันและเส้นทางแบบเต็ม) ในรูปแบบไบนารี คีย์ LastVisitedMRU/LastVisitedPidlMRU ยังมี 'MRUListEx' (หรือ 'MRUList' สำหรับ Windows) ซึ่งแสดงรายการลำดับที่ไฟล์ถูกเข้าถึง

Windows  uses the following as the root key: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDLg32\OpenSaveMRU
OpenSaveMRU

ข้อมูล OpenSave MRU ถูกจัดเก็บไว้ในกลุ่มรีจิสทรี NTUSER.DAT ของผู้ใช้ อยู่ในสองตำแหน่งที่แตกต่างกันขึ้นอยู่กับเวอร์ชันของ Windows ทั้งคู่มีโครงสร้างเดียวกันซึ่งเป็นคีย์ย่อยตามนามสกุลไฟล์ เช่น “docx”, “txt” หรือ “zip”
:Subkey store file into from the Open Save dialog by specific Extensions (*.7z)

Windows Forensics:MRU artifacts

บทความนี้มุ่งเน้นไปที่คีย์ (MRU) ที่ใช้ล่าสุดซึ่งมีค่าข้อมูล (ชื่อไฟล์, URL,command line  รายการบรรทัดคำสั่ง ฯลฯ) ที่เกี่ยวข้องกับกิจกรรมของผู้ใช้ล่าสุด  ตัวอย่าง key คือ  HKCU\Software\Microsoft\Office\15.0\PowerPoint\File MRU that stores the list of recently opened Microsoft PowerPoint 2013 presentation.  ไฟล์ MRU ที่เก็บรายการงานนำเสนอ Microsoft PowerPoint 2013 ที่เพิ่งเปิด
OpenSaveMRU and LastVisitedMRU

Windows OpenSave MRU ประกอบด้วยอะไรบ้าง?

ตั้งแต่ Windows Vista แต่ละคีย์ย่อยของส่วนขยายสามารถมีค่าได้สูงสุด 20 ค่า ชื่อของพวกเขาเป็นตัวนับ (0 ถึง 19) และค่าเป็นโครงสร้างไบนารีที่มีเส้นทาง (และข้อมูลอื่น ๆ )

แต่เส้นทางไม่ได้จัดเก็บเป็นสตริงที่อ่านง่าย แต่จะจัดเก็บเป็น "PIDL" ซึ่งเป็นรายการ ID ที่แสดงถึงรายการในโฟลเดอร์แทน ชื่อไฟล์ถูกเก็บไว้ในค่าแม้ว่าจะเป็น ASCII และ UTF-16

มีค่า “MRUListEx” ที่มีรายการเรียงลำดับของตัวนับ (เช่น 0 ถึง 19) ซึ่งแสดงถึงลำดับไฟล์ที่ใช้ล่าสุด ในตัวอย่างด้านล่าง คุณจะเห็นว่า 19 รายการเป็นรายการล่าสุด ตามด้วย 1 และ 0
Windows OpenSave MRU Contain

Windows Forensics:MRU artifacts

Recent Presentations
Windows Forensics:MRU artifacts


การวิเคราะห์ไฟล์และโฟลเดอร์ที่เปิดหรือเรียกดูโดยใช้โปรแกรมสำรวจไฟล์ของ Windows อาจช่วยในการสืบเสาะเพื่อระบุสิ่งที่เกิดขึ้นบนคอมพิวเตอร์ในช่วงเวลาที่สำคัญของการสืบสวน วันที่และเวลาที่เกี่ยวข้องกับการโต้ตอบของไฟล์หรือโฟลเดอร์สามารถช่วยสร้างไทม์ไลน์ของกิจกรรมบนอุปกรณ์ใดอุปกรณ์หนึ่ง


Ref: 
OpenSaveMRU and LastVisitedMRU

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD 


Friday, November 4, 2022

Digital Forensics:online hex editor

 Digital Forensics:online hex editor

HexEd.it, the powerful online hex editor running in your web browser using HTML5/JavaScript technology. Analyse and edit binary files everywhere.

วันนี้มาแนะนำการใช้งานเครื่องมือ hex editor ออนไลน์ 

ตัวอย่างพบว่ามีไฟล์ที่พบว่าไม่ทราบว่าเป็นไฟล์อะไร

1.ทำการ Download file    File Examples.png มาตรวจสอบ  พบว่าเปิดไม่ได้

Digital Forensics:online hex editor

2. เข้าไปที่ https://hexed.it/  แล้วเปิดไฟล์  File Examples.png

Digital Forensics:online hex editor
จะเห็นได้ว่า signature file ไม่ถูกต้อง

3. ให้ทำการแก้ ค่า Hex  89 50 4E 47 0D 0A 1A 0A  ในแทนที่  47 49 46 38 OD 0A 1A 0A 

https://en.wikipedia.org/wiki/List_of_file_signatures

Digital Forensics:online hex editor

4 และ Save As to Test1.png

Digital Forensics:online hex editor

4 ทำการเปิดรูป Test1.png  ดังภาพ 



ที่มา:  hexed.it
 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์

Monday, October 31, 2022

Mobile Forensics:How to Extract Evidence From Samsung Galaxy A13

 Mobile Forensics:How to Extract Evidence From Samsung Galaxy A13


Forensic Imaging & DATA Extraction

Evidence Intake Phase 

Mobile Forensics:How to Extract Evidence


Mobile Forensics:How to Extract Evidence


Mobile Forensics:How to Extract Evidence

Mobile Forensics:How to Extract Evidence


Mobile Forensics:How to Extract Evidence


Identification Phase
The purpose of the forensic examination
The information regarding manufacture, model and type of the Android devices should be identified

Samsung Galaxy A13
Mobile Forensics:How to Extract Evidence
Mobile Forensics:How to Extract Evidence


Brand

Samsung

Device Name/ Model number

 Samsung Galaxy / SM-A135F

Android Version

 Android 12

Baseband version

 SP1A.210812.016.A135FXXU2AV

Kernel Version

 4.19198

Build Number  

 SP1A.210812.016.A135FXXU2AVJ3

Serial Number

 -

MicroSD Card

 64

Mobile Forensics:How to Extract Evidence

Preparation Phase


How to Prepare an Android Device for Acquisition

  • Cellebrite  Physical Analyzer 7.30.0.228
  • Cellebrite UFED 7.58.0172
  • Samsung Galaxy A13
  • USB Cable 170
  • Lenovo Workstation 


Isolation Phase

Before the examination, Android devices should be isolated from networks that can be connected with Android devices via wireless (Wi-Fi), infrared and Bluetooth network capabilities. Isolation of the mobile from these communication sources is a significant phase before examination because it prevents the adding of new data to the phone during new calls and texting. Remote wiping or remote access

Mobile Forensics:How to Extract Evidence


Mobile Forensics:How to Extract Evidence

Summary of types of data that can be extracted using logical, file system and physical extraction. Source: Cellebrite article

Mobile Forensics:How to Extract Evidence


Mobile Forensics:How to Extract Evidence

Mobile Forensics:How to Extract Evidence

UFED Physical Analyzer Examination

Mobile Forensics:How to Extract Evidence

Data specification of Android mobile device.


Mobile Forensics:How to Extract Evidence

Evidence Collection
Mobile Forensics:How to Extract Evidence

Mobile Forensics:How to Extract Evidence

SMS  Message
Mobile Forensics:How to Extract Evidence
Audio 
Mobile Forensics:How to Extract Evidence
Call Log
Mobile Forensics:How to Extract Evidence
Images
Mobile Forensics:How to Extract Evidence
Calendar
Mobile Forensics:How to Extract Evidence

Contact 
Mobile Forensics:How to Extract Evidence
Verification Phase 
The Image Hash Details dialog displays the comparison result of the reference and calculated hash values of each image.

Mobile Forensics:How to Extract Evidence

Documentation and Reporting Phase

Documentation and Reporting Phase


Mobile Forensics Report

Mobile Forensics:How to Extract Evidence
Selective File System Extraction in Cellebrite UFED


ขั้นตอนการตรวจสอบพิสูจน์พยานหลักฐานทางดิจิทัล ( DIGITAL FORENSICS )เป็นอย่างไร

 
ที่มา:@sureandshare
 
อ่านเพิ่มเติม How to Extract Evidence From HUAWEI Device


      

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud



Wednesday, October 19, 2022

DIGITAL FORENSICS: CELLEBRITE FORENSIC MEMORY CARD READER II

Mobile Forensics: CELLEBRITE FORENSIC MEMORY CARD READER II

  วันนี้แอด เจออุปกรณ์ ตัวหนึ่งใน Lab เลยเอามาทดสอบดู  ชื่อว่า Cellebrite Forensic Memory Card Reader  อุปกรณ์ชุดนี้มาพร้อมในชุด  Cellebrite คือชุดอุปกรณ์จัดเก็บหลักฐานบนโทรศัพท์มือถือ

จุดประสงค์

  ตรวจสอบข้อมูลใน SD memory card 2 GB

CELLEBRITE FORENSIC MEMORY CARD READER

อุปกรณ์ที่ใช้ในการทดสอบ

C:\Users\localadmin\Downloads\my_watermark\CELLEBRITE FORENSIC MEMORY CARD READER

* คำแนะนำ  switch on write protection (read only  mode )from SD Card 
ทำการเชื่อ,ต่อ SD card  with CELLEBRITE FORENSIC MEMORY CARD READER

Memory card using Memory card reader with the Block switch set to Read Only.

CELLEBRITE FORENSIC MEMORY CARD READER
สถานะไฟเขียว Write Block ทำงาน 

CELLEBRITE FORENSIC MEMORY CARD READER

Select > Mass Storage

CELLEBRITE FORENSIC MEMORY CARD READER

Select > Mass Storage Device Memory Card

CELLEBRITE FORENSIC MEMORY CARD READER

Select > Removable Drive
CELLEBRITE FORENSIC MEMORY CARD READER

Select > Physical 
CELLEBRITE FORENSIC MEMORY CARD READER

On Process
C:\Users\localadmin\Downloads\my_watermark\CELLEBRITE FORENSIC MEMORY CARD READER


เมื่อเสร็จจะได้ สำเนาหลักฐาน (forensic Image file )  ได้ไฟล์  (Dump_001.bin) ,log.txt ,Mass Storage Device_memory Card.ufd
forensic Image file


ทำการเปิด โดยใช้โปรแกรม Cellebrite   Physical Analyzer (PA) 
  • Cellebrite  Physical Analyzer 7.56.0.20
CELLEBRITE FORENSIC MEMORY CARD READER

Analyzed Data
Cellebrite  Physical Analyzer

File System >export File
Dump_001.bin
Cellebrite  Physical Analyzer


Cellebrite  Physical Analyzer

Cellebrite  Physical Analyzer


Search 


Tag 
Cellebrite  Physical Analyzer

Forensic data recovery using  scalpel 
ใช้โปรแกรม Scalpel (carved by Scalpel) ทำการ Carve  file  จาก Image file (Dump_001.bin)  

carved by Scalpel

ทำการแก้ไข scalpel.conf  เลือก ชนิดของ Type ตามที่ต้องการค้นหา

Any line that begins with a '#' is considered

# a comment and ignored. Thus, to skip a file type just put a '#' at

# the beginning of the line containing the rule for the file type.

หลังจากทำการแก้ไข scalpel.conf  แล้ว ทำการพิมพ์คำสั่ง

G:\Software\Scalpel>scalpel.exe "F:\UFED Mass Storage Device Memory Card 2022_10_20 (001)\Physical Method 1 01\Dump_001.bin"

Forensic data recovery using  scalpel

ไฟล์ที่ได้จากการ carved อยู่ใน โฟล์เดอร์ scalpel-output

Forensic data recovery using  scalpel
ดู log Audit.txt 
Forensic data recovery using  scalpel

ผลลัพธ์ที่ได้จากการ carved

Forensic data recovery using  scalpel

สรุป คือ อุปกรณ์ Memory Card Reader ชุดนี้มี สวิตท์ เปิด/ปิด เพื่อป้องกันการเขียนข้อมูลทับ สำหรับ SD ,MMC XD SM MicroSD,T Flash  เพื่อป้องกันข้อมูล หรือป้องกันการเขียนทับ ก่อนทำสำเนาข้อมูลหลักฐาน  และการค้นหาข้อมูลใน สำเนาหลักฐาน (forensic Image file )อาจใช้เทคนิค Carve  เป็นอีกทางเลือกในการกู้ข้อมูล 


A Demo of SD Card Data Extraction - Cellebrite UFED 4PC


อ่านเพิ่มเติม Cellebrite Forensic Memory Card Reader

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD