Digital Forensics Examiner:Donate 

สวัสดีครับ สามารถช่วยสนับสนุนแอดมิน Digital Forensics Examiner ได้   โดยการบริจาคให้มูลนิธิต่างๆ เพือเป็นส่วนหนึ่งในพลังแห่งการให้....

สำหรับหน่วยงาน สถานศึกษา ใดสนใจ หลักสูตร Digital forensics  หรือหัวข้อที่ท่านสนใจ  สามารถให้ผมไปบรรยายและแลกเปลี่ยนความคิดเห็นได้ครับ  โดยไม่มีค่าใช้จ่าย ยินดีเผยแพร่ความรู้ครับ ติดต่อได้ที่ Facebook  Digital Forensics Examiner

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud  

DIGITAL FORENSICS:Magnet RESPONSE Free Tools

    วันนี้แอดจะมาแนะนำโปรแกรม Magnet RESPONSE เครื่องมือฟรี ของบริษํท MAGNET FORENSICS สำหรับรวบรวมและเก็บรักษาข้อมูล ในเครื่องคอมพิวเตอร์อย่างรวดเร็วก่อนที่จะถูกแก้ไขหรือสูญหาย สามารถกำหนดเป้าหมายไฟล์และข้อมูลที่ครอบคลุมซึ่งเกี่ยวข้องกับการตรวจสอบการตอบสนองต่อเหตุการณ์ รวมถึง RAM

Download Magnet RESPONSE here.

Magnet Response Configuration

Key Benefits & Features

• Easy To Use: ใช้งานง่าย  ผู้ใช้ที่ไม่มีความรู้ทางด้านเทคนิค ก็สามารถใช้เครื่องมือได้
• Portable:พกพาได้: ไฟล์เรียกทำงานเพียงไฟล์เดียว (น้อยกว่า 1MB)  สามารถดาวน์โหลดได้ง่าย และสามารถจัดเก็บและเรียกใช้จาก  USB Drive
• Output: เอาต์พุตถูกรวมและบันทึกเป็นไฟล์ .zip เพื่อการส่งที่ง่าย หรือสำหรับการประมวลผลและการวิเคราะห์ใน Magnet AXIOM & Magnet AXIOM Cyber
• Data Integrity:มีการระบุค่าแฮชที่ฝังไว้เพื่อตรวจสอบความสมบูรณ์ของข้อมูล

Output: Log.txt

              Ramdump.dmp

              .zip file

ท่านสามารถนำไฟ์ล์ที่ได้ มาเปิดด้วย โปรแกรม   Magnet AXIOM & Magnet AXIOM Cyber (Commercial software)  และวิเคราะห์หาหลักฐานเพิ่มเติม ดังตัวอย่าง

ใช้โปรแกรม Magnet AXIOM Process 5.0

Analyze Evidence > Ramdump.dmp

Analyze Evidence > 2023.03.20_10.56.17.zip 

ท่านสามารถนำไฟล์ Ramdump.dmp  ไปวิเคราะห์ด้วยโปรแกรม Volatility framework และ PassMark Volatility Workbench ,MemProcFS

ท่านสามารถดูวิธีการใช้งานโปรแกรม Magnet RESPONSE 

อ้างอิง  magnetforensics 

อ่านเพิ่มเติม Magnet Forensics

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #MagnetForensic

Capture Live RAM Contents with Free Tool from Belkasoft!

Capture Live RAM Contents with Free Tool from Belkasoft!

การทำสำเนาข้อมูลหน่วยความจำเป็นแหล่งข้อมูลอันมีค่าสำหรับหลักฐานชั่วคราวและ volatile information 

(Memory dumps )ข้อมูลหน่วยความจำอาจประกอบด้วยรหัสผ่าน (encrypted volumes) (TrueCrypt, BitLocker, PGP Disk), ข้อมูลรับรองการเข้าสู่ระบบบัญชีสำหรับเว็บเมลและบริการเครือข่ายสังคมต่างๆ เช่น Gmail, Yahoo Mail, Hotmail, Facebook, Twitter; บริการแชร์ไฟล์ เช่น Dropbox, Flickr, OneDrive เป็นต้น

เพื่อดึงหลักฐานชั่วคราวออกจาก(Memory dumps )ข้อมูลหน่วยความจำที่บันทึกไว้แล้ว ผู้เชี่ยวชาญด้านนิติเวชต้องใช้ซอฟต์แวร์วิเคราะห์ที่เหมาะสม เช่น Belkasoft X นอกจากนี้ เครื่องมืออื่นๆ บางส่วนยังสามารถใช้เพื่อดึงรหัสผ่านไปยังโวลุ่มที่เข้ารหัสได้อีกด้วย

วัตถุประสงค์การทดสอบ

•      ทำการเก็บรวบรวมพยานหลักฐาน ในหน่วยความจำ Memory

•      เข้าใจความสำคัญข้อมูลในหน่วยความจำ Memory
•      ศึกษาเครื่องมือ Dump memory   

Download  Belkasoft Capture Live RAM 

ความเข้ากันได้และข้อกำหนดของระบบ

Belkasoft Live RAM Capturer เข้ากันได้กับ Windows รุ่น 32 บิตและ 64 บิต รวมถึง XP, Vista, Windows 7/8/10/11, 2003 และ 2008 Server ไม่จำเป็นต้องติดตั้งเครื่องมือนี้และสามารถเปิดใช้งานได้ภายในไม่กี่วินาทีจากไดรฟ์ USB

การสำเนาหน่วยความจำ(Memory dumps )

Belkasoft Live RAM Capturer มีขนาดเล็กที่สุด ไม่จำเป็นต้องติดตั้ง และสามารถเปิดใช้งานได้ภายในไม่กี่วินาทีจากแฟลชไดรฟ์ USB ซึ่งแตกต่างจากเครื่องมือคู่แข่งอื่นๆ ที่ทำงานในโหมดผู้ใช้ของระบบ Belkasoft Live RAM Capturer มาพร้อมกับไดรเวอร์เคอร์เนล 32 บิตและ 64 บิต ซึ่งช่วยให้เครื่องมือทำงานในโหมดเคอร์เนลที่มีสิทธิพิเศษสูงสุด หน่วยความจำที่ถ่ายโอนได้จาก Belkasoft Live RAM Capturer สามารถวิเคราะห์ได้ด้วย Belkasoft X

Loading device driver ...

Physical Memory Page Size = 4096

Total Physical Memory Size = 9718 MB

Memory dump completed. Total memory dumped = 9718 MB

ทีมา :   https://belkasoft.com/ram-capturer

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรีบนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

Cyber 5W Certified Digital Forensic Analyst (CCDFA) Exam

The exam will be an investigation of a semi-world case using your forensic skills. The exam assumes you have the knowledge and skills that are covered in CDFA. Please note that this is not a Multiple Choice Question (MCQ) exam and requires you to do a full digital forensic investigation, document your findings, and submit a forensics report

Your report will be evaluated by a committee of DFIR professionals

After the report evaluation, you will be asked to meet with the committee to discuss your work and findings

70% is the passing grade to earn you the CCDFA certification

If unfortunately you do not pass, you can retake the exam again after one month from the time of your last exam attempt

• To pass the CCDFA exam, you need to be able to:
• Identify, Acquire, and Validate a Digital Evidence
• Mount and Navigate Case Evidence
• Analyze Files and Work with a Hexadecimal Editor
• Performing Disk Analysis and Fix corrupted disks and volumes
• Analyze NTFS and FAT32 file systems
• Perform data and file carving
• Perform Windows Forensic analysis on Recycle Bin, Thumbnails, LNK Files and Jump Lists
• Locate and analyze System and User Program Execution Artifacts
• Extract Windows Registry files and analyze them to find relevant evidence
• Analyze Volume Shadow Copies & File History
• Analyze Windows Events and Scheduled Tasks
• Document Forensic investigation Findings and Writing a Forensic Report
• 

Referent: Cyber 5W
                Digital Forensic Analyst Course Review

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #DATARECOVERY

Digital Forensics:Magnet Virtual Summit Capture The Flag (CTF)2023

Digital Forensics:Magnet Virtual Summit Capture The Flag (CTF) 2023

CTFs นี้เป็นโอกาสในการเรียนรู้แบบเกมเพื่อทดสอบทักษะของคุณด้วยความท้าทายด้านนิติวิทยาศาสตร์ดิจิทัล Forensic images ของหลักฐานหลายข้อ มีให้ผู้เข้าแข่งขัน พร้อมกับคำถามท้าทายต่างๆ ตามชุดข้อมูล  ผู้เข้าแข่งขัน สามารถใช้เครื่องมือใด ๆ ที่พวกเขาต้องการเพื่อตอบคำถามต่าง ๆ หาFlag  ซึ่งมีค่าคะแนนขึ้นอยู่กับระดับความยาก

 

ตัวอย่างหมวด  Cipher

#Time to practice our CW.

Step 1:  CyberChef > From Morse Code

#Time  to return to the bas(e)ics and eat a salad.

TFk6THBLeHFqdWJMcEt4cWp1Yq==

Step 1: From base64 >>  LY:LpKxqjubLpKxqjub

Step 2:https://www.dcode.fr/caesar-cipher

IV:ImHungryImHungry

#I can't remember that URL. I wish I could rewind my day and bookmark it!

URL Encode Charecters

URL Decode

#BIN TO HEX keeps reminding (download file)

Step 1:From Binary

Step 2: From Hex

Flag: You must use the same email address on the CTF site as you used to register for the conference. Additional user accounts are prohibited, and any user found creating multiple accounts will be disqualified.

Magnet Virtual Summit Capture The Flag 2023 - Cipher

Creadit:magnetforensics

Magnet Virtual Summit Capture The Flag 2023  Writeups 

MVS 2023 CTF Writeups 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #CTF