Digital Forensics:Windows Forensics
นิติวิทยาระบบปฎิบัติการวินโดว์
หน่วยความจำแบบลบเลือนได้ ซึ่งเป็นหน่วยความจำที่ต้องใช้กระแสไฟฟ้าหล่อเลี้ยง เพื่อเก็บข้อมูล หากเกิดไฟฟ้าดับข้อมูลและโปรแกรมคำสั่งจะสูญหายไป หน่วยความจำประเภทนี้ เช่น (RAM) ของเครื่องคอมพิวเตอร์ สมาร์ตโฟน เป็นต้น
Non-Volatile memory:
เครื่องมือที่ใช้สำหรับการจตรวจพิสูจน์หลัักฐานระบบปฎิบัติการวินโดว์
- JumpListView: เป็นฟรีโปรแกรมที่ใช้สำหรับเปิดดูประวัติรายการที่ถูกเปิดใช้งานล่าสุด เช่นไฟล์โฟลเดอร์ หรือเว็บไซต์
- WinPrefetchView: โปรแกรมที่ใช้ดูประวัติรายละเอียดต่างๆ ของ Prefetch ซึ่งสามารถแสดงรายละเอียดได้ดีกว่าดูจากโฟลเดอร์ของ Prefetch
- USBDeview: โปรแกรมที่ใช้ดูประวัติการเชือมต่ออุปกรณ์ยูเอสบี ซึ่งละเอียด และเข้่าใจได้ง่ายกว่าดูใน Registry
- RegistryExplorer: โปรแกรมที่ใช้สำหรับเปิด และแก้ไขค่าในวินโดว์รีจีสทรี
- SQLiteViewer : เป็นออนไลน์แอปพลิเคชั่นใช้สำหรับเปิดฐานข้อมูล SQLite
บันทึกเหตุการณ์และการดำเนินการที่เกี่ยวข้อง
การค้นหาและพิสูจน์หลักฐานดิจิทัล มีความจำเป็นต้องใช้ข้อมูลจากหลายส่วน ๆ มาประกอบกัน เช่น ในกรณีที่ผู้ต้องสงสัยใช้คอมพิวเตอร์ในการติดต่อซื้อสิ่งผิดกฎหมาย โดยได้ใช้เบราว์เซอร์ทำการดาวน์โหลดรูปสินค้าจากเว็บไซต์ และส่งรูปดังกล่าวไปให้ผู้ลักลอบขายสินค้าผิดกฎหมายผ่านไลน์แอปพลิเคชัน (LINE) เรามีความจำเป็นต้องใช้ข้อมูลจากหลายแหล่งข้อมูลในการพิสูจน์หลักฐานดิจิทัล เช่น
- Prefetch เพื่อแสดงว่าผู้ต้องสงสัยได้เปิดใช้งานเบราว์เซอร์และไลน์แอพพลิเคชัน
ในช่วงเวลาที่มีการส่งข้อมูลกัน - LNK ไฟล์ และ Jump List เพื่อแสดงการใช้งานไฟล์ต่าง ๆ เช่น รูปภาพที่ดาวน์โหลดมาจากอินเทอร์เน็ต
- Browser History โดยดูจากทั้งเมนู History และ Download เพื่อหาประวัติย้อนหลังว่า
ผู้ต้องสงสัยได้เข้ามาใช้เบราว์เซอร์ในการค้นหาและดาวน์โหลดสินค้าเป้าหมายเมื่อไร เวลาใด - ค้นหารูปดาวน์โหลดมาและส่งผ่านไลน์แอปพลิเคชัน
การใช้ฟังก์ชันพื้นฐานของวินโดว์อาจจะไม่เพียงพอต่อการรวบรวมข้อมูลต่าง ๆ เหล่านี้ ดังนั้น การใช้ซอฟต์แวร์ฟรี หรือ ต้องซื้อเข้ามาช่วยจึงเป็นสิ่งสำคัญมาก (นิติวิทยาระบบปฏิบัติการวินโดว์ Windows Forensics ,19 Mar 24, acisonline)
No comments:
Post a Comment