Digital Forensics: log file Analysis

 

Check Windows Event Logs.

• On Windows XP  , are stored in c:\windows\system32\config
• By default, Event Viewer log files use the .evt extension and are located in the %SystemRoot%\System32\winevt\Logs folder.
  
  • Application.evtx: Logs events from applications and programs.
  • Security.evtx: Logs security events like successful or failed logins.
  • System.evtx: Logs events related to Windows system components and drivers
    
    
    

Export all successful logon events to a text file named `logons.txt` on the computer's Desktop.

1. Open Event Viewer and expand Windows Logs.

Using the Run Dialog:

Press Windows + R to open the Run dialog.

Type eventvwr and press Enter.

Or Using the Start Menu:

Click on the Start button or press the Windows key.

Type Event Viewer in the search box and select it from the search results.

• Under Windows Logs, click on the Security which will populate the security events
  

• In the Actions area, select Filter Current Log.
  

• In the All Event IDs field, enter the Event ID 4624, then click OK.
• In the Actions area, click on Save Filtered Log File As.
  

• Select Desktop for the location, for the file name type logons.txt or logons.event, and select Text or Event files for the Save as type.
  

• Click the Save button.

2. Export all events from the security log to a file named `security.txt` on the server's Desktop.

1. In the Action area, click Clear Filter to remove the filter from the previous section.

• Right click on Security under Windows Logs and select Save All Events As.
• Select Desktop for the location, for the file name type security.txt or security.event  and select Text or Event files for the Save as type.
• Click the Save button.

Q:On the system, what time did the user last log into the system?  Download Event log

Ans:

  A user successfully logged on to a computer. For information about the type of logon, see the Logon Types table below.

4624(S): An account was successfully logged on.

ที่มา:ultimatewindowssecurity

อ่านเพิ่มเติม  Event Viewer

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรีบนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

Digital Forensics: Computer forensics Investigations Course (2 Day)

Photo credit: Orion forensics lab

หลักสูตรอบรมการพิสูจน์หลักฐานทางคอมพิวเตอร์ 2 วัน

หลักสูตรเตรียมความพร้อมเป็นพนักงานเจ้าหน้าที่ตามพรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์

วัตถุประสงค์เพื่อให้พนักงานเจ้าหน้าที่ได้มีความรู้ความเข้าใจในการพิสูจน์หลักฐาน ทางคอมพิวเตอร์สามารถนำไปประยุกต์ใช้ในการปฏิบัติงานได้อย่างถูกต้อง และเพิ่มประสิทธิภาพการช่วยเหลือประชาชนด้านคดีและภัยออนไลน์

Course Level:
The course is aimed at people who are responsible for digital forensic investigations or are wishing to become digital forensic investigators, To be used as a guideline for organizing short-term, intensive training for individuals who will be appointed as digital forensics officers. including: IT security professionals and law enforcement officers.

Day 1 – Computer Forensics

• The needs for Computer Forensics
• What is digital forensics ?
• Principles of Computer Forensics and Digital/Electronic Evidence

• SWGDE

• ACPO
• แนวทางการตรวจพิสูจน์หลักฐานทางดิจิทัลที่เกี่ยวข้อง
• Crime scene, Digital/Electronic Evidence and Chain of Custody

• Electronic Evidence Seizer

• Seized Forensic data collection เตรียมอุปกรณ์เก็บหลักฐานดิจิทัล

  เตรียมความพร้อมก่อนไป Onsite

• วิธียึดคอมพิวเตอร์

• การถ่ายภาพในที่เกิดเหตุ

• Case study Forensic Acquisition

• นิติวิทย์ฯ ร่วมกับ DSI เข้าร่วมตรวจค้นและจัดเก็บพยานหลักฐาน

• การเก็บหลักฐานอิเล็กทรอนิกส์ คดีละเมิดลิขสิทธิ์และพนันออนไลน์

• การตรวจค้นและยึดพยานหลักฐานดิจิทัล  - บก.ปอท

• การเก็บพยานหลักฐานทางดิจิทัล (Digital Evidence Collection)

• แบบฟอร์มการเก็บรักษาพยานหลักฐาน

• การรับรองความถูกต้องสมบูรณ์ของนิติวิทยาศาสตร์ดิจิทัล

• Capturing the Data Image and Volatile Data

• Volatile data 

• Acquiring an Image with FTK Imager

• LAB Magnet RAM Capture

• Lab Capture Live RAM Contents with Free Tool from Belkasoft!

• Acquisition of Memory & Memory Forensic Tools

• Lab : PowerShell Get-FileHash

• What changes will affect file hash value changes.

• Extracting Information from Captured Data
• Breaking Password and Encryption
• Lab BREAKING PASSWORD AND ENCRYPTION : fcrackzip
• Lab Hashcat to crack

• Breaking Password and Encryption:hashcat

• MD5 conversion and reverse lookup

• ZIP PASSWORD BRUTEFORCER

• BRUTE FORCE ATTACK FTP

• Brute Force Attack SSH

• Brute Force Attack SSH PART II

• Using Computer Forensics Tools

• Computer Forensics Tools

• Disk tools and data capture

• Investigation and Interrogation
• Digital/Electronic Evidence Analysis and Synthesis
• Demo การสร้างเครื่องเสมือนจากสำเนาหลักฐานดิจิทัล (Forensic Copy)

• Lab Booting a forensics image on a Virtual Machine

Day 2: Network/Internet Forensics

• Testify in Court, Admissibility requirements

• การรับฟังข้อมูลอิเล็กทรอนิกส์เป็นพยานหลักฐาน

• หลักการชั่งน้ำหนักและการรับฟังพยานหลักฐานดิจิทัลในชั้นศาล

• How to prepare a forensic Report

• การจัดทำรายงานการตรวจพิสูจน์หลักฐาน (Forensics Investigation Report)

• ตัวอย่างรายงาน Digital Forensics

• Digital Forensics Service Request Form

• Different between Computer Forensics and Network/Internet Forensics
• Network/Internet Forensics

• นิติวิทยาระบบเครือข่าย (Network Forensics) 

• เทคนิคการสืบสวนยุคดิจิทัล (Investigation in the digital)

• แนวทางการรวบรวมพยานหลักฐานปัญหาการพนันออนไลน์

• เทคนิคการสืบสวนทางอินเทอร์เน็ต

• Exercise log file Analysis
• How to collect network traffic logs
• How to collect network traffic logs with Wireshark 

•  Lab ข้อมูลจาก FTP

•  Lab Exercise Wireshark telnet 
• Using Network/Internet Forensics Tools and Workshop
• MAGNET Web Page Saver โปรแกรมสำหรับช่วยดาวน์โหลดข้อมูลของเว็บเพจ
• NetworkMiner
• นิติวิทยาศาตร์ร่วมปฏิบัติการ Task Force จับกุมผู้กระทำความผิดฐานครอบครองสื่อลามกอนาจารเด็ก

• คดี DSIค้น18จุดทั่วปท.รวบผู้ต้องหาละเมิดเด็ก

• กรณีศึกษา ปิดจบสยบ Fiwfans (ฟิวแฟน)

• PHOTODNA

• WhatsMyName (OSINT)

• Open Source Intelligence (OSINT) Tools & Resources

• Search by Image

• เทคนิคค้นหา email ใน Internet

• WayBack Machine เป็นเว็บไซต์ที่บันทึกและเก็บรวบรวมข้อมูลของเว็บไซต์ต่าง ๆ

• webpage archive

• Computer Forensics Tools

COURSE REQUIREMENTS
In preparation for the course, participants should download and install the following tools:

• Ram Capture tools
• FTK Imager
• VirtualBox 7.1.6 8addd310d09249bc176c9c891aae41cb  
• Kali Linux
• Wire shark
• OSINT
• HashMyFiles v2.50  SHA1:  94fd2cefe8a3b19c3904ac8c5fe64bb65f1a0fc1

Laptop requirements:

• OS: Windows 10
• CPU: Core i3 or better
• RAM: 4GB

Computer forensics Investigations Course (2 Day) QR Code

Link กําหนดการจัดอบรมเตรียมความพร้อมผู้ที่จะได้รับการแต่งตั้งเป็นพนักงานเจ้าหน้าที่

ตามพระราชบัญญัติว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ฯ

อ่านเพิ่มเติม :

• หลักสูตรอบรมเตรียมพร้อมเป็นพนักงานเจ้าหน้าที่ตามพ.ร.บ.ไซเบอร์ฯ
• คุณสมบัติของพนักงานเจ้าหน้าที่ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• ดีอี เปิดอบรมเตรียมความพร้อม ผู้ที่จะได้รับการแต่งตั้งเป็นพนักงานเจ้าหน้าที่ตาม พ.ร.บ.คอมพิวเตอร์
• งานอบรมฯ ผู้ที่จะได้รับการแต่งตั้งเป็นพนักงานเจ้าหน้าที่ตาม พ.ร.บ.คอมฯ

ที่มา: Orion forensics Lab

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรียนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์ #พยานหลักฐานดิจิทัล

หลักสูตรผู้เชี่ยวชาญเฉพาะด้าน การวิเคราะห์ความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity Analyst)

หลักสูตรผู้เชี่ยวชาญเฉพาะด้าน การวิเคราะห์ความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity Analyst)

สำนักวิชาการความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

Photo by:Thailand National Cyber Academy (THNCA) by NCSA

โครงการเร่งรัดการพัฒนาบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์

Photo by:Thailand National Cyber Academy (THNCA) by NCSA

หลักสูตรผู้เชี่ยวชาญเฉพาะด้าน การวิเคราะห์ความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity Analyst)สมัครฟรี, เรียนฟรี, สอบฟรี

เป็นหลักสูตรด้านความมั่นคงปลอดภัยไซเบอร์ในระดับผู้เชี่ยวชาญเฉพาะด้านที่สอดคล้องกับหลักสูตรประกาศนียบัตรสากลด้านการวิเคราะห์ความมั่นคงปลอดภัยทางไซเบอร์ CompTIA CySA+   ซึ่งประกอบไปด้วยเนื้อหาตั้งแต่เรียนรู้การจัดการภัยคุกคามและช่องโหว่ ความปลอดภัยของซอฟต์แวร์และระบบ การปฏิบัติการและการตรวจสอบความปลอดภัย การตอบสนองต่อเหตุการณ์ รวมไปถึงความสำคัญของข้อมูลส่วนบุคคลและการปกป้องอีกด้วย ซึ่งจะเป็นความรู้สำคัญสำหรับการต่อยอดความชำนาญด้านความมั่นคงปลอดภัยทางไซเบอร์ ทั้งในการทำงานและการศึกษาเพิ่มเติมในหลักสูตรขั้นสูงอื่นๆ ต่อไป

รายวิชาในหลักสูตร

หน่วยที่ 01  การจัดการภัยคุกคามและช่องโหว่

หน่วยที่ 02  ความปลอดภัยของซอฟต์แวร์และระบบ

หน่วยที่ 03 การปฏิบัติการและการตรวจสอบความปลอดภัย

หน่วยที่ 04 การตอบสนองต่อเหตุการณ์

แบบทดสอบคัดเลือกผู้เข้าอบรม: หลักสูตรผู้เชี่ยวชาญเฉพาะด้าน การวิเคราะห์ความมั่นคงปลอดภัยทางไซเบอร์

เกณฑ์การได้รับสิทธิ์สอบใบประกาศนียบัตร CompTIA CySA+

(จำนวนสิทธิ์ทั้งหมด 150 สิทธิ์ ตลอดโครงการ)

1. มีเวลาเข้าร่วมอบรมตลอดหลักสูตรไม่น้อยกว่า 75%
2. ทำข้อสอบวัดความรู้หลังเรียนได้คะแนนไม่น้อยกว่า 70%
3. ผลคะแนนสอบวัดความรู้อยู่ในลำดับที่ 1-30 ของรุ่นที่เรียน

เกณฑ์การผ่านและได้รับใบประกาศนียบัตรจาก สกมช.

1. มีเวลาเข้าร่วมอบรมตลอดหลักสูตรไม่น้อยกว่า 75%
2. ทำข้อสอบวัดความรู้หลังเรียนได้คะแนนไม่น้อยกว่า 70%
   
   
   
   Photo by:Thailand National Cyber Academy (THNCA) by NCSA

Photo by:Thailand National Cyber Academy (THNCA) by NCSA

ฝึกทบทวนสำหรับการสอบหลักสูตรผู้เชี่ยวชาญเฉพาะด้าน การวิเคราะห์ความมั่นคงปลอดภัยทางไซเบอร์

Photo by:Thailand National Cyber Academy (THNCA) by NCSA

Photo by:Thailand National Cyber Academy (THNCA) by NCSA

ทบทวนสำหรับการสอบหลักสูตรผู้เชี่ยวชาญเฉพาะด้าน การวิเคราะห์ความมั่นคงปลอดภัยทางไซเบอร์

 

ขอบคุณโครงการดีๆ จากสกมชที่ให้โอกาสครับ

ที่มา:  Thailand National Cyber Academy (THNCA) by NCSA : Intensive Cybersecurity Capacity Building Program  โดย สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

อ่านเพิ่มเติม: CompTIA Security

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรียนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์ #พยานหลักฐานดิจิทัล

Digital Forensics: ปิดจบสยบ Fiwfans (ฟิวแฟน)

 Digital Forensics: ปิดจบสยบ Fiwfans (ฟิวแฟน)

DIGITAL FORENSICS: CASE STUDY 

Photo Credit: CIB ตำรวจสอบสวนกลาง

ปิดจบสยบ Fiwfans (ฟิวแฟน) จตช.แถลงตำรวจสอบสวนกลางเปิดปฏิบัติการปราบแพลตฟอร์มค้ามนุษย์เด็กออนไลน์ เงินหมุนเวียนกว่า 3,000 ล้านบาท

.

Photo Credit:สำนักงานตำรวจแห่งชาติ

เมื่อวันที่ 24 มกราคม 2568 เวลา 14.30 น. พล.ต.อ.ธัชชัย ปิตะนีละบุตร จเรตำรวจแห่งชาติ ( จตช. ) ในฐานะผู้อำนวยการศูนย์ต่อต้านการค้ามนุษย์ สำนักงานตำรวจแห่งชาติ ( ผอ.ศตคม.ตร. ) เป็นประธานแถลงผลการจับกุมกลุ่มขบวนการค้ามนุษย์ซึ่งใช้รูปแบบแฟลตฟอร์มเว็บไซต์ออนไลน์ “ปฏิบัติการ ปิดจบสยบ Fiwfans (ฟิวแฟน) แพลตฟอร์มค้ามนุษย์เด็กออนไลน์”

Photo Credit: ปิดจ็อบ ตำรวจรวบเจ้าของ เว็บฯ Fiwfan ลอบค้าประเวณีออนไลน์ | ข่าวเด็ด 7 สี

.

ทั้งนี้ ตำรวจสอบสวนกลาง โดย พล.ต.ท.จิรภพ ภูริเดช ผู้บัญชาการตำรวจสอบสวนกลาง สั่งการเจ้าหน้าที่ตำรวจ กองบังคับการปราบปรามการค้ามนุษย์ (บก.ปคม.) เข้าช่วยเหลือเด็กหญิงอายุ 16 และ 17 ปี จำนวน 2 ราย ส่งตัวเข้ารับการคุ้มครอง โดยกลุ่มองค์กรอาชญากรรมได้ลักลอบเปิดเว็บไซต์ค้าประเวณีออนไลน์ มากว่า 4 ปี มีรายได้มากกว่า 100 ล้านบาท และมีเงินหมุนเวียนในที่เกี่ยวข้องกับการค้าประเวณี รวมมากกว่า 3,000 ล้านบาท มีหญิงที่ค้าประเวณีผ่านเว็บไซต์ประมาณ 46,000 ราย

Photo Credit: CIB ตำรวจสอบสวนกลาง

.

ปฏิบัติการดังกล่าวสามารถจับกุมผู้กระทำความผิดที่เป็นแอดมินในการเปิดเว็บไซต์ฟิวแฟน ในการเป็นแพลตฟอร์มออนไลน์กลางในการโฆษณาค้าประเวณี จำนวน 5 ราย โดยกลุ่มองค์กรอาชญากรรมมีพื้นฐานความรู้ด้านคอมพิวเตอร์เป็นอย่างดี เป็นโปรแกรมเมอร์ เคยทำธุรกิจเกี่ยวกับเทคโนโลยีสารสนเทศมาก่อน จึงใช้เทคนิคในการปิดพรางซ่อนตัวตน ยากต่อการติดตามจับกุมของเจ้าหน้าที่

พบว่ากลุ่มแอดมินเว็บไซต์จะได้รับเงินที่เป็นค่าโฆษณาค้าประเวณีและค้าประเวณีเด็ก โดยใช้การเติมเงินผ่านระบบทรูมันนี่ และปกปิดซ่อนตัวตนในการตรวจสอบข้อมูล สร้างระบบให้มีการนำเลขทรูมันนี่ เข้าไปเติมเงินในเว็บไซต์ฟิวแฟน และเงินจะผ่านเข้าไปเติมในเกมออนไลน์ นอกจากนั้นยังใช้วิธีการเทคนิคทางคอมพิวเตอร์ในการอำพรางเว็บไซต์ว่าตั้งอยู่ต่างประเทศ

.

นอกจากนี้ มีการจับกุมผู้กระทำความผิดค้ามนุษย์ โดยเป็นแม่เล้าสัญชาติลาว ที่มีการนำเด็กหญิงสัญชาติลาว อายุต่ำกว่า 18 ปี มาค้ามนุษย์โดยการแสวงหาประโยชน์จากการค้าประเวณี ได้รับค่าส่วนแบ่งรายได้จากการค้าประเวณีเด็กมากกว่าเดือนละ 1-2 แสนบาท ทำมามากกว่า 2 ปี โดยโพสต์โฆษณาค้าประเวณีเด็กผ่านเว็บไซต์ฟิวแฟน

.

ต่อมา พ.ต.อ.ทรงกลด เกริกกฤติยา รอง ผบก.อก.บช.ส.รรท.ผบก.ปคม. ได้สั่งการให้มีการเข้าตรวจค้นและจับกุม จำนวน 6 จุด ในเขตพื้นที่กรุงเทพมหานครและปริมณฑล โดยมีการตรวจยึดทรัพย์สินที่เกี่ยวข้อง เช่น สมุดบัญชีธนาคาร เงินสด โฉนดที่ดิน รถยนต์ รถจักรยานยนต์ ทองคำ คอมพิวเตอร์ โทรศัพท์มือถือ และทรัพย์สินมีค่าอื่นๆ จำนวนมาก รวมมูลค่าประมาณ 34 ล้านบาท และได้อายัดเงินในบัญชีธนาคารประมาณ 6 ล้านบาท รวมอายัดทรัพย์สินที่เกี่ยวข้องกับการฟอกเงินกว่า 40 ล้านบาท

Photo Credit: CIB ตำรวจสอบสวนกลาง

Photo Credit: CIB ตำรวจสอบสวนกลาง

Photo Credit: CIB ตำรวจสอบสวนกลาง

ที่มา:

#ปราบปรามการค้ามนุษย์

#สำนักงานตำรวจแห่งชาติ

#Royalthaipolice

 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรีบนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD