Network Forensic Exercise: telnet

Practical Exercise: Analyzing a Telnet Attack 

แบบฝึกหัด: การวิเคราะห์การโจมตีผ่าน Telnet จากไฟล์ Packet Capture

Objective:

1. To practice using an online tool (apackets.com) to analyze network traffic.

2. To understand the vulnerabilities of the Telnet protocol, which transmits data in plaintext.

3. To practice extracting crucial information from a Packet Capture file.

File Used: Demo3.1 telnet.pcap (This file can be downloaded from common cybersecurity training resources)

Tool: Website: https://apackets.com/

Instructions:

1. Go to the website https://apackets.com/

2. Upload the file Demo3.1 telnet.pcap to the tool.

3. Use the various features of the website to answer the following questions.

Analysis Questions:

Part 1: Initial Analysis

1. What main types of packets (Protocols) are exchanged during this Telnet connection, and what is the destination port?(ระหว่างการเชื่อมต่อ Telnet มีการส่ง packet ประเภทใดบ้าง (Protocol) เป็นหลัก และใช้พอร์ตอะไรเป็นพอร์ตปลายทาง?)

Part 2: Extracting Login Credentials
2. The Telnet protocol transmits data in Clear Text. By examining the packet contents, what Username and Password were used for the login?(จากเนื้อหาของ Packet ที่ส่งผ่านโปรโตคอล Telnet ซึ่งส่งข้อมูลเป็นแบบ Clear Text จงหาและเขียน Username และ Password ที่ใช้ในการล็อกอินได้)

Part 3: Analyzing Post-Login Commands

3.First Command: คำสั่งแรกที่ผู้โจมตีรันหลังจากล็อกอินสำเร็จคืออะไร? และวัตถุประสงค์ของคำสั่งนี้คืออะไร?

4.Next Commands: What subsequent command did the attacker attempt to run? What is the purpose of this command?(คำสั่งต่อมาที่ผู้โจมตีพยายามรันคืออะไร? และคำสั่งนี้มีวัตถุประสงค์เพื่ออะไร?)

Part 4: Assessing Risk and Impact

5.Impact: If this attack was successful, what are two actions the attacker could potentially perform on the target system?(หากการโจมตีนี้สำเร็จ ผู้โจมตีสามารถทำอะไรได้บ้างบนระบบเป้าหมาย? จงอธิบายอย่างน้อย 2 ข้อ)

6.Prevention: What are at measures that could prevent this type of attack?(มาตรการใดที่สามารถป้องกันการโจมตีลักษณะนี้ได้? )

Important Notes:ข้อควรระวัง:

• The Telnet protocol in this file transmits data in clear text, making it easy to read.(โปรโตคอล Telnet ในไฟล์นี้แสดงข้อมูลที่เป็นข้อความล้วน (Clear Text) ทำให้สามารถอ่านได้ง่าย)

• This data is an example of a real-world cyber threat, as login credentials are sent over the network without encryption.(ข้อมูลที่ได้นี้คือตัวอย่างของภัยคุกคามทางไซเบอร์ที่เกิดขึ้นได้จริง เนื่องจากข้อมูลรับรองการล็อกอิน (Credentials) ถูกส่งไปในเครือข่ายโดยไม่มี encryption)

Tip: For your analysis, use the "Follow TCP Stream" feature or view the packet payload on the apackets.com website to see the entire conversation sequence and all commands clearly.(คำแนะนำ: ในการวิเคราะห์ ให้ใช้ฟีเจอร์ "Follow TCP Stream" หรือการดูเนื้อหา (Payload) ของ packet ในเว็บไซต์)

This exercise is designed to help you practice data extraction and understand the risks associated with using outdated and insecure protocols.

อ่านเพิ่มเติม:

• Network Forensic Exercise:Wireshark telnet
• Network Forensics:นิติวิทยาระบบเครือข่าย

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรีบนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

Digital Forensics: Computer forensics Investigations Course (2 Day)

Photo credit: Orion forensics lab

หลักสูตรอบรมการพิสูจน์หลักฐานทางคอมพิวเตอร์ 2 วัน

หลักสูตรเตรียมความพร้อมเป็นพนักงานเจ้าหน้าที่ตามพรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์

วัตถุประสงค์เพื่อให้พนักงานเจ้าหน้าที่ได้มีความรู้ความเข้าใจในการพิสูจน์หลักฐาน ทางคอมพิวเตอร์สามารถนำไปประยุกต์ใช้ในการปฏิบัติงานได้อย่างถูกต้อง และเพิ่มประสิทธิภาพการช่วยเหลือประชาชนด้านคดีและภัยออนไลน์

Course Level:
The course is aimed at people who are responsible for digital forensic investigations or are wishing to become digital forensic investigators, To be used as a guideline for organizing short-term, intensive training for individuals who will be appointed as digital forensics officers. including: IT security professionals and law enforcement officers.

Day 1 – Computer Forensics

• The needs for Computer Forensics
• What is digital forensics ?
• Principles of Computer Forensics and Digital/Electronic Evidence

• SWGDE

• ACPO
• ISO/IEC 27037:2012
• แนวทางการตรวจพิสูจน์หลักฐานทางดิจิทัลที่เกี่ยวข้อง
• หลักการพื้นฐานด้านนิติคอมพิวเตอร์
• Crime scene, Digital/Electronic Evidence and Chain of Custody

• Electronic Evidence Seizer

• Seized Forensic data collection เตรียมอุปกรณ์เก็บหลักฐานดิจิทัล

  เตรียมความพร้อมก่อนไป Onsite

• วิธียึดคอมพิวเตอร์

• การถ่ายภาพในที่เกิดเหตุ

• Case study Forensic Acquisition

• นิติวิทย์ฯ ร่วมกับ DSI เข้าร่วมตรวจค้นและจัดเก็บพยานหลักฐาน

• การเก็บหลักฐานอิเล็กทรอนิกส์ คดีละเมิดลิขสิทธิ์และพนันออนไลน์

• การตรวจค้นและยึดพยานหลักฐานดิจิทัล  - บก.ปอท

• การเก็บพยานหลักฐานทางดิจิทัล (Digital Evidence Collection)

• แบบฟอร์มการเก็บรักษาพยานหลักฐาน

• การรับรองความถูกต้องสมบูรณ์ของนิติวิทยาศาสตร์ดิจิทัล

• Capturing the Data Image and Volatile Data

• Volatile data 

• Acquiring an Image with FTK Imager

• LAB Magnet RAM Capture

• Lab Capture Live RAM Contents with Free Tool from Belkasoft!

• Acquisition of Memory & Memory Forensic Tools

• Lab : PowerShell Get-FileHash

• What changes will affect file hash value changes.

• Extracting Information from Captured Data
• ประเภทของข้อมูลดิจิทัล
• Breaking Password and Encryption
• Lab BREAKING PASSWORD AND ENCRYPTION : fcrackzip
• Lab Hashcat to crack

• Breaking Password and Encryption:hashcat

• Lab Hashcat II

• MD5 conversion and reverse lookup

• ZIP PASSWORD BRUTEFORCER

• BRUTE FORCE ATTACK FTP

• Brute Force Attack SSH

• Brute Force Attack SSH PART II

• Using Computer Forensics Tools

• Computer Forensics Tools

• Disk tools and data capture

• Investigation and Interrogation
• Digital/Electronic Evidence Analysis and Synthesis
• Demo การสร้างเครื่องเสมือนจากสำเนาหลักฐานดิจิทัล (Forensic Copy)

• Lab Booting a forensics image on a Virtual Machine

Day 2: Network/Internet Forensics

• Testify in Court, Admissibility requirements

• การรับฟังข้อมูลอิเล็กทรอนิกส์เป็นพยานหลักฐาน

• หลักการชั่งน้ำหนักและการรับฟังพยานหลักฐานดิจิทัลในชั้นศาล

• แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

• How to prepare a forensic Report

• การจัดทำรายงานการตรวจพิสูจน์หลักฐาน (Forensics Investigation Report)

• ตัวอย่างรายงาน Digital Forensics

• Digital Forensics Service Request Form

• Different between Computer Forensics and Network/Internet Forensics
• Network/Internet Forensics

• นิติวิทยาระบบเครือข่าย (Network Forensics) 

• เทคนิคการสืบสวนยุคดิจิทัล (Investigation in the digital)

• แนวทางการรวบรวมพยานหลักฐานปัญหาการพนันออนไลน์

• เทคนิคการสืบสวนทางอินเทอร์เน็ต

• Exercise log file Analysis
• How to collect network traffic logs
• How to collect network traffic logs with Wireshark 

•  Lab ข้อมูลจาก FTP

•  Lab Exercise Wireshark telnet 
• Guidance on digital forensics and protective monitoring specifications
• Using Network/Internet Forensics Tools and Workshop
• MAGNET Web Page Saver โปรแกรมสำหรับช่วยดาวน์โหลดข้อมูลของเว็บเพจ
• NetworkMiner

• Essential Linux Commands for Log Analysis

• นิติวิทยาศาตร์ร่วมปฏิบัติการ Task Force จับกุมผู้กระทำความผิดฐานครอบครองสื่อลามกอนาจารเด็ก

• คดี DSIค้น18จุดทั่วปท.รวบผู้ต้องหาละเมิดเด็ก

• กรณีศึกษา ปิดจบสยบ Fiwfans (ฟิวแฟน)

• PHOTODNA

• WhatsMyName (OSINT)

• Open Source Intelligence (OSINT) Tools & Resources

• Lab Geolocation 
• Search by Image

• เทคนิคค้นหา email ใน Internet

• WayBack Machine เป็นเว็บไซต์ที่บันทึกและเก็บรวบรวมข้อมูลของเว็บไซต์ต่าง ๆ

• webpage archive

• Computer Forensics Tools

Day 3: Website Investigation

           Website Investigation  & OSINT  พื้นฐานการสืบสวนเว็บไซต์ & ขั้นตอนการตรวจสอบเว็บไซต์

1. Case Study ตัวอย่างจริง:
• เว็บไซต์ฟิชชิ่งปลอมธนาคาร
• เว็บไซต์ขายสินค้าละเมิดลิขสิทธิ์
• เว็บไซต์เผยแพร่ภาพยนตร์/ละครละเมิดลิขสิทธิ์
2. วิธีการแจ้งรายงานช่องใน YouTube
3. การเก็บหลักฐานเว็บไซต์ละเมิดลิขสิทธิ์และขั้นตอนการร้องขอระงับหรือปิดกั้นเว็ปไซต์
4. ความท้าทายในการสืบสวนเว็บไซต์

• Lab Fake website   การตรวจสอบและยืนยันเว็บไซต์ปลอม หรือเว็บหลอกลวง Lab 
• Detector Identify Ai generated images  หลักการตรวจสอบรูปโดย AI
• การพิสูจน์ เว็บไซต์จริง vs เว็บไซต์ปลอม (Fake / Phishing / Scam)

COURSE REQUIREMENTS
In preparation for the course, participants should download and install the following tools:

• Ram Capture tools
• FTK Imager
• VirtualBox 7.1.6 8addd310d09249bc176c9c891aae41cb  
• Kali Linux
• Wire shark
• OSINT
• HashMyFiles v2.50  SHA1:  94fd2cefe8a3b19c3904ac8c5fe64bb65f1a0fc1
• exiftool
• hashmyfiles

Laptop requirements:

• OS: Windows 10
• CPU: Core i3 or better
• RAM: 4GB

Computer forensics Investigations Course (2 Day) QR Code

Link กําหนดการจัดอบรมเตรียมความพร้อมผู้ที่จะได้รับการแต่งตั้งเป็นพนักงานเจ้าหน้าที่

ตามพระราชบัญญัติว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ฯ

คำถาม-ตอบ

Q. การแก้ไข Metadata ทำให้ค่า hash เปลี่ยนแปลงหรือไม่ ?

A. Metadata

Q. แนวทางการตรวจพิสูจน์หลักฐานทางดิจิทัลมีแนวทางหรือเอกสารอ้างอิงใดบ้าง?

A.  แนวทางการตรวจพิสูจน์หลักฐานทางดิจิทัลที่เกี่ยวข้อง

Q. มีเอกสารอ้างอิงเรื่อง ทำมัยต้องดึงปลั๊กไฟเพื่อปิดเครื่ืองคอมพิวเตอร์ที่เปิดอยู่ หรือไม่? 

A. SWGDE Best Practices for Digital Evidence Collection Version: 1.0

SWGDE Best Practices for Digital Evidence Collection Version: 1.0 (July 11, 2018),Page 6.

SWGDE Best Practices for Computer Forensics Version 2.1 (July 2006)

Collection and the handling of digital evidence

GUIDELINES FOR DIGITAL FORENSICS FIRST RESPONDERS ,InterPol, Page 17.

ACPO Good Practice Guide for Digital Evidence, Version 5 (October 2011) ,Page 32.

ข้อเสอนแนะมาตราฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน ก.ย.2559 ,หน้า 6.

Q  วิธีชั่งน้ำหนักพยานหลักฐานทางวิทยาศาสตร์ หรือคอมพิวเตอร์.?

A. โจทก์ต้องยืนยันได้ว่า.. ข้อเท็จจริงที่ได้ เกิดจากพยานที่นำมาตรวจวิเคราะห์ว่า.. เป็นพยานที่เกี่ยวข้องกับเหตุการณ์จริง.. ไม่ถูกแทรกแซงโดยบุคคลที่ไม่เกี่ยวข้อง..

พยานหลักฐานยังคงสภาพและเนื้อหาตรงตามจริง ไม่ถูกแก้ไขเปลี่ยนแปลงเพราะธรรมชาติ หรือการกระทำของบุคคลใด รวมทั้ง เจ้าหน้าที่เอง..

ศาลในต่างประเทศจะชั่งน้ำหนัก โดยมีหลักว่า.. เจ้าหน้าที่ต้องรวบรวมพยานหลักฐาน.. เก็บรักษา.. ตรวจวิเคราะห์.. และส่งต่อกัน โดยใช้ขั้นตอนหลักปฏิบัติและเครื่องมือที่เป็นมาตรฐานสากล..

หากไม่ปฏิบัติตามขั้นตอน หรือใช้เครื่องมือ ซอล์ฟแวร์ไม่ได้มาตรฐาน.. ศาลจะไม่รับฟังพยานหลักฐานนั้น..

เช่น ไม่ใส่ถุงมือขณะรวบรวมพยาน.. หรือไม่ใส่เครื่องโทรศัพท์ในถุงฟาราเดย์..

เก็บหลักฐานไว้ในที่อุณหภูมิสูงเกินไป.. ไม่ทำสำเนาข้อมูลคอมพิวเตอร์.

หรือขณะทำสำเนาก่อนตรวจพิสูจน์ ไม่มีการตรวจสอบความผิดพลาดด้วยโปรแกรม MD5.. เป็นต้น

ข้อมูลจาก: "หลักกฎหมายพยานหลักฐานเบื้องต้น" โพสต์นี้เหมาะกับนักศึกษากฎหมายใหม่.. และประชาชนที่สนใจเรื่องพยานหลักฐาน.. โดยจะเน้นพยานในคดีอาญานะครับ.. ดร.ธีร์รัฐ บุนนาค

Q.  ระยะเวลาที่ใช้ทำสำเนาหลักฐาน (Forensic image ) เวลาเท่าไหร่ ขึนอยู่กับปัจจัยอะไรบ่้าง?

A. กระบวนการนิติวิทยาศาสตร์ดิจิทัล (Digital Forensics) โดยทั่วไปแล้ว เวลาที่ใช้ในการสร้างสำเนาหลักฐานจะขึ้นอยู่กับความจุของอุปกรณ์เก็บข้อมูลและปัจจัยอื่น ๆ อีกหลายประการ ดังนี้

การทำสำเนาหลักฐานแบบ Forensic Image หรือ Bit-stream Copy คือการคัดลอกข้อมูลแบบ bit-for-bit ทั้งหมดจากอุปกรณ์ต้นฉบับไปยังอุปกรณ์เป้าหมาย เวลาที่ใช้จะขึ้นอยู่กับความจุและปัจจัยหลัก ๆ ดังตารางสรุปด้านล่าง:

ความจุและประเภทอุปกรณ์	ความเร็วโดยประมาณ (เทียบกับ HDD)	ปัจจัยที่เกี่ยวข้อง
HDD SATA 500 GB	ช้า (เป็นพื้นฐานในการเปรียบเทียบ)	จำกัดด้วยความเร็วรอบ (RPM) และอินเทอร์เฟซ SATA
-	-	-
SSD 500 GB	เร็วกว่า HDD SATA 500 GB มาก	ความเร็วในการอ่าน/เขียนสูงกว่าฮาร์ดดิสก์จานหมุน (HDD)
SSD 1 TB	เร็วกว่า HDD SATA 1 TB มาก	แม้ความจุสูง แต่ยังเร็วกว่าSATA  HDD ในขนาดเท่ากัน

คอขวด (Bottleneck): หากอุปกรณ์ปลายทาง (Destination) ที่ใช้เก็บไฟล์ Image มีความเร็วในการเขียนต่ำกว่าความเร็วในการอ่านของอุปกรณ์ต้นฉบับ (Source) กระบวนการจะถูกจำกัดด้วยอุปกรณ์ที่ช้ากว่า

1.ความจุและชนิดของอุปกรณ์ (Source & Destination Media)

ความจุ: เป็นตัวกำหนดปริมาณข้อมูลทั้งหมดที่ต้องถูกคัดลอก แม้แต่พื้นที่ว่างที่ไม่ได้ใช้งาน (Unallocated Space) ก็ถูกคัดลอกทั้งหมด

ประเภทอุปกรณ์:

SSD (Solid State Drive): มีอัตราการถ่ายโอนข้อมูลที่สูงกว่า มักใช้เวลาน้อยกว่า

2.เครื่องมือและช่องทางการเชื่อมต่อ (Tool & Interface)

• อุปกรณ์ Imagers/Write Blockers:

การใช้ Hardware Write Blockers (เช่น Tableau) มักจะให้ความเร็วและเสถียรภาพที่ดีกว่า และที่สำคัญคือ ป้องกันการแก้ไขข้อมูลต้นฉบับ

• อินเทอร์เฟซ:

การเชื่อมต่อผ่านพอร์ตที่ให้ความเร็วสูงกว่า เช่น USB 3.x, SATA III, NVMe Enclosures จะเร็วกว่า USB 2.0 หรือ SATA รุ่นเก่า

3. กระบวนการเสริม (Ancillary Processes)

• การคำนวณ Hash: เครื่องมือจะทำการคำนวณค่า Hash Value (เช่น MD5, SHA-256) ไปพร้อมกันเพื่อยืนยันความสมบูรณ์ของหลักฐาน (Data Integrity) ซึ่งต้องใช้พลังประมวลผลของ CPU การคำนวณนี้เพิ่มเวลาโดยรวมขึ้นเล็กน้อย
• สถานะอุปกรณ์: หากอุปกรณ์ต้นฉบับมี Bad Sectors หรือมีปัญหาทางกายภาพ เครื่องมือจะต้องใช้ความพยายามในการอ่านซ้ำ (Retries) ซึ่งจะทำให้กระบวนการช้าลงอย่างมากและอาจต้องใช้เครื่องมือเฉพาะทางในการกู้คืนข้อมูล

Q. ยกตัวอย่างปัญหาการตรวจสอบไอพี (IP Address) จากผู้ให้บริการอินเทอร์เน็ต? 

A. มีกรณีที่ผู้กระทำความผิดใช้งาน VPN (Virtual Private Network) เพื่อปกปิดหมายเลขไอพี (IP Address) ไว้ หากเจอกรณีดังกล่าวนี้ก็จะก่อให้เกิดความยุ่งยากในการค้นหาตัวผู้กระทำความผิดเพิ่มมากขึ้น เพราะการใช้เครือข่ายอินเทอร์เน็ตผ่าน VPN นี้ จะทำให้ผู้ใช้บริการอินเทอร์เน็ตสามารถเชื่อมต่ออินเทอร์เน็ตกับเครือข่ายอินเทอร์เน็ตในประเทศใดก็ได้ เช่น ผู้กระทำความผิดอาศัยอยู่ที่ประเทศมาเลเซีย แต่ได้เชื่อมต่อบริการ VPN ให้เครือข่ายเน็ตเวิร์คของตนไปอยู่ที่ประเทศออสเตรเลีย ดังนั้นกระบวนการตรวจสอบจากไอพี (IP Address) ของผู้กระทำความผิดก็จะไม่แสดงว่าผู้กระทำความผิดอยู่ที่ประเทศมาเลเซีย แต่จะแสดงผลลัพธ์ว่าผู้กระทำความผิดอยู่ที่ประเทศออสเตรเลีย เป็นต้น หากเกิดกรณีดังกล่าวข้างต้นนี้ ก็จะทำให้ไม่สามารถตามตัวผู้กระทำความผิดได้เลย (ยกเว้นในประเทศที่มีการพัฒนาของเทคโนโลยีไปในขั้นสูงแล้วเท่านั้น)

Q. ในการทำ Digital Forensics เมื่อเจ้าหน้าที่อยู่คนละพื้นที่ หรือต้องการลดการเดินทาง (Remote Forensics) มีแนวทางและเทคโนโลยีที่ช่วยให้ทำงานได้อย่างมีประสิทธิภาพและยังคงรักษาความถูกต้องของพยานหลักฐาน (Evidence Integrity) (22-23 ม.ค 2569)

A. แนวทางดังต่อไปนี้

1. Remote Data Acquisition (การเก็บพยานหลักฐานระยะไกล)

วิธีนี้ช่วยให้เจ้าหน้าที่ไม่ต้องเดินทางไปยังที่เกิดเหตุ แต่สามารถดึงข้อมูลผ่านเครือข่ายได้:

• Agent-based Collection: ใช้เครื่องมือประเภท EDR (Endpoint Detection and Response) หรือเครื่องมือทางนิติวิทยาศาสตร์ที่มี Agent ติดตั้งอยู่ที่เครื่องเป้าหมาย (เช่น F-Response, Magnet , Beklasoft) เพื่อดึงข้อมูล RAM หรือ Disk Image ผ่านเน็ตเวิร์ก

• Live Response Tools: ส่งสคริปต์หรือเครื่องมือประเภท "Portable" ให้เจ้าหน้าที่หน้างาน (On-site non-technical staff) รันเพื่อเก็บข้อมูลที่เป็น (Volatile Data) แล้วส่งกลับมาผ่านระบบ Cloud ที่มั่นคงปลอดภัย

• หมายเหตุ:ยังต้องมีเจ้าหน้าที่ที่มีอำนาจหน้าที่อยู่หน้างานส่วนหนึ่ง

2. Cloud Forensics & Centralized Analysis (การวิเคราะห์บนคลาวด์)

แทนที่จะส่งฮาร์ดไดรฟ์พยานหลักฐานไปมา เราใช้การวิเคราะห์บนระบบส่วนกลาง:

• Evidence Upload to Secure Cloud: เมื่อทำ Image เสร็จแล้ว ให้ Upload ไฟล์พยานหลักฐานขึ้นไปยัง Cloud Storage ที่มีการเข้ารหัสและทำ Checksum (Hash) เพื่อตรวจสอบความถูกต้อง

• Collaborative Platforms: ใช้ซอฟต์แวร์นิติวิทยาศาสตร์ที่รองรับระบบ Multi-user เช่น FTK (Forensic Toolkit) Central หรือ Magnet AXIOM Cyber ซึ่งช่วยให้นักสืบสวนหลายคนล็อกอินเข้ามาวิเคราะห์เคสเดียวกันจากคนละจังหวัดหรือคนละประเทศได้พร้อมกัน

• Digital Chain of Custody (การจัดการโซ่พยานหลักฐานแบบดิจิทัล)

  • ใช้ระบบ e-Discovery หรือซอฟต์แวร์จัดการเคสออนไลน์ในการบันทึกว่า "ใคร" เข้าถึงหลักฐาน "เมื่อไหร่" และ "ทำอะไรไปบ้าง" เพื่อให้สอดคล้องกับมาตรฐานทางกฎหมาย แม้ทีมงานจะไม่ได้เจอหน้ากันเลยก็ตาม

ข้อควรระวังในการทำงานระยะไกล:

1. Bandwidth: การโอนย้ายไฟล์ Image ขนาดใหญ่ (หลัก Terabytes) อาจใช้เวลานานมาก

2. Chain of Custody: ต้องมีมาตรการยืนยันตัวตนเจ้าหน้าที่หน้างานอย่างเข้มงวด

3. Data Privacy: การส่งข้อมูลข้ามเครือข่ายต้องผ่าน VPN หรือการเข้ารหัส (Encryption) ที่แข็งแกร่งเท่านั้น

Q.  ในการเป็นพยานในชั้นศาล (Expert witness ) ท่านสามารถยืนยันขั้นตอนการเก็บหลักฐานดิจิทัล และกระบวนวิเคราะห์หลักฐานดิจิทัลอย่างไรว่า ไม่ถูกแก้ไข เปลี่ยนแปลง และไม่ปนเปื้อน ? (22-23 ม.ค 2569)

A. ในการปฏิบัติหน้าที่เป็น พยานผู้เชี่ยวชาญ (Expert Witness) สิ่งสำคัญที่สุดไม่ใช่เพียงแค่ "ผลลัพธ์" ของการสืบสวน แต่คือ "กระบวนการที่ได้มาซึ่งหลักฐาน" ซึ่งคุณต้องพิสูจน์ให้ศาลเห็นถึงความบริสุทธิ์ของหลักฐานดังนี้

1. การรักษาโซ่พยานหลักฐาน (Chain of Custody)

คุณต้องแสดงเอกสารที่บันทึก "เส้นทาง" ของหลักฐานอย่างละเอียดตั้งแต่วินาทีแรกที่ตรวจพบจนถึงวันที่นำมาแสดงต่อศาล

• รายละเอียดที่ต้องระบุ: ใครเป็นคนเก็บ, เก็บที่ไหน, วันเวลาใด, สภาพอุปกรณ์เป็นอย่างไร, และใครเป็นผู้ถือครองในลำดับถัดไป

• การยืนยันในศาล: ยืนยันว่าหลักฐานถูกเก็บไว้ในที่ปลอดภัย (เช่น ตู้เซฟควบคุมอุณหภูมิและความชื้น หรือห้องเก็บหลักฐาน) และมีการลงลายมือชื่อทุกครั้งที่มีการเปลี่ยนมือ

---

2. การใช้ค่าแฮชยืนยันความถูกต้อง (Digital Fingerprinting)

นี่คือหลักฐานทางวิทยาศาสตร์ที่แข็งแกร่งที่สุดในการยืนยันว่าหลักฐาน "ไม่ถูกแก้ไข"

• กระบวนการ: เมื่อเข้าถึงหลักฐานต้นฉบับ คุณต้องคำนวณค่า Hash Value (เช่น MD5, SHA-1 หรือ SHA-256) ทันที

• การยืนยันในศาล: อธิบายว่าค่า Hash เปรียบเสมือน "ลายนิ้วมือดิจิทัล" หากมีการเปลี่ยนแปลงข้อมูลแม้เพียง 1 บิต (1 Bit) ค่า Hash จะเปลี่ยนไปโดยสิ้นเชิง การที่ค่า Hash ของ หลักฐานต้นฉบับ ตรงกับ หลักฐานจำลอง (Image) และตรงกับ วันที่นำเสนอในศาล เป็นการพิสูจน์ความสมบูรณ์ของข้อมูล 100%

---

3. การทำสำเนาแบบบิตต่อบิต (Forensic Imaging & Write Blocker)

คุณต้องยืนยันว่าคุณไม่ได้ทำงานบน "เครื่องต้นฉบับ" แต่ทำงานบน "สำเนา"

• Write Blocker: ต้องยืนยันว่าใช้เครื่องมือ Hardware Write Blocker เพื่อป้องกันไม่ให้ระบบปฏิบัติการเขียนข้อมูลใดๆ ลงไปในหลักฐานต้นฉบับขณะทำสำเนา

• Bit-by-Bit Copy: ยืนยันว่าเป็นการสำเนาทุกเซกเตอร์ (Sector) รวมถึงพื้นที่ว่าง (Unallocated Space) ไม่ใช่การ Copy-Paste ไฟล์ปกติ

• การยืนยันในศาล: "ข้าพเจ้าปฏิบัติงานบนภาพจำลองหลักฐาน (Forensic Image) โดยเครื่องต้นฉบับถูกเก็บรักษาไว้ในสภาพเดิมทุกประการตั้งแต่วินาทีแรกที่เข้ายึด"

---

4. การใช้เครื่องมือและระเบียบวิธีวิจัยที่เป็นมาตรฐาน (Standard Methodology)

ศาลจะเชื่อถือหากกระบวนการของคุณเป็นไปตามมาตรฐานสากล เช่น ISO/IEC 27037 หรือหลักการของ ACPO หรือแนวทางปฎิบัติอืนๆที่เกี่ยวข้อง

• Validated Tools: เครื่องมือที่ใช้ (เช่น EnCase, FTK, Autopsy) ต้องเป็นเครื่องมือที่ได้รับการยอมรับในระดับสากลและผ่านการตรวจสอบ (Validation) ว่าไม่ทำให้ข้อมูลเปลี่ยนแปลง

• Repeatability & Reproducibility: ยืนยันว่าหากผู้เชี่ยวชาญคนอื่นใช้วิธีการเดียวกันและเครื่องมือแบบเดียวกันกับหลักฐานชุดนี้ จะต้องได้ผลลัพธ์แบบเดียวกันเสมอ

Video By PreventOnlineCrime_MDES 

"บรรยากาศงานอบรมเพื่อเตรียมความพร้อมฯ ครั้งที่ 1 (วันที่ 6 ก.พ. 2568)"

Video By PreventOnlineCrime_MDES 

"บรรยากาศงานอบรมเพื่อเตรียมความพร้อมฯ ครั้งที่ 1 (วันที่ 7 ก.พ. 2568)"

Video By PreventOnlineCrime_MDES 

บรรยากาศงานอบรมเพื่อเตรียมความพร้อมฯ ครั้งที่ 2 (วันที่ 13 มี.ค. 2568)

Video By PreventOnlineCrime_MDES 

บรรยากาศงานอบรมเพื่อเตรียมความพร้อมฯ ครั้งที่ 2 (วันที่ 14 มี.ค. 2568)

 

อ่านเพิ่มเติม :

• หลักสูตรอบรมเตรียมพร้อมเป็นพนักงานเจ้าหน้าที่ตามพ.ร.บ.ไซเบอร์ฯ
• คุณสมบัติของพนักงานเจ้าหน้าที่ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• ดีอี เปิดอบรมเตรียมความพร้อม ผู้ที่จะได้รับการแต่งตั้งเป็นพนักงานเจ้าหน้าที่ตาม พ.ร.บ.คอมพิวเตอร์
• งานอบรมฯ ผู้ที่จะได้รับการแต่งตั้งเป็นพนักงานเจ้าหน้าที่ตาม พ.ร.บ.คอมฯ
• หลักสูตรอบรมพิสูจน์หลักฐานทางคอมพิวเตอร์ (Computer Forensics)” Orion Forensics Lab ร่วมกับ บมจ.โทรคมนาคมแห่งชาติ.

ที่มา: Orion forensics Lab ,@PreventOnlineCrime_MDES

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรียนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์ #พยานหลักฐานดิจิทัล