Digital Forensics: Computer forensics Investigations Course (2 Day)

Photo credit: Orion forensics lab

หลักสูตรอบรมการพิสูจน์หลักฐานทางคอมพิวเตอร์ 2 วัน

หลักสูตรเตรียมความพร้อมเป็นพนักงานเจ้าหน้าที่ตามพรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์

วัตถุประสงค์เพื่อให้พนักงานเจ้าหน้าที่ได้มีความรู้ความเข้าใจในการพิสูจน์หลักฐาน ทางคอมพิวเตอร์สามารถนำไปประยุกต์ใช้ในการปฏิบัติงานได้อย่างถูกต้อง และเพิ่มประสิทธิภาพการช่วยเหลือประชาชนด้านคดีและภัยออนไลน์

Course Level:
The course is aimed at people who are responsible for digital forensic investigations or are wishing to become digital forensic investigators, To be used as a guideline for organizing short-term, intensive training for individuals who will be appointed as digital forensics officers. including: IT security professionals and law enforcement officers.

Day 1 – Computer Forensics

• The needs for Computer Forensics
• What is digital forensics ?
• Principles of Computer Forensics and Digital/Electronic Evidence

• SWGDE

• ACPO
• แนวทางการตรวจพิสูจน์หลักฐานทางดิจิทัลที่เกี่ยวข้อง
• หลักการพื้นฐานด้านนิติคอมพิวเตอร์
• Crime scene, Digital/Electronic Evidence and Chain of Custody

• Electronic Evidence Seizer

• Seized Forensic data collection เตรียมอุปกรณ์เก็บหลักฐานดิจิทัล

  เตรียมความพร้อมก่อนไป Onsite

• วิธียึดคอมพิวเตอร์

• การถ่ายภาพในที่เกิดเหตุ

• Case study Forensic Acquisition

• นิติวิทย์ฯ ร่วมกับ DSI เข้าร่วมตรวจค้นและจัดเก็บพยานหลักฐาน

• การเก็บหลักฐานอิเล็กทรอนิกส์ คดีละเมิดลิขสิทธิ์และพนันออนไลน์

• การตรวจค้นและยึดพยานหลักฐานดิจิทัล  - บก.ปอท

• การเก็บพยานหลักฐานทางดิจิทัล (Digital Evidence Collection)

• แบบฟอร์มการเก็บรักษาพยานหลักฐาน

• การรับรองความถูกต้องสมบูรณ์ของนิติวิทยาศาสตร์ดิจิทัล

• Capturing the Data Image and Volatile Data

• Volatile data 

• Acquiring an Image with FTK Imager

• LAB Magnet RAM Capture

• Lab Capture Live RAM Contents with Free Tool from Belkasoft!

• Acquisition of Memory & Memory Forensic Tools

• Lab : PowerShell Get-FileHash

• What changes will affect file hash value changes.

• Extracting Information from Captured Data
• ประเภทของข้อมูลดิจิทัล
• Breaking Password and Encryption
• Lab BREAKING PASSWORD AND ENCRYPTION : fcrackzip
• Lab Hashcat to crack

• Breaking Password and Encryption:hashcat

• MD5 conversion and reverse lookup

• ZIP PASSWORD BRUTEFORCER

• BRUTE FORCE ATTACK FTP

• Brute Force Attack SSH

• Brute Force Attack SSH PART II

• Using Computer Forensics Tools

• Computer Forensics Tools

• Disk tools and data capture

• Investigation and Interrogation
• Digital/Electronic Evidence Analysis and Synthesis
• Demo การสร้างเครื่องเสมือนจากสำเนาหลักฐานดิจิทัล (Forensic Copy)

• Lab Booting a forensics image on a Virtual Machine

Day 2: Network/Internet Forensics

• Testify in Court, Admissibility requirements

• การรับฟังข้อมูลอิเล็กทรอนิกส์เป็นพยานหลักฐาน

• หลักการชั่งน้ำหนักและการรับฟังพยานหลักฐานดิจิทัลในชั้นศาล

• แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

• How to prepare a forensic Report

• การจัดทำรายงานการตรวจพิสูจน์หลักฐาน (Forensics Investigation Report)

• ตัวอย่างรายงาน Digital Forensics

• Digital Forensics Service Request Form

• Different between Computer Forensics and Network/Internet Forensics
• Network/Internet Forensics

• นิติวิทยาระบบเครือข่าย (Network Forensics) 

• เทคนิคการสืบสวนยุคดิจิทัล (Investigation in the digital)

• แนวทางการรวบรวมพยานหลักฐานปัญหาการพนันออนไลน์

• เทคนิคการสืบสวนทางอินเทอร์เน็ต

• Exercise log file Analysis
• How to collect network traffic logs
• How to collect network traffic logs with Wireshark 

•  Lab ข้อมูลจาก FTP

•  Lab Exercise Wireshark telnet 
• Using Network/Internet Forensics Tools and Workshop
• MAGNET Web Page Saver โปรแกรมสำหรับช่วยดาวน์โหลดข้อมูลของเว็บเพจ
• NetworkMiner
• นิติวิทยาศาตร์ร่วมปฏิบัติการ Task Force จับกุมผู้กระทำความผิดฐานครอบครองสื่อลามกอนาจารเด็ก

• คดี DSIค้น18จุดทั่วปท.รวบผู้ต้องหาละเมิดเด็ก

• กรณีศึกษา ปิดจบสยบ Fiwfans (ฟิวแฟน)

• PHOTODNA

• WhatsMyName (OSINT)

• Open Source Intelligence (OSINT) Tools & Resources

• Lab Geolocation 
• Search by Image

• เทคนิคค้นหา email ใน Internet

• WayBack Machine เป็นเว็บไซต์ที่บันทึกและเก็บรวบรวมข้อมูลของเว็บไซต์ต่าง ๆ

• webpage archive

• Computer Forensics Tools

COURSE REQUIREMENTS
In preparation for the course, participants should download and install the following tools:

• Ram Capture tools
• FTK Imager
• VirtualBox 7.1.6 8addd310d09249bc176c9c891aae41cb  
• Kali Linux
• Wire shark
• OSINT
• HashMyFiles v2.50  SHA1:  94fd2cefe8a3b19c3904ac8c5fe64bb65f1a0fc1

Laptop requirements:

• OS: Windows 10
• CPU: Core i3 or better
• RAM: 4GB

Computer forensics Investigations Course (2 Day) QR Code

Link กําหนดการจัดอบรมเตรียมความพร้อมผู้ที่จะได้รับการแต่งตั้งเป็นพนักงานเจ้าหน้าที่

ตามพระราชบัญญัติว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ฯ

คำถาม-ตอบ

Q. การแก้ไข Metadata ทำให้ค่า hash เปลี่ยนแปลงหรือไม่ ?

A. Metadata

Q. แนวทางการตรวจพิสูจน์หลักฐานทางดิจิทัลมีแนวทางหรือเอกสารอ้างอิงใดบ้าง?

A.  แนวทางการตรวจพิสูจน์หลักฐานทางดิจิทัลที่เกี่ยวข้อง

Q. มีเอกสารอ้างอิงเรื่อง ทำมัยต้องดึงปลั๊กไฟเพื่อปิดเครื่ืองคอมพิวเตอร์ที่เปิดอยู่ หรือไม่? 

A. SWGDE Best Practices for Digital Evidence Collection Version: 1.0

SWGDE Best Practices for Digital Evidence Collection Version: 1.0 (July 11, 2018),Page 6.

SWGDE Best Practices for Computer Forensics Version 2.1 (July 2006)

Collection and the handling of digital evidence

GUIDELINES FOR DIGITAL FORENSICS FIRST RESPONDERS ,InterPol, Page 17.

ACPO Good Practice Guide for Digital Evidence, Version 5 (October 2011) ,Page 32.

ข้อเสอนแนะมาตราฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน ก.ย.2559 ,หน้า 6.

Q. หลักกฎหมายพยานหลักฐานเบื้องต้น..”

A.  หัวข้อที่ 4. พยานมีกี่ประเภท ?

Q. 3) พยานหลักฐานทางวิทยาศาสตร์.. คือ หลักฐานที่เกิดจากนิติวิทยาศาสตร์ โดยการนำพยานหลักฐานมาผ่านกระบวนการวิเคราะห์ด้วยวิธีการทางวิทยาศาสตร์และเทคโนโลยี..

ไม่ใช่พยานตรง ไม่ใช่พยานอ้อม.. เพราะไม่เกี่ยวข้อง ไม่รู้เห็นเหตุการณ์นั้นเลยคล้ายกับพยานผู้เชี่ยวชาญ..

เช่น กลุ่มเลือด.. DNA.. รอยกระสุนปืน.. ผลตรวจข้อมูลคอมพิวเตอร์.. (digital forensic)..

พยานทางวิทยาศาสตร์นี้ ถ้ากระบวนการรวบรวม เก็บรักษา และวิเคราะห์ถูกต้องได้มาตรฐาน จะมีความเที่ยงแม่นยำสูง.. มีคุณค่าเชิงพิสูจน์มากเช่นกัน.. แต่ถ้าไม่เป็นเช่นนั้น ก็ไม่น่าเชื่อถือ..

ข้อมูลจาก: "หลักกฎหมายพยานหลักฐานเบื้องต้น" โพสต์นี้เหมาะกับนักศึกษากฎหมายใหม่.. และประชาชนที่สนใจเรื่องพยานหลักฐาน.. โดยจะเน้นพยานในคดีอาญานะครับ.. ดร.ธีร์รัฐ บุนนาค

Q  5) วิธีชั่งน้ำหนักพยานหลักฐานทางวิทยาศาสตร์ หรือคอมพิวเตอร์.?

A. โจทก์ต้องยืนยันได้ว่า.. ข้อเท็จจริงที่ได้ เกิดจากพยานที่นำมาตรวจวิเคราะห์ว่า.. เป็นพยานที่เกี่ยวข้องกับเหตุการณ์จริง.. ไม่ถูกแทรกแซงโดยบุคคลที่ไม่เกี่ยวข้อง..

พยานหลักฐานยังคงสภาพและเนื้อหาตรงตามจริง ไม่ถูกแก้ไขเปลี่ยนแปลงเพราะธรรมชาติ หรือการกระทำของบุคคลใด รวมทั้ง เจ้าหน้าที่เอง..

ศาลในต่างประเทศจะชั่งน้ำหนัก โดยมีหลักว่า.. เจ้าหน้าที่ต้องรวบรวมพยานหลักฐาน.. เก็บรักษา.. ตรวจวิเคราะห์.. และส่งต่อกัน โดยใช้ขั้นตอนหลักปฏิบัติและเครื่องมือที่เป็นมาตรฐานสากล..

หากไม่ปฏิบัติตามขั้นตอน หรือใช้เครื่องมือ ซอล์ฟแวร์ไม่ได้มาตรฐาน.. ศาลจะไม่รับฟังพยานหลักฐานนั้น..

เช่น ไม่ใส่ถุงมือขณะรวบรวมพยาน.. หรือไม่ใส่เครื่องโทรศัพท์ในถุงฟาราเดย์..

เก็บหลักฐานไว้ในที่อุณหภูมิสูงเกินไป.. ไม่ทำสำเนาข้อมูลคอมพิวเตอร์.

หรือขณะทำสำเนาก่อนตรวจพิสูจน์ ไม่มีการตรวจสอบความผิดพลาดด้วยโปรแกรม MD5.. เป็นต้น

ข้อมูลจาก: "หลักกฎหมายพยานหลักฐานเบื้องต้น" โพสต์นี้เหมาะกับนักศึกษากฎหมายใหม่.. และประชาชนที่สนใจเรื่องพยานหลักฐาน.. โดยจะเน้นพยานในคดีอาญานะครับ.. ดร.ธีร์รัฐ บุนนาค

Q. ยกตัวอย่างปัญหาการตรวจสอบไอพี (IP Address) จากผู้ให้บริการอินเทอร์เน็ต? 

A. มีกรณีที่ผู้กระทำความผิดใช้งาน VPN (Virtual Private Network) เพื่อปกปิดหมายเลขไอพี (IP Address) ไว้ หากเจอกรณีดังกล่าวนี้ก็จะก่อให้เกิดความยุ่งยากในการค้นหาตัวผู้กระทำความผิดเพิ่มมากขึ้น เพราะการใช้เครือข่ายอินเทอร์เน็ตผ่าน VPN นี้ จะทำให้ผู้ใช้บริการอินเทอร์เน็ตสามารถเชื่อมต่ออินเทอร์เน็ตกับเครือข่ายอินเทอร์เน็ตในประเทศใดก็ได้ เช่น ผู้กระทำความผิดอาศัยอยู่ที่ประเทศมาเลเซีย แต่ได้เชื่อมต่อบริการ VPN ให้เครือข่ายเน็ตเวิร์คของตนไปอยู่ที่ประเทศออสเตรเลีย ดังนั้นกระบวนการตรวจสอบจากไอพี (IP Address) ของผู้กระทำความผิดก็จะไม่แสดงว่าผู้กระทำความผิดอยู่ที่ประเทศมาเลเซีย แต่จะแสดงผลลัพธ์ว่าผู้กระทำความผิดอยู่ที่ประเทศออสเตรเลีย เป็นต้น หากเกิดกรณีดังกล่าวข้างต้นนี้ ก็จะทำให้ไม่สามารถตามตัวผู้กระทำความผิดได้เลย (ยกเว้นในประเทศที่มีการพัฒนาของเทคโนโลยีไปในขั้นสูงแล้วเท่านั้น)

 

อ่านเพิ่มเติม :

• หลักสูตรอบรมเตรียมพร้อมเป็นพนักงานเจ้าหน้าที่ตามพ.ร.บ.ไซเบอร์ฯ
• คุณสมบัติของพนักงานเจ้าหน้าที่ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• ดีอี เปิดอบรมเตรียมความพร้อม ผู้ที่จะได้รับการแต่งตั้งเป็นพนักงานเจ้าหน้าที่ตาม พ.ร.บ.คอมพิวเตอร์
• งานอบรมฯ ผู้ที่จะได้รับการแต่งตั้งเป็นพนักงานเจ้าหน้าที่ตาม พ.ร.บ.คอมฯ
• หลักสูตรอบรมพิสูจน์หลักฐานทางคอมพิวเตอร์ (Computer Forensics)” Orion Forensics Lab ร่วมกับ บมจ.โทรคมนาคมแห่งชาติ.

ที่มา: Orion forensics Lab

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรียนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์ #พยานหลักฐานดิจิทัล