Digital Forensics: Computer forensics Investigations Course (2 Day)
หลักสูตรอบรมการพิสูจน์หลักฐานทางคอมพิวเตอร์ 2 วัน
หลักสูตรเตรียมความพร้อมเป็นพนักงานเจ้าหน้าที่ตามพรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
วัตถุประสงค์เพื่อให้พนักงานเจ้าหน้าที่ได้มีความรู้ความเข้าใจในการพิสูจน์หลักฐาน ทางคอมพิวเตอร์สามารถนำไปประยุกต์ใช้ในการปฏิบัติงานได้อย่างถูกต้อง และเพิ่มประสิทธิภาพการช่วยเหลือประชาชนด้านคดีและภัยออนไลน์
Course Level:
The course is aimed at people who are responsible for digital forensic investigations or are wishing to become digital forensic investigators, To be used as a guideline for organizing short-term, intensive training for individuals who will be appointed as digital forensics officers. including: IT security professionals and law enforcement officers.
Day 1 – Computer Forensics
- The needs for Computer Forensics
- Principles of Computer Forensics and Digital/Electronic Evidence
- Crime scene, Digital/Electronic Evidence and Chain of Custody
Electronic Evidence Seizer
Seized Forensic data collection เตรียมอุปกรณ์เก็บหลักฐานดิจิทัล
เตรียมความพร้อมก่อนไป Onsite
แบบฟอร์มการเก็บรักษาพยานหลักฐาน
การรับรองความถูกต้องสมบูรณ์ของนิติวิทยาศาสตร์ดิจิทัล
- Capturing the Data Image and Volatile Data
Volatile data
Acquiring an Image with FTK Imager
LAB Magnet RAM Capture
Acquisition of Memory & Memory Forensic Tools
Lab : PowerShell Get-FileHash
What changes will affect file hash value changes.
- Extracting Information from Captured Data
- Breaking Password and Encryption
- Lab BREAKING PASSWORD AND ENCRYPTION : fcrackzip
- Lab Hashcat to crack
Breaking Password and Encryption:hashcat
Lab Hashcat II
MD5 conversion and reverse lookup
ZIP PASSWORD BRUTEFORCER
BRUTE FORCE ATTACK FTP
Brute Force Attack SSH
Brute Force Attack SSH PART II
- Using Computer Forensics Tools
- Investigation and Interrogation
- Digital/Electronic Evidence Analysis and Synthesis
Day 2: Network/Internet Forensics
- Testify in Court, Admissibility requirements
- How to prepare a forensic Report
การจัดทำรายงานการตรวจพิสูจน์หลักฐาน (Forensics Investigation Report)
Digital Forensics Service Request Form
- Different between Computer Forensics and Network/Internet Forensics
- Network/Internet Forensics
นิติวิทยาระบบเครือข่าย (Network Forensics)
เทคนิคการสืบสวนยุคดิจิทัล (Investigation in the digital)
แนวทางการรวบรวมพยานหลักฐานปัญหาการพนันออนไลน์
- How to collect network traffic logs
- Using Network/Internet Forensics Tools and Workshop
- MAGNET Web Page Saver โปรแกรมสำหรับช่วยดาวน์โหลดข้อมูลของเว็บเพจ
- NetworkMiner
Essential Linux Commands for Log Analysis
- กรณีศึกษา ปิดจบสยบ Fiwfans (ฟิวแฟน)
- Lab Geolocation
- Search by Image
Day 3: Website Investigation
Website
Investigation & OSINT พื้นฐานการสืบสวนเว็บไซต์
& ขั้นตอนการตรวจสอบเว็บไซต์
- Case Study ตัวอย่างจริง:
- เว็บไซต์ฟิชชิ่งปลอมธนาคาร
- เว็บไซต์ขายสินค้าละเมิดลิขสิทธิ์
- เว็บไซต์เผยแพร่ภาพยนตร์/ละครละเมิดลิขสิทธิ์
- วิธีการแจ้งรายงานช่องใน YouTube
- การเก็บหลักฐานเว็บไซต์ละเมิดลิขสิทธิ์และขั้นตอนการร้องขอระงับหรือปิดกั้นเว็ปไซต์
- ความท้าทายในการสืบสวนเว็บไซต์
- Lab Fake website การตรวจสอบและยืนยันเว็บไซต์ปลอม หรือเว็บหลอกลวง Lab
- Detector Identify Ai generated images หลักการตรวจสอบรูปโดย AI
- การพิสูจน์ เว็บไซต์จริง vs เว็บไซต์ปลอม (Fake / Phishing / Scam)
COURSE REQUIREMENTS
In preparation for the course, participants should download and install the following tools:
- Ram Capture tools
- FTK Imager
- VirtualBox 7.1.6 8addd310d09249bc176c9c891aae41cb
- Kali Linux
- Wire shark
- OSINT
- HashMyFiles v2.50 SHA1: 94fd2cefe8a3b19c3904ac8c5fe64bb65f1a0fc1
- exiftool
- hashmyfiles
Laptop requirements:
- OS: Windows 10
- CPU: Core i3 or better
- RAM: 4GB
Link กําหนดการจัดอบรมเตรียมความพร้อมผู้ที่จะได้รับการแต่งตั้งเป็นพนักงานเจ้าหน้าที่
ตามพระราชบัญญัติว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ฯ
คำถาม-ตอบ
Q. การแก้ไข Metadata ทำให้ค่า hash เปลี่ยนแปลงหรือไม่ ?
A. Metadata
Q. แนวทางการตรวจพิสูจน์หลักฐานทางดิจิทัลมีแนวทางหรือเอกสารอ้างอิงใดบ้าง?
A. แนวทางการตรวจพิสูจน์หลักฐานทางดิจิทัลที่เกี่ยวข้อง
Q. มีเอกสารอ้างอิงเรื่อง ทำมัยต้องดึงปลั๊กไฟเพื่อปิดเครื่ืองคอมพิวเตอร์ที่เปิดอยู่ หรือไม่?
A. SWGDE Best Practices for Digital Evidence Collection Version: 1.0
Q วิธีชั่งน้ำหนักพยานหลักฐานทางวิทยาศาสตร์ หรือคอมพิวเตอร์.?
A. โจทก์ต้องยืนยันได้ว่า.. ข้อเท็จจริงที่ได้ เกิดจากพยานที่นำมาตรวจวิเคราะห์ว่า.. เป็นพยานที่เกี่ยวข้องกับเหตุการณ์จริง.. ไม่ถูกแทรกแซงโดยบุคคลที่ไม่เกี่ยวข้อง..
Q. ระยะเวลาที่ใช้ทำสำเนาหลักฐาน (Forensic image ) เวลาเท่าไหร่ ขึนอยู่กับปัจจัยอะไรบ่้าง?
A. กระบวนการนิติวิทยาศาสตร์ดิจิทัล (Digital Forensics) โดยทั่วไปแล้ว เวลาที่ใช้ในการสร้างสำเนาหลักฐานจะขึ้นอยู่กับความจุของอุปกรณ์เก็บข้อมูลและปัจจัยอื่น ๆ อีกหลายประการ ดังนี้
| ความจุและประเภทอุปกรณ์ | ความเร็วโดยประมาณ (เทียบกับ HDD) | ปัจจัยที่เกี่ยวข้อง |
| HDD SATA 500 GB | ช้า (เป็นพื้นฐานในการเปรียบเทียบ) | จำกัดด้วยความเร็วรอบ (RPM) และอินเทอร์เฟซ SATA |
| - | - | - |
| SSD 500 GB | เร็วกว่า HDD SATA 500 GB มาก | ความเร็วในการอ่าน/เขียนสูงกว่าฮาร์ดดิสก์จานหมุน (HDD) |
| SSD 1 TB | เร็วกว่า HDD SATA 1 TB มาก | แม้ความจุสูง แต่ยังเร็วกว่าSATA HDD ในขนาดเท่ากัน |
คอขวด (Bottleneck): หากอุปกรณ์ปลายทาง (Destination) ที่ใช้เก็บไฟล์ Image มีความเร็วในการเขียนต่ำกว่าความเร็วในการอ่านของอุปกรณ์ต้นฉบับ (Source) กระบวนการจะถูกจำกัดด้วยอุปกรณ์ที่ช้ากว่า
1.ความจุและชนิดของอุปกรณ์ (Source & Destination Media)
ความจุ: เป็นตัวกำหนดปริมาณข้อมูลทั้งหมดที่ต้องถูกคัดลอก แม้แต่พื้นที่ว่างที่ไม่ได้ใช้งาน (Unallocated Space) ก็ถูกคัดลอกทั้งหมด
ประเภทอุปกรณ์:
SSD (Solid State Drive): มีอัตราการถ่ายโอนข้อมูลที่สูงกว่า มักใช้เวลาน้อยกว่า
2.เครื่องมือและช่องทางการเชื่อมต่อ (Tool & Interface)
- อุปกรณ์ Imagers/Write Blockers:
การใช้ Hardware Write Blockers (เช่น Tableau) มักจะให้ความเร็วและเสถียรภาพที่ดีกว่า และที่สำคัญคือ ป้องกันการแก้ไขข้อมูลต้นฉบับ
- อินเทอร์เฟซ:
การเชื่อมต่อผ่านพอร์ตที่ให้ความเร็วสูงกว่า เช่น USB 3.x, SATA III, NVMe Enclosures จะเร็วกว่า USB 2.0 หรือ SATA รุ่นเก่า
3. กระบวนการเสริม (Ancillary Processes)
- การคำนวณ Hash: เครื่องมือจะทำการคำนวณค่า Hash Value (เช่น MD5, SHA-256) ไปพร้อมกันเพื่อยืนยันความสมบูรณ์ของหลักฐาน (Data Integrity) ซึ่งต้องใช้พลังประมวลผลของ CPU การคำนวณนี้เพิ่มเวลาโดยรวมขึ้นเล็กน้อย
- สถานะอุปกรณ์: หากอุปกรณ์ต้นฉบับมี Bad Sectors หรือมีปัญหาทางกายภาพ เครื่องมือจะต้องใช้ความพยายามในการอ่านซ้ำ (Retries) ซึ่งจะทำให้กระบวนการช้าลงอย่างมากและอาจต้องใช้เครื่องมือเฉพาะทางในการกู้คืนข้อมูล
Q. ยกตัวอย่างปัญหาการตรวจสอบไอพี (IP Address) จากผู้ให้บริการอินเทอร์เน็ต?
A. มีกรณีที่ผู้กระทำความผิดใช้งาน VPN (Virtual Private Network) เพื่อปกปิดหมายเลขไอพี (IP Address) ไว้ หากเจอกรณีดังกล่าวนี้ก็จะก่อให้เกิดความยุ่งยากในการค้นหาตัวผู้กระทำความผิดเพิ่มมากขึ้น เพราะการใช้เครือข่ายอินเทอร์เน็ตผ่าน VPN นี้ จะทำให้ผู้ใช้บริการอินเทอร์เน็ตสามารถเชื่อมต่ออินเทอร์เน็ตกับเครือข่ายอินเทอร์เน็ตในประเทศใดก็ได้ เช่น ผู้กระทำความผิดอาศัยอยู่ที่ประเทศมาเลเซีย แต่ได้เชื่อมต่อบริการ VPN ให้เครือข่ายเน็ตเวิร์คของตนไปอยู่ที่ประเทศออสเตรเลีย ดังนั้นกระบวนการตรวจสอบจากไอพี (IP Address) ของผู้กระทำความผิดก็จะไม่แสดงว่าผู้กระทำความผิดอยู่ที่ประเทศมาเลเซีย แต่จะแสดงผลลัพธ์ว่าผู้กระทำความผิดอยู่ที่ประเทศออสเตรเลีย เป็นต้น หากเกิดกรณีดังกล่าวข้างต้นนี้ ก็จะทำให้ไม่สามารถตามตัวผู้กระทำความผิดได้เลย (ยกเว้นในประเทศที่มีการพัฒนาของเทคโนโลยีไปในขั้นสูงแล้วเท่านั้น)
Q. ในการทำ Digital Forensics เมื่อเจ้าหน้าที่อยู่คนละพื้นที่ หรือต้องการลดการเดินทาง (Remote Forensics) มีแนวทางและเทคโนโลยีที่ช่วยให้ทำงานได้อย่างมีประสิทธิภาพและยังคงรักษาความถูกต้องของพยานหลักฐาน (Evidence Integrity) (22-23 ม.ค 2569)
A. แนวทางดังต่อไปนี้
1. Remote Data Acquisition (การเก็บพยานหลักฐานระยะไกล)
วิธีนี้ช่วยให้เจ้าหน้าที่ไม่ต้องเดินทางไปยังที่เกิดเหตุ แต่สามารถดึงข้อมูลผ่านเครือข่ายได้:
Agent-based Collection: ใช้เครื่องมือประเภท EDR (Endpoint Detection and Response) หรือเครื่องมือทางนิติวิทยาศาสตร์ที่มี Agent ติดตั้งอยู่ที่เครื่องเป้าหมาย (เช่น F-Response, Magnet , Beklasoft) เพื่อดึงข้อมูล RAM หรือ Disk Image ผ่านเน็ตเวิร์ก
Live Response Tools: ส่งสคริปต์หรือเครื่องมือประเภท "Portable" ให้เจ้าหน้าที่หน้างาน (On-site non-technical staff) รันเพื่อเก็บข้อมูลที่เป็น (Volatile Data) แล้วส่งกลับมาผ่านระบบ Cloud ที่มั่นคงปลอดภัย
หมายเหตุ:ยังต้องมีเจ้าหน้าที่ที่มีอำนาจหน้าที่อยู่หน้างานส่วนหนึ่ง
Evidence Upload to Secure Cloud: เมื่อทำ Image เสร็จแล้ว ให้ Upload ไฟล์พยานหลักฐานขึ้นไปยัง Cloud Storage ที่มีการเข้ารหัสและทำ Checksum (Hash) เพื่อตรวจสอบความถูกต้อง
Collaborative Platforms: ใช้ซอฟต์แวร์นิติวิทยาศาสตร์ที่รองรับระบบ Multi-user เช่น FTK (Forensic Toolkit) Central หรือ Magnet AXIOM Cyber ซึ่งช่วยให้นักสืบสวนหลายคนล็อกอินเข้ามาวิเคราะห์เคสเดียวกันจากคนละจังหวัดหรือคนละประเทศได้พร้อมกัน
Digital Chain of Custody (การจัดการโซ่พยานหลักฐานแบบดิจิทัล)
ใช้ระบบ e-Discovery หรือซอฟต์แวร์จัดการเคสออนไลน์ในการบันทึกว่า "ใคร" เข้าถึงหลักฐาน "เมื่อไหร่" และ "ทำอะไรไปบ้าง" เพื่อให้สอดคล้องกับมาตรฐานทางกฎหมาย แม้ทีมงานจะไม่ได้เจอหน้ากันเลยก็ตาม
ข้อควรระวังในการทำงานระยะไกล:
Bandwidth: การโอนย้ายไฟล์ Image ขนาดใหญ่ (หลัก Terabytes) อาจใช้เวลานานมาก
Chain of Custody: ต้องมีมาตรการยืนยันตัวตนเจ้าหน้าที่หน้างานอย่างเข้มงวด
Data Privacy: การส่งข้อมูลข้ามเครือข่ายต้องผ่าน VPN หรือการเข้ารหัส (Encryption) ที่แข็งแกร่งเท่านั้น
1. การรักษาโซ่พยานหลักฐาน (Chain of Custody)
คุณต้องแสดงเอกสารที่บันทึก "เส้นทาง" ของหลักฐานอย่างละเอียดตั้งแต่วินาทีแรกที่ตรวจพบจนถึงวันที่นำมาแสดงต่อศาล
รายละเอียดที่ต้องระบุ: ใครเป็นคนเก็บ, เก็บที่ไหน, วันเวลาใด, สภาพอุปกรณ์เป็นอย่างไร, และใครเป็นผู้ถือครองในลำดับถัดไป
การยืนยันในศาล: ยืนยันว่าหลักฐานถูกเก็บไว้ในที่ปลอดภัย (เช่น ตู้เซฟควบคุมอุณหภูมิและความชื้น หรือห้องเก็บหลักฐาน) และมีการลงลายมือชื่อทุกครั้งที่มีการเปลี่ยนมือ
2. การใช้ค่าแฮชยืนยันความถูกต้อง (Digital Fingerprinting)
นี่คือหลักฐานทางวิทยาศาสตร์ที่แข็งแกร่งที่สุดในการยืนยันว่าหลักฐาน "ไม่ถูกแก้ไข"
กระบวนการ: เมื่อเข้าถึงหลักฐานต้นฉบับ คุณต้องคำนวณค่า Hash Value (เช่น MD5, SHA-1 หรือ SHA-256) ทันที
การยืนยันในศาล: อธิบายว่าค่า Hash เปรียบเสมือน "ลายนิ้วมือดิจิทัล" หากมีการเปลี่ยนแปลงข้อมูลแม้เพียง 1 บิต (1 Bit) ค่า Hash จะเปลี่ยนไปโดยสิ้นเชิง การที่ค่า Hash ของ หลักฐานต้นฉบับ ตรงกับ หลักฐานจำลอง (Image) และตรงกับ วันที่นำเสนอในศาล เป็นการพิสูจน์ความสมบูรณ์ของข้อมูล 100%
3. การทำสำเนาแบบบิตต่อบิต (Forensic Imaging & Write Blocker)
คุณต้องยืนยันว่าคุณไม่ได้ทำงานบน "เครื่องต้นฉบับ" แต่ทำงานบน "สำเนา"
Write Blocker: ต้องยืนยันว่าใช้เครื่องมือ Hardware Write Blocker เพื่อป้องกันไม่ให้ระบบปฏิบัติการเขียนข้อมูลใดๆ ลงไปในหลักฐานต้นฉบับขณะทำสำเนา
Bit-by-Bit Copy: ยืนยันว่าเป็นการสำเนาทุกเซกเตอร์ (Sector) รวมถึงพื้นที่ว่าง (Unallocated Space) ไม่ใช่การ Copy-Paste ไฟล์ปกติ
การยืนยันในศาล: "ข้าพเจ้าปฏิบัติงานบนภาพจำลองหลักฐาน (Forensic Image) โดยเครื่องต้นฉบับถูกเก็บรักษาไว้ในสภาพเดิมทุกประการตั้งแต่วินาทีแรกที่เข้ายึด"
4. การใช้เครื่องมือและระเบียบวิธีวิจัยที่เป็นมาตรฐาน (Standard Methodology)
ศาลจะเชื่อถือหากกระบวนการของคุณเป็นไปตามมาตรฐานสากล เช่น ISO/IEC 27037 หรือหลักการของ ACPO หรือแนวทางปฎิบัติอืนๆที่เกี่ยวข้อง
Validated Tools: เครื่องมือที่ใช้ (เช่น EnCase, FTK, Autopsy) ต้องเป็นเครื่องมือที่ได้รับการยอมรับในระดับสากลและผ่านการตรวจสอบ (Validation) ว่าไม่ทำให้ข้อมูลเปลี่ยนแปลง
Repeatability & Reproducibility: ยืนยันว่าหากผู้เชี่ยวชาญคนอื่นใช้วิธีการเดียวกันและเครื่องมือแบบเดียวกันกับหลักฐานชุดนี้ จะต้องได้ผลลัพธ์แบบเดียวกันเสมอ
บรรยากาศงานอบรมเพื่อเตรียมความพร้อมฯ ครั้งที่ 2 (วันที่ 13 มี.ค. 2568)
บรรยากาศงานอบรมเพื่อเตรียมความพร้อมฯ ครั้งที่ 2 (วันที่ 14 มี.ค. 2568)
อ่านเพิ่มเติม :
- หลักสูตรอบรมเตรียมพร้อมเป็นพนักงานเจ้าหน้าที่ตามพ.ร.บ.ไซเบอร์ฯ
- คุณสมบัติของพนักงานเจ้าหน้าที่ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
- ดีอี เปิดอบรมเตรียมความพร้อม ผู้ที่จะได้รับการแต่งตั้งเป็นพนักงานเจ้าหน้าที่ตาม พ.ร.บ.คอมพิวเตอร์
- งานอบรมฯ ผู้ที่จะได้รับการแต่งตั้งเป็นพนักงานเจ้าหน้าที่ตาม พ.ร.บ.คอมฯ
- หลักสูตรอบรมพิสูจน์หลักฐานทางคอมพิวเตอร์ (Computer Forensics)” Orion Forensics Lab ร่วมกับ บมจ.โทรคมนาคมแห่งชาติ.
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา ในการเรียนรู้เท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
No comments:
Post a Comment