Digital Forensics: Computer forensics Investigations Course (2 Day)

Photo credit: Orion forensics lab

หลักสูตรอบรมการพิสูจน์หลักฐานทางคอมพิวเตอร์ 2 วัน

หลักสูตรเตรียมความพร้อมเป็นพนักงานเจ้าหน้าที่ตามพรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์

วัตถุประสงค์เพื่อให้พนักงานเจ้าหน้าที่ได้มีความรู้ความเข้าใจในการพิสูจน์หลักฐาน ทางคอมพิวเตอร์สามารถนำไปประยุกต์ใช้ในการปฏิบัติงานได้อย่างถูกต้อง และเพิ่มประสิทธิภาพการช่วยเหลือประชาชนด้านคดีและภัยออนไลน์

Course Level:
The course is aimed at people who are responsible for digital forensic investigations or are wishing to become digital forensic investigators, To be used as a guideline for organizing short-term, intensive training for individuals who will be appointed as digital forensics officers. including: IT security professionals and law enforcement officers.

Day 1 – Computer Forensics

• The needs for Computer Forensics
• What is digital forensics ?
• Principles of Computer Forensics and Digital/Electronic Evidence

• SWGDE

• ACPO
• ISO/IEC 27037:2012
• แนวทางการตรวจพิสูจน์หลักฐานทางดิจิทัลที่เกี่ยวข้อง
• หลักการพื้นฐานด้านนิติคอมพิวเตอร์
• Crime scene, Digital/Electronic Evidence and Chain of Custody

• Electronic Evidence Seizer

• Seized Forensic data collection เตรียมอุปกรณ์เก็บหลักฐานดิจิทัล

  เตรียมความพร้อมก่อนไป Onsite

• วิธียึดคอมพิวเตอร์

• การถ่ายภาพในที่เกิดเหตุ

• Case study Forensic Acquisition

• นิติวิทย์ฯ ร่วมกับ DSI เข้าร่วมตรวจค้นและจัดเก็บพยานหลักฐาน

• การเก็บหลักฐานอิเล็กทรอนิกส์ คดีละเมิดลิขสิทธิ์และพนันออนไลน์

• การตรวจค้นและยึดพยานหลักฐานดิจิทัล  - บก.ปอท

• การเก็บพยานหลักฐานทางดิจิทัล (Digital Evidence Collection)

• แบบฟอร์มการเก็บรักษาพยานหลักฐาน

• การรับรองความถูกต้องสมบูรณ์ของนิติวิทยาศาสตร์ดิจิทัล

• Capturing the Data Image and Volatile Data

• Volatile data 

• Acquiring an Image with FTK Imager

• LAB Magnet RAM Capture

• Lab Capture Live RAM Contents with Free Tool from Belkasoft!

• Acquisition of Memory & Memory Forensic Tools

• Lab : PowerShell Get-FileHash

• What changes will affect file hash value changes.

• Extracting Information from Captured Data
• ประเภทของข้อมูลดิจิทัล
• Breaking Password and Encryption
• Lab BREAKING PASSWORD AND ENCRYPTION : fcrackzip
• Lab Hashcat to crack

• Breaking Password and Encryption:hashcat

• Lab Hashcat II

• MD5 conversion and reverse lookup

• ZIP PASSWORD BRUTEFORCER

• BRUTE FORCE ATTACK FTP

• Brute Force Attack SSH

• Brute Force Attack SSH PART II

• Using Computer Forensics Tools

• Computer Forensics Tools

• Disk tools and data capture

• Investigation and Interrogation
• Digital/Electronic Evidence Analysis and Synthesis
• Demo การสร้างเครื่องเสมือนจากสำเนาหลักฐานดิจิทัล (Forensic Copy)

• Lab Booting a forensics image on a Virtual Machine

Day 2: Network/Internet Forensics

• Testify in Court, Admissibility requirements

• การรับฟังข้อมูลอิเล็กทรอนิกส์เป็นพยานหลักฐาน

• หลักการชั่งน้ำหนักและการรับฟังพยานหลักฐานดิจิทัลในชั้นศาล

• แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

• How to prepare a forensic Report

• การจัดทำรายงานการตรวจพิสูจน์หลักฐาน (Forensics Investigation Report)

• ตัวอย่างรายงาน Digital Forensics

• Digital Forensics Service Request Form

• Different between Computer Forensics and Network/Internet Forensics
• Network/Internet Forensics

• นิติวิทยาระบบเครือข่าย (Network Forensics) 

• เทคนิคการสืบสวนยุคดิจิทัล (Investigation in the digital)

• แนวทางการรวบรวมพยานหลักฐานปัญหาการพนันออนไลน์

• เทคนิคการสืบสวนทางอินเทอร์เน็ต

• Exercise log file Analysis
• How to collect network traffic logs
• How to collect network traffic logs with Wireshark 

•  Lab ข้อมูลจาก FTP

•  Lab Exercise Wireshark telnet 
• Guidance on digital forensics and protective monitoring specifications
• Using Network/Internet Forensics Tools and Workshop
• MAGNET Web Page Saver โปรแกรมสำหรับช่วยดาวน์โหลดข้อมูลของเว็บเพจ
• NetworkMiner
• นิติวิทยาศาตร์ร่วมปฏิบัติการ Task Force จับกุมผู้กระทำความผิดฐานครอบครองสื่อลามกอนาจารเด็ก

• คดี DSIค้น18จุดทั่วปท.รวบผู้ต้องหาละเมิดเด็ก

• กรณีศึกษา ปิดจบสยบ Fiwfans (ฟิวแฟน)

• PHOTODNA

• WhatsMyName (OSINT)

• Open Source Intelligence (OSINT) Tools & Resources

• Lab Geolocation 
• Search by Image

• เทคนิคค้นหา email ใน Internet

• WayBack Machine เป็นเว็บไซต์ที่บันทึกและเก็บรวบรวมข้อมูลของเว็บไซต์ต่าง ๆ

• webpage archive

• Computer Forensics Tools

Day 3: Website Investigation

           Website Investigation  & OSINT  พื้นฐานการสืบสวนเว็บไซต์ & ขั้นตอนการตรวจสอบเว็บไซต์

1. Case Study ตัวอย่างจริง:
• เว็บไซต์ฟิชชิ่งปลอมธนาคาร
• เว็บไซต์ขายสินค้าละเมิดลิขสิทธิ์
• เว็บไซต์เผยแพร่ภาพยนตร์/ละครละเมิดลิขสิทธิ์
2. วิธีการแจ้งรายงานช่องใน YouTube
3. การเก็บหลักฐานเว็บไซต์ละเมิดลิขสิทธิ์และขั้นตอนการร้องขอระงับหรือปิดกั้นเว็ปไซต์
4. ความท้าทายในการสืบสวนเว็บไซต์

• Lab Fake website   การตรวจสอบและยืนยันเว็บไซต์ปลอม หรือเว็บหลอกลวง Lab 
• Detector Identify Ai generated images  หลักการตรวจสอบรูปโดย AI

COURSE REQUIREMENTS
In preparation for the course, participants should download and install the following tools:

• Ram Capture tools
• FTK Imager
• VirtualBox 7.1.6 8addd310d09249bc176c9c891aae41cb  
• Kali Linux
• Wire shark
• OSINT
• HashMyFiles v2.50  SHA1:  94fd2cefe8a3b19c3904ac8c5fe64bb65f1a0fc1
• exiftool
• hashmyfiles

Laptop requirements:

• OS: Windows 10
• CPU: Core i3 or better
• RAM: 4GB

Computer forensics Investigations Course (2 Day) QR Code

Link กําหนดการจัดอบรมเตรียมความพร้อมผู้ที่จะได้รับการแต่งตั้งเป็นพนักงานเจ้าหน้าที่

ตามพระราชบัญญัติว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ฯ

คำถาม-ตอบ

Q. การแก้ไข Metadata ทำให้ค่า hash เปลี่ยนแปลงหรือไม่ ?

A. Metadata

Q. แนวทางการตรวจพิสูจน์หลักฐานทางดิจิทัลมีแนวทางหรือเอกสารอ้างอิงใดบ้าง?

A.  แนวทางการตรวจพิสูจน์หลักฐานทางดิจิทัลที่เกี่ยวข้อง

Q. มีเอกสารอ้างอิงเรื่อง ทำมัยต้องดึงปลั๊กไฟเพื่อปิดเครื่ืองคอมพิวเตอร์ที่เปิดอยู่ หรือไม่? 

A. SWGDE Best Practices for Digital Evidence Collection Version: 1.0

SWGDE Best Practices for Digital Evidence Collection Version: 1.0 (July 11, 2018),Page 6.

SWGDE Best Practices for Computer Forensics Version 2.1 (July 2006)

Collection and the handling of digital evidence

GUIDELINES FOR DIGITAL FORENSICS FIRST RESPONDERS ,InterPol, Page 17.

ACPO Good Practice Guide for Digital Evidence, Version 5 (October 2011) ,Page 32.

ข้อเสอนแนะมาตราฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน ก.ย.2559 ,หน้า 6.

Q. หลักกฎหมายพยานหลักฐานเบื้องต้น..”

A.  หัวข้อที่ 4. พยานมีกี่ประเภท ?

Q. 3) พยานหลักฐานทางวิทยาศาสตร์.. คือ หลักฐานที่เกิดจากนิติวิทยาศาสตร์ โดยการนำพยานหลักฐานมาผ่านกระบวนการวิเคราะห์ด้วยวิธีการทางวิทยาศาสตร์และเทคโนโลยี..

ไม่ใช่พยานตรง ไม่ใช่พยานอ้อม.. เพราะไม่เกี่ยวข้อง ไม่รู้เห็นเหตุการณ์นั้นเลยคล้ายกับพยานผู้เชี่ยวชาญ..

เช่น กลุ่มเลือด.. DNA.. รอยกระสุนปืน.. ผลตรวจข้อมูลคอมพิวเตอร์.. (digital forensic)..

พยานทางวิทยาศาสตร์นี้ ถ้ากระบวนการรวบรวม เก็บรักษา และวิเคราะห์ถูกต้องได้มาตรฐาน จะมีความเที่ยงแม่นยำสูง.. มีคุณค่าเชิงพิสูจน์มากเช่นกัน.. แต่ถ้าไม่เป็นเช่นนั้น ก็ไม่น่าเชื่อถือ..

ข้อมูลจาก: "หลักกฎหมายพยานหลักฐานเบื้องต้น" โพสต์นี้เหมาะกับนักศึกษากฎหมายใหม่.. และประชาชนที่สนใจเรื่องพยานหลักฐาน.. โดยจะเน้นพยานในคดีอาญานะครับ.. ดร.ธีร์รัฐ บุนนาค

Q  5) วิธีชั่งน้ำหนักพยานหลักฐานทางวิทยาศาสตร์ หรือคอมพิวเตอร์.?

A. โจทก์ต้องยืนยันได้ว่า.. ข้อเท็จจริงที่ได้ เกิดจากพยานที่นำมาตรวจวิเคราะห์ว่า.. เป็นพยานที่เกี่ยวข้องกับเหตุการณ์จริง.. ไม่ถูกแทรกแซงโดยบุคคลที่ไม่เกี่ยวข้อง..

พยานหลักฐานยังคงสภาพและเนื้อหาตรงตามจริง ไม่ถูกแก้ไขเปลี่ยนแปลงเพราะธรรมชาติ หรือการกระทำของบุคคลใด รวมทั้ง เจ้าหน้าที่เอง..

ศาลในต่างประเทศจะชั่งน้ำหนัก โดยมีหลักว่า.. เจ้าหน้าที่ต้องรวบรวมพยานหลักฐาน.. เก็บรักษา.. ตรวจวิเคราะห์.. และส่งต่อกัน โดยใช้ขั้นตอนหลักปฏิบัติและเครื่องมือที่เป็นมาตรฐานสากล..

หากไม่ปฏิบัติตามขั้นตอน หรือใช้เครื่องมือ ซอล์ฟแวร์ไม่ได้มาตรฐาน.. ศาลจะไม่รับฟังพยานหลักฐานนั้น..

เช่น ไม่ใส่ถุงมือขณะรวบรวมพยาน.. หรือไม่ใส่เครื่องโทรศัพท์ในถุงฟาราเดย์..

เก็บหลักฐานไว้ในที่อุณหภูมิสูงเกินไป.. ไม่ทำสำเนาข้อมูลคอมพิวเตอร์.

หรือขณะทำสำเนาก่อนตรวจพิสูจน์ ไม่มีการตรวจสอบความผิดพลาดด้วยโปรแกรม MD5.. เป็นต้น

ข้อมูลจาก: "หลักกฎหมายพยานหลักฐานเบื้องต้น" โพสต์นี้เหมาะกับนักศึกษากฎหมายใหม่.. และประชาชนที่สนใจเรื่องพยานหลักฐาน.. โดยจะเน้นพยานในคดีอาญานะครับ.. ดร.ธีร์รัฐ บุนนาค

Q  ระยะเวลาที่ใช้ทำสำเนาหลักฐาน (Forensic image ) เวลาเท่าไหร่ ขึนอยู่กับปัจจัยอะไรบ่้าง?

A. กระบวนการนิติวิทยาศาสตร์ดิจิทัล (Digital Forensics) โดยทั่วไปแล้ว เวลาที่ใช้ในการสร้างสำเนาหลักฐานจะขึ้นอยู่กับความจุของอุปกรณ์เก็บข้อมูลและปัจจัยอื่น ๆ อีกหลายประการ ดังนี้

การทำสำเนาหลักฐานแบบ Forensic Image หรือ Bit-stream Copy คือการคัดลอกข้อมูลแบบ bit-for-bit ทั้งหมดจากอุปกรณ์ต้นฉบับไปยังอุปกรณ์เป้าหมาย เวลาที่ใช้จะขึ้นอยู่กับความจุและปัจจัยหลัก ๆ ดังตารางสรุปด้านล่าง:

ความจุและประเภทอุปกรณ์	ความเร็วโดยประมาณ (เทียบกับ HDD)	ปัจจัยที่เกี่ยวข้อง
HDD SATA 500 GB	ช้า (เป็นพื้นฐานในการเปรียบเทียบ)	จำกัดด้วยความเร็วรอบ (RPM) และอินเทอร์เฟซ SATA
-	-	-
SSD 500 GB	เร็วกว่า HDD SATA 500 GB มาก	ความเร็วในการอ่าน/เขียนสูงกว่าฮาร์ดดิสก์จานหมุน (HDD)
SSD 1 TB	เร็วกว่า HDD SATA 1 TB มาก	แม้ความจุสูง แต่ยังเร็วกว่าSATA  HDD ในขนาดเท่ากัน

คอขวด (Bottleneck): หากอุปกรณ์ปลายทาง (Destination) ที่ใช้เก็บไฟล์ Image มีความเร็วในการเขียนต่ำกว่าความเร็วในการอ่านของอุปกรณ์ต้นฉบับ (Source) กระบวนการจะถูกจำกัดด้วยอุปกรณ์ที่ช้ากว่า

1.ความจุและชนิดของอุปกรณ์ (Source & Destination Media)

ความจุ: เป็นตัวกำหนดปริมาณข้อมูลทั้งหมดที่ต้องถูกคัดลอก แม้แต่พื้นที่ว่างที่ไม่ได้ใช้งาน (Unallocated Space) ก็ถูกคัดลอกทั้งหมด

ประเภทอุปกรณ์:

SSD (Solid State Drive): มีอัตราการถ่ายโอนข้อมูลที่สูงกว่า มักใช้เวลาน้อยกว่า

2.เครื่องมือและช่องทางการเชื่อมต่อ (Tool & Interface)

• อุปกรณ์ Imagers/Write Blockers:

การใช้ Hardware Write Blockers (เช่น Tableau) มักจะให้ความเร็วและเสถียรภาพที่ดีกว่า และที่สำคัญคือ ป้องกันการแก้ไขข้อมูลต้นฉบับ

• อินเทอร์เฟซ:

การเชื่อมต่อผ่านพอร์ตที่ให้ความเร็วสูงกว่า เช่น USB 3.x, SATA III, NVMe Enclosures จะเร็วกว่า USB 2.0 หรือ SATA รุ่นเก่า

3. กระบวนการเสริม (Ancillary Processes)

• การคำนวณ Hash: เครื่องมือจะทำการคำนวณค่า Hash Value (เช่น MD5, SHA-256) ไปพร้อมกันเพื่อยืนยันความสมบูรณ์ของหลักฐาน (Data Integrity) ซึ่งต้องใช้พลังประมวลผลของ CPU การคำนวณนี้เพิ่มเวลาโดยรวมขึ้นเล็กน้อย
• สถานะอุปกรณ์: หากอุปกรณ์ต้นฉบับมี Bad Sectors หรือมีปัญหาทางกายภาพ เครื่องมือจะต้องใช้ความพยายามในการอ่านซ้ำ (Retries) ซึ่งจะทำให้กระบวนการช้าลงอย่างมากและอาจต้องใช้เครื่องมือเฉพาะทางในการกู้คืนข้อมูล

Q. ยกตัวอย่างปัญหาการตรวจสอบไอพี (IP Address) จากผู้ให้บริการอินเทอร์เน็ต? 

A. มีกรณีที่ผู้กระทำความผิดใช้งาน VPN (Virtual Private Network) เพื่อปกปิดหมายเลขไอพี (IP Address) ไว้ หากเจอกรณีดังกล่าวนี้ก็จะก่อให้เกิดความยุ่งยากในการค้นหาตัวผู้กระทำความผิดเพิ่มมากขึ้น เพราะการใช้เครือข่ายอินเทอร์เน็ตผ่าน VPN นี้ จะทำให้ผู้ใช้บริการอินเทอร์เน็ตสามารถเชื่อมต่ออินเทอร์เน็ตกับเครือข่ายอินเทอร์เน็ตในประเทศใดก็ได้ เช่น ผู้กระทำความผิดอาศัยอยู่ที่ประเทศมาเลเซีย แต่ได้เชื่อมต่อบริการ VPN ให้เครือข่ายเน็ตเวิร์คของตนไปอยู่ที่ประเทศออสเตรเลีย ดังนั้นกระบวนการตรวจสอบจากไอพี (IP Address) ของผู้กระทำความผิดก็จะไม่แสดงว่าผู้กระทำความผิดอยู่ที่ประเทศมาเลเซีย แต่จะแสดงผลลัพธ์ว่าผู้กระทำความผิดอยู่ที่ประเทศออสเตรเลีย เป็นต้น หากเกิดกรณีดังกล่าวข้างต้นนี้ ก็จะทำให้ไม่สามารถตามตัวผู้กระทำความผิดได้เลย (ยกเว้นในประเทศที่มีการพัฒนาของเทคโนโลยีไปในขั้นสูงแล้วเท่านั้น)

Video By PreventOnlineCrime_MDES 

"บรรยากาศงานอบรมเพื่อเตรียมความพร้อมฯ ครั้งที่ 1 (วันที่ 6 ก.พ. 2568)"

Video By PreventOnlineCrime_MDES 

"บรรยากาศงานอบรมเพื่อเตรียมความพร้อมฯ ครั้งที่ 1 (วันที่ 7 ก.พ. 2568)"

Video By PreventOnlineCrime_MDES 

บรรยากาศงานอบรมเพื่อเตรียมความพร้อมฯ ครั้งที่ 2 (วันที่ 13 มี.ค. 2568)

Video By PreventOnlineCrime_MDES 

บรรยากาศงานอบรมเพื่อเตรียมความพร้อมฯ ครั้งที่ 2 (วันที่ 14 มี.ค. 2568)

 

อ่านเพิ่มเติม :

• หลักสูตรอบรมเตรียมพร้อมเป็นพนักงานเจ้าหน้าที่ตามพ.ร.บ.ไซเบอร์ฯ
• คุณสมบัติของพนักงานเจ้าหน้าที่ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• ดีอี เปิดอบรมเตรียมความพร้อม ผู้ที่จะได้รับการแต่งตั้งเป็นพนักงานเจ้าหน้าที่ตาม พ.ร.บ.คอมพิวเตอร์
• งานอบรมฯ ผู้ที่จะได้รับการแต่งตั้งเป็นพนักงานเจ้าหน้าที่ตาม พ.ร.บ.คอมฯ
• หลักสูตรอบรมพิสูจน์หลักฐานทางคอมพิวเตอร์ (Computer Forensics)” Orion Forensics Lab ร่วมกับ บมจ.โทรคมนาคมแห่งชาติ.

ที่มา: Orion forensics Lab ,@PreventOnlineCrime_MDES

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรียนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์ #พยานหลักฐานดิจิทัล