Friday, May 2, 2025

Digital Forensics:Data Triage and Acquisition Tool Free to All

Digital Forensics:Data Triage and Acquisition Tool Free to All

DP2C is a data triage and bitstream imaging tool for the collection of data from computers and hard drives. This update to the DP2C software is exciting because it allows users to install the software on their own personal USB drive.

The DP2C Operator Course!

This course will go through the operations to successfully use the DP2C tool in digital investigations. 


Digital Forensics:Data Triage and Acquisition Tool Free to All
 DP2C Operator Course



Digital Forensics:Data Triage and Acquisition Tool Free to All

DP2C is the perfect quick solution for examiners to triage many machines in a short amount of time to detect the most important data, especially when in the field. Users can boot directly into DP2C without logging into Windows to acquire data, which ensures a forensically sound acquisition. 

Digital Forensics:Data Triage and Acquisition Tool Free to All

Data Triage and Acquisition Tool Free to All

Data Triage and Acquisition Tool Free to All

Digital Forensics:Data Triage and Acquisition Tool Free to All

Refer:https://paraben.com/data-triage-and-acquisition-tool-free-to-all/


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรียนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

Monday, April 28, 2025

Digital Forensics:การจัดเก็บ Log file ให้ถูกกฎหมายด้วย 5 เครื่องมือ ใช้งานฟรีๆ

Digital Forensics:การจัดเก็บ Log file ให้ถูกกฎหมายด้วย 5 เครื่องมือ ใช้งานฟรีๆ 

🔼Log File คือ หลักฐานสำคัญในโลกไซเบอร์ เก็บให้ถูก อย่าเสี่ยง!" มาตรวจสอบกันว่าการเก็บ Log file ที่ถูกต้องตามกฎหมาย พ.ร.บ. คอมพิวเตอร์ต้องดูอะไรบ้าง!

การจัดเก็บ Log file ให้ถูกกฎหมายด้วย 5 เครื่องมือ ใช้งานฟรีๆ
Photo Credit: KEN CAFE Facebook

🔼 CIA Triad : 

1. Confidentiality (การรักษาความลับ) การปกป้องข้อมูลหรือระบบให้สามารถเข้าถึงได้เฉพาะผู้ที่มีสิทธิ์เท่านั้น

2. Integrity (ความถูกต้องและความครบถ้วน) การป้องกันไม่ให้ข้อมูลหรือระบบถูกดัดแปลงแก้ไขโดยไม่ได้รับอนุญาต

3. Availability (ความพร้อมใช้งาน)การทำให้ข้อมูลต้องพร้อมใช้งานตลอดเวลา เพื่อบ่งบอกประสิทธิภาพและความน่าเชื่อถือ

การจัดเก็บ Log file ให้ถูกกฎหมายด้วย 5 เครื่องมือ ใช้งานฟรีๆ
Photo Credit: KEN CAFE Facebook

🔼 รายละเอียด และวิธีเก็บ log ตาม พ.ร.บ. คอมพิวเตอร์

1. AAA Server

2. Email Server

3. Web Server

4. Router & Firewall

5. Proxy

การจัดเก็บ Log file ให้ถูกกฎหมายด้วย 5 เครื่องมือ ใช้งานฟรีๆ
Photo Credit: KEN CAFE Facebook

🔼 Centralized Log Management 

คือ ระบบบริหารจัดการข้อมูล Log File แบบศูนย์กลาง ซึ่งรองรับการจัดเก็บข้อมูล Log File จากเครื่องคอมพิวเตอร์เซิร์ฟเวอร์หรืออุปกรณ์เครือข่ายต่าง ๆ ได้แก่ Firewall, Router, Switch, Window Server, Linux Server, Web Server, Application Server และอื่น ๆ อีกมากมาย

การจัดเก็บ Log file ให้ถูกกฎหมายด้วย 5 เครื่องมือ ใช้งานฟรีๆ
Photo Credit: KEN CAFE Facebook

🔼 ใครบ้างที่ต้องเก็บ Log File

 1. ผู้ให้บริการอินเทอร์เน็ตแก่บุคคลทั่วไป

2. ผู้ให้บริการในการเก็บข้อมูลเพื่อประโยชน์ของบุคคลอื่น


การจัดเก็บ Log file ให้ถูกกฎหมายด้วย 5 เครื่องมือ ใช้งานฟรีๆ
Photo Credit: KEN CAFE Facebook

การจัดเก็บ Log file ให้ถูกกฎหมายด้วย 5 เครื่องมือ ใช้งานฟรีๆ

Photo Credit: KEN CAFE Facebook

🔼 วิธีเก็บ Log File อะไรบ้าง

การเก็บ Log File อย่างถูกกฎหมาย ต้องสอดคล้องกับหลักเกณฑ์ของ พ.ร.บ. คอมพิวเตอร์ พ.ศ. 2560 (และประกาศกระทรวงดิจิทัลฯ ปี 2564) ซึ่งระบุประเภทของข้อมูลจราจรคอมพิวเตอร์ (Traffic Data) ที่ต้องจัดเก็บไว้เพื่อให้สามารถ ระบุตัวตนผู้ใช้งานได้อย่างชัดเจน

- IP Address (หมายเลขไอพี)

- วัน/เวลาเริ่มต้น และสิ้นสุดการใช้งาน

- User ID / Account ที่ใช้งาน

- หมายเลขโทรศัพท์ (ถ้ามี)

- ชื่อ-ที่อยู่ของผู้ใช้งาน (จากการลงทะเบียน)

- MAC Address / Device ID

- Status Indictor (ข้อมูลสถานะการใช้งาน)

- Log จากอุปกรณ์เครือข่าย

- URL (จุดที่ผู้ใช้เข้าถึง)

Photo Credit: KEN CAFE Facebook


การจัดเก็บ Log file ให้ถูกกฎหมายด้วย 5 เครื่องมือ ใช้งานฟรีๆ

🛑ลักการสำคัญในการจัดเก็บ Log File ตาม พ.ร.บ. คอมพิวเตอร์
เข้าใจหลักการสำคัญที่ พ.ร.บ. คอมพิวเตอร์กำหนดไว้ก่อน ซึ่งโปรแกรมที่ดีควรมีคุณสมบัติตรงตามหลักการเหล่านี้ :
1. ความถูกต้องและครบถ้วน : Log File ต้องบันทึกข้อมูลที่เกี่ยวข้องอย่างครบถ้วน เช่น วันที่ เวลา ผู้ใช้งาน IP Address การเข้าถึงข้อมูล การเปลี่ยนแปลงแก้ไข ฯลฯ
2. ความน่าเชื่อถือ : ข้อมูล Log File ต้องมีความน่าเชื่อถือ ไม่สามารถแก้ไขเปลี่ยนแปลงได้โดยง่าย และมีการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
3. การเก็บรักษาตามระยะเวลา: ต้องสามารถเก็บรักษา Log File ตามระยะเวลาที่กฎหมายกำหนด (ปัจจุบันคืออย่างน้อย 90 วัน และเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการไว้อย่างน้อย 1 ปี)
4. การตรวจสอบได้ : ต้องมีกลไกที่สามารถตรวจสอบ Log File ได้ง่าย สะดวก และรวดเร็ว
5. การรักษาความลับ : ต้องมีมาตรการรักษาความลับของข้อมูล Log File เพื่อป้องกันการรั่วไหลหรือการนำไปใช้ในทางที่ผิด
--------------------------------
📘1. Wazuh สามารถใช้ในการจัดเก็บ Log File ได้ตามหลักการที่ พ.ร.บ. คอมพิวเตอร์กำหนด และเป็นเครื่องมือที่ได้รับความนิยมอย่างมากในด้าน Security Information and Event Management (SIEM) และ Extended Detection and Response (XDR) แบบ Open Source
.
📘2. Graylog เป็นอีกหนึ่งโปรแกรมที่สามารถใช้ในการจัดเก็บ Log File ได้ตามหลักการที่ พ.ร.บ. คอมพิวเตอร์กำหนด และเป็น Open Source SIEM (Security Information and Event Management) ที่ได้รับความนิยม
.
📘3. ELK Stack เป็นอีกหนึ่งโซลูชันที่ยอดเยี่ยมและได้รับความนิยมอย่างสูงในการจัดเก็บและจัดการ Log File ให้เป็นไปตามหลักการของ พ.ร.บ. คอมพิวเตอร์ และเป็น Open Source ที่มีความยืดหยุ่น และมีประสิทธิภาพมาก
.
📘4. Kiwi Syslog Server เป็นอีกหนึ่งโปรแกรมที่สามารถใช้ในการจัดเก็บ Log File ได้ โดยเฉพาะอย่างยิ่งสำหรับสภาพแวดล้อมของ Windows Server และอุปกรณ์เครือข่ายที่รองรับโปรโตคอล Syslog
.
📘5. Syslog-ng เป็นโปรแกรมจัดการ Log พื้นฐานบน Linux/Unix ที่มีความยืดหยุ่นสูง และใช้งานกันอย่างแพร่หลายในฐานะเครื่องมือหลักในการรวบรวม Log จากระบบและอุปกรณ์ต่างๆ แม้ว่าการวิเคราะห์และแสดงผลอาจต้องใช้เครื่องมืออื่นเสริม
.
💡คำแนะนำเพิ่มเติม :
ปรึกษาผู้เชี่ยวชาญ: หากไม่แน่ใจในการเลือกโปรแกรม ควรปรึกษาผู้เชี่ยวชาญด้าน IT Security หรือผู้ที่มีประสบการณ์ในการติดตั้งและใช้งานระบบ Log Management

ที่มา: KEN CAFE Facebook

การจัดเก็บ Log file ให้ถูกกฎหมายด้วย 5 เครื่องมือ ใช้งานฟรีๆ
ขออนุญาติแชร์บทความของ อาจารย์ Ken  หัวข้อ การจัดเก็บ Log file ให้ถูกกฎหมาย

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรียนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

Wednesday, March 26, 2025

Digital Forensics:แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

Digital Forensics:แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์
ที่่มา: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์



นิยาม : Electronic Evidence

แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์
Photo By: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

เมทาดาตา (Metadata) คืออะไร


แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์
Photo By: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

หลักเกณฑ์การรับฟังพยานหลักฐานอิเล็กทรอนิกส์

Photo By: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์
Photo By: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

ข้อมูลจากคอมพิวเตอร์ ถือเป็นพยานหลักฐานได้


Photo By: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์
Photo By: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

ประเภทของพยานหลักฐานอิเล็กทรอนิกส์


Photo By: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์
Photo By: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

พยานหลักฐานอิเล็กทรอนิกส์ที่น่าสนใจ

แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์
Photo By: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

กฎการพิสูจน์ความถูกต้องและครบถ้วนของข้อมูลอิเล็กทรอนิกส์


แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์
Photo By: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

ประเด็นพิจารณาพยานอิเล็กทรอนิกส์และเทคโนโลยี

แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์
Photo By: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์
Photo By: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์

การรับฟังพยานเอกสาร - เอกสารดิจิทัล

Digital Forensics:แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์
Photo By: วิชาการ Talk เรื่อง แนวทางการนำสืบและรับฟังพยานหลักฐานอิเล็กทรอนิกส์


อ่านเพิ่มเต้ิม: 




ที่มา:สื่อศาล Facebook ;ศาลยุติธรรม

        ท่านปกรณ์ ธรรมโรจน์ อัยการผู้เชี่ยวชาญพิเศษ สำนักงานอัยการพิเศษ

ขอขอบคุณ ท่านอาจารย์. ปกรณ์ ธรรมโรจน์ อัยการผู้เชี่ยวชาญพิเศษ ขออนุญาตแชร์เป็นวิทยาทาน

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรียนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

Tuesday, March 11, 2025

Digital Forensics:KAPE

Digital Forensics:An introduction to Kroll Artifact Parser and Extractor (KAPE) 

Kroll Artifact Parser And Extractor (KAPE)

Kroll's Artifact Parser and Extractor (KAPE) – created by Kroll senior director and three-time Forensic 4:cast DFIR Investigator of the Year Eric Zimmerman – lets forensic teams collect and process forensically useful artifacts within minutes.

Photo cradit:kroll.com
  • We will use the forensics tool KAPE to collect and process files from a device.
  • KAPE does not need to be installed. It is portable and can be used from network locations or USB drives. 


Prerequisite steps:

  • Download KAPE and unzip.
  • Create a new ZIP file named ‘kape.zip’ by compressing only two items: ‘kape.exe’ and the ‘Target’ directory.
    Digital Forensics:KAPE
Q1.
  • From amongst kape.exe and gkape.exe, which binary is used to run GUI version of KAPE?
  • Ans:gkape.exe

Digital Forensics:KAPE

Now that we have learned about the different components of KAPE let's take it for a test drive. In the attached host, double-click to open the gkape.exe file. You will see the following Window:

Digital Forensics:KAPE
  • Use the search bar to search for the targets needed based on reading what is being asked in the challenge questions.
  • You can also use the “KapeTriage” compound Target which collects most of the files needed for a DFIR investigation.
Digital Forensics:KAPE

In particular, the KapeTriage Compound Target was created to selectively collect the most important artifacts from a computer in minutes, rather than creating a full disk image, with forensically reliable, quick win results.

Photo credit:kapetriage-mindmap-for-dfir-practitioners (Kroll)


  • Select the “Use Module options” option.
  • Set the “Module destination” as the path to an empty folder created on the desktop
  • Select the !EZParser module


We have selected the KapeTriage compound Target and !EZParser Compound Module. The command line below shows the CLI command that will be run. The Execute! button in the bottom right corner will execute the command. 

Digital Forensics:KAPE

We can press any key to terminate the command window.

Digital Forensics:KAPE
  • Open EZViewer.
  • File > Open.
  • Open this csv file in EZViewer:

Digital Forensics:KAPE

Digital Forensics:KAPE

Q2.
  • What is the name of the file that was deleted on 30/05/2024?
  • See the “DeleteOn” column:
Explanation:
  • In EZViewer go to File > Open.
  • Open this csv file in EZViewer:
  • EZparser\FileDeletion

Digital Forensics:KAPE

The RecycleBin_InfoFiles Target collects metadata files that reside within a user’s Recycle Bin. Parsing these files will provide information about which files were deleted by a given user. These files do NOT contain the original files that were deleted. 

Q3.
  • How many times did this program py.exe run?
  • 10
  • What is the full path to the program executable?
  • \WINDOWS\PY.EXE 
  • Interesting Directories Accessed?
  • \ZIP-PASSWORD-BRUTEFORCER-MASTER\ZIP-PASSWORD-BRUTEFORCER.PY
  • See the “ExecutableName” column:
Explanation:
  • In EZViewer go to File > Open.
  • Open this csv file in EZViewer:
  • EZparser\ProgramExecution
Digital Forensics:KAPE

EvidenceOfExecution

The EvidenceOfExecution Target will collect files related to various program execution artifacts, including Prefetch and Amcache that reside within Windows.

Q4.
  • When was the last time the USB drive was removed?
  • See the “LastRemove” column:
Explanation:
  • In EZViewer go to File > Open.
  • Open this csv file in EZViewer:
  • EZparser\Registry
Digital Forensics:KAPE

RegistryHives

The RegistryHives Target collects the Registry Hives specified within the following Targets: RegistryHivesSystem.tkape and RegistryHivesUser.tkape. This means the following Registry Hives will be collected: SAM, SOFTWARE, SYSTEM, SECURITY, NTUSER.dat, DEFAULT, UsrClass.dat.

Credit Video : Kroll Artifact Parser and Extractor (KAPE) Official Demo



Digital Forensics:An introduction to Kroll Artifact Parser and Extractor (KAPE)

ทีมา :   Kape
อ่านเพิ่มเติม: Timeline Explorer

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรียนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD