Digital Forensics คืออะไร Digital Footprint คืออะไร สืบคดีจาก ร่องรอยทางดิจิทัล

ร่องรอยทางดิจิทัล

 ข้อมูลจาก iT24Hrs.

โน๊ตบุ๊ค จะเป็น จะเป็น ก็ได้ หรือว่า Cloud Forensic นะครับ Socol Media forensic คือไปดู Facebook ไปดู Twitter ไปดู Line ไปดูอะไรยังเงี้ย ร่องรอยที่ผู้ใช้ ซึ่งตรงนี้เราเรียกว่า ร่องรอยดิจิทัล คือ การกระทำของเราที่กระทำกับ ไม่ว่าเราจะเข้าเไปเขียนอีเมล์ อ่านอีเมล เข้าไปแชร์ หรือว่าขับรถไปไหน ทำอะไร ซื้อสินค้าอะไร ทุกอย่างที่เรากระทำไปโดยการใช้สมาร์ทโฟนหรือคอมพิวเตอร์ในการทำงานเนี้ย จะถูกเก็บไปเป็น ระบบย้อนหลังเป็นสิบปีเลยน่ะ แล้วก็แต่ก่อนเนี้ยเวลาบริษัทใหญ่ๆ พวกเนี้ย เขาเก็บข้อมูลเราเนี้ย Facebook , microsoft , google , Apple เนี้ย เขาไม่ต้องบอกเรา

แต่เมื่อหลายปีที่ มาเนี้ย สหภาพยุโปที่กฎหมายฃื่อ GDPR นะ แล้วก็ประเทศไทยเราก็มีกฎหมาย พรบ คุ้มครองข้อมูลส่วนบุคคล PDPA ซึ่งในนี้ ได้บอกไว้ว่าเจ้าของจะ ต้องบอกเราว่าเขาเก็บอะไรเราบ้าง และจะต้องเปิดเผยให้เราเข้าไปดูว่าเรา อะไรเราขับรถไปไหนเราทำอะไรเนี้ย จะต้องให้เรา เข้าไปดู เข้าไปล้างได้ เข้าไปลบ ดิจิทัล ของตัวเองได้น่ะ ซึ่งตรงเนี้ยมันกลายเป็นผลดีกับตำรวจกับเจ้าหน้าที่ว่าถ้ามีเหตุการณ์อาชญากรรมอะไรเกิดขึ้นเนี้ย สามารถเข้าไปในระบบ Cloud ของแล้วก็เข้าไปดู ย้อนหลังไป หลายปีเลย ถึงแม้ว่าโทรศัพท์ นั้นจะถูกทำลายหรือว่าโยนทิ้งน้ำไป ทำลายหลักฐาน ที่มันอยู่ในอินเทอร์เน็ตอยู่ใน Cloud เนี่้ย มันยังมีอยู่แล้วมันจะปฎิเสธไม่ได้ เพราะนั้นตำรวตก็ควนจะ สืบพยานนะครับ สือบพบาน นะแล้วก็เอา ที่มีอยู่ใน เนี่้ย อยู่ใน Cloud เอามาเปรียบเทียบกับคตำให้การของผู้ต้องหาหรือผู้ต้องสงสัยแล้วก็ กับข้อมูลที่อยู่ในมือถือนะครับ ขณะเดี่ยวกัน สมมุติเขาลบข้อมูลผมโทรคุยกับคุณเอินเมื่อกี่้นี่้แล้วผมลบ ผมสามารถลบในเครื่องได่้ ผมสามารถเข้าไปลบในคลาวด์ได้แต่ที่นี้ผมลบไม่ได้คือ ISP ที่ AIS DTAC ผมลบไม่ได้ แต่เมื่อตำรวจไปที่ ISP ก็จะบอกว่าเรามี PDPA น่ะ ถึงแม้ยังไม่บังคับใช้ก็ตามที่ต้องขอหมายศาลนะ พนักงานนี้มีแบ่งบเป็น 3 Party 1. ผู้ต้องส่งสัย 2. ISP 3. Planform ต่างๆ

อย่าว่าแต่ที่เป็น ISP หรือผู้ให้บรืการเลย เอาแค่ผู้ต้องหาเนี่้ย ถ้าเขาไม่เปิดซักอย่างหนึ่ง อะ เนี้ย ให้ใส่ ไม่ใส่ซักอย่างหนึ่งเนี้ยตำรวจก็เข้าถึงข้อมูลพวกนี้ไม่ได้ เพราะนั้นมันอาจจะต้องมีเรื่องของอำนาจใน การขอหมายศาลเหมือนคนมาที่บ้านเรา ตำรวจมา ไม่มีหมายค้นเรา เข้าบ้านเรา ถ้ามีหมายค้นมาอะ ให้ดูได้ หมายค้นในนี้บอกว่าค้นอะไรบ้าง มายึดคอมพิวเตอร์เราเอาไป แต่คอมพิวเตอร์ของลูกเราไม่ได้เพราะไม่มีหมาย มันไม่มี ไม่ได้ คอมพิวเตอร์ของคนที่อยู่ในบ้านเอางี้เป็นต้น เพราะนั้นเรื่องของการขอหมายศาล เรื่องการทำให้ถูกต้องตามกฎหมายเป็นเรื่องที่สำคัญ เรา เคยเห็น FBI กับ Apple มาแล้วน้ะผู้ก่อการร้ายเข้าไปกราดยิงคน ที่สหรัฐอเมริกานะ FBI ขอให้ Apple เปิดมือถือของคนคนนี้มันอาจจะตายไปแล้วหรือมันไม่ยอมเปิดอะไรไม่รู้ละ apple ไม่ยอมเปิด สหรัฐอเมริกา ไปขึ้นโรงขึ้นศาลกันเพราะฉะนั้นผู้ให้บริการเขามองว่า ของคนคนนั้น คนคนนั้นคนเดียวเท่าน้้นที่มีสิทธ์ในการเปิด ถ้าคุณจะให้ความร่วมมือตำรวจ

คุณบอกตำรวจไปเลย อะ ผมเข้ามาอะ คุณไปดูเลย ไปเลย บางคนก็กลัวว่า อ่้าวเฮ้ย คุณดูเพราะ ข้อมูลคุณแตงโมตกน่า แต่คุณมาเห็นข้อมูลผมว่าทางธิรกิจ ผมไปคุยกับใคร ผมไปเจอใคร คุณต้องรักษาข้อมูลผมด้วยนะ ใน พรบ ความผิดเกี่ยวกับคอมพิวเตอร์ ได้บอกไว้เลยว่า พนักงานเจ้าหน้าที่ถ้าเอาข้อมูลไปแล้วรั่วมีความผิด อาญาด้วยนะ เพราะนั้นกำลังจะบอกว่ากฎหมายเนี้ย เขาก็ได้เขียนเคาะไว้หมดแล้ว ว่าคุณให้ข้อมูลกับตำรวจได้แล้วตำรวจที่เอาข้อมูลคุณไปนั้นจะต้องเก็บรักษาข้อมูล คุณไม่ได้รั่วไหลไม่งั้นเกี่ยวคุณเสียข้อมูลงี้เป็นต้น อันนี้ก็คือเรื่องของ ดิจิทัลที่ใช้ในการปะติดปะต่อข้อมูลในการพิจารณาคดี ไปขอข้อมูลโทรเข้าโทรออกจาก AIS DTAC True ขอข้อมูลในมือถือของผู้ต้องสงสัยไปเอาข้อมูลจาก ที่อยู่ใน Cloud ของ Service Provider

ตามหาความจริงในการสืบคดีดัง ที่ชาวไทย และชาวโซเชียลให้ความสนใจ อย่าง คดีคุณแตงโม นิดา (แตงโม ภัทรธิดา) นางเอกสาวที่ตกเรือในแม่น้ำเจ้าพระยา โดยมีอีกหนึ่งวิธีที่จะช่วยในการสืบคดีต่างๆได้ ก็คือการใช้ - Digital Footprint หรือ ร่องรอยทางดิจิทัล - Digital Forensics การตรวจ สืบค้นข้อมูล เก็บหลักฐาน ค้นหาข้อมูล วิเคราะห์ และนำเสนอหลักฐานทางดิจิทัล เช่นหลักฐาน ที่อยู่ในโทรศัพท์มือถือ แท็บเล็ต มาเช็คข้อมูลเช่น ดูอีเมล การแชท ไฟล์ที่ถูกลบ ไฟล์ที่ถูกซ่อน ข้อมูลทางการเงิน เช่นโอนเงิน เป็นต้น ขอขอบพระคุณ อาจารย์ปริญญา หอมเอนก ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ชื่อดังของประเทศไทย สำหรับข้อมูลเรื่อง "Digital Forensics และ Digital Footprint " ติดตามรับข้อมูลข่าวสารเพิ่มเติมได้ที่ facebook.com/it24hrs twitter.com/panraphee twitter.com/it24hrs IG: panraphee TikTok : it24hrs

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #หลักสูตรการพิสูจน์หลักฐานทางดิจิทัล

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ

เทคนิคการสืบสวนยุคดิจิทัล (Investigation in the digital)

DIGITAL FORENSICS:เทคนิคการสืบสวนยุคดิจิทัล (Investigation in the digital)

การสืบสวน เป็นการแสวงหาข้อเท็จจริงของข่าวที่ได้มาเพื่อนำไปสู่การปฏิบัติในการดำเนินการจับกุมผู้กระทำความผิด ในปัจจุบันการกระทำผิดมีวิวัฒนาการไปตามการเปลี่ยนแปลงของเทคโนโลยี ซึ่งอาจจะมีการใช้โซเชียลมีเดียต่าง ๆ เป็นเครื่องมือในการประกอบการกระทำความผิด

การสืบสวนจำแนกออกได้เป็น 2 แบบ คือ

1. การสืบสวนที่ไม่เกี่ยวกับคดี ได้แก่ การสืบสวนทั่วไปเพื่อรักษาความสงบเรียบร้อยของประชาชน

2. การสืบสวนเกี่ยวกับคดี เป็นกรณีที่ความผิดได้เกิดขึ้นแล้ว เจ้าหน้าที่ที่มีอำนาจจะทำการแสวงหาข้อเท็จจริง และพยานหลักฐาน เพื่อที่จะทราบรายละเอียดแห่งการกระทำความผิด

วัฏจักรของการสืบสวน (Cycle of investigation)

1. ก่อนเกิดเหตุ (Before the Crime)

2. ขณะเกิดเหตุ (While the Crime)

3. หลังเกิดเหตุ (After the Crime)

ขั้นตอนการสืบสวนคดี (Investigation process)

โซเชียลที่ใช้กันมากที่สุด มีดังนี้

1. Facebook เชื่อว่าตอนนี้คงไม่มีใครที่ไม่รู้จักเฟสบุ๊ค แบรนด์ใหญ่ต่าง ๆ มีการสร้างแฟนเพจเพื่อเพิ่มช่องทางในการสื่อสารกับกลุ่มลูกค้า เช่น ให้คนกดติดตามข่าวสารเกี่ยกับแบรนด์ของตัวเองโดยการกด Like ที่เพจนั้น

2. Line แอพลิเคชันแชทยอดฮิตที่ปัจจุบันในไทยมีผู้ใช้งานมากกว่า 33 ล้าน มีจุดเด่นคือเป็นเจ้าแรก ที่สามารถส่งสติ๊กเกอร์น่ารัก ๆ ให้คนอื่นได้ ในมุมมองของตลาด นอกจาก Line จะอนุญาตให้แบรนด์ต่าง ๆ สร้างสติ๊กเกอร์แบรนด์ของตัวเอง ก็ยังมี Official Account ซึ่งเป็นอีกช่องทางหนึ่งที่แบรนด์สามารถส่งข้อมูลข่าวสารให้กับผู้ติดตามตนเองได้มากยิ่งขึ้น

3. Twitter โซเชียลมิดียที่ขึ้นชื่อว่าใช้งานง่ายที่สุด เพราะถึงแม้ว่าจะพิมพ์ข้อความได้เพียง 140 ตัวอักษร แต่นั้นก็ช่วยกลั่นกรองให้ผู้เขียนพิมพ์เฉพาะใจความสำคัญลงไป ทำให้ข้อความที่ส่งออกไปนั้นกระชับ และง่ายต่อการอ่าน

4. Youtube เว็บไซต์บริการที่ให้ผู้ใช้สามารถแชร์วีดีโอให้ผู้อื่นดูได้ โดยที่ยูทูปจัดเป็น 1 ในเว็บไซต์สำคัญสำหรับนักการตลาดที่เราสามารถโฆษณาวีดีโอคอนเท้นท์ของเราให้ตรงกับกลุ่มเป้าหมายได้

5. Instagram โซเชียลมีเดียที่เราสามารถอับโหลดรูปภาพต่าง ๆ และแชร์ให้กับผู้ติดตามของเราได้ โดยที่แบรนด์ต่าง ๆ สมัยนี้ก็นิยมใช้ Instagram เป็นสื่อกลางเพื่อโปรโมตและให้ข้อมูลข่าวสารกับผู้ติดตามเช่นเดียวกัน

การใช้งานของแอพลิเคชันต่าง ๆ นั้น อาจมีข้อกำหนดในการปิดบังตัวตน โดยมีการกำหนดค่า proxy เพื่อให้เป็นส่วนตัว โดยที่ไม่มีการเปิดเผยข้อมูลส่วนบุคคล หรือบุคคลทั่วไปไม่อาจจะมองเห็นรายละเอียดเนื้อหาของบุคคลที่เป็นเจ้าของนั้นได้ ในการเข้าใช้งานแอพลิเคชันต่าง ๆ นั้น จะต้องมีการลงทะเบียนเพื่อเข้าใช้งาน โดยการลงทะเบียนนั้นจะต้องมีการกรอกข้อมูลรายละเอียดส่วนตัว เช่น ชื่อ สกุล อายุ อาชีพ วันเดือนปีเกิด เป็นต้น

การเก็บพยานหลักฐาน

การสืบสวนเพื่อเก็บพยานหลักฐานในการกระทำผิด เพื่อการนำไปสู่การจับกุม โดยส่วนใหญ่จะมีการเก็บข้อมูลที่สำคัญ ดังนี้

1. URL คือ Link ที่เข้าถึงเว็บไซต์

2. ชื่อเฟสบุ๊ค หรือ อินสตาร์แกรม หรือ ไลน์

3. ชื่อผู้ใช้งาน

4. ID ของแต่ละแอพลิเคชัน

5. เบอร์โทรติดต่อ

การสืบสวน

พยานหลักฐานทางอิเล็กทรอนิกส์ที่ใช้พิสูจน์ตัวตนของผู้กระทำความผิดบนโลกออนไลน์ได้ ดังนี้

1. ภาพแสดงการกระทำความผิดที่เชื่อถือได้ เช่น หากมีข้อความผิดกฎหมายบนเฟสบุ๊ก ก็ต้องมีภาพบนหน้าเฟซบุ๊กที่ปรากฏข้อความนั้น ๆ ประกอบกับชื่อบัญชีที่โพสต์ข้อความ หากมีการส่งสแปมมาทางอีเมล์ก็ต้องมีอีเมล์นั้น ๆ เก็บเอาไว้

2. หมายเลข IP Address ที่เกี่ยวข้องกับการกระทำความผิด ทำหน้าที่คล้ายเป็น “เลขที่บ้าน” สำหรับการส่งข้อมูลติดต่อระหว่างกัน

มาตรา 26 ยังกำหนดหน้าที่ให้ผู้ให้บริการต้องจัดเก็บข้อมูลหมายเลข IP Address ของผู้ใช้เอาไว้อย่างน้อย 90 วัน ซึ่งเจ้าพนักงานตาม พ.ร.บ.คอมพิวเตอร์ฯ มีอำนาจตามมาตรา 18 ที่จะขอให้ผู้ให้บริการส่งข้อมูลหมายเลข IP Address ที่เกี่ยวกับการกระทำความผิดมาให้ได้

3. ข้อมูลสถานที่กระทำความผิด เทียบกับหมายเลข IP Address เจ้าพนักงานจะนำหมายเลข IP Address ไปตรวจสอบกับ ISP ว่าหมายเลข IP Address ใดติดต่อส่งมาหรือรับข้อมูลกับหมายเลข IP Address ใด เมื่อวันที่และเวลาเท่าใด และ ISP ก็จะมีข้อมูลชื่อและที่อยู่ของลูกค้าจากการ จดทะเบียนการขอใช้บริการอินเตอร์เน็ต

4. การตรวจสอบร่องรอยการใช้งานเครื่องคอมพิวเตอร์ การขอหมายค้น ยึดและตรวจสอบเครื่องคอมพิวเตอร์จากศาล และไปยังที่อยู่ที่ได้จดทะเบียนไว้ เพื่อค้น ยึด และตรวจสอบอุปกรณ์คอมพิวเตอร์หาร่องรอยการใช้งานคอมพิวเตอร์เพื่อกระทำความผิด

การตรวจสอบเครื่องคอมพิวเตอร์ อาจทำเพื่อค้นหาร่องรอยเกี่ยวกับการกระทำความผิด อย่างน้อย 4 ลักษณะ คือ

(1) Cache file คือ ไฟล์ที่บราวเซอร์ทำสำเนาข้อมูลบางส่วนของหน้าเว็บไซต์ที่เปิดเข้าใช้งานมาเก็บไว้ในเครื่องโดยอัตโนมัติ เพื่อให้การเปิดเข้าใช้งานครั้งต่อไปโหลดหน้าเว็บไซต์ได้รวดเร็วขึ้น

(2) Cookie คือ ไฟล์เกี่ยวกับการใช้งานเว็บไซต์นั้น ๆ สั่งให้เก็บไว้ในคอมพิวเตอร์ เพื่อให้ระบบจดจำผู้ใช้งานได้สำหรับการเข้าใช้งานครั้งต่อไป

(3) History คือ ประวัติการเข้าใช้งานเว็บไซต์ที่เว็บบราวเซอร์ส่วนใหญ่บันทึกเอาไว้โดยอัตโนมัติว่า ผู้ใช้งานเปิดเว็บไซต์หน้าใด เมื่อวันที่และเวลาใดบ้าง

(4) ไฟล์ที่ใช้กระทำความผิดโดยตรง เช่น หากความผิดเกี่ยวข้องกับการโพสต์ภาพลามกอนาจาร ก็ต้องตรวจสอบว่ามีภาพนั้น ๆ อยู่ในเครื่องคอมพิวเตอร์ที่ถูกยึดมาหรือไม่

(5) ตรวจหา DNA บนเครื่องคอมพิวเตอร์

สื่อที่พบการใช้กระทำความผิด

1. Web Site

2. Facebook

3. Instagram

4. Line

แนวทางการสืบสวนจากเฟซบุ๊ก

1.1 ติดต่อกับเฟซบุ๊กโดยตรง

ติดต่อกับเฟซบุ๊ก ที่เว็บไซต์ www.facebook.com/records ในการขอข้อมูลต้องเป็นไปตามPolicy ของเฟสบุ๊ก

1.2 Content Analysis (วิเคราะห์เนื้อหา)

- ข้อความ รูปภาพ การโพสต์นามแฝง ข้อมูลส่วนตัว

- ความสัมพันธ์ระหว่างกลุ่มเพื่อน

- การหาเบาะแสจากแหล่งอื่น

1.3 Social Engineering (ใช้วิธีการอื่น ๆ เพื่อให้ได้มาซึ่งข้อมูล)

Social Engineering เป็นเทคนิคการพูดคุยเพื่อให้ได้มาซึ่งข้อมูล โดยใช้หลักการพื้นฐานทางจิตวิทยา เพื่อให้เป้าหมายเปิดเผยข้อมูล ซึ่งบางครั้งอาจไม่จำเป็นต้องใช้เทคโนโลยีเข้ามาเกี่ยวข้องเลย

หัวข้อในการสืบสวนและเก็บรวบรวมพยานหลักฐานจากเฟสบุ๊ก

1. ชื่อ

2. Username

3. Profile ID

4. ชื่อเล่นเป้าหมาย

5. วัน เดือน ปี เกิด

6. ID รูปโปรไฟล์

7. โพสต์ล่าสุดของเป้าหมาย

8. วันเวลาของโพสต์ล่าสุดของเป้าหมาย

9. ID ของโพสต์ล่าสุดของเป้าหมาย

ที่มา : เอกสารอบรม กรมสรรพสามิต เทคนิคการสืบสวนยุคดิจิทัล (Investigation in the digital)  Download

อ่านเพิ่มเติม

Open Source Intelligence (OSINT) Tools & Resources

เทคนิคการสืบสวนทางอินเทอร์เน็ต

วิธีการค้นหาหมายเลข FACEBOOK ID

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #วิชาชีพนิติวิทยาศาสตร์

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

Network Forensics:นิติวิทยาระบบเครือข่าย

นิติวิทยาระบบเครือข่าย (Network Forensics) เป็นศาสตร์สาขาหนึ่งของนิติวิทยาคอมพิวเตอร์และนิติวิทยาดิจิทัล (Computer Forensics / Digital Forensics) เป็นการพิสูจน์หลักฐานด้านระบบเครือข่ายสื่อสาร โดยการดักจับข้อมูลจราจรคอมพิวเตอร์และข้อมูลที่ส่งผ่านเครือข่าย เป็นการตรวจสอบข้อมูลโดยชอบตามกฎหมาย (Law Interception) เพื่อนำมาตรวจสอบ วิเคราะห์ รวบรวม และสามารถใช้เป็นหลักฐานในชั้นศาลได้

Network Forensics : กระบวนการและขั้นตอนเพื่อดำเนินการวินิจฉัยข้อมูลจราจรระบบเครือข่าย และเหตุการณ์ด้านความมั่นคงปลอดภัยของระบบเครือข่าย ประกอบด้วยขั้นตอนการดักจับ (Sniffing) การบันทึก (Recording) การวินิจฉัย (Acquisition) และการวิเคราะห์ (Analysis)

Photo by EC-Council Digital Forensics Essentials (DFE) Course

• Sniffing: การดักจับข้อมูลจราจรระบบเครือข่าย เพื่อนำไปใช้เป็นหลักฐาน
• Acquisition: การรวบรวมและวินิจฉัยเกี่ยวกับเหตุการณ์ความมั่นคงปลอดภัยระบบเครือข่าย
• Analysis: การวิเคราะห์ข้อมูลที่น่าสงสัยจากระบบเครือข่าย เพื่อนำหลักฐานนั้นไปใช้ในการดำเนินคดีในชั้นศาลต่อไป

Network forensics can reveal the following information:

 Source of security incidents

 The path of intrusion

 The Intrusion techniques an attacker used

 Traces and evidence

Photo by EC-Council Digital Forensics Essentials (DFE) Course

Basics of Network Communication

• OSI Model
  
• Source: Cloudflare

• TCP Model
  
  
  
• Source: cheapsslsecurity
• Basics of Packet Transmission
• DNS (Domain Name System)
• URL to IP Translation
• LAN vs. WAN
• NAT
  
• Source:wikipedia
• IP Addresses
  
  
  
• 
  
• 
• Source:computernetworkingsimplified
• MAC Address
• Basic Protocols
  
  
  
• Source:devopsschool

• 
  • Source:ipwithease

• Network Device

Source: https://digitalthinkerhelp.com/

อ่านเพิ่มเติม : หลักสูตร CYBER FORENSICS ASSOCIATE (CFA)

                       หลักสูตร Computer Hacking Forensic Investigator (C|HFI)

                       หลักสูตร Digital Forensics Essentials (DFE)

ที่มา : Thailand National Cyber Academy(THNCA) by NCSA :Cyber security Foundation Course Module 24 Network Forensics

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Digital Forensics Essentials (DFE)

Digital Forensics Essentials Free

EC-Council’s very first MOOC certification course series available through participating partners, covering essentials skills in Network Defense, Ethical Hacking, and Digital Forensics.

Your Pathway to an Entry Level Career in Cybersecurity

Course Overview

Digital Forensics Essentials helps learners increase their competency and expertise in digital forensics and information security skills, thereby adding value to their workplace and employer.

This course will introduce learners to Computer Forensics Fundamentals as well as the Computer Forensics Investigation Process. Plan to learn about Dark Web, Windows, Linux, Malware Forensics, and so much more! The interactive labs component of this course ensures that learners receive the hands-on, practical experience required for a future in digital forensics.

DFE-certified learners have an assured means of formal recognition to add to their resumes and show off their expertise and skills to prospective employers. This improves their prospects for employment advancement, higher salaries, and greater job satisfaction.

ฟรีคอร์สอบรม Digital Forensics

Access to all premium videos for all 3 courses in the essentials series

Access to all eCourseware for all 3 courses in the essentials series

CodeRed's Certificate of Achievement

Order of Volatility

Password Types

Collecting Volatile Information

 Collecting Volatile Data

Digital Forensics Essentials (DFE)

DIGITAL FORENSICS: CYBER FORENSICS ASSOCIATE (CFA)

Certified Hacking Forensic Investigator (C|HFI)

Referent:  digital-forensics-essentials

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #MOBILEFORENSICS #สอบ CYBER FORENSICS ASSOCIATE #การพิสูจน์หลักฐานไซเบอร์ #นิติวิทยาศาสตรไซเบอร์ 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

Digital Forensics: กรณีศึกษาลูกจ้างออกจากบริษัทแล้ว ยังเข้าใช้อีเมลบริษัท เป็นการเข้าถึงข้อมูลคอมพิวเตอร์โดยมิชอบ

Digital Forensics: กรณีศึกษา: ลูกจ้างออกจากบริษัทแล้ว ยังเข้าใช้อีเมลบริษัท เป็นการเข้าถึงข้อมูลคอมพิวเตอร์โดยมิชอบ

โจทก์ฟ้องว่า จำเลยเคยเป็นลูกจ้างของโจทก์จำเลยได้ใช้จดหมายอิเล็กทรอนิกส์ เข้าถึงซึ่งข้อมูลคอมพิวเตอร์ของโจทก์ ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะ และมาตรการนั้นมิได้มีไว้สำหรับจำเลย และจำเลยส่งออกซึ่งข้อมูลคอมพิวเตอร์ของโจทก์ อันเป็นข้อมูลลับเกี่ยวกับการปฏิบัติงานการบินพาณิชย์ โดยส่งออกไปยังจดหมายอิเล็กทรอนิกส์ของจำเลย โดยไม่ได้รับอนุญาตหรือได้รับความยินยอมจากโจทก์ ซึ่งจำเลยทราบดีว่าโจทก์ห้ามมิให้ส่งข้อมูลที่จำเลยเข้าถึงและส่งไปยังจดหมายอิเล็กทรอนิกส์ส่วนตัวของจำเลยเผยแพร่ไปสู่บุคคลภายนอก ให้ใช้ได้ฉพาะภายในบริษัทโจทก์เท่านั้น แสดงว่า ข้อมูลคอมพิวเตอร์ของโจทก์ดังกล่าวเป็นข้อมูลที่โจทก์หวงแหน ห้ามมิให้บุคคลอื่นได้เข้าถึง

ดังนี้ การกระทำของจำเลยซึ่งลาออกจากบริษัทโจทก์ไปแล้ว แต่จำเลยยังเข้าไปในจดหมายอิเล็กทรอนิกส์ และส่งไฟล์ข้อมูลเกี่ยวกับการปฏิบัติงานการบินพาณิชย์อันเป็นความลับของโจทก์ ไปยังจดหมายอิเล็กทรอนิกส์ของจำเลย ย่อมก่อให้เกิดความเสียหายแก่โจทก์แล้ว โจทก์จึงเป็นบุคคลที่ได้รับความเสียหาย เนื่องจากการกระทำความผิดตาม พ.ร.บ.ว่าด้วยการกระทำความเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 มาตรา 7 และมีสิทธิฟ้องจำเลยเป็นคดีนี้ได้

องค์ประกอบความผิดตาม มาตรา 7 แห่ง พ.ร.บ.ว่าด้วยการความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 ข้อที่ว่า ที่มีมาตรการโดยเฉพาะและมาตรการนั้นมิได้มีไว้สำหรับตน หมายความว่า เมื่อระบบคอมพิวเตอร์ได้มีการกำหนดวิธีการเข้าสู่ระบบไว้โดยเฉพาะแล้ว หากผู้ไม่มีสิทธิเช่นจำเลยนี้ซึ่งได้ลาออกจากบริษัทโจทก์ไปก่อนหน้านี้ได้เข้าสู่ระบบโดยไม่ได้รับอนุญาตจากโจทก์ หรือไม่มีสิทธิหรืออำนาจที่จะสามารถทำได้อีกต่อไป ผู้นั้นก็ย่อมมีความผิดตามมาตรานี้ได้ กระทำของจำเลยจึงครบองค์ประกอบความผิดตาม มาตรา 7

พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 มาตรา 3 บัญญัติว่า "ข้อมูลคอมพิวเตอร์" หมายความว่า ข้อมูล ข้อความ คำสั่ง ชุดคำสั่ง หรือสิ่งอื่นใด บรรดาที่อยู่ในระบบคอมพิวเตอร์ในสภาพที่ระบบคอมพิวเตอร์อาจประมวลผลได้ และให้หมายความรวมถึงข้อมูลอิเล็กทรอนิกส์ตามกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ด้วย

ปรากฏว่านิยามศัพท์คำว่า “ข้อมูลอิเล็กทรอนิกส์” ตามที่บัญญัติไว้ในพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2544 ได้ให้ความหมายคำว่า “ข้อมูลอิเล็กทรอนิกส์” ไว้ว่า “ข้อความที่ได้สร้าง ส่ง เก็บรักษา หรือประมวลผลด้วยวิธีการทางอิเล็กทรอนิกส์ เช่น วิธีการแลกเปลี่ยนข้อมูลทางอิเล็กทรอนิกส์ จดหมายอิเล็กทรอนิกส์ โทรเลข โทรศัพท์ หรือโทรสาร” ดังนั้น ความหมายจึงรวมไปถึงจดหมายอิเล็กทรอนิกส์ด้วย

คำพิพากษาศาลฎีกาที่ 2600/2563

กฎหมายที่เกี่ยวข้อง

พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์พ.ศ.2550 3 7 พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์พ.ศ.2550 ม.3 ม.7

ที่มา: FB PAKORN DHARMAROJ

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud 

Cloud Forensics:Google Drive forensics with Paraben's E3

Cloud Forensics:Google Drive forensics with Paraben's E3

The scenario was pretty basic. I performed each and every of the following actions (wherever applicable):

Install native Google Drive app.

Execute the application and synced it with my Google Drive’s account.

The scope of this research was to locate those artifacts that could prove that the above actions were made from the user. Lets see how that went.

Paraben's Electronic Evidence Examiner 

Start Electronic Evidence Examiner.

Add Evidence

Add evidence (if you add evidence before creating or opening a new case, the case will be created automatically and saved to the default location. The name of the case file will be case.e3).

Add New Evidence

The Add New Evidence window opens.

Select the evidence category (Image File) and the Source type.

Navigate to the Evidence Source and select it. 

Enter the Evidence name (opened image name by default) and click OK.

Get OS info

Content Analysis

Google Drive Forensic Artifacts 

Directories created when Google Drive is installed
<SYSTEMROOT>\Program Files\Google\Drive	In this folder you will find the executable file of the application
<SYSTEMROOT>\Program Files (x86)\Google\Drive	Here you will find information about the updates of the application
<SYSTEMROOT>\Users\<username>\GoogleDrive	This is the default folder used for synchronizing the user’s files with Google Drive cloud service
<SYSTEMROOT>\Users\<username>\AppData\Local\Google\Drive	Here you will find all the native app’s files that store information about the app and the user’s data

<SYSTEMROOT>\Users\<username>\AppData\Local\Google\Drive

Event Log

Path: C:\Windows\System32\winevt\Logs\Application.evtx

Event ID: 1033

Event Description Summary: Windows Installer installed the product.

Provider Name: MsInstaller

Prefetch

Application Name: GOOGLEDRIVESYNC.EXE

File Path:C:\Windows\Prefetch\GOOGLEDRIVESYNC.EXE-XXXXXXXX.pf

C:\Users\\AppData\Local\ Google\Drive\user_default\snapshot.db This database stores information about the files that have been synced with the user’s Google Drive account.

C:\Users\\AppData\Local\G oogle\Drive\cloud_graph\cloud_graph.db This database also stores information about the files that have been synced with the user’s Google Drive account.

C:\Users\\AppData\Local\ Google\Drive\user_default\sync_config.db This database stores information such as user’s Google Drive account email.

C:\Users\\AppData\Local\ Google\Drive\global.db This database also stores information such as user’s Google Drive account email.

Lnk File

Windows 10 Activity Timeline > Advance Search

Registry

The installation of Google drive creates various keys and values inside the Registry. View the registry hives listed below in the forensic image of the suspect's hard disk.

• SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders

• SOFTWARE\Google\Drive

• 
  NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run\GoogleDriveSync

Paraben's Electronic Evidence Examiner Investigative Report

อ่านเพิ่มเติม: Google Drive

CREDIT:  ARTIFACTS OF GOOGLE DRIVE USAGE IN WINDOWS

                 CLOUD FORENSICS GOOGLE DRIVE 

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ