Friday, November 4, 2022

Digital Forensics:online hex editor

HexEd.it, the powerful online hex editor running in your web browser using HTML5/JavaScript technology. Analyse and edit binary files everywhere.

วันนี้มาแนะนำการใช้งานเครื่องมือ hex editor ออนไลน์

ตัวอย่างพบว่ามีไฟล์ที่พบว่าไม่ทราบว่าเป็นไฟล์อะไร

1.ทำการ Download file File Examples.png มาตรวจสอบ พบว่าเปิดไม่ได้

2. เข้าไปที่ https://hexed.it/ แล้วเปิดไฟล์ File Examples.png

จะเห็นได้ว่า signature file ไม่ถูกต้อง

3. ให้ทำการแก้ ค่า Hex 89 50 4E 47 0D 0A 1A 0A ในแทนที่ 47 49 46 38 OD 0A 1A 0A

https://en.wikipedia.org/wiki/List_of_file_signatures

4 และ Save As to Test1.png

4 ทำการเปิดรูป Test1.png ดังภาพ

ที่มา: hexed.it

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์

Monday, October 31, 2022

Mobile Forensics:How to Extract Evidence From Samsung Galaxy A13

Forensic Imaging & DATA Extraction

Evidence Intake Phase

Mobile Forensics:How to Extract Evidence

Identification Phase

The purpose of the forensic examination

The information regarding manufacture, model and type of the Android devices should be identified

Samsung Galaxy A13

Brand	Samsung
Device Name/ Model number	Samsung Galaxy / SM-A135F
Android Version	Android 12
Baseband version	SP1A.210812.016.A135FXXU2AV
Kernel Version	4.19198
Build Number	SP1A.210812.016.A135FXXU2AVJ3
Serial Number	-
MicroSD Card	64

Preparation Phase

How to Prepare an Android Device for Acquisition

Cellebrite Physical Analyzer 7.30.0.228
Cellebrite UFED 7.58.0172
Samsung Galaxy A13
USB Cable 170
Lenovo Workstation

Isolation Phase

Before the examination, Android devices should be isolated from networks that can be connected with Android devices via wireless (Wi-Fi), infrared and Bluetooth network capabilities. Isolation of the mobile from these communication sources is a significant phase before examination because it prevents the adding of new data to the phone during new calls and texting. Remote wiping or remote access

Summary of types of data that can be extracted using logical, file system and physical extraction. Source: Cellebrite article

UFED Physical Analyzer Examination

Data specification of Android mobile device.

Evidence Collection

SMS Message

Audio

Call Log

Images

Calendar

Contact

Verification Phase

The Image Hash Details dialog displays the comparison result of the reference and calculated hash values of each image.

Documentation and Reporting Phase

Selective File System Extraction in Cellebrite UFED

ขั้นตอนการตรวจสอบพิสูจน์พยานหลักฐานทางดิจิทัล ( DIGITAL FORENSICS )เป็นอย่างไร

ที่มา:@sureandshare

อ่านเพิ่มเติม How to Extract Evidence From HUAWEI Device

ufed-fundamentals-a-basic-review-of-mobile-device-data-collection

ชุดตรวจพิสูจน์โทรศัพท์เคลื่อนที่

ที่มา: android-logical-and-full-file-system-data-collection

Guidelines on Mobile Device Forensics

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud

Wednesday, October 19, 2022

DIGITAL FORENSICS: CELLEBRITE FORENSIC MEMORY CARD READER II

Mobile Forensics: CELLEBRITE FORENSIC MEMORY CARD READER II

วันนี้แอด เจออุปกรณ์ ตัวหนึ่งใน Lab เลยเอามาทดสอบดู ชื่อว่า Cellebrite Forensic Memory Card Reader อุปกรณ์ชุดนี้มาพร้อมในชุด Cellebrite คือชุดอุปกรณ์จัดเก็บหลักฐานบนโทรศัพท์มือถือ

จุดประสงค์

ตรวจสอบข้อมูลใน SD memory card 2 GB

อุปกรณ์ที่ใช้ในการทดสอบ

Cellebrite Forensic Memory Card Reader
Cellebrite Physical Analyzer 7.56.0.20
Scalpel
Cellebrite UFED
SD memory card 2 GB

$C:\Users\localadmin\Downloads\my_watermark\CELLEBRITE FORENSIC MEMORY CARD READER$

* คำแนะนำ switch on write protection (read only mode )from SD Card

ทำการเชื่อ,ต่อ SD card with CELLEBRITE FORENSIC MEMORY CARD READER

Memory card using Memory card reader with the Block switch set to Read Only.

สถานะไฟเขียว Write Block ทำงาน

Select > Mass Storage

Select > Mass Storage Device Memory Card

Select > Removable Drive

Select > Physical

On Process

$C:\Users\localadmin\Downloads\my_watermark\CELLEBRITE FORENSIC MEMORY CARD READER$

เมื่อเสร็จจะได้ สำเนาหลักฐาน (forensic Image file ) ได้ไฟล์ (Dump_001.bin) ,log.txt ,Mass Storage Device_memory Card.ufd

ทำการเปิด โดยใช้โปรแกรม Cellebrite Physical Analyzer (PA)

Cellebrite Physical Analyzer 7.56.0.20

Analyzed Data

File System >export File

Dump_001.bin

Tag

Forensic data recovery using scalpel
ใช้โปรแกรม Scalpel (carved by Scalpel) ทำการ Carve file จาก Image file (Dump_001.bin)

ทำการแก้ไข scalpel.conf เลือก ชนิดของ Type ตามที่ต้องการค้นหา

Any line that begins with a '#' is considered

# a comment and ignored. Thus, to skip a file type just put a '#' at

# the beginning of the line containing the rule for the file type.

หลังจากทำการแก้ไข scalpel.conf แล้ว ทำการพิมพ์คำสั่ง

G:\Software\Scalpel>scalpel.exe "F:\UFED Mass Storage Device Memory Card 2022_10_20 (001)\Physical Method 1 01\Dump_001.bin"

ไฟล์ที่ได้จากการ carved อยู่ใน โฟล์เดอร์ scalpel-output

ดู log Audit.txt

ผลลัพธ์ที่ได้จากการ carved

สรุป คือ อุปกรณ์ Memory Card Reader ชุดนี้มี สวิตท์ เปิด/ปิด เพื่อป้องกันการเขียนข้อมูลทับ สำหรับ SD ,MMC XD SM MicroSD,T Flash เพื่อป้องกันข้อมูล หรือป้องกันการเขียนทับ ก่อนทำสำเนาข้อมูลหลักฐาน และการค้นหาข้อมูลใน สำเนาหลักฐาน (forensic Image file )อาจใช้เทคนิค Carve เป็นอีกทางเลือกในการกู้ข้อมูล

A Demo of SD Card Data Extraction - Cellebrite UFED 4PC

อ่านเพิ่มเติม Cellebrite Forensic Memory Card Reader

Digital Forensics Examiner