Digital Forensics Myanmar

  Download PDF

 Memory Dump ကနေ Artifacts တွေကို ရယူနိုင်ဖို့ Volatility (Command Line) ကို တော်တော်များများ အသုံးပြုကြပါတယ်။ Pass Mark OS Forensics ကနေ GUI မသုံးချင်သူတွေ / နှစ်မျိုးလုံး အသုံးပြုချင်သူတွေအတွက် Volatility Workbench (GUI) ကိုပြုလုပ်ထားပါတယ်။ တွဲပြီးအသုံးပြုရမဲ့ Profile တွေကိုလဲ အသင့် Download ရယူနိုင်ပါတယ်။ Sample File တွေလဲပေးထားပါတယ်။ Open Source Computer Forensics Tool ဖြစ်တဲ့ Autopsy အပြင် Commercial Computer Forensics Tools တွေကလဲ လက်ရှိအချိန်ထိ Open Source ဖြစ်တဲ့ Volatility ကိုပဲ သူတို့ရဲ့ Software ထဲမှာ အသုံးပြုထားပါတယ်။                                                           Link  Volatility Workbench (GUI) for the Volatility tool

Download Archive 

Download Chip Off (Mobile Forensics Myanmar Language ) 

Sleuth Kit® (TSK) က Disk Analysis နဲ့ File Recovery အတွက် ၂၀၀၈ ခုနှစ်ကတည်းက ပြုလုပ်ထားတဲ့ Open Source CLI Tools တစ်ခုဖြစ်ပါတယ်။ Sleuth Kit® (TSK)  ကို C and Perl နဲ့ရေးသားထားပြီး The Coroner's Toolkit (TCT) ကနေ Code အချို့ထပ်ပြီးပေါင်းထည့်ထားပါတယ်။ နောက်ပြီး ကိုယ်တိုင်ရေးသားထားတဲ့ Tools တွေပါထပ်ပြီး ပေါင်းထည့်လို့ရပါတယ်။ Sleuth Kit® (TSK) ကိုအောက်ပါ Operation System တွေမှာအသုံးပြုလို့ရပါတယ်။ Sleuth Kit® (TSK) ကို Open Source Forensics Tools တစ်ခုဖြစ်တဲ့ Autopsy အပြင် အခြား Commercial Digital Forensics Tools တွေမှာပါအသုံးပြုထားပါတယ်။ Linux Mac OS X Windows  Open & FreeBSD Solaris Sleuth Kit® (TSK) ကနေ Suppot ပေတဲ့ File System နဲ့ Image File Type တွေက အောက်ပါအတိုင်း ဖြစ်ပါတယ်။ Sleuth Kit® (TSK) နဲ့ပတ်သတ်ပြီး The Sleuth Kit မှာအသေးစိတ်ကြည့်နိုင်ပါတယ်။ Analyzes raw (i.e. dd), Expert Witness (i.e. EnCase) and AFF file system and disk images.  Supports the NTFS, FAT, ExFAT, UFS 1, UFS 2, EXT2FS, EXT3FS, Ext4, HFS, ISO 9660, and YAFFS2 file systems (even when the host operating system

 File Carving  File Content တွေက ဖျက်ထားပေမဲ့ သူ့နေရာကို အခြား File တစ်ခုက Over Written မဖြစ်ခင်အထိရှိနေပါတယ်။ File တွေကသူ့ရဲ့  Original File Structure အတိုင်းမဖြစ်ရင် ဖွင်လို့ရမှာ မဟုတ်ပါဘူး။ PDF ဆို PDF Word File ဆို Word File ဆိုပြီး သူတို့ရဲ့ File Structure တွေရှိပါတယ်။  Data Recovery Software တွေက ဖျက်လိုက်တဲ့ File ရဲ့  File System Structure (File Table)  တွေကိုကြည့်ပြီး Recovery ပြုလုပ်ပါတယ်။  File Content တွေရဲ့ File Structure တွေပျက်စီးသွားခဲ့ရင် File တွေကိုကြည့်လို့ ဖွင့်လို့ မရတော့ပါဘူး။ What Is File Carving? File Carving ဆိုတာက File System Metadata  ပျောက်နေပြီး Raw Data  ဖြစ်နေတဲ့ File တွေကနေ File Structure, File Content တွေကို  Recovery ပြုလုပ်ခြင်းဖြစ်ပါတယ်။ တစ်နည်းအားဖြင့် Raw Data တွေကနေ အချက်အလက် ရရှိအောင်ပြုလုပ်ခြင်းဖြစ်ပါတယ်။ Example – Unlocated Space ကနေ Deleted File တွေကိုပြန်လည်ရယူခြင်း။  Why Need File Carving? File System Corruption Formatted Device Unknown File Formats  File Deleted ဖြစ်တဲ့အချိန်တွေမှာ File Content က Storage ပေါ်မှာရှိပေမဲ့ File Metadata ပျောက်တ

Alternative Data Stream (ADS)   NTFS File System မှာ one $DATA Attribute မှာတစ်ခုထပ်ပိုပြီးရှိနိုင်ပါတယ်။ အဲဒါကတော့ Alternative Data Stream (ADS) ပဲဖြစ်ပါတယ်။ ADS ကို Data Hiding ပြုလုပ်တဲ့နေရာမှာ အသုံးပြုပါတယ်။  အခုဆိုရင် DFM.TXT File အတွက် နောက်ထပ်  $DATA Attribute တစ်ခုကိုပြုလုပ်လို့ပြီးပါပြီး။  သာမန်ကြည့်ရင် DFM.TXT File ကိုပဲမြင်ရမှာ ဖြစ်ပြီး  DFM.TXT File ထဲမှာ Hidden ဖြစ်နေတဲ့  File.TXT File ကိုမြင်ရမှာ မဟုတ်ပါဘူး။ ADS ကိုမြင်ဖို့အတွက် အောက်မှာပြထားတဲ့ Command ကိုအသုံးပြုပြီးကြည့်နိုင်သလို။ Disk Editor တွေနဲ့လဲဖွင့်ကြည့်နိုင်ပါတယ်။ Forensics Tools တွေမှာတော့ ADS ကိုရှာဖွေပြီးဖော်ပြပေးပါတယ်။  ADS File ကို အောက်ပါအတိုင်း Disk Editor နဲ့လဲဖွင့်ကြည့်နိုင်ပါတယ်။ နောက်တစ်နည်းကတော့ ADS File ကို FAT File System ရှိတဲ့ Storage ထဲကိုထည့်ပြီး ဖွင့်ကြည့်တာဖြစ်ပါတယ်။ ADS က  NTFS File System မှာသာ အလုပ်လုပ်ပါတယ်။  File  And RAM SLACK  Storage  ပေါ်မှာ Data တွေကို သိမ်းဆည်းတဲ့အခါမှာ File Size အရ  Disk Space (Storage)  လိုအပ်လာရင် Operating System က  လိုအပ်တဲ့ File Size ပမာဏအရ Cluster တွေကိုတို

  SQLite ကို Android Phone, Apple Phone , MAC OS, Window တို့မှာ အချို့ Application တွေရဲ့ Data တွေကို  သိမ်းဆည်းဖို့ အများဆုံးအသုံးပြုပါတယ်။  Message Application တွေဖြစ်တဲ့ Viber, Telegram, What App , Skype,  Messenger စတဲ့ Message Application တွေက Desktop Version ပဲဖြစ်ဖြစ် Mobile Version ပဲ ဖြစ်ဖြစ် SQLite Database ကို အသုံးပြုပါတယ်။  ဒါ့အပြင် Contact, Call Log , Message (SMS)  စတာတွေမှာ SQLite Database ကို အသုံးပြုပါတယ်။ Window ဆိုရင်လဲ Browser တွေရဲ့ History  , Window Timeline History ကိုသိမ်းဆည်းတဲ့နေရာ Mac OS ဆိုရင်လဲ အဓိကကျတဲ့ Artifacts တွေကို သိမ်းဆည်းတဲ့နေရာမှာအများဆုံးအသုံးပြုပါတယ်။  SQLite မှာ Journal File 2 File ရှိပါတယ်။ Journal File  Write-Ahead Log (WAL) File   Journal File  Database မှာ ရှိတဲ့ Data တွေကို Page အနေနဲ့ သိမ်းထားပြီး Page Size က‌တော့ Developer သတ်မှတ်တဲ့ အတိုင်းရှိပါတယ်။ Default ကတော့ 4096 Bytes ဖြစ်ပါတယ်။ Database တစ်ခုထဲမှာ ရှိတဲ့ Page File တွေက Same Size ဖြစ်ပါတယ်။ Page-1 က 4096 Bytes ဆိုရင် ကျန်တဲ့ Page တွေကလဲ 4096 Bytes ပဲဖြစ်ပါတယ်။ Database ထဲမှာ Pag