Digital Forensics Myanmar

Secure digital (SD) တွေကို Standard ဖြစ်စေဖို့ SD Association ကနေ ၂၀၀၀ ခုနှစ်မှာ Company 3 ခုနဲ့ စတင်ခဲ့တာ အခုဆိုရင် Company 900 ကျော်ရှိနေပါပြီ။ SD card တွေမှာ လူသုံးနည်းတဲ့ Features ကတော့ CMD42 ဆိုတဲ့ Password Lock-Unlock စနစ်ပဲဖြစ်ပါတယ်။ SD Card တိုင်းမှာ Standard အရ ပါဝင်ပါတယ်။ CMD 42 ကိုသုံးတဲ့လူ နည်းပါတယ်။ CMD42 ဆိုတာကတော့ Host System ကနေ SD, microSD, miniSD နဲ့  eMMC devices တွေကို Lock Unlock ဖြစ်အောင် 16-byte (maximum length)  password ပေးနိုင်ပါတယ်။ Encryption မဟုတ်ပဲ Password ပေးတာဖြစ်ပါတယ်။  eMMc တွေက SD ထဲမှာ မပါပေမဲ့ CMD42 Features ကိုသုံးပါတယ်။ သုံးနေတဲ့ winsow OSX linux တွေက CMD 42 ကို မစစ်ဆေးနိုင်ပါဘူး။ Card Reader တွေမှာလဲ မစစ်ဆေးနိုင်ပါဘူး။ SD-eMMC Controller ကို တိုက်ရိုက်မဖတ်နိုင်လို့ ဖြစ်ပါတယိ။  CMD42 Commad ပေးထားရင် SD Card ကို Forensics Tools တင်ထားတဲ့ Window OSX linux စက်တွေက မဖတ်နိုင်ပါဘူး။ Image ရိုက်ယူလို့မရနိုင်ပါ။ Data ရဖို့မလွယ်ကူပါ။ဖတ်နိုင်ဖို့ Operating Systems Kernel အထိပြင်ရမှာ ဖြစ်ပါတယ်။ CMD 42 ပါတတ်တာတွေကတော့ Mobile Device IoT Device Vehicle Inform

 Android Application Downgrade  Forensics ကျွန်တော်တို့ Andriod ဖုန်းတွေမှာ အချို့က Data Backup မပေးတာတွေကြုံလာရတဲ့အခါ Backup မယူနိုင်တဲ့အခါတွေမှာ App Downgrade ပြုလုပ်တာကိုသုံးပါတယ်။ အရင်တုန်းက ကိုယ်စစ်ဆေးလိုတဲ့ App Data တွေကို Adb Backup ယူပြီး ရယူပါတယ်။ ပြီးမှ Analysis လုပ်တာပေါ့။ဒါပေမဲ့ နောက်ပိုင်း Third Party Appliction ဥပမာ  Facebook Whatap တွေမှာ Adb Backup ကို User တွေရဲ့ Privacy နဲ့ Security အရ အသုံးပြုလို့မရတော့ပါဘူး။  ဒါ့ကြောင့် Android Application Downgrade  နည်းလမ်းကို အသုံးပြုလာပါတယ်။ ဘယ်လိုလဲဆိုရင် Very Simple ပါ။ ကိုယ် စစ်ဆေးမဲ့ Application ကို  Adb Command Support ပေးတဲ့ Version. အထိ Downgrade ချလိုက်တာဖြစ်ပါတယ်။ adb Backup Support ပေးတဲ့ App Version ကို Install လုပ်တာပါ။ Adb Command ကနေ App ကို Data ချန်ပြီး Uninstall လုပ်။ ပြီးရင် Adb Command Support ပေးတဲ့ Version ကို Install လုပ်ပါတယ်။ Install လုပ်ပြီးရင် adb Command Support ပေးပြီး ဖြစ်တဲ့အတွက် App Data ကို Backup ယူပြီး Analysis လုပ်ပါတယ်။ Note ကျွမ်းကျင်တဲ့သူအတွက်သာဖြစ်ပါတယ်။ မှားသွားရင် App Data က လုံးဝ ပျက်သွာ

 HDD,  Flash  Drive,  etc  စတာတွေကို Forencisally Sound Manner (Imaging) အနေနဲ့ Bit  by  Bit  Image ယူတဲ့အခါမှာ HDD,  Flash  Drive မှာ ရှိသလောက် Bit တွေကို အကုန်ရရှိတာမဟုတ်ပါဘူး။ ပုံမှာ ပြထားတဲ့ User Addressable နေရာကိုပဲ Image လုပ်ယူနိုင်တာဖြစ်ပါတယ်။  Service/System Area ထဲမှာပါဝင်တဲ့ Servo  Information,  Firmware, SMART   (Self-Monitoring,   Analysis   and   reporting Technology ) စတဲ့ အချက်အလက်တွေကို မရရှိနိုင်ပါဘူး။ Servo Information ကတော့ HDD ရဲ့Spindle  လည်ပတ်နှုန်း  Head နဲ့ Actuator Arm ရွေ့လျားမှုဖြစ်ပါတယ်။ Firmware ကိုတော့ PCB ရဲ့ ROM ထဲမှာ ရှိပြီး HDD  Boot Up လုပ်ဖို့  HDD ထဲမှာ သိမ်းထားတဲ့ Data တွေရဲ့ Physical , Logical ​Location တွေကို Compuer ကို ပြောပြပေးပါတယ်။ Host  Protected  Area     (HPA) ထဲမှာ ပါဝင်တာကတော့ Factory  Reset,  Diagnostic Programs တွေဖြစ်ပါတယ်။ အချို့သော Malwares တွေက Detect မဖြစ်အောင် HPA ထဲမှာ ရှိနေတတ်ပါတယ်။  Device   Configuration   Overlay   (DCO) ကတော့  PC Laptop Vendor တွေကနေ သူတို့ထုတ်မဲ့ အမျိုးအစား Operation System အပေါ်မူတည်ပြီး တပ်ဆင်မဲ့ HDD အ

SSD Forensic Challenges Garbage  Collection  (GC) HDD မွာလို Data တစ္ခုသိမ္းမယ္ဆိုရင္ ရွိေနၿပီးသား Data ေပၚမွာ SSD Nand Flash က မသိမ္းႏိုင္ OverWrite မလုပ္ႏိုင္ပါဘူး။ Data  သိမ္းမယ္ဆိုရင္ Block ကို Erase လုပ္ ၿပီးမွ သိမ္းရပါတယ္။ မဖ်က္ခင္ Block ထဲက Data ကို အျခား Block ေပၚ ေျပာင္းတာလဲရွိပါတယ္။ အခုလို Bock ကို Erase လုပ္ Block ေတြကို ျပန္ေနရာခ်တာကို  Garbage Collection လို႔ေခၚပါတယ္။ TRIM   TRIM-enabled  လုပ္ထားတဲ့ SSD  drives က  garbage  collection  (GC) ေၾကာင့္  ဖ်က္လိုက္တဲ့  Data ေတြကိုျပန္ရႏိုင္ဖို႔ခက္ခဲပါတယ္။ TRIM ဆိုတာက ဥပမာ အခ်က္အလက္တစ္ခုကို ဖ်က္လိုက္မယ္ဆိုရင္ SSD ထဲမွာ အၿပီးဖ်က္လိုက္မယ္ဆိုၿပီး SSD Controller က ေနတစ္ဆင့္ Data သိမ္းထားတဲ့ Page Or Block ထဲကို ဖ်က္ခိုင္းလိုက္တာပါ။ TRIM က  ကြန္ပ်ဴတာ ပါဝါ ပိတ္ထားလိုက္ရင္ လုပ္ေနတဲ့ အလုပ္ကို  ခနရပ္ထားပါတယ္။ ဒါေပမဲ့ ကြန္ပ်ဴတာ ပါဝါ ျပန္ဖြင့္တာနဲ႔ ျပန္အလုပ္လုပ္ပါတယ္။ ဘာလို႔လဲဆိုရင္ လုပ္ေနတဲ့ အလုပ္ကို SSD Controller ထဲမွာ သိမ္းထားလို႔ျဖစ္ပါတယ္။ Trim က RAID configuration, NAS configuration,  window 7 ႏွင့္ ေနာက္ပိုင္း ၿပီးရင္ SSD ကို External

 Digital Forensics Quizs (34-35-36) #Question  Digital Forensics and Incident Response (DFIR) ကို Undergraduate ဒါမှမဟုတ် Graduate courses ဘယ်အဆင့်မှာ သင် သင့်ပါသလဲ ?  #Answer  Catch The Young ဆိုသလိုပဲ. ငယ်ရွယ်တဲ့အချိန်မှာ စပြီးသင်ယူတာ အကောင်းဆုံးဖြစ်ပါတယ်။ Undergraduate အဆင့်မှာ Cyber Security, Programming  လိုမျိုးဘာသာရပ်နဲ့ DFIR ဘာသာရပ်ကို  အခြေခံသင်သင့်ပါတယ်။ အခြေခံမရှိသေးတဲ့အတွက်  DFIR လိုမျိုးဘာသာရပ်ကို အရမ်းငယ်ရွယ်တဲ့ အချိန်ဆိုရင် သင်ယူဖို့မသင့်တော်ပါဘူး။ လက်ရှိ India DFIR Profrssional တော်တော်များများမှာ Programming အားနည်းပါတယ်။ ဘာလို့လဲဆိုရင် Undergraduate နဲ့ Post Graduate အဆင့်မှာ ကောင်းစွာမသင်ယူခဲ့ရလို့ဖြစ်ပါတယ်။DFIR တစ်ယောက်က  Applications Analysis အပိုင်းတွေလိုက်ဖို့အတွက် Programming  ကိုသိဖို့လိုအပ်ပါတယ်။   #Question  Digital Forensics Analysis Tools တွေကိုဝယ်ယူတဲ့အခါ ဘာတွေကို သတိထားသင့်ပါသလဲ ?  #Answer Digital Forensics Analysis Tools ရွေးချယ်တာက အရေးကြီးတဲ့ အပိုင်းမှာပါဝင်ပါတယ်။ ကိုယ်ရှာဖွေလိုတဲ့ အချက်အလက်တစ်ခုရဲ့  အဖြေကိုရနိုင်တဲ့ Analysis Tools တွေအများကြီးရှိပါတယ်

 #Question Volatile Evidences တွေကိုဘယ်လိုရယူနိုင်ပါသလဲ ? #Answer Random Access Memory (RAM) က Volatile Information ဖြစ်ပါတယ်။ Computer Power Off တာနဲ့ အချက်အလက်တွေရှိတော့မှာ မဟုတ်ပါဘူး။ Storage Media ဖြစ်တဲ့ HHD SSD တို့ကိုတော့ Non Volatile Information လို့ခေါ်ပါတယ်။ Power Off နေပေမဲ့ အချက်အလက်တွေရှိနေတုန်းမို့လို့ပါ။ RAM ထဲမှာတော့ စစ်ဆေးသူစိတ်၀င်စားနိုင်တဲ့ အချက်အလက်တွေပါ၀င်နိုင်ပါတယ်။ ဥပမာ Execute Command , Clear Test Password, Unencrypted Information,IP Address, Encryption Key (Bitlocker or Ransomware)  Volatile Information ကိုရယူစဉ်ဂရုစိုက်ရမှာတွေက  Machine ရဲ့ Running လုပ်နေတဲ့ပုံစံမပျက်အောင်ထားပါ။ Running System ကို ဓာတ်ပုံရိုက်ကူးပါ  Document လုပ်ပါ။ Browser Activity , Opening Folder Opening Documents  Machine မှာ Encryption စနစ်သုံးထားခြင်း ရှိ မရှိ စစ်ဆေးပါ။ Machine ရဲ့ Operation System Version  ကို မှတ်သားပါ။ Machine ရဲ့ Current Time Date ကို မှတ်သားပါ ဓာတ်ပုံရိုက်ကူးပါ။  RAM Dump ကို Memory Stick ဖြင့်ရယူပါ။ အခြားသော Volatile Information များကိုရယူပါ။ Document Every Steps I

  Digital Forensics Quizs (31-36)  #Queation  Anti Forensics ဆိုတာဘာလဲ ?  #Answer  Criminal ကျူးလွန်သူတွေက Anti Forensics လုပ်ခဲ့မယ်ဆိုရင် စစ်ဆေးသူအနေနဲ့တော်တော်‌လေး အခက်တွေ့နိုင်ပါတယ်။ Anti Forensics Methods တွေကတော့ data hiding အချက်အလက်တွေကို ဝှက်ထားခြင်း။data wiping အပြီးတိုင် ဖျက်ဆီးခြင်း။Tail obfuscation ရှုပ်ထွေးအောင်ပြုလုပ်ထားခြင်း Encryption ပြုလုပ်ခြင်း Stenography ပြုလုပ်ခြင်း Disk Cleaning ပြုလုပ်ခြင်း တို့ ဖြစ်ပါတယ်။ Anti Forensics ရဲ့ အဓိက ရည်ရွယ်ချက်ကတော့ Digital Forensics စနစ်တွေ အောက်သွားအောင် Digital Forensics Tools တွေရဲ့ လုပ်နိုင်စွမ်းရည် ကျဆင်းအောင် Recovery လုပ်လို့မရအောင် စစ်ဆေးသူ Knowledge မပြည့်ရင် စစ်ဆေးမှုမဖြစ်နိုင်အောင်ပြုလုပ်တာပဲ ဖြစ်ပါတယ်။  Anti Forensics ; Counter Forensics ပြုလုပ်ခြင်းကြောင့် Challenge တွေရှိလာပါတယ်။ စစ်ဆေးသူအနေနဲ့ Anti Forensics အလုပ်လုပ်ပုံတွေ နည်းလမ်းတွေကို သိရှိထားရမှာ ဖြစ်ပါတယ်။ ဒါမှသာ Anti Forensics ပြုလုပ်ထားမထား သိရှိနိုင်မှာ ဖြစ်ပါတယ်။ ဥပမာ  usboblivon ဆိုရင် ကွန်ပျူတာမှာ လာတပ်တဲ့ usb log တွေကို ဖျက်တာဖြစ်ပါတယ်။ သူက စပြီး Run တာ