Digital Forensics Myanmar

  Volume Boot Record  (VBR) ($Boot)   Disk Editor မသုံးပဲ ကြည့်နိုင်အောင်ရေးသားထားပါသည်။ But practice makes perfect...   Volume Boot Record (VBR) ကို Volume Boot Sector,  Partition Boot Record , Partition Boot Sector ဆိုပြီး အမျိုးမျိုးခေါ်ကြပါတယ်။ ကျွန်တော်တို့ NTFS File System Analysis ကို Volume Boot Record  (VBR) ($Boot)နဲ့ ပထမဦးဆုံး စတင်ပါမယ်။ VBR က MFT ရဲ့ Record (Entry) နံပတ် 7 မှာရှိပါတယ်။ အပေါ်ကပုံမှာဆိုရင် NTLDR က Boot.ini ကနေ Boot Partition (Example C:) ကိုညွန်ပြပါတယ်။ NTFS.sys ကတော့ Window ကနေ NTFS File  System ပေါ်ကို Data တွေRead, Write လုပ်ဖို့အတွက်အသုံးပြုပါတယ်။  NTFS.sys နဲ့ ntoskrnl.exe တို့ Error တက်ရင် Blue Screen  Error တက်ပါတယ်။ NTFS File System ရဲ့ Metadata File ဖြစ်တဲ့ ($Boot)  ကတော့ Master File Table (MFT) က ဘယ်နေရာမှာရှိတယ်ဆိုတာကို မှတ်သားထားပါတယ်။ MFT က File တစ်ခုဖြစ်တဲ့အတွက် Storage ရဲ့မည်သည့် နေရာမှာမဆိုရှိနိုင်ပါတယ်။ Storage Area ရဲ့  Sector ဘယ်လောက်မှာရှိရမယ် Cluster ဘယ်လောက် မှာရှိရမယ်ဆိုပြီး သတ်မှတ်ထား တာမရှိပါဘူး။ ($Boot)  က MFT ဘယ်နေရာမှာ ရှိတယ်ဆိုတာက

 #OSINT နဲ့ပတ်သတ်တဲ့ #Critical_Thinking ကို အသုံးချပြီး လူတစ်ယောက်ရဲ့ လားရာ နဲ့ ရည်ရွယ်ချက်ကို Analysis  ပြုလုပ်ခြင်း  A ဆိုတဲ့ လူတစ်ယောက်က  B ဆိုတဲ့ အကြောင်းအရာကို အမြဲရေးတယ်။ Who သူကဘယ်သူလဲ နာမည် အရင်းက ဘာဖြစ်မလဲ။ သူ့ အဖေ အမေ ညီအစ်ကို မောင်နှမ  ဆွေမျိုးအသိုင်းအဝိုင်း နဲ့ အပေါင်းအသင်းတွေက ဘယ်သူ‌တွေဖြစ်မလဲ။ မွေးဖွားတဲ့ အချိန်ကနေ လက်ရှိအချိန်အထိ သူ့ရဲ့အကြောင်း။ ဥပမာ သူနေခဲ့တဲ့ ကျောင်း။ တက္ကသိုလ်။အလုပ်။ Etc .. .. What  သူက ဘယ်လိုအကြောင်းအရာတွေကို အများဆုံးရေးသလဲ။  သူ့ရဲ့ရည်ရွယ်ချက်က ဘာလဲ။  သူက ဘယ်လိုလူမျိုးလဲ။  (နိုင်ငံရေးခံယူချက်။ ဘာသာ, Etc ..)(Who က ရတဲ့ Information နဲ့ ဆက်စပ်) Where  သူရေးတဲ့ အကြောင်းအရာတွေက ဘယ်နေရာကနေရလဲ။ ဘယ်ကလာလဲ။ ဘာကိုကိုးကားသလဲ။  When  ဒီအကြောင်းအရာနဲ့ပတ်သတ်ပြီး ဘယ်အချိန်တွေမှာရေးသလဲ။ တစ်ခါတစ်ရံလား။ အမြဲတမ်းလား။ ဘယ်အချိန်မှာ ရေးသလဲ။ (FB မှာဆို Post တင်တဲ့အချိန်။) (..) ဖြစ်တာနဲ့ သူရေးတဲ့အချိန် (...) ကွာလဲ။ Why  ဒီအကြောင်းအရာကို ဘာလို သူကရေးရတာလဲ။ ဘယ်လို ရည်ရွယ်ချက်နဲ့ရေးတာလဲ။ အခုလိုရေးလို သူ့အတွက်  အကျိုးစီးပွားအနေနဲ့ ဘာပြန်ရနိုင်မလဲ။ ။ (အပေါ်က ရတဲ့ Information နဲ့

NTFS File System Analysis မှာ eCDFP ထဲက စာတွေပါသလို eCDFP ထဲမှာ မပါတဲ့ စာတွေလဲပါပါမယ်။ NTFS File System Analysis အကြောင်းကို ပိုမိုနားလည်စေရန်ဖြစ်ပါတယ်။  NTFS FILE SYSTEM ANALYSIS   FAT File System မှာ ကန့်သတ်ချက်တွေနဲ့ အသုံးပြုတဲ့သူတွေ အနေနဲ့ လိုအပ်ချ က်တွေရှိတာဖြစ်တဲ့အတွက် New Technology File System (NTFS) ကို Microsoft က 1993 မှာ Window NT 3.1 ကနေစပြီး အသုံးပြုခဲ့ပါတယ်။ FAT File System လိုပဲ NTFS မှာလဲ Default Cluster Size တွေရှိပါတယ်။ လက်ရှိမှာ Window အသုံးပြုသူအများဆုံးရှိတဲ့အတွက် NTFS File Structure နဲ့ သူရဲ့အလုပ်လုပ်ပုံ ကိုသိရှိထားရင် Digital Forensics Analysis လုပ်ငန်းမှာများစွာ အသုံးဝင်မှာဖြစ်ပါတယ်။ အပေါ်ကပုံကတော့ FAT 32 File System ဆိုတာကိုမှတ်မိမယ်ထင်ပါတယ်။ NTFS File System မှာတော့ FAT File System လို FAT Area, Data Area တွေခွဲခြားထားခြင်းမရှိပါဘူး။ NTFS File System ထဲမှာပါသမျှကို File အဖြစ်သတ်မှတ်ပါတယ်။ NTFS System တစ်ခုလုံးကို Data Area အဖြစ်သတ် မှတ်နိုင်ပါတယ်။ NTFS File System ထဲမှာရှိတဲ့ File System Metadata File တွေက $ နဲ့စပါတယ်။ System Metadata File တွေကိုတော့ အသုံးပ

  Download Link  Google Drive Download

လွန်ခဲ့တဲ့နှစ်များအတွင်း   Mobile Application ကနေ ရရှိလာတဲ့ Data တွေကိုရောင်းချတဲ့ Company တွေက US  စစ်ဘက် အရပ်ဘက် ထောက်လှမ်းရေးအဖွဲ့အစည်းတွေနဲ့ လျှို့ဝှက်စွာ ပတ်သတ်မှု တွေရှိခဲ့ ပါတယ်။ US  စစ်ဘက် အရပ်ဘက် ထောက်လှမ်းရေး အဖွဲ့အစည်းတွေက Mobile Application တွေကနေရရှိတဲ့ Location အချက်အလက်တွေ ကို အသုံးချပြီး ပြည်တွင်း ပြည်ပမှ လူများစွာကို စောင့်ကြည့်မှုတွေကို ပြုလုပ်ခဲ့ပါတယ်။ (အခုအချိန်အထိလဲ ပြုလုပ်နေဆဲဖြစ်ပါတယ်။) Data တွေကိုဘယ်ကနေ ရရှိသလဲ ?  Weather apps, Navigation apps, Coupon apps, family safety apps လိုမျိုး Application တွေက Location Access ကိုလိုအပ်ချက်အရတောင်းတတ်ပါတယ်။ ရရှိလာတဲ့ Location အချက်အလက်တွေကို Data Analysis လုပ်တဲ့ Company တွေကို ပြန်လည်ရောင်းချနိုင်ပါတယ်။  Data ဝယ်တဲ့သူတွေက Application Developer တွေကနေတစ်ဆင့်လဲ Location အချက်အလက်ကို ဝယ်ယူပါတယ်။ Developer တစ်ယောက်က သူရေးတဲ့ Application ကနေရတဲ့ Location အချက် အလက်ကိုပေးနိုင်ရင် Developer က လူတစ်ယောက်ချင်းစီအတွက် လအလိုက်သော်လည်း ကောင်း နှစ်အလိုက်သော်လည်ကောင်း ပိုက်ဆံရပါတယ်။ Location Data တွေကို ဘယ်အချိန်မှာရမလဲဆိုရင် သုံးတဲ့သ

#DVR_NVR_Forensics Q- DVR/NVR ကနေ Storage ကို Wipe Or Format လုပ်လိုက်ရင် Video Clips တွေပြန်ရနိုင်မလား ? A- Wipe လုပ်ပြီး နောက်ပိုင်း ဘယ်လောက်ကြာကြာ DVR NVR ကိုပြန်လည်အသုံးပြုထားတယ်ဆိုတဲ့အပေါ်မူတည်ပါတယ်။ ဥပမာ Wipe လုပ်ပြီး ရက်မကြာသေးခင် Recovery ပြန်လုပ်ရင် Video Clip တစ်နာရီ အချိန် အတိုင်းအတာရှိတဲ့ထဲက 10-20 Or etc minutes ... မိနစ်စာပြန်ရနိုင်ပါတယ်။ Storage ပေါ်မှ File System ကနေ Data တွေကို ဘယ်လိုသိမ်းဆည်းလဲ ဖျက်လိုက်ရင် ဘယ်လိုဖြစ်မလဲဆိုတာကို နားလည်မယ်ထင်ပါတယ်။ရက်ကြာလေလေ ရရှိမဲ့ Video Clips ရဲ့ အချိန်ကလည်း နည်းနည်းသွားပါလိမ့်မယ်။ကွန်ပျူတာမှာ သုံးတဲ့ storage လို မဟုတ်ပဲ။ Storage မှာ DVR/ NVRက 24Hours Write ပြုလုပ်နေတာကြောင့်ဖြစ်ပါတယ်။ DVR NVR မှာ Format or Wipe လုပ်တာက ကွန်ပျူတာမှာ Storage ကို Format or Wipe လုပ်တာထက် ပိုပါတယ်။ Q- DVR NVR Storage ကို Computer နဲ့ တိုက်ရိုက်တွဲလို့ ရနိုင်သလား။ A- File System မတူတာကြောင့် Format တောင်းပါလိမ့်မယ်။ တိုက်ရိုက်တွဲလို့မရနိုင်ပါ။ DVR အတွက် သီးသန့်ထုတ်ထားတဲ့ Forensics Tools ကနေပဲ ချိတ်ဆက်လို့ရနိုင်ပါတယ်။ Q - DVR Forensics Tools ဘာကြောင့်သုံးတ

 Subdirectory Structure အခုပုံမှာ Folder-1 က Subdirectory ဖြစ်ပါတယ်။ Root Directory ရဲ့အောက်မှာရှိပြီး “ . “ အနေနဲ့ပြသပါတယ်။ “..“    အနေနဲ့ပြသတာကတော့ Root Directory ဖြစ်ပြီး အပေါ်မှာ File System Directory ရှိတယ်ဆိုတာကိုပြသတာဖြစ်ပါတယ်။ Subdirectory Structure မှာ သူရဲ့ကိုယ်ပိုင် Attribute တွေရှိပြီး Subdirectory ရဲ့  Size ကအမြဲတမ်း  ၀ ဖြစ်ပါတယ်။ Folder-1 = 602 KB ဆိုတာက FM-LOG.jpg ရဲ့ File Size ဖြစ်ပါတယ် ။ Subdirectory မှာလဲ File System ထဲမှာ ရှိတဲ့ အခြားသော File / Directory တွေလိုပဲ Date / Time (MAC) တွေရှိပါတယ်။  File Allocation  FAT 32 File System မှာ File Location ကို File System ကနေ ဘယ်လို Allocation ပြု လုပ်တယ်ဆိုတာကိုပြသမှာဖြစ်ပါတယ်။ New Folder -1 ကို Create လုပ်လိုက်ပြီး Photo File  တစ်ခုကို ထည့်ထားပါတယ်။  အခုပုံနဲ့ အောက်ကစာကိုတွဲပြီးကြည့်ပေးပါ။ လက်တွေ့နဲ့ပါတွဲကြည့်ရင် ပိုပြီးနားလည်လွယ်မှာ ဖြစ်ပါတယ်။ File In FAT32 File System  - Boot Sector ကနေ Data Area, FAT Area, Root Directory ကိုရောက်ရှိနိုင်ပါတယ်။ - Root Directory ကနေ New Folder – 1 ရှိတဲ့ နေရာကိုသွားမယ်ဆိုရင် New