Digital Forensics Myanmar

 အခုအနေအထားမှာဆိုရင် Flash Drive ကို Window , Linux မှာထိုးရင် အထဲက File တွေကိုမမြင်ရတော့တဲ့ အနေအထားဖြစ်သွားပါပြီး။ Disk Management မှာ ကြည့်မယ် ဆိုရင် Format ပေးမှ ရတော့မယ်။ Data ကတန်ဖိုးမရှိဘူးဆိုရင်တော့ Format ပေးလိုက်ရင်ရပါပြီ။ But Data ကတန်ဖိုးရှိတယ် ပြီးရင် Forensics Analysis လုပ်မယ်ဆိုရင် Format လုပ်ပြီး Recovery ပြန်ဆွဲမယ်ဆိုရင် မူရင်းအတိုင်း Data တွေ ပြန်ရဖို့ မလွယ်ပါဘူး။ Forensics Analysis လုပ်မယ်ဆိုရင် ပိုဆိုးပါတယ်။ ကျွန်တော်တို့က Data ကို ရနိုင်သမျှ ရအောင်လိုချင်တာကိုး။ Format ကိုမှ မူလ Fash Drive မှာ သုံးထားတာက FAT လား NTFS လားဆိုတာမသိလို့ FAT သုံးထားတာကို NTFS နဲ့ Format လုပ်မိရင်။ ဒါမှမဟုတ် NTFS သုံးထားတာကို FAT နဲ့ Format လုပ်မိရင်။  File System လွဲပြီး Format လုပ်မိလိုက်တယ်။ But   Cluster Size တော့မချိန်းပဲ Format လုပ်မိမယ်ဆိုရင်တောင် File System ရဲ့ Default Cluster Size ကြောင့် Cluster Size တွေက Shuffle ဖြစ်သွားတဲ့အတွက် Data ပြန်ရဖို့ မလွယ်ကူတော့ပါဘူး။ ဒီနေရာမှာ Low-Level Analysis ကိုအသုံးပြုပြီး Flash Drive ထဲက Data ကိုပြန်ရယူပါတယ်။ မူရင်း File System ရော Cluster Siz

Smart Watch တွေကို လူတွေက အသုံးများလာတော့ Smart Watch ထဲက Data တွေကို Forensics Analysis လုပ်တာကလဲ Digital Forensics ထဲမှာပါလာပါတယ်။အသုံးပြုတဲ့ Smart Watch အပေါ်မူတည်ပြီး User က Sync လုပ်ရင်လုပ်သလောက် အသုံးပြုရင် ပြုသလောက် ဖုန်းထဲမှာ‌ရော Smart Watch ထဲမှာပါ Data ကကျန်နေပါတယ်။ ဘာတွေရနိုင်လဲဆိုရင် Device Information ဖြစ်တဲ့ချိတ်ဆက်တဲ့ Smart Watch ရဲ့ Mac Address, UID Data အနေနဲ့ Photo With GPS Data, File, Voice Recording Application Data, Note, Call Log, SMS, Personal Data အနေနဲ့ User Profile, Nick Name Or Name, Age, Weight, Activity, Sleep Time, Health Data, Heart Rate, အစရှိသည်ဖြင့် အသုံးပြုတဲ့ Smart Watch အမျိုးအစားအပေါ်မူတည်ပြီး Data တွေရနိုင်ပါတယ်။ ရရှိတဲ့ Data တွေပေါ်မူတည်ပြီး သက်ဆိုင်တဲ့ အပိုင်းလိုက် အ‌ကြောင်းအရာအလိုက် အသုံးချနိုင်ပါတယ်။ ပုံက Smart Watch ကနေ Data ယူရာမှာ အသုံးပြုတဲ့ Kit ပါ။ Photo - MOBILedit 

  Resident Attribute Header အခုပုံက Resident Attribute Header Structure ဖြစ်ပါတယ်။ Structure တစ်ခုချင်းစီးကိုအောက်မှာတစ်ခုခြင်း ရှင်းလင်းသွားပါမယ် -     Resident Attribute Header Attribute Length  Attribute Length ( 4 Bytes) = (0x48) = 72 Bytes   Attribute Length ဆိုတာက Attribute တစ်ခုက ဘယ်လောက် Size ရှိတယ်ဆိုတာကို ညွှန်ပြတာဖြစ်ပါတယ်။ အခု Attribute က 72 Bytes ရှိပါတယ်။  Offset To The Attribute Data  Offset To The Attribute Data =  (0x18) = 24 Attribute ရှိတဲ့ Offset ကိုပြောတာဖြစ်ပါတယ်။ အပေါ်မှာဖော်ပြခဲ့တဲ့ Length Of Attribute  ( Attribute Header အပါ) ကိုပြန်ကြည့်မယ်ဆိုရင် 96 Bytes ရှိပါတယ်။  Attribute Length = 72 Bytes ရှိတဲ့အတွက် 24+72 = 96 Bytes ရပါတယ်။  Index Flag = 0 Padding = 0 The Attribute Name If It Exits (Attribute မှာ နာမည်ရှိမယ်ဆိုရင် Name အတွက် 8 Bytes နေရာယူပါတယ်။ ) Data Structure For Resident Attribute အနှစ်ချုပ်ရမယ်ဆိုရင်  Attribute General Header ဖြစ်တဲ့  (0-3) 16 Bytes ထဲက ပထမ  (4 Bytes)   (0x10) = $STANDARD_INFORMATION (4-7)  (4 Bytes)  (0x60) = Length Of Attrib

 NTFS Attributes  အခုဆက်ပြီးဖော်ပြမှာက MFT Entry မှာပါဝင်တဲ့ Attributes တွေအကြောင်းနဲ့ Attributes Structure အကြောင်းဖြစ်ပါတယ်။ Attributes တွေက MFT Entry ထဲမှာ မတူညီတဲ့ အချက်အလက်တွေကို သိမ်းဆည်းထားပါတယ်။ ဥပမာ (File Name, Time Stamps, Content, Etc … ) MFT Entry မှာပါတဲ့ Attributes တွေမှာ တူညီတဲ့ Header Data Structure ရှိပါတယ်။  Attributes တိုင်းမှာ Header, Content ဆိုပြီး အပိုင်း (၂) ပိုင်းပါဝင်ပါတယ်။  Attributes တွေက Resident Attributes သို့မဟုတ် Non-Resident Attributes ဆိုပြီး (၂) မျိုးရှိနိုင်ပါတယ်။ Attributes တိုင်းရဲ့ Header Data Structure တွေတူညီပေမဲ့ Data Content Structure ပိုင်းကတော့ မတူညီပါဘူး။  Non-Resident မှာ Cluster Running တွေပါဝင်ပါတယ်။  Resident  Attribute and Non-Resident Attribute  တစ်ကယ်လို့ File တစ်ခုရဲ့ Data Size က  700 Bytes ထက်နည်းမယ်ဆိုရင် Attribute က Resident Attribute ဖြစ်ပါမယ်။ File Data Size က 700 Bytes ထက်ကြီးမယ်ဆိုရင်တော့ Non-Resident Attribute ဖြစ်ပါမယ်။  Resident Attribute  မှာ Attribute မှာပါတဲ့ Header နဲ့ Header Content က တစ်ဆက်တည်းဖြစ်ပါတယ်။  ဥပမာ။ $FIL

Master Boot Record  အပေါ်ကပုံကတော့ Master Boot Record (MBR) ဖြစ်ပါတယ်။ MBR Size က 512 Bytes ရှိပြီး Storage ရဲ့ပထမဦးဆုံး Sector မှာရှိပါတယ်။ Boot Strap Code, Disk  Serial Number, Storage မှာ Active ဖြစ်နေတဲ့ Partition တွေ၊ Partition တစ်ခုစီရဲ့ ပထမဆုံးစတင်တဲ့ Sector (ဘယ် Partitions က ဘယ် Sector မှာစတင်တယ်။) ၊ Partition တစ်ခုတိုင်းမှာပါဝင်တဲ့ Sector အရေအတွက် စုစုပေါင်းကို ဖော်ပြထားပါတယ်။ ဥပမာ Active Partition 1 က Sector 2048 မှာစတင်ပြီး သူ့မှာ Sector ပေါင်း 102400 Sector ပါရှိပါတယ်။ First Sector = Hex = 00080000 = 2048, Total Sector = Hex 00900100 = 102400 ။ ဒါကတော့ MBR ကဘယ်လိုတည်ဆောက်ထားတယ်ဆိုတာကို ရှင်းလင်းအောင်ပြတာဖြစ်ပါတယ်။ ဥပမာ တစ်ခုလောက်နဲ့ဆိုရင် ရမယ်ထင်ပါတယ်။ Disk Editor တွေမှာ MBR နဲ့ သက်ဆိုင်တဲ့အချက်အလက်တွေကို Template နဲ့အလွယ် တစ်ကူကြည့်နိုင်ပါတယ်။   MBR Template View  Analysis Master File Table ဒါကတော့ MFT မှာပါတဲ့အကြောင်းအရာတွေဖြစ်ပါတယ်။ မြန်မာလိုထက်စာရင် English လိုဖတ်တာက ပိုရှင်းပါတယ်။ MFT ကို Analysis လုပ်တဲ့အချိန်မှာ သိရှိထားရမဲ့ အချက်အလက် တွေဖြစ်ပါတယ်။ အပေါ်မှာ  $Boot နဲ