Digital Forensics Myanmar

Hard Disk မှာ Spindle မော်တာကြောင့် လည်ပတ်နေတဲ့ Platter တွေ Platter ပေါ်မှာရှိတဲ့ data တွေသိမ်းထားတဲ့ (track,sector,cluster) တွေကို ဖတ်ဖို့ ရွေ့လျားနေတဲ့ Read / Write Head ပါတဲ့ arm တွေပါရှိပါတယ်။ဒါပေမဲ့ Solid-State Drive (SSD) မှာတော့ လည်ပတ်နေတဲ့ အစိတ်အပိုင်းတွေ မပါဝင်ပါဘူး။ data တွေကို Flash Memory (same as usb stick) ပေါ်မှာ Block အနေနဲ့သာ သိမ်းထားပါတယ်။ လည်ပတ်နေတဲ့ ပစ္စည်းတွေမပါဝင်တဲ့အတွက် vibration ဖြစ်ခြင်းမရှိ၊ အပူထွက်မူနည်းပါးပြီး HD ထက် အထိအခိုက်ခံတဲ့ အတွက် Solid State Drive လိုခေါ်ဆိုရခြင်းဖြစ်ပါတယ်။ data input-out နုန်းမြန်ဆန်ခြင်း၊ လှုပ်ရှားနေတဲ့ အစိတ်အပိုင်းတွေ မပါဝင်တဲ့ အတွက် ထိခိုက်ခံမှုမှာ hard disk ထက်သာလွန်ခြင်း၊ ဆူညံမှုနည်းပါခြင်း၊ size သေးငယ်ခြင်း၊ Power အစားသက်သာခြင်း၊ data ပမာဏ သိုလှေင်မှုများလာပြီး ဈေးနှုန်းလဲ တစ်ဖြည်းဖြည်းသက်သာ လာခြင်းတို့ကြောင့် နောင်တွင်အသုံးပြုမှု ပိုမိုများပြားလာမှာ ဖြစ်ပါတယ်။ SSD မှာ Data တွေကို အဓိက read- write လုပ်တဲ့ Flash Memory ပေါ်မှာပြုလုပ်ခြင်းဖြစ်ပါတယ်။ SSD Flash Memory မှာ သုံးမျိုးရှိပါတယ်။SSD သက်တမ်းကြာဖို့ TRIM ကိုသု

What is Cyber Forensics ? Part 36 Hard Disk Platter Forensics =============== Platter ဆုိတာ Hard Disk မွာ Data ေတြကုိ အဓိက ထားၿပီး သိမ္းတဲ့ေနရာ ဘယ္လုိေနရာမွာ ဘယ္လုိသိမ္းတယ္ဆုိတာ ကေလးက အစသိၿပီးျဖစ္ေနမွာပါ အခု အေနအထား အခုအခ်ိန္ဆုိရင္ တစ္ကယ္ေတာ့ Platter မွာျခစ္ရာ ပြန္းရာပါေနတဲ့ အထိ Data ကုိ အေရးၾကီးရင္ အေရးၾကီးသလုိ ၿပန္ဆယ္လုိ႕ရပါတယ္ ... (အခု post အရာေတာ့ ဒီေလာက္အထိပါပဲ) Youtube မွာၾကည့္သလုိ ေလလုံခန္းဆုိတာက ရွိေနရင္ ပုိေကာင္းပါတယ္ .. ဘာလုိ႕ေလလုံခန္းလုိသလဲဆုိတာလဲဆုိတာ PLATTER နဲ head အၾကား အကြာအေ၀းနဲ႕ SPINDLE RPM ႏွဳန္းကုိ သိရင္ နားလည္ၾကမွာပါ .. တစ္ကယ္တန္းလုိလားဆုိရင္ လုိပါတယ္ ရွိရင္ ပုိေကာင္းပါတယ္ ... ျခားနားခ်က္ေလးေတြပဲရွိတာပါ .... အဓိက အခ်က္ေလးေတြကုိေတာ့ Hard disk forensics အပုိင္းမွာ အခ်ဳိ႕ကုိ ေဖာ္ၿပၿပီးပါၿပီး ... =============== - HD Cover ကုိဖြင့္ပါမယ္ .. - arm အေနအထားကုိၾကည့္ရပါမယ္ ... -arm အေနအထားအရ Theory မလြတ္ပဲ စိတ္ရွည္စြာ ျဖဳတ္ရပါမယ္ (Youtube ၾကည့္ၿပီး အေရးမၾကီးေလာက္ဘူး ထင္ရေပမဲ့ .. အေသးစိတ္ ဂရုစိုက္ရပါမယ္ .. ) -Same Doner HD လုိ႕သာ Google Tor youtue ေတြမွ

What is Digital Forensics? (Part 35 ) ATA Password (SSD and Hard Disk Forensics ) အချို့သော Knowledge ရှိတဲ့ User တွေနဲ့ Organization တွေက BIOS , UEFI, hard disk password (ATA) တွေကိုထားရုံမက Full Disk Encryption (FED) တွေ Self-Encrypting Drives (SED) နဲ့ပါ တွဲပြီးထားကြပါတယ်။ BIOS password, UEFI password တွေကတော့ Forensics process မှာ ခေါင်းသိပ်မခဲရပေမဲ့ Self-Encrypting Drives (SED) တစ်ခုဖြစ်တဲ့ ATA Password မှာ စဉ်းစားရမဲ့ အပိုင်းတွေပါလာပါတယ်။ Googling ရှာ Linux tools / HD tools/boot CD တစ်ခုခုသုံးပြီး Password ကို ဖျက်လို့ရနိုင်ပေမဲ့ data lost ဖို့က 90 ရာနှုန်းလောက်သေချာပါတယ်။ PC Repair ဆိုင်တွေအတွက်ကတော့ အဆင်ပြေချင်ပြေနိုင်ပေမဲ့။ Forensics အပိုင်းကျတော့ detail လဲကျပြီး data တွေကို တတ်နိုင်သမျှဆွဲထုတ်ရမှာ ဖြစ်ပါတယ်။ အဓိကလိုချင်တာက Recovery ပြန်မခေါ်ချင်တဲ့ အချက် ဖြစ်ပါတယ်။ ATA password ကို Unlock လုပ်ဖို့အတွက်ဆို.......... User Password အမျိုးအစားကဘာလဲ ......... ? Master Password အမျိုးအစားကဘာလဲ ......... ? High နှင့် Maximun Security ကဘာလဲ......... ? ကိုယ်စစ်ရမဲ့ HD

What is Cyber Forensics ? Part 34 Locard's principle , inman-Rudin Paradigm   =============== Locard's principle , inman-Rudin Paradigm အေၾကာင္းမေဖာ္ၿပခင္ က်န္ခဲ့တဲ့ တစ္ခ်က္ကုိ အရင္ဆုံးေဖာ္ၿပပါမည္။ Peer view   =========== Peer View လုိ႕ေခၚတဲ့ ျပင္ပကေန သက္ဆုိင္ရာ Digital Forensics Field ကုိ ကြ်မ္းက်င္တဲ့သူရဲ႕ မွတ္ခ်က္ ဒါမွ မဟုတ္ ထြက္ဆုိခ်က္။ တရားရုံးမွာ တစ္ဖက္ေရွ႕ေနကေန သက္ေသ အေနနဲ႕သြင္းႏုိင္သလုိ အစုိးေရွ႕ေန ဒါမွ မဟုတ္ က်န္တစ္ဖက္ေရွ႕ေနကလဲ သြင္းႏုိင္ပါသည္။ (ႏုိင္ငံအလုိက္Cyber Law အေပၚမူတည္ပါသည္) ============ Locard's Principle ဆုိတာကေတာ့ ၿပင္သစ္လူမ်ဳိး မႈခင္းဆရာ၀န္ Dr.Edmond Locard (1877-1907) ေဖာ္ထုတ္ခဲ့တဲ့ အခ်က္ပါ။   " မႈခင္းတစ္ခုမွာ ရွာေဖြတတ္ရင္ သဲလြန္စကုိ ရရွိႏုိင္ပါသည္ဟူေသာ အခ်က္ပါ။ " ေဖာ္ထုတ္ခ်က္ကုိ Physical Investigation မွာသာ အဓိကထားၿပီး သုံးေပမဲ့ digital ေခတ္ရာက္လာတဲ့ အခါမွာ Theory ကေန ၿပီး ထပ္ဆင့္ခ်ဲ့ယူၾကပါတယ္။   Digital Evidence ဆုိတာ ရွာေဖြဖုိ႕ခက္လဲသလုိ ပ်က္စီးလြယ္ပါသည္။ ဒါေၾကာင့္ က်န္ခဲ့ေသာ Evidence တစ္ခုထဲကေန ေဖာ္ထုတ္ႏုိင္ဖုိ႕

What is Cyber Forensics ? Part 33 Forensics Methods and Principles (Hypothesis) Digital Forensics လုပ္ငန္း တစ္ခုလုံးဟာ Scientific Process လုပ္ငန္းစဥ္ေတာ္ေတာ္မ်ားမ်ားပါ၀င္ေနပါတယ္။ ဒါေၾကာင့္ လုပ္ငန္းစဥ္ေတာ္ေတာ္မ်ားမ်ားဟာ scientific အေနနဲ႕သာလုပ္ကုိင္ရပါတယ္။ Philosophy နဲ႕ ပတ္သတ္လုိ႕ 2 ခ်က္ပါ၀င္ပါတယ္။(Verification နဲ႕ Falsifiability) ။ ဒါေၾကာင့္ Digital Forensics Scientific Methods အခ်ဳိ႕ကုိ ဆက္ၿပီးေတြးၾကည့္ရေအာင္ပါ။ ပထမဆုံး Method ကေတာ့ Hypothesis အပုိင္းျဖစ္ပါတယ္။ hypothesis ဟာ မွန္းဆျခင္း သက္သက္မဟုတ္ပါ။ အေမးရွိရင္ အေျဖရွိတယ္ဆုိတဲ့ အတုိင္း မိမိ မွန္းဆခ်က္ကုိ forensics လုပ္ငန္းမွာ ရွာေဖြႏုိင္ရမယ္ ၿပီးရင္ သက္ေသျပႏုိင္ရပါမယ္။ ဥပမာ အေနနဲ႔ ၾကည့္မယ္ဆုိရင္ ... Crime Case Back Ground (NOTE: Base On CHFI&CCFP Note Not Real Wold Case) ====================================== Organization တစ္ခုရဲ႕ Confidential ျဖစ္တဲ့ PDF တစ္ေစာင္ေပ်ာက္ဆုံးသြားပါတယ္။ အဲဒီ file ကုိသိမ္းထားတဲ့ ကြန္ပ်ဴတာ ကုိင္တြယ္သူက A ျဖစ္ပါတယ္။ စစ္ေဆးသူက C ျဖစ္ပါတယ္။ (မေရႊမုိး(korea) စာေတြဖတ္တာမ်ားလုိ ႕  :D ) ပထမဆုံ

What is Cyber Forensics ? Part 32 (RAID - FORENSICS) (Part 2 ) Raid Forensics Part 2 မွာ ကြ်န္ေတာ္တုိ႕ Detail က်က်သြားၾကည့္ရေအာင္ပါ.. ဒါေၾကာင့္ Crime Case တစ္ခုျဖစ္တဲ့ ရုပ္ရွင္ကား Copy Right ခ်ဳိးေဖာက္မႈကုိ Example အေနနဲ႕ၿပၿပီး Forensics လုပ္သြားပါမယ္ .။ မွတ္ခ်က္။ ။ (CHFI နဲ႕ CCFP မွာပါတဲ့ example Case မ်ားကုိ ေပါင္းစပ္ၿပထားျခင္းျဖစ္ပါသည္။ Case Back Ground =============== ရုပ္ရွင္ထုတ္လုပ္ေရး Company တစ္ခုမွာ ရုပ္ရွင္ကား တစ္ကားဟာ Editing လုပ္ေနတုန္ (RAW file အေနနဲ႕) ခုိးယူျခင္းခံရၿပီး You tube မွာ တင္လုိက္ပါတယ္။ Company ရဲ႕ physical Security ပုိင္း၊ CCTV Camera ပုိင္း ၀န္ထမ္းပုိင္း ကုိ တစ္ဖြဲ႕က စစ္ပါမယ္။ Digital Lab ကုိေရာက္လာတာကေတာ့ Ant PC Eciton SL950X (Work Station) ျဖစ္ပါတယ္။ သူ႕ရဲ႕ Specific ကေတာ့ ------- Window 10 64 bit Processor Brand Intel Processor Type Core i7 4.2 GHz RAM Size 16 GB Hard Drive Size 1 TB + 1 TB (Raid0) Graphics Coprocessor Nvidia Geforce GTX 1070 Graphics Card Description Nvidia Geforce GTX 1070 ======================================== S

What is Cyber Forensics ? Part 31 (Redundant Array of Independent Disks) (RAID) (FORENSICS) (Part 1) ======================================= RAID စနစ္ကုိ data မ်ားပ်က္စီးျခင္းမွကာကြယ္ႏုိင္ရန္နဲ႕ Performance ေကာင္းေစဖုိ႕ အတြက္ အဓိက ထားၿပီးအသုံးၿပဳၾကပါတယ္။ ကုိယ္လုပ္ကိုင္ေနတဲ့ အဖြဲ႕ အစည္း အသုံးၿပဳတဲ့ Data ေတြေပၚမူတည္ၿပီး Raid Level ေတြကုိ သတ္မွတ္ အသုံးၿပဳႏုိင္ပါတယ္။ Raid system မွာ အသုံးၿပဳတဲ့ နည္းပညာ ၃ ခုရွိရပါတယ္။ အဲဒါေတြကေတာ့ striping, mirroring, parity, နဲ႕ ေပါင္းစပ္အသုံးၿပဳျခင္းတုိ႕ျဖစ္ပါတယ္။ Striping။ data ေတြကုိ Block Size အေနနဲ႕ ပိုင္းလုိက္ၿပီး Hard Disk ေတြမွာသြားၿပီး သိမ္းထားျခင္းျဖစ္ပါတယ္။ Block Size ကေတာ့ 32KB ကေန 128KB ,1 MB အသီးသီးရွိပါတယ္။data ေတြကုိ Block အေနနဲ႕ ပုိင္းၿပီး သိမ္းလုိက္ၿပီး array Member ေတြျဖစ္တဲ့ Hard disk တစ္ၿပဳိင္ထဲ သြားၿပီး သိမ္းတဲ့အတြက္ Read/Write Performance ပုိၿပီးေကာင္းပါတယ္။ ဒါေပမဲ့ Fault to­le­ran­ce မရပါဘူး။ Mirroring Data ေတြကုိ Array member ျဖစ္တဲ့ Hard disk ေတြေပၚမွာ သြားၿပီး တစ္ၿပဳိင္းတည္း သိမ္းထားျခင္းျဖစ္ပါတယ္။ A ဆုိတဲ့ Fil

What is Cyber Forensics ? Part 30 Window မွာ file နဲ႕ Folder ေတြကုိ ဖ်က္လုိက္တဲ့ အခါမွာ ဘာေတြျဖစ္သြားသလဲ ..... ? =============================================== ကြန္ပ်ဴတာမွာ file နဲ႕ Folder ေတြကုိ ဖ်က္လုိက္တဲ့ အခါမွာ ဖုိင္ ေတြ ဖုိဒါေတြရွိတဲ့ Logical Drive ေနရာကေန ကြယ္ေပ်ာက္သြားတာ ေတြ႔ရပါမယ္။  ဒါေပမဲ့ 0 , 1 အျဖစ္နဲ႕ hard disk ရဲ့ Sector ေတြေပၚမွာ cluster အစုအေ၀းအေန နဲ႕ က်န္ရွိေနပါတယ္။ Delete သာမန္ အေနနဲ႕ ရုိးရုိး Delete လုပ္လုိက္တဲ့ file , folder ေတြက recycle bin ထဲကုိ ေရာက္သြားပါမယ္ (file , folder ေတြက ျမင္ေနၾကေနရာမွာ မရွိေတာ့ပါဘူး) ( Recycle bin ထဲမွာ မွား ဖ်က္မိရင္ ၿပန္ၿပီး Restore လုပ္ႏုိင္တဲ့ အေနအထားပါ) ။ Recycle Bin ကုိ clean လုပ္လုိကတဲ့အခါမွာ Recycle Bin က clean ျဖစ္သြားပါမယ္။ဒါေပမဲ့့ data ေတြ တစ္ကယ္တန္းရွိေနတဲ့ Cluster ေပၚမွာေတာ့ ဆက္လက္ၿပီးတည္ရွိေနပါတယ္။ Shift+Delete Shift+Delete ႏွိပ္ၿပီး ဖ်က္တာကေတာ့ Data ေတြက Recycle Bin ထဲကုိ ေရာက္မသြားပဲ ျမင္ကြင္းကေန ေပ်ာက္သြားမွာပါ။ ဒါေပမဲ့ Hard disk ရဲ့ Cluster ေပၚမွာ bit ေတြ အျဖစ္က်န္ေနခဲ့ပါတယ္။ =======================

=============================== Boot Loader (Boot manager) ဆုိတာ Program တစ္ခုျဖစ္ၿပီး boot လုပ္တဲ့ အခ်ိန္မွာ Operation system ကုိ Computer Ram ေပၚကုိ ဆြဲတင္ပါတယ္။ Boot loader မွာ အဆင့္အမ်ဳိးမ်ဳိးရွိၿပီး တစ္ခုနဲ႕ တစ္ခု ခ်ိတ္ဆက္အသုံးၿပဳပါတယ္။ ေနာက္ဆုံအဆင့္ကေတာ့ Operation System တက္လာတဲ့ အဆင့္ျဖစ္ပါတယ္။ Boot Sector ဆုိတာကေတာ့ Hard Disk ရဲ့ Memory Sector တစ္ခုျဖစ္ၿပီး Hard Disk ရဲ႕ ပထမဆုံး Track ပထမဆုံး Sector မွာတည္ရွိပါတယ္။ သူ႕မွာ bootstrapping system အတြက္ code ေတြပါရွိပါတယ္။ ဥပမာ အားျဖင့္ ေၿပရမယ္ဆုိရင္e power-on self-test (POST) လုပ္တဲ့ အပုိင္းေတြ ပါ၀င္ပါတယ္။ Boot sector မွာ Two Bytes ရွိပါတယ္။ (POST hardware ေတြ ေကာင္းမေကာင္း စစ္ေဆးေသာ အပုိင္း) =============================== Boot Sector မွာ အပုိင္း ၂ ပုိင္းပါ၀င္ပါတယ္။ Volume Boot Record (VBR) VBR က HD ရဲ႕ ပထမဆုံး Sector မွာ ဒါမွမဟုတ္ partition တစ္ခုစီရဲ႔ ပထမဆုံး Sector မွာရွိပါတယ္။.Operation System ေတြကုိ loading လုပ္ဖုိ႕အတြက္ code ေတြပါရွိပါတယ္။ =============================== Master Boot Record (MBR) (512 Bytes) St

Sector ဆုိတာ track ေပၚမွာ data ေတြသိမ္းဖုိ႕အတြက္ ဖြဲ႕စည္းထားတဲ့အေသးဆုံး physical storage ျဖစ္ပါတယ္။ အရင္ကေတာ့ sector တစ္ခုမွာ 512 (byte) ရွိေပမဲ့ ေနာက္ပုိ္င္း 2011 ေလာက္ကေန စၿပီး 4,096 bytes (4k) (Advanced Format ) စနစ္ ျဖစ္လာပါတယ္။ Bad sector ပ်က္စီးႏုိင္တာက စက္ရုံကေနထုတ္လုိက္ၿပီး သယ္ယူစဥ္ ထိမ္းသိမ္းထားစဥ္မွာ ပ်က္စီးျခင္း (အျဖစ္နည္းပါသည္) head နဲ့ platter ၾကားမွာ အေၾကာင္းအမ်ဳိးမ်ဳိးေၾကာင့္ ဖုန္၀င္သြားတဲ့အခါ၊မွာ read/write head က platter ကုိ ျခစ္မိၿပီး Track ေပၚက sector မ်ား ပ်က္စီးႏုိင္ပါတယ္။ hard disk power on ေနတဲ့အခ်ိန္မွာ လြတ္က်တဲ့အခါ / ရုတ္တရက္ power Off သြားတဲ့ အခါမွာ sector မ်ား အမ်ားဆုံးပ်က္စီးႏုိင္ပါတယ္။arm နဲ့ platter ေတြ အေနထားမမွန္တဲ့အခါမွာ head က Platter ေပၚက Track လမ္းေၾကာင္းေပၚရွိ sector ေတြကုိ ျခစ္မိလုိ႕ bad sector ျဖစ္တတ္ပါတယ္။ ေနာက္တစ္ခ်က္က sector တစ္ခုျခင္းစီမွာပါတဲ့ ECC ပုိင္း ကေနfile ေတြကုိ error correction မလုပ္ႏုိင္တဲ့အခါမွာ ျဖစ္တတ္ပါတယ္. malware ေၾကာင့့္လဲ bad sector ျဖစ္ႏုိင္ပါတယ္။ အခု အခ်က္ ၂ ခ်က္ေၾကာင့္ bad sector ျဖစ္တာကေတာ့ data ေတြကုိ ၿပန္လည

What is Cyber Forensics ? Part 27 Hard Disk Forensic . (Part 1) . Hard Disk တစ္ခုကုိ forensics မလုပ္ခင္ Hard disk ရဲ့ဖြဲ႕စည္းပုံကုိ အရင္ဆုံး သိထားရပါမယ္ ... ပုံမွာ ပါတဲ့ အတုိင္း Platter ဆုိတာကေတာ့ Hard disk မွာ Data ေတြကုိ အဓိက သိမ္းဆည္းထားတဲ့ေနရာပါ။ Platter ကုိ ပါးလႊာေခ်ာေမြ႕တဲ့ aluminum alloy, or glass နဲ့ ၿပဳလုပ္ထားၿပီး meganitic အရည္ကုိ အေပၚကေန သုတ္ထားပါတယ္။ Platter size ကေတာ့ 5.25-inch ဒါမွမဟုတ္ 3.5-inch ရွိပါတယ္။platter ရဲ့ အေပၚဘက္မွာေရာ ေအာက္ဘက္မွာ ပါ data ေတြကုိ သိမ္းထားပါတယ္။ data ေတြကုိ platter ေပၚမွာ 0 1 အေနနဲ့ သိမ္းထားပါတယ္။ အရင္ကေတာ့ Hard disk မွာ Platter ေတြ 6 ခုေလာက္ပါေပမဲ့ နည္းပညာ ျမင့္မားလာတာနဲ႔ အမွ် platter အရည္အတြက္လည္း နည္းသြားတာကုိ ေတြ႕ႏုိင္မွာ ျဖစ္ပါတယ္။ Platter အရည္အတြက္ နည္းတာနဲ႕ အမွ် Fault ျဖစ္ႏုိင္ေခ်လဲ နည္းသြားပါတယ္။ ====================== Spindle ကေတာ့ platter ေတြလည္ပတ္ဖုိ႕ အတြက္လည္ပတ္ေပးရတဲ့ Motor ျဖစ္ပါတယ္။ တစ္မိနစ္ လည္ပတ္ႏွဳန္းကေတာ့ 4,200 RPM ကေန 15,000 RPM အထိရွိပါတယ္။, လက္ေတြ႔မွာ အသုံးအမ်ားဆုံး Hard disk ေတြ၇ဲ့ လည္ပတ္ႏွုန္းကေတာ့ 5,4

Second War ၿပီးတဲ့ အခ်ိန္ကေနစၿပီး သတင္းမီဒီယာေတြ TV အစီအစဥ္ေတြဟာပုိမုိမ်ားၿပားလာၿပီး ေၿပာဆုိေရးသာမႈ အပုိင္းမွာ ပုိမုိပြင့္လင္းလာခဲ့ပါတယ္။ အဲဒီေနာက္ Internet ေပၚလာတဲ့ အခ်ိန္မွာေတာ့ သတင္းအခ်က္အလက္စီးဆင္းမႈဟာ ပုိမုိၿမန္ဆန္က်ယ္ၿပန္႕လာပါတယ္။ ဘယ္ေနရာမဆုိ အဆုိးနဲ႕ အေကာင္းဒြန္႔တြဲေနသလုိပါပဲ။ အခုလုိတုိးတက္လာတဲ့အတြက္ ေကာင္းက်ဳိးေတြရွိသလုိ တစ္ဖက္မွာလဲဆုိးက်ဳိးေတြက ရွိလာျပန္ပါတယ္။ ဆုိက္ဘာရာဇ၀တ္မႈ၊ အၾကမ္းဖက္အဖြဲ႕အစည္း၊ အစုိးရကုိ ေ၀ဖန္တုိက္ခုိက္မႈေတြ စတဲ့အ ဖြဲ႕အစည္းေတြက အင္တာနက္ကုိ အသုံးၿပဳကာ က်ယ္က်ယ္ျပန္႕ျပန္႔လုပ္ေဆာင္လာၾကပါတယ္။ Juniper Research အရဆုိရင္ လာမဲ့ 2019 မွာ cybercrime ေၾကာင့္္ ကမၻာနဲ႕တစ္၀ွမ္းက စီးပြားေရးလုပ္ငန္းနဲ႕ အစုိးရပုိင္းကေန ကာကြယ္မႈအတြက္ ကုန္က်ေငြ ၂ ဘီလီယံခန္႕ ရွိမယ္လုိ႕ခန္႕မွန္းထားပါတယ္။ ဒါေၾကာင့္အစုိးရပုိင္းနဲ႕ စီးပြားေရးလုပ္ငန္းၾကီးေတြက ေငြအကုန္က်သက္သာၿပီး တစ္ဖက္တစ္လမ္းကေန အက်ဳိးရွိေစမဲ့ Open Source Intelligence စနစ္ကုိ အသုံးၿပဳလာၾကပါတယ္။ Open Source Intelligence (OSINT) စနစ္ဆုိတာ ကမၻာအႏွံမွာ Publice ရရွိႏုိင္တဲ့ သတင္းအခ်က္အလက္ေတြျဖစ္ပါတယ္။ Open Source Intelligence (OSIN

What is Cyber Crime (Myanmar Version) Part 1 to 26 စုစည္းမႈ PDF  ဘယ္သူေတြဖတ္သင့္သလဲ .... ျမန္မာႏုိင္ငံရဲတပ္ဖြြဲ႕၀င္မ်ား ၀န္ၾကီးဌာနမ်ားတြင္ IT ပုိင္းလုပ္ကုိင္ေနေသာ ၀န္ထမ္းမ်ား ဥပေဒ၀န္ထမ္းမ်ား Network administrator မ်ား Cyber Crime ကုိစိတ္ပါ၀င္စားသူမ်ား ... Download link ==> https://drive.google.com/open?id=1_FcOnlSoqgfrj0hK0lw-z6pqo-w-gj8S https://www.facebook.com/forensicsmyanmar https://forensicsmyanmar.blogspot.com/ # Cybercrime

Registry အပုိင္းဟာ ရွဳပ္ေထြးၿပီး စစ္ေဆးမယ္ဆုိရင္ အခ်ိန္အတိုင္းအတာ တစ္ခုအထိယူရပါမယ္.။ Window Forensics လက္ေတြ႔လုပ္ေဆာင္တဲ့အခ်ိန္မွာ လုပ္ေဆာင္ဖုိ႕အခက္အခဲ အနည္းငယ္ရွိပါမယ္။ ဒါေၾကာင့္ Forensics စစ္ေဆးဖုိ႕ tools ေတြလုိအပ္လာပါတယ္။ Law Enforcement အဖြဲ႕အစည္း ပုိင္းအေနပဲ ၀ယ္ယူရႏုိင္တဲ့ Tools ေတြ Hardware ေတြရွိသလုိ Free ျဖစ္တဲ့ Tools ေတြ Hardware ေတြလဲရွိပါတယ္။Eg kali, auto spy (current version 4.9) စသည္ျဖင့္ရွိပါတယ္။ More tools Search in Google .... အခု Post မွာအဓိက ေျပာခ်င္တာက Forensics Tools ေတြက Window Forensic လုပ္ေဆာင္တဲ့အခါမွာ Result ေတြထြက္လာမယ္ ... ထြက္လာတဲ့ Result ေတြကုိ ဥာဏ္ရွိသလုိ ပုိင္းျခားရွာေဖြရပါမယ္.. ပုံမွာ ျပထားတဲ့ Result ေတာ္ေတာ္မ်ားမ်ားက window registry ပုိင္းမွာ မွတ္သားထားတာကုိ Forensics Tools ကေန စုစည္းၿပီး ထုတ္ေပးထားတာပါ။ Window Registry ကုိအဓိက ထားၿပီးေရးသားေနတာေၾကာင့္ က်န္တဲ့ အပုိင္းကုိ ခန ခ်န္ထားခဲ့ပါမယ္။ (Key point အေနနဲ႕ေၿပာခ်င္တာက Forensics Tools မွာ ဘာကုိ စစ္္ေဆးမယ္ . ဘယ္အပုိင္းကုိ စစ္ေဆးမယ္, Result ေတြထဲက ဘာကုိရွာရမယ္..Result ေတြက ဘယ္ကေန ရရွိလာတယ္ဆုိတာ

indow Registry Analysis Part (2) (Window Forensics) User တစ္ေယာက္ဟာ Window ကုိစတင္အသုံးၿပီဆုိတာနဲ့ သူလုပ္ေဆာင္သမွ်အားလုံးကုိ Registry ကေနမွတ္တမ္းတင္ထားပါတယ္။ ဥပမာ .... Login Time Account Level File Open activities Network Connecting activities Browser activities portable device ခ်ိတ္ဆက္မႈ စတာေတြကုိ မွတ္တမ္းတင္ထားပါတယ္။ အခ်ဳိ႕ေသာ အခ်က္အလက္ေတြကေတာ့ Window Shut Down ခ်တာနဲ႕ ေပ်ာက္သြားပါတယ္။ Every things Leave a Trace. မွတ္သားထားတဲ့ေနရာေတြကေတာ့ part 23 မွာေရးထားတဲ့ key တစ္ခုခ်င္းစီေအာက္မွာရွိေနတဲ့ Sub key ေတြ ေအာက္မွာ သြားသိမ္းဆည္းထားတာပါ။ Registry File location Windows\System32\Config --------------------------- ဒါကေတာ့ registry မွာ တစ္ကယ္အလုပ္လုပ္တဲ့ hive (subkey) ေတြရဲ့ Location ပါ။ HKEY_LOCAL_MACHINE \SYSTEM : \system32\config\system HKEY_LOCAL_MACHINE \SAM : \system32\config\sam HKEY_LOCAL_MACHINE \SECURITY : \system32\config\security HKEY_LOCAL_MACHINE \SOFTWARE : \system32\config\software HKEY_USERS \UserProfile : \winnt\profiles\username HKEY_USE