Digital Forensics Myanmar

What is Cyber Forensics ? (Part 14) Electronic Crime တစ္ခုခ်င္းစီတြင္ ပတ္သတ္ဆက္ႏြယ္ေနေသာ သက္ေသခံခ်က္မ်ား Part (2) Identity Theft ( ID ခုိးယူျခင္း) Credit care အလြတ္မ်ား . Credit Card Reader နွင့္ Writer Credit card Generator Credit Card No မ်ား ... Text file သုိ႕ မဟုတ္ rar Zip ဖုိင္မ်ားျဖင့္ထည့္ထားတတ္သည္... ျပည့္တန္ဆာအမႈ ေငြေၾကးစာရင္း လူစာရင္း (excel , world , database) ေဆးစစ္စာရင္း Image file Email,Note,Letter browser, chat record, Content No , call log မူးယစ္ေဆး၀ါးအမႈ ေငြေၾကးစာရင္း (excel , world , database) Image file Email,Note,Letter browser, chat record, Content No , call log ဆက္သြယ္ေရးခ်ဳိးေဖာက္မႈ Sim card Clone (hard ware) user database Electronic Serial number (ESI) Mobile identification Number (MIN) Browser , social Network Record Note ( every crime leaves a trace) # Cyberforensics   # Computerforensics # PART14

Social Engineering , Phishing 55 % ( Social network သုိ႕ Email, Website မ်ားတြင္ လူအမ်ားၾကုိက္ႏွစ္သက္ေသာ အရာမ်ားျဖင့္ ဖ်ားေယာင္းျပီး .. သတင္းအခ်က္အလက္ရယူျခင္)း Regular Malware 49 % ( ရွိေနျပီးသား Virus မ်ားကုိ သတိမထားမိျခင္း ေၾကာင့္ေပါက္ၾကားျခင္း ) Human Error 45% ( လူေတြ၏ အမွားေၾကာင့္ေပါက္ၾကားျခင္း) Physical theft or lost 31% ( လူကုိယ္တုိင္ခုိးယူျခင္း Data ပါေသာ Device မ်ားေပ်ာက္ဆုံးျခင္း) C2 Malware 25% ( command and Control ပါေသာ Malware မ်ားေၾကာင့္ ေပါက္ၾကားျခင္း (example ramsomware) Insider Breach 22% အတြင္းလူေၾကာင့္ေပါက္ၾကားျခင္း Exploitation of unpatched (known) vulnerability 20% (သိေနျပီးသား အားနည္းခ်က္မ်ားကုိ သတိမထားျခင္းေၾကာင့္ေပါက္ၾကားျခင္း Stolen Credentials 17% ( social network မ်ားတြင္ မည္သူက မည္သည့္အဖြဲ႕အစည္း မည္သည့္ေနရာ တာ၀န္ယူထားသည္ကုိ ရွာေဖြကာ ...အခ်က္အလက္ရယူျခင္း 0 Day Attack 9% ( အမ်ားမသိေသးေသာ virus ႏွင္ တုိက္ခုိက္မႈေၾကာင့္ သတင္းေပါက္ၾကားျခင္း အခ်က္အလက္ေတြကုိၾကည့္ရင္ လူေတြရဲ့အမွားနဲ့ ဂရုမစုိက္မိတာက ရာခုိင္နွဳန္းအမ်ားဆုံးျဖစ္ေနတာကု

Electronic Crime တစ္ခုခ်င္းစီတြင္ ပတ္သတ္ဆက္ႏြယ္ေနေသာ သက္ေသခံခ်က္မ်ား Online ေလလံမ်ားႏွင့္ လိမ္လည္မႈမ်ား ... . -ေငြေၾကးစာရင္းမ်ား ( eg ..database , excel, paper) , online တြင္ အသုံးျပဳေသာ Account website address book , account software, ေငြစာရင္းအမွတ္ Credit card .. internet Browser history phone call log, mesage log email, note , social network chat log ,Photo, Screenshoot လိင္မႈကိစၥအနုိင္က်င့္မႈမ်ား .. Image, video , social chat log, internet activities, browser activities, phone content , call log , ေငြစာရင္းအမွတ္ Credit card . Computer မွတစ္ဆင့္ က်ဴးလြန္မႈမ်ား ..... configuration file, exe file, bat file, rar, zip, tar,....................... internet activities, Browser log , text file, email log, social log , source code, ip address and Mac address, ေငြစာရင္းအမွတ္ Credit card . --------------------------------- အျခားေသာ မႈခင္းမ်ားျဖစ္သည့္ ... အြန္လုိင္းေလာင္းကစား ေငြအက်ပ္ကုိင္ေတာင္းဆုိမႈ မဲလိမ္လည္မႈတုိ႕ရွိ သက္ေသခံခ်က္မ်ားသည္ အထက္ပ

Collection Evidence Part (1) ေတြ႕ႏုိင္တဲ့ evidence file ေနရာေတြကေတာ့ Server,Ram.Hard disk , CD DVD, removable storage , cartridges စတဲ့ေနရ ာေ တြပဲျဖစ္ပါတယ္..... User Created File User ျပဳလုပ္ထားတဲ့ အရာအားလုံးျဖစ္ပါတယ္ ... example= database file , documents file , audio video file, text file , internet bookmarks, User Protected File အသုံးျပဳသူက အျခားသူမျမင္ေစရန္ ကာကြယ္ထားတဲ့ File မ်ား ျဖစ္ပါတယ္... Example password protect file , folder , hidden file , rar,zip, tar, Computer Created File စနစ္မွ အလုိအေလွ်ာက္ ျပဳလုပ္ထားတဲ့ File ေတြျဖစ္ပါတယ္ .... example = backup file , server log, event logs , system file , swap file, printer pools Electronic Device ေတြကေတာ့ .... ေန႕စဥ္ ပတ္၀န္းက်င္မွာ အသုံးျပဳေနတဲ့ smart card ေတြ အပါအ၀င္ က်န္တဲ့ device ေတြပဲျဖစ္ပါတယ္ ...အရွည္ေတာ့မေရးေတာ့ပါဘူး ပုံမွာလဲေဖာ္ျပထားပါတယ္ က်န္တဲ့အပိုင္းကေတာ့ အထက္က ေနရာေတြကေန evidence ကုိရွာေဖြရန္ျဖစ္​ၿပီး.. .အေျခအေန , evidence Seizing အလုိက္ power on သင့္ မသင့္နဲ့ .Device ကုိ bit by bit copy ယူျခင္း တုိ႕

Type of Digital Data .....( Digital Data အမ်ဳိးအစားမ်ား) Volatile Data .....  (ပ်က္စီးလြယ္ေသာ Data သုိ႕မဟုတ္ ျပင္ဆင္ႏုိင္ေသာ Data ) Ram (primary memory) ေပၚမွာ အလုပ္လုပ္ေနတဲ့ အလုပ္ေတြျဖစ္ျပီး Power Off ျဖစ္တာနဲ့ ေပ်ာက္ကြယ္သြား ပ်က္စီးသြားမွာျဖစ္ပါတယ္... (ျပင္ဆင္လုိ႕လဲရပါတတယ္) user log on , Process information, command history, network history စသည့္တုုိ႕ျဖစ္ပါတယ္ ..... part (8) မွာေျပာခဲ့တဲ့ Ram ေပၚမွာ အလုပ္လုပ္တဲ့ bootable CD DVD stick တုိ႕နဲ့ Privacy ခ်ုိးေဖာက္မယ္ ဆုိရင္ .. forensics လုပ္သူအေနနဲ့ အျခားသက္ေသကုိ ရွာေဖြရမွာျဖစ္ပါတယ္ .... Non-Volatile Data (မပ်က္စီးလြယ္ေသာ Data) Volatile information က ကြန္ပ်ဴတာ ပါ၀ါမရွိတာနဲ့ ေပ်ာက္ပ်က္သြားျပီး Non-Volatile Data ကေတာ့ ပါ၀ါမရွိလဲ အခ်က္အလက္ေတြ တည္ရွိေနပါမယ္ .... ဒါဆုိရင္ ကြန္ပ်ဴတာရဲ့ Secondary Storage ျဖစ္တဲ့ Hard disk မွာသိမ္းဆည္းထားမဲ့ data ေတြျဖစ္ပါတယ္ .... hidden file , Swap file. index.dat file , Registry file. event log စတာေတြျဖစ္ပါတယ္ ... Transient Data (မတည္ျမဲ ေပ်ာက္ကြယ္သြားမည့္ Data ) ဥပမာ .... websငte တစ္ခုကုိ

Anti-Digital Forensics Digital Evidence စစ္ေဆးရာတြင္ေတြ႕ႏုိင္ေသာ အခက္အခဲမ်ား Digital Evidence ဆုိသည္မွာ Digital ပုံစံျဖင့္ မည္သည့္သတင္းအခ်က္အလက္မဆုိ သိမ္းဆည္းထားသည္ျဖစ္ေစ ... ဆက္သြယ္ေနသည္ျဖစ္ေစ .... သက္ေသထင္ရွားစြာျပႏုိင္ေသာ အရာကုိ ေခၚဆုိပါသည္... ။ Digital Evidence သည္ ပ်က္စီးလြယ္ျခင္း ကြ်မ္းက်င္သူမွ ပုံဖ်က္ႏုိင္ျခင္းတုိ႕ေၾကာင့္ စစ္ေဆးရာတြင္ အခက္အခဲျဖစ္ျခင္း ... အခ်ိန္ၾကာေစျခင္းတုိျဖစ္ေစႏုိင္ပါသည္... ။ - သိမ္းဆည္းေနစဥ္ device ကုိ ပါ၀ါရုတ္တရပ္ ပိတ္လုုိက္ျခင္း (Ram ေပၚတြင္လုပ္ကုိင္ေနသာ အလုပ္မ်ား ပ်က္စီးေစႏုိင္ပါသည္။ - storage ကုိ ဖ်က္ဆီးျခင္း ( example . Format အၾကိမ္မ်ားစြာခ်ျခင္;) -အေရးၾကီးေသာ အခ်က္အလက္မ်ားကုိ ဓတ္ပုံမ်ား ဖုိင္မ်ားအတြင္းေရာထည့္ထားျခင္း - file or data မ်ားအား Password ခက္ခဲစြာေပးျပီး သိမ္းထားျခင္း (ဥပမာ rar သုိ႕ zip ျပဳလုပ္ျပီး password ေပးထားျခင္း) - Bootable Cd /DVD /stick မ်ားေၾကာင့္ စစ္ေဆးရန္ အခက္ေတြ႕ျခင္း - စစ္ေဆးသူမွ နည္းပညာကြ်မ္းက်င္မႈ နည္းျခင္း .... သက္ဆုိင္ရာ အပုိင္းလုိက္ ကြ်မ္းက်င္သူ နည္းပါးျခင္း - စစ္ေဆးရာတြင္ အသုံးျပဳေသာ device / sof

သက္ေသခံ ပစၥည္းအားပုိ႕ေဆာင္ျခင္း... မႈခင္းျဖစ္ပြားရာေနရာကေန ... Forensics lab ကုိပုိ႕ေဆာင္တဲ့ေနရာမွာ  အခ်ိန္အကန္႕အသတ္ထားရွိရပါမယ္ ..... ဘာေၾကာင့္လဲဆုိေတာ့ ... digital သက္ေသခံပစၥည္းမ်ားကုိ မသမာသူ နည္းပညာကြ်မ္းက်င္သူက ၾကားျဖတ္ျပီး ျဖတ္ဆီးႏုိင္ ျပင္ဆင္ႏုိင္လုိ႕ပါ .... eg ... Wipe Data ... file , folder. date ေတြ၇ဲ့Modified date .... ကုိေျပာင္းလဲျခင္း CSI ဇတ္ကားထဲမွာပါတာကုိ ဥပမာျပရရင္ .... သက္ေသခံပစၥည္းသယ္ေဆာင္သြားသူက သတ္မွတ္ခ်ိန္ထက္ေနာက္ၾကပီးမွ forensics lab ကုိေရာက္သြားပါတယ္ ..အဳဲဒါကုိ တစ္ဖက္ကေရွ႕ေနက သိသြားျပီး ... သက္ေသခံ device ကုိ တရားရုံးမွာ တင္ျပျခင္းကုိ ကန္႕ကြက္ပါတယ္ .... ေနာက္က်တဲ့ အေၾကာင္းကုိ ခုိင္မာတဲ့ အခ်က္အလက္လဲမျပႏုိင္တဲ့အခါမွာ တရားသူၾကီးက သက္ေသခံသြင္းတာကုိ ပယ္ခ်ပါတယ္ (CSI ဇတ္ကားထဲမွာေနာ္ ....  :)  ) forensics lab ေ၇ာက္၇င္စစ္ေဆးသူ ... စစ္ေဆးတဲ့ေန႕၇က္ အခ်ိန္ ... အမႈ ..... ဘာကုိအသုံးျပဳျပီးစစ္ေဆးသလဲဆုိတာကုိ record လုပ္ထားရပါမယ္ .... paper အစား evidence tracking software , barcode , RFID တုိ႕နဲဲ့လဲ မွတ္တမ္းယူႏုိင္ပါတယ္ .... သက္ေသခံပစၥည္းကုိလဲ မသက္ဆုိင္သူမ်ား မကုိင္တ

သက္ေသခံ Device အားမပ်က္စီးေအာင္ ကာကြယ္ျခင္း ..... သက္ေသခံသိမ္းဆည္းပုံ ... မွတ္တမ္းယူပုံ...တုိ႕ကုိ အရင္ post ေတြမွာတင္ခဲ့ျပီးပါျပီး.... အခုေရးသားမွာက သက္ေသခံ Device အားမပ်က္စီးေအာင္ ကာကြယ္ျခင္း အပို္င္းျဖစ္ပါတယ္ ..... သိမ္းဆည္းရမိတဲ့ Device ကုိစစ္ေဆးတဲ့အခ်ိန္မွာ အမွားအယြင္းရွိခဲ့ရင္ ျပန္လည္စစ္ေဆးလုိ႕ရႏုိင္ေအာင္ Device ကုိ Clone (ထပ္တူ ကူးယူ) ရပါမယ္.... Linux မွာလဲ clone ယူႏုိင္သလုိ forensics tools ေတြျဖစ္တဲ့ Encase, Access Data tools ေတြနဲ႕လဲ clone ယူႏုိင္ပါတယ္ ... Original image ၇ဲ့ Hash Value (MD5 သုိ႕ SHA1) နဲ့ Clone image ၇ဲ့ hash value တူရပါမယ္ ..... Example soon ..... device ကုိ clone မယူခင္မွာ Write Protect (read only ) စနစ္ျဖစ္ေအာင္ျပဳလုပ္ရပါမယ္ .... Data ေတြကုိ မူရင္း device မွာထပ္ျပီးျပင္ဆင္လုိ႕ မရနုိင္ေအာင္ျဖစ္ပါတယ္ .... case အမ်ဳိးအစား write protect ျပဳလုပ္သူ ျပဳလုပိတဲ့ေနစြဲ device အမ်ဳိးအစားတုိ႕ကုိ မွတ္တမ္းထားရွိရပါမယ္... Linux သုိ႕ forensics tool, controller ေတြမွာ write protect ပါ၀င္ပါတယ္ ... Example .... Sooon .... ထပ္ျပီးကာကြယ္ရမဲ့အပုိင္းကေတာ့ သက္ေသခံ Dev

How to Management Evidence ? အခုေဆာင္းပါးမွာေတာ့ Evidence Management အပိုင္းျဖစ္ပါတယ္ .... ပထမဆုံး မႈခင္းျဖစ္ပြားေနရာေရာက္မယ္ ... - မႈခင္းနဲ့ဆက္စပ္ေနတဲ့ Device အားလုံးကုိ သိမ္းဆည္မယ္ ... သိမ္းဆည္း ရမဲ့ နည္းလမ္းအခ်ဳိ႕ကုိ အရင္ေဆာင္းပါးေတြမွာေရးသားထားပါတယ္ ... - သိမ္းဆည္းျပီးရင္ Device ေတြကုိ စာရင္းလုပ္မယ္ ... - ဘယ္ေနရာက သိမ္းတာလဲ .. - Case ကဘာလဲ .... - ဖမ္းဆီးတဲ့ အခ်ိန္မွာ device က Power On ေနလား Off ေနလား - Deviceက ပ်က္စီေနျပီးလား - Device နဲ့ ဘာေတြ ခ်ိတ္ဆက္ထားလဲ ...phone Printer USB HD Moderm Wireless AP , LAN cable ... etc ..... - Device အမ်ိဳးအစား ..... . - ခ်ိတ္ဆက္ေနတဲ့အေနအထားအတုိင္း View ေပါင္းစုံကေန photo သုိ႕ video ရုိက္မယ္ ... ျဖဳတ္သိမ္းျပီးမွ ရုိက္ရင္ တရား၇ုံးမွာ အျငင္းပြားလာစရာ ေတြရွိႏုိင္တယ္ .... ဥပမာ ပုံစံကုိ ပုံေတြမွာ ေဖာ္ျပထားပါတယ္ .... ပထမပုံမွာဆုိရင္ laptop နဲ႕ External HD နဲ့ခ်ိတ္ဆက္ထားတယ္ ... အေပၚမွာေျပာသလုိတပ္ဆင္ထားတဲ့အတုိင္းပဲ ဓတ္ပုံရုိက္မယ္ ... ဒုတိယပုံမွာဆုိရင္... Printer Monitor KeyBoard ပုံေတြ႕ရပါမယ္ ... photo ရုိက္မယ္ ျပီးရင္ ... ဆက္ဆစ္

Forensics စစ္ေဆးမဲ့သူတစ္ေယာက္ရဲ့ ရွိရမဲ့ IT နဲ႔ပတ္သတ္တဲ့ Knowledge ကုိ part 4 မွာေရးထာျပီးပါျပီ.... IT Knowledge အျပင္ေနာက္ထပ္ရွိရမယ့္ အရည္အခ်င္းေတြကေတာ့ ... - ေနာက္ေၾကာင္းရာဇ၀င္ရွင္းရပါမယ္ .... - IT နဲ့ပတ္သတ္တဲ့ Degree တစ္ခုရထားႏုိင္ရင္ပုိေကာင္းပါတယ္ - Forensics စစ္ေဆးဖုိ႕ ေကာင္းေကာင္း ေလ့က်င့္ထားတဲ့သူျဖစ္ရပါမယ္ ( တရားရုံးမွာ သက္ေသထြက္ျခင္း ... အသုံးျပဳတဲ့ Forensics Lab ကုိ ကြ်မ္းက်င္စြာအသုံးခ်ႏုိင္းျခင္း) -IT နဲပတ္သတ္တဲ့အပိုင္းမွာ အေတြ႕အၾကဳံရွိရပါမယ္ . - A++ -Operation system (window , linux , MAC, etc .. ) - Basic Networking -Routing and Switching -Programming Basic -Server / Vmware / Bigdata -Virus မ်ဳိးစုံသေဘာတရား -Web application -Social Network (Facbook, twitter,linkedlin, etc .... ) -Mobile phone .. Tablet (software , hardware) -wireless Device.. အဲထဲက တစ္ခုထက္ပုိရပါမယ္ ..... - တရားခြင္မွာလုိအပ္ပါက .... မိမိအမႈအတြက္ IT ပုိင္းဆုိင္ရာကူညီသက္ေ သထြက္ဆုိေပးမဲ့သူကုိ ေရြးတတ္ရပါမယ္..... - IT ပုိင္းဆုိင္ရာ Certification သုိ႕ forensics Certification ရရွိထားရပါ မယ္

Cyber Crime တစ္ခုကုိ ဆက္စပ္စဥ္းစားရန္မွာ ... Cyber or electronic Law မွာျပဌာန္းထားတာ ပါမပါ ၾကည့္ရပါမယ္ ဆက္စပ္မႈရွိ မရွိ ေလ့လာရပါမယ္ .... ဥပမာ ... bank တစ္ခုက... Bank website ကေန ယေန႔ us ေဒၚလာ ေစ်းကုိ 1500 နဲ့ေ၇ာင္းမယ္ .... တစ္ျခား bank တစ္ခုက 1300 ေရာင္းေစ်း .. ဒီ Case မွာဆုိရင္ .... Ethic မရွိတာကုိပဲ ေတြ႕ရမယ္ ... webiste ေပၚကေနျဖစ္ေပမဲ့ Cyber Crime case မျဖစ္ဘူး ..... ေနာက္တစ္ခုက က်ယ္က်ယ္ျပန္႕ျပန္ သက္ေသခုိင္လုံေအာင္ယူမဲ့အပုိင္း ... ဥပမာ ... ကေလးလိင္အၾကမ္းဖက္ပုံေတြတင္တဲ့သူကုိ စစ္မယ္ သူ႕ Device ထဲကေန ပုံတစ္ပုံပဲေတြ႕တယ္ ... ဒီေလာကက္နဲ့႕ တရားရုံးမွာ တင္ျပရင္ သက္ေသမခုိင္လုံဘူး .... ေနာက္တစ္မ်ုိးက DDOS Attack တုိက္ေနတယ္လုိ႕ယူဆရတဲ့ Device တစ္ခု....တရားခံဟာ .CNC ျပဳလုပ္ျပီး .တစ္ကယ္တုိက္ေနတာလဲ ျဖစ္မယ္ . ဒါမွမဟုတ္ ... မသိလုိက္ဘဲ DDOS တုိက္ဖုိ႕ Bot တစ္ခု (အလြယ္ကူဆုံးဆုိရင္ Device မွာ virus ၀င္ေနတာ) လဲျဖစ္ႏုိင္တယ္ .... အဲဒါမ်ဳိးဆုိ တစ္ဖက္ ေရွ႕ေန ဘက္က ေျခပႏုိင္ရင္ ... လြတ္ဖုိ႕ေသခ်ာသလုိက္ရွိႏုိင္တယ္ ... ဒါေၾကာင့္ သံသယရွိယုံထက္ သက္ေသကုိ ခုိင္ခုိင္မာမာျပႏုိင္ရမယ္ ...

Forensics နည္းပညာထြန္းကားလာပုံ  1822-1911 ကာလအတြင္းမွာေတာ့ လက္ေဗြနည္း စနစ္ စတင္ျပီးတုိးတက္လာပါတယ္ ... 1847-1915  criminal investigation တစ္ခုျဖစ္တဲ့ မႈခင္းျဖစ္ရပ္တစ္ခုကုိ စစ္ေဆးကာ သက္ေသရရွိမႈအေပၚမူတည္ျပီး တရားခံကုိ ရုပ္လုံးေဖာ္ျခင္း ပညာရပ္ဟာ တုိးတက္လာပါတယ္ ... 1858-1946 လက္ေရး လက္မွတ္ စာရြက္စာတမ္း အတု ျဖစ္မျဖစ္ စစ္ေဆးတဲ့ နည္းပညာဟာ တုိးတက္လာပါတယ္ .... 1887-1954  ကာလအတြင္းမွာေတာ့ ေသြးအမ်ဳိးအစားအုပ္စုခြဲကာ စစ္ေဆးျခင္း ပညာရပ္ဟာ ထြန္းကာလာပါတယ္ .... 1891-1955  ေသနည္က်ည္ဆံကုိ ၾကည့္ျပီး အမ်ဳိးအစားခြဲျခားတဲ့ ပညာရပ္တုိးတက္လာပါတယ္ ... 1932  ၤFBI ကေန နည္းပညာရွင္နဲ့ Agent ေပါင္း 500 ေက်ာ္နဲ႕ အထက္ေဖာ္ျပစစစ္ေဆးမႈေတြျပဳလုပ္ဖုိ႕ အတြက္ Forensics LAB ကုိတည္ေထာင္ခဲ့ပါ တယ္ 1984 FBI ကုိ ကူညီရန္ The Computer Analysis and Response Team (CART )ကုိစတင္ထည္ေထာင္ခဲ့ပါတယ္ ... 1993 Computer သက္ေသခံခ်က္ေတြအတြက္ ပထမဆုံး Conference ကုိ အေမရိကန္ႏုိင္ငံမွာ က်င္းပခဲ့ပါတယ္ ... 1995 နည္းပညာဖလွယ္ရန္ International Organization on Computer Evidence (IOCE) ကုိတည္ေထာင္ခဲ့ပါသည္။ 1998 The In

Hypothesis လုိ႕ေခၚတဲ့ ထင္ျမင္ ယူဆခ်က္အေၾကာင္းလာပါျပီး ..... Case တစ္ခုအတြက္ဖမ္းဆီးျပီး သက္ေသခံ Device (Laptop ပဲဆုိၾကပါစုိ႕) ကုိသိမ္းထားလုုိက္ျပီး ဥပမာ ... ကေလးသူငယ္ပုံေတြကုိတင္ျပီး အြန္လုိင္းကေန လိင္အၾကမ္းဖက္လုပ္ေဆာင္တဲ့အမႈေပါ့ .... (သိမ္းဆည္းနည္း စစ္ေဆးနည္း အက်ဥ္းကုိ PART 1 မွာေရးျပီးပါျပီး) လုပ္ေဆာင္တဲ့သူကဒီလူပဲဆုိတာလဲ ေသခ်ာသေလာက္ရွိေနျပီး ....  laptop ကုိအသုံးျပဳျပီး ပစ္မႈက်ဴးလြန္တယ္လုိ႕လဲယူဆတယ္ .... ခက္တာက သိမ္းဆည္းမိတဲ့ Laptop က တံခါးျပန္တပ္ ... Sorry ... :) Window ျပန္တင္ထားတာမၾကာေသးဘူး ..... .... ကဲ ယူဆခ်က္ေတာ့ရွိျပီး သက္ေသခံအခ်က္အလက္ကမရေသးဘူး ... ကဲ.. ဘာလုပ္မလဲ .... laptop အသုံးျပဳထားတဲ့ Time ... Window ျပန္တင္ထားတဲ့အခ်ိန္ကုိ ၾကည့္မယ္ .... ျပီးရင္ .... Storage Device ျဖစ္တဲ့ Hard Disk ဒါမွမဟုတ္ SSD ေပါ ့ .... အဲဒါေတြရဲ့ Power On Time စစ္မယ္ ...  HD or SSD ၇ဲ့ Health ကုိစစ္မယ္ .... စစ္ေဆးေနတုန္း... HD ၾကြသြားရင္ လုံး၀အဆင္မေျပႏုိင္ဘူးေလ.... အေရးအၾကီးဆုံးအခ်က္ကေတာ့ ... မူရင္း HD or SSD ကေန Clone ယူျပီး စစ္ေဆးတာ အေကာင္းဆုံး နည္းလမ္းျဖစ္ပါတယ္ ...ဒါမွ သက္ေသခံ

CERT ကေနအဓိပၸာယ္ဖြင့္ဆုိထားတာကေတာ့ .... Network or information System တစ္ခုကုိ ကုိင္တြယ္ေနရသူတစ္ေယာက္ဟာ Forensics အေျခခံကုိ နားလည္ရမယ္လုိ႕ ဆုိပါတယ္...  ပုိမုိျပည္စုံေအာင္ ဖြင့္ဆုိမယ္ဆုိရင္ သိပၸံနည္းပညာဆုိင္ရာ အခ်က္အလက္ေတြကို အသုံးခ်ျပီး... အခ်က္အလက္ေတြကုိ စစ္ေဆးျခင္း ... သက္ေသေတြကုိစုစည္းျခင္းတုိ႕ျဖစ္ပါတယ္...။ သက္ေသေတြကုိ စုစည္းျခင္းဆုိတာကေတာ့ DNA fingerprint တုိ႕ကုိ စစ္ေဆးစုစည္းျခင္းကဲ့သုိ႕ပဲျဖစ္ပါတယ္။ ဒီေနရာမွာကေတာ့ data ေတြကုိ စစ္ေဆးျပီး သက္ေသခံရွာေဖြျခင္းျဖစ္ပါတယ္။  Forensics မွာ အဓိက လုပ္ငန္းကေတာ့ ငုပ္လွ်ဳိးေနတဲ့ အခ်က္အလက္ေတြကုိ ရွာေဖြေဖာ္ထုတ္ျခင္းျဖစ္ပါတယ္...ေဖာ္ထုတ္တယ္ဆုိတာမွာ RECOVERY လုပ္ျခင္းအပုိင္းအပါအ၀င္ နည္းအမ်ုိးမ်ဳိးရွိပါတယ္.။ ဥပမာ... ကြန္ပ်ဴတာေပၚမွာက်န္ခဲ့တဲ့ လက္ေဗြ... DNA ယူျခင္းဟာလည္း Forensics အပို္င္းမွာပါ၀င္ပါတယ္ ... Cyber Forensics မွာ အဓိကအခ်က္ ၂ ရွိပါတယ္...  ပထမအခ်က္ ဖမ္းဆည္ရမဲ့သူဟာ.... ဖမ္းဆည္းေနခ်ိန္မွာ Electronic Device ကုိအသုံးျပဳေနျပီး ဘာေတြလုပ္ေဆာင္ေနသလဲ ဥပမာ online ေလာင္းကစားလုပ္ေနတာလား စသည္ျဖစ္ေပါ့ .... ျပီးရင္ Website ကုိအသုံးျပဳျပီးလု