What is Digital Forensics ?

CERT ကေနအဓိပၸာယ္ဖြင့္ဆုိထားတာကေတာ့ .... Network or information System တစ္ခုကုိ ကုိင္တြယ္ေနရသူတစ္ေယာက္ဟာ Forensics အေျခခံကုိ နားလည္ရမယ္လုိ႕ ဆုိပါတယ္... 

ပုိမုိျပည္စုံေအာင္ ဖြင့္ဆုိမယ္ဆုိရင္ သိပၸံနည္းပညာဆုိင္ရာ အခ်က္အလက္ေတြကို အသုံးခ်ျပီး... အခ်က္အလက္ေတြကုိ စစ္ေဆးျခင္း ... သက္ေသေတြကုိစုစည္းျခင္းတုိ႕ျဖစ္ပါတယ္...။ သက္ေသေတြကုိ စုစည္းျခင္းဆုိတာကေတာ့ DNA fingerprint တုိ႕ကုိ စစ္ေဆးစုစည္းျခင္းကဲ့သုိ႕ပဲျဖစ္ပါတယ္။ ဒီေနရာမွာကေတာ့ data ေတြကုိ စစ္ေဆးျပီး သက္ေသခံရွာေဖြျခင္းျဖစ္ပါတယ္။ 

Forensics မွာ အဓိက လုပ္ငန္းကေတာ့ ငုပ္လွ်ဳိးေနတဲ့ အခ်က္အလက္ေတြကုိ ရွာေဖြေဖာ္ထုတ္ျခင္းျဖစ္ပါတယ္...ေဖာ္ထုတ္တယ္ဆုိတာမွာ RECOVERY လုပ္ျခင္းအပုိင္းအပါအ၀င္ နည္းအမ်ုိးမ်ဳိးရွိပါတယ္.။

ဥပမာ... ကြန္ပ်ဴတာေပၚမွာက်န္ခဲ့တဲ့ လက္ေဗြ... DNA ယူျခင္းဟာလည္း Forensics အပို္င္းမွာပါ၀င္ပါတယ္ ...

Cyber Forensics မွာ အဓိကအခ်က္ ၂ ရွိပါတယ္... 

ပထမအခ်က္

ဖမ္းဆည္ရမဲ့သူဟာ.... ဖမ္းဆည္းေနခ်ိန္မွာ Electronic Device ကုိအသုံးျပဳေနျပီး ဘာေတြလုပ္ေဆာင္ေနသလဲ ဥပမာ online ေလာင္းကစားလုပ္ေနတာလား စသည္ျဖစ္ေပါ့ .... ျပီးရင္ Website ကုိအသုံးျပဳျပီးလုပ္ေဆာင္ေနတာလား Software ကုိအသုံးျပဳျပီးလုပ္ေဆာင္ေနတာလားဆုိတာ ၾကည့္ရပါမယ္ ... ဘယ္လုိသက္ေသယူမလဲဆုိရင္ အလြယ္ဆုံးကေတာ Print Screen ရုိက္တာ ... ဒါမွမဟုတ္ရင္လဲ Date နဲ့ Time ဖြင့္ျပီး ဓတ္ပုံရုိက္တာ ... စသည္ျဖင့္နည္းအမ်ဳိးမ်ဳိးရွိပါတယ္

.Electronic Device ဆုိသည္မွာ PC Laptop Tablet 

mobile phone GPS CD DVD SD Card USB Router , Switch Server IOT device စသည္ျဖင့္ ပါ၀င္ပါတယ္....

ဒုတိယအခ်က္ဒါကေတာ့ 

ပထမအခ်က္ လုပ္ေဆာင္ခ်က္ေတြကုိ စစ္ေဆးျပီး တရားရုံးသုိ႕ တင္ႏုိင္မဲ့ သက္ေသခံယူရမွာျဖစ္ပါတယ္...

အေရးၾကီးတဲ့အခ်က္ ၂ ခ်က္က်န္ပါေသးတယ္ ....

ပထမအခ်က္....

စစ္ေဆးျပီး သက္ေသခံရွာေဖြျပီး တာနဲ့မပီးေသးပါဘူး သက္ေသခံ Device ကုိ မပ်က္စီးေအာင္သိမ္းဆည္းရမွာျဖစ္ပါတယ္...

စစ္ေဆးတဲ့ေနရာမွာလဲ သိမ္းဆည္းထားတဲ့ မူရင္း Device ကုိမပ်က္စီး

ေစပဲ .... ဘယ္လုိထိမ္းသိမ္းမွာလဲ ဘယ္လုိမွတ္သားထားမွာလဲ Case အလုိက္....ရက္စြဲအလုိက္မွတ္သားထားမွာလား... 

ဘယ္သူက ဘယ္ေန႕ ဘယ္အခ်ိန္မွာ ဘယ္လုိနည္းလမ္းအသုံးျပဳျပီး စစ္ေဆးမွာလဲဆုိတာကုိလဲ ...အေသးစိတ္ 

မွတ္တမ္းထားရွိရမွာျဖစ္ပါတယ္....

(သိမ္းဆည္စဥ္မွာ အေျခအေနအရ စစ္ေဆးတာ သက္ေသယူတာက 

မျပီးေသးဘူးဆုိရင္ ... Device ကုိ Power ပိတ္ယူမွာလား ...ဖြင့္ယူမွာလား ....ရွိပါေသးတယ္ .. Computer Forensic အပုိင္းက်မွ အေသးစိတ္ျဖစ္ေအာင္ ေရးသားပါမယ္)

ဒုတိယအခ်က္....

ရရွိလာတဲ့သက္ေသေတြကုိ ရွင္းရွင္းလင္းလင္း ခုိင္ခုိင္လုံလုံျဖစ္ေအာင္ေရး မယ္ ... ျပီးရင္ သက္ေသခံ Device နဲ့တစ္ကြ တရားရုံကုိ တင္မယ္ ..

ေနာက္ post ေတြမွာ Example ပုံစံေတြ .... အေသးစိတ္လုိက္နာရမဲ့အပိုင္းေတြ စစ္ေဆးရမဲ့နည္းလမ္းေတြ(အက်ဥ္းခ်ဳပ္ေပါ့) ကုိေရးသားေပးပါမယ္..

==================

CERT ကနေအဓိပ္ပာယ်ဖွင့်ဆိုထားတာကတော့ .... Network or information System တစ်ခုကို ကိုင်တွယ်နေရသူတစ်ယောက်ဟာ Forensics အခြေခံကို နားလည်ရမယ်လို့ ဆိုပါတယ်... 
ပိုမိုပြည်စုံအောင် ဖွင့်ဆိုမယ်ဆိုရင် သိပ္ပံနည်းပညာဆိုင်ရာ အချက်အလက်တွေကို အသုံးချပြီး... အချက်အလက်တွေကို စစ်ဆေးခြင်း ... သက်သေတွေကိုစုစည်းခြင်းတို့ဖြစ်ပါတယ်...။ သက်သေတွေကို စုစည်းခြင်းဆိုတာကတော့ DNA fingerprint တို့ကို စစ်ဆေးစုစည်းခြင်းကဲ့သို့ပဲဖြစ်ပါတယ်။ ဒီနေရာမှာကတော့ data တွေကို စစ်ဆေးပြီး သက်သေခံရှာဖွေခြင်းဖြစ်ပါတယ်။ 

Forensics မှာ အဓိက လုပ်ငန်းကတော့ ငုပ်လျှိုးနေတဲ့ အချက်အလက်တွေကို ရှာဖွေဖော်ထုတ်ခြင်းဖြစ်ပါတယ်...ဖော်ထုတ်တယ်ဆိုတာမှာ RECOVERY လုပ်ခြင်းအပိုင်းအပါအဝင် နည်းအမျိုးမျိုးရှိပါတယ်.။

ဥပမာ... ကွန်ပျူတာပေါ်မှာကျန်ခဲ့တဲ့ လက်ဗွေ... DNA ယူခြင်းဟာလည်း Forensics အပိုင်းမှာပါဝင်ပါတယ် ...

Cyber Forensics မှာ အဓိကအချက် ၂ ရှိပါတယ်... 

ပထမအချက်

ဖမ်းဆည်ရမဲ့သူဟာ.... ဖမ်းဆည်းနေချိန်မှာ Electronic Device ကိုအသုံးပြုနေပြီး ဘာတွေလုပ်ဆောင်နေသလဲ ဥပမာ online လောင်းကစားလုပ်နေတာလား စသည်ဖြစ်ပေါ့ .... ပြီးရင် Website ကိုအသုံးပြုပြီးလုပ်ဆောင်နေတာလား Software ကိုအသုံးပြုပြီးလုပ်ဆောင်နေတာလားဆိုတာ ကြည့်ရပါမယ် ... ဘယ်လိုသက်သေယူမလဲဆိုရင် အလွယ်ဆုံးကတော Print Screen ရိုက်တာ ... ဒါမှမဟုတ်ရင်လဲ Date နဲ့ Time ဖွင့်ပြီး ဓတ်ပုံရိုက်တာ ... စသည်ဖြင့်နည်းအမျိုးမျိုးရှိပါတယ်

.Electronic Device ဆိုသည်မှာ PC Laptop Tablet 

mobile phone GPS CD DVD SD Card USB Router , Switch Server IOT device စသည်ဖြင့် ပါဝင်ပါတယ်....

ဒုတိယအချက်ဒါကတော့ 

ပထမအချက် လုပ်ဆောင်ချက်တွေကို စစ်ဆေးပြီး တရားရုံးသို့ တင်နိုင်မဲ့ သက်သေခံယူရမှာဖြစ်ပါတယ်...

အရေးကြီးတဲ့အချက် ၂ ချက်ကျန်ပါသေးတယ် ....

ပထမအချက်....

စစ်ဆေးပြီး သက်သေခံရှာဖွေပြီး တာနဲ့မပီးသေးပါဘူး သက်သေခံ Device ကို မပျက်စီးအောင်သိမ်းဆည်းရမှာဖြစ်ပါတယ်...

စစ်ဆေးတဲ့နေရာမှာလဲ သိမ်းဆည်းထားတဲ့ မူရင်း Device ကိုမပျက်စီး

စေပဲ .... ဘယ်လိုထိမ်းသိမ်းမှာလဲ ဘယ်လိုမှတ်သားထားမှာလဲ Case အလိုက်....ရက်စွဲအလိုက်မှတ်သားထားမှာလား... 

ဘယ်သူက ဘယ်နေ့ ဘယ်အချိန်မှာ ဘယ်လိုနည်းလမ်းအသုံးပြုပြီး စစ်ဆေးမှာလဲဆိုတာကိုလဲ ...အသေးစိတ် 

မှတ်တမ်းထားရှိရမှာဖြစ်ပါတယ်....

(သိမ်းဆည်စဉ်မှာ အခြေအနေအရ စစ်ဆေးတာ သက်သေယူတာက 

မပြီးသေးဘူးဆိုရင် ... Device ကို Power ပိတ်ယူမှာလား ...ဖွင့်ယူမှာလား ....ရှိပါသေးတယ် .. Computer Forensic အပိုင်းကျမှ အသေးစိတ်ဖြစ်အောင် ရေးသားပါမယ်)

ဒုတိယအချက်....

ရရှိလာတဲ့သက်သေတွေကို ရှင်းရှင်းလင်းလင်း ခိုင်ခိုင်လုံလုံဖြစ်အောင်ရေး မယ် ... ပြီးရင် သက်သေခံ Device နဲ့တစ်ကွ တရားရုံကို တင်မယ် ..

နောက် post တွေမှာ Example ပုံစံတွေ .... အသေးစိတ်လိုက်နာရမဲ့အပိုင်းတွေ စစ်ဆေးရမဲ့နည်းလမ်းတွေ(အကျဉ်းချုပ်ပေါ့) ကိုရေးသားပေးပါမယ်..