Digital Forensics Myanmar

What is Cyber Crime (Myanmar Version) Part 1 to 26 စုစည္းမႈ PDF  ဘယ္သူေတြဖတ္သင့္သလဲ .... ျမန္မာႏုိင္ငံရဲတပ္ဖြြဲ႕၀င္မ်ား ၀န္ၾကီးဌာနမ်ားတြင္ IT ပုိင္းလုပ္ကုိင္ေနေသာ ၀န္ထမ္းမ်ား ဥပေဒ၀န္ထမ္းမ်ား Network administrator မ်ား Cyber Crime ကုိစိတ္ပါ၀င္စားသူမ်ား ... Download link ==> https://drive.google.com/open?id=1_FcOnlSoqgfrj0hK0lw-z6pqo-w-gj8S https://www.facebook.com/forensicsmyanmar https://forensicsmyanmar.blogspot.com/ # Cybercrime

Registry အပုိင္းဟာ ရွဳပ္ေထြးၿပီး စစ္ေဆးမယ္ဆုိရင္ အခ်ိန္အတိုင္းအတာ တစ္ခုအထိယူရပါမယ္.။ Window Forensics လက္ေတြ႔လုပ္ေဆာင္တဲ့အခ်ိန္မွာ လုပ္ေဆာင္ဖုိ႕အခက္အခဲ အနည္းငယ္ရွိပါမယ္။ ဒါေၾကာင့္ Forensics စစ္ေဆးဖုိ႕ tools ေတြလုိအပ္လာပါတယ္။ Law Enforcement အဖြဲ႕အစည္း ပုိင္းအေနပဲ ၀ယ္ယူရႏုိင္တဲ့ Tools ေတြ Hardware ေတြရွိသလုိ Free ျဖစ္တဲ့ Tools ေတြ Hardware ေတြလဲရွိပါတယ္။Eg kali, auto spy (current version 4.9) စသည္ျဖင့္ရွိပါတယ္။ More tools Search in Google .... အခု Post မွာအဓိက ေျပာခ်င္တာက Forensics Tools ေတြက Window Forensic လုပ္ေဆာင္တဲ့အခါမွာ Result ေတြထြက္လာမယ္ ... ထြက္လာတဲ့ Result ေတြကုိ ဥာဏ္ရွိသလုိ ပုိင္းျခားရွာေဖြရပါမယ္.. ပုံမွာ ျပထားတဲ့ Result ေတာ္ေတာ္မ်ားမ်ားက window registry ပုိင္းမွာ မွတ္သားထားတာကုိ Forensics Tools ကေန စုစည္းၿပီး ထုတ္ေပးထားတာပါ။ Window Registry ကုိအဓိက ထားၿပီးေရးသားေနတာေၾကာင့္ က်န္တဲ့ အပုိင္းကုိ ခန ခ်န္ထားခဲ့ပါမယ္။ (Key point အေနနဲ႕ေၿပာခ်င္တာက Forensics Tools မွာ ဘာကုိ စစ္္ေဆးမယ္ . ဘယ္အပုိင္းကုိ စစ္ေဆးမယ္, Result ေတြထဲက ဘာကုိရွာရမယ္..Result ေတြက ဘယ္ကေန ရရွိလာတယ္ဆုိတာ

indow Registry Analysis Part (2) (Window Forensics) User တစ္ေယာက္ဟာ Window ကုိစတင္အသုံးၿပီဆုိတာနဲ့ သူလုပ္ေဆာင္သမွ်အားလုံးကုိ Registry ကေနမွတ္တမ္းတင္ထားပါတယ္။ ဥပမာ .... Login Time Account Level File Open activities Network Connecting activities Browser activities portable device ခ်ိတ္ဆက္မႈ စတာေတြကုိ မွတ္တမ္းတင္ထားပါတယ္။ အခ်ဳိ႕ေသာ အခ်က္အလက္ေတြကေတာ့ Window Shut Down ခ်တာနဲ႕ ေပ်ာက္သြားပါတယ္။ Every things Leave a Trace. မွတ္သားထားတဲ့ေနရာေတြကေတာ့ part 23 မွာေရးထားတဲ့ key တစ္ခုခ်င္းစီေအာက္မွာရွိေနတဲ့ Sub key ေတြ ေအာက္မွာ သြားသိမ္းဆည္းထားတာပါ။ Registry File location Windows\System32\Config --------------------------- ဒါကေတာ့ registry မွာ တစ္ကယ္အလုပ္လုပ္တဲ့ hive (subkey) ေတြရဲ့ Location ပါ။ HKEY_LOCAL_MACHINE \SYSTEM : \system32\config\system HKEY_LOCAL_MACHINE \SAM : \system32\config\sam HKEY_LOCAL_MACHINE \SECURITY : \system32\config\security HKEY_LOCAL_MACHINE \SOFTWARE : \system32\config\software HKEY_USERS \UserProfile : \winnt\profiles\username HKEY_USE

Window Registry ဟာ ကြန္ပ်ဴတာမွာ အေရးပါတဲ့ အစိတ္အပုိင္း တစ္ခုျဖစ္ပါတယ္။ အသုံးျပဳရာမွာ ပုိၿပီးေတာ့ stability နဲ႕ Reliability ရွိေအာင္ျပဳလုပ္ေပးပါတယ္ Window Default Application Install လုပ္ထားတဲ့ Application User Information System Information Security ပုိင္းဆုိင္ရာ Network Information Driver Information စတာေတြပါ၀င္ပါတယ္ ။ Registry ဟာ Tree ပုံစံနဲဖြဲ႕စည္းထားၿပီး Folder နဲ႕ File ဖြဲစည္္းပုံအတုိင္း တည္ေဆာက္ထားတာ ျဖစ္ပါတယ္။ Key, Sub key, Name , Data Type , Value တုိ႕ပါ၀င္ပါတယ္။ Logical Group ဟာ window ရဲ့ Run Box ကေန regedit လုိ႕ ရုိက္ လုိက္ရင္ ေပၚေနတဲ့ အပုိင္း ၅ ပုိင္းကေတာ့ Root Folder အပုိင္းျဖစ္ပါ တယ္ Key လုိ႕လဲ ေခၚပါတယ္ HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_USERS HKEY_CURRENT_CONFIG အထက္ပါ ၅ ပုိင္းကုိေတာ့ တစ္ပုိင္းစီကုိ Keys လုိ႕သတ္မွတ္ပါတယ္ Key တစ္ခုျခင္းေအာက္မွာ သက္ဆုိင္ရာအပုိင္းအလုိက္ SubKey ေတြရွိပါတယ္။Sub keys တစ္ခုစီမွာလဲ ဆုိင္ရာဆုိင္ရာ Subkey ေတြရွိပါတယ္။ ========================= HKEY_CLASSES_ROOT Software နဲ့ပတ္သတ္တဲ့

1. Organization အမ်ားစုဟာ Cloud ကုိအသုံးျပဳလာၾကပါသည္။ သုိ႕ေပမဲ့ လုံျခဳံေရးအတြက္ ေသခ်ာစြာ ျပဳလုပ္မထားၾကတဲ့အတြက္ Cloud ကုိဦးတည္တုိက္ခုိက္လာႏုိင္ပါသည္။ 2.လြယ္ကူၿပီးခန္ကမွန္းရလြယ္တဲ့ Password မ်ား၊ Multi log in ေတြအတြက္ Password ကုိ တစ္ခုထဲေပးထားျခင္းမ်ားမွ အခြင့္ေကာင္းယူကာ တုိက္ခုိက္လာႏုိင္ပါသည္။ 3. “Ransomware, cryptomining, banking Trojans and VPN filters စတဲ့ Malware မ်ားသည္လည္း ပုံစံအမ်ဳိးမ်ဳိး အေနအထား အမ်ဳိးမ်ဳိးေျပာင္းကာ ဆက္လက္တုိက္ခုိက္လာႏုိင္ပါသည္။ 4. Cyber လုံျခဳံေရးအသိ အားနည္းေသာ ၀န္ထမ္မ်ားကုိ အသုံးခ်ကာ Social Engineering နည္းလမ္းမ်ားျဖင့္ တုိက္ခုိက္လာႏုိင္ပါသည္။ 5.Internet of things (mobile phone) မ်ားသည္ Organization Security Plan ထဲမွာပါ၀င္မႈမရွိသေလာက္ ျဖစ္ေသာေၾကာင့္ IOT မ်ားကုိ ဦးတည္တုိက္ခုိက္လာႏုိင္ပါသည္။ 6.DDos တုိက္ခုိက္မႈမ်ားသည္ ေနာက္ပုိင္းကာလေတြမွာ တုိက္ခုိက္မႈ နည္းပါးလာေသာ္ေၾကာင့္ သတိမျပဳမိၾကေတာ့ပါ. ဒါေပမဲ့ ထုိအားနည္းခ်က္ကုိ အသုံးခ်ကာ တုိက္ခုိက္လာႏုိင္ပါသည္။ (Hacking is Not The Race) 7. IT department မွ ခြင့္ျပဳခ်က္မရွိပဲ ၀န္ထမ္းမ်ား အသုံးခ်ေသာ Soft

What is Cyber Forensics Part (22) Evidence Device Cloning and Hashing Investigation လုပ္ရာမွာ မူရင္းသက္ေသခံပစၥည္း (Computer,Laptop, HD, Stick, CD/DVD, Phone) ကုိ စစ္ေဆးျခင္းမျပဳသင့္ပါ။ မူရင္း Device ကုိ Clone ပြားၿပီး စစ္ေဆးရမွာျဖစ္ပါတယ္။ ရလာတဲ့ Clone ကလဲ မူရင္းနဲ့ Hash Value တူရမွာျဖစ္ပါတယ္။ အခု Post မွာေတာ့ Device တင္မက မူရင္း Device ထဲမွာပါတဲ့ file ေတြကုိပါ hash Value ထုတ္ျပထားပါတယ္. Clone လုပ္တဲ့ေနရာမွာ အသုံးျပဳထားတာကေတာ့ Access Data FTK manager ျဖစ္ပါတယ္။ အျခား Clone နဲ႕ Hash Value လုပ္ႏုိင္တဲ့ tools ေတြရွိေပမဲ့ ႏုိင္ငံတကာက Law Enforcement အဖြဲ႕ေတြအသုံမ်ားတဲ့ Access Data FTK manager ကုိသုံးရျခင္းကေတာ့ တရားရုံးမွာ သက္ေ သခံတဲ့အခါ ပုိၿပီး Save ျဖစ္ေအာင္ပါ။ ပုံ (၁) ကေတာ့ သက္ေသခံ မူရင္း Memory Stick Device ရဲ့ Hash value ကုိ ယူမွာျဖစ္ပါတယ္။ (Stick က ကြ်န္ေတာ္ Stick ပါ  :D  ) FTK က MD5 and SHA1 ကုိထုတ္ေပးမွာပါ။ ပုံ(၂) မၾကာခင္ သက္ေသခံ မူရင္း Memory Stick Device ရဲ့ Hash valueရလာပါတယ္။ ပုံ (၇) မွာ မူရင္းနဲ႕ Clone တုိ႕ရဲ့ Hash Value ကုိျပထားပါတယ္။ ပုံ (၃) သက္ေသခံ မူရင္း Memory

What is Cyber forensics ? Part (21) Memory forensics Ram ဆုိတာ ဘာျဖစ္တယ္ ဘာလုပ္တယ္ဆုိတာေတာ့ အခု post မွာ မေျပာေတာ့ပါဘူး ... ကြန္ပ်ဴတာ Power Off တာနဲ႕ Ram ထဲမွာ သိမ္းဆည္းထားတဲ့ Information ေတြပ်က္စီးသြားပါတယ္ .. Ram ကေနဘာေတြရႏုိင္မလဲ End point Security (antivirus) အခ်ဳိ႕က Ram ကုိတုိက္ရုိက္ထိခုိက္ေစတဲ့ Virus မ်ဳိးကုိ မစစ္ေဆးႏုိင္ၾကပါဘူး ဒါေၾကာင့္ malware Forensics လုပ္တဲ့အခ်ိန္မွာ အသုံး၀င္ပါတယ္ Computer စဖြင့္တဲ့အခ်ိန္မွာ ရုိက္လုိက္တဲ့ username password , Browser History , Internet Connection LAN,Wireless (IP address DNS) ,Open Port, Some chat message အစရွိသည္ျဖင့္ ရရွိႏုိင္ပါသည္။ Memory Forensics ျပဳလုပ္ရမည့္အခ်ိန္ကေတာ့ computer On ေနတဲ့အေနအထားမွာျပဳလုပ္ရမွာ ျဖစ္ပါတယ္.. Computer ရဲ႕ ram ပမာဏအေပၚမူတည္ၿပီး Memory Dump File Size ရရွိမွာျဖစ္ပါတယ္ ။အခု ကြ်န္ေတာ္စက္ဆုိ 16 GB ရွိတဲ့အတြက္ dunp file က 16 GB ရရွိပါတယ္။ အခုအသုံးျပဳထားတာေတာ့ Magnet Memory Forensic နဲ႕ Magnet IEF တုိ႔ ျဖစ္ပါတယ္။ ပုံေတြမွာ evidence ေတြကေတာ့ နမူနာပဲျပထားျခင္းျဖစ္ပါသည္။ ကုိယ့္ PC ကုိပဲစမ္းစပ္ထားျခင