What is Cyber Forensics Part (22) Evidence Device Cloning and Hashing

What is Cyber Forensics Part (22)
Evidence Device Cloning and Hashing
Investigation လုပ္ရာမွာ မူရင္းသက္ေသခံပစၥည္း (Computer,Laptop, HD, Stick, CD/DVD, Phone) ကုိ စစ္ေဆးျခင္းမျပဳသင့္ပါ။ မူရင္း Device ကုိ Clone ပြားၿပီး စစ္ေဆးရမွာျဖစ္ပါတယ္။ ရလာတဲ့ Clone ကလဲ မူရင္းနဲ့ Hash Value တူရမွာျဖစ္ပါတယ္။ အခု Post မွာေတာ့ Device တင္မက မူရင္း Device ထဲမွာပါတဲ့ file ေတြကုိပါ hash Value ထုတ္ျပထားပါတယ္.
Clone လုပ္တဲ့ေနရာမွာ အသုံးျပဳထားတာကေတာ့ Access Data FTK manager ျဖစ္ပါတယ္။ အျခား Clone နဲ႕ Hash Value လုပ္ႏုိင္တဲ့ tools ေတြရွိေပမဲ့ ႏုိင္ငံတကာက Law Enforcement အဖြဲ႕ေတြအသုံမ်ားတဲ့ Access Data FTK manager ကုိသုံးရျခင္းကေတာ့ တရားရုံးမွာ သက္ေ သခံတဲ့အခါ ပုိၿပီး Save ျဖစ္ေအာင္ပါ။
ပုံ (၁) ကေတာ့ သက္ေသခံ မူရင္း Memory Stick Device ရဲ့ Hash value ကုိ ယူမွာျဖစ္ပါတယ္။ (Stick က ကြ်န္ေတာ္ Stick ပါ  ) FTK က MD5 and SHA1 ကုိထုတ္ေပးမွာပါ။
ပုံ(၂) မၾကာခင္ သက္ေသခံ မူရင္း Memory Stick Device ရဲ့ Hash valueရလာပါတယ္။ ပုံ (၇) မွာ မူရင္းနဲ႕ Clone တုိ႕ရဲ့ Hash Value ကုိျပထားပါတယ္။
ပုံ (၃) သက္ေသခံ မူရင္း Memory Stick Device ကုိ Raw image အေနနဲ့ စစ္ေဆးရန္ Clone ယူမွာပါ
ပုံ (၄) မႈခင္းဆုိင္ရာ အခ်က္အလက္ထည့္သြင္းပါမယ္။
ပုံ (၅) Clone ကိုိ သိမ္းထားမယ့္ေနရာပါ။ အျခားသူမွားမဖြင့္ႏုိင္ေအာင္ Password ပါေပးထားပါမယ္။
ပုံ (၆) Password ရုိက္ပါ. ဒါမွ သက္ဆုိင္ရာ CA ထည့္ပါ။ Clone ရုိက္တာကေတာ့ Device ရဲ့ အရြယ္အစားေပၚမူတည္ၿပီး အခ်ိန္ယူရပါမယ္။
ပုံ (၇) မူရင္း Device နဲ့ Clone Device တုိ႕ရဲ့ Hash value တူရပါမယ္။
ပုံ (၈) မူရင္း Device ထဲမွာပါတဲ့ file ေတြကုိပါ hash Value ကုိပါယူထားတာပါ
(ပုံနဲ႕ စာကြဲလြဲမႈ လုိအပ္မႈ ရွိရင္ ကြ်န္ေတာ့္အမွားပါ)
ေနာက္ထပ္ေရးမဲ့ အပုိင္း ၂၃ ကေတာ့ ရလာတဲ့ Clone ကုိ စစ္ေဆးတဲ့ အပုိင္းပါ
#CyberCrime
Reference CCFP, CHFI , CEH

Comments

Popular posts from this blog

TikTok (tiktok.com) Imvestigation #OSINT

Google Reverse Location Search Warrants (GEOFENCE SEARCH WARRANT) And Transparency Report

Astra Linux Special Edition Review