What is Cyber Forensics ? Part 30 (What Happen When The File is Deleted in Window ?)

What is Cyber Forensics ? Part 30

Window မွာ file နဲ႕ Folder ေတြကုိ ဖ်က္လုိက္တဲ့ အခါမွာ ဘာေတြျဖစ္သြားသလဲ ..... ?
===============================================
ကြန္ပ်ဴတာမွာ file နဲ႕ Folder ေတြကုိ ဖ်က္လုိက္တဲ့ အခါမွာ ဖုိင္ ေတြ ဖုိဒါေတြရွိတဲ့ Logical Drive ေနရာကေန ကြယ္ေပ်ာက္သြားတာ ေတြ႔ရပါမယ္။ 
ဒါေပမဲ့ 0 , 1 အျဖစ္နဲ႕ hard disk ရဲ့ Sector ေတြေပၚမွာ cluster အစုအေ၀းအေန နဲ႕ က်န္ရွိေနပါတယ္။

Delete

သာမန္ အေနနဲ႕ ရုိးရုိး Delete လုပ္လုိက္တဲ့ file , folder ေတြက recycle bin ထဲကုိ ေရာက္သြားပါမယ္ (file , folder ေတြက ျမင္ေနၾကေနရာမွာ မရွိေတာ့ပါဘူး) ( Recycle bin ထဲမွာ မွား ဖ်က္မိရင္ ၿပန္ၿပီး Restore လုပ္ႏုိင္တဲ့ အေနအထားပါ) ။
Recycle Bin ကုိ clean လုပ္လုိကတဲ့အခါမွာ Recycle Bin က clean ျဖစ္သြားပါမယ္။ဒါေပမဲ့့ data ေတြ တစ္ကယ္တန္းရွိေနတဲ့ Cluster ေပၚမွာေတာ့ ဆက္လက္ၿပီးတည္ရွိေနပါတယ္။

Shift+Delete

Shift+Delete ႏွိပ္ၿပီး ဖ်က္တာကေတာ့ Data ေတြက Recycle Bin ထဲကုိ ေရာက္မသြားပဲ ျမင္ကြင္းကေန ေပ်ာက္သြားမွာပါ။ ဒါေပမဲ့ Hard disk ရဲ့ Cluster ေပၚမွာ bit ေတြ အျဖစ္က်န္ေနခဲ့ပါတယ္။

=====================================
Window File System
=====================================

Microsoft က အရင္တုန္းက သုံးခဲ့တဲ့ File System က fat 16 fat 32 file System ျဖစ္ပါတတယ္။ window 2000 ကေနစၿပီး New Technology File System (NTFS) ကုိစၿပီးအသုံးၿပဳလာပါတယ္။ NTFS မွာ Data ေတြက Hard disk ရဲ့ ဘယ္ cluster မွာတည္ရွိေနတယ္ဆုိတာ ၿပဖုိ႕ file ၂ ဖုိင္ပါ၀င္ပါတယ္။

၁. Master File table (MFT) ) Or (Meta File Table)
၂. Cluster Bitmap.

၁. Master File table (MFT) ) Or (Meta File Table)

Master File table (MFT) ) Or (Meta File Table) ထဲမွာ File အားလုံးရဲ႕ File name ေတြ၊ file ရဲ႕ Create Date Modified Date ေတြ၊ Read Only လား Compressed လား Encrypted လုပ္ထားတဲ့ file ေတြလား ဆုိတဲ့ File ေတြရဲ႕ အေသးစိတ္ အခ်က္အလက္ေတြပါ၀င္ပါတယ္။

.၂. Cluster Bitmap.

Cluster Bitmap ကေတာ့ Hard disk မွာရွိတဲ့ Cluster ေတြရဲ႔ map ကုိ မွတ္သားထားပါတယ္။ data ေတြရဲ႕ bit ေတြ ဘယ္ Cluster မွာရွိေနတယ္။
ဘယ္ Cluster ကေတာ့ အားေနတယ္ မသုံးရေသးဘူး စတဲ့ အခ်က္အလက္ေတြ မွတ္သားထားပါတယ္။
==========================================
Window ကေန file တစ္ခုကုိ delete လုပ္လုိက္တဲ့ အခါမွာေတာ့
==========================================
ဖ်က္လုိက္တဲ့ file ရဲ႕ file name ကုိ Special Character အေနနဲ႕ MFT ထဲမွာေၿပာင္းလုိက္ၿပီး Processor ကုိ file ဖ်က္လုိက္ၿပီး ျဖစ္ေၾကာင္း အသိေပးလုိက္ပါတယ္။ index field ကုိ NTFS မွာေၿပာင္းလဲၿပီး Fat မွာေတာ့ file name ရဲ႕ first letter ကုိ ေၿပာင္းလဲပါတယ္။

ဖ်က္လုိက္တဲ့အခါမွာ ခုနက file သိမ္းထားတဲ့ Cluster ေနရာေတြက လြတ္သြားပါတယ္။ အဲအခ်ိန္မွာ Cluster Bitmap ကေန cluster ဘယ္ေလာက္ေနရာ လြတ္သြားၿပီးဆုိတာ မွတ္သားထားလုိက္ပါတယ္။ ေနာက္ထပ္ file အသစ္သိမ္းဆည္းႏုိင္ရန္အတြက္ပါ။ cluster ေပၚမွာ bad sector ေတြျဖစ္ေနတဲ့အခါ
 reversed Sector ေတြနဲ႕ အစားထုိးတဲ့ လုပ္ငန္းစဥ္ကုိ ဒီအခ်ိန္မွာ လုပ္သြားပါတယ္။

===============
ဖ်ုက္လုိက္တဲ့ file ကေနယူထားတဲ့ cluster size ကၾကီးေနၿပီး ၊ ေနာက္ အဲေနရာကုိ အသစ္ထပ္ save မယ့္ file size ရဲ႕ Cluster Size ကငယ္ေနရင္ fragment (Slack Space) ေတြျဖစ္ေနၿပီး Recovery လုပ္ရတာ လြယ္ကူပါတယ္။

#Computerforensics #Masterfiletable #MFT