What is Cyber Forensics ? Part 32 (RAID - FORENSICS) (Part 2 )

What is Cyber Forensics ? Part 32
(RAID - FORENSICS) (Part 2 )
Raid Forensics Part 2 မွာ ကြ်န္ေတာ္တုိ႕ Detail က်က်သြားၾကည့္ရေအာင္ပါ.. ဒါေၾကာင့္ Crime Case တစ္ခုျဖစ္တဲ့ ရုပ္ရွင္ကား Copy Right ခ်ဳိးေဖာက္မႈကုိ Example အေနနဲ႕ၿပၿပီး Forensics လုပ္သြားပါမယ္ .။
မွတ္ခ်က္။ ။ (CHFI နဲ႕ CCFP မွာပါတဲ့ example Case မ်ားကုိ ေပါင္းစပ္ၿပထားျခင္းျဖစ္ပါသည္။
Case Back Ground
===============
ရုပ္ရွင္ထုတ္လုပ္ေရး Company တစ္ခုမွာ ရုပ္ရွင္ကား တစ္ကားဟာ Editing လုပ္ေနတုန္ (RAW file အေနနဲ႕) ခုိးယူျခင္းခံရၿပီး You tube မွာ တင္လုိက္ပါတယ္။ Company ရဲ႕ physical Security ပုိင္း၊ CCTV Camera ပုိင္း ၀န္ထမ္းပုိင္း ကုိ တစ္ဖြဲ႕က စစ္ပါမယ္။ Digital Lab ကုိေရာက္လာတာကေတာ့ Ant PC Eciton SL950X (Work Station) ျဖစ္ပါတယ္။
သူ႕ရဲ႕ Specific ကေတာ့ -------
Window 10 64 bit
Processor Brand Intel
Processor Type Core i7 4.2 GHz
RAM Size 16 GB
Hard Drive Size 1 TB + 1 TB (Raid0)
Graphics Coprocessor Nvidia Geforce GTX 1070
Graphics Card Description Nvidia Geforce GTX 1070
========================================
Step 1 - Hypothesis အပုိင္းစ စဥ္းစားပါမယ္ .. Raid0 ျဖစ္တဲ့အတြက္ Striping စနစ္ကုိ အသုံးၿပဳထားတယ္ , HD က 2 လုံး .. ကူးယူခံရတာက video Raw file (4K) . 100 GB နီးပါရွိတယ္။ အဲအတြက္ ကူးယူတဲ့သူက USB ထက္ External Hard Disk ကုိအသုံးၿပဳဖုိ႕မ်ားပါမယ္။ အသုံးၿပဳထားတာက Raid0 စနစ္ျဖစ္တဲံအျပင္ raid0 ေပၚမွာပဲ window တင္ထားတယ္။ (Network ခ်ိတ္ဆက္ထားရင္ တစ္မ်ဳိးထက္ စဥ္းစားရပါမယ္)
ဒါဆုိရင္ အေရွ႕က အပုိင္းေတြမွာ ေဖာ္ၿပခဲ့တဲ့ Window Registry သေဘာအရ window ရဲ႕ Information ေတြက က်န္ခဲ့ပါမယ္။ user log on time ေတြနဲ႕ တစ္ျခား အခ်က္အလက္ေတြ ....Hard disk သေဘာသဘာ၀ေတြ
Master file table , သေဘာေတြ ...
Ok ဒါဆုိရင္ အဲအခ်က္အလက္ေတြကုိ တစ္စစီ ဆြဲထုတ္ပါမယ္...
======================
Step 2 - စစ္ေဆးဖုိ႕ Clone လုပ္တဲ့အပုိင္းနဲ႕ စစ္္ေဆးမယ့္လုပ္ငန္းစဥ္ အပုိင္း ဆက္သြားပါမယ္...
Hard disk ေတြက physical အရ logical အရ ပ်က္စီးမႈရွိမရွိ စစ္ေဆးပါမယ္ ... ပ်က္စီးရင္ raid Recovery process လုိပါမယ္။ ပ်က္စီးတဲ့ အပုိင္းက
ေနာက္ ထပ္အပုိင္းနဲ့ လာပါမယ္။ လုိအပ္ရင္ Block Level , Parity Level အလုိက္ recovery ေတြလုိပါမယ္။ အခုအေျခအေနမွာေတာ့ ပ်က္စီးျခင္းမရွိပါဘူး။
raid0 (striping) သုံးထားတဲ့အတြက္ hd 2 ခုစလုံးကုိ clone ယူရမွာျဖစ္ပါတယ္။ ကဲဒါဆုိရင္ Encase ရွိတယ္ဆုိရင္ တစ္ျခားနည္းနဲ႕ Boot တက္ၿပီး raid volume ကုိ Clone ယူရင္ရမယ္။ ဒါမွ မဟုတ္ boot တက္ၿပီး မယူပဲ HD တစ္ခုစီ ကုိ Clone ယူ.. ၿပီးရင္ raid reconstructor နဲ႔ Virtual array ေဆာက္။
အေျခအေနအရ  ဒုတိယနည္းကုိပဲ ေရြးလုိက္ပါတယ္။
Forensics Work Station ရဲ႕ PCI slot မွာ Raid Recovery / raid connector တပ္ၿပီး HD 2 ခုလုံးကုိ တစ္ၿပဳိင္တည္း Clone ယူပါမယ္။
Hash ယူပါမယ္။ (Problem အနည္းနည္း တက္တတ္ပါသည္ ဒီေနရာမွာ) (တစ္ခုစီ ယူလုိ႕လဲရပါသည္)
ရၿပီးတာနဲ႔ ... Forensics Kit ဒါမွ မဟုတ္ တစ္ခုခုမွာ HD image 2 ခုကုိ
raid reconstructor အသုံးၿပၿပီး Virtual Array တစ္ခု တစ္ေဆာက္ပါမယ္။
window Forensics အပုိင္းနဲ႕ HD Forensics Concept အပုိင္းကုိ တြဲလုပ္သင့္ရင္ တြဲလုပ္ရပါမယ္။ ဘယ္ေနရာေနစၿပီး စစ္ေဆးမလဲ ဆုိတာ စစဥ္းစားရပါမယ္။ Window ကေန ဘာ အခ်က္အလက္ေတြ ရႏုိင္လဲဆုိတာ အရင္ post ေတြမွာ ၿပထားၿပီးပါၿပီး ..... 
က်န္တဲ့ တစ္ဖြဲ႕ စစ္ေနစဥ္မွာ ရလာတဲ့ အခ်က္အလက္နဲ့ digital forensics က ရလာတဲ့ အခ်က္အလက္ေပါင္းလုိက္ရင္ အဆင္ေၿပမွာပါ...။
မွတ္ခ်က္။ ။ (CHFI နဲ႕ CCFP မွပါေသာ example Case ကုိ ေပါင္းစပ္ၿပထားျခင္းျဖစ္ပါသည္။ Real Word Crime Case မဟုတ္ပါ။

Comments

Popular posts from this blog

TikTok (tiktok.com) Imvestigation #OSINT