Digital Forensics Myanmar

What Is Digital Forensics ? Part (43) Vmware Forensics လက္ရွိသုံးေနတဲ့ Operation System ေပၚမွာပဲ အျခားေသာ Operation System ကုိ အေၾကာင္းရင္းတစ္ခုခုေၾကာင့္သုံးျခင္တယ္ဆုိရင္ Virtual System တစ္ခုကုိ အသုံးၿပဳၾကပါတယ္။ အသုံးမ်ားတဲ့ Virtual System ေတြကေတာ့ Virtual Box VMware Window Virtual PC Hyper -V Oracle VM Parallels Docker တုိ႕့ျဖစ္ပါတယ္။ ဒီထဲကမွာမွ Vmware Forensic အေၾကာင္းကုိ ေရးသားသြားပါမယ္။ ဘာလုိ႕လဲဆုိရင္ VMware forensics အေၾကာင္းသိရင္ Esxi, Vspher ,Vcenter Forensics အေၾကာင္းကုိပါ ဆက္စပ္ေလ့လာႏုိင္ေအာင္လုိ႕ပါ။ Esxi, Vspher ,Vcenter Forensics အေၾကာင္းကေတာ့ ေတာ္ေတာ္ေလး ေရးယူရမဲ့ အၿပင္ လက္ေတြ႕ၿပႏုိင္မွ ပုိအဆင္ေၿပမွာမုိ႕လုိ႕ပါ။ Vmware မွာပါတဲ့ file system ေတြကေတာ့ vmem – Virtual machine memory file vmdk – Virtual machine storage disk file vmss – Virtual machine information file log – Virtual machine log file nvram – Keeps VM’s BIOS information vmsn – Virtual machine snapshot file vmxf – Additional configuration file. .Vmdk .Vmdk ကေတာ့ VMware Forensics မွာ အေရးၾကီးတဲ့ အပုိင္းမွာ ပါ၀င္ပါတယ္။

Raspberry Pi ဆုိတာ ဘယ္လုိမ်ဳိးလဲ ဘာလုပ္လုိ႕ရလဲ ဆုိတာ IT EC ပုိင္းကလူေတြ သိၿပီးသားပါ။ ARM-Based RISC OS Plan 9 FreeBSD Chromium OS Windows 10 IoT AmigaOS IchigoJam BASIC Kali * စတဲ့ OS ေတြ တင္ႏုိင္ပါတယ္။ အခုဆုိရင္ Raspberry Pi 3 Model B အထိေရာက္လာပါၿပီး အရင္ Model ေတြမွာ မပါတဲ႔ WiFI Blue tooth စနစ္ေတြပါ၀င္လာပါတယ္။ ပုိျပီး portable   ျဖစ္လာပါတယ္​.​​​​အဲ့ေတာ့ Pentest အတြက္လဲ အသုံး ခ်ႏုိင္သလုိ Remote အေနအထားနဲ႔ေရာ , WiFI Base အေနအထားနဲ႕လဲ အသုံးခ်လာႏုိင္ပါတယ္။ အခုအခ်ိန္မွာ ျဖစ္မလာေပမဲ့ ေနာင္တစ္ခ်ိန္မွာ ျဖစ္လာႏုိင္ေခ်ေတြ   အတြက္ပါ။ Raspberry Pi မွာ OS loading အတြက္ေရာ Storage အတြက္ေရာ USB, SD card Class 10 ကုိေတာ္ေတ္ာမ်ားမ်ားအသုံးၿပဳၾကပါတယ္။   အခ်ဳိ႕ ေသာ Raspberry Pi ေတြမွာ​ေတာ့ memory အတြက္ Chip ကုိအသုံးၿပဳပါတယ္။ OS ေတာ္ေတာ္မ်ားမ်ားကေတာ့ linux Base ျဖစ္တဲ့ အတြက္ File System ကေတာ့ Ext4 ျဖစ္ပါတယ္။ How To Forensics ဘယ္အခ်ိန္ ​​ဘယ္ေနရာမွာ ဘယ္လုိအေနအထားနဲ႕ အသုံးခ်တာလဲ   (When where and How)   ဘာေတြနဲ႕ခ်ိတ္ဆက္ထားလဲ   ( How to Connect With )   ခ်ိတ္​ဆက္​ထားတဲ့အတြက္​ ျဖစ

First Responder အပုိင္း Chain of Custody အပုိင္းေတြက ေဖာ္ၿပၿပီးျဖစ္လုိ႕ သီးသန္႕မေဖာ္ၿပေတာ့ပါဘူး။ Lab ကုိေရာက္လာတဲ့ အခ်ိန္မွာ CCTV Record ဟာ DVR သုိ႕မဟုတ္ DVD ,Stick အစရွိသည္ျဖင့္ ပုံစံမ်ဳိးစုံနဲ႕ေရာက္ရွိလာႏုိင္ပါတယ္။ အေကာင္းဆုံးကေတာ့ DVR ဒါမွမဟုတ္ မူရင္း Storage media ကေတာ့ အေကာင္းဆုံးပါ။ တစ္ဆင့္ခံအေနအထားနဲ႕ ေရာက္ရွိလာရင္ Resolution အေနအထား Evidence ေကာက္ခ်က္ဆြဲမႈေတြမွာ ကန္႕သတ္ခ်က္ေတြရွိလာႏုိင္ပါတယ္။  DVR, NVR အတုိင္းေရာက္ရွိလာတာလား  (DVR အေျခအေန) (အမ်ဳိးအစား)  Storage ပဲေရာက္ရွိလာတာလား ( Storage Size)  Storage အတုိင္းဆုိရင္ DVR ရဲ႕ setting ကဘယ္လုိမ်ဳိးလဲ  (DVR ဒါမွမဟုတ္ Storage media fill ျဖစ္ရတဲ့ အေၾကာင္းအရင္းေတြလဲသိထားရပါမယ္)  အစရွိသည္ျဖင့္ စစ္ေဆးရပါမယ္ ... က်န္စစ္ေဆးရမဲ့ အပုိင္းေတြကေတာ့ စာရွည္ေနမွာမုိ႕ မေရးေတာ့ပါဘူး။ အခ်ဳိ႕ေသာ လူေတြကေတာ့ record မေပးခ်င္တဲ့ အတြက္ေရာ မေပၚခ်င္တာေရာနဲံ အမ်ဳိးမ်ုိး လိမ္လည္ႏုိင္ပါတယ္။ မည္သုိ႕ပင္ဆုိေစ နည္းပညာအရ စစ္ေဆးႏုိင္ေသာ နည္းလမ္း မ်ားစြာရွိပါတယ္။ :) Storage အပုိင္း Fill ဆုိရင္ေတာ့ မႈခင္းအလုိက္ Concept နဲ႔ အတူ Hard Disk Reco

CCTV and DVR Forensics မွာေတာ့ investigator က စိတ္ၾကဳိက္ေရြးခ်ယ္ႏုိင္တဲ့ အတုုိင္းအတာမရွိပါဘူး။ ဆုိလုိခ်င္တာက CCTV တပ္ဆင္ထားတဲ့သူေတြကလည္း ဘက္ဂ်က္အတုိင္းအတာနဲ႕ ေရြးခ်ယ္ၿပီးတပ္ဆင္တဲ့အၿပင္ CCTV ကုိတပ္ဆင္ေပးတဲ့သူေတြရဲ႕ Setting လုပ္သြားတဲ့အေပၚလဲမူတည္ပါတယ္ ဥပမာ Video File encoding , Hard Disk Wipe Time ။ေနာက္ၿပီး Cable ေတြအကြာအေ၀း Storage Error Power Source ေတြနဲ႕လဲ သတ္ဆုိင္ပါေသးတယ္။ ဥပမာ Suspect က ဒီလမ္းအတုိင္းသြားတယ္ ... အခုရေနတဲ့ Record က မၾကည္လင္ဘူး မၿပတ္သားဘူးဆုိရင္ ၾကည္လင္ၿပတ္သားေအာင္ တစ္ျခားနည္းလမ္းနဲ႕လုပ္ရင္လုပ္ မလုပ္ရင္ လမ္းတစ္ေလွ်ာက္မွ ရွိတဲ့ တစ္ျခား CCTV Record ကုိရယူရုံပဲရွိပါတယ္။ စစ္ေဆးမဲ့သူဟာ CCTV အေၿကာင္း အနည္းအငယ္ေတာ့ သိထားသင့္ပါတယ္။ လက္တစ္ေလာမွာ အသုံးမ်ားတဲ့ CCTV အမ်ဳိးအစားေတြကေတာ့ Dome Camera, Bullet Camera, C-mount Camera Day/Night Camera,PTZ Camera IP Camera , Portable CCTV Camera တုိ႕့ျဖစ္ၾကပါတယ္။ Camera နဲ႕ DVR ကုိ ခ်ိတ္ဆက္တဲ့ Cable Type Coaxial Cable,Siamese Cable (Include Power cable) Twisted-Pair Cable,Optical Fiber Video Power Cables