B-Trees (NTFS)

NTFS File System timestamp Forensics
Part 1

NTFS file system ထဲမွာ Master File Table (MFT)ပါ၀င္ပါတယ္။ HardDisk အေၾကာင္းေရးသားတုန္းက MFT ထဲမွာ Hard Disk ရဲ႕ ဘယ္ Cluster ဘယ္ေလာက္မွာေတာ့ file ,folder နဲ႔ပတ္သတ္တဲ့ အခ်က္အလက္ေတြ ကုိ သိမ္းထားပါတယ္ဆုိၿပီး ေဖာ္ၿပခဲ့ပါတယ္။MFT မွာ ေနာက္ထပ္သိမ္းထားတာကေတာ့ MFT ရဲ႕ $STANDARD_INFO ထဲမွာ

Modified Time (M-time)
Accessed Time (A-time)
Created Time (C-time)
Changed ($MFT မွာ Modifiedလုပ္တဲ့အခ်ိန္ )
(သာမန္အေနအထားျဖင့္ User မျမင္ႏုိင္)

ဆုိၿပီး 4 ခုရွိပါတယ္။ အေပၚ 3 ခုျဖစ္တဲ့ Modified Time (M-time) Accessed Time (A-time) Created Time (C-time) ကေတာ့ user ကၾကည့္လုိ႕ရပါတယ္။ Changed ($MFT Modified) ကုိေတာ့ Forensics tools ေတြ MFT viewer tools ေတြနဲ႕ၾကည့္လုိ့ရပါတယ္။ example autopsy,Encase,FTK,

$FILE_NAME မွာေတာ့ file, folder ေတြရဲဲအမည္ကုိ မွတ္သားထားပါတယ္။

ဒါဆုိရင္ file တစ္ခု folder တစ္ခုကုိၾကည့္တာနဲ ဘယ္အခ်ိန္မွာ Create လုပ္တယ္ဘယ္အခ်ိန္မွာ modified (edit) လုပ္တယ္ ဘယ္အခ်ိန္မွာ access လုပ္တယ္ဆုိတဲ့ MAC time ကုိသိႏုိင္ပါတယ္။ Antiforensics အေနနဲ႕ time stamp ကုိၿပင္ ႏုိင္ပါတယ္။ file folder ေတြကုိ တစ္ခုခ်င္းစီအလုိက္ ၿပင္သလုိ file folder အားလုံကုိ random ခ်ၿပီး timeေတြအကုန္ေၿပာင္း လုိက္တာလဲျဖစ္ႏုိင္ ပါတယ္။ Example timestomp

timestamp ကုိစစ္ေဆးတဲ့အခါ သာမန္စစ္ေဆးတဲ့အေနအထားမွာေရာ timestamp (antiforensics) ျဖစ္တဲ့အခါမွာေရာ စဥ္းစားရမည့္အခ်က္ေတြကေတာ့
W5 ေမးခြန္းပဲျဖစ္ပါတယ္။
what ? File ကဘာအမ်ဳိးအစားလဲ
Where? File က ဘယ္ေနရာမွာရွိတာလဲ
Why ? file ကဘာလုိ႕ ဒီေနရာမွာရွိေနရတာလဲ
How ? ဘယ္လုိေရာက္လာတာလဲ
Who? ဘယ္သူက လာထားတာလဲ

text file ကုိစမ္းသပ္ထားရာမွာေတာ့
win 10 မွာ hello.txt ကုိ time zone မတူတဲ့ ကြန္ပ်ဴတာ w7 မွာေၿပာင္းလုိက္တဲ့ အေနအထားကေတာ့ေျပာင္လဲမႈရွိတာကုိေတြ႕ရမွာျဖစ္ပါတယ္။

MCAB  time 

window 10 တြင္ txt file create  လုပ္ထားျခင္း

W10 မွ window 7သုိ႕ txt file ေၿပာင္းထားလုိက္ေသာအခါ