NTFS File System timestamp Forensics Part 2

NTFS Time Stamp Forensics အဆက္ပါ  w10 မွာ thirdeye အမည္နဲ႕word,pdf,image file 3 ခု create လုပ္ထားလုိက္ပါတယ္။ timezone က GMT6:30 အခ်ိန္နဲ႕ပါ။ file တစ္ခုခ်င္းစီရဲ႕ metadata timestamp ကုိ ပုံမွာၾကည့္ႏုိင္ပါတယ္။

အခုအခ်ိန္မွာ window 10 u thirdeye အမည္နဲ႕word,pdf,image file 3 ခုကုိ

Window 7 (GMT7) ထဲကုိ ေျပာင္းထည့္လိုက္ပါတယ္။ file တစ္ခုခ်င္းစီရဲ႕ metadata , timestamp မွာ ေအာက္ပါအတုိင္းေျပာင္းလဲသြားတာ ေတြ႕ႏုိင္ပါတယ္။

ဒါေၾကာင့္ TimeZone လြဲေနတဲ့ GMT 7 နဲ႕ window 7 ကုိ Time Zone ေျပာင္းၿပီးေလ့လာၾကည့္ပါမယ္။ အခုအေနအထားမွာ  window 7 က vmdk file type ျဖစ္ပါတယ္။ vmdk file type ျဖစ္လုိ႕ vmware ကုိ dick image (bit by bit) Copy ယူပါမယ္။ Logical Drive တစ္ခုလုံးအစား အခုအခ်ိန္မွာ vmdk တစ္ခုကုိပဲ image ယူထားပါတယ္။ မစစ္ေဆးခင္မွာ forensics လုပ္တဲ့ workstation timezone သုိ႕မဟုတ္ forensics tools ရဲ႕ timezone ကုိခ်ိန္းထားရပါမယ္။ Example Encase , autopsy, FTK

Thirdeye ဆုိတဲ့ World file က forensics workstation မွာေျပာင္းလဲသြားပုံပါ

Thirdeye.World file ရဲ႕ Metadata ေတြပါ

 Case Back Ground (example)

Company တစ္ခုမွ အႀကီးတန္း ၀န္ထမ္းတစ္ဦးက company ကေနအလုပ္ရပ္စဲျခင္းခံရပါတယ္။ အလုပ္ကမထြက္ခင္ company မွ အေရးႀကီး file တစ္ခုကုိ ရည္ရြယ္ခ်က္တစ္ခုနဲ႕ ယူေဆာင္သြားပါတယ္။ဆက္ၿပီး အျပင္မွာ ျပန္လည္ေရာင္းခ်ျခင္းၿပဳလုပ္ပါတယ္။ အရင္ကလုပ္ထားသမွ်ကုိ ကြန္ပ်ဴတာထဲမွာ မထားရွိရဘူးဆုိတဲ့ လက္မွတ္လဲေရးထုိးထားပါတယ္။

စစ္ေဆးတဲ့အခ်ိန္မွာ ကြန္ပ်ဴတာက clock ကုိ backdate ၿပဳလုပ္ထားပါတယ္။

Back Date  ျပဳလုပ္ထားပုံ

Methodology နဲ႕ Hypothesis အပုိင္းကပ်င္းစရာေကာင္းတဲ့အတြက္ခ်န္လွ်ပ္ထားခဲ့ပါတယ္။စစ္ေဆးတဲ့ခါ Internet  History ,User ,Create time, USB history, နဲ႕ System ကုိစစ္ေဆးတဲ့အခါမွာ window time ကုိ back သုိ႕ေျပာင္းထားေၾကာင္းသိသာစြာေတြ႕ရမွာျဖစ္ပါတယ္။

Internet  History

 User  Account 

Create time

USB Attachment