Timestamp Forensics (FAT32 & EXT4) Part 3
File System တစ္ခုမွာ Categories 5 ခု ရွိတယ္လုိ႕သတ္မွတ္ႏုိင္ပါတယ္။ Digital Forensics လုပ္တဲ့ေနရာမွာေရာ သက္ေသခံတင္ျပတဲ့ေနရာမွာေရာ ယခုေဖာ္ျပထားတဲ့ Categories 5ခုစလုံးက အက်ဳံး၀င္ပါတယ္။
File System (Eg.NTFS,FAT32,)
File Content (Eg.docx .txt,.html)
Metadata (Eg. file location, Time Stamp )
File Name (Name of file)
Application (Eg. File Open Application , MS Word, WordPad and Notepad)
File Content (Eg.docx .txt,.html)
Metadata (Eg. file location, Time Stamp )
File Name (Name of file)
Application (Eg. File Open Application , MS Word, WordPad and Notepad)
NTFS မွာ docx file တစ္ခုကုိ ျပဳလုပ္ၿပီး Copy,Cut လုပ္ကာ မတူတဲ့ Location ေတြမွာ ထားၾကည့္တာပါ။ Create Date (ctime) ကေျပာင္းလဲမႈမရွိတာကုိေတြ႕ရမွာျဖစ္ပါတယ္။
ေနာက္ထပ္ FAT32 (USB) ထဲကုိေျပာင္းလဲၾကည့္တဲ့အခါမွာလဲ (ctime) ကေျပာင္းလဲမႈမရွိ တာကုိေတြ႕ရမွာျဖစ္ပါတယ္။FAT32 မွာ Last Accessed Date time ကုိမွတ္သား ထားျခင္း မရွိပါ။ Create Date & Times, Modify Date & Times ကုိသာမွတ္သားထားပါတယ္။
FAT32 (USB)ထဲမွာ docx file တစ္ခုကုိျပဳလုပ္ၿပီး NTFS ထဲကုိ ေျပာင္းထည့္တဲ့အခါမွာလဲ(ctime) ေျပာင္းလဲမႈမရွိတာကုိေတြ႕ရမွာျဖစ္ပါတယ္။
NTFS ထဲမွာပဲ ခုနက paste လုပ္ထားတဲ့ File ကုိ File Name ေျပာင္းၿပီး အထဲက စာေတြ Edit လုပ္တဲ့ အခါမွာလဲ (ctime) ေျပာင္းလဲမႈမရွိတာကို ေတြ႕ရမွာျဖစ္ပါတယ္။
ေနာက္ထပ္ EXT4 (Kali) ထဲကုိ ခုနက docx file ကုိေျပာင္းထည့္လုိက္ပါတယ္။ Open,Edit မလုပ္ပါဘူး။ အဲဒီအခါမွာ Modified Date ကေျပာင္းလဲသြားၿပီး Accessed Date မွာ ေျပာင္း လုိက္တဲ့ အခ်ိန္ကုိေဖာ္ျပေနတာေတြ႕ရမွာျဖစ္ပါတယ္။
EXT4 ထဲမွာ ခုနကေျပာင္းထည့္လုိက္တဲ့ docx file ကုိ Edit ,File Name ေျပာင္းလုိက္တဲ့အခါမွာ Accessed Date နဲ႕ Modified Date ဟာ EXT4 (Kali) မွာရွိတဲ့ Time Zone အတုိင္းေျပာင္းလဲ သြားတာကုိ ျမင္ရမွာျဖစ္ပါတယ္။
Unix(Linux) System မွာအမ်ားဆုံးအသုံးျပဳေနတဲ့ အေစာပုိင္း EXT4 System မွာေတာ့
Access Time ( atime)
Change Time (ctime)
Modify Time ( mtime) ကုိမွတ္သားထားပါတယ္။
Change Time (ctime)
Modify Time ( mtime) ကုိမွတ္သားထားပါတယ္။
File Creation Time ကုိမွတ္သား ထားျခင္းမရွိပါဘူး။ Access Time (ctime) နဲ႕ Modify Time (mtime) တို႕က ထပ္တူညီေနရင္ File Creation Time အျဖစ္သာမွတ္ယူႏုိင္ပါတယ္။File တစ္ခုကုိ create လုပ္လုိက္တာနဲ႕ atime, time , mtime ေတြက Current Time အေနျဖင့္သာၿပသပါတယ္။ ေနာက္ပုိင္း EXT4 System မွာေတာ့ Create Time (Birth Time) ကုိပါျပသပါတယ္။
Access Time (ctime) ဆုိတာကေတာ့ Unix(Linux) တစ္ခုမွာ CLI Or GUI ကေန File တစ္ခုကုိ (read) လုပ္တဲ့ ေနာက္ဆုံးအခ်ိန္ကုိေဖာ္ျပတာျဖစ္ပါတယ္။ ေနရာတစ္ခုကုိ ေျပာင္းလုိက္တဲ့အခ်ိန္ကုိလဲ Access Time (ctime) နဲ႕ျပပါတယ္။ ေျပာင္းလဲမႈကုိ Current Time နဲ႕ျပသပါ တယ္။
Change Time – (ctime) ကုိေတာ့ file တစ္ခုကုိ Ownership , Access Permissions စတာေတြခ်ိန္းလုိက္တဲ့ အခ်ိန္မွာ ျပသပါတယ္။
Modify Time – ( mtime) ကုိ File တစ္ခုရဲ႕ Content ကုိခ်ိန္တာကုိျပသပါတယ္။(eg. edit and Save)
kali (vmware) က result ကုိျပသထားပါတယ္။
kali (vmware) က result ကုိျပသထားပါတယ္။
Comments