Digital Forensics Lab Guidelines Part (7)
Acquisition (Data Acquisition )(Forensically Sound) (Bits By Bits Copy) (Forensics Image)
Forensics Image ကိုဘယ်အချိန်မှာပြုလုပ်လဲဆိုရင် Lab ရဲ့ Reception, Registration/label အခန်းကနေမှတ်ပုံတင်ပြီးတာနဲ့ Case အခြေအနေအရ Image လုပ်တဲ့ အခန်းမှာသီးသန့်ပြုလုပ်တာဖြစ်ပါတယ်။ Evidence Store Room ထဲမှာ သိမ်းထားပြီးနောက်ပိုင်း စစ်ဆေးမှုပြုလုပ်ရမဲ့အခါမှာလဲ Image လုပ်တဲ့ အခန်းမှာပြုလုပ်ရမှာဖြစ်ပါတယ်။ Forensics Image လုပ်တဲ့ Storage Media ကိုမပြုလုပ်ခင်မှာ Lab မှာအသုံးပြုတဲ့ Wipe လုပ်တဲ့ Hardware ထဲမှာထည့်သွင်းပြီး Wipe ပြုလုပ်ထားရမှာဖြစ်ပါတယ်။ (အရင်ကအချက်အလက်တွေကို မပါလာစေချင်တဲ့အတွက်ဖြစ်ပါတယ်။
Acquisition ဆိုတာက စစ်ဆေးရမယ့် Digital Device (Hard disk, SSD, Memory Card, Flash Drive,Etc..) တို့ထဲမှာရှိတဲ့ အချက်အလက်တွေကို မူရင်းအတိုင်း ပြောင်းလဲပြင်ဆင်ခြင်းမပြုပဲကူးခြင်းဖြစ်ပါတယ်။ Analysis လုပ်တဲ့အခါမှာ မူရင်းသက်သေခံပစ္စည်းကိုစစ်ဆေးခြင်းမပြုပဲ သက်သေအဖြစ် သာသိမ်းဆည်းထားပါတယ်။ မူရင်းပစ္စည်းကနေကူးယူထားတဲ့ Forensics Image ကိုပဲစစ်ဆေးရတာဖြစ်ပါတယ်။ Forensics Image ပြုလုပ်ပြီးတဲ့အခါ မူရင်းသက်သေခံပစ္စည်းမှ Hash Value နဲ့ Forensics Image က Hash Value ကို မဖြစ်မနေ Record လုပ်ထားပါတယ်။(မူရင်းနဲ့ Forensics Image က အတူတူပဲဖြစ်ကြောင်း ပြနိုင်ဖို့အတွက်ဖြစ်ပါတယ်။) မူရင်းနဲ့ Forensics Image က Hash Value က တန်ဖိုးအတူတူပဲဖြစ်ရပါမယ်။ အသုံးပြုတဲ့ Hash Value ကတော့ MD5,SHA256, Etc ..။ အသုံးပြုတဲ့ Forensics Software/Hardware မှာ Hash ကို Generate လုပ်ဖို့ပါထားပြီးဖြစ်ပါတယ်။ စစ်ဆေးဖို့အတွက်ပြုလုပ်ထားတဲ့ Forensics Image က မူရင်းသက်သေခံပစ္စည်းထဲမှာ သိမ်းထားခြင်းမပြုရပါဘူး။ သီးသန့် Storage Device ပေါ်မှာပြုလုပ်ရခြင်းဖြစ်ပါတယ်။ Forensics Image ပြုလုပ်ထားတဲ့ Storage Device ကိုလဲ မူရင်းပစ္စည်းနဲ့ကွဲပြားအောင် Label သတ်မှတ်ပေးထားရပါမယ်။ Forensics Image လုပ်တဲ့ Process ကိုလဲ Case Management ထဲမှာ ထည့်သွင်းမှတ်တမ်းတင်ရမှာဖြစ်ပါတယ်။ Forensics Image ပြုလုပ်တဲ့ ရက်စွဲအချိန်၊ပြုလုပ်တဲ့သူ၊အသုံးပြုတဲ့ နည်းလမ်း၊ မူရင်းနဲ့ Forensics Image မှ Hash Value တူညီမှု၊ အသုံးပြုတဲ့ Hash Value MD5 Or SHA။
Acquisition ပြုလုပ်တဲ့အခါမှာ Case ပေါ်မူတည်ပြီး နှစ်မျိုးပြုလုပ်ပါတယ်။ Physical data acquisition နဲ့ logical data acquisition တို့ဖြစ်ပါတယ်။ ဒါပေမဲ့ တော်တော်များများကတော့ Physical data acquisition (The Whole Disk) ပဲပြုလုပ်တာများပါတယ်။ တစ်ကယ်လို့ System က Power On နေမယ်ဆိုရင် Live Acquisition ပါပြုလုပ်ပါတယ်။ Acquisition လုပ်မယ်ဆိုရင် မူရင်းပစ္စည်းနဲ့ တစ်ဆင်ပြန်ကူးယူမဲ့ Device ကြားမှာ write blocker ထားရှိပါတယ်။ မူရင်းပစ္စည်းမှာရော Forensics Image မှာပါ Only Readable ပဲဖြစ်အောင်ဖြစ်ပါတယ်။ Acquisition လုပ်တဲ့အခါမှာ အချက်အလက်တွေကိုပြင်ဆင်ပြီး ကူးယူတာမဟုတ်ကြောင်း Negative Question မမေးနိုင်အောင်ဖြစ်ပါတယ်။ Forensics Image လုပ်တဲ့ Tools တိုင်းမှာ Write Blocker ပါဝင်တာများပါတယ်။ Imaging Tools တွေဝယ်ယူမယ်ဆိုရင် Trasnfer Speed များတဲ့ဟာကိုအပဲ အဓီကထားပြီးဝယ်ယူကြပါတယ်။ Forensics Image File Type တွေကတော့ အသုံးပြုတဲ့ နည်းလမ်းနှင့် Case အပေါ်မူတည်ပြီး အမျိုးမျိုးရှိပါတယ်။
Acquisition On Computer
Identify Storage Media
Computer ရဲ့ Storage ပမာဏကိုစစ်ဆေးပြီး Forensics Image ပြုလုပ်ဖို့အတွက် Second Storage ကိုရွေးချယ်ပါတယ်။ Size ပမာဏ အရမ်းများနေရင် NAS Or Server ပေါ်ကိုဆွဲတင်ပါတယ်။
Imaging the Evidence နှင့် Verify Original Evidence and Image File
မူရင်းသက်သေခံပစ္စည်းကို Write Blocker နဲ့ချိတ်ဆက်ပြီး Hash Value ထုတ်ပါတယ်။ Evidence ကို Bits By Bits Copy ကူးယူပြီးတာနဲ့ Second Image ရဲ့ Hash Value ထုတ်ပါတယ်။ Hash Value 2 ခုလုံးတူညီရမှာဖြစ်ပါတယ်။
Document The All Action
Image လုပ်တဲ့ Process တိုင်းကို Case Management ထဲမှာ ဒါမှဟုတ် Document ပြုလုပ်ပါတယ်။
Data Extraction Mobile Devices
Identify the Exhibit and Storage Media
မစစ်ဆေးခင်မှာ Mobile Phone ရဲ့ Model, Mobile Equipment Identity Number (IMEI), a Mobile Equipment Identifier (MEID) or Serial Number တွေကို Label ပြုလုပ်ရပါတယ်။ Case အရ Cell Site Analysis ပြုလုပ်ဖို့လိုအပ်လာရင် လွယ်ကူအောင်ဖြစ်ပါတယ်။ ဖုန်းမှာပါလာတဲ့ SIM card Memory Card တွေကိုတော့ သီးသန့် Forensics Image ပြုလုပ်ပါတယ်။ နောက်ပြီးရင် Mobile Phone ရဲ့ Internal Storage ပမာဏကို စစ်ဆေးပါတယ်။
Disconnect From Any Network
ပြင်ပ Signal နှောက်ယှက်မှုမရှိတဲ့အခန်းထဲမှာပြုလုပ်ရတာဖြစ်ပါတယ်။ Jamming System မရှိရင်လဲ Airplane mode ပြုလုပ်ပြီး Wireless , Bluetooth, NFC ကိုပိတ်ထားရင် အဆင်ပြေပါတယ်။
Extract Data
Case အနေအထားအရ Mobile phone ထဲကနေ အချက်အလက်များကိုရယူတာဖြစ်ပါတယ်။ ဖုန်းအမျိုးအစားအလိုက် Operation System အလိုက်မျိုးစုံကွဲပြားပါတယ်။ အသုံးပြုရတဲ့နည်းလမ်းလဲ အမျိုးမျိုးရှိပါတယ်။
Verify The Evidence and Extract Data
Mobile phone ကနေရယူထားတဲ့ အချက်အလက်ဟာ မူရင်းအချက်အလက်နဲ့တူညီမှုရှိ၊မရှိ စစ်ဆေးခြင်းဖြစ်ပါတယ်။ (write Protect ပြုလုပ်တာက Mobile Phone Forensics မှာမပါဝင်ပါဘူး)
Document The All Action
ပြုလုပ်တဲ့ Process တိုင်းကို Case Management ထဲမှာ ဒါမှဟုတ် Document ပြုလုပ်ခြင်းဖြစ်ပါတယ်။
ပြုလုပ်တဲ့ Process တိုင်းကို Case Management ထဲမှာ ဒါမှဟုတ် Document ပြုလုပ်ခြင်းဖြစ်ပါတယ်။
Comments