Digital Forensics Lab Guidelines Part (8)


Examination နဲ့Analysis အကြောင်းက အရင်ကရေးထားတာတွေထဲမှာစစ်ဆေးပုံစစ်ဆေးနည်းရော တွေးပုံတွေးနည်းတွေကိုရေးထားပါတယ်။ထက်မရေးတော့ပဲ အရေးကြီးတဲ့ အပိုင်းတွေသာ ဖော်ပြသွားပါမယ်။ အရေးကြီးတာက စစ်ဆေးတဲ့အခါ Forensics Image နဲ့ပဲစစ်ဆေးရမှာဖြစ်ပါတယ်။ မူရင်း Evidence ကို မပျက်စီးစေလိုတဲ့အတွက်ရော၊ စစ်ဆေးစဉ်အမှားဖြစ်သွားခဲ့ရင် မူရင်း Evidence ပျောက်ကွယ်သွားမှာစိုးတဲ့အတွက်ဖြစ်ပါတယ်။ နောက်တစ်ခုက Mobile Forensics မှာ Data Extract လုပ်တဲ့အခါ Write Protect သုံးလို့မရပါဘူး။ Boot loader ကနေ Mobile phone ရဲ့ Internal Memory ကိုဆွဲယူလို့မရတဲ့အတွက်ကြောင့်ဖြစ်ပါတယ်။ အဲဒီအစား စစ်ဆေးသူရဲ့ Detail Process ကို Case Management ဒါမှမဟုတ် Document မှာမှတ်တမ်းတင်ရမှာဖြစ်ပါတယ်။
Triage Method ကိုတော့ Lab မှာလဲအသုံးပြုပါတယ်။ အရေးကြီးရုဲသာမက အလျှင်အမြန်စေဆေးပေးရမယ့် Case တွေမှာဖြစ်ပါတယ်။ ဥပမာ (အကြမ်းဖက်မှု)။ တိုးတက်နေတဲ့နိုင်ငံတော်တော်များများကတော့ Case ဖြစ်တဲ့နေရာမှာတင်ပဲ Expert First Responder Team အဖွဲနဲ့ Result ရယူပါတယ်။ Triage Method ကို ဘယ်အချိန်မှာအသုံးပြုလဲဆိုတော့ စစ်ဆေးရမဲ့ Device တွေအများကြီးရှိတဲ့အချိန်၊ အဖြေကိုချက်ခြင်းထုတ်ပေးရမယ့်အချိန်၊Evidence Device ကို အချိန်အကြာကြီး ထိမ်းသိန်းထားလို့မရနိုင်တဲ့အခြေအနေတွေမှာ အသုံးပြုပါတယ်။ အထက်ပါအခြေအနေတွေကြောင့် Triage Method အသုံးပြုမယ်ဆိုရင် လျှင်မြန်ပေမဲ့ သက်သေခံအချက်အလက်အပြည့်အစုံရရှိနိုင်မှာမဟုတ်ပါ။ ခြွင်းချက်အနေနဲ့ Case အရ တရားရုံးမှာ Triage Method ကိုအသုံးပြုထားကြောင်းတရားဝင် တင်ပြထားရမှာဖြစ်ပါတယ်။ စစ်ဆေးသူအနေနဲ့လဲ Triage Method အသုံးပြုပြီးဆိုတာနဲ့ အဖြေကိုအလျှင်အမြန်ထုတ်ပေးရမှာဖြစ်ပြီး၊ Evidence မပြည့်စုံမှာဖြစ်တာကြောင့် လက်ရှိထုတ်ပေးရမည့်အဖြေအပြင် နောက်တစ်ဆင့်မှာ ဘာတွေဆက်စစ်မယ်၊ဘာလုပ်မယ်ဆိုတာကို Report ထဲမှာထည့်ရေးပေးလိုက်ရမှာဖြစ်ပါတယ်။ Triage အတွက်စဉ်းစားလုပ်ဆောင်ရမည့် Flow ကို Diagram နဲ့ဖော်ပြထားပြီးပါပြီး။
Digital Forensics လုပ်ဆောင်တဲ့အခါ Visualization Methods အများအမြင်မှာ ရှင်းလင်းအောင်၊စစ်ဆေးသူကိုယ်တိုင်လဲ ရှင်းလင်းစွာဖော်ထုတ်နိုင်ရန်အသုံးပြုပါတယ်။
Timeline ဖြင့် User တစ်ယောက်လုပ်ဆောင်တဲ့ အရာမှန်သမျှကို ဖော်ပြခြင်း။Relationship Diagram (Communication diagram )
ဖြင့် လူတစ်ယောက်နဲ့တစ်ယောက်ဆက်နွယ်မှုကိုဖော်ပြခြင်း၊
Money Flow Diagram ဖြင့် ငွေကြေးဆက်နွယ်မှု၊ ငွေကြေးစီးဆင်းမှုများကိုဖော်ပြခြင်း။
Electronic Evidence (Digital Evidence) မှာပြည့်စုံမည့်ယေဘူယျအချက်များမှာ မူရင်းသက်သေခံ Device နဲ့ Forensics Image သည်ကွဲလွဲမချက်မရှိရပါ။သက်သေခံအချက်အလက်ကို Report ရေးရမှာ တစ်ဖက်သတ်လိုရာဆွဲပြီးရေးသားခြင်းမပြုလုပ်ရပါ။ Lab ကို Evidence Device ရောက်လာတဲ့အချိန်ကနေစပြီး Evidence Device ကိုကိုင်တွယ်ခြင်း၊စစ်ဆေးခြင်းအပိုင်းများတွင် သံသယဝင်ဖွယ် အချက်အလက်များမရှိရပါ။ တရားရုံးကိုတင်ပြသော သက်သေခံအချက်အလက်များသည် အများယုံကြည်လက်ခံနိုင်ရမည်ဖြစ်ပါသည်။
သက်သေခံကိုစစ်ဆေးသောနည်းလမ်းများသည် တစ်ဖက်စွန်းမရောက်စေပဲ မျှတမှုရှိရမည်ဖြစ်ပါသည်။ Report ရေးသားရာတွင်လည်း အများနားလည်စေနိုင်မည့် စကားလုံးအသုံးအနှုန်းများကိုသုံးစွဲဖော်ပြရမည်ဖြစ်ပါသည်။ Digital Forensics သည် အခြာသောမှုခင်းစစ်ဆေးနည်းများနှင့်ကွဲပြာတာကြောင့် သက်သေခံသိမ်းဆည်းသည့်အပိုင်း၊ ကိုယ်တွယ်သည့်အပိုင်း၊ သယ်ယူပို့ဆောင်သည့်အပိုင်း၊စစ်ဆေးသည့်အပိုင်းများတွင် ဂရုတစိုက်ပြုလုပ်ဆောင်ရွက်ရမည်ဖြစ်ပါသည်။

Comments

Popular posts from this blog

NTFS Index Attributes

B-Trees (NTFS)

eCDFP (Module-6) (Window Forensics) (Part - 1 )