Digital Forensics Lab Guideline Part (5,6)


Digital Forensics Lab ကိုမတည်ဆောက်ခင် Lab အတွက်လိုအပ်တဲ့ပစ္စည်းတွေမမှာခင် ဘာတွေကို ကိုယ့်နိုင်ငံအခြေအနေအရ Research and Analysis ဘာတွေလုပ်ရမယ်ဆိုတာ Part 2 မှာရေးထားပြီးပါပြီ။ အချို့သော Results တွေကိုလဲဖော်ပြထားပြီးပါပြီ။

 Hardware/Software ဝယ်ယူမယ်ဆိုရင်ထည့်သွင်းစဉ်းစားရမဲ့ အချက်တွေကတော့ Lab မှာတစ်ကယ်တန်းအသုံးတည့်မတည့်၊ Software ဝယ်ယူတဲ့ ကုန်ကျငွေအပြင် နှစ်စဉ်လိုင်စင်ဈေးနှုန်း၊သင်တန်းကြေး၊ Certificate ကုန်ကျငွေစတာတွေကို ထည့်သွင်းတွက်ချက်ရမှာဖြစ်ပါတယ်။ အခြား Open Source တွေနဲ့အစားထိုး အသုံးပြုရင် ဥပဒေ၊တရားရုံးမှာ အဆင်ပြေနိုင်မလား။ ဘယ်လို Case မျိုးဆို အစားထိုးအသုံးပြုလို့ရနိုင်မလဲ။ မြန်မာနိုင်ငံမှာတော့ မလုပ်ခိုင်းသေးပေမဲ့ အခြားနိုင်ငံတွေမှာတော့ တရားရုံးကနေ  လိုအပ်လာရင် အချို့သော Case တွေမှာ ‘dual tool verification’ ကိုသုံးခိုင်း ပြခိုင်းပါတယ်။ ဘာလို့လဲဆိုရင် ပထမသုံးတဲ့ နည်းပညာ နည်းလမ်းနဲ့ စစ်ဆေးတဲ့ သက်သေခံရလဒ်က နောက်ထပ်တူညီတဲ့ နည်းပညာနည်းလမ်းနဲ့ စစ်ဆေးတဲ့ သက်သေခံရလဒ် တူညီမှုရှိ၊မရှိဆိုတာ သေချာခြင်လို့ဖြစ်ပါတယ်။ (အရှင်းဆုံးဥပမာအနေနဲ့ဆိုရင် Hard Disk Data Recovery လုပ်မယ်ဆိုရင် EaseUS နဲ့ခေါ်ရင် ဘယ်လိုရလဒ်ထွက်လဲ နောက်တစ်မျိုး  Recuva နဲ့လုပ်ရင် ဘယ်လိုရလဒ်ထွက်လာမလဲ တူညီမှုရှိလား၊ကွဲပြားခြားနားလားဆိုတာ သိချင်လို့ဖြစ်ပါတယ်။

 ဥပမာ Reception/Regirsatation/Labelling  လုပ်တဲ့နေရာမှာ အသုံးပြုတဲ့ Case Management Application။

 Case Management Application မှာဘာတွေပါသင့်လဲဆိုရင်-
- Lab ကို သက်သေခံလာပို့တဲ့သူက ဘယ်သူ၊လာအပ်တဲ့ နေ့ရက်၊အချိန်
 လိပ်စာ အပြည့်အစုံ။ လက်ခံသူအမည်။
- သက်သေခံအချက်အလက် ပစ္စည်းစာရင်း။
- Case နံပတ်၊ Case ရာဇဝင်၊ ဥပဒေပုဒ်မ။ (အရင် Case တွေနဲ့ပါ Analysis လုပ်နိုင်)။
- သက်သေခံပစ္စည်းကို စစ်ဆေးတဲ့သူအမည် (ပူးပေါင်းစစ်ဆေးသူများပါ အပါအဝင်) စတင်စစ်ဆေးချိန်၊ပြီးဆုံးချိန်သက်သေခံပစ္စည်းကို စစ်ဆေးတဲ့နည်းလမ်း အပြည့်အစုံ။
- စစ်ဆေးပြီးနောက် ရရှိလာတဲ့ သက်သေခံအချက်အလက်အပြည့်အစုံ။
- စစ်ဆေးသူနှင့်သက်သေခံလာရောက်အပ်နှံသူ တွေ့ဆုံမှု၊ဆက်သွယ်မှု အသေးစိတ်။
- သက်သေခံလာရောက်အပ်နှံသူထံလွှဲပြောင်းပေးအပ်တဲ့နေ့ရက်၊အချိန်၊တရားရုံးသို့ တင်ပြတဲနေ့ရက်အချိန်၊

(သက်ဆိုင်ရာအမှုစစ်တဲ့သူနဲ့ စစ်ဆေးသူကို မေးနိုင်သော မေးခွန်းများ (မမေးခဲ့ရင်တောင် သက်သေခံအချက်ပစ္စည်းက Lab ကိုရောက်တဲ့အချိန်ကစပြီး တရားရုံးကိုတင်ပြတဲ့အထိ စစ်မှန်ကြောင်းပြတဲ့အနေနဲ့ လိုအပ်လာရင် တင်ပြနိုင်ရမှာဖြစ်ပါတယ်)

What
သိမ်းဆည်းရမိတဲ့ Digital Device က ဘာလဲ ဘာကြောင့်သိမ်းတာလဲ

Where
Digital Device ကို ဘယ်နေရာကနေ သိမ်းတာလဲ သိမ်းဆည်းစဉ်မှာ အခြေအနေကဘယ်လိုရှိလဲ
ဥပမာ။ power on or power off or damage .

How
အခင်းဖြစ်ရပ်မှာ လက်ရှိ ရှိနေတဲ့ Digital Device ကို စစ်ဆေးခဲ့လား
ဘယ်လိုစစ်ဆေးခဲ့လဲ ဘာတွေကို အသုံးပြုပြီး သက်သေစုဆောင်း
စစ်ဆေးခဲ့လဲ Integrity ရှိအောင် ဘာတွေလုပ်ခဲ့လဲ။ ဘာကို အသုံးပြုခဲ့သလဲ

How
သက်သေခံ Digital Evidences တွေကိုယ် ဘယ်လိုထုတ်ပိုးသလဲ။ ဘယ်လိုပို့ဆောင်လဲ။သယ်ယူပို့ဆောင်တဲ့ လမ်းကြောင်း။ ဘယ်လိုကိုင်တွယ်သလဲ။
ဥပမာ
(Mdy ကနေ YGN ကိုပို့တာ ၅ ရက်လောက်ကြာနေတာမျိုးမဖြစ်သင့်)

When
Digital Devices တွေ ဘယ်အချိန်မှာ Lab ကိုရောက်သလဲ ဘယ်သူလက်ခံသလဲ။ဘာကြောင့်သူက လက်ခံရတာလဲ။

When
Digital Device ကိုဘယ်သူက ဘယ်အချိန်မှာ စတင်စစ်ဆေးတာလဲ။ စစ်ဆေးသူက ဘာအကြောင်းကြောင့် ဒီ Digital Device ကို စစ်ဆေးရတာလဲ ဘယ်သူတာဝန်ပေးတာလဲ။ဘယ်အချိန်မှာ စစ်ဆေးတာပြီးဆုံးလဲ။

How
Digital Device ကို ဘာ နည်းပညာ ကို အသုံးပြုပြီးစစ်ဆေးတာလဲ အသုံးပြုသောနည်းလမ်းအမည် ။ စစ်ဆေးနေစဉ် သက်သေခံကို ကိုင်တွယ်ပုံ။

Case Management အပိုင်းနဲ့ ဆက်စပ်ပြီးဖတ်လိုက်ရင် နားလည်သွားမှာဖြစ်ပါတယ်။






Case Management In Digital Forensics Lab

Receiving The Request

Lab ကိုစစ်ဆေးရန်အတွက် Request Letter ပို့မယ်ဆိုရင်တော့ E-government စနစ်ရှိနေရင် ကြိုတင်ပြီး သတ်မှတ်ထားတဲ့ Form ပုံစံရှိနေပြီး သားဖြစ် တဲ့အတွက် သတ်မှတ်ထားတာတွေဖြည့်ပြီးပို့လိုက်ရုံပါပဲ။(ဒီနေရာမှာ ဖုန်းဖြင့်ပို့ လိုက်တဲ့ အချက်အလက်ကို ထပ်မံ အတည်ပြုဖို့တော့လိုအပ်ပါတယ်။ Form ထဲမှာဘာတွေ ပါဝင်လဲဆိုရင် အမှုရာဇဝင်၊ ဥပဒေပုဒ်မ၊ ပို့လိုက်တဲ့ သက်သေခံပစ္စည်း အသေးစိတ်အချက်အလက်၊ ထုတ်ပေးထားတဲ့ Warrant၊ စတင်သိမ်းဆည်းတဲ့ နေ့ရက် အချိန် အစရှိသည်ဖြင့်ပါဝင်ပါတယ်။ ပို့လိုက်တဲ့ Form ပုံစံက Reception/Registration /Labelling/ နေရာကိုရောက်လာတဲ့အခါ Lab Manager ဒါမှမဟုတ် အဲဒီနေရာမှာတာဝန်ကျနေတဲ့ Technical ဝန်ထမ်းက သတ်မှတ်ထားတဲ့စာရွက်စာတမ်းတွေ၊ အကြောင်းအရာအချက်အလက်တွေ ပြည့်စုံမှုရှိ၊မရှိ စစ်ဆေးရပါတယ်။ Lab အနေနဲ့ထပ်ပြီး စဉ်းစားအတည်ပြုရမဲ့ အချက်တွေကတော့
- ရောက်ရှိလာတဲ့ သက်သေခံပစ္စည်းက lab နှင့်သက်ဆိုင်မှု ရှိ၊မရှိ။
- သိမ်းဆည်းလာစဉ်မှာ သက်သေခံပစ္စည်း အခြေအနေ။
- Lab မှာစစ်ဆေးဖို့ နည်းပညာနဲ့နည်းလမ်းရှိ၊မရှိ။
- စစ်ဆေးပေးနိုင်မဲ့ ဝန်ထမ်းရှိ၊မရှိ။
- စာရွက်စာတမ်းပြည့်စုံမှု ရှိ၊မရှိ။မသမာသောနည်းလမ်းနဲ့ ပြင်ဆင်ထားတာ ရှိ၊မရှိ။
အထက်ပါအချက်အလက်တွေပြည့်စုံမှုရှိလို့ Lab Manager မှလဲ အတည်ပြုရင် ပဏမအနေနဲ့ လက်ခံလို့ရပြီးဖြစ်ပါတယ်။

Registering The Case

သက်သေခံပစ္စည်း lab ကိုရောက်လာရင် တာဝန်ကျဝန်ထမ်းကနေ အမှုနဲ့ပတ်သတ်တဲ့ အချက်အလက်တွေကို Case Management Application (သို့မဟုတ်) သတ်မှတ်ထားတဲ့ Form ပုံစံစာရွက်ထဲမှာဖြည့်သွင်းလိုက်ပါတယ်။ အမှုအနေအထားအရ လာရောက်အပ်နှံသူနဲ့ Examiner က သက်သေခံပစ္စည်းထဲကနေ ဘယ်လိုအကြောင်းအရာ အချက်အလက်ကို ရယူခြင်တာလဲဆိုတာကို တိကျရှင်းလင်းစွာမေးမြန်းရပါတယ်။ဒါမှသာ ဘယ်လိုအကြောင်းအရာ အချက်အလက်ကို ရှာဖွေရမယ်၊ ဘယ်လိုနည်းပညာ နည်းလမ်းသုံးရမယ်ဆိုတာကို စစ်ဆေးသူက ပြင်ဆင်နိုင်မှာဖြစ်ပါတယ်။ အပ်နှံသူနှင့် Examiner ဆွေးနွေးမှုမှတ်တမ်းကိုလဲ Case Management ထဲမှာ ထည့်သွင်းရပါတယ်။ (မသမာမှုမပြုလုပ်နိုင်စေရန်နှင့်အထောက်အထားရယူရန်)
ဆွေးနွေးပြီးတဲ့အခါမှာ Lab ကနေ စစ်ဆေးရန်လက်ခံကြောင်းကို Lab မှ တာဝန်ရှိသူ (Reception Staff) ဒါမှမဟုတ် (Lab Manager, Examiner) နှင့် လာရောက်အပ်နှံသူ ကနေ လက်မှတ်ရေးထိုးရပါမည်။

Registering The Evidence Devices

Lab ကိုသက်သေခံပစ္စည်းရောက်တဲ့အချိန်မှာ အရေးအကြီးဆုံးဖြစ်တဲ့ သက်သေခံပစ္စည်းကို Sealed (စည်းတံဆိပ်ကပ်ထားခြင်း ရှိ၊မရှိကို စစ်ဆေးရပါမည်။ စည်းမှာ ထုတ်ပိုးသူလက်မှတ်အတို၊သယ်ယူတဲ့သူ၏ လက်မှတ်အတို၊ စည်းစကပ်တဲ့ရက်စွဲအချိန်တို့ပါဝင်ပါတယ်)။ သက်သေခံ ပစ္စည်းကို သယ်ယူပို့ဆောင်တဲ့နေရာမှာ မသမာမှုမပြုလုပ်နိုင် စေရန်နှင့် သံသယကင်းစေရန်ဖြစ်ပါတယ်) ။ Chanin Of Custody Form မှာလဲ သိမ်းဆည်းတဲ့နေ့ရက်အချိန်၊ Lab ကိုပို့ဆောင်တဲ့နေ့ရက် လာရောက်တဲ့ လမ်းကြောင်းခရီးပါဝင်ပါတယ်။ စည်းတံဆိပ်လဲမှန်ကန်တယ် ဖျက်ရာပြင်ရာမရှိဘူးဆိုရင် စည်းကိုခွာပြီး သက်သေခံပစ္စည်း၊ ဆက်စပ် ပစ္စည်းတွေက သိမ်းဆည်းစဉ်မှာရှိတဲ့အခြေအနေနဲ့တူညီမှုမရှိ၊မရှိ ပျက်စီးနေ မှုရှိ၊မရှိကို  Case Management ထဲမှာ တစ်ခုချင်း အသေးစိတ် ထည့်သွင်း ပါတယ်။ ဓာတ်ပုံမှတ်တမ်းပါသက်သေခံပစ္စည်းကို ရိုက်ယူထားပြီး Case Management ထဲမှာ ထည့်သွင်းနိုင်ပါသည်။ (Negative Question ကို Lab ဘက်မှကာကွယ်တဲ့အနေနဲ့အပြင်၊သက်သေခံပစ္စည်းမှန်ကန်စေရန်အတွက်ဖြစ်ပါသည်)။ အားလုံးမှန်ကန်ပြည့်စုံတဲ့အခါ Chain Of Custody Form မှာ Lab ကနေ သက်သေခံပစ္စည်းကိုလက်ခံကြောင်း အပ်နှံသူနှင့်လက်ခံသူက လက်မှတ်ရေး ထိုးရပါမည်။လတ်တလော မစစ်ဆေးနိုင်သေးတဲ့ သက်သေခံပစ္စည်းဆိုရင် Evidence Store Room ထဲမှာထည့်သွင်း ထားရမှာဖြစ်ပါတယ်။

Photograph The Evidence Devices

 သက်သေခံပစ္စည်းကို ဓာတ်ပုံရိုက်ယူရတာကတော့ ပစ္စည်းအခြေအနေ (example Ph ဆိုရင် Power On နေလား Off နေလား) ပျက်စီနေမှု စတာတွေကို အရပ်မျက်နှာပေါင်းစုံကနေ ရိုက်ယူထားပြီး Negative Questions မမေးနိုင်စေရန် မှန်ကန်မှုရှိစေရန်ဖြစ်ပါတယ်။ စစ်ဆေးပြီးတဲ့အခါ သက်ဆိုင်ရာကို ပြန်လည်အပ်နှံတဲ့နေရာမှာလဲ အထောက်အထား ခိုင်လုံစေရန်ဖြစ်ပါတယ်။

Analysis

သက်သေခံပစ္စည်းကို Examiner ကနေ အမှုအနေအထား ရယူလိုတဲ့ သက်သေခံအကြောင်းအရာအချက်အလက်အပေါ်မူတည်ပြီးစစ်ဆေးတာဖြစ်ပါတယ်။ စစ်ဆေးတဲ့နည်းလမ်း အသုံးပြုတဲ့နည်းပညာ စတင်စစ်ဆေးချိန် စစ်ဆေးမှုပြီးစီးသည့်အချိန်၊ စစ်ဆေးစဉ်ကာလမှာ အမှုအနေအထားအရ သက်ဆိုင်ရာနှင့်ဆက်သွယ်မှု စတဲ့မှတ်တမ်းတွေကို Case Management ထဲမှာထည့်သွင်းရမှာဖြစ်ပါတယ်။

Return The Evidences

စစ်ဆေးမှုပြီးဆုံးတဲ့အခါမှာ ရရှိလာတဲ့ Report နှင့် သက်သေခံပစ္စည်းကို သက်ဆိုင်ရာ ဒါမှမဟုတ် လာရောက်အပ်နှံသူထံလွဲပြောင်းပေးတာဖြစ်ပါတယ်။ လာရောက်အပ်နှံစဉ်က ပစ္စည်းအခြေအနေ၊ယခုပြန်လည်လွှဲပြောင်းတဲ့ ပစ္စည်းအခြေအနေကို လာရောက်ယူတဲ့သူကို ရှင်းလင်းပြသပြီး lab ကနေ နောက်တစ်ခါ သက်သေခံပစ္စည်းပေါ်ကို စည်းကပ်ပေးလိုက်ပါတယ်။

Closing The Case

စစ်ဆေးတဲ့အမှုလုံး၀ ပြီးသွားတဲ့အချိန်၊ အမှုပိတ်ကြောင်းကိုလဲ နှစ်ဖက်လုံးသဘောတူတဲ့အချိန်မှာ အမှုပြီးစီးကြောင်း ကို သက်သေခံပစ္စည်း လာရောက်အပ်နှံသူဘက်နေ လက်မှတ်ထိုးပြီး Lab ကိုပေးရမှာဖြစ်ပါတယ်။ ဒါမှသာ Lab ဘက်ကနေ Examiner ထံမှာကျန်ရှိနေတဲ့ သက်သေခံအချက်အလက်တွေကို ဆက်လက်သိမ်းဆည်းထားသင့်၊မသင့် အပြီးတိုင် ဖျက်ဆီးရန် ဒါမှမဟုတ် Research and Analysis ဥပဒေအရ ဘယ်ကာလအထိ ထိမ်းသိမ်းထားမယ်ဆိုတဲ့အပေါ်မူတည်ပြီး လုပ်ဆောင်ရမှာဖြစ်ပါတယ်။

#ThirdEye
#Digitalforensics
#forensicsmyanmar

Comments

Post a Comment

Popular posts from this blog

B-Trees (NTFS)

Image
  B-Trees An NTFS index sort attributes into a tree, specifically a B-tree. A tree is a group of data structures called nodes that are linked together such that there is a head node and its branches out to the other nodes. Consider Figure 11.13(A), where we see node A on top and it links to nodes B and C. Node B links to nodes D and E. A parent node is one that links to other nodes, and a child node is one that is linked to. For example, A is a parent node to B and C, which are children of A. A leaf node is one that has no links from it. Nodes C, D, and E are leaves. The example shown is a binary tree because there are a maximum of two children per node. Figure 11.13. Examples of A) a tree with 5 nodes and B) the same tree that is sorted by the node values FIG- 11.3 Trees are useful because they can be used to easily sort and find data. Figure 11.13(B) shows the same tree as we saw on the left side, but now with values that are assigned to each node. If we are trying to look up a valu
Read more

NTFS Index Attributes

Image
  NTFS Index Attributes Now that we have described the general concept of B-trees, we need to describe how they are implemented in NTFS to create indexes. Each entry in the tree uses a data structure called an index entry to store the values in each node. There are many types of index entries, but they all have the same standard header fields, which are given in Chapter 13. For example, a directory index entry contains a few header values and a $FILE_NAME attribute. The index entries are organized into nodes of the tree and stored in a list. An empty entry is used to signal the end of the list. Figure 11.18 shows an example of a node in a directory index with four $FILE_NAME index entries. Figure 11.18. A node in an NTFS directory index tree with four index entries. Figure 11.18 The index nodes can be stored in two types of MFT entry attributes. The $INDEX_ROOT attribute is always resident and can store only one node that contains a small number of index entries. The $INDEX_ROOT attrib
Read more

Volatility Workbench (GUI) for the Volatility tool

Image
 Memory Dump ကနေ Artifacts တွေကို ရယူနိုင်ဖို့ Volatility (Command Line) ကို တော်တော်များများ အသုံးပြုကြပါတယ်။ Pass Mark OS Forensics ကနေ GUI မသုံးချင်သူတွေ / နှစ်မျိုးလုံး အသုံးပြုချင်သူတွေအတွက် Volatility Workbench (GUI) ကိုပြုလုပ်ထားပါတယ်။ တွဲပြီးအသုံးပြုရမဲ့ Profile တွေကိုလဲ အသင့် Download ရယူနိုင်ပါတယ်။ Sample File တွေလဲပေးထားပါတယ်။ Open Source Computer Forensics Tool ဖြစ်တဲ့ Autopsy အပြင် Commercial Computer Forensics Tools တွေကလဲ လက်ရှိအချိန်ထိ Open Source ဖြစ်တဲ့ Volatility ကိုပဲ သူတို့ရဲ့ Software ထဲမှာ အသုံးပြုထားပါတယ်။                                                           Link  Volatility Workbench (GUI) for the Volatility tool
Read more