Digital Forensics Myanmar

 ဘာလို့ Forensics  Tools တစ်မျိုးထဲမသုံးပဲ တခြားဟာတွေပါသုံးတာလဲ  Tools တစ်ခုခြင်းစီမှာ အားသာချက် အားနည်းချက်ရှိနိုင်ပါတယ်။  Mac OS Version 10.15 - Catalina ဥပမာ Autopsy မှာ Safari Bookmarks ကို  စစ်တဲ့သူ အဆင်ပြေအောင် မျက်မြင် Auto ထုတ်ပေးတယ်။ ဒါပေမဲ့ နာမည်ရှိတဲ့ Forensics Product တစ်ခုမှာ မပါဘူး။  မျက်မြင် Auto မထုတ်ပေးဘူးပေါ့။ Mac OS မှာပါတဲ့ Property List (Plist) က  လွယ်လွယ်ပြောရရင် Window မှာဆိုရင် Registry လိုပဲဖြစ်ပါတယ်။  ပုံမှာ Autopsy မှာ Bookmarks 13 ခု ကိုပြထားတယ်။ နောက်တစ်ခုမှာ မပြသပေးတဲ့အတွက် Safari ရဲ့  Plist မှာကည့်တဲ့အခါ Bookmarks 13 ကိုတွေ့ရမှာပါ။  Bookmarks အပြင် download Recent/Last Session တွေကိုပါ စသည်ဖြင့်ကြည့်နိုင်ပါတယ်။  တစ်ခါတစ်ရံလိုအပ်လာရင် Lab တစ်ခုက ထုတ်တဲ့အဖြေကို မယုံကြည်နိုင်တဲ့အခါမျိုးမှာ  ထပ်မံစစ်ဆေးဖို့လိုအပ်တဲ့ အခါမျိုးမှာ   နောက်ထပ် Lab တစ်ခုကို ပို့ပြီး စစ်ဆေးတာကလဲ ဒီသဘော တရားပဲဖြစ်ပါတယ်။  ကျွန်တော် Apple ဘက်ကို လေ့လာတဲ့ အချိန်မှာ ပန်းသီးဆိုရင် တရုတ်ကလာတာပဲ တွေ့ဖူးမြင်ဖူးပါတယ်။ VM နဲ့သုံး OS ရဲ့ File System ကိုလေ့လာ ရှာကြည့် ဒီလိုပဲ လက်ရှိလုပ်နေတာပါ။ #

 #Mobile #Forensics  Logical Extraction နဲ့ File System Extraction အတွက် Adb CWM TWRP Flash Tool လောက်အနည်းဆုံး သိထားရပါမယ်။ Chipoff JTAG အတွက်ကတော့ Hardware ပိုင်းကိုနားလည်းထားရပါမယ်။ Easy JTAG တို့ BOX တို့ကိုသုံးဖူးရင် ပိုအဆင်ပြေပါတယ်။ Mobile Forensics Applicationတွေတော်တော်များများ သုံးဖူးပြီးတဲ့နောက်  ရလာတဲ့အသိပါ။ APPLICTION တွေက Knowledge နည်းသူတွေ အဆင့်သင့်သုံးလို့ရအောင် ပြုလုပ်ထားတာဖြစ်ပါတယ်။ ကြံဖန်ပြီးလုပ်ရတာပဲဖြစ်ဖြစ် ။ ဘာကြောင့်ဒီလို လုပ်ရတယ် ဖြစ်သွားတယ် ဆိုတာတွေ သိဖို့အတွက် အပေါ်ကပြောထားတာတွေ တစ်ကယ်လိုအပ်ပါတယ်။ နာမည်ကြီး Mobile Forensics Product တွေမှာလဲ ဥပမာ TWRP ကနေထုတ်ထားတာကို Analyais လုပ်ဖို့အတွက်ပါရှိပါတယ်။

 Mobile Forensics နဲ့ပတ်သတ်ရင်တော့ Application တိုင်းမှာ အားသာချက် အားနည်းချက်တွေရှိပါတယ်။  Method အရတော့  အနည်းဆုံး ၂ ခုနဲ့တိုက်ဆိုင် စစ်ဆေးသင့်တယ်ပေါ့။  ဒီတစ်ခုလိုပဲကျန်တဲ့တစ်ခုမှာ အဖြေတူလား။ ဒီတစ်ခုမှာ မရတာက ကျန်တဲ့ဟာမှာ ရလား Blah Blah ပေါ့ ...  မေးခွန်းက Iphone  Battery 100 ရာခိုင်နှုန်းအပြည့်သွင်းတဲ့အချိန်တွေထဲကမှ နောက်ဆုံး အားအပြည့်သွင်းတဲ့အချိန်ပေါ့။ကျွန်တော်သုံးတဲ့ Tools မှာ အဲ့အတွက် မျက်မြင် Result ထုတ်မပေးထာဘူး။ နာမည်ကြီး UFED မှာ Screen Time ကို ထုတ်ပေးတယ်။ App တစ်ခုကို အချိန်ဘယ်လောက်ကြာကြာသုံးစွဲခဲ့လဲပေါ့။  မျက်မြင် Result မပါတဲ့အတွက် Phone OS ရဲ့ Sqlite File ကိုရှာပြီး ဖြည်ကြည့်နိုင်ပါတယ်။  နောက်ထပ် Phone App တစ်ခုခုကို ဘယ်လောက်ကြာကြာသုံးခဲ့လဲဆိုတာသိချင်တယ်။ အခုဟာက မျက်မြင် Result ထုတ်မပေးနိုင်ဘူး အဲ့တော့  Sqlite File ရှိတဲ့နေရာကို ရှာပြီး ကြည့်နိုင်ပါတယ်။ အဲဒီအတွက် စစ်ဆေးရာမှာ Comfort ဖြစ်ခြင်းမဖြစ်ခြင်း အချိန်ကြာတာ မကြာတာ  စစ်ဆေးသူ Knowledge အရမ်းလိုအပ်တာ မလိုအပ်တာ  Result အတွက် အဖြေရှင်းတာ မရှင်းတာ  စတဲ့အချက်တွေပဲကွာသွားပါတယ်။ 

SSD တွေက HDD နဲမတူတဲ့အချက်ကတော့ Flash Translation Layer (FTL)မှာ Garbage collection  နဲ့ Ware-Leveling တို့ကြောင့်ဖြစ်ပါတယ်။ FTL က Logical Block နဲ့ Physical Block ကို ချိတ်ဆက်ပေးတာဖြစ်ပါတယ်။ SSD တင်တဲ့ထား Operation System ကနေ Physical  File နေရာတွေကို Track လုပ်မထားပါဘူး။ HDD နဲ့ကွဲပြားချက်ဖြစ်ပါတယ်။   Garbage collection က SSD ထဲကနေ မလိုအပ်တဲ့ data တွေဖယ်ထုတ်ပြီး နောက်ထပ် data တွေသိမ်းလို့ရအောင် ပြုလုပ်ပေးပါတယ်။data သိမ်းဆည်းဖို့ အမှန်တစ်ကယ် Page တစ်ခုသာ လိုအပ်ပေမဲ့ Garbage collection ပြုလုပ်တဲ့အခါ Block တစ်ခုလုံးကို ဖျက်ပါတယ်။ Block ထဲမှာ data တွေရှိရင်လဲ အခြား  Page,Block ကို အလိုအလျှောက်ပြောင်းလဲပေးပါတယ်။  ပုံအရဆိုရင် Block A ထဲက Page-1 မှာ data save ချင်တယ်- ဒါပေမဲ့ ကျန်တဲ့ Page-2,3,4 မှာ တစ်ကယ့် data တွေကျန်နေသေးတယ်ဆိုရင် Page-2,3,4 က Data တွေက Block-B ကိုရောက်သွားပါတယ်။ Block-B မှာ Block-A ကနေ Page 3 ခုသာပြောင်းသွားတဲ့အတွက် Block-B မှာ Page တစ်ခုလွတ်နေပါတယ်။ လွတ်နေတဲ့ Page မှာ Zero တွေအဖြစ်ရှိပါတယ်။ (AFF4 Image လုပ်တဲ့နေရာမှာ အခုလိုဖြစ်တဲ့ Zero တွေကို ချန်လှပ်ပြီး Image လုပ်နိုင

SSD တွေကို Physical Acquisitions လုပ်ခြင်း၊ Triage (အရေးပေါ်) Acquisitions ပြုလုပ်ခြင်းတွေမှာ ပုံမှန် StorageForensics ပြုလုပ်နေကြ RAW (DD) Image E01 (Encase) Image File တွေက Acquisitions ပြုလုပ်နေချိန်မှာ နှေးတာတွေ၊ အချိန်ကြာတာတွေ၊  Metadata တွေ အပြည့်အစုံမပါတာတွေ ၊Volatile memory အတွက်အပြည့်အစုံမရတာတွေ ဖြစ်လာပါတယ်။ Triage  လုပ်ရင် အများဆုံးပြုလုပ်တဲ့ Logical Acquisitions ၊ အကြောင်းအရာတစ်ခုကြောင့် Allocated ပဲလုပ်တဲ့နေရာတွေမှာ အထက်မှာဖော်ပြထားတဲ့ challenges တွေက SSD မှာဖြစ်လာပါတယ်။ ဒါတွေကြောင့်  Forensic Methodology ပိုင်းမှာ အနည်းငယ်ပြောင်းလဲလာပါတယ်။  အရင်က Forensic Methodology  [Identify] ---> [ Acquire] ----> [Analysis]----> [Report] ပြောင်းလဲလာတာကတော့  [ Acquire]  လုပ်တဲ့အချိန်ကို မြန်အောင်လုပ်တာပဲဖြစ်ပါတယ်။  ပြီးရင် [ Acquire] နဲ့  [Analysis] ကို တစ်ပြိုင်တည်းပြုလုပ်တာဖြစ်ပါတယ်။  အရင်ရော အခုရောသုံးနေတဲ့ Raw (DD), Expert Witness Disk Image Format (EWF) တို့နှေးရတဲ့အကြောင်းကတော့  RAW  (DD) ဆိုရင် Disk ကနေ Target (Forensics Image Save မည့်နေရာ) ကို Connect လုပ်ပြီး ကူးယူတဲ့