SSD Acquisition (AFF4)
SSD တွေကို Physical Acquisitions လုပ်ခြင်း၊ Triage (အရေးပေါ်) Acquisitions ပြုလုပ်ခြင်းတွေမှာ ပုံမှန် StorageForensics ပြုလုပ်နေကြ RAW (DD) Image E01 (Encase) Image File တွေက Acquisitions ပြုလုပ်နေချိန်မှာ နှေးတာတွေ၊ အချိန်ကြာတာတွေ၊ Metadata တွေ အပြည့်အစုံမပါတာတွေ ၊Volatile memory အတွက်အပြည့်အစုံမရတာတွေ ဖြစ်လာပါတယ်။ Triage လုပ်ရင် အများဆုံးပြုလုပ်တဲ့ Logical Acquisitions ၊ အကြောင်းအရာတစ်ခုကြောင့် Allocated ပဲလုပ်တဲ့နေရာတွေမှာ အထက်မှာဖော်ပြထားတဲ့ challenges တွေက SSD မှာဖြစ်လာပါတယ်။ ဒါတွေကြောင့် Forensic Methodology ပိုင်းမှာ အနည်းငယ်ပြောင်းလဲလာပါတယ်။
အရင်က Forensic Methodology
[Identify] ---> [ Acquire] ----> [Analysis]----> [Report]
ပြောင်းလဲလာတာကတော့ [ Acquire] လုပ်တဲ့အချိန်ကို မြန်အောင်လုပ်တာပဲဖြစ်ပါတယ်။
ပြီးရင် [ Acquire] နဲ့ [Analysis] ကို တစ်ပြိုင်တည်းပြုလုပ်တာဖြစ်ပါတယ်။
အရင်ရော အခုရောသုံးနေတဲ့ Raw (DD), Expert Witness Disk Image Format (EWF) တို့နှေးရတဲ့အကြောင်းကတော့
RAW (DD) ဆိုရင် Disk ကနေ Target (Forensics Image Save မည့်နေရာ) ကို Connect လုပ်ပြီး ကူးယူတဲ့အခါ
Data ကူးတာရော Hash လုပ်တာကိုရော Interconnect အနေနဲ့လုပ်ပါတယ်။ Expert Witness Disk Image Format (EWF) ဆိုရင် Data ကူးတာရော Hash လုပ်တာအပြင် Compress လုပ်တဲ့ Process ကိုပါလုပ်ဆောင်ပါတယ်။
Advanced Forensics File Format (AFF4)
AFF4 ကတော့ Block လိုက်ကူးယူခြင်း ၊ လိုအပ်တဲ့ အပိုင်းကိုသာကူးယူနိုင်ခြင်း ၊ Sparse Data တွေမပါခြင်းကြောင့် ပိုပြီး မြန်ဆန်ပါတယ်။
မေး။ AFF4 ကို နိုင်ငံတစ်ကာမှာ Accept ဖြစ်သလား
ဖြေ။ Accept ဖြစ်ပါတယ်။
မေး။ AFF4 ကို ဘယ်နေရာမှာ သုံးစွဲသလဲ
ဖြေ။ Mac Forensisc ပြုလုပ်တဲ့နေရာမှာ SSD SATA, M2, Memory Stick တွေကို Acquire လုပ်တဲ့နေရာမှာ အဓိကသုံးစွဲပါတယ်။
Mac Forensisc Tools ဖြစ်တဲ့ Blackbag မှာ AFF4 ကို သုံးစွဲပါတယ်။ Sleuthkit မှာလဲ Support ပေးပါတယ်။
မေး။ AFF4 က Open Source လား
ဖြေ။ AFF4 က Open Source ပါ ။ Sleuthkit မှာလဲ Support ပေးပါတယ်။
မေး။ AFF4 ကနေ အခြား Forensis Image တွေကို ပြောင်းလဲနိုင်လား
ဖြေ။ AFF4 ကနေ အခြား Forensis Image တွေကိုပြောင်းလဲနိုင်ပါတယ်။
မေး။ AFF4 ကို ဘယ် Application နဲ့ဖွင့်လို့ရနိုင်သလဲ
ဖြေ။ AFF4 ကို 7 Zip နဲ့ဖွင့်နိုင်ပါတယ်။ (Blog Level အလိုက် Hash လုပ်တာနဲ့ File တွေရဲ့ Metadata ချိတ်ဆက်ပုံကို ပုံမှာပြထားပါတယ်)
( ပုံမှာတော့ AFF4 ကို ဥပမာနေနဲ့ စမ်းပြထားပါတယ်) ( GB 500 ကို 20 GB သာကူးယူထားပါသည်)
#ForensiscMyanmar
Comments