Digital Forensics Investigator Hypothesis -1

Case - CCTV  Video File ကို ပေးရာတွင် ထပ်ဆင့်ကူးယူသည့်  USB ထဲတွင်ရှိသည့် Video File သည် တည်းဖြတ်လိမ်လည်ခြင်း ဟုတ် မဟုတ် စစ်ဆေးရန်

1- Chain of Custody Form ကို Check ။ Case စတင်ဖြစ်တဲ့အချိန်။ USB ပေးတဲ့အချိန် ။ စစ်ဆေးဖို့ USB စတင်ရောက်တဲ့အချိန် ။သိမ်းဆည်းတဲ့ အချိန် ။ မိမိထံရောက်ရှိတဲ့ အချိန်။ ကြားထဲ‌မှာ PUBG မှာလို လပ် သွားနိုင်တဲ့ အချိန်။ Timeline  ဆွဲလိုက်ရင် ပိုရှင်းလင်းပါသည်။ 

2.Ok လပ်သွားတဲ့ အချိန်တွေ့ပြီး  ဒါဆိုရင် Digital Forensics သည် မှုခင်းသိပ္ပံရဲ့ အခွဲဖြစ်ခြင်းကြောင့် သိပွံအချက်အလက်အရပဲ Opinion ပေးရမယ်။ 

3. သံသယ ရှိသူက Knowledge ဘယ်လောက်ရှိသလဲ။ Who မေးခွန်း။ လပ်သွားတဲ့ အချိန်တစ်ခုမှာ သူဘယ်လိုလုပ်နိုင်မလဲ။ How  မေးခွန်း။ ကြိုတင် ကြံစည်ထားန်ုင်လား ရုတ်တရက် လုပ်ရမှာလား 

4. ကြိုတင်ကြံစည်သည်ဖြစ်စေ ရုတ်ချည်းလုပ်ဆောင်သည်ဖြစ်စေ Video File ကို Edit လုပ်ဖို့ Digital Device လိုအပ်မယ်  Laptop Desktop Tablet or Phone ။ သူက ဘာကိုအသုံးပြုနိုင်မလဲ။ သိမ်းဆည်းတဲ့နေရာမှာ  အခြား Digital Device တွေရောပါဝင်လား 

5.Edit လုပ်ထားတာ သေသပ်လား  Save As လုပ်တဲ့နေရာမှာ ဘယ်လိုလုပ်နိုင်လဲ  Depen on CCTV DVR Or NVR ။ PC  Browser or Portable Device ကနေ Login Page ကိုခေါ်မှာလား  DVR အမျိုးအစားကဘာလဲ 

6. Edit လုပ်ခဲ့မယ်ဆိုရင် သူဘယ်လို Software သုံးနိုင်မလဲ။  မြန်မာမှာဆို Service ကနေ Install ပေးထားတဲ့ Example- Format Factory လိုမျိုးသုံးနိုင်မလား လပ်သွားတဲ့ အချိန်က ဘယ်လောက်ရှိမလဲ။ဘယ်လိုလုပ်နိုင်မလဲ 

7. ကိုယ့်ဆီမှာ  USB ထဲကို Video စရောက်တဲ့ MAC Time ရှိထားပြီး။ 

8. DVR မူရင်းကို စစ်မယ်။ ဒါပေမဲ့ မူရင်းမှာလဲ မရှိ။ Recovery မရနိုင်တော့ဘူး။

9.ဒါဆိုရင် Video Clip ကိုပြင်တယ်လို့ယူဆရတဲ့ PC ကိုစစ်မယ်။ ( အခု Case မှာ ကွန်ပျူတာပါ  သိမ်းဆည်းလာပါသည်)  (မသိမ်းဆည်းလာလျှင် အခြေအနေတစ်မျိုးဖြစ်နိုင်ပါသည်) 

10. Forensics Tools ရွေးဖို့အတွက် PC ကနေ ရနိုင်တဲ့ အခု Case နဲ့ ဆိုင်မဲ့  Artifact တွေကို အရင်ဆုံးစဉ်းစားမယ်  

 - OS Install Date 

- last login time 

- installed Application (Video Edit Software or ပြင်နိုင်တဲ့ Software)

- Browser Activity

- USB Attached history

- Registry 

- Video File

- Download Location 

- Application Executive Time 

- video File Recovery

11. အပိုဒ် 10 ပါ Artifacts တွေရဖို့ ဘယ်လို Tools ကိုသုံးနိုင်မလဲ 

ကိုယ့်ဆီမှာရှိတဲ့ Forensics Tools တွေက ဘယ်လောက်အထိ စစ်ဆေးနိုင် အဖြေထုတ်နိုင်သလဲ 

12. အရင်ဆုံးမျက်မြင်စစ်ဖို့ Hard Disk ရဲ့ Forensics Image ကို Imager နဲ့ Read Only Mount ပြီးစစ်မယ် ။ ဒီမှာမတွေ့ရရင် 

13. Artifacts တွေရဖို့ Forensics Tools  3 ခုလောက်ပေါင်းမှ ရနိုင်မယ်။ တစ်ခုထဲနဲ့ ဘယ်လိုမှ မရနိုင်။ Manual ဆွဲထုတ်ပြီး စစ်ဖို့လဲ လိုအပ်တယ် 

14. Artifacts အချို့အတွက် Forensics Tool 1 က Support ပေးနိုင်မယ်

နောက်ထပ် အချက်အလက်အတွက် Tools 2 Tools 3။ အပိုဒ် 10 မှာပါတဲ့ 

လိုချင်တဲ့ အချက်အလက်တွေအရ Manual ထုတ်ပြီး Forensics Tools တွေမှာ 

Support မပေးတာတွေကို စစ်ဖို့အတွက် Tools 4 and Tool 5.

15. တစ်ယောက်ထဲကပဲ စစ်မှာလား သို့မဟုတ် Forensics Image ကို Central မှာထားပြီး အပိုင်းလိုက် ဝိုင်းပြီးစစ်မလား 

#ForensicsMyanmar