Kape
Incident Response အတွက်ရော Forensics အတွက် Triage လုပ်တဲ့နေရာမှာရော Kape က စမ်းကြည့်သလောက် တော်တော်အဆင်ပြေပါတယ်။ AWS Azure .Cloud မှာ Incident အတွက်သုံးလို့ရပါတယ်။
Forensics အတွက် လေ့လာလို့ဖို့လဲအဆင်ပြေပါတယ်။ ဥပမာ Event Log ကိုယူမယ် Window Install တဲ့ Date Last login Time တွေကိုယူမယ် Browser History တွေယူမယ် ဆိုရင် ကိုယ်ယူမယ့်အကြောင်းအရာနဲ့ပတ်သတ်ပြီးရွေးချယ်လိုက်ရုံပဲ။ ပြီးရင် ဝါသနာပါလို့ ဘယ်နေရာတွေကနေ ယူတယ်ဆိုတာပါ စိတ်၀င်စားရင်ကြည့်လို့ရတယ်။ လေ့လာလို့ရပါတယ်။ တစ်ခုရှိတာကဘာမှမသိပဲ Click နှိပ်ပြီးသုံးလို့မရဘူး။ Basic လောက်ကို တော်တော်နားလည်မှ သုံးလို့ရမယ်။ သူ့မှာပါတဲ့ Module တွေကိုသုံးတတ်ရင် တော်တော်ကောင်းပါတယ်။
SAN Data Acquisition . Incident Response . E-learning Course တွေမှာလဲပါပါတယ်။ Forensics အတွက်ကတော့ Memory Stick ထဲထည့်ပြီးပြီးသုံးရုံပါပဲ။
ကိုယ်ယူတဲ့ Artifacts တွေကိုလဲ USB ထဲ ထည့်ရုံပါပဲ။တစ်ခုရှိတာက Forensics Triage လုပ်မယ်ဆိုရင် USB Log က ကွန်ပျူတာမှာ ကျန်နေခဲ့တာပါ။ သက်သေခံအတွက် အငြင်းပွားစရာဖြစ်နိုင်တာပါ။ ဒါကလဲ လက်ရှိမှာ ဥပဒေ နည်းဥပဒေမရှိသေးတော့ အဆင်ပြေမှာပါ။
Kape က Free Download ယူလို့ရပါတယ်။ တရား၀င် ISO Standard နဲ့အသုံးပြုတဲ့နေရာတွေမှာ သုံးမယ်ဆိုရင်တော့ လိုင်စင်လုပ်ရပါမယ်။ ကျွန်တော်အောက်မှာဖော်ပြထားတဲ့ Link အပြင် SAN ကနေပြတဲ့ သင်ခန်းစာ Youtube တွေမှာကြည့်နိုင်ပါတယ်။
https://aboutdfir.com/toolsandartifacts/windows/kape/
Dead Memory ရယူခြင်း
Digital Forensics မှာ ကျွန်တော်တို့ Memory Dump ယူတဲ့နေရာမှာ (အရင်ရေးထားတဲ့ Guide Line တွေရှိပါတယ်) System က Live ဖြစ်နေတုန်း Memory Dump ယူတယ်။ (Example ရေးထားပြီး) ။ Live Memory Dump အပြင် Dead Memory ပါယူလို့ရနိုင်ပါတယ်။ Window ရဲ့ Session ကြောင့်ပါ။ Linux မှာဆိုရင် Run Level
Standby Mode လုပ်ထားရင် (Detail မရှင်းတော့ပါ) ကွန်ပျူတာမှာ Runing ဖြစ်နေတဲ့ အလုပ်တွေက ဥပမာ Window C: Drive #hiberfil.sys ထဲမှာ သွားပြီး Save လုပ်ထားပါတယ်။ ဒါကြောင့် Stand By Mode ကနေပြန်တက်လာရင် Runing လုပ်နေတဲ့ အလုပ်တွေကို ပြန်တွေ့ရတာဖြစ်ပါတယ်။
နောက်တစ်ခုက #pagefile.sys ဒါက SSD Or HDD မှာနေရာယူထားတဲ့ Virtual Memory ပါ။ ဥပမာ Window 8-10 တွေမှာ Browser or Word Or PDF ပေါ့ အားလုံးဖြစ်စေ Somethings တစ်ခုခုဖွင့်ထားတုန်း Restart or Shutdown ပေးပြီးလို့ နောက်တစ်ခါပြန်ဖွင့်မယ်ဆိုရင် Restart or Shutdown မလုပ်ခင်ဖွင့်ထားတာတွေ ပြန်တက်လာပါတယ်။ ဒါတွေက #pagefile.sys ထဲမှာ သွားပြီး Save လုပ်ထားတာပါ။
ဒါတွေက Memory Dump ရယူမယ်ဆိုရင် သိထားရမည့် အကြောင်းအရာတွေပါ။
System ကို ပါဝါမပေးရင်လဲ Storage media ထဲ ကျန်ခဲ့တဲ့အတွက် Dead Memory or Non Volatile Information လို့သတ်မှတ်ပါတယ်။
Comments