Kape

 Incident Response အတွက်ရော Forensics အတွက် Triage လုပ်တဲ့နေရာမှာရော Kape က စမ်းကြည့်သလောက် တော်တော်အဆင်ပြေပါတယ်။ AWS Azure .Cloud မှာ Incident အတွက်သုံးလို့ရပါတယ်။ 

Forensics အတွက် လေ့လာလို့ဖို့လဲအဆင်ပြေပါတယ်။ ဥပမာ Event Log ကိုယူမယ် Window Install တဲ့ Date Last login Time တွေကိုယူမယ် Browser History တွေယူမယ် ဆိုရင် ကိုယ်ယူမယ့်အကြောင်းအရာနဲ့ပတ်သတ်ပြီးရွေးချယ်လိုက်ရုံပဲ။ ပြီးရင် ဝါသနာပါလို့ ဘယ်နေရာတွေကနေ ယူတယ်ဆိုတာပါ စိတ်၀င်စားရင်ကြည့်လို့ရတယ်။ လေ့လာလို့ရပါတယ်။ တစ်ခုရှိတာကဘာမှမသိပဲ Click နှိပ်ပြီးသုံးလို့မရဘူး။ Basic လောက်ကို တော်တော်နားလည်မှ သုံးလို့ရမယ်။ သူ့မှာပါတဲ့ Module တွေကိုသုံးတတ်ရင် တော်တော်ကောင်းပါတယ်။

 SAN Data Acquisition . Incident Response . E-learning Course တွေမှာလဲပါပါတယ်။ Forensics အတွက်ကတော့ Memory Stick ထဲထည့်ပြီးပြီးသုံးရုံပါပဲ။

ကိုယ်ယူတဲ့ Artifacts တွေကိုလဲ USB ထဲ ထည့်ရုံပါပဲ။တစ်ခုရှိတာက Forensics Triage လုပ်မယ်ဆိုရင် USB Log က ကွန်ပျူတာမှာ ကျန်နေခဲ့တာပါ။ သက်သေခံအတွက် အငြင်းပွားစရာဖြစ်နိုင်တာပါ။ ဒါကလဲ လက်ရှိမှာ  ဥပဒေ နည်းဥပဒေမရှိသေးတော့ အဆင်ပြေမှာပါ။ 

Kape က Free Download ယူလို့ရပါတယ်။ တရား၀င် ISO Standard နဲ့အသုံးပြုတဲ့နေရာတွေမှာ သုံးမယ်ဆိုရင်တော့ လိုင်စင်လုပ်ရပါမယ်။ ကျွန်တော်အောက်မှာဖော်ပြထားတဲ့ Link အပြင် SAN ကနေပြတဲ့ သင်ခန်းစာ Youtube တွေမှာကြည့်နိုင်ပါတယ်။

https://aboutdfir.com/toolsandartifacts/windows/kape/


Dead Memory ရယူခြင်း 

Digital Forensics မှာ ကျွန်တော်တို့  Memory Dump ယူတဲ့နေရာမှာ (အရင်ရေးထားတဲ့ Guide Line တွေရှိပါတယ်) System က Live ဖြစ်နေတုန်း  Memory Dump ယူတယ်။ (Example ရေးထားပြီး) ။ Live  Memory Dump အပြင်  Dead Memory ပါယူလို့ရနိုင်ပါတယ်။  Window ရဲ့ Session  ကြောင့်ပါ။ Linux မှာဆိုရင် Run Level 

Standby Mode  လုပ်ထားရင် (Detail မရှင်းတော့ပါ) ကွန်ပျူတာမှာ Runing  ဖြစ်နေတဲ့ အလုပ်တွေက  ဥပမာ Window C: Drive  #hiberfil.sys ထဲမှာ သွားပြီး Save လုပ်ထားပါတယ်။  ဒါကြောင့် Stand By Mode  ကနေပြန်တက်လာရင် Runing လုပ်နေတဲ့ အလုပ်တွေကို ပြန်တွေ့ရတာဖြစ်ပါတယ်။ 

နောက်တစ်ခုက #pagefile.sys ဒါက‌ SSD Or HDD မှာနေရာယူထားတဲ့ Virtual Memory ပါ။ ဥပမာ Window 8-10 တွေမှာ Browser or Word Or PDF ပေါ့  အားလုံးဖြစ်စေ Somethings တစ်ခုခုဖွင့်ထားတုန်း Restart or Shutdown ပေးပြီးလို့  နောက်တစ်ခါပြန်ဖွင့်မယ်ဆိုရင် Restart or Shutdown မလုပ်ခင်ဖွင့်ထားတာတွေ ပြန်တက်လာပါတယ်။ ဒါတွေက #pagefile.sys ထဲမှာ သွားပြီး Save လုပ်ထားတာပါ။

ဒါတွေက Memory Dump ရယူမယ်ဆိုရင် သိထားရမည့် အကြောင်းအရာတွေပါ။

System ကို ပါဝါ‌မပေးရင်လဲ Storage media ထဲ ကျန်ခဲ့တဲ့အတွက် Dead Memory or Non Volatile Information လို့သတ်မှတ်ပါတယ်။ 




Comments

Popular posts from this blog

NTFS Index Attributes

B-Trees (NTFS)

eCDFP (Module-6) (Window Forensics) (Part - 1 )