Posts

Showing posts from May, 2021

SSD Forensic Challenges

Image
SSD Forensic Challenges Garbage  Collection  (GC) HDD မွာလို Data တစ္ခုသိမ္းမယ္ဆိုရင္ ရွိေနၿပီးသား Data ေပၚမွာ SSD Nand Flash က မသိမ္းႏိုင္ OverWrite မလုပ္ႏိုင္ပါဘူး။ Data  သိမ္းမယ္ဆိုရင္ Block ကို Erase လုပ္ ၿပီးမွ သိမ္းရပါတယ္။ မဖ်က္ခင္ Block ထဲက Data ကို အျခား Block ေပၚ ေျပာင္းတာလဲရွိပါတယ္။ အခုလို Bock ကို Erase လုပ္ Block ေတြကို ျပန္ေနရာခ်တာကို  Garbage Collection လို႔ေခၚပါတယ္။ TRIM   TRIM-enabled  လုပ္ထားတဲ့ SSD  drives က  garbage  collection  (GC) ေၾကာင့္  ဖ်က္လိုက္တဲ့  Data ေတြကိုျပန္ရႏိုင္ဖို႔ခက္ခဲပါတယ္။ TRIM ဆိုတာက ဥပမာ အခ်က္အလက္တစ္ခုကို ဖ်က္လိုက္မယ္ဆိုရင္ SSD ထဲမွာ အၿပီးဖ်က္လိုက္မယ္ဆိုၿပီး SSD Controller က ေနတစ္ဆင့္ Data သိမ္းထားတဲ့ Page Or Block ထဲကို ဖ်က္ခိုင္းလိုက္တာပါ။ TRIM က  ကြန္ပ်ဴတာ ပါဝါ ပိတ္ထားလိုက္ရင္ လုပ္ေနတဲ့ အလုပ္ကို  ခနရပ္ထားပါတယ္။ ဒါေပမဲ့ ကြန္ပ်ဴတာ ပါဝါ ျပန္ဖြင့္တာနဲ႔ ျပန္အလုပ္လုပ္ပါတယ္။ ဘာလို႔လဲဆိုရင္ လုပ္ေနတဲ့ အလုပ္ကို SSD Controller ထဲမွာ သိမ္းထားလို႔ျဖစ္ပါတယ္။ Trim က RAID configuration, NAS configuration,  window 7 ႏွင့္ ေနာက္ပိုင္း ၿပီးရင္ SSD ကို External

Digital Forensics Quizs (34-35-36)

 Digital Forensics Quizs (34-35-36) #Question  Digital Forensics and Incident Response (DFIR) ကို Undergraduate ဒါမှမဟုတ် Graduate courses ဘယ်အဆင့်မှာ သင် သင့်ပါသလဲ ?  #Answer  Catch The Young ဆိုသလိုပဲ. ငယ်ရွယ်တဲ့အချိန်မှာ စပြီးသင်ယူတာ အကောင်းဆုံးဖြစ်ပါတယ်။ Undergraduate အဆင့်မှာ Cyber Security, Programming  လိုမျိုးဘာသာရပ်နဲ့ DFIR ဘာသာရပ်ကို  အခြေခံသင်သင့်ပါတယ်။ အခြေခံမရှိသေးတဲ့အတွက်  DFIR လိုမျိုးဘာသာရပ်ကို အရမ်းငယ်ရွယ်တဲ့ အချိန်ဆိုရင် သင်ယူဖို့မသင့်တော်ပါဘူး။ လက်ရှိ India DFIR Profrssional တော်တော်များများမှာ Programming အားနည်းပါတယ်။ ဘာလို့လဲဆိုရင် Undergraduate နဲ့ Post Graduate အဆင့်မှာ ကောင်းစွာမသင်ယူခဲ့ရလို့ဖြစ်ပါတယ်။DFIR တစ်ယောက်က  Applications Analysis အပိုင်းတွေလိုက်ဖို့အတွက် Programming  ကိုသိဖို့လိုအပ်ပါတယ်။   #Question  Digital Forensics Analysis Tools တွေကိုဝယ်ယူတဲ့အခါ ဘာတွေကို သတိထားသင့်ပါသလဲ ?  #Answer Digital Forensics Analysis Tools ရွေးချယ်တာက အရေးကြီးတဲ့ အပိုင်းမှာပါဝင်ပါတယ်။ ကိုယ်ရှာဖွေလိုတဲ့ အချက်အလက်တစ်ခုရဲ့  အဖြေကိုရနိုင်တဲ့ Analysis Tools တွေအများကြီးရှိပါတယ်

Digital Forensics Quiz 33

Image
 #Question Volatile Evidences တွေကိုဘယ်လိုရယူနိုင်ပါသလဲ ? #Answer Random Access Memory (RAM) က Volatile Information ဖြစ်ပါတယ်။ Computer Power Off တာနဲ့ အချက်အလက်တွေရှိတော့မှာ မဟုတ်ပါဘူး။ Storage Media ဖြစ်တဲ့ HHD SSD တို့ကိုတော့ Non Volatile Information လို့ခေါ်ပါတယ်။ Power Off နေပေမဲ့ အချက်အလက်တွေရှိနေတုန်းမို့လို့ပါ။ RAM ထဲမှာတော့ စစ်ဆေးသူစိတ်၀င်စားနိုင်တဲ့ အချက်အလက်တွေပါ၀င်နိုင်ပါတယ်။ ဥပမာ Execute Command , Clear Test Password, Unencrypted Information,IP Address, Encryption Key (Bitlocker or Ransomware)  Volatile Information ကိုရယူစဉ်ဂရုစိုက်ရမှာတွေက  Machine ရဲ့ Running လုပ်နေတဲ့ပုံစံမပျက်အောင်ထားပါ။ Running System ကို ဓာတ်ပုံရိုက်ကူးပါ  Document လုပ်ပါ။ Browser Activity , Opening Folder Opening Documents  Machine မှာ Encryption စနစ်သုံးထားခြင်း ရှိ မရှိ စစ်ဆေးပါ။ Machine ရဲ့ Operation System Version  ကို မှတ်သားပါ။ Machine ရဲ့ Current Time Date ကို မှတ်သားပါ ဓာတ်ပုံရိုက်ကူးပါ။  RAM Dump ကို Memory Stick ဖြင့်ရယူပါ။ အခြားသော Volatile Information များကိုရယူပါ။ Document Every Steps I

Digital Forensics Quizs (31-32)

  Digital Forensics Quizs (31-36)  #Queation  Anti Forensics ဆိုတာဘာလဲ ?  #Answer  Criminal ကျူးလွန်သူတွေက Anti Forensics လုပ်ခဲ့မယ်ဆိုရင် စစ်ဆေးသူအနေနဲ့တော်တော်‌လေး အခက်တွေ့နိုင်ပါတယ်။ Anti Forensics Methods တွေကတော့ data hiding အချက်အလက်တွေကို ဝှက်ထားခြင်း။data wiping အပြီးတိုင် ဖျက်ဆီးခြင်း။Tail obfuscation ရှုပ်ထွေးအောင်ပြုလုပ်ထားခြင်း Encryption ပြုလုပ်ခြင်း Stenography ပြုလုပ်ခြင်း Disk Cleaning ပြုလုပ်ခြင်း တို့ ဖြစ်ပါတယ်။ Anti Forensics ရဲ့ အဓိက ရည်ရွယ်ချက်ကတော့ Digital Forensics စနစ်တွေ အောက်သွားအောင် Digital Forensics Tools တွေရဲ့ လုပ်နိုင်စွမ်းရည် ကျဆင်းအောင် Recovery လုပ်လို့မရအောင် စစ်ဆေးသူ Knowledge မပြည့်ရင် စစ်ဆေးမှုမဖြစ်နိုင်အောင်ပြုလုပ်တာပဲ ဖြစ်ပါတယ်။  Anti Forensics ; Counter Forensics ပြုလုပ်ခြင်းကြောင့် Challenge တွေရှိလာပါတယ်။ စစ်ဆေးသူအနေနဲ့ Anti Forensics အလုပ်လုပ်ပုံတွေ နည်းလမ်းတွေကို သိရှိထားရမှာ ဖြစ်ပါတယ်။ ဒါမှသာ Anti Forensics ပြုလုပ်ထားမထား သိရှိနိုင်မှာ ဖြစ်ပါတယ်။ ဥပမာ  usboblivon ဆိုရင် ကွန်ပျူတာမှာ လာတပ်တဲ့ usb log တွေကို ဖျက်တာဖြစ်ပါတယ်။ သူက စပြီး Run တာ

Digital Forensics & Incident Response & OSINT START ME LINKS

 Digital Forensics & Incident Response နဲ့ OSINT  စတင်လေ့လာမဲ့သူတွေအတွက် အသုံး၀င်တဲ့ Links တွေစုစည်းပေးထားတာပါ။  Digital Forensics ဘက်စကူးတဲ့အချိန် တော်တော်ဒုက္ခရောက်ခဲ့ရတဲ့အတွက် နောက်လူတွေ အဆင်သင့် လေ့လာနိုင်အောင်ပါ။  ကူညီအားပေတဲ့သူတိုင်းကို ‌အထူးကျေးဇူးတင်ပါတယ်။  Good Luck  START ME LINKS