Digital Forensics Myanmar

Secure digital (SD) တွေကို Standard ဖြစ်စေဖို့ SD Association ကနေ ၂၀၀၀ ခုနှစ်မှာ Company 3 ခုနဲ့ စတင်ခဲ့တာ အခုဆိုရင် Company 900 ကျော်ရှိနေပါပြီ။ SD card တွေမှာ လူသုံးနည်းတဲ့ Features ကတော့ CMD42 ဆိုတဲ့ Password Lock-Unlock စနစ်ပဲဖြစ်ပါတယ်။ SD Card တိုင်းမှာ Standard အရ ပါဝင်ပါတယ်။ CMD 42 ကိုသုံးတဲ့လူ နည်းပါတယ်။ CMD42 ဆိုတာကတော့ Host System ကနေ SD, microSD, miniSD နဲ့  eMMC devices တွေကို Lock Unlock ဖြစ်အောင် 16-byte (maximum length)  password ပေးနိုင်ပါတယ်။ Encryption မဟုတ်ပဲ Password ပေးတာဖြစ်ပါတယ်။  eMMc တွေက SD ထဲမှာ မပါပေမဲ့ CMD42 Features ကိုသုံးပါတယ်။ သုံးနေတဲ့ winsow OSX linux တွေက CMD 42 ကို မစစ်ဆေးနိုင်ပါဘူး။ Card Reader တွေမှာလဲ မစစ်ဆေးနိုင်ပါဘူး။ SD-eMMC Controller ကို တိုက်ရိုက်မဖတ်နိုင်လို့ ဖြစ်ပါတယိ။  CMD42 Commad ပေးထားရင် SD Card ကို Forensics Tools တင်ထားတဲ့ Window OSX linux စက်တွေက မဖတ်နိုင်ပါဘူး။ Image ရိုက်ယူလို့မရနိုင်ပါ။ Data ရဖို့မလွယ်ကူပါ။ဖတ်နိုင်ဖို့ Operating Systems Kernel အထိပြင်ရမှာ ဖြစ်ပါတယ်။ CMD 42 ပါတတ်တာတွေကတော့ Mobile Device IoT Device Vehicle Inform

 Android Application Downgrade  Forensics ကျွန်တော်တို့ Andriod ဖုန်းတွေမှာ အချို့က Data Backup မပေးတာတွေကြုံလာရတဲ့အခါ Backup မယူနိုင်တဲ့အခါတွေမှာ App Downgrade ပြုလုပ်တာကိုသုံးပါတယ်။ အရင်တုန်းက ကိုယ်စစ်ဆေးလိုတဲ့ App Data တွေကို Adb Backup ယူပြီး ရယူပါတယ်။ ပြီးမှ Analysis လုပ်တာပေါ့။ဒါပေမဲ့ နောက်ပိုင်း Third Party Appliction ဥပမာ  Facebook Whatap တွေမှာ Adb Backup ကို User တွေရဲ့ Privacy နဲ့ Security အရ အသုံးပြုလို့မရတော့ပါဘူး။  ဒါ့ကြောင့် Android Application Downgrade  နည်းလမ်းကို အသုံးပြုလာပါတယ်။ ဘယ်လိုလဲဆိုရင် Very Simple ပါ။ ကိုယ် စစ်ဆေးမဲ့ Application ကို  Adb Command Support ပေးတဲ့ Version. အထိ Downgrade ချလိုက်တာဖြစ်ပါတယ်။ adb Backup Support ပေးတဲ့ App Version ကို Install လုပ်တာပါ။ Adb Command ကနေ App ကို Data ချန်ပြီး Uninstall လုပ်။ ပြီးရင် Adb Command Support ပေးတဲ့ Version ကို Install လုပ်ပါတယ်။ Install လုပ်ပြီးရင် adb Command Support ပေးပြီး ဖြစ်တဲ့အတွက် App Data ကို Backup ယူပြီး Analysis လုပ်ပါတယ်။ Note ကျွမ်းကျင်တဲ့သူအတွက်သာဖြစ်ပါတယ်။ မှားသွားရင် App Data က လုံးဝ ပျက်သွာ

 HDD,  Flash  Drive,  etc  စတာတွေကို Forencisally Sound Manner (Imaging) အနေနဲ့ Bit  by  Bit  Image ယူတဲ့အခါမှာ HDD,  Flash  Drive မှာ ရှိသလောက် Bit တွေကို အကုန်ရရှိတာမဟုတ်ပါဘူး။ ပုံမှာ ပြထားတဲ့ User Addressable နေရာကိုပဲ Image လုပ်ယူနိုင်တာဖြစ်ပါတယ်။  Service/System Area ထဲမှာပါဝင်တဲ့ Servo  Information,  Firmware, SMART   (Self-Monitoring,   Analysis   and   reporting Technology ) စတဲ့ အချက်အလက်တွေကို မရရှိနိုင်ပါဘူး။ Servo Information ကတော့ HDD ရဲ့Spindle  လည်ပတ်နှုန်း  Head နဲ့ Actuator Arm ရွေ့လျားမှုဖြစ်ပါတယ်။ Firmware ကိုတော့ PCB ရဲ့ ROM ထဲမှာ ရှိပြီး HDD  Boot Up လုပ်ဖို့  HDD ထဲမှာ သိမ်းထားတဲ့ Data တွေရဲ့ Physical , Logical ​Location တွေကို Compuer ကို ပြောပြပေးပါတယ်။ Host  Protected  Area     (HPA) ထဲမှာ ပါဝင်တာကတော့ Factory  Reset,  Diagnostic Programs တွေဖြစ်ပါတယ်။ အချို့သော Malwares တွေက Detect မဖြစ်အောင် HPA ထဲမှာ ရှိနေတတ်ပါတယ်။  Device   Configuration   Overlay   (DCO) ကတော့  PC Laptop Vendor တွေကနေ သူတို့ထုတ်မဲ့ အမျိုးအစား Operation System အပေါ်မူတည်ပြီး တပ်ဆင်မဲ့ HDD အ