Day-16 (Trusted Platform Module) (TPM)

 Positive Day - 16

အမှန်တစ်ကယ်က Window 11 မှာ Trusted Platform Module (TPM) ပါမှ တင်လို့ရမယ်လို့ ပါလာတဲ့အတွက်ပါ။ (တစ်ကယ်တော့ TPM မပါလဲ Skipped လုပ်လို့ရပါတယ်။) 

အရင်အချိန်တွေကို ပြန်သွားကြည့်ရင် 

Pull and  Plug Methods 

ကျွန်တော်တို့ Desktop Or Laptop မှာ Secure Boot,Bootloader, Login Password  Password ခံထားရင် အသုံးပြုတဲ့နည်းပါ။ အချို့နိုင်ငံတွေမှာ 

Digital Forensics လုပ်ရင် ဥပဒေ နည်းဥပဒေရှိတဲ့အတွက် Konboot, Boot Disk လိုမျိုးတွေသုံးပြီး User Password ဖျက်တာ User Account နောက်တစ်ခု ထည့်တာတွေ လုပ်လို့မရနိုင်ပါဘူး။ အဲဒီအတွက် Alternative နည်းလမ်းဖြစ်တဲ့ Pull and Plug Methods ကိုအသုံးပြုပါတယ်။ 

(နောက်ပိုင်း အချို့နိုင်ငံများမှာ Sized လုပ်မဲ့ Digital Device အတွက် Warrant အပြင် Pin, Patter, Password,Biomateric အတွက် Warrant ပါထပ်ပြီးပါလာပါတယ်။)

Pull and Plug Methods ဆိုတာ တစ်ခြားတော့မဟုတ်ပါဘူး။ Desktop Or Laptop ထဲက Har၊ddisk, SSD ကိုဆွဲထုတ်ပြီး Forensics SOP အတိုင်းပြုလုပ်တာပါ။ 

ဖွင့်ဖို့ ဖြုတ်ဖို့မလွယ်တဲ့ အခါမှာတော့ ကျွန်တော် အရင်တစ်ပတ်လောက်က ရေးခဲ့တဲ့ Paladin Edge လိုဟာမျိုး တွေသုံးပါတယ်။

(User Password ကို ဖျက်တာ Account နောက်တစ်ခု ထပ်လုပ်တာမလုပ်ဘူးပေါ့။) 

တစ်ကယ်လို့ Bitlocker ခံထားတဲ့အနေအထားနဲ့ ကြုံလာခဲ့ရင် ... 


(Password ကို User ကိုမေးမယ်ဆိုတာကို ကျော်ထားပါတယ်။)


1 - Sized လုပ်တဲ့အချိန် Device Power ပွင့်နေရင် Ram Dump ပြုလုပ်ဖို့

 နည်းလမ်း

(Don't Forget To take pagefile. sys )

(ကွန်ပျူတာဖွင့်ပြီး Bitlocker Password ကို ရိုက်ပြီး Unlock လုပ်တဲ့အချိန်မှာ Password က Ram ထဲမှာ Device Power မပိတ်မချင်းရှိနေမှာဖြစ်ပါတယ်။)

2 - Sized  လုပ်တဲ့အချိန် Device Power Off ဖြစ်နေရင် Non Volatile Information တစ်ခုဖြစ်တဲ့ Pagefile.sys ထဲမှာ Bitlocker Key ရှိနေနိုင်ပါတယ်။

3 - (Device က Sleep or Hybernat အနေအထား ဖြစ်နေရင်လဲ Pagefile.sys ကိုပါ ရယူရပါမယ်။

 (Pagefile.sys အကြောင်းအရင်က ရေးပြီးပါပြီ။)

ဒါမှမဟုတ် Bitlocker Recovery Key က Microsoft Account ထဲမှာ Save ထားမလား 

https://onedrive.live.com/recoverykey

Device က AD , Azure AD သုံးရင် AD ထဲမှာရှိမလား 

USB Or Print Or Note ထဲမှာ များ ရှိမလား 

ဒါတွေတစ်ခုမှ မရဘူးဆိုရင် 

Storage ကို Forensics Image ရိုက်ပြီး Offline Password Attack နဲ့ Decrypt လုပ်ဖို့နည်းလမ်းပဲရှိပါတော့တယ်။ အချိန်တော့ယူရမှာ ဖြစ်ပါတယ်။ Social Engineering သုံးရမှာပေါ့။ 

(Offline Password Attack လုပ်နေတုန်း Storage Media က အကြောင်းအမျိူမျိုးကြောင့် ပျက်သွားနိုင်တဲ့အတွက် Forensics Image ပြုလုပ်ပြီးမှ Decrypt လုပ်တာဖြစ်ပါတယ်။ 

Comments

Popular posts from this blog

TikTok (tiktok.com) Imvestigation #OSINT

Google Reverse Location Search Warrants (GEOFENCE SEARCH WARRANT) And Transparency Report

Digital Forensics Investigator Hypothesis -1