eCDFP (Introduction to Digital Forensics ) - Part-2


Digital Forensics ပြုလုပ်တဲ့ အခါမှာ အဓိက အခြေခံလိုအပ်ချက်တွေကတော့ 

Digital Evidence + Digital Forensics Tools + Scientific Methods 

ဘယ်လို Crime မျိုးမျိုးဖြစ်ဖြစ် အဓိက လိုအပ်တာက Evidence ပဲဖြစ်ပါတယ်။ ဥပမာ လူသတ်မှုမျိုးဆို လက်‌ဗွေ DNA 

Evidence 

Digital World မှာတော့ Digital Evidence ကို အဓိပ္ပာယ်ဖွင့်ဆိုရင်ရင် Digital Information ကို 

Store, Transmit, Produce, လုပ်နိုင်တဲ့ Electronic Device / Software မှန်သမျှကို Digital Evidence လို့သတ်မှတ်ပါတယ်။ ဥပမာ Photo, Download File, Print logs, Browsing History, Email, Deleted File, etc...

Crime Scene တစ်ခုမှာ Digital Devices တွေပါ၀င်လာရင် အထူးသတိထားရမှာ ဖြစ်ပါတယ်။ Digital Evidence တွေ Device တွေက ပျက်စီးလွယ် အစားထိုးလွယ်လို့ Device and Application တွေဘယ်လိုအလုပ်လုပ်တယ် ဘယ်နေရာမှာ သုံးစွဲတယ်ဆိုတာကို သိထားရမှာ ဖြစ်ပါတယ်။ သိမ်းဆည်းတဲ့ နေရာမှာ စနစ်မကျဘူးဆိုရင် Court မှာသက်သေခံ မ၀င်နိုင်တဲ့ အထိဖြစ်သွားနိုင်ပါတယ်။ ဒါတင်မက Investigator ရဲ့ Knowledge and Process Evidence Quality အစရှိတာတွေက Court မှာအဆုံးအဖြတ်ပေးသွားမှာ ဖြစ်ပါတယ်။ 

(အချို့သော နိုင်ငံတော်တော်များများမှာ Digital Evidence နဲ့ပတ်သတ်လာရင် Rules, Producer, SOP တွေ သီးသန့်ရှိပါတယ်။)

Digital Forensics Tools 

Tools တွေက Digital Forensics ပြုလုပ်တဲ့နေရာမှာ အရေးကြီးတဲ့နေရာက‌နေ ပါ၀င်ပါတယ်။ ဒါပေမဲ့ Digital Forensics က Tools သုံးတာပဲ မဟုတ်ပါဘူး။

Investigator က သူအသုံးပြုတဲ့ Tools and Technology နဲ့ ပတ်သတ်လာရင် deep Understanding  ဖြစ်နေရပါမယ်။ ဒါတင်မကပါဘူး

Device ကနေ Evidence ကို ဘယ်လို Acquire လုပ်မယ်။ Acquire ကနေရလာတာကို ဘယ်လို Process လုပ်မယ်။ Tools မှာပေါ်လာတာတွေကို ဘယ်လို အဓိပ္ပာယ်ရှိလဲဆိုတာကို နားလည်ရပါမယ်။ 

ဘာမှမသိပဲ လျှောက် Click တဲ့ Click Monkey မဖြစ်စေချင်ပါဘူး။

Digital Foren Tools ‌တွေသုံးစွဲရမှာ 3 မျိုးရှိတဲ့အထဲကနေ case အပေါ်မူတည်ပြီး ကိုယ်အတွက် အကောင်းဆုံးဖြစ်မဲ့ဟာကို ရွေးချယ်နိုင်ပါတယ်။

Commercial Tools, Open Source, Your Own 

Investigator က စစ်ဆေးရုံတင်မကပဲ Digital Devices ကို ပုံမှန်မဟုတ်တဲ့ ဖျက်ထား ပြင်ထား ပေါင်းထည့်ထားတာ စတဲ့ အကြောင်းအရာတွေကို သိရှိနားလည်းထားရပါမယ်။ Scientific Methods နည်းလမ်းတွေနဲ့ အသုံးချရပါမယ်။ data တွေကို Analysis လုပ်ရုံမက Smaple တွေနဲ့ တိုက်ဆိုင် စစ်ဆေးနိုင်ရပါမယ်။

Data and characteristics တွေနဲ့ Technology ကို လျစ်လျှူရှုမယ်ဆိုတာ Investigator တစ်ယောက်အနေနဲ့ မဖြစ်သင့်ပါဘူး။ 

Scientific Methods မှာ Investigation လုပ်တဲ့ နည်းလမ်းတွေ တိုးတက်လာတဲ့နည်းပညာတွေ လေ့လာလို့ရရှိလာတဲ့ နည်းလမ်းတွေကနေ အမှားရှိရင်ပြင်ဆင်ခြင်း။ ကိုယ်သိထားတာ လိုအပ်နေတာတွေရှိရင်

ပိုကောင်းအောင် ပြင်ဆင်ခြင်းတို့ ပါ၀င်ပါတယ်။ 

ဒါတွေကို စနစ်တကျဆောင်ရွက်ရင် ကိုယ်လုပ်ရမဲ့ Mission မှာ အထောက်အကူ အများကြီး ဖြစ်ပါတယ်။

Methdology ကတော့ ရိုးရိုးရှင်းရှင်း‌လေးပါ။ 

- Observating 

- Collecting Data and Facts 

- Finally Building Hypothesis base on data   Collected

နောက်တစ်ဆင့်ကတော့ ရလာတဲ့ Hypothesis ‌ကနေ Predict လုပ်မှာဖြစ်ပါတယ်။ Predict လုပ်တဲ့နေရာမှာလဲ Predict လုပ်တဲ့ အကြောင်း အရာက Test, Prove လုပ်တာခံနိုင်ဖို့လိုပါတယ်။ အဓိပွာယ်မဲ့ ထင်ရာ တွေးထား လုပ်ထားတာ မဖြစ်စေရပါဘူး။ 

Predict လုပ်ထားပေမဲ့ Error ဖြစ်ခဲ့ရင် အဆင်မပြေခဲ့ရင် အခြားနည်းလမ်းကို ရှာဖွေပြီး အရင်က Hypothesis ကို disaprove လုပ်ရမှာ ဖြစ်ပါတယ်။ 

Prove or Disaprove လုပ်တာက Investigation အတွက် အထောက်အပံ့ရနိုင်မယ်ထင်တဲ့ data ,facts တွေကို Collect လုပ်ကတည်းက သိသာပါတယ်။ 

Data တွေကို Extract လုပ်တာ Hypothesis လုပ်တာ Producer တွေကို Scientific နည်းလမ်းအတိုင်းဖြစ်ရပါမယ်။ ရှင်းပြ သက်သေပြလို့ရနိုင်ရပါမယ်။ တစ်ကယ်လို့ Scientific နည်းလမ်းအတိုင်း မဖြစ်ဘူး သက်သေမပြနိုင်ဘူးဆိုရင် Evidence က  Credibility မဖြစ်ပါဘူး။သက်သေခံမ၀င်နိုင်ပါဘူး။

Methdology ကို ပိုနားလည်အောင် ဥပမာနဲ့ ရှင်းပါမယ်။

Q- User တစ်ယောက်က 10-11 AM ကြားမှာ ကွန်ပျူတာသုံးထားသလား 

Observing 

သက်သေပြနိုင်မဲ့ ကွန်ပျူတာထဲက အကြောင်းအရာတွေရှာဖွေပါမယ်။ Registry , Event logs and Data , etc ...

Collecting 

သက်သေပြနိုင်မဲ့ အချက်အလက်တွေအားလုံးကို Collect လုပ်ပါမယ်။ 

Building Hypothesis 

Collect လုပ်လို့ရတဲ့  အချက်အလက်တွေကနေ 

10-11 Am အကြား ကွန်ပျူတာ သုံးမသုံးကို ပြနိုင်မဲ့ 

Evidence နဲ့ နည်းလမ်းကို ရယူပါတယ်။ 

ဒီနေရာမှာ Window Registry နဲ့ သက်သေပြမယ်လို့

ဆုံးဖြတ်လိုက်ပါတယ်။ Window Registry ကိုမှ Open Source သုံးပြီးပြမယ်လို့ ရွေးချယ်လိုက်ပါတယ်။ 

Window Registry ထဲမှာ တွေ့ပြီဆိုကြပါစို့ ။

Scientific နည်းနဲ့ သက်သေပြနိုင်သလို အခြားသော Commercial Tools တွေနဲ့လဲ Window Registry ကို စစ်ဆေးရင် ရနိုင်ပါတယ်။ 

Unlucky,  Window Registry ထဲမှာမတွေ့ဘူး။ 

Window Registry နည်းလမ်းနဲ့ သက်သေပြဖို့လုပ်ထားတာ Hypothesis အရမှားပြီး။ အခြားနည်းလမ်းဖြစ်တဲ့ Metadata စစ်ဆေးနည်းနဲ့စစ်ဖို့ ပြန်တွေးလိုက်တယ်။ 

Yeah - Browsing History ကနေ မြမြကို 10:20:31 မှာရှာတယ်။ ()site ကနေ () အချိန်မှာ Down တယ်။ ()အချိန်မှာ ဖွင့်ကြည့်ခဲ့တယ်။ ခုနကလိုပဲ အခြားဘယ်လိုနည်းလမ်းနဲ့ပဲ စမ်းစမ်း Scientific ကျသလို

test and Prove ပြနိုင်ပါတယ်။ Scientific နည်းလမ်းမဟုတ်ပဲ အခြားနည်းလမ်းနဲ့ Hypothesis လုပ်ထား စစ်ဆေးထားတာလားဆိုတာ Test and Prove မှာ သိသာပါတယ်။ 

(ဥပမာ က methdology အတွက်အဓိက ဖြစ်ပါတယ်။) 

Comments

Popular posts from this blog

NTFS Index Attributes

B-Trees (NTFS)

eCDFP (Module-6) (Window Forensics) (Part - 1 )