eCDFP (Introduction to Digital Forensics ) - Part-3

Digital Forensics Life Cycle

Digital Forensics Life Cycle မှာ အဆင့် 3 ဆင့်ရှိပါတယ်။ Evidence က မှန်ကန်ဖို့ ခိုင်လိုဖို့ ဒီအဆင့် 3 ဆင့်ကို လိုက်နာဖို့  လုပ်‌ဆောင်ဖို့ အကြံပြုပါတယ်။ 


                                    Acquisition - Analysis - Presentation 


Acquisition 

Acquisition ဆိုတာကတော့ Storage Media  ကို Forensics Image (Forensically Sound image )ကို Physically, Remotely  ပြုလုပ်ခြင်းဖြစ်ပါတယ်။ 

(Data Center လိုမျိုး Storage ပမာဏများပြားတဲ့နေရာ Downtime ပြုလုပ်လို့ မရတဲ့နေရာတွေမှာ Remote Acquisition နည်းလမ်းကို အသုံးပြူပါတယ်။ 

Acquisition အဆင့်ဟာ Evidence Vaild ဖြစ်မဖြစ်ဟာ ဆုံးဖြတ်တဲ့ အတွက် အရေးကြီးတဲ့ အပိုင်းဖြစ်ပါတယ်။ ဒါအပြင် အခြားအရေးကြီးတဲ့ အကြောင်းအရာဖြစ်တဲ့ Illegally ပြုလုပ်တာ မပြည့်မစုံ မမှန်မကုန်စွာ လုပ်တာတွေက ကျန်တဲ့ အဆင့်‌တွေပေါ်မှာ သွားပြီးသက်ရောက်ပါတယ်။ Results မမှန်ကန်နိုင်ပါဘူး။

Example -  Evidence ဖြစ်အောင် အခြားအရာတွေ ထပ်မံထည့်သွင်းခြင်း။ Storage Media ကို မပြည့်မစုံ Image ပြုလုပ်ခြင်း။ 

CSI Series ထဲမှာတော့ To get to the evidence, we might destroy the evidence လို့ဆိုပေမဲ့ Digital Forensics မှာ အဲဒီလိုပြုလုပ်လို့မရနိုင်ပါဘူး။ Digital Evidence ဟာ ပျက်စီးလွယ်ပါတယ်။ ရည်ရွယ်ချက်ရှိရှိ သို့မဟုတ် မရည်ရွယ်ပဲနဲ့လဲ ပျက်စီးနိုင်ပါတယ်။ 

Fast-Changing Nature လို့သတ်မှတ်ပါတယ်။ Changes က Acquisition, Analysis, Transfer, Present လုပ်တဲ့ အဆင့်တိုင်းလိုလိုမှာ ပျက်စီးနိုင်ပါတယ်။ 

Investigator က Evidence မပျက်စီးအောင် ကိုယ်တွယ်စစ်ဆေးဖို့အတွက် တာ၀န်ရှိပါတယ်။ 

တွေရှိတဲ့ Evidence data နဲ့ ပြောင်းလဲပြင်ဆင်ခြင်း မရှိဘူးဆိုတာကို အာမခံရမှာဖြစ်ပါတယ်။ 

Acquisition Phase ကို စနစ်တကျ ဂရုစိုက်ပြီးလုပ်သင့်ပါတယ်။  တစ်စုံတစ်ခုမှားယွင်းရင် ရရှိလာတဲ့ Results တွေ ကွဲပြားမှာဖြစ်ပါတယ်။

ဥပမာ Investigator က Acquisition လုပ်နေရင်းနဲ့ မပြီးခင်မှာ File တစ်ခုကို ဖွင့်ကြည့်ရင် ဖွင့်ကြည့်တဲ့ file ရဲ့ MAC (Modified, Access ,Creation) အချိန်က ပြောင်းလဲသွားမှာဖြစ်ပါတယ်။ File ကို Last Access ပြုလုပ်သူက Suspect မဟုတ်ပဲ ကိုယ်ကိုယ်တိုင် ဖြစ်သွားပါမယ်။ 

အခြားအရေးကြီးတဲ့အချက်ကတော့ First Responder က  Crime Scene မှာ  Digital Devices နား လူမကပ်စေဖို့ပဲ ဖြစ်ပါတယ်။ နောက်ထပ်လုပ်ဆောင်ရမှာကတော့ 

Running ဖြစ်နေတဲ့ System ဆိုရင် Screen ပေါ်မှာ ပေါ်နေသမျှ ဖွင့်ထားသမျှကို မှတ်တမ်းတင်ရန်ဖြစ်ပါတယ်။နောက်တစ်ခုက Ram imgae Capture ယူဖို့ဖြစ်ပါတယ်။ ဒါမှ Running ဖြစ်နေစဉ်မှာ Suspect က ဘာတွေလုပ်ထားတယ် ဘာတွေ ဖြစ်ခဲ့တယ်ဆိုတာကို သိနိုင်မှာ ဖြစ်ပါတယ်။ 

(Acquisition အဆင့်တွေကို ပိုမို ပြည့်စုံအောင် ပုံနဲ့  တစ်ကွ Step By Step 2019 ခုနှစ်ကတည်းက Vlog မှာ ဖော်ပြထားပြီးသား ဖြစ်ပါတယ်။

eCDFP မှာ Acquisition လို့သုံးနှုန်းပါတယ်။‌ နောက်ထပ် Evidence Seizure လို့လဲ သုံးနှုန်းပါတယ်။) Evidence ကို Forensics Image (Forensically Image) ပြုလုပ်တာကို Acquisition လို့သုံးနှုန်းတာက ပိုအဆင်ပြေပါတယ်။( Evidence Seizure က‌ပိုမှန်ပေမဲ့ Course အတိုင်း Acquisition လို့ပဲသုံးနှုန်းပါမည်။)

System Running ဖြစ်နေစဉ်မှာ Power မပြတ်စေဖို့ဂရုစိုက်ရမှာဖြစ်ပါတယ်။ Photo Or Ram Capture ခုလုပ်နေတုန်း အသုံး၀င်နိုင်မဲ့ Artifacts တွေမပျက်စီးစေရန်ဖြစ်ပါတယ်။ 

(Incident Response, Malwares Analysis အဆင့်မှာလဲ Ram Acquisition အဆင့်တွေပါ၀င်ပါတယ်။)

System Running ဖြစ်နေစဉ် တစ်ခုသတိထားရမှာ

Wipe or Format ပြုလုပ်နေလား မနေဘူးလားဆိုတာပါပဲ။ အကယ်လို့ ပြုလုပ်နေတယ်ဆိုရင် အနီးစပ်ဆုံး ပါဝါပိတ်စေမဲ့ Power Source ကို ချက်ချင်းဆွဲဖြုတ်ရမှာ ဖြစ်ပါတယ်။ 

Device က ပါဝါပိတ်နေမယ်ဆိုရင် Acquisition လုပ်ရတာပိုမိုလွယ်ကူပါတယ်။ လုပ်ရမဲ့အဆင့်တွေကတော့ 

Leave the Device Power Off

Put the evidence In container or bags

Seal with tape

Write on the tape.

Tape ပေါ်မှာစာရေးတာက တစ်ယောက်ယောက် ဖောက်ကြည့်မယ်ဆိုရင် သိသာစေဖို့ဖြစ်ပါတယ်။ နောက်ဆုံးမှာ Evidence device က Seal လုပ်ထားတဲ့ ဘူး သို့မဟုတ် အိတ်ထဲကို Analysis လုပ်ဖို့အတွက် ရောက်ရှိသွားပါပြီ။ ထည့်တဲ့အိတ်ကို အလွယ်တစ်ကူ ဖွင့်လို့မရအောင် သတိထားရပါမယ်။ Acquisition ပြုလုပ်တဲ့ Step By Step အလိုက် Documents ပြုလုပ်ထားပြီး ဆက်စပ်တဲ့ Digital Devices , important Note  , etc စတာတွေကို ရှာဖွေရမှာဖြစ်ပါတယ်။ 


Comments

Popular posts from this blog

B-Trees (NTFS)

NTFS Index Attributes

Volatility Workbench (GUI) for the Volatility tool