eCDFP (Data Acquisition) - (Part -1)

Data Acquisition

ကျွန်တော်တို့ Information Security မှာလိုပဲ Digital Forensics လုပ်မယ်ဆိုရင် Investigator က အရင်ဆုံး Data တွေကို Collect လုပ်ရပါတယ်။ Investigator အနေနဲ့ လုပ်ငန်းခွင်မှာ Evidence နဲ့ပတ်သတ်တဲ့ System/Storage တွေကိုကိုင်တွယ်ရတာမျိုးရှိလာပါမယ်။ System/ Storage က Suspect သို့မဟုတ် Victim ရဲ့ ပစ္စည်းဖြစ်နိုင်ပါတယ်။ ကျွန်တော်တို့ အနေနဲ့ မူရင်း System/ Storage ကို ဥပဒေပိုင်းအရဆောင်ရွက်ရမှာဖြစ်တဲ့အတွက် System ကိုတိုက်ရိုက် Analysis မပြုလုပ်ပါ။ 

What Is Acquisition? 

Acquisition ဆိုသည်မှာ Evidence Device တွေကို Forensics Copy ပြုလုပ်ခြင်းဖြစ်ပါတယ်။ Evidence Device တွေက (Hard Disk, USB, Etc …) တွေဖြစ်နိုင်ပါတယ်။

Investigator က Analysis ပြုလုပ်ရင်းကြုံတွေ့လာနိုင်တဲ့ ပြသာနာတွေကို ရှောင်ရှားနိုင်ဖို့ အတွက် သူ Analysis ပြုလုပ်ရတဲ့ Physical System မှာ တိုက်ရိုက်လုပ်ဆောင်ခြင်းမရှိသင့်ပါ။ ဒါကြောင့် Investigator တွေက သူတို့ စစ်ဆေးမဲ့ System ရဲ့ Forensics Image ကိုရယူပြီး  Analysis ပြုလုပ်ပါတယ်။ Forensics Image က System Storage အကုန်လုံးလဲ ဖြစ်နိုင်ပါတယ်။ ဒါကြောင့် Data Acquisition က System/machine ကနေ Image ရယူတဲ့ လုပ်ငန်းစဉ်ဖြစ်ပါတယ်။ 

Why Do We Acquire? 

Investigator ကနေ ဘာလို့ Suspect ရဲ့ စက်ကို တိုက်ရိုက် Aanlysis မပြလုပ်လုပ်ရတာလဲဆိုတဲ့ အကြောင်းအရင်းများစွာရှိပါတယ်။ 

- Analysis ပြုလုပ်နေစဉ်အတွင်း Evidence ပျက်စီးနိုင်ခြင်း။

- အချို့သော Case  များတွင် တစ်ဖက်မှ Analysis  ပြီးဆုံးတဲ့အချိန်အထိ Evidence ပစ္စည်းကို မထားခဲ့နိုင်ခြင်း။

- System Down Time မပေးတဲ့ နေရာတွေ ဒါမှမဟုတ် သယ်ယူဖို့မလွယ်ကူတဲ့ System တွေကို စစ်ဆေးရမည့် အချိန်။ Server ကြီးတစ်ခုလုံးကို lab ကို ယူလာပြီး စစ်ဆေးဖို့မလွယ်ကူပါဘူး။ (အခုအချိန်မှာတော့ Remote Acquisition နည်းလမ်းတွေရှိလာနေပါပြီ။) 

- မူရင်း Storage/ System  တစ်ခုထဲဆိုရင် သက်ဆိုင်ရာအဖွဲ့အလိုက် ဒါမှမဟုတ် စစ်ဆေးတဲ့သူတွေက တစ်ပြိုင်ထဲ စစ်ဆေးဖို့မဖြစ်နိုင်ခြင်း။



ပုံမှာဆိုရင် System/Storage တစ်ခုထဲကိုပဲ A က Video File ကို စစ်ဆေးချင်တယ်။ B Image File ကို စစ်ဆေးနိုင်ချင်တယ်။ အဲလိုအနေအထားဆိုရင် Acquisition  မပြုလုပ်ပဲ Analysis ပြုလုပ်မယ်ဆိုရင် မလွယ်ကူနိုင်ပါ။ (အခုနောက်ပိုင်းမှာတော့ Centralized နေရာမှာ Forensics Image ကိုထားပြီး လူအများကနေ ကိုယ်နဲသက်ဆိုင်ရာ အပိုင်းအလိုက်စစ်ဆေးတာတွေလဲလုပ်နေကြပါပြီ။) 

Forensics Image ပြုလုပ်တဲ့ အပိုင်းကိုမသွားခင်မှာ သတိထားရမဲ့ အချက်တွေကိုကို မှတ်ထားဖို့လိုပါတယ်။ မူရင်း System/Storage ကို တိုက်ရိုက် Analysis မလုပ်ဖို့နဲ့ ပထမ Forensics Image ကို Analysis မလုပ်ဖို့သတိပေးလိုပါတယ်။ ဘာလို့လဲဆိုရင် ပထမဆုံး Forensics Image က Verify ဖြစ်တဲ့အတွက်ကြောင့်ဖြစ်ပါတယ်။ Verify အကြောင်းကို နောက်ပိုင်းမှာ ရှင်းလင်းသွားပါမယ်။ နောက်ပြီး ပထမဆုံး Forensics Image ကို ပြုပြင်ပြောင်းလဲတာတွေမဖြစ်အောင်လဲ Protect ပြုလုပ်ရပါမယ်။ (အချို့ Methodology တွေမှာ Forensics Image ကို ၂ ခုယူခိုင်းပါတယ်။ Analysis ပြုလုပ်နေရင်း တစ်ခုခုဖြစ်သွားရင် နောက်တစ်ခုနဲ့ အရန်သင့်ပြုလုပ်နိုင်အောင်ဖြစ်ပါတယ်။ Commercial Imaging Tools တွေမှာ Image စယူကတည်းက Forensics Image  ၂ ခု တစ်ခါတည်းယူနိုင်ပါတယ်။) (ဒါတွေကို ရတဲ့အချိန်နဲ့ Image ယူတဲ့ Storage Size အပေါ်လဲမူတည်ပြီး လုပ်ဆောင်နိုင်ပါတယ်။) 

Volatility 

Volatility  ဆိုတာက Data တွေရဲ့ ပြောင်းလဲနိုင်မှု၊ သို့မဟုတှ်Storage ပေါ်မှာ သိမ်းထားတဲ့ Data တွေ ဘယ်လိုအခြေအနေမှာ ပြောင်းလဲနိုင် ပျက်စီးနိုင်သလဲ ဆိုတာဖြစ်ပါတယ်။ ဥပမာ RAM ပေါ်မှာ သိမ်းထားတဲ့ Data တွေက Hard Disk ပေါ်မှာသိမ်းထားတဲ့ Data တွေထက်ပိုပြီး ပျက်စီးနိုင်ပါတယ်။ Restart/ Power Off တာနဲ့ RAM ပေါ်က Data တွေက Hard Disk မှာ သိမ်းထားတဲ့ Data တွေလိုမဟုတ်ပဲ ပျက်စီးသွားပါတယ်။ 

Order Of Volatility 

Investigator တစ်ယောက်က Device ကနေ Evidence Acquire လုပ်တော့မယ်ဆိုရင် Order Of Volatility 

ကိုအရင်ဆုံးစဉ်းစားသင့်ပါတယ်။ အပေါ်က ဥပမာအတိုင်းပဲ RAM ပေါ်က Data တွေက Hard Disk မှာ သိမ်းထားတဲ့ Data တွေထက်ပိုပြီး ပျက်စီးနိုင်ပါတယ်။ ပုံတွင် Device ပေါ်မှာ  Volatility ဖြစ်နိုင်မှု  အနည်းအများအပေါ်မူတည်ပြီး ပြသထားပါတယ်။ 

CPU ထဲမက Register တွေက ပိုပြီး assembly instruction တွေကြောင့်  ပျက်စီးမှုအများဆုံးဖြစ်နိုင်ပါတယ်။ ပျက်စီးနိုင်မှုအနည်းဆုံးက HDD and External Storage တွေပဲဖြစ်ပါတယ်။ Evidence Acquire ပြုလုပ်တဲ့အချိန်မှာ Order Of Volatility အတိုင်းဦးစားပေးပြီး Acquire လုပ်သင့်ပါတယ်။ (Digital Forensics မှာတော့ RAM – Storage – External Storage အစဉ်အတိုင်းသွားမှာ ဖြစ်ပါတယ်။) 



Type Of Data Acquisition 

Data Acquisition  နည်းလမ်းမှာ ၂ မျိုးရှိပါတယ်။  

- Static Acquisition 

- Dynamic / Live Acquisition 

နည်းလမ်း 2 ခုထဲကမှ Order Of Volatility နဲ့ Case  အပေါ်မူတည်ပြီး ဆောင်ရွက်ရမှာ ဖြစ်ပါတယ်။ 

Static Acquisition 

Non – Volatile Data တွေကို  Acquire လုပ်ခြင်း။ System Reboot/Shutdown  ဖြစ်သွားလျှင်  မပျက်စီးပဲ ကျန်နေမဲ့ Data တွေကို Acquire ပြုလုပ်ခြင်း ဖြစ်ပါတယ်။ ဥပမာ Hard Disk, USB

Dynamic / Live Acquisition 

System Reboot/Shutdown  ကျသွားရင် ပျက်စီးသွားနိုင်တဲ့ Data တွေကို System Live ဖြစ်နေတဲ့ အချိန်မှာ Acquire ပြုလုပ်တာ ဖြစ်ပါတယ်။ Live ဖြစ်နေတဲ့အချိန် ရရှိနိုင်မဲ့ Data တွေက ပိုပြီး အရေးကြီးတဲ့အချိန်မှာ ပြုလုပ်ခြင်းဖြစ်ပါတယ်။ ဥပမာ Incident Response ။ (Live ဖြစ်နေရင် ရနိုင်မဲ့ Data တွေ Bitlocker နဲ့ပတ်သတ်တာတွကို ရေးသားပြီး ဖြစ်ပါတယ်။)

 ဒါပေမဲ့ Static Acquisition ပြုလုပ်တဲ့အခါမှာလဲ Dynamic / Live Acquisition မှာမရခဲ့တဲ့ Memory File တွေကို ရရှိနိုင်ပါတယ်။ (ဥပမာ။ Pagefile.sys hyberfil.sys) (ဒီအကြောင်းတွေကိုလဲ ရေးသားပြီး ဖြစ်ပါတယ်။) 

Dead Acquisition 

တစ်စုံတစ်ယောက်က Operation System မှာ Malwares/ Rootkits တွေကို Install ပြုလုပ်ထားတဲ့အချိန်မှာ Operation System က မယုံကြည်ရတဲ့အတွက် OS Data တွေမပါပဲ  ကျန်တဲ့ Data တွေကို Acquire ပြုလုပ်ခြင်း ဖြစ်ပါတယ်။ 

Storage Formats

ကျွန်တော်တို့ Image ရယူမည့် အချိန်မှာ စဉ်းစားရမဲ့  အချက်က ကိုယ်ယူမဲ့ Forensics Image က ဘယ်လို Image File  Type မျိုးနဲ့ရယူရမလဲ Forensics Image ကိုဘယ်နေရာမှာ သိမ်းမလဲဆိုတာပဲ  ဖြစ်ပါတယ်။ အသုံးပြုတဲ့ Imaging Tools အပေါ်မူတည်ပြီး Forensics Image ကို Read, Write, Analysis ပြုလုပ်တာ မှာ ကွာခြားနိုင်ပါတယ်။ 

Raw Format 

Forensics Image ပြုလုပ်တဲ့နေရမှာ လွယ်ကူရိုးရှင်းတဲ့နည်လမ်းဖြစ်ပါတယ်။ RAW ဆိုတာက The data is read from the source device’s disk written on the file ဖြစ်ပါတယ်။ Raw Format ပြုလုပ်ပြီး Mount and analysis ပြုလုပ်တာကို နောက်ပိုင်းမှ ပြုလုပ်နိုင်ပါတယ်။ 

Raw Format က Data Transfer Rate မြန်ဆန်သလို Forensics Tools တော်တော်များများမှာလဲ အသုံးပြုနိုင်ပါတယ်။ မတူညီတဲ့ Forensics Tools တွေနဲ့ တွဲဖက်အသုံးပြုနိုင်ပြီး ရလာတဲ့ Result ကို Cross Check လုပ်လို့လွယ်ကူပါတယ်။ (ဥပမာ Encase မှာ Raw Format ကို ထည့်သွင်းပြီး Analysis ရလာတဲ့ Result နဲ့ Autopsy မှာ Raw Format ကို ထည့်သွင်းပြီးရလာတဲ့ Result ကို နှိုင်းယှဉ်ကြည့်ခြင်း။)

အားနည်းချက်ကတော့ Raw Format က Data Read တဲ့နေရာမှာ Disk ပေါ်က Error အချို့ကို မဖော်ပြ မပြင်ဆင်ပါဘူး။ ဒါကတော့ ကောင်းတာနဲ့ဆိုးတာကို စဉ်းစားရမဲ့ အချက်ပါ။ နောက်တစ်ခုက Image File သိမ်းဖို့ နေရာလုံလောက်မှုရှိဖို့ပါ။ Disk က  100 GB ဆိုရင်  Forensics Image ကလဲ 100 GB ဖြစ်မှာပါ။ Imaginge ပြုလုပ်တဲ့အခါမှာ Forensics Image File ကို Handle လုပ်ရတာလွယ်အောင် ခွဲထုတ်တာ လုပ်လို့ရပါတယ်။ ဥပမာ 100 GB ရှိတဲ့ Image File မလုပ်ပဲ 10 GB ရှိတဲ့ Image File 10 ခု ခွဲထုတ်တာမျိုးပါ။

Raw Format ပြုလုပ်တဲ့နေရာမှာ Open Source ဖြစ်ပြီး နာမည်ကြီးတဲ့ Tools ကတော့ DD Tool ပဲ ဖြစ်ပါတယ်။ Image File ရော Image File ကို ခွဲထုတ်တာတွေပါ ပြုလုပ်လို့ရပါတယ်။ Linux မှာ built-in ပါဝင်ပါတယ်။ Window အတွက်ဆိုရင်တော့ Raw Write Studio ဖြစ်ပါတယ်။  

DD Tools အသုံးပြုပုံက ရိုးရှင်းပါတယ်။ 

dd if = [Source Device] of=[Destination]

dd if=/dev/sda of=/share/image.img

dd if = [Source Device] | split –b <Split Size> – <File Name>

dd if=/dev/sda | split -b 1000m – image.img

 DD မှာ တစ်ခုရှိတာက အခြား Imaging Tools တွေလို Imaging လုပ်တဲ့အချက်အလက်များဖြစ်တဲ့ headers, metadata စတဲ့ အချက်အလက်တွေမပါပါဘူး။ Bad Sector  တွေကိုလဲ မဖတ်နိုင်ပါဘူး။

Proprietary 

Commercial Tools တော်တော်များများမှာတော့  Imaging ပြုလုပ်တာကို သူတို့ရဲ့ ကိုယ်ပိုင် Format နဲ့ ပြုလုပ်ပါတယ်။ ရလာတဲ့ Forensics Image Format ကိုလဲ သူတို့ရဲ့ကိုယ်ပိုင် Analysis Tool နဲ့သာ Analysis ပြုလုပ်လို့ရပါတယ်။ အခုတော်တော်များများမှာတော့ Cross Platform အသုံးပြုလို့ရနေပါပြီ။ 

Commercial Tools တွေက Forensics Image က Raw Format ထက်ပိုပြီးပြည့်စုံကောင်းမွန်ပါတယ်။ Imaging and Analysis ပြုလုပ်ရာမှာ နှေးပေးမဲ့ Result အပိုင်းမှာ ပိုမိုကောင်းမွန်ပါတယ်။ 

Proprietary တွေရဲ့အားသာချက်ကတော့

- Space သိပ်မယူပါဘူး။

- Case နဲ့ပတ်သတ်တဲ့ Metadata တွေပါဝင်ပါတယ်။

- Single File အနေနဲ့ Data တွေကို သိမ်းဆည်းပါတယ်။ (Case Number. Device Name . etc ..) 

- Commercial Tools  တွေမှာ အပြည့်အစုံပါဝင်တာကြောင့် Inverstigator ကနေ တစ်နေရာထဲမှာ Imaging, Analysis, Report လုပ်တာတွေပြုလုပ် လို့ရပါတယ်။

Proprietary တွေရဲ့အားနည်းချက်တွေကတော့

- Compression, Decompression, Encoding, Decoding Process ကြောင့် နှေးကွေးပါတယ်။

Commercial Forensics Image Examples 

 Encase image formats (E01 or  Expert Witness Files (EWF), SMART, and AD1) and AccessData image formats (.AD1)



Example Forensics Image Note

Advanced Forensics Format (AFF) 

Advanced Forensics Format (AFF) က Basic Technology (Auopsy) ကနေပြုလုပ်ထားတဲ့Open Source Forensics Image တစ်ခုပဲဖြစ်ပါတယ်။ Disk Space  သက်သာပြီး Investigator က Custom Field တွေ အပ်လို့ရပါတယ်။ Image or Separate file တွေမှာ metadata တွေ အပ်လို့ရပါတယ်။ AFF ကို Open Source နဲ့ အခြား Commercial Tools တွေမှာပါ Support ပေးပါတယ်။ AFF က Device Storage ကနေ 16 MB ရှိတဲ့ Block (Page) တွေကို Copy ပြုလုပ်တာဖြစ်ပါတယ်။ (SSD အတွက်အဓိက ထားပြီး အသုံးပြုပါတယ်။ )

အရင်က AFF Version အဟောင်းတွေမှာ  ပြသာနာ နည်းနည်းရှိပါတယ်။ Live ဖြစ်နေတဲ့ Data တွေကို Collect ပြုလုပ်လို့မရခြင်း Encryption မပါဝင်ခြင်း၊ 16 MB Page Size ကြောင့် NTFS Metadata တွေကို Collect ပြုလုပ်လို့မရခြင်းတို့ဖြစ်ပါတယ်။ နောက်ပိုင်း Version တွေမှာ ဒီလိုပြသာနာတွေမရှိတော့ပါ။ 

Data Acquisition And Copy 

Data Acquisition ပြုလုပ်တယ်ဆိုတာ Copy ပြုလုပ်တာမဟုတ်ပါဘူး။ အဓိကကွဲပြားခြားနားချက်တွေက 

Imaging – Device Storage တစ်ခုလုံးကို File အဖြစ်ပြုလုပ်တာဖြစ်ပါတယ်။

Copying – အသုံးဝင်မဲ့ Data အချို့ကိုပဲ Source Device ကနေ ကူးယူတာဖြစ်ပါတယ်။ 

ဥပမာ - တစ်ကယ်လို့Hard Disk တစ်လုံးမှာ 100 ရာနှုန်းရှိခဲ့ရင်  60 ရာနှုန်းကိုပဲ အသုံးပြုနေတာဖြစ်ပြီး ကျန်တဲ့ 40 ရာနှုန်းက Delete File , Random Bytes, Unused Part တွေပဲဖြစ်ပါတယ်။ Imaging ပြုလုပ်တာက Storage တစ်ခုလုံးမှာရှိတဲ့ အသုံးပြုတဲ့ အပိုင်းရော အသုံးမပြုတဲ့ အပိုင်းကိုရော ပြုလုပ်တာဖြစ်ပါတယ်။ 

Copying ပြုလုပ်တာက အသုံးပြုထားတဲ့ 60 ရာနှုန်းကိုသာ ကူးယူတာဖြစ်ပါတယ်။ 


Acquisition Issues

- အပေါ်မှာ ပြောခဲ့သလိုပဲ မူရင်း System/Storage နှင့်တိုက်ရိုက် Analysis မပြုလုပ်ရန်။ 
- မူရင်း System/Storage ကို Image ရယူပြီး လုံခြုံစွာသိမ်းဆည်းရန်။
- Chain Of Custody ကို အထောက်အကူဖြစ်စေရန် နှင့် Investigator မှ လိုအပ်သလောက် Forensics Image ပြုလုပ်ရန်။ 

Investigator မှ Forensics Image ပြုလပ်နေစဉ် စဉ်းစားရန်လိုအပ်သည့် အချက်အလက်များ

- Forensics Image ပြုလုပ်ရာတွင် Image File သည် မူရင်း Storage Size နှင့် ထပ်တူကျရမည်ဖြစ်ပါတသည်။ 
- မူရင်း System/Storage ကို Imge ပြုလုပ်ပြီး System/Storage အပေါ်ကို ပြောင်းလဲ ပြင်ဆင်မှု မပြုလုပ်မိစေရန် သတိထားရမည်။ မဟုတ်လျှင် Analysis Results နှင့်မကိုက်ညီခဲ့လျှင် Authentic ဖြစ်မည်မဟုတ်ပါ။ 
- System/Storage ပြုလုပ်နေစဉ် မူရင်း System/Storage မပျက်စီး မပြောင်းလဲစေရန်  သတိထားရမည်။ 

Acquisition Methods 

Data Acquisition ပြုလုပ်ရာတွင် နည်းလမ်း 2 မျိုးရှိပါသည်။ နည်းလမ်း တစ်ခုနှင့်တစ်ခုတွင် Output မတူညီပါ။ 

- Disk Drive To Image File (Imaging) 
- Disk Drive To Disk Drive (Cloning) 

Disk Drive To Image File (Imaging) 

Disk Drive To Image File (Imaging) သည် System/Storage  တစ်ခုလုံးအား Image File အဖြစ်သို့ပြောင်းလဲခြင်းဖြစ်ပါသည်။ Drive Imaging ပြုလုပ်တာကို Forensics Image ပြုလုပ်တယ်လို့လဲ ခေါ်ဆိုပါတယ်။ Disk Drive To Image File (Imaging) ပြုလုပ်တဲ့ နည်းလမ်းက Scalability, Efficiency ပိုဖြစ်ပါတယ်။ Investigator မှ လိုအပ်သလောက် Forensics Image ပြုလုပ်နိုင်ပြီး Image File ကို သိမ်းဖို့ နေရာရှိဖို့ပဲ လိုအပ်ပါတယ်။ 



Forensics Image ပြုလုပ်ရာမှာ Full Disk တစ်ခုလုံးပြုလုပ်သင့်တယ်လို့မဆိုလိုပါ။ Storage တစ်ခုမှာ Partition တစ်ခုထက်ပိုပြီးရှိနိုင်ပါတယ်။ Case လိုလားချက် နှင့် Investigator ဆုံးဖြတ်ချက်အပေါ်မူတည်ပြီး Full Disk သို့မဟုတ် Partition တစ်ခု သို့မဟုတ် နှစ်ခု ကို Forensics Image ရယူနိုင်ပါတယ်။ မိမိ အခြေအနေ လိုလားချက် Anlysis ပြုလုပ်မဲ့ အပေါ်မူတည်ပြီး (Imaging) ဒါမှမဟုတ် Disk (Cloning) ရယူဖို့ရွေးချယ်ရမှာဖြစ်ပါတယ်။ 

       


အရေးကြီးတဲ့အချက်ကတော့ Evidence နဲ့ပတ်သတ်လာရင် Forensics Image ပြုလုပ်ပြီးမှ investigation ပြုလုပ်ရန်ဖြစ်ပါတယ်။ Forensics Image တစ်ခုထဲ မပြုလုပ်မိပါစေနဲ့ Analysis ပြုလုပ်နေစဉ်မှာ Error တွေ Corrupt ဖြစ်တာတွေရှိလာနိုင်တဲ့အတွက်ဖြစ်ပါတယ်။ 

နောက်ဆုံး သတိပေးချင်တာက  Forensics Image သိမ်းဆည်းတဲ့နေရာက ဘယ်နေရာမဆို သိမ်းဆည်းနိုင်ပေမဲ့ Same Disk ပေါ်ကို မသိမ်းမိစေဖို့ဖြစ်ပါတယ်။ Evidence သိမ်းဖို့ သီးခြား Storage သို့မဟုတ် SAN ပေါ်မှာ သိမ်းဆည်းသင့်ပါတယ်။

Disk Drive To Disk Drive (Cloning) 

Disk Drive To Disk Drive (Cloning) ပြုလုပ်တာကတော့ မူရင်း Storage နဲ့ ပမာဏတူတဲ့ အခြား Storage ပေါ်ကို Data တွေကို Acquisition ပြုလုပ်တာဖြစ်ပါတယ်။ Clone ပြုလုပ်တယ်လို့လဲ ခေါ်ပါတယ်။


 
Spare Acquisition 

Spare Acquisition က Investigator က Storage တစ်ခုလုံးကို ကူးယူတာမဟုတ်ပဲ လိုအပ်တယ် သံသယရှိတယ်ဆိုတဲ့ အပိုင်းကိုပဲ ကူးယူတာဖြစ်ပါတယ်။ Spare Acquisition က Down Time ပေးလိုမရတဲ့နေရာတွေ Storage ပမာဏ အရမ်းများနေတဲ့အတွက် Forensics Image မပြုလုပ်နိုင်တဲ့အချိန်တွေ, အရေးတကြီး  Result လိုနေတဲ့အချိန်တွေမှာ ပြုလုပ်နိုင်ပါတယ်။ Spare Acquisition မှာ တစ်ခုရှိတာက Investigator မှ ဘာကိုပဲ Forensics Image ရယူမယ်ဆိုတာ သေချာစွာ သိရှိနေဖို့ဖြစ်ပါတယ်။ ဥပမာ - 
Unallocated Space Only, Web Server Logs, FTP Server Log, Recent Log, Etc …

Choosing Acquisition Method

အခုလောက်ဆိုရင် ဘယ်လို Acquisition Method ကို သုံးစွဲဖို့ ရွေးချယ်ရမလဲ ဆိုတာသိလောက်ပြီ ဖြစ်ပါတယ်။ Acquisition Method တစ်ခုပဲ အမြဲတမ်းမှန်တယ် သုံးစွဲရမယ်လို့မရှိပါဘူး။ Case တိုင်းမှာ မတူညီတဲ့ အခြေအနေတွေရှိတာကြောင့် မတူညီတဲ့ Methods တွေကို အသုံးပြုနေ လိုအပ်နေမှာ ဖြစ်ပါတယ်။ 











Comments

Popular posts from this blog

eCDFP (Data Representation & File Examination) (Part-5)