eCDFP (Disk Drives) - Part (1)

Introduction   

ကျွန်တော်တို့ Digital Forensics ရဲ့အဓိက အလုပ်က Evidences တွေကို Analysis လုပ်တာလို့ပြောလို့ရပါတယ်။ ရိုးရှင်းတဲ့မေးခွန်းအနေနဲ့ Evidences တွေကဘယ်မှာရှိလဲလို့မေးရင် တစ်ခုထဲသော အဖြေက Disk (Storage Media) ပေါ်မှာရှိတယ်လို ဖြေရမှာဖြစ်ပါတယ်။ Wire, Wireless ကနေရယူရမဲ့ Evidences တွေ အကြောင်းကို Module-6 မှာဖော်ပြမှာဖြစ်ပါတယ်။ Digital Data တွေကို Layer မျိုးစုံမှာတွေ့နိုင်ပါတယ်။Layer တိုင်းကလဲ မတူညီပါဘူး။ Investigator က ဘယ်လို  Data မျိုးကို ရှာဖွေနေတယ် Data က ဘယ် Layer မှာရှိတယ်ဆိုတာကို သိထားရမှာဖြစ်ပါတယ်။ Data နဲ့ Information က မတူညီပါဘူး။ Digital Data တွေကို နေရာမျိုးစုံမှာတွေ့နိုင်ပါတယ်။ Data တွေက Storage Media ပေါ်မှာ သူရဲ့ Format and Characteristic တွေအတိုင်း ရှိနေတာဖြစ်ပါတယ်။ Data ကိုလိုချင်တဲ့အချိန်ကြရင်  လူတွေမြင်နိုင်တဲ့ Format ရဖို့ Interpretation Processing လုပ်ရပါတယ်။ လူတွေမြင်နိုင်တဲ့ Format ကိုမှ Information လို့ခေါ်ဆိုပါတယ်။ Example – File တစ်ခုက Bits or Bytes အနေနဲ့ Storage Media ပေါ်မှာရှိနေပါတယ်။ လူတွေမြင်နိုင်တဲ့ Information ရဖို့အတွက် အရင်ဆုံး Bits or Bytes Data တွေကို Interpret လုပ်ရပါတယ်။ HDD နဲ့ SSD အကြောင်းကို ကျွန်တော် Vlog မှာ ရေးသားပြီး ဖြစ်ပေမဲ့ eCDFP Course အတိုင်းပဲ ရေးသားသွားပါမယ်။ 


Interpretation Process From Data To Information 

အပေါ်မှာဖော်ပြထားတဲ့အတိုင် layer တိုင်းမှာရှိတဲ့ Data တွေအတွက် မတူညီတဲ့ Analysis တွေလိုအပ်ပါတယ်။ Digital Forensics မှာ Pioneers ဖြစ်တဲ့ Brain Carrier ရဲ့ဖော်ပြချက်အရ Disk နဲ့ File System မှာ Analysis အတွက် အပိုင်း (၄) ပိုင်းခွဲခြားထားပါတယ်။ 

1. Physical Media 

2. Volume. 

3. File System 

4. Application and OS 

Digital Data And The Layer Of Analysis 

ယခု eCDFP Course  မှာတော့ အပြာရောင်နဲ့ပြထားတဲ့ Application and OS , File System Analysis , Volume Analysis အကြောင်းတွေကို ဖော်ပြမှာဖြစ်ပါတယ်။ ယခု Module မှာတော့ Storage Media တွေအလုပ်လုပ်ပုံ၊ Data တွေသိမ်းဆည်းပုံ၊ File System နဲ့ Data Structure အကြောင်း၊ သူတို့ကို ဘယ်လို Analysis ပြုလုပ်မယ်ဆိုတာတွေကို ဖော်ပြမှာဖြစ်ပါတယ်။ ယခု Module ကိုတော့ မည်သည့် Digital Forensics Professional  မဆိုနားလည်ထားရမှာဖြစ်ပါတယ်။ ယခု Module မှာပဲ File System အကြောင်း အခြေခံဖော်ပြသွားမှာဖြစ်ပါတယ်။ File System က Storage Media ပေါ်မှာ ရှိတဲ့ File တွေရဲ့ လမ်းကြောင်းကိုဖော်ပြပါတယ်။ File System Analysis ကိုကျွမ်းကျင်လျှင် မည်သည့် Investigation အတွင်းမှာမဆို အသုံးဝင်ပါတယ်။ File System Analysis ကိုနားလည်ရင် ဖြေရှင်းနိုင်မဲ့ Case တွေများစွာရှိပါတယ်။ Digital Forensics Investigator အနေနဲ့ Storage Media (Disk) တွေနဲ့ လုပ်ကိုင်ရတာ  အများကြီးကြုံတွေ့နိုင်ပါတယ်။ ဒါကြောင့် Storage Media (Disk) တွေဘယ်လို အလုပ်လုပ်တယ် Data တွေကို ဘယ်လို သိမ်းထားတယ်ဆိုတာ သိထားရမှာဖြစ်ပါတယ်။ Data တွေက Abstraction Layer မျိုးစုံမှာရှိနိုင်ပါတယ်။ Layer တိုင်းကိုနားလည်ထားခြင်းဖြင့် ဘာတွေရှိတယ်ဆိုတာကို သိရှိထားခြင်းဖြင့် Investigator မှာများစွာအထောက်အကူဖြစ်ပါတယ်။ 

Abstraction Layer

Hard Disk Drive 

Hard Disk ကို 1956 ခုနှစ်မှာ IBM ကစတင်ထုတ်လုပ်ပါတယ်။ SSD တွေပေါ်လာပေမဲ့ အခုအထိ Hard Disk တွေကိုနေရာပေါင်းစုံမှာ အသုံးပြုနေပါတယ်။ Hard Disk မှာ အဓိကပါဝင်တာကတော့ 1.Platter 2.Spindle 3.Head 4.Connector တို့ဖြစ်ပါတယ်။ 



HDD Characteristic 

Platter- Plate အပြားဖြစ်ပြီး Data တွေကို Platter ပေါ်မှာသိမ်းထားပါတယ်။ Spindle – Platter တွေကို ထိန်းထားပြီး Platter တွေကို လည်ပတ်ပေးပါတယ်။ Head- Platter ပေါ်ကို Data တွေ Read , Write လုပ်ပေးပါတယ်။ Actuator- Actuator Arm က Head ကို Read-Write လုပ်ဖို့အတွက် Platter ပေါ်မှာ ရွေ့လျားပေးပါတယ်။ နောက်ပိုင်း Hard Disk တွေမှာ Storage များလာတဲ့အတွက် Platter တွေတစ်ခုထက်ပိုပြီးများလာပါတယ်။ Platter တွေအားလုံးက Spindle တစ်ခုထဲမှာပဲ ထားရှိပါတယ်။ Cylinder-  တစ်ကယ်လို့ First Platter ပေါ်က Track No -1 ကိုရွေးမယ်ဆိုရင် Second Platter ပေါ်မှာလဲ Track No -1 ပဲဖြစ်ပါတယ်။ ဒါကို Cylinder လို့ခေါ်ပါတယ်။ ဒါကြောင့် Cylinder အရေအတွက်က Track အရည်အတွက်နဲ့တူညီပါတယ်။ 


Platter တစ်ခုစီမှာ Head  (၂) ခုစီပါရှိပါတယ်။ ဒါကြောင့် Platter (4) ခုဆိုရင် Head အရည်အတွက်က (၈) ခုဖြစ်ပါတယ်။ Platter တစ်ခုချင်းစီကို track အနေနဲ့ပိုင်းခြားထားပါတယ်။ track တွေကို Sector အနေနဲ့ ထပ်ပြီးပိုင်းထားပါတယ်။ 


အချို့သော HDD တွေမှာ Sector Size က 512 – Bytes ရှိပြီး Advanced Format (AF) HDD တွေမှာ Sector Size က 4096-Byte ရှိပါတယ်။  Sector Size က HDD မှာ Data တွေကို Read-Write လုပ်ဖို့အတွက် အငယ်ဆုံး Unit/Amount ဖြစ်ပါတယ်။ HDD တစ်လုံးရဲ့ Disk Capacity ကိုတွက်ဖို့အတွက် သိထားရမှာတွေကတော့ 

1. Number Of Cylinder 

2. Number Of Head 

3. Number Of Sector Per Track 

4. Sector Size

Disk Capacity = (Cylinder) x (Heads) x (Sector) * (Sector Size)

ဒီနေရာမှာမေးစရာရှိတာကတော့ Specific Sector ကို ဘယ်လို Access လုပ်နိုင်မလဲ ဆိုတဲ့ မေးခွန်းပဲဖြစ်ပါတယ်။ အဲဒီအတွက် နည်းလမ်း (၂) ခုရှိပါတယ်။ 

1. Cylinder, Head, Sector (CHS)

2. Logical Block Addressing (LBA) 

Cylinder, Head, Sector (CHS) နည်းလမ်းက နည်းလမ်းအဟောင်းဖြစ်ပါတယ်။ Cylinder, Head, Sector တို့ရဲ့ Physically တည်ရှိနေတဲ့ address ကို တွက်ချက်တာဖြစ်ပါတယ်။ ဥပမာ အနေနဲ့ Disk ပေါ်မှာရှိတဲ့ ပထမဆုံး Sector ကို Access လုပ်ချင်တယ်ဆိုရင် Address က (0,0,1) ဖြစ်ပါတယ်။ ဒုတိယ Sector ကို Access လုပ်ချင်တယ်ဆိုရင်တော့ Address က  (0,0,2) ဖြစ်ပါတယ်။ 


(0,0,1) ဆိုတာ 

First Cylinder ---- > 0

First Head ---- > 0

First Sector ---- >

ဘာလို့ Sector က (1) ကနေစရတာလဲဆိုရင် CHS Addressing မှာ Sector က (1)  ကနေစတင်ပါတယ်။ (ဝ) ကနေစတင်တာမဟုတ်ပါဘူး။ Head Number ကလဲ Access လုပ်ချင်တဲ့ Platter ရဲ့ အပေါ်ဘက်လား အောက်ဘက်လားဆိုတာကိုရွေးချယ်ပါတယ်။ ဘာလို့လဲဆိုရရင် Platter တစ်ခုမှာ Head (2) ခုရှိလို့ဖြစ်ပါတယ်။ Head (0) ဆိုရင် Platter ရဲ့ အပေါ်ဘက်ဖြစ်ပြီး Head (1) ဆိုရင် Platter ရဲ့ အောက်ဘက်ဖြစ်ပါတယ်။ 

Cylinder, Head, Sector (CHS) Addressing မှာ 3-Bytes ကို Addressing အတွက် အသုံးပြုပါတယ်။ 

1. Cylinder (C) – 10 bits

2. Sector (S) – 6 bits

3. Heads (H) – 8 bits


1. C = 1111111111 ---- > 0 to 1023 

2. S = 111111 ---- > 1 to 63 

3. H = 11111111 ---- > 0 to 254

တစ်ကယ်လို့ 512 Bytes ရှိတဲ့ Sector ဆိုရင် HDD ရဲ့ Size က 

Cylinder (1024) x Heads (255) x Sectors (63) x Sector Size (512) = 8422686720 Bytes Or 7.844 GB 

CHS Addressing မှာ First Sector  က (0,0,1) ကနေစပါတယ်။ (0,0,0) ကနေမစတင်ပါ။ ဒါကြောင့် Sector က 0 နေကမစပဲ 1 ကနေစပါတယ်။



Comments

Popular posts from this blog

B-Trees (NTFS)

NTFS Index Attributes

Volatility Workbench (GUI) for the Volatility tool