Forensics Disk Decrypt

Forensics Disk Decrypt 

Elcomsoft ကတော့ ထူးထူးခြားခြား ရုရှား Brand ပါ။ ပိုင်ရှင်ကလဲ အသက်ငယ်ငယ်နဲ့ Moscow Nuclear ကျောင်းကပြီးတယ်ထင်ပါတယ်။ IOS Forensics Tools Kit , Password Recovery ‌တို့နဲ့ နာမည်ကြီးပါတယ်။ နိုင်ငံတော်တော်များများလဲ အသုံးပြုပါတယ်။ (မြန်မာနိုင်ငံတော့မသိပါ။)

အခုပုံက Forensics Disk Decryptor ပါ။  

Forensics Software တွေရဲ့ထုံးစံအတိုင်း အခြေခံကနေစပြီးအသေးစိတ်မရှင်းပါဘူး။ တိုက်ရိုက်ရည်ညွန်းတာရှိသလို ဒီအတိုင်းခြုံငုံပြီးရေးတာလဲ ရှိပါတယ်။ 

ပုံမှာပါတဲ့ Hybernation File ဆိုတာ Hyberfil.sys ထည့်ဖို့ပြောတာဖြစ်ပါတယ်။ 

နောက်တစ်ခု အနေနဲ့ Pagefile.Sys ပါထည့်လို့ရပါတယ်။ Non-Volatile Information ဖြစ်တဲ့ Hyberfil.sys အပြင် Pagefil.sys ထဲမှာများ Encrypt Key ရှိနိုင်မလားလို့ပါ။ 

 Pagefile.sys ထဲမှာရှိခဲ့ရင်ပေါ့။ User က Power Option ကို Default အပြင် စိတ်ကြိုက် အမျိုးမျိုးထားနိုင်ပါသေးတယ်။ Pagefile.sys ကလဲ Linux မှာဆို Swap သဘောမျိုးပါပဲ။ RAM က Load မနိုင်တဲ့အခါ HDD,SSD, ပေါ်မှာ သိမ်းထားတာပါ။

Window တင်ကတည်းက  Default Storage ကို တိုးချင် လျော့ချင်လဲရပါတယ်။ Pagefile.sys က Root ထဲမှာအပြင် Volume Shadow Copy ထဲလဲရှိနိုင်ပါတယ်။ FTK Imager , Belkasoft Imager တွေသုံးရင် Memory အပြင် Pagefile.sys တစ်ခါတည်း ယူမယူ မေးပါတယ်။ 

 Pagefile.sys ကနေ အများဆုံးရနိုင်တာက Browsing History, Photo, (Photo တစ်ချို့က Carving ပြန်လုပ်ရမှာတွေလဲရှိပါတယ်။)  Recent File, Word File, PDF File, Text File, OS log, Etc ... 

ဒါက Pagefile.sys အကြောင်းကို Recall ပြန်ခေါ်တာပါ။ 

Dead Memory (Non-Volatile Information ) ဖြစ်တဲ့ File တွေက System Live ဖြစ်နေတုန်း Copy ယူလို့မရပါ။ ဒါကြောင့် ရယူမယ်ဆိုရင် နည်း 2 နည်းရှိပါတယ်။

METHOD -1 (NO BIOS Password)

BIOS Password မရှိတဲ့ အနေအထားဆိုရင် Bootable နည်းနဲ့ရယူနိုင်ပါတယ်။ 

အဲဒီအချိန်ဆိုရင် Root အောက်မှာ အကုန်ရှိပါတယ်။ 

METHOD -2 (BIOS Password)

PUll And Plug အနေနဲ့ Storage ကိုဖြုတ်ပြီးရင် Imager Applications တစ်ခုခုနဲ့ တွဲပြီး Root အောက်ကနေ File ကို  Export လုပ်လို့ရပါတယ်။ 

အဓိကက ဘာနဲ့ပဲ Decrypt လုပ်လုပ် Non-Volatile File တွေကို ရယူနိုင်ဖို့က အရေကြီးဆုံးပါ။ 

User ဆီက Password မရခဲ့ရင် မရတဲ့ အနေအထားဆိုရင် ဘယ်လို လုပ်မလဲဆိုပြီး တွေးကြ လို့သာ နည်းလမ်းတွေပေါ်လာတာပါ။



Comments

Popular posts from this blog

TikTok (tiktok.com) Imvestigation #OSINT

Google Reverse Location Search Warrants (GEOFENCE SEARCH WARRANT) And Transparency Report

Digital Forensics Investigator Hypothesis -1