Digital Forensics Myanmar

   Download     PDF                     Clear Browsing Data  Forensics (Firefox, Chrome, Edge, Opera, Brave)                      

  Download Here

 Zone.Identifier      Zone.idnetifier ကို  Windows XP Service Pack 2 ,  Windows Server 2003 Service Pack 1 ကနေ စတင်ပြီးထည့်သွင်းခဲ့ပါတယ်။ Internet ကနေ Download ယူတဲ့ File တွေကို Safe ဖြစ်မဖြစ် Window ကနေ စစ်ဆေးနိုင်ဖို့အတွက်ဖြစ်ပါတယ်။  IE Browser မှာကနေ Download ယူတဲ့ File မှန်သမျှမှာ Zone.idnetifier Stream ပါဝင်ပါတယ်။ အခုအခါမှာတော့ Microsoft Edge, Google Chrome, Mozilla Firefox, Opera, Chromium  စတဲ့ Browser တွေကနေ Download ယူတဲ့ File မှန်သမျှမှာ Zone.idnetifier ပါဝင်ပါတယ်။ Default URL Security Zones တွေရှိတဲ့အထဲကမှ Zone.idnetifier က Zone 3 ဖြစ်တဲ့ Internet Zone မှာပါဝင်ပါတယ်။ Zone 3 ဆိုတာကို $MFT အား MFT Browser နဲ့ဖွင့်တဲ့ပုံမှာ တွေ့နိုင်ပါတယ်။  Default URL Security Zones 1. Local Intranet Zone 2. Trusted Sites Zone 3. Internet Zone 4. Restricted Sites Zone 5. Local Machine Zone URL Security Zones Via Control Panel   အခုပုံကတော့ NTFS Storage ကို dir/ r Command နဲ့ကြည့်တဲ့အခါမှာ မြင်တွေ့မည့် Zone.idnetifier တွေဖြစ်ပါတယ်။  အသေးစိတ်ကို more command နဲ့ကြည့်နိုင်ပါတယ် ။       

     NTFS File System အကြောင်းနဲ့ Master File Table (MFT) အကြောင်းကို eCDFP File System မှာရေးသားပြီးဖြစ်ပါတယ်။ အခုကတော့ NTFS File System မှာ ရှိနေတဲ့ မဖျက်ရသေးတဲ့ Text File ကိုတွေ့ရမှာဖြစ်ပါတယ်။ Flag က 1 ဖြစ်နေတဲ့အတွက် File က Storage ထဲမှာလက်ရှိ ရှိနေဆဲဖြစ်ပါတယ်။ Sequence Number ကလဲ 1 ဖြစ်နေပါတယ်။  Delete Text File.txt File ရဲ့ MFT Entry Record Number ကတော့ 52 ဖြစ်ပါတယ်။ Attribute $80  Data ကိုကြည့်ပြီးတော့ File ကဘယ်နေရာမှာ ရှိနေတယ်ဆိုတာကိုကြည့်ပါမယ်။ ကျန်တဲ့ Attributes အကြောင်းတွေက File System Analysis အကြောင်းမှာ ထည့်ရေးထားပြီး ဖြစ်တာကြောင့် မဖော်ပြတော့ပါဘူး။  NTFS File Before Delete On Storage   NTFS File Record  Data Run In $DATA ပုံမှာ Colour Box တွေနဲ့ချယ်ထားတာက Data Run List ဖြစ်ပါတယ်။ နောက်တစ်ပုံမှာ Run list ကိုတစ်ခုချင်းပြထားပါတယ်။  Data Run Detail  Data Run ဆိုသည်မှာ NTFS File System တွင် File တည်ရှိသည့် First Cluster Location , File Size အပေါ်မူတည်ပြီး နေရာယူထားသည့် Cluster အရေ အတွက် ကိုဖော်ပြခြင်းဖြစ်ပါတယ်။ တစ်ကယ်လို့ Storage  မှာ  Fragement ဖြစ်နေမယ်ဆိုရင် Data Run က တစ်ခ

     Disk Scan Or Low Level Enumeration  ပြုလုပ်တယ်ဆိုတာက Recovery ပြုလုပ် တဲ့နေရာ Forensics ပြုလုပ်တဲ့နေရာတွေမှာ အရင်ဆုံးပြုလုပ်တဲ့ အလုပ်ဖြစ်ပါ တယ်။ Recovery လုပ်တော့မယ်ဆိုရင် Recovery Application ကနေ အရင်ဆုံး Storage ကို Low Level Enumeration ပြုလုပ်ပါတယ်။ နောက်ကွယ်မှာ အလုပ်လုပ်တဲ့အတွက် ဘယ်လိုလုပ်ပြီးတော့ Delete လုပ်တဲ့ File တွေကို ပြတယ်ဆိုတာ မသိနိုင်ပါဘူး။      FAT16, FAT32 File System အတွက်ဆိုရင် Root Directory Folder မှာဖျက်ထားတဲ့ Entry တွေရှိမရှိ သိအောင် အရင်ဆုံး Low Level Enumeration ပြုလုပ်ပါတယ်။ NTFS File System ဆိုရင် Master File Table ထဲမှာ ပြုလုပ်ပါတယ်။ အသုံးပြုထားတဲ့ File System အလိုက် Delete လုပ်တာကို သတ်မှတ်တဲ့ Entry ‌ပုံစံတွေကွဲပြားပါတယ်။File System ‌တွေကွဲပြားပေမဲ့ File System တိုင်းမှာ  Basic Information တွေဖြစ်တဲ့ Attributes ‌တွေပါ၀င်ပါတယ်။  Attributes  တွေက  -  File Created - Modified - Accessed Date/Time  File Name, File Size, Attributes File Deleted or Exiting Status  FAT File System အတွက်ဆိုရင် Delete ပြုလုပ်ထားတဲ့ File Folders တွေကို (0xE5) ဆိုပြီး File System က

 Digital Forensics Myths & Reality  - လွန်ခဲ့သော ၆လ -၁ နှစ်လောက်က  ဖျက်ထားသော File ကို Storage ထဲမှရှာခြင်း။ ( အချိန်ကာလ အပြင် ဖျက်ထား‌တဲ့ Data  နေရာကို အခြား Data က နေရာယူသွားရင် မရနိုင်ပါ။) (သုံးနေတဲ့ကာလမှာ Format ပြုလုပ်ထားရင် (Eg - Window တင်တာမျိုးဆို) မရနိုင်ပါ။ (File ကို ဖျက်ပြီးနောက်  Storage ပေါ်ကို Data  အရမ်းကြီး Write မလုပ်ရင် ပြန်ရနိုင်ပါတယ်။( User ရဲ့ သုံးစွဲပုံ Activity နဲ့လဲသက်ဆိုင်ပါတယ်။) - Data မရှိနိုင်သည့် Storage ထဲမှာ Data ရှာခြင်း။  ( Evidence Storage ) ကို အတုနဲ့လဲပေးခြင်။  အစစ်ဆိုရင်တောင် တစ်ကယ်လဲ မရှိဖြစ်နိုင်ပါတယ်။ ) -  Commercial Software or Box ထဲကို Storage ကိုချိတ်လိုက်တာနဲ့ ရှိသမျှ Data တွေရလာခြင်း။ (Format ၁ - ၃  ကြိမ်ထက်မနည်း ပြုလုပ်ထားတဲ့ Phone, Computer  Storage ဆိုမရနိုင်ပါ။ ) (Browser History လိုချင်တဲ့ အခါမျိုးမှာ User က Private Browsing သုံးခဲ့ရင် History မရနိုင်ပါ။) - Mobile Forensics Products တိုင်းက ရှိသမျှ ဖုန်းတွေရဲ့ Lock ကို ကျော်နိုင်ခြင်း။ Recovery ရတယ်လို့ ထင်ခြင်း။ (Android Version, Chipset , Security Path အားနည်းချက်ရှိတဲ့ ဖုန်းတစ်

Digital  Forensics And Incident Response Field တွင် ဖြစ်တတ်သည့် အမှားများ Training နည်းပါခြင်း ဆက်လက်မလေ့လာခြင်း သင့်တင့်လျှောက်ပတ်တဲ့သင်တန်းတွေကို တက်သင့်ပါတယ်။ အပြင်သင်တန်းပဲဖြစ်ဖြစ် Online ပဲ ဖြစ်ဖြစ်ပါ။  နည်းပညာတွေက  Commercial Tools ပဲဖြစ်ဖြစ် Open Source ပဲဖြစ်ဖြစ် နေ့စဉ် လစဉ် တိုးတက်နေပါတယ်။ အပြင်လူထက်စာရင်   အစိုးရ လခစားဖြစ်တဲ့သူ‌တွေဆိုရင် ပိုဆိုးပါတယ်။ ဆက်လက်လေ့လာလိုစိတ်နည်းပါးတာတွေ ဖြစ်တတ်ပါတယ်။ Continuous Learning ဆိုတာက သင်တန်းတက်ရုံနဲ့ မဟုတ်ပဲ Community တွေမှာချိတ်ဆက်ခြင်း ပါ၀င်ဆွေးနွေးခြင်း။ Up To Date News and Technology တွေကို ဆက်လက်လေ့လာခြင်းတို့ဖြစ်ပါတယ်။ Problem ရှိရင်လဲ Community ရှိတဲ့အတွက် မေးလို့ရပါတယ်။  ဆက်လက်မ‌လေ့လာတဲ့အခါမှာ နည်းပညာပိုင်းဆိုင်ရာနောက်ကျပြီး လုပ်နိုင်တဲ့ စွမ်းရည် ကျဆင်းလာပါတယ်။ Push Button အနှိပ်များခြင်း အများဆုံးက Law Enforcement တွေမှာ အဖြစ်များပါတယ်။ Commercial Forensics Tools တွေက Button နှိပ်ရုံနဲ့ အလုပ်ဖြစ်တာကြောင့်ဘာ‌ကြောင့်ဒီလိုဖြစ်တယ် ဘာကြောင့်  Click ရတယ်။ နောက်ကွယ်မှာ ဘာတွေလုပ်သွားတယ်ဆိုတာကို မသိတော့ပါဘူး။ ဒါတွေအပြင် Phone Computer တွ

Forensics Reader Or Viewer  Forensics Reader တွေကို ဘယ်အချိန်မှာ အသုံးပြုလဲဆိုရင် Organization တစ်ခုကနေ ‌တစ်ခုကိုလွှဲပြီး Analysis လုပ်ထားတဲ့ Case ကို မှန်လားမမှန်ဘူးလား ဘာတွေလိုအပ်နေလဲ ဘာတွေထပ်ပြီး Analysis လုပ်ဖို့လိုမလဲဆိုတာ ကိုကြည့်ဖို့ အတွက် အသုံးပြုပါတယ်။ ဘာလို့ Reader ကိုသုံးတာလဲဆိုရင် Organization A  က UFED သုံးတယ်။ အ‌ကြောင်းတစ်စုံတစ်ရာရှိလို့ Organization B ကနေ Check လုပ်ရမယ်ဆိုရင် Organization B မှာ UFED မရှိရင် အခက်ခဲရှိပါတယ်။ ဒါကြောင့် Readers ကို အသုံးပြုပြီး Organization A က Analysis လုပ်ထားတဲ့ Case File ကိုဖွင့်ပြီး Analysis လုပ်လို့ရပါတယ်။ Organization တစ်ခုတင်မဟုတ်ပါဘူး။ Investigator တစ်ယောက်နဲ့ တစ်ယောက် Cross Check လုပ်တဲ့နေရာ။ တရားရုံးလိုနေရာ မျိုးတွေ မှာပါ အသုံးပြုပါတယ်။ ပြည်ပ တရားရုံး‌တွေမှာဆိုရင်လဲ Investigator Or Examiner ကနေ Analysis ထားတဲ့ Case File ကို သံသယရှိရင် ဒါမှမဟုတ် အကြောင်းတစ်စုံတစ်ခုရှိလို့ ဖွင့်ပြဖို့ လိုအပ်တယ်ဆိုရင် Reader ကိုအသုံးပြုပါတယ်။ Mobile Forensics Products တွေက အပေါ်က ကိစ္စတွေလိုမျိုးမှာ Reader ကိုအများဆုံးအသုံးပြုပါတယ်။ အချို့ Products တွ

  NTFS Index Attributes Now that we have described the general concept of B-trees, we need to describe how they are implemented in NTFS to create indexes. Each entry in the tree uses a data structure called an index entry to store the values in each node. There are many types of index entries, but they all have the same standard header fields, which are given in Chapter 13. For example, a directory index entry contains a few header values and a $FILE_NAME attribute. The index entries are organized into nodes of the tree and stored in a list. An empty entry is used to signal the end of the list. Figure 11.18 shows an example of a node in a directory index with four $FILE_NAME index entries. Figure 11.18. A node in an NTFS directory index tree with four index entries. Figure 11.18 The index nodes can be stored in two types of MFT entry attributes. The $INDEX_ROOT attribute is always resident and can store only one node that contains a small number of index entries. The $INDEX_ROOT attrib

  B-Trees An NTFS index sort attributes into a tree, specifically a B-tree. A tree is a group of data structures called nodes that are linked together such that there is a head node and its branches out to the other nodes. Consider Figure 11.13(A), where we see node A on top and it links to nodes B and C. Node B links to nodes D and E. A parent node is one that links to other nodes, and a child node is one that is linked to. For example, A is a parent node to B and C, which are children of A. A leaf node is one that has no links from it. Nodes C, D, and E are leaves. The example shown is a binary tree because there are a maximum of two children per node. Figure 11.13. Examples of A) a tree with 5 nodes and B) the same tree that is sorted by the node values FIG- 11.3 Trees are useful because they can be used to easily sort and find data. Figure 11.13(B) shows the same tree as we saw on the left side, but now with values that are assigned to each node. If we are trying to look up a valu

     IOS Crash & Sysdiagnose Log တွေကိုရယူတာက IOS, macOS, Apple TV, Apple Watch တွေကနေရယူနိုင်ရုံသာမက Device Password မသိခဲ့ရင် ဒါမှမဟုတ်  iCloud Active မဖြစ်ခဲ့ရင်တောင်မှ IOS Crash & Sysdiagnose Log တွေကိုရယူနိုင်ပါတယ်။ PDF မှာလဲ Icloud Log ကျနေတဲ့  iPhone ကနေ Log တွေကိုရယူထားတာဖြစ်ပါတယ်။  IOS crash-log-sysdiagnose-log  

 အခုအနေအထားမှာဆိုရင် Flash Drive ကို Window , Linux မှာထိုးရင် အထဲက File တွေကိုမမြင်ရတော့တဲ့ အနေအထားဖြစ်သွားပါပြီး။ Disk Management မှာ ကြည့်မယ် ဆိုရင် Format ပေးမှ ရတော့မယ်။ Data ကတန်ဖိုးမရှိဘူးဆိုရင်တော့ Format ပေးလိုက်ရင်ရပါပြီ။ But Data ကတန်ဖိုးရှိတယ် ပြီးရင် Forensics Analysis လုပ်မယ်ဆိုရင် Format လုပ်ပြီး Recovery ပြန်ဆွဲမယ်ဆိုရင် မူရင်းအတိုင်း Data တွေ ပြန်ရဖို့ မလွယ်ပါဘူး။ Forensics Analysis လုပ်မယ်ဆိုရင် ပိုဆိုးပါတယ်။ ကျွန်တော်တို့က Data ကို ရနိုင်သမျှ ရအောင်လိုချင်တာကိုး။ Format ကိုမှ မူလ Fash Drive မှာ သုံးထားတာက FAT လား NTFS လားဆိုတာမသိလို့ FAT သုံးထားတာကို NTFS နဲ့ Format လုပ်မိရင်။ ဒါမှမဟုတ် NTFS သုံးထားတာကို FAT နဲ့ Format လုပ်မိရင်။  File System လွဲပြီး Format လုပ်မိလိုက်တယ်။ But   Cluster Size တော့မချိန်းပဲ Format လုပ်မိမယ်ဆိုရင်တောင် File System ရဲ့ Default Cluster Size ကြောင့် Cluster Size တွေက Shuffle ဖြစ်သွားတဲ့အတွက် Data ပြန်ရဖို့ မလွယ်ကူတော့ပါဘူး။ ဒီနေရာမှာ Low-Level Analysis ကိုအသုံးပြုပြီး Flash Drive ထဲက Data ကိုပြန်ရယူပါတယ်။ မူရင်း File System ရော Cluster Siz

Smart Watch တွေကို လူတွေက အသုံးများလာတော့ Smart Watch ထဲက Data တွေကို Forensics Analysis လုပ်တာကလဲ Digital Forensics ထဲမှာပါလာပါတယ်။အသုံးပြုတဲ့ Smart Watch အပေါ်မူတည်ပြီး User က Sync လုပ်ရင်လုပ်သလောက် အသုံးပြုရင် ပြုသလောက် ဖုန်းထဲမှာ‌ရော Smart Watch ထဲမှာပါ Data ကကျန်နေပါတယ်။ ဘာတွေရနိုင်လဲဆိုရင် Device Information ဖြစ်တဲ့ချိတ်ဆက်တဲ့ Smart Watch ရဲ့ Mac Address, UID Data အနေနဲ့ Photo With GPS Data, File, Voice Recording Application Data, Note, Call Log, SMS, Personal Data အနေနဲ့ User Profile, Nick Name Or Name, Age, Weight, Activity, Sleep Time, Health Data, Heart Rate, အစရှိသည်ဖြင့် အသုံးပြုတဲ့ Smart Watch အမျိုးအစားအပေါ်မူတည်ပြီး Data တွေရနိုင်ပါတယ်။ ရရှိတဲ့ Data တွေပေါ်မူတည်ပြီး သက်ဆိုင်တဲ့ အပိုင်းလိုက် အ‌ကြောင်းအရာအလိုက် အသုံးချနိုင်ပါတယ်။ ပုံက Smart Watch ကနေ Data ယူရာမှာ အသုံးပြုတဲ့ Kit ပါ။ Photo - MOBILedit 

  Resident Attribute Header အခုပုံက Resident Attribute Header Structure ဖြစ်ပါတယ်။ Structure တစ်ခုချင်းစီးကိုအောက်မှာတစ်ခုခြင်း ရှင်းလင်းသွားပါမယ် -     Resident Attribute Header Attribute Length  Attribute Length ( 4 Bytes) = (0x48) = 72 Bytes   Attribute Length ဆိုတာက Attribute တစ်ခုက ဘယ်လောက် Size ရှိတယ်ဆိုတာကို ညွှန်ပြတာဖြစ်ပါတယ်။ အခု Attribute က 72 Bytes ရှိပါတယ်။  Offset To The Attribute Data  Offset To The Attribute Data =  (0x18) = 24 Attribute ရှိတဲ့ Offset ကိုပြောတာဖြစ်ပါတယ်။ အပေါ်မှာဖော်ပြခဲ့တဲ့ Length Of Attribute  ( Attribute Header အပါ) ကိုပြန်ကြည့်မယ်ဆိုရင် 96 Bytes ရှိပါတယ်။  Attribute Length = 72 Bytes ရှိတဲ့အတွက် 24+72 = 96 Bytes ရပါတယ်။  Index Flag = 0 Padding = 0 The Attribute Name If It Exits (Attribute မှာ နာမည်ရှိမယ်ဆိုရင် Name အတွက် 8 Bytes နေရာယူပါတယ်။ ) Data Structure For Resident Attribute အနှစ်ချုပ်ရမယ်ဆိုရင်  Attribute General Header ဖြစ်တဲ့  (0-3) 16 Bytes ထဲက ပထမ  (4 Bytes)   (0x10) = $STANDARD_INFORMATION (4-7)  (4 Bytes)  (0x60) = Length Of Attrib