Digital Forensics Myanmar

  Digital Forensics with Myanmar Language  @ Archive 

Volume Shadow Copy Service (VSS) ကိုတော့ တော်တော်များများက System Restore Point အနေနဲ့အသိများပါတယ်။ VSS ကို အသုံးပြုတဲ့ User အပေါ်မူတည်ပြီး Volume တွေတင်မကဲ Directory တွေအထိအသုံးပြုနိုင်ပါတယ်။ VSS ကို Manual (သို့မဟုတ်)  Schedule Task အနေနဲ့ ပြုလုပ်နိုင်ပြီး VSS Storage Size ကို User  ကနေ Manual သတ်မှတ်နိုင်ပါတယ်။ VSS On/OFF ကိုလဲ User ကနေ Manual သတ်မှတ်နိုင်ပါတယ်။ System Restore ပြုလုပ်ဖို့သတ်မှတ်ထားတဲ့ Restore Size ပြည့်သွားရင် Previous Restore Point ကိုဖျက်ပြီး Restore Point အသစ်ကနေပြန်စမှာဖြစ်ပါတယ်။  Volume Shadow Copy Service (VSS) (System Restore) ဘယ်အချိန်မှာ Created ပြုလုပ်သလဲဆိုရင် -        Created By User Manual -        When Service Pack Is Installed -        Before Installing New Software or Drivers -        Before Applying Window Updates -        Schedule Task -        Some Software Request To Create Restore Point -        Once a week if no other restores points have been created recently Forensics Artifacts အနေနဲ့ ဘာတွေရနိုင်သလဲဆိုရင်   (VSS Volume ကို Shadow Explorer နဲ့

  Forensics Analysis လုပ်တဲ့အခါ   Computer ထဲကနေ Photo တွေ Recovery လုပ်တယ်။ အရင်ကဖျက်ထားတဲ့ Photo တွေရလာမယ်။ ဒါမျိုးက သိပ်ဆန်းတဲ့ ကိစ္စမဟုတ်။ ဖျက်ထားတဲ့ Photo တွေက Storage ထဲမှာ ကျန်နေသေးတဲ့အတွက် Recovery ကနေ Photo အပြင်ကျန်တဲ့ Data တွေပါရလာနိုင်ပါတယ်။   Photo တွေက Storage ထဲမှာလုံး၀ကိုမရှိတော့ရင် Recovery မရနိုင်လျင် ဘယ်လိုလုပ်မလဲ။ ????? Computer အပြင် Phone တွေမှာလဲ Thumbnail File က ဓာတ်ပုံတွေကို ကြည့်တဲ့နေရာမှာ ပိုမြန်အောင် ရှိနေပြန်ပါတယ်။ Thumbnail File သာမရှိရင် User ကနေ ဓာတ်ပုံတွေကိုကြည့်တဲ့အခါ System ကနေ နောက်တစ်ခါ ပြန်ပြီး Loading လုပ်နေရတဲ့အတွက် Resources ပိုသုံးရပါတယ်။ Network အပိုင်းမှာရှိတဲ့ Caching စနစ်လိုပဲ Photo တွေကြည့်တဲ့အခါ ပိုမြန်အောင် Photo Cache အနေနဲ့ ရှိတဲ့ သဘောဖြစ်ပါတယ်။   အောက်မှာဖော်ပြထားတဲ့ပုံက ဖုန်းကနေ ဓာတ်ပုံရိုက်လိုက်တဲ့ အခါ Digital Camera Image (DCIM) Folder ထဲမှာ ရှိနေတဲ့ Thumbnail File တစ်ခုဖြစ်ပါတယ်။ FBI က 2008 ခုနှစ်လောက်ကနေစပြီး Thumbnail Or Thumbcache ကို   Analysis လုပ်ပြီး အရင်က ရှိခဲ့တဲ့ ဓာတ်ပုံတွေကို ရယူပါတယ်။ Thumbcache File တွေက ဘာလုပ်‌

  LNK File (Shortcut)   File တွေကို User ကနေ Create လုပ်တာရှိသလို Window   Operation System ကနေလဲ Create လုပ်တာတွေရှိနိုင်ပါတယ်။ LNK File (Shortcut)   File တွေ့နိုင်တဲ့ နေရာတွေက အောက်ဖော်ပြပါနေရာများဖြစ်ပါတယ် ---   LNK File (Shortcut)  -  File Location (Window 7 To Window 11)   C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent On the desktop ( User Created Easily Access To Application & Documents) (For Microsoft Office documents)      C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Office\Recen t\ C:\Users\%USERNAME%\Downloads Startup folder           Startup Folder Location (Window 7 To Window 11)   C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup           C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp                  Press   Windows + R   to open the Run Box.                Type   shell:startup   for the current user’s Startup folder.           Type   shell:common startup   for the all u

လက်ရှိအချိန်မှာ PC/Laptop သုံးစွဲတဲ့အထဲမှာ Window အသုံးပြုသူက ကမ္ဘာမှာ အများဆုံးဖြစ်ပါတယ်။ Operation System အနေနဲ့ကြည့်မယ်ဆိုရင် ဒုတိယအများဆုံးဖြစ်ပါတယ်၊ ပထမအများဆုံးကတော့ Android ဖြစ်ပါတယ်။ Window 1.0 ကနေ အခုနောက်ဆုံးထွက်တဲ့ Window 11 အထိမှာ လက်ရှိလူတွေ အများဆုံးအသုံးပြုတာကတော့ Window 10/ Window 11 ဖြစ်ပါတယ်။ Forensics Analysis လုပ်မယ်ဆိုရင် Window ကနေရနိုင်တဲ့ Artifact (2) မျိုးရှိပါတယ်။ (1) System Artifacts  (2) User Artifacts  System Artifacts  ကတော့ Window Operation System   ကနေရနိုင်တဲ့ Artifacts တွေဖြစ်ပါတယ်။  System Artifacts Example  Registry Artifacts Event Logs File System Artifacts (Master File Table) Prefetch Files Volume Shadow Copies  User Artifacts ကတော့ User အသုံးပြုတဲ့ Computer ပေါ်မှာ User ကနေအသုံးပြုတဲ့ Activity တွေဖြစ်ပါတယ်။ တစ်ကယ်တန်း Forensics Analysis လုပ်မယ်ဆိုရင် System Artifacts ကိုရော User Artifacts ကိုရော Analysis ပြုလုပ်ပါတယ်။  User Artifacts Example  UserAssist  LNK Files Browser Artifacts  Recycle Bin  Recent File  Jump Lists  .LNK File (Shortcut) An

 IOS 17.5 update လုပ်ရင် ဖျက်ထားတဲ့ Photo တွေပြန်ပေါ်လာနိုင်သလား။ 7.5 တင်နိုင်တဲ့ အလုံးတိုင်းဖြစ်တာမဟုတ်ပဲ အချို့အလုံးတွေမှာသာဖြစ်တတ်ပါတယ်။ Thumbnail တွေပဲပြန်ပေါ်လာတယ်ဆိုရင် (အရင်ဓာတ်ပုံကိုမှ Size အသေးအနေနဲ့ပြန်ပေါ်လာရင်) Click about Thumbnail Forensics  iCloud အတွက် Storage ကို  Apple က Google Cloud ကိုအသုံးပြုထားပါတယ်။ iCloud မှာ ဖျက်ထားတဲ့ ပုံတွေ ပြန်ပေါ်လာတာဆိုရင် Delete လုပ်‌ပေမဲ့ တစ်ကယ်တန်း Cloud မှာ Delete မဖြစ်နိုင်တာ ဖြစ်နိုင်ပါတယ်။ User က Delete လုပ်ပေမဲ့ Connection ကြောင့် တစ်ကယ် Delete ဖြစ်မသွားတာ။ ဒါမှမဟုတ် Cloud Storage က တစ်ကယ်ဖျက်မပစ်ပဲ ရက် ၃၀ထက်ကျော်ပြီး (Recently Deleted Folder) ထဲကနေ  Recovery လုပ်လို့ရနေတာလား။ 🤔Google Errors? Apple Error? Apple က Storage အတွက် NAND Flash ကို ကိုရီးယား ထိုင်၀မ် Company တွေကနေသီးသန့်မှာသုံးပါတယ်။ ၂၀၂၂ မှာတော့ တရုတ်ကနေ မှာယူအသုံးပြုမယ်လို သတင်းမှာသိရပါတယ်။ IPhone 14 ကနေစပြီး အသုံးပြုတယ်လို့ သတင်းမှာတွေ့ပါတယ်။  iPhone တွေမှာ Storage အတွက်သုံးတဲ့ NAND Flash) မှာ Hidden or Encrypted Partition အနေနဲ့  data တွေကို သိမ်ထားနိုင်သလား 🤔 Stor