Network Action Predictor (Browser Forensic)

    အခုအချိန်က  Phone ကို Forensic Analysis လုပ်မယ်ဆိုရင် အဓိက ပြသာနာက Password  မသိရင်ဒါမှမဟုတ် Password သိရင်လဲ  Root မရတဲ့ ဖုန်းဆိုရင် Data/Data ‌ထဲကို၀င်မရလို့  ရှေ့ဆက်တိုးဖို့က တော်တော်ခက်တယ်။ Password သိရင်တောင် knowledge ရှိသူသုံးတဲ့ဖုန်းဆိုရင် ခြေရာလက်ရာဖျောက်ရင် အသေးစိတ်သိဖို့တော်တော်လက်၀င်ပါတယ်။ တစ်ကယ်လို့  Browser ကို Syncing လုပ်ပြီး Phone နဲ့ ကွန်ပျူတာမှာတွဲသုံးခဲ့ရင်တော့ Browser History ကို Analysis လုပ်နိုင်ပါတယ်။ Phone ကို Password ကျော်တာထက် Computer က ပိုလွယ်တာကြောင့်ပါ။ Browser History က ပြစ်မှုကျူးလွန်သူကို ပြစ်ဒဏ်ချမှတ်နိုင်ရန် လိုအပ်တဲ့ "ကျူးလွန်လိုသော ရည်ရွယ်ချက်" (Criminal Intent) ကို ခိုင်မာစေသည့် အရေးကြီးသော သက်သေကို ပေးစွမ်းနိုင်သတာကြောင့် ဖြစ်ပါတယ်။

    အခြားသက်သေများက သံသယရှိသူအား အခင်းဖြစ်ပွားရာနေရာတွင် ရှိနေကြောင်းသာ ပြသနိုင်‌ပေမဲ့ Search History က အခင်းမဖြစ်ပွားမှီ ရက်ပိုင်း ရက်သတ္တပတ် ဒါမှမဟုတ် လပေါင်းများစွာကတည်းက ရှိနေသော ရည်ရွယ်ချက်ကို ဖော်ထုတ်ပေးနိုင်ပါတယ်။

    ဥပမာ  Melanie McGuire "Suitcase Killer" အမှုမှာ တရားလိုဘက်မှ Browser History ကို အဓိကထား တင်ပြခဲ့တယ်။ သူမက ခင်ပွန်းဖြစ်သူ မသေဆုံးမှီ ရက်ပိုင်းအလိုကတည်းက "လူသတ်နည်း" နှင့် "ရှာဖွေမတွေ့နိုင်သော အဆိပ်များ" ကို ရှာဖွေခဲ့ကြောင်း တွေ့ရှိခဲ့ရပါတယ်။  Browser History ကသူမရဲ့ Mens Rea (The Guilty Mind) ကိုဖော်ပြနိုင်ခဲ့ပါတယ်။ သူမရဲ့ ခုခံချေပချက်ကို ချေဖျက်နိုင်ခဲ့ပြီး တစ်သက်တစ်ကျွန်း ပြစ်ဒဏ်ချမှတ်ရန်အတွက် အဓိက အထောက်အထား ဖြစ်ခဲ့ပါတယ်။

    နောက်ထပ် ဥပမာကတော့ မိမိ၏ကလေးငယ်အား ပူပြင်းသော ကားထဲ၌ တမင်ထားခဲ့သည်ဟု စွပ်စွဲခံရသော Justin Ross Harris အမှုမှာ  Browser History ကအ‌ရေးကြီးတဲ့ အခန်းကဏ္ဍမှ ပါဝင်ခဲ့ပါတယ်။ Browser History မှာ ပူပြင်းသောကားအတွင်း ကလေးငယ်များ သေဆုံးမှုနှင့် ပတ်သက်သည့် ရှာဖွေမှုများအပြင် Reddit ရှိ ဆွေးနွေးမှုများကိုပါ ရှာဖွေတွေ့ရှိခဲ့ပါတယ်။ ထိုအချက်အလက်များကြောင့် သူက ပေါ့ဆမှုကြောင့်မဟုတ်ဘဲ "တမင်ရည်ရွယ်ချက်ရှိရှိ" ကျူးလွန်ခဲ့ခြင်းဖြစ်ကြောင်း ခိုင်ခိုင်မာမာ သက်သေပြနိုင်ခဲ့ပါတယ်။

အရင် ရေးခဲ့တဲ့ Browser Forensic အကြောင်းမှာ ကျန်ခဲ့တဲ့ Network Action Predator အကြောင်းဆက်ရေးထားတာပါ။

    Chromium Base Browser တွေမှာ ၂၀၁၂ လောက်တည်းက ပါ‌လာပေမဲ့  အခုအချိန်မှာတော်တော် သုံးရတာအဆင်ပြေလာပါတယ်။ Network Action Predictor ဆိုတာက ဥပမာ လူတစ်ယောက်က " how to make a b " ဆိုတာကို browser မှာရိုက်လိုက်ရင် Predictor Databe မှာ အရင်က ရှာထားခဲ့ဘူးတဲ့ bomb ဆိုတာကို ရှာဖို့ User ကိုပြပေးပါမယ်။ ဘာလို့လဲဆိုရင်  Browser တွေက အရမ်းမြန်ချင်ပါတယ်။ User က Website တစ်ခုကို ဖွင့်ဖို့ စဉ်းစားနေတုန်းမှာပဲ Browser က နောက်ကွယ်ကနေ ကြိုတင်ပြင်ဆင်မှုတွေ လုပ်ထားချင်ပါတယ်။ ဒါ့ကြောင့် User ရဲ့ အတိတ်က အပြုအမူ (Past Behavior) ကို လေ့လာပြီး "သူ ဒါကို နှိပ်လောက်တယ်" ဆိုပြီး ကြိုပြီးခန့်မှန်းတာဖြစ်ပါတယ်။ ဒါဆိုရင် how to make a black coffee ဆိုတာကိုရှာဖို့ ရိုက်တာဖြစ်ပါတယ်လို့ ငြင်းနိုင်ပါတယ်။ လူတစ်ယောက်ရဲ့ စိတ်ထဲက ရည်ရွယ်ချက် (Intent) ကို သက်သေပြဖို့ ခက်ခဲပေမယ့်၊ Network Action Predictor ကတော့ မလိမ်ပါဘူး။ Predictor Database  မှာအရင်က ရှာဖူးတဲ့ Bomb နဲ့ပတ်သတ်တဲ့ history တွေရှိလို့သာ How to make bomb ဆိုတာကိုပြသတာဖြစ်ပါတယ်။ 

နောက်အရေးကြီးတဲ့ အချက်က Browser History ကို Clear လုပ်ရင်တောင်   Predictor Database က ကျန်နေပါသေးတယ်။

Predictor Database Location -

Window 

Path: C:\Users\%USERNAME%\AppData\Local\Google\Chrome\User Data\Default\Network Action Predictor

MacOS

​Path: /Users/[User Name]/Library/Application Support/Google/Chrome/Default/Network Action Predictor

Linux

​Path: /home/[User Name]/.config/google-chrome/Default/Network Action Predictor

Chromium Base Browser (Chrome, Edge, Brave , Opera )

Chrome မှာ Analysis အတွက် လုပ်ရတဲ့ History, Cookies, Login Data, Web Data (Autofill), Network Action Predictor စတဲ့ SQLite Database ဖိုင်တွေဟာ Microsoft Edge သို့မဟုတ် Brave မှာလည်း နာမည်တူ (သို့) ပုံစံတူ အနေနဲ့ ရှိနေတတ်ပါတယ်။

User Data တွေကို သိမ်းဆည်းတဲ့ လမ်းကြောင်း (Path) လေးတွေပဲ ကွာသွားမှာပါ။

Chrome

C:\Users\%USERNAME%\AppData\Local\Google\Chrome\User Data\Default\

Edge

C:\Users\%USERNAME%\AppData\Local\Microsoft\Edge\User Data\Default\

Brave

C:\Users\%USERNAME%\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\

Opera 

C:\Users\%USERNAME%\AppData\Roaming\Opera Software\Opera Stable