Digital Forensics Myanmar

SSD ကို Quick Format ဒါမှမဟုတ် SSD ထဲက Data တွေ ဖျက်လိုက်ရင် ဘယ်လိုရယူနိုင်မလဲ ? SSD တစ်လုံးဆီက Data ပြန်ရဖို့ဆိုရင် L2P Table (Logical-to-Physical Table) အကြောင်းကို အရင်နားလည်ဖို့ လိုပါတယ်။  L2P Table ဆိုတာ ဘာလဲ ? L2P Table ဆိုတာ SSD တစ်လုံးမှာ Computer မြင်ရတဲ့ address (Logical) နဲ့ Data တွေ တကယ်ရှိနေတဲ့ Flash Chip ထဲကနေရာ (Physical) ကို ချိတ်ဆက်ပေးထားတဲ့ မြေပုံ ဖြစ်ပါတယ်။ SSD တွေဟာ Data တွေကို နေရာချရင် (Static) အနေနဲ့ သိမ်းတာမဟုတ်ဘဲ Wear leveling အရအမြဲနေရာရွှေ့နေတဲ့အတွက် ဒီ Table မရှိရင် Data တွေကို ရှာမတွေ့နိုင်ပါဘူး။ ဘာကြောင့် L2P Table လိုအပ်တာလဲ ? HDD တွေမှာတော့ ဒေတာတစ်ခုကို ဖျက်ပြီး အဲဒီနေရာမှာပဲ ပြန်ရေး (Overwrite) လို့ ရပါတယ်။ ဒါပေမဲ့ SSD မှာတော့ Data ရှိတဲ့နေတဲ့နေရာတွေမှာ  နောက်ထပ် Data ထပ်ပြီး Write လို့ မရပါဘူး။  အရင်ဖျက် (Erase) လုပ် ပြီးမှ ပြန် Write လို့ ရပါတယ်။ Wear Leveling အလုပ်ကတော့ Flash chip တစ်နေရာတည်းကိုပဲ ခဏခဏ Data သွား Write နေရင် အဲဒီနေရာက မြန်မြန်ပျက်စီးသွားပါလိမ့်မယ်။ ဒါကြောင့် Controller က ဒေတာတွေကို SSD ရဲ့Chip တစ်ခုလုံးမှာ နှံ့နေအောင် လိ...

Digital Forensic ရှုထောင့်ကနေကြည့်ရင် SSD တွေရဲ့ လုပ်ဆောင်ပုံဟာ ရိုးရိုး Hard Drive (HDD) တွေနဲ့ လုံးဝမတူတဲ့အတွက် သေချာနားလည်ထားဖို့ လိုအပ်ပါတယ်။ SSD မှာ Data တွေဖျက်လိုက်ရင်ဘာဖြစ်သွားလဲ? အခုခေတ်ပေါ် SSD တွေမှာ TRIM Function ကို ပုံသေ (Default)  အနေနဲ့ထည့်သွင်းပေးထားပါတယ်။  TRIM ဟာ SSD ရဲ့ သက်တမ်းကို ပိုရှည်စေဖို့နဲ့ Performance ကို ထိန်းသိမ်းဖို့အတွက် Wear Levelling နဲ့ Garbage Collection (GC) စနစ်တွေနဲ့ ပေါင်းစပ်အလုပ်လုပ်ပါတယ်။ Data ကို ဖျက်လိုက်တဲ့အခါ ဒါမှမဟုတ် Drive ကို Format ချလိုက်တဲ့အခါ အောက်ပါအတိုင်း ဖြစ်သွားတတ်ပါတယ် - 👉TRIM Command ပေးပို့ခြင်းအပိုင်း။ OS ကနေ SSD Controller ဆီကို ဒီဒေတာတွေ မလိုအပ်တော့ကြောင်း TRIM Command ပို့လိုက်ပါတယ်။ 👉Invalid အဖြစ် သတ်မှတ်ခြင်းအပိုင်း။ SSD Controller က အဆိုပါ Flash Blocks တွေကို "အသုံးမဝင်တော့တဲ့ (Invalid Block )" အဖြစ် မှတ်သားလိုက်ပါတယ်။ 👉Garbage Collection (GC) လုပ်ဆောင်ခြင်း။   နောက်ပိုင်းမှာ GC စနစ်ကနေ Data ရှိနေတဲ့ Blocks တွေကို Drive အတွင်းပိုင်းမှာတင် အပြီးတိုင် ဖျက်ပစ် (Erase) လိုက်ပါတယ်။ 👉ဖျက်ဖို့အချိန်သတ်မှ...

     အခုအချိန်က  Phone ကို Forensic Analysis လုပ်မယ်ဆိုရင် အဓိက ပြသာနာက Password  မသိရင်ဒါမှမဟုတ် Password သိရင်လဲ  Root မရတဲ့ ဖုန်းဆိုရင် Data/Data ‌ထဲကို၀င်မရလို့  ရှေ့ဆက်တိုးဖို့က တော်တော်ခက်တယ်။ Password သိရင်တောင် knowledge ရှိသူသုံးတဲ့ဖုန်းဆိုရင် ခြေရာလက်ရာဖျောက်ရင် အသေးစိတ်သိဖို့တော်တော်လက်၀င်ပါတယ်။ တစ်ကယ်လို့  Browser ကို Syncing လုပ်ပြီး Phone နဲ့ ကွန်ပျူတာမှာတွဲသုံးခဲ့ရင်တော့ Browser History ကို Analysis လုပ်နိုင်ပါတယ်။ Phone ကို Password ကျော်တာထက် Computer က ပိုလွယ်တာကြောင့်ပါ။ Browser History က ပြစ်မှုကျူးလွန်သူကို ပြစ်ဒဏ်ချမှတ်နိုင်ရန် လိုအပ်တဲ့ "ကျူးလွန်လိုသော ရည်ရွယ်ချက်" (Criminal Intent) ကို ခိုင်မာစေသည့် အရေးကြီးသော သက်သေကို ပေးစွမ်းနိုင်သတာကြောင့် ဖြစ်ပါတယ်။      အခြားသက်သေများက သံသယရှိသူအား အခင်းဖြစ်ပွားရာနေရာတွင် ရှိနေကြောင်းသာ ပြသနိုင်‌ပေမဲ့ Search History က အခင်းမဖြစ်ပွားမှီ ရက်ပိုင်း ရက်သတ္တပတ် ဒါမှမဟုတ် လပေါင်းများစွာကတည်းက ရှိနေသော ရည်ရွယ်ချက်ကို ဖော်ထုတ်ပေးနိုင်ပါတယ်။      ဥပမာ  Melani...