Digital Forensics Myanmar

 Covid day - 18 (Covid Negative Day)  (Bitlocker + TPM) (Bitlocker + TPM + Pin) အတွက် Forensics Point Of View  (User ဆီက Password, Pin တောင်းမယ်ဆိုတဲ့ အဆင့်ကို ကျော်ထားပါတယ်။) Trusted Platform Module (TPM) ဆိုတာက Cryptoprocessor တစ်ခုဖြစ်သလို Built-in Memory  လဲပါရှိပါတယ်။ Cryptographic Key တွေကို Computer Mother Board နဲ့ ပေါင်းစပ်ပြီး  ထိမ်းသိမ်း ဆောင်ရွက်‌ပေးပါတယ်။  TPM က Motherboard Built in အနေနဲ့ပါရှိသလို Support ပေးတဲ့ Motherboard တွေမှာ Module အနေနဲ့ ထပ်ပြီးတပ်လို့ရပါတယ်။  Bitlocker က AES-128 ကို အသုံးပြုပြီး UEFI အတွက် XTS , Legacy Boot အတွက် CBC ကိုအသုံးပြုပါတယ်။ Data တွေကို Volume Master Key  (VMK) နဲ့ Encryption ပြုလုပ်ပါတယ်။ VMK ကို ဘယ်ကနေရနိုင်မလဲဆိုရင်  1 - Bitlocker Password  2 - Encryption Enable ပြုလုပ်တဲ့ အချိန်မှာ Save ထားတဲ့  File, USB, Print, Note, Microsoft Accout,  3 - Trusted Platform Module (TPM)  Bitlocker + TPM  TPM ရဲ့ အလုပ်လုပ်ပုံက Block Chain ပုံစံနဲ့ ဆင်တူပါတယ်။ System Boot စတက်တဲ့ အချိ...

 Lock Down File  (For Passcode Protect Idevices)  Idevices နဲ့ Computer ချိတ်ဆက်တဲ့ အခါ Computer မှာ Lock Down File ကို Plist File အနေနဲ့ Itune က Automatic Create လုပ်လိုက်ပါတယ်။  Lockdown File ကို Paring Record လို့လဲ ခေါ်ပါတယ်။ Idevices နဲ့ ချိတ်ဆက်တဲ့ Computer ရဲ့ကြားက Trusted Record လဲဖြစ်ပါတယ်။  (အချို့ Mobile ForensicsCommercial Product အချို့မှာ Lock Idevices အတွက် Lock ကျော်ဖို့ LockDown File Input လုပ်တဲ့နေရာပါပါတယ်။) (Commercial Produt မရှိလဲ Forensics လုပ်မဲ့ PC မှာ  Itune Install လုပ်ပြီး ချိတ်ဆက်ဖူးတဲ့ ကွန်ပျူတာကနေ  LockDown File ကိုရှာထည့်ပါ။) LockDown File Location  Window C:\ProgramData\Apple\Lockdown MAC  /var/db/lockdown ဒါပေမဲ့ ကန့်သတ်ချက်အချို့တော့ ရှိပါတယ်။  1 - Seized လုပ်လိုက်တဲ့ Locked Apple Device နဲ့ အတူ ချိတ်ဆက်ဖူးတယ်လို့ယူဆရတဲ့ Computer ပါ Seized လုပ်တဲ့အထဲမှာ ပါ၀င်ရမယ်။ မချိတ်ဆက်ဖူးရင် Lockdown File မရှိပါ။  2 - Seized လုပ်ပြီးတဲ့နောက်ပိုင်း Phone  ကို Don't Restart,  Don't Power Off  (ဘာလ...

 Positive Day - 16 အမှန်တစ်ကယ်က Window 11 မှာ Trusted Platform Module (TPM) ပါမှ တင်လို့ရမယ်လို့ ပါလာတဲ့အတွက်ပါ။ (တစ်ကယ်တော့ TPM မပါလဲ Skipped လုပ်လို့ရပါတယ်။)  အရင်အချိန်တွေကို ပြန်သွားကြည့်ရင်  Pull and  Plug Methods  ကျွန်တော်တို့ Desktop Or Laptop မှာ Secure Boot,Bootloader, Login Password  Password ခံထားရင် အသုံးပြုတဲ့နည်းပါ။ အချို့နိုင်ငံတွေမှာ  Digital Forensics လုပ်ရင် ဥပဒေ နည်းဥပဒေရှိတဲ့အတွက် Konboot, Boot Disk လိုမျိုးတွေသုံးပြီး User Password ဖျက်တာ User Account နောက်တစ်ခု ထည့်တာတွေ လုပ်လို့မရနိုင်ပါဘူး။ အဲဒီအတွက် Alternative နည်းလမ်းဖြစ်တဲ့ Pull and Plug Methods ကိုအသုံးပြုပါတယ်။  (နောက်ပိုင်း အချို့နိုင်ငံများမှာ Sized လုပ်မဲ့ Digital Device အတွက် Warrant အပြင် Pin, Patter, Password,Biomateric အတွက် Warrant ပါထပ်ပြီးပါလာပါတယ်။) Pull and Plug Methods ဆိုတာ တစ်ခြားတော့မဟုတ်ပါဘူး။ Desktop Or Laptop ထဲက Har၊ddisk, SSD ကိုဆွဲထုတ်ပြီး Forensics SOP အတိုင်းပြုလုပ်တာပါ။  ဖွင့်ဖို့ ဖြုတ်ဖို့မလွယ်တဲ့ အခါမှာတော့ ကျွန်တော် အရင်တစ်ပတ်လောက်က ရ...

 Positive Day -14 2021 ကလဲ ကုန်ခါနီးလာပြီဆိုတော့ 2022 နှစ် မတိုင်ခင် 2021 မှာ မှတ်တိုင်တစ်ခုအနေနဲ့  ရေးလက်စရှိနေတဲ့  Digital Forensics With Autopsy စာအုပ်ကို အပြီးသတ်ပြီး PDF အနေနဲ့ Just For Knowledge အနေနဲ့ရော Education Purpose အနေနဲ့ရော  Free  တင်ပေးသွားပါမယ်။ (မြန်မာမှာသာ တန်ဖိုးမရှိပေမဲ့ အခြားနေရာတွေမှာ Course တွေ Training တွေက ဈေး အရမ်းကြီး ပါတယ်။ ) စာအုပ်မှာ  Acquisition အတွက် Commercial Product တွေကထုတ်တဲ့ Acquisition Tools တွေနဲ့ Forensics Image အမျိုးမျိုးရယူပုံ။  Autopsy 8 Hours Training မှာ သင်တဲ့သင်ခန်းစာတွေနဲ့ အခြားပတ်သတ်ပြီးသိသင့်တာတွေ အကုန် အပြီးသတ်ရေးပေးသွားပါမယ်။  အနည်းဆုံး ရရှိမှာတွေကတော့ ....  -Autopsy အပြင် အခြား Commercial Product တွေကို အလွယ်တကူ အသုံးပြုနိုင်သွားပါမယ်။  - နှိုင်းယှဉ်တဲ့ အကြောင်းအရာတွေမှာ Commercial Product တွေအကြောင်းပါ အလျှင်းသင့်သလိုပါ၀င်ပါမယ်။ 

 Positive Day - 13 Android  Backup   Commercial Tools တွေမှာတော့ Click & Click သွားဖို့လွယ်ပြီး User ကလဲ အသုံးပြုရတာလွယ်ကူပါတယ်။ ဒါပေမဲ့  Behind The Scenes Commercial Tools နောက်ကွယ်က လုပ်သွားတာတွေ  ဘာလို့ ဒီလိုရလာတယ်ဆိုတာတွေ ဘာကြောင့် ဒီလိုရလာတယ်ဆိုတာကို တော်တော်မျာများသတိမပြုမိကြပါဘူး။  Adb Backup (Using Adb Command)  Google က Android Version 4 ကနေစပြီး Adb Backup ကို အသုံးပြုခွင့်ပေးလာပါတယ်။  Adb Command ကို Window, Linux ,Mac တွေမှာ အသုံးပြုလို့ရပါတယ်။   ပြည်ပ LEA တွေသုံးတဲ့ Mobile Forensics  Commercial Product တွေမှာ Data Extraction လုပ်ဖို့ Click နှိပ်တာရဲ့ နောက်ကွယ်မှာ အဓိက Run တာက Adb Command တွေပါ။  မယုံရင် Extraction နှစ်ခု လုပ်ပြီး ရလာတဲ့ Data ကို ယှဉ်ကြည့်ပါ။  နောက်ပိုင်းမှာတော့ Adb Command ကနေ Backup ယူတာမှာ အားနည်းချက်တွေရှိလာပါတယ်။ အချို့သော Applications တွေကနေ Data တွေကို Adb Command နဲ့ရယူဖို့ ပိတ်လာပါတယ်။ ဥပမာ Facebook App  လိုဟာမျိုးဆိုရင် တော်တော်ကိုရှေးကျနေတဲ့ Facebook App မှာသာ adb Comma...

 Positive Day - 12 Mobile Forensics Challenge  Hardware Difference အသုံးပြုတဲ့သူ တစ်ဖြည်းဖြည်းများလာတာနဲ့အမျှ ထုတ်လုပ်တဲ့ Company တွေကနေ User တွေရဲ့ အကြိုက် ငွေတတ်နိုင်မှု အပေါ်ကိုလဲ မူတည်။ ပြီးရင် ထုတ်လုပ်တဲ့ Company အချင်းချင်းပြိင်ဆိုင်မှုတွေကြောင့် Mobile Phone ထုတ်လုပ်မှုကို Short Product  Development Cycle အနေနဲ့သာထုတ်လုပ်ပါတယ်။  Mobile Operation System  လူအများ သုံးနေတဲ့ Window, Mac တွေလိုမဟုတ်ပဲ  Mobile Operation System တွေက Product အလိုက် Operation S ystem အမျိုးမျိုးကွဲပြားပါတယ်။  ဥပမာ  Android အပေါ်မှာ အခြေခံပေမဲ့ MI ဆို တစ်မျိုး Samsung ဆိုတစ်မျိုး စသည်ဖြင့်ကွဲပြားပါတယ်။  Mobile Security Platform Features  အစဦးပိုင်း Android Version တွေလိုမဟုတ်ပဲ အသုံးပြုသူတွေရဲ့ Security and Privacy တွေကို ‌အလေးပိုထားလာတာကြောင့် Forensics အပိုင်းမှာ အခက်ခဲ‌တွေရှိလာပါတယ်။ Encryption တွေက Hardware Layer တင်မက Software Layer အထိပါ ပါ၀င်လာတဲ့အတွက် အရင်ကလို မလွယ်ကူတော့ပါ။  Anti Forensics Techniques Factory Reset, Secure Wipping , Data- ...

 Positive Day - 11  Itune Backup Forensics မှ အဆက်  info.plist  Info.plist မှာ Backed Up Device နဲ့ ပတ်သတ်တဲ့ အကြောင်းတွေပါ၀င်ပါတယ်။  Applications - Device မှာ Install လုပ်ထားတဲ့ App စာရင်း Build Number - IOS Build Version  Number  Device name and Display Name - Device name နဲ့ Owner Name  GUID - Global Unique Identifier  ICCID - Integrated Circuit Card Identifier , SIM Card ရဲ့ Serial Number ,  IMEI - International Mobile Equipment Identity  Last Backup Date - နောက်ဆုံး Successful Backup လုပ်ခဲ့တဲ့ ရက်စွဲ MEID - Mobile Equipment Identifier  Phone Number - Backup လုပ်တဲ့အချိန်မှာ အသုံးပြုတဲ့ ဖုန်းနံပတ် Product Name - Eg, Iphone 11,12 Product type , Product Version (Firmware Versions ), Phone Serial Number, UDID, Itune Version  Itune Setting - Delete App Information  manifest.plist  Backup Contacts နဲ့ ပတ်သတ်တာတွေပါ၀င်ပါတယ်။ Backup Keybag - Backup လုပ်တဲ့ ဖုန်းမှာပဲ Itune Backup လုပ်နိုင်ဖို့ Phone Hadware Keys Ve...

 Positive Day 10  UFED  CTF မှာ Itune Backup တွေ PC တွေပါလာတာတွေ့လို့ပါ။  Working With Itunes Backup  Iphone 13 မထွက်ခင် Elcomsoft (Russia Mobile Forensics Product CEO က Iphone 13 ထွက်လာတော့မှာ ဖြစ်တဲ့အတွက် လူတွေက Icloud backup တွေလုပ်ပြီး ဖုန်းတွေချိန်းတော့မှာ ဖြစ်ကြောင်းပြောကြားခဲ့တယ်။  Itune Bckup ကိုလုပ်တဲ့သူရှိသလို မလုပ်တဲ့သူလဲရှိနိုင်ပါတယ်။ လူအပေါ်မူတည်တာပေါ့။ Itune Backup မှာက အရင်က data တွေအပြင် By Passed Certificate နဲ့ Lock Down Certificate တွေပါနိုင်ပါတယ်။ (Password မလိုပဲ login ၀င်လို့ရတဲ့ အနေအထားပါ။) နောက်ပိုင်း Apple Watch Information ကလဲ Itune Backup ထဲမှာပါလာပါတယ်။  Itune Backup Acquisition  Itune Backup ကိုတော့ အခြား Acquisition Methods တွေအသုံးမပြုနိုင်တဲ့ အခါမျိုးမှာ အသုံးပြုကြတာများပါတယ်။  Itune ကို ကောင်းကောင်းအသုံးပြုတတ်ဖို့ပဲ လိုအပ်ပါတယ်။ Commercial Tools တွေမှာလဲ Itune Backup ကို အလွယ်တကူ Analysis လုပ်နိုင်ပါတယ်။ Open source Tools တွေလဲ ရှိပါတယ်။ Forensics Purpose  အတွက် Itune Backup လုပ်တဲ့နေရာမှာ အရေးကြီးတဲ့ အချ...

 Positive Day - 9  iphone ရဲ့ file system တစ်နည်းအားဖြင့် Logical Partation ကို 2 ပိုင်းခွဲခြားထားပါတယ်။  System (Root/Firmware) နဲ့ နောက်တစ်ခုက User Data တွေရှိနဲ့ User Data Partation အပိုင်း။ System Partation မှာ IOS နဲ့ Preloaded Application တွေပါ၀င်ပါတယ်။ System Partation က Read Only အနေနဲ့ပဲ ရှိပါတယ်။ ဒါပေမဲ့ IOS Upgrade လုပ်နေတဲ့ အချိန်နဲ့ Device Jailbroken ဖြစ်နေရင်တော့ Read Only မဟုတ်တော့ပါဘူ။ Android Phone က အရင်ကဆို Root ပြီးရင်လဲ Un root လုပ်လို့ရပေမဲ့ Idevices ကတော့ တစ်ခါ Jailbreak လုပ်ပြီးရင် Forever Jailbreak ဖြစ်နေမှာ ဖြစ်ပါတယ်။  System Partation က Firmware Upgrade လုပ်နေတဲ့အချိန်ပဲ Update ဖြစ်နေမှာ ဖြစ်ပြီး Update လုပ်တဲ့အချိန်မှာ Itune က Partation တစ်ခုလုံးကို Userdata တွေကို မထိခိုက်ပဲ Format လုပ်ပါတယ်။  System Partation size က Phone ရဲ့ Nand Flash ပေါ်မူတည်ပြီး 0.8 GB - 4 GB အထိရှိပါတယ်။  အပေါ်မှာပါတဲ့အတိုင်း Firmware Upgrade လုပ်တဲ့အချိန်အထိပဲ System Partation က update လုပ်တာဖြစ်ပြီး ကျန်တဲ့အချိန်မှာတော့ စက်ရုံက ထုတ်လိုက်တဲ့ အခြေအနေအတိုင...

 Positive Day -8  Commercial Tools ကနေ ဖော်ပြတာတင်မဟုတ်ပဲ SQLite File တွေကို Analysis လုပ်မယ်ဆိုရင် IOS Devices တွေမှာသုံးထားတဲ့ Time-stamp တွေကို သိထားဖို့လိုအပ်ပါမယ်။  Unix Time Stamp  January 1 1970 မှစတင်ပါတယ်။ millisecond, Nanosecond တွေနဲ့ ဖော်ပြတတ်ပါတယ်။ Time ပြောင်းဖို့ online/offline Tools တွေရှိပါတယ်။  Unix Time Stamp ကို IOS Devices တွေမှာ အများဆုံးသုံးပါတယ်။ Mac Absolute Time IOS-5 ကနေစတင်အသုံးပြုပါတယ်။  January 1 2001 မှ စတင်ပါတယ်။  WebKit/Chrome Time January 1 1601 မှာ စတင်ပါတယ်။ Commercial Tools တွေမှာတော့ အလိုအလျှောက် Time ကို ပြောင်းလဲပေးတာတွေရှိပါတယ်။ 

 Positive Day -7  Android Version 6 ကနေစပြီးရင် Full Disk Encryption (FDE) ကိုစတင်လာပါတယ်။ User ရဲ့ data တွေကို Secret Key နဲ့ Encrypt လုပ်လိုက်ပါတယ်။ Secret Key ကို User ပေးထားတဲ့ Pin, Password နဲ့ ထပ်ပြီး Encrypt ထပ်လုပ်ထားပါသေးတယ်။ Flash Memory ပေါ် မှာ သွားမသိမ်းခင်ကတည်းက user ရဲ့ data တွေကို Encryption လုပ်ထားလိုက်ပါတယ်။ ဒါက Chipoff အတွက် အခက်အခဲ ဖြစ်လာစေပါတယ်။ Android Version 7 ကနေစပြီးရင် Android Verify Boot စတင်ပါ၀င်လာပါတယ်။ Normal Mode အနေနဲ့   Phone Operation System တက်လာဖို့ Partation နဲ့ Segment တွေမှာ  အဆင့်တိုင်း Integrity ရှိ မရှိ စစ်ဆေးပါတယ်။ တစ်ခုခုကို ပြင်ထားမယ်ဆိုရင် Integrity မမှန်ဘူးဆိုရင် Normal Mode အနေနဲ့ Boot  တက်လာမှာ မဟုတ်ပါဘူး။ ကွန်ပျူတာမှာ UEFI ပုံစံနဲ့ ဆင်တူပါတယ်။  Android Version 7 နဲ့ နောက်ပိုင်းမှာ File Base Encryption (FBE) ပါ၀င်လာပါတယ်။ File အာလုံးအတွက် Encryption Key တစ်ခုထဲမဟုတ်ပဲ  File တစ်ခုချင်းစီကို Encryption Key တစ်ခုစီ ဖြစ်လာပါတယ်။  Full Disk Encryption (FDE) မှာတုန်းကလို  File  အားလုံးကို ...

 Positive Day -6  Iphone မှာလဲ Dialer (call), SMS , Calendar, Contact, Event, Mail, Note တို့ကို SQLite Database နဲ့ပဲ သိမ်းဆည်းပါတယ်။  .sqliitedb .db extension အနေနဲ့ အများဆုံးတွေ့ရမှာ ဖြစ်ပါတယ်။အဲလို  file extension မရှိတာတွေ။ Write-Ahead Log (WAL) တို့လဲ ရှိပါတယ်။ ဥပမာ  Contact ဆိုရင် AddressBook.sqlitedb Call history ဆိုရင် callHistory.storedata  Sms ဆိုရင် sms.db  Note ဆိုရင် notes.sqlite Safari အတွက် Bookmarks.db, History.db  အရင် ယခု သုံးခဲ့ သုံးနေတဲ့ Sim Card Data တွေကို CellularUsage.db ထဲမှာတွေ့နိုင်ပါတယ်။  SQLite File တွေကို ဖတ်ဖို့ Recovery လုပ်ဖို့အတွက် Open Source Tools တွေရှိပါတယ်။ Unlocated Space, Free Space ကနေပါ ရှာဖတ်ဖို့ Recovery လုပ်ဖို့အတွက်က Commercial ကပိုအဆင်ပြေတယ်လို့ ပြောကြပါတယ်။  ဥပမာ ကျွန်တော်ကနေ ၀တ်မှုန်ရွှေရည်ကို လမ်းခွဲကြောင်း SMS စပို့လိုက်တယ်။ မကြာခင် Mဆိုင်လုဆီက Sms ၀င်လာတာနဲ့ တစ်ခြားသူဆီက ၀င်တာနဲ့  အဲ့ဒီ Sms က ဖုန်းထဲမှာ အောက်ရောက်နေရင်းနဲ့ မပေါ်တော့ဘူး။ sms.db မှာက limit Storage ရှိပါတယ်။ အဲ SMS ...

 Positive Day - 5 Android ရဲ့ Internal Memory ထဲကနေ ဖျက်လိုက်တဲ့  Dialer (Call Log), Contact, SMS, App Data တို့ကို သာမန်သုံးနေကြ Recovery App တွေနဲ့ Recovery ယူလို့လုံး၀မရပါဘူး။ Internal Memory ရဲ့ Raw Partition ကို ၀င်ဖို့ Data Extraction လုပ်ဖို့အတွက်  Root Access လိုအပ်ပါတယ်။  Root Access ရဖို့ဆိုတာကလဲ အခု Android Version အမြင့်ပိုင်းတွေမှာ မလွယ်ကူတော့ပါ။အရင်က Myanmar Fonts ပေါ်ဖို့ Browser မှာမြန်မာလိုပေါ်ဖို့ Root လုပ်ခဲ့တဲ့ အချိန်တွေကို မေ့ထားလိုက်ပါ။  Root လုပ်လို့ရနိုင်ခဲ့ရင်လဲ Root လုပ်တဲ့ Process မှာ Android ရဲ့ /data မှာ File အချို့နေရာသွားယူပါတယ်။ အဲဒီအတွက် အရေးကြီးတဲ့ Data တွေက Flash Memory ရဲ့ Unlocated Space ကနေ ပျောက်သွားတတ်ပါတယ်။ ဥပမာ Delete Sms or Delete Call Log  SD Card က File တွေဆိုရင်တော့ရတယ် ဖုန်းကျရင်လဲ ရရမှာပေါ့ မေးစရာရှိပါတယ်။ SD Card File System က FAT32 ပါ။ Forensics Tools တင်မကပါဘူး တောက‌နေ မြို့အထိသုံးတဲ့ Recovery App တောင် FAT32 ကို Recovery ရပါတယ်။  Android Version အနိမ့်တွေမှာ YAFFS2 အခုနောက်ပိုင်းတွေမှာ EXT3, EXT4, RFS...

 Positive Day -4 Paladin LTS, EDGE 32/64 မှာ Support လုပ်တဲ့ Image Type များ  DD (Raw) EWF v1 (Expert Witness Format) EWF v2 SMART (ASR data Image Format) DMG (Apple Disk Image)  VMDK (Use For Virtual View ) (Forensics Mode နဲ့ Live လုပ်တဲ့အခါ Computer ထဲကို ချိတ်ဆက်တဲ့ Storage Media တွေက Read Only Mode အနေနဲ့ ဖြစ်သွားမှာ ဖြစ်ပါတယ်။) Support လုပ်တဲ့ Function တွေကတော့  - Forensics Imaging  - Cloning  The Drive - Imaging Across The Network     (NAS,Raid ရှိခဲ့လျှင်) - Converting Forensics Image Type to Another Forensics Image Type - Imaging Unallocated Space and unpartation  Space

 Positive Day -3  GrayShift's GrayKey ကို UFED, Magnet တို့မှာ ပါ၀င်ပါတယ်။ phone imge file ကို load လုပ်တဲ့အချိန်မှာ Graykey ကို ရှိခဲ့ရင် ထည့်ပေးရတာဖြစ်ပါတယ်။ သီးခြား Product တစ်ခုဖြစ်ပါတယ်။ GrayShift Company က လူအယောက် ၅၀ ခန့်သာရှိပေမဲ့ Product နဲ့ပတ်သတ်ရင် Secret အရမ်းဖြစ်ပါတယ်။  GrayShift's GrayKey က US နဲ့ ပါတနာကျတဲ့ နိုင်ငံတွေမှ  Law Enforcement Agency  Only ကိုပဲ ရောင်းချတာဖြစ်ပြီး ၀ယ်တဲ့သူက NDA ထိုးရပါတယ်။ Iphone ကို Lock ‌ဖြေပေးဖို့ Apple ကိုတောင်းဆိုတဲ့ အခါတုန်းက မ‌ဖြေပေးတဲ့အတွက် ကြားကနေ lock ဖြေပေးတာက GrayShift က ဖြေပေးခဲ့တာဖြစ်ပါတယ်။  Iphone and android phone တွေရဲ့ Passwords ကို  Brute force Attack နဲ့ ရယူနိုင်ပါတယ်။ (Apple ကတော့ IOS 12 နောက်ပိုင်း Password ကို Graykey နဲ့မရယူနိုင်ဘူးလို့ဆိုပါတယ်။) ဒါပေမဲ့ ‌ခုထိ GrayShift ကလဲ ထုတ်ဖော်ပြောကြားခြင်းမရှိပါ။ Phone Image ကို UFED ထဲကို Loading လုပ်တဲ့အချိန်မှာ ထည့်ရတဲ့ Graykey ကတော့ Crack လို့ရတဲ့ Password သို့မဟုတ် Hash ပဲ ဖြစ်ပါတယ်။ ဒါမှ Phone OS ကနေ Encryption လုပ်ထားတာတွေကို ဖြေလို့ရမှာဖြစ်...

 Covid Positive Day -2  World No 1 Mobile Forensics Tools ဖြစ်တဲ့ Cellebrite ကနေ မကြာခင် CTF  လုပ်ဖို့ရှိပါတယ်။ အဖွဲ့လိုက် သို့မဟုတ် Individual ပြိုင်လို့ရပါတယ်။ Phone 3 လုံးနဲ့ Pc 1 လုံးပါ၀င်ပါတယ်။ Phone 3 လုံးကတော့  Physical Analyzer နဲ့ စစ်ပေးပြီး မေးခွန်းတွေဖြေပေးရမှာပါ။ Pc အတွက်ကတော့ Any Tools ဖြစ်ပါတယ်။  Physical Analyzer ကတော့ အခုလက်ရှိ Version  7.47 ဖြစ်ပါတယ်။ ‌Physical Analyzerက UFED4 PC and UFED Touch ကနေ Acquisition လုပ်လို့ရတဲ့ Ufed File ကို Analysis လုပ်တဲ့နေရာမှာ အသုံးပြုတာဖြစ်ပါတယ်။ CTF မှာပေးထားတဲ့ Phone image file တွေက UFED4 PC ကနေ Acquisition လုပ်ထားတာဖြစ်ပါတယ်။ Physically Analyzer ကနေပဲ Analysis လုပ်လို့ရပါတယ်။ Cross Platform ဖြစ်တဲ့ Magnet , Oxygen မှာလဲရပါတယ်။ 😁 Open Source နဲ့လဲသုံးလို့ရတာတွေရှိပါတယ်။  Physical Analyzer ရှိပြီးသား ပြိုင်ပွဲ၀င်တွေအနေနဲ့ Image File ကို ကြိုပြီး Analysis လုပ်နိုင်တဲ့အတွက် အချိနိပိုရပါတယ်။ မရှိရင်လဲ ရက်အကန့်အသတ်နဲ့  Physical Analyzer ကို ပေးသုံးမှာ ဖြစ်ပါတယ်။  (UFED ကို စမ်းသပ် အသုံးပြုရတဲ့...

Covid Positive Day -1  (Memory အနေနဲ့  ဖြစ်အောင် Positive ဖြစ်တဲ့နေကနေ Negative ဖြစ်တဲ့အချိန်ထိ ပေါ့ပေါ့ပါးပါး ရေးတာပါ။)  Digital Forensics အတွက် Commercial Tools တွေက ဈေးကြီးတဲ့အတွက် လေ့လာလိုသူတွေ စိတ်၀င်စားသူတွေအတွက် အဆင်မပြေပါဘူး။ ဒါကြောင့် Commercial လဲ ဖြစ် Free အနေနဲ့လဲအသုံးပြုလို့ရ လက်တွေ့မှာ အသုံး၀င်နိုင်မဲ့ တစ်ခုနဲ့ မိတ်ဆက်ပေးပါရစေ။ အဲဒါကတော့ Paladin LTS ၊ Paladin Edge 32/64 ဖြစ်ပါတယ်။ Free အနေနဲ့ သုံးဖို့ အကောင့်တစ်ခု ပြုလုပ်ပြီး Visa , Master Card  တစ်ခုလိုအပ်ပါတယ်။ (ငွေမဖြတ်ပါဘူး Verify ဖြစ်အောင်လုပ်တဲ့သဘောပါ) US 25 အနည်းဆုံးပေးရပါတယ် တစ်ကယ်ဆို Commercial အတွက် ဒါပေမဲ့ သိပ်မကွာပါဘူး။ ဒါနဲ့ စစ်ရင် စစ်ဆေးတဲ့ ရလဒ်ကို License ဖြစ်လို့ Sumuri မှ  အာမခံတယ်ဆိုတဲ့သဘောပါ။  Paladin LTS ကိုတော့ Triage အနေနဲ့ရော Acquisition အနေနဲ့ပါ အသုံးချနိုင်ပါတယ်။ Paladin LTE မှာ Live Boot တက်ပြီး စစ်ဆေးဖို့ Autopsy ပါ၀င်ပါတယ်။ အခြား Open Source Tools တွေလဲပါ၀င်ပါတယ်။ Paladin Edge 32/64 ကတော့ Acquisition အတွက် သီးသန့်ဖြစ်ပါတယ်။  Live Boot ဖြစ်တဲ့အတွက် Secure Boot, ...