โดยปกติการตรวจพิสูจน์พยานหลักฐานทางดิจิทัล Digital Forensic จะประกอบไปด้วยเครื่องมือมากหมาย ซึ่งเราจะมาเริ่มที่พื้นฐานของการทำ Digital Forensic นั่นก็คือการทำสำเนาข้อมูลและการกู้คืนข้อมูล Forensics Imaging ด้วย FTK Imager
Forensics Imaging
การตรวจพิสูจน์พยานหลักฐานทางดิจิทัล ห้ามทำกับต้นฉบับ จึงต้องมีการทำสำเนาข้อมูล Forensics Imaging โดยจะทำการสำเนาข้อมูลในแต่ละ Sector ตั้งแต่ Sector ถึง Sector สุดท้าย ไปยัง Hard Drive หรือ External Hard Drive โดยทั่วไปข้อมูลดิจิทัลสามารถแบ่งได้เป็น 2 ประเภท
- Volatile Data : ข้อมูลในหน่วยความจำที่สามารถสูญหายได้เมื่อปิดอุปกรณ์อย่าง RAM เช่น Running Application, Running Process, Open Port, Password Cache รวมถึงบุคคลอื่นที่สามารถเข้ามาควบคุมคอมพิวเตอร์โดยที่เจ้าของไม่รู้ตัวผ่านทาง Malware
- Non-Volatile Data : ข้อมูลในหน่วยความจำที่ไม่สูญหายเมื่อปิดอุปกรณ์อย่าง Hard Drive, Solid State Drive เช่น Image, File Document ทั่ว ๆ ไปที่เราใช้งานกันอยู่ทุกวัน ปัจจุบันมีขนาด 1TB กันแล้ว ในการทำสำเนาข้อมูลควรคำนึงถึงคำนวณความเร็วในการอ่านเขียนข้อมูล ( Read / Write ) เวลาที่ใช้ในการตรวจสอบความถูกต้องของข้อมูล ( Hashing ) ขนาดของสื่อที่ใช้ในการทำสำเนาข้อมูลห้ามน้อยกว่าต้นฉบับ และควรล้างข้อมูลสื่อที่ใช้ในการทำสำเนา ด้วยการการแทนที่ข้อมูลทั้งหมดด้วยเลข 0 ( Zero-Fill ) รวมถึงการทำสำเนาข้อมูลต้องทำผ่านอุปกรณ๋ Write Blocker เพื่อป้องกันการเปลี่ยนแปลงของข้อมูลหลักฐาน ซึ่งมีผลต่อการนำไปใช้อ้างอิงพยานหลักฐานในชั้นศาล
Download
Get Started
- ทำการดาวน์โหลดและติดตั้ง FTK Imager
- ทำการเปิดโปรแกรม FTK Imager แล้วคลิก File -> Capture Memory
- เลือก Destination Path แล้วคลิก Capture Memory
- คลิก Close
- คลิก File -> Add Evidence Item -> Image File แล้วคลิก Next
- เลือก Source Path แล้วคลิก Finish
- จะแสดงค่า Hash ของไฟล์
อ่านเพิ่มเติม : https://bit.ly/2RVDCc0
Tagged: Digital Forensic
Leave a Reply