Digital Forensics Myanmar

          Digital Forensics Examiner  တစ်ယောက်ဆီကို နောက်ဆုံးပေါ်  Iphone တစ်လုံးရောက်လာတယ်၊ လောလောလတ်လတ်ထွက်လာတဲ့ဖုန်းဖြစ်တာကြောင့် checkm8 အားနည်းချက်ကလဲ အလုပ်မလုပ်နိုင်၊ USB Port ကလဲ Protect လုပ်ထားတဲ့အနေအထား၊ ရောက်လာတဲ့ ဖုန်းကလဲ  Phone Storage ကို Encrypted လုပ်ထားတယ်။  Unknown Passcode  ဖြစ်နေတဲ့အနေအထားပါ။ Unlock လုပ်ဖို့အတွက် Mobile Forensics Software တွေက Support မပေးတဲ့ Unlock လုပ်လို့မရတဲ့အခြေအနေဖြစ်နေပါတယ်။  ဒီလိုအနေအထားမျိုးဖြစ်နေရင် Unlock လုပ်ဖို့ဘယ်လိုနည်း လမ်းတွေရှိနိုင်မလဲ၊ မရနိုင်တဲ့ အခြေအနေအဖြစ် လမ်းဆုံးပြီလား။           ဖုန်းတစ်လုံးကို မည်သည့် Electronic ပစ္စည်းနဲ့မှမချိတ်ဆက်ပဲ သီးသန့်အသုံးပြုတဲ့ သူတွေရှိသလို အခြား Electronic Device တွေနဲ့ချိတ်ဆက်ပြီး အသုံးပြုတဲ့သူတွေလဲရှိပါတယ်။ ချိတ်ဆက်အသုံးပြုရင် ချိတ်ဆက်အသုံးပြုတဲ့ Electronic Device တွေမှာ အားနည်းချက် ရှိနိုင်ပါတယ်။  Collecting Low Hanging Fruits           L ow-Hanging Fruit ဆိုတာ...

  Deleted Media Files in Android Phone  Android Phone ထဲကနေ Media File တွေဖျက်လိုက်ရင် ပထမဆုံးဘယ်နေရာကို ရောက်သွားလဲ       Android Version 9 ကနေစပြီးတော့ ဖျက်ပြီးသား Photo & Video File တွေကို မတော်တဆ ဖျက်မိရင်ပြန်ယူဖို့ Trash (Computer ဆိုရင် Recycle Bin ) ပါလာပါတယ်။ Android Trash မှာတော့ ရက် 30 အတွင်းဖျက်ထားတဲ့ Media File တွေကို Trash ထဲမှာပြန်ရှာပြီး Restore လုပ်နိုင်ပါတယ်။ ဖျက်လိုက်တဲ့ Media Files တွေကို Trash ထဲမှာပဲ  Permanently အပြီးဖျက်မလား။ Restore လုပ်မလားပြန်ရွေးနိုင်ပါတယ်။  Media File ကို Android Phone ကနေဖျက်လိုက်ရင် Media File ရဲ့ Location & File Name ကပြောင်းသွားပါတယ်။ ဘယ်နေရာရောက်သွားလဲဆိုရင်ဖျက်လိုက်တဲ့ Media File က ‌Phone ရဲ့ အောက်မှာပြထားတဲ့ Location နေရာကိုရောက်သွားပါတယ်။  (Trash Location က Android Phone Model အပေါ်မူတည်ပြီးနေရာပြောင်းနိုင်ပါတယ်။) data\media\0\Android\data\com.sec.android.gallery3d\files\.Trash ဖျက်လိုက်တဲ့ File ရဲ့ File Name & Metadata Information တွေက အောက်မှာပြထားတဲ့ Database မှာသွားပြီးသိမ်း...

ယခု  PDF သည်  Digital Forensics  ကိုစိတ်ပါဝင်စားသည့် လူတစ်ဉီးတစ်ယောက် (သို့မဟုတ်) အဖွဲ့အစည်းများက Digital Forensics Lab  တစ်ခုကို ကုန်ကျစာရိတ် သက်သာ စွာဖြင့် တည်ထောင်လုပ်ကိုင်နိုင်ရန်အတွက် Reference ပြုလုပ်နိုင်ရန်ဖြစ်ပါသည်။ တစ်ခုချင်းစီကို ဘယ်လိုအသုံးပြုရမလဲဆိုတာကိုမဖော်ပြထားပါ။   Low Budget, High Impact Digital Forensics Investigation

     ကျွန်တော်တို့ Phone ကို Analysis လုပ်ရင် အများဆုံးလုပ်တာက Call logs, SMS, Photo, Video, Social Media  Contents, Social Media Message  စသည်ဖြင့် ဒါတွေပဲများမယ်ထင်ပါတယ်။ လူတိုင်းအလိုချင်ဆုံးကတော့ Deleted Call Logs, Deleted SMS, Deleted Social Media Message နဲ့ Deleted Photo & Video   ဖြစ်မှာပါ။ Deleted Call Logs, Deleted SMS, Deleted Social Media Message နဲ့ Deleted Photo & Video က Note (1) မှာရေးခဲ့တဲ့  Phone Model, Phone Specification အပေါ်မူတည်ပြီး ရယူနိုင်တဲ့ Data  ပမာဏ  မတူညီနိုင်ပါ။  ပြီးရင် ဖုန်းထဲက  ပုံတွေစာတွေလိုပဲ အရေးကြီးတာက System Artifacts တွေဖြစ်ပါတယ်။ အခုစာရေးသားနေတဲ့အချိန်မှာ Android 14 ကို Android ဖုန်းတော်တော်များများက အသုံးပြုနေကြပါပြီ။ အချို့ဖုန်းတွေကတော့ Android 13  ဖြစ်မှာပါ။ Android Phone ကိုမှ Xiaomi ဆိုရင် Android OS ကိုမှ MIUI , Samsung ဆိုရင် Knox/ One UI , Huwaei ဆိုရင် Harmony OS.  ပိုပြီးပြည့်စုံအောင် အောက်မှာ ဇယားလေးထည့်ထားပါတယ်။      IOS ကတော့ အရှင်းဆုံးဖြစ်ပါတ...

 APPLE (iPhone) ဖုန်းများကို စစ်ဆေးခြင်း  (လိုတိုရှင်း) ဖုန်းထဲမှ အချက်အလက်များကို ရယူခြင်း (Acquisition) နည်းလမ်းများ  Manual Acquisition  Manual Acquisition နည်းလမ်းကတော့ အလွယ်ဆုံးနည်းလမ်းဖြစ်ပါတယ်။ ဥပမာ ကောင်မလေးက ကောင်ကလေးရဲ့ ဖုန်းကိုယူစစ်သလိုမျိုးဖြစ်ပါတယ်။ ဒါက အလွယ်တစ်ကူ စစ်‌ဆေးနိုင်သလို တစ်ဖက်ကလဲ အလွယ်တကူ  Evidence ကို သိုဝှက်ထားတာ‌တွေ-ဖျောက်ဖျက်တာ‌တွေပြုလုပ်နိုင်ပါတယ်။ ဥပမာ။ Messenger ဆိုရင် Archive လုပ်ပြီး Chat List ကိုဖျောက်ထားသလိုပေါ့။ 😅 ပြည်ပမှာရော ဒီလို Manual နည်းနဲ့စစ်လားဆိုရင် စစ်ဆေးပါတယ်။ ဥပမာ Mobile Forensics Tools မှာ Camera တပ်ပြီး ဖုန်းမှာရှိတဲ့ အချက်အလက်တွေကို ရိုက်ယူတာ ဖြစ်ပါတယ်။ Logical Acquisition  Logical Acquisition နည်းလမ်းကတော့ ဖုန်းက Unlock ဖြစ်နေတဲ့ အချိန်။ ဖုန်းရဲ့ Passcode ကိုသိနေတဲ့ အချိန်မှာပြုလုပ်တာဖြစ်ပါတယ်။ လက်ရှိစာရေးတဲ့ အချိန်မှာ Apple Phone တွေကို Acquisition လုပ်ရာမှာ Logical နည်းလမ်းက အသုံးအပြုဆုံး နည်းလမ်းဖြစ်ပါတယ်။  Apple Device တွေမှာပါတဲ့ Apple File Connection (AFC) Protocol ကိုအသုံးပြုပါတယ်။ AFC ကို မသု...

  SSD Bad Block       Hard Disk တွေမှာ Bad Sector ရှိသလို SSD တွေမှာလဲ Bad Block ဆိုတာရှိပါတယ်။ Bad Block ဆိုတာက  SSD တွေမှာ Data သိမ်းတဲ့ Block ထဲမှာရှိတဲ့ Page တွေပေါ်မှာ  1-0 တွေ Read Or Write လုပ်လို့မရတာဖြစ်ပါတယ်။ SSD တွေမှာ  Bad Block 2 မျိုးဖြစ်နိုင်ပါတယ်။  Initial_Bad_Block  SSD တွေကိုစက်ရုံက စထုတ်လိုက်ကတည်းက Bad Block ပါလာတာမျိုးဖြစ်ပါတယ်။ ဒါမျိုးဆိုရင် စက်ရုံက QC Test မှာ စစ်ဆေးလို့တွေ့ရင် SSD ထဲမှာ User မမြင်နိုင်တဲ့ Spare Block အရေအတွက်နဲ့ နဲ့ယှဉ်ပြီး SSD ကို QC Passed ဖြစ်မဖြစ် စစ်ဆေးပါတယ်။ Spare Block အရေအတွက်က Bad Block ထက်များနေရင် Pass ပေါ့။ ဒါမှမဟုတ် လက်ခံနိုင်လောက်တဲ့ Bad Block အရေအတွက်ရှိရင် Pass။  Bad_Block_Overtime      SSD ကိုသုံးနေရင်းကလဲ Good Block တွေက Damage ဖြစ်နိုင်ပါတယ်။ Bad Block တွေများလာရင် SSD Fail ဖြစ်လာနိုင်ပါတယ်။  ဒီလိုဖြစ်ရင် Block ထဲမှာရှိတဲ့ Data တွေကို Read လုပ်လို့မရတော့ပါဘူး။ သုံးနေရင်းနဲ့ Good Block တွေ Damage ဖြစ်နိုင်တဲ့အကြောင်းအရင်းတွေကတော့ Power Off During Read/Writ...

 Digital Forensics And Incident Response Field မှာ  Live Incident Response နဲ့  Digital Forensics နဲ့ပတ်သတ်ရင်လဲ Crime Scene မှာ Live System တွေထဲကနေ Digital Evidences တွေရဖို့အတွက်  seizure, acquisition, preservation လုပ်တာတွေပြုလုပ်ရနိုင် ပါတယ်။  အဲဒီလိုပြုလုပ်ရတဲ့အခါမှာ အလွယ်တကူနဲ့ Portable လဲဖြစ်  Open Source လဲဖြစ်တဲ့ Portable Tools တစ်ခုနဲ့မိတ်ဆက်ပေးရရင် အဲဒီ Tools က Tsurugi-Linux ကနေပြုလုပ်ထားတဲ့ Bento DFIR Portable Tools Kit ပဲဖြစ်ပါတယ်။ Portable ဖြစ်တာကြောင့် USB ဒါမှမဟုတ် SSD , NVMe SSD Enclosure(Recommand) ထဲမှာထည့်ပြီး အသုံးပြုနိုင်ပါတယ်။ မူလ Portable ထဲမှာ DFIR အတွက် Tools 300 ခန့်ပါဝင်ပါတယ်။ ပါဝင်တဲ့ Tools အသေးစိတ်ကို  Documentation_Bento_toolkit မှာကြည့်နိုင်ပါတယ်။  Bento DFIR Portable Tools Kit  ကို https://tsurugi-linux.org/mirrors/mirror1.php  မှာ Download ပြုလုပ်နိုင်ပါတယ်။ Bento DFIR Portable Tools Kit ထဲမှာပါဝင်တဲ့ အချို့သော Application တွေရဲ့ လိုင်စင်ကန့်သတ်ချက်တွေကြောင့် 2022 အထိပဲထုတ် ထားပါတယ်။ ဒါပေမဲ့ ကိုယ့်စိ...

Application Compatibility ဆိုတာက Old Application တွေ ဒါမှမဟုတ် အချို့သော Application တွေကို New Version Window ပေါ်မှာ Run လို့ရအောင်ပြုလုပ်ပေးပါတယ်။ AppCompactCache (ShimCache) က Window Explorer မှာပေါ်တဲ့ Window Explorer ကနေကြည့်ရင်မြင်နိုင်တဲ့ Application/Script Files မှန်သမျှကို Compatibility Issues အနေနဲ့ Run နိုင်အောင်လုပ်ပေးဖို့ ShimCache ထဲမှာမှတ်သားထားပါတယ်။ Shim Cache Location  ဆိုလိုတာကတော့ App1   To App 10 အထိ Application 10 ခုရှိတယ်ဆိုပါစို့ အဲဒီ Application 10 ခုကလဲ Window Explorer ကနေလဲမြင်နိုင်တဲ့ Application တွေဖြစ်တယ်။ အဲလိုအနေအထားမှာ Application 10 ခုထဲက Application တစ်ခုခုက Old Version ဖြစ်ချင်ဖြစ်နေမယ် လက်ရှိ Window Version 10 အနေနဲ့   Run မရရင် လက်ရှိ Window မှာ Run လို့ရအောင် Compatibility Issues အနေနဲ့ Window 7 or Window 8 အနေနဲ့ Run ချင် Run ရနိုင်ပါတယ်။ အဲလို Run လို့ရအောင် လုပ်နိုင်ဖို့အတွက် Shimcache ကနေ ခုနက Application 10 ခုလုံးကို မှတ်သားထားပါတယ်။ Example (1)   အနေနဲ့ Exe File 12 ခုကို Folder ထဲထည်ပြီး Window Explorer နဲ့ဖွင့်ကြည့်လို...

Prefetch File Forensics            Window XP ကနေစပြီး Window Boot လုပ်တဲ့အချိန်နဲ့ Application/Process တွေ Loading လုပ်တဲ့အချိန်နည်းအောင် တစ်နည်းအားဖြင့် Window Performance ပိုပြီးကောင်းဖို့အတွက် Prefetch File တွေကို အသုံးပြုလာပါတယ်။ Window Cache Manager က Storage ပေါ်ကနေ Running လုပ်နေတဲ့ Storage ပေါ်မှာရှိနေတဲ့ Application တွေကို ပထမဆုံး Boot လုပ်တဲ့အချိန် 2 မိနစ်နဲ့ Startup Application တွေအတွက် 10 Seconds စောင့်ကြည့်ပါတယ်။ စောင့်ကြည့်ပြီးတဲ့နောက်မှာ Application/Process တွေကိုPrefetch File  (.pf) အဖြစ် C:\Windows\Prefetch Folder ထဲမှာ Write ပြုလုပ်လိုက်ပါတယ်။ Prefetch File  တွေက Memory ပေါ်မှာရှိနေပြီး နောက်တစ်ကြိမ် Window Boot လုပ်တဲ့အခါ၊ Prefetch File (.pf)   ရှိနေတဲ့ Application တွေ Run တဲ့အခါမှာ Loading Process ပိုပြီးမြန်လာမှာဖြစ်ပါတယ်။            Window XP, Vista, Widnow 7 အထိ C:\Windows\Prefetch ထဲမှာ Prefetch File (.pf)   128 ခုရှိပြီး Windows 10/11 မှာတော့ 1024 ခုအထိရှိပါတယ်။ 1...