Posts

SSD Structure & SSD Forensics Guide

Image
  SSD Bad Block       Hard Disk တွေမှာ Bad Sector ရှိသလို SSD တွေမှာလဲ Bad Block ဆိုတာရှိပါတယ်။ Bad Block ဆိုတာက  SSD တွေမှာ Data သိမ်းတဲ့ Block ထဲမှာရှိတဲ့ Page တွေပေါ်မှာ  1-0 တွေ Read Or Write လုပ်လို့မရတာဖြစ်ပါတယ်။ SSD တွေမှာ  Bad Block 2 မျိုးဖြစ်နိုင်ပါတယ်။  Initial_Bad_Block  SSD တွေကိုစက်ရုံက စထုတ်လိုက်ကတည်းက Bad Block ပါလာတာမျိုးဖြစ်ပါတယ်။ ဒါမျိုးဆိုရင် စက်ရုံက QC Test မှာ စစ်ဆေးလို့တွေ့ရင် SSD ထဲမှာ User မမြင်နိုင်တဲ့ Spare Block အရေအတွက်နဲ့ နဲ့ယှဉ်ပြီး SSD ကို QC Passed ဖြစ်မဖြစ် စစ်ဆေးပါတယ်။ Spare Block အရေအတွက်က Bad Block ထက်များနေရင် Pass ပေါ့။ ဒါမှမဟုတ် လက်ခံနိုင်လောက်တဲ့ Bad Block အရေအတွက်ရှိရင် Pass။  Bad_Block_Overtime      SSD ကိုသုံးနေရင်းကလဲ Good Block တွေက Damage ဖြစ်နိုင်ပါတယ်။ Bad Block တွေများလာရင် SSD Fail ဖြစ်လာနိုင်ပါတယ်။  ဒီလိုဖြစ်ရင် Block ထဲမှာရှိတဲ့ Data တွေကို Read လုပ်လို့မရတော့ပါဘူး။ သုံးနေရင်းနဲ့ Good Block တွေ Damage ဖြစ်နိုင်တဲ့အကြောင်းအရင်းတွေကတော့ Power Off During Read/Write Operation       SSD ထဲကို Data Read/Write လုပ်နေရင်း SSD က အကြောင်းအမျို

Bento DFIR Portable Tools Kit

Image
 Digital Forensics And Incident Response Field မှာ  Live Incident Response နဲ့  Digital Forensics နဲ့ပတ်သတ်ရင်လဲ Crime Scene မှာ Live System တွေထဲကနေ Digital Evidences တွေရဖို့အတွက်  seizure, acquisition, preservation လုပ်တာတွေပြုလုပ်ရနိုင် ပါတယ်။  အဲဒီလိုပြုလုပ်ရတဲ့အခါမှာ အလွယ်တကူနဲ့ Portable လဲဖြစ်  Open Source လဲဖြစ်တဲ့ Portable Tools တစ်ခုနဲ့မိတ်ဆက်ပေးရရင် အဲဒီ Tools က Tsurugi-Linux ကနေပြုလုပ်ထားတဲ့ Bento DFIR Portable Tools Kit ပဲဖြစ်ပါတယ်။ Portable ဖြစ်တာကြောင့် USB ဒါမှမဟုတ် SSD , NVMe SSD Enclosure(Recommand) ထဲမှာထည့်ပြီး အသုံးပြုနိုင်ပါတယ်။ မူလ Portable ထဲမှာ DFIR အတွက် Tools 300 ခန့်ပါဝင်ပါတယ်။ ပါဝင်တဲ့ Tools အသေးစိတ်ကို  Documentation_Bento_toolkit မှာကြည့်နိုင်ပါတယ်။  Bento DFIR Portable Tools Kit  ကို https://tsurugi-linux.org/mirrors/mirror1.php  မှာ Download ပြုလုပ်နိုင်ပါတယ်။ Bento DFIR Portable Tools Kit ထဲမှာပါဝင်တဲ့ အချို့သော Application တွေရဲ့ လိုင်စင်ကန့်သတ်ချက်တွေကြောင့် 2022 အထိပဲထုတ် ထားပါတယ်။ ဒါပေမဲ့ ကိုယ့်စိတ်ကြိုက် Application တွေထပ်ပေါင်းထည့်တာ မလိုအပ်တဲ

eCDFP (Module-6) (Window Forensics) (Part - 9)

Image
Application Compatibility ဆိုတာက Old Application တွေ ဒါမှမဟုတ် အချို့သော Application တွေကို New Version Window ပေါ်မှာ Run လို့ရအောင်ပြုလုပ်ပေးပါတယ်။ AppCompactCache (ShimCache) က Window Explorer မှာပေါ်တဲ့ Window Explorer ကနေကြည့်ရင်မြင်နိုင်တဲ့ Application/Script Files မှန်သမျှကို Compatibility Issues အနေနဲ့ Run နိုင်အောင်လုပ်ပေးဖို့ ShimCache ထဲမှာမှတ်သားထားပါတယ်။ Shim Cache Location  ဆိုလိုတာကတော့ App1   To App 10 အထိ Application 10 ခုရှိတယ်ဆိုပါစို့ အဲဒီ Application 10 ခုကလဲ Window Explorer ကနေလဲမြင်နိုင်တဲ့ Application တွေဖြစ်တယ်။ အဲလိုအနေအထားမှာ Application 10 ခုထဲက Application တစ်ခုခုက Old Version ဖြစ်ချင်ဖြစ်နေမယ် လက်ရှိ Window Version 10 အနေနဲ့   Run မရရင် လက်ရှိ Window မှာ Run လို့ရအောင် Compatibility Issues အနေနဲ့ Window 7 or Window 8 အနေနဲ့ Run ချင် Run ရနိုင်ပါတယ်။ အဲလို Run လို့ရအောင် လုပ်နိုင်ဖို့အတွက် Shimcache ကနေ ခုနက Application 10 ခုလုံးကို မှတ်သားထားပါတယ်။ Example (1)   အနေနဲ့ Exe File 12 ခုကို Folder ထဲထည်ပြီး Window Explorer နဲ့ဖွင့်ကြည့်လိုက်ပါတယ်။ Exe 12 ခုပ

eCDFP (Module-6) (Window Forensics) (Part - 8)

Image
Prefetch File Forensics            Window XP ကနေစပြီး Window Boot လုပ်တဲ့အချိန်နဲ့ Application/Process တွေ Loading လုပ်တဲ့အချိန်နည်းအောင် တစ်နည်းအားဖြင့် Window Performance ပိုပြီးကောင်းဖို့အတွက် Prefetch File တွေကို အသုံးပြုလာပါတယ်။ Window Cache Manager က Storage ပေါ်ကနေ Running လုပ်နေတဲ့ Storage ပေါ်မှာရှိနေတဲ့ Application တွေကို ပထမဆုံး Boot လုပ်တဲ့အချိန် 2 မိနစ်နဲ့ Startup Application တွေအတွက် 10 Seconds စောင့်ကြည့်ပါတယ်။ စောင့်ကြည့်ပြီးတဲ့နောက်မှာ Application/Process တွေကိုPrefetch File  (.pf) အဖြစ် C:\Windows\Prefetch Folder ထဲမှာ Write ပြုလုပ်လိုက်ပါတယ်။ Prefetch File  တွေက Memory ပေါ်မှာရှိနေပြီး နောက်တစ်ကြိမ် Window Boot လုပ်တဲ့အခါ၊ Prefetch File (.pf)   ရှိနေတဲ့ Application တွေ Run တဲ့အခါမှာ Loading Process ပိုပြီးမြန်လာမှာဖြစ်ပါတယ်။            Window XP, Vista, Widnow 7 အထိ C:\Windows\Prefetch ထဲမှာ Prefetch File (.pf)   128 ခုရှိပြီး Windows 10/11 မှာတော့ 1024 ခုအထိရှိပါတယ်။ 1024 (.pf) ပြည့်သွားတဲ့အခါမှာ Old Prefetch File တွေကို Operation System ကနေ Delete ပြုလုပ်ပါတယ်။ မရှ

eCDFP (Module-6) (Window Forensics) (Part - 7)

Image
         Windows Search Indexer က Window မှာ File/Folder/Email/Program တို့ကို ရှာဖွေရာမှာ မြန်မြန်ဆန်ဆန်ရှာနိုင်ဖို့အတွက် Window Vista ကနေစပြီးပါဝင်လာပါတယ်။ Window Server တွေကလွဲရင် ကျန်တဲ့ အများအသုံးပြုတဲ့ Window တွေမှာ Default အနေနဲ့ Enabled ဖြစ်နေပါတယ်။ Window Server 2008-2022 အထိ Index လုပ်တဲ့ပုံစံက အတူတူပဲဖြစ်ပါတယ်။ Window Server တွေမှာတော့ Default Disable ဖြစ်ပါတယ်။ Window Search Index မလုပ်ရင် File, Folder / Program တွေကို ရှာတဲ့အခါ Computer မှာ Resource ပိုသုံးရတာတွေဖြစ်လာပါမယ်။ Index လုပ်မဲ့ File Type , File/Folder Location , Indexing Start & Stop လုပ်တာတွေကို Control Panel, Indexing Options မှာပြင်ဆင်နိုင်ပါတယ်။ C:\Users\UserName\  အောက်မှာရှိတဲ့ File, Folder တွေကတော့ Personal အတွက်အရေးကြီးတဲ့ File တွေအဖြစ်သတ်မှတ်တဲ့အတွက်  C:\Users\UserName\  ရဲ့ အောက်မှာရှိတဲ့ Downloads, Desktop, Pictures, Music, Videos စတဲ့ File / Folder တွေနဲ့ အဆိုပါ Folder အောက်မှာရှိတဲ့ Sub Folder နဲ့ File တွေကို Window မှာ Default အနေနဲ့  Indexing ပြုလုပ်ပါတယ် ။ Window Indexing Options   Windows Se

eCDFP (Module-6) (Window Forensics) (Part - 6)

Image
 Recycle Bin Forensics  Computer မှာ File ဖျက်တဲ့အခါမှာ Shift + Delete နှိပ်ပြီး Recycle Bin ထဲရောက် တာကိုရှောင်ရှားနိုင်ပေမဲ့ User က အမှတ်တမဲ့နဲ့ Shift + Delete မနှိပ်ပဲ Recycle Bin ထဲကို ဖျက်လိုက်တဲ့အခါ File က Recycle Bin ထဲ ရောက်ရှိနေနိုင်ပါတယ်။ Shift + Delete နှိပ်ပြီးဖျက်လိုက်တဲ့ Data တွေကို ပြန်လိုချင်တယ်ဆိုရင်   File System, Storage Level အပိုင်းဖြစ်ပါတယ်။ Recycle Bin က Window မှာရှိတဲ့ User တိုင်းအတွက် Recycle Bin တစ်ခုစီရှိပါတယ်။ User A   အတွက် သီးသန့် Recycle Bin, User B အတွက် သီးသန့် Recycle Bin ဆိုပြီးစသည်ဖြင့်ရှိပါတယ်။ $Recycle.Bin Directory   က User မမြင်ရအောင် Hidden   ဖြစ်နေပါတယ်။ User တစ်ယောက်ဖျက်ထားတာကို အခြား   User တစ်ယောက်ဘက်ကနေ မမြင်ရပဲ လက်ရှိ Recycle Bin ကိုလက်ရှိ User ကနေပဲမြင်ရမှာဖြစ် ပါတယ်။ $Recycle.Bin Directory  က User မမြင်ရအောင် Hidden  ဖြစ်နေတဲ့အတွက် CMD ကနေ အောက်ပါအတိုင်းကြည့်ကြည့်ပါမယ်။ Window မှာရှိတဲ့ Username & SID ကိုကြည့်ဖို့အတွက်  “ wmic useraccount get name, sid “ Command ကိုအသုံးပြုပါမယ်။ User Name & SID  C Drive ကိုသွားပြီး dir /a comma