Digital Forensics Myanmar

SSD ကို Quick Format ဒါမှမဟုတ် SSD ထဲက Data တွေ ဖျက်လိုက်ရင် ဘယ်လိုရယူနိုင်မလဲ ? SSD တစ်လုံးဆီက Data ပြန်ရဖို့ဆိုရင် L2P Table (Logical-to-Physical Table) အကြောင်းကို အရင်နားလည်ဖို့ လိုပါတယ်။  L2P Table ဆိုတာ ဘာလဲ ? L2P Table ဆိုတာ SSD တစ်လုံးမှာ Computer မြင်ရတဲ့ address (Logical) နဲ့ Data တွေ တကယ်ရှိနေတဲ့ Flash Chip ထဲကနေရာ (Physical) ကို ချိတ်ဆက်ပေးထားတဲ့ မြေပုံ ဖြစ်ပါတယ်။ SSD တွေဟာ Data တွေကို နေရာချရင် (Static) အနေနဲ့ သိမ်းတာမဟုတ်ဘဲ Wear leveling အရအမြဲနေရာရွှေ့နေတဲ့အတွက် ဒီ Table မရှိရင် Data တွေကို ရှာမတွေ့နိုင်ပါဘူး။ ဘာကြောင့် L2P Table လိုအပ်တာလဲ ? HDD တွေမှာတော့ ဒေတာတစ်ခုကို ဖျက်ပြီး အဲဒီနေရာမှာပဲ ပြန်ရေး (Overwrite) လို့ ရပါတယ်။ ဒါပေမဲ့ SSD မှာတော့ Data ရှိတဲ့နေတဲ့နေရာတွေမှာ  နောက်ထပ် Data ထပ်ပြီး Write လို့ မရပါဘူး။  အရင်ဖျက် (Erase) လုပ် ပြီးမှ ပြန် Write လို့ ရပါတယ်။ Wear Leveling အလုပ်ကတော့ Flash chip တစ်နေရာတည်းကိုပဲ ခဏခဏ Data သွား Write နေရင် အဲဒီနေရာက မြန်မြန်ပျက်စီးသွားပါလိမ့်မယ်။ ဒါကြောင့် Controller က ဒေတာတွေကို SSD ရဲ့Chip တစ်ခုလုံးမှာ နှံ့နေအောင် လိ...

Digital Forensic ရှုထောင့်ကနေကြည့်ရင် SSD တွေရဲ့ လုပ်ဆောင်ပုံဟာ ရိုးရိုး Hard Drive (HDD) တွေနဲ့ လုံးဝမတူတဲ့အတွက် သေချာနားလည်ထားဖို့ လိုအပ်ပါတယ်။ SSD မှာ Data တွေဖျက်လိုက်ရင်ဘာဖြစ်သွားလဲ? အခုခေတ်ပေါ် SSD တွေမှာ TRIM Function ကို ပုံသေ (Default)  အနေနဲ့ထည့်သွင်းပေးထားပါတယ်။  TRIM ဟာ SSD ရဲ့ သက်တမ်းကို ပိုရှည်စေဖို့နဲ့ Performance ကို ထိန်းသိမ်းဖို့အတွက် Wear Levelling နဲ့ Garbage Collection (GC) စနစ်တွေနဲ့ ပေါင်းစပ်အလုပ်လုပ်ပါတယ်။ Data ကို ဖျက်လိုက်တဲ့အခါ ဒါမှမဟုတ် Drive ကို Format ချလိုက်တဲ့အခါ အောက်ပါအတိုင်း ဖြစ်သွားတတ်ပါတယ် - 👉TRIM Command ပေးပို့ခြင်းအပိုင်း။ OS ကနေ SSD Controller ဆီကို ဒီဒေတာတွေ မလိုအပ်တော့ကြောင်း TRIM Command ပို့လိုက်ပါတယ်။ 👉Invalid အဖြစ် သတ်မှတ်ခြင်းအပိုင်း။ SSD Controller က အဆိုပါ Flash Blocks တွေကို "အသုံးမဝင်တော့တဲ့ (Invalid Block )" အဖြစ် မှတ်သားလိုက်ပါတယ်။ 👉Garbage Collection (GC) လုပ်ဆောင်ခြင်း။   နောက်ပိုင်းမှာ GC စနစ်ကနေ Data ရှိနေတဲ့ Blocks တွေကို Drive အတွင်းပိုင်းမှာတင် အပြီးတိုင် ဖျက်ပစ် (Erase) လိုက်ပါတယ်။ 👉ဖျက်ဖို့အချိန်သတ်မှ...

     အခုအချိန်က  Phone ကို Forensic Analysis လုပ်မယ်ဆိုရင် အဓိက ပြသာနာက Password  မသိရင်ဒါမှမဟုတ် Password သိရင်လဲ  Root မရတဲ့ ဖုန်းဆိုရင် Data/Data ‌ထဲကို၀င်မရလို့  ရှေ့ဆက်တိုးဖို့က တော်တော်ခက်တယ်။ Password သိရင်တောင် knowledge ရှိသူသုံးတဲ့ဖုန်းဆိုရင် ခြေရာလက်ရာဖျောက်ရင် အသေးစိတ်သိဖို့တော်တော်လက်၀င်ပါတယ်။ တစ်ကယ်လို့  Browser ကို Syncing လုပ်ပြီး Phone နဲ့ ကွန်ပျူတာမှာတွဲသုံးခဲ့ရင်တော့ Browser History ကို Analysis လုပ်နိုင်ပါတယ်။ Phone ကို Password ကျော်တာထက် Computer က ပိုလွယ်တာကြောင့်ပါ။ Browser History က ပြစ်မှုကျူးလွန်သူကို ပြစ်ဒဏ်ချမှတ်နိုင်ရန် လိုအပ်တဲ့ "ကျူးလွန်လိုသော ရည်ရွယ်ချက်" (Criminal Intent) ကို ခိုင်မာစေသည့် အရေးကြီးသော သက်သေကို ပေးစွမ်းနိုင်သတာကြောင့် ဖြစ်ပါတယ်။      အခြားသက်သေများက သံသယရှိသူအား အခင်းဖြစ်ပွားရာနေရာတွင် ရှိနေကြောင်းသာ ပြသနိုင်‌ပေမဲ့ Search History က အခင်းမဖြစ်ပွားမှီ ရက်ပိုင်း ရက်သတ္တပတ် ဒါမှမဟုတ် လပေါင်းများစွာကတည်းက ရှိနေသော ရည်ရွယ်ချက်ကို ဖော်ထုတ်ပေးနိုင်ပါတယ်။      ဥပမာ  Melani...

SSD - DRAM (Dynamic Random Access Memory)       Law အတန်းက နားနေတော့ စာတွေလဲ ပြန်ရေးရမယ် နောက်ထပ် Forensic Software တွေလဲ Update လုပ်မယ် ဆိုပြီး SSD Upgrade လုပ်ဖို့ လိုက်ရှာရင်းနဲ့ SSD မှာ ပါတဲ့ DRAM အကြောင်းရေးဖြစ်တာပါ။ Facebook နဲ့ အခြား Social Platform တွေမှ DRAM အကြောင်း မြန်မာလိုရေးထားတာလဲ မရှိလို့ပါ။ ဈေးကွက်ထဲမှာ DRAM ပါတဲ့ SSD နဲ့ မပါတဲ့ SSD က ဈေးကွာသလိုရေရှည်အသုံးပြုနိုင်တာလဲ ကွာပါတယ်။ SSD (Solid-State Drive) ဆိုတာ Hard Disk Drive (HDD) ထက် အမြန်ဆုံး storage device ဖြစ်တယ်ဆိုတာ အများသိပြီးသားပါ။ ဒါပေမဲ့ SSD တွေထဲမှာတောင် အမျိုးအစား နှစ်မျိုးရှိပါတယ်။ DRAM SSD နဲ့ DRAM-less SSD တို့ပဲဖြစ်ပါတယ်။   👉DRAM ဆိုတာဘာလဲ? DRAM (Dynamic Random Access Memory) ဆိုတာက SSD ထဲမှာပါဝင်တဲ့ cache memory ဖြစ်ပါတယ်။SSD က data တွေကို NAND flash ထဲမှာ သိမ်းပါတယ်။ DRAM (Dynamic Random Access Memory) ဆိုတာ SSD, GPU, PC Motherboard စတဲ့ hardware တွေမှာ အသုံးပြုတဲ့ memory chip (integrated circuit) တစ်ခုပဲဖြစ်ပါတယ်။ DRAM က data ကို အချိန်အတိုင်းအတာတစ်ခုအတွင်းသာ သိမ်းဆ...

 Modern Android Phone  တွေမှာ Password, Pin ရဖို့ ဘာလို့ခက်ခဲလာတာလဲ ????? Android CPU  မှာ Trusted Execution Environ- ment (TEE) လို့ခေါ်တဲ့ အစိတ်အပိုင်းတစ်ခုပါ၀င်ပါတယ်။ TEE ထဲမှာ Unique ID key လို့ခေါ်တဲ့ (UID) Key ( UID Key ကဖုန်းတစ်လုံးစီအတွက် UID Key တစ်ခုပါရှိပါတယ်။ UID key ကို Extract လုပ်တာ။ Read လုပ်တာလုပ်လို့မရပါ။) ‌ဒါ့အပြင် TEE ထဲမှာနောက်ထပ်ပါ၀င်တာက  Key Encryption Key (KEK) ဖြစ်ပါတယ်။  ဖုန်းတစ်လုံးကို User ကနေ Password/Pin ရိုက်လိုက်တဲ့အချိန်မှာ TEE ထံရောက်ပြီး TEE ကနေ  { User Password + UID +  Salt (Random key)} ကို Key Derivation Function (KDF) ဆိုတဲ့ Cryptograpic Algorithm ကိုသုံးပြီး Encrypted ပြုလုပ်လိုက်ပါတယ်။ ပြုလုပ်လိုက်တဲ့ Encrypted Key ကို Key Encryption Key (KEK) လို့ခေါ်ပါတယ်။                                                      KEK =  KDF (UID, Password, Salt) Data Encryp...

Commercial Computer Forensics Tools တွေရဲ့နောက်မှာအဓိက  လုပ်ပေးနေတဲ့ Open Source Computer Forensics Tools တစ်ခု။ Commercial ဘက်မှာတော့ အသုံးပြုတဲ့ Law Enforcement, CERT တွေ လွယ်အောင် One Click Button အနေနဲ့အလုပ်လုပ်ပေးပါတယ်။ Eric Zimmerman က FBI အလုပ်လုပ်နေစဉ် EZ Tools ကိုဖန်တီးခဲ့ပြီး လက်ရှိမှာ SANS Instructor တစ်ဦးဖြစ်ပါတယ်။ လွန်ခဲ့တဲ့ 2 ရက်လောက်က 2025  Update အ‌နေနဲ့အရင် Manual Book ရဲ့ Update ထွက်လာပါတယ်။ Window Forensic, Incident Response, Threat Hunting မှာ အဓိက Artifacts တွေကို အဖြေထုတ်ပေးတဲ့  AmcacheParser, AppCompatCacheParser, MFTECmd, JLECmd, LECmd, Registry Explorer, Timeline Explorer, Etc... အကြောင်းကို CLI , GUI အနေနဲ့ ရှင်းပြထားပါတယ်။ Download Here  https://leanpub.com/eztoolsmanuals 2022 တုန်းက EZ Tools မှာ ပါ၀င်တဲ့ Tools တွေအကြောင်း Window Forensic With EZ Tools ဆိုပြီး ကျွန်တော် မြန်မာလိုရေးထားသည့် PDF  Download Here https://archive.org/details/window-forensics-with-ez-tools-1-2-aung-zaw-myo

Iphone တွေမှာ Password Brute Force Speed နှေးပြီး Nand Chip ကို ခွာရုံနဲ့ဘာလို့  Data မရနိုင်တာလဲ။  SEP ဆိုတာ Apple က iPhone 5s (A7 chip, 2013) မှ စတင်အသုံးပြုတဲ့  dedicated coprocessor ဖြစ်ပါတယ်။ SEP ရဲ့အရှည်ကောက်က Secure Enclave Processor ဖြစ်ပါတယ်။ Main CPU (iOS) နဲ့ ခွဲပြီး သီးခြား operating system (sepOS) အနေနဲ့ အလုပ်လုပ်ပါတယ်။ အဓိကလုပ်ဆောင်ချက်တွေကတော့ – Passcode ကို စစ်ဆေးပေးတာ။ Encryption / Decryption Key၊, Touch ID / Face ID data,  Apple Pay, Keychain တွေကို သိမ်းဆည်းတာတွေ လုပ်ဆောင်ပါတယ်။  SEP ကဘယ်လို brute-force attack ကို နှေးစေတာလဲ ? UID Key Binding iphone တိုင်းမှာ စက်ရုံကနေထုတ်ပေးကတည်းက ထည့်ပေးထားတဲ့ System On Chip (SoC) မှာပါတဲ့  unique hardware key (UID) နဲ့ User Passcode ကို ပေါင်းစပ်ပြီး data ကို  encrypt လုပ်ထားပါတယ်။ အဲဒီ UID Key ကိုSEP ထဲမှာပဲသိမ်းဆည်း ထားပါတယ်။ User ရိုက်ထည့်တဲ့ Passcode ကို SEP ထဲမှာပဲ စစ်ဆေးပါတယ်။ Iphone Storage ကို Encrypted လုပ်ထားတာကလဲ  UID + User Password ဖြစ်ပါတယ်။ Wrong Passcode ရိုက်ရင် Delay Attemp ...

January လောက်က Android 16 မှာပါလာမဲ့ Security Features တွေကိုရေးခဲ့ဖူးပါတယ်။ June 10 ရက်နေ့မှာတော့ Google ကနေ Android 16 မှာပါမဲ့ Security Features တွေကို တရား၀င်ထုတ်ပြန်လာတဲ့အတွက် ကျန်တဲ့ Security Features တွေထက် Android 16 မှာကြုံလာနိုင်တဲ့ Anti-Forensics အကြောင်းကိုပဲ အရင်ရေးထားတဲ့ Post မှာထပ်ဖြည့်လိုက်ပါတယ်။  Android 16 မှာပါလာတဲ့ Security Features ဖြစ်တဲ့ Advanced Protection Mode ကတော့ Apple IOS Lock Down Mode နဲ့ဆင်ပါတယ်။ Theft Prevention    Google Pixel (Android 15) & Samsung Galaxy (One UI 7) ဖုန်းတွေမှာ Theft Prevention အနေနဲ့ ကိုယ်သတ်မှတ်ထားတဲ့နေရာ မဟုတ်ရင် ဖုန်းရဲ့ Pin Password သိရင်တောင် Phone မှာ ကိုယ် Private လုပ်ထားတဲ့ Data တွေကို Access လုပ်ခွင့်မရနိုင်တော့ဘူးလို့ Google က ကြေငြာထားပါတယ်။ Private Data Location ကတော့ Google Pixel မှာ Private Space ဖြစ်ပြီး Samsung မှာဆိုရင် Secure Folder ဖြစ်ပါတယ်။    ဥပမာ အိမ် နဲ့ ရုံးနေရာကိုပဲ Secure Location အနေနဲ့ ထားမယ်ဆိုရင် အိမ် နဲ့ ရုံးကြားမှာ Phone ကတစ်ခုခုဖြစ်ရင် Private Data အတွက် Pin, Password အပြင...

  Download From Archive

Window 7 ကနေစပြီးတော့  PC တွေမှာ  SSD အသုံးပြုထားရင် Trim က Default အနေနဲ့  On ပါတယ်။ Window 10/11 မှာတော့ အချို့သော Driver Issues ရှိတဲ့ SSD/ NvMe တွေကလွဲရင် Default အနေနဲ့ Trim Enable/  ဖြစ်ပါတယ်။ ပြီးရင် Automatically TRIM လုပ်ပါတယ်။ Trim Enable ဖြစ်/မဖြစ်ကိုတော့   CMD Or Power Shell   မှာ  fsutil behavior query DisableDeleteNotify  ဆိုတဲ့ Command နဲ့စစ်နိုင်ပါတယ်။ (0 = enable, 1 = disable) Trim ကို Default အနေနဲ့ Window တွေမှာ On ပေးထားတာက SSD Performance  ပိုမိုကောင်းစေဖို့ဖြစ်ပါတယ်။ HDD တွေနဲ့မတူညီတဲ့အချက် SSD တွေမှာ Data Write လုပ်မယ်ဆိုရင် HDD လို Overwrite လုပ်လို့မရပဲ အရင်ဆုံ Data Write မဲ့ Block/Page ကို Erase ပြုလုပ်ရပါတယ်။  ဒါပေမဲ့ SSD Controller က Trim အသုံးမပြုနိုင်တဲ့ Controller ဖြစ်နေခဲ့ရင်၊ Internal / External အနေနဲ့သုံးထားတဲ့ SSD မှာ Driver Issues ရှိနေခဲ့ရင်၊ NTFS/ReFS File System အနေနဲ့မဟုတ်ပဲ ကျန်တဲ့ FAT32 File System, Etc... အနေနဲ့အသုံးပြုထားရင် Trim ကမှန်မှန်ကန်ကန် အလုပ်လုပ်မှာမဟုတ်ပါဘူး။ File တစ်ခုကိုဖျက်လိုက်ရ...