What is Cyber Forensics ? PART (7)

သက္ေသခံ Device အားမပ်က္စီးေအာင္ ကာကြယ္ျခင္း .....

သက္ေသခံသိမ္းဆည္းပုံ ... မွတ္တမ္းယူပုံ...တုိ႕ကုိ အရင္ post ေတြမွာတင္ခဲ့ျပီးပါျပီး.... အခုေရးသားမွာက သက္ေသခံ Device အားမပ်က္စီးေအာင္ ကာကြယ္ျခင္း အပို္င္းျဖစ္ပါတယ္ .....

သိမ္းဆည္းရမိတဲ့ Device ကုိစစ္ေဆးတဲ့အခ်ိန္မွာ အမွားအယြင္းရွိခဲ့ရင္ ျပန္လည္စစ္ေဆးလုိ႕ရႏုိင္ေအာင္ Device ကုိ Clone (ထပ္တူ ကူးယူ) ရပါမယ္.... Linux မွာလဲ clone ယူႏုိင္သလုိ forensics tools ေတြျဖစ္တဲ့ Encase, Access Data tools ေတြနဲ႕လဲ clone ယူႏုိင္ပါတယ္ ...
Original image ၇ဲ့ Hash Value (MD5 သုိ႕ SHA1) နဲ့ Clone image ၇ဲ့ hash value တူရပါမယ္ ..... Example soon .....

device ကုိ clone မယူခင္မွာ Write Protect (read only ) စနစ္ျဖစ္ေအာင္ျပဳလုပ္ရပါမယ္ .... Data ေတြကုိ မူရင္း device မွာထပ္ျပီးျပင္ဆင္လုိ႕ မရနုိင္ေအာင္ျဖစ္ပါတယ္ .... case အမ်ဳိးအစား write protect ျပဳလုပ္သူ ျပဳလုပိတဲ့ေနစြဲ device အမ်ဳိးအစားတုိ႕ကုိ မွတ္တမ္းထားရွိရပါမယ္...
Linux သုိ႕ forensics tool, controller ေတြမွာ write protect ပါ၀င္ပါတယ္ ... Example .... Sooon ....

ထပ္ျပီးကာကြယ္ရမဲ့အပုိင္းကေတာ့ သက္ေသခံ Device ကုိ စစ္ေဆးမဲ့ေနရာကုိ သယ္ေဆာင္ေနစဥ္ (သုိ႕) စစ္ေဆးရန္သိမ္းထားေနစဥ္အတြင္း (သုိ႕) စစ္ေဆးျပီး တရားရုံးသုိ႕ မတင္မွီကာလအတြင္းမွာ အီလက္ထေ၇ာနစ္ လွဳိင္းေတြ၇ဲ့ ေနွာက္ယွက္မႈမွ ကင္းေ၀းေအာင္ ..... Remote လုပ္ျပီး data ေတြပ်က္စီးေစျခင္းမွ(wipe လုပ္ျခင္းမွ) ကာကြယ္ႏုိင္ေအာင္ ျပဳလုပ္ရပါမယ္။

( အခ်ဳိ႕ေသာဖုန္းမ်ားတြင္ ဖုန္းအခုိးခံရပါက phone data ေတြကုိ wipe လုပ္တဲ့အပုိင္းပါ၀င္ေနပါတယ္) (spyware ထည့္ထားရင္လဲ wipe လုပ္ႏုိင္ပါတယ္ ...) ဒါ့ေၾကာင့္ EMI နဲ့ EFI ကုိခံနိင္တဲ့အထူးျပဳလုပ္ထားတဲ့ အိတ္ေတြ .. ဗီဒုိေတြ အခန္းေတြနဲ့ သိမ္းဆည္း၇မွာျဖစ္ပါတယ္ ....

ေနာက္တစ္ခုကေတာ့ worm storage စနစ့္ဖစ္ပါတယ္ ... (Write One Read many ) ကုိဆုိလုိပါတယ္။ file တစ္ခုကုိ save လုိက္တာနဲ့ save လုိက္တဲ့ file ကုိ ခ်က္ျခင္း write protect ျဖစ္ေစပါတယ္..... ....

ေနာက္ထပ္ေရးမဲ့အပုိင္းကေတာ့ evidence သယ္ယူမဲ့အပုိင္း ဖစ္ပါတယ္ ....
#Cyberforensics #Computerforensics