What is Cyber Forensics Part (22) Evidence Device Cloning and Hashing
What is Cyber Forensics Part (22)
Evidence Device Cloning and Hashing
Evidence Device Cloning and Hashing
Investigation လုပ္ရာမွာ မူရင္းသက္ေသခံပစၥည္း (Computer,Laptop, HD, Stick, CD/DVD, Phone) ကုိ စစ္ေဆးျခင္းမျပဳသင့္ပါ။ မူရင္း Device ကုိ Clone ပြားၿပီး စစ္ေဆးရမွာျဖစ္ပါတယ္။ ရလာတဲ့ Clone ကလဲ မူရင္းနဲ့ Hash Value တူရမွာျဖစ္ပါတယ္။ အခု Post မွာေတာ့ Device တင္မက မူရင္း Device ထဲမွာပါတဲ့ file ေတြကုိပါ hash Value ထုတ္ျပထားပါတယ္.
Clone လုပ္တဲ့ေနရာမွာ အသုံးျပဳထားတာကေတာ့ Access Data FTK manager ျဖစ္ပါတယ္။ အျခား Clone နဲ႕ Hash Value လုပ္ႏုိင္တဲ့ tools ေတြရွိေပမဲ့ ႏုိင္ငံတကာက Law Enforcement အဖြဲ႕ေတြအသုံမ်ားတဲ့ Access Data FTK manager ကုိသုံးရျခင္းကေတာ့ တရားရုံးမွာ သက္ေ သခံတဲ့အခါ ပုိၿပီး Save ျဖစ္ေအာင္ပါ။
ပုံ (၁) ကေတာ့ သက္ေသခံ မူရင္း Memory Stick Device ရဲ့ Hash value ကုိ ယူမွာျဖစ္ပါတယ္။ (Stick က ကြ်န္ေတာ္ Stick ပါ ) FTK က MD5 and SHA1 ကုိထုတ္ေပးမွာပါ။
ပုံ(၂) မၾကာခင္ သက္ေသခံ မူရင္း Memory Stick Device ရဲ့ Hash valueရလာပါတယ္။ ပုံ (၇) မွာ မူရင္းနဲ႕ Clone တုိ႕ရဲ့ Hash Value ကုိျပထားပါတယ္။
ပုံ (၃) သက္ေသခံ မူရင္း Memory Stick Device ကုိ Raw image အေနနဲ့ စစ္ေဆးရန္ Clone ယူမွာပါ
ပုံ (၄) မႈခင္းဆုိင္ရာ အခ်က္အလက္ထည့္သြင္းပါမယ္။
ပုံ (၅) Clone ကိုိ သိမ္းထားမယ့္ေနရာပါ။ အျခားသူမွားမဖြင့္ႏုိင္ေအာင္ Password ပါေပးထားပါမယ္။
ပုံ (၆) Password ရုိက္ပါ. ဒါမွ သက္ဆုိင္ရာ CA ထည့္ပါ။ Clone ရုိက္တာကေတာ့ Device ရဲ့ အရြယ္အစားေပၚမူတည္ၿပီး အခ်ိန္ယူရပါမယ္။
ပုံ (၇) မူရင္း Device နဲ့ Clone Device တုိ႕ရဲ့ Hash value တူရပါမယ္။
ပုံ (၈) မူရင္း Device ထဲမွာပါတဲ့ file ေတြကုိပါ hash Value ကုိပါယူထားတာပါ
(ပုံနဲ႕ စာကြဲလြဲမႈ လုိအပ္မႈ ရွိရင္ ကြ်န္ေတာ့္အမွားပါ)
ေနာက္ထပ္ေရးမဲ့ အပုိင္း ၂၃ ကေတာ့ ရလာတဲ့ Clone ကုိ စစ္ေဆးတဲ့ အပုိင္းပါ
#CyberCrime
Reference CCFP, CHFI , CEH
Reference CCFP, CHFI , CEH
Comments