What Is Digital Forensics ? Part (43) Vmware Forensics

What Is Digital Forensics ? Part (43)
Vmware Forensics
လက္ရွိသုံးေနတဲ့ Operation System ေပၚမွာပဲ အျခားေသာ Operation System ကုိ အေၾကာင္းရင္းတစ္ခုခုေၾကာင့္သုံးျခင္တယ္ဆုိရင္ Virtual System တစ္ခုကုိ အသုံးၿပဳၾကပါတယ္။ အသုံးမ်ားတဲ့ Virtual System ေတြကေတာ့
Virtual Box
VMware
Window Virtual PC
Hyper -V
Oracle VM
Parallels
Docker တုိ႕့ျဖစ္ပါတယ္။
ဒီထဲကမွာမွ Vmware Forensic အေၾကာင္းကုိ ေရးသားသြားပါမယ္။ ဘာလုိ႕လဲဆုိရင္ VMware forensics အေၾကာင္းသိရင္ Esxi, Vspher ,Vcenter Forensics အေၾကာင္းကုိပါ ဆက္စပ္ေလ့လာႏုိင္ေအာင္လုိ႕ပါ။
Esxi, Vspher ,Vcenter Forensics အေၾကာင္းကေတာ့ ေတာ္ေတာ္ေလး ေရးယူရမဲ့ အၿပင္ လက္ေတြ႕ၿပႏုိင္မွ ပုိအဆင္ေၿပမွာမုိ႕လုိ႕ပါ။
Vmware မွာပါတဲ့ file system ေတြကေတာ့
vmem – Virtual machine memory file
vmdk – Virtual machine storage disk file
vmss – Virtual machine information file
log – Virtual machine log file
nvram – Keeps VM’s BIOS information
vmsn – Virtual machine snapshot file
vmxf – Additional configuration file.
.Vmdk
.Vmdk ကေတာ့ VMware Forensics မွာ အေရးၾကီးတဲ့ အပုိင္းမွာ ပါ၀င္ပါတယ္။ VMware မွာပါ၀င္တဲ့ အခ်က္အလက္ေတြ အကုန္ပါ၀င္ပါတယ္။VMware Hard disk နဲ႕လဲ ခ်ိတ္ဆက္ေပးပါတယ္။
.vmem
.vmem ကေတာ့ ကြန္ပ်ဴတာမွာ အသုံးၿပဳေနတဲ့ Ram ေတြလုိပါပဲ
VMware ရဲ႕ memory ပါ။ ဒါဆုိရင္ အရင္ကေရးခဲ့တဲ့ Memory Forensics
အတုိင္း Forensics လုပ္လုိ႕ရႏုိင္ပါတယ္။ vmem ကေနဘာေတြရႏုိင္မလဲ
User account, Password, Chat history, Web browsing history စတာေတြရရွိႏုိင္ပါတယ္။
.log
Log file မွာေတာ့ Vmware ေပၚမွာ User ၿပဳလုပ္သမွ် action ေတြကုိ ရရွိႏုိင္ပါတယ္။ VM information ေတြလဲရရွိႏုိင္ပါတယ္။ ဒီေလာက္ဆုိဘာေတြ ရႏုိင္မလဲ ဆုိတာသိေလာက္ပါၿပီ။
VMware မွာပါတဲ့ File Type ေတြသာမက က်န္တဲ့ Virtual System ေတြက File Type ေတြကုိလဲ သိထားသင့္ပါတယ္။
How to Forensics ?
Online Forensic Extraction
Offline Forensic Extraction
Simulation နည္းေတြနဲ႕ စစ္ေဆးပါတယ္။
(စစ္ေဆးဖုိ႕အတြက္ စစ္ေဆးသူရဲ႕ ကြ်မ္းက်င္မႈ အၿပင္ ဆက္စပ္အသုံးၿပဳရမဲ့အရာေတြလဲ လုိအပ္ပါတယ္) တစ္ခုေၿပာခ်င္တာကေတာ့ ဘာေတြပဲသုံးသုံး စစ္ေဆးသူရဲ႕ Knowledge က အေရးၾကီးဆုံးေသာေနရာမွာပါ၀င္ပါတယ္ ။
Thanks

Comments

Popular posts from this blog

NTFS Index Attributes

B-Trees (NTFS)

eCDFP (Module-6) (Window Forensics) (Part - 1 )