Digital Forensics မွာဘာလုိ႕ Write Protect လုပ္ရတာလဲ
?
သိ္မ္းဆည္းရမိတဲ့
Stroage Device ေတြထဲကုိ သက္ေသခံခ်က္လြဲမွားေအာင္
မသမာတဲ့ နည္းလမ္းအသုံးျပဳၿပီး မျပဳလုပ္ႏုိင္ေအာင္ Write Protect ျပဳလုပ္ျခင္းျဖစ္ပါတယ္။ Write Protect ျပဳလုပ္ထားတာေၾကာင့္ မိမိတင္သြင္းတဲ့ သက္ေသခံ Device ဟာ မွန္ကန္တဲ့ သက္ေသခံပစၥည္းျဖစ္ ေၾကာင္း တရားရုံးမွာတင္ျပႏုိင္မွာျဖစ္ပါတယ္။
ေနာက္ထပ္တစ္ခ်က္က Chain Of Custody (သက္ေသခံပစၥည္းကုိ Forensics lab) သုိ႕ပို႕ေဆာင္ျခင္း အပုိင္းေၾကာင့္လဲပါ၀င္ပါတယ္။
Forensics Lab ေနရာနဲ႕သက္ေသခံပစၥည္းရွိတဲ့ေနရာဟာ
ေ၀းကြာႏုိင္ပါတယ္။ ဒါေၾကာင့္ Forensics
Lab ကုိပုိ႕ေဆာင္တဲ့ လမ္းခရီးမွာ မသမာတဲ့ နည္းနဲ႕ သက္ေသခံပစၥည္းထဲက အခ်က္အလက္ကုိ ျပင္ဆင္ႏုိင္ျခင္း
မရွိႏုိင္ေအာင္ Write Protect ျပဳလုပ္ျခင္းျဖစ္ပါတယ္။
Disk Cloning (Bit By Bit Copy)(Forensics Image) ဘာလုိ႕လုပ္ရတာလဲ
(Bit By Bit
Copy )(Forensics Image) ယူတယ္ဆုိတာကေတာ့ မူရင္း Device ကုိ တုိက္ရုိက္ စစ္ေဆးျခင္းမျပဳပဲ မူရင္း
Device အတုိင္းပုံစံတူကူးယူၿပီးစစ္ေဆးျခင္းျဖစ္ပါတယ္။
မူရင္းသက္ေသခံ Device ကုိ မပ်က္စီးေစပဲတရားရုံးမွာ သက္ေသျပႏုိင္ဖုိ႕အတြက္ျဖစ္ပါတယ္။
Hashing
ဘာလုိ႕လုပ္ရတာလဲ
Write Protect ျပဳလုပ္ထားတဲ့ မူရင္းသက္ေသခံ
Device နွင့္တစ္ကြ Device ထဲမွာပါတဲ့ အခ်က္အလက္ေတြက ျပင္ဆင္ျဖည့္စြက္ထားျခင္းမရွိတာ
သက္ေသျပႏုိင္ဖို႕အျပင္ မူရင္းသက္ေသခံ Device
ကုိ(Bit By Bit
Copy ) ယူၿပီးစစ္ေဆးမည့္ (Forensics
Image) မွာပါျပင္ဆင္ျဖည့္စြက္ ထားျခင္းမရွိဘူးဆုိတာ
သက္ေသျပႏုိင္ဖို႕ျဖစ္ပါတယ္။ ဘယ္အခ်ိန္ ဘယ္ေနရာမွာပဲ စစ္စစ္ Forensics Image မွ hash Valueဟာ မူရင္း သက္ေသခံ Device က Hash
Value နဲ႕တူရမွာျဖစ္ပါတယ္။
Digital Forensics မှာဘာလို့ Write Protect လုပ်ရတာလဲ ?
သိမ်းဆည်းရမိတဲ့ Stroage Device တွေထဲကို သက်သေခံချက်လွဲမှားအောင် မသမာတဲ့ နည်းလမ်းအသုံးပြုပြီး မပြုလုပ်နိုင်အောင် Write Protect ပြုလုပ်ခြင်းဖြစ်ပါတယ်။ Write Protect ပြုလုပ်ထားတာကြောင့် မိမိတင်သွင်းတဲ့ သက်သေခံ Device ဟာ မှန်ကန်တဲ့ သက်သေခံပစ္စည်းဖြစ် ကြောင်း တရားရုံးမှာတင်ပြနိုင်မှာဖြစ်ပါတယ်။ နောက်ထပ်တစ်ချက်က Chain Of Custody (သက်သေခံပစ္စည်းကို Forensics lab) သို့ပို့ဆောင်ခြင်း အပိုင်းကြောင့်လဲပါဝင်ပါတယ်။ Forensics Lab နေရာနဲ့သက်သေခံပစ္စည်းရှိတဲ့နေရာဟာ ဝေးကွာနိုင်ပါတယ်။ ဒါကြောင့် Forensics Lab ကိုပို့ဆောင်တဲ့ လမ်းခရီးမှာ မသမာတဲ့ နည်းနဲ့ သက်သေခံပစ္စည်းထဲက အချက်အလက်ကို ပြင်ဆင်နိုင်ခြင်း မရှိနိုင်အောင် Write Protect ပြုလုပ်ခြင်းဖြစ်ပါတယ်။
Disk Cloning (Bit By Bit Copy)(Forensics Image) ဘာလို့လုပ်ရတာလဲ
(Bit By Bit Copy )(Forensics Image) ယူတယ်ဆိုတာကတော့ မူရင်း Device ကို တိုက်ရိုက် စစ်ဆေးခြင်းမပြုပဲ မူရင်း Device အတိုင်းပုံစံတူကူးယူပြီးစစ်ဆေးခြင်းဖြစ်ပါတယ်။ မူရင်းသက်သေခံ Device ကို မပျက်စီးစေပဲတရားရုံးမှာ သက်သေပြနိုင်ဖို့အတွက်ဖြစ်ပါတယ်။
Hashing ဘာလို့လုပ်ရတာလဲ
Write Protect ပြုလုပ်ထားတဲ့ မူရင်းသက်သေခံ Device နှင့်တစ်ကွ Device ထဲမှာပါတဲ့ အချက်အလက်တွေက ပြင်ဆင်ဖြည့်စွက်ထားခြင်းမရှိတာ သက်သေပြနိုင်ဖို့အပြင် မူရင်းသက်သေခံ Device ကို(Bit By Bit Copy ) ယူပြီးစစ်ဆေးမည့် (Forensics Image) မှာပါပြင်ဆင်ဖြည့်စွက် ထားခြင်းမရှိဘူးဆိုတာ သက်သေပြနိုင်ဖို့ဖြစ်ပါတယ်။ ဘယ်အချိန် ဘယ်နေရာမှာပဲ စစ်စစ် Forensics Image မှ hash Valueဟာ မူရင်း သက်သေခံ Device က Hash Value နဲ့တူရမှာဖြစ်ပါတယ်။
သိမ်းဆည်းရမိတဲ့ Stroage Device တွေထဲကို သက်သေခံချက်လွဲမှားအောင် မသမာတဲ့ နည်းလမ်းအသုံးပြုပြီး မပြုလုပ်နိုင်အောင် Write Protect ပြုလုပ်ခြင်းဖြစ်ပါတယ်။ Write Protect ပြုလုပ်ထားတာကြောင့် မိမိတင်သွင်းတဲ့ သက်သေခံ Device ဟာ မှန်ကန်တဲ့ သက်သေခံပစ္စည်းဖြစ် ကြောင်း တရားရုံးမှာတင်ပြနိုင်မှာဖြစ်ပါတယ်။ နောက်ထပ်တစ်ချက်က Chain Of Custody (သက်သေခံပစ္စည်းကို Forensics lab) သို့ပို့ဆောင်ခြင်း အပိုင်းကြောင့်လဲပါဝင်ပါတယ်။ Forensics Lab နေရာနဲ့သက်သေခံပစ္စည်းရှိတဲ့နေရာဟာ ဝေးကွာနိုင်ပါတယ်။ ဒါကြောင့် Forensics Lab ကိုပို့ဆောင်တဲ့ လမ်းခရီးမှာ မသမာတဲ့ နည်းနဲ့ သက်သေခံပစ္စည်းထဲက အချက်အလက်ကို ပြင်ဆင်နိုင်ခြင်း မရှိနိုင်အောင် Write Protect ပြုလုပ်ခြင်းဖြစ်ပါတယ်။
Disk Cloning (Bit By Bit Copy)(Forensics Image) ဘာလို့လုပ်ရတာလဲ
(Bit By Bit Copy )(Forensics Image) ယူတယ်ဆိုတာကတော့ မူရင်း Device ကို တိုက်ရိုက် စစ်ဆေးခြင်းမပြုပဲ မူရင်း Device အတိုင်းပုံစံတူကူးယူပြီးစစ်ဆေးခြင်းဖြစ်ပါတယ်။ မူရင်းသက်သေခံ Device ကို မပျက်စီးစေပဲတရားရုံးမှာ သက်သေပြနိုင်ဖို့အတွက်ဖြစ်ပါတယ်။
Hashing ဘာလို့လုပ်ရတာလဲ
Write Protect ပြုလုပ်ထားတဲ့ မူရင်းသက်သေခံ Device နှင့်တစ်ကွ Device ထဲမှာပါတဲ့ အချက်အလက်တွေက ပြင်ဆင်ဖြည့်စွက်ထားခြင်းမရှိတာ သက်သေပြနိုင်ဖို့အပြင် မူရင်းသက်သေခံ Device ကို(Bit By Bit Copy ) ယူပြီးစစ်ဆေးမည့် (Forensics Image) မှာပါပြင်ဆင်ဖြည့်စွက် ထားခြင်းမရှိဘူးဆိုတာ သက်သေပြနိုင်ဖို့ဖြစ်ပါတယ်။ ဘယ်အချိန် ဘယ်နေရာမှာပဲ စစ်စစ် Forensics Image မှ hash Valueဟာ မူရင်း သက်သေခံ Device က Hash Value နဲ့တူရမှာဖြစ်ပါတယ်။
Comments