NTFS File System timestamp Forensics Part 2
NTFS Time Stamp Forensics အဆက္ပါ w10 မွာ thirdeye အမည္နဲ႕word,pdf,image file 3 ခု create လုပ္ထားလုိက္ပါတယ္။ timezone က
GMT6:30 အခ်ိန္နဲ႕ပါ။ file တစ္ခုခ်င္းစီရဲ႕ metadata timestamp ကုိ ပုံမွာၾကည့္ႏုိင္ပါတယ္။
အခုအခ်ိန္မွာ window
10 u thirdeye အမည္နဲ႕word,pdf,image file 3 ခုကုိ
Window 7
(GMT7) ထဲကုိ
ေျပာင္းထည့္လိုက္ပါတယ္။ file တစ္ခုခ်င္းစီရဲ႕ metadata , timestamp မွာ ေအာက္ပါအတုိင္းေျပာင္းလဲသြားတာ ေတြ႕ႏုိင္ပါတယ္။
ဒါေၾကာင့္ TimeZone လြဲေနတဲ့ GMT 7 နဲ႕ window 7 ကုိ
Time Zone ေျပာင္းၿပီးေလ့လာၾကည့္ပါမယ္။ အခုအေနအထားမွာ window 7 က vmdk file type ျဖစ္ပါတယ္။ vmdk file type ျဖစ္လုိ႕ vmware ကုိ dick image (bit by bit) Copy ယူပါမယ္။ Logical
Drive တစ္ခုလုံးအစား
အခုအခ်ိန္မွာ vmdk တစ္ခုကုိပဲ image
ယူထားပါတယ္။ မစစ္ေဆးခင္မွာ
forensics လုပ္တဲ့ workstation
timezone သုိ႕မဟုတ္ forensics
tools ရဲ႕ timezone ကုိခ်ိန္းထားရပါမယ္။ Example
Encase , autopsy, FTK
Thirdeye ဆုိတဲ့ World file က forensics workstation မွာေျပာင္းလဲသြားပုံပါ
Thirdeye.World
file ရဲ႕ Metadata ေတြပါ
Company တစ္ခုမွ
အႀကီးတန္း ၀န္ထမ္းတစ္ဦးက company ကေနအလုပ္ရပ္စဲျခင္းခံရပါတယ္။
အလုပ္ကမထြက္ခင္ company မွ အေရးႀကီး
file တစ္ခုကုိ
ရည္ရြယ္ခ်က္တစ္ခုနဲ႕ ယူေဆာင္သြားပါတယ္။ဆက္ၿပီး အျပင္မွာ ျပန္လည္ေရာင္းခ်ျခင္းၿပဳလုပ္ပါတယ္။
အရင္ကလုပ္ထားသမွ်ကုိ ကြန္ပ်ဴတာထဲမွာ မထားရွိရဘူးဆုိတဲ့ လက္မွတ္လဲေရးထုိးထားပါတယ္။
စစ္ေဆးတဲ့အခ်ိန္မွာ ကြန္ပ်ဴတာက clock ကုိ backdate ၿပဳလုပ္ထားပါတယ္။
Back Date
ျပဳလုပ္ထားပုံ
Methodology
နဲ႕ Hypothesis အပုိင္းကပ်င္းစရာေကာင္းတဲ့အတြက္ခ်န္လွ်ပ္ထားခဲ့ပါတယ္။စစ္ေဆးတဲ့ခါ Internet History ,User ,Create time, USB history, နဲ႕ System ကုိစစ္ေဆးတဲ့အခါမွာ window time ကုိ back သုိ႕ေျပာင္းထားေၾကာင္းသိသာစြာေတြ႕ရမွာျဖစ္ပါတယ္။
Internet History
User Account
Create time
USB Attachment
Comments