Digital Forensics Quiz 33

 #Question

Volatile Evidences တွေကိုဘယ်လိုရယူနိုင်ပါသလဲ ?

#Answer

Random Access Memory (RAM) က Volatile Information ဖြစ်ပါတယ်။ Computer Power Off တာနဲ့ အချက်အလက်တွေရှိတော့မှာ မဟုတ်ပါဘူး။

Storage Media ဖြစ်တဲ့ HHD SSD တို့ကိုတော့ Non Volatile Information လို့ခေါ်ပါတယ်။ Power Off နေပေမဲ့ အချက်အလက်တွေရှိနေတုန်းမို့လို့ပါ။ RAM ထဲမှာတော့ စစ်ဆေးသူစိတ်၀င်စားနိုင်တဲ့ အချက်အလက်တွေပါ၀င်နိုင်ပါတယ်။ ဥပမာ Execute Command , Clear Test Password, Unencrypted Information,IP Address, Encryption Key (Bitlocker or Ransomware) 

Volatile Information ကိုရယူစဉ်ဂရုစိုက်ရမှာတွေက 

Machine ရဲ့ Running လုပ်နေတဲ့ပုံစံမပျက်အောင်ထားပါ။

Running System ကို ဓာတ်ပုံရိုက်ကူးပါ  Document လုပ်ပါ။ Browser Activity , Opening Folder Opening Documents 

Machine မှာ Encryption စနစ်သုံးထားခြင်း ရှိ မရှိ စစ်ဆေးပါ။

Machine ရဲ့ Operation System Version  ကို မှတ်သားပါ။

Machine ရဲ့ Current Time Date ကို မှတ်သားပါ ဓာတ်ပုံရိုက်ကူးပါ။ 

RAM Dump ကို Memory Stick ဖြင့်ရယူပါ။

အခြားသော Volatile Information များကိုရယူပါ။

Document Every Steps

India Context 65B အတိုင်း လုပ်ဆောင်ပါ။ 

#Tools_Used_For_Collection 

RAM Dump ပြုလုပ်ဖို့အတွက်  Open Source Tools တွေ Commercial Tools တွေရှိပါတယ်။

ဥပမာ Magnet Ram Capturer, Kape, Volatility Command Line Tools 

စစ်ဆေးရာမှာလဲ  Open Source Tools တွေ Commercial Tools တွေရှိပါတယ်။ 

ဥပမာ Volatility , Volatility ဆိုရင် Open Source တင်သာမက Commercial Tools တွေမှာလဲပါပါတယ်။Open Source က Command နဲ့ အသုံပြုရတာပဲ ကွာတာပါ။ 

ပုံ 1 က Autopsy မှာ Volatility ကိုပဲအသုံပြုထားပါတယ်။

ပုံ 2 က Volatility ကို Commercial Tools မှာလဲ အသုံးပြုထားတာပါ။ 

ပုံ 1 နဲ့ 2 အရ OS Version ကို ကိုယ်တိုင်ရွေးလဲရသလို မရွေးချယ်လဲရပါတယ်။ မရွေးချင်ရင် အချိန်ပိုကြာပါတယ်။ ပုံ 2 အရ KDBG ကိုလဲရွေးပေးရပါမယ်။Result  အတိအကျလိုချင်တဲ့ အတွက်ဖြစ်ပါတယ်။ KDBG အတွက်ကတော့ Volatility Command Line ထဲထည့်ကြည့်နိုင်ပါတယ်။ 

ပုံ 3 ကတော့ Commercial Tools က  Results နဲ့ Open Source Volatility Results ယှဉ်ပြထားတာပါ။ Results သိပ်မကွာပါဘူး။