eCDFP (Introduction to Digital Forensics ) - Part-2
Digital Forensics ပြုလုပ်တဲ့ အခါမှာ အဓိက အခြေခံလိုအပ်ချက်တွေကတော့
Digital Evidence + Digital Forensics Tools + Scientific Methods
ဘယ်လို Crime မျိုးမျိုးဖြစ်ဖြစ် အဓိက လိုအပ်တာက Evidence ပဲဖြစ်ပါတယ်။ ဥပမာ လူသတ်မှုမျိုးဆို လက်ဗွေ DNA
Evidence
Digital World မှာတော့ Digital Evidence ကို အဓိပ္ပာယ်ဖွင့်ဆိုရင်ရင် Digital Information ကို
Store, Transmit, Produce, လုပ်နိုင်တဲ့ Electronic Device / Software မှန်သမျှကို Digital Evidence လို့သတ်မှတ်ပါတယ်။ ဥပမာ Photo, Download File, Print logs, Browsing History, Email, Deleted File, etc...
Crime Scene တစ်ခုမှာ Digital Devices တွေပါ၀င်လာရင် အထူးသတိထားရမှာ ဖြစ်ပါတယ်။ Digital Evidence တွေ Device တွေက ပျက်စီးလွယ် အစားထိုးလွယ်လို့ Device and Application တွေဘယ်လိုအလုပ်လုပ်တယ် ဘယ်နေရာမှာ သုံးစွဲတယ်ဆိုတာကို သိထားရမှာ ဖြစ်ပါတယ်။ သိမ်းဆည်းတဲ့ နေရာမှာ စနစ်မကျဘူးဆိုရင် Court မှာသက်သေခံ မ၀င်နိုင်တဲ့ အထိဖြစ်သွားနိုင်ပါတယ်။ ဒါတင်မက Investigator ရဲ့ Knowledge and Process Evidence Quality အစရှိတာတွေက Court မှာအဆုံးအဖြတ်ပေးသွားမှာ ဖြစ်ပါတယ်။
(အချို့သော နိုင်ငံတော်တော်များများမှာ Digital Evidence နဲ့ပတ်သတ်လာရင် Rules, Producer, SOP တွေ သီးသန့်ရှိပါတယ်။)
Digital Forensics Tools
Tools တွေက Digital Forensics ပြုလုပ်တဲ့နေရာမှာ အရေးကြီးတဲ့နေရာကနေ ပါ၀င်ပါတယ်။ ဒါပေမဲ့ Digital Forensics က Tools သုံးတာပဲ မဟုတ်ပါဘူး။
Investigator က သူအသုံးပြုတဲ့ Tools and Technology နဲ့ ပတ်သတ်လာရင် deep Understanding ဖြစ်နေရပါမယ်။ ဒါတင်မကပါဘူး
Device ကနေ Evidence ကို ဘယ်လို Acquire လုပ်မယ်။ Acquire ကနေရလာတာကို ဘယ်လို Process လုပ်မယ်။ Tools မှာပေါ်လာတာတွေကို ဘယ်လို အဓိပ္ပာယ်ရှိလဲဆိုတာကို နားလည်ရပါမယ်။
ဘာမှမသိပဲ လျှောက် Click တဲ့ Click Monkey မဖြစ်စေချင်ပါဘူး။
Digital Foren Tools တွေသုံးစွဲရမှာ 3 မျိုးရှိတဲ့အထဲကနေ case အပေါ်မူတည်ပြီး ကိုယ်အတွက် အကောင်းဆုံးဖြစ်မဲ့ဟာကို ရွေးချယ်နိုင်ပါတယ်။
Commercial Tools, Open Source, Your Own
Investigator က စစ်ဆေးရုံတင်မကပဲ Digital Devices ကို ပုံမှန်မဟုတ်တဲ့ ဖျက်ထား ပြင်ထား ပေါင်းထည့်ထားတာ စတဲ့ အကြောင်းအရာတွေကို သိရှိနားလည်းထားရပါမယ်။ Scientific Methods နည်းလမ်းတွေနဲ့ အသုံးချရပါမယ်။ data တွေကို Analysis လုပ်ရုံမက Smaple တွေနဲ့ တိုက်ဆိုင် စစ်ဆေးနိုင်ရပါမယ်။
Data and characteristics တွေနဲ့ Technology ကို လျစ်လျှူရှုမယ်ဆိုတာ Investigator တစ်ယောက်အနေနဲ့ မဖြစ်သင့်ပါဘူး။
Scientific Methods မှာ Investigation လုပ်တဲ့ နည်းလမ်းတွေ တိုးတက်လာတဲ့နည်းပညာတွေ လေ့လာလို့ရရှိလာတဲ့ နည်းလမ်းတွေကနေ အမှားရှိရင်ပြင်ဆင်ခြင်း။ ကိုယ်သိထားတာ လိုအပ်နေတာတွေရှိရင်
ပိုကောင်းအောင် ပြင်ဆင်ခြင်းတို့ ပါ၀င်ပါတယ်။
ဒါတွေကို စနစ်တကျဆောင်ရွက်ရင် ကိုယ်လုပ်ရမဲ့ Mission မှာ အထောက်အကူ အများကြီး ဖြစ်ပါတယ်။
Methdology ကတော့ ရိုးရိုးရှင်းရှင်းလေးပါ။
- Observating
- Collecting Data and Facts
- Finally Building Hypothesis base on data Collected
နောက်တစ်ဆင့်ကတော့ ရလာတဲ့ Hypothesis ကနေ Predict လုပ်မှာဖြစ်ပါတယ်။ Predict လုပ်တဲ့နေရာမှာလဲ Predict လုပ်တဲ့ အကြောင်း အရာက Test, Prove လုပ်တာခံနိုင်ဖို့လိုပါတယ်။ အဓိပွာယ်မဲ့ ထင်ရာ တွေးထား လုပ်ထားတာ မဖြစ်စေရပါဘူး။
Predict လုပ်ထားပေမဲ့ Error ဖြစ်ခဲ့ရင် အဆင်မပြေခဲ့ရင် အခြားနည်းလမ်းကို ရှာဖွေပြီး အရင်က Hypothesis ကို disaprove လုပ်ရမှာ ဖြစ်ပါတယ်။
Prove or Disaprove လုပ်တာက Investigation အတွက် အထောက်အပံ့ရနိုင်မယ်ထင်တဲ့ data ,facts တွေကို Collect လုပ်ကတည်းက သိသာပါတယ်။
Data တွေကို Extract လုပ်တာ Hypothesis လုပ်တာ Producer တွေကို Scientific နည်းလမ်းအတိုင်းဖြစ်ရပါမယ်။ ရှင်းပြ သက်သေပြလို့ရနိုင်ရပါမယ်။ တစ်ကယ်လို့ Scientific နည်းလမ်းအတိုင်း မဖြစ်ဘူး သက်သေမပြနိုင်ဘူးဆိုရင် Evidence က Credibility မဖြစ်ပါဘူး။သက်သေခံမ၀င်နိုင်ပါဘူး။
Methdology ကို ပိုနားလည်အောင် ဥပမာနဲ့ ရှင်းပါမယ်။
Q- User တစ်ယောက်က 10-11 AM ကြားမှာ ကွန်ပျူတာသုံးထားသလား
Observing
သက်သေပြနိုင်မဲ့ ကွန်ပျူတာထဲက အကြောင်းအရာတွေရှာဖွေပါမယ်။ Registry , Event logs and Data , etc ...
Collecting
သက်သေပြနိုင်မဲ့ အချက်အလက်တွေအားလုံးကို Collect လုပ်ပါမယ်။
Building Hypothesis
Collect လုပ်လို့ရတဲ့ အချက်အလက်တွေကနေ
10-11 Am အကြား ကွန်ပျူတာ သုံးမသုံးကို ပြနိုင်မဲ့
Evidence နဲ့ နည်းလမ်းကို ရယူပါတယ်။
ဒီနေရာမှာ Window Registry နဲ့ သက်သေပြမယ်လို့
ဆုံးဖြတ်လိုက်ပါတယ်။ Window Registry ကိုမှ Open Source သုံးပြီးပြမယ်လို့ ရွေးချယ်လိုက်ပါတယ်။
Window Registry ထဲမှာ တွေ့ပြီဆိုကြပါစို့ ။
Scientific နည်းနဲ့ သက်သေပြနိုင်သလို အခြားသော Commercial Tools တွေနဲ့လဲ Window Registry ကို စစ်ဆေးရင် ရနိုင်ပါတယ်။
Unlucky, Window Registry ထဲမှာမတွေ့ဘူး။
Window Registry နည်းလမ်းနဲ့ သက်သေပြဖို့လုပ်ထားတာ Hypothesis အရမှားပြီး။ အခြားနည်းလမ်းဖြစ်တဲ့ Metadata စစ်ဆေးနည်းနဲ့စစ်ဖို့ ပြန်တွေးလိုက်တယ်။
Yeah - Browsing History ကနေ မြမြကို 10:20:31 မှာရှာတယ်။ ()site ကနေ () အချိန်မှာ Down တယ်။ ()အချိန်မှာ ဖွင့်ကြည့်ခဲ့တယ်။ ခုနကလိုပဲ အခြားဘယ်လိုနည်းလမ်းနဲ့ပဲ စမ်းစမ်း Scientific ကျသလို
test and Prove ပြနိုင်ပါတယ်။ Scientific နည်းလမ်းမဟုတ်ပဲ အခြားနည်းလမ်းနဲ့ Hypothesis လုပ်ထား စစ်ဆေးထားတာလားဆိုတာ Test and Prove မှာ သိသာပါတယ်။
(ဥပမာ က methdology အတွက်အဓိက ဖြစ်ပါတယ်။)
Comments