eCDFP (Introduction to Digital Forensics ) - Part-3
Digital Forensics Life Cycle
Digital Forensics Life Cycle မှာ အဆင့် 3 ဆင့်ရှိပါတယ်။ Evidence က မှန်ကန်ဖို့ ခိုင်လိုဖို့ ဒီအဆင့် 3 ဆင့်ကို လိုက်နာဖို့ လုပ်ဆောင်ဖို့ အကြံပြုပါတယ်။
Acquisition - Analysis - Presentation
Acquisition
Acquisition ဆိုတာကတော့ Storage Media ကို Forensics Image (Forensically Sound image )ကို Physically, Remotely ပြုလုပ်ခြင်းဖြစ်ပါတယ်။
(Data Center လိုမျိုး Storage ပမာဏများပြားတဲ့နေရာ Downtime ပြုလုပ်လို့ မရတဲ့နေရာတွေမှာ Remote Acquisition နည်းလမ်းကို အသုံးပြူပါတယ်။
Acquisition အဆင့်ဟာ Evidence Vaild ဖြစ်မဖြစ်ဟာ ဆုံးဖြတ်တဲ့ အတွက် အရေးကြီးတဲ့ အပိုင်းဖြစ်ပါတယ်။ ဒါအပြင် အခြားအရေးကြီးတဲ့ အကြောင်းအရာဖြစ်တဲ့ Illegally ပြုလုပ်တာ မပြည့်မစုံ မမှန်မကုန်စွာ လုပ်တာတွေက ကျန်တဲ့ အဆင့်တွေပေါ်မှာ သွားပြီးသက်ရောက်ပါတယ်။ Results မမှန်ကန်နိုင်ပါဘူး။
Example - Evidence ဖြစ်အောင် အခြားအရာတွေ ထပ်မံထည့်သွင်းခြင်း။ Storage Media ကို မပြည့်မစုံ Image ပြုလုပ်ခြင်း။
CSI Series ထဲမှာတော့ To get to the evidence, we might destroy the evidence လို့ဆိုပေမဲ့ Digital Forensics မှာ အဲဒီလိုပြုလုပ်လို့မရနိုင်ပါဘူး။ Digital Evidence ဟာ ပျက်စီးလွယ်ပါတယ်။ ရည်ရွယ်ချက်ရှိရှိ သို့မဟုတ် မရည်ရွယ်ပဲနဲ့လဲ ပျက်စီးနိုင်ပါတယ်။
Fast-Changing Nature လို့သတ်မှတ်ပါတယ်။ Changes က Acquisition, Analysis, Transfer, Present လုပ်တဲ့ အဆင့်တိုင်းလိုလိုမှာ ပျက်စီးနိုင်ပါတယ်။
Investigator က Evidence မပျက်စီးအောင် ကိုယ်တွယ်စစ်ဆေးဖို့အတွက် တာ၀န်ရှိပါတယ်။
တွေရှိတဲ့ Evidence data နဲ့ ပြောင်းလဲပြင်ဆင်ခြင်း မရှိဘူးဆိုတာကို အာမခံရမှာဖြစ်ပါတယ်။
Acquisition Phase ကို စနစ်တကျ ဂရုစိုက်ပြီးလုပ်သင့်ပါတယ်။ တစ်စုံတစ်ခုမှားယွင်းရင် ရရှိလာတဲ့ Results တွေ ကွဲပြားမှာဖြစ်ပါတယ်။
ဥပမာ Investigator က Acquisition လုပ်နေရင်းနဲ့ မပြီးခင်မှာ File တစ်ခုကို ဖွင့်ကြည့်ရင် ဖွင့်ကြည့်တဲ့ file ရဲ့ MAC (Modified, Access ,Creation) အချိန်က ပြောင်းလဲသွားမှာဖြစ်ပါတယ်။ File ကို Last Access ပြုလုပ်သူက Suspect မဟုတ်ပဲ ကိုယ်ကိုယ်တိုင် ဖြစ်သွားပါမယ်။
အခြားအရေးကြီးတဲ့အချက်ကတော့ First Responder က Crime Scene မှာ Digital Devices နား လူမကပ်စေဖို့ပဲ ဖြစ်ပါတယ်။ နောက်ထပ်လုပ်ဆောင်ရမှာကတော့
Running ဖြစ်နေတဲ့ System ဆိုရင် Screen ပေါ်မှာ ပေါ်နေသမျှ ဖွင့်ထားသမျှကို မှတ်တမ်းတင်ရန်ဖြစ်ပါတယ်။နောက်တစ်ခုက Ram imgae Capture ယူဖို့ဖြစ်ပါတယ်။ ဒါမှ Running ဖြစ်နေစဉ်မှာ Suspect က ဘာတွေလုပ်ထားတယ် ဘာတွေ ဖြစ်ခဲ့တယ်ဆိုတာကို သိနိုင်မှာ ဖြစ်ပါတယ်။
(Acquisition အဆင့်တွေကို ပိုမို ပြည့်စုံအောင် ပုံနဲ့ တစ်ကွ Step By Step 2019 ခုနှစ်ကတည်းက Vlog မှာ ဖော်ပြထားပြီးသား ဖြစ်ပါတယ်။
eCDFP မှာ Acquisition လို့သုံးနှုန်းပါတယ်။ နောက်ထပ် Evidence Seizure လို့လဲ သုံးနှုန်းပါတယ်။) Evidence ကို Forensics Image (Forensically Image) ပြုလုပ်တာကို Acquisition လို့သုံးနှုန်းတာက ပိုအဆင်ပြေပါတယ်။( Evidence Seizure ကပိုမှန်ပေမဲ့ Course အတိုင်း Acquisition လို့ပဲသုံးနှုန်းပါမည်။)
System Running ဖြစ်နေစဉ်မှာ Power မပြတ်စေဖို့ဂရုစိုက်ရမှာဖြစ်ပါတယ်။ Photo Or Ram Capture ခုလုပ်နေတုန်း အသုံး၀င်နိုင်မဲ့ Artifacts တွေမပျက်စီးစေရန်ဖြစ်ပါတယ်။
(Incident Response, Malwares Analysis အဆင့်မှာလဲ Ram Acquisition အဆင့်တွေပါ၀င်ပါတယ်။)
System Running ဖြစ်နေစဉ် တစ်ခုသတိထားရမှာ
Wipe or Format ပြုလုပ်နေလား မနေဘူးလားဆိုတာပါပဲ။ အကယ်လို့ ပြုလုပ်နေတယ်ဆိုရင် အနီးစပ်ဆုံး ပါဝါပိတ်စေမဲ့ Power Source ကို ချက်ချင်းဆွဲဖြုတ်ရမှာ ဖြစ်ပါတယ်။
Device က ပါဝါပိတ်နေမယ်ဆိုရင် Acquisition လုပ်ရတာပိုမိုလွယ်ကူပါတယ်။ လုပ်ရမဲ့အဆင့်တွေကတော့
Leave the Device Power Off
Put the evidence In container or bags
Seal with tape
Write on the tape.
Tape ပေါ်မှာစာရေးတာက တစ်ယောက်ယောက် ဖောက်ကြည့်မယ်ဆိုရင် သိသာစေဖို့ဖြစ်ပါတယ်။ နောက်ဆုံးမှာ Evidence device က Seal လုပ်ထားတဲ့ ဘူး သို့မဟုတ် အိတ်ထဲကို Analysis လုပ်ဖို့အတွက် ရောက်ရှိသွားပါပြီ။ ထည့်တဲ့အိတ်ကို အလွယ်တစ်ကူ ဖွင့်လို့မရအောင် သတိထားရပါမယ်။ Acquisition ပြုလုပ်တဲ့ Step By Step အလိုက် Documents ပြုလုပ်ထားပြီး ဆက်စပ်တဲ့ Digital Devices , important Note , etc စတာတွေကို ရှာဖွေရမှာဖြစ်ပါတယ်။
Comments