eCDFP (Introduction to Digital Forensics ) - Part-4

Digital Forensics Lifecycle

Analysis

Analysis အဆင့်မစတင်မှီ အရေးကြီးဆုံးသော အချက်မှာ Device  အား လုံခြုံစိတ်ချစွာထားသိုရမည်ဖြစ်ပါသည်။ Analysis မစတင်မှီ Evidence ရဲ့ Storage Media  အား Forensics Image ပြုလုပ်ရမည်ဖြစ်ပါသည်။ ဒါပေမဲ့ Forensics Image ပြုလုပ်လို့မရသော အခါများရှိနိုင်ပါသည်။

Example - Mobile Forensics တွင် physical Extraction (Mobile အတွင်းရှိ Storage ကိုရယူခြင်း)

မှလွဲပြီး ကျန်သော Manual,  Logical , File System  Extraction နည်းလမ်းများတွင် Forensics Image မရယူနိုင်ပါ။Analysis Results ကောင်းစွာ ရရှိဖို့အတွက် Analyais ပြုလုပ်တဲ့ အဆင့်တိုင်းမှာ မှန်ကန်တိကျဖို့ အရေးကြီးပါတယ်။ တစ်ဖက်ရှေ့နေ မေးခွန်းမေးလို့ရအောင် ယိုပေါက်ဟာကွက်မရှိစေရပါဘူး။

Acquisition Phase (Evidence Seizure Phase) မှာလိုပဲ Analysis ပြုလုပ်တဲ့နေရာမှာ အသုံးပြုတဲ့ Tools တွေ Analysis ပြုလုပ်တဲ့ အဆင့်တွေကို Documents ပြုလုပ်ထားရပါမည်။ 

(Commercial Tools တွေမှာ Analysis လုပ်ဖို့ Forensics Image ထည့်လိုက်တဲ့အချိန်ကနေစပြီး 

Investigator လုပ်သမျှ Forensics Image ကနေ Read only နဲ့ ဖွင့်ကြည့်သမျှကို Log အနေနဲ့ သိမ်းဆည်းထားပါသည်။)

DF Field က နည်းပညာတိုးတက်လာတာနဲ့အမျှ လျှင်မြန်စွာပြောင်းလဲလာတာကြောင့် 

- မျက်ခြေမပျက်လေ့လာမှု အမြဲတမ်းပြုလုပ်သင့်ပါသည်။ 

Example - အခုအခါ Window 11 စပြီးအသုံးပြုတဲ့အချိန်ဖြစ်လို့ ဘာတွေထူးခြားသလဲဆိုတာကိုလေ့လာသင့်ပါသည်။ သူ့မှာ Forensics Challenge ‌တွေရှိလာနိုင်သလား စသည်ဖြင့်ပေါ့။

(Window 11 မှာ TPM + Bitlocker အကြောင်းရေးသားပြီး ဖြစ်ပါသည်။)

- ကိုယ်မကျွမ်းကျင်တဲ့ နယ်ပယ် အကြောင်းအရာကို Investigation လုပ်ရလျှင် ကျွမ်းကျင်သူကို မေးမြန်းရပါမည်။ 

Hypothesis အရ Forensics Analysis ပြုလုပ်တဲ့အချိန် ကြုံတွေလာနိုင်တာတွေ

Inculpatory Evidence - Hypothesis ကိုအထောက်အကူပြုတာ

Exculpatory Evidence - Hypothesis ကို အထောက်အကူမပြုတာ 

Tampering Evidence - Evidence ပျက်စီးအောင် ဖျက်ဆီးထားတာ 

Presentation 

Investigation ရဲ့နောက်ဆုံး Phase ဖြစ်တဲ့ Presentation အဆင့်မှာပြုလုပ်ရမှာကတော့ 

- Analysis လုပ်ရာမှာတွေ့ရှိတဲ့ Results ကို တွေ့ရှိတဲ့ အချက်အလက်အပေါ်မူတည်ပြီးရေးသားခြင်း 

- အချက်အလက်တွေ့ရှိအောင် ဘယ်လို Analysis ပြုလုပ်တယ်ဆိုတဲ့ Step By Step အဆင့်နဲ့ ကိုယ်  အသုံးပြုတဲ့ Tools 

အတွေ့အကြုံအပေါ်မူတည်ပြီး ကိုယ်တွေ့ရှိတဲ့ Evidence က လက်ရှိ Investigation အပေါ် ဘယ်လိုအကျိုးသက်ရောက်မှုရှိနိုင်သလဲဆိုတာကို ရှင်းလင်းပြသနိုင်ရမည်ဖြစ်ပါတယ်။ ဂျူရီးစနစ်ကျင့်သုံးတဲ့ Court တွေမှာတော့ သာမာန်လူနားလည်နိုင်လောက်တဲ့အသုံးအနှုန်းမျိုးနဲ့ ရှင်းလင်းပြရမှာဖြစ်ပါတယ်။

Analysis Steps, Tools, Evidence ဖြစ်မဖြစ်က ကျင့်သုံးတဲ့ ဥပဒေအလိုက်မတူညီတာကြောင့် အားလုံးကို Course ထဲမှာမပါ၀င်ပါဘူး။

Type and Source Digital Evidence

နည်းပညာက တိုးတက်လာနေတာကြောင့် digital evidence တွေက မျာပြားလာပါတယ် Case တစ်ခုနဲ့တစ်ခု Evidence တွေတူညီမှာ မဟုတ်ပါဘူး။

Example - Smart Watch 

Evidence device နဲ့ Evidence Source တွေအပေါ်မူတည်ပြီး ကိုက်ညီမဲ့ Analysis Tools တွေကိုရွေးချယ်ရပါမယ်။ window OS ရဲ့ Artifacts တွေကို Analysis လုပ်မယ်ဆိုရင် ကိုယ်သုံးမဲ့ Tools က Linux, Mac Os Analysis Tools တွေမဟုတ်ရပါဘူး။ ဆိုလိုချင်တာက window အတွက် Full Support ဖြစ်မဲ့ Tools ကိုရွေးချယ်သင့်တယ်လို့ပြောချင်တာပါ။ အခု Commercial Tools တွေက လူသုံးများတဲ့ Window Mac OS တို့ကို Multi Support ပေးနေပါပြီး။ Ram Dump Analysis အတွက်လဲ Support ပေးနေပါပြီ။

(Open Source သုံးမယ်ဆိုရင်လဲ ကောင်းတဲ့ Tools တွေရှိနေပါပြီ။ဥပမာ  Ram Analysis လုပ်တဲ့ Volatility ဆိုရင် Open Source ပါ။ ဒါပေမဲ့ Commercial Tools တွေမှာလဲ အဲဒါပဲသုံးထားတာပါ။ Command အစား Click ပဲကွာပါတယ်။ 

Active Data 

Operation System , Processor, ကနေ Create လုပ်ပြီးရလာတဲ့  data တွေ Web Browser, Mail Client, Scanner, Fax Printer Cach File email image documents

Archive and Backup Data 

Long term, disaster , data lose ဖြစ်မှာစိုးတဲ့ အတွက် သိမ်းဆည်းထားတဲ့ data များ။

Example - Cloud Storage, NAS, USB, 

အထက်ပါ data တွေက User က အချိန်မရွေး Access လုပ်လို့ရတဲ့ data တွေဖြစ်ပါတယ်။ အခြားဘက်က‌နေ ကြည့်ရင်တော့ Hidden လုပ်ထားလို့ ရနိုင်တဲ့ နေရာတွေ data တွေဖြစ်ပါတယ်။

Analysis ပြုလုပ်တဲ့ အချိန်မှာ hidden data တွေက အရေးပါလာပါတယ်။ အထူးသဖြင့် Suspect က နည်းပညာအကြောင်းနားလည်တဲ့သူဖြစ်ခဲ့ရင် ... Analysis လုပ်ပေမဲ့ မတွေ့ရင်  သူဘယ်နေရာတွေမှာထားနိုင်မလဲ သူဘာလုပ်နိုင်မလဲ Think Like Suspect

Hidden Data Type 

Metadata 

Data about data ဖြစ်ပါတယ်။ File ရဲ့ owner,  Modified Time , Access time, Create Time  တွေပါ၀င်ပါတယ်။

Residual Data 

Storage ပေါ်ကနေဖျက်ထားတဲ့ data တွေဖြစ်ပါတယ်။ ဖျက်ထားတဲ့ Storage Space နေရာကို new data ၀င်ရောက်မလာမချင်း Deleted Data က ရှိနေနိုင်ပါတယ်။ Must ဆိုတာထက် Might ပါ။ Delete Data ဆိုတာက Suspect က မလိုအပ်တဲ့အတွက် ဒါမှမဟုတ် Storage ထဲမှာ မရှိစေချင်တဲ့အတွက် Delete လုပ်တာဖြစ်ပါတယ်။ data Hidden လုပ်ဖို့အတွက် User ပထမဆုံးတွေးမှာက Delete ပါ။ ပြီးမှ အခြားနေရာမှာထားမလား က ဒုတိယပါ။ 

Replicant Data 

Data Lose မဖြစ်အောင် Temporary Copy လုပ်ထားတဲ့  data တွေဖြစ်ပါတယ်။ Word file တစ်ခုကိုဖွင့်ထားပြီး ကွန်ပျူတာကို Reset လုပ်ကြည့်ပါ။ Replicant Data တွေက Analysis လုပ်တဲ့နေရာမှာ အသုံး၀င်ပါတယ်။ Suspect ရဲ့ နောက်ဆုံးပြုလုပ်ခဲ့တာတွေကို တွေ့နိုင်လို့ ဖြစ်ပါတယ်။ 

Example Of Residual Data - Web Cache, Temporary Director, memory

Volatility

DF Investigator တစ်ယောက်အနေနဲ့ အဓိက စဉ်းစားရမှာက Volatility Nature အပေါ်မူတည်ပြီး ဘယ်လို data တွေကိုအရင်ဆုံး Collect လုပ်သင့်လဲဆိုတာပါပဲ။

Volatility ၂ မျိုးရှိပါတယ်။ Non- Volatile Data နဲ့ Volatile Data တို့ဖြစ်ပါတယ်။ 

Non- Volatile Data 

ကွန်ပျူတာ ပါဝါ ပိတ်သွားရင် မပျက်စီးပဲ ကျန်ခဲ့မဲ့ data တွေဖြစ်ပါတယ်။

Volatile Data 

RAM အတွင်းမှာရှိတဲ့ data တွေဖြစ်ပါတယ်။ Computer Power ပွင့်နေတဲ့အချိန်အတွင်းမှာသာရှိနေမဲ့ data တွေဖြစ်ပါတယ်။ ကွန်ပျူတာ ပါဝါ ပိတ်သွားရင် ပျောက်သွားနိုင်ပြီး Ram image Capture လုပ်လဖို့ Forensics Tools Run လိုက်ရင်လဲ Ram အတွင်းမှ Data အချို့ပြောင်းလဲသွားနိုင်ပါတယ်။ 

Digital Devices အမျိုးမျိုးကနေ အောက်ဖော်ပြပါ Data (Artifacts) တွေရရှိနိုင်ပါတယ်။ ဒါပေမဲ့ ကျန်တဲ့ Artifacts တွေလဲရှိပါသေးတယ်။ 

Image file, hidden file, software, Applications, deleted file, Encrypted file, hidden Partation, Keywords Search, 

ယခုသုံးစွဲနေကျ Digital Device အမျိုးမျိုး, Cloud Services , NAS, Network Device တွေထဲမှာ ရလာနိုင်မဲ့ Artifacts တွေ အဲဒီ Devices, Service , Network တွေ ဘယ်လိုအလုပ်လုပ်တယ်

နောက်ပေါ်လာတဲ့ Device တွေထဲက

ရနိုင်မဲ့ အချက်အလက်တွေ နဲ့ ဘယ်လို Analysis လုပ်ရမယ်ဆိုတာက Investigator က‌ အမြဲတမ်း လေ့လာနေရမှာ ဖြစ်ပါတယ်။ 

အ‌ပေါ်မှာ ဖော်ပြခဲ့သလိုပဲ Case တစ်ခုခြင်းစီမှာ မတူညီတဲ့ Device , Storage , တွေပါလာနိုင်ပါတယ်။ Investigator က အဲဒါတွေနဲ့ ရင်းနှီးကျွမ်း၀င်နေဖို့လိုအပ်ပါတယ်။ 

Device တွေဘယ်လို အလုပ်လုပ်တယ် data တွေကို ဘယ်လို ပုံစံနဲ့ Storage လုပ်ထားတယ်ဆိုတာကို သိရှိထားမှ မှန်ကန်တဲ့ Digital Forensics Tools ကိုရွေးချယ်နိုင်မှာ ဖြစ်ပါတယ်။ 

ကိုယ်နဲ့မရင်းနှီးတဲ့ Field မျိုးကို Analysis လုပ်ရတယ်ဆိုရင် ကျွမ်းကျင်သူကို မေးမြန်းပြီး Producer တွေမမှားအောင် မကျန်ခဲ့အောင် ပြုလုပ်မှသာ Analysis Results ပြည့်စုံမှာ ဖြစ်ပါတယ်။ 

Digital Evidence တွေမှာ ရှိရမဲ့ အချက်တွေကတော့

Admissibility - Accept in Court

Authenticity - Relevant to the case

Complete - No Missing Information 

ဥပဒေအရ လက်ခံနိုင်တဲ့ Evidence အမျိုးအစား၊ 

Case နဲ့ပတ်သတ်တဲ့ Evidence မျိုး၊ ပြောင်းလဲ ပြင်ဆင် ဖြည့်စွက်ခြင်းမပြုလုပ်ထားတဲ့ Evidence မျိုးဖြစ်ရမှာဖြစ်ပါတယ်။

Analysis Step 

Digital Forensics Analysis ဆိုတာက Scientific Methods တစ်ခုဖြစ်ပါတယ်။ Evidence Device တွေ

ကနေ အချက်အလက်တွေ စုစည်းခြင်း၊ ရလာတဲ့ အချက်အလက်တွေကနေ HyPothesis တည်ဆောက်ပြီး ရှင်းလင်းပြသနိုင်ရန်ပြင်ဆင်ခြင်း၊ သက်သေပြဖို့ စုစည်းထားတဲ့ အချက်အလက်တွေ‌ထဲကနေ ရယူခြင်းတို့ဖြစ်ပါတယ်။ Scientific Methods ကိုကျန်တဲ့ Field အများစုမှာလဲအသုံးပြုပြီး Digital Forensics Field မှာလဲ အသုံးချပါတယ်။ 

Prepare For Your Digital Forensics Analysis

Evidence Device မှာရှိတဲ့ Storage ကို Forensics Image ရယူဖို့ မူရင်း Storage နဲ့ ပမာဏတူတဲ့ Storage ကို Forensics Wipe ပြုလုပ်ရမှာ ဖြစ်ပါတယ်။

ဆိုလိုတာက Disk To Disk Acquisition  အတွက်ဆိုလိုတာဖြစ်ပါတယ်။

Disk to image အတွက်မလိုအပ်ပါ။ Acquisition အခန်းကျရင် ပိုရှင်းသွားပါလိမ့်မယ်။