eCDFP (Introduction to Digital Forensics ) - Part-6
Major Concepts
Digital Forensics နဲ့သတ်သတ်ပြီး အဓိက နာလည်းသဘောပေါက်ရမဲ့ အချက်များကို ဖော်ပြထားပါသည်။
Commingling or Contamination
(Vlog တွင် Digital Forensics Lab Guidelines အကြောင်း အသေးစိတ် ရေးသားထားပါတယ်။)
Digital Forensics Image ပြုလုပ်ရာတွင် Copy လုပ်မဲ့ Storage ထဲတွင် data များမရှိစေရ ။ ယခင် ယခု data များပေါင်းစပ်ကုန်မှာစိုးတဲ့ အတွက်ဖြစ်ပါတယ်။Storeage အသစ် ဒါမှမဟုတ် Storage ကို Forensics Wipe ပြုလုပ်ရမှာ ဖြစ်ပါတယ်။ Image ပြုလုပ်တဲ့ Storage ထဲကို အခြာသော data တွေကူယူခြင်မပြုလုပ်ရပါဘူ။ သီသန့်ထားရှိပြီး Forensics Image အတွက်သာ သုံးစွဲရပါမယ်။Documents ပြုလုပ်ရာမှာ သီသန့်ပြုလုပ်ရမှာဖြစ်ပြီးCase နဲ့ ဆက်နွယ်နေတဲ့ Digital Devices မျာကို သေချာစွာ မှန်ကန်စွာ Documents ပြုလုပ်ရပါမည်။
example - Laptop + External HD Case ကတစ်ခုတည်းကလာတယ်။ ဒါဆိုရင် laptop image ရော External HD ရဲ့ Image ရော Tools တစ်ခုထဲမှာ ပေါင်းစစ်ရင်ရတယ်။ Commercial Tools တွေမှာ Advance Function တွေပါတဲ့ အတွက် လူသက်သာတယ်။ မြင်သာတယ်။
ပြီးရင် သုံးနှုန်းတဲ့ အသုံးအနှုန်းတွေက ရှင်းလင်းပြီး ရောထွေးမှုမရှိစေရန် ဖြစ်ပါတယ်။ ဥပမာ Forensically Sound ဆိုရင် သူက Scientific Methods အရ Digital Forensics Methodology အရ မူရင်း Analysis လုပ်ရာတွင် မူရင်း Storage ပျက်စီးခြင်းမဖြစ်စေရန်အလို့ငှာ၊Evidence ကို မပျက်စီးပဲ Court တွင် တင်ပြနိုင်ဖို့အတွက် မူရင်း Storage Media အား Bit By Bit Copy ပြုလုပ်ခြင်း ဆိုပြီး မြန်မာလိုပြန်ရမယ်။ ဒါတောင် English ဝေါဟာရ ညှပ်သုံးလို့ရသေးတယ်။Bit by bit copy နဲ့ ၊Copy ကူးယူတာက အရမ်း ကွာသေးတယ်။ တစ်ကယ်တော့ မပြန်တတ်ဘူး မြန်မာလို
အချို့သော အကိုးအကားတွေ ဖော်ပြထားတာတွေကိုသတိထားပြီး Analysis လုပ်ရာတွင်သုံးစွဲဖို့ ဖြစ်ပါတယ်။
Analysis လုပ်တဲ့ Evidence က ဥပဒေအရ လက်ခံနိုင်အောင် တရား၀င် ဖြစ်ရပါမယ်။ Admissibility ပေါ့။
Relevant
Case နဲ့ ပတ်သတ်ပြီး Approve , disapprove လုပ်နိုင်တဲ့အထိ ဆီလျှောက်ဆက်နွယ်မှုရှိရမယ်။
Reliable
Analysis လုပ်ရာမှာ authenticity and Objectivity ရှိရမယ်။ authenticity ကတော့ စပြီး Evidence ကို Seizure လုပ်ကတည်းကနေ Analysis Phase, Chian Of Custody တွေမှာမှန်ကန်မှုရှိမရှိ။ Objectivity ထင်ရှားစွာ ပြနိုင်ရမယ်။ ဒါကြောင့် ဒါဖြစ်တယ်။ အဲလိုမဟုတ်ပဲ ဒါကြောင့် ဒီလိုတော့ ဖြစ်နိုင်တယ် ဟိုလိုတော့ ဖြစ်နိုင်မယ် ပြောလို့မရ။ Seziure လုပ်တဲ့ အချိန်မှာလဲ Legal ကျဖို့လိုအပ်ပါတယ်။ ဒါတွေက Legal Issues တွေဖြစ်ပါတယ်။
(ကြားထဲကနေ လူတွေ လိမ်မှာ မသမာမှုလုပ်မှာစိုးတဲ့အတွက် Standard , Rules, SOP တွေထားခြင်း ဖြစပါတယ်။)Technical View အရကြည့်မယ်ဆိုရင် Admissibility ဖြစ်ဖို့ Authenticity ဖြစ်ဖို့လိုပါတယ်။
Court မှာ လက်ခံဖို့ လိုအပ်တဲ့ အချက်တွေက
- Credit ဖြစ်တဲ့ Scientific Methods ကိုပဲ Analysis အဆင့်မှာ အသုံးပြုရမည်။
- Investigator က သတ်မှတ်တဲ့ အရည်အချင်းကျွမ်းကျင်မှု ရှိရမည်။
- အခြား Lab မှာပဲ စစ်စစ် Function တူပြီး နာမည်မတူတဲ့ Digital Forensics Tools နဲ့ စစ်ရင်လဲ Results တူရမည်။
Chain Of Custody
Seizure ကနေ Forensics Lab , Analysis လုပ်တဲ့အဆင့် ၊ အဲကနေ Court ရောက်တဲ့အထိ စနစ်တကျ မှန်မှန် ကန်ကန် ဖြစ်ရမည်။
Chain Of Custody Form မှာ ပါ၀င်တာတွေကတော့
- Seizure လုပ်တဲ့ Evidence
- ဘယ်လို Seizure လုပ်သလဲ
- Seizure လုပ်တဲ့ အချိန်
- Seizure လုပ်တဲ့ လူရဲ့ အမည်
- Evidence ကို ဘယ်မှာ သိမ်းသလဲ
- Seziure လုပ်ပြီး ဘယိလိုမျိုးတွေ Device Device အပေါ်လုပ်သေးလဲ
Digital Evidence ကို DF Tool ကနေ ကြည့်တဲ့အချိန်မှာ Tools ကနေပြတဲ့ Artifacts တွေကိုမြင်ရပါမယ်။
မူရင်း data ထက် Tools ကပြတာကိုပဲ တွေ့ရမှာ ဖြစ်ပါတယ်။ လူကသာ လိမ်ချင်လိမ်မယ် Digital Evidence ကမလိမ်ပါဘူး။ ဒါပေမဲ့ ကိုယ်သုံးတဲ့ Tools က အမှန်ကိုဖော်ပြသလား Toolsက bug တွေဘာတွေမရှိပဲ အမှန်အတိုင်းဖော်ပြရဲ့လား။
Toolsက အမှန်အတိုင်း အမြဲတမ်း အမှန်ကို မဖော်ပြနိုင်ပါ။ Tools က ထုတ်ပြတဲ့ အဖြေက ဘယ်ကရမှန်းမသိ ဘယ်ကနေ ဘယ်လိုပေါ်လာမှန်းမသိ ဖြစ်တတ်ပါတယ်။
ဘယ်လိုရှင်းပြရမလဲ မသိတဲ့ အထိဖြစ်တတ်ပါတယ်။
ဒါက Abstraction Layer ကြောင့်ဖြစ်တာပါ။ တကယ့်အချက်အလက်က Device ထဲမှာ Raw Format (bits)အနေနဲ့ ရှိနေတာဖြစ်ပါတယ်။ လူသာမန် မျက်စိနဲ့ မမြင်နိုင်ပါဘူး။ ဒါကို လူဖတ်လို့ရအောင် Tools ကနေပြောင်းလဲတဲ့ အခါမှာ Error တွေရှိလာပါတယ်။
အချို့အရာတွေက လူကိုယ်တိုင် Manually လုပ်ရပါတယ်။ ဘာကြောင့် San လိုမျိုး Course တွေဈေးကြီးတာ။ San ကနေ Poster ,Cheat sheet တွေထုတ်ရတာ ဒါကြောင့်ပါ။
ဒါတွေကို ရှောင်ရှားနိုင်ဖို့ ကိုယ်က ဘာကို input သွင်းမယ် ကိုယ်က ဘာကို ရှာချင်တယ် Tools က ဘယ်လိုလုပ်နိုင်တယ်ဆိုတာကို သိရမှယ ဖြစ်ပါတယ်။
လူတွေက ကွန်ပျူတာထဲက 1-0 တွေထက် Presentation Layer ကနေ
ဖော်ပြတာကိုပဲ ပိုနားလည်ပါတယ်။ ဒါပေမဲ့ Investigator က အကုန်နားလည်မှ အဆင်ပြေပါမယ်။ ဥပမာ Photo Jpeg file ကို 10-01 တွေနဲ့ သွားပြလို့ ဘယ်သူမှ နားမလည်ပါ။ Jpeg ရဲ့ Header Footer လောက်တော့ သိထားပြီး file Carving လုပ်ရပါမယ်။
အခုဆိုရင် Digital Forensics နဲ့ပတ်သတ်နဲ့ Scientific Methods digital Forensics Methodology တွေ Phase and Producer တွေ Challenge နဲ့ Digital Forensics Tools တွေနဲ့ ပတ်သတ်ပြီး ဖြစ်တတ်တာတွေကို အသင့်အတင့် နားလည်ပြီလို့ ထင်ပါတယ်။
Comments