eCDFP (Data Acquisition) - (Part -1)
Data Acquisition
ကျွန်တော်တို့ Information Security မှာလိုပဲ Digital Forensics လုပ်မယ်ဆိုရင် Investigator က အရင်ဆုံး Data တွေကို Collect လုပ်ရပါတယ်။ Investigator အနေနဲ့ လုပ်ငန်းခွင်မှာ Evidence နဲ့ပတ်သတ်တဲ့ System/Storage တွေကိုကိုင်တွယ်ရတာမျိုးရှိလာပါမယ်။ System/ Storage က Suspect သို့မဟုတ် Victim ရဲ့ ပစ္စည်းဖြစ်နိုင်ပါတယ်။ ကျွန်တော်တို့ အနေနဲ့ မူရင်း System/ Storage ကို ဥပဒေပိုင်းအရဆောင်ရွက်ရမှာဖြစ်တဲ့အတွက် System ကိုတိုက်ရိုက် Analysis မပြုလုပ်ပါ။
What Is Acquisition?
Acquisition ဆိုသည်မှာ Evidence Device တွေကို Forensics Copy ပြုလုပ်ခြင်းဖြစ်ပါတယ်။ Evidence Device တွေက (Hard Disk, USB, Etc …) တွေဖြစ်နိုင်ပါတယ်။
Investigator က Analysis ပြုလုပ်ရင်းကြုံတွေ့လာနိုင်တဲ့ ပြသာနာတွေကို ရှောင်ရှားနိုင်ဖို့ အတွက် သူ Analysis ပြုလုပ်ရတဲ့ Physical System မှာ တိုက်ရိုက်လုပ်ဆောင်ခြင်းမရှိသင့်ပါ။ ဒါကြောင့် Investigator တွေက သူတို့ စစ်ဆေးမဲ့ System ရဲ့ Forensics Image ကိုရယူပြီး Analysis ပြုလုပ်ပါတယ်။ Forensics Image က System Storage အကုန်လုံးလဲ ဖြစ်နိုင်ပါတယ်။ ဒါကြောင့် Data Acquisition က System/machine ကနေ Image ရယူတဲ့ လုပ်ငန်းစဉ်ဖြစ်ပါတယ်။
Why Do We Acquire?
Investigator ကနေ ဘာလို့ Suspect ရဲ့ စက်ကို တိုက်ရိုက် Aanlysis မပြလုပ်လုပ်ရတာလဲဆိုတဲ့ အကြောင်းအရင်းများစွာရှိပါတယ်။
- Analysis ပြုလုပ်နေစဉ်အတွင်း Evidence ပျက်စီးနိုင်ခြင်း။
- အချို့သော Case များတွင် တစ်ဖက်မှ Analysis ပြီးဆုံးတဲ့အချိန်အထိ Evidence ပစ္စည်းကို မထားခဲ့နိုင်ခြင်း။
- System Down Time မပေးတဲ့ နေရာတွေ ဒါမှမဟုတ် သယ်ယူဖို့မလွယ်ကူတဲ့ System တွေကို စစ်ဆေးရမည့် အချိန်။ Server ကြီးတစ်ခုလုံးကို lab ကို ယူလာပြီး စစ်ဆေးဖို့မလွယ်ကူပါဘူး။ (အခုအချိန်မှာတော့ Remote Acquisition နည်းလမ်းတွေရှိလာနေပါပြီ။)
- မူရင်း Storage/ System တစ်ခုထဲဆိုရင် သက်ဆိုင်ရာအဖွဲ့အလိုက် ဒါမှမဟုတ် စစ်ဆေးတဲ့သူတွေက တစ်ပြိုင်ထဲ စစ်ဆေးဖို့မဖြစ်နိုင်ခြင်း။
ပုံမှာဆိုရင် System/Storage တစ်ခုထဲကိုပဲ A က Video File ကို စစ်ဆေးချင်တယ်။ B Image File ကို စစ်ဆေးနိုင်ချင်တယ်။ အဲလိုအနေအထားဆိုရင် Acquisition မပြုလုပ်ပဲ Analysis ပြုလုပ်မယ်ဆိုရင် မလွယ်ကူနိုင်ပါ။ (အခုနောက်ပိုင်းမှာတော့ Centralized နေရာမှာ Forensics Image ကိုထားပြီး လူအများကနေ ကိုယ်နဲသက်ဆိုင်ရာ အပိုင်းအလိုက်စစ်ဆေးတာတွေလဲလုပ်နေကြပါပြီ။)
Forensics Image ပြုလုပ်တဲ့ အပိုင်းကိုမသွားခင်မှာ သတိထားရမဲ့ အချက်တွေကိုကို မှတ်ထားဖို့လိုပါတယ်။ မူရင်း System/Storage ကို တိုက်ရိုက် Analysis မလုပ်ဖို့နဲ့ ပထမ Forensics Image ကို Analysis မလုပ်ဖို့သတိပေးလိုပါတယ်။ ဘာလို့လဲဆိုရင် ပထမဆုံး Forensics Image က Verify ဖြစ်တဲ့အတွက်ကြောင့်ဖြစ်ပါတယ်။ Verify အကြောင်းကို နောက်ပိုင်းမှာ ရှင်းလင်းသွားပါမယ်။ နောက်ပြီး ပထမဆုံး Forensics Image ကို ပြုပြင်ပြောင်းလဲတာတွေမဖြစ်အောင်လဲ Protect ပြုလုပ်ရပါမယ်။ (အချို့ Methodology တွေမှာ Forensics Image ကို ၂ ခုယူခိုင်းပါတယ်။ Analysis ပြုလုပ်နေရင်း တစ်ခုခုဖြစ်သွားရင် နောက်တစ်ခုနဲ့ အရန်သင့်ပြုလုပ်နိုင်အောင်ဖြစ်ပါတယ်။ Commercial Imaging Tools တွေမှာ Image စယူကတည်းက Forensics Image ၂ ခု တစ်ခါတည်းယူနိုင်ပါတယ်။) (ဒါတွေကို ရတဲ့အချိန်နဲ့ Image ယူတဲ့ Storage Size အပေါ်လဲမူတည်ပြီး လုပ်ဆောင်နိုင်ပါတယ်။)
Volatility
Volatility ဆိုတာက Data တွေရဲ့ ပြောင်းလဲနိုင်မှု၊ သို့မဟုတှ်Storage ပေါ်မှာ သိမ်းထားတဲ့ Data တွေ ဘယ်လိုအခြေအနေမှာ ပြောင်းလဲနိုင် ပျက်စီးနိုင်သလဲ ဆိုတာဖြစ်ပါတယ်။ ဥပမာ RAM ပေါ်မှာ သိမ်းထားတဲ့ Data တွေက Hard Disk ပေါ်မှာသိမ်းထားတဲ့ Data တွေထက်ပိုပြီး ပျက်စီးနိုင်ပါတယ်။ Restart/ Power Off တာနဲ့ RAM ပေါ်က Data တွေက Hard Disk မှာ သိမ်းထားတဲ့ Data တွေလိုမဟုတ်ပဲ ပျက်စီးသွားပါတယ်။
Order Of Volatility
Investigator တစ်ယောက်က Device ကနေ Evidence Acquire လုပ်တော့မယ်ဆိုရင် Order Of Volatility
ကိုအရင်ဆုံးစဉ်းစားသင့်ပါတယ်။ အပေါ်က ဥပမာအတိုင်းပဲ RAM ပေါ်က Data တွေက Hard Disk မှာ သိမ်းထားတဲ့ Data တွေထက်ပိုပြီး ပျက်စီးနိုင်ပါတယ်။ ပုံတွင် Device ပေါ်မှာ Volatility ဖြစ်နိုင်မှု အနည်းအများအပေါ်မူတည်ပြီး ပြသထားပါတယ်။
CPU ထဲမက Register တွေက ပိုပြီး assembly instruction တွေကြောင့် ပျက်စီးမှုအများဆုံးဖြစ်နိုင်ပါတယ်။ ပျက်စီးနိုင်မှုအနည်းဆုံးက HDD and External Storage တွေပဲဖြစ်ပါတယ်။ Evidence Acquire ပြုလုပ်တဲ့အချိန်မှာ Order Of Volatility အတိုင်းဦးစားပေးပြီး Acquire လုပ်သင့်ပါတယ်။ (Digital Forensics မှာတော့ RAM – Storage – External Storage အစဉ်အတိုင်းသွားမှာ ဖြစ်ပါတယ်။)
Type Of Data Acquisition
Data Acquisition နည်းလမ်းမှာ ၂ မျိုးရှိပါတယ်။
- Static Acquisition
- Dynamic / Live Acquisition
နည်းလမ်း 2 ခုထဲကမှ Order Of Volatility နဲ့ Case အပေါ်မူတည်ပြီး ဆောင်ရွက်ရမှာ ဖြစ်ပါတယ်။
Static Acquisition
Non – Volatile Data တွေကို Acquire လုပ်ခြင်း။ System Reboot/Shutdown ဖြစ်သွားလျှင် မပျက်စီးပဲ ကျန်နေမဲ့ Data တွေကို Acquire ပြုလုပ်ခြင်း ဖြစ်ပါတယ်။ ဥပမာ Hard Disk, USB
Dynamic / Live Acquisition
System Reboot/Shutdown ကျသွားရင် ပျက်စီးသွားနိုင်တဲ့ Data တွေကို System Live ဖြစ်နေတဲ့ အချိန်မှာ Acquire ပြုလုပ်တာ ဖြစ်ပါတယ်။ Live ဖြစ်နေတဲ့အချိန် ရရှိနိုင်မဲ့ Data တွေက ပိုပြီး အရေးကြီးတဲ့အချိန်မှာ ပြုလုပ်ခြင်းဖြစ်ပါတယ်။ ဥပမာ Incident Response ။ (Live ဖြစ်နေရင် ရနိုင်မဲ့ Data တွေ Bitlocker နဲ့ပတ်သတ်တာတွကို ရေးသားပြီး ဖြစ်ပါတယ်။)
ဒါပေမဲ့ Static Acquisition ပြုလုပ်တဲ့အခါမှာလဲ Dynamic / Live Acquisition မှာမရခဲ့တဲ့ Memory File တွေကို ရရှိနိုင်ပါတယ်။ (ဥပမာ။ Pagefile.sys hyberfil.sys) (ဒီအကြောင်းတွေကိုလဲ ရေးသားပြီး ဖြစ်ပါတယ်။)
Dead Acquisition
တစ်စုံတစ်ယောက်က Operation System မှာ Malwares/ Rootkits တွေကို Install ပြုလုပ်ထားတဲ့အချိန်မှာ Operation System က မယုံကြည်ရတဲ့အတွက် OS Data တွေမပါပဲ ကျန်တဲ့ Data တွေကို Acquire ပြုလုပ်ခြင်း ဖြစ်ပါတယ်။
Storage Formats
ကျွန်တော်တို့ Image ရယူမည့် အချိန်မှာ စဉ်းစားရမဲ့ အချက်က ကိုယ်ယူမဲ့ Forensics Image က ဘယ်လို Image File Type မျိုးနဲ့ရယူရမလဲ Forensics Image ကိုဘယ်နေရာမှာ သိမ်းမလဲဆိုတာပဲ ဖြစ်ပါတယ်။ အသုံးပြုတဲ့ Imaging Tools အပေါ်မူတည်ပြီး Forensics Image ကို Read, Write, Analysis ပြုလုပ်တာ မှာ ကွာခြားနိုင်ပါတယ်။
Raw Format
Forensics Image ပြုလုပ်တဲ့နေရမှာ လွယ်ကူရိုးရှင်းတဲ့နည်လမ်းဖြစ်ပါတယ်။ RAW ဆိုတာက The data is read from the source device’s disk written on the file ဖြစ်ပါတယ်။ Raw Format ပြုလုပ်ပြီး Mount and analysis ပြုလုပ်တာကို နောက်ပိုင်းမှ ပြုလုပ်နိုင်ပါတယ်။
Raw Format က Data Transfer Rate မြန်ဆန်သလို Forensics Tools တော်တော်များများမှာလဲ အသုံးပြုနိုင်ပါတယ်။ မတူညီတဲ့ Forensics Tools တွေနဲ့ တွဲဖက်အသုံးပြုနိုင်ပြီး ရလာတဲ့ Result ကို Cross Check လုပ်လို့လွယ်ကူပါတယ်။ (ဥပမာ Encase မှာ Raw Format ကို ထည့်သွင်းပြီး Analysis ရလာတဲ့ Result နဲ့ Autopsy မှာ Raw Format ကို ထည့်သွင်းပြီးရလာတဲ့ Result ကို နှိုင်းယှဉ်ကြည့်ခြင်း။)
အားနည်းချက်ကတော့ Raw Format က Data Read တဲ့နေရာမှာ Disk ပေါ်က Error အချို့ကို မဖော်ပြ မပြင်ဆင်ပါဘူး။ ဒါကတော့ ကောင်းတာနဲ့ဆိုးတာကို စဉ်းစားရမဲ့ အချက်ပါ။ နောက်တစ်ခုက Image File သိမ်းဖို့ နေရာလုံလောက်မှုရှိဖို့ပါ။ Disk က 100 GB ဆိုရင် Forensics Image ကလဲ 100 GB ဖြစ်မှာပါ။ Imaginge ပြုလုပ်တဲ့အခါမှာ Forensics Image File ကို Handle လုပ်ရတာလွယ်အောင် ခွဲထုတ်တာ လုပ်လို့ရပါတယ်။ ဥပမာ 100 GB ရှိတဲ့ Image File မလုပ်ပဲ 10 GB ရှိတဲ့ Image File 10 ခု ခွဲထုတ်တာမျိုးပါ။
Raw Format ပြုလုပ်တဲ့နေရာမှာ Open Source ဖြစ်ပြီး နာမည်ကြီးတဲ့ Tools ကတော့ DD Tool ပဲ ဖြစ်ပါတယ်။ Image File ရော Image File ကို ခွဲထုတ်တာတွေပါ ပြုလုပ်လို့ရပါတယ်။ Linux မှာ built-in ပါဝင်ပါတယ်။ Window အတွက်ဆိုရင်တော့ Raw Write Studio ဖြစ်ပါတယ်။
DD Tools အသုံးပြုပုံက ရိုးရှင်းပါတယ်။
dd if = [Source Device] of=[Destination]
dd if=/dev/sda of=/share/image.img
dd if = [Source Device] | split –b <Split Size> – <File Name>
dd if=/dev/sda | split -b 1000m – image.img
DD မှာ တစ်ခုရှိတာက အခြား Imaging Tools တွေလို Imaging လုပ်တဲ့အချက်အလက်များဖြစ်တဲ့ headers, metadata စတဲ့ အချက်အလက်တွေမပါပါဘူး။ Bad Sector တွေကိုလဲ မဖတ်နိုင်ပါဘူး။
Proprietary
Commercial Tools တော်တော်များများမှာတော့ Imaging ပြုလုပ်တာကို သူတို့ရဲ့ ကိုယ်ပိုင် Format နဲ့ ပြုလုပ်ပါတယ်။ ရလာတဲ့ Forensics Image Format ကိုလဲ သူတို့ရဲ့ကိုယ်ပိုင် Analysis Tool နဲ့သာ Analysis ပြုလုပ်လို့ရပါတယ်။ အခုတော်တော်များများမှာတော့ Cross Platform အသုံးပြုလို့ရနေပါပြီ။
Commercial Tools တွေက Forensics Image က Raw Format ထက်ပိုပြီးပြည့်စုံကောင်းမွန်ပါတယ်။ Imaging and Analysis ပြုလုပ်ရာမှာ နှေးပေးမဲ့ Result အပိုင်းမှာ ပိုမိုကောင်းမွန်ပါတယ်။
Proprietary တွေရဲ့အားသာချက်ကတော့
- Space သိပ်မယူပါဘူး။
- Case နဲ့ပတ်သတ်တဲ့ Metadata တွေပါဝင်ပါတယ်။
- Single File အနေနဲ့ Data တွေကို သိမ်းဆည်းပါတယ်။ (Case Number. Device Name . etc ..)
- Commercial Tools တွေမှာ အပြည့်အစုံပါဝင်တာကြောင့် Inverstigator ကနေ တစ်နေရာထဲမှာ Imaging, Analysis, Report လုပ်တာတွေပြုလုပ် လို့ရပါတယ်။
Proprietary တွေရဲ့အားနည်းချက်တွေကတော့
- Compression, Decompression, Encoding, Decoding Process ကြောင့် နှေးကွေးပါတယ်။
Commercial Forensics Image Examples
Encase image formats (E01 or Expert Witness Files (EWF), SMART, and AD1) and AccessData image formats (.AD1)
Advanced Forensics Format (AFF)
Advanced Forensics Format (AFF) က Basic Technology (Auopsy) ကနေပြုလုပ်ထားတဲ့Open Source Forensics Image တစ်ခုပဲဖြစ်ပါတယ်။ Disk Space သက်သာပြီး Investigator က Custom Field တွေ အပ်လို့ရပါတယ်။ Image or Separate file တွေမှာ metadata တွေ အပ်လို့ရပါတယ်။ AFF ကို Open Source နဲ့ အခြား Commercial Tools တွေမှာပါ Support ပေးပါတယ်။ AFF က Device Storage ကနေ 16 MB ရှိတဲ့ Block (Page) တွေကို Copy ပြုလုပ်တာဖြစ်ပါတယ်။ (SSD အတွက်အဓိက ထားပြီး အသုံးပြုပါတယ်။ )
အရင်က AFF Version အဟောင်းတွေမှာ ပြသာနာ နည်းနည်းရှိပါတယ်။ Live ဖြစ်နေတဲ့ Data တွေကို Collect ပြုလုပ်လို့မရခြင်း Encryption မပါဝင်ခြင်း၊ 16 MB Page Size ကြောင့် NTFS Metadata တွေကို Collect ပြုလုပ်လို့မရခြင်းတို့ဖြစ်ပါတယ်။ နောက်ပိုင်း Version တွေမှာ ဒီလိုပြသာနာတွေမရှိတော့ပါ။
Data Acquisition And Copy
Data Acquisition ပြုလုပ်တယ်ဆိုတာ Copy ပြုလုပ်တာမဟုတ်ပါဘူး။ အဓိကကွဲပြားခြားနားချက်တွေက
Imaging – Device Storage တစ်ခုလုံးကို File အဖြစ်ပြုလုပ်တာဖြစ်ပါတယ်။
Copying – အသုံးဝင်မဲ့ Data အချို့ကိုပဲ Source Device ကနေ ကူးယူတာဖြစ်ပါတယ်။
ဥပမာ - တစ်ကယ်လို့Hard Disk တစ်လုံးမှာ 100 ရာနှုန်းရှိခဲ့ရင် 60 ရာနှုန်းကိုပဲ အသုံးပြုနေတာဖြစ်ပြီး ကျန်တဲ့ 40 ရာနှုန်းက Delete File , Random Bytes, Unused Part တွေပဲဖြစ်ပါတယ်။ Imaging ပြုလုပ်တာက Storage တစ်ခုလုံးမှာရှိတဲ့ အသုံးပြုတဲ့ အပိုင်းရော အသုံးမပြုတဲ့ အပိုင်းကိုရော ပြုလုပ်တာဖြစ်ပါတယ်။
Copying ပြုလုပ်တာက အသုံးပြုထားတဲ့ 60 ရာနှုန်းကိုသာ ကူးယူတာဖြစ်ပါတယ်။
Comments