eCDFP (Data Acquisition) (Part-2)

Acquisition Methods

Disk and Image 

Forensics Image  ကိုအသုံးပြုတာကတော့ Image ကို သိမ်းထားဖို့နေရာရှိရင် အသုံးပြုလို့ ပိုပြီးကောင်း ပါတယ်။ ဒါပေမဲ့ Image ပြုလုပ်နေစဉ် Bug သို့မဟုတ် Error တွေရှိတတ်တာကြောင့် Forensics Image   ကိုအမြဲတမ်းအသုံးပြုလို့မရနိုင်ပါဘူး။ ဒါကြောင့် Disk To Disk Clone Method ကို အသုံးပြုသင့်ရင် အသုံးပြုရပါလိမ့်မယ်။ 

Spare and Logical Disk 

Spare Acquisition , Logical Disk Acquisition နည်းလမ်း ၂ ခုစလုံးက အချိန်အကန့် အသတ်ရှိတဲ့ အခါမျိုးမှာဆိုရင် အသုံးပြုဖို့ အသင့်တော်ဆုံးနည်းလမ်းဖြစ်ပါတယ်။ Spare Acquisition က Logical Disk Acquisition နည်းလမ်းထက်ပိုပြီး မြန်ဆန်ပါတယ်။ ကိုယ်သိမ်းချင်တဲ့ File က Acquire လုပ်တဲ့ Tools မှာ အဆင်သင့်မပါလာရင် Collect လုပ်လို့မရပါဘူး။ Manual သတ်မှတ်ပေးရပါမယ်။ ပြီးရင် ကိုယ်က ဘယ်နေရာက File ကိုရယူရမယ်ဆိုတာ သိထားမှ အဆင်ပြေမှာ ဖြစ်ပါတယ်။ Logical Disk Acquisition နည်းလမ်းကတော့ Spare Acquisition နည်းလမ်းထက်ပိုပြီး အချိန်ယူပါတယ်။ Logical Disk Size အပေါ်မူတည်ပြီး Acquisition လုပ်ရမှာ  ဖြစ်ပါတယ်။ 

Live Acquisition 

Live Acquisition  ပြုလုပ်တာကို System Run နေစဉ်ပြုလုပ်ရမှာဖြစ်ကြောင်း အရင်ကပြောခဲ့ပြီးဖြစ်ပါတယ်။ Live Acquisition ပြုလုပ်နေစဉ်  Investigator က Volatile Data ကိုအရင်ဆုံးရယူရမှာ ဖြစ်ပါတယ်။ Volatile Data က Memory ထဲမှာရှိတာကြောင့် System Reboot/Shutdown ဖြစ်တာနဲ့ ပျောက်သွားမှာ ဖြစ်ပါတယ်။ Volatile Data တွေက အမြဲတမ်း RAM, Cache ထဲမှာရှိပါတယ်။ Volatile Data က System Reboot/Shutdown ကြောင့်ပျောက်ကွယ်နိုင်ရုံတင်မက Modification, Alteration ဖြစ်တတ်ပါတယ်။ ဘာလို့လဲဆိုရင် System ပေါ်မှာ Run နေတဲ့ Process မှန်သမျှက Ram, Cache တွေကို အမြဲတမ်းသုံးနေရတာကြောင့်ဖြစ်ပါတယ်။ System ပေါ်မှာ လှုပ်ရှားတာမှန်သမျှ လုပ်ကိုင်တာမှန်သမျှက RAM ကို သွားပြီး သက်ရောက်မှာ ဖြစ်ပါတယ်။ 

Volatile Data တွေက အချိန်တိုအတွင်း ပျက်စီးလွယ်ပေမဲ့ Process တွေက RAM ကိုအသုံးပြုပြီး Run တာဖြစ်တဲ့အတွက် Password, Messages, IP address စတာတွေကို ရရှိနိုင်ပါတယ်။ ဒါကြောင့် Malwares  Analysis /Hunting တွေမှာပါ အသုံးချနိုင်ပါတယ်။ 

Memory ပေါ်မှ ရရှိတဲ့  Encryption Key က Malwares နဲ့ သူ့ရဲ Operator ကြားက Traffic ကို Extract, Decrypt လုပ်နိုင်ပါတယ်။ Volatile Data အားလုံက RAM ပေါ်မှာရှိတယ်လို့ပြောမယ်ဆိုရင် မှားပါလိမ့်မယ်။ Non-Volatile ဖြစ်တဲ့ Storage ပေါ်မှာလဲ ရှိပါတယ်။ ဥပမာ Temporary File, Log File 

Log File တွေကတော့ အချိန်ကာလတစ်ခုအတွင်းမှာ Log Rotate ကြောင့်ပျက်စီးနိုင်သလို၊ Temporary File တွေက  တစ်ခါတစ်ရုံ Automatic ပျက်စီးနိုင်ပါတယ်။ 

SYS Info ဆိုတာက Basic System Information ဖြစ်တဲ့ System အကြောင်း၊ OS အကြောင်း ၊ Installed Application တွေအကြောင်းကိုဖော်ပြတာဖြစ်ပါတယ်။ OS Version, OS Configuration, OS Build Number, Product Key Computer Name, User Account, Manufacture and specs (CPU model, RAM size, etc ) စတာတွေကိုပါ ဖော်ပြပါတယ်။ 

OS Configuration က Collect လုပ်ရာမှာလဲ အရေးကြီးတဲ့နေရာကနေပါဝင်ပါတယ်။ OS Configuration  ဖြစ်တဲ့ Installed Languages, System Up Time, Time Zone, Install Update စတာတွေကို Collect လုပ်သင့်ပါတယ်။ ဒါမှသာ စစ်ဆေးသူက OS အကြောင်း နဲ့ File 2 ခုရှိရင် ဘယ်ကနေလဲတာလဲ ကွန်ပျူတာ အတူတူကနေ လာတာလားဆိုတာကို သိရမှာဖြစ်ပါတယ်။

Live Acquisition လုပ်နေစဉ်မှာ System မှာ ဘယ်လို Process တွေ Running လုပ်နေတာဆိုတာကို သိထားခြင်းက Investigation အတွက် အရေးပါပါတယ်။နောက်ထပ် ဘာတွေထပ်ပြီး Acquisition လုပ်ရမယ်။  စစ်ဆေးသူက RAM Dump ကို Analysis လုပ်ချိန်မှာ ဘာကို စစ်ဆေးရမယ်ဆိုတာကို သိဖို့ အထောက်အကူပြုပါတယ်။

တစ်ခါတစ်ရံ Investigation Analysis ပြုလုပ်နေချိန်မှာ  log ရှာတာနဲ့တင် အချိန်‌အတော်ကြာပါတယ်။ Log Details ရရင် Investigator က Incident Timeline ဆောက်တဲ့ အချိန်မှာ အသုံး၀င်ပါတယ်။ Incident Response မှာ ဖြစ်တဲ့ အချိန်မတိုင်ခင် ဘယ်လိုတွေ‌‌ေကြာင့်ဖြစ်တာလဲဆိုတာ စစ်ဆေးရပါတယ်။ 

Main Log ရယ်လို့မရှိပဲ System မှာသုံးထားတဲ့ Applications, လုပ်ဆောင်မှုအပေါ်မူတည်ပြီး log တွေရှိပါတယ်။ OS Event Logs, Process Log, Network Log စသည်ဖြင့်အမျိုးမျိုးရှိနိုင်ပါတယ်။ Time Stamp ကလဲ Crime Reconstruction အပိုင်းမှာ အဓိက ကျတဲ့နေရာကနေပါ၀င်ပါတယ်။ ဒါကို Timeline Analysis လို့ခေါ်ပြီး အချိန်တစ်ခုအတွင်းမှာ ဖြစ်ပျက်ခဲ့တာတေါကိုသိနိုင်ဖို့ ဆက်နွယ်နေတဲ့ Event  Log တွေကိုရှာဖွေပါတယ်။ 

Network Configuration ‌ကလဲ အရေးကြီးပါတယ်။ အထူးသဖြင့် Network Attack ၀င်လာတဲ့ အချိန်မျိုးတွေမှာ ဖြစ်ပါတယ်။  NIC card, Mac Address, IP Address စတာတွေက Analysis လုပ်နေချိန်မှာ Investigator ကို အထောက်အကူပြုနိုင်ပါတယ်။ 

Memory Forensics က အခြား Filesystem, Operation System, Network Protocol လိုမျိုး တွဲဖက်စစ်ဆေးစရာ စက်ပစ္စည်း မရှိတဲ့ အတွက် ပြုလုပ်ရတာမလွယ်ကူပါဘူး။ File,OS, Network တွေကို Analysis လုပ်တဲ့အခါမှာ Case အတွက်လိုအပ်တဲ့ အချက်အလက်တွေ မရတာမျိုးတွေကြုံရတတ်ပါတယ်။ Full Disk Encryption  လိုမျိုးဆိုရင် Suspect ဆီကနေ Encryption Key မရရင်ခဲ့ရင် Memory Forensics ပြုလုပ်တဲ့နည်းလမ်းပဲ ရှိပါတယ်။ ( Bitlocker , TPM , VeraCrypt တို့အကြောင်းရေးသားပြီး ဖြစ်ပါတယ်။)။ အခုခေတ်မှာ Data လုံခြုံရေးအတွက် Security Solution တွေအများကြီးရှိနေပြီ။ ဒါကြောင့် Forensics Image ပြုလုပ်ဖို့မလွယ်ကူတော့ပါ။

‌Advanced Persistent Threat, Malware, Rootkit  တွေရဲ့ Track ကို စစ်ဆေးဖို့အတွက်လဲ  Memory Forensics ကိုပြုလုပ်ပါတယ်။အချို့သော Malwares တွေက ‌ခြေရာဖျောက်ဖို့ RAM ထဲမှာပဲရှိနေပြီး Storage ပေါ်မှာ အလုပ်မလုပ်ပါဘူး။ ဒါကြောင့် Memory Forensics ပြုလုပ်ရတာဖြစ်ပါတယ်။ Network Packet Content, Browsing History, Injected Code (Malwares, BOF Attack), Process Data, Clipboard Data တွေက Memory ထဲကနေရရှိနိုင်ပါတယ်။ 

Live Acquisition Or Live Response အတွက် Memory Image ရယူဖို့ Analysis လုပ်ဖို့အတွက် 

Tools တွေအများကြီးရှိပါတယ်။ အချို့သော Tools တွေက Personal Information ဖြစ်တဲ့ Credit Card Number, Phone Numbers တွေကိုရှာပေးပြီး အချို့ကတာ့ Email, Chat, CMD Command စတာတွေကို ရှာဖွေပေးပါတယ်။ 

ဥပမာ RAM Acquisition အတွက် GUI Tools ဖြစ်တဲ့ FTK Imager, Belkasoft RAM Capture. Analysis အတွက် Volatility 

Tools 

Acquisition လုပ်နေတဲ့ အချိန်မှာ အချို့သော ပြသာနာတွေကို ရှင်းလင်းဖို့ Tools တွေ Utilities တွေရှိပါတယ်။ အပေါ်မှာပြောခဲ့သလိုပဲ Acquisition စလုပ်တဲ့ အချိန်မှာ Original Storage Media ကို မသမာမှုတစ်ခုခု သို့မဟုတ် အမှားအယွင်းတစ်ခုခုလုပ်မိလို့ စတာတွေကြောင့် Investigation Process ပျက်စီးနိုင်ပါတယ်။ Evidence Integrity ပျက်စီးနိုင်တယ်လို့ဆိုလိုတာပါ။

Write Blocker က Acquisition ပြုလုပ်စဉ်မှာ Evidence Integrity မပျက်စီးအောင် ပြုပြင်‌ပြောင်းလဲလို့မရအောင်  Investigator ကိုကူညီပေးပါတယ်။ Write Blocker က Storage ပေါ်ကို Data တွေထပ်ပြီးထည့်လိုမရ Write မလုပ်နိုင်အောင် လုပ်ပေးပါတယ်။Write Blocker တွေက Hardware Software မျိုးစုံရှိပါတယ်။  ရိုးရိုး Write Blocker တွေတင်မက အခု Imaging နဲ့ Write Protect Function ပါတဲ့ Hardware တွေပေါ်နေပါပြီ။ 

Bootable Disks ကိုတော့ Suspect ရဲ့ Computer ရဲ့ Main Storage ကိုမထိပဲ Storage Acquisition Or RAM Acquisition ပြုလုပ်တဲ့ အချိန်မှာ အသုံးပြုပါတယ်။ ဥပမာ Paladin Boot, Kali Forensics Mode, Etc 

Non Writeable USB 

Investigator က Bootable USB Disk နဲ့ Acquisition လုပ်ချိန်မှာ Data Export လုပ်ဖို့အတွက် USB , External HardDisk တွေကိုသုံးရတာရှိပါတယ်။ Evidence ပါတဲ့ Storage ကို Workstation မှာထိုးတဲ့အခါ အခန့်မသင့်ရင် Evidence Integrity ပျက်စီးနိုင်ပါတယ်။ အဲဒီခိုအခါမျိုးမှာ Write Bocker ကို အသုံပြုသင့်ပါတယ်။ 

ဒါပေမဲ့ Writ Blocker အသုံးပြုဖို့ ဥပဒေမရှိတဲ့ နိုင်ငံတွေလဲ ရှိပါသေးတယ်။အသုံးပြုဖို့ အဆင်မပြေတဲ့အခါမျိုးတွေမှာ Workstation ရဲ့ Window မှာ Write Blocking ကို လွယ်လွယ်ကူကူပြုလုပ်လို့ရပါတယ်။ Window Registry ကနေပြုလုပ်ရမှာဖြစ်ပြီး Write Access မှန်သမျှကို Block ပြုလုပ်ပေးမှာဖြစ်ပါတယ်။

Write Blocker