eCDFP (Data Acquisition) (Part-4) (Finished)

 Memory Forensics Tools 

Volatility Frame Work  ကတော့ Open Source တစ်ခုဖြစ်ပြီး Commercial Product တွေမှာလဲ Volatility GUI ပုံစံနဲ့ အသုံးပြုပါတယ်။ Memory Image ထည့် Operation System  Profile ရွေး။ ကိုယ်စစ်ချင်တဲ့ အကြောင်းအရာကို အဆင်သင့်ရွေးချယ်ရုံပါ။ Kali OS, Parrot OS စတာတွေမှာ Built-In ပါရှိပါတယ်။ RAM Capture လုပ်ဖို့ဆိုရင် FTK Imager, Belkasoft RAM Capture တို့လို့ Tools တွေလဲရှိပါတယ်။  Volatility ကို Window XP-Window 10, Window Server 2013-2016, MAC OS 10.5 - 10.15,  Linux - OpenSuSE, Ubuntu, Debian, CentOS, Fedora, Mandriva, etc ..  Detail Support Profile Read Here 

 Volatility ထဲမှာ မပါတဲ့ Operation System  Profile အတွက် ကိုယ်တိုင် Profile လုပ်ပြီးထည့်ပေးရမှာ ဖြစ်ပါတယ်။ Read Here 

Support ပေးတဲ့ Memory တွေကတော့ Memory Dump, Window Crash Dump, Hybernation, Virtual  Machine Snapshot တို့ဖြစ်ပါတယ်။ 

Download --> Volatility Cheat Sheet 

Download --> Volatility-3

Volatility ကိုစတင်အသုံးပြုမယ်ဆိုရင် Memory Dump ရယူတဲ့ Operation System ရဲ့ Profile ကို သတ်မှတ်ပေးရမှာ ဖြစ်ပါတယ်။ မသိခဲ့ရင်လဲ Volatility မှာ Suggesction ပေးပါတယ်။ Memory Dump ရယူတဲ့ Operation System ရဲ့ Profile ကို   မသိလျှင်  မသေချာခဲ့လျှင် imageinfo နဲ့ ရှာနိုင်ပါတယ်။  Profile Name ကို Volatility ရဲ့ Command တိုင်းမှာ --profile အနေနဲ့ထည့်ပေးရမှာဖြစ်ပါတယ်။ 

Other Forensics Tools 

Bulk Extractor ကတော့ Digital Forensics Tools တစ်ခုဖြစ်ပြီး Disk Image, Memory Image, File, Folder တွေကနေ ၎င်းတို့ရဲ့ File System နဲ့  File System Structures ကို မထိခိုက်စေပဲအချက်အလက် Artifacts တွေရရှိနိုင်ပါတယ်။ Zip, Rar, Pdf, Word File, JPEG စတာတွေထဲကနေပါ ရရှိနိုင်ပါတယ်။  Example – Email, URL, Domain Name, Phone Number, Etc. Bulk Extractor က Kali OS, Parrot OS, SIFT  စတာတွေမှာ Built-In ပါရှိပါတယ်။ Bulk Extractor မှာ Report File ကို အလွယ်တကူကြည့်နိုင်ပြီး Summary Report မှာ လဲ Hash Function ပါဝင်ပါတယ်။ 

Bulk Extractor Summary Report  (hash - MD5) 

Bulk Extractor Report Files 

Bulk Extractor  Report  File - > IP

Bulk Extractor  Report  File - > Telephone (Histogram) 

Validating Evidence 

Validating Evidence  ဆိုတာက Evicence ကို Integrity ရှိအောင်ပြုလုပ်တာဖြစ်ပါတယ်။ Evicence ကို ပြင်ဆင်ဖျက်ဆီးထားရင် Integrity ရှိမှာ မဟုတ်ပါဘူး။ Validating Evidence ကို Hash Function / One Way Cryptographic  Function နဲ့ပြုလုပ်တာဖြစ်ပါတယ်။  တစ်ကယ်လို့ File တစ်ခုခုကို ပြင်ဆင်ဖျက်ဆီးလိုက်ရင် Output Hash တန်ဖိုးကတူညီတော့မှာ မဟုတ်ပါဘူး။ ဒါကြောင့် Hash String ကို Evidence Integrity ရှိ - မရှိ စစ်ဆေးတဲ့နေရာမှာ အသုံးပြုတာဖြစ်ပါတယ်။ ရလာတဲ့ Hash String နဲ့ Storage Media  ကို လုံခြုံစွာ သိမ်းဆီးဖို့လဲ အရေးကြီးပါတယ်။ တစ်စုံတစ်ယောက်က ပြင်ဆင်ပြီး Hash String ကို ပြန်ထုတ်သွားနိုင်လို့ဖြစ်ပါတယ်။ Evidence Validating အတွက် Hash Function မျိုးစုံအသုံးပြုပါတယ်။ Hash Function တွေကတော့ ကိုယ်အသုံးပြုတဲ့ Tools , Forensics Imager အပေါ်မှာလဲ မူတည်ပါတယ်။ SHA-1, SHA-2, SHA-3, MD5 . SHA-1 နဲ့ MD5 ကတော့ Secure မဖြစ်တဲ့အတွက် အသုံးမပြုသင့်ပါဘူး။

ဥပမာ အနေနဲ့ hash-test.txt  ထဲမှာ www.forensicsmyanmar.com လို့ရေးထားပါတယ်။ အဲဒီ TXT  File ကို SHA-512 နဲ့ Hash Value ထုတ်ပါမယ်။ Linux အတွက် sha512sum Command ကိုအသုံးပြုထားပါတယ်။ 

hash-test.txt 

1- sha512sum Command & Hash String

နောက်တစ်ကြိမ် hash-test.txt  ထဲမှာ စာတစ်ကြောင်းထပ်တည့်ပြီး SHA-512 နဲ့ Hash Value ပြန်ထုတ်ပါမယ်။ ပထမအကြိမ် Hash String နဲ့ နောက်တစ်ကြိမ် ပြန်ထုတ်တဲ့ Hash String မတူညီတာကို တွေ့ရပါလိမ့်မယ်။ 

2- sha512sum Command & Hash String

 Course ထဲမှာ Window အတွက် Hash Calc ကိုအသုံးပြုထားပါတယ်။ စာလုံးပြောင်းသွားတာနဲ့ Hash String ပြောင်းလဲသွားတာကို တွေ့နိုင်ပါတယ်။ 

Hash Calc

ဒါကြောင့် ကျွန်တော်တို့ Evidence ကို မပျက်စီး မပြင်ဆင်နိုင်အောင် Acquisition လုပ်တိုင်းမှာ Evidence Integrity အတွက် Hash Value ပြုလုပ်ရတာဖြစ်ပါတယ်။ Hash Value ထုတ်ပြီးနောက်ပိုင်း Storage Media ကို သေချာစွာ သိမ်းဆည်းထားရမှာ ဖြစ်ပါတယ်။ 

Exploring Evidence 

Forensics Image နဲ့ Hash Value ရယူပြီးနောက်တစ်ဆင့်ကတော့ Evidence Analysis  Evidence ဒါမှမဟုတ် Explore လုပ်ဖို့ဖြစ်ပါတယ်။ Storage ထဲမှာ ဘာတွေရှိမလဲ ဘယ်လိုလုပ်ရမယ်ဆိုတာကို နည်းလမ်းရယူဖို့ ဖြစ်ပါတယ်။ အဲဒီလိုပြုလုပ်ဖို့အတွက် Evidence ကို Workstation နဲ့ချိတ်ဆက်ရမှာ ဖြစ်ပါတယ်။ 

အရင်သင်ခန်းစာတွေအရ Evidence က Forensics Image သို့မဟုတ် Clone Drive ဖြစ်နိုင်ပါတယ်။ ဒါကြောင့် Evidence ချိတ်ဆက်ဖို့အတွက် Workstation မှာ မတူညီတဲ့ နည်းလမ်းတွေကို အသုံးပြုရမှာ ဖြစ်ပါတယ်။ Evidence တွေက File System မျိုးစုံရှိနိုင်တဲ့အတွက် Workstation က File System နဲ့ တူဖို့လိုအပ်ပါတယ်။ 

ချိတ်ဆက်ဖို့က သာမာန်လုပ်နေကျအတိုင်း Mount ပြုလုပ်တာဖြစ်ပါတယ်။ USB Or Docking နဲ့ Workstation ကို ချိတ်ဆက်ခြင်းဖြစ်ပါတယ်။ ဒါပေမဲ့ Evidence Storage  Or Forensics Image ကို  Read-Only အနေနဲ့သာ Mount လုပ်တာဖြစ်ပါတယ်။ Evidence Storage  Or Forensics Image ထဲမှာ အမှားအယွင်းတစ်စုံတစ်ခုလုပ်မိခြင်းမှ ကာကွယ်နိုင်ဖို့ဖြစ်ပါတယ်။ ဒါကြောင့် Read+Write Mode  အနေနဲ့ မပြုလုပ် မိဖို့အရေးကြီးပါတယ်။ 

Evidence Storage  Or Forensics Image ကို Mount  လုပ်ပြီးတဲ့အချိန်မှာ Storage  Or Forensics Image ထဲက  အချက်အလက်တွေကို မြင်နိုင် ကြည့်နိုင်မှာဖြစ်ပါတယ်။ ဘာလို့လဲဆိုရင်  Read-Only အနေနဲ့ပြုလုပ်ထားလို့ ဖြစ်ပါတယ်။ Read-Only Mount ကို Linux မှာလဲပြုလုပ်နိုင်သလို Workstation က Window ဖြစ်နေရင် FTK Imager, Mount Image Pro, OSFmount, Arsenal Image Mounter တို့ကို အသုံးပြုနိုင်ပါတယ်။ 

Kali, Paladin, Parrot စတဲ့ Operation System တွေကို Forensics Mode  အနေနဲ့ အသုံးပြုရင် လာချိတ်ဆက်သမျှ Storage Media မှန်သမျှက Read-Only Mode အနေနဲ့သာ အလုပ်လုပ်ပါတယ်။