eCDFP (Data Representation & File Examination) (Part-1)

Data Representation

Module -3 မှာ Data Representation အပိုင်းကို ကျော်ထားပါတယ်။ HEX-Binary-Decimal ပြောင်းတဲ့နည်းတွေပါ။ 

HEX, Binary, ASCII တို့ကိုအကုန်လုံးတစ်နေရာထဲတွေ့ချင်တယ်ဆိုရင် Wireshark မှာတွေ့နိုင်ပါတယ်။ Byte, and Bit   ကိုခေါ်တဲ့နေရာမှာ မှားတတ်တာကတော့ Byte ကို Storage Size အတွက်အသုံးပြုတာဖြစ်ပြီး Bit ကိုတော့ Connection Speed ကိုတိုင်းတာတဲ့နေရာမှာ အသုံးပြုပါတယ်။ 

File Identification and Structure 

File Identification 

ကျွန်တော်တို့ File တစ်ဖိုင်ကို ဘယ်လို File အမျိုးအစားလဲဆိုတာကိုခွဲခြားဖို့အတွက် ပထမဆုံ File Extension ကိုကြည့်ပြီးခွဲခြားပါတယ်။

 ဥပမာ - .jpg, .pdf, .doc, .txt

Window ကလဲ File Extension ကိုကြည့်ပြီး ဘယ်လို Extension ဆိုရင် ဘယ် Application နဲ့ဖွင့်ရမယ်ဆိုတာကိုသိပါတယ်။ Example – .pdf file ဆိုရင် Adobe Reader, .docx ဆိုရင် MS Word နဲ့ဖွင့်ပါတယ်။

တစ်ကယ်လို့ JPEG File တစ်ခုကို  Rename ကနေ .pdf သို့မဟုတ် အခြား Extension တစ်ခုခုကို ပြောင်းလိုက်မယ်ဆိုရင် Window မှာဖွင့်လို့ရမှာ မဟုတ်ပါဘူး။ JPG File ကို .pdf ပြောင်းလိုက်မယ်ဆိုရင် Window က adobe reader နဲ့ပဲဖွင့်မှာဖြစ်ပါတယ်။ 

ဒါကြောင့် File Type တစ်ခုချင်းစီအတွက် အဆိုပါ File ရဲ့ Contents တွေကို ဖတ်ကြည်ဖို့ Reader တစ်ခုခုလိုပါတယ်။ နမူနာအနေနဲ့  .jpg ကို .docx ကိုပြောင်းပြထားပါတယ်။ Extension  ပြောင်းလိုက်တဲ့အခါမှာ Window က Extension .docx ကိုကြည့်ပြီး MS Word နဲ့ဖွင့်ပါတယ်။ ဒါပေမဲ့ File က JPG ဖြစ်နေတဲ့အတွက် ဖွင့်လို့ရမှာ မဟုတ်ပါဘူး။ 

နောက်တစ်ခုက Forensics Analysis လုပ်တဲ့နေရာမှာ မိမိက အခြေအနေအရ

.jpg Extension ကိုပဲလိုချင်တဲ့အခါ ကိုယ်က .jpg နဲ့ရှာတဲ့အခါ Extension ပြောင်းထားတဲ့ File ကို တွေ့ရမှာ မဟုတ်ပါဘူး။ File Extension ကို .jpg ကနေ .docx ကိုပြောင်းထားတာကြောင့်ပါ။ .docx နဲ့ရှာခဲ့ရင် File ကိုတွေ့ရပေမဲ့ File ကဖွင့်လို့ရမှာမဟုတ်ပါဘူး။ 

Window က Know File System တွေအတွက် ပုံမှန်ဆိုရင်  Extension ကိုမဖော်ပြပါဘူး။ Course ထဲမှာတော့ Rename ကနေ ချိန်းလို့ရတယ်ပြောပေမဲ့ တစ်ကယ်တန်း  File ကို Extension ချိန်းချင်ရင် 

Folder Option -> View ကနေ Hide Extension For know File Type ဆိုတာကို Uncheck လုပ်ပေးရပါတယ်။ Rename ကနေ File Extension ပြောင်းပြီးတဲ့အခါမှ Check ပြန်ပေးရပါတယ်။ 

Commercial Tools တွေနဲ့ စစ်ရင်လဲ Analysis Result မှာ ချိန်းထားတဲ့ File Extension ကိုပဲဖော်ပြပေးမှာ ဖြစ်ပါတယ်။ 

ဒါကြောင့် User တစ်ယောက်က 

 ဥပမာ Pdf တွေအများကြီးရှိတဲ့အထဲကို ကိုယ်ဝှက်ထားချင်တဲ့ Jpg File ကို Pdf Extension ပြောင်း File Name ကို သတိမထားမိအောင် ပေးပြီ ထည့်ထားလိုက်မယ်ဆိုရင် Challenge တွေရှိလာပါတယ်။ 

အဲဒါဆိုရင်‌ဗျာ လွယ်ပါတယ် ကွန်ပျူတာကိုဖွင့်  ခုနက 

Folder Option -> View ကနေ Hide Extension For know File Type ဆိုတာကို Check လုပ်ပြီးရှာမှာပေါ့။

 Uncheck - Rename(Extension Change) - Check ပြန်လုပ်ထားတဲ့အတွက် Extension အမှန်မပြပါဘူး။ 

Pdf File က ရာကျော်ရှိရင် တစ်ခုချင်းစီလိုက်ဖွင့်။ Pdf file တစ်ခုကို ဖွင့်လို့မရရင် Virus ပဲ ကိုက်သလိုလို အစကတည်းက pdf file က မပြည့်စုံသလိုလိုနဲ့ Analysis လုပ်နေရင်း False Positive , False Negative အတွေးတွေ၀င်လာနိုင်ပါတယ်။ 

ဒါလိုမျိုးတွေကို ဘယ်လိုဖြေရှင်းကျမလဲ ? 

Change .jpg To .docx

Change File Extension 

.