eCDFP (Data Representation & File Examination) (Part-2)

 Window မှာ File Extension ကိုကြည့်ပြီး File Type ကိုသတ်မှတ်ပေမဲ့ Linux မှာတော့ File Signature ကိုကြည့်ပြီး File Type ကိုဆုံးဖြတ်ပါတယ်။ 

File Structure 

မည်သည့် Operation System ဖြစ်ဖြစ် File ရဲ့ Name, Size, Signature, Content, etc .. ဒါတွေက Component တွေဖြစ်ပါတယ်။  ဒီလို Component တွေကို ပြန်စဉ်ဖို့အတွက် File တွေမှာ သတ်မှတ်ထားတဲ့ Structure ပုံစံတွေရှိပါတယ်။ File  Structure တွေက မည်သည့် Operation System အတွက် မဆို တူညီစွာသတ်မှတ်ထားပါတယ်။ 

ကျွန်တော်တို့ File တစ်ခုကို ဖွင့်တော့မည်ဆိုရင် Operation System ကနေ အဲဒီ File အတွက် သတ်မှတ်ထားတဲ့ Reader ကိုအသုံးပြုပါတယ်။ Reader က ဖွင့်မဲ့ File ရဲ့ File Name, File Size တွေနဲ့ File Component တွေကို ဘယ်နေရာမှာ ရှိတယ်ဆိုတာ သိပါတယ်။ File တစ်ခုကို ဖွင့်ဖို့အတွက် Reader တစ်မျိုးထဲရှိတာမဟုတ်ပါဘူး။ ဥပမာ PDF File ကိုဖွင့်ဖို့အတွက် Adobe Rader အပြင် Foxit နဲ့လဲ ဖွင့်နိုင်ပါတယ်။ 

Metadata 

Metadata  ကို ယေဘူယျအားဖြင့် “Data Describing Other Data” “Data About Data” လိုအဓိပ္ပာယ်ဖွင့်ဆိုပါတယ်။ Course မှာ ဥပမာ ပြထားတာက စာပို့တာနဲ့ပတ်သတ်ပြီး ဥပမာပေးထားပါတယ်။ 

ကျွန်တော်တို့စာတစ်စောင်ရေးမယ်ဆိုရင် စာရွက်ပေါ်မှာ စာကိုချရေး။ ပြီးရင် စာအိတ်ထဲထည့်ပါတယ်။ စာအိပ်ပေါ်မှာ ပေးပို့သူအမည် - ပေးပို့သူလိပ်စာ - လက်ခံသူအမည် -   လက်ခံသူရဲ့လိပ်စာ စတာတွေကိုရေးသားရပါတယ်။ ကျွန်တော်တို့ စာအိပ်ပေါ်မှာ ရေးသားထားတာတွေက Metadata  ပဲဖြစ်ပါတယ်။ ပေးပို့သူအမည် - ပေးပို့သူလိပ်စာ - လက်ခံသူအမည် -   လက်ခံသူရဲ့လိပ်စာ တွေက စာအိတ်ထဲမှာရှိတဲ့ စာထဲမှာ မပါရှိပါဘူး။ ဥပမာတွေနဲ့ နောက် Lession တွေအရ ပိုနားလည်လာပါမယ်။ 

ဒါကြောင့် Metadata တွေကို Operation System ကနေ File ကိုဖွင့်ဖို့နားလည်ဖို့ အတွက် လွယ်ကူအောင် အသုံးပြုပါတယ်။ Metadata တွေကို File ရဲ့ မည်သည့်နေရာတွင်မဆိုတွေ့နိုင်ပါတယ်။ File  တစ်ခု အတွင်း ဒါမှမဟုတ် အခြား File ကိုတစ်ခုအတွင်းမှာလဲတွေ့ရှိနိုင်ပါတယ်။ Metadata တွေက Binary String သို့မဟုတ် ASCII String တွေလဲဖြစ်နိုင်ပါတယ်။ Metadata တွေကို နေရာမျိုးစုံမှာတွေ့နိုင်တယ်ဆိုပေမဲ့ ပထမဆုံး စပြီးရှာရမည့်နေရာ (၃) နေရာရှိပါတယ်။ 

အဲဒီနေရာတွေက  MFT Record, File Header, Magic Number

MFT Attributes 

NTFS File System မှာ MFT ( Master File Table)  ကို Metadata တွေကိုသိမ်းဆည်းဖို့အတွက် အသုံးပြုပါတယ်။ NTFS Partitions ထဲမှာရှိတဲ့ File တွေကို ရယူမယ်ဆိုရင် MFT ထဲမှာသိမ်းထားတဲ့ Metadata တွေလိုအပ်ပါတယ်။ File တစ်ခုချင်းစီမှာ တစ်ခုထက်ပိုတဲ့ MFT Record တွေရှိနိုင်ပါတယ်။ 

MFT ထဲမှာ ဘာတွေ သိမ်းထာလဲဆိုရင် File Name, File Creation Date, File Location, File Size,  File -Folder Permission. File-Folder Compression/ Encryption တို့ကို သိမ်းဆည်းထားပါတယ်။ နောက်ပြီး File တစ်ခုကို ဖျက်လိုက်တဲ့အခါမှာ   File ရဲ့နေရာလွတ်သွားတာ  ပြီးရင် အဲဒီနေရာမှာ နောက်ထပ် File တစ်ခုသိမ်းဖို့ အဆင်သင့်ဖြစ်နေတာကို Track လုပ်ပါတယ်။ MFT Record ကို  File System ထဲမှာရှိတဲ့ File တွေကို ရှာဖွေရာမှာ အသုံးပြုနိုင်ပါတယ်။ နောက်ပြီး Evidence အနေနဲ့ File  တစ်ခုက ရှိနေလား ပျောက်နေတာလား ဖျက်ထားတာလားဆိုတာကို MFT နဲ့ Prove လုပ်လို့ရပါတယ်။ 

ပုံမှန်အားဖြင့် MFT Record ကို Window Explorer ကနေကြည့်ရင် မတွေ့နိုင်ပါဘူး။ ဒါကြောင့် File System Examine Tools ဒါမှမဟုတ် Forensics Tools တွေကို အသုံးပြုနိုင်ပါတယ်။ ကျွန်တော်ကတော့ Forensics Disk Editor ဖြစ်တဲ့ Xway ကို အသုံးပြုထားပါတယ်။ 

Xway 

Disk Explorer 

Directory Snoop 

File Header 

File Header ကို  File ရဲ့ အစပိုင်း မှာတွေ့နိုင်ပါတယ်။  File ကိုဖွင့်ဖို့ Reader အတွက်လိုအပ်တဲ့ အချက်အလက်တွေပါဝင်တယ်။ File Header ထဲမှာ ပါဝင်တာတွေကတော့ File Name, Author, Date Of Creation, File Size, Etc ..  စတာတွေပါဝင်ပါတယ်။ အဲဒါတွေကိုကြည်ပြီး File ကိုမဖွင့်ခင် Error ရှိ- မရှိ နဲ့ Correction လုပ်တာကို လုပ်ဆောင်ပါတယ်။ 

File အမျိုးမျိုးမှာ မတူညီတဲ့ Header တွေရှိပါတယ်။ အချို့ Header တွေက  Known Standard ဖြစ်ပေမဲ့  အချို့ Header တွေက Known Standard မဖြစ်တဲ့အပြင် အချို့ File တွေမှာ Header မပါရှိပါဘူး ဥပမာ Text File. 

File Reader ကနေ File ကိုမဖွင့်ခင်မှာ File Header ကို စစ်ဆေးပါတယ်။ ဥပမာအနေနဲ့ Adobe Reader နဲ့ PDF File ကိုဖွင့်ကြည့်ရင် File က ပျက်နေလား မပျက်နေဘူးလားဆိုတာသိတာပါ။

Header က File ရဲ့ထိပ်ဆုံးအပိုင်းမှာရှိသလို Trailer တွေက File ရဲ့ နောက်ဆုံးအပိုင်းမှာရှိပါတယ်။ PDF File မှာဆိုရင်တော့ “XREF” Section ပါထပ်ပြီးပါပါတယ်။ File Header/File Trailer တွေကို  Hex Editor တွေနဲ့စစ်ဆေးနိုင်ပါတယ်။ File Header/File Trailer တွေကို  ဒီမှာစစ်နိုင်ပါတယ်။ 

File Header/File Trailer Check Link

Text File With Xway 

PDF File Header/File Trailer With Xway 

Magic Number 

Magic Number  ကတော့ (Unix/Linux) တွေမှာ  File ဖွင့်ဖို့အတွက် File Header တစ်ခုလုံးကိုမကြည့်ပဲ File ID ကိုပဲကြည့်တာဖြစ်ပါတယ်။ Magic Number က Unique String တွေဖြစ်ပြီး File ရဲ့ အစပိုင်းမှာ ပါဝင်ပါတယ်။ Unique String ကိုကြည့်ပြီး File Type ကိုခွဲခြားတာဖြစ်ပါတယ်။ Magic Number တွကို /user/share/file/magic ထဲမှာတွေ့နိုင်ပါတယ်။ File Command ကတော့ File Type ကိုကြည့်တာဖြစ်ပြီး xxd Command ကတော့ Hex Editor ဖြစ်ပါတယ်။ 

   File Command 

File and xxd Command 

Metadata Types

Metadata ကို ယေဘူယျအားဖြင့် “Data describing other data” “Data About Data” လိုအဓိပ္ပာယ်ဖွင့်ဆိုပါတယ်။ Digital Forensics Investigation အတွက် Metadata Types တွေကတော့ (၃) မျိုးခွဲခြားနိုင်ပါတယ်။ 

1-System Metadata

2-Substantive Metadata

3-Embedded Metadata and External Metadata 

System Metadata – System ကနေထုတ်ပေးတဲ့ Metadata File တွေဖြစ်ပါတယ်။ 

Substantive Metadata – Document တွေကို Modified လုပ်တဲ့အချိန်မှာ ရလာတဲ့ Metadata တွေဖြစ်ပါတယ်။

Embedded Metadata – Application တွေ File တွေရဲ့ အတွင်းမှာ ရှိပြီး Edit, Create လုပ်လိုက်တဲ့ အချိန်မှာ  Metadata  တွေရရှိလာတယ်။ Metadata က Application / File အတွင်းမှာပဲရှိပါတယ်။ 

ဥပမာ EXIF Data, Recording Files. 

External Metadata – File Management Application တွေကနေ File တွေကို Management လုပ်ဖို့အတွက်ပြုလုပ်ပေးတာဖြစ်ပြီး File နဲ့ Metadata တွေက တစ်သီးတစ်ခြားစီ ရှိနေပါတယ်။ 

System Metadata

System Metadata တွေကို Operation System ကနေ  Created, Edited လုပ်ပြီး အများဆုံး အသုံးပြုပါတယ်။ Operation System မှာရှိတဲ့ File System က Metadata ပေါ်မှာ အများဆုံးမှီပြီး အလုပ်လုပ်ပါတယ်။ System Metadata တွေက  Hard Disk အတွင်မှာရှိတဲ့ File တွေကို Manage လုပ်ဖို့အတွက်ပဲ အသုံးပြုတာမဟုတ်ပါဘူး။ CD/DVD/Flash Drive တွေကလဲ System Metadata ပေါ်မှာပဲ အလုပ်လုပ်တာဖြစ်ပါတယ်။ ယေဘူယအားဖြင့် Flash Drive/External Drive တွေက File တွေရဲ့နေရာ နဲ့ File တွေကို  သိမ်းဖို့အတွက် System Metadata ကိုအသုံးပြုပါတယ်။ 

Digital Forensics Investigation မှာ System Metadata တွေကို အသုံးချပြီး File ကို Remove /Delete /Moved/Create လုပ်တာတွေကိုစစ်ဆေးလို့ရပါတယ်။  ဒါ့အပြင် System Metadata တွေကို အသုံးပြုပြီး File တစ်ခု ဘယ်လို ဖြစ်ပျက်တယ်ဆိုတာသိဖို့ (Timeline ) ပြုလုပ်ရာမှာလဲ အသုံးဝင်ပါတယ်။ Investigation ပြုလုပ်တဲ့နေရာမှာ Metadata နဲ့ပတ်သတ်ပြီး စိတ်ဝင်စားရမဲ့ အရာ (၄) မျိုးရှိပါတယ်။ ဒါကို Create/Accessed/Modified တို့ဖြစ်ပါတယ်။ အတိုကောက်အနေနဲ့ MAC လို့ခေါ်ပါတယ်။ NTFS မှာတော့ Entry Modified ဆိုပြီး တစ်မျိုးရှိပါတယ်။ ဒါကြောင့် စုစုပေါင်း (၄) မျိုးဖြစ်တာပါ။ Entry Modified (EM) မှာ Master File table (MFT) Entry တွေ ဘယ်အချိန်မှာ နောက်ဆုံး Modified လုပ်တာလဲဆိုတာကို  သိမ်းဆည်းထားပါတယ်။ Create/Accessed/Modified (MAC) နဲ့ Entry Modified (EM) တို့က  Crime Timeline တည်ဆောက်တဲ့နေရာမှာရော Analysis ပြုလုပ်တဲ့နေရာမှာရော အရေးပါပါတယ်။ Analysis ပြုလုပ်နေတဲ့အချိန်မှာ (MAC) နဲ့ (EM) တို့ကို မထိခိုက်အောင် သတိထားလုပ်ဆောင်ရပါမယ်။ 

Create  Time ဆိုတာက File ကိုပထမဦးဆုံး Create စလုပ်တဲ့အချိန်ကို ခေါ်တာဖြစ်ပါတယ်။ Data ကို Create ပြုလုပ်တဲ့အချိန်ကိုဆိုလိုတာဟုတ်ပါဘူး။ ဥပမာ အနေနဲ့ ပထမဦးဆုံးအနေနဲ File1.txt ကို 2020 မှာ Create ပြုလုပ်ပြီး ။ 2021 မှာ တစ်ခြားနေရာကို သွားပြီး Copy လုပ်လိုက်မယ်ဆိုရင် File1.txt ရဲ့ Create Time က 2021 ဖြစ်သွားမှာ ဖြစ်ပါတယ်။ 

Access Time ဆိုတာက File ကို ဘယ်အချိန်မှာ နောက်ဆုံးဖွင့်ခဲ့၊ ရွေ့ပြောင်းခဲ့၊ ကူးယူခဲ့တဲ့ အချိန်ကိုပြောတာဖြစ်ပါတယ်။ (Last Opened, Moved, Copied ) လုပ်တာတွေကြောင့်  Access Time က မကြာခန ပြောင်းလဲနိုင်ပါတယ်။ Opened, Moved, Copied လုပ်တာမဟုတ်ပဲ အခြားနည်းလမ်းများကြောင့်လဲ Access Time ကပြောင်းလဲနိုင်ပါတယ်။ 

Modified Time ကတော့ File ထဲမှာရှိတဲ့ Data တွေကို ဘယ်အချိန်မှာ ပြောင်းလဲပြင်ဆင်ခဲ့တယ်ဆိုတာကို ဖော်ပြပါတယ်။ File အတွင်းမှာရှိတဲ့ Data တွေကို နည်းနည်းများများ ပြောင်းလဲပြင်ဆင်တာနဲ့ Modified Time က ပြောင်းလဲသွားမှာ ဖြစ်ပါတယ်။ 

Modified Time က File ထဲမှာရှိတဲ့ Data တွေပြောင်းလဲမှသာ  Modified Time က ပြောင်းလဲမှာဖြစ်ပါတယ်။ File ကို Access ပြုလုပ်ရုံနဲ့ Modified Time ကပြောင်းလဲသွားမှာ မဟုတ်ပါဘူး။ ဒါပေမဲ့ Folder အတွင်းမှာ ရှိတဲ့ File တစ်ခုခုကို Copy /Move /Cut/Delete  တစ်ခုခု  ပြုလုပ်တဲ့အခါမှာတော့ Folder ရဲ့ Modified Time ကပြောင်းလဲသွားမှာ ဖြစ်ပါတယ်။ 

Entry Modified Time ကတော့ NTFS System မှာပဲတွေ့နိုင်ပါတယ်။ MAC Time တွေပြောင်းတာ စတာတွေကို မှတ်သားထားတာဖြစ်ပါတယ်။ ဒါပေမဲ့ ဘာကိုပြောင်းသွားတယ်ဆိုတာကို မပြသပါဘူး။ MAC Time က ဒါကြောင့် အဓိက ဖြစ်လာပါတယ်။ MAC Time ကိုကြည့်ခြင်းဖြင့် Crime Time ကိုတည်ဆောက်လို့ရပါတယ်။ တစ်ခါတစ်ရမှာ MAC Time ကိုကြည်ပြီး   ပတ်သတ်ဆက်နွယ်တဲ့ အကြောင်းအရာတွေကိုပဲ စစ်ဆေးလို့ရပါတယ်။ File System တစ်ခုလုံးကို ကြည့်စရာမလိုအပ်ပါဘူး။(Incident Respons) 

MAC Time ( File Properties - > Detail - General) 

Filter With Directory Snoop 

Crime Timeline အတွက် File အားလုံးရဲ့ Metadata တွေကိုရယူပြီး Search, List လုပ်နိုင်တဲ့ Autopsy /Sleuth Kit လို Forensics Tools တွေနဲ့ပြုလုပ်တာကို အချိန်ကုန်သက်သာပါတယ်။ Crime Timeline တည်ဆောက်ရာမှာ Metadata တွေတင်မက Logs. Network Traffic, Application Analysis, Data Analysis တွေပါလိုအပ်ပါတယ်။ Metadata တွေကိုပဲ Analysis လုပ်ရုံနဲ့ မလုံလောက်ပါဘူး။ 

Course ထဲတော့ မပါပေမဲ့ Module - 3 Part (1-2) ကို  အတိုဆုံး အနှစ်ချုပ်ရင်

Part-1 မှာ .Jpg ကနေ .docx ကိုပြောင်းသွားတဲ့အတွက် Operation System မှာရှိတဲ့ Reader က မသိဘူးဖြစ်သွားတယ်။ ဒါကြောင့် Analysis လုပ်နေရင်း Suspect ဖြစ်နေရင်

Methods -1

 Check File Header and Trailer

အလွတ်မရရင် ပေးထားတဲ့ Link ကနေ File Type တွေရဲ့ Header and Trailer

ကိုစစ်ကြည့်နိုင်ပါတယ်။ Header and Trailer ရပြီဆိုရင် File Extension အမှန်ကို ပြန်ပြောင်းလို့ရပါပြီ။ 

Method -2

File တွေရဲ့MAC လို့ခေါ်တဲ့ Modified, Accessed , Created Time တွေကို 

သိထားပြီးဖြစ်လို့ Evidence ကို မသိမ်းခင် ဒါမှမဟုတ် Incident မဖြစ်ခင်  အချိန် နဲ့ မရှေးမနှောင်းမှာ ဘာတွေလုပ်ထားတယ်ဆိုတာသိနိုင်ပါပြီ။ ရှေ့မှာ ဘာတွေလုပ်ထားတယ် ဘာတွေ ဖြစ်ထားတယ်ဆိုတာ သိဖို့  Timeline ရပြီပေါ့။ MAC အပြင် ကျန်တာတွေကို Collect လုပ်မလုပ်က Depend On Your Condition ပါ။