eCDFP (Data Representation & File Examination) (Part-3)

DMS 

Document Management System ကို Document File တွေရဲ့ Log တွေသိမ်းဖို့၊ Mange လုပ်ဖို့အသုံးပြုပါတယ်။ DMS က Document File တွေရဲ့ MAC Time , ဘယ်သူက Create လုပ်တယ်၊ ဘယ်သူက ကြည့်တယ်ဆိုတာတွေကို Track လုပ်ထားပါတယ်။ DMS ကို ဥပမာ အနေနဲ့ပြရင် Open KM ဖြစ်ပါတယ်။ Open KM က File တွေကို Web Interface ကနေတစ်ဆင့် Management ပြုလုပ်လို့ရပါတယ်။

DMS က Store လုပ်ထားတဲ့ File တွေကို Management လုပ်ဖို့အတွက် File တွေရဲ့ Metadata တွေကို အများကြီးသိမ်းထားပါတယ်။ DMS နဲ့ပတ်သတ်ရင် Metadata တွေ အများကြီးရှိတာကြောင့် Investigation အတွက် အများကြီး အထောက်အကူပြုနိုင်ပါတယ်။ ဒါပေမဲ့ Investigator က DMS က File တွေရဲ့ Metadata တွေကို ဘယ်လိုမျိုးနဲ့သိမ်းဆည်းတယ် ဘယ်နေရာမှာသိမ်းဆည်းထားတယ်ဆိုတာကို  Analysis မလုပ်ခင် အရင်ဆုံးသိထားသင့်ပါတယ်။ DMS နဲ့ပတ်သတ်တဲ့ Product Documentation  ကို Data တွေကို မရယူခင် အရင်ဆုံး ဖတ်ထားသင့်ပါတယ်။ အချို့သော Features တွေကို  များသောအားဖြင့်တူညီနိုင်ပေမဲ့ အချို့သော Features  တွေက တော့ မတူညီနိုင်တဲ့အတွက်ဖြစ်ပါတယ်။ ဒီလိုမျိုး Metadata တွေက 

Embedded Metadata 

Application နဲ့ Software တွေက File တွေထဲမှာ စတင်ထုတ်လုပ်လိုက်ကတည်းက Metadata တွေကို မြှပ်ထားပါတယ်။ Embedded Metadata တွေက အချို့ Case တွေမှာ အများကြီးအသုံးဝင်ပါတယ်။ File Type တစ်ခုချင်းစီ ဒါမှမဟုတ် Sofware တစ်ခုချင်းစီမှာ ကိုယ်ပိုင် Embedded Metadata တွေရှိနိုင်ပါတယ်။ ဥပမာ   Mobile Camera  Or Camera နဲ့ ဓာတ်ပုံရိုက်လိုက်တဲ့အခါမှာ Camera Driver ကနေ JPEG File ထဲမှာ Phone Brand, Camera Configuration, Photo Location, Date and Time စတဲ့ Metadata ကိုတစ်ခါတည်းထည့်သွင်းလိုက်ပါတယ်။ ဒါကို EXIF Information လို့လဲခေါ်ပါတယ်။ Investigation လုပ်တဲ့နေရာမှာ မျာစွားအထောက်အကူပြုပါတယ်။ Application တွေ File တွေမှာပါရှိတဲ့ Metadata တွေက ပုံစံမတူညီကြပါဘူး။ Metadata တွေကို လိုသလို လွယ်ကူစွာ ပုံဖျက်ပြုပြင်လို့ရပါတယ်။ Metadata တွေက ဘာလို ဘယ်နေရာမှာ ရှိတယ်ဆိုတာကြည့်တတ်ရင် Case တွေကို ဖြေရှင်းဖို့အတွက်  အထောက်အကူဖြစ်ပါတယ်။ Example – Username, Computer Name, Previous Version Of The Same Documents.

Temporary File 

Temporary File တွေကို Operation System နဲ့ Application ကနေ အချိန်အတိုင်းအတာတစ်ခုအတွင်းမှာ ထုတ်ပေးတာဖြစ်ပါတယ်။ Operation System , Application တွေမှာ  Temp File တွေကို ရည်ရွယ်ချက်မျိုးစုံပုံစံမျိုးစုံနဲ့ ထုတ်ပေးပါတယ်။ Operation System မှာဆိုရင် Application တစ်ခုက RAM မှာလဲ အသုံးမပြုဘူး၊ လောလောဆယ် Ram  မှာလဲ နေရာလိုနေတယ်ဆိုရင်  ခုနက မလိုတဲ့ Data တွေကို Temporary File အနေနဲ့   Hard Disk ပေါ်မှာ သွားသိမ်းထားပါတယ်။ နောက်မှ လိုအပ်ရင် RAM ပေါ်ကို ဆွဲတင်ပါတယ်။ ဒီလိုလုပ်တဲ့ Process ကို Swapping လို့ခေါ်ပါတယ်။ Example - Pagefile.sys , Hyberfil.sys 

Browser တွေကလဲ နောက်တစ်ကြိမ် Webpage  ကိုခေါ်ရင် လွယ်ကူအောင် မကြာခန ဖွင့်တတ်တဲ့ Website တွေကို  Cashing အနေနဲ့ သိမ်းထားပါတယ်။ အပေါ်မှာေပြောခဲ့သလိုပါပဲ Operation System , Application တွေမှာ  Temp File တွေကို ရည်ရွယ်ချက်မျိုးစုံပုံစံမျိုးစုံနဲ့  နေရာမျိုးစုံမှာ ထုတ်ပေးထား သိမ်းထားပါတယ်။ Temp File တွေအားလုံးကို List လုပ်ဖို့မလွယ်ကူပါဘူး။ Investigation လုပ်နေတဲ့အချိန်အတွင်းမှာ လိုအပ်တဲ့ Temp File ကို Analysis လုပ်ရမှာ ဖြစ်ပါတယ်။

 Temp File တွေက အချိန်အကြာကြီး ရှိမနေနိုင်ပါဘူး။ Operation System , Application တွေ Crashes ဖြစ်သွားတဲ့အချိန်မှာဆိုရင်တော့ Temp File တွေကျန်နေတတ်ပါတယ်။ Temp File တွေမှာ Metadata တွေ encrypted   မဖြစ်ခင်တုန်းက Document တွေရှိရှိနေတတ်ပါတယ်။ Temp File တွေက အချိန်အကြာကြီးမရှိပဲ ပျက်စီးတတ်သလို ပျက်သွားတဲ့အခါမှာလဲ  နောက် အဲဒီနေရာကို နောက်ထပ် File တစ်ခု ဝင်ရောက်မလာမချင်း Recovery ပြုလုပ်လို့ရပါတယ်။ ဒါကြောင့် Delete File Recovery ကလဲ Evidence ရှာဖွေတဲ့နေရာမှာ အရေးကြီးပါတယ်။ 

 Data Hiding Locations 

Forensics procedures တွေအကုန်လုံးက လူတွေက  ရှာဖွေမတွေ့ရှိစေချင်တဲ့ အချက်အလက်တွေကို ရှာဖွေရတာဖြစ်ပါတယ်။ Suspect ရဲ့ Knowledge Level , Evidence Location , ရှာရမဲ့ Data အပေါ်မူတည်ပြီး တစ်ခါတစ်ရံမှာ Metadata တွေနဲ့Log အနည်းအငယ်ကြည့်ရုံနဲ့ ရှာဖွေနိုင်ပါတယ်။ တစ်ခါတစ်ရံမှာတော့ Suspect ရဲ့ Knowledge နဲ့ သူရဲ့ လုပ်ကိုင်တတ်မှုတွေကြောင့် ရှာဖွေရခက်ခဲတာတွေရှိပါတယ်။ ကြောင်နဲ့ကြွက်လိုပဲ system နဲ့ Suspect ရဲ့Knowledge အပေါ်မှာ လုပ်ဆောင်ရမှာ ဖြစ်ပါတယ်။ နောက်လာမဲ့ အကြောင်းအရာတွေကတော့ Data hidden လုပ်တတ်တဲ့ နေရာတွေ ဖြစ်တဲ့ - Metadata, Window Registry , ADS အကြောင်းပဲ ဖြစ်ပါတယ်။ Window Registry က Configuration  File တွေအများကြီးပါတဲ့ Directory ပဲဖြစ်ပါတယ်။ ဒီ Configuration တွေကို OS နဲ့ Application တွေက  အသုံးပြုပြီး OS , Application တွေ ဘယ်လိုလုပ်ဆောင်တယ်ဆိုတာကို Registry က သိမ်းထားပေးပါတယ်။ Vlog ထဲမှာလဲ Window Registry အကြောင်းအရင်ကရေးထားတာတွေရှိပါတယ်။ ဥပမာ အနေနဲ့ Window မှာ  Startup ဖြစ်တဲ့ Program တွေကို သိမ်းထားတဲ့နေရာက HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 

Registry တွေကို Directories  အနေနဲ့ဖွဲ့စည်းထားပြီး Keys လို့ခေါ်ပါတယ်။ Key တစ်ခုချင်းစီမှာ Values တွေရှိပြီး Values တစ်ခုချင်းစီမှ Data တွေရှိပါတယ်။ Registry Values တွေနဲ့ Data တွေကို ကြည်ဖို့ ပြင်ဆင်ဖို့ Tools တွေအများကြီးရှိပါတယ်။  Regedit ကတော့ အများဆုံး အသုံးပြီး Window Pre-Installed အနေနဲ့ပါပါတယ်။ Registry ကရှုပ်ထွေးတဲ့ ပုံစံအနေအထားရှိပါတယ်။ Registry Tree ထဲမှာ တစ်ခုခုကို ထည့်ထားမယ်ဆိုရင် မသိသာပါဘူး။  Registry က Window မှာပဲရှိတာဖြစ်ပြီး အခြား Window Platform တွေမှာ မရှိပါဘူး။ Linux မှာဆိုရင် Configuration File တွေက /etc  အောက်မှာရှိပါတယ်။ နောက်ထပ် Data တွေကို Hide လို့ရတဲ့နေရာကတော့ Document Metadata ထဲမှာဖြစ်ပါတယ်။ Document Metadata ထဲမှာ Hide ထားရင် Investigator က ဘယ်နေရာမှာ ရှာရမယ်ဆိုတာသိရင်လွယ်ကူပေမဲ့ File Type တွေ အများကြီး Document တွေအများကြီးဆိုရင် သတိပြုမိမှာ မဟုတ်ပါဘူး။ Window file search tools တွေ String Tools တွေနဲ့ Document Metadata ကိုရှာဖွေနိုင်ပါတယ်။ String Tools အကြောင်းကို PE Analysis မှာ ထပ်ရှင်းပါမယ်။ Document ထဲမှာ Data Hide တဲ့နည်းလမ်းတွေ Google မှာ အများကြီးှရှိပါတယ်။ 

Window Registry 

Data Hiding - New Key - New Value - New Data 

နောက်ထပ် Data  Hide လို့ရတဲ့နည်းလမ်းတစ်ခုကတော့ Alternative Data String  (ADS) ပဲဖြစ်ပါတယ်။ (ADS) နည်းလမ်းက NTFS File System တစ်ခုထဲမှာပဲ အလုပ်လုပ်ပါတယ်။ MAC OS မှာလဲ Compatibility Mode အနေနဲ့ အသုံးပြုနိုင်ပါတယ်။ ADS က File &Size နဲ့ View ကို ပြောင်လဲခြင်းမရှိပဲ Data ကို Hide နိုင်ပါတယ်။ Text File ကိုဖွင့်ကြည့်ရင် ဘာစာမှ မြင်ရမှာမဟုတ်ပါဘူး။ File Size ကလဲ Zero ဖြစ်နေမှာဖြစ်ပါတယ်။ ADS ကို Strramms.exe , ADS Detector တို့နဲ့ Analysis လုပ်နိုင်ပါတယ်။ အလွယ်ကူဆုံးနည်းလမ်းကတော့ FAT 32 Partition ထဲကို Suspect ဖြစ်တာကို ပြောင်းထည့်တာ ဖြစ်ပါတယ်။ (ADS) နည်းလမ်းက NTFS File System တစ်ခုထဲမှာပဲ အလုပ်လုပ်တဲ့အတွက်ကြောင့်ဖြစ်ပါတယ်။ ဒါတွေအပြင် ကျန်တဲ့နည်းလမ်းတွေဖြစ်တဲ့ Steganography, Convert Channel တိုလို့နေရာတွေ Cloud လိုနေရာမျိုးတွေ အများကြီးရှိပါတယ်။ 

Alternative Data String  (ADS)

File Analysis 

Docx Analysis 

Docx Extension ကို Microsoft Word 2007 နှင့် နောက်ပိုင်း MS Version တွေမှာ အသုံးပြုပါတယ်။ MS 2003 နဲ့ အရင် Version တွေမှာတော့ DOC Format ကို အသုံးပြုပါတယ်။ DOC File တွေက Binary File တွေဖြစ်ပြီး အရင် MS Version တွေမှာ အသုံးပြုတာဖြစ်ပါတယ်။ doc, ppt,Xls တွေမှာ သူတို့ရဲ့ Own Structure တွေ Content တွေရှိပါတယ်။ DOC  File တွေမှာ Mainstream လို Section များစွာပါဝင်ပါတယ်။ သူ့မှာ Main Data တွေ Document Information ပါဝင်တဲ့ Header တွေပါဝင်ပါတယ်။ ပြီးရင် Documentထဲမှာ ရှိတဲ့  အခြား Elements တွေကို Point လုပ်ပေးပါတယ်။ အဲဒီ Header ကို File Information Block လို့ခေါ်ပါတယ်။ Summary Section မှာတော့ Document  ရဲ့ Summary အပိုင်းပါဝင်ပါတယ်။ Table Stream မှာတော့ Main Stream Header ထဲမှာရှိတဲ့ Information Block ကို Point လုပ်တာတွေပါဝင်ပါတယ်။ 

Microsoft Word 2007 ကနေစပြီး XML Format ကိုအသုံးပြုပါတယ်။ XML ကိုအသုံးပြုခြင်းအားဖြင့် Decomposing , Parsing လုပ်တာတွေမှာ ပိုပြီးလွယ်ကူလာပါတယ်။ လုံခြုံရေးအရလဲ အရင်ကထက်ပိုပြီး ကောင်းမွန်လာပါတယ်။ Low Level အနေအထားအရ DOCX File ကို WinRar  Or Zip နဲ့ ဖွင့်ကြည့်တဲ့အခါမှာ XML File တွေ Binary File တွေပါဝင်ပါတယ်။ 

DOCX  File ရဲ့အစက 50 4B 03 04 14 00 06 00 08 00 00 00 21 00 F0 21

50 4B 03 04 14 00 06 00 08 00 00 00 21 00 F0 21

DOCX  File ရဲ့ Trailer /  File last Section အစက docProps/app.xml 

docProps/app.xml 

Core.xml File ထဲမှာတော့ Document File ရဲ့ မူလအစ Author Name, Last Editor, Create နဲ့ Edit Date, Etc  စတာတို့ပါဝင်ပါတယ်။ 

Core.xml

App.xml File ထဲမှာတော့ Document ထဲမှာရှိတဲ့ Content တွေပါဝင်ပါတယ်။ Number Of Words, Character, Line အရည်အတွက် File ကို Create လုပ်တဲ့ Application Name, Etc .. စတာတွေပါဝင်ပါတယ်။ 

App.xml

အခြား Software တွေလိုပဲ MS Office ကို အသုံးချပြီး ကွန်ပျူတာကို  Malware ကူးစက်နိုင်ပါတယ်။ MS Office  /Product  ရဲ့အားနည်းချက်ကို အခွင့်ကောင်းယူပြီး Macro Script တွေပေါင်ထည့်တာတွေ Malware တွေပေါင်းထည့်တာတွေရှိပါတယ်။