eCDFP (Data Acquisition) (Part-3)

eCDFP (Data Acquisition) (Part-3)  

    Microsoft က Windows XP   မှစပြီး USB Write Protect ကို ပြုလုပ်လို့ရပါတယ်။ Write Blocker တွေက ဈေးကြီး တဲ့အတွက် USB Write Protect ကို  Work Station မှာ ပြုလုပ်နိုင်ပါတယ် HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control ထဲမှာ New Key Storage Device policies ကို ပြုလုပ်ရမှာ ဖြစ်ပါတယ်။ Write Protect ကို disable ပြန်လုပ်ချင်ရင် 1-0  ပြန်ပြောင်းပေးရမှာ ဖြစ်ပါတယ်။   Window +R  ---- > (Regedit) 

                              

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Access Data FTK Imager 

Access Data FTK Imager  ကို နိုင်ငံတော်တော်များများမှာ ရှိတဲ့ Law Enforcement  တွေ တော်တော်လေး အသုံးပြုပါတယ်။  Imager တွေထဲမှာလဲ နာမည်ကြီးပါတယ်။  Storage Device မျိုးစုံကို Analysis ပြုလုပ်ရန်အတွက် Forensics Image Format မျိုးစုံပြောင်းလဲနိုင်ပါတယ်။ FTK Imager  ကို အသုံးမပြုခင် Storage နဲ့ Worksation ကြားမှာ Write Blocker သို့မဟုတ် Work Station မှာ Write Protect ပြုလုပ်ထားရှိသင့်ပါတယ်။ Forensics Image ပြုလုပ်ပြီးရင် မူရင်း Storage Size နဲ့ Forensics Image Size က တူညီနေရမှာ ဖြစ်ပါတယ်။ 

Course ထဲမှာ Basic ‌အနေနဲ့သာပါရှိပါတယ်။ FTK Imager အသုံးပြုနည်းအတွက် Access Data ကနေ Paid Training သက်သက် ရှိပါတယ်။ ကျန်တာတွေကို Digital Forensics With Autopsy မှာ  အသေးစိတ်ဖော်ပြသွားမှာ ဖြစ်ပါတယ်။

FTK Imager Download Link - > Download Last Version 

FTK Imager Main Page 

FTK က Commercial Tool ဖြစ်ပါတယ်။ ဒါပေမဲ့ FTK Imager ကို အခမဲ့ ရယူနိုင်ပါတယ်။ eCDFP  Course မှာ  FTK Imager Basic ကိုရေးသားထားပါတယ်။ Forensics Image ပြုလုပ်ပုံ- 

File - > Create Disk Image 

Physical, Logical, Image File, Files, and Folders စသည်ဖြင့် ကိုယ် Acquisition  ပြုလုပ်မည့် နည်းလမ်းအပေါ်မူတည်ပြီး  Choice လုပ်နိုင်ပါတယ်။ 

Forensic Image ထားရှိမဲ့နေရာ Forensics Image Format ကို Choice လုပ်ရပါမယ်။ 

Case နဲ့ပတ်ပတ်တဲ့ အချက်လက်များ ကို ထည့်ရပါမယ်။ 

Forensics Image  Save မည့်နေရာနှင့် File Name ပေးရပါမယ်။ ဒီနေရာမှာ Forensics Image ကို Size Split လုပ်တာ။ Forensics Image ကို Password ပေးတာလုပ်လို့ရပါတယ်။ 

Imaging ပြီးတဲ့အခါမှာ Verification Result  ရရှိပါတယ်။ Chain Of Custody အတွက် Save ထားရမှာ ဖြစ်ပါတယ်။ 

Forensics Image နှင့် Forensics Image Metadata 

Forensics Image Metadata 

FTK မှာ ပြုလုပ်ထားပြီးသား Forensics Image Size သို့မဟုတ် အခြား Support ပေးတဲ့ Forensics Image ကို Mount ပြီး Analysis ပြုလုပ်လို့ရပါတယ်။ Registry, Pagefile.sys, Hyberfil.sys တို့လို File တွေကို လဲ Choice လုပ်ပြီး Analysis လုပ်ဖို့ Export ပြုလုပ်လို့ရပါတယ်။ 

Forensics Image Mount 

Analysis, Export File For Analysis 

Forensics Image ကို Actual Physical, Logical Device ပုံစံမျိုး အနေနဲ့ (Read Only Mode) ဖြင့် Analysis ပြုလုပ်လို့ရပါတယ်။ 

Forensics Image Mount 

Forensics Image View 

Live Response 

Live Response  အတွက် eCDFP က ညွှန်းထားတာကတော့ brimorlabs ပဲဖြစ်ပါတယ်။ Live Response အတွက် Linux, Window, Mac အတွက် အစုံပါပါတယ်။ Result File တွေက brimorlabs ရှိတဲ့ Folder ထဲသွားသိမ်းမှာ ဖြစ်ပါတယ်။ 

Download Link - BRIMOR

Main Page 

ကိုယ်ရွေးချယ်တဲ့ အလုပ်အပေါ်မူတည်ပြီး အချိန်အတိုင်းအတာ တစ်ခုအထိကြာပါတယ်။  I Choice Triage Method.

Result File Location 

Live Response Data 

Sample Action Perform By Tool

Each File Own His  Hash Value 

Memory Dump File (I don't Collect Disk Image)