Digital Forensics Myanmar

Sleuth Kit® (TSK) က Disk Analysis နဲ့ File Recovery အတွက် ၂၀၀၈ ခုနှစ်ကတည်းက ပြုလုပ်ထားတဲ့ Open Source CLI Tools တစ်ခုဖြစ်ပါတယ်။ Sleuth Kit® (TSK)  ကို C and Perl နဲ့ရေးသားထားပြီး The Coroner's Toolkit (TCT) ကနေ Code အချို့ထပ်ပြီးပေါင်းထည့်ထားပါတယ်။ နောက်ပြီး ကိုယ်တိုင်ရေးသားထားတဲ့ Tools တွေပါထပ်ပြီး ပေါင်းထည့်လို့ရပါတယ်။ Sleuth Kit® (TSK) ကိုအောက်ပါ Operation System တွေမှာအသုံးပြုလို့ရပါတယ်။ Sleuth Kit® (TSK) ကို Open Source Forensics Tools တစ်ခုဖြစ်တဲ့ Autopsy အပြင် အခြား Commercial Digital Forensics Tools တွေမှာပါအသုံးပြုထားပါတယ်။ Linux Mac OS X Windows  Open & FreeBSD Solaris Sleuth Kit® (TSK) ကနေ Suppot ပေတဲ့ File System နဲ့ Image File Type တွေက အောက်ပါအတိုင်း ဖြစ်ပါတယ်။ Sleuth Kit® (TSK) နဲ့ပတ်သတ်ပြီး The Sleuth Kit မှာအသေးစိတ်ကြည့်နိုင်ပါတယ်။ Analyzes raw (i.e. dd), Expert Witness (i.e. EnCase) and AFF file system and disk images.  Supports the NTFS, FAT, ExFAT, UFS 1, UFS 2, EXT2FS, EXT3FS, Ext4, HFS, ISO 9660, and YAFFS2 file systems (even when the host operat...

 File Carving  File Content တွေက ဖျက်ထားပေမဲ့ သူ့နေရာကို အခြား File တစ်ခုက Over Written မဖြစ်ခင်အထိရှိနေပါတယ်။ File တွေကသူ့ရဲ့  Original File Structure အတိုင်းမဖြစ်ရင် ဖွင်လို့ရမှာ မဟုတ်ပါဘူး။ PDF ဆို PDF Word File ဆို Word File ဆိုပြီး သူတို့ရဲ့ File Structure တွေရှိပါတယ်။  Data Recovery Software တွေက ဖျက်လိုက်တဲ့ File ရဲ့  File System Structure (File Table)  တွေကိုကြည့်ပြီး Recovery ပြုလုပ်ပါတယ်။  File Content တွေရဲ့ File Structure တွေပျက်စီးသွားခဲ့ရင် File တွေကိုကြည့်လို့ ဖွင့်လို့ မရတော့ပါဘူး။ What Is File Carving? File Carving ဆိုတာက File System Metadata  ပျောက်နေပြီး Raw Data  ဖြစ်နေတဲ့ File တွေကနေ File Structure, File Content တွေကို  Recovery ပြုလုပ်ခြင်းဖြစ်ပါတယ်။ တစ်နည်းအားဖြင့် Raw Data တွေကနေ အချက်အလက် ရရှိအောင်ပြုလုပ်ခြင်းဖြစ်ပါတယ်။ Example – Unlocated Space ကနေ Deleted File တွေကိုပြန်လည်ရယူခြင်း။  Why Need File Carving? File System Corruption Formatted Device Unknown File Formats  File Deleted ဖြစ်တဲ့အချိန်တွေမှာ F...

Alternative Data Stream (ADS)   NTFS File System မှာ one $DATA Attribute မှာတစ်ခုထပ်ပိုပြီးရှိနိုင်ပါတယ်။ အဲဒါကတော့ Alternative Data Stream (ADS) ပဲဖြစ်ပါတယ်။ ADS ကို Data Hiding ပြုလုပ်တဲ့နေရာမှာ အသုံးပြုပါတယ်။  အခုဆိုရင် DFM.TXT File အတွက် နောက်ထပ်  $DATA Attribute တစ်ခုကိုပြုလုပ်လို့ပြီးပါပြီး။  သာမန်ကြည့်ရင် DFM.TXT File ကိုပဲမြင်ရမှာ ဖြစ်ပြီး  DFM.TXT File ထဲမှာ Hidden ဖြစ်နေတဲ့  File.TXT File ကိုမြင်ရမှာ မဟုတ်ပါဘူး။ ADS ကိုမြင်ဖို့အတွက် အောက်မှာပြထားတဲ့ Command ကိုအသုံးပြုပြီးကြည့်နိုင်သလို။ Disk Editor တွေနဲ့လဲဖွင့်ကြည့်နိုင်ပါတယ်။ Forensics Tools တွေမှာတော့ ADS ကိုရှာဖွေပြီးဖော်ပြပေးပါတယ်။  ADS File ကို အောက်ပါအတိုင်း Disk Editor နဲ့လဲဖွင့်ကြည့်နိုင်ပါတယ်။ နောက်တစ်နည်းကတော့ ADS File ကို FAT File System ရှိတဲ့ Storage ထဲကိုထည့်ပြီး ဖွင့်ကြည့်တာဖြစ်ပါတယ်။ ADS က  NTFS File System မှာသာ အလုပ်လုပ်ပါတယ်။  File  And RAM SLACK  Storage  ပေါ်မှာ Data တွေကို သိမ်းဆည်းတဲ့အခါမှာ File Size အရ  Disk Space (Storage)  လိ...

  SQLite ကို Android Phone, Apple Phone , MAC OS, Window တို့မှာ အချို့ Application တွေရဲ့ Data တွေကို  သိမ်းဆည်းဖို့ အများဆုံးအသုံးပြုပါတယ်။  Message Application တွေဖြစ်တဲ့ Viber, Telegram, What App , Skype,  Messenger စတဲ့ Message Application တွေက Desktop Version ပဲဖြစ်ဖြစ် Mobile Version ပဲ ဖြစ်ဖြစ် SQLite Database ကို အသုံးပြုပါတယ်။  ဒါ့အပြင် Contact, Call Log , Message (SMS)  စတာတွေမှာ SQLite Database ကို အသုံးပြုပါတယ်။ Window ဆိုရင်လဲ Browser တွေရဲ့ History  , Window Timeline History ကိုသိမ်းဆည်းတဲ့နေရာ Mac OS ဆိုရင်လဲ အဓိကကျတဲ့ Artifacts တွေကို သိမ်းဆည်းတဲ့နေရာမှာအများဆုံးအသုံးပြုပါတယ်။  SQLite မှာ Journal File 2 File ရှိပါတယ်။ Journal File  Write-Ahead Log (WAL) File   Journal File  Database မှာ ရှိတဲ့ Data တွေကို Page အနေနဲ့ သိမ်းထားပြီး Page Size က‌တော့ Developer သတ်မှတ်တဲ့ အတိုင်းရှိပါတယ်။ Default ကတော့ 4096 Bytes ဖြစ်ပါတယ်။ Database တစ်ခုထဲမှာ ရှိတဲ့ Page File တွေက Same Size ဖြစ်ပါတယ်။ Page-1 က 4096 Bytes ဆိုရင် ကျန...