Digital Forensic

Last updated 1 year ago

Was this helpful?

Digital Forensic

โดยปกติการตรวจพิสูจน์พยานหลักฐานทางดิจิทัล Digital Forensic จะประกอบไปด้วยเครื่องมือมากหมาย ซึ่งเราจะมาเริ่มที่พื้นฐานของการทำ Digital Forensic นั่นก็คือการทำสำเนาข้อมูลและการกู้คืนข้อมูล Forensics Imaging ด้วย FTK Imager

Forensics Imaging

การตรวจพิสูจน์พยานหลักฐานทางดิจิทัล ห้ามทำกับต้นฉบับ จึงต้องมีการทำสำเนาข้อมูล Forensics Imaging โดยจะทำการสำเนาข้อมูลในแต่ละ Sector ตั้งแต่ Sector ถึง Sector สุดท้าย ไปยัง Hard Drive หรือ External Hard Drive โดยทั่วไปข้อมูลดิจิทัลสามารถแบ่งได้เป็น 2 ประเภท

Volatile Data

ข้อมูลในหน่วยความจำที่สามารถสูญหายได้เมื่อปิดอุปกรณ์อย่าง RAM เช่น Running Application, Running Process, Open Port, Password Cache รวมถึงบุคคลอื่นที่สามารถเข้ามาควบคุมคอมพิวเตอร์โดยที่เจ้าของไม่รู้ตัวผ่านทาง Malware

Non-Volatile Data

ข้อมูลในหน่วยความจำที่ไม่สูญหายเมื่อปิดอุปกรณ์อย่าง Hard Drive, Solid State Drive เช่น Image, File Document ทั่ว ๆ ไปที่เราใช้งานกันอยู่ทุกวัน ปัจจุบันมีขนาด 1TB กันแล้ว ในการทำสำเนาข้อมูลควรคำนึงถึงคำนวณความเร็วในการอ่านเขียนข้อมูล ( Read / Write ) เวลาที่ใช้ในการตรวจสอบความถูกต้องของข้อมูล ( Hashing ) ขนาดของสื่อที่ใช้ในการทำสำเนาข้อมูลห้ามน้อยกว่าต้นฉบับ และควรล้างข้อมูลสื่อที่ใช้ในการทำสำเนา ด้วยการการแทนที่ข้อมูลทั้งหมดด้วยเลข 0 ( ) รวมถึงการทำสำเนาข้อมูลต้องทำผ่านอุปกรณ๋ Write Blocker เพื่อป้องกันการเปลี่ยนแปลงของข้อมูลหลักฐาน ซึ่งมีผลต่อการนำไปใช้อ้างอิงพยานหลักฐานในชั้นศาล