Tha Eng
 
 
Computer Forensics คืออะไร
 
 
Computer Forensics คือ การเก็บหลักฐาน, การค้นหา, วิเคราะห์ และการนำเสนอหลักฐานทางดิจิทัลที่อยู่ในอุปกรณ์คอมพิวเตอร์และอิเล็กทรอนิกส์ เช่น ไฟล์ที่อยู่ในคอมพิวเตอร์,อุปกรณ์อิเล็กทรอนิกส์, โทรศัพท์มือถือ รวมถึงหลักฐานดิจิทัลที่ถูกสร้างจากระบบคอมพิวเตอร์ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถนำไปใช้ระบุผู้กระทำผิดจนถึงเป็นหลักฐานในการดำเนินคดีได้ กล่าวอีกนัยหนึ่งก็คือ ใช้กระบวนการซึ่งได้จัดสร้างไว้แล้ว และเป็นที่ยอมรับ ในการที่จะระบุ, บ่งชี้, เก็บรักษา และดึงข้อมูลแบบดิจิทัลกลับออกมา ซึ่งจะมีความสำคัญตต่อการสืบสวน

Computer Forensics เป็นศาสตร์ทางด้านการสืบสวนที่เกี่ยวกับคอมพิวเตอร์โดยผู้ทำการสืบสวน นั้น จะนำอุปกรณ์คอมพิวเตอร์ที่เกี่ยวข้องกับคดีหรือเรื่องที่กำลังสืบสวนมาค้นหาข้อมูล เพื่อหาเอาพยานหลักฐานสำหรับใช้ในการประกอบการสืบสวนหรือใช้ค้นหาผู้กระทำความผิดออกมา ทั้งนี้ตามวิธีการของการทำ Computer Forensics ซึ่งหลักสำคัญคือหลักฐานทางดิจิทัล นั้น จะต้องใช้วิธีการที่ ไม่มีการเปลี่ยนแปลงใดๆทั้งสิ้นแก่พยานหลักฐานดิจิทัล ต้นฉบับเดิมดังนั้นผู้ที่ทำงานด้าน Computer Forensicsจะต้องรู้กระบวนการที่ถูกต้องและใช้เครื่องมือที่มีความน่าเชื่อถือเพื่อความสมบูรณ์และถูกต้องของพยานหลักฐานสิ่งที่ได้จาก Computer Forensic
- บ่งชี้ผู้ต้องสงสัยว่าเป็นผู้กระทำผิด
- บ่งชี้ผู้สมคบคิดกับผู้กระทำผิด
- บ่งชี้ websites ที่ผู้กระทำผิดเข้าไปใช้
- อีเมลที่มีการส่งและรับ
- ไฟล์ที่ได้ถูกลบทิ้งและไฟล์ที่ซ่อนอยู่
- ข้อมูลส่วนบุคคล เช่น ข้อมูลด้านการเงิน, ที่อยู่ ฯลฯ
- ความสามารถและความสนใจของของบุคคลนั้นๆ
- พยานหลักฐาน การประกอบอาชญากรรมอื่นๆ

ในการค้นหาหลักฐานทุกครั้งนั้นผู้เชี่ยวชาญด้าน Computer Forensics จะทำการตรวจสอบข้อมูลทางอิเล็กทรอนิกส์ ที่เก็บใว้ในคอมพิวเตอร์ และ อุปกรณ์จัดเก็บข้อมูลทางดิจิทัลสำหรับหลักฐานที่ใช้แนวทางของการทำ Computer Forensics ในการค้นหาหลักฐาน มีความจำเป็นที่ขั้นตอนนี้ต้องมีความชัดเจนในการในการอธิบายหลักฐานในแนวทางของ Computer Forensics

แนวทางการทำ Computer Forensics เป็นวิธีการที่ไม่มีการเปลี่ยนแปลงแหล่งที่มาของหลักฐาน หรืออาจมีการเปลี่ยนแปลงน้อยที่สุดเพื่อให้ใด้หลักฐานที่ต้องการ วิธีการได้มาของหลักฐานจะถูกบันทึกเป็นเอกสารและสามารถพิสูจน์ได้

การทำ Computer Forensics สามารถแบ่งออกเป็น 5 ขั้นตอนที่สำคัญดังนี้
การเก็บรักษาหลักฐาน - เมื่อมีการจัดการกับข้อมูลทาง digital ผุ้ตรวจสอบจะต้องทำทุกอย่างเพื่อรักษาข้อมูล การรักษาข้อมูลนี้จะต้องทำในลักษณะที่จะไม่มีการเปลี่ยนแปลงข้อมูลที่พบ การกระทำในลักษณะนี้จะเกี่ยวข้องกับการทำ Forensics Imagesหรือ การโคลนนิ่งฮาร์ดดีสก์ ข้อมูลทาง Digital อาจเก็บไว้ใน ฮาร์ดดีสก์, CD/DVD,Floppy disks,pen drives, โทรศัพท์มือถือ ,เครื่องเล่นเพลง และเทปสำรองข้อมูล

การระบุหลักฐาน - ในแต่ละปีความจุของฮารดดีสก์จะเพิ่มขึ้นเรื่อยๆ ส่งผลถึงการตรวจสอบข้อมูลอาจต้องเกี่ยวข้องกับข้อมูลจำนวนมากกว่าหนึ่งร้อยกิ๊กกะไบต์ เพื่อที่จะระบุหลักฐานที่มีคุณภาพผู้เชี่ยวชาญจะใช้เทคนิค เช่น การระบุคำในการค้นหา (keyword),แยกไฟล์ที่ต้องการค้นหา เช่น ไฟล์เอกสาร, ไฟล์รูปภาพ หรือไฟล์ประวัติการใช้งานอินเตอร์เน็ต

การแบ่งข้อมูล - เมื่อมีการพบหลักฐาน และจำเป็นที่จะต้องนำข้อมูลออกจาก forensic image การแสดงผลขึ้นอยู่กับปริมาณข้อมูล อาจใช้การปรินท์ออกมา แต่กรณีที่ข้อมูลมีจำนวนมาก เช่น ประวัติการใช้งานอินเตอร์เนต ซึ่งอาจมีข้อมูลมากถึง 100 หน้า ดังนั้นบางครั้งจึงต้องแสดงผลในรูปแบบของสื่ออิเล็กทรอนิกส์

การระบุหลักฐาน - การระบุถึงหลักฐานและการนำมาแสดงถือเป็นหน้าที่สำคัญของผู้ทำ Computer forensic การนำข้อมูลที่ถูกต้องมาแสดงถือเป็นเรื่องสำคัญมาก ผู้ทำจะต้องไม่เชื่อในผลของเครื่องมือแต่เพียงอย่างเดียวแต่จำเป็นจะต้องสามารถตรวจสอบข้อมูลที่ได้จากซอฟท์แวร์ computer forensic นั้นด้วย

หลักฐานที่ใด้ - สิ่งที่สำคัญในการทำ Computer Forensics คือ การจดบันทึกการทำงานที่เกี่ยวข้องกับสื่อดิจิทัลทุกขั้นตอนตลอดการค้นหาข้อมูล บันทึกจะต้องมีข้อมูลที่เพียงพอที่จะให้บุคคลที่สามสามารถเข้าใจได้ หลักฐานสำคัญที่ได้มาจะไม่มีประโยชน์เลยถ้าไม่สามารถเขียนรายงานให้เข้าใจได้ สิ่งที่จำเป็นคือการหลีกเลี่ยงคำที่กำกวมเมื่อจำเป็นจะต้องใช้ศํพท์ทางเทคนิคซึ่งจะต้องมีการอธิบายให้เข้าใจ

หลักการสำคัญในการได้มาซึ่งหลักฐานทาง Computer Forensics
หลักการที่ 1: จะต้องไม่มีการกระทำโดยหน่วยงานด้านกฎหมายหรือตัวแทนบริษัทกฎหมายที่จะทำให้เกิดการเปลี่ยนแปลงข้อมูลที่ตรวจพบในเครื่องคอมพิวเตอร์หรือสื่อจัดเก็บข้อมูลระหว่างการนำหลักฐานไปนำเสนอต่อศาล

หลักการที่ 2: ในกรณีที่บุคคลใดมีความจำเป็นที่จะมีการเข้าถึงข้อมูลในคอมพิวเตอร์หรือสื่อบันทึกข้อมูลซึ่งเป็นหลักฐาน บุคคลนั้นจะต้องอธิบายถึงความเกี่ยวข้องกับข้อมูลและผลกระทบจากการกระทำนั้น

หลักการที่ 3: จะต้องมีการตรวจสอบและบันทึกการดำเนินงานที่เกี่ยวข้องกับหลักฐานซึ่งถ้ามีบุคคลภายนอกมาเกี่ยวข้องจะต้องมีการบันทึกไว้เช่นกัน

หลักการที่ 4: บุคคลที่รับผิดชอบในการดำเนินงาน(เจ้าหน้าดูแลกรณีนั้นโดยตรง) จะต้องรับผิดชอบต่อการกระทำเพื่อให้มั่นใจว่าจะปฎิบัตตามกฎหมายและหลักการ Computer Forensics

หลักการของ Computer Forensics 4 ข้อ ที่นำเสนอ สามารถนำไปใช้ในคดีต่างๆ ไม่ว่าจะเป็น คดีอาญา, คดีแพ่ง หรือการสืบสวนภายในองค์กร การนำหลักการนี้จะช่วยให้ไม่เกิดคำถามในเรื่องความสมบูรณ์ของหลักฐานดิจิทัล
 
Download PDF
ข่าว
 
บริษัท โอไร้อัน อินเว็สทิเกชั่น จำกัด
ห้อง 1601, 2001-2002, 2501 ชั้น 16, 20, 25 อาคารบางกอกบิสิเนส เซ็นเตอร์
29 สุขุมวิท 63 แขวงคลองตันเหนือ เขตวัฒนา กรุงเทพฯ 10110 ประเทศไทย
โทร : +66-2-7143801 ถึง 3 แฟ็กซ์ : +66 (0) 2 714 3804
อีเมล : hi-tech@orioninv.co.th หรือ forensics@orionforensics.com
A Member Of
   
Copyright © 2013 Orion Investigation Co., Ltd.