Tha Eng
 
 
เทคนิคของ Computer Forensics
 
การทำ Computer Forensic เริ่มจากการเก็บข้อมูลทั้งหมดของสื่อบันทึกข้อมูล เช่น ฮาร์ดดีสก์ แบบบิตต่อบิตให้ครบถ้วนสมบูรณ์ที่สุด เพื่อใช้ในการตรวจสอบการทำงาน หรือข้อมูลที่สนใจต่างๆ ซึ่งเทคนิคนี้เรียกว่า “Bit-Stream Copy” ซึ่งเทคนิคนี้นั้นจะถูกใช้ในซอฟต์แวร์ Computer Forensic tools เทคนิคนี้จำเป็นมากในการทำ Computer Forensic เนื่องจากเป็นวิธีที่สามารถเก็บข้อมูลทุกอย่างที่เกิดขึ้นบนเครื่องของผู้ที่ถูกตรวจสอบได้ทั้งหมด ไม่ว่าจะเป็นการลบไฟล์ หรือการรับส่งอีเมล์ ข้อความการสนทนา รวมถึงข้อมูลในรูปของแคชที่สร้างโดยแอพพลิเคชันต่างๆ ทำให้ข้อมูลที่ได้มาทั้งหมดนี้สามารถนำมาใช้สร้างฮาร์ดดิสก์ที่มีข้อมูลเหมือนกับเครื่องที่ถูกเก็บได้ทุกประการ

หลักฐาน Computer Forensic ที่ต้องค้นหา
• เซฟไฟล์ (Saved Files)
เป็นไฟล์ข้อมูลที่ถูกสร้างขึ้นโดยการใช้งานแอพพลิชันต่างๆ เคยถูกใช้ หรือมีอยู่ในเครื่องคอมพิวเตอร์ แต่ถูกซ่อนไว้ไม่ให้หาพบ หรือโดนเปลี่ยนแปลงชื่อ หรือนามสกุลเพื่อไม่ให้สามารถตรวจสอบข้อมูลที่มีอยู่ข้างในได้ ตัวอย่างเช่น ไฟล์ของ MS Word หรือ Log ไฟล์ที่แสดงรายละเอียดการใช้งาน
• ไฟล์ที่ถูกลบ (Deleted Files)
ไฟล์ข้อมูลที่ถูกลบทิ้งไปโดยผู้ใช้ ในความเป็นจริงแล้วไฟล์ดังกล่าวยังอยู่ไม่ได้ถูกลบไป เพียงแต่ระบบปฎิบัติการจะไม่มีการแสดงไฟล์ที่ถูกลบให้ผู้ใช้เห็นอีกเท่านั้น ดังนั้นถ้ายังไม่มีการเขียนข้อมูลใหม่ลงไปทับในส่วนของไฟล์ที่ถูกลบไปนั้น ก็เป็นการง่ายที่จะกู้ไฟล์ที่ถูกลบนั้นได้
• ไฟล์ที่ใช้ชั่วคราว (Temporary Files)
โดยทั่วไประบบปฎิบัติการ หรือโปรแกรมใดๆ ก็ตามเวลาใช้งานจะสร้างไฟล์ของข้อมูลในการทำงานนั้นไว้ที่ใดที่หนึ่ง เพื่อเรียกใช้งาน แต่เมื่อผู้ใช้ปิดโปรแกรม หรือปิดเครื่องคอมพิวเตอร์ ไฟล์เหล่านี้ก็จะถูกลบทิ้งไปโดยอัตโนมัติ ซึ่งไฟล์เหล่านี้นั้นสามารถถูกกู้ขึ้นมาเพื่อตรวจสอบการใช้งานระบบปฎิบัติการ หรือโปรแกรมต่างๆ ในเครื่องคอมพิวเตอร์ได้
• เมต้าดาต้า (Metadata)
ข้อมูลนี้จะเป็นส่วนที่ซ่อนอยู่ในไฟล์ทุกไฟล์ ว่าไฟล์ดังกล่าวนั้นถูกสร้างขึ้นมาโดยซอฟต์แวร์อะไร เมื่อไร ซึ่งจะทำให้สามารถตรวจสอบได้ว่าไฟล์ดังกล่าวนั้นมีที่มาอย่างไร เพราะเมต้าดาต้าตัวนี้ไม่สามารถเปลี่ยนแปลงได้แม้ว่าผู้ใช้จะลบ หรือทำการเปลี่ยนชื่อของไฟล์ไปก็ตาม ในบางระบบปฎิบัติการข้อมูลส่วนนี้สามารถบอกได้ว่าผู้ใช้เป็นใคร และเข้ามาใช้งานเมื่อไร
ข่าว
 
บริษัท โอไร้อัน อินเว็สทิเกชั่น จำกัด
ห้อง 1601, 2001-2002, 2501 ชั้น 16, 20, 25 อาคารบางกอกบิสิเนส เซ็นเตอร์
29 สุขุมวิท 63 แขวงคลองตันเหนือ เขตวัฒนา กรุงเทพฯ 10110 ประเทศไทย
โทร : +66-2-7143801 ถึง 3 แฟ็กซ์ : +66 (0) 2 714 3804
อีเมล : hi-tech@orioninv.co.th หรือ forensics@orionforensics.com
A Member Of
   
Copyright © 2013 Orion Investigation Co., Ltd.
บริษัท โอไร้อัน อินเว็สทิเกชั่น จำกัด
ห้อง 1601, 2001-2002, 2501 ชั้น 16, 20, 25 อาคารบางกอกบิสิเนส เซ็นเตอร์
29 สุขุมวิท 63 แขวงคลองตันเหนือ เขตวัฒนา กรุงเทพฯ 10110 ประเทศไทย
โทร : +66-2-7143801 ถึง 3 แฟ็กซ์ : +66 (0) 2 714 3804
อีเมล : hi-tech@orioninv.co.th หรือ forensics@orionforensics.com
A Member Of