Clear
Lead Graphic Papers

Digital Forensics 101 (ตอนที่ 2)

ผู้เขียน: นางสาวกรรณิกา ภัทรวิศิษฏ์สัณธ์
วันที่เผยแพร่: 30 ธันวาคม 2556
ปรับปรุงล่าสุด: 30 ธันวาคม 2556

Share on Facebook Share on Twitter Share on Google+

สวัสดีอีกครั้งค่ะ ก่อนที่จะเริ่มเข้าเนื้อหาของบทความตอนที่สองนี้ขอย้อนกลับไปในตอนที่หนึ่งที่ได้อธิบายแล้วว่ากระบวนการตรวจพิสูจน์พยานหลักฐานทางดิจิทัล สามารถแบ่งออกได้เป็น 3 ขั้นตอนหลัก คือ (1) การรวบรวมพยานหลักฐาน (Acquisition) (2) การวิเคราะห์ (Analysis) และ (3) การรายงานผลการตรวจพิสูจน์ (Report) สำหรับบทความตอนที่สองนี้จะเป็นการอธิบายถึงขั้นตอนการรวบรวมพยานหลักฐาน (Acquisition) ซึ่งในที่นี้หมายถึงการทำสำเนาพยานหลักฐานดิจิทัลไม่ว่า ณ ที่จุดเกิดเหตุ หรือภายในห้องปฏิบัติการในภายหลัง ก่อนที่จะนำสำเนาไปตรวจวิเคราะห์ เนื่องจากหลักการสำคัญข้อหนึ่งของ Digital forensics คือ การตรวจวิเคราะห์จะไม่กระทำกับพยานหลักฐานต้นฉบับโดยตรง

โดยทั่วไปข้อมูลดิจิทัลสามารถแบ่งได้เป็นสองประเภทคือ ข้อมูลที่บันทึกอยู่ในหน่วยความจำประเภทที่สามารถสูญหายได้เมื่อปิดอุปกรณ์ซึ่งเรียกว่า Volatile data ได้แก่ข้อมูลในแรม (RAM) และข้อมูลประเภทที่บันทึกอยู่ในหน่วยความจำที่ยังคงสภาพเช่นเดิมเมื่อปิดอุปกรณ์ไปแล้วซึ่งเรียกว่า Non-volatile data ได้แก่ข้อมูลที่บันทึกอยู่ในฮารด์ดิสก์หรือ Thumb drive ฯลฯ

การทำสำเนาข้อมูล Volatile Data

Volatile data เป็นข้อมูลที่สามารถสูญหายไปทันทีที่ปิดเครื่องคอมพิวเตอร์ ได้แก่ข้อมูลที่บันทึกในแรม เช่น ข้อมูล Network connections, Running applications, Running processes, Open/listening network connections รวมถึงพาสเวิร์ดสำหรับใช้งานโปรแกรม เปิดอ่านอีเมล หรือเข้าถึงพาร์ทิชันฮาร์ดดิสก์ที่ถูกเข้ารหัสไว้ เป็นต้น ซึ่งประโยชน์ของข้อมูล Volatile data นอกจากจะสามารถใช้กู้พาสเวิร์ดที่คนร้ายอาจไม่ยอมบอกแล้วยังสามารถใช้ในการตรวจยืนยันว่าเครื่องคอมพิวเตอร์มีมัลแวร์ฝังอยู่หรือไม่ หรือถูกควบคุมโดยบุคคลอื่นโดยที่เจ้าของไม่รู้ตัวหรือไม่ด้วย

ในสมัยก่อน เจ้าหน้าที่เก็บพยานหลักฐานมักจะถูกสอนว่าเมื่อพบเครื่องคอมพิวเตอร์ที่เปิดอยู่ในที่เกิดเหตุ ควรถ่ายภาพสิ่งที่ปรากฏที่หน้าจอแล้วดึงปลั๊กไฟที่หลังเครื่องออกทันทีเพื่อคงสภาพความสมบูรณ์ของพยานหลักฐาน แต่ในปัจจุบันแนวคิดนี้ได้เปลี่ยนไปแล้วเนื่องจากพบว่า Volatile data มีข้อมูลที่เป็นประโยชน์ และในบางครั้งหากปิดเครื่องคอมพิวเตอร์ไปแล้วอาจจะไม่สามารถเปิดขึ้นมาได้อีกหากไม่รู้พาสเวิร์ด ส่งผลให้ไม่สามารถกู้ข้อมูลใด ๆ จากพยานหลักฐานชิ้นนั้น ปัจจุบันมีซอฟต์แวร์สำหรับใช้เก็บ Volatile data หลายหลากยี่ห้อ เช่น FTK Imager, DumpIt, Memoryze & Audit Viewer และ HELIX เป็นต้น ในบทความนี้ผู้เขียนจะขอแนะนำโปรแกรม 2 ตัวที่สามารถดาวน์โหลดมาใช้งานได้ฟรี ได้แก่ FTK Imager Lite และ DumpIt ซึ่งมีความพิเศษคือไม่จำเป็นต้องติดตั้งลงในเครื่องคอมพิวเตอร์ เพียงแค่ก็อปปี้ใส่ Thumb drive เสียบใส่คอมพิวเตอร์ที่ต้องการเก็บแรม แล้วสั่งรันโปรแกรมได้เลย

โปรแกรม FTK Imager Lite [1] ของบริษัท AccessData สามารถดาวน์โหลดได้จาก http://www.accessdata.com/support/product-downloads เพียงแค่ดาวน์โหลดมาแล้วแตกไฟล์ใส่ลงใน Thumb drive ก็สามารถใช้งานได้เลย โดยเลือกคำสั่ง Capture Memory จากเมนูที่แสดง โดยก่อนใช้งานจะต้องรู้รหัสผ่านของผู้ดูแลระบบที่จะทำสำเนาแรมจึงจะสามารถรันโปรแกรมนี้ได้



ภาพที่ 1 การเลือกคำสั่ง Capture Memory จากเมนู File ของโปรแกรม FTK Imager Lite

โปรแกรมถัดมาที่จะขอแนะนำ คือ โปรแกรม DumpIt [2] จากบริษัท Moonsols สามารถดาวน์โหลดได้จาก http://www.moonsols.com/2011/07/18/moonsols-dumpit-goes-mainstream/ ข้อดีของโปรแกรมนี้คือไฟล์ DumpIt.exe มีขนาดเล็กแค่ประมาณ 200 KB และวิธีการทำงานง่าย ๆ เพียงแค่ ก็อปปี้ไฟล์ DumpIt.exe ใส่ไว้ใน Thumb drive แล้วนำไปเสียบกับเครื่องคอมพิวเตอร์ที่ต้องการเก็บแรม แล้วใช้คำสั่งเดียวก็สามารถเริ่มสำเนาแรมได้ทันทีโดยโปรแกรมจะเก็บไฟล์ Image ไว้ในโฟลเดอร์เดียวกับไฟล์ DumpIt.exe โดยอัตโนมัติ ข้อควรระวังเมื่อใช้โปรแกรมนี้คือเนื่องจากโปรแกรมนี้ไม่มีการตั้งค่าอะไรดังนั้นจะต้องเตรียมพื้นที่ให้เพียงพอกับขนาดแรมที่ต้องการจัดเก็บ และเช่นเดียวกับโปรแกรม FTK Imager Lite คือจะต้องรู้รหัสผ่านของผู้ดูแลระบบจึงจะสามารถรันโปรแกรมนี้ได้



ภาพที่ 2 การรันโปรแกรม DumpIt.exe

เพียงแค่นี้ก็สำเร็จขั้นตอนการเก็บข้อมูล Volatile data จากแรม (RAM) แล้ว ไฟล์ Image ที่เก็บมานี้สามารถนำไปวิเคราะห์ต่อโดยใช้โปรแกรม เช่น Volatility หรือโปรแกรมวิเคราะห์พยานหลักฐานดิจิทัลอื่น ๆ ซึ่งสามารถช่วยสกัดข้อมูลที่เป็นประโยชน์ออกมาได้

หมายเหตุ เนื่องจากการจัดเก็บข้อมูล Volatile data นั้นจำเป็นต้องทำในขณะที่เครื่องคอมพิวเตอร์ยังเปิดใช้งานอยู่ ดังนั้นข้อมูลในแรมจะเปลี่ยนแปลงได้ตลอดเวลา ทำให้การทำสำเนาข้อมูล Volatile data ในแต่ละครั้งอาจได้ผลลัพธ์ที่แตกต่างกันได้ถึงแม้ว่าจะเป็นเครื่องคอมพิวเตอร์เครื่องเดียวกันภายในเวลาที่ใกล้เคียงกัน

การทำสำเนาข้อมูล Non-volatile data

การทำสำเนาข้อมูล Non-volatile data หรือข้อมูลที่ไม่สูญหายเมื่อปิดคอมพิวเตอร์ เป็นกระบวนการที่คนทั่วไปน่าจะคุ้นเคยและรู้จักดี เพราะเป็นการทำสำเนาสื่อบันทึกข้อมูล เช่น ฮาร์ดดิสก์ ซีดี ดีวีดี Thumb drive SSD ฯลฯ โดยใช้วิธีการก็อปปี้แบบ bit-to-bit นั่นเอง ซึ่งข้อมูลที่ทำสำเนาแล้วจะเหมือนกับต้นฉบับทุกประการ เนื่องจากฮาร์ดดิสก์มีความจุเพิ่มมากขึ้นเรื่อย ๆ จนถึง 4 เทราไบต์แล้ว ดังนั้นการเลือกใช้เครื่องมือไม่ว่าจะเป็นฮาร์ดแวร์หรือซอฟต์แวร์ควรคำนึงถึงความเร็วในการอ่านและเขียนข้อมูลด้วย รวมทั้งจะต้องคำนึงถึงเวลาที่ใช้ในการตรวจสอบยืนยันความถูกต้องสมบูรณ์ของสำเนาด้วย เช่น เครื่องมือทำสำเนาฮาร์ดดิสก์แบบ bit-to-bit มีคุณสมบัติสามารถสำเนาข้อมูลด้วยความเร็ว 6 กิกะไบต์ต่อนาที ดังนั้นควรจะสามารถทำสำเนาฮาร์ดดิสก์ขนาด 1 เทราไบต์เสร็จภายในเวลา 3 ชั่วโมง แต่เมื่อทดสอบในห้องปฏิบัติการ ก็พบว่าต้องใช้เวลานานถึง 6 ชั่วโมงครึ่ง เนื่องจากจะต้องใช้เวลาอีกหนึ่งเท่าตัวในการคำนวณและเปรียบเทียบค่าแฮชเพื่อยืนยันความสมบูรณ์ของสำเนาด้วย ดังนั้นก่อนที่จะเริ่มกระบวนการทำสำเนาพยานหลักฐานควรจะวางแผนล่วงหน้าและเผื่อเวลาไว้ด้วย และนอกจากนี้ก็จะต้องเตรียมฮาร์ดดิสก์ที่จะใช้บันทึกไฟล์ Image ที่มีขนาดความจุไม่น้อยกว่าพยานหลักฐานต้นฉบับ และควรเป็นฮาร์ดดิสก์ที่ผ่านการล้างข้อมูล (Wipe) มาก่อน ซึ่งการ Wipe คือการสั่งเขียนข้อมูลลงฮาร์ดดิสก์ให้เต็มพื้นที่ โดยอาจเขียนด้วยเลข 0 หรือเลขฐานสิบหกอื่นๆ แล้วแต่เครื่องมือที่เลือกใช้ เพื่อป้องกันการปนเปื้อนของพยานหลักฐานกับข้อมูลเดิมที่อยู่ในฮาร์ดดิสก์

ด้วยเทคโนโลยีในปัจจุบันการทำสำเนาข้อมูล Non-volatile data ทำได้หลายวิธี ไม่ว่าจะใช้เครื่องมือฮาร์ดแวร์เฉพาะที่สามารถอ่านฮาร์ดดิสก์พยานหลักฐานต้นฉบับและเขียนข้อมูล bit-to-bit ไปยังฮาร์ดดิสก์สำเนาโดยไม่ต้องผ่านเครื่องคอมพิวเตอร์ (เช่น Forensic Imager 3, Forensic Duplicator 2, HardCopy 3P, Imager Master หรือ Shadow3 เป็นต้น) หรือใช้เครื่องคอมพิวเตอร์ที่ได้ติดตั้งซอฟต์แวร์เฉพาะอ่านข้อมูลจากฮาร์ดดิสก์พยานหลักฐานผ่านอุปกรณ์ที่เรียกว่า “Write blocker” เพื่อป้องกันมิให้เกิดการเปลี่ยนแปลงของข้อมูลภายในพยานหลักฐาน (เช่น dd, EnCase Imager, Raptor, Helix, FTK Imager เป็นต้น)

ตัวอย่างที่ 1 แสดงวิธีการทำสำเนาฮาร์ดดิสก์ชนิดโดยใช้อุปกรณ์ HardCopy ซึ่งมีสายดาต้า เชื่อมต่อไปยังพยานหลักฐานต้นฉบับที่อยู่ด้านซ้ายเพื่ออ่านข้อมูล และมีสายดาต้าอีกเส้นที่ต่อไปยังฮาร์ดดิสก์สำเนาที่อยู่ด้านขวาเพื่อเขียนข้อมูล อุปกรณ์นี้มีจอแสดงผลซึ่งสามารถแสดงค่าแฮชเพื่อยืนยันความครบถ้วนสมบูรณ์ของกระบวนการทำสำเนา และนอกจากนี้ก็ยังมีการสร้าง Log เพื่อบันทึกรายละเอียดที่เกี่ยวข้องทั้งหมด เช่น ข้อมูลรุ่น ยี่ห้อ Serial number ความจุ จำนวนและขนาดเซ็กเตอร์ เวลาเริ่มต้น/สำเร็จ ค่าแฮช เป็นต้น



ภาพที่ 3 การทำสำเนาฮาร์ดดิสก์ด้วยอุปกรณ์ HardCopy

ภาพที่ 4 แสดงผลค่าแฮช MD5 ของสำเนา

ภาพที่ 5 Log file แสดงข้อมูลฮาร์ดดิสก์ วันและเวลาที่ทำสำเนา และค่าแฮชของพยานหลักฐานต้นฉบับเปรียบเทียบกับสำเนา

ตัวอย่างที่ 2 ในกรณีที่ไม่มีฮาร์ดแวร์เฉพาะสำหรับทำสำเนาข้อมูล ก็สามารถใช้โปรแกรมเช่น FTK Imager อ่านข้อมูลจากฮาร์ดดิสก์พยานหลักฐานผ่าน Write blocker เพื่อป้องกันการเปลี่ยนแปลงข้อมูลพยานหลักฐานต้นฉบับ แล้วเขียนข้อมูลไปยังฮาร์ดดิสก์สำเนา ในตัวอย่างนี้ฮาร์ดดิสก์พยานหลักฐานต้นฉบับอยู่ในกล่อง Write blocker ด้านซ้ายมือซึ่งมีไฟสีแดงแสดงสถานะ Read Only เมื่อโปรแกรม FTK Imager ซึ่งติดตั้งอยู่ในเครื่องคอมพิวเตอร์แล็ปท็อป อ่านข้อมูลมาแล้วก็จะเขียนลงในฮาร์ดดิสก์สำเนาแบบ bit-to-bit จนกว่าจะอ่านข้อมูลทั้งหมดจากพยานหลักฐานต้นฉบับและเขียนไว้ในสำเนาครบถ้วนสมบูรณ์ ซึ่งสามารถตรวจสอบได้จากไฟล์ Log ที่บันทึกข้อมูลที่เกี่ยวข้องทั้งหมด



ภาพที่ 6 การทำสำเนาฮาร์ดดิสก์ด้วยซอฟต์แวร์ FTK Imager โดยใช้อุปกรณ์ Write blocker

ภาพที่ 7 Log file แสดงข้อมูลเกี่ยวกับฮาร์ดดิสก์ วันและเวลาที่ทำสำเนา และค่าแฮชของพยานหลักฐานต้นฉบับเปรียบเทียบกับสำเนา

สำหรับตอนนี้ขอจบแต่เพียงเท่านี้ ตอนหน้ามาเริ่มเรียนรู้เทคนิคการวิเคราะห์ข้อมูลกันค่ะ

อ้างอิง

  1. http://www.accessdata.com/support/product-downloads
  2. http://www.moonsols.com/2011/07/18/moonsols-dumpit-goes-mainstream/
  3. http://www.digitalintelligence.com/
Clear