Tha Eng
 
 
การสำเนาพยานหลักฐานต้นฉบับ (Forensics Image) คืออะไร 22/11/2559
 

          การสำเนาพยานหลักฐานต้นฉบับ หรือ Forensics Imaging เป็นกระบวนการของการสำเนาของฮาร์ดไดรฟ์ และเป็นพื้นฐานทางนิติคอมพิวเตอร์, การกู้คืนข้อมูล และกระบวนการค้นหาข้อมูลทางอิเล็กทรอนิกสิ์ ซึ่งกระบวนการ Imaging นั้นจะทำกับข้อมูล ทุกๆข้อมูล ที่บันทึกอยู่ในฮาร์ดไดรฟ์ ซึ่งข้อมูลในฮาร์ดไดรฟ์ จะบันทึกในลักษณะของเลข 0 และ 1

ในขั้นตอนของการ Imaging จะทำการสำเนาแต่ละ sector โดยจะเริ่มจาก Sector ที่เป็นเลข 0 ต่อเนื่องไปเรื่อยๆ จนถึง Sector สุดท้าย

          เมื่อ Sector นั้นๆ ได้ถูก Imaging เสร็จแล้ว มันจะถูกเขียนลงไปในสื่อการบันทึกอื่น ทั้งนี้ขึ้นอยู่กับผู้ใช้งาน ว่าจะเอาข้อมูลที่ ทำการ Imaging เหล่านั้นไปทำการบันทึกไว้ที่ใด ข้อมูลใดตามที่ต้องการ เช่น Hard drive หรือ External Hard drive เพื่อที่จะนำไปตรวจสอบวิเคราะห์โดยกระบวนการพิสูจน์หลักฐานต่อไป

          การสำเนาพยานหลักฐานต้นฉบับ แบ่งเป็น 2 ประเภท ได้แก่ Non-Volatile และ Volatile data การ ทำสำนำข้อมูลด้วยวิธีการเหล่านี้ให้ดำเนินการตามแนวทางดังนี้

1. Non-Volatile Data
1.1 Physical
การใช้อุปกรณ์ Tableau TD2 Forensic หรืออื่นๆ ที่ได้มาตรฐานสากล ทำการสำเนาข้อมูลทั้งหมดในหลักฐานแบบบิตต่อบิต (bit-by-bit)
การใช้อุปกรณ์ write blocker tableau หรือ software write blocker เพื่อปัองกันข้อมูลต้นฉบับไม่ให้มีการเปลี่ยนแปลง
สามารถทำได้โดยใช้วิธีการใดวิธีการหนึ่งดังนี้
- Imaging (Disk-to-file) คือ การสาเนาฮาร์ดดิสก์ทั้งลูกเก็บในรูปแบบไฟล์ .E01 .DD.
- Cloning (Disk-to-disk) คือ การสำเนาฮาร์ดดิสก์ทั้งลูกลงในฮาร์ดดิสก์อีกลูกหนึ่ง (ฮาร์ดดิสก์ที่
สำหรับ Cloning ต้องผ่านการลบข้อมูลเก่าด้วยวิธีเขียนทับ Wiping)
1.2 Logical
- ใช้ Write blocker เพื่อป้องกันการเปลี่ยนแปลงข้อมูลต้นฉบับ
- เป็นการสำเนาข้อมูลเฉพาะส่วนจากหลักฐาน เช่น พาร์ทิชัน, ไดเร็กทอรี หรือ ไฟล์บาง ไฟล์ เป็นต้น
- อาจเลือกใช้ในกรณีพบ RAID หรือกรณี ที่คาดว่าฮาร์ดดิสก์หลักฐานถูกเข้ารหัสลับไว้ เช่น BitLocker Drive Encryption หรือ อื่น ๆ
- หลักฐานมีข้อมูลขนาดใหญ่มาก หรือมีข้อมูลส่วนอื่นไม่เกี่ยวข้องกับการตรวจค้น

2. Volatile data
- ดำเนินการประเมินความเสี่ยงของสถานการณ์ มองเห็นได้ชัดเจนว่าในการจัดเก็บหลักฐาน volatile Data มีความปลอดภัย
- ใช้ซอฟต์แวร์สำหรับการจัดเก็บ Volatile data จากสื่อบันทึกข้อมูล (เช่น USB Flash Drive) ได้รับการทดสอบและเป็นที่เชื่อถือได้
- การรันคำสั่งซอฟต์แวร์สำหรับ จัดเก็บข้อมูลต้องใช้สิทธิระดับสูงที่สุด
- เมื่อเรียบร้อยแล้ว ทำการหยุดอุปกรณ์ (ทำการถอด USB อย่างปลอดภัย เพื่อป้องกันข้อมูลเสียงหาย)
- ตรวจสอบผลที่ได้ (ต้องเป็นเครื่องที่ไม่เกี่ยวกับผู้ต้องสังสัย)
- ทำการปิดเครื่อง ตามขั้นตอนมาตรฐานต่อไป

CR:ข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน ETDA


ข่าว
 
บริษัท โอไร้อัน อินเว็สทิเกชั่น จำกัด
ห้อง 1601, 2001-2002, 2501 ชั้น 16, 20, 25 อาคารบางกอกบิสิเนส เซ็นเตอร์
29 สุขุมวิท 63 แขวงคลองตันเหนือ เขตวัฒนา กรุงเทพฯ 10110 ประเทศไทย
โทร : +66-2-7143801 ถึง 3 แฟ็กซ์ : +66 (0) 2 714 3804
อีเมล : hi-tech@orioninv.co.th หรือ forensics@orionforensics.com
A Member Of
   
Copyright © 2016 Orion Investigation Co., Ltd.