การตรวจยึดคอม
DESCRIPTION
การตรวจยึดพยานหลักฐานทางคอมพิวเตอร์TRANSCRIPT
การตรวจยดพยานหลกฐานทางคอมพวเตอร
พ.ต.ท.ดรณ จาดเจรญสารวตรกลมงานตรวจสอบและวเคราะหการกระทำา
ผดทางเทคโนโลย
จดมงหมายของการอบรม
ผเขารบการอบรม สามารถกำาหนดแนวทางการในการจดเกบและ ประเมนคณคาของพยานหลกฐาน รวมทงกำาหนดแนวทางการวเคราะหพยานหลกฐานไดอยางถกตอง
1
ผเขารบการอบรม สามารถแสดงวธการสงวนรกษา และคมครองสถานทเกดเหตอาชญากรรมทางคอมพวเตอร ไดอยางถกตอง ปลอดภย และมประสทธภาพ
2
ผเขารบการอบรม สามารถทำาการบนทกขอมลสถานทเกดเหต พรอมทงรวบรวมพยานหลกฐานทางคอมพวเตอร ไดอยางถกตอง ครบถวน
3
คำาถามเรองการจดเกบพยานหลกฐานในสถานท
11 ทำาไมตองมการตรวจคนสถานทเกดเหต
22 ในการตรวจคนสถานทเกดเหตตองเตรยมอะไร
33 ในการตรวจคนสถานทเกดเหต ตองทำาอะไร
44 ตรวจคน ยด ไปแลว จะทำาอะไรตอไป
ขอพจารณาบางประการในการสบสวนและรวบรวมหลกฐานในบางครง ตองมการวางแผนเพอกำาหนดแนวทางในการสรางพยานหลกฐานนน ใหปรากฏขน กอนเขาทำาการตรวจคน เพออธบายรปแบบของการกระทำาความผด หรอใชยนยนในการกระทำาความผด
คดอาชญากรรมทางคอมพวเตอร มความยากในการระบตวบคคลผกระทำาผด เนองจากขอจำากดทางเทคนคคอมพวเตอร หรอ ขอจำากดทางกฎหมาย
ขอพจารณาบางประการในการสบสวนและรวบรวมหลกฐาน
ลกษณะของพยานหลกฐานทางคอมพวเตอร ทสามารถเปลยนแปลงไดงาย และ จบตองไดยาก ดงนน การจดเกบพยานหลกฐานหากทำาอยางไมถกตอง จะทำาใหพยานหลกฐานลดความนาเชอถอ หรอ ลดคณคา ของพยานหลกฐานนนลงการพสจนความผดของคนราย ทำาไดยากเพราะ อาจ
ตองอธบายกระบวนการกระทำาความผดของคนราย ใหเหนความเชอมโยงอยางชดเจน จงตองใชความร ความสามารถในทางคอมพวเตอร มาประกอบ เชน ความรทางดานการพฒนาเวบไซด , ระบบเครอขาย ,ลกษณะของระบบรกษาความปลอดภย , การใชงานฐานขอมล ฯลฯ
หลกการในการตรวจสอบสถานทเกดเหตและจดเกบพยานหลกฐาน
1
สามารถจดเกบพยานหลกฐานโดยไมเปลยนแปลง หรอมการเปลยนแปลงนอยทสด
2
สามารถจำาลองสถานทเกดเหตขนมาใหมในสภาพเดมได
ลกษณะของพยานหลกฐานในคดอาชญากรรมทางคอมพวเตอร
Hardware
CPUDigital CameraDisketteUSB ThumbCD , DVDNetwork DevicePDAMedia StorageMobile Phoneetc.
Software /Volatile Data
RAMDigital FilesProgram/SoftwareNetwork Traffic Log
Other Evidence
DocumentsPicturesNote
การวางแผนในการตรวจสอบสถานทและจดเกบพยานหลกฐาน
การวางแผนเพอรวบรวมพยานหลกฐาน กอนการเขาตรวจคน1
การวางแผนการเขาตรวจคน จดเกบ และ ขนยายพยานหลกฐาน2
การวางแผนจดเตรยมอปกรณ3
การวางแผนสำารอง หากจะตองมการดำาเนนการตอเนอง
(หากมพยานหลกฐานบงชไป)
4
1. การวางแผนเพอรวบรวมพยานหลกฐาน กอนการเขาตรวจคน
11 ลกษณะการกระทำาความผดขอมลและหลกฐานอนๆทางคด
22ความเชอมโยงของพยานหลกฐานกบคดและพยานหลกฐานทคาดวาจะพบ
33 คณคาของพยานหลกฐานทคาดวาจะพบ
กรณศกษา การรวบรวมพยานหลกฐานกอนเขาทำาการตรวจคน
การเผยแพรภาพการโชวลามกอนาจาร ออนไลน
การเลนการพนน บาคารา ออนไลน
การฉอโกงออนไลน ของชาวตางชาต
Internet
ลกคา
ตางประเทศ
ในประเทศ
www.px24.com สาขาอนๆ
Car rental
นรนดรคอนโด
ISP
Leased Line (TT&T)
Network Architecture
Operation PX – 24 Pattaya
384/37 ม.10
2.การวางแผนการเขาตรวจคน จดเกบ และ ขนยายพยานหลกฐาน
11หนาทควบคมบคคลทอยในทเกดเหต มใหเขามายงเกยวกบพยานหลกฐาน หรอมโอกาสทำาลายพยานหลกฐาน
22 หนาทเกบรกษาพยานหลกฐานของกลาง และ การจดทำาบนทกการดำาเนนการ
33หนาทสอบปากคำา หรอสมภาษณผเกยวของ เชนในประเดนการเปนเจาของผครอบครองอปกรณตางๆ , รหสผใชหรอรหสผานของเครอง ฯลฯ
2.การวางแผนการเขาตรวจคน (ตอ)
44การถายภาพ หรอ วดโอ และ การจดทำาแผนทเกดเหต และบนทกการดำาเนนตางๆ
55การจดเกบขอมลจากเครองคอมพวเตอรและอปกรณตางๆ
66การผนกพยานหลกฐานและการขนยาย
การวางแผนจดเตรยมอปกรณ
11ชดเครองมอสำาหรบรวบรวมพยานหลกฐานในสวนทเปนขอมลอเลคทรอนคส หรออปกรณอเลคทรอนคส ทอาจตรวจพบในทเกดเหต
22ชดเครองมอตรวจสถานทเกดเหตและรวบรวมพยานหลกฐานแบบพนฐาน
33แบบฟอรมตางๆ สำาหรบการบนทกขอมล และ การสงมอบพยานหลกฐาน
1. ชดเครองมอสำาหรบรวบรวมพยานหลกฐานอเลคทรอนคส
11เครองมอสำาหรบจดเกบขอมลในหนวยความจำาและสถานะตางๆ ของเครองคอมพวเตอร
22เครองมอสำาหรบการถอด/ประกอบ/เชอมตอ อปกรณทางอเลคทรอนคส
33 อปกรณสำาหรบการผนก และบรรจ /หบหอ
2. ชดเครองมอรวบรวมพยานหลกฐานแบบพนฐาน
11อปกรณทใชในการบนทก
ขอมล รายละเอยดของหลกฐาน
22การบนทกสภาพสถานทเกดเหต
33 Mobile Office
3. แบบฟอรมตางๆ สำาหรบการบนทกขอมล / การสงมอบพยานหลกฐาน
11แบบฟอรมบนทกรายละเอยดพยานหลกฐาน , บญชพยานหลกฐาน , ภาพวาดหรอแผนทเกดเหต เปนตน
สงทตองพจารณากรณจดเกบพยานหลกฐานจากเครองคอมพวเตอร
11 สถาปตยกรรม ลกษณะการทำางาน เชน Server
22 ระบบปฏบตการ
33 สถานะของเครอง เปดเครอง / ปดเครอง
44 ประเดนอนๆ เชน การเขารหส
กรณทขณะทตรวจคนพบวา เครองคอมพวเตอรเปดอย
ตองการพยานหลกฐานยนยนชดเจน ทมอยใน RAM
ประเดนการตอสคดทางเทคนคอนๆ
กรณมการเชอมตอเปนระบบเครอขาย
กรณตองมการ (Log in) หรอพบวามการเขารหส (Encryption)
หลกฐานยนยนการทำางานตามหลกวชาการ
Volatile Data หมายถง
1
ขอมลทไมสามารถคงอยได หากอปกรณทใชจดเกบนน ไมมกระแสไฟฟาเขาไปหลอเลยง
2ขอมลทอยในหนวยความจำาหลก (Main Memory) ในชวงเวลาขณะนน ซงจดเกบขอมลสถานะตางๆ ภายในเครอง ทอาจมการเปลยนแปลงไดโดยสภาพของมนเอง อนเนองจากการใชงาน ดงนน หากแมมไดปดเครอง แตมการเปลยนแปลงการทำางาน ขอมลดงกลาวกอาจสญหายไปได
ขอมลสำาคญทเปนพยานหลกฐานใน Volatile Data
ขอมลสถานะการเชอมตอกบระบบเครอขาย1
ขอมลของโปรแกรมทกำาลงทำางานอยในขณะนน2
ขอมลทเกยวกบผใชงาน3
ขอมลอนๆ เชน รหสผาน , เนอหา4
ขอมลสถานะ การเชอมตอกบระบบเครอขายหมายเลข IP Address ของระบบเครอขายทกำาลงเชอมตออยกบเครองคอมพวเตอรทตรวจยด
ชองทางทเปดการเชอมตอ (Port)หมายเลข IP Address ของเครอง ซงทำาใหทราบถงระบบการเชอมตอเครอขายภายใน
ขอมลของโปรแกรมทกำาลงทำางานอยในขณะนนซอฟตแวรทผตองสงสยใชงาน
ตำาแหนงของไฟลทเกบอยในเครองของผตองสงสย
กระบวนการทำางาน (Process) ของงาน (Task) ทกำาลงทำางานอยในขณะนน
ขอมลทเกยวกบผใชงาน
ระยะเวลาทเปดปดเครอง หรอเครองนนเรมทำางาน
รหสชอผใช สทธและ รหสผาน
ผทใชงานในระบบอยในขณะนน
กรณศกษา
กรณศกษา การจดเกบ Volatile Data ทมความสำาคญ
การลกลอบเจาะเขาระบบเพอเปลยนแปลงแกไขขอมลจำานวนเงน ในระบบโทรศพท Pre-paid ของบรษท TA Orange จำากด
การจดเกบขอมล Volatile Data
การเตรยมอปกรณสำาหรบจดเกบโปรแกรมและขอมล1
ชดคำาสงภายในระบบปฏบตการของเครอง2
ขอมลทเกยวกบผใชงาน3
ขอมลอนๆ เชน รหสผาน , เนอหา4
การใชงานชดคำาสง เพอใหทำางานโดยอตโนมต
IR TOOLS (Incident Response Tools)
Cofee ( Computer Online Forensic Evidence Extractor )
ขอพจารณาในการเลอกใชเครองมอ
หลกการเบองตนจดเกบพยานหลกฐานทเปนอปกรณคอมพวเตอร ในกรณทเครองคอมพวเตอรนนปดอย
- ไมควรเปดเครองคอมพวเตอร เนองจากอาจมการเขยนทบไฟลบางสวน หรอมกบดก ททำาใหพยานหลกฐานเสยหาย เชน มการตงโปรแกรมใหเครองคอมพวเตอร ลบไฟลบางตวออกจากเครอง- ถอดอปกรณตางๆทพวงตออย รวมถงตรวจสอบชองใส CD , ดสเกต ฯลฯ (แยกเกบไวอกสวนหนง)- บนทกรายละเอยดตางๆของเครองคอมพวเตอร รวมถงสภาพและรองรอยตางๆทอาจตรวจพบ- หากพบวาเครองคอมพวเตอรนนมการเชอมตอกนเปนระบบเครอขายใหจดทำาแผนทระบบเครอขายคอมพวเตอรนนดวย- ทำาการผนก
หลกการเบองตนจดเกบพยานหลกฐานทเปนอปกรณคอมพวเตอร
ในกรณทเครองคอมพวเตอรนนเปดอย
o - ตรวจสอบ Monitor และบนทกภาพo - ตรวจสอบการเชอมตอกบระบบคอมพวเตอรอน ๆ และ
บนทกภาพo - ตรวจสอบอปกรณและสวนตอพวงตางๆของเครอง
คอมพวเตอร รวมถงตรวจสอบชองใส CD , ดสเกต ฯลฯ (แยกเกบไวอกสวนหนง)
o - จดเกบขอมล Volatile Datao - หากพบวาเครองคอมพวเตอรนนมการเชอมตอกนเปน
ระบบเครอขายใหจดทำาแผนทระบบเครอขายคอมพวเตอรนนดวย
o - ปดเครองคอมพวเตอร และบนทกรายละเอยดตางๆของเครองคอมพวเตอร รวมถงสภาพและรองรอยตางๆทอาจตรวจพบ
o - ยตการเชอมตอระบบเครอขาย และ ทำาการผนก
การจดเกบอปกรณอเลคทรอนคสอนๆ
อปกรณจดเกบขอมลตางๆ เชน สมารทการด , ซด –ดวด , แฟลชไดรฟ รวมถงอปกรณทเกยวของ เชน เครองบนทก DVD แบบ External
อปกรณการสอสารตางๆ เชน โทรศพทมอถอ , ซมการด หรอ เครองอานซมการด , เครองตอบรบโทรศพทอตโนมต , แฟกซ ฯลฯ
อปกรณการเชอมตอระบบเครอขาย ตางๆ เชน Hub, Router, Modem พรอมสายเคเบล หรออปกรณตอพวงตางๆ
อปกรณคอมพวเตอรประเภทโทรศพท
การจดเกบขอมลในอปกรณประเภทโทรศพท1
การใชเครองมอในการนำาเอาขอมลออกจากโทรศพท2
ขอคำานงในการจดเกบอปกรณประเภทโทรศพท3
ขอคำานงอนๆ ในการจดเกบพยานหลกฐานในทเกดเหต
จำานวนคอมพวเตอรในสถานทเกดเหต1
พนทในสถานทเกดเหต2
กรณอปกรณคอมพวเตอรมขนาดใหญ ไมสามารถขนยายได3