การตรวจยดพยานหลกฐานทางคอมพวเตอร

พ.ต.ท.ดรณ จาดเจรญสารวตรกลมงานตรวจสอบและวเคราะหการกระทำา

ผดทางเทคโนโลย

จดมงหมายของการอบรม

ผเขารบการอบรม สามารถกำาหนดแนวทางการในการจดเกบและ ประเมนคณคาของพยานหลกฐาน รวมทงกำาหนดแนวทางการวเคราะหพยานหลกฐานไดอยางถกตอง

1

ผเขารบการอบรม สามารถแสดงวธการสงวนรกษา และคมครองสถานทเกดเหตอาชญากรรมทางคอมพวเตอร ไดอยางถกตอง ปลอดภย และมประสทธภาพ

2

ผเขารบการอบรม สามารถทำาการบนทกขอมลสถานทเกดเหต พรอมทงรวบรวมพยานหลกฐานทางคอมพวเตอร ไดอยางถกตอง ครบถวน

3

คำาถามเรองการจดเกบพยานหลกฐานในสถานท

11 ทำาไมตองมการตรวจคนสถานทเกดเหต

22 ในการตรวจคนสถานทเกดเหตตองเตรยมอะไร

33 ในการตรวจคนสถานทเกดเหต ตองทำาอะไร

44 ตรวจคน ยด ไปแลว จะทำาอะไรตอไป

ขอพจารณาบางประการในการสบสวนและรวบรวมหลกฐานในบางครง ตองมการวางแผนเพอกำาหนดแนวทางในการสรางพยานหลกฐานนน ใหปรากฏขน กอนเขาทำาการตรวจคน เพออธบายรปแบบของการกระทำาความผด หรอใชยนยนในการกระทำาความผด

คดอาชญากรรมทางคอมพวเตอร มความยากในการระบตวบคคลผกระทำาผด เนองจากขอจำากดทางเทคนคคอมพวเตอร หรอ ขอจำากดทางกฎหมาย

ขอพจารณาบางประการในการสบสวนและรวบรวมหลกฐาน

ลกษณะของพยานหลกฐานทางคอมพวเตอร ทสามารถเปลยนแปลงไดงาย และ จบตองไดยาก ดงนน การจดเกบพยานหลกฐานหากทำาอยางไมถกตอง จะทำาใหพยานหลกฐานลดความนาเชอถอ หรอ ลดคณคา ของพยานหลกฐานนนลงการพสจนความผดของคนราย ทำาไดยากเพราะ อาจ

ตองอธบายกระบวนการกระทำาความผดของคนราย ใหเหนความเชอมโยงอยางชดเจน จงตองใชความร ความสามารถในทางคอมพวเตอร มาประกอบ เชน ความรทางดานการพฒนาเวบไซด , ระบบเครอขาย ,ลกษณะของระบบรกษาความปลอดภย , การใชงานฐานขอมล ฯลฯ

พยานหลกฐานทอาจใชในการดำาเนนคด

1 รจก มองเหนได2 รจก มองไมเหน3 ไมรจก มองเหน4 ไมรจก มองไมเหน

หลกการในการตรวจสอบสถานทเกดเหตและจดเกบพยานหลกฐาน

1

สามารถจดเกบพยานหลกฐานโดยไมเปลยนแปลง หรอมการเปลยนแปลงนอยทสด

2

สามารถจำาลองสถานทเกดเหตขนมาใหมในสภาพเดมได

ลกษณะของพยานหลกฐานในคดอาชญากรรมทางคอมพวเตอร

Hardware

CPUDigital CameraDisketteUSB ThumbCD , DVDNetwork DevicePDAMedia StorageMobile Phoneetc.

Software /Volatile Data

RAMDigital FilesProgram/SoftwareNetwork Traffic Log

Other Evidence

DocumentsPicturesNote

การวางแผนในการตรวจสอบสถานทและจดเกบพยานหลกฐาน

การวางแผนเพอรวบรวมพยานหลกฐาน กอนการเขาตรวจคน1

การวางแผนการเขาตรวจคน จดเกบ และ ขนยายพยานหลกฐาน2

การวางแผนจดเตรยมอปกรณ3

การวางแผนสำารอง หากจะตองมการดำาเนนการตอเนอง

(หากมพยานหลกฐานบงชไป)

4

1. การวางแผนเพอรวบรวมพยานหลกฐาน กอนการเขาตรวจคน

11 ลกษณะการกระทำาความผดขอมลและหลกฐานอนๆทางคด

22ความเชอมโยงของพยานหลกฐานกบคดและพยานหลกฐานทคาดวาจะพบ

33 คณคาของพยานหลกฐานทคาดวาจะพบ

กรณศกษา การรวบรวมพยานหลกฐานกอนเขาทำาการตรวจคน

การเผยแพรภาพการโชวลามกอนาจาร ออนไลน

การเลนการพนน บาคารา ออนไลน

การฉอโกงออนไลน ของชาวตางชาต

Internet

ลกคา

ตางประเทศ

ในประเทศ

www.px24.com สาขาอนๆ

Car rental

นรนดรคอนโด

ISP

Leased Line (TT&T)

Network Architecture

Operation PX – 24 Pattaya

384/37 ม.10

2.การวางแผนการเขาตรวจคน จดเกบ และ ขนยายพยานหลกฐาน

11หนาทควบคมบคคลทอยในทเกดเหต มใหเขามายงเกยวกบพยานหลกฐาน หรอมโอกาสทำาลายพยานหลกฐาน

22 หนาทเกบรกษาพยานหลกฐานของกลาง และ การจดทำาบนทกการดำาเนนการ

33หนาทสอบปากคำา หรอสมภาษณผเกยวของ เชนในประเดนการเปนเจาของผครอบครองอปกรณตางๆ , รหสผใชหรอรหสผานของเครอง ฯลฯ

2.การวางแผนการเขาตรวจคน (ตอ)

44การถายภาพ หรอ วดโอ และ การจดทำาแผนทเกดเหต และบนทกการดำาเนนตางๆ

55การจดเกบขอมลจากเครองคอมพวเตอรและอปกรณตางๆ

66การผนกพยานหลกฐานและการขนยาย

การวางแผนจดเตรยมอปกรณ

11ชดเครองมอสำาหรบรวบรวมพยานหลกฐานในสวนทเปนขอมลอเลคทรอนคส หรออปกรณอเลคทรอนคส ทอาจตรวจพบในทเกดเหต

22ชดเครองมอตรวจสถานทเกดเหตและรวบรวมพยานหลกฐานแบบพนฐาน

33แบบฟอรมตางๆ สำาหรบการบนทกขอมล และ การสงมอบพยานหลกฐาน

1. ชดเครองมอสำาหรบรวบรวมพยานหลกฐานอเลคทรอนคส

11เครองมอสำาหรบจดเกบขอมลในหนวยความจำาและสถานะตางๆ ของเครองคอมพวเตอร

22เครองมอสำาหรบการถอด/ประกอบ/เชอมตอ อปกรณทางอเลคทรอนคส

33 อปกรณสำาหรบการผนก และบรรจ /หบหอ

2. ชดเครองมอรวบรวมพยานหลกฐานแบบพนฐาน

11อปกรณทใชในการบนทก

ขอมล รายละเอยดของหลกฐาน

22การบนทกสภาพสถานทเกดเหต

33 Mobile Office

3. แบบฟอรมตางๆ สำาหรบการบนทกขอมล / การสงมอบพยานหลกฐาน

11แบบฟอรมบนทกรายละเอยดพยานหลกฐาน , บญชพยานหลกฐาน , ภาพวาดหรอแผนทเกดเหต เปนตน

สงทตองพจารณากรณจดเกบพยานหลกฐานจากเครองคอมพวเตอร

11 สถาปตยกรรม ลกษณะการทำางาน เชน Server

22 ระบบปฏบตการ

33 สถานะของเครอง เปดเครอง / ปดเครอง

44 ประเดนอนๆ เชน การเขารหส

กรณทขณะทตรวจคนพบวา เครองคอมพวเตอรเปดอย

ตองการพยานหลกฐานยนยนชดเจน ทมอยใน RAM

ประเดนการตอสคดทางเทคนคอนๆ

กรณมการเชอมตอเปนระบบเครอขาย

กรณตองมการ (Log in) หรอพบวามการเขารหส (Encryption)

หลกฐานยนยนการทำางานตามหลกวชาการ

ขนตอนการจดเกบขอมล

ทำาการบนทกภาพ1

ทำาจดเกบ Volatile Data2

จดทำาแผนทระบบเครอขาย3

จดเกบพยานหลกฐาน4

Volatile Data หมายถง

1

ขอมลทไมสามารถคงอยได หากอปกรณทใชจดเกบนน ไมมกระแสไฟฟาเขาไปหลอเลยง

2ขอมลทอยในหนวยความจำาหลก (Main Memory) ในชวงเวลาขณะนน ซงจดเกบขอมลสถานะตางๆ ภายในเครอง ทอาจมการเปลยนแปลงไดโดยสภาพของมนเอง อนเนองจากการใชงาน ดงนน หากแมมไดปดเครอง แตมการเปลยนแปลงการทำางาน ขอมลดงกลาวกอาจสญหายไปได

ขอมลสำาคญทเปนพยานหลกฐานใน Volatile Data

ขอมลสถานะการเชอมตอกบระบบเครอขาย1

ขอมลของโปรแกรมทกำาลงทำางานอยในขณะนน2

ขอมลทเกยวกบผใชงาน3

ขอมลอนๆ เชน รหสผาน , เนอหา4

ขอมลสถานะ การเชอมตอกบระบบเครอขายหมายเลข IP Address ของระบบเครอขายทกำาลงเชอมตออยกบเครองคอมพวเตอรทตรวจยด

ชองทางทเปดการเชอมตอ (Port)หมายเลข IP Address ของเครอง ซงทำาใหทราบถงระบบการเชอมตอเครอขายภายใน

ขอมลของโปรแกรมทกำาลงทำางานอยในขณะนนซอฟตแวรทผตองสงสยใชงาน

ตำาแหนงของไฟลทเกบอยในเครองของผตองสงสย

กระบวนการทำางาน (Process) ของงาน (Task) ทกำาลงทำางานอยในขณะนน

ขอมลทเกยวกบผใชงาน

ระยะเวลาทเปดปดเครอง หรอเครองนนเรมทำางาน

รหสชอผใช สทธและ รหสผาน

ผทใชงานในระบบอยในขณะนน

กรณศกษา

กรณศกษา การจดเกบ Volatile Data ทมความสำาคญ

การลกลอบเจาะเขาระบบเพอเปลยนแปลงแกไขขอมลจำานวนเงน ในระบบโทรศพท Pre-paid ของบรษท TA Orange จำากด

การจดเกบขอมล Volatile Data

การเตรยมอปกรณสำาหรบจดเกบโปรแกรมและขอมล1

ชดคำาสงภายในระบบปฏบตการของเครอง2

ขอมลทเกยวกบผใชงาน3

ขอมลอนๆ เชน รหสผาน , เนอหา4

ทดสอบการใชงานคำาสงตางๆ เพอจดเกบ Volatile Data

ทดสอบการใชงานคำาสง

การใชงานชดคำาสง เพอใหทำางานโดยอตโนมต

IR TOOLS (Incident Response Tools)

Cofee ( Computer Online Forensic Evidence Extractor )

ขอพจารณาในการเลอกใชเครองมอ

หลกการเบองตนจดเกบพยานหลกฐานทเปนอปกรณคอมพวเตอร ในกรณทเครองคอมพวเตอรนนปดอย

- ไมควรเปดเครองคอมพวเตอร เนองจากอาจมการเขยนทบไฟลบางสวน หรอมกบดก ททำาใหพยานหลกฐานเสยหาย เชน มการตงโปรแกรมใหเครองคอมพวเตอร ลบไฟลบางตวออกจากเครอง- ถอดอปกรณตางๆทพวงตออย รวมถงตรวจสอบชองใส CD , ดสเกต ฯลฯ (แยกเกบไวอกสวนหนง)- บนทกรายละเอยดตางๆของเครองคอมพวเตอร รวมถงสภาพและรองรอยตางๆทอาจตรวจพบ- หากพบวาเครองคอมพวเตอรนนมการเชอมตอกนเปนระบบเครอขายใหจดทำาแผนทระบบเครอขายคอมพวเตอรนนดวย- ทำาการผนก

หลกการเบองตนจดเกบพยานหลกฐานทเปนอปกรณคอมพวเตอร

ในกรณทเครองคอมพวเตอรนนเปดอย

o - ตรวจสอบ Monitor และบนทกภาพo - ตรวจสอบการเชอมตอกบระบบคอมพวเตอรอน ๆ และ

บนทกภาพo - ตรวจสอบอปกรณและสวนตอพวงตางๆของเครอง

คอมพวเตอร รวมถงตรวจสอบชองใส CD , ดสเกต ฯลฯ (แยกเกบไวอกสวนหนง)

o - จดเกบขอมล Volatile Datao - หากพบวาเครองคอมพวเตอรนนมการเชอมตอกนเปน

ระบบเครอขายใหจดทำาแผนทระบบเครอขายคอมพวเตอรนนดวย

o - ปดเครองคอมพวเตอร และบนทกรายละเอยดตางๆของเครองคอมพวเตอร รวมถงสภาพและรองรอยตางๆทอาจตรวจพบ

o - ยตการเชอมตอระบบเครอขาย และ ทำาการผนก

การจดเกบอปกรณอเลคทรอนคสอนๆ

อปกรณจดเกบขอมลตางๆ เชน สมารทการด , ซด –ดวด , แฟลชไดรฟ รวมถงอปกรณทเกยวของ เชน เครองบนทก DVD แบบ External

อปกรณการสอสารตางๆ เชน โทรศพทมอถอ , ซมการด หรอ เครองอานซมการด , เครองตอบรบโทรศพทอตโนมต , แฟกซ ฯลฯ

อปกรณการเชอมตอระบบเครอขาย ตางๆ เชน Hub, Router, Modem พรอมสายเคเบล หรออปกรณตอพวงตางๆ

อปกรณคอมพวเตอรประเภทโทรศพท

การจดเกบขอมลในอปกรณประเภทโทรศพท1

การใชเครองมอในการนำาเอาขอมลออกจากโทรศพท2

ขอคำานงในการจดเกบอปกรณประเภทโทรศพท3

ขอคำานงอนๆ ในการจดเกบพยานหลกฐานในทเกดเหต

จำานวนคอมพวเตอรในสถานทเกดเหต1

พนทในสถานทเกดเหต2

กรณอปกรณคอมพวเตอรมขนาดใหญ ไมสามารถขนยายได3

Practice

การจดเกบอปกรณคอมพวเตอร แบบDesktopการจดเกบอปกรณคอมพวเตอร แบบNotebook