การตรวจยึดคอม

Page 1

การตรวจยึดพยานหลักฐานทางคอมพิวเตอร์ พ.ต.ท.ดรัณ จาดเจริญ สารวัตรกลุ่มงานตรวจสอบและวิเคราะห์การกระทำาผิดทางเทคโนโลยี

จุดมุ่งหมายของการอบรม 1

2

3

ผูเ้ ข้ารับการอบรม สามารถกำาหนดแนวทางการในการจัดเก็บและ ประเมิ น คุณค่าของพยานหลักฐาน รวมทัง้ กำาหนดแนวทางการวิ เคราะห์พยานหลัก ฐานได้อย่างถูกต้อง ผู้เข้ารับการอบรม สามารถแสดงวิธีการสงวนรักษา และคุ้มครองสถานที่ เกิดเหตุอาชญากรรมทางคอมพิวเตอร์ ได้อย่างถูกต้อง ปลอดภัย และมี ประสิทธิภาพ ผู้เข้ารับการอบรม สามารถทำาการบันทึกข้อมูลสถานที่เกิ ดเหตุ พร้อมทัง้ รวบรวมพยานหลักฐานทางคอมพิวเตอร์ ได้อย่างถูกต้อง ครบถ้วน

คำาถามเรือ่ งการจัดเก็บพยานหลักฐานในสถานที่ 1

ทำาไมต้องมีการตรวจค้นสถานที่เกิดเหตุ

2

ในการตรวจค้นสถานที่เกิดเหตุต้องเตรียมอะไร

3

ในการตรวจค้นสถานที่เกิดเหตุ ต้องทำาอะไร

4

ตรวจค้น ยึด ไปแล้ว จะทำาอะไรต่อไป

ข้อพิจารณาบางประการในการสืบสวนและรวบรวมหลักฐาน ในบางครัง้ ต้องมีการวางแผนเพือ่ กำาหนดแนวทางในการสร้างพยาน หลักฐานนัน้ ให้ปรากฏขึน้ ก่อนเข้าทำาการตรวจค้น เพือ่ อธิบายรูปแบบ ของการกระทำาความผิด หรือใช้ยนื ยันในการกระทำาความผิด คดีอาชญากรรมทางคอมพิวเตอร์ มีความยากในการระบุตวั บุคคลผู้ กระทำาผิด เนื่องจากข้อจำากัดทางเทคนิคคอมพิวเตอร์ หรือ ข้อจำากัด ทางกฎหมาย

ข้อพิจารณาบางประการในการสืบสวนและรวบรวมหลักฐาน ลักษณะของพยานหลักฐานทางคอมพิวเตอร์ ทีส่ ามารถเปลีย่ นแปลงได้งา่ ย และ จับต้องได้ยาก ดังนัน้ การจัดเก็บพยานหลักฐานหากทำาอย่างไม่ถกู ต้อง จะทำาให้ พยานหลักฐานลดความน่าเชือ่ ถือ หรือ ลดคุณค่า ของพยานหลักฐานนัน้ ลง การพิสจู น์ความผิดของคนร้าย ทำาได้ยากเพราะ อาจต้องอธิบาย กระบวนการกระทำาความผิดของคนร้าย ให้เห็นความเชือ่ มโยงอย่างชัดเจน จึงต้องใช้ความรูค้ วามสามารถในทางคอมพิวเตอร์ มาประกอบ เช่น ความรู้ ทางด้านการพัฒนาเว็บไซด์ , ระบบเครือข่าย , ลักษณะของระบบรักษา ความปลอดภัย , การใช้งานฐานข้อมูล ฯลฯ

พยานหลักฐานทีอ่ าจใช้ ในการดำาเนินคดี

1 2 3 4

รูจ้ กั รูจ้ กั ไม่รจู้ กั ไม่รจู้ กั

มองเห็นได้ มองไม่เห็น มองเห็น มองไม่เห็น

หลัก การในการตรวจสอบสถานที่เ กิด เหตุ และจัด เก็บ พยานหลัก ฐาน 1

สามารถจัดเก็บพยานหลักฐาน โดยไม่เปลีย่ นแปลง หรือมีการ เปลีย่ นแปลงน้อยทีส่ ดุ

2

สามารถจำาลองสถานทีเ่ กิดเหตุขน้ึ มาใหม่ในสภาพเดิมได้

ลัก ษณะของพยานหลัก ฐานในคดี อาชญากรรมทางคอมพิว เตอร์ Hardware CPU Digital Camera Diskette USB Thumb CD , DVD Network Device PDA Media Storage Mobile Phone etc.

Software /Volatile Data

RAM Digital Files Program/Software Network Traffic Log

Other Evidence Documents Pictures Note

การวางแผนในการตรวจสอบสถานที่และจัดเก็บพยานหลักฐาน 1การวางแผนเพือ ่ รวบรวมพยานหลักฐาน ก่อนการเข้าตรวจค้น 2การวางแผนการเข้าตรวจค้น จัดเก็บ และ ขนย้ายพยานหลักฐาน 3การวางแผนจัดเตรียมอุปกรณ์ 4

การวางแผนสำารอง หากจะต้องมีการดำาเนินการต่อเนื่อง (หากมีพยานหลักฐานบ่งชีไ้ ป)

1. การวางแผนเพื่อรวบรวมพยานหลักฐาน ก่อนการเข้าตรวจค้น 1

ลักษณะการกระทำาความผิดข้อมูลและ หลักฐานอื่นๆทางคดี

2

ความเชื่อมโยงของพยานหลักฐานกับคดี และพยานหลักฐานที่คาดว่าจะพบ

3

คุณค่าของพยานหลักฐานที่คาดว่าจะพบ

กรณี ศึกษา การรวบรวมพยานหลักฐานก่อนเข้าทำาการตรวจค้น

การเผยแพร่ภาพการโชว์ลามกอนาจาร ออนไลน์ การฉ้ อโกงออนไลน์ ของชาวต่างชาติ การเล่นการพนัน บาคาร่า ออนไลน์

www.px24.com

ต่างประเทศ

สาขาอืน ่ ๆ

Network Architecture

Internet

ในประเทศ ISP

ลูกค้า

Leased Line (TT&T)

Car rental

384/37 ม.10

นิรนั ดร์คอนโด

Operation PX – 24 Pattaya

2.การวางแผนการเข้าตรวจค้น จัดเก็บ และ ขนย้ายพยานหลักฐาน 1

หน้ าที่ควบคุมบุคคลที่อยู่ในที่เกิดเหตุ มิให้เข้ามา ยุ่งเกี่ยวกับพยานหลักฐาน หรือมีโอกาสทำาลายพยานหลัก ฐาน

2

หน้ าที่เก็บรักษาพยานหลักฐานของกลาง และ การจัดทำาบันทึกการดำาเนินการ

3

หน้ าที่สอบปากคำา หรือสัมภาษณ์ผ้เู กี่ยวข้อง เช่นในประเด็น การเป็ นเจ้าของผูค้ รอบครองอุปกรณ์ต่างๆ , รหัสผูใ้ ช้หรือรหัส ผ่านของเครื่อง ฯลฯ

2.การวางแผนการเข้าตรวจค้น (ต่อ) 4

การถ่ายภาพ หรือ วีดีโอ และ การจัดทำา แผนที่เกิดเหตุ และบันทึกการดำาเนินต่างๆ

5

การจัดเก็บข้อมูลจากเครือ่ งคอมพิวเตอร์และ อุปกรณ์ต่างๆ

6

การผนึ กพยานหลักฐานและการขนย้าย

การวางแผนจัดเตรียมอุปกรณ์ 1

ชุดเครือ่ งมือสำาหรับรวบรวมพยานหลักฐานในส่วนที่ เป็ นข้อมูลอิเลคทรอนิคส์ หรืออุปกรณ์อเิ ลคทรอนิคส์ ทีอ่ าจตรวจพบในทีเ่ กิดเหตุ

2

ชุดเครือ่ งมือตรวจสถานทีเ่ กิดเหตุและรวบรวม พยานหลักฐานแบบพืน้ ฐาน

3

แบบฟอร์มต่างๆ สำาหรับการบันทึกข้อมูล และ การส่งมอบพยานหลักฐาน

1. ชุดเครื่องมือสำาหรับรวบรวมพยานหลักฐานอิเลคทรอนิคส์ 1

2

3

เครือ่ งมือสำาหรับจัดเก็บข้อมูลในหน่ วย ความจำาและสถานะต่างๆ ของเครือ่ ง คอมพิวเตอร์ เครื่องมือสำาหรับการ ถอด/ประกอบ/เชื่อมต่อ อุปกรณ์ทา งอิเลคทรอนิคส์ อุปกรณ์สาำ หรับการผนึ ก และบรรจุ / หีบห่อ

2. ชุดเครื่องมือรวบรวมพยานหลักฐานแบบพืน้ ฐาน 1

2

3

อุปกรณ์ที่ใช้ในการบันทึกข้อมูล ราย ละเอียดของหลักฐาน การบันทึกสภาพสถานที่เกิดเหตุ

Mobile Office

3. แบบฟอร์มต่างๆ สำาหรับการบันทึกข้อมูล / การส่งมอบพยานหลักฐาน 1

แบบฟอร์มบันทึกรายละเอียดพยานหลักฐาน , บัญชี พยานหลักฐาน , ภาพวาดหรือแผนที่เกิดเหตุ เป็ นต้น

สิ่งที่ต้องพิจารณากรณี จดั เก็บพยานหลักฐานจากเครื่องคอมพิวเตอร์ 1

สถาปัตยกรรม ลักษณะการทำางาน เช่น Server

2

ระบบปฏิบตั ิ การ

3

สถานะของเครือ่ ง เปิดเครือ่ ง / ปิดเครือ่ ง

4

ประเด็นอื่นๆ เช่น การเข้ารหัส

กรณี ที่ขณะที่ตรวจค้นพบว่า เครื่องคอมพิวเตอร์เปิดอยู่ ต้องการพยานหลักฐานยืนยันชัดเจน ที่มีอยู่ใน RAM กรณี มีการเชื่อมต่อเป็ นระบบเครือข่าย กรณี ต้องมีการ (Log in) หรือพบว่ามีการเข้ารหัส (Encryption) ประเด็นการต่อสู้คดีทางเทคนิคอื่นๆ หลักฐานยืนยันการทำางานตามหลักวิชาการ

ขัน้ ตอนการจัดเก็บข้อมูล 1

ทำาการบันทึกภาพ

2

ทำาจัดเก็บ Volatile Data

3

จัดทำาแผนที่ระบบเครือข่าย

4

จัดเก็บพยานหลักฐาน

Volatile Data หมายถึง 1

ข้อมูลทีไ่ ม่สามารถคงอยูไ่ ด้ หาก อุปกรณ์ทใ่ี ช้จดั เก็บนัน้ ไม่ม ี กระแสไฟฟ้าเข้าไปหล่อเลีย้ ง

2 ข้อมูลที่อยู่ในหน่ วยความจำาหลัก (Main Memory) ในช่วงเวลาขณะนัน้ ซึ่งจัดเก็บ ข้อมูลสถานะต่างๆ ภายในเครือ่ ง ที่อาจมี การเปลี่ยนแปลงได้โดยสภาพของมันเอง อัน เนื่ องจากการใช้งาน ดังนัน้ หากแม้มิได้ปิด เครื่อง แต่มีการเปลี่ยนแปลงการทำางาน ข้อมูลดังกล่าวก็อาจสูญหายไปได้

ข้อมูลสำาคัญที่เป็ นพยานหลักฐานใน Volatile Data 1

 ข้อมูลสถานะการเชื่อมต่อกับระบบเครือข่าย

2

 ข้อมูลของโปรแกรมที่กาำ ลังทำางานอยู่ในขณะนัน้

3

ข้อมูลที่เกี่ยวกับผูใ้ ช้งาน

4

ข้อมูลอื่นๆ เช่น รหัสผ่าน , เนื้ อหา

ข้อมูลสถานะ การเชื่อมต่อกับระบบเครือข่าย หมายเลข IP Address ของระบบเครือข่ายที่กาำ ลังเชื่อมต่ออยู่กบั เครื่องคอมพิวเตอร์ที่ตรวจยึด ช่องทางที่เปิดการเชื่อมต่อ (Port) หมายเลข IP Address ของเครือ่ ง ซึ่งทำาให้ทราบถึงระบบการเชื่อม ต่อเครือข่ายภายใน

ข้อมูลของโปรแกรมที่กาำ ลังทำางานอยู่ในขณะนัน้ ซอฟต์แวร์ที่ผตู้ ้องสงสัยใช้งาน ตำาแหน่ งของไฟล์ที่เก็บอยู่ในเครื่องของผูต้ ้องสงสัย กระบวนการทำางาน (Process) ของงาน (Task) ที่กาำ ลังทำางาน อยู่ในขณะนัน้

ข้อมูลที่เกี่ยวกับผูใ้ ช้งาน ระยะเวลาทีเ่ ปิดปิดเครือ่ ง หรือเครือ่ งนัน้ เริม่ ทำางาน รหัสชือ่ ผูใ้ ช้ สิทธิและ รหัสผ่าน ผูท้ ใ่ี ช้งานในระบบอยูใ่ นขณะนัน้

กรณี ศึกษา

กรณีศกึ ษา การจัดเก็บ Volatile Data ทีม่ คี วามสำาคัญ การลักลอบเจาะเข้าระบบเพื่อเปลี่ยนแปลงแก้ไข ข้อมูลจำานวนเงิน ในระบบโทรศัพท์ Pre-paid ของ บริษทั TA Orange จำากัด

การจัด เก็บ ข้อ มูล Volatile Data 1

 การเตรียมอุปกรณ์สาำ หรับจัดเก็บโปรแกรมและข้อมูล

2

ิ บตั ิ การของเครื่อง ชุดคำาสังภายในระบบปฏ ่

3

ข้อมูลที่เกี่ยวกับผูใ้ ช้งาน

4

ข้อมูลอื่นๆ เช่น รหัสผ่าน , เนื้ อหา

ทดสอบการใช้งานคำาสัง่

ทดสอบการใช้ งานคำาสั่ งต่ างๆ เพือ่ จัดเก็บ Volatile Data

การใช้งานชุดคำาสัง่ เพื่อให้ทาำ งานโดยอัตโนมัติ

IR TOOLS (Incident Response Tools) Cofee ( Computer Online Forensic Evidence Extractor ) ข้อพิจารณาในการเลือกใช้เครือ่ งมือ

หลักการเบือ้ งต้นจัดเก็บพยานหลักฐานที่เป็ นอุปกรณ์คอมพิ วเตอร์ ในกรณี ในกรณีทที่เี่เครื ครือ่ อ่ งคอมพ งคอมพิ วิ วเตอร์ เตอร์นนัน้ ัน้ ปปิ ิ ดอยู ดอยู่ ่ - ไม่ควรเปิ ดเครือ่ งคอมพิวเตอร์ เนื่องจากอาจมีการเขียนทับไฟล์บางส่วน หรือมี กับดัก ทีท่ าำ ให้พยานหลักฐานเสียหาย เช่น มีการตัง้ โปรแกรมให้เครือ่ ง คอมพิวเตอร์ ลบไฟล์บางตัวออกจากเครือ่ ง - ถอดอุปกรณ์ต่างๆทีพ่ ว่ งต่ออยู่ รวมถึงตรวจสอบช่องใส่ CD , ดิสเก็ต ฯลฯ (แยก เก็บไว้อกี ส่วนหนึ่ง)  - บันทึกรายละเอียดต่างๆของเครือ่ งคอมพิวเตอร์ รวมถึงสภาพและร่องรอยต่างๆที่ อาจตรวจพบ - หากพบว่าเครือ่ งคอมพิวเตอร์นนั ้ มีการเชือ่ มต่อกันเป็ นระบบเครือข่ายให้จดั ทำา แผนทีร่ ะบบเครือข่ายคอมพิวเตอร์นนั ้ ด้วย - ทำาการผนึก

หลักการเบือ้ งต้นจัดเก็บพยานหลักฐานที่เป็ นอุปกรณ์คอมพิ วเตอร์ ในกรณี ในกรณีทที่เี่เครื ครือ่ อ่ งคอมพ งคอมพิ วิ วเตอร์ เตอร์นนัน้ ัน้ เป เปิ ิ ดอยู ดอยู่ ่ o - ตรวจสอบ Monitor และบันทึกภาพ o - ตรวจสอบการเชือ่ มต่อกับระบบคอมพิวเตอร์อ่นื ๆ และบันทึกภาพ o - ตรวจสอบอุปกรณ์และส่วนต่อพ่วงต่างๆของเครือ่ งคอมพิวเตอร์ รวมถึงตรวจสอบ ช่องใส่ CD , ดิสเก็ต ฯลฯ (แยกเก็บไว้อกี ส่วนหนึ่ง) o - จัดเก็บข้อมูล Volatile Data o - หากพบว่าเครือ่ งคอมพิวเตอร์นนั ้ มีการเชือ่ มต่อกันเป็ นระบบเครือข่ายให้จดั ทำา แผนทีร่ ะบบเครือข่ายคอมพิวเตอร์นนั ้ ด้วย o - ปิดเครือ่ งคอมพิวเตอร์ และบันทึกรายละเอียดต่างๆของเครือ่ งคอมพิวเตอร์ รวม ถึงสภาพและร่องรอยต่างๆทีอ่ าจตรวจพบ o - ยุตกิ ารเชือ่ มต่อระบบเครือข่าย และ ทำาการผนึก

การจัดเก็บอุปกรณ์ อิเลคทรอนิคส์อื่นๆ อุปกรณ์จดั เก็บข้อมูลต่างๆ เช่น สมาร์ทการ์ด , ซีดี –ดีวีดี , แฟลชไดรฟ์  รวมถึงอุปกรณ์ที่เกี่ยวข้อง เช่น เครือ่ งบันทึก DVD แบบ External ิ อุ ป กรณ์ ก ารสื ่ อ สารต่ า งๆ เช่ น โทรศั พ ท์ ม อ ื ถื อ , ซ ม การ์ ด หรื อ เครื อ ่ ง  อ่านซิมการ์ด , เครือ่ งตอบรับโทรศัพท์อตั โนมัติ , แฟกซ์ ฯลฯ อุปกรณ์การเชื่อมต่อระบบเครือข่าย ต่างๆ เช่น Hub, Router, Modem พร้อมสายเคเบิล หรืออุปกรณ์ต่อพ่วงต่างๆ

อุปกรณ์คอมพิวเตอร์ประเภทโทรศัพท์ 1 2 3

การจัดเก็บข้อมูลในอุปกรณ์ประเภทโทรศัพท์ การใช้เครือ่ งมือในการนำาเอาข้อมูลออกจากโทรศัพท์ ข้อคำานึ งในการจัดเก็บอุปกรณ์ประเภทโทรศัพท์

ข้อคำานึ งอื่นๆ ในการจัดเก็บพยานหลักฐานในที่เกิดเหตุ 1 2 3

จำานวนคอมพิวเตอร์ในสถานที่เกิดเหตุ พืน้ ที่ในสถานที่เกิดเหตุ กรณี อปุ กรณ์คอมพิวเตอร์มีขนาดใหญ่ ไม่สามารถขนย้ายได้

Practice

การจัดเก็บอุปกรณ์คอมพิวเตอร์ แบบDesktop

การจัดเก็บอุปกรณ์คอมพิวเตอร์ แบบNotebook

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.