นิติวิทยาระบบปฏิบัติการวินโดว์ Windows Forensics
วิธีการหาสืบหาพยานหลักฐานดิจิทัล ที่เกิดจากการใช้งานระบบปฏิบัติการวินโดว์
โดยต้องมีความเข้าใจในหลักการทำงานของวินโดว์รีจิสทรี เข้าใจข้อมูลบันทึกเหตุการณ์ กิจกรรมการใช้งานระบบปฏิบัติการวินโดว์ เข้าใจข้อมูลประวัติการใช้งานต่าง ๆ ที่ถูกเก็บไว้ใน Prefetch, LNK Files, Jump และ Internet History รวมถึงต้องเข้าใจวิธีการหาประวัติการเชื่อมต่อของอุปกรณ์ยูเอสบีต่าง ๆ เช่น แฟลชไดรฟ์ นอกจากนี้ต้องเรียนรู้วิธีการและเครื่องมือต่าง ๆ สำหรับการอ่านข้อมูลเหล่านี้มาใช้ประกอบเป็นพยานหลักฐานดิจิทัล
ชนิดข้อมูลระบบปฏิบัติการวินโดว์ (Volatile & Non-Volatile information)
Volatile memory หมายถึง หน่วยความจำแบบลบเลือนได้ ซึ่งเป็นหน่วยความจำที่ต้องใช้กระแสไฟฟ้าหล่อเลี้ยง เพื่อเก็บข้อมูล หากเกิดไฟฟ้าดับข้อมูลและโปรแกรมคำสั่งจะสูญหายไป หน่วยความจำประเภทนี้ เช่น แรม (RAM) ของเครื่องคอมพิวเตอร์ สมาร์ตโฟน เป็นต้น
Non-Volatile memory คือ อุปกรณ์ที่ใช้ในการเก็บข้อมูลที่ไม่สูญหายไป เมื่อไม่มีการจ่ายกระแสไฟฟ้าและสามารถที่จะเก็บข้อมูลต่าง ๆ ไว้ภายในตัวสืบค้นข้อมูลได้ โดยที่ข้อมูลไม่สูญหายนั่นเอง โดยอุปกรณ์ประเภทนี้ ได้แก่ Hard Disk Drive, SSD Drive, แฟลชไดรฟ์ และสื่อบันทึกข้อมูลแบบอื่น ๆ ที่สามารถเคลื่อนย้ายได้
การดูประวัติการใช้งานแอปพลิเคชันจาก Prefetch
Prefetch เป็นโฟลเดอร์อยู่ที่ C:\Windows ดังรูปที่ 1.1 ใช้สำหรับเก็บข้อมูลการใช้งาน
แอปพลิเคชันต่าง ๆ หลักการของมันคือ เมื่อเครื่องคอมพิวเตอร์เริ่มทำงานในแต่ละครั้ง วินโดว์จะติดตามวิธีการที่คอมพิวเตอร์ของคุณเริ่มต้นทำงานและโปรแกรมที่คุณเปิดใช้เป็นประจำ วินโดว์จะบันทึกข้อมูลนี้เป็นไฟล์ เล็ก ๆ ไว้ในนี้ ดังนั้นครั้งต่อไปที่คุณเปิดเครื่องคอมพิวเตอร์ Windows จะอ้างถึงไฟล์ต่าง ๆ เหล่านี้ เพื่อช่วย
ร่นระยะเวลาของกระบวนการเริ่มต้น สรุปคือ จะทำให้คุณสามารถใช้งานได้เร็วขึ้นนั่นเอง
เครื่องมือที่ใช้สำหรับการตรวจพิสูจน์หลักฐานระบบปฏิบัติการวินโดว์
เครื่องมือที่ใช้ในการค้นหาหลักฐานดิจิทัลมีทั้งโปรแกรมที่เป็นซอฟต์แวร์ฟรี และต้องซื้อ สำหรับซอฟต์แวร์ฟรีที่นิยมใช้กัน ได้แก่
- JumpListsView เป็นฟรีโปรแกรมที่ใช้สำหรับเปิดดูประวัติรายการที่ถูกเปิดใช้งานล่าสุด เช่น ไฟล์ โฟลเดอร์ หรือ เว็บไซต์
- SQLiteViewer เป็นออนไลน์แอปพลิเคชันใช้สำหรับเปิดฐานข้อมูล SQLite เพื่อดูข้อมูลประวัติการใช้งานอินเทอร์เน็ตและการดาวน์โหลดไฟล์ต่าง ๆ จากอินเทอร์เน็ต
- RegistryExplorer เป็นฟรีโปรแกรมที่ใช้สำหรับเปิดและแก้ไขค่าในวินโดว์รีจิสทรี
ซึ่งสามารถแสดงรายละเอียดข้อมูลต่าง ๆ ได้มากกว่าโปรแกรม regedit ซึ่งเป็นของวินโดว์ - USBDeview เป็นฟรีโปรแกรมที่ใช้ดูประวัติการเชื่อมต่ออุปกรณ์ยูเอสบี ซึ่งสามารถดูในรายละเอียดและเข้าใจได้ง่ายกว่าเปิดดูจากโปรแกรม RegistryExplorer และ regedit
- WinPrefetchView เป็นฟรีโปรแกรมที่ใช้ดูประวัติรายละเอียดต่าง ๆ ของ Prefetch
ซึ่งสามารถแสดงรายละเอียดได้ดีกว่าดูจากโฟลเดอร์ของ Prefetch และแสดงผลในรูปแบบที่เข้าใจได้ง่าย
เครื่องมือที่ใช้ในการค้นหาหลักฐานดิจิทัล มีทั้งโปรแกรมที่เป็นซอฟต์แวร์ที่จำหน่าย ซึ่งต้องซื้อ
มีหลายผลิตภัณฑ์ เช่น AXIOMExamine, Encase เป็นต้น
อภิปรายค่าบันทึกเหตุการณ์และการดำเนินการที่เกี่ยวข้อง
การค้นหาและพิสูจน์หลักฐานดิจิทัล มีความจำเป็นต้องใช้ข้อมูลจากหลายส่วน ๆ มาประกอบกัน เช่น ในกรณีที่ผู้ต้องสงสัยใช้คอมพิวเตอร์ในการติดต่อซื้อสิ่งผิดกฎหมาย โดยได้ใช้เบราว์เซอร์ทำการดาวน์โหลดรูปสินค้าจากเว็บไซต์ และส่งรูปดังกล่าวไปให้ผู้ลักลอบขายสินค้าผิดกฎหมายผ่านไลน์แอปพลิเคชัน (LINE) เรามีความจำเป็นต้องใช้ข้อมูลจากหลายแหล่งข้อมูลในการพิสูจน์หลักฐานดิจิทัล เช่น
- Prefetch เพื่อแสดงว่าผู้ต้องสงสัยได้เปิดใช้งานเบราว์เซอร์และไลน์แอพพลิเคชัน
ในช่วงเวลาที่มีการส่งข้อมูลกัน - LNK ไฟล์ และ Jump List เพื่อแสดงการใช้งานไฟล์ต่าง ๆ เช่น รูปภาพที่ดาวน์โหลดมาจากอินเทอร์เน็ต
- Browser History โดยดูจากทั้งเมนู History และ Download เพื่อหาประวัติย้อนหลังว่า
ผู้ต้องสงสัยได้เข้ามาใช้เบราว์เซอร์ในการค้นหาและดาวน์โหลดสินค้าเป้าหมายเมื่อไร เวลาใด - ค้นหารูปดาวน์โหลดมาและส่งผ่านไลน์แอปพลิเคชัน
การใช้ฟังก์ชันพื้นฐานของวินโดว์อาจจะไม่เพียงพอต่อการรวบรวมข้อมูลต่าง ๆ เหล่านี้ ดังนั้น การใช้ซอฟต์แวร์ฟรี หรือ ต้องซื้อเข้ามาช่วยจึงเป็นสิ่งสำคัญมาก