HSI

Homeland Security
Investigations
Cyber Crimes Center (C3)

การสงวนและรักษาพยานหลักฐาน
Bangkok, Thailand
June 2022

1
การสงวนและร ักษาพยาน
หล ักฐานดิจท
ิ ัล
่ ได ้มาซงึ่ พยานหลักฐานแล ้ว ควรเก็บ
เมือ
บันทึกและเก็บรักษาอย่างไร
มี 3 ขัน
้ ตอน ดังนี:้
1. ทำ archive ของพยานหลักฐานดิจท
ิ ล
ั
่ .zip, .tar, .dmg)
(เชน
2. ทำการบันทึกโดยเข ้ารหัส
ไฟล์ archive (hash value: ค่าแฮช)
3. จัดเก็บ พยานหลักฐานดิจท
ิ ล
ั
ในทีท่ ป
ี่ ลอดภัย

2
การทำ archive พยานหล ัก
ฐาน

3
 ้ ำ archive
ซอฟต์แวร์ทใี่ ชท
่ งมือสำหรับทำ archive มีหลายรูป
เครือ
แบบ ท่านควรมีความรู ้ความเข ้าใจใน
โปรแกรมทีท ้ นอย่างดี
่ า่ นเลือกใชเป็
่ :
ตัวอย่างเชน
• 7-Zip (Windows, Linux, macOS)
• WinZip (Windows)
• Disk Image (.dmg สำหรับ MAC OS X)
• ซอฟต์แวร์ทางนิตวิ ท
ิ ยาศาสตร์ (FTK
Imager)

4
การติดตงั้ 7-Zip (Windows 10)
้
7-Zip (https://7-zip.org) เป็ นโปรแกรมทำ archive และ hash แบบ open source ทีใ่ ชงานได ้ฟรี:

5
การติดตงั้ 7-Zip (Windows 10)
โปรแกรมสำหรับ zip และ hash:

เมือ
่ ติดตัง้ แล ้ว 7-Zip จะอยูใ่ น
“Context Menu” ของระบบ
Windows สามารถใชงานได ้ ้โดย
คลิกขวาทีไ่ ฟล์หรือโฟลเดอร์

6
การใชง้ าน 7-Zip (Windows 10)
โปรแกรมสำหรับ zip และ hash:

คลิ
เลือกกขวาที
“7-Zip”
“Add
ไ่ ฟล์
to เarchive”
พือ
่ เรียก
“Context Menu”

7
การสร้าง archive โดยใช ้ 7-Zip (Windows 10)

ตั
เลืง้ อช ื่ ไฟล์รแด
อ
พาสเวิ
กฟอร์ ์ มตการบี
มตของ
(เว ้นไดarchive
บ้)อัและวิ
ด ธี
(zip [Windows],
(กำหนดได
การเข ้ารหัส้) tar [Linux])

แนะนำใหทำ
“Store” ้ AES-256
้ใชarchive ไฟล์แบบ
ไม่บบ
ี อัด

8
การแตกไฟล์ (extract) archive โดยใช ้ 7-Zip (Windows 10)

คลิกขวาทีไ่ ฟล์ เลือก “Extract

to…” จากนัน ้ เลือกตำแหน่ง
ของโฟลเดอร์ทต ี่ ้องการ

9
การแตกไฟล์ (extract) archive โดยใช ้ 7-Zip (Windows 10)

ถ ้าไฟล์มก
ี ารใสพ ่ าสเวิรด
์ ไว ้ จะปรากฎ
หน ้าต่างให ้ป้ อนพาสเวิรด ์

ถ ้าพาสเวิรด์ ไม่ถก
ู ต ้อง จะแตกไฟล์ออก
มาได ้เป็ น 0 bytes

10
 การเก็บร ักษาไฟล์
โดยกระบวนการเข้ารห ัส

11
 ั
ฟังก์ชนแฮชการเข้
ารห ัส
(hash)
แฮชคืออัลกอริธม ้
ึ อย่างหนึง่ ทีใ่ ชในการ
แปลงข ้อมูลทุกรูปแบบ (เชน ่ ไฟล์,
โฟลเดอร์, บล็อกธุรกรรม) ให ้เป็ นแถว
ของตัวอักษรทีม่ คี วามเฉพาะ ค่าทีไ่ ด ้
กลับมาเรียกว่าค่าแฮช (hash value),
แฮชโค ้ด (hash code), digest หรือ
แฮช (hash)
ค่าแฮชใชส้ ำหรับระบุและยืนยันความ
ถูกต ้องของก ้อนข ้อมูลทางดิจท
ิ ล
ั
เปรียบแฮชเสมือนว่าเป็ น ลายนิว้ มือ
• ข ้อมูลทุกชน
ิ้ สามารถทำแฮชได ้ ไม่จำกัด
เรือ
่ งขนาดหรือชนิดไฟล์
• แฮชพิสจ
ู น์ความสมบูรณ์ของไฟล์

่ งิ่ เดียวกันกับค่าแฮช (hash value)

แฮชแท็ก (#) ไม่ใชส

12
 ั
ฟังก์ชนแฮชการเข้
ารห ัส

แฮชคืออัลกอรึธม ึ แบบทางเดียว เมือ ่

ข ้อมูลผ่านฟั งก์ชนั แฮชแล ้วไม่สามารถ
กระทำย ้อนกลับได ้ และฟั งก์ชน ั แฮ
ชไม่แสดงรายละเอียดข ้อมูลหรือขนาด
ของไฟล์
• SHA-256 คืออัลกอริธม
ึ ในปั จจุบน ั มี
ความปลอดภัยและนิยมใชสู้ ง ใชเลข
้
ิ หก มีความยาว 64 ตัวอักษร
ฐานสบ
• MD5 และ SHA-1 คือแฮชอัลกอริธม ึ ทีม
่ ี
โอกาสเกิดการชนกันของค่าแฮชได ้ง่าย
(collisions)

13
 การชนก ันของค่าแฮช
คืออะไร
การชนกันของค่าแฮชเกิดขึน้ เมือ่ ข ้อมูล
สองชุดแฮชแล ้วได ้ค่าแฮชทีเ่ หมือนกัน
การแฮชโดย MD5 ใชเลข้ 128 bit นั่น
หมายความว่า มีความเป็ นไปได ้ 2,128
ชุดตัวเลข
โอกาสทีค
่ า่ แฮชสองชุดจะตรงกันมี
จำกัด

1 ใน 340,282,366,920,938,463,463,374,607,431,768,211,456

14
 ั
ฟังก์ชนแฮชการเข้
ารห ัส
ตัวอย่างของการเปลีย
่ นแปลงข ้อความเพียงหนึง่ คำ (คำว่า “over”) แล ้วทำให ้ค่าแฮชเปลีย
่ นไปทัง้ หมด:

ข ้อความ ค่าแฮช
The red fox jumps 0086 46BB FB7D CBE2 823C ACC7 6CD1 90B1 EE6E
ั แฮชการเข ้ารหัส
ฟั งก์ชน
over the blue dog 3ABC

The red fox jumps 8FD8 7558 7851 4F32 D1C6 76B1 79A9 0DA4 AEFE
ั แฮชการเข ้ารหัส
ฟั งก์ชน
ouer the blue dog 4819

The red fox jumps FCD3 7FDB 5AF2 C6FF 915F D401 C0A9 7D9A 46AF
ั แฮชการเข ้ารหัส
ฟั งก์ชน
oevr the blue dog FB45

The red fox jumps 8ACA D682 D588 4C75 4BF4 1799 7D88 BCF8 92B9
ั แฮชการเข ้ารหัส
ฟั งก์ชน
oer the blue dog 6A6C

15
 ้ ฮชสำหร ับสอ
การใชแ ื่
CSAM
ศูนย์เพือ
่ เด็กหายและถูกฉวยผลประโยชน์
แห่งชาติของสหรัฐอเมริกา (National Center
for Missing and Exploited Children:
NCMEC) มีฐานข ้อมูลตารางแฮชสำหรับ สอ ื่
แสดงการล่วงละเมิดทางเพศต่อเด็ก (Child
Sexual Abuse Material: CSAM) ทีท ่ างการ
ทราบ
• การเผยแพร่แฮช ชว่ ยป้ องกันการแชร์ การ
สง่ ต่อ หรือการครอบครองสอื่ ทีผ
่ ด
ิ กฎหมาย
• หากพบไฟล์ทม ี่ ค
ี า่ แฮชเดียวกันกับในฐาน
ข ้อมูล แสดงว่าอาจเป็ นไฟล์ CSAM
• ไฟล์ CSAM ทีไ่ ม่ปรากฏมาก่อน ควรดำเนิน
การบรรจุไว ้ในฐานข ้อมูล

16
การแฮชไฟล์ archive
7-Zip เป็ นเครือ ้ ้างแฮช (checksum) ในระบบ Windows คลิกขวาทีไ่ ฟล์ เลือก 7-Zip
่ งมือทีใ่ ชสร
เลือก “CRC SHA” จากนัน ้ เลือกอัลกอริธม ่ md5, SHA 256)
ึ (เชน

สามารถเลือกให ้
บันทึกค่าแฮช
เป็ นไฟล์ได ้

17
บ ันทึกค่าแฮช (Checksum)

18
 การฝึ กปฏิบ ัติ
1. ไปที่
https://passwordsgenerator.net/sha256-hash-gen
erator/
2. พิมพ์ข ้อความในกล่องข ้อความ
่ นข ้อความแล ้วสงั เกตแฮชทีเ่ ปลีย
3. ลองปรับเปลีย ่ นไป

19
 การเก็บร ักษา
พยานหล ักฐานดิจทิ ัล

20
การเก็บร ักษาพยานหล ัก
ฐานดิจทิ ัล
กระจายเก็บหลายทีด
่ ท
ี ส
ี่ ด
ุ
• เก็บในฮาร์ดไดรฟ์ ในเครือ
่ ง
• ฮาร์ดไดรฟ์ ภายนอกทีม
่ ก
ี ารเข ้ารหัส
• ใช ้ RAID (1+0)
• ใชเทคโนโลยี
้ SAN (Storage Area
Network) ภายในองค์กร

21
 การฝึ กปฏิบ ัติ
1. ทำไฟล์ zip จากโฟลเดอร์พยานหลักฐาน
่ case-evd.zip)
(เชน
2. ดึงค่าแฮชจากไฟล์ zip ดังกล่าว เซฟค่าแฮชไว ้ในไฟล์
โน ้ตแพดบนหน ้าเดสก์ทอป (เชน ่ case-evd-hash.txt)
3. ย ้ายไฟล์ zip และไฟล์คา่ แฮชไปเก็บไว ้ในแฟลชไดรฟ์
ของท่านทีเ่ ข ้ารหัสด ้วย BitLocker

22
Protecting the Homeland
with Honor, Service, and
Integrity

Q & A

23