Professional Documents
Culture Documents
(TH) 0600 c3 Preserving Evidence 2022-05-17
(TH) 0600 c3 Preserving Evidence 2022-05-17
Homeland Security
Investigations
Cyber Crimes Center (C3)
การสงวนและรักษาพยานหลักฐาน
Bangkok, Thailand
June 2022
1
การสงวนและร ักษาพยาน
หล ักฐานดิจท
ิ ัล
่ ได ้มาซงึ่ พยานหลักฐานแล ้ว ควรเก็บ
เมือ
บันทึกและเก็บรักษาอย่างไร
มี 3 ขัน
้ ตอน ดังนี:้
1. ทำ archive ของพยานหลักฐานดิจท
ิ ล
ั
่ .zip, .tar, .dmg)
(เชน
2. ทำการบันทึกโดยเข ้ารหัส
ไฟล์ archive (hash value: ค่าแฮช)
3. จัดเก็บ พยานหลักฐานดิจท
ิ ล
ั
ในทีท่ ป
ี่ ลอดภัย
2
การทำ archive พยานหล ัก
ฐาน
3
้ ำ archive
ซอฟต์แวร์ทใี่ ชท
่ งมือสำหรับทำ archive มีหลายรูป
เครือ
แบบ ท่านควรมีความรู ้ความเข ้าใจใน
โปรแกรมทีท ้ นอย่างดี
่ า่ นเลือกใชเป็
่ :
ตัวอย่างเชน
• 7-Zip (Windows, Linux, macOS)
• WinZip (Windows)
• Disk Image (.dmg สำหรับ MAC OS X)
• ซอฟต์แวร์ทางนิตวิ ท
ิ ยาศาสตร์ (FTK
Imager)
4
การติดตงั้ 7-Zip (Windows 10)
้
7-Zip (https://7-zip.org) เป็ นโปรแกรมทำ archive และ hash แบบ open source ทีใ่ ชงานได ้ฟรี:
5
การติดตงั้ 7-Zip (Windows 10)
โปรแกรมสำหรับ zip และ hash:
เมือ
่ ติดตัง้ แล ้ว 7-Zip จะอยูใ่ น
“Context Menu” ของระบบ
Windows สามารถใชงานได ้ ้โดย
คลิกขวาทีไ่ ฟล์หรือโฟลเดอร์
6
การใชง้ าน 7-Zip (Windows 10)
โปรแกรมสำหรับ zip และ hash:
คลิ
เลือกกขวาที
“7-Zip”
“Add
ไ่ ฟล์
to เarchive”
พือ
่ เรียก
“Context Menu”
7
การสร้าง archive โดยใช ้ 7-Zip (Windows 10)
ตั
เลืง้ อช ื่ ไฟล์รแด
อ
พาสเวิ
กฟอร์ ์ มตการบี
มตของ
(เว ้นไดarchive
บ้)อัและวิ
ด ธี
(zip [Windows],
(กำหนดได
การเข ้ารหัส้) tar [Linux])
แนะนำใหทำ
“Store” ้ AES-256
้ใชarchive ไฟล์แบบ
ไม่บบ
ี อัด
8
การแตกไฟล์ (extract) archive โดยใช ้ 7-Zip (Windows 10)
9
การแตกไฟล์ (extract) archive โดยใช ้ 7-Zip (Windows 10)
ถ ้าไฟล์มก
ี ารใสพ ่ าสเวิรด
์ ไว ้ จะปรากฎ
หน ้าต่างให ้ป้ อนพาสเวิรด ์
ถ ้าพาสเวิรด์ ไม่ถก
ู ต ้อง จะแตกไฟล์ออก
มาได ้เป็ น 0 bytes
10
การเก็บร ักษาไฟล์
โดยกระบวนการเข้ารห ัส
11
ั
ฟังก์ชนแฮชการเข้
ารห ัส
(hash)
แฮชคืออัลกอริธม ้
ึ อย่างหนึง่ ทีใ่ ชในการ
แปลงข ้อมูลทุกรูปแบบ (เชน ่ ไฟล์,
โฟลเดอร์, บล็อกธุรกรรม) ให ้เป็ นแถว
ของตัวอักษรทีม่ คี วามเฉพาะ ค่าทีไ่ ด ้
กลับมาเรียกว่าค่าแฮช (hash value),
แฮชโค ้ด (hash code), digest หรือ
แฮช (hash)
ค่าแฮชใชส้ ำหรับระบุและยืนยันความ
ถูกต ้องของก ้อนข ้อมูลทางดิจท
ิ ล
ั
เปรียบแฮชเสมือนว่าเป็ น ลายนิว้ มือ
• ข ้อมูลทุกชน
ิ้ สามารถทำแฮชได ้ ไม่จำกัด
เรือ
่ งขนาดหรือชนิดไฟล์
• แฮชพิสจ
ู น์ความสมบูรณ์ของไฟล์
12
ั
ฟังก์ชนแฮชการเข้
ารห ัส
13
การชนก ันของค่าแฮช
คืออะไร
การชนกันของค่าแฮชเกิดขึน้ เมือ่ ข ้อมูล
สองชุดแฮชแล ้วได ้ค่าแฮชทีเ่ หมือนกัน
การแฮชโดย MD5 ใชเลข้ 128 bit นั่น
หมายความว่า มีความเป็ นไปได ้ 2,128
ชุดตัวเลข
โอกาสทีค
่ า่ แฮชสองชุดจะตรงกันมี
จำกัด
1 ใน 340,282,366,920,938,463,463,374,607,431,768,211,456
14
ั
ฟังก์ชนแฮชการเข้
ารห ัส
ตัวอย่างของการเปลีย
่ นแปลงข ้อความเพียงหนึง่ คำ (คำว่า “over”) แล ้วทำให ้ค่าแฮชเปลีย
่ นไปทัง้ หมด:
ข ้อความ ค่าแฮช
The red fox jumps 0086 46BB FB7D CBE2 823C ACC7 6CD1 90B1 EE6E
ั แฮชการเข ้ารหัส
ฟั งก์ชน
over the blue dog 3ABC
The red fox jumps 8FD8 7558 7851 4F32 D1C6 76B1 79A9 0DA4 AEFE
ั แฮชการเข ้ารหัส
ฟั งก์ชน
ouer the blue dog 4819
The red fox jumps FCD3 7FDB 5AF2 C6FF 915F D401 C0A9 7D9A 46AF
ั แฮชการเข ้ารหัส
ฟั งก์ชน
oevr the blue dog FB45
The red fox jumps 8ACA D682 D588 4C75 4BF4 1799 7D88 BCF8 92B9
ั แฮชการเข ้ารหัส
ฟั งก์ชน
oer the blue dog 6A6C
15
้ ฮชสำหร ับสอ
การใชแ ื่
CSAM
ศูนย์เพือ
่ เด็กหายและถูกฉวยผลประโยชน์
แห่งชาติของสหรัฐอเมริกา (National Center
for Missing and Exploited Children:
NCMEC) มีฐานข ้อมูลตารางแฮชสำหรับ สอ ื่
แสดงการล่วงละเมิดทางเพศต่อเด็ก (Child
Sexual Abuse Material: CSAM) ทีท ่ างการ
ทราบ
• การเผยแพร่แฮช ชว่ ยป้ องกันการแชร์ การ
สง่ ต่อ หรือการครอบครองสอื่ ทีผ
่ ด
ิ กฎหมาย
• หากพบไฟล์ทม ี่ ค
ี า่ แฮชเดียวกันกับในฐาน
ข ้อมูล แสดงว่าอาจเป็ นไฟล์ CSAM
• ไฟล์ CSAM ทีไ่ ม่ปรากฏมาก่อน ควรดำเนิน
การบรรจุไว ้ในฐานข ้อมูล
16
การแฮชไฟล์ archive
7-Zip เป็ นเครือ ้ ้างแฮช (checksum) ในระบบ Windows คลิกขวาทีไ่ ฟล์ เลือก 7-Zip
่ งมือทีใ่ ชสร
เลือก “CRC SHA” จากนัน ้ เลือกอัลกอริธม ่ md5, SHA 256)
ึ (เชน
สามารถเลือกให ้
บันทึกค่าแฮช
เป็ นไฟล์ได ้
17
บ ันทึกค่าแฮช (Checksum)
18
การฝึ กปฏิบ ัติ
1. ไปที่
https://passwordsgenerator.net/sha256-hash-gen
erator/
2. พิมพ์ข ้อความในกล่องข ้อความ
่ นข ้อความแล ้วสงั เกตแฮชทีเ่ ปลีย
3. ลองปรับเปลีย ่ นไป
19
การเก็บร ักษา
พยานหล ักฐานดิจทิ ัล
20
การเก็บร ักษาพยานหล ัก
ฐานดิจทิ ัล
กระจายเก็บหลายทีด
่ ท
ี ส
ี่ ด
ุ
• เก็บในฮาร์ดไดรฟ์ ในเครือ
่ ง
• ฮาร์ดไดรฟ์ ภายนอกทีม
่ ก
ี ารเข ้ารหัส
• ใช ้ RAID (1+0)
• ใชเทคโนโลยี
้ SAN (Storage Area
Network) ภายในองค์กร
21
การฝึ กปฏิบ ัติ
1. ทำไฟล์ zip จากโฟลเดอร์พยานหลักฐาน
่ case-evd.zip)
(เชน
2. ดึงค่าแฮชจากไฟล์ zip ดังกล่าว เซฟค่าแฮชไว ้ในไฟล์
โน ้ตแพดบนหน ้าเดสก์ทอป (เชน ่ case-evd-hash.txt)
3. ย ้ายไฟล์ zip และไฟล์คา่ แฮชไปเก็บไว ้ในแฟลชไดรฟ์
ของท่านทีเ่ ข ้ารหัสด ้วย BitLocker
22
Protecting the Homeland
with Honor, Service, and
Integrity
Q & A
23