By දැන් අපි ඉන්නේ digital forensic article series එකේ තුන්වෙනි article ඒකේ. ඔයා තාමත් Digital Forensic ගැන කතා කරපු කලින් articles 02 කියෙව්වේ නැත්නම් මේ links වලට ගිහින් ඒවා refer කරලා එන්න. මොකද නැත්නම් ඔයාට අද article ඒකේ කියවෙන දේවල් ගැන තේරුම් ගන්න ටිකක් අමාරු වෙයි.
Article 01 –
Article 02 –
මුලින්ම අපි බලමු Digital Evidence එකක් කියන්නේ මොකක්ද කියලා?
“Digital evidence or electronic evidence is any probative information stored or transmitted in digital form that a party to a court case may use at trial.”
ගොඩක් තැන් වල digital evidence වලට දීලා තියෙන්නේ මේ වගේ definition එකක්. මේකට අනුව කියවෙනේ digital form එකෙන් හරි electronic form එකෙන් හරි තියෙන, court case එකකට ඉදිරිපත් කරන්න පුලුවන් evidence එකක් digital evidence එකක් කියලා හදුන්වනවා කියලා.
හැබැයි අපි ගන්න හැම digital evidence එකක්ම අධිකරනයට ඉදිරිපත් කරන්න අවශ්ය වෙන්නේ නෑ. ඔයාලට මතකනේ අපි කලින් computer crime key investigation process එකේ steps 14 ගැන discuss කරනකොට කිව්වා step 03 and step 06 හැම වෙලේම use වෙන්නේ නෑ කියලා. ඒ කියන්නේ ගොඩක් වෙලාවට private organizations සහ companies වල එයාලටම අනන්ය වෙච්ච rules and regulation තියෙනවා. ඒ කියනේ මේ වගේ දෙයක් උනාම එයාලා ආයතනික මට්ටමින් මේවා විසද ගන්නවා. ඒ නිසා හැම case එකක්ම අධිකරනයට ඉදිරිපත් කරන්න අවශ්ය වෙන්නේ නෑ.
Digital evidence collect කර ගන්න පුලුවන් main types දෙකක් තියෙනවා.
- Digital storage media [volatile and non-volatile]
- Network Traffic
Digital storage media mainly types දෙකකට බෙදෙනවා. ඒ volatile and non-volatile කියලා. Example එකක් විදියට කිව්වොත්, අදාල device එකට දෙන power supply එක නතර කරාම device එකේ data නැති වෙනවා නම් ඒක volatile storage media එකක් කියලා අපට කියන්න පුලුවන්. අදාල device එකට දෙන power supply එක නතර කරාම device එකේ data නැති වෙන්නේ නැත්නම් ඒ වගේ ඒවට non-volatile storage media කියලා අපට කියන්න පුලුවන්. Volatile data අපට modified කරන්න බැහැ. හැබැයි non-volatile ඒවා නම් modified කරන්න පුලුවන්. Computer එකක නම් volatile data collect කර ගන්න පුලුවන් RAM (Random Access Memory), cache and register use කරලා. ඒ වගේම තමයි Non – volatile data computer එකේ hard disk එකෙන් ගන්න පුලුවන්.
Digital storage media වලට අමතරව අපට evidence collect කර ගන්න පුලුවන් විදියක් තමයි Network Traffic කියලා කියන්නේ. ගොඩක් වෙලාවට malwares යන්නේ network එකක් through නේ. එතකොට malware එකක් වෙනකොට අනිවර්යෙන්ම network traffic එක වැඩි වෙනවා. ඒකෙන් අපිට digital evidence collect කර ගන්න වාසියක් වෙනවා.
Digital Evidence වලට examples මොනවද කියලා දැන් අපි බලමු.
- E-mails
ඔයාලා දන්නවනේ E-mails කියන්නේ මේ වෙනකොට අන්තර්ජාලය හරහා ගනුදෙනු කරනකොට නැතුවම බැරි දෙයක් කියලා. ඒ නිසාම E-mails හරහා ගොඩක් attacks එනවා. ඒ අතරින් social engineering attacks උඩින්ම ඉන්නවා. ඔයා social media attacks ගැන දන්නේ නැත්නම් මේ link එකට ගිහින් ඒ article එක read කරන්න.
Social engineering attacks –
මේ වගේ Social engineering attack එකක් email through ආවොත් ඒක digital evidence එකක් විදියට ඔයාට court එකට පෙන්වන්න පුලුවන්.
- Digital photographs
Digital photographs කියලා කියන්නෙත් අපට court එකට පෙන්වන්න පුලුවන් හොද evidence එකක් කිව්වොත් හරියටම හරි. හරි example එකක් විදියට ඔයා මෙහෙම හිතන්නකෝ. බොබ් කියලා කෙනෙක් ඉන්නවා. සෑම් කියලා තව කෙනෙක් ඉන්නවා. සෑම් කියනවා පෙරේදා රෑ 10.30 ට බොබ් murder එකක් කරා කියලා. හැබැයි බොබ් ඒ වෙලාවේ ඇත්තටම ඉදලා තියෙන්නේ party එකක. බොබ් ගාව පෙරේදා රෑ 10.30 ට ගත්ත selfie picture එකක් තියෙනවා. බොබ්ට ඒක අධිකරණයට පෙන්නලා එයා නිර්දෝශී කියලා ඔප්පු කරන්න පුලුවන්. මේ process එකේදී බොබ් ගාව තියෙන selfie picture එක digital evidence එකක් විදියට ගන්න පුලුවන්. Computer crime investigation එකේදී මේ selfie picture එක use කරලා ඒක ගත්ත place එක මොකක්ද time එක මොකක්ද කියලා හරියටම configure කර ගන්න පුලුවන්. ඒ කියන්නේ අධිකරණය ඉදිරියේ බොබ් නිවැරදි කරුවෙක් කියලා ඔප්පු වෙනවා.
- ATM transaction logs
ATM transaction logs කියලා කියන්නෙත් අපි කලින් කතා කරපු digital evidence වගේම තවත් important evidence එකක් කිව්වොත් හරියටම හරි. මෙවා use කරලා ATM වලින් කරපු සේරම transactions ගැන details බලා ගන්න පුලුවන් වෙනවා.
- Word processing documents
Word processing documents කියලා කියන්නේ අපි අතින් කොල වල ලියනවා වගේ මොකක් හරි electronic device එකක් use කරලා digital විදියට type කරන document එකක්. හරි ඔයා example එකක් විදියට මෙහෙම හිතන්නකෝ. Covid – 19 තිබ්බ කාලේ ගොඩක් තැන් වල වැඩ කරේ online නේ. Jobs interviews එහෙමත් ගොඩක් වෙලාවට online තමයි තිබ්බේ. ඉතිං මේ විදියට online interview කරපු අයට ගොඩක් jobs වලින් appointment letters දුන්නේ online.
ඒ වගේම තමටි company එකේ rules & regulations වලට අපි එකග වෙනවා කියලා වැඩ භාර ගන්න කලින් අපි digitally signature එකක් දාන්න ඕනි. මෙහෙම signature එකක් දාල, බැරි වෙලාවත් අදාල employee හිතා මතා ඒ company එකට වැරැද්දක් කරොත් එයා වැරදිකරුවෙක් වෙනවා. ඒ වගේ අවස්ථාවක company එකෙන් අදාල පුද්ගලයා කරපු වැරද්ද අනුව punishment දෙනවා.
- Instant message histories
Instant message histories කියලා කියන්නේ නම් අපි හැමෝම දන්න message histories වලට. ගොඩක් වෙලාවට ඔයාලා ගාවත් ඔයාට normal එන message, WhatsApp එකෙන් එන message එහෙම store වෙලා ඇති. මේ වගේ messages උනත් digital evidence විදියට අධිකරණයේ පිලිගන්නවා.
- Files saved from accounting programs
මේ වගේ evidence නම් ගොඩක් use වෙන්නේ financial side එකේ කිව්වොත් හරියටම හරි. ඒ කියන්නේ ගොඩක් දුරට company සහ organizations එයාලගේ financial details මේ වෙනකොට digital විදියට store කරන්න පුරුදු වෙලා තියෙනවා. ඒ කියන්නේ මේවත් evidence විදියට court එකට ඉදිරිපත් කරන්න පුලුවන්.
- Spreadsheets
Spreadsheets ගැන නම් ඔයාලා හැමෝම දන්නවා ඇතිනේ. ඒත් දැන් ඔයාලට ප්රශ්නයක් ඇති මේවා කොහොමද digital evidence විදියට use කරන්නේ කියලා. හරි මේකත් අපි example එකක් එක්ක කතා කරමුකෝ.
ඔයා හිතන්නකෝ බොබි drug business කරනවා කියලා. එතකොට ඒයා එයාගේ එදිනෙදා business details spreadsheets වල maintain කරනවා. එතකොට බොබ්ව කවද හරි police වලට අහු වෙච්ච දවසට එයාගේ spreadsheets වල තියෙන details evidence විදියට ගන්නවා,
- Internet browser histories
ඔයාලා දන්නවනේ normally අපි internet එකේ search කරන ඒවා browser එකේ search history වලින් බලන්න පුලුවන් කියලා. ඉතිං දැන් වෙද්දී මේවාත් digital evidence විදියට ලෝකේ පිලිගන්නවා.
- Databases
Digital evidence use කරන්න පුලුවන් තවත් evidence category එකක් තමයි databases කියලා කියන්නේ. දැන් කාලේ ගොඩක් company and organizations databases වලින් තමයි එයාලගේ data maintain කරන්නේ.
- Computer memory
Computer memory එක විදියට, computer එකේ save වෙන තියෙන දේවල් අපට digital evidence විදියට ගන්න පුලුවන් වෙනවා. ඒ කියන්නේ hard drive එකේ memory එක, register memory එක, RAM, cheche memory එක වගේ දේවල්.
- Backups
Backups කියන්නෙත් මේ වෙදිදී ගොඩක් famous digital evidence type එකක් කිව්වොත් හරියටම හරි. ගොඩක් වෙලාවට hospitals, bank වගේ ගොඩක් ලොකු database manage කරන තැන් වල Backups තියාගෙන තමයි වැඩ කරන්නේ. මොකද බැරි වෙලාවත් unauthorized person කෙනෙක් system එකට enter වෙලා data change කරොත් Backups නිසා අපට පරන data හොයා ගන්න පුලුවන් සහ අපට අධිකරණමය වශයෙන් වැරදිකරු හදුනා ගන්න පහසු වෙනවා.
- Global Positioning System tracks
GPS එහෙම නැත්නම් Global Positioning System tracks කියලා කියන්නේ අපි කලින් කතා කරපු digital evidence වගේම කෙනෙක් ඉන්න තැන track කරන්න use කරන්න පුලුවන් evidence type එකක් කිව්වොත් හරියටම හරි.
- Logs from a hotel’s electronic door locks
Logs from a hotel’s electronic door locks කියන්නේ මේ වෙදිදී ගොඩක් hotels වල use කරන technique එකක් කිව්වොත් හරියටම හරි. මේ process එකේදී වෙන්නේ hotel room එකට යනකොට reception එකෙන් user ට electronic card එකක් දෙනවා. එතකොට user ට කරන්න තියෙන්නේ මේ card එක අරගෙන් තමන්ට අදාල room එකේ door එක ගාව තියෙන card reader එකෙන් ඒක verify කර ගන්න. එතකොට room එකට අදාල card එක user ගාව තියෙනවා නම් verification process එකෙන් පස්සේ door එක open වෙනවා. මේ process එකට අමතරව අදාල user room එකේ ඉන්න times and dates detect කර ගන්න පුලුවන් වෙන එකට තමයි logs from a hotel’s electronic door locks කියලා කියන්නේ.
- Digital video or audio files
Digital video or audio files කියලා කියන්නෙත් මේ වෙදිදී ගොගක් famous digital evidence එකක් කිව්වොත් හරියටම හරි. ඒ කියන්නේ කවිරුහරි තව පුද්ගලයෙක්ට call කරලා තර්ජනය කරනවා නම්, නැත්නම් කප්පම් ඉල්ලනවා නම්, අපට ඒවා record කරලා අධිකරණයට ඉදිරිපත් කරන්න පුලුවන්.
ඒ වගේම තමයි CCTV records කියලා කියන්නේ digital video වලට හොද example එකක් කිව්වොත් හරියටම හරි. මොකද කොහේ හරි murder එකක් උනොත්, accident එකක් උනොත් CCTV records අපට evidence විදියට අධිකරණයට ඉදිරිපත් කරන්න පුලුවන් වෙනවා.
- IoT devices (smart devices)
IOT එහෙම නැත්නම් Internet of things කියලා කියන්නේ මේ වෙද්දී ලෝකේ ගොඩක් trending side එකක්. IOT නිසා ඔයාගේ ගෙදර තියෙන සේරම devices එක voice command එකකින් control කරන්න පුලුවන් විදියට මේ වෙද්දී දියිනු වෙලා තියෙනවා. ඒ වගේම තමයි මේ devices වලට user ලා කරන දේවල් identify කර ගන්න හැකියාව තියෙනවා. ඒ නිසා Internet of things කියලා කියන්නේ හොද digital evidence එකක් කිව්වොත් හරියටම හරි.
- Registries
Registries කියලා කියන්නේ ඔයාගේ computer එකේ laptop එකේ ඔයා කරන වැඩ recode වෙන volatile memory එකක් කිව්වොත් හරියටම හරි. registries memory එකත් digital evidence එකක් විදියට මේ වෙන්කොට ලෝකේ පිලිගන්නවා. හරි ඔයා example එකක් විදියට මෙහෙම හිතන්නකෝ. Hacker කෙනෙක් system එකකට enter වෙලා ඒ system එකේ data change කරන් යනවා. එතකොට එයා කරපු changes registries memory එකේ recode වෙනවා. දැන් ඔයාලට තේරෙනවනේ ඒක අපට digital evidence එකක් විදියට use කරන්න පුලුවන් කියලා.
- OS-specific artifacts
OS specific artifacts කියලා කියන්නේ එක එක OS වලට වෙන වෙනම identical වෙච්ච system files කියල කිව්වොත් හරියටම හරි. මේ files වලත් user ලා කරන දේවල් recode වෙනවා. ඉතිං අපට මේවා forensic analytes tools වලට දාලා user activities receive කරන්න පුලුවන් වෙනවා.
දැන් අපි බලමු Digital Evidence ඇයි මෙච්චර වැදගත් වෙන්නේ කියලා?
දැන් කාලේ ගොඩක් business online mode එකෙන් තමයි වෙන්නේ. ඒ නිසාම හැම company එකකටම, organization එකකටම hackers ලගෙන් ගොඩක් තර්ජන එන්න පුලුවන්. ඉතිං මේවාට නීතිමය වශයෙන් පියවර ගන්න digital evidence ගොඩක් වැදගත් වෙනවා.
ඒ වගේම තමයි government එකත් digital evidence ගැන ලොකු අවදානයක් දෙනවා. මොකද මේ වෙද්දී social media කියලා කියන්න්නේ සමාජයට ලොකු බලපෑමක් කරන්න පුලුවන් මාධයක්නේ. ඒ නිසා සමාජය තුල හොද සහ නරක කියන දෙකම පතුරවන්න social media වලට පොඩි වෙලාවකින් පුලුවන්. ඉතිං ඒ නිසාම government එකෙන් terrorists activities වෙනවද කියලා බලන්න සහ, ඉදිරි අනාගතයේදී වෙන්න පුලුවන් attacks වලක්වා ගන්න digital evidence collect කරනවා.
දැන් අපි බලමු Digital Evidence එක්ක තියෙන challenges මොනවද කියලා?
සමහර වෙලාවට digital evidence වල නිරවදතාවය පිලිබදව ගැටලු එන්න පුලුවන්. ඒ කියන්නේ integrity පිලිබදව ගැටලු ඇති වෙන්න පුලුවන්. Example එකක් විදියට කිව්වොත් ඔයා හිතන්නකෝ කොහේ හරි murder එකක් උනා කියලා. එතකොට මේ murder එකට use කරපු weapons , guns evidence විදියට අපට ගන්න පුලුවන්. ඒ වගේම තමයි මේවා physical evidence නිසා ලේසියෙන් change කරන්න නම් බෑ. හැබැයි digital evidence use කරන්කොට නම් ඒවා change කරන්න පුලුවන් අවස්ථා තියෙන්නත් බැරි නෑ.
ඔයාලා අහලා තියෙනවද MAC Time recorders ගැන. MAC Time කියලා කියන්නේ ඔයාගේ computer එකේ නැත්නම් laptop එකේ තියෙන files details ගැන තියෙන metadata record එකක් කිව්වොත් හරියටම හරි. මේකෙන් ඔයාට ඔයාගේ device එකේ files create කරපු දවස, modify කරපු දවස සහ last access data එක වගේ දේවල් බලා ගන්න පුලුවන් වෙනවා. මේ වෙනකොට MAC Time recorders කියලා කියන්නෙත් අධිකරණයේ පිලිගන්න valuable evidence එකක් කිව්වොත් හරියටම හරි. හැබැයි සමහර වෙලාවට hackers ලා මේ evidence change කරනවා. ඒ කියන්නේ example එකක් විදියට ඔයා හිතන්නකෝ ඔයා ඔයාගේ device එකේ digital forensic කියලා folder එකක් පෙරේදා create කරා කියලා. මේකේ ඔයාගේ important notes වගයක් තියෙනවා කියලා හිතන්නකෝ. ඊට පස්සේ ඔයාගේ device එක මොකක් හරි computer crime එකකට අහු වෙලා hackers ලා අතට පත් වෙනවා. ඉතිං එයාලා ඔයාගේ device එකේ digital forensic කියන folder එකට ගිහින් එකේ details change කරනවා. දැන් ඔයා MAC Time recorders check කරනකොට ඔයාට බලා ගන්න පුලුවන් වෙන්නේ ඇත්තටම folder එක හදපු දවස නෙමෙයි. දැන් ඔයාලට තේරෙනවනේ digital evidence වල integrity එක ගැන problems තියෙනවා කියලා.
ඒ වගේම තමයි computer crimes වලදී, ඒක කරන hacker or attacker අපට evidence මුකුත්ම හොයා ගන්න බැරි විදියට ඒ attack එක කරන්නත් පුලුවන්. ඊට අමතරව සමහර අවස්ථා වලදී evidence වලින් භාගයක් විතරක් අපට බලා ගන්න පුලුවන් විදියට attackers ලා evidence ඉතුරු කරනවා. මේ වගේ අවස්ථා data remnants කියලා හදුන්නවා.
දැන් අපි බලමු Digital Evidence Characteristic මොනවද කියලා?
- ඔයාලට මතකද අපි computer investigation process එකේ අපි step 14 ක් ගැන කතා කරා. එතකොට මේ steps අපේ evidence එකට apply කරන්න පුලුවන් නම් ඒක අපට අධිකරණයේ ඉදිරිපත් කරන්න පුලුවන් ඒ කියන්නේ ඒ evidence එක valid විදියට ගන්න පුලුවන්.
- Evidence එක අනිවාර්යෙන්ම ඇත්ත එකක් වෙන්න ඕනි. ඒ කියන්නෙ එක එක IT methods use කරලා evidence create කරන්න බෑ. එහෙම වරදක් කරොත් නීතියෙන් දඩුවම් ලැබෙන්න පුලුවන්.
- ඉදිරිපත් කරන evidence එක නිසා වරදකරු සහ නිවැරදිකරු නිවැරදිව අදුර ගන්න හැකියාව තියෙන්න ඕනි.
- Evidence එකේ authenticity or veracity ගැන මුකුත් සැකයක් තියෙන්න බැහැ.
- ඒ වගේම තමයි evidence එක ගැන judges and jury වලට හොද idea එකක් ගන්න පුලුවන් වෙන්න ඕනි.
Fragility of Digital Evidence කියලා කියන්නේ මොකක්ද?
Fragility, බිදෙනසුලු බව එහෙම නැත්නම් digital evidence change කරනන් තියෙන හැකියාව තමයි මේ topic එකෙන් අපි කතා කරන්නේ. මොනවද එතකොට digital evidence change කරන්න පුලුවන් අවස්ථා.
- මොකක් හරි crime investigation එකක් කරනකොට අදාල computer or device එක shut down උනොත්, evidence වලට හානියක් වෙන්න පුලුවන්.
- ඒ වගේම තමයි device එක internet එකට connect වෙලා තියෙනකොට, attacker ට logs delete කරලා evidence delete කරන්න පුලුවන්.
- ඊට අමතරව මොකක් හරි computer incident එකකට පස්සේ, කව්රුහරි පුද්ගලයෙක් computer එකේ data update කිර්රිම නිසාත් deviance වලට damage වෙන්න පුලුවන්.
මේ දේවල් අපට එක එක tools and software use කරලා identify කර ගන්න පුලුවන්. හැබැයි ඉතිං ඒවට ගොඩක් time එක යනවා.
දැන් අපි බලමු Anti – Digital Forensics කියලා කියන්නේ මොකක්ද කියලා?
Digital evidence එකක් change කරන්න use කරන techniques වලට ADF එහෙම නැත්නම් anti – digital forensics කියලා කියනවා. Hacker කෙනෙක් මේ evidence වලට ADF use කරලා තියෙනවා නම් අපට හරි evidence එක හොයා ගන්න ගොඩක් කාලයක් යනවා.
ADF techniques විදියට මේවා use කරන්න පුලුවන්.
- Overwriting days and metadata (wiping)
මේකෙදී වෙන්නේ metadata වෙනස් කරන එක. මොනවටද මේ metadata කියලා කියන්නේ? හරි ඔයා example ඒකක් විදියට හිතන්නකෝ photograph එකක් evidence එකක් ඩිදියට use කරනවා කියලා. මේ photograph එක scan කරලා ඒක ගත්ත date එක time එක place එක වගේ දේවල් අපට හොයා ගන්න පුලුවන් වෙනවා. මේවට තමයි අපි metadata කියලා කියන්නේ. හැබැයි hacker කෙනෙක්ට මේවා change කරන්න උනත් පුලුවන්.
- The exploitation of bugs in forensics tools
Forensic tools වල තියෙන bugs නිසාත් සමහර අවස්ථා වලදී ඇත්ත evidence එක මොකක්ද කියලා අපට detect කර ගන්න අමාරු වෙනවා.
- Hiding data (Steganography, Cryptography, and low-tech methods)
මීට අමතරව hackers ලට use කරන්න පුලුවන් method එකක් තමයි hidden data කියලා කියන්නේ. මේකෙදී ගොඩක් වෙලාවට use වෙන්නේ Steganography, Cryptography, and low-tech methods වගේ techniques කිව්වොත් හරියටම හරි.
- Obfuscation of data
Obfuscation of data කියලා කියන්නේ file වල extension මාරු කරලා එවන method එකට. මේකත් ගොඩක් වෙලාවට hackers ලා කරන් දෙයක් තමයි.
දැන් අපි digital data types ගැන කතා කරමු.
- Volatile data and Nonvolatile data
අදාල device එකට දෙන power supply එක නතර කරාම device එකේ data නැති වෙනවා නම් ඒක volatile storage media එකක් කියලා අපට කියන්න පුලුවන්. අදාල device එකට දෙන power supply එක නතර කරාම device එකේ data නැති වෙන්නේ නැත්නම් ඒ වගේ ඒවට non-volatile storage media කියලා අපට කියන්න පුලුවන්. Volatile data අපට modified කරන්න බැහැ. හැබැයි non-volatile ඒවා නම් modified කරන්න පුලුවන්. Computer එකක නම් volatile data collect කර ගන්න පුලුවන් RAM (Random Access Memory), cache and register use කරලා. ඒ වගේම තමයි Non – volatile data computer එකේ hard disk එකෙන් ගන්න පුලුවන්. ඊට අමතරව මේ දේවලුත් Volatile data and Nonvolatile data වලට අයිති වෙනවා.
Volatile data – system time, logged on users, open files, network information, process memory, clipboard contents, services/ driver information, command history
Nonvolatile data – hidden files, slack space, swap file, index.dat files, unallocated clusters, unused partitions, hidden partitions, registry settings and event logs
- Transient data and Fragile data
Transient data කියලා කියන්නෙත් volatile data වගේම data type එකක් කිව්වොත් හරියටම හරි. මොකද transient data වලත් machine එක turn off කරාම ඔක්කොම data lost වෙනවා. Transient data වල මේ වගේ දේවල් තමයි include වෙන්නේ. Open network connections data, user log out data, programs that reside in memory and cache data.
Hard disk එකේ temporarily save වෙන change වෙන්න පුලුවන් data වලට තමයි fragile data කියලා කියන්නේ. මේවගේ last access time stamps, access date on files data වගේ save වෙන්න පුලුවන්. Example එකක් කිව්වොත් ඔයාලට මතක ඇති අපි කලින් කතා කරා file එකක last access data එක පෙරේදා උනාට අද කියලා hard disk එකේ පෙන්වන්න පුලුවන්.
- Temporarily accessible data and Active data
Hard disk store එකේ store වෙලා තියෙන අවශ්ය වෙලාවට විතරක් බලන්න පුලුවන් data වලට temporarily accessible data කියලා කියනවා. Encrypt කරපු file system information, temporarily accessible data වලට example වෙනවා.
එතකොට active data කියලා කියන්නේ අපට එදිනෙදා වැඩ කරන්කොට අවශ්ය වෙන data වලට කිව්වොත් හරියටම හරි.
- Archival data and Backup data
ගොඩක් කල් ඉදන් data manage කරන, data storage සහ recorders පවත්වා ගෙන ඉන්න data වලට archival data කියලා කියනවා.
Backup data කියලා කියන්නේ හරියට system එකේ copy එකක් කිව්වොත් හරියටම හරි. System data වලට මොනවා හරි උනොත්, නැත්නම් crash උනොත්, අපට backup data use කරන්න පුලුවන්.
- Residual data and Metadata
ඔයා ඔයාගේ device එකේ නිතරම වගේ files and folder create කරනවා නේද? එහෙම create කරන files ඔයාට වැඩක් නැති උනාම delete කරනවා නේද? ඇත්තටම ඔයා මේවා delete කරාට ඔයාගේ device එකෙන් මේවා delete වෙන්නේ නෑ. ඔයාට පෙන්නේ නැති උනාට ඒ files and folder ඔයාගේ device එකේ store වෙලා තියෙනවා. ඒ විදියට store වෙන data වලට residual data කියලා කියනවා. මේ files and folder අපට එක එක tools and software use කරලා recover කර ගන්න පුලුවන් වෙනවා.
හැබැයි ඒ ඔයා අයෙත් ඒ delete කරපු file space එකෙන් වැඩක් ගන්න කල් විතරයි. ඔයා ඒ file space එක use කරලා වෙන file එකක් හැදුවොත් ඔයාට ඔයාට පරණ files and folders ගැන hidden data හොයා ගන්න එක ටිකක් අමාරු වෙනවා.
එතකොට metadata කියලා කියන්නේ මොනවද? Metadata කියලා කියන්නේ තියෙන metadata record එකක් කිව්වොත් හරියටම හරි. මේකෙන් ඔයාට ඔයාගේ device එකේ files create කරපු දවස, modify කරපු දවස සහ last access data එක වගේ දේවල් බලා ගන්න පුලුවන් වෙනවා.
දැන් අපි digital evidence වල rules මොනවද කියලා අදුර ගම්මු.
- අධිකරණයට ඉදිරිපත් කරන්න පුලුවන් සාක්ශියක් වෙන්න ඕනි. ඒ කියන්නේ අධිකරණයේ නීති රීති වලට ගැලැපෙන්න ඕනි.
- Investigation එකට කලින් investigator ට evidence එකට අදාල නීති තේරුම් ගන්න පුලුවන් වෙන්න ඕනි.
- මේ evidence එක ඉදිරිපත් කරන්නේ මොන අරමුණින්ද, මේකෙන් ඔප්පු කරන්න පුලුවන් මොනවද වගේ දේවල් ගැන දැන ගන්න ඕනි.
Best evidence rule කියලා කියන්නේ මොකක්ද?
මේකෙදී කතා කරන්නේ evidence වල පිටපත් අධිකරණයට ඉදිරිපත් කරන්න පුලුවන්ද කියන එක ගැන. පුලුවන් හැබැයි ඒ special cases වලදී විතරයි.
- ගින්නක් / ගං වතුරක් නිසා මුල් සාක්ෂි විනාශ වීම.
- තෙවන පාර්ශවයක් සතුව ඇති මුල් සාක්ෂිය තියෙන වෙලාවට.
හැබැයි මේවා අපට එක පාරට අධිකරණයට ඉදිරිපත් කරන්න බෑ. අපි මේවගේ මුකුත් වෙනසක් කරේ නෑ කියලා ඔප්පු කරන්න ඔනි.
දැන් අපි බලමු electronic devices and systems වල data store වෙන්නේ කොහොමද කියලා
- Computer systems – servers, memory cards, hard drives, removable storage devices, and media such as floppy disks, CDs, DVDs, cartridges, and tapes.
- Use created files – address book, database, audio & video files, document & text files, image files, etc
- User-protected files – encrypted files, hidden files, password-protected files, compressed files, misnamed files, steganography files, etc
- Computer-created files – backup files, log files, configuration files, swap files, temporary files, history files, system files, etc
- Hard disk
- Thumb drive
- Memory card
- Access Control Devices – evidence is found in recognizing or authenticating the information of the card and the user, level of access, configuration, permissions, and in the device itself.
- Smart card
- Dongle
- Biometric scanner
- Answering machine
- Digital camera
- Handheld devices
- Modems
- LAN Card / Network Interface Card (NIC) – Evidence is found on the Media Access Control address (MAC)
- Routers – Evidence found in the configuration files
- Hubs, and Switches – Evidence found in the device itself
- Servers – Evidence found in the computer system
- Pagers
- Printers
- Removable storage devices and media
- Scanners
- Telephones
- Copiers
- Credit card skimmers
- Digital watches
- FAX machines
- GPS
Digital evidence වලට අදාල ගොඩක් දේවල් අපි මේ article එකෙන් කතා කරා. ඊලග article එකෙන් තවත් මේ වගේම වැදගත් topic එකක් ගැන කතා කරමු.
Super