By ඔයාලට මතකනේ අපි කලින් articles වල digital forensic කියන්නේ මොකක්ද? Computer crime investigation process එක කියන්නේ මොකක්ද? Digital Evidence එකක් කියන්නන් මොකක්ද කියලා discuss කරා කියලා. ඉතිං අද article එකෙන් අපි Digital Evidence ගන්න data collect කර ගන්න විදිය නැත්නම් data acquisition කර ගන්න විදිය ගැන කතා කරමු.
හැබැයි ඔයා data acquisition ගැන දැන ගන්න කලින් අනිවාර්යෙන්ම අනෙත් article 03 කියවලා එන්න. මොකද නැත්නම් ඔයාට මේක තේරුම් ගන්න ටිකක් අමාරු වෙයි.
Digital forensic article 01 –
Digital forensic article 02 –
Digital forensic article 03 –
මුලින්ම අපි එහෙනම් data acquisition කියන්නේ මොකක්ද කියලා කතා කරමු.
Data acquisition කියලා කියන්නේ digital device එකකින් data collect කර ගන්න use කරන methods කිව්වොත් හරියටම හරි.
එතකොට ඇයි Data acquisition අපට වැදගත් වෙන්නේ?
ඔයා හිතන්නකෝ ඔයාගේ device එකේ, එක folder එකකට විතරක් computer crime එකක් උනා කියලා. එතකොට ඔයාගේ මුලු lap එකම investigation lab එකට යවන්න් ඕනි නෑනේ. ඒ නිසා අදාල folder එකේ copy එකක් විතරක් investigation lab එකට යවන්න ඕනි. මේ process එකට use කරන method වලට තමයි අපි Data acquisition කියලා කියන්නේ.
Data acquisitions types mainly විදි දෙකක් තියෙනවා.
- Static acquisition
- Live acquisition
දැන් අපි මේ acquisitions types ගැන වෙන වෙනම discuss කරමු.
Static acquisition
Static acquisitions use කරන්නේ nonvolatile data, evidence විදියට collect කරනකොට කිව්වොත් හරියටම හරි.
අදාල device එකට දෙන power supply එක නතර කරාම device එකේ data නැතිවෙන්නේ නැත්නම් ඒවගේ ඒවට non-volatile storage media කියලා ඔයාලාදන්නවනේ.
Hard disk එකේ අපට Static acquisitions එකක් කරලා accessible files and folders, slack space, swap files and unallocated drive space වගේ දේවල් හොයා ගන්න පුලුවන්.
Hard disk එකට අමතරව CDs, DVDs, Blu-ray disks, USB thumb drives, smart phones, PDAs, flash cards, external hard drives වලත් අපට Static acquisitions එකක් කරන්න පුලුවන්.
දැන් අපි බලමු Live acquisition කියලා කියන්නේ මොකක්ද කියල.
Live acquisition
Live acquisition ගොඩක් වෙලාවට use කරන්නේ live machine වලින් data collect කර ගන්න කිව්වොත් හරියටම හරි. ඒ කියන්නේ volatile data collect කර ගන්න. එහෙමත් නැත්නම් real time data collect කර ගන්න කිව්වොත් හරියටම හරි.
අදාල device එකට දෙන power supply එක නතර කරාම device එකේ data නැති වෙනවා නම් ඒක volatile storage mediaඑකක් කියලා අපට කියන්න පුලුවන් කියලා ඔයාලට මතකනේ.
මේවා අපට registry, cache , RAM (Random access memory) වලින් ගන්න පුලුවන්.
මේ devices use කරලා live acquisition කරාම අපට මේ වගේ data collect කර ගන්න පුලුවන්.
system time, logged-on users, open files, network information, process memory, clipboard contents, services/ driver information, and command history.
දැන් අපි බලමු data acquisition වලදී consider කරන්න ඕනි මොනවද කියලා?
- Integrity තියෙන්න ඕනි.
මේක Static acquisition සහ Live acquisition කියන acquisitions types දෙකටම relevant වෙනවා. ඒ කියන්නේ අපි digital evidence collect කර ගන්නකොට evidence වලට intentionally or un intentionally මුකුත් හානියක් වෙන්න බෑ. අපට original data වලට damage එකක් වෙලා තියෙනවද කියලා බලන්න hashing method use කරන්න පුලුවන්. ඊට අමතරව write blocker device එක use කරානම් අපට මේ වැඩේ හරියටම කරන්න පුලුවන්. මේ device එක වැඩ කරන්නේ read – only mode එකේ විතරයි. ඒ කියන්නේ අපේ original data වලට මුකුත් වෙනසක් වෙන්නේ නෑ.
- Data acquisition process එක සහ examination එක trained professional ලා යටතේ කරන්න ඕනි.
Data acquisition කරනකොට සලකා බලන්න ඕනි තවත් වැදගත් සාධකයක් තමයි මේක. මේකෙදී කියන්නේ Data acquisition process එක සහ examination එක trained professional ලා යටතේ කරන්න ඕනි කියලා. ඔයාලා දන්නවනේ investigation process එකේ last result එක වෙන්න ඕනි suspect සහ innocent person කව්ද කියලා අදුර ගන්න එක කියලා. ඉතිං ඒ නිසාම data acquisition process එකත් හරියට දැනුවත් කෙනෙක් යටතේ වෙන එක ගොඩක් වැදගත් වෙනවා,
- Data acquisition process එකේ ඉදන් අපි කරන හැම step එකම documented කරන්න ඕනි.
සම්පූර්ණ Computer crime investigation process එකේම අපි කරන්න් ඕනි ගොඩක් important දෙයක් තමයි documentation process එක කියලා කියන්නේ. මේක Data acquisition process එකටත් ගොඩක් වැදගත් වෙනවා. අපි කරපු දේවල්, evidence හොයා ගත්ත විදිය සහ Computer crime investigation එක කවදහරි අධිකරණයට උනත් ඉදිරිපත් කරන්න අපට මේක ගොඩක් වැදගත් වෙනවා.
දැන් අපි data acquisition systems ගැන කතා කරමු.
මොකක්ද data acquisition systems එකක් කියලා කියන්නේ?
Data acquisition systems එකක් කියලා කියන්නේ, data acquire කරන්න, data collet කරන්න use කරන tools and processes සේරම එකට තියෙන system එකක් කිව්වොත් හරියටම හරි. අපි දැන් මේවා ගැන වෙන වෙනම කතා කරමු.
- Serial communication data acquisition system
හරි ඔයා හිතන්නකෝ කොහේ හරි computer crime එකක් උනා කියලා. මේ crime එක වෙච්ච තැන forensic investigation එකට ගොඩක් ලගයි. එතකොට ඒ වගේ distance එකකදී use කරන්න පුලුවන් data acquisition system එකක් තමයි serial communication කියලා කියන්නේ. මේකෙදී distance එක අනුව use කරන්න පුලුවන් communication standards, RS232 / RS 485 විදියට තියෙනවා.
- USB data acquisition systems
ගොඩක් speed data acquisition system එකක් තමයි USB data acquisition system කියලා කියන්නේ. මේක use කරලා hard disk, printers, modems වගේ devices වලින් data acquisition කරන්න පුලුවන්.
හරි example එකක් විදියට ඔයා හිතන්නකෝ, crime එකක් වෙච්ච hard එකක් තියෙනවා කියලා. එතකොට මේ hard එකේ data forensic lab එක්කට යවන්න කලින් ඔයා අනිවාර්යනම වෙන hard එකකට copy කර ගන්න ඕනි කියලා ඔයාලා දන්නවනේ. Hard එකකින් තව Hard එකකට copy කරන එක ගොඩක් වෙලා යන වැඩක්. ඒ නිසා මේ වගේ වැඩ වලට data transmit කරන්න special methods use කරනවා. ඒ අතරේ ගොඩක් famous එකක් තමයි USB data acquisition systems කියලා කියන්නේ. Simple connectivity and faster data rates තමයි මේ system එකේ වැදගත්ම දේ.
- Data acquisition plugin boards
Data acquisition plugin boards කියලා කියන්නේ දැනට තියෙන speed ම data acquisition system එකක් කිව්වොත් හරියටම් හරි. මේකෙදි motherboard එකට direct connect කරලා data ගන්න පුලුවන්. ඒ වගේම තමයි Data acquisition plugin boards systems වල cost එක ගොඩක් අඩුයි.
දැන් අපි data acquisition වලට data collect කර ගන්න පුලුවන් method ගැන කතා කරමු.
Data acquisition වලට data collect කර ගන්න පුලුවන් method mainly 3 ක් තියෙනවා.
- Bit stream disk to image copies
- Bit-stream disk to disk copies
- Logical and Sparse acquisition
දැන් අපි මේවා ගැන වෙන වෙනම කතා කරමු.
1.Bit stream disk to image copies
Bit stream disk to image කියලා කියන්නේ, data acquisition වලට මේ වෙනකොට use කරන most common method එකක් කිව්වොත් හරියටම හරි. මේකෙදී අපි අදාල device එකේ data copy කරනකොට evidence එකේ data, bit by bit copy වෙනවා. ඒක නිසා තමයි මේකට bit stream කියලා කියන්නේ. ඒ වගේම තමයි මේ method එක, FTK, autopsy වගේ ගොඩක් forensic tools support කරනවා.
ඒ වගේම තමයි මේ method එක use කරනකොට output එකට ලොකු space එකක් අවශ්ය වෙන්නේ නෑ. Example එකක් විදියට, ඔයා හිතන්නකෝ ඔයාගේ hard disk එක 1 TB කියලා. ඔයා මේකට bit stream method එක use කරොත්, ඔයාට 1 TB use වෙන්නේ නැ. මොකද මේකෙදී ඔයාට 1 TB space එක වෙනුවට ර්ර්ට වඩා ගොඩක් අඩු output files වගයක් තමයි එන්නේ. දැන් ඔයාලා හිතනවා ඇති මේකේ එහෙනම් original hard එකේ data අඩුවෙන් ඇත්තේ කියලා. ඇත්තටම එහෙම නෑ. Original hard එකේ data හැම එකක්ම මේකෙත් තියෙනවා.
2.Bit-stream disk to disk copies
ඊලට අපට කතා කරන්න තියෙන topic එක තමයි Bit-stream disk to disk copies කියලා කියන්නේ.
Data collecting method එකක් විදියට ඔයා මේක use කරනවා නම් අනිවාර්යෙන්ම hard disk එකේ space එකට සමාන disk එකක් තියෙන්න ඕනි. මොකද මේකේ disk to disk copy එකක් වෙන්නේ.
මේකෙදී වෙන්නේ suspect disk drive එකේ තියෙන data, forensically cleaned disk drive එකකට copy කරන එක. මොකක්ද එතකොට forensically cleaned disk drive එකක් කියලා කියන්නේ?
හරි ඔයා හිතන්නකෝ, ඔයාට investigations 50 ක් කරන්න තියෙනවා කියලා. එතකොට ඔයාට මේ investigations 50 ටම වෙන වෙනම hard disk 50 ක් use කරන්න වෙනවනේ. මොකද මේකේ disk to disk copy එකක් වෙන්නේ.
හැබැයි ඉතිං hard disk 50 ක් use කරනවා කියන එක practically නෑනේ. ඒක නිසා පරණ hard disk අරන් forensically clean කරනවා.
දැන් ඔයාලට හිතෙනවා ඇති forensically clean කරනවා වෙනුවට format කරා නම් හරි නේද කියලා. ඔව් ඒකත් කරන්න පුලුවන්. ඒත් format කරා කියලා hard disk එක සම්පූර්ණයෙන්ම clean වෙන්නේ නෑ. මොකද සමහර වෙලාවට disk එකේ slack එහෙම තියෙනවා නම් ඒවා format කරා කියලා clean වෙන්නේ නෑ.
Bit-stream disk to disk copies method එකේදී ඔයාට FTK, EnCase, SafeBack, Norton Ghost වගේ tools use කරන්න පුලුවන්.
හැබැයි තව දෙයක් තියෙනවා. Bit-stream disk to disk copies වලට අපි කලින් කිව්ව tool වලින් ගැලපෙන එකක් use කරන්න ඕනි.
මොකද සමහර වෙලාවට evidence විදියට ගන්න hard disk එකෙයි evidence copy කර ගන්න use කරන disk එකෙයි disk geometry (head, cylinder and track configuration) සමාන නැත්නම් evidence විදියට ගන්න hard disk එකේ data ම evidence copy එකේ නැති වෙන්න පුලුවන්.
Data Acquisition formats
Bit-stream disk to disk copy ගැන කතා කරනකොට අපි කතා කරන්න ඕනි තවත් වැදගත් topic එකක් තමයි data acquisition formats කියලා කියන්නේ. මේකෙදී අපට mainly formats 3 ක් ගැන කතා කරන්න තියෙනවා.
- Row format
Row format කියලා කියන්නේ commonly use වෙන data acquisition format එකක් කිව්වොත් හරියටම හරි. මේ format එක use කරලා data acquisition කරාම simple sequential flat files ටිකක් අපට output එක විදියට ගන්න පුලුවන්. ඒ වගේම තමයි මේකේ output files වල extension එක එන්නේ .row කියලා.
Row format එකේදී source drive එකේ පොඩි error එකක් තිබ්බත් අව්ලක් නැතුව Bit-stream disk to disk copy එක කර ගන්න පුලුවන්. ඒ වගේම තමයි මේක ගොඩක් fast data transfer format එකක් නිසාත්, ගොඩක් computer forensics tools වලට use කරන්න පුලුවන් නිසාත් ගොඩක් අය මේ format එක use කරන්න පෙලබෙනවා.
මේකෙ තියෙන disadvantage එක විදියට අපට තියෙන එකම අව්ල තමයි original disk එකේ හරි data set එකේ හරි storage size එකම output එකටත් යන එක.
- Proprietary format
Proprietary format කියලා කියන්නේ commercial specific tools වල use කරන format එකක් කිව්වොත් හරියටම හරි. එහෙම කිව්වට තේරුනේ නෑ නේද?
හරි commercial specific tools කියලා කියන්නේ computer crime investigations වලට use කරන tools වලට. ඒ කියන්නේ FTK Imager, OFS mount, autopsy වගේ tools. මේ tools වලට වෙනමම unique වෙච්ච proprietary එකක් තියෙනවා. එතකොට ඒ proprietary වලට අනුව use කරන data acquisition format වලට proprietary format කියලා කියනවා.
proprietary format එකේ main advantage එක තමයි data compression capability එක. මොකක්ද එතකොට data compression capability කියලා කියන්නේ?
ඔයාලට මතකද row format එකේදී අපි කිව්වා original disk එකේ හරි data set එකේ හරි storage size එකම output එකටත් යනවා කියලා. හැබැයි proprietary format එකේ එහෙම නෑ. මේකෙදී original disk එකේ හරි data set එකේ හරි data compress වෙනවා small files වලට.
Data compression ගැන කතා කරනකොට main types 2 තියෙනවා. ඒ lossy compression and loss less compression කියලා. අපි original data compress කරනකොට ඒ data නැති වෙනවා නම් ඒ වගේ ඒවට lossy compression කියලා කියනවා. අපි original data compress කරනකොට ඒ data නැති වෙන්නේ නැත්නම් ඒවට loss less compression කියලා කියනවා.
Compression capabilities වලට අමතරව, date/time, hash values, case related details වගේ meta data integrate කරන්න පුලුවන් බව සහ images smaller segments වලට split කරන්න පුලුවන් බව, proprietary format එකේ advantages විදියට අපට ගන්න පුලුවන් වෙනවා.
එතකොට proprietary format එකේ disadvantages විදිය තියෙන්නේ මේක limited tools වලට support කරන එක තමයි.
- Advanced Forensics format
අපි කලින් කතා කරපු Row format එකේ සහ Proprietary format එකේ එක එක අව්ල් තිබ්බ නිසා, design කරපු open source format එකක් තමයි Advanced Forensics format කියලා කියන්නේ. මේකේ advantages විදියට අපට මේ දේවල් බලා ගන්න පුලුවන් වෙනවා.
- No size restriction for disk to image files
- Capable of generating compressed image files
- Capable of splitting an image
- Allow extensive metadata with image or segments
- Support many tools and OSs
- Simple device with extensibility
3. Logical and Sparse acquisition
මේ method එක use කරන්නේ ලොකු data source එකකින් specific information ටිකක් collect කර ගන්න කිව්වොත් හරියටම හරි.
Example එකක් විදියට ඔයා හිතන්නකෝ company එකක email එකක් through crime එකක් වෙලා තියෙනවා කියලා. දැන් අපි දන්නවනේ crime එක වෙලා තියෙන්නේ email එකක් through කියලා. ඉතිං ඒ වගේ වෙලාවට අපට කරන්න තියෙන්නේ email investigation කරන එක. මේ වගේ ඒවට අපි use කරන්නේ Logical and Sparse acquisition කියලා කිව්වොත් හරියටම හරි. Email investigation එකකදී ගොඩක් වෙලාවට check කරන්නේ .pst / .ost කියන files.
Email investigation වලට අමතරව cloud investigations වලටත් Logical and Sparse acquisition මේ වෙදිදී ගොඩක් use කරනවා.
දැන් අපි බලමු Bit stream(Forensic copy) vs Backups වෙනස මොකක්ද කියලා?
අපි source disk එකකින් හරි, මොකක් හරි resource එකකින් හරි මුකුත් software use කරන් නැතුව direct data copy කර ගන්නවා නම් ඒකට backup එකක් කියලා කියනවා.
ඒ වගේම, අපි source disk එකකින් හරි, මොකක් හරි resource එකකින් හරි මොනවා හරි software use කරලා data copy කර ගන්නවා නම් ඒකට bit stream එහෙම නැත්නම් forensic copy එකක් කියලා කියනවා.
Forensic copy එකෙදී අපට copy කර ගත්ත file එකට අමතරව accessible files and folders, slack space, swap files and unallocated drive space වගේ extra දේවලුත් බලා ගන්න පුලුවන් වෙන එක ගොඩක් වටිනවා.
අද article එකෙන් අපි data Acquisition ගැන කතා කරා. ඊලග article එකෙන් මේ වගේම අලුත් topic එකක් ගැන කතා කරමු.
