วันอังคารที่ 7 กรกฎาคม พ.ศ. 2552

Foremost ที่ไม่ได้เป็นแค่ "นม"

ในการทำงานทางด้าน Computer Forensics นั้น มีเครื่องมือด้วยกันหลายตัว หนึ่งในนั้น คือ Foremost ซึ่งจัดได้ว่าเป็น tool ที่ ใช้ง่าย และใช้กันอย่างแพร่หลาย ดังนั้น จึงนำเครื่องมือตัวนี้มาแนะนำให้รู้จัก และ อธิบายถึงการใช้งาน เพื่อให้ได้รู้จักเครื่องมือที่มีประโยชน์ และ ยังไม่เสียค่าใช้จ่ายอีกด้วย

Foremost เป็นเครื่องมือตัวหนึ่งที่ใช้สำหรับงานทางด้าน Computer Forensics ถูกพัฒนาขึ้นโดยหน่วยงาน Air Force Office of Special Investigations และ The Center for Information Systems Security Studies and Research ของอเมริกา ในปัจจุบัน Foremost ได้ถูกเผยแพร่ให้บุคคลทั่วไปได้นำไปใช้งาน ถึงแม้ในขั้นต้น จะถูกพัฒนาขึ้นเพื่อให้ใช้ สำหรับหน่วยงานบังคับใช้กฎหมายเป็นหลักก็ตาม แต่ด้วยประโยชน์หลากหลาย จึงถูกนำไปใช้ในด้านอื่นๆ ด้วย เช่น ใช้อ่านข้อมูลภายในไฟล์ที่ได้มาจากการทำ image เช่น โปรแกรม dd, Safeback, EnCase เป็นต้น หรือ ทำการ dump ข้อมูลจาก Memory หรือ Swap files แล้วแสดงข้อมูลที่อ่านได้

Foremost เป็นโปรแกรมที่ทำงานแบบ command line ถูกพัฒนาขึ้นเพื่อใช้บน แพลตฟอร์ม Linux หรือเราจะติดตั้ง Cygwin เพื่อให้สามารถใช้งานบน Windows ก็ได้ สำหรับ Foremost นั้น ถูกนำมาใช้ในการกู้ไฟล์คืนกลับมา โดยดูจากลักษณะ Headers, Footers และ โครงสร้างภายในของไฟล์ประเภทนั้นๆ (Internal data structures) ซึ่งเราอาจเรียกการกู้ข้อมูลในลักษณะนี้ได้ว่าเป็นการทำ Data Carving ประเภทหนึ่ง (เนื่องจากในการทำ Data Carving นั้นจะสามารถแบ่งออกได้หลายวิธีแล้วแต่รูปแบบ เช่น Header/Footer Carving, File structure based Carving เป็นต้น) การค้นหาข้อมูลลักษณะนี้จะช่วยในการระบุไฟล์ที่ต้องการค้นหา และประกอบขึ้นมาใหม่จากพื้นที่ที่มีปัญหาของ File systems เช่น slack space หรือ ภายหลังจากทำการติดตั้งระบบปฏิบัติลงไปใหม่ไปแล้วก็ตาม ซึ่งการกู้ข้อมูลในลักษณะนี้มีเงื่อนไขว่า ไฟล์หรือข้อมูลที่ต้องการนี้ ยังไม่ถูกเขียนทับ สำหรับการระบุประเภทของไฟล์ที่ต้องการค้นหานั้น จะทำโดย matching header ของไฟล์ประเภทนั้นๆ ซึ่งลักษณะ header ของไฟล์ต่างๆ จะถูกจัดเก็บอยู่ใน ไฟล์ configuration ของ Foremost เอง

ไม่มีความคิดเห็น:

แสดงความคิดเห็น