ลำดับการเก็บตาม RFC 3227#

ลำดับที่ 1 — RAM (Memory) — หายทันทีเมื่อปิดเครื่อง

• ข้อมูลที่เพิ่ง process / running process / loaded module / encryption key ของ disk
• อายุ — 0 วินาที หลังปิดเครื่อง (หายหมด)

ลำดับที่ 2 — Running processes + Open files + Network connections — อยู่ใน RAM เช่นกันแต่ structured กว่า

• รายการ process ที่กำลังรัน / file ที่ process เปิดอยู่ / TCP connection ที่ established
• อายุ — 0 วินาที หลังปิดเครื่อง

ลำดับที่ 3 — Routing table + ARP cache + Process table + Kernel statistics — อยู่ใน OS memory

• อายุ — 0 วินาที หลังปิดเครื่อง

ลำดับที่ 4 — Temporary file systems (เช่น /tmp บน Linux, RAM disk)

• อายุ — บางตัวล้างเมื่อ reboot / บางตัวอยู่จนเต็ม

ลำดับที่ 5 — Disk (HDD / SSD) — persistent storage

• file ทั้งหมด / OS / log / database
• อายุ — เป็นเดือน เป็นปี ถ้าไม่ถูกเขียนทับ

ลำดับที่ 6 — Remote logging / Monitoring data — log ที่ส่งออกไปยัง SIEM / syslog server

• อายุ — ตาม retention policy (เป็นเดือน เป็นปี)

ลำดับที่ 7 — Physical configuration + Network topology — ผังเครือข่าย / hardware configuration

• อายุ — ยาวมาก ไม่ค่อยเปลี่ยน

ลำดับที่ 8 — Archival media + Backup — tape backup / offsite backup

• อายุ — เป็นปี เป็นทศวรรษ

หลักคิด — เก็บอันดับ 1-4 (volatile) ก่อนเสมอ ก่อนทำอะไรกับเครื่อง. ถ้าไม่เก็บก่อน — เสียหายตลอดไป

Power-Off Trap — instinct ของ IT ที่ทำลายหลักฐาน#

ตรงนี้สำคัญที่สุดของหัวข้อนี้ครับ — Power-Off Trap (กับดักการปิดเครื่อง)

instinct ของทีม IT เมื่อเห็น malware ในเครื่อง — คือ “ปิดเครื่องก่อน ป้องกันไม่ให้กระจาย”

ฟังดูถูกต้อง. แต่ในมุม forensics — เป็นการทำลายหลักฐานครั้งใหญ่ที่สุด

เพราะเมื่อปิดเครื่อง — RAM หายหมด. ทุกอย่างที่อยู่ใน Order of Volatility ลำดับ 1-3 — เป็นโมฆะ

ตัวอย่างของที่หายไปเมื่อปิดเครื่อง:

• Encryption key ของ malware ที่อยู่ใน RAM (ใช้ decrypt payload)
• Encryption key ของ disk encryption (BitLocker / FileVault) — หาก reboot จะต้องใส่ password ใหม่
• Running process ของ malware ที่ไม่มี file บน disk (fileless malware)
• C2 (Command and Control) connection — IP ของ server ที่ malware คุยด้วย
• Decrypted data ที่ user เพิ่งเปิดดู (ปกติเก็บ encrypt บน disk แต่ decrypt ใน RAM)
• Browser session token ที่ malware อาจขโมยไป
• Clipboard content ที่ user copy ไว้

ทีม IT ที่ปิดเครื่องด้วย instinct = ทำลายหลักฐานทั้งหมดนี้ในวินาทีเดียว. ทนายฝ่ายโจร (ถ้าคดีขึ้นศาล) จะมีความสุขมาก เพราะหลักฐานหลักหายแล้ว

Live vs Dead Acquisition — เก็บตอนเครื่องเปิด vs ปิด#

วงการแบ่งการเก็บหลักฐาน 2 แบบ

Live Acquisition (เก็บตอนเครื่องเปิด) — เก็บ RAM + running process + network connection ในขณะที่เครื่องยัง running

• ใช้ tool เช่น FTK Imager Lite / DumpIt / WinPMEM / LiME (Linux) สร้าง memory dump
• เก็บ network capture ด้วย tcpdump / Wireshark ขณะ malware ยัง active
• อ่าน process list + open file + network connection
• ทำได้แค่ครั้งเดียว เพราะการเก็บ RAM เปลี่ยน state ของ RAM เอง (paradox)

Dead Acquisition (เก็บตอนเครื่องปิด) — ปิดเครื่องโดยถอดปลั๊ก (pull the plug) แล้วถอด disk ออกมา image

• ใช้ตอนที่ไม่มี volatile data สำคัญ / ไม่มี disk encryption / เครื่องไม่ critical
• ข้อดี — RAM ไม่เปลี่ยน (มันหายไปแล้ว) / disk เก็บ bit-by-bit ได้ตรงเป๊ะ
• ข้อเสีย — เสียหลักฐาน volatile หมด

คำถามใหญ่ — ปิดเครื่องแบบไหน?

• Shutdown ปกติ → OS เขียน log + ลบ temp file + เขียน swap → ทำลายหลักฐานเพิ่ม
• Pull the plug (ถอดปลั๊ก) → forensic preferred — แม้จะมีความเสี่ยง file system corruption เล็กน้อย (modern file system tolerate ได้)

ในวงการ — forensic investigator ที่ผ่านการฝึกฝน จะ:

1. อย่าแตะเครื่อง จนกว่าจะถ่ายภาพหน้าจอ + ทำ memory dump
2. ถ้าเครื่อง encrypt disk — อย่าปิดจนกว่าได้ key (ปิดแล้วเข้าไม่ได้)
3. ถ้าจำเป็นต้องตัด network — unplug LAN cable (แต่ไม่ปิดเครื่อง)
4. ถ้าต้องปิด — pull the plug (ไม่ใช่ shutdown ปกติ)

มุมผู้บริหาร: เคสคลาสสิค — บริษัทเจอ malware 1 เครื่อง ทีม IT รีบปิด + format + reinstall เพื่อให้ใช้งานได้เร็ว. ผลคือ — โจรอยู่ในระบบมา 3 เดือน + อยู่ในอีก 47 เครื่อง — และ IT เพิ่งทำลายกุญแจของการสืบสวน (RAM ที่มี C2 address + lateral movement evidence). กฎเดียวที่ต้องเขียนเข้า playbook — “เมื่อเจอ incident — ทีม IT ห้ามปิดเครื่อง + ห้าม format จนกว่าทีม forensics เข้ามาประเมิน”

Digital version — โจรในระบบทิ้งร่องรอยอะไร#

ในโลกดิจิทัล Locard’s Principle ก็ยังจริง. ทุกการกระทำของโจรในระบบ — ทิ้งร่องรอย:

บนเครื่องที่โจรเข้า:

• Log file — auth log / event log / browser history / shell history (.bash_history)
• File system metadata — file ที่เพิ่งเปิด / file ที่ถูก modify / file ที่ถูก create-then-delete (อยู่ใน MFT)
• Registry (Windows) — key ที่ถูก modify / persistence mechanism / executed program (UserAssist / ShimCache / Amcache)
• Prefetch / SuperFetch — Windows เก็บข้อมูลว่า program ไหนเคยรัน + รันเมื่อไหร่
• Recycle bin — file ที่โจรลบไป (ลบในถังขยะยังกู้ได้)
• Slack space — พื้นที่ “เศษ” ที่เหลือใน sector ของ disk ที่อาจมี data เก่า
• Pagefile / Hibernation file — Windows swap RAM ลง disk — มี RAM history เก่า

บนเครือข่าย:

• Firewall log — IP ของเครื่องที่ติดต่อกับ C2
• DNS log — DNS query ของ domain ของโจร
• Proxy log — URL ที่โจรเรียก
• NetFlow — traffic pattern (ใคร → ใคร, ปริมาณเท่าไหร่)
• Packet capture (PCAP) — ถ้ามี → เห็นทุกอย่างใน traffic

บน infrastructure ภายนอก:

• Cloud provider log — AWS CloudTrail / Azure Activity Log — API call ของโจร
• Email server log — ถ้าโจรขโมย email — มี trail ใน mail server
• SaaS log — Office 365 / Google Workspace — log ทุก action

ทำไม principle นี้สำคัญสำหรับผู้บริหาร#

หลายคนเข้าใจผิดว่า — “โจรเก่งจะลบ trace หมด”

ความจริง — โจรไม่มีทางลบ trace ทั้งหมดได้ เพราะ:

1. Log บางตัวอยู่ที่อื่น — โจรในเครื่อง A ลบ log ของเครื่อง A ได้ แต่ไม่สามารถลบ log ใน firewall / SIEM / cloud / 3rd party ได้
2. Action ของการลบ → สร้าง trace ใหม่ — ลบ file = สร้าง deletion event ใน MFT
3. Slack space เก็บข้อมูลเก่า — แม้ลบ file → data ยังอยู่ใน slack space จนกว่าจะถูกเขียนทับ
4. Memory + Network ไม่สามารถลบย้อนหลัง — โจรไม่สามารถเข้าไป “ลบ” packet ที่ไหลผ่าน firewall เมื่อชั่วโมงที่แล้วได้

หลักการนี้แปลว่า — forensics ทำได้เสมอ ถ้าหาเก่งพอ. ปัญหาไม่ใช่ “มี trace มั้ย” — แต่เป็น “เราเก็บ log + monitor ครบไหม + investigator เก่งพอจะเชื่อม dots ไหม”

เคส BTK Killer 2005 — metadata ของ floppy disk#

เคสคลาสสิคที่แสดง Locard’s Principle ในโลกดิจิทัล — BTK Killer (Bind, Torture, Kill)

Dennis Rader เป็นฆาตกรต่อเนื่องในรัฐ Kansas สหรัฐฯ ที่ฆ่าคน 10 รายระหว่างปี 1974-1991. เขาส่งจดหมาย taunting ไปยังตำรวจ + สื่อ — เป็น signature ของฆาตกร — แต่ไม่ถูกจับได้นาน 30 ปี

ปี 2005 — Rader ส่ง floppy disk ไปยังสถานีโทรทัศน์ KSAS-TV ใน Wichita. เขาคิดว่าใน floppy disk มีเฉพาะ word document ที่เขาเขียน. เขาคิดผิด

ตำรวจ + FBI เอา floppy disk มาวิเคราะห์ — เจอ metadata ที่ Microsoft Word ฝังลงในไฟล์:

• Last modified by: Dennis
• File path เก่า: Christ Lutheran Church

ตำรวจไปที่ Christ Lutheran Church — เจอ Dennis Rader เป็น president of the church council ที่นั่น. ตรวจ DNA + จับได้ + Rader สารภาพ + ถูกตัดสินจำคุก 175 ปี

Locard’s Principle ในแบบดิจิทัล — Rader คิดว่า “ผมส่งเฉพาะ document — clean”. แต่ Word ทิ้ง metadata ที่เขาไม่รู้ตัว. ทุกการสัมผัสทิ้งร่องรอย

มุมผู้บริหาร: log retention policy คือ insurance ของบริษัท. ถ้าเก็บ log 30 วัน แต่โจรอยู่ในระบบ 90 วันก่อนถูกจับ — ครึ่งของ trace หายไปก่อนเริ่มสืบ. แนวปฏิบัติของวงการ — เก็บ security log critical อย่างน้อย 1 ปี + firewall/DNS/proxy อย่างน้อย 6 เดือน + ส่งไป immutable storage แยก (โจรลบ log ในเครื่องไม่ได้ลบใน SIEM ตามไปด้วย). PDPA ของไทยกำหนด 90 วันขั้นต่ำ — แต่สำหรับ forensics ไม่พอ

ใบเหลือง — evidence form#

ในวงการกฎหมาย — chain of custody form (ในไทยเรียกใบเหลือง / evidence form) เป็นเอกสารที่ทุกคนที่จับหลักฐานต้องเซ็นชื่อ

ลองภาพ form ในรูปแบบทั่วไป:

ทุก row — ทุกคนเซ็นชื่อ + hash ต้องตรงกัน ตลอด chain. ถ้า hash ไม่ตรง = หลักฐานถูกแก้ระหว่างทาง = โมฆะ

องค์ประกอบของ chain of custody ที่ดี#

1. Acquisition log — บันทึก เมื่อหลักฐานถูกจับครั้งแรก

• เครื่อง / serial number / location
• เวลาที่แน่นอน (เทียบกับ NTP)
• ใครเป็นคนทำ acquisition
• tool ที่ใช้ + version
• hash (SHA-256) ของ image ที่ acquire

2. Transfer log — บันทึกการส่งหลักฐานระหว่างมือ

• จาก ใคร → ถึง ใคร
• เวลา
• เหตุผล
• hash verify (ต้องคำนวณก่อนส่ง + หลังรับ → ต้องตรง)
• signature ของทั้ง 2 ฝ่าย

3. Storage log — บันทึกการเก็บหลักฐาน

• ที่เก็บ — evidence vault / safe / locked cabinet
• ใครมี access
• เมื่อเข้า / ออก

4. Analysis log — บันทึก action ที่ทำกับหลักฐาน

• ทำงานบน copy ของ image เสมอ (ไม่ใช่ original)
• บันทึก tool + command ที่ใช้
• บันทึก finding

5. Disposal log — เมื่อจบคดี — บันทึกการทำลาย / return

เคส Casey Anthony 2008 — การวิเคราะห์ browser history#

เคสที่ chain of custody + analysis quality สำคัญมาก — Casey Anthony (2008-2011)

Caylee Anthony อายุ 2 ขวบ ที่ Florida หายไปในเดือนกรกฎาคม 2008. แม่ของเธอ Casey Anthony ถูกตั้งข้อหา first-degree murder

หลักฐานหลักของ prosecutor ส่วนหนึ่ง — browser history บนคอมพิวเตอร์ของบ้าน — มีการ search “chloroform” 84 ครั้ง

แต่ทีม defense ใช้ digital forensics expert ตรวจสอบ — พบว่า prosecutor analyst ใช้ tool ที่ count search ผิด — จริงๆ search “chloroform” แค่ 1 ครั้ง ไม่ใช่ 84

ผลคือ — หลักฐานสำคัญที่ prosecutor ใช้ — ลดน้ำหนัก. Anthony ถูกตัดสิน not guilty ของ murder ในปี 2011

ผ่านไปหลายปี — police forensic analyst สารภาพว่า “ผมพลาดเอง — tool ที่ใช้ count แสดงผลผิด”

บทเรียน — Digital forensics ไม่ใช่แค่ “เก็บ + วิเคราะห์”. เป็น science ที่ต้อง rigor + peer review + tool validation. มิฉะนั้น — สามารถส่งคนผิดไปติดคุกได้ หรือปล่อยฆาตกรไปได้

Daubert Standard — มาตรฐานของหลักฐานในศาลสหรัฐฯ#

ในสหรัฐฯ — ศาลใช้ Daubert Standard ในการรับหลักฐาน scientific (รวม digital forensics):

1. Tool / method ถูก peer-reviewed หรือเปล่า?
2. Error rate ของ tool เป็นอย่างไร?
3. มี standard ที่ control การใช้ tool ไหม?
4. Tool / method ได้รับการ accept ในวงการ scientific หรือเปล่า?

นี่คือเหตุผลที่ tool forensics หลัก — EnCase / FTK / X-Ways / Autopsy — ผ่านการ validate มาตามมาตรฐาน NIST Computer Forensic Tool Testing (CFTT)

มุมผู้บริหาร: chain of custody มี 3 ระดับ (ไม่คิดฟ้อง / civil case / อาญา + regulator) cost ระหว่างระดับต่างกัน 5-10 เท่า. คำแนะนำเดียวที่ติดตัวไปได้ — decide ก่อน incident ว่าบริษัทอยู่ระดับไหน + ตั้ง vendor relationship ล่วงหน้า ตอน incident เกิดไม่ใช่เวลามาเลือก vendor. และห้ามให้ IT staff ที่ไม่ผ่าน training ทำ forensic acquisition — ทนายฝ่ายตรงข้ามจะ challenge expertise ในศาลทันที

Forensic Imaging — bit-by-bit copy#

Forensic image ไม่ใช่ “copy file” แบบทั่วไป — มันคือ bit-by-bit copy ของ disk ทั้งหมด — รวม:

• ทุก sector ของ disk รวม sector ที่ “ว่าง”
• Slack space — พื้นที่ “เศษ” ของ sector ที่อาจมี data เก่า
• Unallocated space — พื้นที่ที่ระบุว่าว่าง แต่อาจมี file ที่ถูกลบ
• Partition table + MBR / GPT — boot record
• File system metadata ทั้งหมด — MFT (NTFS) / inode (ext) / catalog (HFS+)

format ของ image — มี 2 มาตรฐานหลัก:

1. Raw (dd format) — copy bit-by-bit ตรงๆ

• ขนาด = ขนาด disk เต็ม (ถ้า disk 1 TB → image 1 TB)
• compat ทุก tool
• ไม่มี metadata เพิ่มเติม

2. E01 (Expert Witness Format / EnCase format) — compressed + ฝัง metadata

• ฝัง hash ใน file + chain of custody info
• รองรับ compression — ขนาดเล็กกว่า raw
• Industry standard ตั้งแต่ปลาย 1990s

tool ที่นิยมใช้:

• dd (Linux native) — สร้าง raw image
• dcfldd — improved dd ที่ Department of Defense Computer Forensics Lab พัฒนา (มี hash on-the-fly)
• FTK Imager — GUI สำหรับ Windows + free
• EnCase Forensic Imager — commercial, industry standard
• Guymager — open source สำหรับ Linux

Hash Verification — SHA-256 fingerprint#

หลังสร้าง image — ต้อง verify ด้วย hash ทุกครั้ง

ลองนึก process:

1. Disk original → คำนวณ SHA-256 hash ของทั้ง disk
2. สร้าง image ด้วย forensic tool
3. Image → คำนวณ SHA-256 hash ของทั้ง image
4. เปรียบเทียบ — ถ้าตรง = image คือ exact copy / ถ้าไม่ตรง = มีปัญหา

ตัวอย่าง hash:

1
Original disk SHA-256: a3f2d4e8b1c9...
2
Image SHA-256:         a3f2d4e8b1c9...
3
✓ MATCH

ใน EP.22 (Hashing) เราคุยเรื่อง SHA-256 แล้ว — หัวใจคือ ถ้า data ต่างกัน 1 bit → hash เปลี่ยนหมด. นี่คือเหตุผลที่ hash verify ทำให้รู้ว่า image ตรงเป๊ะกับ original

ในการ analysis ภายหลัง — investigator ทำงานบน copy ของ image (ไม่ใช่ original image). ทุกครั้งก่อน analysis + หลัง analysis — verify hash ของ image — ถ้า hash เดิม = analysis ไม่เปลี่ยน image

Write Blocker — หูฟังที่ฟังได้แต่พูดไม่ได้#

ตรงนี้คือ trick ที่สำคัญที่สุด ของ forensic acquisition — Write Blocker (อุปกรณ์กันการเขียน)

ปัญหา — เมื่อเชื่อม disk เข้า computer ปกติ — OS เขียน data ลง disk โดยอัตโนมัติ แม้แค่ “ดู”

• Windows update timestamp ของ file ที่เปิด
• OS เขียน journal ของ file system
• Antivirus scan + อาจ modify file ที่มัน flag
• Indexing service สร้าง index ของ file ทั้งหมด

ทั้งหมดนี้ — ทำลายความเป็น “หลักฐานต้นฉบับ” เพราะ disk ถูกเขียนหลัง crime occurred

Write Blocker = อุปกรณ์ hardware (หรือ software driver) ที่ block command “write” ระหว่าง computer กับ disk. analogy ที่ตรงที่สุด — “หูฟังที่ฟังได้แต่พูดไม่ได้”:

• คุณ อ่าน disk ได้ทั้งหมด (image / verify / scan)
• คุณ เขียน disk ไม่ได้ (block ทุก write command)

แบบของ write blocker:

1. Hardware write blocker — กล่อง physical ระหว่าง computer กับ disk

• Tableau / WiebeTech / Logicube — vendor หลัก
• ราคา 10,000-30,000 บาท
• เชื่อม USB / SATA / IDE / NVMe / PCIe / SAS
• standard ของ forensic lab ทุกแห่ง

2. Software write blocker — driver / OS feature

• Linux mount แบบ read-only (mount -o ro)
• Windows registry tweak (USBStor)
• ใช้ในกรณี emergency แต่ hardware น่าเชื่อถือกว่า

ทุกครั้งที่ forensic investigator เชื่อม disk ของ evidence — ต้องใช้ write blocker เสมอ. มิฉะนั้น — defense จะใช้เพื่อโต้ว่า “investigator ปนเปื้อนหลักฐานระหว่าง analysis”

เคส Silk Road 2013 — FBI capture RAM ตอนที่เครื่องเปิดอยู่#

เคสที่แสดงเรื่อง live acquisition + RAM forensics อย่างชัดเจน — Silk Road (2013)

Silk Road เป็น dark web marketplace ที่ใหญ่ที่สุดตอนนั้น — ขายยาเสพติด / อาวุธ / ของผิดกฎหมาย. เจ้าของใช้ alias “Dread Pirate Roberts” — FBI สงสัยว่าเป็น Ross Ulbricht นักศึกษาจาก Texas

ปัญหาของ FBI — server ของ Silk Road เข้ารหัสด้วย full disk encryption. ถ้าจับ Ulbricht ในขณะที่ laptop ปิด — disk จะ decrypt ไม่ได้ — หลักฐานในเครื่องเป็นโมฆะ

FBI วาง plan ที่ห้องสมุดสาธารณะ San Francisco — เดือนตุลาคม 2013:

1. Agent 2 คน ปลอมเป็น คู่รักทะเลาะกัน ใกล้ Ulbricht ที่กำลังใช้ laptop
2. Agent ผู้ชาย ตะโกน — Ulbricht หันมามอง
3. ในวินาทีที่เขาหันหน้า — agent คนที่ 3 เดินเข้ามาแย่ง laptop จากด้านหลัง — ขณะที่ laptop ยังเปิดอยู่ + login อยู่
4. FBI forensic team ทำ live acquisition — ดึง RAM dump + screenshot session + record process list — ก่อนที่ laptop จะ lock screen

ผลคือ — FBI ได้ decryption key ของ disk จาก RAM + chat log + bitcoin wallet + identity proof ใน RAM ของ Silk Road admin session

Ulbricht ถูกตัดสิน ติดคุกตลอดชีวิตโดยไม่มี parole ในปี 2015

บทเรียน — FBI เข้าใจ Order of Volatility อย่างลึก. ถ้าจับ Ulbricht ในขณะที่ laptop ปิด — เป็นไปได้สูงที่ Silk Road case จะถูกยกฟ้อง

มุมผู้บริหาร: บริษัทที่ไม่ได้ทำ forensics เป็นงานหลัก — quick win คือ มี portable forensic toolkit ติดออฟฟิศ (USB stick + FTK Imager Lite + KAPE + DumpIt) สำหรับ live acquisition ในกรณี vendor ใช้เวลา 8 ชั่วโมงเดินทาง. ทีม IT ทำ initial preservation ได้ — แต่ การ analysis ต้องส่งให้ forensic firm เพราะ chain of custody + tool licensing เป็นเรื่องที่ทีม IT ทั่วไปไม่มี

1. Memory Forensics — อ่าน RAM dump#

Memory forensics (นิติวิทยาศาสตร์ RAM) = วิเคราะห์ memory dump ที่ acquire จาก live system

ทำไมสำคัญ — ใน Order of Volatility ลำดับ 1-3 อยู่ใน RAM. มี information ที่ อยู่ใน RAM เท่านั้น:

• Running process list — ทุก process รวม fileless malware
• Network connection — IP ของ C2 server / lateral movement target
• Loaded module + driver — รวม rootkit ที่ inject เข้า kernel
• Decrypted data — file ที่ encrypted บน disk แต่ decrypt ใน RAM
• Encryption key ของ disk encryption (BitLocker / FileVault / LUKS / VeraCrypt)
• Credentials in memory — Windows คาช credential ใน LSASS process — โจรอย่าง Mimikatz ดึงจากที่นี่
• Browser session + cookies — เมื่อ user เปิด browser
• Clipboard content

Tool หลักของวงการ — Volatility Framework (free, open source) — เป็น de facto standard ของ memory forensics ตั้งแต่ปี 2007

Volatility ทำอะไรได้:

• pslist / pstree — list process + parent-child tree
• netscan — list network connection
• malfind — หา code injection / suspicious memory region
• cmdscan / consoles — recover command line history
• hashdump — extract Windows credential hash
• mimikatz plugin — เลียนแบบ tool ของโจร — extract credential ในรูปแบบเดียวกัน
• yarascan — search pattern (YARA rule) ใน memory

Volatility version 3 (เปิดตัว 2020) — rewrite เป็น Python 3 + รองรับ memory dump รุ่นใหม่ของ Windows 10/11 + Linux modern kernel

2. File System Forensics — เจาะลึก disk#

File system forensics (นิติวิทยาศาสตร์ระบบไฟล์) = วิเคราะห์ disk image — file / metadata / deleted file / slack space

มี technique สำคัญ:

File carving (การแกะไฟล์) — กู้ file จาก disk image โดยไม่พึ่ง file system table

• หา file signature (magic bytes ที่ขึ้นต้น file) — เช่น JPEG ขึ้นต้นด้วย FF D8 FF, PDF ขึ้นต้น %PDF, PE executable ขึ้นต้น MZ
• Tool — Foremost / Scalpel / PhotoRec — scan disk image หา signature → กู้ file
• ใช้กรณี — file ถูกลบ + file system entry หาย / disk corrupt / format

MFT analysis (NTFS) — Master File Table ของ NTFS เก็บ metadata ของทุก file ที่ “เคยมี” ใน volume

• timestamp 4 ตัว — MACE — Modified / Accessed / Created / Entry modified
• ใช้สร้าง timeline ของกิจกรรมในเครื่อง
• file ที่ถูกลบ — entry ยังอยู่ใน MFT (mark deleted) — แสดงว่า file นี้เคยมี

Slack space analysis — sector ของ disk มีขนาด fixed (4096 bytes ปกติ). ถ้า file 100 bytes — ใช้ sector เดียว แต่เหลือ slack 3996 bytes. slack อาจเก็บ data เก่าของ file ที่เคยอยู่ที่ sector นั้นก่อนหน้า

Tool หลักของวงการ:

• The Sleuth Kit (TSK) — open source — command line tool ของ Brian Carrier
• Autopsy — GUI ของ Sleuth Kit — free
• EnCase — commercial industry standard
• FTK (Forensic Toolkit) — commercial — popular ใน law enforcement
• X-Ways Forensics — commercial — สมาชิกตลาด tier-1 ของ Europe
• KAPE (Kroll Artifact Parser and Extractor) — fast triage tool — free

3. Network Forensics — จับการสื่อสารของโจร#

Network forensics (นิติวิทยาศาสตร์เครือข่าย) = วิเคราะห์ traffic ระหว่างเครื่องในเครือข่าย — สำคัญสำหรับ C2 communication / data exfiltration / lateral movement

source ของ network evidence:

PCAP (Packet Capture) — full traffic capture ระดับ packet

• Tool — Wireshark / tcpdump / tshark — analyze packet
• ขนาดใหญ่มาก — เก็บ full PCAP ของ enterprise = TB/วัน
• บริษัทใหญ่เก็บ PCAP เฉพาะ critical segment / เก็บไม่นาน

NetFlow / IPFIX — summary ของ flow (ใคร → ใคร, port, ขนาด, ระยะเวลา) ไม่ใช่ full packet

• ขนาดเล็กกว่า PCAP มาก (KB/วัน vs TB/วัน)
• เก็บได้นานกว่า — เห็น pattern of communication
• บริษัทใหญ่ใช้เก็บ traffic ระดับเดือน

DNS log — ทุก domain ที่เครื่องใน network เคย query

• ใช้หา C2 domain / DGA (Domain Generation Algorithm) ของ malware
• มักเก็บที่ DNS server / proxy / SIEM

Tool หลักของวงการ:

• Wireshark — เป็น standard ของวงการ packet analysis (free)
• Zeek (formerly Bro) — open source network security monitor — generate log ที่ structured + อ่านง่ายกว่า PCAP — รัน real-time
• Suricata — IDS/IPS ที่ generate flow log ด้วย
• NetWitness (RSA) — commercial — full packet capture ระดับ enterprise
• Arkime (formerly Moloch) — open source full PCAP repository + search

ตัวอย่างการใช้:

• ทีม forensics เห็น log ว่า server บริษัท คุยกับ IP 185.234.x.x ทุก 5 นาที — ใช้ Wireshark ดู PCAP — เห็น traffic encrypt แบบ pattern ของ Cobalt Strike beacon — confirm ว่าเป็น C2 communication

4. Anti-forensics — เมื่อโจรพยายามลบ trace#

Anti-forensics (การต่อต้านการสืบสวน) = technique ที่โจรใช้เพื่อทำให้ forensics ทำงานยาก

มี category หลัก:

Wiping (ทำลายข้อมูล) — ลบ file แบบที่กู้ไม่ได้

• Tool — DBAN / sdelete / shred — overwrite data หลายรอบ
• standard ของ NIST — NIST 800-88 — กำหนดวิธี wipe ที่ NSA approve
• โจรใช้เพื่อลบ tool / log / file ที่อาจมีหลักฐาน

Timestamp manipulation (Timestomping) — แก้ timestamp ของ file ให้ดูเก่า / ดูเหมือนของระบบ

• Windows tool — timestomp (Metasploit module)
• Linux — touch -t YYYYMMDDhhmm
• ทำให้ analyst หา file ของโจรยากกว่า — file ดูเก่าเหมือน OS file

Steganography (การซ่อนข้อมูลในข้อมูลอื่น) — ฝัง data ใน file อื่น

• ฝัง text/file ใน image (JPEG/PNG) — เปลี่ยน LSB (least significant bit) ของ pixel
• ฝังใน audio (MP3/WAV)
• Tool — Steghide / OpenStego / OutGuess
• ใช้เพื่อ exfiltrate data โดยไม่ให้ DLP จับ — file ดูเป็นรูปธรรมดา

Encryption — encrypt evidence ด้วย key ที่ investigator ไม่มี

• โจรใช้ ransomware encrypt log ของตัวเองพ่วงกับ data
• การ extract evidence ต้องการ key

Living off the Land (LOTL) — ใช้ tool ที่มีอยู่แล้วใน OS — ไม่ install new binary

• PowerShell / WMI / certutil / bitsadmin — built-in Windows tool
• ไม่มี file ใหม่บน disk → file forensics จับยาก → ต้องพึ่ง memory + log

Counter — Steganalysis (การวิเคราะห์ steganography) — ตรวจหา hidden data ใน file

• ใช้ statistical analysis — file ที่มี steganography มี statistical signature ผิดธรรมชาติ
• tool — StegExpose / zsteg / StegSecret

หลักคิดสำหรับ forensics investigator — defense in depth ของหลักฐาน:

• ถ้า disk โดน wipe → ดู RAM
• ถ้า RAM clean → ดู network log
• ถ้า network log โดนลบ → ดู cloud log / SaaS log
• ถ้าทั้งหมดลบ → ดู backup / external log

มุมผู้บริหาร: การจ้าง forensic firm — cost ของ engagement ครั้งหนึ่งอยู่ที่ 1.5-30 ล้านบาท ขึ้นกับ scope. retainer agreement ล่วงหน้า 500,000-2,000,000 บาท/ปี ได้ priority response + ตกลง rate ล่วงหน้า — คุ้มสำหรับบริษัทขนาดกลาง-ใหญ่. จุดที่ผู้บริหารต้องระวัง — ใน contract ต้องระบุ deliverable ชัด — รวม final report + root cause + recommendation + (ถ้าจำเป็น) expert witness service. ถ้าไม่ระบุ — forensic firm อาจส่งแค่ technical findings ที่ executive อ่านไม่ออก

2 Leader Takeaways ของ Part 5#

ข้อหนึ่ง — Operations ทำให้บริษัท “เห็น” ของจริงในระบบ — ก่อนจะป้องกันได้ ต้องเห็นได้ก่อน

ในวงการมีหลักคิด — “You can’t protect what you can’t see” (ปกป้องของที่มองไม่เห็นไม่ได้). Part 5 ทั้ง 9 EPs สอนหลักคิดเดียวกันใน 9 มิติ:

• Kill Chain (EP.39) — เห็น ขั้นตอน ของโจร — รู้ว่าเขาอยู่ขั้นไหน — เห็นว่าจะปิดที่ขั้นไหนได้
• Social Engineering (EP.40) — เห็น point of attack = พนักงาน ไม่ใช่ firewall
• Malware Taxonomy (EP.41) — เห็น ชนิด ของ malware → เลือก control ที่ตรง
• OWASP (EP.42) — เห็น ช่องโหว่ที่พบบ่อยที่สุด ของ web app → focus protection
• SOC + SIEM + EDR (EP.43) — เห็น alert real-time จากทุก source
• Threat Hunting (EP.44) — ไม่รอให้เห็น — ไปหาเองในระบบ
• Pen Test / Red Team (EP.45) — ลองโจมตีตัวเองเพื่อ เห็นช่องโหว่ที่ scanner หาไม่เจอ
• IR (EP.46) — เห็น incident — ตอบสนองด้วย playbook
• Forensics (EP.47) — เห็น ร่องรอย หลังเกิดเหตุ — รู้สาเหตุ + รู้ scope

Action plan สำหรับบริษัทไทยปี 2026:

1. Detection coverage assessment — บริษัทมี log + monitoring ครอบคลุมแค่ไหน. ใช้ MITRE ATT&CK matrix เป็น checklist — สำหรับ technique TOP 20 ของโจร — บริษัทมี detection capability ทุกตัวหรือเปล่า?
2. SOC capability — ใน-house / outsource / hybrid. ขนาดกลาง 200-1000 พนักงาน → MSSP (Managed Security Service Provider) ปกติคุ้มกว่า 24/7 in-house
3. IR readiness — มี IR playbook ที่ทดสอบใน tabletop / IR retainer / Cyber insurance / 72-hour notification process / Legal hold
4. Forensic preservation SOP — เขียน playbook ห้ามทีม IT ปิดเครื่อง / format / reinstall ก่อน forensics เข้ามา. มี portable forensic toolkit + write blocker เก็บไว้
5. Annual exercise — tabletop อย่างน้อย 2 ครั้ง/ปี + red team test อย่างน้อย 1 ครั้ง/ปี
6. Awareness training — focused บน social engineering (EP.40) + deepfake (EP.38)

ข้อสอง — Operations ทั้ง 9 EPs ต้องการ “วัฒนธรรม” ไม่ใช่แค่ tool

ลองดู pattern ของเคสใหญ่ใน Part 5

• Target 2013 — มี FireEye alert แต่ทีม ignore — คนไม่ใช่ tool
• Equifax 2017 — patch มีพร้อม 2 เดือน แต่ team ไม่ได้ apply — discipline ไม่ใช่ tool
• Maersk NotPetya 2017 — backup มี แต่ไม่ได้ test — process ไม่ใช่ tool
• Uber 2016 — มี breach แต่ CSO ปิดข่าว + จ่ายโจรเป็น “bug bounty” — integrity ไม่ใช่ tool

ทุกเคส — bottleneck ไม่ใช่ technology — เป็น culture + discipline + integrity ของคนในองค์กร

Pattern คลาสสิกที่บริษัทไทยติด (ที่ ISACA + ที่ปรากฏในรายงาน security forum ของไทย):

• ทีม IT คิดว่า “ของเราเล็ก ใครจะ targets” — โจรไม่เลือกขนาด เลือก vulnerability
• ผู้บริหารคิดว่า “ลงทุน firewall + antivirus = ปลอดภัย” — Part 5 ทั้ง 9 EPs บอกว่าเหล่านี้แค่ส่วนหนึ่ง
• “security เป็นเรื่องของ IT” — security เป็นเรื่องของทั้งองค์กร — โดยเฉพาะ business unit ที่ตัดสินใจเรื่อง trust ทุกวัน
• “ไม่เคยเกิดเรื่อง = ไม่ต้องลงทุน” — Survivorship bias. บริษัทที่ “ไม่เคยเกิดเรื่อง” หลายแห่ง — เกิดเรื่องแต่ไม่รู้ตัว

Discipline ที่ผู้บริหารต้องสร้าง:

• Just culture — เมื่อพนักงาน report incident / suspicious activity / mistake — ไม่ลงโทษ (ตราบที่ไม่ผิด policy รุนแรง). ทีมที่กลัวจะไม่ report = silent attack
• Tabletop exercise ทุก 6 เดือน — มี board / C-suite เข้าร่วมจริงๆ ไม่ใช่ส่ง executive assistant แทน
• Post-mortem culture ของทุก incident — เน้น process improvement ไม่ใช่ blame
• Transparency กับ regulator — Uber CSO ติดคุกเพราะปิดข่าว — บทเรียนชัด: ปิดข่าว = แย่กว่า + เพิ่ม personal liability

ในเคสที่บริษัทไทยขนาดกลางทำตามนี้ — pattern ของวงการคือ time-to-detect ลดลงจาก 200+ วัน เหลือ 30-60 วัน + time-to-contain ลดจาก 70+ วัน เหลือ 7-14 วัน ภายใน 2-3 ปี