เปิดโลกพิสูจน์หลักฐานดิจิทัล: เจาะลึกภาพดิสก์ค้นหาความลับ
ในโลกของ Cybersecurity และการแข่งขัน CTF (Capture The Flag) การวิเคราะห์ ดิสก์อิมเมจ ถือเป็นทักษะสำคัญที่ขาดไม่ได้
หลายครั้งที่ข้อมูลลับหรือ “ธง” ถูกซ่อนอยู่ในไฟล์เหล่านี้ ซึ่งเป็นเหมือนสำเนาข้อมูลแบบไบต์ต่อไบต์ของสื่อเก็บข้อมูลจริง
การเข้าใจวิธีการเข้าถึงและตรวจสอบเนื้อหาภายใน จึงเป็นกุญแจสำคัญในการไขปริศนาต่าง ๆ
การทำงานกับ หลักฐานดิจิทัล ในรูปแบบดิสก์อิมเมจนี้ ช่วยให้สามารถจำลองสถานการณ์และสืบค้นข้อมูลได้อย่างปลอดภัย โดยไม่กระทบกับต้นฉบับ
ทำความรู้จักกับไฟล์ดิสก์อิมเมจ
เมื่อได้รับไฟล์ ดิสก์อิมเมจ มา สิ่งแรกที่ควรทำคือการตรวจสอบประเภทของไฟล์เพื่อทำความเข้าใจโครงสร้างเบื้องต้น
เครื่องมืออย่าง file ช่วยบ่งบอกได้ทันทีว่าไฟล์นั้นคืออะไร
ตัวอย่างเช่น หากพบว่าเป็น DOS/MBR boot sector นั่นหมายความว่าไฟล์นี้มีส่วนของ MBR (Master Boot Record) ซึ่งเป็นข้อมูลที่บอกว่าพาร์ติชันอยู่ตรงไหน และใช้ในการบูตระบบ
การพยายามเมานต์ไฟล์ดังกล่าวโดยตรงอาจไม่สำเร็จ เพราะสิ่งที่ต้องการคือพาร์ติชันภายใน ไม่ใช่ตัว MBR เอง
แกะรอยพาร์ติชัน: หาที่ซ่อนข้อมูล
เมื่อทราบว่าไฟล์มีโครงสร้างแบบ MBR ก็ต้องหาทางเข้าถึง พาร์ติชัน ภายใน
คำสั่ง fdisk -l สามารถแสดงข้อมูลตารางพาร์ติชันที่ซ่อนอยู่ในดิสก์อิมเมจได้
จะเห็นรายละเอียดของพาร์ติชัน เช่น ขนาด และ ไฟล์ระบบ (Filesystem) ที่ใช้งาน ซึ่งในกรณีของฟลอปปีดิสก์ มักจะเป็น FAT12
จากข้อมูลที่ได้ สามารถใช้ dd ซึ่งเป็นเครื่องมืออันทรงพลังในการคัดลอกข้อมูลแบบดิบ เพื่อแยกพาร์ติชันที่ต้องการออกมาเป็นไฟล์ใหม่
โดยการระบุค่า bs (block size) และ skip (ข้ามจำนวนบล็อกเริ่มต้น) ให้ถูกต้อง เพื่อข้ามส่วน MBR ไปยังจุดเริ่มต้นของพาร์ติชันจริง
จากนั้นก็สามารถ mount ไฟล์พาร์ติชันที่แยกออกมาได้เหมือนดิสก์ปกติ เพื่อสำรวจเนื้อหาภายใน
เปิดเผยความลับที่ซ่อนอยู่
เมื่อเมานต์พาร์ติชันได้สำเร็จ ก็เหมือนกับการเปิดกล่องสมบัติ
สามารถใช้คำสั่งพื้นฐานอย่าง ls -la เพื่อดูรายการไฟล์และโฟลเดอร์ทั้งหมดที่อยู่ภายใน
ในหลายกรณี ข้อมูลที่กำลังมองหา อาจเป็นไฟล์ข้อความธรรมดาที่ซ่อนชื่อไว้อย่างตรงไปตรงมา เช่น flag.txt
จากนั้น การใช้คำสั่ง cat เพื่ออ่านเนื้อหาของไฟล์นั้น ก็จะเปิดเผยความลับที่ถูกเก็บซ่อนไว้
การทำตามขั้นตอนเหล่านี้อย่างเป็นระบบ ช่วยให้ค้นพบข้อมูลที่ต้องการได้อย่างมีประสิทธิภาพ
ทางเลือกอื่นสำหรับการวิเคราะห์เชิงลึก
นอกเหนือจากการเมานต์พาร์ติชันแล้ว ยังมี เครื่องมือวิเคราะห์ทางนิติวิทยา ที่สามารถอำนวยความสะดวกในการค้นหาข้อมูลได้อีกด้วย
Binwalk เป็นหนึ่งในเครื่องมือยอดนิยมที่ใช้ในการสแกนไฟล์ดิสก์อิมเมจ เพื่อระบุและแยกไฟล์ที่ซ่อนอยู่ภายใน
ไม่ว่าจะเป็นไฟล์รูปภาพ เอกสาร หรือแม้แต่ไฟล์ข้อความที่ฝังตัวอยู่
เพียงแค่ใช้คำสั่ง binwalk -e [ชื่อไฟล์อิมเมจ] ก็สามารถแตกไฟล์และโฟลเดอร์ที่ค้นพบออกมาได้โดยอัตโนมัติ
อีกหนึ่งเครื่องมือที่น่าสนใจคือ Foremost ซึ่งถูกออกแบบมาเพื่อกู้คืนไฟล์ตามประเภทของส่วนหัวและส่วนท้ายของไฟล์
Foremost มีประโยชน์อย่างยิ่งในการกู้คืนไฟล์ที่ถูกลบ หรืออยู่ในพาร์ติชันที่เสียหาย
การใช้คำสั่ง foremost -i [ชื่อไฟล์อิมเมจ] จะช่วยสแกนและดึงไฟล์ที่ระบุออกมาให้
การเข้าใจและเลือกใช้เครื่องมือที่เหมาะสมกับสถานการณ์ จึงเป็นสิ่งสำคัญในการจัดการกับ หลักฐานดิจิทัล ประเภทต่าง ๆ
การสำรวจและทดลองใช้เครื่องมือเหล่านี้อย่างสม่ำเสมอ จะช่วยเพิ่มพูนทักษะในการวิเคราะห์และไขปริศนาในโลกของ Cybersecurity ได้อย่างแน่นอน