भाग २ (७ पैकी)

पुरावा ओळख आणि संग्रह

🕑 ६०-९० मिनिटे 🔍 संग्रह तंत्र 📋 मॉड्यूल २

प्रस्तावना

डिजिटल पुरावा ओळख आणि संग्रह हे फोरेन्सिक तपासाचे सर्वात महत्त्वाचे टप्पे आहेत. योग्य पद्धतीने पुरावे ओळखणे आणि संकलित न केल्यास, मौल्यवान माहिती गमावली जाऊ शकते किंवा न्यायालयात पुरावे अस्वीकार्य ठरू शकतात.

📚 शिक्षण उद्दिष्टे

हा भाग पूर्ण केल्यावर, तुम्ही संभाव्य डिजिटल पुरावे ओळखू शकाल, योग्य संग्रह प्रक्रिया वापरू शकाल आणि फोरेन्सिक इमेजिंगचे मूलभूत तंत्र समजून घ्याल.

पुरावा ओळख तंत्र

डिजिटल पुरावे ओळखणे म्हणजे तपासासाठी संभाव्य महत्त्वाची माहिती कुठे असू शकते हे निश्चित करणे. यासाठी पद्धतशीर दृष्टीकोन आवश्यक आहे.

भौतिक पुरावा स्त्रोत ओळखणे

💻

संगणक उपकरणे

डेस्कटॉप, लॅपटॉप, सर्व्हर, हार्ड ड्राइव्ह, SSD, RAM मॉड्यूल्स.

📱

मोबाइल उपकरणे

स्मार्टफोन, टॅब्लेट, स्मार्टवॉच, GPS उपकरणे.

💾

स्टोरेज मीडिया

USB ड्राइव्ह, मेमरी कार्ड, बाह्य हार्ड ड्राइव्ह, CD/DVD.

🖶

नेटवर्क उपकरणे

राउटर, स्विच, फायरवॉल, NAS उपकरणे.

डिजिटल पुरावा स्थाने

  • स्थानिक स्टोरेज: हार्ड ड्राइव्ह, SSD वरील फाइल्स, अॅप्लिकेशन डेटा, सिस्टम फाइल्स
  • ऑपरेटिंग सिस्टम आर्टिफॅक्ट्स: रजिस्ट्री, इव्हेंट लॉग्स, प्रीफेच फाइल्स, थंबनेल कॅशे
  • ब्राउझर डेटा: हिस्ट्री, बुकमार्क्स, कॅशे, कुकीज, डाउनलोड्स
  • ईमेल क्लायंट: मेलबॉक्स फाइल्स, अटॅचमेंट्स, कॅलेंडर, कॉन्टॅक्ट्स
  • क्लाउड स्टोरेज: Google Drive, Dropbox, OneDrive, iCloud
  • सोशल मीडिया: पोस्ट्स, मेसेज, फोटो, चेक-इन्स
लोकार्ड एक्सचेंज प्रिन्सिपल

"जेव्हा दोन वस्तू संपर्कात येतात, तेव्हा त्यांच्यात नेहमी काही एक्सचेंज होते." डिजिटल जगात याचा अर्थ - प्रत्येक क्रिया ट्रेस सोडते. फाइल एक्सेस, नेटवर्क कनेक्शन, लॉगिन - सर्व काही लॉग होते.

संग्रह प्रक्रिया

पुरावा संग्रह ही महत्त्वाची प्रक्रिया आहे जी योग्यरित्या न केल्यास पुरावे दूषित किंवा अस्वीकार्य होऊ शकतात.

दृश्य सुरक्षित करणे

क्षेत्र सुरक्षित करा, अनधिकृत प्रवेश रोखा, फोटो आणि व्हिडिओ दस्तऐवजीकरण करा. उपकरणांची स्थिती (चालू/बंद) नोंदवा.

अस्थिर डेटा कॅप्चर

जर उपकरण चालू असेल, प्रथम अस्थिर डेटा (RAM, नेटवर्क कनेक्शन, रनिंग प्रोसेस) कॅप्चर करा. RFC 3227 अस्थिरता क्रम पाळा.

फोरेन्सिक इमेजिंग

स्टोरेज मीडियाची बिट-बाय-बिट फोरेन्सिक प्रतिमा तयार करा. राइट ब्लॉकर वापरा. हॅश व्हॅल्यू जनरेट आणि सत्यापित करा.

भौतिक पुरावे पॅकेजिंग

अँटी-स्टॅटिक बॅगमध्ये पॅक करा, प्रत्येक आयटम लेबल करा, चेन ऑफ कस्टडी फॉर्म भरा.

वाहतूक आणि स्टोरेज

सुरक्षित वाहतूक सुनिश्चित करा, नियंत्रित वातावरणात स्टोरेज (तापमान, आर्द्रता), प्रवेश नियंत्रण.

लाइव्ह vs डेड अधिग्रहण

लाइव्ह अधिग्रहण

उपकरण चालू असताना डेटा संकलन. अस्थिर डेटा (RAM, प्रोसेस) मिळतो. एन्क्रिप्टेड ड्राइव्हसाठी महत्त्वाचे. जोखीम: डेटा बदलू शकतो.

🔴

डेड अधिग्रहण

उपकरण बंद केल्यावर डेटा संकलन. स्थिर डेटा संरक्षित. अस्थिर डेटा गमावला जातो. एन्क्रिप्टेड ड्राइव्हसाठी समस्या.

फोरेन्सिक इमेजिंग

फोरेन्सिक इमेजिंग म्हणजे स्टोरेज मीडियाची बिट-बाय-बिट अचूक प्रत तयार करणे, ज्यामध्ये हटवलेला डेटा, फ्री स्पेस आणि सिस्टम एरिया समाविष्ट आहे.

इमेज प्रकार

  • रॉ/DD इमेज: बिट-बाय-बिट कॉपी, कोणतेही कॉम्प्रेशन नाही, सर्वात मोठा आकार
  • E01 (EnCase): कॉम्प्रेशन समर्थन, मेटाडेटा, हॅश सत्यापन
  • AFF (Advanced Forensic Format): ओपन सोर्स, कॉम्प्रेशन, मेटाडेटा
  • SMART: कॉम्प्रेशन, एन्क्रिप्शन समर्थन

फोरेन्सिक इमेजिंग साधने

FTK Imager (मोफत) AccessData चे मोफत इमेजिंग साधन
dd (Linux) कमांड-लाइन बिट कॉपी टूल
Guymager ओपन सोर्स GUI इमेजिंग
dc3dd dd चे फोरेन्सिक-वर्धित आवृत्ती
Tableau/Ditto (हार्डवेअर) समर्पित फोरेन्सिक इमेजर्स
💻 FTK Imager वापरून इमेज तयार करणे

१. FTK Imager उघडा → File → Create Disk Image
२. Source प्रकार निवडा (Physical Drive/Logical Drive)
३. Source ड्राइव्ह निवडा
४. Destination निवडा आणि Image Type (E01/Raw) निवडा
५. केस माहिती भरा (Case Number, Evidence Number, Examiner)
६. "Verify images after they are created" चेक करा
७. Start क्लिक करा आणि पूर्ण होण्याची प्रतीक्षा करा

मोबाइल उपकरण संग्रह

मोबाइल उपकरणांचे संग्रह विशेष आव्हाने सादर करते कारण त्यांचे विविध ऑपरेटिंग सिस्टम, एन्क्रिप्शन आणि क्लाउड सिंक्रोनाइझेशन.

मोबाइल संग्रह पातळी

  1. मॅन्युअल एक्झामिनेशन: स्क्रीनवर दृश्यमान डेटा मॅन्युअली ब्राउझ आणि दस्तऐवजीकरण
  2. लॉजिकल एक्स्ट्रॅक्शन: युजर-लेव्हल डेटा (कॉन्टॅक्ट्स, मेसेज, फोटो) मिळवणे
  3. फाइल सिस्टम एक्स्ट्रॅक्शन: संपूर्ण फाइल सिस्टम, डेटाबेस, कॅशे मिळवणे
  4. फिजिकल एक्स्ट्रॅक्शन: NAND फ्लॅश मेमरीची बिट-बाय-बिट कॉपी
  5. चिप-ऑफ: मेमरी चिप शारीरिकरित्या काढून डेटा मिळवणे
मोबाइल आयसोलेशन

मोबाइल उपकरणे ताब्यात घेतल्यावर त्वरित नेटवर्क आयसोलेट करा: एअरप्लेन मोड चालू करा, फॅराडे बॅग/बॉक्स वापरा. यामुळे रिमोट वाइप, डेटा बदल आणि क्लाउड सिंक टाळता येते.

मुख्य मुद्दे
  • लोकार्ड एक्सचेंज प्रिन्सिपल: प्रत्येक क्रिया ट्रेस सोडते
  • RFC 3227 अस्थिरता क्रमानुसार पुरावे संकलित करा
  • लाइव्ह अधिग्रहण अस्थिर डेटा जतन करते, डेड अधिग्रहण डेटा अखंडता सुनिश्चित करते
  • फोरेन्सिक इमेजिंग = बिट-बाय-बिट कॉपी, हॅश सत्यापनासह
  • मोबाइल उपकरणे त्वरित नेटवर्क-आयसोलेट करा (फॅराडे बॅग)
  • योग्य दस्तऐवजीकरण आणि चेन ऑफ कस्टडी आवश्यक
मागील: डिजिटल पुराव्याचा परिचय पुढील: चेन ऑफ कस्टडी