|
การศึกษาเปรียบเทียบการปกปิดร่องรอยหลักฐานดิจิทัล ที่ส่งผลต่อประสิทธิผลการกู้คืนข้อมูลของซอฟต์แวร์นิติวิทยาศาสตร์ |
|---|---|
| รหัสดีโอไอ | |
| Creator | ทรงวุฒิ นาคศิลป์ |
| Title | การศึกษาเปรียบเทียบการปกปิดร่องรอยหลักฐานดิจิทัล ที่ส่งผลต่อประสิทธิผลการกู้คืนข้อมูลของซอฟต์แวร์นิติวิทยาศาสตร์ |
| Contributor | วรธัช วิชชุวาณิชย์ |
| Publisher | สถาบันวิจัยและพัฒนา มหาวิทยาลัยเทคโนโลยีราชมงคลธัญบุรี |
| Publication Year | 2563 |
| Journal Title | วารสารวิจัย มหาวิทยาลัยเทคโนโลยีราชมงคลธัญบุรี |
| Journal Vol. | 19 |
| Journal No. | 2 |
| Page no. | 117-131 |
| Keyword | การปกปิดร่องรอยหลักฐาน, หลักฐานดิจิทัล, ซอฟต์แวร์นิติวิทยาศาสตร์ |
| URL Website | https://ph01.tci-thaijo.org/index.php/rmutt-journal/index |
| Website title | https://www.tci-thaijo.org |
| ISSN | 2651-2289 |
| Abstract | การวิจัยครั้งนี้มีวัตถุประสงค์ (1) เพื่อศึกษาเทคนิคการปกปิดร่องรอยหลักฐานดิจิทัลที่ส่งผลต่อการกู้คืนข้อมูลของซอฟต์แวร์นิติวิทยาศาสตร์ (2) เพื่อเปรียบเทียบเทคนิคการปกปิดร่องรอยหลักฐานดิจิทัลแต่ละเทคนิคที่ส่งผลต่อประสิทธิผลในการกู้คืนข้อมูลของซอฟต์แวร์นิติวิทยาศาสตร์ โดยผู้วิจัยได้ทดลองปกปิดร่องรอยหลักฐานดิจิทัล ด้วยเทคนิคที่ไม่ซับซ้อนแต่เป็นเทคนิคที่พบเห็นได้โดยทั่วไป ได้แก่ Delete, Format และ Overwrite จากนั้นจึงใช้ซอฟต์แวร์นิติวิทยาศาสตร์ จำนวน 3 โปรแกรม คือ EnCase Imager, FTK Imager และ ProDiscover กู้คืนข้อมูลหลักฐานดิจิทัล เพื่อเปรียบเทียบประสิทธิผลในการกู้คืนข้อมูลของซอฟต์แวร์นิติวิทยาศาสตร์จากเทคนิคการปกปิดร่องรอยหลักฐานดิจิทัลแต่ละเทคนิคบนอุปกรณ์บันทึกข้อมูลที่มีระบบไฟล์แบบ NTFS ภายใต้ระบบปฏิบัติการ Windows 7 ผลจากการวิจัยพบว่า ซอฟต์แวร์นิติวิทยาศาสตร์ทั้ง 3 โปรแกรม มีประสิทธิผลในการกู้คืนข้อมูลหลักฐานดิจิทัลไม่ต่างกัน คือ (1) การปกปิดร่องรอยหลักฐานด้วยคำสั่ง Delete และคำสั่ง Format แบบไม่ระบุ Switch สามารถกู้คืนข้อมูลหลักฐานดิจิทัลได้ในสภาพที่สมบูรณ์ 100% เนื่องจากเป็นเทคนิคที่แก้ไขหรือทำลายข้อมูลใน MFT Entry โดยไม่ยุ่งเกี่ยวกับเนื้อไฟล์ (2) การปกปิดร่องรอยหลักฐานด้วยคำสั่ง Fomat แบบระบุ Switch คำสั่งเป็น Format Drive: /P: Passes และการ Overwrite สามารถกู้คืนข้อมูลหลักฐานดิจิทัลได้ในส่วนที่เนื้อไฟล์ไม่ถูกทำลาย หรือไม่สามารถกู้คืนได้หากเนื้อไฟล์ทั้งหมดถูกทำลาย เนื่องจากเป็นเทคนิคที่ทำให้เนื้อไฟล์เสียหายด้วยการเขียนข้อมูลอื่นทับ ความสำเร็จของการกู้คืนข้อมูลคิดเป็นร้อยละจากขนาดไฟล์ต้นฉบับ เช่น 35% 50% และ 75% เป็นต้น จึงสรุปได้ว่าความสำเร็จของการกู้คืนข้อมูลหลักฐานดิจิทัลขึ้นอยู่กับเนื้อไฟล์ต้นฉบับ |
