1 / 17

Crime Investigation Center Provincial Police Region 5

ศูนย์สืบสวนสอบสวนตำรวจภูธรภาค 5. Crime Investigation Center Provincial Police Region 5. วิธีการตรวจยึด และจัดการวัตถุพยาน อุปกรณ์อิเล็กทรอนิกส์ (คอมพิวเตอร์). กรมตำรวจ สหพันธรัฐออสเตรเลีย สถานทูตออสเตรเลีย ประจำกรุงมะนิลา ประเทศฟิลิปปินส์ โดย เจ้าหน้าที่ David B.Stewart.

carolyn-kirkland
Download Presentation

Crime Investigation Center Provincial Police Region 5

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ศูนย์สืบสวนสอบสวนตำรวจภูธรภาค 5 Crime Investigation Center Provincial Police Region 5 วิธีการตรวจยึด และจัดการวัตถุพยาน อุปกรณ์อิเล็กทรอนิกส์ (คอมพิวเตอร์) กรมตำรวจ สหพันธรัฐออสเตรเลีย สถานทูตออสเตรเลีย ประจำกรุงมะนิลา ประเทศฟิลิปปินส์ โดย เจ้าหน้าที่ David B.Stewart ศูนย์สืบสวนสอบสวนตำรวจภูธรภาค 5 311 ถ.มหิดล ต.หนองหอย อ.เมือง จ.เชียงใหม่ 50000 โทรศัพท์ 053-275356 โทรสาร 053-275356 www.police5ic.com ,www.p5.police.go.th/inv email: p5cic@hotmail.com

  2. วิธีการตรวจยึด และจัดการวัตถุพยาน อุปกรณ์อิเล็กทรอนิกส์ (คอมพิวเตอร์) คำนำ หลักฐานที่เป็นข้อมูลดิจิตอลหลากหลายรูปแบบ อาจพบได้ในสถานที่เกิดเหตุอาชญากรรม ดังนั้น การรวบรวมพยานหลักฐานจึงมีความจำเป็นอย่างยิ่ง ที่จะต้องอาศัยการเรียนรู้ และการปฏิบัติอย่างถูกวิธี หลักฐานที่มักพบได้ในสถานที่เกิดเหตุ ส่วนใหญ่ได้แก่ อุปกรณ์คอมพิวเตอร์ และอุปกรณ์อื่น ๆ ซึ่งมีรูปภาพแสดงไว้ในคู่มือเล่มนี้ ทว่ารูปภาพในคู่มือนี้ มิได้รวบรวมอุปกรณ์ทุกชิ้นที่อาจเป็นวัตถุพยานสำคัญได้ทั้งหมด ยังมีอุปกรณ์และเครื่องมืออื่น ๆ ที่ยังไม่ได้กล่าวถึงอีกหลายชนิด รูปภาพในคู่มือเล่มนี้ จึงเป็นเพียงตัวอย่างบางส่วนของอุปกรณ์ที่เจ้าหน้าที่ควรทำการตรวจค้นตรวจยึด

  3. วิธีการตรวจยึด และจัดการวัตถุพยาน อุปกรณ์อิเล็กทรอนิกส์ (คอมพิวเตอร์) สิ่งที่ต้องปฏิบัติในทันที ณ สถานที่เกิดเหตุ • คุ้มครองเฝ้าระวังสถานที่เกิดเหตุ • หากเครื่องปริ้นเตอร์กำลังทำงานอยู่ ปล่อยให้เครื่องปริ้นเตอร์ทำงานให้เสร็จ • ห้ามมิให้ผู้ใดดำเนินการใด ๆ ต่ออุปกรณ์คอมพิวเตอร์ หรืออุปกรณ์อื่น ๆ ที่เกี่ยวข้อง • อย่าสนใจคำทัดทาน หรือคำชี้แนะของเจ้าของหรือผู้ใช้คอมพิวเตอร์ • หากเครื่องคอมพิวเตอร์ปิดอยู่ ห้ามเปิดเครื่อง กรณีจำเป็น หากต้องการความช่วยเหลือ หรือคำแนะนำจากเจ้าหน้าที่ นิติวิทยาศาสตร์ ผู้ชำนาญการ แม้จะเป็นการติดต่อทางโทรศัพท์ ก็ต้องทำ ยกเว้น กรณีที่ผู้ทำการตรวจค้นเป็นผู้ชำนาญการด้านคอมพิวเตอร์ กรณีเครื่องคอมพิวเตอร์ปิดสวิทซ์ไว้ • ตรวจสอบให้แน่ใจว่าเครื่องปิดแล้ว หากไม่แน่ใจให้ปฏิบัติเหมือนดังเช่นกรณีเครื่องเปิดอยู่ • เครื่องคอมพิวเตอร์ Laptop หรือโน้ตบุ๊ค บางรุ่นบางยี่ห้อจะเปิดเครื่องเองโดยอัตโนมัติ เมื่อทำการเปิดฝาหน้า • ให้บันทึกภาพอุปกรณ์ทุกชิ้น รวมถึงการติดตั้งระบบ และตรวจดูว่าจุดใดเชื่อมต่อกับจุดใด • ให้บันทึกภาพหน้าจอและจดบันทึกโปรแกรมทั้งหมดในตัวเครื่อง เท่าที่สามารถมองเห็นได้ • กรณีที่เป็นเครื่อง Laptop หรือโน้ตบุ๊ค ให้ถอดแบตเตอรี่ออกจากตัวเครื่อง

  4. วิธีการตรวจยึด และจัดการวัตถุพยาน อุปกรณ์อิเล็กทรอนิกส์ (คอมพิวเตอร์) • ให้ถอดปลั๊กออกจากอุปกรณ์ทุกชิ้น โดยให้ถอดที่ตัวคอมพิวเตอร์ มิใช่ถอดจากรูปลั๊กผนังห้อง • ทำเครื่องหมายที่ตัว connector ทุกชิ้น ให้รู้ว่าจุดใดเป็นตัวเชื่อมกับจุดใด เพื่อสามารถประกอบภายหลังได้ กรณีที่เครื่องคอมพิวเตอร์เปิดสวิทซ์ไว้ • ตัดการเชื่อมโยงระบบทางไกลต่าง ๆ เช่น โทรศัพท์ และโมเด็ม • แยกตัวเครื่องคอมพิวเตอร์ออกจากกล้อง Digital Movie (ดังภาพตัวอย่าง) • หากน่าเชื่อว่า คอมพิวเตอร์ถูกติดตั้งเป็นระบบเครือข่าย (Network) ก่อนจะลงมือตรวจสอบตรวจยึด ให้ขอคำชี้แนะจากผู้ชำนาญการก่อน • หากมีโปรแกรมทำลายข้อมูลทำงานอยู่ ซึ่งอาจจะเป็นการทำลายหลักฐานสำคัญ เช่น โปรแกรม Format, Wipe หรือโปรแกรมทำลายหลักฐานอื่น ๆ ให้ดึงปลั๊กออกจากตัวเครื่องทันที

  5. วิธีการตรวจยึด และจัดการวัตถุพยาน อุปกรณ์อิเล็กทรอนิกส์ (คอมพิวเตอร์) • บันทึกข้อมูลที่ปรากฏบนหน้าจอ ด้วยการถ่ายภาพ หรือจดบันทึกลงบนสมุด • หากหน้าจอแสดง screensaver หรือ ว่างเปล่า ให้ขยับเม้าส์ หรือกดปุ่ม up หรือปุ่มdown หน้าจอจะกลับมาสู่หน้าปกติที่กำลังทำงานอยู่ • เมื่อ เม้าท์ และคีย์บอร์ดทำงานได้แล้ว ให้จดบันทึกข้อมูล พร้อมทั้งระบุ วัน และเวลา คอมพิวเตอร์ที่ติดตั้งเป็นระบบ Network ได้แก่ การเชื่อมโยงคอมพิวเตอร์ตั้งแต่ 2 เครื่องขึ้นไป • อย่าดำเนินการใด ๆ /ให้ติดต่อขอรับการคำชี้แนะจากผู้ชำนาญการเท่านั้น • ถ้าหากทำการดึงปลั๊กออก หรือทำการใด ๆ โดยไม่ระวัง อาจส่งผลเสียหายอย่างร้ายแรงต่อข้อมูลของธุรกิจที่เกี่ยวข้อง และเราอาจต้องชดใช้ความเสียหายแก่เจ้าของระบบ • ให้เฝ้าระวังสถานที่เกิดเหตุเอาไว้จนกว่า จะได้รับคำแนะนำอย่างถูกวิธีจากผู้ชำนาญการ

  6. วิธีการตรวจยึด และจัดการวัตถุพยาน อุปกรณ์อิเล็กทรอนิกส์ (คอมพิวเตอร์) ระบบ Laptop • หากไม่สามารถถอดแบตเตอร์รี่ออกจากเครื่องได้ ให้กดปุ่ม powerค้างไว้ 30 วินาที (จนกระทั่งหน้าจอมืด) เครื่องจะปิดเอง ระบบคอมพิวเตอร์ตั้งโต๊ะ (Desktop) • ก่อนที่จะทำการปิดเครื่องคอมพิวเตอร์ มีความจำเป็นอย่างยิ่งที่จะต้องรู้ว่า เครื่องคอมพิวเตอร์นั้นกำลังทำงานด้วยระบบใด หรือใช้โปรแกรมใดอยู่ เนื่องจากแต่ละโปรแกรมต้องใช้วิธีปฏิบัติที่แตกต่างกัน เมื่อเราทราบแน่ชัดว่า คอมพิวเตอร์นั้น เป็นระบบหรือโปรแกรมใดแล้ว จึงจะสามารถลงมือปฏิบัติการได้อย่างถูกวิธี • เราจะทราบว่าเครื่องคอมพิวเตอร์ทำงานด้วยโปรแกรมใด โดยสังเกตได้จากตัวScreenshot ต่าง ๆ ดังตัวอย่างต่อไปนี้ • Windows Vistaให้สังเกตสัญลักษณ์ดังต่อไปนี้ - Recycle bin - My Computer - Start Button

  7. วิธีการตรวจยึด และจัดการวัตถุพยาน อุปกรณ์อิเล็กทรอนิกส์ (คอมพิวเตอร์) • Apple Macintosh: ให้สังเกตสัญลักษณ์Apple LHS • Linux GUI โดยทั่วไป โปรแกรมนี้จะดูคล้ายกับWondowsแต่ว่าLinuxหรือ Unix GUI แต่เดิม จะไม่มีปุ่ม “Start” หรือ My computer หรือ Recycle binแต่ว่าก็ไม่เสมอไป หากเกิดความสงสัยให้ปรึกษาผู้ชำนาญการ • Dos Command Line ให้สังเกต (C:\>) • Linux / Unix Command Line ให้สังเกตสัญลักษณ์ - #, @ หรือ #@

  8. วิธีการตรวจยึด และจัดการวัตถุพยาน อุปกรณ์อิเล็กทรอนิกส์ (คอมพิวเตอร์) วิธีการ Shut Down เมื่อเราทราบว่าเครื่องคอมพิวเตอร์ทำงานด้วยระบบหรือโปรแกรมใดแล้ว ให้ทำการปิดเครื่องโดยวิธีต่อไปนี้ “ ดึงปลั๊กออก ” หมายความว่า ดึงปลั๊กออกจากด้านหลังของตัวเครื่อง ไม่ใช่ดึงจากรูปลั๊กที่ฝาผนัง “ Shut Down ” หมายความว่า ปิดเครื่องตามวิธีการธรรมดา

  9. วิธีการตรวจยึด และจัดการวัตถุพยาน อุปกรณ์อิเล็กทรอนิกส์ (คอมพิวเตอร์) • หากไม่ทราบวิธีการ Shut Down และไม่มีผู้ชำนาญการ สามารถให้คำชี้แนะได้ ให้ดึงปลั๊กออกและให้จดบันทึก วัน เวลา ที่ปฏิบัติการ พร้อมทั้งเหตุผลที่กระทำการเช่นนั้น ผู้ชำนาญการ อาจแนะนำให้ใช้วิธีดึงปลั๊กออกก็ได้ แม้ว่าบางระบบหรือบางโปรแกรมจะระบุว่าให้ Shut Down ก็ตาม ทั้งนี้ขึ้นอยู่กับวิจารณญาณของผู้ชำนาญการ รูปที่ 1 ดึงปลั๊กออก รูปที่ 2 ปิดตัวเครื่อง Power Supply ด้วยเทป - เมื่อ Shut Down แล้ว ให้บันทึกเป็นหลักฐาน โดยใช้วิธีถ่ายรูป, ถ่ายวีดีโอ และสเก็ตซ์ภาพ หรือทุกวิธีรวมกันก็ได้ • - ในการแยกส่วนอุปกรณ์ต่างๆ ออกจากกัน ให้ปฏิบัติด้วยความระมัดระวัง โดยให้ทำเครื่องหมายประจำที่อุปกรณ์ทุกชิ้นให้ชัดเจน โดยทั่วไป เครื่องคอมพิวเตอร์จะมีหมายเลขประจำเครื่อง แต่คีย์บอร์ด จอภาพ และเม้าท์ จะใช้หมายเลขประจำเครื่องเหมือนกันแต่จะมีหมายเลขประจำชิ้นส่วนแตกต่างกัน

  10. วิธีการตรวจยึด และจัดการวัตถุพยาน อุปกรณ์อิเล็กทรอนิกส์ (คอมพิวเตอร์) • ตรวจสอบให้แน่ใจว่า ได้ทำการตรวจยึดวัตถุพยานครบถ้วนทุกชิ้น พร้อมทั้งทำเครื่องหมายประจำวัตถุพยานทุกชิ้นให้ชัดเจนด้วย หากเกิดความผิดพลาดในขั้นตอนนี้ อาจก่อให้เกิดปัญหาภายหลังได้ โปรดอย่าลืม ! • -Search ดูข้อมูลของเอกสารต่าง ๆ รวมทั้งสมุดบันทึกไดอารี่ • - สอบถามหา User ID และ Passwordและจดบันทึกไว้ • - ทำบันทึกการตรวจค้นตรวจยึด • - ตรวจอุปกรณ์ทุกชิ้นให้ครบถ้วน ไม่ให้หลงลืมหรือละเลย โดยเฉพาะอย่างยิ่ง ตัว power supply ของlaptop • - ทำการสเก็ตซ์ภาพอุปกรณ์ทุกชิ้นที่ทำการตรวจยึด • - ถ่ายภาพบริเวณที่ทำการตรวจยึดและบริเวณใกล้เคียงให้ละเอียด • - จดบันทึกวัน เวลา ที่ได้ทำการปิดเครื่องอุปกรณ์ทุกชนิด • - ใช้เทปปิดช่อง power input • - ปิดถุงที่ใช้บรรจุวัตถุพยานให้เรียบร้อยและทำการจัดเก็บในหีบห่อ เพื่อทำการ ขนย้ายด้วยความระมัดระวังไม่ให้เกิดการกระทบกระแทก หรือบุบสลาย

  11. วิธีการตรวจยึด และจัดการวัตถุพยาน อุปกรณ์อิเล็กทรอนิกส์ (คอมพิวเตอร์) อุปกรณ์ PDA (Personal Digital Assistant) และอุปกรณ์ที่คล้ายคลึงกัน • ข้อควรระวัง • - ข้อมูลที่เก็บไว้ใน Memory ของ PDA อาจสูญหายได้ หากปล่อยให้เครื่องขาดกระแสไฟ (แบตเตอรี่หมด) • - หากเครื่องปิดอยู่ ห้ามเปิดเครื่อง • เก็บเครื่อง PDA ใส่ไว้ในซองที่ปิดผนึกไว้ ก่อนที่จะนำไปเก็บไว้ในถุงรวมกับวัตถุพยานอื่น ๆ เพื่อป้องกันไม่ให้เกิดการเปิดเครื่อง หากเป็นไปได้ให้เตรียม adaptor และฐานรอง พร้อมแท่นชาร์ท ติดตั้งกับเครื่อง PDA ให้เรียบร้อย โดยเก็บสายชาร์ทไฟไว้แยกต่างหากจากถุงบรรจุวัตถุพยาน เพื่อพร้อมที่จะทำการชาร์ทไฟได้ตลอดเวลา และให้ทำการชาร์ทไฟทันทีที่นำเครื่อง PDA มาถึงที่ทำการ หรือห้องทดลอง หากเครื่องเปิดอยู่ • ให้ทำการปิดเครื่องอย่างถูกวิธี โดยกดสวิตซ์ ON/OFF จากนั้นให้ทำการบรรจุหีบห่อดังได้อธิบายไว้แล้วข้างต้น • หากไม่แน่ใจให้ปรึกษาผู้ชำนาญการ • - ให้นำเครื่อง PDA พร้อมทั้งอุปกรณ์ส่วนควบอื่น ๆ ที่เกี่ยวข้อง ส่งยังผู้ชำนาญการ เพื่อทำการตรวจสอบโดยไม่ชักช้า • - ต้องทำการตรวจสอบแบตเตอรี่และหมั่นชาร์จไฟอย่างสม่ำเสมอ เพื่อป้องกันข้อมูลสูญหาย

  12. วิธีการตรวจยึด และจัดการวัตถุพยาน อุปกรณ์อิเล็กทรอนิกส์ (คอมพิวเตอร์) • ควรตรวจยึดอะไรบ้าง? ตัวอย่างของรูปภาพต่อไปนี้ แสดงให้เห็นอุปกรณ์ที่เจ้าหน้าที่ทำควรทำการตรวจยึด • - คอมพิวเตอร์ Sever Tower Mini Tower Desktop

  13. วิธีการตรวจยึด และจัดการวัตถุพยาน อุปกรณ์อิเล็กทรอนิกส์ (คอมพิวเตอร์) • เครื่อง PDA(พร้อมฐานรอง และแท่นชาร์ท) • Diskette Hard Disks (PC and Laptop) Floppy Disks Zip Disk

  14. วิธีการตรวจยึด และจัดการวัตถุพยาน อุปกรณ์อิเล็กทรอนิกส์ (คอมพิวเตอร์) • Tape Backups มีประเภทดังนี้ DLT Travan AIT DDS 3/4 • อุปกรณ์บันทึกข้อมูลอื่น ๆ เช่น USB memory drive หรือ memory card • อุปกรณ์อื่น ๆ เช่น นาฬิกาบันทึกข้อมูล หรือ นาฬิกาติดกล้องถ่ายภาพ

  15. วิธีการตรวจยึด และจัดการวัตถุพยาน อุปกรณ์อิเล็กทรอนิกส์ (คอมพิวเตอร์) โทรศัพท์มือถือ อุปกรณ์อื่น ๆ ที่ควรตรวจยึดยังมีอีกเช่น • อุปกรณ์ที่สามารถเชื่อมโยงกับภายนอกได้ทุกชนิด เช่น Hard disk เป็นต้น • CD และ DVD (ข้อมูลบางอย่างอาจถูกซ่อนไว้ใน CD เพลง หรือ DVD ภาพยนตร์) • กุญแจประจำเครื่องคอมพิวเตอร์ • ฐานรอง • Dongle (อุปกรณ์ป้องกันซอฟท์แวร์) • Manual • Modem • กระดาษจดบันทึกต่างๆ แม้กระทั่งบันทึกเศษกระดาษที่พบในบริเวณใกล้เคียง • Power supply • อุปกรณ์ Wireless

  16. วิธีการตรวจยึด และจัดการวัตถุพยาน อุปกรณ์อิเล็กทรอนิกส์ (คอมพิวเตอร์) • นอกจากนี้ ควรตรวจยึดอุปกรณ์เหล่านี้ด้วย • เครื่อง Answering machine • Desktop phone • Dictating machine • ระบบ Email ที่ เชื่อมต่อโดยตรงกับโทรศัพท์ • เครื่อง Fax • โทรศัพท์มือถือ • Pager • อุปกรณ์อื่น ๆ ที่สามารถเก็บข้อมูลแบบอิเล็กทรอนิกส์ • ควรหาคำตอบเกี่ยวกับเรื่องดังต่อไปนี้ • Key เครื่องคอมพิวเตอร์บางรุ่นมีกุญแจล็อค • Password ของเครื่องคอมพิวเตอร์ • Pin Number ของโทรศัพท์มือถือ • Email address และPassword • เจ้าหน้าที่ควรเตรียมอุปกรณ์อะไรบ้าง ในการทำการตรวจยึด • Anti static band (แผ่นป้องกันไฟฟ้าสถิต) • สมุดโน้ตและปากกา • กล้องถ่ายรูปและฟิล์ม • คีมและไขควงชนิดต่างๆ • ถุงสำหรับใส่วัตถุพยาน • สติ๊กเกอร์ • ฉลากสำหรับทำเครื่องหมายวัตถุพยาน • เทปกาว • ถุงมือ • ไฟฉาย • ปากกาเคมีกันน้ำ

  17. กรณีต้องการคำแนะนำจากผู้ชำนาญการกรณีต้องการคำแนะนำจากผู้ชำนาญการ โปรดติดต่อ กรมตำรวจ สหพันธรัฐออสเตรเลีย สถานทูตออสเตรเลีย ประจำกรุงมะนิลา ประเทศฟิลิปปินส์ โทรศัพท์ +63 9178867672, +63 9178056406, +63 9175775884 www.afp.gov.au ศูนย์สืบสวนสอบสวนตำรวจภูธรภาค 5 Crime Investigation Center Provincial Police Region 5 ศูนย์สืบสวนสอบสวนตำรวจภูธรภาค 5 311 ถ.มหิดล ต.หนองหอย อ.เมือง จ.เชียงใหม่ 50000 โทรศัพท์ 053-275356 โทรสาร 053-275356 www.police5ic.com ,www.p5.police.go.th/inv email: p5cic@hotmail.com

More Related