UNICORN-NSB · แบบทดสอบ + คู่มือ

UNICORN-NSB คืออะไร

UNICORN-NSB คือ Operational Intelligence Layer ที่ทำงานร่วมกับ ACESO เพื่อช่วยเจ้าหน้าที่ผู้ใช้งานในการสกัดข้อมูลจากโทรศัพท์มือถือ โดย ไม่แตะ core forensic engine

หลักการทำงาน 3 ข้อ

O

Observe — สังเกตเท่านั้น

ระบบอ่านสถานะอุปกรณ์ ไม่แก้ไขข้อมูล ไม่เปลี่ยน parser

O

Orchestrate — ควบคุม workflow

จัดการลำดับขั้นตอน ไม่แทรกแซงกระบวนการสกัด

N

No Mutation — ไม่แก้ไข

ห้ามแก้ไข acquisition DLL, parser, hash engine ของ ACESO

12 ขั้นตอนการปฏิบัติงาน

1

Login ด้วย ThaiID + PIN 6 หลัก

เฉพาะเจ้าหน้าที่ได้รับอนุญาต บัตรผูกกับระบบ

2

เสียบอุปกรณ์ USB เป้าหมาย

Android หรือ iOS เสียบผ่าน USB เท่านั้น

3

Bridge ตรวจจับอุปกรณ์

Android: android_adb.rs | iOS: ios_usbmux.rs

4

สร้าง Session

session_manager.rs — UUID + timestamp, 1 device = 1 session

5

ตรวจสอบสิทธิ์ (Authorized?)

ถ้าไม่ผ่าน → แจ้ง Slack UNAUTHORIZED ทันที หยุดขั้นตอน

6

เปิดหน้าจออุปกรณ์

scrcpy_manager.rs + h264_router.rs — ดูหน้าจอสด (Observe Only)

7

เริ่ม Acquisition [7147]

ACESO เริ่มสกัดข้อมูล — Post Slack: SESSION-START

8

อ่านข้อมูล [6027] Reading data

log_adapter.rs อ่าน ACESO log แบบ read-only

9

ตรวจสอบผล Acquisition

สำเร็จ [7042] → ต่อขั้นตอน | ล้มเหลว [7149] → แจ้ง Slack ERROR

10

ตรวจสอบ Hash (SHA-256 + MD5)

export_observer.rs — ยืนยัน integrity ของ evidence

11

Post Slack: HASH-MANIFEST

บันทึก Chain of Custody ใน Slack channel

12

Acquisition Complete [7042] — ปิด Session

ถอดอุปกรณ์ เก็บหลักฐานตามระเบียบหน่วยงาน

รหัสสำคัญที่ต้องจำ

7087 — เริ่มเชื่อมต่อ

9001 — ยืนยันรุ่นโทรศัพท์

7147 — เริ่ม Acquisition

6027 — กำลังอ่านข้อมูล

7042 — Acquisition สำเร็จ

7149 — Acquisition ล้มเหลว

8017 — Hash validation failed

6008 — Manifest hash failed