CHFI v11 Hướng Dẫn Thực Hành Mô-đun 02: Quy trình Điều tra Pháp y Máy tính

Sự gia tăng nhanh chóng về tội phạm mạng, từ việc đánh cắp tài sản trí tuệ đến khủng bố mạng, cùng với sự gia tăng các vụ kiện tụng liên quan đến các tổ chức lớn, đã dẫn đến sự cần thiết phải có các luật và tiêu chuẩn pháp y máy tính để xác định tội phạm mạng, chứng cứ số, thu thập và phục hồi chứng cứ. Quy trình điều tra pháp y máy tính tiêu chuẩn phải tuân theo các quy trình thu thập chứng cứ, tiêu chuẩn an toàn và phương pháp điều tra xâm nhập/vi phạm. Bất kỳ sai lệch nào so với quy trình điều tra pháp y có thể ảnh hưởng đến toàn bộ quá trình. Do đó, các chuyên gia pháp y máy tính phải tuân thủ các nguyên tắc được thiết lập và được ghi nhận rõ ràng trong quá trình điều tra để đảm bảo tính toàn vẹn của bằng chứng và duy trì tính hợp lệ trước tòa.

Các nhà điều tra phải tuân theo một tập hợp các bước được ghi lại rõ ràng và được chứng minh trong quá trình phân tích. Việc phát hiện của một nhà điều tra phải được các nhà điều tra khác xác nhận bằng cách sử dụng cùng một phương pháp để đảm bảo tính xác thực của phát hiện.

Do đó, với tư cách là một chuyên gia pháp y máy tính, việc thu thập bằng chứng số, chẳng hạn như thu thập dữ liệu từ bằng chứng, xây dựng một quy trình liên quan đến việc thu thập dữ liệu đó, là rất quan trọng.

Mục tiêu Thực hành:

Mục tiêu của thực hành này là cung cấp cho các chuyên gia kiến ​​thức về các công cụ được sử dụng trong điều tra pháp y. Thực hành bao gồm các nhiệm vụ sau:

• Phục hồi dữ liệu đã xóa từ một ổ cứng
• Tính toán hàm băm MD5 và kiểm tra giá trị của tệp được chọn
• Tính toán hàm băm của các tệp khác nhau
• Xem các tệp ở các định dạng khác nhau
• Phân tích tệp hình ảnh ổ cứng và tạo báo cáo điều tra

Tổng quan về Quy trình Điều tra Pháp y Máy tính:

Quy trình điều tra pháp y máy tính bao gồm một phương pháp tiếp cận bài bản để điều tra, phân tích và báo cáo các vụ việc liên quan đến tội phạm mạng. Các bước liên quan trải dài từ thu thập bằng chứng, thu giữ bằng chứng, báo cáo bằng chứng.

Phòng thí nghiệm pháp y máy tính (CFlab) là một địa điểm được chỉ định để tiến hành các cuộc điều tra dựa trên máy tính. Phòng thí nghiệm này lưu trữ các bằng chứng đã thu thập để giải quyết vụ án và xác định thủ phạm. Nó chứa các thiết bị, phần mềm và công cụ phần cứng pháp y để ngăn chặn truy cập trái phép đối với tất cả các loại điều tra.

Nhiều tổ chức xây dựng các phòng thí nghiệm pháp y máy tính để bảo vệ thông tin nhạy cảm của công ty hoặc tổ chức khỏi sự truy cập trái phép của tội phạm. Thông tin được thu thập từ bằng chứng của phòng thí nghiệm này có thể giúp xác định sự vô tội hoặc tội lỗi của một người.

Máy tính pháp y phải sử dụng một số công cụ phần mềm, chẳng hạn như EaseUS Data Recovery Wizard, MD5 Calculator và HashCalc, v.v. để phục hồi dữ liệu. Bằng cách sử dụng các công cụ này, có thể phục hồi dữ liệu từ ổ cứng của thiết bị, ngay cả dữ liệu đã bị xóa khỏi thùng rác của thiết bị, và so sánh các giá trị tổng kiểm tra với dữ liệu gốc.

Nhiệm vụ Thực hành:

Các thực hành được đề xuất như một phần của quy trình điều tra pháp y máy tính:

• Phục hồi dữ liệu từ ổ cứng Windows
• Thực hiện tính toán HMAC hoặc Hash
• So sánh giá trị Hash của các tệp để kiểm tra tính toàn vẹn của chúng
• Xem các tệp ở các định dạng khác nhau
• Tạo tệp hình ảnh ổ cứng

Thực hành 1: Phục hồi Dữ liệu từ Ổ cứng Windows

Kịch bản Thực hành:

Một quản lý tài chính chịu trách nhiệm sửa đổi thông tin tài chính của công ty và chuyển vào tài khoản cá nhân của mình. Để che giấu hành vi sai trái của mình, người đó đã xóa vĩnh viễn các bằng chứng gốc khỏi máy tính bằng cách sử dụng Shift + Del. Công ty sau đó thuê một điều tra viên pháp y máy tính để phục hồi dữ liệu đã xóa. Điều tra viên nên sử dụng công cụ nào?

Để trở thành một chuyên gia pháp y máy tính, người ta phải có kiến ​​thức chuyên sâu về các công cụ để phục hồi dữ liệu đã xóa.

Mục tiêu Thực hành:

Ổ cứng là một thiết bị lưu trữ dữ liệu không dễ bay hơi được sử dụng để lưu trữ dữ liệu hoặc cài đặt chương trình trên máy tính của bạn.

Mục tiêu của thực hành này là giúp sinh viên hiểu và thực hiện khôi phục tệp dữ liệu bằng công cụ EaseUS Data Recovery Wizard.

Tổng quan về Thực hành:

Thực hành này giới thiệu bạn với công cụ EaseUS Data Recovery Wizard và giúp bạn hiểu cách phục hồi các tệp đã bị xóa khỏi hệ thống Windows.

Trong thực hành này, chúng tôi coi dấu vết của cuộc điều tra không phải là vấn đề quan trọng.

Các bước Thực hành:

1. Theo mặc định, máy ảo Windows Server 2022 được chọn. Nhấp vào Windows 11 để chọn máy ảo Windows 11.
2. Theo mặc định, hồ sơ người dùng Admin được chọn. Nhấp vào Password để dán mật khẩu vào trường Mật khẩu và nhấn Enter để đăng nhập.Nếu bảng Networks xuất hiện, nhấp vào Yes để cho phép PC của bạn được các PC và Thiết bị khác trên mạng này phát hiện.
3. Trước khi bắt đầu thực hành này, sao chép các tệp Financial Statement Sample.pdf và Profit and Loss Statement Sample.xlsx từ Z:\Evidence Files và dán chúng vào Forensic Disk (F:) và sau đó xóa chúng vĩnh viễn bằng cách nhấn Shift + Del. Trong hộp thoại Delete Multiple Items, nhấp vào Yes.
4. Điều hướng đến thư mục Documents và tạo một thư mục có tên Recovered Files.
5. Điều hướng đến Z:\CHFIv11 Module 02 Computer Forensics Investigation Process\Data Recovery Tools\EaseUS Data Recovery Wizard và nhấp đúp vào drw_free_installer_16909185328001b16328.exe.Tên của tệp .exe có thể khác nhau khi bạn thực hiện thực hành này.
   Nếu hộp thoại Open File – Security Warning xuất hiện, nhấp vào Run.
   Nếu hộp thoại User Account Control xuất hiện, nhấp vào Yes.
6. Trình cài đặt EaseUS Data Recovery Wizard sẽ xuất hiện, nhấp vào Install Now.Nếu trang web EaseUS Installation Successful xuất hiện trong trình duyệt, Đóng trình duyệt.
7. EaseUS Data Recovery Wizard sẽ mở ra.Nếu hộp thoại Check Update xuất hiện và ứng dụng bắt đầu tìm kiếm bản cập nhật, nhấp vào Cancel để hủy cập nhật.
   Nếu hộp thoại EaseUS Data Recovery Wizard xuất hiện ở góc dưới bên phải màn hình, hãy Đóng hộp thoại.
8. EaseUS Data Recovery Wizard hiển thị các ổ đĩa bên trong trên PC. Chọn nút radio của ổ đĩa mà bạn muốn quét. Trong thực hành này, chúng tôi sẽ quét Forensic Disk (F:) vì vậy hãy chọn nút radio của Forensic Disk (F:) và sau đó nhấp vào Search for Lost Data.
9. Ứng dụng chạy hai loại quét: Quick Scan và Advanced Scan. Sau khi hoàn thành quét, nó hiển thị kết quả quét trong hai thư mục: Lost Files và Existing Files.
10. Các tệp đã xóa được chứa trong thư mục Deleted bên dưới Lost Files. Bạn có thể chọn xem trước các tệp này hoặc khôi phục chúng tùy thuộc vào yêu cầu của bạn.
11. Trong thực hành này, chúng tôi sẽ xem trước tệp .pdf có tên Financial Statement Sample.pdf. Để làm điều đó, nhấp vào thư mục Deleted. Danh sách các tệp được liên kết với thư mục này sẽ xuất hiện ở khung bên phải, nhấp chuột phải vào Financial Statement Sample.pdf và chọn Preview.Số lượng tệp Deleted có thể khác nhau khi bạn thực hiện thực hành này.
12. Bản xem trước của tệp đã chọn sẽ xuất hiện như trong ảnh chụp màn hình bên dưới.Bản xem trước đầy đủ sẽ có sẵn trong phiên bản trả phí.
13. Để khôi phục tệp này, nhấp vào Recover.
14. Cửa sổ Save to sẽ xuất hiện, nơi bạn cần chọn vị trí để lưu tệp. Chúng tôi sẽ lưu tệp vào thư mục Recovered Files mà chúng tôi đã tạo lúc đầu thực hành.
15. Do đó, trong phần This PC, mở rộng Documents, chọn thư mục Recovered Files và nhấp vào Select Folder. Tệp đang được khôi phục sau đó sẽ được lưu vào thư mục Recovered Files.
16. Sau khi hoàn tất việc khôi phục, cửa sổ Recover Complete sẽ xuất hiện và ứng dụng sẽ tự động chuyển hướng bạn đến vị trí nơi các tệp được khôi phục.
17. Đóng cửa sổ Recover Complete và Preview.Nếu cửa sổ Unlock Pro xuất hiện, hãy Đóng cửa sổ.
18. EaseUS sẽ tự động tạo một thư mục con có tên Preview trong Recovered Files -> Recovered -> Preview.
19. Bạn cũng có thể xem thủ công tệp đã khôi phục này bằng cách điều hướng đến Documents\Recovered Files\Recovered\Preview hoặc C:\Users\Admin\Documents\Recovered Files\Recovered\Preview.
20. Để khôi phục nhiều tệp, hãy chuyển sang công cụ EaseUS, chọn các tệp bạn muốn khôi phục và sau đó nhấp vào Recover. Trong thực hành này, chúng tôi sẽ khôi phục Financial Statement Sample.pdf và Profit and Loss Statement Sample.xlsx. Do đó, hãy chọn các hộp kiểm bên cạnh tên tệp và nhấp vào Recover.
21. Làm theo cùng một phương pháp như trong trường hợp trước đó, trong cửa sổ Save to…, điều hướng đến Documents, chọn thư mục Recovered Files và nhấp vào Select Folder. Tệp đang được khôi phục sẽ được lưu vào thư mục Recovered Files này.
22. Sau khi hoàn tất việc khôi phục, cửa sổ Recover Complete sẽ xuất hiện như đã thấy trước đó và ứng dụng sẽ tự động chuyển hướng bạn đến vị trí nơi các tệp được khôi phục.
23. Đóng cửa sổ Recover Complete.
24. EaseUS tự động tạo một loạt thư mục con trong thư mục Recovered Files theo thứ tự: Recovered -> Forensic Disk(F:) -> Lost Files -> Deleted.
25. Để xem các tệp đã khôi phục, hãy mở thư mục Deleted. Các tệp đã khôi phục sẽ xuất hiện ở vị trí này, như trong ảnh chụp màn hình sau.
26. Theo cách tương tự, bạn có thể khôi phục một hoặc nhiều tệp, thư mục con, thư mục con con hoặc thậm chí toàn bộ thư mục Deleted.Nếu dung lượng cần thiết để lưu các tệp/thư mục không đủ, hãy cân nhắc lưu dữ liệu vào một vị trí khác như ổ cứng ngoài có đủ dung lượng và tạo bản sao lưu. Dữ liệu đã khôi phục cũng có thể được lưu vào đám mây.
    Vì chúng tôi đang sử dụng phiên bản miễn phí của EaseUS Data Recovery Wizard, công cụ này có thể có giới hạn về việc khôi phục các phiên bản trước đó của một số tệp nhất định.
27. Đóng tất cả các cửa sổ đang mở.

Thực hành 2: Thực hiện tính toán HMAC hoặc Hash

Kịch bản Thực hành:

Một công ty đa quốc gia đã trải qua một cuộc tấn công mạng và đã gọi một nhà điều tra pháp y để điều tra vấn đề này. Nhà điều tra cần quen thuộc với các cuộc tấn công mạng và cần kiểm tra các vấn đề. Do đó, người đó cần tính toán giá trị băm của các tập tin và chuỗi văn bản nhằm mục đích đánh giá xem chúng có độc hại hay không. Người đó cũng cần đối chiếu giá trị hàm băm đó với cơ sở dữ liệu phần mềm diệt virus. Có một lượng lớn không gian lưu trữ được yêu cầu cho việc này và việc tìm kiếm chúng khá khó khăn. Các công cụ nào có thể được sử dụng để thực hiện mục đích này?

Để trở thành một chuyên gia pháp y máy tính, người ta phải có kiến ​​thức chuyên sâu về hashing và các công cụ được sử dụng trong máy tính.

Mục tiêu Thực hành:

Hashing được thực hiện trên dữ liệu như tệp hoặc văn bản để tạo ra một chuỗi có độ dài cố định duy nhất được gọi là giá trị hash hoặc tổng kiểm tra. Giá trị hash được tạo ra rất hữu ích trong việc xác định xem dữ liệu đã cho có giữ nguyên tính toàn vẹn hay không. Các mục tiêu của thực hành này là:

• Tính toán giá trị băm của các tập tin và chuỗi văn bản.
• Kiểm tra các giá trị băm này trên VirusTotal để xem các tập tin/chuỗi văn bản có độc hại hay không.

Giá trị hash hoặc giá trị băm cũng có thể được gọi là tổng kiểm tra.

Tổng quan về Thực hành:

Thực hành này giới thiệu bạn với công cụ HashCalc, một công cụ giúp bạn xác định giá trị băm của các tập tin khác nhau. Việc xác định giá trị băm cho phép một nhà điều tra xác định tính toàn vẹn của chúng.

Trong thực hành này, chúng tôi coi dấu vết của cuộc điều tra không phải là vấn đề quan trọng.

Nhiệm vụ Thực hành:

1. Chuyển sang máy ảo Windows Server 2022 bằng cách nhấp vào Windows Server 2022 và sau đó nhấp vào Ctrl+Alt+Delete.
2. Theo mặc định, hồ sơ người dùng Administrator được chọn. Nhấp vào Password để dán mật khẩu vào trường Mật khẩu và nhấn Enter để đăng nhập.Nếu bảng Networks xuất hiện, nhấp vào Yes để cho phép PC của bạn được các PC và Thiết bị khác trên mạng này phát hiện.
3. Điều hướng đến E:\CHFI-Tools\Evidence Files\Image Files để tìm các tập tin bằng chứng cho thực hành này.
4. Điều hướng đến E:\CHFI-Tools\CHFIv11 Module 02 Computer Forensics Investigation Process\Hash Value Calculator Tools\HashCalc, sau đó nhấp đúp vào setup.exe và làm theo hướng dẫn của trình hướng dẫn để cài đặt ứng dụng.Nếu hộp thoại Open File – Security Warning xuất hiện, nhấp vào Run.
5. Trong bước cuối cùng của quá trình cài đặt, bỏ chọn View the README file, chọn Launch HashCalc và nhấp vào Finish.
6. Cửa sổ chính của ứng dụng HashCalc sẽ xuất hiện như trong ảnh chụp màn hình sau.
7. Trong danh sách thả xuống Data Format, chọn File làm định dạng dữ liệu và nhấp vào nút dấu ba chấm được liên kết với trường Data để chọn tập tin.
8. Cửa sổ Find sẽ xuất hiện. Điều hướng đến E:\CHFI-Tools\Evidence Files\Image Files. Tại vị trí này, chọn một tập tin bằng chứng mà bạn cần tính toán giá trị băm. Trong thực hành này, chúng tôi đã chọn một tập tin có tên Kitty.jpg. Sau khi bạn chọn tập tin, nhấp vào Open.
9. Tập tin đã chọn sẽ được hiển thị trong trường Data.
10. Chọn các thuật toán bạn muốn sử dụng để tính toán bằng cách chọn các hộp có tên thích hợp và sau đó nhấp vào nút Calculate.
11. Giá trị băm sẽ được hiển thị cho tập tin đã chọn như trong ảnh chụp màn hình sau.
12. Để tính toán Mã xác thực thông báo băm khóa (HMAC) cho dữ liệu:
    • Chọn hộp HMAC.
    • Trong hộp kết hợp Key Format, chọn loại khóa bạn muốn sử dụng để tính toán. HashCalc cho phép bạn thực hiện tính toán bằng cách sử dụng khóa văn bản hoặc khóa hex. (Ở đây, chúng tôi đã chọn Text String trong hộp kết hợp Key Format).
    • Nhập khóa vào hộp Key. (Ở đây, chúng tôi đã nhập test string làm khóa.)
    • Chọn các thuật toán bạn muốn sử dụng để tính toán HMAC bằng cách chọn các hộp cần thiết. (Ở đây, MD5, MD4, SHA1, SHA512, PANAMA được chọn), sau đó nhấp vào Calculate.
13. HashCalc tính toán giá trị băm của tập tin được chỉ định và hiển thị chúng như trong ảnh chụp màn hình sau.
14. Nếu bạn muốn thực hiện tính toán HMAC cho một chuỗi văn bản, hãy chọn Text string từ danh sách thả xuống Data Format và nhập văn bản vào trường Data. (Chúng tôi đã nhập “Hello David, how have you been?” vào trường Data).
15. Chọn các thuật toán bạn muốn sử dụng để tính toán bằng cách chọn các thuật toán cần thiết và sau đó nhấp vào nút Calculate.
16. Giá trị băm sẽ được hiển thị cho các thuật toán đã chọn như trong ảnh chụp màn hình sau.
17. Tiếp theo, chúng ta sẽ tính toán giá trị băm MD5 của một tệp độc hại/nhiễm virus infected.pdf và tìm kiếm giá trị băm này trong cơ sở dữ liệu VirusTotal để xem liệu tệp có an toàn để truy cập hay độc hại.
18. Trong thực hành này, chúng ta sẽ kiểm tra tệp có tên Infected.pdf nằm trong thư mục Evidence Files.
19. Trong danh sách thả xuống Data Format, chọn định dạng tệp là File.
20. Nhấp vào nút dấu ba chấm được liên kết với trường Data để chọn tệp.
21. Cửa sổ Find sẽ xuất hiện, điều hướng đến E:\CHFI-Tools\Evidence Files, chọn Infected.pdf và nhấp vào Open.
22. Tệp đã chọn sẽ được hiển thị trong trường Data.
23. Nhấp vào Calculate để tính toán giá trị băm của tệp.
24. Vì thuật toán MD5 được chọn, HashCalc sẽ tính toán giá trị băm MD5 như trong ảnh chụp màn hình sau. Sao chép giá trị băm MD5.
25. Mở trình duyệt web Firefox và duyệt đến URL https://www.virustotal.com/gui/home/search. Trang tìm kiếm VirusTotal sẽ xuất hiện như trong ảnh chụp màn hình bên dưới.
26. Dán giá trị băm MD5 vào trường Search và nhấp vào Enter.
27. VirusTotal tìm kiếm giá trị này trong cơ sở dữ liệu của nó và trả về kết quả như trong ảnh chụp màn hình sau.

Kết quả cho thấy nhiều công cụ chống vi-rút đã phát hiện tệp là độc hại trong thời gian thực. Bạn có thể tham khảo bài thực hành CHFIv11 Module 09 Malware Forensics để biết thêm chi tiết về cách phân tích sâu các tệp độc hại.

1. Trong thực hành này, bạn đã tìm hiểu chi tiết cách có thể tính toán giá trị băm MD5 của các tệp độc hại và chuỗi văn bản. Bạn có thể tìm kiếm giá trị này trong các chương trình quét phần mềm độc hại trực tuyến.
2. Đóng tất cả các cửa sổ đang mở.

Thực hành 3: So sánh các Giá trị Hash của các Tệp để Kiểm tra tính Toàn vẹn của chúng

Kịch bản Thực hành:

Trong một quy trình điều tra, một nhà kiểm tra pháp y cần kiểm tra tính toàn vẹn của các bản sao của một số tệp có chứa dữ liệu nhạy cảm của một tổ chức. Đối với điều này, người đó/cô ấy phải tính toán giá trị băm của các tệp bị nghi ngờ đã bị sửa đổi và so sánh chúng với giá trị băm của các tệp sao lưu để xác minh xem tệp sao lưu có khớp với tệp gốc hay không. Nếu không khớp, điều đó cho thấy tệp gốc có thể đã bị sửa đổi. Người ta phải sử dụng công cụ nào để so sánh các giá trị băm?

Để trở thành một chuyên gia pháp y máy tính, người ta phải có kiến ​​thức chuyên sâu về hashing và các công cụ được sử dụng để tính toán giá trị băm.

Mục tiêu Thực hành:

Hashing được thực hiện trên dữ liệu như tệp hoặc văn bản để tạo ra một chuỗi có độ dài cố định duy nhất được gọi là giá trị băm hoặc tổng kiểm tra. Mục tiêu của thực hành này là tìm hiểu cách sử dụng giá trị băm để xác định tính toàn vẹn của dữ liệu đã cho.

• Tính toán giá trị băm MD5 của các tệp đã chọn bằng công cụ MD5 Calculator.
• So sánh giá trị băm MD5 được tạo với giá trị băm MD5 đã có từ trước để xác định tính toàn vẹn của tệp.

Tổng quan về Thực hành:

Trong thực hành này, bạn sẽ tính toán giá trị băm của các tập tin và so sánh chúng với các giá trị băm được lưu trữ trong kho, tức là E:\Evidence Files\Image Files\Hashes.txt.

Trong thực hành này, chúng tôi coi dấu vết của cuộc điều tra không phải là vấn đề quan trọng.

Nhiệm vụ Thực hành:

1. Trong máy ảo Windows Server 2022, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 02 Computer Forensics Investigation Process\Hash Value Calculator Tools\MD5 Calculator.
2. Nhấp đúp vào md5Calculator_setup.exe để khởi chạy chương trình cài đặt và làm theo hướng dẫn của trình hướng dẫn để cài đặt ứng dụng.Nếu hộp thoại Open File – Security Warning xuất hiện, nhấp vào Run.
3. Sau khi hoàn tất quá trình cài đặt, nhấp vào Finish để thoát khỏi trình hướng dẫn cài đặt. Đảm bảo rằng Launch MD5 Calculator được chọn.
4. Trong cửa sổ MD5 Calculator, nhấp vào tùy chọn Add Files từ thanh menu.
5. Trong cửa sổ Open, điều hướng đến E:\CHFI-Tools\Evidence Files\Image Files, chọn tệp peacesign.jpg và nhấp vào Open.
6. Đường dẫn của tệp hình ảnh đã chọn sẽ được hiển thị trong phần File. Nhấp vào Calculate để tính toán giá trị băm của tệp .jpg.
7. Giá trị băm được tính toán sẽ được hiển thị trong phần MD5 Value.
8. Sau khi kiểm tra giá trị digest của MD5, hãy thu nhỏ công cụ.
9. Nếu bạn muốn so sánh giá trị băm của một tệp, hãy nhập giá trị băm đã có từ trước của tệp đó vào phần Compare To và tính toán giá trị băm của tệp. Trong thực hành này, chúng ta sẽ so sánh các giá trị băm của nhiều tệp để xem các giá trị băm được tạo có khớp với các giá trị băm đã có từ trước hay không.
10. Điều hướng đến E:\CHFI-Tools\Evidence Files\Image Files và mở tệp Hashes.txt. Tệp này chứa các giá trị băm của một số tệp hình ảnh nằm trong E:\CHFI-Tools\Evidence Files\Image Files.
11. Trong thực hành này, chúng ta sẽ so sánh giá trị băm của hai tệp Friends2.jpg và Model.png.
12. Để so sánh các giá trị băm của Friends2.jpg, hãy sao chép giá trị băm tương ứng với tệp.
13. Chuyển sang cửa sổ MD5 Calculator, nhấp vào Add Files và chọn tệp Friends2.jpg từ E:\CHFI-Tools\Evidence Files\Image Files trong cửa sổ Open và nhấp vào Open.
14. Sau khi tệp hình ảnh được chọn, nhấp vào Calculate để tính toán giá trị băm MD5 của tệp.
15. Giá trị băm MD5 sẽ được tính toán và hiển thị trong phần Current MD5 Value.
16. Bây giờ, hãy dán giá trị băm mà bạn đã sao chép ở Bước 12 vào trường Verify MD5 Value và nhấp vào Compare để so sánh cả hai giá trị băm.
17. MD5 Calculator ngay lập tức so sánh cả hai giá trị băm. Nếu các giá trị băm bằng nhau, như trong ảnh chụp màn hình sau, thì tính toàn vẹn của tệp vẫn nguyên vẹn.
18. Nhấp vào OK để đóng cửa sổ Information.
19. Nhiệm vụ tiếp theo của chúng ta sẽ là so sánh giá trị băm của tệp Model.png.
20. Để so sánh giá trị băm của Model.png, hãy sao chép giá trị băm tương ứng với tệp từ tệp Hashes.txt.
21. Chuyển sang cửa sổ MD5 Calculator, nhấp vào Add Files, chọn tệp Model.png từ E:\CHFI-Tools\Evidence Files\Image Files trong cửa sổ Open và nhấp vào Open.
22. Sau khi tệp hình ảnh được chọn, nhấp vào Calculate để tính toán giá trị băm MD5 của tệp.
23. Giá trị băm MD5 sẽ được tính toán và hiển thị trong phần Current MD5 Value.
24. Bây giờ, hãy dán giá trị băm mà bạn đã sao chép ở Bước 20 vào trường Verify MD5 Value và nhấp vào Compare để so sánh cả hai giá trị băm.
25. MD5 Calculator ngay lập tức so sánh cả hai giá trị băm và cho thấy các giá trị băm không khớp, như trong ảnh chụp màn hình sau.
26. Nếu các giá trị băm không khớp, tính toàn vẹn của tệp đang bị nghi ngờ và nó cần được điều tra thêm. Tệp có thể đã bị sửa đổi để hoạt động như một phương tiện tấn công hoặc để che giấu dữ liệu bên trong, v.v.
27. Việc điều tra tệp Model.png này được đề cập trong CHFIv11 Module 05 Defeating Anti-Forensics Techniques thực hành.
28. Bằng cách này, bạn có thể kiểm tra giá trị băm của tệp bằng MD5 Calculator và so sánh các giá trị băm để xác minh tính toàn vẹn của tệp.
29. Đóng tất cả các cửa sổ đang mở.

Thực hành 4: Xem các Tệp ở nhiều Định dạng khác nhau

Kịch bản Thực hành:

Một quản trị viên mạng đã báo cáo việc truyền một số tệp không xác định trên mạng của công ty sau khi có sự cố bảo mật. Các nhà điều tra đã tìm thấy các tệp được sử dụng bởi kẻ tấn công bị ẩn dưới các định dạng khác nhau. Do đó, quản trị viên mạng cần xác định định dạng của các tệp không xác định trước khi tiến hành điều tra thêm. Các nhà điều tra cần sử dụng công cụ nào để xác định các tệp ở các định dạng khác nhau?

Để trở thành một chuyên gia pháp y máy tính, người ta phải có kiến ​​thức chuyên sâu về các công cụ xem tệp khác nhau và các định dạng tệp khác nhau, v.v.

Mục tiêu Thực hành:

Một định dạng tệp là cách trình bày nội dung của nó. Một số định dạng tệp phổ biến là .txt, .gif, .jpg, .png, .pdf, .txt, v.v.

Mục tiêu của thực hành này là giúp sinh viên tìm hiểu và thực hiện xem tệp bằng sự trợ giúp của File Viewer.

Tổng quan về Thực hành:

Trong thực hành này, bạn sẽ tìm hiểu cách kiểm tra các tệp ở nhiều định dạng bằng File Viewer và xác định xem có cần điều tra thêm hay không.

Trong thực hành này, chúng tôi coi dấu vết của cuộc điều tra không phải là vấn đề quan trọng.

Nhiệm vụ Thực hành:

1. Trong máy ảo Windows Server 2022, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 02 Computer Forensics Investigation Process\Computer Forensics Software\File Viewer, nhấp đúp vào Fileview.exe để khởi chạy chương trình cài đặt và làm theo hướng dẫn của trình hướng dẫn để cài đặt phần mềm.Nếu hộp thoại Open File – Security Warning xuất hiện, nhấp vào Run.
2. Sau khi hoàn tất quá trình cài đặt, nhấp vào Finish.Nếu phần User Information xuất hiện, hãy cung cấp chi tiết trong trường Name và Company và nhấp vào Next để tiếp tục.
3. Nhấp đúp vào biểu tượng File Viewer 9.5 trên Màn hình để khởi chạy ứng dụng.
4. Hộp thoại File Viewer Registration sẽ xuất hiện. Nhấp vào nút Close để mở cửa sổ File Viewer.
5. Cửa sổ chính File Viewer sẽ xuất hiện, cùng với tùy chọn Getting Started with File Viewer. Chọn hộp kiểm Do Not Show on Start Up và nhấp vào Cancel.
6. Nếu hộp thoại không xuất hiện, hãy bỏ qua bước tiếp theo.
7. Chuyển đến menu File và nhấp vào Open.
8. Trong hộp thoại Open:
   • Điều hướng đến đường dẫn của tệp bằng chứng (E:\CHFI-Tools\Evidence Files\Image Files).
   • Chọn All files (*) trong danh sách thả xuống File type.
   • Chọn tệp cartoon-article.jpg và sau đó nhấp vào Open.
9. Nếu hộp thoại Getting Started with File Viewer xuất hiện, nhấp vào Cancel.
10. Hình ảnh cartoon-article.jpg sẽ mở ra trong màn hình File Viewer, như trong ảnh chụp màn hình sau.
11. Điều hướng đến File -> File Properties để xem các thuộc tính khác nhau của hình ảnh đã chọn.
12. Cửa sổ File Properties sẽ xuất hiện hiển thị các thuộc tính khác nhau của tệp đã chọn. Nhấp vào OK để đóng cửa sổ.
13. Bây giờ, chúng ta sẽ mở tệp .mp4 520px-Biohazard_symbol_(blue).mp4 trong ứng dụng.
14. Chuyển đến menu File và nhấp vào Open.
15. Trong hộp thoại Open:
    • Điều hướng đến đường dẫn của tệp bằng chứng (E:\CHFI-Tools\Evidence Files\Image Files)
    • Chọn All files (*) trong danh sách thả xuống File type
    • Chọn tệp 520px-Biohazard_symbol_(blue).mp4 và sau đó nhấp vào Open
16. Nếu hộp thoại Getting Started with File Viewer xuất hiện, nhấp vào Cancel.
17. Nếu một cửa sổ File Viewer bật lên hiển thị IFMM Error, nhấp vào OK để đóng cửa sổ bật lên.
18. File Viewer sẽ cố gắng chạy tệp .mp4, nhưng sẽ không thành công, như trong ảnh chụp màn hình sau.
19. Điều này xảy ra khi tệp bị hỏng hoặc phần mở rộng tệp bị thay đổi cưỡng bức, dẫn đến màn hình đen. Những tệp như vậy cần được điều tra thêm.
20. Trước khi điều tra, bạn cần xác định các tệp đáng ngờ như vậy. Việc xác định các tệp như vậy và các định dạng tệp khác được đề cập trong CHFIv11 Module 06 Windows Forensics.
21. Đóng tất cả các cửa sổ đang mở.

Thực hành 5: Xử lý dữ liệu bằng chứng

Kịch bản Thực hành:

Sau khi kết thúc phiên tòa, Thẩm phán đã bác bỏ vụ án, trích dẫn việc đệ trình bằng chứng kém và xử lý bằng chứng không đúng cách. Bị cáo đã được tuyên vô tội do không trình bày được dữ liệu đã được xử lý đúng cách trước tòa. Điều này cho thấy tầm quan trọng của việc xử lý bằng chứng và trình bày đúng dữ liệu before tòa án như một bằng chứng quan trọng.

Để trở thành một chuyên gia pháp y máy tính, bạn phải có kiến ​​thức chuyên sâu về việc xử lý bằng chứng pháp y và các công cụ được sử dụng, chẳng hạn như FTK Imager.

Mục tiêu Thực hành:

Bằng chứng pháp y được bảo quản bằng cách sao chép từng bit dữ liệu gốc từ nhiều nguồn, chẳng hạn như ổ cứng, ổ USB, thẻ nhớ, v.v. Điều này có thể đóng vai trò là bằng chứng có giá trị trước tòa.

Mục tiêu của thực hành này là giúp sinh viên tìm hiểu và sử dụng nền tảng FTK Imager để xử lý dữ liệu pháp y.

Tổng quan về Thực hành:

Trong thực hành này, bạn sẽ tìm hiểu cách tiến hành kiểm tra pháp y trên một tập tin bằng chứng bằng cách sử dụng nền tảng FTK Imager.

Đảm bảo rằng Real-Time Protection bị vô hiệu hóa trong máy ảo Windows 11 nếu nó đang chạy trước khi bắt đầu thực hành này.

Nhiệm vụ Thực hành:

1. Trong máy ảo Windows Server 2022, điều hướng đến thư mục E:\CHFI-Tools\CHFIv11 Module 02 Computer Forensics Investigation Process\Evidence Handling Tools\FTK Imager và nhấp đúp vào AccessData_FTK_Imager-4.7.1.exe.Nếu hộp thoại Open File – Security Warning xuất hiện, nhấp vào Run.
2. Trong Trình hướng dẫn cài đặt AccessData FTK Imager, nhấp vào Next và làm theo các bước hướng dẫn của trình hướng dẫn để cài đặt ứng dụng.
3. Cuối cùng của quá trình cài đặt, hãy đảm bảo rằng hộp kiểm Launch AccessData FTK Imager được chọn. Nhấp vào Finish để thoát khỏi trình hướng dẫn cài đặt.
4. Ở đây, chúng ta sẽ phân tích tệp hình ảnh Windows_Evidence_001.dd.
5. Trong cửa sổ AccessData FTK Imager, nhấp vào File và chọn Add Evidence Item… từ menu ngữ cảnh.
6. Trong cửa sổ Select Source, chọn nút radio Image File và nhấp vào Next.
7. Trong Select File, nhấp vào nút Browse.
8. Trong cửa sổ Open, điều hướng đến thư mục E:\CHFI-Tools\Evidence Files\Forensic Images và chọn Windows_Evidence_001.dd. Nhấp vào Open.
9. Đường dẫn đến tệp .dd đã chọn sẽ hiển thị trong trường Please enter the source path. Nhấp vào Finish.
10. Nội dung của hình ảnh đã chọn sẽ hiển thị ở khung bên trái, trong phần Evidence Tree, bên dưới Windows_Evidence_001.dd.
11. Mở rộng nút gốc [NTFS] – (root).
12. Trong nút (root), nhấp vào bất kỳ thư mục nào để xem các tệp thuộc thư mục đó. Ở đây, chúng ta đang chọn thư mục Images.
13. Nhấp vào bất kỳ tệp hình ảnh nào để xem hình ảnh.
14. Trong quá trình điều tra pháp y, việc khôi phục dữ liệu đã xóa khỏi tệp hình ảnh bằng chứng rất quan trọng. Cuộn xuống trong danh sách hình ảnh và bạn có thể thấy các tệp được đánh dấu bằng biểu tượng X là các tệp đã bị xóa, như trong ảnh chụp màn hình bên dưới.

1. Để xem các thuộc tính của tệp đã xóa, hãy chọn tệp đó. Nhấp vào tab Properties ở dưới cùng bên trái của công cụ FTK Imager để xem các thuộc tính của tệp đã chọn.
2. Để xem các giá trị hex của tệp đã chọn, hãy nhấp vào tùy chọn HEX ở đầu menu chính của công cụ FTK Imager. Các giá trị hex sẽ được hiển thị ở khung dưới cùng bên phải của cửa sổ.
3. Để xem các giá trị văn bản của tệp đã chọn, hãy nhấp vào tùy chọn TEXT ở đầu menu chính của công cụ FTK Imager. Các giá trị văn bản sẽ được hiển thị ở khung dưới cùng bên phải của cửa sổ.
4. Để xuất các tệp đã xóa từ tệp hình ảnh để phân tích thêm, hãy nhấp chuột phải vào tên tệp và nhấp vào tùy chọn Export Files….
5. Trong cửa sổ Browse For Folder, hãy chọn bất kỳ vị trí nào. Ở đây, chúng tôi sẽ chọn Desktop. Tiếp theo, nhấp vào OK.
6. Cửa sổ bật lên Export Results sẽ xuất hiện; nhấp vào OK.
7. Bây giờ, hãy điều hướng đến Desktop để xem tệp đã xuất.
8. Theo cách này, bạn có thể sử dụng công cụ FTK Imager để xử lý dữ liệu bằng chứng.
9. Đóng tất cả các cửa sổ đang mở.

Thực hành 6: Tạo Tệp Hình ảnh Đĩa của Phân vùng Ổ cứng

Kịch bản Thực hành:

Một điều tra viên đang thực hiện pháp y trên một bản sao ổ cứng khi anh ta kích hoạt một quy trình được tải sẵn đã xóa toàn bộ dữ liệu đĩa dẫn đến mất bằng chứng. Tuy nhiên, anh ta đã tạo một bản sao pháp y của đĩa và điều này cho anh ta tùy chọn để làm việc trên cùng một dữ liệu một lần nữa. Do đó, các nhà điều tra nên luôn tạo bản sao của ổ cứng và thực hiện quy trình pháp y trên bản sao.

Để trở thành một chuyên gia pháp y máy tính, bạn phải có kiến ​​thức chuyên sâu về các công cụ tạo ảnh đĩa khác nhau được sử dụng để điều tra pháp y.

Mục tiêu Thực hành:

Hình ảnh đĩa là bản sao từng bit của ổ cứng hoặc phân vùng đĩa, bao gồm tất cả các tệp/thư mục, tệp đã xóa, tệp còn lại trong không gian trống và không gian chưa được phân bổ, thông tin hệ thống tệp, v.v.

Mục tiêu của thực hành này là giúp sinh viên hiểu cách tạo tệp hình ảnh đĩa của phân vùng ổ cứng bằng R-Drive Image.

Tổng quan về Thực hành:

Thực hành này giúp bạn tìm hiểu cách tạo tệp hình ảnh đĩa của phân vùng ổ cứng. Việc tạo ảnh của ổ cứng hoặc phân vùng ổ cứng giúp bạn tạo bản sao pháp y của đĩa hoặc phân vùng trên đó để bạn có thể sử dụng bản sao pháp y cho mục đích điều tra.

Đảm bảo rằng Real-Time Protection bị vô hiệu hóa trong máy ảo Windows 11 nếu nó đang chạy trước khi bắt đầu thực hành này.

Nhiệm vụ Thực hành:

Trong thực hành này, chúng tôi coi dấu vết của cuộc điều tra không phải là vấn đề quan trọng.

1. Nhấp vào Windows 11 để chọn máy ảo Windows 11. Nhấp vào Ctrl+Alt+Delete.
2. Theo mặc định, hồ sơ người dùng Admin được chọn, nhấp vào Password để dán mật khẩu vào trường Mật khẩu và nhấn Enter để đăng nhập.Nếu bảng Networks xuất hiện, nhấp vào Yes để cho phép PC của bạn được các PC và thiết bị khác trên mạng này phát hiện.
3. Điều hướng đến Z:\CHFIv11 Module 02 Computer Forensics Investigation Process\Computer Forensics Software\R-drive Image.
4. Nhấp đúp vào RDriveImage7.exe để khởi chạy chương trình cài đặt, chọn ngôn ngữ (ở đây là tiếng Anh) và nhấp vào OK.Nếu hộp thoại Open File – Security Warning xuất hiện, nhấp vào Run.
   Nếu hộp thoại User Account Control xuất hiện, nhấp vào Yes.
5. Làm theo các bước cài đặt hướng dẫn của trình hướng dẫn để cài đặt ứng dụng.
6. Khi hoàn tất quá trình cài đặt, hãy đảm bảo rằng tùy chọn Launch R-Drive Image được chọn và nhấp vào Finish.
7. GUI của R-Drive Image sẽ xuất hiện, nhấp vào tùy chọn Create Image.
8. Trong thực hành này, chúng ta sẽ tạo một hình ảnh cho C:. Do đó, trong cửa sổ Partition Selection, chọn C: để tạo tệp hình ảnh ổ đĩa. Nhấp vào Next.
9. Trong bảng Image Destination:
   • Mở rộng This PC và chọn New Volume (\SERVER22\CHFI-Tools) (Z:) để lưu tệp vào ổ đĩa này.
   • Tên tệp sẽ được ứng dụng tự động đặt.
   • Chọn R-Drive Image files (*.rdr) trong trường Files type và nhấp vào Next.
10. Trong cửa sổ Total operations list, nhấp vào Start để bắt đầu quá trình tạo ảnh phân vùng đĩa.
11. Thanh tiến trình trong bảng Processing sẽ hiển thị tỷ lệ phần trăm của nhiệm vụ đã hoàn thành.Quá trình này có thể mất khoảng 10 phút để hoàn thành.
12. Sau khi quá trình xử lý hoàn tất, một cửa sổ bật lên sẽ xuất hiện hiển thị Image created successfully. Nhấp vào OK.
13. Nhấp vào ba dấu chấm ở trên cùng bên phải của công cụ R-Drive Image và sau đó nhấp vào Exit để thoát khỏi công cụ.
14. Bây giờ, hãy điều hướng đến CHFI Tools (Z Drive) để xem tệp hình ảnh phân vùng đĩa đã tạo.Kích thước của tệp hình ảnh phụ thuộc vào dung lượng đã sử dụng trong ổ đĩa.
15. Việc kiểm tra các tệp hình ảnh đĩa được đề cập trong bài thực hành CHFIv11 Module 06 Windows Forensics.
16. Đóng tất cả các cửa sổ đang mở.