CHFI v11 Hướng Dẫn Thực Hành Mô-đun 03: Hiểu về ổ cứng và hệ thống tệp

Sam, một chuyên gia bảo mật tại một công ty, đã phát hiện ra một trong những nhân viên của công ty đang thu thập thông tin mật của công ty và lưu trữ trên máy tính của họ để sử dụng cho mục đích bất hợp pháp sau này. Sam ngay lập tức bắt đầu kiểm tra máy tính của từng nhân viên để xác định ai là kẻ làm lộ thông tin. Sam đã thông báo cho điều tra viên kỹ thuật số để tiến hành điều tra. Sau khi điều tra, Sam đã tìm ra được thủ phạm và điều tra viên quyết định phân tích hệ thống tệp và khôi phục các tệp đã bị xóa để bắt giữ nhân viên phạm lỗi.

Mục tiêu bài tập:

Mục tiêu của bài tập này là giúp học viên hiểu cách:

• Phân tích hệ thống tệp của Linux và tệp ảnh đĩa Windows.
• Khôi phục tệp đã bị xóa từ ổ cứng.
• Tạo dòng thời gian hệ thống tệp.
• Phân tích các định dạng tệp phổ biến.

Tổng quan về ổ cứng và hệ thống tệp:

Trong khi điều tra các vụ án mạng máy tính, điều quan trọng là phải hiểu về ổ cứng và hệ thống tệp, vì đây là các nguồn dữ liệu quan trọng. Những kẻ tấn công thường xóa dấu vết sau khi phạm tội bằng cách xóa dữ liệu trên máy tính. Việc khôi phục dữ liệu từ ổ cứng là một trong những nguồn chính của dữ liệu được sử dụng để điều tra tội phạm máy tính. Vì vậy, điều quan trọng là phải hiểu về ổ cứng và hệ thống tệp.

Bài tập thực hành:

Các bài tập được khuyến nghị để hỗ trợ bạn tìm hiểu về ổ cứng và hệ thống tệp:

• Phân tích hệ thống tệp của ảnh Linux.
• Phân tích hệ thống tệp của ảnh Windows.
• Khôi phục tệp đã xóa từ ổ cứng.
• Tạo và phân tích dòng thời gian hệ thống tệp bằng Sleuth Kit (TSK).
• Phân tích các định dạng tệp phổ biến bằng trình soạn thảo Hex.

Bài tập 1: Phân tích hệ thống tệp của ảnh Linux

Kịch bản bài tập:

Một thanh tra đang điều tra một vụ án mạng đã tìm thấy một người chết tại hiện trường vụ án và nghi ngờ rằng nó có liên quan đến tội phạm mạng. Cơ quan điều tra tội phạm mạng đã lấy ảnh của ổ cứng và phân tích nó bằng Autopsy. Để phân tích sâu hơn về vụ án và hệ thống tệp, thanh tra yêu cầu một số kiến thức cơ bản về các loại hệ thống tệp và cách phân tích chúng bằng các công cụ khác nhau.

Mục tiêu bài tập:

Mục tiêu của bài tập này là giúp học viên học và thực hiện phân tích hệ thống tệp bằng Autopsy. Phân tích tệp cho phép điều tra viên xác định các thông tin sau:

• Siêu dữ liệu tệp
• Loại hệ thống tệp
• Nội dung tệp

Tổng quan bài tập:

Bài tập này giúp bạn làm quen với việc phân tích hệ thống tệp bằng Autopsy. Nó giúp bạn hiểu cách tạo vụ án trên Autopsy và kiểm tra tệp bằng ứng dụng.

Vui lòng đảm bảo rằng Real Time Protection đã bị tắt trong máy ảo Windows nếu nó đang chạy trước khi bắt đầu bài tập này!

Bài tập thực hành:

1. Theo mặc định, hồ sơ người dùng Administrator được chọn. Nhấn Ctrl+Alt+Delete để mở khóa.
2. Theo mặc định, hồ sơ người dùng Administrator được chọn. Nhấp PassWord để dán mật khẩu vào trường Mật khẩu và nhấn Enter để đăng nhập.
   Nếu Networks xuất hiện, nhấp Yes để cho phép PC của bạn được khám phá bởi các PC và thiết bị khác trên mạng này.
3. Trong bài tập này, chúng ta sẽ sử dụng công cụ Autopsy để kiểm tra hệ thống tệp của ảnh Linux.
4. Để cài đặt Autopsy, hãy điều hướng đến E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks and File Systems\File System Analysis Tools\Autopsy, nhấp đúp vào autopsy-4.21.0-64bit.msi và làm theo các bước cài đặt được hướng dẫn bởi trình hướng dẫn để hoàn tất quá trình cài đặt.
   Nếu cửa sổ bật lên Open File – Security xuất hiện, nhấp Run.
5. Sau khi cài đặt hoàn tất, nhấp Finish để thoát khỏi trình hướng dẫn cài đặt.
6. Nhấp đúp vào biểu tượng lối tắt Autopsy 4.21.0 trên Màn hình.
7. Cửa sổ Autopsy Welcome sẽ xuất hiện cùng với cửa sổ chính Autopsy ở nền. Trong cửa sổ chào mừng, nhấp New Case.
   Nếu cửa sổ bật lên thông tin xuất hiện, nhấp OK.
8. Cửa sổ New Case Information sẽ mở ra yêu cầu bạn nhập Case Name và Base Directory. Thư mục cơ sở là vị trí nơi dữ liệu của vụ án sẽ được lưu trữ. Tên vụ án được sử dụng cho mục đích nhận dạng. Trong bài tập này, chúng ta sẽ gán tên vụ án là Linux_Analysis.
9. Trước khi chỉ định thư mục cơ sở, chúng ta sẽ tạo một thư mục trên Màn hình có tên Image File Analysis và đặt đường dẫn của thư mục Base Directory đến thư mục này.
10. Sau khi đặt thư mục Base Directory, nhấp Next.
11. Cửa sổ New Case Information hiện hiển thị phần Optional Information, nơi bạn có thể chỉ định các chi tiết như tên của người kiểm tra và số vụ án. Trong bài tập này, hãy nhập tên của người kiểm tra là Smith và số vụ án là 1001-101. Bạn cũng có thể điền vào các trường tùy chọn khác. Nhấp Finish sau khi nhập chi tiết cho các trường tùy chọn.
12. Cửa sổ Add Data Source bây giờ xuất hiện hiển thị phần Select Host. Để mặc định lựa chọn và nhấp Next.
13. Trong Select Data Source Type, bạn cần chọn loại nguồn dữ liệu được cung cấp dưới dạng đầu vào. Trong bài tập này, chúng ta sẽ phân tích ảnh đĩa, do đó, chọn tùy chọn Disk Image or VM file và nhấp Next.
14. Cửa sổ Add Data Source hiện hiển thị phần Select Data Source nơi bạn cần chọn vị trí của ảnh mà bạn sẽ kiểm tra. Nhấp Browse.
15. Cửa sổ Open sẽ xuất hiện, nơi bạn cần chỉ định ảnh kỹ thuật số. Điều hướng đến E:\CHFI-Tools\Evidence Files\Forensic Images, chọn Linux_Evidence_001.img và nhấp Open.
16. Sau khi đặt đường dẫn của tệp ảnh, nhấp Next.
17. Cửa sổ Add Data Source hiện hiển thị phần Configure Ingest, chứa danh sách các tùy chọn đã được chọn. Chọn các tùy chọn theo yêu cầu của bạn và nhấp Next.
18. Cửa sổ Add Data Source hiện hiển thị phần Add Data Source, cho biết nguồn dữ liệu đã được thêm vào. Nhấp Finish.
    Autopsy sẽ mất một chút thời gian để phân tích hoàn toàn tệp bằng chứng. Bạn vẫn có thể tiến hành các bước tiếp theo của bài tập này ngay cả khi quá trình phân tích tệp bằng chứng vẫn đang diễn ra.
19. Ứng dụng bây giờ hiển thị kết quả trong cửa sổ chính Autopsy. Mở rộng nút Data Sources -> Linux_Evidence_001.img_1 Host trong ngăn bên trái và nhấp vào tệp ảnh, tức là Linux_Evidence_001.img. Điều này sẽ hiển thị nội dung của tệp ảnh, như được hiển thị trong ảnh chụp màn hình sau:
20. Mở rộng tệp ảnh Linux_Evidence_001.img để xem nội dung của nó. Sau khi mở rộng ảnh, Autopsy hiển thị hệ thống tệp của ảnh Linux như được hiển thị trong ảnh chụp màn hình sau:
21. Bạn có thể kiểm tra tất cả các tệp và thư mục được lưu trữ trong ảnh như một phần của phân tích hệ thống tệp. Trong bài tập này, chúng ta sẽ xem tệp crontab được lưu trữ trong vị trí etc. Do đó, hãy chọn thư mục etc từ ngăn bên trái.
22. Khi đã chọn thư mục, tất cả các tệp và thư mục có trong etc sẽ được hiển thị trong ngăn bên phải của cửa sổ.
23. Cuộn xuống cửa sổ và chọn tệp crontab.
24. Nhấp vào tab Text.
25. Autopsy hiển thị tất cả thông tin tài khoản người dùng (dạng văn bản) có trong tệp crontab trong tab Strings, như được hiển thị trong ảnh chụp màn hình sau:
26. Tương tự, nhấp vào các tab File Metadata, Hex và Annotations để xem các chi tiết khác liên quan đến tệp đã chọn.
27. Bằng cách này, bạn có thể phân tích các tệp và thư mục khác theo lựa chọn của bạn để nhận thông tin chi tiết về chúng.
28. Ngoài việc kiểm tra hệ thống tệp, bạn cũng có thể tính toán hàm băm của các tệp mà bạn kiểm tra, giúp xác thực tính toàn vẹn của bằng chứng. Trong phần này, chúng ta sẽ tính toán MD5 của tệp HideMarkedCols.xls nằm trong home -> roger -> Documents.
29. Để xem giá trị hàm băm MD5 của tệp, mở rộng home -> roger -> Documents trong ngăn bên trái. Tệp HideMarkedCols.xls xuất hiện trong ngăn bên phải của cửa sổ Autopsy. Nhấp vào tệp.
30. Phần File Metadata hiển thị siêu dữ liệu của tệp đã chọn như thời gian tạo, sửa đổi và truy cập của tệp, theo sau là giá trị hàm băm MD5 của nó.
31. Nhấp vào File Metadata và cuộn xuống phần để tìm giá trị MD5 cho tệp HideMarkedCols.xls.
32. Khôi phục dữ liệu đã xóa và phát hiện lỗi không khớp phần mở rộng tệp được đề cập trong Mô-đun 05 Kỹ thuật Chống Kỹ thuật số.
33. Xem qua tất cả các tùy chọn của Autopsy chi tiết theo yêu cầu của bạn trong quá trình điều tra.
34. Đóng tất cả các cửa sổ đang mở.

Bài tập 2: Phân tích hệ thống tệp của ảnh Windows

Kịch bản bài tập:

Sam, quản lý của một tổ chức, đã gọi một nhóm điều tra pháp y sau khi xảy ra một cuộc tấn công mạng. Nhóm điều tra đã thu được ảnh của các máy bị ảnh hưởng cùng với sự đồng ý của Sam và bây giờ nhóm điều tra pháp y cần phải phân tích chúng với các tệp ảnh. Trước tiên, nhóm điều tra phải hiểu hệ thống tệp của tệp ảnh và tiến hành khôi phục tệp. Để làm được điều đó, nhóm điều tra cần phải có hiểu biết kỹ lưỡng về các loại hệ thống tệp và cách phân tích chúng bằng các công cụ khác nhau.

Mục tiêu bài tập:

Mục tiêu của bài tập này là giúp học viên tìm hiểu và thực hiện phân tích hệ thống tệp bằng The Sleuth Kit. The Sleuth Kit giúp điều tra viên thu được các thông tin sau:

• Loại hệ thống tệp.
• Siêu dữ liệu.
• Nội dung.

Tổng quan bài tập:

Bài tập này giúp bạn làm quen với việc phân tích hệ thống tệp bằng The Sleuth Kit. Nó giúp bạn hiểu cách tìm nạp thông tin từ ảnh, siêu dữ liệu chẳng hạn như loại hệ thống tệp được sử dụng và nội dung tệp và thư mục trong ảnh.

Bài tập thực hành:

1. Trong máy Windows Server 2022, The Sleuth Kit có thể được tìm thấy tại vị trí sau: E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks and File Systems\File System Analysis Tools\The Sleuth Kit (TSK).
2. Điều hướng đến vị trí E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks and File Systems\File System Analysis Tools\The Sleuth Kit (TSK), đặt con trỏ của bạn vào trường đường dẫn tệp và nhập cmd vào đường dẫn và nhấn Enter để mở cửa sổ nhắc lệnh.
3. Trong bài tập này, chúng ta sẽ sử dụng hai tệp bằng chứng (Windows_Evidence_001.dd và Windows_Evidence_002.dd) để kiểm tra.
4. Để xem bảng phân vùng được liên kết với Windows_Evidence_002.dd, nhập mmls “E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_002.dd” và nhấn Enter. Điều này hiển thị bố cục phân vùng (bảng hệ thống ổ đĩa) được liên kết với tệp ảnh, như được hiển thị trong ảnh chụp màn hình sau:
5. Tương tự, để xem loại hệ thống tệp và Hệ điều hành liên quan đến ảnh, hãy nhập fstat -f ntfs “E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_002.dd” và nhấn Enter.
6. Từ ảnh chụp màn hình trên, có thể thấy rằng hệ thống tệp là NTFS và nguồn là Windows XP.
7. Sử dụng lệnh istat để xem chi tiết của ảnh đã chọn. Nhập istat “E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd” 0 và nhấn Enter để xem chi tiết.
8. Sử dụng công cụ istat trong The Sleuth Kit để xem chi tiết của cấu trúc siêu dữ liệu.
9. Để hiển thị tổng quan về tệp MFT, nhập istat -f ntfs “E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd” 0 và nhấn Enter. Đối số f chỉ định loại hệ thống tệp.
10. Để hiển thị tổng quan về tệp MFTMirr, nhập istat -f ntfs “E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd” 1 và nhấn Enter.
    MFT entry 1 là cho tệp $MFTMirr, có một thuộc tính không thường trú chứa bản sao lưu của mục nhập MFT đầu tiên.
11. Để hiển thị tổng quan về tệp Boot, nhập istat -f ntfs “E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd” 7 và nhấn Enter.
    Hệ thống tệp siêu dữ liệu tệp khởi động nằm trong mục nhập MFT 7 và chứa secteur khởi động của hệ thống tệp.
12. Để hiển thị tổng quan về siêu dữ liệu hệ thống tệp âm lượng, nhập istat -f ntfs “E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd” 3 và nhấn Enter.
    Siêu dữ liệu hệ thống tệp âm lượng nằm trong mục nhập MFT 3 và chứa nhãn âm lượng và các thông tin liên quan đến phiên bản khác.
13. Để hiển thị tổng quan về tệp $AttrDef, nhập istat -f ntfs “E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd” 4 và nhấn Enter.
    Mục nhập MFT cho siêu dữ liệu hệ thống tệp $AttrDef là 4. Nó xác định tên và mã định danh cho mỗi loại thuộc tính.
14. Để hiển thị tổng quan về tệp Bitmap, nhập istat -f ntfs “E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd” 6 và nhấn Enter.
    Mục nhập MFT của tệp siêu dữ liệu hệ thống tệp Bitmap, xác định trạng thái của các cụm, là 6.
15. Để hiển thị tổng quan về tệp $BadClus, nhập istat -f ntfs “E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd” 8 và nhấn Enter.
    NTFS theo dõi các cụm bị hỏng bằng cách gán chúng cho thuộc tính $DATA của tệp siêu dữ liệu hệ thống tệp $BadClus. Mục nhập MFT là 8.
16. Để hiển thị tổng quan về tệp $Secure, nhập istat -f ntfs “E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd” 9 và nhấn Enter.
    Siêu dữ liệu tệp $Secure lưu trữ các bộ mô tả bảo mật xác định chính sách kiểm soát truy cập cho tệp hoặc thư mục. Mục nhập MFT là 9.
17. Sử dụng công cụ dòng lệnh fls của TSK để liệt kê tên tệp và thư mục. Nhập fls -f ntfs “E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd” và sau đó nhấn Enter.
18. Để xem danh sách các i-node, hãy nhập ls -i “E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd”.
    Theo mặc định, đối số -i tạo ra danh sách các i-node chỉ dành cho các tệp đã bị xóa.
19. Bây giờ, chúng ta sẽ tìm tên của tệp hoặc thư mục trong i-node số 96. Để làm điều đó, hãy nhập ffind -f ntfs “E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd” 96.
20. Từ ảnh chụp màn hình trên, chúng ta có thể thấy rằng Word_Doc1.docx hiện diện trong i-node 96.
21. Bây giờ, chúng ta sẽ khôi phục các tệp này từ ảnh bằng mô-đun tsk_recover. Trước khi chạy mô-đun này, bạn cần tạo một thư mục có tên Retrieved Files by SleuthKit trên Màn hình.
22. Sau khi tạo thư mục, chuyển sang cửa sổ nhắc lệnh và nhập tsk_recover -i raw -e “E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd” “C:\Users\Administrator\Desktop\Retrieved Files by SleuthKit” và nhấn Enter.
    Khóa chuyển đổi -i đại diện cho loại ảnh. Vì chúng ta đang sử dụng tệp .dd, loại ảnh được chỉ định trong lệnh là raw. Khóa chuyển đổi -e hướng dẫn công cụ khôi phục tất cả các i-node (đã được cấp phát và chưa được cấp phát).
23. Công cụ bắt đầu tìm nạp các tệp từ ảnh pháp y. Sau khi hoàn thành, nó trả về một thông báo hiển thị số lượng tệp được khôi phục, như được hiển thị trong ảnh chụp màn hình sau:
    Bỏ qua mọi lỗi xảy ra trong quá trình khôi phục.
24. Để xem các tệp đã được tìm nạp, hãy điều hướng đến Màn hình và mở thư mục Retrieved Files by SleuthKit. Bạn có thể xem các tệp/thư mục đã được tìm nạp như được hiển thị trong ảnh chụp màn hình sau:
25. Bằng cách này, bạn có thể sử dụng The Sleuth Kit để lấy thông tin liên quan đến dữ liệu có trong tệp ảnh và tìm nạp các tệp và thư mục từ đó.
26. Đóng tất cả các cửa sổ đang mở.

Bài tập 3: Khôi phục tệp đã xóa từ ổ cứng

Kịch bản bài tập:

Điều tra viên pháp y đã bắt đầu quét các máy tính của công ty để tìm dữ liệu đã bị xóa để bắt giữ thủ phạm, người đã thu thập dữ liệu riêng tư của công ty với mục đích xấu. Để tránh bị xác định, thủ phạm đã xóa dữ liệu khỏi hệ thống. Tuy nhiên, các nhà điều tra đã có thể theo dõi thủ phạm bằng cách phân tích hệ thống tệp và khôi phục dữ liệu đã bị xóa bằng công cụ WinHex.

Là một điều tra viên máy tính kỹ thuật số và pháp y, bạn nên biết cách khôi phục các tệp đã bị xóa vĩnh viễn khỏi máy tính và các công cụ có thể được sử dụng để khôi phục chúng.

Mục tiêu bài tập:

Mục tiêu của bài tập này là giúp bạn hiểu cách khôi phục các tệp đã bị xóa vĩnh viễn khỏi máy tính.

Tổng quan bài tập:

Bài tập này giúp bạn làm quen với công cụ WinHex. Nó giúp bạn hiểu cách nhập ảnh vào ứng dụng và khôi phục các tệp đã được chỉ định từ ảnh.

Bài tập thực hành:

1. Trong bài tập này, chúng ta sẽ sử dụng các tệp bằng chứng nằm tại E:\CHFI-Tools\Evidence Files\Forensic Images.
2. Trong máy Windows Server 2022, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks and File Systems\File System Analysis Tools\WinHex và nhấp đúp vào WinHex.exe để khởi động ứng dụng.
3. Điều hướng đến File -> Open để thêm tệp bằng chứng.
4. Cửa sổ Open Files xuất hiện. Điều hướng đến E:\CHFI-Tools\Evidence Files\Forensic Images và chọn Linux_Evidence_001.img. Sau khi chọn tệp, nhấp vào Open.
5. Một cửa sổ bật lên đánh giá WinHex sẽ xuất hiện ngay sau đó. Nhấp vào OK để đóng cửa sổ bật lên.
6. WinHex sẽ xử lý tệp ảnh và hiển thị cửa sổ sau với cửa sổ bật lên Data Interpreter ở góc dưới bên phải của cửa sổ.
7. Điều hướng đến Tools -> Disk Tools -> File Recovery by Type….
8. Một cửa sổ bật lên WinHex xuất hiện, nhấp OK.
9. Cửa sổ File Header Search on Linux_Evidence_001.img xuất hiện hiển thị các loại tệp mà bạn muốn trích xuất.
10. Trong bài tập này, chúng ta sẽ trích xuất tài liệu, do đó, nhấp vào nút + để mở rộng thư mục Documents.
11. Chọn các hộp kiểm bên cạnh các định dạng tệp bạn chọn trong thư mục Documents và nhấp vào OK.
    Tương tự, bạn cũng có thể chọn các loại tệp khác cho quá trình điều tra. Đầu ra có thể khác nhau tùy thuộc vào loại tệp mà bạn đã chọn.
12. Cửa sổ Select Target Folder sẽ xuất hiện. Điều hướng đến vị trí mà bạn muốn lưu các tệp đã được tìm nạp. Trên Màn hình, tạo một thư mục có tên Retrieved Files và sau đó nhấp vào Open.
13. Ứng dụng bây giờ hiển thị thư mục đã chọn. Nhấp vào OK.
14. Để bắt đầu quá trình khôi phục, nhấp vào OK trong cửa sổ File Header Search on Linux_Evidence_001.img. Thao tác này sẽ đóng cửa sổ và bắt đầu quá trình khôi phục tệp bằng cách sử dụng các loại tệp được chỉ định từ ảnh.
15. Sau khi quá trình khôi phục hoàn tất, nhấp vào OK trong cửa sổ bật lên File Recovery by Type để đóng cửa sổ xử lý.
16. Để xem các tệp đã được khôi phục, hãy mở thư mục đích tại Retrieved Files trên Màn hình, nơi bạn đã lưu chúng.
17. Bằng cách này, bạn có thể khôi phục các tệp từ ảnh pháp y bằng WinHex.
18. Đóng tất cả các cửa sổ đang mở.

Bài tập 4: Tạo và phân tích dòng thời gian hệ thống tệp bằng The Sleuth Kit (TSK)

Kịch bản bài tập:

Smith, một điều tra viên pháp y, được giao nhiệm vụ điều tra một cuộc tấn công mạng vào một tổ chức. Nhóm của anh ấy đã tạo ra một tệp ảnh điều tra của máy bị nghi ngờ. Bây giờ Smith cần tạo dòng thời gian của các hoạt động được thực hiện trên máy bị nghi ngờ để điều tra vụ việc.

Là một điều tra viên máy tính pháp y, bạn nên biết cách tạo dòng thời gian của các hoạt động được thực hiện trên máy bị nghi ngờ.

Mục tiêu bài tập:

Mục tiêu của bài tập này là giúp bạn hiểu cách tạo dòng thời gian của các hoạt động khác nhau được thực hiện trên máy bị nghi ngờ.

Tổng quan bài tập:

Bài tập này giúp bạn làm quen với một số lệnh The Sleuth Kit (TSK) được sử dụng để tạo dòng thời gian của các hoạt động được thực hiện bởi máy bị nghi ngờ.

Bài tập thực hành:

1. Trong máy Windows Server 2022, The Sleuth Kit có thể được tìm thấy tại vị trí sau: E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks and File Systems\File System Analysis Tools\The Sleuth Kit (TSK).
2. Điều hướng đến vị trí E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks and File Systems\File System Analysis Tools\The Sleuth Kit (TSK), đặt con trỏ của bạn vào trường đường dẫn tệp và nhập cmd vào đường dẫn và nhấn Enter để mở cửa sổ nhắc lệnh.
3. Bây giờ chúng ta sẽ trích xuất dữ liệu tạm thời từ tệp ảnh bằng tiện ích fls. Để làm điều đó, hãy nhập fls -m -r -m 63 “E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd” và nhấn Enter trong cửa sổ nhắc lệnh.
   Trong lệnh trên, đối số -m hiển thị tệp theo định dạng cỗ máy thời gian để dòng thời gian có thể được tạo cho máy. 63 đại diện cho ngành mà hệ thống tệp bắt đầu (đối với ảnh đĩa) và hệ thống tệp kết thúc tại ngành 63 (đối với ảnh đĩa).
4. Bây giờ chúng ta sẽ ghi dữ liệu tạm thời này vào một tệp body.txt. Để làm điều đó, hãy nhập fls -m 63 “E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd” > body.txt và nhấn Enter trong cửa sổ nhắc lệnh.
5. Điều hướng đến E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks and File Systems\File System Analysis Tools\The Sleuth Kit (TSK)\bin. Bạn có thể thấy rằng một tệp body.txt đã được tạo.
6. Bây giờ chúng ta sẽ tạo một tệp timeline.txt bằng tệp body.txt này, nơi chúng ta có thể thấy dòng thời gian của các hoạt động được thực hiện trên hệ thống bị nghi ngờ.
7. Trước tiên, chúng ta sẽ cài đặt perl trên máy Windows Server 2022 để chạy tập lệnh mactime.pl.
8. Điều hướng đến E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks and File Systems\File System Analysis Tools\Perl, nhấp đúp vào strawberry-perl-5.38.0.1-64bit.msi và làm theo các bước cài đặt theo hướng dẫn của trình hướng dẫn để cài đặt perl.
9. Sau khi hoàn tất quá trình cài đặt, bỏ chọn hộp kiểm Read README file và nhấp vào Finish.
10. Đóng cửa sổ và mở lại Step 2 để mở cửa sổ Nhắc lệnh. Điều hướng đến thư mục E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks and File Systems\File System Analysis Tools\The Sleuth Kit (TSK)\bin.
11. Chuyển sang cửa sổ nhắc lệnh và nhập perl mactime.pl -b body.txt -z EST5EDT > timeline.txt và nhấn Enter.
    Nếu bạn gặp bất kỳ lỗi nào, hãy bỏ qua chúng.
    Trong lệnh trên, -z đại diện cho múi giờ và -b đại diện cho tệp nội dung.
12. Điều hướng đến E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks and File Systems\File System Analysis Tools\The Sleuth Kit (TSK)\bin và nhấp đúp vào timeline.txt để mở nó trong Notepad.
13. Chúng ta có thể thấy rằng dữ liệu trong Notepad sẽ được hiển thị, bao gồm Ngày giờ, Kích thước tệp, Hoạt động (mạch), Quyền của Unit, Mã định danh Người dùng (ID Nhóm) và i-node.
14. Bằng cách này, bạn có thể tạo dòng thời gian của các hoạt động khác nhau được thực hiện trên máy bị nghi ngờ bằng cách sử dụng các tiện ích The Sleuth Kit (TSK).
15. Đóng tất cả các cửa sổ đang mở.

Bài tập 5: Phân tích các định dạng tệp phổ biến bằng trình soạn thảo Hex

Kịch bản bài tập:

Dave, một điều tra viên pháp y, đang thực hiện một cuộc điều tra pháp y. Trong quá trình này, anh ấy đã phát hiện ra nhiều tệp ở các định dạng khác nhau, chẳng hạn như tài liệu Word, Excel, PNG, JPEG, RAR, v.v.

Là một điều tra viên máy tính pháp y, bạn nên biết cách phân tích các định dạng tệp khác nhau trong khi thực hiện một cuộc điều tra pháp y.

Mục tiêu bài tập:

Mục tiêu của bài tập này là giúp bạn hiểu cách phân tích các định dạng tệp phổ biến bằng trình xem hex.

Tổng quan bài tập:

Bài tập này giúp bạn làm quen với cách phân tích các định dạng tệp khác nhau bằng công cụ Free Hex Editor Neo.

Bài tập thực hành:

1. Trong bài tập này, chúng ta đang xem xét rằng dấu vết của cuộc điều tra không phải là chính, vì vậy, trong máy Windows Server 2022, hãy điều hướng đến E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks and File Systems\File Analysis Tools\Hex Editor Neo và nhấp đúp vào free-hex-editor-neo.exe.
   Nếu cửa sổ bật lên Open File – Security xuất hiện, nhấp vào Run.
2. Trong HHD Software Free Hex Editor Neo Setup Package, nhấp vào Install.
3. Bỏ chọn hộp kiểm View release notes, nhấp vào Close trong cửa sổ HHD Software Free Hex Editor Neo Setup Package.
   Nếu cửa sổ bật lên Component Updates xuất hiện, nhấp vào Discard và nhấn Enter, trong cửa sổ bật lên tiếp theo, nhấp vào Yes.
4. Cửa sổ Free Hex Editor Neo xuất hiện, nhấp vào File -> Open -> Open File… từ menu.
5. Chúng ta sẽ phân tích tệp tài liệu Word bằng trình xem hex. Trong cửa sổ Open, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks and File Systems\File Analysis Tools\Sample Files, chọn Sample.docx và nhấp vào Open.
6. Free Hex Editor Neo hiển thị các giá trị hex của tài liệu đã chọn.
7. Trong ảnh chụp màn hình ở trên, chúng ta có thể thấy rằng giá trị hex của tệp DOCX bắt đầu bằng 50 4B 03 04 14 00 06 00 và chứa các giá trị 77 6F 72.
8. Đóng tab Sample.docx trong Free Hex Editor Neo và nhấp vào File -> Open -> Open File… từ menu.
9. Tiếp theo, chúng ta sẽ phân tích tệp GIF bằng trình xem hex. Trong cửa sổ Open, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks and File Systems\File Analysis Tools\Sample Files, chọn Sample.gif và nhấp vào Open.
10. Free Hex Editor Neo hiển thị các giá trị hex của tệp đã chọn.
11. Trong ảnh chụp màn hình ở trên, chúng ta có thể thấy rằng giá trị hex của tệp GIF bắt đầu bằng 47 49 46 38.
12. Đóng tab Sample.gif trong Free Hex Editor Neo và nhấp vào File -> Open -> Open File… từ menu.
13. Bây giờ, chúng ta sẽ phân tích tệp JPEG bằng trình xem hex. Trong cửa sổ Open, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks and File Systems\File Analysis Tools\Sample Files, chọn Sample.jpg và nhấp vào Open.
14. Free Hex Editor Neo hiển thị các giá trị hex của tệp đã chọn.
15. Trong ảnh chụp màn hình ở trên, chúng ta có thể thấy rằng giá trị hex của tệp jpg bắt đầu bằng FF D8 FF.
16. Đóng tab Sample.jpg trong Free Hex Editor Neo và nhấp vào File -> Open -> Open File… từ menu.
17. Bây giờ, chúng ta sẽ phân tích tệp PDF bằng trình xem hex. Trong cửa sổ Open, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks and File Systems\File Analysis Tools\Sample Files, chọn Sample.pdf và nhấp vào Open.
18. Free Hex Editor Neo hiển thị các giá trị hex của tệp đã chọn.
19. Từ ảnh chụp màn hình ở trên, chúng ta có thể thấy rằng giá trị hex của tệp PDF bắt đầu bằng 25 50 44 46 2D.
20. Đóng tab Sample.pdf trong Free Hex Editor Neo và nhấp vào File -> Open -> Open File… từ menu.
21. Chúng ta sẽ phân tích tệp PNG bằng trình xem hex. Trong cửa sổ Open, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks and File Systems\File Analysis Tools\Sample Files, chọn Sample.png và nhấp vào Open.
22. Free Hex Editor Neo hiển thị các giá trị hex của tệp đã chọn.
23. Từ ảnh chụp màn hình ở trên, chúng ta có thể thấy rằng giá trị hex của tệp PNG bắt đầu bằng 89 50 4E 47.
24. Đóng tab Sample.png trong Free Hex Editor Neo và nhấp vào File -> Open -> Open File… từ menu.
25. Chúng ta sẽ phân tích tệp RAR bằng trình xem hex. Trong cửa sổ Open, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks and File Systems\File Analysis Tools\Sample Files, chọn Sample.rar và nhấp vào Open.
26. Free Hex Editor Neo hiển thị các giá trị hex của tệp đã chọn.
27. Từ ảnh chụp màn hình ở trên, chúng ta có thể thấy rằng giá trị hex của tệp RAR bắt đầu bằng 52 61 72 21 1A 07.
28. Đóng tab Sample.rar trong Free Hex Editor Neo và nhấp vào File -> Open -> Open File… từ menu.
29. Chúng ta sẽ phân tích tệp xlsx bằng trình xem hex. Trong cửa sổ Open, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks and File Systems\File Analysis Tools\Sample Files, chọn Sample.xlsx và nhấp vào Open**.
30. Free Hex Editor Neo hiển thị các giá trị hex của tệp đã chọn.
31. . Từ ảnh chụp màn hình ở trên, chúng ta có thể thấy rằng giá trị hex của tệp .xlsx bắt đầu bằng 50 4B 03 04 14 00 06 00 và chứa các giá trị 78 6C 2F.
32. . Theo cách này, bạn có thể phân tích các định dạng tệp khác nhau bằng công cụ Hex Editor Neo.
33. . Đóng tất cả các cửa sổ đang mở.