CHFI v11 Hướng Dẫn Thực Hành Mô-đun 05: Khắc phục các Kỹ thuật Chống Pháp y Số

Để điều tra các hành vi phạm tội điện tử, với tư cách là điều tra viên pháp lý, bạn phải có khả năng thu thập và phân tích bằng chứng từ hệ thống của nạn nhân. Những kẻ tấn công cố gắng làm hỏng bằng chứng, che giấu các phương thức được sử dụng, và xóa dữ liệu từ hệ thống của nạn nhân. Bạn phải nhận thức được các kỹ thuật như vậy và ảnh hưởng của chúng đối với dữ liệu và hệ thống nạn nhân.

Mục tiêu Thực hành

Mục tiêu của bài thực hành này là cung cấp kiến thức chuyên môn về các vấn đề sau:

• Khắc phục dữ liệu ổ cứng thể rắn (SSD) trên hệ thống Windows và Linux
• Khôi phục các tệp bị mất/xóa trên các phân vùng
• Bẻ khóa mật khẩu của ứng dụng
• Phát hiện kỹ thuật giấu tin
• Phát hiện luồng dữ liệu thay thế
• Phát hiện sự không khớp phần mở rộng tệp
• Giải nén các chương trình được đóng gói

Tổng quan về Các Kỹ thuật Chống Pháp lý

Có nhiều loại kỹ thuật chống pháp lý khác nhau như xóa/ghi đè/xóa dữ liệu, bảo vệ mật khẩu, mã hóa dữ liệu và siêu dữ liệu, cũng như làm mờ siêu dữ liệu địa lý.

Các điều tra viên pháp lý cần khắc phục/giải mã/phân tích các kỹ thuật chống pháp lý để việc điều tra mang lại bằng chứng cụ thể, giúp xác định và truy tố thủ phạm.

Nhiệm vụ Thực hành

Các bài thực hành sau sẽ giúp bạn khắc phục các kỹ thuật chống pháp lý:

• Khắc phục dữ liệu SSD trên hệ thống tệp Windows
• Khắc phục dữ liệu SSD trên hệ thống tệp Linux
• Khôi phục dữ liệu từ phân vùng đĩa bị mất/xóa
• Khôi phục dữ liệu từ phân vùng đã bị xóa và hợp nhất vào phân vùng khác
• Trích xuất hàm băm mật khẩu từ hệ thống mục tiêu bằng pwdump
• Bẻ khóa mật khẩu ứng dụng
• Phát hiện kỹ thuật giấu tin
• Phát hiện luồng dữ liệu thay thế
• Phát hiện sự không khớp phần mở rộng tệp
• Giải nén các chương trình được đóng gói

Thực hành 1: Khắc phục dữ liệu SSD trên Hệ thống tệp Windows

Tình huống

Sam, một điều tra viên pháp lý, được giao nhiệm vụ khắc phục dữ liệu trên ảnh pháp lý của một ổ SSD được thu thập từ máy tính Windows của một nghi phạm bị cáo buộc thực hiện các hoạt động bất hợp pháp. Điều tra viên pháp lý cần phải khắc phục dữ liệu ổ SSD để khôi phục dữ liệu có liên quan đến vụ án. Điều tra viên đã có kiến thức về cấu trúc hệ thống tệp của SSD.

Mục tiêu

Là một điều tra viên pháp lý, bạn nên biết cách khôi phục các tệp và phần của tệp từ không gian chưa được phân bổ của ổ cứng trên hệ thống Windows.

Tổng quan

Mục tiêu của bài thực hành này là giúp bạn hiểu cách thực hiện khắc phục dữ liệu SSD trên hệ thống tệp Windows.

Bài thực hành này sẽ giúp bạn làm quen với công cụ Autopsy để kiểm tra SSD được bật và tắt TRIM trên Windows. Nó cũng giúp bạn tìm hiểu cách chức năng TRIM ảnh hưởng đến khả năng khôi phục dữ liệu trên SSD. Chúng ta sẽ thực hiện khắc phục dữ liệu SSD trên hệ thống tệp Windows khi chức năng TRIM bị tắt.

Nhiệm vụ

1. Theo mặc định, máy ảo Windows Server 2022 được chọn. Nhấn Ctrl+Alt+Delete.
2. Theo mặc định, hồ sơ người dùng Administrator được chọn. Nhấp Password để dán mật khẩu vào trường Password và nhấn Enter để đăng nhập.
   Nếu trang Networks xuất hiện, nhấp Yes để cho phép PC của bạn được phát hiện bởi các PC và thiết bị khác trên mạng này.
3. Trong bài thực hành này, chúng ta sẽ sử dụng Autopsy để kiểm tra SSD được bật và tắt TRIM.
4. Để cài đặt Autopsy, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks and File Systems\File System Analysis Tools\Autopsy, nhấp đúp vào autopsy-4.21.0-64bit.msi và làm theo các bước hướng dẫn để hoàn tất quá trình cài đặt.
   Nếu cửa sổ bật lên Open File – Security xuất hiện, nhấp Run.
5. Sau khi cài đặt hoàn tất, nhấp Finish để thoát khỏi trình hướng dẫn cài đặt.
6. Sau khi cài đặt hoàn tất, nhấp đúp vào biểu tượng tắt Autopsy 4.21.0 trên Desktop.
7. Cửa sổ Autopsy Welcome sẽ xuất hiện cùng với cửa sổ chính Autopsy ở nền. Trong cửa sổ Welcome, nhấp New Case.
   Nếu cửa sổ bật lên thông tin xuất hiện, nhấp OK.
8. Cửa sổ New Case Information xuất hiện, yêu cầu bạn nhập Case Name và Base Directory. Base directory là vị trí nơi dữ liệu vụ án sẽ được lưu trữ. Tên vụ án có thể được nhập theo mục đích nhận dạng của bạn. Trong bài thực hành này, chúng ta sẽ gán tên vụ án là SSD File Carving (Windows, TRIM enabled).
9. Chúng ta sẽ tạo một thư mục mới có tên Image File Analysis trên Desktop và lưu dữ liệu vụ án vào thư mục đó. Nhấp Browse để chọn thư mục này làm Base Directory và nhấp Next.
   Bạn có thể nhấp vào biểu tượng Create New Folder trong hộp thoại Select và tạo một thư mục mới.
10. Trang Optional Information xuất hiện. Cung cấp Case Number và Examiner Details ở đây. Chúng tôi đã nhập Case Number là 101. Bạn có thể nhập thông tin của mình trong phần Examiner. Nhấp Finish.
11. Ứng dụng sẽ mất một thời gian để tạo vụ án. Sau khi tạo vụ án, cửa sổ Add Data Source xuất hiện, trong đó Select Host được hiển thị. Để mặc định phần chọn trong phần Select Host và nhấp Next.
12. Trong phần Select Data Source Type, đảm bảo rằng tùy chọn Disk Image or VM File được chọn và nhấp Next.
13. Phần Select Data Source xuất hiện. Nhấp Browse.
14. Cửa sổ Open xuất hiện. Điều hướng đến vị trí E:\CHFI-Tools\Evidence Files\Forensic Images, chọn tệp Windows_Evidence_SSD_TE.dd và nhấp Open.
15. Phần Select Data Source bây giờ hiển thị đường dẫn đến tệp Windows_Evidence_SSD_TE.dd trong trường Path. Nhấp Next.
16. Danh sách Add Data Source xuất hiện, hiển thị phần Configure Ingest. Chọn các tùy chọn được hiển thị theo yêu cầu của bạn. Bạn cũng có thể để các tùy chọn này theo mặc định. Nhấp Next.
17. Phần Add Data Source xuất hiện, hiển thị thông báo sau: Data Source has been added to the local database. Files are being analyzed. Nhấp Finish.
    Công cụ Autopsy sẽ mất một thời gian để phân tích tệp ảnh. Xem trạng thái ở góc dưới bên phải của cửa sổ Autopsy. Sau khi hoàn tất phân tích, trạng thái sẽ biến mất.
18. Ứng dụng bây giờ sẽ đưa bạn đến cửa sổ chính của nó. Mở rộng nút Data Sources trong ngăn bên trái của cửa sổ. Tùy chọn Data Sources sẽ liệt kê tên của tệp ảnh mà bạn đã phân tích; trong trường hợp này, là Windows_Evidence_SSD_TE.dd.
19. Nhấp vào tên tệp ảnh (Windows_Evidence_SSD_TE.dd) để xem nội dung của nó trong ngăn bên phải của cửa sổ công cụ. Nó bao gồm tất cả dữ liệu hệ điều hành cần thiết liên quan đến tệp, quy trình, dịch vụ, công cụ, v.v., được lưu trữ trên hệ thống Windows.
    Autopsy sử dụng hầu hết tài nguyên của máy ảo trong khi quét ảnh. Máy có thể không phản hồi cho đến khi quá trình quét hoàn tất. Khuyến cáo không truy cập vào máy cho đến khi quá trình quét hoàn tất.
20. Bạn cũng có thể xem các nội dung này bằng cách mở rộng tệp ảnh. Bây giờ, mở rộng nút ảnh.
21. Mục tiêu của chúng ta ở đây là khôi phục các tệp. Công cụ mất khoảng 10-15 phút để phân tích tệp ảnh và cố gắng khôi phục các tệp đã xóa và các tệp được khắc phục từ tệp ảnh.
22. Tuy nhiên, vì đây là trường hợp liên quan đến việc sử dụng tệp ảnh SSD được bật TRIM làm bằng chứng, chúng ta thấy rằng công cụ không khắc phục được bất kỳ tệp nào. Điều này chứng minh rằng việc khắc phục tệp không thể thực hiện được khi TRIM được bật trên SSD. Bây giờ bạn có thể đóng Autopsy.
23. Chúng ta sẽ chuyển sang khôi phục dữ liệu từ tệp ảnh SSD bị tắt TRIM. Làm theo các bước bên dưới để khắc phục tệp SSD trên Windows khi TRIM bị tắt.
24. Đóng cửa sổ Autopsy và khởi động lại bằng cách nhấp đúp vào biểu tượng tắt của nó trên Desktop.
25. Cửa sổ chính Autopsy sẽ mở ra cùng với cửa sổ Welcome.
26. Nhấp vào tùy chọn New Case trong cửa sổ Welcome.
27. Cửa sổ New Case Information sẽ mở ra, yêu cầu bạn nhập Case Name và Base Directory. Base directory là vị trí nơi dữ liệu vụ án sẽ được lưu trữ. Tên vụ án có thể được nhập theo mục đích nhận dạng của bạn. Trong bài thực hành này, chúng ta sẽ gán tên vụ án là SSD File Carving (Windows, TRIM Disabled).
28. Chúng ta sẽ lưu dữ liệu vụ án vào thư mục Image File Analysis nằm trên Desktop. Bây giờ, chọn thư mục này làm Base Directory và nhấp Next.

Trong phần New Case Information, thư mục Image File Analysis được chọn theo mặc định vì chúng ta đã chọn thư mục này khi thực hiện SSD File Carving (Windows, TRIM Enabled) ở các bước trên.

1. Trang Optional Information xuất hiện. Cung cấp Case Number và Examiner Details ở đây. Chúng tôi đã nhập Case Number là 102. Bạn có thể nhập thông tin của mình trong phần Examiner. Nhấp Finish.
2. Ứng dụng sẽ mất một thời gian để tạo vụ án. Sau khi tạo vụ án, cửa sổ Add Data Source xuất hiện, trong đó Select Host được hiển thị. Để mặc định phần chọn trong phần Select Host và nhấp Next.
3. Trong phần Select Data Source Type, đảm bảo rằng tùy chọn Disk Image or VM File được chọn và nhấp Next.
4. Phần Select Data Source xuất hiện. Nhấp Browse.
5. Cửa sổ Open xuất hiện. Điều hướng đến vị trí E:\CHFI-Tools\Evidence Files\Forensic Images, chọn tệp Windows_Evidence_SSD_TD.dd và nhấp Open.
6. Phần Select Data Source bây giờ hiển thị đường dẫn đến tệp Windows_Evidence_SSD_TD.dd trong trường Path. Nhấp Next.
7. Danh sách Add Data Source xuất hiện, hiển thị phần Configure Ingest. Chọn các tùy chọn được hiển thị theo yêu cầu của bạn. Bạn cũng có thể để các tùy chọn này theo mặc định. Nhấp Next.
8. Phần Add Data Source xuất hiện, hiển thị thông báo sau: Data Source has been added to the local database. Files are being analyzed. Nhấp Finish.
   Công cụ sẽ mất một thời gian để phân tích ảnh.
9. Ứng dụng bây giờ sẽ đưa bạn đến cửa sổ chính của nó. Mở rộng nút Data Sources trong ngăn bên trái của cửa sổ. Tùy chọn Data Sources sẽ liệt kê tên của tệp ảnh mà bạn đã phân tích; trong trường hợp này, là Windows_Evidence_SSD_TD.dd.
10. Nhấp vào tên tệp ảnh (Windows_Evidence_SSD_TD.dd) để xem nội dung của nó trong ngăn bên phải của cửa sổ công cụ. Nó bao gồm tất cả dữ liệu hệ điều hành cần thiết liên quan đến tệp, quy trình, dịch vụ, công cụ, v.v., được lưu trữ trên hệ thống Windows.

Autopsy sử dụng hầu hết tài nguyên của máy ảo trong khi quét ảnh. Máy có thể không phản hồi cho đến khi quá trình quét hoàn tất. Khuyến cáo không truy cập vào máy cho đến khi quá trình quét hoàn tất.

1. Ở đây, mục tiêu của chúng ta là khôi phục các tệp được khắc phục. Công cụ mất khoảng 10-15 phút để tải thư mục CarvedFiles. Khi tải thư mục CarvedFiles, công cụ hiển thị thư mục đó trong ngăn bên phải của cửa sổ và trong nút Windows_Evidence_SSD_TD.dd; nếu bạn mở rộng thư mục đó.
2. Để tìm các tệp được khắc phục, nhấp đúp vào thư mục CarvedFiles trong ngăn bên phải của cửa sổ. Bây giờ, nhấp đúp vào thư mục có tên là 1. Công cụ sẽ liệt kê một số tệp được khắc phục, tất cả đều được đánh dấu bằng biểu tượng chữ thập màu đỏ.
   Sau khi các tệp được khắc phục được tải, bạn cũng sẽ tìm thấy chúng trong nút Deleted Files. Mở rộng nút Deleted Files để tìm danh mục ‘All’. Trong nút All, chọn All và cuộn xuống danh sách tệp ở ngăn bên phải để định vị các tệp được khắc phục đó. Do đó, bạn có thể khôi phục lại các tệp đó trong nút Deleted Files.
3. Để xem nội dung của tệp được khắc phục, chọn tệp. Nội dung của tệp đó sẽ được hiển thị trong ngăn dưới của cửa sổ công cụ. Ở đây, chúng tôi đã chọn tệp f0475816.gif; nội dung của tệp này được hiển thị trong ngăn dưới của cửa sổ.

Khi bạn chọn một tệp được khắc phục, công cụ sẽ hiển thị nội dung của nó trong tab Application của ngăn dưới theo mặc định. Bạn cũng có thể nhấp vào tab Hex, Text, File Metadata và các tab khác để xem dữ liệu tương ứng được lưu trữ trong đó.

1. Bây giờ, để khôi phục tệp được khắc phục đã chọn, nhấp chuột phải vào tệp đó và nhấp Extract File(s) từ menu ngữ cảnh.
2. Cửa sổ Save xuất hiện, hiển thị vị trí mặc định nơi tệp sẽ được xuất. Vị trí mặc định này là thư mục con Export nằm trong thư mục vụ án mà bạn đã tạo trong thư mục Image File Analysis trên Desktop. Nhấp Save để xuất tệp.
3. Một cửa sổ bật lên xuất hiện, cho biết tệp đã được trích xuất. Đóng cửa sổ bật lên hoặc nhấp OK.
4. Bây giờ, điều hướng đến vị trí nơi tệp ảnh được khắc phục đã được lưu. Vị trí này là C:\Users\Administrator\Desktop\Image File Analysis\SSD File Carving (Windows, TRIM Disabled)\Export.

Trong trường hợp này, chúng tôi đã có thể khôi phục và xem nội dung của tệp (vì nó đã được thu thập từ đĩa mà TRIM đã bị tắt).
46. Tương tự, bạn cũng có thể khôi phục nội dung của các tệp được khắc phục khác.
47. Đóng tất cả các cửa sổ đang mở.

Thực hành 2: Khắc phục dữ liệu SSD trên Hệ thống tệp Linux

Tình huống

John, một điều tra viên pháp lý, đang tiến hành khắc phục dữ liệu trên ảnh pháp lý của ổ SSD thu thập từ máy tính chạy hệ điều hành Linux của một nghi phạm. Để thu thập thêm bằng chứng liên quan đến vụ án, điều tra viên pháp lý phải áp dụng các kỹ thuật khắc phục dữ liệu để trích xuất dữ liệu từ không gian chưa được phân bổ của ổ SSD. Điều này đặc biệt quan trọng trong trường hợp không có siêu dữ liệu liên quan đến các tệp đã xóa.

Mục tiêu

Là một điều tra viên pháp lý, bạn nên biết cách khôi phục các tệp và phần của tệp từ không gian ổ cứng chưa được phân bổ trên hệ thống tệp Linux bằng cách sử dụng công cụ Autopsy.

Tổng quan

Bài thực hành này sẽ giúp bạn làm quen với công cụ Autopsy và giúp bạn hiểu cách khôi phục dữ liệu từ hệ thống tệp Linux khi chức năng TRIM bị tắt.

Nhiệm vụ

1. Trên máy ảo Windows Server 2022, nhấp đúp vào biểu tượng tắt Autopsy 4.21.0 nằm trên Desktop để khởi chạy ứng dụng.
2. Cửa sổ chính của Autopsy sẽ mở ra cùng với cửa sổ Welcome.
3. Nhấp vào tùy chọn New Case trong cửa sổ Welcome.
4. Cửa sổ New Case Information sẽ mở ra, yêu cầu bạn nhập Case Name và Base Directory. Base directory là vị trí nơi dữ liệu vụ án sẽ được lưu trữ. Tên vụ án có thể được nhập theo mục đích nhận dạng của bạn. Trong bài thực hành này, chúng ta sẽ gán tên vụ án là SSD File Carving (Linux File System).
5. Chúng ta sẽ lưu dữ liệu vụ án vào thư mục Image File Analysis nằm trên Desktop. Bây giờ, chọn thư mục này làm Base Directory và nhấp Next.
6. Trang Optional Information xuất hiện. Cung cấp Case Number và Examiner Details ở đây. Chúng tôi đã nhập Case Number là 103. Bạn có thể nhập thông tin của mình trong phần Examiner. Nhấp Finish.
7. Ứng dụng sẽ mất một thời gian để tạo vụ án. Sau khi tạo vụ án, cửa sổ Add Data Source xuất hiện, trong đó Select Host được hiển thị. Để mặc định phần chọn trong phần Select Host và nhấp Next.
8. Trong phần Select Data Source Type, đảm bảo rằng tùy chọn Disk Image or VM File được chọn và nhấp Next.
9. Phần Select Data Source xuất hiện. Nhấp Browse.
10. Cửa sổ Open xuất hiện. Điều hướng đến E:\CHFI-Tools\Evidence Files\Forensic Images và chọn Linux_Evidence_SSD.dd. Nhấp Open.
11. Phần Select Data Source bây giờ hiển thị đường dẫn đến tệp Linux_Evidence_SSD.dd trong trường Path. Nhấp Next.
12. Danh sách Add Data Source xuất hiện, hiển thị phần Configure Ingest. Chọn các tùy chọn được hiển thị theo yêu cầu của bạn. Bạn cũng có thể để các tùy chọn này theo mặc định. Nhấp Next.
13. Phần Add Data Source xuất hiện, hiển thị thông báo sau: Data Source has been added to the local database. Files are being analyzed. Nhấp Finish.
    Công cụ Autopsy sẽ mất một thời gian để phân tích ảnh.
14. Công cụ bây giờ sẽ đưa bạn đến cửa sổ chính của nó. Mở rộng nút Data Sources trong ngăn bên trái của cửa sổ. Tùy chọn Data Sources sẽ liệt kê tên của tệp ảnh mà bạn đã phân tích; trong trường hợp này, là Linux_Evidence_SSD.dd.
15. Nhấp vào tên tệp ảnh (Linux_Evidence_SSD.dd) để xem nội dung của nó trong ngăn bên phải của cửa sổ công cụ. Nó sẽ bao gồm tất cả dữ liệu hệ điều hành cần thiết.

Autopsy sử dụng hầu hết tài nguyên của máy ảo trong khi quét ảnh. Máy có thể không phản hồi cho đến khi quá trình quét hoàn tất. Khuyến cáo không truy cập vào máy cho đến khi quá trình quét hoàn tất.
16. Tệp ảnh chứa các thư mục lưu trữ dữ liệu liên quan đến tệp, quy trình, dịch vụ, công cụ, v.v., được sử dụng trên hệ thống Linux.
17. Trong bài thực hành này, mục tiêu của chúng ta là khôi phục các tệp được khắc phục. Bây giờ, sau khi nhấp vào tệp bằng chứng (Linux_Evidence_SSD.dd) trong ngăn bên trái, chúng ta cần đợi 10-15 phút để thư mục CarvedFiles được tải.
Như chúng ta có thể thấy trong ảnh chụp màn hình ở trên, thư mục Carved Files đã được tải bởi ứng dụng trong ngăn bên phải của cửa sổ sau khi đợi một vài phút.

1. Bây giờ, chúng ta sẽ xem nội dung của Carved Files. Nhấp đúp vào thư mục 1 trong ngăn bên trái của cửa sổ để tìm các tệp ảnh được khắc phục được lưu trữ trong đó.
2. Nhấp vào một trong các tệp ảnh được khắc phục, là f0198840.gif để xem nội dung của nó và thay đổi kích thước trong tab Application của ngăn dưới của cửa sổ Autopsy như được tô sáng trong ảnh chụp màn hình. Tương tự, bạn có thể nhấp vào tab Hex, Text, File Metadata và các tab khác để xem dữ liệu tương ứng được lưu trữ trong đó.
3. Để khôi phục tệp được khắc phục đã chọn, nhấp chuột phải vào tệp và chọn Extract File(s) từ menu ngữ cảnh.
4. Cửa sổ Save sẽ mở ra, hiển thị vị trí mặc định nơi tệp được trích xuất sẽ được lưu. Vị trí mặc định này là thư mục con Export nằm trong thư mục vụ án mà bạn đã tạo trên Desktop. Nhấp Save để lưu tệp.
5. Một cửa sổ bật lên xuất hiện, cho biết tệp đã được trích xuất. Đóng cửa sổ bật lên hoặc nhấp OK.
6. Bây giờ, điều hướng đến vị trí nơi tệp ảnh được xuất đã được lưu. Vị trí này là C:\Users\Administrator\Desktop\Image File Analysis\SSD File Carving (Linux File System)\Export.
7. Tệp ảnh hiện đã được khôi phục thành công.
8. Tương tự, bạn cũng có thể khôi phục các đĩa đã khắc phục khác theo cách này.
9. Đóng tất cả các cửa sổ đang mở.

Thực hành 3: Khôi phục Dữ liệu từ Phân vùng Đĩa bị Mất/Xóa

Tình huống

Một kẻ tấn công đã lưu các tệp độc hại vào một trong các phân vùng đĩa của hệ thống máy trạm của nạn nhân. Sau khi thực hiện hành vi phạm tội, kẻ tấn công đã xóa toàn bộ phân vùng đĩa để ngăn nạn nhân phát hiện và xác định hành vi phạm tội của mình. Nạn nhân phát hiện ra hành vi đáng ngờ và báo cáo sự việc với ban quản lý của tổ chức. Ban quản lý đã hành động ngay lập tức và báo cáo vấn đề với cơ quan thực thi pháp luật. Trong trường hợp này, các điều tra viên phải khôi phục phân vùng đã xóa để thu thập thêm thông tin về vụ án.

Mục tiêu

Khi một phân vùng bị xóa khỏi đĩa, các mục nhập liên quan đến phân vùng đã xóa sẽ bị xóa khỏi bảng MFT trên máy tính. Tuy nhiên, dữ liệu trong phân vùng đã xóa vẫn còn trên đĩa. Các điều tra viên có cơ hội khôi phục dữ liệu từ các phân vùng bị mất/xóa.

Tổng quan

Bài thực hành này sẽ giúp bạn làm quen với EaseUS Data Recovery Wizard và giúp bạn hiểu cách khôi phục dữ liệu từ các phân vùng bị mất/xóa. Phân vùng đã xóa có thể chứa các tạo phẩm liên quan đến tội phạm của kẻ tấn công.

Nhiệm vụ

Trong bài thực hành này, chúng ta đang xem xét rằng dấu vết của cuộc điều tra không phải là vấn đề chính.

1. Nhấp vào Windows 11 để chọn máy ảo Windows 11. Nhấp Ctrl+Alt+Delete.
2. Theo mặc định, hồ sơ người dùng Admin được chọn. Nhấp Password để dán mật khẩu vào trường Password và nhấn Enter để đăng nhập.
   Nếu trang Networks xuất hiện, nhấp Yes để cho phép PC của bạn được phát hiện bởi các PC và thiết bị khác trên mạng này.
3. Trước khi bắt đầu bài thực hành này, hãy tạo một thư mục có tên Recovered Partition trên ổ đĩa F: (có khoảng 10 GB dung lượng trống).
4. Điều hướng đến Z:\CHFIv11 Module 02 Computer Forensics Investigation Process\Data Recovery Tools\EaseUS Data Recovery Wizard và nhấp đúp vào drw_free.exe (drw_free_installer_1690185238001618226)
   Nếu cửa sổ bật lên Open File – Security xuất hiện, nhấp Run.
   Nếu cửa sổ bật lên User Account Control xuất hiện, nhấp Yes.
5. Trình cài đặt EaseUS Data Recovery Wizard sẽ xuất hiện; nhấp Install Now.
   Nếu cửa sổ bật lên EaseUS Data Recovery Wizard xuất hiện ở góc dưới bên phải của màn hình, đóng cửa sổ bật lên đó.
   Nếu Check Update pop-up xuất hiện ở các bản cập nhật, nhấp Cancel để hủy các bản cập nhật và ứng dụng bắt đầu tìm kiếm các bản cập nhật.
6. Trình hướng dẫn khôi phục dữ liệu EaseUS sẽ liệt kê các ổ đĩa Internal drives trong phần PC Recovery. Chọn nút radio Lost Partition-1 (C:) và nhấp vào phân vùng Search for Lost Data bên dưới cửa sổ. Ở đây, Lost Partition-1 (C:) biểu thị phân vùng bị mất.
   Nếu cửa sổ bật lên EaseUS Data Recovery Wizard xuất hiện ở góc dưới bên phải của màn hình, đóng cửa sổ bật lên đó.
7. Công cụ sẽ chạy quét nâng cao; sau đó, nó sẽ hiển thị quét trên phân vùng đã xóa (Lost Partition-1) trong một cửa sổ mới. Biểu tượng Lost Partition-1 (C:) có thể được tìm thấy ở ngăn bên trái của cửa sổ ở trên cùng.

Ở cùng vị trí trên cùng, bạn cũng sẽ tìm thấy ổ đĩa To Be Removed, như được hiển thị trong ảnh chụp màn hình.
Số lượng tệp được liệt kê trong cửa sổ EaseUS có thể khác trong bài thực hành của bạn.

1. Để xem nội dung của ổ đĩa To Be Removed, mở rộng nút To Be Removed. Khi mở rộng nút, nội dung của thư mục sẽ được hiển thị như trong ảnh chụp màn hình sau.
2. Nhấp đúp vào bất kỳ thư mục nào trong số đó để xem nội dung. Trong bài thực hành này, chúng ta sẽ xem Audio Files.
3. Tất cả các tệp âm thanh sẽ được liệt kê trong ngăn bên phải, như được hiển thị trong ảnh chụp màn hình sau.
4. Vì mục tiêu của bài thực hành này là khôi phục toàn bộ phân vùng đã xóa, chúng ta sẽ chọn biểu tượng Lost Partition-1 (C:) ở trên cùng bên trái của cửa sổ. Khi chọn biểu tượng Lost Partition-1, tất cả dữ liệu nằm trong phân vùng đó sẽ được chọn và nút Recover ở góc dưới bên phải của cửa sổ sẽ được bật.
5. Bây giờ, để khôi phục phân vùng, nhấp vào nút Recover.
6. Cửa sổ Save to… xuất hiện. Trong ổ đĩa F:, chọn thư mục Recovered Partition mà chúng ta đã tạo ở đầu bài thực hành và nhấp Select Folder. Sau khi nhấp Select Folder, dữ liệu từ phân vùng đã phát hiện sẽ được khôi phục và lưu vào thư mục Recovered Partition.
7. EaseUS bắt đầu khôi phục các tệp như trong ảnh chụp màn hình sau.
   Nếu cửa sổ bật lên Get Pro to Enjoy Unlimited Recovery xuất hiện, hãy đóng nó.
8. Tại một thời điểm nhất định, ứng dụng sẽ tạm dừng quá trình khôi phục và cung cấp cho bạn hai tùy chọn. Vì đây là phiên bản dùng thử, bạn sẽ không thể khôi phục tất cả các tệp miễn phí. Bạn có thể nhấp vào Recover Remaining và mua phiên bản cao cấp hoặc nhấp vào Give Up. Trong bài thực hành này, chúng ta đang chọn tùy chọn Give Up.
9. Khi nhấp vào Give Up, ứng dụng sẽ tự động chuyển hướng bạn đến vị trí nơi dữ liệu từ phân vùng đã xóa đã được lưu.
10. EaseUS tự động tạo một loạt các thư mục con trong thư mục Recovered Partition. Thư mục Recovered Partition sẽ có thư mục con Recovered theo định dạng sau: trong trường hợp này, dữ liệu sẽ được lưu theo một loạt các thư mục con.
11. Theo cách này, bạn có thể khôi phục nội dung của phân vùng đã xóa bằng EaseUS Data Recovery Wizard.
12. Đóng tất cả các cửa sổ.

Thực hành 4: Khôi phục Dữ liệu từ Phân vùng đã bị Xóa và Hợp nhất vào Phân vùng Khác

Tình huống

Một kẻ tấn công đã lưu các tệp độc hại vào một trong các phân vùng đĩa của hệ thống máy trạm của nạn nhân. Sau khi thực hiện hành vi phạm tội, kẻ tấn công đã xóa toàn bộ phân vùng đĩa để ngăn nạn nhân phát hiện và xác định hành vi phạm tội của mình. Hơn nữa, để che giấu thêm dấu vết hành vi phạm tội của mình, kẻ tấn công đã hợp nhất phân vùng đã xóa vào một phân vùng khác trên cùng một hệ thống. Nạn nhân phát hiện ra hành vi đáng ngờ và báo cáo sự việc với ban quản lý của tổ chức. Ban quản lý đã hành động ngay lập tức và báo cáo vấn đề với cơ quan thực thi pháp luật. Các điều tra viên hiện phải khôi phục phân vùng đã xóa để tìm hiểu xem nó chứa dữ liệu độc hại nào hay không. Ngoài ra, các điều tra viên cũng cần khôi phục dữ liệu từ phân vùng mà phân vùng đã xóa được hợp nhất vào. Kích thước của phân vùng hiện đã tăng lên (do được hợp nhất với phân vùng đã xóa) để dữ liệu đã tồn tại trên phân vùng đó có thể được tìm thấy cùng với dữ liệu độc hại (đã tồn tại trên phân vùng đã xóa).

Mục tiêu

Khi một phân vùng bị xóa và được hợp nhất với phân vùng khác trên máy tính, các mục nhập liên quan đến phân vùng đã xóa bị xóa khỏi bảng MFT. Tuy nhiên, dữ liệu trong phân vùng đã xóa và phân vùng mà phân vùng đó được hợp nhất vẫn còn trên đĩa. Các điều tra viên có cơ hội khôi phục dữ liệu từ phân vùng đã xóa và phân vùng mà phân vùng đó được hợp nhất vào.

Tổng quan

Bài thực hành này chứng minh hai điều sau:

• Mở rộng dung lượng của phân vùng bằng cách hợp nhất phân vùng đã xóa vào phân vùng đó
• Khôi phục phân vùng đã xóa sau khi nó được hợp nhất vào một phân vùng khác

Nhiệm vụ

Trong bài thực hành này, chúng ta đang xem xét rằng dấu vết của cuộc điều tra không phải là vấn đề chính.

1. Chúng ta đang xem xét rằng dấu vết của cuộc điều tra không phải là vấn đề chính trong bài thực hành này.
2. Đĩa F: đã có 10 GB dung lượng trống. Chúng ta đang tạo ra một tình huống mà kẻ tấn công đã hợp nhất phân vùng đã xóa vào phân vùng hiện có, bằng cách hợp nhất dung lượng trống này với phân vùng Forensic Disk.
3. Nhập disk management vào thanh Search và nhấp Open trong tùy chọn Create and format hard disk partitions như được hiển thị trong ảnh chụp màn hình bên dưới.
4. Cửa sổ Disk Management xuất hiện, nơi bạn sẽ tìm thấy phân vùng có tên Forensic Disk (F:) với dung lượng 10 GB được liệt kê cùng với dung lượng trống 20 GB trong Đĩa 0.
5. Để mở rộng dung lượng của phân vùng Forensic Disk, nhấp chuột phải vào nó và chọn Extend Volume… từ menu ngữ cảnh.
6. Trình hướng dẫn Extend Volume xuất hiện. Nhấp Next.
7. Phần Select Disks của trình hướng dẫn xuất hiện, nơi bạn sẽ tìm thấy dung lượng chưa phân bổ trong Đĩa 0 (1-20 GB) được chọn theo mặc định. Nhấp Next.
8. Bước cuối cùng của trình hướng dẫn xuất hiện, hiển thị đĩa đã được chọn trong bước trước. Nhấp Finish.
9. Trong phần Đĩa 0, bạn nên có thể thấy rằng kích thước của Forensic Disk (F:) đã tăng từ 10 GB lên 30 GB vì chúng tôi đã hợp nhất dung lượng trống 20 GB vào nó.
10. Đóng cửa sổ Disk Management. Chúng tôi đã hoàn thành nhiệm vụ hợp nhất phân vùng đã xóa vào phân vùng đang hoạt động. Bây giờ, chúng tôi sẽ khôi phục các tệp của phân vùng (đã bị xóa và hợp nhất với một phân vùng khác).
11. Điều hướng đến Z:\CHFIv11 Module 05 Defeating Anti-forensics Techniques\Partition Recovery Tools\R-Studio và nhấp đúp vào RStudio.exe. Một cửa sổ bật lên R-Studio xuất hiện, yêu cầu bạn chọn ngôn ngữ. Chọn English và nhấp OK.

Nếu cửa sổ bật lên Open File – Security Warning xuất hiện, nhấp Run.
Nếu cửa sổ bật lên User Account Control xuất hiện, nhấp Yes.
12. Nhấp Next và làm theo các hướng dẫn của trình hướng dẫn để cài đặt ứng dụng.

1. Trong bước cuối cùng của quá trình cài đặt, chọn Launch R-Studio và nhấp Finish.
2. Bây giờ, cửa sổ đăng ký cho công cụ xuất hiện. Nhấp Demo để tiếp tục.
3. Cửa sổ chính của công cụ bây giờ sẽ mở ra. Chúng ta phải kiểm tra phân vùng đã bị xóa và khôi phục dữ liệu trong phân vùng đã xóa. Để kiểm tra phân vùng đã xóa, trước tiên chúng ta chọn một phân vùng hiện có (ở đây, ổ đĩa F:) và sau đó nhấp vào biểu tượng Scan trên thanh công cụ như được hiển thị trong ảnh chụp màn hình.
   Khi bạn chọn ổ đĩa/phân vùng được liệt kê, ngăn bên phải của cửa sổ sẽ hiển thị các thuộc tính liên quan đến ổ đĩa/phân vùng đó, như được thấy trong ảnh chụp màn hình ở trên.
4. Cửa sổ Scan bây giờ sẽ xuất hiện. Đảm bảo rằng tùy chọn Detailed (Scan progress and found objects) được chọn và sau đó nhấp vào nút Scan.
5. Công cụ bây giờ sẽ bắt đầu thực hiện quét; thông tin quét chi tiết sẽ được hiển thị trong ngăn bên phải của cửa sổ công cụ. Bạn cũng có thể thấy tiến độ quét ở phía dưới cửa sổ.

Thời gian quét sẽ phụ thuộc vào dung lượng lưu trữ của ổ đĩa đang được quét.

1. Sau khi hoàn thành quét, công cụ sẽ liệt kê Recognized Partition(s) bên dưới ổ đĩa mà chúng tôi đã chọn để quét; ở đây, bên dưới ổ đĩa F:.
2. Trong ổ đĩa F:, kiểm tra phân vùng được liệt kê là Recognized; công cụ hiển thị kích thước là 20 GB, là dung lượng chưa biết. Điều này cho biết Recognized1 là phân vùng đã bị xóa trước đó từ ổ đĩa F: và được hợp nhất vào ổ đĩa F: để làm cho nó xuất hiện dưới dạng một phân vùng đĩa duy nhất với dung lượng 30 GB.

Trong bài thực hành này, phân vùng đã được xác định là Recognized1 bởi ứng dụng. Số phân vùng được nhận dạng có thể khác nhau trong môi trường thực hành của bạn.

1. Để xem nội dung của phân vùng bị mất/xóa (Recognized1), nhấp đúp vào nó.
2. Nếu bạn muốn xem nội dung của một thư mục được lưu trữ trong phân vùng đã xóa, nhấp vào thư mục đó; nội dung sẽ được hiển thị trong ngăn bên phải. Trong bài thực hành này, chúng tôi sẽ xem nội dung của thư mục Audio Files.
3. Vì mục tiêu của nhiệm vụ này là khôi phục toàn bộ phân vùng đã xóa, chúng tôi sẽ khôi phục toàn bộ phân vùng Recognized1.
4. Chọn biểu tượng Recognized1 ở trên cùng trong ngăn bên trái của cửa sổ để tất cả các thư mục trong phân vùng được chọn để khôi phục. Tiếp theo, nhấp vào Recover Marked trên thanh công cụ.
5. Một cửa sổ Recover xuất hiện. Trong trường Output folder ở trên cùng, chúng ta cần cung cấp thư mục đầu ra nơi dữ liệu phân vùng đã khôi phục sẽ được lưu. Chúng ta sẽ để thư mục đầu ra là C:\Recovered Partition. Bạn có thể đặt thư mục đầu ra theo yêu cầu của mình. Sau khi nhấp OK, trong phần Main, chọn Restore real structure.

Nếu cửa sổ bật lên Select Folder xuất hiện, nhấp Yes.

1. Nếu hộp thoại R-Studio Demo xuất hiện, yêu cầu bạn chọn có xóa thuộc tính tệp trên tất cả các tệp đã khôi phục hay không, hãy chọn Apply the answer to all recovered files và nhấp Continue.
2. R-Studio tạo một thư mục có tên Root trong C:\Recovered Partition. Dữ liệu từ phân vùng bị mất/xóa sẽ được khôi phục và lưu vào thư mục này, ví dụ: C:\Recovered Partition\Root.
3. Vì đây là phiên bản demo của công cụ, các tệp có kích thước lớn hơn 256 KB sẽ không được khôi phục.

1. R-Studio bắt đầu khôi phục các tệp và hiển thị trạng thái như trong ảnh chụp màn hình sau:
   • Nếu cửa sổ File already exists (By default) xuất hiện, hãy chọn Apply the answer to all recovered files và nhấp vào nút Skip.
2. Sau khi hoàn tất quá trình khôi phục, bạn sẽ có thể tìm thấy dữ liệu đã khôi phục trong thư mục C:\Recovered Partition\Root.
3. Theo cách này, bạn có thể khôi phục dữ liệu từ một phân vùng đã bị xóa và hợp nhất vào một phân vùng khác bằng cách sử dụng R-Studio.
4. Đóng tất cả các cửa sổ.

Thực hành 5: Trích xuất hàm băm mật khẩu từ hệ thống mục tiêu bằng pwdump

Tình huống

Smith, một điều tra viên pháp lý, đang làm việc trên một vụ án trong đó một nhân viên bất mãn đã mã hóa dữ liệu quan trọng của tổ chức trên PC của anh ta và rời khỏi tổ chức. Để thu thập dữ liệu quan trọng đã được lưu giữ trong hệ thống của nghi phạm, Smith cần phải bẻ khóa tài khoản của thủ phạm. Để bẻ khóa mật khẩu của tài khoản thủ phạm, Smith cần phải thu thập trước các hàm băm mật khẩu LM và NTLM từ hệ thống.

Mục tiêu

Là một điều tra viên pháp lý chuyên nghiệp, bạn phải biết cách thu thập hàm băm mật khẩu LM và NTLM từ hệ thống để bẻ khóa mật khẩu hệ thống.

Tổng quan

Hàm băm NTLM được sử dụng để xác minh mật khẩu của người dùng trong Hệ điều hành Windows.

Hàm băm NTLM có thể được sử dụng để bẻ khóa mật khẩu của người dùng khi kết hợp với các công cụ khác nhau như Mimikatz, John the Ripper và Hashcat.

Bài thực hành này sẽ giúp bạn làm quen với công cụ pwdump7 và giúp bạn hiểu cách thu thập hàm băm mật khẩu LM và NTLM từ hệ thống.

Nhiệm vụ

Trong bài thực hành này, chúng ta đang xem xét rằng dấu vết của cuộc điều tra không phải là vấn đề chính.

1. Trong máy Windows 11, điều hướng đến Z:\CHFIv11 Module 05 Defeating Anti-forensics Techniques\Password Cracking Tools, sao chép thư mục pwdump7 và dán nó trên Desktop.
2. Trong thanh tìm kiếm, nhập cmd và nhấp vào Run as administrator để mở Command Prompt với quyền quản trị viên.
   Nếu cửa sổ bật lên User Account Control xuất hiện, nhấp Yes.
3. Trong cửa sổ Command Prompt, nhập cd C:\Users\Admin\Desktop\pwdump7 để điều hướng đến Desktop.
4. Bây giờ, nhập PwDump7.exe và nhấn Enter để dump hàm băm của máy Windows 11 trong cửa sổ Command Prompt.
5. Điều tra viên pháp lý có thể sử dụng các hàm băm này cùng với các công cụ bẻ khóa mật khẩu để bẻ khóa mật khẩu hệ thống.
6. Đóng tất cả các cửa sổ.

Thực hành 6: Bẻ khóa Mật khẩu Ứng dụng

Tình huống

Một cuộc điều tra về vụ án trộm cắp tài sản trí tuệ và bí mật thương mại thuộc về một tổ chức ngân hàng đầu tư đã dẫn các điều tra viên pháp lý đến một máy tính cá nhân thuộc về thủ phạm. Thủ phạm đã lưu trữ tất cả thông tin bị đánh cắp dưới dạng các tài liệu khác nhau trên máy tính của mình và đã đặt mật khẩu cho các tài liệu đó để ngăn chặn người khác truy cập chúng. Với sự trợ giúp của các cơ quan thực thi pháp luật, các điều tra viên pháp lý đã thu giữ máy tính của thủ phạm để tìm kiếm thông tin bị đánh cắp. Trong quá trình điều tra, các điều tra viên đã tìm thấy một số tệp được bảo vệ bằng mật khẩu, mà mật khẩu phải được bẻ khóa để có quyền truy cập vào thông tin nhạy cảm thuộc về tổ chức ngân hàng đầu tư. Các điều tra viên nên tiến hành như thế nào để bẻ khóa mật khẩu của các tài liệu được bảo vệ?

Mục tiêu

Là một điều tra viên pháp lý chuyên nghiệp, bạn phải biết cách bẻ khóa mật khẩu của các tệp và ứng dụng được bảo vệ bằng mật khẩu.

Tổng quan

Mật khẩu thường là một chuỗi ký tự được sử dụng để xác minh danh tính của người dùng trong quá trình xác thực.

Mục tiêu của bài thực hành này là giúp bạn hiểu cách bẻ khóa mật khẩu của các tệp và ứng dụng được bảo vệ bằng mật khẩu.

Bài thực hành này sẽ giúp bạn làm quen với công cụ Passware Kit Forensic và giúp bạn hiểu cách bẻ khóa mật khẩu của các ứng dụng/tệp được bảo vệ bằng mật khẩu trên máy tính cho mục đích điều tra pháp lý.

Nhiệm vụ

Trong bài thực hành này, chúng ta đang xem xét rằng dấu vết của cuộc điều tra không phải là vấn đề chính.

1. Trong máy Windows 11, điều hướng đến Z:\CHFIv11 Module 05 Defeating Anti-forensics Techniques\Password Cracking Tools\Passware Kit Forensic và nhấp đúp vào PasswareKitForensic-Demo_64bit_Setup.msi để khởi chạy chương trình cài đặt. Làm theo các bước hướng dẫn để hoàn tất quá trình cài đặt.

Nếu cửa sổ bật lên Open File – Security Warning xuất hiện, nhấp Run.

Nếu cửa sổ bật lên User Account Control xuất hiện, nhấp Yes.

1. Trong bước cuối cùng của quá trình cài đặt, đảm bảo rằng tùy chọn Run Passware Kit Forensic Demo được chọn. Nhấp Finish.
2. Giao diện người dùng đồ họa của Passware Kit Forensic xuất hiện như được hiển thị trong ảnh chụp màn hình sau.
3. Nhấp vào tùy chọn Recover File Password từ cửa sổ chính của công cụ.
4. Điều hướng đến vị trí Z:\CHFIv11 Module 05 Defeating Anti-forensics Techniques\Password Cracking Tools\Passware Kit Forensic, chọn tệp Confidential.docx và nhấp Open.
5. Sau khi tải tệp lên ứng dụng, trình hướng dẫn Recover File Password xuất hiện, nơi bạn cần chọn tùy chọn Use Predefined Settings.
6. Công cụ sẽ mất một thời gian để bẻ khóa mật khẩu. Thời gian cần thiết tỷ lệ thuận với số lượng và loại ký tự được sử dụng trong mật khẩu.
7. Sau khi phân tích, công cụ sẽ hiển thị mật khẩu đã bẻ khóa như được hiển thị trong ảnh chụp màn hình.
8. Đóng ứng dụng.
9. Bây giờ, chúng ta sẽ kiểm tra cách bẻ khóa tệp được bảo vệ bằng mật khẩu đã nén.
10. Để bẻ khóa mật khẩu của thư mục hoặc tệp RAR đã nén, điều hướng đến Z:\CHFIv11 Module 05 Defeating Anti-forensics Techniques\Password Cracking Tools\Advanced Archive Password Recovery và nhấp đúp vào tệp cài đặt archpr_setup_en.msi.
    Nếu cửa sổ bật lên Open File – Security Warning xuất hiện, nhấp Run.
11. Nhấp Next và làm theo các bước hướng dẫn cho đến khi bạn đến phần Custom Setup.
12. Trong phần Custom Setup, bạn cần bỏ chọn Elcomsoft Updater bằng cách mở rộng menu thả xuống và chọn Entire feature will be unavailable. Sau khi thực hiện việc này, tiếp tục quá trình cài đặt và kết thúc nó.
    Nếu cửa sổ bật lên User Account Control xuất hiện, nhấp Yes.
13. Trong bước cuối cùng của quá trình cài đặt, đảm bảo rằng Run Advanced Archive Password Recovery được chọn, và nhấp Finish.
14. Giao diện người dùng đồ họa của Advanced Archive Password Recovery xuất hiện như được hiển thị trong ảnh chụp màn hình sau.
15. Bây giờ, đặt phạm vi cho các tùy chọn tấn công brute-force bằng cách chọn các tùy chọn trong tab Range. Trong bài thực hành này, chúng tôi đang chọn tùy chọn All digits (0-9) trong khi để tất cả các tùy chọn khác là mặc định. Khi chạy bài thực hành trong thời gian thực, bạn có thể chọn các tùy chọn này theo yêu cầu của mình.
16. Từ thanh công cụ của cửa sổ công cụ, nhấp Open để thêm tệp WinRAR mà bạn muốn bẻ khóa.
17. Cửa sổ Open xuất hiện. Điều hướng đến vị trí Z:\CHFIv11 Module 05 Defeating Anti-forensics Techniques\Password Cracking Tools\Advanced Archive Password Recovery, chọn tệp Confidential.rar và nhấp Open.
18. Công cụ sẽ bẻ khóa mật khẩu và hiển thị cùng với các chi tiết khác như được hiển thị trong ảnh chụp màn hình.
19. Trong một tình huống thực tế, bạn phải đặt tất cả các tùy chọn vì bạn thường sẽ không biết bất kỳ manh mối nào về mật khẩu bảo vệ tệp. Do đó, công cụ sẽ mất nhiều thời gian để bẻ khóa mật khẩu nếu nó phức tạp về bản chất.
20. Đóng ứng dụng.
21. Bây giờ, chúng ta sẽ bẻ khóa mật khẩu của một tệp PDF được bảo vệ bằng mật khẩu.
22. Để bẻ khóa mật khẩu, chúng ta sẽ sử dụng công cụ Advanced PDF Password Recovery.
23. Để cài đặt công cụ, điều hướng đến Z:\CHFIv11 Module 05 Defeating Anti-forensics Techniques\Password Cracking Tools\Advanced PDF Password Recovery, nhấp đúp vào apdfpr_setup_en.msi.
24. Nhấp Next và làm theo các bước hướng dẫn của trình hướng dẫn để hoàn tất quá trình cài đặt công cụ.
    Nếu cửa sổ bật lên Open File – Security Warning xuất hiện, nhấp Run.
    Nếu cửa sổ bật lên User Account Control xuất hiện, nhấp Yes.
25. Trong bước cuối cùng của quá trình cài đặt, đảm bảo rằng Run Advanced PDF Password Recovery được chọn, và nhấp Finish.
    Sau khi cài đặt hoàn tất, nếu cửa sổ Elcomsoft Updater xuất hiện, hãy đóng cửa sổ.
26. Giao diện người dùng đồ họa Advanced PDF Password Recovery xuất hiện như được hiển thị trong ảnh chụp màn hình sau.
27. Một lần nữa, đặt phạm vi cho các cuộc tấn công brute-force bằng cách chọn các tùy chọn trong tab Range. Trong bài thực hành này, chúng tôi đang chọn tùy chọn All small latin (a-z) trong khi để các tùy chọn khác không được chọn. Khi chạy bài thực hành trong thời gian thực, bạn có thể chọn các tùy chọn theo yêu cầu của mình.
28. Từ thanh công cụ của cửa sổ công cụ, nhấp Open để thêm tệp PDF mà bạn muốn bẻ khóa.
29. Cửa sổ Open xuất hiện. Điều hướng đến vị trí tệp Z:\CHFIv11 Module 05 Defeating Anti-forensics Techniques\Password Cracking Tools\Advanced PDF Password Recovery, chọn tệp Confidential.pdf và nhấp Open.
30. Một cửa sổ bật lên APDFPR xuất hiện với thông báo yêu cầu bạn nhập mật khẩu cho tài liệu. Nhấp vào nút Start recovery.
31. Sau khi thực hiện phân tích, công cụ sẽ hiển thị cửa sổ với mật khẩu cho tệp Confidential.pdf như được hiển thị trong ảnh chụp màn hình.
32. Trong một tình huống thực tế, bạn phải đặt tất cả các tùy chọn vì bạn thường sẽ không biết bất kỳ manh mối nào về mật khẩu bảo vệ tệp. Do đó, công cụ mất nhiều thời gian để bẻ khóa mật khẩu, nếu nó phức tạp về bản chất.
33. Chúng ta sẽ bẻ khóa mật khẩu của tệp Excel được bảo vệ bằng mật khẩu. Đóng cửa sổ bật lên và công cụ APDFPR.
34. Khởi chạy trình duyệt web Firefox và duyệt URL https://www.lostmypass.com/file-types/ms-excel/.
35. Trang web Khôi phục Mật khẩu Excel xuất hiện như được hiển thị trong ảnh chụp màn hình sau.
36. Cuộn xuống trang web và nhấp vào hộp có nội dung Drop file to upload.
    Nhấp vào hộp kiểm và hoàn tất xác minh captcha.
37. Trong cửa sổ File Upload, điều hướng đến Z:\CHFIv11 Module 05 Defeating Anti-forensics Techniques\Password Cracking Tools và chọn tệp Confidential.xlsx và nhấp vào Open.
38. Tệp được tải lên trên trang web, và Excel Password Recovery bắt đầu bẻ khóa mật khẩu.
39. Sau khi bẻ khóa mật khẩu hoàn tất, mật khẩu đã bẻ khóa sẽ được hiển thị như được hiển thị trong ảnh chụp màn hình.
40. Đóng tất cả các cửa sổ.

Thực hành 7: Phát hiện Giấu tin

Tình huống

Những kẻ tấn công đôi khi cố gắng đánh lừa người dùng và bảo mật hệ thống bằng cách ẩn chương trình độc hại trong một hình ảnh hoặc tệp có vẻ hữu ích. Bằng cách này, chúng có thể tránh các kiểm tra bảo mật và dụ nạn nhân tải xuống và chạy phần mềm độc hại cũng như ngăn chặn việc xác định pháp lý.

Mục tiêu

Là một điều tra viên pháp lý chuyên nghiệp, bạn phải có khả năng phát hiện và phân tích các tệp giấu tin.

Tổng quan

Giấu tin là quá trình ẩn thông tin hoặc tệp trong một tệp khác. Nói cách khác, đó là quá trình ngụy trang một tệp có hại thành một tệp an toàn.

Mục tiêu của bài thực hành này là giúp bạn phân tích các tệp được ẩn bằng cách sử dụng giấu tin và tìm ra tác động của chúng đối với hệ thống hoặc mạng.

Bài thực hành này sẽ giúp bạn làm quen với các công cụ như StegSpy, Image Steganography, OpenStego và DeepSound, và nó sẽ giúp bạn hiểu cách xác định tin nhắn hoặc tệp có nội dung ẩn bằng cách sử dụng các công cụ này.

Nhiệm vụ

Trong bài thực hành này, chúng ta đang xem xét rằng dấu vết của cuộc điều tra không phải là vấn đề chính.

1. Chuyển sang máy ảo Windows Server 2022 bằng cách nhấp vào Windows Server 2022 và sau đó nhấp Ctrl+Alt+Delete.
2. Theo mặc định, hồ sơ người dùng Administrator được chọn, nhấp Pa w0rd để dán mật khẩu vào trường Password và nhấn Enter để đăng nhập.
   Nếu trang Networks xuất hiện, nhấp Yes để cho phép PC của bạn được phát hiện bởi các PC và thiết bị khác trên mạng này.
3. Điều hướng đến E:\CHFI-Tools\CHFIv11 Module 05 Defeating Anti-forensics Techniques\Steganography Detection Tools\StegSpy và nhấp đúp vào StegSpy2.1.exe để khởi chạy công cụ.
4. Nhấp vào nút Run từ trang chính của công cụ để thêm tệp đáng ngờ.
5. Cửa sổ Open xuất hiện. Điều hướng đến vị trí của tệp đáng ngờ, E:\CHFI-Tools\Evidence Files\Image Files. Chọn tệp Model.png và nhấp vào nút Open.
6. Công cụ sẽ quét tệp và hiển thị loại kỹ thuật giấu tin được sử dụng để ẩn một tệp khác trong đó.
7. Đóng ứng dụng.
8. Bây giờ chúng ta sẽ cố gắng trích xuất tệp ẩn từ hình ảnh (Sample.png) bằng công cụ OpenStego.
9. Để cài đặt OpenStego, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 05 Defeating Anti-forensics Techniques\Steganography Detection Tools\OpenStego và nhấp đúp vào tệp Setup-OpenStego v0.8.6.exe.

Nếu cửa sổ bật lên Open File – Security Warning xuất hiện, nhấp Run.

Trong cửa sổ Select Setup Install Mode, nhấp vào Install for me only.

1. Trình hướng dẫn cài đặt OpenStego xuất hiện. Chấp nhận thỏa thuận cấp phép và làm theo trình hướng dẫn để cài đặt ứng dụng.
2. Điều hướng đến menu Start và nhấp vào OpenStego trong danh sách ứng dụng.
3. Giao diện người dùng đồ họa OpenStego xuất hiện. Nhấp vào nút Extract Data trong phần Data Hiding để nhập tệp chứa giấu tin và trích xuất dữ liệu ẩn.
4. Cung cấp đường dẫn của tệp chứa giấu tin trong trường Input Stego File và chỉ định một thư mục làm thư mục đầu ra trong trường Output Folder for Message File. Đường dẫn đến tệp chứa giấu tin là E:\CHFI-Tools\Evidence Files\Image Files\Sample.png. Trong bài thực hành này, chúng tôi đang đặt thư mục đầu ra là Desktop.
5. Nhấp vào nút Extract Data.
6. Công cụ sẽ phân tích tệp và trích xuất dữ liệu ẩn thành công. Nó lưu dữ liệu được trích xuất vào Desktop. Nhấp OK.
7. Tệp ẩn đã được trích xuất vào Desktop dưới dạng Test.txt, chứa văn bản như được hiển thị trong ảnh chụp màn hình sau:
8. Theo cách này, bạn có thể trích xuất dữ liệu ẩn từ tệp hình ảnh. Đóng tệp văn bản và ứng dụng OpenStego.
9. Bây giờ chúng ta sẽ phân tích và xem thông tin được nhúng trong hình ảnh (cat.png) bằng công cụ zsteg.
10. Nhấp vào Ubuntu Forensics để chuyển sang máy Ubuntu Forensics.
11. Theo mặc định, hồ sơ người dùng Jason được chọn, nhập toor vào trường Password và nhấn Enter để đăng nhập.
12. Nhấp vào biểu tượng Files trong bảng Launcher để khởi chạy File Manager.
13. Cửa sổ quản lý tệp sẽ xuất hiện trỏ đến thư mục Home. Nhấp vào thư mục chfi-tools trên 10.10.1.22 được đánh dấu trang.
14. Thư mục được chia sẻ CHFI-Tools xuất hiện.
15. Tiếp theo, hãy đến Evidence Files -> Image Files và sao chép tệp cat.png và dán nó vào thư mục Home.
16. Nhấp vào biểu tượng Terminal từ bảng launcher để khởi chạy terminal dòng lệnh.
17. Terminal dòng lệnh khởi chạy. Bạn cần quyền root trong terminal để cài đặt ứng dụng.
18. Nhập sudo su và nhấn Enter. Bạn sẽ được nhắc nhập mật khẩu. Nhập toor làm mật khẩu và nhấn Enter.
19. Bây giờ, bạn sẽ vào terminal root như được hiển thị trong ảnh chụp màn hình sau:
20. Để cài đặt zsteg, chúng ta cần cài đặt ruby ​​bằng cách nhập lệnh sudo apt install ruby ​​và nhấn Enter.
21. Bây giờ, nhập lệnh sudo gem install zsteg và nhấn Enter.
22. Trong terminal, nhập zsteg cat.png và nhấn Enter.
23. Thông tin được mã hóa trong tệp .png sẽ được hiển thị.
24. Trong quá trình điều tra, bạn cũng có thể bắt gặp các tệp âm thanh có chứa dữ liệu ẩn.
25. Trong phần này, bạn sẽ tìm hiểu quy trình trích xuất dữ liệu ẩn từ tệp âm thanh bằng cách sử dụng DeepSound.
26. Nhấp vào Windows Server 2022 để chuyển sang máy Windows Server 2022, điều hướng đến vị trí của tệp DeepSound.msi, E:\CHFI-Tools\CHFIv11 Module 05 Defeating Anti-forensics Techniques\Steganography Detection Tools\DeepSound, nhấp đúp vào tệp DeepSoundSetup.msi, và làm theo các hướng dẫn của trình hướng dẫn để cài đặt ứng dụng.

Nếu cửa sổ bật lên Open File – Security Warning xuất hiện, nhấp Run.
36. Sau khi hoàn tất cài đặt, một hộp thoại sẽ xuất hiện yêu cầu bạn chọn trình duyệt và chọn OK hoặc trình duyệt web sẽ tự động mở, hiển thị trang web liên quan đến ứng dụng DeepSound. Đóng cửa sổ trình duyệt.

1. Nhấp đúp vào biểu tượng DeepSound nằm trên Desktop để khởi chạy ứng dụng.
2. Giao diện người dùng đồ họa DeepSound xuất hiện như được hiển thị trong ảnh chụp màn hình sau.
3. Nhấp vào nút Open carrier files để thêm tệp chứa giấu tin.
4. Điều hướng đến vị trí E:\CHFI-Tools\Evidence Files\Audio Files; chọn tệp chứa giấu tin, Dangerous.wav và nhấp vào nút Open.
5. Nhấp vào nút Extract secret files để bắt đầu trích xuất các tệp hoặc dữ liệu ẩn.
6. Sau khi trích xuất, công cụ sẽ tạo một thông báo hiển thị vị trí của tệp được trích xuất. Nhấp OK.
7. Để xem tệp ẩn đã được trích xuất trong bước trước, hãy điều hướng đến vị trí được hiển thị trong ảnh chụp màn hình ở trên, ví dụ: C:\Users\Administrator\Documents
8. Theo cách này, bạn có thể phát hiện và phân tích dữ liệu được ẩn trong các tệp ở các định dạng khác nhau bằng cách sử dụng giấu tin.
9. Đóng tất cả các cửa sổ.

Thực hành 8: Phát hiện Luồng Dữ liệu Thay thế

Tình huống

Là một phần của một doanh nghiệp tội phạm quy mô lớn, những kẻ tấn công đã đánh cắp thông tin tài chính nhạy cảm từ một số công ty đa quốc gia có trụ sở tại châu Âu bằng cách lừa dối họ thông qua các cuộc tấn công mạng. Là một phần trong kế hoạch của mình, những kẻ tấn công đã sử dụng ADS ẩn (Luồng dữ liệu thay thế) để giới thiệu và thực thi rootkit ẩn và các công cụ tin tặc trong hệ thống mục tiêu của họ mà không bị phát hiện. Vài ngày sau vụ tấn công, các công ty đa quốc gia đã phát hiện ra rằng thông tin tài chính bí mật của họ đã bị xâm phạm. Các công ty đa quốc gia đã tham khảo ý kiến ​​của các nhà điều tra pháp lý chuyên nghiệp để giải quyết vụ án và bảo mật hệ thống của họ.

Mục tiêu

Là một điều tra viên pháp lý chuyên nghiệp, bạn phải biết cách trích xuất thông tin từ ADS ẩn.

Tổng quan

Việc sử dụng Luồng dữ liệu thay thế (ADS) là một kỹ thuật chống pháp lý cho phép kẻ tấn công ẩn dữ liệu trong NTFS của Windows. Đôi khi, các Luồng dữ liệu thay thế ẩn này có thể được sử dụng để khai thác máy chủ web từ xa.

Mục tiêu của bài thực hành này là giúp bạn tìm hiểu cách phát hiện ADS.

Bài thực hành này sẽ giúp bạn làm quen với khái niệm về luồng dữ liệu thay thế (ADS) và giúp bạn hiểu cách phát hiện ADS trên hệ thống Windows.
Hãy đảm bảo rằng Real Time Protection bị vô hiệu hóa trong máy ảo Windows 11 (nếu nó đang chạy) trước khi bắt đầu bài thực hành này.

Nhiệm vụ

Trong bài thực hành này, chúng ta đang xem xét rằng dấu vết của cuộc điều tra không phải là vấn đề chính.

1. Nhấp vào Windows 11 để chọn máy ảo Windows 11. Nhấp Ctrl+Alt+Delete.
2. Theo mặc định, hồ sơ người dùng Admin được chọn. Nhấp Password để dán mật khẩu vào trường Password và nhấn Enter để đăng nhập.
   Nếu trang Networks xuất hiện, nhấp Yes để cho phép PC của bạn được phát hiện bởi các PC và thiết bị khác trên mạng này.
3. Trong bài thực hành này, chúng tôi sẽ sử dụng Windows PowerShell để phát hiện luồng dữ liệu thay thế và xem chúng. Để khởi chạy PowerShell, nhấp chuột phải vào biểu tượng Windows và chọn Windows Terminal (Admin).
   Nếu cửa sổ bật lên User Account Control xuất hiện, nhấp Yes.
4. Windows PowerShell (Admin) khởi chạy. Trong PowerShell nhập cd C:\Windows\system32 và nhấn Enter để điều hướng đến thư mục system32. Để xác định ADS ẩn thông qua PowerShell, nhập lệnh gci -recurse | % { gi Data’ và nhấn Enter.
5. Như được thấy trong ảnh chụp màn hình ở trên, chạy lệnh được mô tả trong Windows PowerShell sẽ phát hiện các tệp chứa ADS và hiển thị kết quả.
6. Bây giờ, chúng ta sẽ điều hướng đến đường dẫn (ở đây, C:\Windows\System32) nơi các tệp văn bản simple_file1.txt và simple_file2.txt nằm và mở chúng.
7. Các tệp, khi được mở, sẽ hiển thị dữ liệu mà chúng chứa, nhưng luồng dữ liệu thay thế ẩn không thể được xem thông qua Windows Explorer.

Đối với mục đích minh họa của bài thực hành này, các tệp đơn giản được hiển thị trong ảnh chụp màn hình ở trên hiển thị dòng This file is meant to deceive you!. Trong một tình huống thực tế, các tệp chứa ADS sẽ hiển thị nội dung bình thường không có vẻ đáng ngờ; những kẻ tấn công sử dụng các tệp có nội dung bình thường để ẩn tin nhắn bí mật của họ và ngăn chặn việc phát hiện.

1. Bây giờ chúng ta sẽ trích xuất luồng ẩn được đính kèm vào tệp đầu tiên, ví dụ: simple_file1.txt. Để trích xuất luồng ẩn, thực thi lệnh get-content -path C:\Windows\system32\simple_file1.txt -stream secret_file1.txt trong Windows PowerShell.
2. PowerShell sẽ trích xuất và hiển thị nội dung được lưu trữ trong luồng ẩn như được hiển thị trong ảnh chụp màn hình sau.
3. Tương tự, bây giờ chúng tôi sẽ trích xuất luồng ẩn được đính kèm vào tệp thứ hai, ví dụ: simple_file2.txt. Để trích xuất luồng ẩn, thực thi lệnh get-content -path C:\Windows\system32\simple_file2.txt -stream secret_file2.txt.
4. PowerShell sẽ trích xuất và hiển thị nội dung được lưu trữ trong luồng ẩn như được hiển thị trong ảnh chụp màn hình sau:
5. Theo cách này, chúng ta có thể sử dụng Windows PowerShell để xác định luồng và xem nội dung ADS. Đóng Windows PowerShell.
6. Bây giờ, chúng ta sẽ sử dụng NoVirusThanks Stream Detector để phát hiện luồng. Để cài đặt, điều hướng đến Z:\CHFIv11 Module 05 Defeating Anti-forensics Techniques\Alternate Data Stream Detection Tools\NoVirusThanks Stream Detector, nhấp đúp vào tệp stream-detector_setup.exe để khởi chạy trình cài đặt và làm theo trình hướng dẫn để cài đặt ứng dụng.

Nếu cửa sổ bật lên Open File – Security xuất hiện, nhấp Run.

Nếu cửa sổ bật lên User Account Control xuất hiện, nhấp Yes.
14. Trong bước cuối cùng của quá trình cài đặt, hãy đảm bảo rằng Open NoVirusThanks Stream Detector được chọn và nhấp Finish.
Nếu cửa sổ bật lên User Account Control xuất hiện, nhấp Yes.
15. Sau khi hoàn tất cài đặt, cửa sổ chính của NoVirusThanks Stream Detector xuất hiện cùng với cửa sổ trình duyệt hiển thị trang web novirusthanks. Đóng cửa sổ trình duyệt web.

1. Bây giờ, chúng ta sẽ gán một thư mục để quét ADS. Trong bài thực hành này, chúng tôi sẽ quét các tệp trong C:\Windows\System32. Bây giờ, nhấp Browse.
2. Cửa sổ Browse for Folder sẽ xuất hiện. Điều hướng và chọn thư mục mà bạn muốn quét để tìm ADS (ở đây, C:\Windows\System32) và nhấp OK.
3. Đường dẫn của thư mục đã chọn bây giờ sẽ xuất hiện trong phần Select Folder to Scan. Nhấp Scan để chạy quét trên thư mục.
4. Công cụ quét các tệp ADS. Sau khi hoàn tất quét, nó sẽ hiển thị các luồng có trong thư mục với các chi tiết như Stream Name, Filename (tên của các tệp mà các luồng đó tồn tại) và Size của các tệp.
5. Nếu bạn muốn lưu thông tin được hiển thị trong ảnh chụp màn hình ở trên, nhấp vào nút Export ở cuối cửa sổ.
6. Cửa sổ Save file as… xuất hiện. Chọn vị trí nơi bạn muốn lưu thông tin (ở đây, chúng tôi sẽ chọn Desktop để lưu thông tin), để tên tệp được đặt theo mặc định và nhấp Save.
7. Tệp sẽ được lưu và xuất sang Desktop. Điều hướng đến Desktop và mở tệp để xem chi tiết của các tệp chứa ADS.
8. Theo cách này, bạn có thể phát hiện luồng trên máy và xem chúng.
9. Đóng tất cả các cửa sổ.

Thực hành 9: Phát hiện Sự không khớp Phần mở rộng Tệp

Tình huống

Một kẻ tấn công đã lưu các tệp độc hại trên hệ thống để thực thi nhằm đánh cắp dữ liệu người dùng nhạy cảm. Để đánh lừa tường lửa và chương trình chống phần mềm độc hại trên hệ thống, họ sử dụng kỹ thuật chống pháp lý bằng cách thay đổi phần mở rộng của các tệp độc hại đó để chúng không bị phát hiện. Kẻ tấn công cũng có thể đã thay đổi phần mở rộng của một số tệp độc hại này thành .sys để ngụy trang chúng dưới dạng tệp hệ thống và ngăn chặn sự chú ý của các nhà điều tra pháp lý. Các nhà điều tra kiểm tra hệ thống cần phát hiện từng tệp độc hại này để chúng có thể được thu thập và nghiên cứu để điều tra thêm.

Mục tiêu

Là một nhà điều tra pháp lý chuyên nghiệp, bạn nên biết cách phát hiện các tệp có sự không khớp phần mở rộng bằng cách sử dụng công cụ thích hợp.

Tổng quan

Phần mở rộng tệp là một mã định danh được chỉ định là hậu tố ở cuối tên tệp. Nó giúp xác định loại tệp trong các hệ điều hành như Windows.
Mục tiêu của bài thực hành này là giúp bạn tìm hiểu cách phát hiện sự không khớp phần mở rộng tệp.

Bài thực hành này sẽ giúp bạn làm quen với khái niệm sự không khớp phần mở rộng tệp và với sự trợ giúp của công cụ Autopsy, nó giúp bạn hiểu cách phát hiện sự không khớp phần mở rộng tệp.

Nhiệm vụ

Trong bài thực hành này, chúng ta đang xem xét rằng dấu vết của cuộc điều tra không phải là vấn đề chính.

1. Chuyển sang máy ảo Windows Server 2022 bằng cách nhấp vào Windows Server 2022 và sau đó nhấp Ctrl+Alt+Delete.
2. Theo mặc định, hồ sơ người dùng Administrator được chọn, nhấp Pa w0rd để dán mật khẩu vào trường Password và nhấn Enter để đăng nhập.
   Nếu trang Networks xuất hiện, nhấp Yes để cho phép PC của bạn được phát hiện bởi các PC và thiết bị khác trên mạng này.
3. Khởi chạy Autopsy bằng cách nhấp đúp vào biểu tượng tắt của nó trên Desktop. Khi khởi chạy Autopsy, cửa sổ chính của công cụ sẽ mở ra cùng với cửa sổ Welcome. Trong cửa sổ Welcome, nhấp vào New Case.

Ở đây chúng ta đang khởi chạy công cụ Autopsy đã được cài đặt trong các bài thực hành trước đó. Nếu bạn đã khởi chạy lại phiên bản thực hành thì hãy cài đặt Autopsy từ vị trí E:\CHFI-Tools\CHFIv11 Module 03 Understanding Hard Disks and File Systems\File System Analysis Tools\Autopsy.

1. Cửa sổ New Case Information xuất hiện, yêu cầu bạn nhập Case Name và Base Directory. Thư mục cơ sở là vị trí nơi dữ liệu vụ án sẽ được lưu trữ. Tên vụ án có thể được nhập theo mục đích nhận dạng của bạn. Trong bài thực hành này, chúng tôi đang gán tên vụ án là File Extension Mismatch.
2. Chúng tôi sẽ lưu dữ liệu vụ án vào thư mục Image File Analysis nằm trên Desktop. Bây giờ, gán thư mục này làm Base Directory và nhấp Next.
3. Phần Optional Information xuất hiện. Nhập Case Number và Examiner Details (ở đây, chúng tôi đã nhập Case Number là 104). Bạn có thể nhập thông tin chi tiết của mình trong phần Examiner. Nhấp Finish.
4. Ứng dụng sẽ mất một chút thời gian để tạo vụ án.
5. Ứng dụng mất một khoảng thời gian để tạo vụ án. Sau khi tạo vụ án, cửa sổ Add Data Source xuất hiện, nơi phần Select Host được hiển thị, để phần chọn mặc định trong phần Select Host và nhấp Next.
6. Trong phần Select Data Source Type. Hãy đảm bảo rằng tùy chọn Disk Image or VM File được chọn, và nhấp Next.
7. Phần Select Data Source xuất hiện. Nhấp Browse để chọn tệp hình ảnh nguồn như được tô sáng trong ảnh chụp màn hình.
8. Khi nhấp vào Browse, cửa sổ Open xuất hiện. Điều hướng đến E:\CHFI-Tools\Evidence Files\Forensic Images và chọn tệp Windows_Evidence_001.dd. Nhấp Open.
9. Bây giờ, đường dẫn đến tệp Windows_Evidence_001.dd sẽ được hiển thị trong trường Path như được hiển thị trong ảnh chụp màn hình bên dưới. Nhấp Next.
10. Bây giờ, phần Configure Ingest xuất hiện. Trong cột Run ingest modules on:, chọn các tùy chọn theo yêu cầu của bạn. Ở đây, chúng tôi đã chọn các tùy chọn File Type Identification, Extension Mismatch Detector và Embedded File Extractor. Sau khi hoàn tất, nhấp Next.
11. Phần Add Data Source bây giờ xuất hiện, hiển thị thông báo Dữ liệu nguồn đã được thêm vào cơ sở dữ liệu cục bộ. Các tệp đang được phân tích. Nhấp Finish.

Công cụ sẽ mất một thời gian để phân tích tệp ảnh được cung cấp.

1. Công cụ bây giờ sẽ đưa bạn đến cửa sổ chính của nó. Mở rộng nút Data Sources trong ngăn bên trái của cửa sổ. Tùy chọn Data Sources sẽ liệt kê tên của tệp ảnh mà bạn đã phân tích (trong trường hợp này, là Windows_Evidence_001.dd).
   Autopsy sử dụng hầu hết tài nguyên của máy ảo trong khi quét ảnh. Máy có thể không phản hồi cho đến khi quá trình quét hoàn tất. Khuyến cáo không truy cập vào máy cho đến khi quá trình quét hoàn tất 100%.
2. Nhấp vào tên tệp hình ảnh (ở đây, Windows_Evidence_001.dd) để xem nội dung của nó trong ngăn bên phải của cửa sổ công cụ. Nó bao gồm tất cả dữ liệu hệ điều hành cần thiết.
3. Để xem các tệp đã được phát hiện với sự không khớp phần mở rộng, nhấp vào danh mục Extension Mismatch Detected trong ngăn bên trái. Công cụ sau đó sẽ hiển thị các tệp có sự không khớp phần mở rộng trong ngăn bên phải của cửa sổ như được hiển thị trong ảnh chụp màn hình sau.

Trong ảnh chụp màn hình ở trên, cột Extension trong ngăn bên phải của cửa sổ hiển thị phần mở rộng đã sửa đổi của các tệp, trong khi cột MIME Type hiển thị phần mở rộng ban đầu của chúng. Vì phần mở rộng của các tệp đã được sửa đổi, điều đó có nghĩa là chúng đã bị giả mạo.
18. Để xem nội dung của tệp có sự không khớp phần mở rộng, hãy chọn tệp; nội dung của nó sẽ được hiển thị trong ngăn dưới của cửa sổ như được hiển thị trong ảnh chụp màn hình sau (ở đây, chúng tôi đã chọn tệp tcp-wireshark-file1.trace. Chọn tệp này sẽ hiển thị hình ảnh của mạch điện tử trong ngăn dưới của cửa sổ. Như có thể thấy trong ảnh chụp màn hình bên dưới, .trace là phần mở rộng đã sửa đổi của tệp này, trong khi .jpeg là phần mở rộng ban đầu của nó.

Khi bạn chọn tệp hình ảnh, công cụ sẽ hiển thị nội dung của nó trong tab Application của ngăn dưới của cửa sổ theo mặc định. Bạn cũng có thể nhấp vào tab Hex, Text, File Metadata và các tab khác để xem dữ liệu tương ứng được lưu trữ trong đó.
19. Theo cách này, bạn có thể xác định các tệp có phần mở rộng bị giả mạo, xem phần mở rộng ban đầu của chúng và thực hiện phân tích thêm nếu cần.

1. Đóng tất cả các cửa sổ đang mở.

Thực hành 10: Giải nén các Tệp Chương trình

Tình huống

Một kẻ tấn công đã lưu một tệp chương trình độc hại trong máy trạm được sử dụng bởi một kế toán tại một công ty môi giới chứng khoán. Kẻ tấn công đã ngụy trang tệp độc hại dưới dạng tệp vô hại bằng cách sử dụng trình đóng gói chương trình. Trình đóng gói chương trình cho phép tệp độc hại được thực thi trên hệ thống mà không bị phát hiện bởi tường lửa và chương trình chống phần mềm độc hại của hệ thống. Tệp độc hại được đóng gói đã khiến thông tin nhạy cảm được lưu trữ trên hệ thống mục tiêu bị xâm phạm. Công ty đã tham khảo ý kiến ​​của một cơ quan điều tra pháp lý để phá án và bảo mật hệ thống của họ. Là một điều tra viên pháp lý chuyên nghiệp, bạn phải biết cách giải nén các tệp được đóng gói.

Mục tiêu

Sử dụng trình đóng gói chương trình là một kỹ thuật chống pháp lý hiệu quả cho kẻ tấn công để ngăn chặn các chương trình độc hại trên hệ thống bị phát hiện.

Mục tiêu của bài thực hành này là giúp bạn tìm hiểu cách giải nén các tệp chương trình được đóng gói.

Tổng quan

Bài thực hành này sẽ giúp bạn làm quen với quy trình xác định trình đóng gói được sử dụng để đóng gói tệp bằng cách sử dụng Detect it Easy (DiE), Exelnfo PE và sau đó giải nén tệp bằng UPX.

Nhiệm vụ

Trong bài thực hành này, chúng tôi đang xem xét rằng dấu vết của cuộc điều tra không phải là vấn đề chính.

1. Trong bài thực hành này, nhiệm vụ đầu tiên của chúng ta là xác định trình đóng gói được sử dụng để đóng gói tệp có tên Infected.exe nằm trong E:\CHFI-Tools\Evidence Files.
2. Chúng ta sẽ sử dụng Detect it Easy (DiE) để thực hiện nhiệm vụ này. Điều hướng đến E:\CHFI-Tools\CHFIv11 Module 05 Defeating Anti-forensics Techniques\Program Unpacking Tools\Detect it Easy (DiE) và nhấp đúp vào tệp die.exe để khởi chạy công cụ.
3. Cửa sổ chính của công cụ xuất hiện, như được hiển thị trong ảnh chụp màn hình sau.
4. Nhấp vào ba dấu chấm ở góc trên bên phải của công cụ.
5. Cửa sổ Open file… xuất hiện. Điều hướng đến E:\CHFI-Tools\Evidence Files, chọn tệp Infected.exe, và nhấp Open.
6. Cửa sổ chính của công cụ bây giờ sẽ hiển thị chi tiết của ứng dụng đã được sử dụng để đóng gói tệp thực thi đã chọn (tức là Infected.exe).

Đối với mục đích minh họa của bài thực hành này, tệp bằng chứng mục tiêu đã được đặt tên là Infected.exe. Trong một tình huống thực tế, tệp chương trình độc hại có thể mang tên có vẻ bình thường. Những kẻ tấn công ngụy trang các tệp độc hại dưới dạng tệp bình thường bằng cách sử dụng các công cụ đóng gói chương trình để chúng không bị phát hiện bởi tường lửa và phần mềm chống phần mềm độc hại trên hệ thống.

Đóng tất cả cửa sổ đang mở.

Đóng cửa sổ Detect It Easy.

Bây giờ, chúng tôi sẽ sử dụng Exelnfo PE để thực hiện nhiệm vụ này. Điều hướng đến E:\CHFI-Tools\CHFIv11 Module 05 Defeating Anti-forensics Techniques\Program Unpacking Tools\ExeInfo PE và nhấp đúp vào tệp exeinfope.exe để khởi chạy công cụ.

Cửa sổ chính của công cụ xuất hiện như trong ảnh chụp màn hình sau.

Nhấp vào biểu tượng Open file ở ngăn bên phải của cửa sổ công cụ chính, như được tô sáng trong ảnh chụp màn hình.

Cửa sổ Open EXE,DLL file sẽ xuất hiện. Điều hướng đến E:\CHFI-Tools\Evidence Files, chọn tệp Infected.exe, và nhấp Open.

Cửa sổ chính của công cụ bây giờ sẽ hiển thị chi tiết của ứng dụng đã được sử dụng để đóng gói tệp thực thi đã chọn (tức là Infected.exe).

Từ ảnh chụp màn hình ở trên, có thể thấy rằng tệp thực thi đã chọn được đóng gói bằng công cụ UPX. Do đó, chúng tôi sẽ sử dụng cùng một công cụ (UPX) để giải nén nó. Đóng cửa sổ ExeInfo PE.

Chúng tôi sẽ chạy tiện ích UPX thông qua PowerShell. Điều hướng đến E:\CHFI-Tools\CHFIv11 Module 05 Defeating Anti-forensics Techniques\Program Unpacking Tools\UPX và đặt con trỏ của bạn vào trường đường dẫn tệp. Nhập cmd vào đường dẫn và nhấn Enter để mở cửa sổ nhắc lệnh trong vị trí được chỉ định.

Dấu nhắc lệnh mở ra, với đường dẫn được đặt thành E:\CHFI-Tools\CHFIv11 Module 05 Defeating Anti-forensics Techniques\Program Unpacking Tools\UPX.

Để giải nén tệp mục tiêu, tức là Infected.exe (nằm tại E:\CHFI-Tools\Evidence Files) và lưu dưới dạng Unpacked.exe, hãy chạy lệnh upx.exe -d -o “E:\CHFI-Tools\Evidence Files\Unpacked.exe” “E:\CHFI-Tools\Evidence Files\Infected.exe”.

Công cụ UPX giải nén tệp thành công như trong ảnh chụp màn hình sau.

Tệp được đóng gói bây giờ đã được giải nén dưới dạng unpacked.exe và được lưu vào thư mục E:\CHFI-Tools\Evidence Files như được hiển thị trong ảnh chụp màn hình.

Tệp Unpacked.exe này là tệp gốc (đã được giải nén) đã được đóng gói và bạn có thể thấy rằng kích thước của nó lớn hơn kích thước của tệp được đóng gói.

Theo cách này, bạn có thể phát hiện trình đóng gói được sử dụng để đóng gói tệp và giải nén chúng bằng các công cụ phù hợp.