CHFI v11 Hướng Dẫn Thực Hành Mô-đun 06: Windows Forensic

Một chuyên gia điều tra số học máy tính tên là Steve được gọi đến để điều tra máy tính xách tay của một người đàn ông 26 tuổi đã bị bắt. Steve bắt đầu điều tra bằng cách tìm kiếm nội dung của máy tính xách tay. Anh ấy đã kiểm tra tất cả các đường dẫn, các tập tin nhật ký, các tiến trình và sự kiện của Windows bằng các công cụ điều tra số học của Windows khác nhau. Trong quá trình điều tra, Steve không tìm thấy bằng chứng nào về tội ác. Dù bị can đã thực hiện một số hoạt động đáng ngờ, nhưng Steve lại tìm thấy nhiều hình ảnh và video khiêu dâm trẻ em. Hơn nữa, dữ liệu được bảo quản trên máy tính xách tay đã chứng minh rằng người đàn ông bị giam giữ chính là người dùng chính.

Mục tiêu thực hành

Mục tiêu của bài thực hành này là hướng dẫn bạn quy trình tìm kiếm các dấu vết bằng chứng của các hệ điều hành Windows. Bằng chứng trong Windows OS bao gồm các quá trình, bộ nhớ, các phân tích tập tin, dữ liệu dễ bay hơi và dữ liệu không dễ bay hơi. Hoàn thành bài thực hành này sẽ bao gồm các hoạt động sau:

• Thu thập và điều tra nội dung bộ nhớ dễ bay hơi của một hệ thống Windows
• Phân tích các tập tin artifact của Windows registry
• Điều tra các tập tin artifact từ trình duyệt web
• Xác định và thu thập bằng chứng số học từ các máy tính
• Xác định các tiến trình đang được tải trên một máy tính
• Điều tra bằng chứng số học trên máy tính Linux
• Phân tích các nhật ký sự kiện của Windows trên máy tính
• Thực hiện phân tích nhật ký trên máy tính

Tổng quan về điều tra số học Windows

Điều tra số học Windows đề cập đến việc thu thập bằng chứng từ máy tính Windows liên quan đến tội phạm mạng. Điều này liên quan đến việc thu thập và bảo quản dữ liệu từ máy tính bị can đã được xác định. Các nhà điều tra thực hiện điều tra số học phải có kiến thức tốt về hệ thống Windows, bao gồm registry, hệ thống tập tin, quá trình và nhật ký sự kiện. Dữ liệu thu thập được có giá trị rất lớn trong việc điều tra.

Các bài thực hành được đề xuất

Các bài thực hành được đề xuất để hỗ trợ bạn trong việc điều tra số học Windows:

• Thu thập thông tin dễ bay hơi từ một hệ thống Windows đang hoạt động
• Điều tra ảnh số học của bộ nhớ RAM Windows
• Trích xuất và phân tích các tập tin dump của bộ nhớ RAM Windows bằng MemProcFS
• Thu thập và điều tra các tập tin registry Windows trên một hệ thống đang hoạt động
• Kiểm tra các artifact trình duyệt web
• Khôi phục dữ liệu duyệt web riêng tư và các artifact trình duyệt
• Trích xuất và xây dựng lại các trang web được lưu trong bộ nhớ cache của Google Chrome
• Khám phá và trích xuất dữ liệu số học từ máy tính
• Trích xuất thông tin về các tiến trình được tải trên máy tính
• Xem, giám sát và phân tích các sự kiện xảy ra trên máy tính Windows

Thực hành 1: Thu thập thông tin dễ bay hơi từ một hệ thống Windows đang hoạt động

Kịch bản thực hành

Đối với các cuộc điều tra số học, các nhà điều tra thường cần thu thập dữ liệu từ hệ thống Windows đang hoạt động để phân tích chi tiết hệ thống và mạng và xử lý thông tin của người dùng. Các nhà điều tra sử dụng cả bằng chứng số học dễ bay hơi và không dễ bay hơi cùng với các công cụ số học khác nhau để lấy bằng chứng cần thiết giúp hỗ trợ cho các trường hợp số học.

Mục tiêu thực hành

Là một nhà điều tra số học, bạn nên biết cách thu thập thông tin dễ bay hơi từ hệ thống đang hoạt động.

Việc thu thập thông tin dễ bay hơi từ hệ thống đang hoạt động liên quan đến việc thu thập thông tin như mạng, thông tin và tiến trình từ hệ thống đang hoạt động.

Mục tiêu của bài thực hành này là giúp bạn thu thập thông tin dễ bay hơi từ hệ thống Windows đang hoạt động.

Tổng quan về thực hành

Bài thực hành này giúp bạn làm quen với các quy trình thu thập thông tin dễ bay hơi từ máy tính chủ đang chạy trên Windows bằng các công cụ như PsTools, LogonSessions và NetworkOpenedFiles.

Các bước thực hành

Trong bài thực hành này, chúng tôi giả sử phạm vi điều tra không phải là vấn đề lớn.

1. Theo mặc định, máy ảo Windows 11 được chọn. Nhấn Ctrl+Alt+Delete.
2. Theo mặc định, hồ sơ người dùng Admin được chọn. Nhấn P@ wOrd để dán mật khẩu vào trường Mật khẩu và nhấn Enter để đăng nhập.

Nếu bảng Networks xuất hiện, nhấp vào Yes để cho phép PC của bạn được tìm thấy bởi các PC và thiết bị khác trên mạng này.

1. Bước đầu tiên trong bất kỳ cuộc điều tra số học nào liên quan đến việc thu thập dữ liệu thời gian hệ thống. Bây giờ, chúng ta sẽ sử dụng cửa sổ Command Prompt để lấy thời gian hệ thống.
2. Trong thanh Tìm kiếm, nhập cmd và nhấn Enter để mở cửa sổ Command Prompt.
3. Trong cửa sổ Command Prompt, nhập date /t & time /t và nhấn Enter để xem ngày và giờ của hệ thống.
4. Bây giờ, nhập net statistics workstation vào cửa sổ Command Prompt và nhấn Enter để xem thời gian hoạt động của hệ thống.
5. Bây giờ, đóng cửa sổ Command Prompt và kết nối với mạng CHFI-Tools (\SERVER2022\z$), như trong ảnh chụp màn hình bên dưới.

Các bước của chúng tôi trong bài thực hành này là thu thập thông tin dễ bay hơi từ máy chủ. Chúng tôi sẽ sử dụng máy Windows Server 2022 làm máy được kết nối cục bộ.

1. Bây giờ, chuyển sang máy ảo Windows Server 2022 bằng cách nhấp vào Windows Server 2022 và sau đó nhấp vào Ctrl+Alt+Delete.
2. Theo mặc định, hồ sơ người dùng Administrator được chọn. Nhấp vào P@ wOrd để dán mật khẩu vào trường Mật khẩu và nhấn Enter để đăng nhập.

Nếu bảng Networks xuất hiện, nhấp vào Yes để cho phép PC của bạn được tìm thấy bởi các PC và thiết bị khác trên mạng này.

1. Trong máy ảo Windows Server 2022, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 06 Windows Forensics\Volatile Data Acquisition Tools\PsTools.
2. Đặt con trỏ của bạn vào trường đường dẫn tập tin, nhập cmd và nhấn Enter để mở cửa sổ dấu nhắc lệnh trong vị trí được chỉ định.
3. Thao tác trên sẽ khởi chạy Command Prompt hiển thị đường dẫn của PsTools. Nhập PsLoggedon.exe và nhấn Enter.
4. Cửa sổ Thỏa thuận Giấy phép PsLoggedon sẽ xuất hiện. Nhấp vào Agree để tiếp tục.
5. Cửa sổ Command Prompt bây giờ sẽ hiển thị hai kết quả: Người dùng đăng nhập cục bộ (ở đây, người dùng cục bộ là Administrator của máy cục bộ) và Người dùng đăng nhập thông qua chia sẻ tài nguyên (trong trường hợp này không có người dùng nào đăng nhập thông qua chia sẻ tài nguyên, do đó kết quả hiển thị null trong phần Người dùng đăng nhập thông qua chia sẻ tài nguyên).
6. Bây giờ, đóng cửa sổ Command Prompt và khởi chạy lại với quyền Administrator. Để làm như vậy, hãy nhập cmd trong thanh tìm kiếm, nhấp chuột phải vào Command Prompt và nhấp vào Run as administrator.
7. Chúng ta bây giờ sẽ chạy lệnh net sessions, lệnh này sẽ liệt kê địa chỉ IP của tất cả các phiên được kết nối trên máy chủ (ở đây là Windows Server 2022). Lệnh này liệt kê địa chỉ IP của máy ảo Windows 11 như được hiển thị trong ảnh chụp màn hình sau.

Lệnh net sessions chỉ có thể được chạy trên máy ảo Windows Server 2022.

1. Điều hướng đến E:\CHFI-Tools\CHFIv11 Module 06 Windows Forensics\Volatile Data Acquisition Tools\LogonSessions.
2. Đặt con trỏ của bạn vào trường đường dẫn tập tin, nhập cmd và nhấn Enter để mở cửa sổ dấu nhắc lệnh ở vị trí được chỉ định.
3. Thao tác trên sẽ khởi chạy Command Prompt với đường dẫn của LogonSessions. Nhập logonsessions.exe và nhấn Enter.
4. Cửa sổ Thỏa thuận Giấy phép LogonSessions sẽ xuất hiện. Nhấp vào Agree để tiếp tục.
5. Tiện ích này bây giờ sẽ liệt kê các phiên đăng nhập đang hoạt động.
6. Để liệt kê các tiến trình, loại phiên đăng nhập và các tiến trình đang chạy bên dưới, sử dụng công tắc -p cùng với logonsessions.exe. Tất cả các tiến trình đang chạy được liên kết với mỗi phiên sẽ được hiển thị bên dưới phần UPN phiên như được hiển thị trong các ảnh chụp màn hình.
7. Đóng Command Prompt.
8. Bây giờ, chúng ta sẽ sử dụng tiện ích net file để lấy thông tin liên quan đến tất cả các tập tin được chia sẻ mở trên máy ảo Windows Server 2022.
9. Để chạy lệnh net file, trong thanh tìm kiếm, nhập cmd trong thanh tìm kiếm, nhấp chuột phải vào Command Prompt và nhấp vào Run as administrator.
10. Trong cửa sổ Command Prompt, nhập net file và nhấn Enter.
11. Lệnh net file bây giờ sẽ hiển thị Đường dẫn của thư mục được chia sẻ từ máy cục bộ, thư mục được truy cập bởi các máy khác (ở đây là máy ảo Windows 11). Nó cũng hiển thị Tên người dùng và số Khóa được liên kết với các thư mục được chia sẻ, như trong ảnh chụp màn hình.

Đầu ra của lệnh được hiển thị trong ảnh chụp màn hình có thể khác nhau trong môi trường thực hành của bạn.

1. Đóng dấu nhắc lệnh.
2. Để phân tích thêm, bạn có thể sử dụng NetworkOpenedFiles để lấy thêm thông tin liên quan đến thư mục/tệp được chia sẻ, chẳng hạn như Địa chỉ IP, Tên máy chủ và Quyền.

NetworkOpenedFiles là một tiện ích dành cho Windows liệt kê tất cả các tệp hiện đang mở trên máy chủ (chỉ những tệp được mở thông qua đăng nhập từ xa sẽ được hiển thị). Với sự trợ giúp của công cụ này, nhà điều tra có thể xác định đăng nhập đáng ngờ mà hiện đang mở tệp trên máy chủ thông qua đăng nhập từ xa.

1. Trước khi chạy và điều hướng NetworkOpenedFiles, hãy chuyển sang máy ảo Windows 11 bằng cách nhấp vào Windows 11 và mở tệp E:\CHFI-Tools\Evidence Files\Infected.pdf.

Nếu cửa sổ Open window xuất hiện, nhấp vào Adobe Acrobat Reader.

1. Bây giờ, để chạy NetworkOpenedFiles, hãy chuyển sang máy ảo Windows Server 2022 bằng cách nhấp vào Windows Server 2022, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 06 Windows Forensics\Volatile Data Acquisition Tools\NetworkOpenedFiles, và nhấp đúp vào NetworkOpenedFiles.exe.
2. Cửa sổ NetworkOpenedFiles xuất hiện, hiển thị các thư mục và tệp được chia sẻ cùng với thông tin như Địa chỉ IP của máy tính mà chúng đã được mở từ xa.

Tên người dùng của tài khoản người dùng truy cập các thư mục và tệp được liệt kê, và Tên máy chủ của máy tính mà từ đó các thư mục và tệp được liệt kê đã được mở (trong trường hợp này, Tên máy chủ sẽ phản ánh tên của máy ảo Windows 11). Nhấp đúp vào E:\CHFI-Tools\Evidence Files\Infected.pdf.

1. Cửa sổ Thuộc tính sẽ mở ra, hiển thị tất cả các chi tiết liên quan đến tệp Infected.pdf.

Vì mục đích minh họa của bài thực hành này, tệp đáng ngờ được biểu thị bằng Infected.pdf. Trong thời gian thực, tệp đáng ngờ có thể có bất kỳ tên nào.

1. Theo cách này, bạn cũng có thể xác định các tệp/thư mục khác hiện đang mở trên máy chủ.
2. Đóng cửa sổ Thuộc tính và cửa sổ NetworkOpenedFiles.
3. Bây giờ, chúng ta sẽ thu thập thông tin về kết nối mạng. Để làm như vậy, hãy mở cửa sổ Command Prompt và nhập netstat -ano vào cửa sổ Command Prompt và nhấn Enter để xem các kết nối mạng TCP và UDP, các cổng đang lắng nghe và PID.
4. Đóng cửa sổ Command Prompt.
5. Bây giờ, chúng ta sẽ thu thập thông tin về thời lượng mạng và mức sử dụng băng thông từ môi trường Windows 11 bằng một tập lệnh Python.
6. Nhấp vào Windows 11 để chuyển sang máy Windows 11.
7. Mở cửa sổ Command Prompt trong máy Windows 11, nhập python và nhấn Enter.
8. Bạn sẽ được chuyển hướng đến Microsoft Store. Nhấp vào Get để cài đặt phiên bản cập nhật của Python.

Phiên bản Python có thể khác khi bạn thực hiện bài thực hành này.

1. Sau khi cài đặt xong, đóng các cửa sổ Microsoft Store và Command Prompt.
2. Trong thanh tìm kiếm, nhập notepad++ và nhấn Enter để mở cửa sổ Notepad++.
3. Trong cửa sổ Notepad++, nhập mã như được hiển thị trong ảnh chụp màn hình bên dưới và lưu tệp dưới dạng NetworkDuration.py trên Desktop.

Để thuận tiện, chúng tôi đã đặt tập lệnh Python NetworkDuration.py trong Z:\CHFIv11 Module 06 Windows Forensics\Python Scripts. Nếu bạn muốn sử dụng tệp này, hãy sao chép tệp NetworkDuration.py, dán vào Desktop và tiếp tục từ Bước 48.

1. Bây giờ, nhấp vào File và Save option từ thanh menu.
2. Trong cửa sổ Save As, điều hướng đến Desktop và nhập NetworkDuration.py trong trường File name. Trong trường Save as type, chọn All types và nhấp vào Save.
3. Chúng ta sẽ chạy tập lệnh python này để thu thập thông tin về thời lượng mạng và sử dụng băng thông. Đóng cửa sổ Notepad++.
4. Mở cửa sổ Command Prompt và điều hướng đến Desktop. Để làm như vậy, nhập cd Desktop và nhấn Enter.
5. Trong Command Prompt, nhập pip install psutil và nhấn Enter.
6. Bây giờ, nhập python NetworkDuration.py và nhấn Enter.
7. Chúng ta có thể thấy rằng tập lệnh sẽ hiển thị thông tin về thời lượng mạng và sử dụng băng thông.
8. Nhấn CTRL+C để dừng tập lệnh.
9. Đóng tất cả các cửa sổ trong cả hai máy ảo Windows Server 2022 và Windows 11.

Bài thực hành 2: Điều tra hình ảnh pháp y của RAM Windows

Kịch bản thực hành

Một công ty đầu tư phát hiện ra rằng thông tin bí mật liên quan đến bí mật thương mại của họ đã bị xâm phạm. Công ty đã tham khảo ý kiến của một chuyên gia điều tra pháp y để xác định nguyên nhân của việc vi phạm dữ liệu. Công ty sử dụng hệ thống lưu trữ pháp y để lưu trữ dữ liệu của mình. Nhà điều tra cần rút ra tất cả các hoạt động độc hại từ hệ thống lưu trữ và phân tích các hoạt động đó. Nhà điều tra cần xác định mọi tiến trình độc hại đang chạy trên hệ thống. Nhà điều tra cần xem xét nội dung của hệ thống Windows để xác định mọi hoạt động độc hại.

Mục tiêu thực hành

Để trở thành một chuyên gia điều tra pháp y, bạn cần biết cách phát hiện các tiến trình độc hại đang chạy trên hệ thống bằng cách sử dụng các công cụ điều tra pháp y thích hợp.

Trường hợp mục tiêu

Phân tích dump RAM của hệ thống giúp nhà điều tra lấy lại bằng chứng có giá trị liên quan đến vụ án mạng máy tính.

Mục tiêu của bài thực hành này là phân tích RAM của máy Windows bằng tiện ích Redline.

Tổng quan về thực hành

Bài thực hành này giúp bạn làm quen với việc kiểm tra bộ nhớ dump của Windows bằng tiện ích Redline. Hoạt động dễ bay hơi được thực hiện trên máy mục tiêu liên quan đến việc điều tra và xác định các cuộc tấn công hoặc hành vi độc hại đã xảy ra.

Các bước thực hành

1. Nhấp vào Windows Server 2022 để chuyển sang máy ảo Windows Server 2022.
2. Theo mặc định, hồ sơ người dùng Administrator được chọn. Nhấp vào P@ wOrd để dán mật khẩu vào trường Password và nhấn Enter để đăng nhập.

Nếu bảng Networks xuất hiện, hãy nhấp vào Yes để cho phép PC của bạn được phát hiện bởi các PC và thiết bị khác trên mạng này.

Vì bạn đã đăng nhập vào máy ảo Windows Server 2022 (trong bài thực hành trước), bạn có thể bỏ qua các bước trên.

1. Điều hướng đến E:\CHFI-Tools\CHFIv11 Module 06 Windows Forensics\Memory Forensics Tools\Redline. Nhấp đúp vào Redline_2.0.msi và làm theo các bước cài đặt dựa trên trình hướng dẫn để cài đặt ứng dụng.
2. Sau khi hoàn tất cài đặt, hãy nhấp vào biểu tượng Windows ở góc dưới bên trái của màn hình và sau đó nhấp vào biểu tượng Redline để khởi chạy ứng dụng.
3. Cửa sổ chính của công cụ Redline xuất hiện. Trong bài thực hành này, chúng ta sẽ kiểm tra hình ảnh bộ nhớ. Di chuyển con trỏ chuột qua phần Analyze Data và nhấp vào From a Saved Memory File.
4. Cửa sổ Start your Analysis Session xuất hiện. Tại đây, bạn cần chỉ định vị trí của hình ảnh bộ nhớ mà bạn muốn kiểm tra. Nhấp vào nút Browse.
5. Cửa sổ Open xuất hiện. Điều hướng đến E:\CHFI-Tools\Evidence Files\Forensic Images, chọn Windows_RAM.mem từ menu thả xuống loại tệp, và nhấp vào Open.
6. Tệp hiện đã được thiết lập để phân tích. Nhấp vào Next.
7. Bây giờ, bạn phải chỉ định tên cho phiên phân tích và vị trí mà phiên sẽ được lưu. Trong bài thực hành này, chúng ta đang đặt tên cho phiên phân tích là Windows RAM Analysis và vị trí là, C:\Users\Administrator\Documents.
8. Nhấp vào OK để tiếp tục.
9. Redline sẽ bắt đầu phân tích hình ảnh và mất khoảng 60 phút để hoàn tất phân tích.
10. Sau khi tạo phiên phân tích, cửa sổ sau sẽ xuất hiện. Nhấp đúp vào Processes trong bảng điều khiển bên trái để xem tất cả các tiến trình được ghi lại trên hình ảnh.
11. Redline hiển thị tất cả các tiến trình được ghi lại trong RAM như được hiển thị trong ảnh chụp màn hình sau.
12. Kiểm tra các tiến trình có thể giúp các nhà điều tra xác định xem có bất kỳ tiến trình đáng ngờ nào đang chạy trên máy không. Tuy nhiên, để xác định bất kỳ tiến trình nào như vậy, họ có thể kiểm tra các kết nối mạng trên bằng chứng để xác định bất kỳ hoạt động bất thường nào.
13. Nhấp vào Ports trong bảng điều khiển bên trái. Phần Ports sẽ xuất hiện trong bảng điều khiển bên phải, hiển thị tất cả các kết nối mạng và tiến trình được liên kết với chúng. Chú ý đến phần Filters của phần Ports để làm rõ.
14. Kiểm tra phần Ports để tìm bất kỳ bất thường nào trong mạng. Bạn sẽ thấy rằng một tiến trình có tên rundll32.exe được kết nối với 172.20.20.1 trên cổng 4444 và kết nối là CLOSED.
15. Cuộn xuống phần để tìm bất kỳ kết nối bất thường nào khác. Khi cuộn xuống, bạn sẽ thấy rằng cùng một tiến trình rundll32.exe tồn tại với PID 1896, được kết nối với 172.20.21.4444 trên cổng nhưng trạng thái kết nối là ESTABLISHED và đang hoạt động, điều này là đáng ngờ.
16. Để phân tích thêm, chúng tôi sẽ đi đến phần Hierarchical Processes, nơi mà tiến trình cha và tiến trình con được liệt kê. Nhấp vào Hierarchical Processes trong bảng điều khiển bên trái và xem phần Filters.
17. Phần Hierarchical Processes xuất hiện trong bảng điều khiển bên phải, hiển thị các tiến trình theo thứ bậc như được hiển thị trong ảnh chụp màn hình sau.
18. Ảnh chụp màn hình ở trên cho thấy tiến trình rundll32.exe, mà chúng tôi đã xác định trong các bước trước, có spoolsv.exe làm tiến trình cha và cmd.exe, notepad.exe, calc.exe làm tiến trình con.
19. Điều trên đây cho thấy rằng tiến trình spoolsv.exe đã bị xâm nhập, dẫn đến việc thực thi cmd.exe từ đó các tiến trình rundll32.exe và calc.exe được thực thi. cmd.exe được thực thi từ cmd.exe tương ứng với Command Prompt.
20. Để xem dòng thời gian của các sự kiện được ghi lại trên RAM, hãy nhấp vào Timeline trong bảng điều khiển bên trái. Thao tác này sẽ hiển thị dòng thời gian của các hoạt động như được hiển thị trong các ảnh chụp màn hình sau.
21. Hơn nữa, bạn có thể nhấp vào Handles, Memory Sections, Driver Modules, Device Tree và Hooks để phân tích thêm.
22. Đóng ứng dụng.
23. Bây giờ, chúng ta sẽ phân tích hình ảnh bằng framework Volatility.
24. Điều hướng đến E:\CHFI-Tools\CHFIv11 Module 06 Windows Forensics\Memory Forensics Tools\Volatility.
25. Đặt con trỏ của bạn vào trường đường dẫn tệp, nhập cmd và nhấn Enter để mở cửa sổ dấu nhắc lệnh ở vị trí được chỉ định.
26. Dấu nhắc lệnh xuất hiện với đường dẫn được đặt thành E:\CHFI-Tools\CHFIv11 Module 06 Windows Forensics\RAM. Trong bài thực hành này, chúng tôi sẽ phân tích Windows RAM được đặt tại E:\CHFI-Tools\Evidence Files\Forensic Images.
27. Nhiệm vụ đầu tiên của chúng tôi là lấy thông tin về hình ảnh. Plugin imageinfo của Volatility giúp lấy thông tin này. Bây giờ, nhập lệnh volatility_2.6_win64_standalone.exe -f E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_RAM.mem imageinfo vào Command Prompt và nhấn Enter.
28. Volatility phân tích tệp, và hiển thị thông tin của nó như được hiển thị trong ảnh chụp màn hình sau.

Ngoài ra, bạn có thể sử dụng plugin kdbgscan để quét trình gỡ lỗi kernel và liệt kê các hồ sơ được đề xuất. Để sử dụng plugin này, hãy nhập lệnh volatility_2.6_win64_standalone.exe -f “E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_RAM.mem” kdbgscan vào Command Prompt và nhấn Enter. Volatility phân tích tiêu đề kdbg và liệt kê các hồ sơ có thể có như được hiển thị trong ảnh chụp màn hình.

1. Volatility hiển thị danh sách các hồ sơ được đề xuất. Chúng ta phải chọn một hồ sơ từ danh sách có thể phù hợp với RAM. Trong bài thực hành này, chúng ta sẽ chọn Win2008R2SP0x64.
2. Vì chúng ta đã tìm thấy hồ sơ phù hợp với RAM, trong bài thực hành này, chúng ta sẽ xem các kết nối mạng được liên kết với máy và hình ảnh. Nhập lệnh volatility_2.6_win64_standalone.exe -f “E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_RAM.mem” –profile=Win2008R2SP0x64 netscan vào Command Prompt và nhấn Enter.
3. Ảnh chụp màn hình ở trên cho thấy rằng một tiến trình có tên rundll32 có kết nối mạng với máy bị nghi ngờ, nhưng kết nối đã bị đóng. Các PID của tiến trình là 1872 và 1896. Bây giờ chúng ta sẽ xem có bất kỳ kết nối đang hoạt động nào với cùng tiến trình đó hay không.
4. Cuộn xuống cửa sổ Command Prompt để phát hiện bất kỳ kết nối đang hoạt động nào với rundll32.exe. Chúng ta có thể thấy một kết nối đang hoạt động của rundll32.exe với PID 1896, như được hiển thị trong ảnh chụp màn hình sau.
5. Từ ảnh chụp màn hình ở trên, có thể suy ra rằng tiến trình rundll32 đã được khởi tạo nhiều lần. Trong khi kết nối liên quan đến PID 1872 bị đóng, kết nối với PID 1896 vẫn đang hoạt động. Dựa trên thông tin này, chúng ta sẽ tiến hành điều tra thêm.
6. Bạn có thể xem cùng một tiến trình trong danh sách tiến trình bằng cách ban hành lệnh sau: volatility_2.6_win64_standalone.exe -f “E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_RAM.mem” –profile=Win2008R2SP0x64 pslist
7. Volatility liệt kê tất cả các tiến trình như được hiển thị trong ảnh chụp màn hình sau.
8. Cuộn xuống danh sách để tìm tiến trình rundll32.exe, tiến trình đã được quan sát trong các kết nối mạng trước đó.
9. Dựa trên tiến trình, bạn có thể liệt kê các tệp và registry được sử dụng bởi nó. Để xem các tệp được sử dụng bởi tiến trình, hãy nhập lệnh volatility_2.6_win64_standalone.exe -f “E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_RAM.mem” –profile=Win2008R2SP0x64 handles -p 1896 -t file và nhấn Enter.
10. Để xem registry được liên kết với tiến trình, hãy nhập lệnh volatility_2.6_win64_standalone.exe -f “E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_RAM.mem” –profile=Win2008R2SP0x64 handles -p 1896 -t key và nhấn Enter.
11. Để liệt kê cây tiến trình liên quan đến rundll32.exe, hãy nhập lệnh volatility_2.6_win64_standalone.exe -f “E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_RAM.mem” –profile=Win2008R2SP0x64 pstree
12. Thao tác này liệt kê cây tiến trình liên quan đến rundll32.exe như được hiển thị trong ảnh chụp màn hình sau.
13. Trong màn hình ở trên, 1 biểu thị tiến trình đầu tiên và 2 biểu thị tiến trình thứ hai.
14. Từ ảnh chụp màn hình ở trên, chúng ta có thể thấy rằng luồng tiến trình như sau: spoolsv.exe -> rundll32.exe -> cmd.exe -> rundll32.exe. Trong chuỗi rundll32.exe đầu tiên, chúng ta thấy các tiến trình con cmd.exe, notepad.exe và calc.exe bắt nguồn từ nó.
15. Điều này cho thấy rằng cả hai tiến trình cmd.exe bắt nguồn từ spoolsv.exe và notepad.exe và calc.exe được khởi tạo từ cmd.exe.
16. Theo cách này, bạn có thể sử dụng Volatility để kiểm tra hình ảnh RAM. Ngoài các plugin đã được chứng minh ở trên, bạn cũng có thể sử dụng các plugin khác như malfind, arp, ifconfig.
17. Đóng tất cả các cửa sổ.
18. Hình ảnh RAM cũng có thể được kiểm tra bằng dòng lệnh trên máy Ubuntu.
19. Chuyển sang máy ảo Ubuntu Forensics bằng cách nhấp vào Ubuntu Forensics.
20. Theo mặc định, hồ sơ người dùng toor được chọn. Nhập mật khẩu toor vào trường Password và nhấn Enter để đăng nhập.
21. Nhấp vào biểu tượng Files trong bảng điều khiển Launcher để khởi chạy Trình quản lý tệp.
22. Cửa sổ Trình quản lý tệp xuất hiện, trỏ đến thư mục Home. Nhấp vào thư mục được đánh dấu chfi-tools on 10.10.1.22.
23. Thư mục chfi-tools xuất hiện trong cửa sổ.
24. Bây giờ, hãy chuyển đến Evidence Files -> Forensic Images. Bạn sẽ thấy tệp Windows_RAM.mem trong thư mục images. Sao chép tệp này.
25. Điều hướng đến thư mục Home và dán tệp.
26. Bây giờ, hãy nhấp vào Terminal từ bảng điều khiển khởi chạy để khởi chạy cửa sổ dòng lệnh.
27. Cửa sổ dòng lệnh xuất hiện. Bạn cần quyền root trong cửa sổ dòng lệnh để cài đặt ứng dụng.
28. Bây giờ, nhập sudo su và nhấn Enter. Bạn sẽ được nhắc nhập mật khẩu.
29. Bây giờ, nhập toor làm mật khẩu và nhấn Enter, như được hiển thị trong ảnh chụp màn hình sau.
30. Để liệt kê tất cả các tệp và thư mục, hãy nhập lệnh strings Windows_RAM.mem | grep “[A-Za-z]\{files\}sort | uniq và nhấn Enter.
31. Điều này hiển thị tất cả các tệp và thư mục được lưu trữ trên máy bị nghi ngờ, như được hiển thị trong ảnh chụp màn hình sau.
32. Chúng ta phải kiểm tra đầu ra để xem có bất kỳ tệp đáng ngờ nào được tìm thấy trên máy hay không.
33. Để trích xuất tất cả các URL được lưu trữ trên máy bị nghi ngờ, hãy nhập lệnh strings Windows_RAM.mem | egrep “http://”; | sort | uniq.
34. Lệnh liệt kê tất cả các URL đã truy cập trong đầu ra của nó, như được hiển thị trong ảnh chụp màn hình.
35. Chúng ta phải kiểm tra đầu ra để xác định sự hiện diện của bất kỳ URL đáng ngờ nào trên máy.
36. Kiểm tra địa chỉ IP giúp chúng ta xác định xem có bất kỳ kết nối độc hại nào được liên kết với máy hay không. Để xem địa chỉ IP, hãy nhập lệnh strings Windows_RAM.mem | egrep ([0-9]\{1,3\}\.){3}[0-9]\{1,3\} | sort | uniq và nhấn Enter.
37. Lệnh strings trích xuất tất cả các mục được liên kết với địa chỉ IP và các mục bổ sung có định dạng địa chỉ IP, tức là, (octet.octet.octet.octet).
38. Cuộn xuống kết quả để tìm bất kỳ mục địa chỉ IP hợp lệ nào được ghi lại trong ảnh.
39. Nếu bạn tìm thấy mục có thể tiết lộ thông tin quan trọng liên quan đến cuộc điều tra, bạn có thể sử dụng lệnh strings để xem thông tin đó.
40. Trong bài thực hành này, chúng tôi sẽ sử dụng địa chỉ IP của máy, trong trường hợp này là 172.20.20.9, để lọc dữ liệu có chứa địa chỉ này. Bây giờ, nhập lệnh strings Windows_RAM.mem | egrep “172.20.20.9” để lọc các mục trong ảnh có chứa địa chỉ IP như được hiển thị trong các ảnh chụp màn hình sau.
41. Giải mã mục ở trên cho thấy rằng một kết nối mạng đã được thiết lập với máy đang được điều tra. Kết nối được thiết lập với 172.20.20.9 trên cổng 4444. Tiến trình được liên kết với kết nối là rundll32.exe nằm trong C:\Windows\System32.
42. Theo cách này, hình ảnh RAM đóng vai trò là bằng chứng quan trọng để khám phá dữ liệu quan trọng trong quá trình điều tra.
43. Đóng tất cả các cửa sổ.

Thực hành 3: Trích xuất và phân tích các tệp dump RAM Windows bằng MemProcFS

Kịch bản thực hành

David, một nhà điều tra pháp y, được giao nhiệm vụ trích xuất các artifact từ dump bộ nhớ Windows dưới dạng các tệp văn bản. Các tệp văn bản được gắn kết trong một hệ thống tệp ảo để anh ta có thể phân tích chúng trong một cuộc điều tra pháp y.

Mục tiêu thực hành

Để trở thành một chuyên gia điều tra pháp y, bạn cần biết cách trích xuất các artifact từ dump bộ nhớ Windows.

Mục tiêu thực hành

Kiểm tra dump bộ nhớ giúp nhà điều tra phát hiện rootkit ẩn, tìm các đối tượng ẩn, xác định bất kỳ tiến trình đáng ngờ nào, v.v.

Mục tiêu của bài thực hành này là phân tích dump bộ nhớ của máy Windows bằng công cụ MemProcFS.

Tổng quan về thực hành

Bài thực hành này giúp bạn làm quen với việc trích xuất các artifact từ dump bộ nhớ Windows dưới dạng các tệp văn bản. Các tệp này được gắn kết trong một hệ thống tệp ảo.

Các bước thực hành

1. Trong máy Windows Server 2022, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 06 Windows Forensics\MemProcFS.
2. Đặt con trỏ của bạn vào trường đường dẫn tệp, nhập cmd và nhấn Enter để mở cửa sổ dấu nhắc lệnh ở vị trí được chỉ định.
3. Trong cửa sổ Command Prompt, nhập Dokan_x64.msi và nhấn Enter. Sau đó, làm theo các bước cài đặt để cài đặt ứng dụng.

*Nếu cửa sổ Open File – Security Warning xuất hiện, nhấp vào Run.

1. Sau khi cài đặt, hãy nhấp vào Finish để hoàn tất cài đặt.
2. Bây giờ, trong cửa sổ Command Prompt, nhập .\MemProcFS.exe device “E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_RAM.mem” –forensic 1 và nhấn Enter.
3. Nếu cửa sổ bật lên Microsoft Internet Symbol Store xuất hiện, hãy nhấp vào Có.

Nếu bạn nhận được bất kỳ lỗi python nào, hãy bỏ qua nó.

1. Công cụ phân tích thông tin artifact.
2. Khi thực thi hoàn tất, công cụ sẽ gắn kết một hệ thống tệp ảo với ký tự M và tất cả các artifact được phân tích sẽ được lưu trong hệ thống tệp này.
3. Thu nhỏ cửa sổ Command Prompt, mở File Explorer và điều hướng đến ổ đĩa M để xem các artifact được phân tích.

Đảm bảo rằng cửa sổ Command Prompt đang chạy.

1. Bạn có thể thấy rằng bộ nhớ vật lý xuất hiện dưới dạng các thư mục có chứa các tệp văn bản.
2. Mở bất kỳ thư mục nào để xem nội dung của nó (ở đây chúng ta đang mở thư mục registry để xem nội dung của nó).
3. Theo cách này, bạn có thể trích xuất các artifact từ dump bộ nhớ Windows dưới dạng các tệp văn bản được gắn kết trong một hệ thống tệp ảo để phân tích chúng.
4. Đóng tất cả các cửa sổ.

Thực hành 4: Thu thập và kiểm tra tệp registry Windows trên hệ thống đang hoạt động

Kịch bản thực hành

Phân tích pháp y registry Windows giúp nhà điều tra trích xuất các artifact pháp y như tài khoản người dùng, các ứng dụng được truy cập gần đây,hoạt động USB, các chương trình chạy gần đây nhất và các ứng dụng đã cài đặt.

Mục tiêu thực hành

Trong Phân tích trực tiếp, các nhà điều tra sử dụng trình chỉnh sửa registry tích hợp sẵn để kiểm tra registry và các công cụ như FTK Imager để chụp tệp registry từ hệ thống trực tiếp để phân tích pháp y. Các nhà điều tra pháp y cũng có thể sử dụng các công cụ như Hex Workshop để truy xuất các tạo tác liên quan đến tội phạm mạng từ các tệp registry đã chụp.

Mục đích của bài thực hành này là giúp bạn tìm hiểu cách chụp tệp registry Windows trên hệ thống đang hoạt động bằng FTK Imager và xem chúng bằng Hex Workshop.

Tổng quan về thực hành

Bài thực hành này giúp bạn làm quen với công cụ FTK Imager để chụp tệp registry Windows từ hệ thống đang hoạt động và công cụ Hex Workshop để xem dữ liệu đã chụp.

Các bước thực hành

Trong bài thực hành này, chúng tôi xem xét rằng dấu vết của cuộc điều tra không phải là vấn đề lớn.

1. Trong máy Windows Server 2022, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 04 Data Acquisition and Duplication\Data Acquisition Tools\AccessData FTK Imager, nhấp đúp vào AccessData_FTK_Imager_4.7.1.exe để khởi chạy thiết lập và làm theo hướng dẫn cài đặt dựa trên trình hướng dẫn để cài đặt ứng dụng.
2. Cửa sổ chính của AccessData FTK Imager xuất hiện như được hiển thị trong ảnh chụp màn hình sau:
3. Nhấp vào File -> Obtain Protected Files.
4. Trong cửa sổ Obtain System Files, nhấp vào Browse bên cạnh Destination for obtained files:.
5. Trong cửa sổ Browse For Folder, điều hướng đến Desktop và tạo một thư mục mới có tên Registry Files. Sau đó, nhấp vào OK.
6. Đường dẫn đến Registry Files được hiển thị trong Destination for obtained files:. Đảm bảo rằng Password recovery and all registry files được chọn, và sau đó nhấp vào OK.
7. Công cụ bắt đầu phân tích cú pháp các tệp registry và lưu chúng vào vị trí đã cho.
8. Điều hướng đến C:\Users\Administrator\Desktop\Registry Files để xem các tệp registry đã được phân tích cú pháp.

Các tệp được hiển thị trong ảnh chụp màn hình bên dưới là các khóa phụ của HKEY_LOCAL_MACHINE đã được xuất bằng FTK Imager từ máy bị nghi ngờ đang hoạt động.

1. Bây giờ, chúng ta sẽ xem nội dung của các tệp registry đã được phân tích cú pháp này bằng công cụ Hex Workshop.
2. Điều hướng đến thư mục E:\CHFI-Tools\CHFIv11 Module 06 Windows Forensics\Windows Forensics Tools\Hex Workshop, nhấp đúp vào hw_v680.exe và làm theo các bước dựa trên trình hướng dẫn để cài đặt ứng dụng.

*Nếu cửa sổ bật lên Open File – Security Warning xuất hiện, hãy nhấp vào Run.

1. Trong cửa sổ Choose Setup Type, nhấp vào Typical.
2. Trong cửa sổ tiếp theo, nhấp vào Install.
3. Trong cửa sổ cuối cùng sau khi cài đặt, hãy nhấp vào Finish.

Nếu cửa sổ bật lên yêu cầu khởi động lại hệ thống xuất hiện, hãy nhấp vào Có. Sau khi máy tính khởi động lại, nhấn Ctrl+Alt+Delete để kích hoạt máy. Theo mặc định, hồ sơ người dùng Administrator được chọn, hãy nhấp vào P@

wOrd để dán mật khẩu vào trường Password và nhấn Enter để đăng nhập.

1. Nhấp đúp vào phím tắt Hex Workshop Hex Editor trên Desktop để khởi chạy công cụ Hex Workshop.
2. Trong công cụ Hex Workshop, nhấp vào File -> Open để mở các tệp registry đã được phân tích cú pháp.
3. Trong cửa sổ Open, điều hướng đến Desktop -> Registry Files và chọn tệp software. Sau đó, nhấp vào Open.
4. Tệp software mở ra trong công cụ Hex Workshop. Bạn có thể cuộn xuống để xem chi tiết về phần mềm đã được cài đặt trên hệ thống.
5. Bạn có thể mở thêm các tệp hệ thống SAM, SECURITY trong công cụ Hex Workshop để xem nội dung của chúng.
6. Theo cách này, bạn có thể kiểm tra registry Windows thông qua FTK Imager và Hex Workshop.
7. Đóng tất cả các cửa sổ đang mở.

Thực hành 5: Kiểm tra tạo tác trình duyệt web

Kịch bản thực hành

Stuart là một nhân viên tại một công ty công nghệ. Công ty của anh ấy đã chứng kiến sự sụt giảm hiệu suất của anh ấy trong một khoảng thời gian và thấy hành vi của anh ấy tại nơi làm việc cực kỳ đáng ngờ. Họ đã tham khảo ý kiến của một chuyên gia điều tra pháp y để kiểm tra máy trạm của Stuart. Là một phần của cuộc điều tra, nhà điều tra phải kiểm tra bộ nhớ cache, cookie và lịch sử duyệt web được lưu trữ trong trình duyệt (các trình duyệt) được sử dụng trên máy trạm của nghi phạm. Việc kiểm tra và phân tích bộ nhớ cache, cookie và lịch sử duyệt web có thể giúp nhà điều tra thu thập bằng chứng có giá trị để giải quyết một vụ án tội phạm mạng.

Mục tiêu thực hành

Là một nhà điều tra pháp y chuyên nghiệp, bạn phải biết cách kiểm tra và phân tích lịch sử duyệt web, cookie và bộ nhớ cache được lưu trữ trong trình duyệt.

Mục tiêu thực hành

Lịch sử, cookie và bộ nhớ cache của trình duyệt lưu trữ dữ liệu quan trọng liên quan đến hoạt động duyệt web của người dùng. Trong trường hợp xảy ra tội phạm mạng, việc điều tra lịch sử, cookie và bộ nhớ cache của (các) trình duyệt web giúp các nhà điều tra truy xuất các tạo tác có giá trị để giải quyết vụ án.

Mục tiêu của bài thực hành này là điều tra và trích xuất các tạo tác trình duyệt web như lịch sử duyệt web, cookie và bộ nhớ cache.

Tổng quan về thực hành

Bài thực hành này giúp bạn làm quen với các công cụ ChromeCacheView, ChromeHistoryView, ChromeCookiesView, MZCacheView, MZHistoryView và MZCookiesView và giúp bạn hiểu cách truy xuất các tạo tác liên quan đến tệp bộ nhớ cache, lịch sử duyệt web và cookie từ trình duyệt Google Chrome và Mozilla Firefox.

Các bước thực hành

Trong bài thực hành này, chúng tôi xem xét rằng dấu vết của cuộc điều tra không phải là vấn đề lớn.

1. Chuyển sang máy ảo Windows Server 2022 bằng cách nhấp vào Windows Server 2022 và sau đó nhấp vào Ctrl+Alt+Delete.
2. Theo mặc định, hồ sơ người dùng Administrator được chọn, nhấp vào P@ wOrd để dán mật khẩu vào trường Password và nhấn Enter để đăng nhập.

Nếu bảng Networks xuất hiện, nhấp vào Yes để cho phép PC của bạn được phát hiện bởi các PC và thiết bị khác trên mạng này.

Các tạo tác được truy xuất từ phân tích trình duyệt sẽ phụ thuộc vào các trang web mà người dùng đã truy cập. Do đó, lịch sử duyệt web, cookie và tệp bộ nhớ cache được truy xuất có thể khác nhau trong mỗi môi trường thực hành. Với mục đích mô phỏng thực hành, trước khi bắt đầu các tác vụ thực hành, bạn nên duyệt ngẫu nhiên các trang web khác nhau trên mỗi trình duyệt đang được điều tra, tức là Google Chrome và Mozilla Firefox. Điều này sẽ cho phép bạn phát hiện và truy xuất các tạo tác duyệt web tương ứng với các trang web mà bạn đã duyệt/truy cập.

1. Điều hướng đến E:\CHFI-Tools\CHFIv11 Module 06 Windows Forensics\Browser Analysis Tools\Google Chrome.
2. Trong thư mục Google Chrome, bạn sẽ tìm thấy các thư mục cho ba công cụ: ChromeCacheView, ChromeHistoryView, và ChromeCookiesView.
3. Đầu tiên, mở thư mục công cụ ChromeCacheView và khởi chạy ChromeCacheView.exe.

*Nếu cửa sổ bật lên Open File – Security Warning xuất hiện, nhấp vào Run.

1. Công cụ hiển thị thông tin như Filename, URL, Content Type, File Size, Last Accessed, Expire time, Server Time, Server Name, Server Response và Server IP Address.
2. Bây giờ, hãy đóng cửa sổ ChromeCacheView, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 06 Windows Forensics\Browser Analysis Tools\Google Chrome\ChromeCookiesView và khởi chạy ChromeCookiesView.exe.

*Nếu cửa sổ bật lên Open File – Security Warning xuất hiện, nhấp vào Run.

1. Công cụ hiển thị thông tin như Host Name, Path, Name, Value, Secure, HTTP Only, Last Accessed, v.v. cho mỗi trang web đã truy cập.
2. Bây giờ, đóng cửa sổ ChromeCookiesView, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 06 Windows Forensics\Browser Analysis Tools\Google Chrome\ChromeHistoryView và khởi chạy ChromeHistoryView.exe.

*Nếu cửa sổ bật lên Open File – Security Warning xuất hiện, nhấp vào Run.

1. ChromeHistoryView hiển thị thông tin như URL, Title, Visited On, Visit Count, Visit ID, History File, v.v. cho mỗi cookie.
2. Đóng cửa sổ ChromeHistoryView. Theo cách này, bạn có thể xem các tạo tác trình duyệt Chrome để phát hiện bất kỳ mục đáng ngờ nào trong lịch sử duyệt web.
3. Tương tự, chúng ta sẽ trích xuất các tạo tác của trình duyệt Firefox.
4. Điều hướng đến E:\CHFI-Tools\CHFIv11 Module 06 Windows Forensics\Browser Analysis Tools\Mozilla Firefox.
5. Trong thư mục Mozilla Firefox, bạn sẽ tìm thấy các thư mục cho ba công cụ: MZCacheView, MZHistoryView và MZCookiesView.
6. Đầu tiên, mở thư mục MZCacheView và khởi chạy MZCacheView.exe.

*Nếu cửa sổ bật lên Open File – Security Warning xuất hiện, nhấp vào Run.

1. MZCacheView hiển thị thông tin như Filename, Content Type, URL, File Size, Fetch Count, Last Modified, Last Fetched, Expiration Time, Server Name, Server Response, Server Time, Content Encoding, Cache Name, Missing File, Cache Control, v.v. cho mỗi tệp cache.

Ứng dụng có thể mất một chút thời gian để tải tất cả các mục cache.

1. Đóng cửa sổ MZCacheView. Bây giờ, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 06 Windows Forensics\Browser Analysis Tools\Mozilla Firefox\MZCookiesView, và khởi chạy mzcv.exe.

*Nếu cửa sổ bật lên Open File – Security Warning xuất hiện, nhấp vào Run.

1. Khi khởi chạy, cửa sổ ứng dụng MZCookiesView sẽ xuất hiện, hiển thị danh sách tất cả cookie đã được tạo bởi các lần truy cập của người dùng vào các trang web khác nhau. Nó cũng sẽ hiển thị thông tin như Domain/Host, Path, Name, Value, Expiration Date, Secure (Yes/No), Last Accessed, Created Time, v.v. cho mỗi cookie.
2. Bây giờ, đóng cửa sổ MZCookiesView, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 06 Windows Forensics\Browser Analysis Tools\Mozilla Firefox\MZHistoryView và khởi chạy MozillaHistoryView.exe.
3. Khi khởi chạy MZHistoryView.exe, ứng dụng sẽ mở cửa sổ Select History File name. Trong cửa sổ này, bạn sẽ thấy một đường dẫn thư mục mặc định được cung cấp trong trường đối diện nút ellipsis. Để đường dẫn thư mục được đặt theo mặc định. Tất cả các tùy chọn khác không được chọn theo mặc định. Để các tùy chọn được đặt theo mặc định và sau đó nhấp vào OK, như được hiển thị trong ảnh chụp màn hình.
4. Cửa sổ ứng dụng chính sẽ xuất hiện, hiển thị thông tin như URL, First Visit Date, Last Visit Date, Visit Count, Referrer, Title, Visit Type, v.v. cho mỗi trang web đã truy cập, như được hiển thị trong ảnh chụp màn hình.
5. Đóng cửa sổ MZHistoryView. Theo cách này, bạn có thể xem các tạo tác trình duyệt Mozilla Firefox để phát hiện bất kỳ mục đáng ngờ nào trong lịch sử duyệt web.
6. Để lưu các tạo tác liên quan đến bất kỳ trình duyệt nào, cho dù đó là tệp cache, tệp lịch sử duyệt web hoặc cookie, hãy chọn các mục chứa dữ liệu bằng chứng, nhấp chuột phải và sau đó chọn tùy chọn Save Selected Items từ menu ngữ cảnh.
7. Cửa sổ Select a filename to save sẽ xuất hiện, hiển thị vị trí mặc định mà tệp sẽ được lưu. Vị trí mặc định sẽ là thư mục công cụ tương ứng trong E:\CHFI-Tools\CHFIv11 Module 06 Windows Forensics\Browser Analysis Tools. Bạn cũng có thể chọn một vị trí khác để lưu tệp. Trong cửa sổ Select a filename to save, tùy thuộc vào yêu cầu của bạn, hãy đặt tên tệp (ở đây là Mozilla Browsing History) cần lưu và sau đó nhấp vào Save. Tệp sẽ được lưu vào vị trí mặc định/đã chọn dưới dạng tệp .txt.

Với mục đích minh họa, chúng tôi chỉ trình bày việc lưu một mục duy nhất. Bạn cũng có thể chọn nhiều mục.

1. Bây giờ, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 06 Windows Forensics\Browser Analysis Tools\Mozilla Firefox\MZHistoryView để xem tệp (ở đây là Mozilla Browsing History.txt).
2. Theo cách này, bạn có thể xem các tạo tác trình duyệt để phát hiện bất kỳ mục đáng ngờ nào trong lịch sử duyệt web trong quá trình điều tra.
3. Đóng tất cả các cửa sổ đang mở.

Thực hành 6: Khôi phục dữ liệu duyệt web riêng tư và các tạo tác trình duyệt

Kịch bản thực hành

Smith, một nhà điều tra pháp y đang điều tra một trường hợp, nơi kẻ tấn công là một nhân viên bất mãn, đã tải xuống một tệp SystemUpdate.exe và thực thi nó để có quyền truy cập vào hệ thống đó từ xa. Smith được cung cấp hình ảnh ổ đĩa logic của máy đã được lấy từ máy đang hoạt động ngay khi họ phát hiện ra vụ việc và anh ta được giao nhiệm vụ tìm địa chỉ IP nơi tệp .exe đã được tải xuống. Smith đã kiểm tra tất cả các tạo tác lịch sử trình duyệt, nhưng anh ta không thể tìm thấy bất kỳ chi tiết nào liên quan đến tệp .exe. Smith kết luận rằng kẻ tấn công đã mở trình duyệt web ở chế độ riêng tư và tải xuống tệp độc hại. Bây giờ anh ta phải phân tích dữ liệu trình duyệt chế độ riêng tư.

Mục tiêu thực hành

Trong quá trình điều tra pháp y, nhà điều tra phải xác định dữ liệu trình duyệt riêng tư và các tạo tác trình duyệt.

Mục tiêu của bài thực hành này là giúp bạn tìm hiểu cách điều tra và lấy thông tin liên quan đến duyệt web riêng tư từ RAM của máy đang hoạt động đã chụp và tìm kiếm các tạo tác trong tệp trang.

Tổng quan về thực hành

Bài thực hành này giúp bạn làm quen với quá trình tìm kiếm và trích xuất dữ liệu trình duyệt riêng tư và các tạo tác trình duyệt.

Ở đây, tệp .exe được tải xuống bởi kẻ tấn công ở chế độ riêng tư là SystemUpdate.exe. Ở đây, để minh họa, chúng tôi đã tải xuống tệp SystemUpdate.exe bằng cách sử dụng trình duyệt Chrome ở chế độ ẩn danh.

Các bước thực hành

1. Trong máy Windows Server 2022, hãy điều hướng đến E:\CHFI-Tools\CHFIv11 Module 04 Data Acquisition and Duplication\Data Acquisition Tools\AccessData FTK Imager, nhấp đúp vào AccessData_FTK_Imager_4.7.1.exe để khởi chạy chương trình thiết lập và làm theo hướng dẫn cài đặt dựa trên trình hướng dẫn để cài đặt ứng dụng.
2. Cửa sổ chính của AccessData FTK Imager xuất hiện, như được hiển thị trong ảnh chụp màn hình sau:
3. Nhấp vào File -> Add Evidence Item… để thêm bằng chứng.
4. Cửa sổ Select Source xuất hiện. Chọn tùy chọn Image File và nhấp vào Next.
5. Nhấp vào nút Browse để chỉ định đường dẫn tệp ảnh (E:\CHFI-Tools\Evidence Files\Forensic Images\Browsing_Evidence-001.E01) và sau đó nhấp vào Finish.
6. Tệp bằng chứng (Browsing_Evidence-001.E01) xuất hiện trong bảng điều khiển bên trái của cửa sổ chính bên dưới phần Evidence Tree. Mở rộng tệp bằng chứng và nội dung của nó để nó xuất hiện dưới dạng cây, như được hiển thị trong ảnh chụp màn hình sau.
7. Bây giờ, vì trong kịch bản này lịch sử trình duyệt không chứa bất kỳ chi tiết nào liên quan đến tệp .exe, chúng tôi sẽ kiểm tra xem người dùng đã truy cập trang web ở chế độ riêng tư và tải xuống tệp .exe hay chưa.
8. Để lấy thông tin liên quan đến duyệt web riêng tư trong trình duyệt web, chúng ta cần tìm kiếm các tạo tác trong pagefile, vì tệp trang chứa thông tin về các tiến trình không hoạt động, các tệp được mở gần đây và tài liệu.
9. Trong công cụ FTK Imager, nhấp vào nút [root] trong bảng điều khiển bên trái và nhấp vào tệp pagefile.sys trong bảng điều khiển bên phải.
10. Bây giờ, chúng tôi sẽ tìm kiếm tệp SystemUpdate.exe để kiểm tra xem các tạo tác trình duyệt có được ghi lại trong tệp pagefile.sys hay không.
11. Nhấp vào phần dưới cùng bên phải và nhấn CTRL+F để tìm kiếm tệp .exe.
12. Cửa sổ Find xuất hiện, trong phần Find What nhập SystemUpdate.exe và nhấp vào Find.
13. Công cụ bắt đầu tìm kiếm tên tệp SystemUpdate.exe.
14. Từ ảnh chụp màn hình bên dưới, chúng ta có thể thấy rằng tệp SystemUpdate.exe đã được tải xuống vào 11-22-2023 và nó đã được tải xuống từ Ubuntu Server với địa chỉ IP 10.10.1.8.

Việc truy xuất các tạo tác duyệt web riêng tư có thể không khả thi trong mọi kịch bản.

1. Theo cách tương tự, bạn có thể tìm kiếm các tạo tác duyệt web riêng tư khác nếu chúng được ghi lại trong tệp pagefile.sys.
2. Đóng tất cả cửa sổ đang mở.

Thực hành 7: Trích xuất và phân tích các tệp cơ sở dữ liệu SQLite3 của trình duyệt

Kịch bản thực hành

Một tổ chức đã thuê một nhà điều tra pháp y sau một cuộc tấn công mạng để điều tra vụ việc. David, người được thuê để điều tra vụ việc, đang kiểm tra hình ảnh của máy bị nghi ngờ để tìm lịch sử duyệt web đáng ngờ và các tạo tác duyệt web.

Mục tiêu thực hành

Trong quá trình điều tra pháp y, nhà điều tra phải biết cách trích xuất và phân tích các tệp cơ sở dữ liệu SQLite3 của trình duyệt.

Mục tiêu của bài thực hành này là giúp bạn tìm hiểu cách trích xuất và phân tích các tệp cơ sở dữ liệu SQLite3 của trình duyệt và phân tích chúng để tìm bất kỳ hoạt động đáng ngờ nào.

Tổng quan về thực hành

Bài thực hành này giúp bạn làm quen với quá trình trích xuất các tệp cơ sở dữ liệu SQLite bằng FTK Imager.

Các bước thực hành

1. Trong máy Windows Server 2022, nhấp đúp vào phím tắt AccessData FTK Imager từ Desktop để khởi chạy công cụ FTK Imager.

Ở đây, chúng tôi đang khởi chạy công cụ FTK Imager đã được cài đặt trong bài thực hành trước đó, nếu bạn đã khởi chạy lại bài thực hành, hãy làm theo Bước 1 từ Thực hành 4 để cài đặt công cụ FTK Imager.

1. Cửa sổ chính của AccessData FTK Imager xuất hiện, như được hiển thị trong ảnh chụp màn hình sau:
2. Nhấp vào File -> Add Evidence Item… để thêm bằng chứng.
3. Cửa sổ Select Source xuất hiện. Chọn tùy chọn Image File và nhấp vào Next.
4. Nhấp vào nút Browse để chỉ định đường dẫn tệp ảnh (E:\CHFI-Tools\Evidence Files\Forensic Images\Browsing_Evidence-001.E01) và sau đó nhấp vào Finish.
5. Tệp bằng chứng (Browsing_Evidence-001.E01) xuất hiện trong bảng điều khiển bên trái của cửa sổ chính bên dưới phần Evidence Tree. Mở rộng tệp bằng chứng và nội dung của nó để nó xuất hiện dưới dạng cây, như được hiển thị trong ảnh chụp màn hình sau:
6. Bây giờ, chúng tôi sẽ trích xuất tệp History liên quan đến trình duyệt Google Chrome và xem nội dung của nó bằng trình xem cơ sở dữ liệu SQLite.
7. Từ bảng điều khiển bên trái, mở rộng thư mục [root] và điều hướng đến vị trí Users\Administrator\AppData\Local\Google\Chrome\User Data\Default và bạn có thể thấy các tệp hiện diện trong thư mục đó trong bảng điều khiển bên phải.
8. Nhấp vào tệp History từ bảng điều khiển bên phải và bạn có thể thấy rằng tệp ở định dạng SQLite như được hiển thị trong ảnh chụp màn hình bên dưới.
9. Chúng tôi sẽ xuất tệp History này và xem nội dung của nó. Để làm điều đó, nhấp chuột phải vào tệp History và chọn Export Files….
10. Trong cửa sổ Browse For Folder, chọn Desktop và nhấp vào OK.
11. Đóng cửa sổ bật lên Export Results.
12. Bây giờ chúng ta sẽ phân tích nội dung tệp History bằng SQLite Viewer.
13. Điều hướng đến E:\CHFI-Tools\CHFIv11 Module 06 Windows Forensics\SQLite Viewer và nhấp đúp vào sqlite-viewer.exe và làm theo các bước cài đặt dựa trên trình hướng dẫn để cài đặt ứng dụng.

*Nếu cửa sổ bật lên Open File – Security Warning xuất hiện, hãy nhấp vào Run.

1. Ở bước cài đặt cuối cùng, đảm bảo rằng Launch SysTools SQLite Viewer đã được chọn và nhấp vào Finish.

Nếu trang trình duyệt mở ra, hãy đóng nó lại.

1. Cửa sổ SysTools SQLite Viewer mở ra. Nhấp vào Add File ở góc trên bên trái của cửa sổ.
2. Trong cửa sổ Add File, nhấp vào ba chấm bên cạnh phần SQLite File để duyệt tệp SQLite.
3. Trong cửa sổ Open, điều hướng đến Desktop và chọn tệp History và nhấp vào Open.
4. Bây giờ, trong cửa sổ Add File, nhấp vào Add để thêm tệp SQLite.
5. Tệp History sẽ được tải lên trong trình xem cơ sở dữ liệu SQLite như được hiển thị trong ảnh chụp màn hình bên dưới.
6. Nhấp vào downloads để xem danh sách các tệp đã tải xuống.
7. Nhấp vào downloads_url_chains để xem các URL nơi các tệp đã được tải xuống.
8. Nhấp vào “urls” để xem các URL đã được duyệt bằng trình duyệt Chrome.
9. Nhấp vào visits để xem bảng visits chứa nhiều bản ghi cho cùng một URL cho mỗi lần trang được truy cập với dấu thời gian.
10. Theo cách tương tự, bạn có thể nhấp vào keyword_search_terms, segments, clusters, v.v. và phân tích thông tin.
11. Đóng cửa sổ SysTools SQLite Viewer.

Nếu cửa sổ bật lên SysTools SQLite Viewer xuất hiện, hãy nhấp vào OK.

1. Bây giờ, chúng tôi sẽ phân tích nội dung của tệp Web Data. Chuyển đến cửa sổ AccessData FTK Imager và nhấp chuột phải vào tệp Web Data và nhấp vào Export Files….
2. Trong cửa sổ Browse For Folder, chọn Desktop và nhấp vào OK.
3. Đóng cửa sổ bật lên Export Results.
4. Nhấp đúp vào phím tắt SysTools SQLite Viewer từ Desktop để khởi chạy SysTools SQLite Viewer.
5. Nhấp vào tùy chọn Add File ở góc trên bên trái của cửa sổ. Trong cửa sổ Add File, hãy nhấp vào ba chấm bên cạnh trường SQLite File.
6. Trong cửa sổ Open, điều hướng đến Desktop và chọn tệp Web Data và nhấp vào Open.
7. Trong cửa sổ Add File, nhấp vào OK để thêm tệp Web Data.
8. Trong cơ sở dữ liệu Web Data, hãy nhấp vào bảng keywords để xem các từ khóa đã được nhập trong trình duyệt Chrome.
9. Hơn nữa, nhà điều tra pháp y có thể xem thông tin tài khoản đã được lưu trong trình duyệt Chrome.
10. Đóng cửa sổ SysTools SQLite Viewer.

Nếu cửa sổ bật lên SysTools SQLite Viewer xuất hiện, hãy nhấp vào OK.

1. Ngoài ra, bạn có thể xuất các tệp SQLite bổ sung có trong thư mục Default như Favicons, Login Data, Preferences, v.v. và phân tích các tạo tác.
2. Đóng cửa sổ AccessData FTK Imager.
3. Tương tự, các tạo tác trình duyệt liên quan đến các trình duyệt Mozilla Firefox (Located at Users\Username\AppData\Roaming\Mozilla\Firefox\Profiles\XXXXXXXX.default) và Microsoft Edge (Located at Users\Username\AppData\Local\Microsoft\Edge\User Data\Default) có thể được phân tích.

Thực hành 8: Trích xuất và xây dựng lại các trang web được lưu trong bộ nhớ cache của Google Chrome

Kịch bản thực hành

Steve, một nhà điều tra pháp y, đang làm việc trên một trường hợp, nơi thủ phạm đã tải xuống một tệp độc hại từ Internet và lây nhiễm virus vào hệ thống của tổ chức. Bây giờ, Steve phải kiểm tra dữ liệu trình duyệt được lưu trong bộ nhớ cache để kiểm tra từ trang web nào mà tệp độc hại đã được tải xuống.

Mục tiêu thực hành

Là một nhà điều tra pháp y, điều quan trọng là bạn phải biết cách xem các trang web được lưu trong bộ nhớ cache ở cùng trạng thái mà người dùng đã xem chúng để đạt được việc tái tạo trang web chính xác.

Mục tiêu của bài thực hành này là giúp bạn tìm hiểu cách tái tạo trang web được lưu trong bộ nhớ cache trong khi phân tích lịch sử trình duyệt trong quá trình điều tra.

Tổng quan về thực hành

Bài thực hành này sẽ giúp bạn làm quen với quá trình tái tạo trang web được lưu trong bộ nhớ cache trong khi phân tích lịch sử trình duyệt trong quá trình điều tra.

Các bước thực hành

1. Trong máy Windows Server 2022, nhấp đúp vào phím tắt AccessData FTK Imager từ Desktop để khởi chạy công cụ FTK Imager.

Ở đây, chúng tôi đang khởi chạy công cụ FTK Imager đã được cài đặt trong bài thực hành trước đó, nếu bạn đã khởi chạy lại bài thực hành, hãy làm theo Bước 1 từ Thực hành 4 để cài đặt công cụ FTK Imager.

1. Cửa sổ chính của AccessData FTK Imager sẽ xuất hiện, như được hiển thị trong ảnh chụp màn hình sau:
2. Nhấp vào File -> Add Evidence Item… để thêm bằng chứng.
3. Cửa sổ Select Source xuất hiện. Chọn tùy chọn Image File và nhấp vào Next.
4. Nhấp vào nút Browse để chỉ định đường dẫn tệp ảnh (E:\CHFI-Tools\Evidence Files\Forensic Images\Browsing_Evidence-001.E01) và sau đó nhấp vào Finish.
5. Tệp bằng chứng (Browsing_Evidence-001.E01) xuất hiện trong bảng điều khiển bên trái của cửa sổ chính bên dưới phần Evidence Tree. Mở rộng tệp bằng chứng và nội dung của nó để nó xuất hiện dưới dạng cây, như được hiển thị trong ảnh chụp màn hình sau:
6. Bây giờ, chúng ta sẽ trích xuất và xem bộ nhớ cache web của trình duyệt Google Chrome.
7. Từ bảng điều khiển bên trái, mở rộng thư mục [root] và điều hướng đến vị trí Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cache và bạn có thể thấy các tệp hiện diện trong thư mục đó trong bảng điều khiển bên phải.
8. Nhấp chuột phải vào thư mục Cache_Data từ bảng điều khiển bên phải và nhấp vào Export Files….
9. Trong cửa sổ Browse For Folder, chọn Desktop và nhấp vào OK.
10. Đóng cửa sổ bật lên Export Results.
11. Bây giờ, chúng ta sẽ phân tích trang web được lưu trong bộ nhớ cache bằng công cụ Browser History Examiner.
12. Điều hướng đến E:\CHFI-Tools\CHFIv11 Module 06 Windows Forensics\Browser History Examiner và nhấp đúp vào Setup.exe và làm theo các bước dựa trên trình hướng dẫn để cài đặt ứng dụng thời gian chạy WebView2.
13. Sau khi cài đặt ứng dụng thời gian chạy WebView2, cửa sổ Browser History Examiner xuất hiện, làm theo các bước dựa trên trình hướng dẫn để cài đặt ứng dụng.
14. Sau khi cài đặt ứng dụng, trong thanh tìm kiếm, nhập browser history examiner và nhấn Enter để khởi chạy công cụ Browser History Examiner.
15. Trong cửa sổ bật lên Browser History Examiner, nhấp vào Continue Trial.

*Trong cửa sổ bật lên Browser History Examiner, nhấp vào OK.

1. Công cụ Browser History Examiner khởi chạy với một cửa sổ bật lên, trong cửa sổ bật lên hãy nhấp vào nút Load History.
2. Trong cửa sổ Browser History Examiner – Load History, chọn nút radio Load history manually và nhấp vào Next.
3. Trong cửa sổ tiếp theo, nhấp vào ba chấm bên cạnh phần Select Chrome\Edge cache files location.
4. Trong cửa sổ Select Folder, điều hướng đến Desktop, chọn Cache-Data đã được xuất ở Bước 10 và nhấp vào Select Folder.
5. Đường dẫn đến thư mục cache sẽ hiển thị trong trường Select Chrome\Edge cache files location:. Trong cửa sổ Browser History Examiner – Load History, nhấp vào Next.
6. Công cụ Browser History Examiner bắt đầu trích xuất dữ liệu và hiển thị tiến trình.
7. Sau khi dữ liệu cache được trích xuất, bạn có thể nhấp vào nút Cached Files để xem dữ liệu đã lưu trong bộ nhớ cache, nơi bạn có thể xem Content Type, URL, File Size, Web Browser, v.v.
8. Nhấp vào Cached Images để xem các hình ảnh được lưu trong bộ nhớ cache từ các trang web.

Bạn có thể nhấp đúp vào bất kỳ hình ảnh nào để xem toàn màn hình.

1. Nhấp vào Cached Web Pages để xem trang web được lưu trong bộ nhớ cache như khi thủ phạm truy cập trang web.
2. Bạn có thể nhấp chuột phải vào liên kết trang web và nhấp vào Export để xuất URL.
3. Bạn có thể di chuột qua liên kết trang web trong liên kết được lưu trong bộ nhớ cache để xem URL đầy đủ của trang web.
4. Theo cách này, bạn có thể tái tạo lại các trang web được lưu trong bộ nhớ cache trong khi phân tích lịch sử trình duyệt trong quá trình điều tra.
5. Đóng tất cả cửa sổ đang mở.

Thực hành 9: Khám phá và trích xuất dữ liệu pháp y từ máy tính

Kịch bản thực hành

Việc tìm kiếm một tệp bằng chứng trong hệ thống giống như mò kim đáy bể, trừ khi bạn biết phải tìm kiếm gì và ở đâu. Một giải pháp thay thế là tìm một công cụ hữu ích. Hệ thống lưu trữ nhật ký cho các sự kiện cùng với danh tính của các chương trình thực hiện bất kỳ tác vụ nhỏ nào. Một nhà điều tra pháp y nên có thể trích xuất bằng chứng từ dữ liệu. Bài thực hành này sẽ giúp bạn sử dụng công cụ OSForensics, công cụ này sẽ hỗ trợ tìm kiếm bằng chứng từ một lượng lớn dữ liệu.

Mục tiêu thực hành

Trong quá trình điều tra pháp y, nhà điều tra phải xác định bất kỳ hoạt động đáng ngờ nào trên hệ thống mục tiêu và trích xuất bằng chứng có thể hữu ích cho cuộc điều tra.

Mục tiêu của bài thực hành này là giúp bạn tìm hiểu cách điều tra máy tính của nghi phạm để xác định bằng chứng phạm tội.

Tổng quan về thực hành

Bài thực hành này giúp bạn làm quen với quá trình tìm kiếm và trích xuất các tạo tác có giá trị bằng chứng trong quá trình điều tra pháp y trên máy tính hoặc từ bất kỳ nguồn bằng chứng pháp y nào khác.

Các bước thực hành

Trong bài thực hành này, chúng tôi xem xét rằng dấu vết của cuộc điều tra không phải là vấn đề lớn.

1. Trong máy Windows Server 2022, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 06 Windows Forensics\Windows Forensics Tools\OSForensics, nhấp đúp vào osf.exe để khởi chạy chương trình thiết lập và làm theo hướng dẫn cài đặt dựa trên trình hướng dẫn để hoàn tất cài đặt công cụ.

Trong cửa sổ bật lên Select Setup Language, để mặc định và nhấp vào OK.

1. Trong bước cài đặt cuối cùng, chọn tùy chọn Launch OSForensics và nhấp vào Finish.

*Nếu cửa sổ bật lên Open File – Security Warning xuất hiện, hãy nhấp vào Run.

1. Giao diện người dùng OSForensics xuất hiện cùng với cửa sổ bật lên PassMark OSForensics. Trong cửa sổ bật lên, nhấp vào Continue Using Trial Version.
2. Nhiệm vụ đầu tiên của chúng tôi là tạo một trường hợp bằng công cụ này. Nhấp vào biểu tượng Create Case trong cửa sổ chính của công cụ để tạo một trường hợp mới.
3. Cửa sổ New Case xuất hiện; điền vào các trường bắt buộc trong cửa sổ. Đảm bảo rằng bạn đã chọn nút radio cho tùy chọn Live Acquisition of Current Machine trong danh mục Acquisition Type. Bạn có thể chọn lưu thư mục trường hợp mới trong vị trí Default hoặc Custom. Nhấp vào OK.

Trong bài thực hành này, chúng tôi đã đặt vị trí mặc định cho thư mục trường hợp.

1. Một trường hợp mới được tạo như được hiển thị trong ảnh chụp màn hình bên dưới:
2. Công cụ OSForensics có thể giúp các nhà điều tra tìm kiếm và xác định vị trí các tệp trên hệ thống. Để bắt đầu tìm kiếm tệp, hãy nhấp vào File Name Search trong bảng điều khiển bên trái của cửa sổ.

1. Để định vị tệp, hãy nhập tên tệp hoặc phần mở rộng của nó trong trường Type search pattern bên dưới phần Preset: User-defined Search.
2. Trong bài thực hành này, chúng tôi sẽ tìm kiếm các tệp hình ảnh theo phần mở rộng của chúng. Nhập .jpg trong phần Preset: User-defined Search.
3. Trong trường Folder to Scan, hãy chỉ định đường dẫn để tìm kiếm các tệp hình ảnh bằng cách nhấp vào nút ellipsis và chọn vị trí (ở đây, chúng tôi đang chỉ định vị trí E:\CHFI-Tools\Evidence Files\Image Files để tìm kiếm hình ảnh trong đó). Sau đó, nhấp vào nút Scan.
4. Phần File Name Search bây giờ hiển thị danh sách các tệp có trong vị trí đã chọn, như được hiển thị trong ảnh chụp màn hình bên dưới. Theo mặc định, công cụ hiển thị các tệp này trong tab File Details. Bạn cũng có thể xem danh sách các tệp này trong tab File List và Thumbnails bằng cách nhấp vào chúng.
5. Bây giờ, trong phần Preset: User-defined Search, nhập .png và nhấn Scan để xem các tệp .png.

Tab Timeline cho phép bạn xem/sắp xếp các tệp theo thời gian sửa đổi, truy cập hoặc tạo của chúng.

1. Ngoài ra, nếu bạn muốn tìm kiếm chỉ một hình ảnh duy nhất trên toàn bộ hệ thống, trong phần Preset: User-defined Search, hãy nhập tên của tệp hình ảnh mong muốn trong trường Type search pattern, và sau đó nhấp vào Scan, như được hiển thị trong ảnh chụp màn hình bên dưới. Ở đây, chúng tôi đang tìm kiếm tệp hình ảnh JPEG có tên là Flowers.
2. Công cụ sẽ tìm kiếm tệp hình ảnh được chỉ định và hiển thị kết quả tìm kiếm trong phần File Name Search bên dưới tab File Details. Kết quả tìm kiếm sẽ được hiển thị cùng với đường dẫn/vị trí nơi tệp được tìm kiếm được lưu trữ.
3. Để xem hình ảnh, hãy nhấp đúp vào nó. Công cụ sẽ hiển thị hình ảnh thông qua cửa sổ bật lên, như được hiển thị trong ảnh chụp màn hình sau:

Tương tự, công cụ này cũng cho phép bạn tìm kiếm tất cả các tệp hình ảnh có trên phân vùng đĩa. Với mục đích minh họa và để tiết kiệm thời gian, chúng tôi đã giới hạn thao tác tìm kiếm của mình chủ yếu trong thư mục con Image Files trong thư mục Evidence Files.

1. Chúng ta sẽ tiếp tục với nhiệm vụ tạo chỉ mục của các tệp. Ở đây, chúng tôi minh họa việc tạo chỉ mục cho các tệp hình ảnh. Việc tạo chỉ mục của các tệp giúp các nhà điều tra xúc tiến việc tìm kiếm tệp của họ. Đóng cửa sổ bật lên.
2. Để bắt đầu tạo chỉ mục của các tệp, hãy nhấp vào Create Index trong bảng điều khiển bên trái của cửa sổ công cụ.
3. Phần Create Index xuất hiện trong bảng điều khiển bên phải. Trong phần này, hãy chọn tùy chọn Use Pre-defined File Types để tạo chỉ mục và đánh dấu các tùy chọn bắt buộc được liệt kê bên dưới để chọn loại tệp mà bạn muốn lập chỉ mục (ở đây, chúng tôi đã chọn tùy chọn Images). Sau đó, nhấp vào Next.
4. Bây giờ, nhấp vào nút Add để chọn ổ đĩa hoặc thư mục mục tiêu mà các tệp bạn muốn lập chỉ mục được lưu trữ.
5. Khi bạn nhấp vào nút Add, cửa sổ bật lên Add Start Location xuất hiện. Từ cửa sổ bật lên này, chọn nút radio Specific Folder và nhấp vào nút ellipsis để cung cấp đường dẫn đến thư mục mục tiêu. Đối với bài thực hành này, chọn thư mục E:\CHFI-Tools\Evidence Files\Image Files và nhấp vào nút OK.
6. Start Folder bây giờ đã được cấu hình. Nhấp vào Next.
7. Trong Bước 3 của trình hướng dẫn, chọn tùy chọn Don’t Know (Pre-Scan Required), đảm bảo rằng tùy chọn Use RAM drive for temporary files to speed up indexing được chọn và nhấp vào Next.
8. Trong Bước 4 của trình hướng dẫn, chỉ định Index Title (ở đây, chúng tôi đã chỉ định Index Title là Case 75), nhập Index Notes (tùy chọn) và sau đó nhấp vào Start Indexing.
9. Ứng dụng bây giờ sẽ bắt đầu thực hiện quét trước trên thư mục đã chỉ định.

Nếu hộp thoại Maximum page limit in Free Version xuất hiện trong khi quét, hãy nhấp vào OK để đóng nó.

1. Sau khi lập chỉ mục hoàn tất, cửa sổ OSForensics – Create Index xuất hiện, nhấp vào OK. Ứng dụng cũng thay đổi trạng thái của quá trình lập chỉ mục thành Finished, như có thể thấy trong trường Current Action.
2. Bây giờ, chúng ta sẽ tìm kiếm các tệp đã được lập chỉ mục. Để tìm kiếm các tệp đã được lập chỉ mục, hãy chọn Search Index từ bảng điều khiển bên trái của cửa sổ công cụ. Phần Search Index bây giờ xuất hiện trong cửa sổ công cụ. Trường chỉ mục ở trên cùng hiển thị tên của trường hợp chúng ta đã tạo (tức là Case 75). Nhấp vào Scan. Công cụ sẽ tải các tệp hình ảnh mà bạn đã lập chỉ mục trong tab Images.

Phiên bản dùng thử của OSForensics trả về số lượng kết quả hạn chế. Do đó, nếu kết quả tìm kiếm vượt quá số này, cửa sổ bật lên OSForensics – Notice có thể xuất hiện, nơi bạn cần nhấp vào OK.

1. Tương tự, bạn cũng có thể lập chỉ mục các tệp khác như email và tìm kiếm chúng bằng tùy chọn Search Index. Trong trường hợp đó, các email đã được lập chỉ mục sẽ được hiển thị trong tab Emails.
2. Bây giờ, chúng ta sẽ thu thập tất cả các hoạt động của người dùng đã xảy ra trên hệ thống.
3. Nhấp vào User Activity trong bảng điều khiển bên trái để quét bằng chứng như trang web đã duyệt, ổ USB, tải xuống gần đây và mạng không dây.
4. Trong bài thực hành này, chúng tôi sẽ quét các hoạt động diễn ra trong ổ C:. Đảm bảo rằng ổ C: được chọn từ menu thả xuống Device to Scan, sau đó nhấp vào Quick Scan để quét các hoạt động như trang web đã duyệt, ổ USB, tải xuống gần đây và mạng không dây trong ổ đĩa.

*Nếu bất kỳ cửa sổ bật lên Warning nào xuất hiện, hãy nhấp vào Yes. Nếu OSForensics Error xuất hiện trong quá trình quét, hãy nhấp vào OK.

1. Nếu cửa sổ Select device to add xuất hiện, nhấp vào OK.
2. Ứng dụng mất một chút thời gian để quét và khi quét xong, cửa sổ User Activity – Summary sẽ bật lên, hiển thị tóm tắt thông tin liên quan đến hoạt động của người dùng như Browser History, Downloads, Most Recently Used, và Installed Programs. Nhấp vào OK để đóng User Activity – Summary.
3. Nếu bạn muốn lưu bất kỳ thông tin hoạt động người dùng nào ở trên trên hệ thống của mình, chẳng hạn như Browser History, thì hãy cuộn xuống danh sách mục trong bảng điều khiển bên trái bên dưới tùy chọn Scan Drive và mở rộng nút Browser History. Chọn trình duyệt mà bạn muốn truy xuất lịch sử (Ở đây, chúng tôi đang chọn Chrome). Lịch sử trình duyệt liên quan đến trình duyệt này sẽ được hiển thị trong bảng điều khiển bên phải của cửa sổ công cụ.
4. Để truy xuất toàn bộ lịch sử trình duyệt, hãy chọn bất kỳ tệp nào trong bảng điều khiển bên phải và nhấp chuột phải vào nó. Từ menu ngữ cảnh, nhấp vào Export list of all result to, và từ menu thả xuống kết quả, nhấp vào TXT.
5. Cửa sổ Export List to… sẽ xuất hiện. Điều hướng đến C:\Users\Administrator\Documents\PassMark\OSForensics\Cases\Case 001, đặt tên cho tệp (ở đây, chúng tôi đang đặt tên là Browsing History), và nhấp vào Save để xuất lịch sử duyệt web.

Vì đây là phiên bản dùng thử của công cụ OSForensics, nên số lượng mục bạn có thể xuất sang hệ thống của mình bị giới hạn. Bây giờ, nếu cửa sổ bật lên User Activity export limit in Trial Version xuất hiện, hãy nhấp vào OK để đóng nó. Nếu bạn muốn xuất tất cả các tệp, bạn cần nâng cấp lên phiên bản chuyên nghiệp của công cụ.

1. Lịch sử sẽ được xuất và lưu vào tệp văn bản. Điều hướng đến thư mục trường hợp và nhấp đúp vào tệp Browsing History để xem thông tin được lưu trữ trong đó.
2. Bây giờ, chúng ta sẽ kiểm tra cách khôi phục các tệp đã xóa bằng công cụ này.
3. Để khôi phục các tệp đã xóa khỏi hệ thống tệp, hãy nhấp vào Deleted File Search trong bảng điều khiển bên trái, chọn đĩa mà bạn muốn thực hiện tìm kiếm tệp đã xóa từ menu thả xuống Disk (ở đây, chúng tôi đang chọn Drive-C: [Logical Drive (Standard Mode)]) và nhấp vào nút Scan.
4. Ứng dụng sẽ chạy quét trên ổ đĩa đã chọn, truy xuất các tệp đã xóa và hiển thị chúng trong tab Thumbnails như được hiển thị trong ảnh chụp màn hình sau:

Ngoài ra, bạn có thể xem các tệp đã truy xuất trong tab File Details hoặc File List. Trong tab Scan Status, bạn sẽ thấy tất cả các chi tiết liên quan đến quá trình quét.

1. Để lưu và xem nội dung của các tệp đã xóa đã được công cụ truy xuất, hãy làm theo quy trình tương tự như được mô tả trong các bước trên và đặt tên cho tệp được xuất là Recovered Deleted Files.
2. Bây giờ, chúng tôi sẽ phát hiện các tệp có sự không khớp phần mở rộng. Đối với điều này, chúng tôi sẽ sử dụng tính năng Mismatch File Search. Tính năng này hữu ích trong các trường hợp kẻ tấn công đã lưu các tệp độc hại vào hệ thống bằng cách sửa đổi phần mở rộng của chúng.
3. Để định vị các tệp có nội dung không khớp với phần mở rộng tệp, hãy nhấp vào Mismatch File Search trong bảng điều khiển bên trái của cửa sổ công cụ. Công cụ sẽ hiển thị phần Mismatch File Search trong bảng điều khiển bên phải, như được hiển thị trong ảnh chụp màn hình:
4. Nhấp vào nút Ellipsis liên quan đến trường Folder to Scan để cung cấp vị trí mà các tệp có sự không khớp phần mở rộng sẽ được tìm kiếm. Đối với tác vụ này, chúng tôi sẽ tìm kiếm các tệp có sự không khớp phần mở rộng trong thư mục Image Files. Bây giờ, hãy cung cấp vị trí, E:\CHFI-Tools\Evidence Files\Image Files, và nhấp vào nút Scan.
5. Công cụ sẽ quét thư mục đã chọn và hiển thị tất cả các tệp có sự không khớp phần mở rộng trong tab File Details theo mặc định. Nhấp vào tab File List để dễ dàng xem các tệp và chi tiết của chúng như được hiển thị trong ảnh chụp màn hình sau:
6. Bây giờ, chúng ta sẽ tiếp tục với nhiệm vụ xem các tiến trình đang chạy trên hệ thống.
7. Để xem các tiến trình đang chạy trên hệ thống, hãy nhấp vào Memory Viewer trong bảng điều khiển bên trái của cửa sổ công cụ. Công cụ bây giờ sẽ hiển thị phần Memory Viewer.

Nếu cửa sổ bật lên OSForensics – Warning xuất hiện, hãy nhấp vào OK.

1. Chọn một Process từ danh sách các tiến trình đang chạy, và sau đó chọn tab Memory Space để xem chi tiết bộ nhớ đầy đủ của tiến trình đó.
2. Để xem thông tin tiến trình liên quan đến tệp đã chọn, hãy nhấp vào tab Process Info. Thông tin liên quan đến tiến trình đó sẽ được hiển thị như trong ảnh chụp màn hình.
3. Chúng ta sẽ tiếp tục với nhiệm vụ xem thông tin hệ thống.
4. Để truy xuất thông tin chi tiết về các thành phần cốt lõi của hệ thống, hãy nhấp vào System Information. Công cụ sẽ hiển thị phần System Information.
5. Nhấp vào nút Command List: Basic System Information. Các tùy chọn hiển thị trong menu thả xuống danh sách là Basic DOS Commands, Basic system information, System Information From Registry, BitLocker Detection, Recover BitLocker Keys, Python Scripts, and All commands.
6. Ở đây, chúng ta chọn All Commands từ menu thả xuống List. Đảm bảo rằng tùy chọn Live Acquisition — Current Machine được chọn và từ menu thả xuống sau đó nhấp vào Scan.
7. Vì chúng tôi đã chọn tùy chọn All Commands, khi nhấp vào Scan, ứng dụng sẽ hiển thị tất cả các lệnh đã được thực thi trên hệ thống và đầu ra tương ứng của chúng trong tab Result 1 – All Commands (Live), như được hiển thị trong ảnh chụp màn hình sau:
8. Bây giờ, chúng tôi sẽ tiếp tục với nhiệm vụ xác minh tính toàn vẹn của các tệp bằng cách tính toán giá trị băm của chúng.
9. Để xác minh tính toàn vẹn của các tệp bằng cách tính toán giá trị băm của chúng, hãy nhấp vào File Hashing từ bảng điều khiển bên trái của cửa sổ. Phần File Hashing bây giờ sẽ xuất hiện, nhấp vào tab Verify/Create Hash. Đảm bảo rằng tùy chọn File được chọn.
10. Nhấp vào nút Ellipsis để chỉ định một File để tính toán giá trị băm của nó. Ở đây, chúng tôi đang chỉ định tệp Tweety1.gif từ vị trí E:\CHFI-Tools\Evidence Files\Image Files\Tweety1.gif để tính toán giá trị băm của nó. Từ menu thả xuống Hash Function, chọn MD5 và từ menu thả xuống Secondary Hash Function, chọn SHA1. Sau đó, nhấp vào Calculate.
11. Giá trị băm của tệp xuất hiện trong phần Calculated Hash trong cả trường Primary Hash Function (MD5) cũng như Secondary Hash Function (SHA-1), như được hiển thị trong ảnh chụp màn hình sau:
12. Để xác minh tính toàn vẹn của tệp Tweety1.gif, chúng ta có thể nhập giá trị băm đã có của nó vào trường Comparison Hash. Điều hướng đến E:\CHFI-Tools\Evidence Files\Image Files và mở tệp Hashes.txt, chứa các băm đã có của một số tệp hình ảnh. Sao chép giá trị băm cho tệp Tweety1.gif.
13. Bây giờ, dán giá trị băm đã sao chép của tệp Tweety1.gif vào trường Comparison Hash. Bạn sẽ thấy dấu tích xuất hiện đối diện với trường Comparison Hash, cho biết rằng các giá trị băm MD5 đã có và được tính toán của tệp đã chọn khớp với nhau. Điều này ngụ ý rằng tính toàn vẹn của tệp là nguyên vẹn.

Ngược lại, nếu tính toàn vẹn của tệp không nguyên vẹn, công cụ sẽ tạo biểu tượng cảnh báo dưới dạng dấu chéo, cho biết rằng tệp đã bị giả mạo để hoạt động như một trọng tải cho cuộc tấn công.

1. Theo cách này, bạn có thể thực hiện điều tra trên hệ thống hoặc các thư mục và phân vùng trong hệ thống để thu thập dữ liệu quan tâm cho cuộc điều tra pháp y.
2. Đóng tất cả các cửa sổ đang mở.

Bài thực hành 10: Trích xuất thông tin về các tiến trình đã tải trên máy tính

Kịch bản thực hành

Tiến trình là các phiên bản của chương trình máy tính đang chạy trên hệ thống và chứa mã cần thiết cho hoạt động. Bất kỳ chương trình hoặc phần mềm độc hại nào cũng sẽ có nhiều phương thức sẽ kết hợp để đưa ra kết quả. Một nhà điều tra nên biết các tiến trình mặc định để tách chúng ra khỏi các tiến trình đáng ngờ. Là một nhà điều tra pháp y máy tính chuyên nghiệp, bạn phải hiểu cách trích xuất thông tin về các tiến trình đã tải trên máy tính nạn nhân, điều này có thể quan trọng trong quá trình điều tra pháp y.

Mục tiêu thực hành

Tiến trình là một phiên bản của chương trình máy tính đang được thực thi. Các nhà điều tra pháp y có thể kiểm tra các tiến trình này đang chạy trên máy tính để tìm bất kỳ hoạt động độc hại nào.

Mục đích của bài thực hành này là giúp bạn tìm hiểu cách điều tra các tiến trình đã tải. Trong bài thực hành này, bạn sẽ tìm hiểu cách sử dụng Process Explorer.

Tổng quan về thực hành

Bài thực hành này giúp bạn làm quen với công cụ Process Explorer và giúp bạn hiểu cách kiểm tra thông tin liên quan đến các tiến trình đã tải trên hệ thống của nạn nhân.

Các bước thực hành

Trong bài thực hành này, chúng tôi xem xét rằng dấu vết của cuộc điều tra không phải là vấn đề lớn.

1. Trong máy Windows Server 2022, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 06 Windows Forensics\Windows Forensics Tools\Process Explorer.
2. Nhấp đúp vào tệp procexp.exe và chấp nhận thỏa thuận cấp phép.

*Nếu cửa sổ bật lên Open File – Security Warning xuất hiện, hãy nhấp vào Run.

1. Giao diện người dùng Process Explorer xuất hiện, hiển thị chi tiết của tất cả các tiến trình đang chạy trên máy, như được hiển thị trong ảnh chụp màn hình:
2. Process Explorer liệt kê tất cả các tiến trình đang chạy trong bảng điều khiển bên trái và chi tiết của từng tiến trình (chẳng hạn như mức sử dụng CPU và PID) trong bảng điều khiển bên phải.
3. Để xem DLL, hãy nhấp vào biểu tượng View DLLs từ thanh công cụ hoặc điều hướng đến View -> Lower Pane View -> DLLs từ thanh Menu.
4. Cửa sổ Process Explorer bây giờ sẽ có một bảng điều khiển phía trên liệt kê các tiến trình và chi tiết của chúng và một bảng điều khiển phía dưới trống. Từ bảng điều khiển phía trên, chọn một tiến trình mà bạn muốn xem DLL. Bây giờ, bạn sẽ có thể xem danh sách DLL cho tiến trình đó trong bảng điều khiển phía dưới/dưới cùng của cửa sổ.
5. Để xem thuộc tính DLL, hãy chọn DLL, chọn DLL -> Properties từ thanh Menu hoặc nhấp chuột phải vào DLL bắt buộc từ danh sách DLL được hiển thị cho một tiến trình, và chọn Properties….
6. Thực hiện bước trên sẽ hiển thị thuộc tính DLL trong tab Image và Strings.
7. Tab Image chứa chi tiết của DLL như tên công ty, phiên bản và đường dẫn.
8. Nhấp vào Verify để kiểm tra chữ ký của một tiến trình.
9. Khi nhấp vào Verify, nếu tên công ty là Microsoft Windows, thì tiến trình được xác định là hợp pháp, như được hiển thị trong ảnh chụp màn hình.
10. Bây giờ, nhấp vào tab Strings. Tab này liệt kê bất kỳ chuỗi Unicode nào được tìm thấy trong tiến trình đã chọn. Kiểm tra nội dung trong tab này giúp bạn tìm hiểu xem tiến trình có liên quan đến bất kỳ phần mềm độc hại nào hay không.
11. Khi bạn nhấp vào tab Strings, bạn sẽ có hai tùy chọn để kiểm tra các chuỗi Image và Memory. Nhấp vào nút radio Image hoặc Memory ở cuối cửa sổ để xem chuỗi hình ảnh hoặc chuỗi bộ nhớ.
12. Bạn cũng có thể lưu chuỗi Image và/hoặc Memory ở định dạng tệp văn bản. Trong bài thực hành này, chúng tôi đang lưu chuỗi Image. Để lưu chuỗi Image, đảm bảo rằng nút radio Image được chọn và sau đó nhấp vào nút Save.
13. Khi nhấp vào Save, cửa sổ Save Process Explorer Strings… xuất hiện. Chỉ định vị trí (ở đây, Desktop) để lưu tệp và nhấp vào Save.
14. Khi lưu tệp, nhấp vào OK trong cửa sổ Properties của DLL để đóng nó.
15. Tùy chọn Search Online tìm kiếm DLL đã chọn trên internet bằng cách khởi chạy Internet Browser.
16. Để tìm kiếm trực tuyến, chọn DLL, nhấp chuột phải vào nó và chọn DLL -> Search Online… từ thanh Menu.
17. Để xem các handle của một tiến trình, chọn tiến trình và chọn View -> Lower Pane View -> Handles từ thanh Menu.
18. Để xem thuộc tính handle, nhấp chuột phải vào handle bắt buộc và chọn Properties hoặc chọn handle bắt buộc và sau đó nhấp chuột phải để chọn Properties từ thanh Menu.
19. Cửa sổ Properties xuất hiện cho handle đã chọn. Tab Details hiển thị thông tin cơ bản về handle đã chọn.
20. Tab Security hiển thị mức độ bảo mật được gán cho mỗi nhóm hoặc người dùng cho handle đã chọn.

Chi tiết bảo mật có thể không có sẵn cho tất cả các handle.

1. Nhấp vào OK để đóng cửa sổ Properties.
2. Theo cách này, bạn có thể xem tất cả các tiến trình cũng như DLL và handle được liên kết của chúng bằng Process Explorer. Trong quá trình điều tra pháp y, công cụ này rất hữu ích để kiểm tra tiến trình (bất kỳ tiến trình độc hại nào, nếu tìm thấy) và phân tích các tệp DLL và handle được liên kết của nó.
3. Đóng tất cả cửa sổ đang mở.

Bài thực hành 11: Xem, giám sát và phân tích các sự kiện xảy ra trên máy Windows

Kịch bản thực hành

Một vài kẻ tấn công đã xâm nhập vào bảo mật của một số hệ thống tại văn phòng của một công ty công nghệ sản phẩm. Những kẻ tấn công đã thực hiện một số thay đổi đối với cấu hình phần cứng của hệ thống, các dịch vụ chạy trên hệ thống, hệ điều hành và một số chương trình quan trọng khác chạy trên các hệ thống đó để đánh cắp thông tin nhạy cảm. Công ty đã tìm kiếm sự giúp đỡ của một cơ quan điều tra pháp y kỹ thuật số độc lập để giải quyết vụ án và bảo mật tất cả các hệ thống của mình.

Các nhà điều tra pháp y từ cơ quan bây giờ phải kiểm tra tất cả các nhật ký sự kiện liên quan đến các hệ thống bị ảnh hưởng, bao gồm nhật ký bảo mật, nhật ký hệ thống và nhật ký ứng dụng, để hiểu và phân tích cách thức tội phạm mạng này được thực hiện.

Mục tiêu thực hành

Là một nhà điều tra pháp y chuyên nghiệp, bạn phải biết cách kiểm tra nhật ký sự kiện của hệ thống Windows.

Mục tiêu thực hành

Nhật ký sự kiện Windows chứa thông tin hữu ích liên quan đến hệ thống, bảo mật của nó, các ứng dụng trên đó, v.v. Kiểm tra chi tiết các nhật ký này giúp các nhà điều tra khám phá các tạo tác tiềm ẩn và xây dựng dòng thời gian để phân tích các sự kiện dựa trên thông tin ghi nhật ký.

Mục tiêu của bài thực hành này là giúp các nhà điều tra pháp y tìm hiểu cách xem, giám sát và phân tích các nhật ký sự kiện khác nhau. Ở đây, chúng tôi đang trình diễn việc phân tích nhật ký bảo mật. Sử dụng điều này làm ví dụ, các tệp nhật ký khác, chẳng hạn như nhật ký ứng dụng và nhật ký hệ thống cũng có thể được kiểm tra.

Tổng quan về thực hành

Bài thực hành này giúp bạn hiểu cách kiểm tra nhật ký sự kiện Windows bằng Event Log Explorer.

Các bước thực hành

1. Trong máy Windows Server 2022, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 06 Windows Forensics\Windows Forensics Tools\Event Log Explorer và bạn sẽ thấy tệp elex_setup.exe.
2. Nhấp đúp vào elex_setup.exe để khởi chạy chương trình thiết lập. Chọn ngôn ngữ là tiếng Anh, nhấp vào OK, chấp nhận thỏa thuận cấp phép và làm theo các bước cài đặt dựa trên trình hướng dẫn để cài đặt ứng dụng.

*Nếu cửa sổ bật lên Open File – Security Warning xuất hiện, hãy nhấp vào Run.

Nếu trình hướng dẫn thiết lập cho công cụ cung cấp cho bạn tùy chọn để cài đặt thành phần bổ sung Elodea, thì hãy chọn tùy chọn Không, không cài đặt Elodea, và sau đó nhấp vào Tiếp theo.

1. Trong bước cài đặt cuối cùng, chọn Launch Event Log Explorer và nhấp vào Finish.
2. Khi hoàn tất cài đặt, cửa sổ trình duyệt tự động mở ra, hiển thị trang web eventlogxp.com. Đóng cửa sổ trình duyệt. Ngoài cửa sổ trình duyệt, bạn cũng sẽ thấy cửa sổ bật lên Event Log Explorer xuất hiện sau khi hoàn tất cài đặt công cụ; trong cửa sổ bật lên này, đảm bảo rằng tùy chọn Continue evaluation được chọn và sau đó nhấp vào OK.
3. Cửa sổ chính của Event Log Explorer mở ra, hiển thị vùng xem nhật ký trống và bảng Computer Tree ở bên trái, hiển thị tên máy ảo Windows Server 2022 của bạn ở trên cùng.
4. Chúng tôi sẽ sử dụng tệp bằng chứng Brute Force.evtx để kiểm tra các nhật ký sự kiện đã được ghi lại trên máy chủ.
5. Nhấp vào biểu tượng Open Event Log File ở trên cùng của cửa sổ bên dưới thanh menu, như được đánh dấu trong ảnh chụp màn hình bên dưới.
6. Cửa sổ Open Backup Event Log File xuất hiện. Điều hướng đến E:\CHFI-Tools\Evidence Files\Event Logs, chọn tệp Brute Force.evtx, và sau đó nhấp vào Open, như được chỉ ra trong ảnh chụp màn hình sau:
7. Ứng dụng Event Log Explorer bây giờ sẽ tải tệp nhật ký đã chọn và hiển thị các mục nhật ký của nó trong bảng điều khiển bên phải của cửa sổ ứng dụng, như được chỉ ra trong ảnh chụp màn hình sau:
8. Các sự kiện bảo mật được hiển thị trong bảng điều khiển bên phải của cửa sổ ứng dụng được tự động sắp xếp theo cách mà các sự kiện mới nhất được liệt kê ở trên cùng; khi cuộn xuống danh sách sự kiện, bạn có thể tìm thấy các sự kiện cũ hơn. Mục tiêu của chúng tôi ở đây là tìm kiếm các nhật ký sự kiện bảo mật liên quan đến các sự kiện đăng nhập. Do đó, chúng tôi sẽ tìm kiếm các sự kiện cho thấy các nỗ lực đăng nhập: cả thành công và không thành công.

Nếu bạn muốn biết một sự kiện bảo mật cụ thể là gì, hãy chọn nó. Mô tả liên quan đến sự kiện đó sẽ được hiển thị trong bảng Description ở phần dưới cùng của cửa sổ. Ở đây, khi chọn một trong các nhật ký sự kiện bảo mật, chúng tôi thấy rằng hệ thống đã cố gắng xác thực thông tin đăng nhập cho tài khoản Administrator.

1. Bây giờ, cuộn xuống các sự kiện. Bạn sẽ có thể thấy một loạt các sự kiện Audit Failure, như được hiển thị trong ảnh chụp màn hình sau:
2. Để xem chi tiết được liên kết với sự kiện Audit Failure, hãy nhấp đúp vào sự kiện. Công cụ sẽ hiển thị chi tiết của sự kiện trong cửa sổ Event Properties. Ở đây, chúng tôi đã nhấp đúp vào sự kiện Audit Failure đầu tiên được liệt kê ở trên cùng của ngăn xếp trong ảnh chụp màn hình ở trên.

Cửa sổ Event Properties hiển thị nỗ lực đăng nhập không thành công, được ghi lại với ID sự kiện 4625. Đóng cửa sổ.

1. Trong một kịch bản thời gian thực, số lượng sự kiện được ghi lại có thể rất lớn, và việc kiểm tra thủ công từng sự kiện và xác định các sự kiện đáng ngờ/độc hại có thể khá khó khăn.
2. Do đó, chúng tôi sẽ áp dụng bộ lọc cho các sự kiện bảo mật để kiểm tra tất cả các nỗ lực đăng nhập không thành công. Để áp dụng bộ lọc, hãy nhấp vào biểu tượng bộ lọc bên dưới thanh menu, như được đánh dấu trong ảnh chụp màn hình sau:
3. Cửa sổ Filter sẽ mở ra. Trong cửa sổ này, chỉ chọn tùy chọn Audit Failure trong khi bỏ chọn tất cả các tùy chọn khác trong phần Event types. Sau đó, nhấp vào OK.
4. Ứng dụng bây giờ sẽ hiển thị chỉ các sự kiện Audit Failure trong bảng điều khiển bên phải của cửa sổ công cụ. Bạn có thể xem mô tả của sự kiện đã chọn trong bảng Description.
   Bảng Description, như được thấy trong ảnh chụp màn hình bên dưới, hiển thị như sau:

• Dòng đầu tiên hiển thị một thông báo có nội dung An account failed to log on, ngụ ý rằng người dùng đã cố gắng đăng nhập vào máy cục bộ nhưng nỗ lực đăng nhập không thành công.
• Phần Subject chứa Account Name của máy cục bộ (WIN-5PVST6NBUR3) mà nỗ lực đăng nhập được thực hiện.
• Phần Account For Which Logon Failed chứa Account Name là Administrator, là tên người dùng trên máy cục bộ. Do đó, chúng ta có thể suy ra rằng tài khoản có tên người dùng Administrator đã bị nhắm mục tiêu.

1. Trong ảnh chụp màn hình ở trên, lưu ý rằng bảy sự kiện Audit Failure đầu tiên từ trên xuống có cùng dấu thời gian, tức là 4:39:28 AM (dấu thời gian được quan sát trong môi trường thực hành của bạn có thể khác với những gì được trình bày trong bài thực hành này). Do đó, khi chúng ta kiểm tra chi tiết của từng sự kiện trong sáu sự kiện Audit Failure khác có cùng dấu thời gian trong bảng Description bằng cách chọn tuần tự từng sự kiện, chúng cho thấy nỗ lực đăng nhập không thành công, như đã thấy trong bước trên.

Ngày và giờ có thể thay đổi tùy theo Múi giờ được đặt trên máy của người dùng.

Với mục đích minh họa, chúng tôi chỉ hiển thị nội dung của sự kiện Audit Failure trên cùng trong bước trên. Trong thời gian thực, với tư cách là nhà điều tra, bạn phải kiểm tra các tạo tác của nỗ lực đăng nhập không thành công trong mỗi nhật ký sự kiện Audit Failure đó, phản ánh cùng dấu thời gian hoặc đã xảy ra trong một khoảng thời gian rất ngắn.

1. Bây giờ, chúng ta sẽ kiểm tra các sự kiện Audit Success, ghi nhớ các dấu thời gian mà chúng phản ánh.
2. Bây giờ, nhấp vào biểu tượng bộ lọc ở trên cùng. Cửa sổ Filter sẽ xuất hiện như đã thấy trước đó. Trong cửa sổ Filter, chỉ chọn tùy chọn Audit Success trong khi bỏ chọn tất cả các tùy chọn khác trong phần Event Types. Sau đó, nhấp vào OK.
3. Ứng dụng bây giờ sẽ liệt kê tất cả các sự kiện Audit Success trong bảng điều khiển bên phải của cửa sổ, như được hiển thị trong ảnh chụp màn hình sau.
4. Từ quan sát trước đó của chúng tôi, chúng tôi biết rằng nhiều sự kiện Audit Failure cho thấy các nỗ lực đăng nhập không thành công có dấu thời gian 4:39:28 AM. Bây giờ, chúng ta cần bắt đầu kiểm tra các sự kiện Audit Success bắt đầu lúc hoặc sau 4:39:28 AM.
5. Cuộn xuống trong bảng điều khiển bên phải của cửa sổ để xem các sự kiện Audit Success có dấu thời gian 4:39:28 AM. Chúng ta cần bắt đầu kiểm tra các nhật ký sự kiện này bắt đầu bằng sự kiện Audit Success đầu tiên có dấu thời gian 4:39:28 AM.
6. Chọn sự kiện Audit Success đầu tiên với ID sự kiện 4776. Bảng Description của nó cho thấy rằng máy tính đã cố gắng xác thực thông tin đăng nhập đăng nhập cho tài khoản Administrator trên máy cục bộ (được xác định là WIN-5PVST6NBUR3), như được chỉ ra trong ảnh chụp màn hình bên dưới. Điều này ngụ ý rằng nỗ lực đăng nhập vào máy cục bộ của người dùng đã được xác thực.
7. Bây giờ, chọn sự kiện Audit Success ở trên sự kiện hiện đang được chọn và có cùng dấu thời gian như đã đề cập trước đó. Bảng Description của nó cho thấy rằng đăng nhập đã được thử bằng cách sử dụng thông tin đăng nhập rõ ràng trên máy cục bộ, như được chỉ ra trong ảnh chụp màn hình bên dưới.

Điều này ngụ ý rằng nỗ lực đăng nhập bằng thông tin đăng nhập rõ ràng, văn bản thuần túy có thể đã được thực hiện trên máy cục bộ. Điều này có thể xảy ra khi người dùng/kẻ tấn công độc hại đã nắm được thông tin đăng nhập cho máy cục bộ.

1. Bây giờ, hãy chọn sự kiện Audit Success ở trên sự kiện hiện đang được chọn và có cùng dấu thời gian như đã đề cập trước đó. Bảng Description của nó cho thấy rằng một tài khoản đã đăng nhập thành công. Cuộn xuống thêm trong bảng Description cho thấy tên tài khoản (ở đây là Administrator) mà quá trình đăng nhập thành công đã xảy ra, như được chỉ ra thông qua ảnh chụp màn hình bên dưới.
2. Bây giờ, hãy chọn sự kiện Audit Success ở trên sự kiện hiện đang được chọn và có cùng dấu thời gian đã đề cập trước đó. Trường Category của nó đề cập đến Special Logon.
   Bảng Description cho sự kiện này, ở trên cùng, cho thấy các đặc quyền đặc biệt đã được gán cho lần đăng nhập mới, như được chỉ ra trong ảnh chụp màn hình bên dưới. Điều này ngụ ý rằng người dùng đáng ngờ đã đăng nhập có thể đã đạt được các đặc quyền nâng cao trên máy cục bộ.
3. Tất cả những phát hiện ở trên cho thấy rằng nỗ lực đăng nhập thành công đã xảy ra trên máy cục bộ sau nhiều lần thử đăng nhập không thành công lặp đi lặp lại. Cả sự kiện đăng nhập không thành công và thành công đều xảy ra liên tiếp vì cả hai đều phản ánh cùng dấu thời gian. Điều này cho thấy mạnh mẽ một cuộc tấn công brute-force.
4. Chúng ta bây giờ sẽ lưu các nhật ký sự kiện Audit Failure và Audit Success mà chúng ta vừa kiểm tra.
5. Trước khi lưu nhật ký sự kiện, hãy nhấp vào biểu tượng Filter ở trên cùng. Trong cửa sổ Filter xuất hiện, chỉ chọn các tùy chọn Audit Success và Audit Failure trong phần Event types trong khi bỏ chọn tất cả các tùy chọn khác. Sau đó, nhấp vào OK, như được chỉ ra trong ảnh chụp màn hình.
6. Bây giờ bạn sẽ thấy cả sự kiện Audit Success và Audit Failure được liệt kê trong bảng điều khiển bên phải của cửa sổ, như được chỉ ra trong ảnh chụp màn hình bên dưới.
7. Bây giờ, để lưu tệp nhật ký sự kiện, hãy chuyển đến File -> Save Event Log (Backup).
8. Cửa sổ Save sẽ xuất hiện. Điều hướng đến vị trí mà bạn muốn lưu tệp nhật ký. Ở đây, chúng tôi đang lưu tệp trên Desktop. Đặt tên cho tệp nhật ký (ở đây, chúng tôi đang đặt tên là Security Event Logs) và nhấp vào Save.
9. Để xem tệp nhật ký sự kiện bảo mật đã lưu, bạn có thể trực tiếp mở nó trong Event Viewer từ vị trí mà bạn đã lưu nó. Ngoài ra, bạn có thể truy cập nó từ cửa sổ công cụ Event Explorer bằng cách chuyển đến File -> Open Log File….

Nhấp vào Open để xem tệp nhật ký (ở đây là Security Event Logs.evtx).

).

1. Tương tự, bạn cũng có thể kiểm tra nhật ký sự kiện ứng dụng và nhật ký sự kiện hệ thống bằng cách sử dụng các tệp nhật ký đã ghi lại các sự kiện đó. Trong bài thực hành này, chúng tôi chỉ sử dụng tệp Brute Force.evtx, hiển thị các sự kiện bảo mật.
2. Theo cách này, bạn có thể kiểm tra các sự kiện Windows thông qua Event Log Explorer.
3. Đóng tất cả các cửa sổ đang mở.