CHFI v11 Hướng Dẫn Thực Hành Mô-đun 07: Phân tích Kỹ thuật số Linux và Mac

Sở cảnh sát mạng của một quận tại Hoa Kỳ nhận được thông tin về một vụ lừa đảo trực tuyến đang diễn ra tại một quán cà phê internet trong quận. Họ đã khám xét địa điểm đó và thu giữ các máy tính đang chạy trên hệ điều hành Linux và Mac. Jason, một chuyên gia pháp y, được giao nhiệm vụ kiểm tra các hệ thống Linux và Mac này và thu thập các hiện vật liên quan đến vụ án.

Để phân tích Linux và Mac OS, bạn phải có khả năng thu thập và phân tích bằng chứng từ hệ thống của nạn nhân hoặc kẻ tấn công. Kẻ tấn công có thể thao túng cấu hình hệ thống và xóa dữ liệu tấn công khỏi hệ thống của nạn nhân. Là một điều tra viên, bạn phải nhận thức được cấu hình hệ thống Linux và Mac và hệ thống tệp của chúng để tiến hành điều tra pháp y.

Mục tiêu Thực hành

Mục tiêu của thực hành này là cung cấp kiến thức chuyên môn về việc tìm kiếm các phần bằng chứng từ Linux và Mac OS. Việc hoàn thành nhiệm vụ này sẽ bao gồm:

• Thực hiện thu thập dữ liệu dễ bay hơi trên máy Linux.
• Thực hiện thu thập dữ liệu không dễ bay hơi trên cả máy tính Linux và Mac.
• Thực hiện phân tích pháp y bộ nhớ trên máy Linux.
• Khôi phục dữ liệu từ bản ghi RAM của Linux.

Tổng quan về Phân tích Kỹ thuật số Linux và Mac

Phân tích kỹ thuật số Linux và Mac đề cập đến việc điều tra tội phạm mạng liên quan đến máy Linux và Mac. Để tìm các hiện vật liên quan đến tội phạm mạng trên hệ thống Linux và Mac, các nhà điều tra phải có kiến thức về hệ thống tệp Linux cũng như các thư mục và lệnh khác nhau mà qua đó họ có thể tìm thấy dữ liệu chứng cứ.

Nhiệm vụ Thực hành

Sau đây là các thực hành được đề xuất sẽ hỗ trợ bạn trong Phân tích Kỹ thuật số Linux:

• Thu thập Dữ liệu Dễ bay hơi trong Hệ thống Linux.
• Thu thập Dữ liệu Không Dễ bay hơi trong Hệ thống Linux.
• Điều tra Hình ảnh Pháp y của Hệ thống Linux và Mac.
• Thực hiện Điều tra Pháp y trên Bản ghi Bộ nhớ của Linux.
• Khôi phục Dữ liệu từ Bản ghi Bộ nhớ của Linux.

Thực hành 1: Thu thập Dữ liệu Dễ bay hơi trong Hệ thống Linux

Kịch bản Thực hành

Đối với điều tra pháp y, các nhà điều tra thường phải thu thập dữ liệu từ hệ thống đang hoạt động để phân tích các chi tiết như thông tin mạng, thông tin quy trình và các thông tin khác bằng cách sử dụng các công cụ khác nhau (công cụ dòng lệnh cũng như công cụ dựa trên giao diện người dùng đồ họa). Việc thực hiện phân tích kỹ lưỡng sẽ cho phép các nhà điều tra có được bằng chứng quan trọng giúp họ giải quyết các vụ án khác nhau liên quan đến pháp y kỹ thuật số.

Là một nhà điều tra pháp y, bạn nên biết cách thu thập thông tin dễ bay hơi từ hệ thống đang hoạt động.

Mục tiêu Thực hành

Mục tiêu của thực hành này là giúp học viên học cách thu thập dữ liệu dễ bay hơi từ hệ thống Linux đang hoạt động và phân tích dữ liệu để tìm dấu vết của cuộc tấn công và xác định loại, điểm tác động, đường dẫn và thủ phạm.

Tổng quan về Thực hành

Thực hành này giúp bạn làm quen với việc thu thập dữ liệu dễ bay hơi từ máy Linux đang hoạt động. Dữ liệu dễ bay hơi có thể cung cấp cho nhà điều tra pháp y các hiện vật tiềm năng liên quan đến một vụ án tội phạm mạng, giúp họ giải quyết vụ án.

Nhiệm vụ Thực hành

Trong thực hành này, chúng tôi xem xét rằng dấu vết của cuộc điều tra không phải là vấn đề lớn.

1. Theo mặc định, máy ảo Windows Server 2022 được chọn. Nhấp vào Ubuntu Suspect để chọn máy ảo Ubuntu Suspect.
2. Theo mặc định, hồ sơ người dùng james được chọn, nhập mật khẩu toor vào trường Mật khẩu và nhấn Enter để đăng nhập.
3. Trong thực hành này, chúng ta sẽ thu thập dữ liệu dễ bay hơi từ máy Linux (Ubuntu Suspect), bao gồm (nhưng không giới hạn) thời gian hoạt động của hệ thống, phiên đăng nhập cuối cùng, kết nối mạng và nhật ký kiểm toán.

Kết quả bạn nhận được sẽ khác với những ảnh chụp màn hình bên dưới vì bạn đang thu thập dữ liệu dễ bay hơi, vốn có tính chất thay đổi.

1. Bây giờ, nhấp vào biểu tượng Terminal từ bảng khởi động để khởi chạy dòng lệnh terminal.
2. Dòng lệnh terminal khởi chạy. Bạn cần quyền root trong terminal.
3. Bây giờ, nhập sudo su và nhấn Enter. Bạn sẽ được yêu cầu nhập mật khẩu. Nhập toor làm mật khẩu và nhấn Enter.
4. Để có được chi tiết thời gian hoạt động, nhập w và nhấn Enter. Điều này hiển thị thời gian máy đã hoạt động kể từ khi đăng nhập.
5. Để thu thập chi tiết về các phiên đăng nhập cuối cùng, nhập lệnh last -a.
6. Để kiểm tra trạng thái mạng của hệ thống, hãy chạy lệnh netstat.

Trong trường hợp tiện ích netstat không được cài đặt trên hệ thống Linux của bạn, bạn sẽ không thể lấy được chi tiết liên quan đến trạng thái mạng. Nếu vậy, hãy chạy lệnh apt install -y net-tools để cài đặt tiện ích netstat trên hệ thống của bạn, sau đó bạn có thể chạy lệnh netstat và lấy được chi tiết.

1. Lệnh lsof (danh sách tệp đang mở) sẽ giúp bạn tìm tất cả các tệp đang mở được liên kết với các cổng, dịch vụ và quy trình cụ thể. Sử dụng lệnh lsof > openfiles.txt để tìm nạp danh sách các tệp đang mở và lưu kết quả vào tệp văn bản trong thư mục Home.
2. Để tìm và xem nội dung của openfiles.txt, nhập gedit openfiles.txt trong terminal và nhấn Enter.
3. Tệp openfiles.txt sẽ mở trong trình soạn thảo văn bản. Kết quả có trong tệp văn bản được hiển thị trong ảnh chụp màn hình để tham khảo.
4. Đóng cửa sổ trình soạn thảo văn bản.
5. Để xem các mô-đun đã tải trên hệ thống Linux, hãy chạy lệnh lsmod.
6. Bản ghi kiểm toán trên máy Linux chứa thông tin quan trọng có thể hỗ trợ điều tra pháp y. Bạn cần cài đặt gói auditd để chạy các lệnh kiểm toán trên máy.
7. Để cài đặt, nhập lệnh apt install -y auditd.

Nếu lệnh trên không thực thi, hãy khởi động lại máy ảo Ubuntu Suspect và sau đó chạy lệnh.

1. Công cụ kiểm toán bao gồm các tiện ích giúp tạo bản ghi về thông tin hệ thống.
2. Lệnh aureport tìm nạp chi tiết về tất cả các lần thử đăng nhập được thực hiện trên hệ thống. Chạy lệnh aureport để tìm nạp các chi tiết đó.
3. Xác định ID Người dùng của một người dùng cụ thể bằng cách chạy lệnh id , sau đó theo dõi tất cả các sự kiện người dùng liên quan đến ID Người dùng bằng cách chạy lệnh ausearch. Cú pháp của lệnh ausearch là ausearch -ui –interpret. Trong thực hành này, ID Người dùng là 1000.

Nếu không có sự kiện người dùng nào được tạo liên quan đến ID Người dùng đã chỉ định, thì lệnh trên sẽ trả về kết quả là không khớp.

1. Linux lưu trữ các tác vụ đã lên lịch trong /var/spool/cron/ và /etc/cron.daily. Bạn có thể tìm thấy các tác vụ đã lên lịch bằng cách điều hướng đến các thư mục đó.
2. Các tệp cron cũng lưu trữ dữ liệu về các tác vụ được lên lịch hàng giờ, hàng ngày, hàng tuần và hàng tháng. Để xem các tệp tác vụ đã lên lịch hàng ngày, hãy chuyển đến /etc/cron.daily.
3. Tệp .bash_history chứa lịch sử lệnh của hệ thống Linux. Để xem toàn bộ lịch sử lệnh, hãy nhập lệnh gedit .bash_history để mở tệp .bash_history trong trình soạn thảo văn bản.
4. Đóng trình soạn thảo văn bản. Để xem bộ đệm ARP được lưu trữ trên hệ thống, hãy chạy lệnh arp.
5. Để xem các quy trình đang chạy trên hệ thống, hãy chạy lệnh ps. Bạn có thể sử dụng công tắc auxww để xem tất cả các chi tiết của các quy trình đang chạy. Điều này sẽ hiển thị tất cả các quy trình, cùng với PID, người dùng, v.v. của chúng, như được hiển thị trong ảnh chụp màn hình sau:
6. Để tìm các cổng liên quan đến một quy trình cụ thể, hãy chạy lệnh ss -l -p -n | grep PID.

Nếu có bất kỳ lỗi nào liên quan đến grep xuất hiện, bạn cần cài đặt grep trên máy. Chạy lệnh apt-get install grep để cài đặt grep trên Ubuntu.
Giá trị PID có thể thay đổi trong môi trường thực hành của bạn.

1. Bạn có thể thu thập dữ liệu về trạng thái hiện tại của hệ thống bằng cách xem trạng thái của các quy trình đang chạy trong hệ thống tệp /proc.
2. Bảng tạm lưu trữ chi tiết của các tệp hoặc văn bản được sao chép gần đây. Để sao chép và xem lại nội dung của bảng tạm, hãy nhấp chuột phải và chọn Dán từ menu ngữ cảnh hoặc chạy lệnh xclip.

Khi chạy tiện ích xclip, nếu có lỗi xảy ra cho biết lệnh xclip không được tìm thấy, thì hãy chạy lệnh apt install xclip để cài đặt tiện ích xclip. Ở đây, chúng tôi đã sao chép tên của một tệp.

Trong trường hợp không có văn bản nào được sao chép gần đây, lệnh trên sẽ trả về: Lỗi: STRING đích không khả dụng.

1. Bây giờ, chúng ta sẽ chạy lệnh hostname để xem tên hệ thống hiện tại. Trong terminal, nhập hostname và nhấn Enter.
2. Bây giờ chúng ta sẽ thu thập thông tin về các cổng TCP và UDP đang mở bằng tiện ích nmap.
3. Trong terminal, nhập nmap -sT localhost và nhấn Enter để xem danh sách các cổng TCP đang mở.

Khi chạy tiện ích nmap, nếu có lỗi xảy ra cho biết lệnh nmap không được tìm thấy, thì hãy chạy lệnh apt install nmap và nhấn Enter. Trong câu hỏi Bạn có muốn tiếp tục không?, nhập Có và nhấn Enter.

1. Trong terminal, nhập nmap -sU localhost và nhấn Enter để xem danh sách các cổng UDP đang mở.
2. Bây giờ, chúng ta sẽ kiểm tra lịch sử lệnh của người dùng bằng tập lệnh Python. Trong cửa sổ terminal, nhập gedit history.py và nhấn Enter để mở cửa sổ trình soạn thảo văn bản.
3. Tệp history.py mở ra, nhập mã như được hiển thị trong ảnh chụp màn hình và lưu tệp trong thư mục Home.

Để thuận tiện, chúng tôi đã đặt tập lệnh Python (history.py) trong 10.10.1.22\CHFIv11 Module 07 Linux and Mac Forensics\Python Scripts. Nếu bạn muốn sử dụng tệp này, hãy sao chép tệp history.py, dán nó vào thư mục Home và tiếp tục từ Bước #35.

Trong tập lệnh python bên dưới, chúng tôi đang phân tích nội dung tệp .bash_history nằm trong thư mục Home.

1. Sau khi lưu tệp history.py, hãy đóng trình soạn thảo văn bản.
2. Nhấp vào biểu tượng + ở phía trên bên trái của cửa sổ terminal để mở cửa sổ Terminal mới.
3. Trong cửa sổ Terminal mới, nhập python3 history.py và nhấn Enter để chạy mã python.
4. Sau khi chạy tập lệnh thành công, lịch sử lệnh của người dùng james sẽ được hiển thị, như được hiển thị trong ảnh chụp màn hình bên dưới.

Kết quả có thể khác nhau khi bạn thực hiện thực hành này.

1. Bằng cách này, bạn có thể thu thập dữ liệu dễ bay hơi từ máy đang hoạt động.
2. Đóng tất cả các cửa sổ đang mở.

Thực hành 2: Thu thập Dữ liệu Không Dễ bay hơi trong Hệ thống Linux

Kịch bản Thực hành

Dữ liệu không dễ bay hơi là chìa khóa trong các cuộc điều tra pháp y để tái tạo lại các sự kiện trong quá khứ. Nó bao gồm các tệp, nhật ký hệ thống, nhật ký ứng dụng và dữ liệu đã xóa có thể được khôi phục. Bằng cách phân tích thời gian tạo, sửa đổi và truy cập tệp, các nhà điều tra có thể xây dựng dòng thời gian các hoạt động, điều này rất quan trọng trong việc hiểu trình tự các sự kiện trước, trong và sau một sự cố an ninh mạng.

Là một nhà điều tra pháp y, bạn nên biết cách thu thập thông tin không dễ bay hơi từ một hệ thống đang hoạt động.

Mục tiêu Thực hành

Mục tiêu của thực hành này là giúp học viên học cách thu thập dữ liệu không dễ bay hơi từ hệ thống Linux đang hoạt động, chẳng hạn như thông tin hệ thống, lịch sử đăng nhập của người dùng, nhật ký hệ thống và tệp ẩn để xây dựng phân tích dòng thời gian của sự cố đã xảy ra.

Tổng quan về Thực hành

Thực hành này giúp bạn làm quen với việc thu thập dữ liệu không dễ bay hơi từ máy Linux đang hoạt động. Thông tin không dễ bay hơi trong Linux rất cần thiết để hiểu toàn diện về trạng thái hệ thống, hoạt động của người dùng và các sự kiện lịch sử.

Nhiệm vụ Thực hành

Trong thực hành này, chúng tôi xem xét rằng dấu vết của cuộc điều tra không phải là vấn đề lớn.

1. Trong máy Ubuntu Suspect, mở cửa sổ Terminal và nhập sudo su; sau đó nhấn Enter. Bạn sẽ được yêu cầu nhập mật khẩu. Nhập toor làm mật khẩu và nhấn Enter.
2. Trong cửa sổ Terminal, nhập uname -r và nhấn Enter để xem phiên bản hạt nhân của hệ thống.

Hạt nhân chịu trách nhiệm duy trì tính bảo mật của hệ thống. Do đó, điều quan trọng là xác định phiên bản hạt nhân để cập nhật bằng các bản vá bảo mật nếu cần.

1. Bây giờ, chúng ta sẽ thu thập thông tin tài khoản người dùng, để làm như vậy, hãy nhập cat /etc/passwd và nhấn Enter.
2. Bây giờ, chúng ta sẽ xem danh sách tên người dùng trong hệ thống. Trong terminal, nhập cut -d: -f1 /etc/passwd và nhấn Enter.
3. Bây giờ chúng ta sẽ thu thập thông tin lịch sử đăng nhập từ hệ thống. Để làm như vậy, nhập last -f /var/log/wtmp trong terminal và nhấn Enter.
4. Chúng ta bây giờ sẽ lấy thông tin liên quan đến các sự kiện xác thực và ủy quyền người dùng, đăng nhập người dùng từ xa và lịch sử của các lệnh sudo đã thực thi.
5. Trong terminal, nhập cat /var/log/auth.log và nhấn Enter.
6. Bây giờ, chúng ta sẽ thu thập thông tin đáng ngờ trên hệ thống bằng công cụ rkhunter.

Lệnh rkhunter tìm kiếm sự hiện diện của rootkit và phần mềm độc hại trên hệ thống cục bộ, cũng như các tệp khởi động đã sửa đổi hoặc cập nhật. Nó có thể phát hiện các ứng dụng đáng ngờ bằng cách chạy kiểm tra trên các giao diện mạng.

1. Trong cửa sổ Terminal, nhập apt install rkhunter và nhấn Enter.

Trong câu hỏi Bạn có muốn tiếp tục không?, nhập Y và nhấn Enter.

1. Trong cửa sổ Cấu hình Postfix, đảm bảo rằng tùy chọn Trang web Internet được chọn và nhấn Enter.

Nếu cửa sổ Cấu hình Postfix xuất hiện, hãy nhấp vào OK.

1. Trong cửa sổ tiếp theo, giữ nguyên cài đặt mặc định và nhấn Enter.
2. Sau khi công cụ rkhunter được cài đặt, hãy nhập rkhunter –check –rwo trong terminal và nhấn Enter để kiểm tra các thư mục ẩn hoặc loại tệp đáng ngờ trong thư mục /dev.
3. Lệnh liệt kê các thư mục ẩn hoặc loại tệp đáng ngờ trong thư mục /dev.

Kết quả đầu ra có thể khác nhau khi bạn thực hiện thực hành này.

Công cụ mất một chút thời gian để quét các tệp và thư mục đáng ngờ.

1. Bây giờ, chúng ta sẽ trích xuất siêu dữ liệu tệp bằng Python bằng cách sử dụng các thư viện tích hợp của Python.
2. Trong cửa sổ Terminal, nhập gedit metadata.py và nhấn Enter.
3. Tệp metadata.py mở ra trong cửa sổ Trình soạn thảo văn bản. Trong cửa sổ Trình soạn thảo văn bản, nhập mã như được hiển thị trong ảnh chụp màn hình bên dưới.
4. Chúng ta cần cung cấp đường dẫn đến tệp cần phân tích trong phần filePath tại dòng 9.
5. Nhấp vào phím tắt Files từ phần Favorites để mở cửa sổ Files và nhấp vào chfi-tools on 10.10.1.22.
6. Trong thư mục chfi-tools, điều hướng đến Evidence Files và sao chép Infected.pdf.
7. Điều hướng đến thư mục Home và dán tệp Infected.pdf.
8. Bây giờ, hãy chuyển sang Trình soạn thảo văn bản. Tại dòng 9, thay thế /path/to/file bằng /home/james/Infected.pdf, lưu tệp và đóng cửa sổ Trình soạn thảo văn bản.
9. Trong cửa sổ Terminal, nhập python3 metadata.py và nhấn Enter.

Để thuận tiện, chúng tôi đã đặt tập lệnh Python (metadata.py) tại chfi-tools on 10.10.1.22\CHFIv11 Module 07 Linux and Mac Forensics\Python Scripts. Nếu bạn muốn sử dụng tệp này, hãy sao chép tệp metadata.py và dán nó vào thư mục Home.

1. Sau khi chạy tập lệnh python, các chi tiết như kích thước, creation_time, modification_time và access_time sẽ được hiển thị.
2. Chúng ta có thể thấy rằng thời gian ở đơn vị epoch. Bây giờ chúng ta sẽ chuyển đổi thời gian này thành ngày giờ có thể đọc được của con người.
3. Nhấp vào phím tắt Firefox từ ngăn Favorites và trong thanh địa chỉ, nhập https://www.epochconverter.com và nhấn Enter.
4. Chuyển sang cửa sổ Terminal và sao chép dấu thời gian từ creation_time như được hiển thị trong ảnh chụp màn hình.
5. Chuyển sang trình duyệt Firefox. Trong phần Chuyển đổi epoch thành ngày giờ có thể đọc được của con người và ngược lại, dán dấu thời gian đã sao chép và nhấn Enter.
6. Ngày và giờ ở định dạng có thể đọc được của con người sẽ hiển thị trên trang web. Tương tự, bạn có thể sao chép dấu thời gian modification_time và access_time và chuyển đổi chúng.
7. Đóng trình duyệt Firefox.
8. Bây giờ chúng ta sẽ sử dụng thư viện bên ngoài Pillow (PIL Fork) với Python để trích xuất siêu dữ liệu nâng cao hơn như dữ liệu EXIF trong hình ảnh.
9. Trong cửa sổ Terminal, nhập gedit exif_metadata.py và nhấn Enter.
10. Trong cửa sổ Trình soạn thảo văn bản mở ra, nhập mã sau:
11. Chúng ta cần cung cấp đường dẫn đến tệp hình ảnh jpg cần phân tích trong phần imagePath tại dòng 12.
12. Làm theo Bước #18 và 19 để điều hướng đến thư mục Evidence Files và mở thư mục Image Files.
13. Từ thư mục Image Files, sao chép tệp Kitty.jpg.
14. Điều hướng đến thư mục Home và dán tệp hình ảnh đã sao chép.
15. Chuyển sang cửa sổ Trình soạn thảo văn bản, và thay thế path/to/image.jpg trong dòng 12 bằng /home/james/Kitty.jpg. Lưu văn bản và đóng lại.
16. Trong cửa sổ Terminal, nhập python3 exif_metadata.py và nhấn Enter.

Để thuận tiện, chúng tôi đã đặt tập lệnh Python (exif_metadata.py) cùng với imagePath tại chfi-tools on 10.10.1.22\CHFIv11 Module 07 Linux and Mac Forensics\Python Scripts. Nếu bạn muốn sử dụng tệp này, sao chép tệp exif_metadata.py và dán nó vào thư mục Home.

1. Dữ liệu EXIF liên quan đến tệp Kitty.jpg được hiển thị trong cửa sổ Terminal như được hiển thị trong ảnh chụp màn hình.
2. Bây giờ, chúng ta sẽ liệt kê các thư mục trong Linux bằng Python, liên quan đến việc liệt kê tất cả các tệp và thư mục con trong một thư mục nhất định.
3. Các nhà điều tra có thể đạt được điều này bằng cách nhập các thư viện tiêu chuẩn của Python như os và os.path có thể xử lý việc liệt kê thư mục.
4. Trong cửa sổ Terminal, nhập gedit enumeration.py và nhấn Enter để mở cửa sổ Trình soạn thảo văn bản.
5. Trong cửa sổ Trình soạn thảo văn bản, nhập mã python như được hiển thị trong ảnh chụp màn hình bên dưới và lưu nó trong thư mục Home.

Để thuận tiện, chúng tôi đã đặt tập lệnh Python (enumeration.py) cùng với đường dẫn thư mục tại chfi-tools on 10.10.1.22\CHFIv11 Module 07 Linux and Mac Forensics\Python Scripts. Nếu bạn muốn sử dụng tệp này, hãy sao chép tệp enumeration.py, dán nó vào thư mục Home và tiếp tục từ Bước #46.

1. Trong đoạn mã trên ở dòng số 11, chúng ta cần nhập đường dẫn đến thư mục mà chúng ta muốn liệt kê.
2. Đối với mục đích trình diễn, chúng ta sẽ liệt kê các thư mục có trong thư mục Home. Trong dòng 11, thay thế /path/to/directory bằng /home, lưu tệp và đóng cửa sổ Trình soạn thảo văn bản.
3. Chuyển sang cửa sổ Terminal và nhập python3 enumeration.py và nhấn Enter.
4. Tập lệnh python chạy và hiển thị các thư mục con được liệt kê có trong thư mục /home.

Kết quả đầu ra có thể khác nhau khi bạn thực hiện thực hành này.

1. Bằng cách này, bạn có thể thu thập dữ liệu không dễ bay hơi từ một máy đang hoạt động.
2. Đóng tất cả các cửa sổ đang mở.

Thực hành 3: Điều tra Hình ảnh Pháp y của Hệ thống Linux và Mac

Kịch bản Thực hành

Trong một MNC có uy tín, máy tính của một nhân viên đã bị xâm nhập, và kẻ tấn công đã sử dụng một số kỹ thuật hacking để đánh cắp thông tin nhạy cảm từ máy tính. Để hiểu được thiệt hại và nguyên nhân của vụ tấn công, một chuyên gia pháp y đã được công ty chỉ định. Cùng với dữ liệu dễ bay hơi, điều tra viên pháp y cũng phải thu thập dữ liệu không dễ bay hơi của hệ thống, bao gồm các tệp hệ thống, ứng dụng và các tệp vĩnh viễn mà một ứng dụng tạo ra trong quá trình cài đặt. Các điều tra viên cũng có thể truy xuất chi tiết như thông tin đăng nhập, lịch sử lệnh, tệp đã xóa, v.v., có thể đóng vai trò là thông tin hữu ích trong quá trình điều tra pháp y.

Là một chuyên gia pháp y, bạn phải hiểu cách kiểm tra các tệp hình ảnh pháp y thu được từ cả máy tính Linux và Mac.

Mục tiêu Thực hành

Tệp hình ảnh pháp y là bản sao bit-by-bit của thiết bị lưu trữ vật lý có chứa tất cả các tệp/thư mục, cũng như không gian trống và không gian chưa được phân bổ. Từ góc độ pháp y, các hiện vật tiềm năng có thể được truy xuất từ tệp hình ảnh pháp y bao gồm các tệp đã xóa, phân vùng ẩn/đã xóa, dữ liệu ẩn có thể được tìm thấy trong không gian trống và không gian chưa được phân bổ.

Mục tiêu của thực hành này là giúp bạn học cách phân tích tệp hình ảnh pháp y thu được từ máy Linux hoặc Mac và truy xuất các hiện vật tiềm năng từ tệp hình ảnh.

Tổng quan về Thực hành

Thực hành này giúp bạn làm quen với công cụ Autopsy dành cho Windows và giúp bạn hiểu cách phân tích các tệp hình ảnh pháp y được chụp trên hệ thống Linux và Mac. Nói cách khác, chúng tôi sẽ phân tích dữ liệu không dễ bay hơi của cả Linux và Mac OS.

Nhiệm vụ Thực hành

1. Chuyển sang máy ảo Windows Server 2022 bằng cách nhấp vào Windows Server 2022 và sau đó nhấp vào Ctrl+Alt+Delete.
2. Theo mặc định, hồ sơ người dùng Administrator được chọn, nhấp vào Pa w0rd để dán mật khẩu vào trường Mật khẩu và nhấn Enter để đăng nhập.

Nếu ngăn Mạng xuất hiện, hãy nhấp vào Có để cho phép PC của bạn được phát hiện bởi các PC và thiết bị khác trên mạng này.

1. Trong thực hành này, chúng tôi sẽ sử dụng Autopsy để kiểm tra tệp hình ảnh pháp y được thu thập từ máy tính chạy Hệ điều hành Linux.

Trước khi bắt đầu thực hành này, hãy tạo một thư mục có tên Phân tích Tệp Hình ảnh trên Desktop.

1. Để cài đặt Autopsy, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 03 Hiểu về Ổ đĩa cứng và Hệ thống Tệp\Công cụ Phân tích Hệ thống Tệp\Autopsy, nhấp đúp vào trình cài đặt autopsy-4.21.0-64bit.msi và làm theo các bước cài đặt hướng dẫn trình hướng dẫn để hoàn tất quá trình cài đặt.

Nếu cửa sổ bật lên Mở Tệp – Cảnh báo Bảo mật xuất hiện, hãy nhấp vào Chạy.

1. Sau khi cài đặt hoàn tất, nhấp đúp vào biểu tượng phím tắt Autopsy 4.21.0 trên Desktop.

Bạn cũng có thể khởi chạy công cụ từ màn hình Ứng dụng.

Nếu cửa sổ Thông tin xuất hiện, hãy nhấp vào OK.

1. Cửa sổ Chào mừng Autopsy xuất hiện, cùng với cửa sổ chính Autopsy ở nền. Trong cửa sổ Chào mừng, hãy nhấp vào Vụ án mới.
2. Cửa sổ Thông tin Vụ án Mới mở ra, yêu cầu bạn cung cấp Tên Vụ án và Thư mục Cơ sở. Thư mục cơ sở là vị trí nơi dữ liệu vụ án sẽ được lưu trữ. Tên vụ án có thể được nhập theo mục đích nhận dạng của bạn. Trong thực hành này, chúng tôi gán tên vụ án là Pháp y Hệ điều hành Linux.
3. Chúng tôi sẽ lưu dữ liệu vụ án trong thư mục Phân tích Tệp Hình ảnh nằm trên Desktop. Bây giờ, hãy gán thư mục này làm Thư mục Cơ sở và nhấp vào Tiếp theo.
4. Phần Thông tin Tùy chọn xuất hiện. Cung cấp Số Vụ án và Chi tiết Điều tra viên (ở đây, chúng tôi đã nhập Số Vụ án là 101). Nhấp vào Kết thúc.

Trong kịch bản thực tế, bạn có thể cung cấp chi tiết điều tra viên theo vụ án.

1. Ứng dụng mất một chút thời gian để tạo vụ án. Tiếp theo, cửa sổ Thêm Nguồn Dữ liệu xuất hiện, nơi Chọn Máy chủ được hiển thị, giữ nguyên cài đặt mặc định và nhấp vào Tiếp theo.
2. Trong phần Chọn Loại Nguồn Dữ liệu, đảm bảo rằng tùy chọn Hình ảnh Ổ đĩa hoặc Tệp Máy ảo được chọn và nhấp vào Tiếp theo.
3. Phần Chọn Nguồn Dữ liệu xuất hiện. Nhấp vào Duyệt để chọn tệp nguồn.

Nguồn dữ liệu được sử dụng ở đây là tệp hình ảnh pháp y.

1. Cửa sổ Mở xuất hiện. Điều hướng đến vị trí E:\CHFI-Tools\Evidence Files\Forensic Images, chọn tệp Linux_Evidence_001.img và nhấp vào Mở.
2. Phần Chọn Nguồn Dữ liệu bây giờ hiển thị đường dẫn đến tệp Linux_Evidence_001.img trong trường Đường dẫn. Nhấp vào Tiếp theo.
3. Cửa sổ Thêm Nguồn Dữ liệu bây giờ hiển thị phần Cấu hình Tiếp nhận chứa danh sách các tùy chọn được chọn. Chọn các tùy chọn theo yêu cầu của bạn. Bạn cũng có thể để các tùy chọn này ở mặc định. Nhấp vào Tiếp theo.
4. Phần Thêm Nguồn Dữ liệu xuất hiện, hiển thị thông báo sau: Nguồn Dữ liệu đã được thêm (gặp lỗi không nghiêm trọng). Nhấp vào bên dưới để xem nhật ký. Nhấp vào Kết thúc.

Autopsy mất một chút thời gian để phân tích hoàn toàn tệp hình ảnh.

1. Ứng dụng bây giờ sẽ đưa bạn đến cửa sổ chính của nó, nơi bạn có thể tìm thấy tệp Linux_Evidence_001.img được liệt kê trong phần Nguồn Dữ liệu.
2. Mở rộng nút Nguồn Dữ liệu trong ngăn bên trái của cửa sổ. Tùy chọn Nguồn Dữ liệu sẽ liệt kê tên của tệp hình ảnh cần phân tích (trong trường hợp này là Linux_Evidence_001.img).
3. Nhấp vào tên của tệp hình ảnh (Linux_Evidence_001.img) để xem nội dung của nó trong ngăn bên phải của cửa sổ công cụ. Tệp hình ảnh chứa các thư mục lưu trữ dữ liệu liên quan đến tệp, quy trình, dịch vụ, công cụ, v.v., được lưu trữ/sử dụng trên hệ thống Linux.

Autopsy sử dụng hầu hết tài nguyên của máy ảo trong khi quét hình ảnh. Máy có thể không phản hồi cho đến khi quá trình quét hoàn tất. Bạn nên không truy cập máy cho đến khi quá trình quét hoàn tất.

1. Mở rộng Linux_Evidence_001.img để xem nội dung của nó trong ngăn bên trái.
2. Tệp hình ảnh (Linux_Evidence_001.img) chứa các thư mục chứa dữ liệu liên quan đến tệp/thư mục, quy trình, dịch vụ, công cụ, lệnh, v.v., từ máy Linux.
3. Thư mục bin trong Linux_Evidence_001.img chứa các tệp nhị phân lệnh của tất cả người dùng. Chọn thư mục bin để xem nội dung của nó trong ngăn bên phải. Nhấp vào bất kỳ tệp nào để xem Siêu dữ liệu Tệp, dữ liệu Hex, Văn bản, Chú thích, v.v. của nó ở phía dưới bên phải của cửa sổ.
4. Từ nội dung của thư mục bin, hãy chọn tệp autopartition-loop trong ngăn bên phải. Nhấp vào tab Văn bản –> Chuỗi để xem tất cả các chuỗi/văn bản trong tệp đã chọn. Bạn có thể thấy rằng tệp chứa thông tin Syslog, lưu trữ dữ liệu nhật ký Linux.

Khi bạn nhấp vào tab Văn bản, tab Chuỗi bên dưới nó sẽ được bật tự động.

Các tệp được đánh dấu bằng dấu chéo màu đỏ là các tệp đã bị xóa, đã được Autopsy khôi phục. Phân tích các tệp đã xóa để tìm bất kỳ hoạt động đáng ngờ nào. Nó cũng có thể giúp tìm hiểu xem kẻ tấn công có sử dụng bất kỳ kỹ thuật anti-forensic nào để xóa tệp và thư mục khỏi máy sau khi thực hiện thành công cuộc tấn công hay không.

1. Trong cùng thư mục bin, tệp update-dev lưu trữ dữ liệu về phiên đăng nhập của những người dùng khác nhau trên hệ thống Linux. Chọn tệp update-dev và nhấp vào tab Văn bản –> Chuỗi để xem thông tin tệp ở dạng văn bản.
2. Nhấp vào thư mục boot trong Linux_Evidence_001.img để xem các tệp trình khởi động của Hệ điều hành Linux có trên hình ảnh ổ cứng. Ở đây, chúng tôi chọn tệp abi-4.4.0-21-generic nằm trong thư mục boot và xem nội dung của nó ở phần dưới của cửa sổ chính Autopsy.

Việc xác minh các tệp trình khởi động giúp tìm ra sự hiện diện của bất kỳ phần mềm độc hại dựa trên boot nào.

1. Thư mục dev lưu trữ thông tin về các thiết bị được kết nối với hệ thống. Chọn thư mục dev để xem thông tin về các thiết bị âm thanh, thiết bị phương tiện, v.v. khác nhau được kết nối với hệ thống.
2. Thư mục etc chứa thông tin liên quan đến các tệp cấu hình hệ thống. Chọn thư mục etc để xem các tệp của nó trong ngăn bên phải. Ở đây, chúng tôi đã chọn tệp bash.bashrc từ thư mục etc để xem nội dung của nó ở dạng xem hex.
3. Thư mục home lưu trữ chi tiết của thư mục home của người dùng. Nó giúp xem các tệp và thư mục được lưu trữ trên hệ thống. Trong ảnh chụp màn hình bên dưới, chúng tôi đang xem nội dung có trong thư mục Downloads bằng cách mở rộng home –> roger –> Downloads.
4. Thư mục apt chứa tệp history.log, lưu trữ lịch sử của các hành động được thực hiện trên máy Linux. Để xem nội dung của tệp history.log, mở rộng var –> log –> apt, chọn tệp history.log trong ngăn bên phải và xem thông tin của nó trong các tab Siêu dữ liệu Tệp, Hex và Văn bản ở phần dưới bên phải của cửa sổ.
5. Thư mục cups chứa nhật ký truy cập, nhật ký lỗi và nhật ký trang. Chọn tệp cups –> access.log để xem nhật ký trong các tab Văn bản –> Chuỗi.
6. Autopsy có thể truy xuất các tệp đã xóa từ máy. Mở rộng Chế độ xem Tệp –> Tệp Đã xóa và chọn Tất cả để xem tất cả các tệp đã xóa được truy xuất từ tệp hình ảnh.
7. Mở rộng Kết quả Phân tích từ ngăn bên trái. Nó chứa các phần như Mã hóa Đã phát hiện, Siêu dữ liệu EXIF, Không khớp Phần mở rộng Đã phát hiện. Phân tích các tệp này để tìm các tệp phần mềm độc hại bị xáo trộn cũng như tệp siêu dữ liệu. Trong trường hợp này, chúng tôi chọn tệp Secret-encrypted.doc từ phần Mã hóa Đã phát hiện để xem Siêu dữ liệu Tệp của nó.
8. Tương tự, trong các thư mục lib, media, mnt, opt, root, sbin và tmp, hãy phân tích các thư viện và mô-đun hạt nhân, điểm gắn kết của phương tiện di động, điểm gắn kết tạm thời, các gói ứng dụng bổ trợ , thư mục chính của người dùng root, các tệp nhị phân hệ thống và các tệp tạm thời, tương ứng.

1. Các tệp hệ thống khác bao gồm srv, chứa dữ liệu liên quan đến các dịch vụ được cung cấp, tệp usr với hệ thống phân cấp thứ cấp và lệnh người dùng, và tệp var với dữ liệu biến như tệp nhật ký, spool thư, bộ đệm và tệp khóa.
2. Theo cách này, bạn có thể kiểm tra tệp hình ảnh thu được từ máy Linux.
3. Bây giờ, chúng tôi sẽ trình bày cách điều tra hình ảnh pháp y thu được từ máy Mac.
4. Để làm như vậy, hãy đóng vụ án bằng cách chọn tùy chọn Vụ án –> Đóng Vụ án như được hiển thị trong ảnh chụp màn hình bên dưới.
5. Cửa sổ Chào mừng Autopsy xuất hiện. Nhấp vào Vụ án Mới.
6. Cửa sổ Thông tin Vụ án Mới xuất hiện. Nhập Tên Vụ án và Thư mục Cơ sở. Thư mục cơ sở là vị trí nơi dữ liệu vụ án sẽ được lưu trữ. Tên vụ án có thể được nhập theo mục đích nhận dạng của bạn. Trong thực hành này, chúng tôi gán tên vụ án là Pháp y Hệ điều hành Mac.
7. Lưu dữ liệu vụ án trong thư mục Phân tích Tệp Hình ảnh nằm trên Desktop. Bây giờ, hãy gán thư mục này làm Thư mục Cơ sở và nhấp vào Tiếp theo.
8. Phần Thông tin Tùy chọn xuất hiện, cung cấp thông tin vụ án và nhấp vào Kết thúc. Ở đây, chúng tôi đã cung cấp Số Vụ án là 102.
9. Ứng dụng mất một chút thời gian để tạo vụ án. Tiếp theo, cửa sổ Thêm Nguồn Dữ liệu xuất hiện, nơi Chọn Máy chủ được hiển thị, giữ nguyên cài đặt mặc định và nhấp vào Tiếp theo.
10. Trong phần Chọn Loại Nguồn Dữ liệu, đảm bảo rằng tùy chọn Hình ảnh Ổ đĩa hoặc Tệp Máy ảo được chọn và nhấp vào Tiếp theo.
11. Phần Chọn Nguồn Dữ liệu xuất hiện. Nhấp vào Duyệt để chọn tệp nguồn.

Nguồn dữ liệu được sử dụng ở đây là tệp hình ảnh pháp y.

1. Cửa sổ Mở xuất hiện, chọn tệp bằng chứng (ở đây, MAC_Evidence_001.dd) từ thư mục E:\CHFI-Tools\Evidence Files\Forensic Images và nhấp vào Mở.
2. Sau khi thêm Nguồn Dữ liệu vào trường Đường dẫn, hãy nhấp vào Tiếp theo.
3. Trong phần Cấu hình Tiếp nhận, giữ nguyên cài đặt mặc định và nhấp vào Tiếp theo.
4. Thông báo sau xuất hiện: Nguồn dữ liệu đã được thêm vào cơ sở dữ liệu cục bộ. Các tệp đang được phân tích. Nhấp vào Kết thúc.

Autopsy mất một chút thời gian để phân tích hoàn toàn tệp hình ảnh.

1. Autopsy đưa bạn đến cửa sổ chính, nơi bạn có thể thấy tệp bằng chứng (MAC_Evidence_001.dd) được liệt kê trong phần Nguồn Dữ liệu trong ngăn bên trái của cửa sổ.
2. Mở rộng nút Nguồn Dữ liệu -> MAC_Evidence_001.dd_Host trong ngăn bên trái của cửa sổ. Tùy chọn Nguồn Dữ liệu sẽ liệt kê tên của tệp hình ảnh cần phân tích (trong trường hợp này là MAC_Evidence_001.dd).
3. Mở rộng nút tệp bằng chứng (MAC_Evidence_001.dd) để xem nội dung của nó trong ngăn bên trái của cửa sổ.
4. Bây giờ chúng ta sẽ phân tích các sự kiện hệ thống tệp (Sự kiện FS), là bản ghi các thay đổi đối với các đối tượng hệ thống tệp như tệp/thư mục có trên phân vùng được gắn trên Mac OS. Các hoạt động này được ghi lại trong nhật ký FSEvent. Các tệp nhật ký FSEvent này chứa các sự kiện như đổi tên, xóa, sửa đổi và tạo, có thể đóng vai trò là hiện vật tiềm năng trong quá trình điều tra.
5. Nhật ký FSEvents nằm trong thư mục .fseventsd. Nhấp vào thư mục .fseventsd (như được hiển thị trong ảnh chụp màn hình) để xem nội dung của nó trong ngăn bên phải của cửa sổ. Chọn bất kỳ tệp nào trong thư mục (ở đây, chúng tôi đã chọn tệp fseventsd-uuid) và nhấp vào tab Siêu dữ liệu Tệp ở phần dưới bên phải của cửa sổ để xem siêu dữ liệu của nó.

Là một điều tra viên pháp y, bạn cũng có thể xuất các tệp nhật ký FSEvent này trên máy trạm pháp y của mình và phân tích chúng để hiểu các sự kiện đã xảy ra trên máy đáng ngờ.

1. Bây giờ, chúng ta sẽ phân tích tệp .store.db, được sử dụng làm kho lưu trữ trung tâm của Spotlight để lưu trữ các giá trị siêu dữ liệu được trích xuất. Việc phân tích cú pháp tệp .store.db cung cấp thông tin hữu ích, chẳng hạn như dấu thời gian MAC, số lần ứng dụng/tệp đã được mở, ngày sử dụng lần cuối, kích thước logic, v.v., liên quan đến các tệp/thư mục có trong phân vùng tương ứng. Thông tin có trong tệp .store.db tương tự như thông tin thu được từ hình ảnh toàn bộ đĩa.
2. Mở rộng .Spotlight-V100 –> Store-V2–> 5AC0A5C2-5215-4014-8F67-26C017519101 để tìm .store.db trong ngăn bên phải của cửa sổ.
3. Chọn tệp .store.db và sau đó nhấp vào tab Siêu dữ liệu Tệp ở phần dưới bên phải của cửa sổ, như được hiển thị trong ảnh chụp màn hình sau:
4. Bây giờ, chúng ta sẽ phân tích các tệp đã xóa. Để làm như vậy, mở rộng thư mục .Trashes và chọn thư mục 502 từ ngăn bên trái để xem nội dung đã xóa liên quan đến tệp bằng chứng đã chọn trong ngăn bên phải.
5. Chọn bất kỳ tệp đã xóa nào (ở đây, chúng tôi đã chọn tệp 1.txt) và nhấp vào tab Văn bản –> Chuỗi trong ngăn dưới của cửa sổ để xem siêu dữ liệu của nó.
6. Bây giờ, chúng ta sẽ phân tích cú pháp siêu dữ liệu của tệp cơ sở dữ liệu store.db bằng cách sử dụng spotlight_parser để có được các hiện vật tiềm năng có thể hữu ích cho cuộc điều tra.
7. Trong cửa sổ Autopsy, mở rộng .Spotlight-V100 –> Store-V2–> 5AC0A5C2-5215-4014-8F67-26C017519101 để tìm .store.db trong ngăn bên phải của cửa sổ.
8. Nhấp chuột phải vào store.db và nhấp vào Trích xuất Tệp(s).
9. Trong cửa sổ Lưu, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 07 Linux and Mac Forensics và nhấp vào Lưu.

Nếu cửa sổ Thông tin bật lên xuất hiện, hãy nhấp vào OK.

1. Điều hướng đến thư mục E:\CHFI-Tools\CHFIv11 Module 07 Linux and Mac Forensics, nhấp chuột phải vào tệp .store.db và nhấp vào Đổi tên.
2. Tên của tệp sẽ được hiển thị, xóa dấu chấm và đổi tên tệp thành store.db và nhấn Enter.
3. Nhấp vào Ubuntu Forensics để chuyển sang máy Ubuntu Forensics. Theo mặc định, hồ sơ người dùng jason được chọn, nhập mật khẩu toor vào trường Mật khẩu và nhấn Enter để đăng nhập.
4. Nhấp vào biểu tượng Files từ ngăn Favorites để mở cửa sổ Files, sau đó nhấp vào chfi-tools on 10.10.1.22.
5. Điều hướng đến thư mục CHFIv11 Module 07 Linux and Mac Forensics, sao chép tệp store.db đã được tải lên trong Bước #62 và dán nó vào thư mục Home.
6. Từ ngăn Favorites, nhấp vào biểu tượng Terminal để mở cửa sổ Terminal.
7. Trong cửa sổ terminal, nhập sudo su và nhấn Enter. Bạn sẽ được yêu cầu nhập mật khẩu. Nhập toor làm mật khẩu và nhấn Enter. Mật khẩu bạn nhập sẽ không hiển thị.
8. Bây giờ, nhập cd spotlight_parser để điều hướng đến thư mục spotlight_parser có tại /home/jason.
9. Chúng ta sẽ cài đặt các phụ thuộc cho công cụ Spotlight_parser. Để làm như vậy, hãy nhập pip3 install lz4 pyliblzfse trong cửa sổ terminal và nhấn Enter.
10. Trong cửa sổ Terminal, nhập python3 spotlight_parser.py /home/jason/store.db /home/jason và nhấn Enter.
11. Tệp spotlight_parser.py phân tích cú pháp các tệp store.db thành tệp .txt và tệp .tsv. Điều hướng đến thư mục Home để kiểm tra tệp .txt đã được phân tích cú pháp.

spotlight_parser đọc và trích xuất dữ liệu từ cơ sở dữ liệu Spotlight có trên macOS và iOS.

1. Nhấp chuột phải vào spotlight-store_data.txt và chọn Mở bằng Trình soạn thảo văn bản.
2. Tệp spotlight-store_data.txt mở ra trong cửa sổ Trình soạn thảo văn bản.
3. Phân tích nội dung tệp spotlight-store_data.txt để tìm thông tin quan trọng và đóng cửa sổ trình soạn thảo văn bản.
4. Bây giờ, hãy điều hướng đến thư mục Home và nhấp chuột phải vào tệp spotlight-store_fullpaths.tsv và nhấp vào Mở bằng LibreOffice Calc.
5. Cửa sổ Nhập Văn bản xuất hiện, trong phần Trường, bạn có thể kiểm tra số Inode trong cột Inode_Number và đường dẫn tệp tương ứng trong cột Full_Path.
6. Giữ tất cả các cài đặt mặc định trong cửa sổ Nhập Văn bản và nhấp vào OK. Một trang tính Excel mở ra hiển thị Số Inode và Đường dẫn Tệp.
7. Theo cách tương tự, bạn có thể xem bất kỳ tệp hình ảnh pháp y nào thu được từ máy Linux và Mac bằng cách sử dụng các công cụ Autopsy và spotlight_parser, kiểm tra nội dung của chúng.
8. Đóng tất cả các cửa sổ đang mở.

Thực hành 4: Thực hiện Điều tra Pháp y trên Bản ghi Bộ nhớ của Linux

Kịch bản Thực hành

Một công ty công nghệ dựa trên sản phẩm có uy tín sắp ra mắt sản phẩm trí tuệ nhân tạo mới của mình đã phát hiện ra rằng dữ liệu bí mật liên quan đến chiến lược phát triển và tiếp thị của sản phẩm đã bị rò rỉ và bị xóa bởi những người không xác định. Công ty sử dụng máy trạm Linux và đã tham khảo ý kiến của một nhà điều tra pháp y chuyên gia để xác định cách thức vi phạm dữ liệu được thực hiện và nguồn gốc của vụ tấn công cũng như khôi phục dữ liệu đã xóa/bị mất. Điều tra viên pháp y phải thực hiện thu thập bộ nhớ dễ bay hơi trên máy Linux và kiểm tra các bản ghi bộ nhớ để tìm bất kỳ hình thức hoạt động độc hại nào và khôi phục dữ liệu đã xóa/bị mất.

Là một chuyên gia pháp y, bạn nên biết cách thực hiện điều tra pháp y trên bản ghi bộ nhớ thu được từ máy Linux.

Mục tiêu Thực hành

Phân tích bản ghi RAM của hệ thống giúp các nhà điều tra truy xuất bằng chứng có giá trị liên quan đến một vụ án tội phạm mạng.

Mục tiêu của thực hành này như sau:

• Tạo một hồ sơ hạt nhân Linux để phân tích bộ nhớ.
• Kiểm tra bản ghi RAM để tìm bằng chứng tiềm năng.

Tổng quan về Thực hành

Thực hành này giúp bạn làm quen với việc xây dựng hồ sơ hạt nhân Linux để phân tích pháp y bộ nhớ và kiểm tra bản ghi RAM thu được từ máy Linux bằng cách sử dụng Khung Volatility để thu thập bằng chứng cần thiết liên quan đến một vụ án tội phạm mạng.

Nhiệm vụ Thực hành

1. Nhấp vào Ubuntu Forensics để chọn máy ảo Ubuntu Forensics.
2. Theo mặc định, hồ sơ người dùng jason được chọn, nhập mật khẩu toor vào trường Mật khẩu và nhấn Enter để đăng nhập.
3. Việc thu thập bản ghi RAM từ máy Linux đã được trình bày trong thực hành Thu thập RAM từ Máy trạm Windows và Linux được đề cập trong Mô-đun 04 Thu thập và Nhân bản Dữ liệu CHFIv11 (Thực hành 4: Thu thập RAM từ Máy trạm Windows và Linux).
4. Trong thực hành này, chúng tôi sẽ kiểm tra bản ghi RAM của Linux trên Volatility và trích xuất thông tin có thể hữu ích cho cuộc điều tra. Tuy nhiên, để kiểm tra tệp này, chúng ta cần tạo các tệp Biểu tượng cho hạt nhân Linux, cho phép Khung Volatility định vị và phân tích cú pháp thông tin quan trọng. Đối với mục đích trình diễn, chúng tôi đã phân tích cú pháp các tệp Biểu tượng và đặt chúng trong thư mục volatility3/volatility3/symbols.
5. Nhấp vào phím tắt Files từ phần Favorites để mở cửa sổ Files. Theo mặc định, thư mục Home sẽ được chọn. Nhấp vào chfi-tools on 10.10.1.22.
6. Trong thư mục chfi-tools, điều hướng đến thư mục CHFIv11 Module 07 Linux and Mac Forensics và sao chép các tệp volatility3 và Linux.mem.
7. Điều hướng đến thư mục Home và dán các tệp đã sao chép vào thư mục Home.
8. Khởi chạy cửa sổ terminal mới, nhập sudo su và nhấn Enter. Bạn sẽ được yêu cầu nhập mật khẩu. Nhập mật khẩu là toor và nhấn Enter. Mật khẩu bạn nhập sẽ không hiển thị.
9. Trong cửa sổ Terminal, nhập cd volatility3 để điều hướng vào thư mục volatility3.
10. Chạy lệnh ls để liệt kê các tệp có trong thư mục volatility3.
11. Sau khi vào thư mục, hãy chạy lệnh pip3 install -r requirements.txt để cài đặt các yêu cầu.

Nếu bạn gặp bất kỳ lỗi nào, hãy bỏ qua chúng.

1. Nhập lệnh pip3 install -r requirements-minimal.txt và nhấn Enter.
2. Bây giờ, hãy nhập lệnh python3 setup.py build và nhấn Enter.
3. Trong cửa sổ Terminal, nhập lệnh python3 setup.py install và nhấn Enter để cài đặt các phụ thuộc.
4. Bây giờ, chúng ta sẽ kiểm tra xem tập lệnh vol.py có hoạt động hay không. Trong cửa sổ terminal, nhập python3 vol.py -h và nhấn Enter.
5. Chúng ta có thể thấy rằng tập lệnh vol.py đang chạy. Chúng tôi sẽ trình bày cách kiểm tra bản ghi RAM bằng Khung Volatility.
6. Plugin pslist liệt kê tất cả các quy trình đang chạy trên máy khi bản ghi bộ nhớ được chụp. Chạy lệnh python3 vol.py -f /home/jason/Linux.mem linux.pslist để xem danh sách quy trình từ bản ghi bộ nhớ.
7. Để liệt kê các phạm vi bộ nhớ của quy trình có khả năng chứa mã được tiêm, hãy chạy lệnh python3 vol.py -f /home/jason/Linux.mem linux.malfind.
8. Sử dụng plugin lsof để in danh sách các bộ mô tả tệp đang mở và đường dẫn của chúng cho mỗi quy trình đang chạy. Chạy lệnh python3 vol.py -f /home/jason/Linux.mem linux.lsof.
9. Sử dụng plugin bash để truy xuất lịch sử lệnh của người dùng đã đăng nhập từ bộ nhớ. Các hiện vật được trích xuất từ lịch sử bash giúp xây dựng hoạt động của người dùng trên máy Linux. Chạy lệnh python3 vol.py -f /home/jason/Linux.mem linux.bash.
10. Sử dụng plugin mount để in tất cả các hệ thống tệp được gắn vào hệ thống tại thời điểm bản ghi bộ nhớ được chụp. Đầu ra trả về thông tin như MNT_NS_ID, MNT ID, PARENT ID, MAJOR:MINOR, ROOT, MOUNT_POINT, v.v. Chạy lệnh python3 vol.py -f /home/jason/Linux.mem linux.mount.
11. Sử dụng plugin lsmod để hiển thị danh sách các mô-đun hạt nhân hiện đang được tải từ bộ nhớ. Chạy lệnh python3 vol.py -f /home/jason/Linux.mem linux.lsmod.
12. Để quét các quy trình có trong hình ảnh Linux, hãy chạy lệnh python3 vol.py -f /home/jason/Linux.mem linux.psscan.

Mất một chút thời gian để kết quả hiển thị.

1. Theo cách này, bạn có thể thực hiện điều tra pháp y trên bản ghi bộ nhớ thu được từ máy Linux.
2. Đóng tất cả các cửa sổ đang mở.

Thực hành 5: Khôi phục Dữ liệu từ Bản ghi Bộ nhớ của Linux

Kịch bản Thực hành

Trong một hoạt động do FBI dẫn đầu, 7 người liên quan đến một vụ buôn bán ma túy đã bị bắt, và ma túy trị giá 100.000 đô la đã bị thu giữ, cùng với một máy tính. Cảnh sát nghi ngờ rằng việc điều tra máy tính có thể cung cấp cho họ những manh mối quan trọng trong vụ án; do đó, họ đã gọi một chuyên gia pháp y để điều tra máy tính bị thu giữ và truy xuất các trang web, cuộc trò chuyện và thông tin liên lạc được thực hiện bởi bị cáo thông qua mạng xã hội gần đây. Để làm như vậy, điều tra viên phải lấy và kiểm tra bản ghi bộ nhớ của máy tính để truy xuất dữ liệu hữu ích có thể hỗ trợ trong quá trình điều tra.

Là một chuyên gia pháp y, bạn phải có kiến thức vững chắc về cách truy xuất dữ liệu từ bản ghi bộ nhớ của Linux.

Mục tiêu Thực hành

Phân tích bản ghi RAM của hệ thống giúp các nhà điều tra truy xuất bằng chứng có giá trị liên quan đến một vụ án tội phạm mạng.

Mục tiêu của thực hành này là hiểu cách truy xuất dữ liệu từ bản ghi bộ nhớ thu được trên máy Linux.

Tổng quan về Thực hành

Thực hành này giúp bạn làm quen với việc cài đặt công cụ PhotoRec trên máy Linux và khôi phục dữ liệu từ bản ghi bộ nhớ của nó.

Nhiệm vụ Thực hành

1. Chúng tôi sẽ trình bày cách truy xuất dữ liệu từ bản ghi bộ nhớ được chụp trên máy Linux bằng cách sử dụng công cụ PhotoRec.
2. Trong máy Ubuntu Forensics, khởi chạy cửa sổ terminal mới, nhập sudo su và nhấn Enter. Bạn sẽ được yêu cầu nhập mật khẩu. Nhập mật khẩu là toor và nhấn Enter. Mật khẩu bạn nhập sẽ không hiển thị.
3. Để cài đặt công cụ PhotoRec, hãy chạy lệnh apt install testdisk.

Nếu lệnh trên không thực thi, thì hãy khởi động lại máy ảo Ubuntu Forensics và sau đó chạy lệnh. Nếu vẫn không thực thi, hãy chạy các lệnh ifdown -a và ifup -a tương ứng, sau đó chạy lệnh apt install testdisk.

1. Sau khi cài đặt công cụ PhotoRec, hãy chạy lệnh photorec Linux.mem trên tệp hình ảnh cụ thể để truy xuất dữ liệu từ đó.

Ở đây, chúng tôi đang sử dụng tệp hình ảnh Linux.mem đã được sử dụng để kiểm tra trong thực hành trước đó và nó có thể được tìm thấy trong thư mục Home.

1. Tiện ích PhotoRec phát hiện bản ghi bộ nhớ được tải để khôi phục dữ liệu.

Chọn Tiếp tục bằng các phím mũi tên và nhấn Enter.

1. Vì chúng tôi đang phân tích bản ghi bộ nhớ và nó không có phân vùng nào trong đó, công cụ PhotoRec hiển thị thông tin phân vùng là Không xác định. Chọn Tìm kiếm và nhấn Enter.
2. Vì bộ nhớ không có bất kỳ phân vùng nào và nó không sở hữu bất kỳ hệ thống tệp nào. Chọn tùy chọn Khác và nhấn Enter.
3. Bây giờ, chọn vị trí mà bạn muốn lưu các tệp đã khôi phục. Điều hướng đến vị trí mong muốn bằng các phím mũi tên và nhấn C để xác nhận vị trí mà bạn muốn lưu các tệp đã khôi phục. Ở đây, chúng tôi chọn vị trí là Documents.
4. Nhấn phím mũi tên phải để vào thư mục Documents và nhấn C.
5. Nếu có bất kỳ cửa sổ terminal nào khác mở ra, nhấn C để tiếp tục.
6. Các tệp đã được khôi phục trong thư mục Documents, như được hiển thị trong ảnh chụp màn hình bên dưới:
7. Các tệp đã khôi phục được lưu bên trong nhiều thư mục (trong thư mục Documents), như được hiển thị trong ảnh chụp màn hình bên dưới:
8. Theo cách này, chúng ta có thể truy xuất dữ liệu từ bản ghi bộ nhớ thu được trên máy Linux.
9. Đóng tất cả các cửa sổ đang mở.