CHFI v11 Hướng Dẫn Thực vHan2h Mô-đun 04: Thu thập và Sao chép Dữ liệu

Bằng chứng điện tử có tính chất dễ bị thay đổi và dễ bị chỉnh sửa hoặc phá hủy hoặc hư hỏng. Ngay cả quá trình khởi động cũng có thể xóa các tệp tạm thời, sửa đổi tem thời gian của tệp và tạo các tệp mới.

Mục tiêu Thực hành

Mục tiêu của bài thực hành này là giúp sinh viên học cách giám sát hệ thống từ xa và trích xuất các chuỗi văn bản ẩn và các tác vụ khác bao gồm:

• Tạo một bản sao ổ đĩa
• Chuyển đổi tệp bản sao từ định dạng E01 sang định dạng dd
• Gắn kết bản sao ổ đĩa trên một máy trạm Linux
• Gắn kết bản sao ổ đĩa trên một máy trạm Windows
• Thu thập RAM từ máy trạm Windows và Linux
• Tạo bản sao ổ đĩa tùy chỉnh từ bản sao chứa hệ thống tệp NTFS
• Xem nội dung của tệp bản sao ổ đĩa
• Truy cập bản sao ổ đĩa bằng công cụ PyTSK

Tổng quan về Thu thập và Sao chép Dữ liệu

Thu thập dữ liệu là quá trình thu thập thông tin từ thiết bị lưu trữ. Điều này có thể được thực hiện bằng cách sử dụng các phương pháp đã được thiết lập để thu thập dữ liệu từ thiết bị lưu trữ bị nghi ngờ để có quyền truy cập vào thông tin về một hành vi phạm tội hoặc sự cố khác và có khả năng sử dụng dữ liệu đó làm bằng chứng để kết án.

Sao chép dữ liệu là một quá trình quan trọng khác trong bất kỳ cuộc điều tra pháp y máy tính nào. Nhiều công cụ sao chép dữ liệu có sẵn trực tuyến có thể tạo ra bản sao của dữ liệu. Để bắt đầu điều tra ổ đĩa, một người cần tạo một bản sao của ổ đĩa.

Các Tác vụ Thực hành

Các tác vụ thực hành được đề xuất để hỗ trợ bạn trong việc thu thập và sao chép dữ liệu:

• Tạo bản sao ổ đĩa của ổ đĩa hệ thống và tính toán giá trị băm MD5 để xác thực trong tương lai.
• Chuyển đổi tệp bản sao từ định dạng E01 sang định dạng dd.
• Gắn kết bản sao ổ đĩa trên máy trạm pháp y Linux và Windows.
• Thu thập RAM từ máy trạm Windows và Linux.
• Tạo bản sao ổ đĩa tùy chỉnh từ bản sao chứa hệ thống tệp NTFS.
• Xem nội dung của tệp bản sao ổ đĩa.
• Truy cập bản sao ổ đĩa bằng công cụ PyTSK.

Thực hành 1: Tạo bản sao ổ đĩa của ổ đĩa hệ thống và tính toán giá trị băm MD5 để xác thực trong tương lai.

Mô tả Tình huống

Jason, một điều tra viên pháp y, được chỉ định để kiểm tra máy tính của nghi phạm. Việc kiểm tra thiết bị của nghi phạm sẽ dẫn đến mất mát dữ liệu của nghi phạm. Điều tra viên cần thực hiện sao chép pháp y ổ cứng/tệp nghi phạm và thực hiện phân tích pháp y đối với các hiện vật tiềm năng mà có thể hữu ích cho cuộc điều tra.

Mục tiêu Thực hành

Là một điều tra viên pháp y, bạn cần biết cách tạo bản sao ổ đĩa của bất kỳ ổ đĩa nào.

Bản sao ổ đĩa là một tệp bản sao bit-từ-bit của ổ cứng hoặc phân vùng ổ đĩa, bao gồm tất cả các tệp, thư mục, tệp đã xóa, bit không gian trống trên đĩa, thông tin hệ thống tệp, v.v.

Mục tiêu của bài thực hành này là giúp bạn hiểu cách tạo bản sao ổ đĩa của ổ đĩa hệ thống bằng lệnh dd.

Tổng quan về Thực hành

Bài thực hành này giúp bạn làm quen với việc thu thập dữ liệu vật lý của hệ thống/ổ đĩa bằng lệnh dd.

Các Tác vụ Thực hành

Trong bài thực hành này, bạn sẽ tạo bản sao ổ đĩa bằng lệnh dd.

1. Theo mặc định, hồ sơ người dùng Windows 11 được chọn. Nhấp vào Bắt đầu. Nhấp vào Tất cả ứng dụng.
2. Theo mặc định, Admin được chọn. Nhấp chuột vào Mật khẩu và nhập Password. Nhấn Enter.

Nếu xuất hiện hộp thoại Mạng, nhấp vào Có để cho phép PC của bạn được các PC và thiết bị khác trên mạng này phát hiện.

1. Việc thu thập dữ liệu vật lý của ổ đĩa nghi phạm thường yêu cầu một thiết bị lưu trữ bên ngoài, chẳng hạn như ổ cứng hoặc ổ đĩa flash USB, để thu thập bản sao được tạo ra trong quá trình thu thập dữ liệu vật lý.
2. Trong bài thực hành này, chúng ta sẽ thực hiện thu thập dữ liệu vật lý của ổ đĩa chính/ổ đĩa nội bộ (PHYSICALDRIVE) của máy ảo Windows 11 bằng lệnh dd.exe. Việc thu thập dữ liệu thường được thực hiện trong một môi trường biệt lập bằng cách sử dụng một thư mục được chia sẻ hoặc một máy chủ chứa dữ liệu. Tuy nhiên, trong bài thực hành này, chúng ta đang sử dụng thư mục \\SERVER2022\CHFI-Tools làm một thư mục được chia sẻ để lưu trữ bản sao ổ đĩa. Do đó, chúng ta sẽ coi vị trí này là ổ đĩa ngoài cho bài thực hành này.
3. Trước khi bắt đầu bài thực hành này, hãy sao chép thư mục dd từ Z:\CHFIv11 Module 04 Data Acquisition and Duplication\Data Acquisition Tools và dán nó lên Desktop.
4. Để lấy thông tin về các ổ đĩa khả dụng trên Microsoft Windows, chúng ta sẽ sử dụng lệnh wmic trong Windows PowerShell.
5. Để khởi chạy PowerShell với quyền quản trị viên, hãy nhập powershell vào trường tìm kiếm và nhấp vào Chạy với quyền quản trị viên trong Windows PowerShell.

Nếu hộp thoại Kiểm soát Tài khoản Người dùng xuất hiện, hãy nhấp vào Có.

1. Trong cửa sổ Quản trị viên: Windows PowerShell, hãy nhập lệnh wmic diskdrive list brief /format:list và nhấn Enter.
2. Bây giờ, hãy sử dụng lệnh cd để điều hướng đến thư mục C:\Users\Admin\Desktop\dd.
3. Bây giờ trong cửa sổ PowerShell, hãy nhập net use Z: “\\SERVER2022\CHFI-Tools” và nhấn Enter.
4. Điều hướng đến CHFI-Tools(Z:) và tạo một thư mục và đặt tên là Evidence.
5. Tiếp theo, hãy nhập lệnh vdd.exe if=\\.\PHYSICALDRIVE0 of=z:\Evidence\Windows_Evidence_001.dd bs=12k -size -progress và nhấn Enter. Thao tác này bắt đầu tạo bản sao vật lý của ổ đĩa PHYSICALDRIVE0 trong CHFI-Tools (Z:)\Evidence như được hiển thị trong ảnh chụp màn hình sau.

Ký tự ổ đĩa của ổ đĩa được chia sẻ có thể khác nhau khi bạn thực hiện bài thực hành này. Bạn cần nhập ký tự ổ đĩa được liên kết với ổ đĩa được chia sẻ.

1. Mất một khoảng thời gian để công cụ tạo bản sao. Sau khi tạo bản sao thành công, nó sẽ hiển thị số lượng bản ghi vào và số lượng bản ghi ra, như được hiển thị trong ảnh chụp màn hình sau.
2. Điều hướng đến thư mục CHFI-Tools\Evidence (Z:) trong bài thực hành này để xem tệp bản sao dd đã được chụp, như được hiển thị trong ảnh chụp màn hình bên dưới.
3. Bản sao này trở thành nguồn thông tin chính cho các nhà điều tra trong thời gian thực. Tùy thuộc vào loại máy trạm pháp y và yêu cầu của nhà điều tra, các bản sao này được mở rộng trực tiếp thông qua các công cụ pháp y hoặc được chuyển đổi sang các định dạng công cụ pháp y khác và các bản sao có thể khởi động.
4. Bằng cách này, bạn có thể tạo bản sao dd của ổ đĩa hệ thống trong quá trình điều tra.
5. Bây giờ, chúng ta sẽ tạo giá trị băm MD5 cho tệp bản sao ổ đĩa mà chúng ta đã tạo.
6. Chuyển sang cửa sổ PowerShell, nhập Get-FileHash Z:\Evidence\Windows_Evidence_001.dd -Algorithm MD5 – Format list và nhấn Enter.

Mất một chút thời gian để tính toán giá trị băm. Trong cửa sổ PowerShell, nhấn Enter vài lần để kiểm tra xem giá trị băm đã được tính toán chưa.

Giá trị băm MD5 của tệp bản sao sẽ khác nhau khi bạn thực hiện bài thực hành.

Giá trị băm MD5 của bản sao sẽ được hiển thị trong cửa sổ PowerShell, cùng với đường dẫn của tệp. Giá trị băm này sẽ được sử dụng trong suốt quá trình điều tra để xác nhận tính toàn vẹn của bằng chứng.

Xóa tệp bản sao này, trong trường hợp bạn bị thiếu dung lượng cho các bài thực hành sắp tới.

1. Đóng tất cả các cửa sổ.

Thực hành 2: Chuyển đổi tệp bản sao từ định dạng E01 sang định dạng dd.

Mô tả Tình huống

James, một điều tra viên pháp y, được chỉ định để kiểm tra tệp bản sao pháp y định dạng E01 trên máy trạm Linux. Tuy nhiên, máy trạm pháp y Windows (không phải Linux) kiểm tra tệp bản sao E01 một cách hoàn hảo, trong khi tệp bản sao E01 không hoạt động trên máy trạm Linux. Để kiểm tra tệp bản sao E01 trên máy trạm Linux, nhà điều tra cần chuyển đổi tệp bản sao E01 sang định dạng dd.

Là một nhà điều tra pháp y, bạn nên biết cách chuyển đổi tệp bản sao E01 sang định dạng dd.

Mục tiêu Thực hành

E01 và dd là các định dạng tệp bản sao được sử dụng để lưu trữ bản sao bit-từ-bit của các thiết bị lưu trữ như ổ cứng, ổ đĩa USB, v.v.

Mục tiêu của bài thực hành này là giúp bạn hiểu cách chuyển đổi tệp bản sao E01 sang định dạng tệp dd bằng các lệnh Linux.

Tổng quan về Thực hành

Bài thực hành này giúp bạn làm quen với công cụ xmount, giúp bạn hiểu cách chuyển đổi tệp bản sao E01 sang tệp bản sao dd trên máy trạm Linux để phân tích thêm.

Các Tác vụ Thực hành

1. Nhấp vào Ubuntu Forensics để chọn máy ảo Ubuntu Forensics.
2. Theo mặc định, hồ sơ người dùng jason được chọn. Nhập toor vào trường Mật khẩu và nhấn Enter để đăng nhập.
3. Nhấp vào biểu tượng Files trong bảng Launcher để khởi chạy trình quản lý tệp.
4. Cửa sổ trình quản lý tệp sẽ xuất hiện, trỏ đến thư mục Home. Nhấp vào thư mục được đánh dấu chfi-tools on 10.10.1.22.
5. Thư mục được chia sẻ chfi-tools sẽ xuất hiện.
6. Chuyển đến Evidence Files -> Forensic Images. Bạn sẽ có thể xem tệp Windows_Evidence_001.E01 trong thư mục Images.
7. Trong bài thực hành này, chúng ta sẽ chuyển đổi một tệp bản sao có định dạng E01 sang định dạng dd.
8. Nhấp vào biểu tượng Terminal từ bảng launcher để khởi chạy dòng lệnh terminal.
9. Dòng lệnh terminal sẽ khởi chạy. Bạn cần có quyền root trong terminal để cài đặt bất kỳ ứng dụng nào.
10. Nhập sudo su và nhấn Enter. Bạn sẽ được nhắc nhập mật khẩu. Nhập toor làm mật khẩu và nhấn Enter.
11. Bây giờ, bạn sẽ vào terminal root như được hiển thị trong ảnh chụp màn hình sau.
12. Để cài đặt xmount, hãy nhập lệnh apt-get install -y xmount và nhấn Enter.

Nếu bạn gặp bất kỳ sự cố nào về kết nối internet, hãy chạy lệnh ifdown -a tiếp theo là ifup -a và sau đó chạy lệnh apt-get install -y xmount.

Lệnh apt-get install -y xmount sẽ không được thực hiện nếu có quy trình nào khác đang sử dụng máy ảo. Trong trường hợp này, hãy khởi động lại máy ảo Ubuntu Forensics và chạy lệnh xmount để nó được thực hiện thành công như được hiển thị trong ảnh chụp màn hình ở trên.

1. Không thể gắn kết tệp evidence_001.E01 trực tiếp từ thư mục được chia sẻ. Do đó, hãy sao chép tệp Windows_Evidence_001.E01 từ thư mục được chia sẻ vào thư mục Home của Ubuntu.
2. Để chuyển đổi tệp E01 bằng cách sử dụng xmount và gắn kết nó, hãy thực hiện lệnh xmount –in ewf Windows_Evidence_001.E01 /home/jason/Documents trong terminal. Lệnh này sẽ chuyển đổi tệp E01 sang tệp dd và gắn kết nó vào thư mục Documents.

Hãy chắc chắn rằng thư mục gắn kết trống trước khi thực hiện lệnh. Bạn cũng có thể tạo một thư mục trống mới và cung cấp vị trí của thư mục trống đó cho thư mục gắn kết.

1. Ổ đĩa được gắn kết, Documents, sẽ được tạo trên hệ thống.
2. Nhấp vào thư mục Documents đã gắn kết để tìm tệp Windows_Evidence_001.dd, như được hiển thị trong ảnh chụp màn hình sau.
3. Bằng cách này, bạn có thể chuyển đổi tệp E01 sang định dạng dd để kiểm tra thêm.

Tác vụ tiếp theo của một điều tra viên pháp y sẽ là gắn kết tệp này trên máy và xem nội dung của nó. Việc gắn kết bản sao bằng chứng sẽ được đề cập trong bài thực hành tiếp theo.

1. Đóng tất cả các cửa sổ đang mở.

Thực hành 3: Gắn kết bản sao trên máy trạm Linux.

Mô tả Tình huống

Các nhà điều tra pháp y tạo ra tệp bản sao của bằng chứng được thu thập từ ổ cứng để tiến hành điều tra. Để truy cập và kiểm tra các tệp có trong bản sao, nhà điều tra cần gắn kết bản sao.

Trong một số trường hợp, nhà điều tra có thể gặp phải tình huống mà họ không thể sử dụng công cụ ưa thích của mình. Do đó, nhà điều tra pháp y cần biết cách gắn kết các định dạng bản sao khác nhau trên các máy trạm khác nhau bằng cách sử dụng các công cụ khác nhau.

Trong bài thực hành này, chúng ta sẽ xem xét việc gắn kết tệp bản sao trên máy trạm pháp y Linux.

Mục tiêu Thực hành

Các máy trạm Linux hỗ trợ nhiều hệ thống tệp khác nhau và chứa các công cụ nâng cao có thể giúp tiến hành điều tra.

Các tệp bản sao pháp y được gắn kết trên ổ đĩa để truy cập và phân tích các tệp/thư mục có trong tệp.

Mục tiêu của bài thực hành này là giúp bạn hiểu cách gắn kết tệp bản sao trên máy trạm pháp y Linux.

• Gắn kết tệp dd bằng lệnh mount.
• Gắn kết tệp dd bằng thiết bị vòng lặp.

Tổng quan về Thực hành

Trong bài thực hành này, chúng ta sẽ trình bày cách gắn kết tệp bản sao trên máy trạm pháp y Linux.

Các Tác vụ Thực hành

1. Bài thực hành này là phần tiếp theo của bài thực hành trước. Trong bài thực hành trước, chúng ta đã thấy cách chuyển đổi một tệp E01 sang một tệp dd. Trong bài thực hành này, chúng ta sẽ xem cách gắn kết tệp dd đã chuyển đổi này (Windows_Evidence_001.dd) để xem nội dung của nó.
2. Bây giờ, trong máy ảo Ubuntu Forensics, hãy nhấp vào biểu tượng Terminal từ bảng launcher để khởi chạy dòng lệnh terminal.
3. Dòng lệnh terminal sẽ khởi chạy. Bạn cần có quyền root trong terminal để cài đặt bất kỳ ứng dụng nào.
4. Do đó, hãy nhập sudo su và nhấn Enter. Bạn sẽ được nhắc nhập mật khẩu.
5. Nhập toor làm mật khẩu và nhấn Enter.
6. Bây giờ, bạn sẽ vào terminal root như được hiển thị trong ảnh chụp màn hình sau.

Nếu bạn đã không tắt máy ảo Ubuntu Forensics và tệp Windows_Evidence_001.dd vẫn được gắn kết trên thư mục Documents, hãy bỏ qua Bước #09.

1. Nếu bạn đã khởi động lại máy, bản sao đã gắn kết sẽ biến mất và bạn cần gắn kết lại tệp E01 bằng cách sử dụng xmount. Do đó, hãy nhập xmount –in ewf Windows_Evidence_001.E01 /home/jason/Documents và nhấn Enter. Lệnh này sẽ chuyển đổi tệp và gắn kết nó vào thư mục Documents.
2. Tệp Windows_Evidence_001.dd sẽ xuất hiện trong thư mục Documents, như được hiển thị trong ảnh chụp màn hình sau.
3. Tiếp theo, chúng ta sẽ gắn kết bản sao này. Trong bài thực hành này, chúng ta sẽ tạo một thư mục có tên /mnt/dd và gắn kết bản sao lên thư mục này.
4. Để tạo thư mục, hãy sử dụng lệnh mkdir /mnt/dd.
5. Để gắn kết bản sao nằm tại /home/jason/Documents lên /mnt/dd ở chế độ chỉ đọc, hãy nhập lệnh mount -r -o /home/jason/Documents/Windows_Evidence_001.dd /mnt/dd và nhấn Enter.
6. Bản sao bây giờ được gắn kết thành công lên thư mục dd. Để xem nội dung của bản sao thông qua dòng lệnh terminal, hãy nhập ls -la /mnt/dd và nhấn Enter.
7. Danh sách tất cả các tệp liên quan đến bản sao sẽ xuất hiện như được hiển thị trong ảnh chụp màn hình sau.
8. Để xem các tệp này trong trình quản lý tệp, hãy nhấp vào biểu tượng Files trên bảng launcher để khởi chạy trình quản lý tệp.
9. Cửa sổ trình quản lý tệp sẽ xuất hiện, trỏ đến thư mục Home. Nhấp vào Other Locations từ bảng bên trái.
10. Bây giờ, hãy nhấp vào Computer để xem các thư mục có trong vị trí đó.
11. Bây giờ, hãy điều hướng đến thư mục /mnt -> dd để xem các tệp.

Nếu các thư mục không mở bằng cách nhấp đúp vào chúng, hãy nhấp chuột phải vào thư mục và nhấp vào Open.

1. Tác vụ tiếp theo của chúng ta là gắn kết một tệp dd chứa hệ thống tệp Mac.
2. Để bắt đầu tác vụ, hãy điều hướng đến thư mục được chia sẻ chfi-tools/Evidence Files/Forensic Images và sao chép MAC_Evidence_001.dd.
3. Dán tệp bản sao vào thư mục Home.
4. Tiếp theo, chúng ta sẽ gắn kết một bản sao bằng cách đính kèm nó vào một thiết bị vòng lặp. Trước khi đính kèm nó, bạn cần tìm một thiết bị vòng lặp trống.

Xóa màn hình terminal bằng cách sử dụng lệnh clear và tiếp tục đến bước tiếp theo.

1. Lệnh losetup -f giúp bạn xác định thiết bị vòng lặp trống đầu tiên. Do đó, hãy sử dụng lệnh này để xem các thiết bị vòng lặp trống.

Thiết bị vòng lặp được trả về trong kết quả đầu ra có thể khác nhau trong môi trường thực hành của bạn.

1. Trong bài thực hành này, chúng ta sẽ coi loop14 là thiết bị trống. Để đính kèm bản sao vào thiết bị vòng lặp, hãy nhập losetup /dev/loop14 MAC_Evidence_001.dd trong dòng lệnh terminal và nhấn Enter.
2. Thao tác này sẽ gắn kết tệp MAC_Evidence_001.dd vào thiết bị vòng lặp loop14.
3. Bản sao được gắn kết (có tên Evidence Image) có thể được xem trên bảng Launcher.
4. Nhấp vào biểu tượng gắn kết để xem thư mục Evidence Image chứa nội dung của tệp bản sao, như được hiển thị trong ảnh chụp màn hình sau.
5. Đôi khi, bản sao có thể chứa các tệp và thư mục ẩn. Để xem chúng, hãy nhấn Ctrl+H trên bàn phím.
6. Bằng cách này, bạn có thể gắn kết bản sao bằng cách sử dụng các lệnh mount và losetup. Các bản sao này tạo thành nền tảng của cuộc điều tra và giúp thu thập những hiểu biết quan trọng liên quan đến cuộc điều tra.
7. Đóng tất cả các cửa sổ đang mở.

Thực hành 4: Thu thập RAM từ máy trạm Windows và Linux.

Mô tả Tình huống

James, một nhà điều tra pháp y, đang thực hiện phân tích trực tiếp trên máy tính của nghi phạm. Trong quá trình này, nhà điều tra cần chụp RAM, vì máy có thể chứa dữ liệu quan trọng trong RAM. Trong trường hợp mất điện hoặc khi máy bị tắt nguồn, nhà điều tra sẽ mất RAM. Do đó, nhà điều tra cần chụp RAM.

Để trở thành một chuyên gia pháp y, người ta phải hiểu cách thu thập bản sao RAM từ Windows và các hệ điều hành khác.

Mục tiêu Thực hành

RAM, còn được gọi là bộ nhớ truy cập ngẫu nhiên, là bộ nhớ lưu trữ tạm thời được tìm thấy trong các thiết bị máy tính để tạm thời lưu trữ dữ liệu mà thiết bị cần sử dụng.

Mục tiêu của bài thực hành này là giúp sinh viên học cách thực hiện thu thập RAM trên Windows và Linux.

Tổng quan về Thực hành

Bài thực hành này giúp bạn làm quen với công cụ Belkasoft RAM Capturer, giúp thực hiện thu thập RAM trên Windows và Linux.

Hãy đảm bảo rằng Real-Time Protection bị vô hiệu hóa trong máy ảo Windows 11 nếu nó đang chạy trước khi bắt đầu bài thực hành này.

Các Tác vụ Thực hành

Trong bài thực hành này, chúng ta đang coi rằng quy mô của cuộc điều tra không phải là vấn đề lớn.

Trong bài thực hành này, chúng tôi sẽ không thu thập toàn bộ RAM của máy do giới hạn về thời gian và dung lượng. Tuy nhiên, nếu bạn thực hiện phân tích pháp y trực tiếp, vui lòng đảm bảo rằng bạn thu thập toàn bộ RAM và cẩn thận khi sử dụng các công cụ như Belkasoft RAM Capturer, F-Response, FTK Imager, v.v., trên máy nghi phạm.

1. Nhấp vào Windows 11 để chọn máy ảo Windows 11.
2. Theo mặc định, hồ sơ người dùng Admin được chọn. Nhấp vào Mật khẩu và nhập Passw0rd để dán mật khẩu vào trường Mật khẩu và nhấn Enter để đăng nhập.

Nếu hộp thoại Mạng xuất hiện, hãy nhấp vào Có để cho phép PC của bạn được các PC và thiết bị khác trên mạng này phát hiện.

1. Trước khi bắt đầu bài thực hành này, hãy điều hướng đến thư mục Z:\CHFIv11 Module 04 Data Acquisition and Duplication\Data Acquisition Tools. Sao chép thư mục Belkasoft RAM Capturer và dán nó lên Desktop.
2. Bây giờ, hãy điều hướng đến thư mục Desktop -> Belkasoft RAM Capturer -> x64 và nhấp đúp vào RamCapture64.exe để khởi chạy ứng dụng.

Nếu hộp thoại Mở Tệp – Cảnh báo Bảo mật xuất hiện, hãy nhấp vào Chạy.
Nếu hộp thoại Kiểm soát Tài khoản Người dùng xuất hiện, hãy nhấp vào Có.

1. Bạn cần gán một thư mục để lưu trữ bản sao đã chụp. Do đó, hãy điều hướng đến Ổ đĩa (F:) và tạo một thư mục có tên Windows RAM.
2. Bây giờ, hãy nhập đường dẫn cho thư mục đầu ra là F:\Windows RAM trong trường Chọn đường dẫn thư mục đầu ra và nhấp vào Capture!.
3. Ứng dụng sẽ bắt đầu chụp RAM, như được hiển thị trong ảnh chụp màn hình sau.
4. Sau khi bản sao bộ nhớ được chụp thành công, hãy nhấp vào Đóng để đóng ứng dụng.
5. Điều hướng đến F:\Windows RAM để xem bản sao bộ nhớ đã tạo. Bản sao này được lưu ở định dạng yyyymmdd.10.mem, trong đó yyyy đại diện cho năm, mm đại diện cho tháng và dd đại diện cho ngày.
6. Bằng cách này, bạn có thể chụp bản sao bộ nhớ của máy Windows nghi phạm. Các bản sao này đóng vai trò là nguồn bằng chứng quan trọng cho các nhà điều tra khi điều tra bộ nhớ tạm thời.
7. Đóng tất cả các cửa sổ đang mở.
8. Bây giờ, chúng ta sẽ xem cách chụp RAM trên máy Ubuntu. Nhấp vào Ubuntu Suspect để chọn máy ảo Ubuntu Suspect.
9. Theo mặc định, hồ sơ người dùng james được chọn. Nhập toor vào trường Mật khẩu và nhấn Enter để đăng nhập.
10. Nhấp vào biểu tượng Files trong bảng Launcher để khởi chạy trình quản lý tệp.
11. Cửa sổ trình quản lý tệp sẽ xuất hiện, trỏ đến thư mục Home. Nhấp vào thư mục được đánh dấu chfi-tools on 10.10.1.22.
12. CHFI-Tools sẽ xuất hiện trong cửa sổ. Điều hướng đến CHFIv11 Module 04 Data Acquisition and Duplication -> Data Acquisition Tools. Sao chép thư mục fmem và LIME và dán chúng vào thư mục Home.
13. Bây giờ, hãy điều hướng đến thư mục Home -> fmem. Nhấp vào biểu tượng Terminal từ bảng launcher để khởi chạy dòng lệnh terminal.
14. Nhấp vào biểu tượng Terminal từ bảng launcher để khởi chạy dòng lệnh terminal.
15. Dòng lệnh terminal sẽ khởi chạy. Bạn cần có quyền root trong terminal để cài đặt bất kỳ ứng dụng nào.
16. Nhập sudo su và nhấn Enter. Bạn sẽ được nhắc nhập mật khẩu. Nhập toor làm mật khẩu và nhấn Enter.
17. Bây giờ, bạn sẽ vào terminal root như được hiển thị trong ảnh chụp màn hình sau.
18. Trước khi bắt đầu thu thập RAM trên máy này, bạn cần cài đặt fmem.
19. Trong terminal, hãy nhập cd fmem/ và nhấn Enter.
20. Bạn cần đảm bảo rằng tất cả các phần phụ thuộc đều được đáp ứng trước khi cài đặt fmem. Do đó, hãy nhập apt install -y build-essential trong terminal và nhấn Enter.

Nếu lệnh apt install -y build-essential không được thực thi, hãy khởi động lại máy ảo Ubuntu Suspect, thu thập quyền root, chạy lệnh cd fmem/ và sau đó chạy lệnh trên để nó được thực hiện thành công.

Nếu bạn gặp sự cố về kết nối internet, hãy chạy lệnh ifdown -a tiếp theo là ifup -a và sau đó chạy lệnh apt install -y build-essential.

1. Nhập apt install dwarves -y và nhấn Enter.
2. Trong cửa sổ terminal, hãy nhập cp /sys/kernel/btf/vmlinux /lib/modules/$(uname -r)/build/ và nhấn Enter.
3. Bây giờ, hãy nhập make và nhấn Enter để xây dựng tất cả các thư viện cần thiết được liên kết với fmem từ mã nguồn.
4. Bây giờ, hãy nhập bash run.sh và nhấn Enter để cài đặt công cụ fmem.
5. Trong bài thực hành này, chúng ta sẽ thu thập RAM bằng cách sử dụng các phương pháp thu thập cục bộ và thu thập từ xa. Chúng ta sẽ sử dụng dd và LIME để thu thập RAM cục bộ và dd để thu thập RAM từ xa.
6. Để thu thập RAM cục bộ, hãy nhập dd if=/dev/fmem of=/home/james/ubuntu_local_ram.dd bs=1M và nhấn Enter.
7. Thao tác này sẽ bắt đầu chụp RAM của máy vào thư mục Home với tên ubuntu_local_ram.dd.

Nếu hộp thoại Dung lượng ổ đĩa thấp xuất hiện trong “Filesystem root”, hãy bỏ qua.

1. Mất một chút thời gian để hoàn tất quy trình thu thập. Sau khi chụp RAM thành công, bạn sẽ thấy thống kê của thao tác như được hiển thị trong ảnh chụp màn hình sau.
2. Bây giờ, hãy điều hướng đến thư mục Home để xem tệp ubuntu_local_ram.dd đã tạo.
3. Vì chúng ta sẽ thu thập RAM bằng cách sử dụng công cụ LIME, chúng ta cũng cần dung lượng để lưu tệp RAM. Do đó, hãy chọn tệp ubuntu_local_ram.dd và nhấn Shift + Delete để xóa tệp dd.

Nếu hộp thoại bật lên xuất hiện, hãy nhấp vào Delete.

1. Tiếp theo, chúng ta sẽ cài đặt công cụ LIME trên máy để sử dụng nó để thu thập RAM. Do đó, hãy nhập cd /home/james/LIME/src/ tại dòng lệnh nhắc và nhấn Enter.
2. Bây giờ, hãy nhập make và nhấn Enter để xây dựng tất cả các thư viện cần thiết được liên kết với LIME từ mã nguồn.
3. Để thu thập RAM cục bộ, hãy nhập insmod lime-6.2.0-35-generic.ko path=/d/ubuntu_local_ram.mem format=lime và nhấn Enter. Thao tác này sẽ bắt đầu chụp RAM của máy vào thư mục Home ở định dạng lime với tên ubuntu_local_ram.mem.

Phiên bản mô-đun kernel khác nhau tùy thuộc vào hệ điều hành Ubuntu được cài đặt trên máy nghi phạm. Trong trường hợp này, đó là 6.2.0-35-generic.

1. LIME mất một khoảng thời gian đáng kể để thu thập bản sao. Điều hướng đến thư mục Home để xem bản sao RAM đã chụp, như được hiển thị trong ảnh chụp màn hình bên dưới.
2. Chúng ta đã trình diễn thành công cách thu thập RAM cục bộ trên máy Ubuntu Suspect bằng cách sử dụng dd và LIME. Tiếp theo, chúng ta sẽ thực hiện thu thập RAM từ xa bằng cách sử dụng dd và netcat.
3. Để thực hiện điều đó, hãy nhấp vào Ubuntu Forensics để chọn máy ảo Ubuntu Forensics.
4. Theo mặc định, hồ sơ người dùng jason được chọn. Nhập toor vào trường Mật khẩu và nhấn Enter để đăng nhập.
5. Khởi chạy dòng lệnh terminal và vào shell root.
6. Nhập nc -l 1234 > ubuntu_remote_ram.dd và nhấn Enter. Thao tác này sẽ khởi tạo netcat listener trên cổng 1234.
7. Bây giờ hãy nhấp vào Ubuntu Suspect để chuyển sang máy ảo Ubuntu Suspect.
8. Mở terminal mới với quyền root và điều hướng đến thư mục fmem.
9. Trong terminal root, hãy nhập dd if=/dev/fmem bs=1024 | nc 10.10.1.9 1234 và nhấn Enter.

Nếu bạn gặp lỗi failed to open /dev/fmem error, hãy nhập bash run.sh và nhấn Enter. Bây giờ, hãy chạy lệnh ở trên.

1. Bằng cách nhập lệnh này, bạn đang chuyển hướng kết quả đầu ra của lệnh dd đến 10.10.1.9, là địa chỉ IP của máy ảo Ubuntu Forensics.
2. Sau khi bạn nhấn Enter, quá trình thu thập bản sao sẽ bắt đầu. Sau khi thu thập RAM, bạn sẽ thấy thống kê của thao tác như được hiển thị trong ảnh chụp màn hình sau.

Việc thu thập toàn bộ RAM của máy có thể mất thời gian, vì vậy hãy nhấn Ctrl+C trong cửa sổ terminal sau 5-10 phút để dừng thao tác chụp RAM.

Vì đây là cho mục đích trình diễn, chúng ta không thu thập toàn bộ RAM của máy Ubuntu Suspect.

1. Bây giờ, hãy nhấp vào Ubuntu Forensics để chuyển sang máy ảo Ubuntu Forensics.
2. Điều hướng đến thư mục Home. Bạn có thể thấy bản sao RAM của máy ảo Ubuntu Suspect với tên ubuntu_remote_ram.dd, như được hiển thị trong ảnh chụp màn hình sau.
3. Bằng cách này, bạn có thể thu thập RAM cục bộ và từ xa bằng cách sử dụng dd và LIME. Việc kiểm tra các bản sao như vậy sẽ được thực hiện trong các mô-đun Windows Forensics và Linux Forensics trong CHFIv11.
4. Đóng tất cả các cửa sổ đang mở trong các máy ảo Ubuntu Forensics và Ubuntu Suspect.

Thực hành 5: Tạo bản sao tùy chỉnh từ bản sao chứa hệ thống tệp NTFS.

Mô tả Tình huống

NTFS đã trở thành định dạng lưu trữ mặc định trên nhiều thiết bị khác nhau. Nó hỗ trợ các tính năng như nén và mã hóa, giúp ẩn dữ liệu người dùng. Do đó, các nhà điều tra cần phải hiểu sâu về cách hoạt động của định dạng này.

Để trở thành một chuyên gia pháp y, bạn phải hiểu cách thức hoạt động của hệ thống tệp và cách trích xuất tệp từ thiết bị lưu trữ.

Mục tiêu Thực hành

Hệ thống tệp công nghệ mới (NTFS) là hệ thống tệp được sử dụng bởi hệ điều hành Windows NT để lưu trữ và truy xuất tệp trên ổ cứng.

Mục tiêu của bài thực hành này là giúp học viên học cách phân tích hệ thống tệp NTFS bằng cách sử dụng DiskExplorer for NTFS.

Tổng quan về Thực hành

Bài thực hành này giúp bạn làm quen với DiskExplorer for NTFS, giúp bạn hiểu rõ về hệ thống tệp NTFS bằng cách nhập bản sao pháp y vào ứng dụng.

Hãy đảm bảo rằng Real-Time Protection bị vô hiệu hóa trong máy ảo Windows 11 nếu nó đang chạy trước khi bắt đầu bài thực hành này.

Các Tác vụ Thực hành

Trong bài thực hành này, chúng ta đang coi rằng quy mô của cuộc điều tra không phải là vấn đề lớn.

1. Chuyển sang máy ảo Windows Server 2022 bằng cách nhấp vào Windows Server 2022 và sau đó nhấp vào Ctrl+Alt+Delete.
2. Theo mặc định, hồ sơ người dùng Administrator được chọn. Nhấp vào Mật khẩu để dán mật khẩu vào trường Mật khẩu và nhấn Enter để đăng nhập.

Nếu hộp thoại Mạng xuất hiện, hãy nhấp vào Có để cho phép PC của bạn được các PC và thiết bị khác trên mạng này phát hiện.

1. Điều hướng đến E:\CHFI-Tools\CHFIv11 Module 04 Data Acquisition and Duplication\Data Acquisition Tools\DiskExplorer for NTFS.
2. Nhấp đúp vào Setup.exe để khởi chạy quá trình cài đặt và làm theo các bước cài đặt do trình hướng dẫn hướng dẫn để cài đặt ứng dụng.

Nếu hộp thoại Mở Tệp – Cảnh báo Bảo mật xuất hiện, hãy nhấp vào Chạy.

1. Để khởi chạy ứng dụng, nhấp đúp vào biểu tượng lối tắt DiskExplorer for NTFS nằm trên Desktop.
2. Cửa sổ chính của DiskExplorer for NTFS sẽ xuất hiện như được hiển thị trong ảnh chụp màn hình.
3. Bây giờ, chúng ta sẽ nhập bản sao pháp y vào ứng dụng này. Chuyển đến File và chọn Image….
4. Cửa sổ Select file to open as a drive… sẽ xuất hiện; trong danh sách thả xuống Files of type, chọn All files (.), điều hướng đến E:\CHFI-Tools\Evidence Files\Forensic Images, chọn Windows_Evidence_002.dd và nhấp vào Open.
5. Nó sẽ hiển thị toàn bộ chi tiết của tệp bản sao trong hai sector, Valid và Partition Table, như được hiển thị trong hình bên dưới:
6. Bây giờ, nhấp vào biểu tượng Sector trên thanh công cụ hoặc điều hướng đến Goto -> Sector… để xem một sector cụ thể.
7. Trong trình hướng dẫn Goto sector…, hãy nhập giá trị hex bạn chọn (ở đây, chúng ta đã nhập giá trị hex là 00000004 trong phần Sector) trong phần Sector hoặc Byte để chuyển đến một vị trí mới và sau đó nhấp vào OK.
8. Nó sẽ hiển thị sector đã chỉ định như được hiển thị trong ảnh chụp màn hình sau.
9. Nhấp vào View -> as Hex hoặc cách khác, bạn có thể nhấn F3 để xem các giá trị hex của sector đã chọn.
10. Ảnh chụp màn hình bên dưới hiển thị chế độ xem Hex của sector đã chọn:
11. Bạn có thể sao chép toàn bộ/một phần dữ liệu hex để tham khảo trong tương lai. Để sao chép toàn bộ dữ liệu, hãy chuyển đến Edit -> Select All.
12. Toàn bộ dữ liệu Hex sẽ được tô sáng như được hiển thị trong ảnh chụp màn hình sau.
13. Điều hướng đến Edit và nhấp vào Copy to file… để sao chép tệp bằng chứng để xử lý thêm.
14. Trong cửa sổ bật lên Copy, hãy chọn vị trí đích để lưu tệp và chỉ định tên cho tệp bản sao. Ở đầu lời nhắc, nó sẽ hiển thị kích thước của bản sao sẽ được tạo. Nhấp vào Save.
15. Trong bài thực hành này, chúng ta đang tạo một thư mục có tên Runtime Disk Explorer Image trong Documents và lưu tệp vào vị trí này với tên RDEM.img.
16. Trong cửa sổ bật lên Confirm, hãy nhấp vào No để lưu bản sao vào một tệp duy nhất.
17. Ứng dụng sẽ bắt đầu sao chép tệp bản sao. Tiến trình của quá trình này sẽ được phản ánh như được hiển thị trong ảnh chụp màn hình bên dưới:

Sẽ mất 5 đến 10 phút để hoàn tất quá trình.

1. Điều hướng đến thư mục Documents -> Runtime Disk Explorer Image để xem bản sao tùy chỉnh (ở đây là RDEM.img) được tạo từ tệp bản sao (ở đây là Windows_Evidence_002.dd) chứa hệ thống tệp NTFS.
2. Bây giờ, hãy điều hướng đến vị trí Documents -> Runtime Disk Explorer Image, chọn tệp RDEM.img và nhấn Shift + Delete để xóa tệp. Trong cửa sổ bật lên, hãy nhấp vào Yes.
3. Đóng tất cả các cửa sổ đang mở.

Thực hành 6: Xem nội dung của tệp bản sao pháp y.

Mô tả Tình huống

Là một phần của cuộc điều tra trong một vụ án đánh cắp thông tin, điều tra viên cấp cao Alex đã kết luận việc quét tất cả các hệ thống bằng công cụ AccessData FTK Imager để biết liệu các tệp đã xóa trên hệ thống có chứa bất kỳ thông tin có giá trị chứng cứ nào hay không. Công cụ này giúp tiết kiệm thời gian của nhà điều tra vì nó loại bỏ quá trình khôi phục mọi tệp đã xóa khỏi hệ thống một cách tẻ nhạt.

Để trở thành một điều tra viên pháp y chuyên nghiệp, bạn phải hiểu cách đánh giá bản sao pháp y và thu thập dữ liệu chứng cứ từ các bản sao đó.

Mục tiêu Thực hành

Sau khi thu thập bản sao pháp y của ổ cứng, nhà điều tra pháp y cần xem trước nội dung của tệp bản sao để xem liệu nó có chứa bất kỳ bằng chứng hữu ích nào cho cuộc điều tra hay không hoặc nếu cần bất kỳ phân tích bổ sung nào.

Mục tiêu của bài thực hành này là giúp học viên học cách sử dụng AccessData FTK Imager để xem các bản sao pháp y.

Tổng quan về Thực hành

Bài thực hành này giúp bạn làm quen với công cụ AccessData FTK Imager và giúp bạn học cách điều tra bản sao pháp y của dữ liệu máy tính mà không làm thay đổi bằng chứng gốc. Nó cũng giúp bạn hiểu cách đánh giá bằng chứng điện tử để xác định xem có cần phân tích thêm bằng chứng bằng công cụ pháp y hay không.

Các Tác vụ Thực hành

1. Trong máy Windows Server 2022, điều hướng đến E:\CHFI-Tools\CHFIv11 Module 04 Data Acquisition and Duplication\Data Acquisition Tools\AccessData FTK Imager, nhấp đúp vào AccessData_FTK_Imager_4.7.1.exe để khởi chạy trình cài đặt và làm theo hướng dẫn cài đặt do trình hướng dẫn hướng dẫn để cài đặt ứng dụng.

Nếu hộp thoại Mở Tệp – Cảnh báo Bảo mật xuất hiện, hãy nhấp vào Chạy.

Ở cuối quá trình cài đặt, hãy đảm bảo rằng tùy chọn Launch AccessData FTK Imager được chọn trong trình hướng dẫn cài đặt và sau đó nhấp vào Finish.

1. Cửa sổ chính của AccessData FTK Imager sẽ xuất hiện như được hiển thị trong ảnh chụp màn hình sau.
2. Nhấp vào File -> Add Evidence Item… để thêm bằng chứng.

Ngoài ra, bạn cũng có thể nhấp vào biểu tượng Add Evidence từ thanh công cụ để thêm bằng chứng.

1. Cửa sổ Select Source sẽ mở ra. Chọn tùy chọn Image File và nhấp vào Next.

Trong bài thực hành này, chúng ta sẽ kiểm tra bản sao dd; do đó, hãy chọn nút radio Image File.

1. Nhấp vào nút Browse để chỉ định đường dẫn tệp bản sao (E:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd) và sau đó nhấp vào Finish.
2. Tệp bằng chứng (Windows_Evidence_001.dd) sẽ xuất hiện trong khung bên trái của cửa sổ chính dưới phần Evidence Tree. Mở rộng tệp bằng chứng và nội dung của nó để nó xuất hiện dưới dạng cây, như được hiển thị trong ảnh chụp màn hình sau.
3. Chọn bất kỳ tệp hoặc thư mục nào (ở đây, chúng ta đã chọn thư mục Other Files) từ Evidence Tree để xem danh sách tệp trong khung bên phải dưới File List.
4. Ngoài việc xem nội dung của tệp hoặc thư mục, AccessData FTK Imager còn cho phép bạn xem các giá trị hex của tệp. Các giá trị hex giúp xác định nội dung thô và chính xác của tệp ngay cả khi nó đã bị xóa hoặc ghi đè. Do đó, các giá trị hex giúp bạn xác định và truy xuất thông tin mà thông thường không thể truy cập được bởi hệ điều hành.
5. Để xem giá trị Hex của tệp, hãy chọn một tệp (ở đây chúng ta đã chọn Flowers.jpg) từ File List.
6. Nhấp vào biểu tượng Hex trên thanh công cụ và các giá trị hex của tệp đã chọn sẽ được hiển thị trong khung dưới cùng bên phải.
7. Nhấp vào tab Properties trong khung dưới cùng bên trái để xem các thuộc tính như lớp tệp, kích thước, ngày tháng, cụm bắt đầu, v.v. của tệp đã chọn.
8. Nhấp vào tab Hex Value Interpreter trong khung dưới cùng bên trái để xem các thuộc tính như số nguyên có dấu, ngày DOS, v.v. của tệp đã chọn.
9. Bằng cách này, bạn có thể kiểm tra nội dung của tệp bản sao pháp y bằng công cụ AccessData FTK Imager.
10. Đóng tất cả các cửa sổ đang mở.

Thực hành 7: Truy cập bản sao ổ đĩa bằng công cụ PyTSK.

Mô tả Tình huống

David, một nhà điều tra pháp y, được giao nhiệm vụ thực hiện kiểm tra pháp y trên bản sao ổ đĩa. Anh ấy quyết định xem các tệp và thư mục được liên kết trong bản sao ổ đĩa.

Để trở thành một nhà điều tra pháp y chuyên nghiệp, bạn phải hiểu cách xem các tệp và thư mục được liên kết trong bản sao ổ đĩa.

Mục tiêu Thực hành

Truy cập bản sao ổ đĩa trong quá trình điều tra cho phép các nhà điều tra nhanh chóng truy cập và phân tích các tệp và thư mục khác nhau trong bản sao ổ đĩa.

Mục tiêu của bài thực hành này là giúp học viên học cách sử dụng PyTSK để xem các tệp và thư mục được liên kết trong bản sao ổ đĩa.

Tổng quan về Thực hành

Bài thực hành này giúp bạn làm quen với công cụ PyTSK và giúp bạn học cách sử dụng công cụ PyTSK dựa trên Python để truy cập bản sao ổ đĩa trong quá trình điều tra.

Các Tác vụ Thực hành

1. Nhấp vào Ubuntu Forensics để chuyển sang máy ảo Ubuntu Forensics.
2. Theo mặc định, hồ sơ người dùng Jason được chọn. Nhập toor vào trường Mật khẩu và nhấn Enter để đăng nhập.
3. Đầu tiên, chúng ta sẽ sao chép tệp Linux_Evidence_001.img từ thư mục CHFI-Tools\Evidence Files\Forensic Images và dán nó vào thư mục Home.
4. Nhấp vào biểu tượng Files trên bảng Launcher để khởi chạy trình quản lý tệp.
5. Cửa sổ trình quản lý tệp sẽ xuất hiện, trỏ đến thư mục Home. Nhấp vào thư mục được đánh dấu chfi-tools on 10.10.1.22.
6. CHFI-Tools sẽ xuất hiện trong cửa sổ. Điều hướng đến thư mục Evidence Files\Forensic Images và sao chép Linux_Evidence_001.img và dán nó vào thư mục Home.
7. Bây giờ, chúng ta sẽ cài đặt pytsk3 trên máy, để làm điều đó, hãy nhấp vào biểu tượng Terminal từ bảng launcher để khởi chạy dòng lệnh terminal.
8. Dòng lệnh terminal sẽ khởi chạy. Bạn cần có quyền root trong terminal để cài đặt một ứng dụng.
9. Nhập sudo su và nhấn Enter. Bạn sẽ được nhắc nhập mật khẩu. Nhập toor làm mật khẩu và nhấn Enter.
10. Bây giờ, bạn sẽ vào terminal root như được hiển thị trong ảnh chụp màn hình sau.
11. Trong cửa sổ terminal, hãy nhập pip install pytsk3 và nhấn Enter.
12. pytsk3 sẽ được cài đặt như được hiển thị trong ảnh chụp màn hình.

Phiên bản có thể khác nhau khi bạn thực hiện bài thực hành.

1. Bây giờ, chúng ta sẽ viết một script python để hiển thị các thư mục gốc có trong tệp bản sao, trong cửa sổ terminal, hãy nhập gedit disk_analysis.py và nhấn Enter.
2. Trình soạn thảo văn bản disk_analysis.py sẽ được mở. Bây giờ, hãy nhập mã được hiển thị trong ảnh chụp màn hình bên dưới vào tệp và lưu nó vào thư mục Home.

Để thuận tiện, chúng ta đã đặt sẵn script Python (disk_analysis.py) cùng với đường dẫn disk_image trong chfi-tools on 10.10.1.22\CHFIv11 Module 04 Data Acquisition and Duplication\Data Acquisition Tools\Python Scripts. Nếu bạn muốn sử dụng tệp này, hãy sao chép tệp disk_analysis.py, dán nó vào thư mục Home và tiếp tục từ Bước #16.

1. Đóng cửa sổ trình soạn thảo văn bản.
2. Trong terminal, hãy nhập python3 ./disk_analysis.py và nhấn Enter.
3. Chúng ta có thể thấy rằng script chạy thành công hiển thị các thư mục và tệp trong thư mục gốc.
4. Bằng cách này, bạn có thể kiểm tra nội dung của tệp bản sao ổ đĩa bằng công cụ PyTSK.
5. Đóng tất cả các cửa sổ đang mở.