Xem thêm : Hiểu Về Điều Tra Chứng Cứ Số

Thu Thập Dữ Liệu Chứng Cứ Số – Bài Tập 1 Pro Discovery Basic

Thu Thập Dữ Liệu Chứng Cứ Số – Bài Tập 2 – Thu thập dữ liệu với dd trong Linux

Bài Tập 3 & 4 – Chụp ảnh với ProDiscover Basic với Định Dạng Độc Quyền

Đăng kí học :

CHFI v9 – Computer Forensic

Dự án thực hành 3-1

Trong dự án này, bạn học cách khôi phục tệp hình ảnh vào ổ đĩa. Các dự án tiếp theo trong cuốn sách này yêu cầu sử dụng các bước sau. Để chuẩn bị cho dự án này, bạn cần những vật dụng sau:

Một ổ USB (E 🙂 ProDiscover Basic được cài đặt trên máy trạm của bạn.

Tệp InChp03.eve đã được tạo trong bài tập trước đó.

Nhiệm vụ 1 – Thủ tục tải dữ liệu trong ProDiscover Basic

Nhiệm vụ đầu tiên là chuyển dữ liệu từ tệp InChp03.eve sang ổ đĩa đích. Làm theo các bước sau:

Bước 1

Kết nối với thiết bị phòng thí nghiệm PLABWIN810 .

Ổ USB (E 🙂 hiện đã được gắn.

Bước 2

Khởi động ProDiscover Basic và trong cửa sổ chính, nhấp vào Công cụ , Sao chép Đĩa từ menu.

Bước 3

Trong hộp thoại Sao chép đĩa nguồn hoặc hình ảnh vào đĩa đích , hãy bấm vào tab Hình ảnh vào Đĩa .

Bước 4

Nhấp vào Duyệt bên cạnh hộp văn bản Tệp Hình ảnh và điều hướng đến vị trí bạn đã sao chép các tệp dữ liệu của chương này.

Bấm vào tệp InChp03.eve , sau đó bấm Mở .

Bước 5

Trong hộp thoại Sao chép đĩa nguồn hoặc hình ảnh vào đĩa đích , bấm vào khoảng trống bên dưới cột Tên Đĩa ở dưới cùng, như thể hiện trong ảnh chụp màn hình sau.

Bấm vào mũi tên danh sách Tên Đĩa , bấm vào ổ đích, rồi bấm OK.

Bước 6

Trong hộp thoại Sao chép mở ra, hãy bấm vào nút tùy chọn Viết Tất cả 0 , sau đó bấm OK để bắt đầu tải dữ liệu.

Bước 7

Nhấp vào OK trong hộp thông báo “Sao chép thành công” để kết thúc tải.

Bước 8

Thoát khỏi ProDiscover Basic .

Dự án Thực hành 3-2

Trong dự án này, bạn tạo tệp hình ảnh ProDiscover tải dữ liệu trong Hands-

Về dự án 3-1. Để chuẩn bị, bạn cần làm như sau:

Đảm bảo rằng bạn có ổ đĩa nghi ngờ USB Drive (E 🙂 chứa tải dữ liệu từ Dự án Thực hành 3-1.

Xem lại các bước trong “Sử dụng định dạng thu hồi thô của ProDiscover” để tạo tệp hình ảnh.

Xác minh rằng bạn có đủ dung lượng trống trên ổ đĩa trong của máy tính để nhận tệp hình ảnh (khoảng 120 MB).Lưu ý: Đối với mục đích của dự án này, bạn không cần trình chặn ghi. Tuy nhiên, đối với công việc thực tế, hãy luôn sử dụng trình chặn ghi.

Để thực hiện chuyển đổi này trên ổ đĩa được kết nối nội bộ, hãy làm theo các bước sau:

Bước 1

Trên thiết bị PLABWIN810 , khởi động ProDiscover Basic 64 từ máy tính để bàn.

Nhấp vào Hành động và chọn Chụp ảnh . Ổ nguồn sẽ là ổ USB (E 🙂 .

Làm theo các bước trong chương này để thực hiện chuyển đổi định dạng thô, đảm bảo bạn nhấp vào định dạng dd kiểu UNIX trong hộp danh sách thả xuống Định dạng Hình ảnh . Gán một tên tệp duy nhất cho tệp hình ảnh.

Sử dụng thư mục công việc làm vị trí bạn sẽ lưu hình ảnh dd kiểu UNIX.

Sau đó bấm OK trong hộp thoại Chụp ảnh .

Nhấp vào Tiếp tục khi bạn nhận được thông báo CẢNH BÁO.

Bước 2

Khi quá trình mua lại hoàn tất, hãy nhấp vào OK .

Thoát khỏi ProDiscover Basic64 .

Dự án thực hành 3-3

Trong dự án này, bạn chuẩn bị một ổ đĩa và tạo một phân vùng đĩa FAT32 bằng Linux. Bạn cần những thứ sau:

• Bản phân phối Linux hoặc Linux Live CD
• Một ổ đĩa
• Phương pháp kết nối ổ đĩa với máy trạm của bạn, chẳng hạn như USB,
• FireWire, SATA bên ngoài hoặc các kết nối nội bộ, chẳng hạn như PATA hoặc SATA
• Đánh giá các bước trong phần “Chuẩn bị một Drive mục tiêu để chuyển đổi trong Linux”

Để định dạng ổ đĩa dưới dạng FAT32 trong Linux, hãy làm theo các bước sau:

Bước 1

Kết nối với PLABWIN810 và PLABKSRV01 thiết bị.

Bước 2

Hãy làm theo các bước trong phần “ Bài tập 1 – Chuẩn bị Đĩa Đĩa để Mua trong Linux ”.

Bước 3

Khi bạn đã định dạng xong ổ đĩa đích, hãy kết nối nó cho dự án tiếp theo.

Dự án thực hành 3-4

Trong dự án này, bạn sử dụng lệnh dd Linux để thực hiện chia chuyển đổi thành các ổ đĩa được phân đoạn 30 MB. Sau đó, bạn xác thực dữ liệu bằng cách sử dụng

Lệnh md5sum của Linux trên ổ đĩa gốc và các tệp hình ảnh. Đầu ra cho md5sum sau đó được chuyển hướng đến một tệp dữ liệu được lưu cùng với các tệp hình ảnh. Đối với dự án này, bạn cần những thứ sau:

• Bản phân phối Linux hoặc Linux Live CD
• Ổ đĩa FAT32 được phân vùng và định dạng trong Dự án Thực hành 3-3
• Phương pháp kết nối ổ FAT32 và ổ được tạo trong Dự án Hands-On 3-1 với máy trạm của bạn, chẳng hạn như USB, FireWire, SATA bên ngoài hoặc các kết nối nội bộ, chẳng hạn như PATA hoặc SATA

Đánh giá về phần “Thu thập dữ liệu với dd trong Linux” và “Xác thực dữ liệu thu được từ dd”. Làm theo các bước sau:

Bước 1

Đảm bảo rằng bạn đã kết nối ổ đĩa mà bạn đã chuẩn bị trong Dự án Thực hành 3-3 với máy trạm Linux của mình.

Bước 2

Đặt lại hệ thống Linux và thực hiện thu thập dd, theo các bước trong “ Bài tập 2 – Thu thập dữ liệu với dd trong Linux .”

Bước 3

Khi quá trình mua lại hoàn tất, khi bạn hoàn tất, hãy đóng ứng dụng hoặc cửa sổ trình bao và đăng xuất khỏi Linux.

Tóm lược

• Việc thu thập dữ liệu pháp y được lưu trữ ở ba định dạng khác nhau: thô, độc quyền và AFF. Hầu hết các định dạng độc quyền và AFF lưu trữ siêu dữ liệu về dữ liệu thu được trong tệp hình ảnh.
• Bốn phương pháp thu thập dữ liệu để phân tích pháp y là tệp đĩa sang hình ảnh, bản sao đĩa vào đĩa, đĩa-sang-đĩa hoặc tệp đĩa-dữ liệu logic hoặc bản sao dữ liệu thưa thớt của một thư mục hoặc tệp.
• Nén không mất dữ liệu để thu thập pháp y không làm thay đổi dữ liệu khi nó được khôi phục, không giống như nén mất dữ liệu. Nén không mất dữ liệu có thể nén đến 50% cho hầu hết các dữ liệu. Nếu dữ liệu đã được nén trên ổ đĩa, nén không mất dữ liệu có thể không tiết kiệm thêm dung lượng.
• Nếu có giới hạn về thời gian hoặc quá nhiều dữ liệu để lấy từ các ổ đĩa lớn hoặc ổ đĩa RAID, thì việc chuyển đổi hợp lý hoặc thưa thớt có thể là cần thiết. Tham khảo ý kiến ​​luật sư chính hoặc người giám sát của bạn trước để cho họ biết rằng việc thu thập tất cả dữ liệu có thể không thực hiện được.
• Bạn nên có một kế hoạch dự phòng để đảm bảo rằng bạn có một giao dịch mua lại hợp lý và thực hiện hai lần mua lại nếu bạn có đủ bộ nhớ dữ liệu. Chuyển đổi đầu tiên nên được nén và chuyển đổi thứ hai nên được giải nén. Nếu một chuyển đổi bị hỏng, chuyển đổi còn lại sẽ có sẵn để phân tích.
• Các thiết bị hoặc tiện ích chặn ghi phải được sử dụng với các công cụ thu thập GUI trong cả Windows và Linux. Thực hành với ổ đĩa thử nghiệm thay vì ổ đĩa nghi ngờ và sử dụng công cụ băm trên ổ đĩa thử nghiệm để xác minh rằng không có dữ liệu nào bị thay đổi.
• Luôn xác thực việc mua lại của bạn bằng các công cụ tích hợp từ chương trình thu thập pháp y, trình chỉnh sửa hệ thập lục phân với các hàm băm MD5 hoặc SHA-1 hoặc các lệnh md5sum hoặc sha1sum của Linux.
• Linux Live CD, chẳng hạn như SIFT, Kali Linux hoặc Deft, cung cấp nhiều công cụ hữu ích để mua lại pháp y kỹ thuật số.
• Công cụ mua lại Linux được ưa thích là dcfldd thay vì dd vì nó được thiết kế để mua lại pháp y. Công cụ dcfldd cũng có sẵn cho Windows. Luôn xác thực việc mua lại bằng các tính năng băm của dcfldd và md5sum hoặc sha1sum.
• Khi sử dụng lệnh dd hoặc dcfldd của Linux, hãy nhớ rằng việc đảo ngược trường đầu ra (of¼) và trường đầu vào (if¼) của các ổ đĩa nghi ngờ và đích có thể ghi dữ liệu vào ổ đĩa sai, do đó phá hủy bằng chứng của bạn. Nếu có, bạn nên luôn sử dụng thiết bị chặn ghi vật lý cho các chuyển đổi.
• Để có được đĩa RAID, bạn cần xác định loại RAID và công cụ thu nhận nào để sử dụng. Với RAID phần cứng-phần sụn, việc lấy dữ liệu trực tiếp từ máy chủ RAID có thể là cần thiết.
• Các công cụ thu thập mạng từ xa yêu cầu cài đặt một tác nhân từ xa trên máy tính bị nghi ngờ. Tác nhân từ xa có thể bị phát hiện nếu nghi phạm cài đặt các chương trình bảo mật của riêng họ, chẳng hạn như tường lửa.