Data Acquisition – Bài Học Live Trên Lab Online CHFI Module 2

Giới thiệu

Các Data Acquisition mô-đun cung cấp cho bạn với các hướng dẫn và các thiết bị để phát triển tay của bạn trên các kỹ năng trong các chủ đề sau:

  • Chuẩn bị một Drive mục tiêu để chuyển đổi trong Linux
  • Thu thập dữ liệu với dd trong Linux
  • Chụp ảnh với ProDiscover Basic
  • Sử dụng định dạng chuyển đổi độc quyền của ProDiscover
  • Dự án thực hành 3-1
  • Dự án Thực hành 3-2
  • Dự án thực hành 3-3
  • Dự án thực hành 3-4

Sơ đồ phòng thí nghiệm

Trong phiên của bạn, bạn sẽ có quyền truy cập vào cấu hình phòng thí nghiệm sau đây. Tùy thuộc vào các bài tập, bạn có thể sử dụng hoặc không sử dụng tất cả các thiết bị, nhưng chúng được hiển thị ở đây trong bố cục để hiểu tổng thể về cấu trúc liên kết của phòng thí nghiệm.

Ảnh chụp màn hình Practice Labs.

Kết nối với Phòng thí nghiệm của bạn

Trong mô-đun này, bạn sẽ làm việc trên các thiết bị sau đây để thực hiện các bước được xác định trong mỗi bài tập.

  • PLABWIN810 (Windows 8.1 – Máy trạm độc lập)
  • PLABKSRV01 (Máy trạm Kali Linux)

Mỗi bài tập sẽ trình bày chi tiết bạn được yêu cầu sử dụng thiết bị nào để thực hiện các bước.

Để bắt đầu, chỉ cần nhấp vào Máy chủ hoặc Máy trạm đã đặt tên từ danh sách thiết bị (nằm ở bên trái màn hình) và nhấp vào biểu tượng Bật nguồn từ thanh công cụ. Trong một số trường hợp, thiết bị có thể tự động bật nguồn.

Bài tập 1 – Chuẩn bị một Drive đích để chuyển đổi trong Linux

Hệ điều hành Linux có nhiều công cụ bạn có thể sử dụng để sửa đổi các hệ thống tệp không phải Linux. Các bản phân phối Linux hiện tại có thể tạo bảng phân bổ tệp Microsoft (FAT) và bảng phân vùng Hệ thống tệp công nghệ mới (NTFS). Nhân Linux phiên bản 2.6.17.7 trở về trước chỉ có thể định dạng và đọc hệ thống tệp FAT, mặc dù có sẵn trình điều khiển NTFS, NTFS-3G, cho phép Linux chỉ gắn và ghi dữ liệu vào các phân vùng NTFS. Bạn có thể tải xuống trình điều khiển này từ http://sourceforge.net/projects/ntfs-3g, tại đây bạn cũng có thể tìm thấy thông tin về NTFS và hướng dẫn cài đặt trình điều khiển. Để biết thông tin về hệ thống tệp Mac OS X và việc mua lại, hãy xem Chương 7.

Vui lòng tham khảo tài liệu khóa học của bạn hoặc sử dụng công cụ tìm kiếm ưa thích của bạn để nghiên cứu chủ đề này chi tiết hơn.

Nhiệm vụ 1 – Chuẩn bị Hệ thống Tệp Linux

Trong tác vụ này, bạn học cách phân vùng và định dạng ổ đĩa Microsoft FAT từ Linux để bạn không phải chuyển đổi hệ điều hành hoặc máy tính để chuẩn bị đĩa đích FAT. Nếu bạn có một ổ đích đã sử dụng trước đó, bạn có thể sử dụng quy trình sau để định dạng nó thành ổ FAT32. Sau khi thực hiện việc mua lại, bạn có thể chuyển đĩa FAT sang hệ thống Windows để sử dụng công cụ phân tích Windows.

Khi chuẩn bị một ổ đĩa được sử dụng trên hệ thống Linux để thu thập hoặc phân tích pháp y, hãy thực hiện nó trong một phiên khởi động riêng biệt mà không có ổ đĩa nghi ngờ nào được đính kèm.

Giả sử bạn có một máy tính Linux đang hoạt động hoặc một máy tính chạy với Linux Live CD, hãy thực hiện các bước sau từ lời nhắc trình bao hoặc ứng dụng dựa trên GUI như GParted.

Để chuẩn bị hệ thống tệp Windows FAT32, hãy thực hiện các bước sau:

Bước 1

Đảm bảo rằng bạn đã cấp nguồn cho các thiết bị cần thiết được chỉ ra trong Phần giới thiệu.

Kết nối với thiết bị PLABWIN810 .

Kết nối với PLABKSRV01 .

Và đăng nhập bằng các thông tin sau:

Tên người dùng: root

Mật khẩu: Passw0rd

Bước 4

Khi đã đăng nhập vào KALI Linux, tìm menu trên cùng, nhấp vào biểu tượng Terminal .

Ảnh chụp màn hình Practice Labs.

Bước 5

Lời nhắc thay đổi thành root @ kali : / #.

Để sử dụng ứng dụng giao diện người dùng đồ họa để chuẩn bị lưu trữ đĩa, hãy nhập:

gparted

Nhấn Enter .

Ảnh chụp màn hình Practice Labs.

Bước 6

Cửa sổ / dev / sda – Gparted đang mở.

Thông tin về chi tiết phân vùng của thiết bị / dev / sda đã chọn được hiển thị trong ngăn giữa.

Ảnh chụp màn hình Practice Labs.

Bước 7

Ở góc xa bên phải, truy cập danh sách thả xuống và thay đổi nó thành / dev / sdb .

Ảnh chụp màn hình Practice Labs.

Bước 8

Lựa chọn thay đổi thành / dev / sdb . Bạn sẽ sử dụng đĩa này để chuẩn bị ổ đĩa để sử dụng một hệ thống khác như FAT32 .

Nhấp chuột phải vào / dev / sdb1 và chọn Unmount .

Ảnh chụp màn hình Practice Labs.

Bước 9

Nhấp chuột phải vào / dev / sdb1 và chọn Delete .

Ảnh chụp màn hình Practice Labs.

Bước 10

Sau khi xóa phân vùng, nó sẽ không được phân bổ.

Nhấp chuột phải vào chưa phân bổ và chọn Mới .

Ảnh chụp màn hình Practice Labs.

Bước 11

Trên hộp thoại Tạo phân vùng mới , truy cập hộp quay Kích thước mới (MiB) và nhập:

4096

Trên hộp quay Hệ thống tệp , chọn FAT 32 .

Trên hộp văn bản Nhãn , nhập:

Windows

Nhấp vào Thêm .

Ảnh chụp màn hình Practice Labs.

Bước 12

Các New Partition # 1 tại được thêm vào. Để lưu các thay đổi được thực hiện trên hệ thống tệp, hãy nhấp vào dấu kiểm hoặc dấu tích màu xanh lục.

Ảnh chụp màn hình Practice Labs.

Bước 13

Nhấp vào Áp dụng khi được hỏi liệu bạn có muốn áp dụng các hoạt động đang chờ xử lý hay không.

Ảnh chụp màn hình Practice Labs.

Bước 15

Nhấp vào Đóng khi được thông báo rằng các hoạt động đã hoàn tất thành công.

Ảnh chụp màn hình Practice Labs.

Bước 16

Phân vùng chính mới trong / dev / sdb1 hiện đã được thêm vào.

Đóng cửa sổ GParted .

Ảnh chụp màn hình Practice Labs.

Bước 17

Bạn được chuyển hướng đến cửa sổ đầu cuối.

Giữ cửa sổ đầu cuối này mở.

Giữ tất cả các thiết bị được bật ở trạng thái hiện tại và tiến hành tác vụ tiếp theo.

Nhiệm vụ 2 – Gắn ổ đĩa

Để gắn kết phân vùng mà bạn đã tạo trước đó, hãy thực hiện các bước sau:

Bước 1

Trên PLABKSRV01 .

Cửa sổ Terminal đang mở.

Để biết tên tệp thiết bị của bạn có, hãy chạy lệnh sau:

fdisk -l

Trong đó “l” là chữ thường L.

Nhấn Enter .

Ảnh chụp màn hình Practice Labs.

Bước 2

Trên kết quả của lệnh “fdisk -l”, định vị phần, / dev / sdb .

Lưu ý Start , End , Blocks , Id và System về phân vùng này.

Ảnh chụp màn hình Practice Labs.

Bước 3

Để tạo một thư mục nơi bạn sẽ gắn thiết bị, hãy nhập:

mkdir /mnt/sdb1

Nhấn Enter .

Ảnh chụp màn hình Practice Labs.

Bước 4

Sau khi tạo thư mục “ mnt ”, trong lời nhắc tiếp theo, bạn sẽ chỉnh sửa tệp “/ etc / fstab ”.

Trên lời nhắc tiếp theo, hãy nhập:

leafpad

Nhấn Enter .

Ảnh chụp màn hình Practice Labs.

Bước 5

Khi ứng dụng Leafpad mở ra, hãy nhấp vào Tệp rồi chọn Mở .

Ảnh chụp màn hình Practice Labs.

Bước 6

Trên hộp thoại Mở , bấm Hệ thống Tệp trên ngăn bên trái.

Sau đó bấm đúp vào thư mục vv trên ngăn bên phải.

Khi thư mục etc mở ra, cuộn xuống và tìm tệp có tên fstab .Cảnh báo: Xin lưu ý rằng tệp fstab không nằm trong thư mục fstab.d và thay vào đó được tìm thấy ở cuối thư mục etc.

Ảnh chụp màn hình Practice Labs.

Bước 7

Nhấp vào fstab và chọn Mở .Lưu ý : Tùy thuộc vào độ phân giải màn hình của bạn, bạn có thể không nhìn thấy đúng nút Mở. Vui lòng xem mũi tên màu đỏ trong ảnh chụp màn hình được cung cấp.

Ảnh chụp màn hình Practice Labs.

Bước 8

Khi tệp fstab mở ra, hãy chuyển đến cuối tệp và nhập các mục sau:

/dev/sdb1  /mnt/sdb1  vfat  defaults  0  0

Nhấn phím TAB để tạo khoảng cách giữa các mục nhập.

Ảnh chụp màn hình Practice Labs.

Bước 9

Nhấp vào Tệp và chọn Lưu .

Đóng cửa sổ soạn thảo văn bản trên Leafpad .

Ảnh chụp màn hình Practice Labs.

Bước 10

Quay lại cửa sổ dòng lệnh, để xóa màn hình, hãy nhập:

clear

Nhấn Enter .

Trên lời nhắc tiếp theo, hãy nhập:

gparted

Nhấn Enter .

Ảnh chụp màn hình Practice Labs.

Bước 11

Khi GParted mở ra, hãy tìm danh sách thả xuống ở ngoài cùng bên phải của cửa sổ.

Thay đổi nó thành / dev / sdb .

Ảnh chụp màn hình Practice Labs.

Bước 12

Lưu ý rằng trên ngăn chi tiết giữa / phân vùng dev / sdb1 được đặt trên điểm gắn kết được gọi là / mnt / sdb1 .

Bây giờ ổ đĩa này có thể được gắn và sử dụng để nhận hình ảnh của ổ đĩa nghi ngờ. Sau đó trong phần này, bạn học cách gắn và ghi vào ổ đĩa đích Microsoft FAT32 này.

Nhấp chuột phải vào / dev / sdb1 và chọn Mount on> / mnt / sdb1 /.

Ảnh chụp màn hình Practice Labs.

Bước 13

Vui lòng đợi trong khi phân vùng được gắn kết.

Sau một vài giây nhận thấy rằng có một biểu tượng “chìa khóa” bên cạnh fat32.

Đóng cửa sổ GParted để quay lại cửa sổ Terminal.

Giữ cửa sổ này mở cho hoạt động tiếp theo.

Ảnh chụp màn hình Practice Labs.

Giữ tất cả các thiết bị được bật ở trạng thái hiện tại và tiến hành tác vụ tiếp theo.

Bài tập 2 – Thu thập dữ liệu với dd trong Linux

Làm theo các bước sau để tạo ảnh đĩa NTFS trên đĩa FAT32 bằng cách sử dụng lệnh dd.Các lệnh Linux / UNIX phân biệt chữ hoa chữ thường, vì vậy hãy đảm bảo rằng bạn nhập các lệnh chính xác như được trình bày trong các bước của phần này.

Nhiệm vụ 1 – Sử dụng lệnh dd

Để sử dụng lệnh dd để tạo tệp hình ảnh của thiết bị lưu trữ, hãy thực hiện các bước sau:

Bước 1

Trên thiết bị PLABWIN810 , cửa sổ Terminal của KALI Linux đang mở.

Tại dấu nhắc shell, liệt kê tất cả các ổ đĩa được kết nối với loại máy tính:

fdisk -l

Nhấn Enter .

Ảnh chụp màn hình Practice Labs.

Bước 2

Sau đây là đầu ra của lệnh fdisk.

Ảnh chụp màn hình Practice Labs.

Bước 3

Để thay đổi thư mục mặc định của bạn thành ổ đĩa đích, hãy nhập:

cd /mnt/sdb1

Nhấn Enter .

Ảnh chụp màn hình Practice Labs.

Bước 4

Liệt kê nội dung của cấp độ gốc của ổ đĩa đích bằng cách nhập

ls -al

Và nhấn Enter.

Đầu ra của bạn phải tương tự như sau:

total 8

drwxr-xr-x 2 root root 4096 Jun 1 03:35 .

drwxr-xr-x 3 root root 4096 Jun 1 03:35 ..


Ảnh chụp màn hình Practice Labs.

Bước 5

Để tạo một thư mục đích để nhận các bản lưu hình ảnh của ổ đĩa nghi ngờ, hãy nhập:

mkdir case01

Nhấn Enter .

Ảnh chụp màn hình Practice Labs.

Bước 6

Để thay đổi thư mục đích mới được tạo, hãy nhập:

cd case01

Nhấn Enter .

Đừng đóng cửa sổ shell.

Ảnh chụp màn hình Practice Labs.

Bước 7

Tiếp theo, bạn thực hiện một hình ảnh định dạng thô của toàn bộ ổ đĩa nghi ngờ vào thư mục đích. Để làm điều này, bạn sử dụng lệnh tách với lệnh dd. Lệnh phân tách tạo phần mở rộng gồm hai chữ cái cho mỗi ổ đĩa được phân đoạn .. Theo quy tắc chung, nếu bạn định sử dụng công cụ pháp y của Windows để kiểm tra tệp hình ảnh dd được tạo bằng công tắc này, các ổ đĩa được phân đoạn không được vượt quá 2 GB mỗi ổ vì giới hạn kích thước tệp FAT32. Giới hạn 2 GB này cho phép bạn chỉ sao chép tối đa 198 GB đĩa của nghi phạm. Nếu bạn cần sử dụng lệnh dd, tốt hơn nên sử dụng mặc định của lệnh tách gồm các phần mở rộng chữ cái tăng dần và tạo các phân đoạn nhỏ hơn. Để điều chỉnh kích thước âm lượng được phân đoạn, hãy thay đổi giá trị cho

Bây giờ, hãy nhập:

dd if=/dev/sdb1 conv=sync,noerror bs=64K | gzip -c | split -b 2000m - /system_drive_backup.img.gz

Nhấn Enter .

Ảnh chụp màn hình Practice Labs.

Bước 8

Sau một vài phút, bạn sẽ nhận được kết quả là ảnh tệp đã tạo, tương tự như ảnh chụp màn hình sau đây.

Đóng cửa sổ Terminal .

Ảnh chụp màn hình Practice Labs.

Bước 9

Để xem ảnh thô đã được tạo từ lệnh dd và lệnh tách, bấm đúp vào biểu tượng Máy tính trên màn hình.

Ảnh chụp màn hình Practice Labs.

Bước 10

Trên cửa sổ đang mở, bấm Hệ thống tệp ở ngăn bên trái.

Lưu ý tệp hình ảnh system_drive_backup.img.gzaa .

Nhấp chuột phải vào tệp đã nói và chọn Cắt .

Ảnh chụp màn hình Practice Labs.

Bước 11

Dán tệp hình ảnh vào thư mục / mnt / sdb1 / case01 .

Đóng cửa sổ Hệ thống Tệp .

Ảnh chụp màn hình Practice Labs.

Bước 12

Để hoàn tất việc mua lại này, hãy mở lại GParted .

Tháo mục tiêu / dev / sdb1 bằng cách nhấp chuột phải vào nó và chọn Unmount.

Đóng GParted sau khi thiết bị được tháo gỡ.

Ảnh chụp màn hình Practice Labs.

Bước 13

Trong loại Terminal, Sudo Reboot

Bài tập 3 – Chụp ảnh với ProDiscover Basic

Trong Chương 2, bạn đã học cách lấy hình ảnh của ổ USB. ProDiscover tự động hóa nhiều chức năng mua lại, không giống như các công cụ Linux hiện tại. Bởi vì ổ USB thường nhỏ, một tệp hình ảnh có thể được lấy mà không cần phải phân đoạn nó. Trong phần này, bạn học cách tạo hình ảnh của một ổ đĩa lớn hơn và áp dụng chức năng Split trong ProDiscover Basic để tạo các tệp được phân đoạn có dung lượng 650 MB, mỗi tệp có thể được lưu trữ vào đĩa CD.

Trước khi lấy dữ liệu trực tiếp từ ổ đĩa đáng ngờ bằng ProDiscover Basic, hãy luôn sử dụng thiết bị chặn ghi phần cứng.

Để hiểu rõ hơn về công nghệ này, vui lòng tham khảo tài liệu khóa học của bạn hoặc sử dụng công cụ tìm kiếm ưa thích của bạn để nghiên cứu chi tiết hơn về chủ đề này.

Nhiệm vụ 1- Chụp ảnh ổ đĩa

Hoạt động sau giả định rằng bạn đã tháo ổ nghi ngờ USB Drive (E 🙂 và kết nối nó với thiết bị chặn ghi USB hoặc FireWire được kết nối với máy trạm pháp y của bạn. Việc mua lại được ghi vào một thư mục công việc trên ổ C của bạn, giả sử rằng nó có đủ dung lượng trống cho dữ liệu thu được. Làm theo các bước sau để thực hiện tác vụ đầu tiên là kết nối ổ đĩa của nghi phạm với máy trạm của bạn:

Bước 1

Ghi lại chuỗi bằng chứng cho động lực mà bạn định có được.

Đối với ổ IDE, hãy cấu hình jumper của ổ nghi ngờ nếu cần. (Lưu ý: Bước này không áp dụng cho ổ đĩa SATA hoặc USB.)

Bước 2

Trên thiết bị PLABWIN810 , ổ nghi ngờ là ổ USB (E 🙂 .

Bước 3

Tạo một thư mục lưu trữ trên ổ đĩa đích. Đối với hoạt động này, bạn sử dụng thư mục công việc của mình (C: \ Work \ Data Files \ Ch03 ), nhưng trong thực tế, bạn sẽ sử dụng tên thư mục như C: \ Evidence.

Bài tập 4 – Sử dụng Định dạng Mua lại Độc quyền của ProDiscover

Làm theo các bước sau để thực hiện tác vụ thứ hai, khởi động ProDiscover Basic và định cấu hình cài đặt cho việc mua lại:

Bước 1

Trên thiết bị PLABWIN810 Nhấp chuột phải vào ProDiscover Basic 64 từ máy tính để bàn và chọn Chạy với tư cách Quản trị viên .

Nếu hộp thoại Khởi động mở ra, hãy bấm vào Hủy .

Bước 2

Trong cửa sổ ProDiscover Basic , nhấp vào menu Hành động và chọn Chụp ảnh .

Bước 3

Trong hộp thoại Chụp ảnh , nhấp vào mũi tên danh sách Ổ nguồn và chọn E: \ [USB] 4.997 GB .

Bước 4

Nhấp vào nút >> bên cạnh hộp văn bản Đích và nhấp vào Chọn Đường dẫn Địa phương . Trong hộp thoại Lưu dưới dạng, điều hướng đến C: \ Work \ Data Files \ Ch03 bạn đã thiết lập.

Trong hộp văn bản Tên tệp , nhập:

InChp03

Nhấp vào Lưu .

Bước 5

Nhấp vào nút Split .

Trong hộp thoại Tách hình ảnh , nhập 650 vào hộp văn bản ” Chia thành hình ảnh có kích thước bằng nhau của “, nhấp vào Tách .

Ảnh chụp màn hình Practice Labs.

Bước 6

Sau khi ổ đĩa đã được chia nhỏ, hãy nhấp vào OK .Nếu ổ đĩa mục tiêu của bạn là FAT32, bạn sẽ bị giới hạn ở kích thước tệp chia nhỏ 2 GB (2000 MB). Đối với các tệp lớn hơn, bạn cần một ổ đĩa có định dạng NTFS.

Ảnh chụp màn hình Practice Labs.

Bước 7

Trong hộp thoại Chụp ảnh , bấm vào mũi tên danh sách Định dạng Ảnh và bấm Định dạng ProDiscover (được khuyến nghị ), nếu nó chưa được chọn.

Bước 8

Trong hộp văn bản Tên Kỹ thuật viên , hãy nhập tên của bạn và trong hộp văn bản Số Hình ảnh , hãy nhập:

InChp03

Nếu bạn muốn, trong hộp văn bản Mô tả , hãy nhập bất kỳ nhận xét nào liên quan đến trường hợp.

Bước 8

Nếu bạn cần tiết kiệm dung lượng trên ổ đĩa mục tiêu của mình, bạn sẽ nhấp vào nút tùy chọn  trong phần Nén . Đối với điều này và các hoạt động khác trong cuốn sách này, hãy nhấp vào Không .

Nếu cần bảo mật bổ sung cho hình ảnh có được, hãy nhấp vào Mật khẩu .

Ảnh chụp màn hình Practice Labs.

Bước 9

Trong hộp thoại Mật khẩu , hãy nhập:Passw0rd

Nhập lại để xác nhận, sau đó bấm OK .

Ảnh chụp màn hình Practice Labs.

Bước 10

Khi bạn nhập xong thông tin vào hộp thoại Chụp ảnh , hãy nhấp vào OK để bắt đầu thu thập.

Ảnh chụp màn hình Practice Labs.

Bước 11

ProDiscover sau đó tạo một tệp hình ảnh được phân đoạn trong thư mục công việc của bạn.

Trong quá trình mua lại này, ProDiscover hiển thị thanh trạng thái ở góc dưới bên phải để hiển thị tiến trình cho từng phân đoạn âm lượng mà nó đang tạo.

Ảnh chụp màn hình Practice Labs.

Bước 12

Khi quá trình mua lại hoàn tất, ProDiscover hiển thị hộp thông báo hướng dẫn bạn kiểm tra tệp nhật ký để tìm lỗi.

Bấm OK để hoàn tất việc mua lại, sau đó thoát khỏi ProDiscover Basic .

Ảnh chụp màn hình Practice Labs.

Bước 13

Khởi chạy File Explorer sau đó điều hướng đến Local Disk (C :)> Work> Data files> Ch03 .

ProDiscover sau đó tạo ra tập tin hình ảnh (khối lượng phân đoạn) với một phần mở rộng .eve, một file log (mở rộng .log) niêm yết bất kỳ lỗi nào xảy ra trong việc mua lại, và một tập tin tồn kho đặc biệt (. Pds mở rộng) mà nói với ProDiscover bao nhiêu khối lượng phân đoạn là tạo.

Tất cả các tệp này có tiền tố bạn đã chỉ định trong hộp thoại Chụp ảnh. ProDiscover sử dụng. tệp pds để tải tất cả các ổ đĩa được phân đoạn theo đúng thứ tự để phân tích. Đối với hoạt động này, ProDiscover đã tạo ra bốn tệp. Hai là phân đoạn của hình ảnh chia nhỏ của ổ đĩa nghi ngờ, một là tệp nhật ký và một là tệp .pds. Một ổ đĩa lớn hơn sẽ có nhiều hơn hai ổ đĩa được phân đoạn. Tập đầu tiên được phân đoạn (tập một) có phần mở rộng .eve và tất cả các tập được phân đoạn khác có hậu tố -Split1, -Split2, -Split3, v.v. trước dấu. phần mở rộng đêm trước . Nếu tùy chọn nén đã được chọn, ProDiscover sử dụng .cmp thay vì phần mở rộng .eve trên tất cả các ổ đĩa được phân đoạn.

Đóng cửa sổ File Explorer khi hoàn tất.

Ảnh chụp màn hình Practice Labs.

Giữ tất cả các thiết bị được bật ở trạng thái hiện tại và tiến hành tác vụ tiếp theo.

Dự án thực hành 3-1

Trong dự án này, bạn học cách khôi phục tệp hình ảnh vào ổ đĩa. Các dự án tiếp theo trong cuốn sách này yêu cầu sử dụng các bước sau. Để chuẩn bị cho dự án này, bạn cần những vật dụng sau:

Một ổ USB (E 🙂 ProDiscover Basic được cài đặt trên máy trạm của bạn.

Tệp InChp03.eve đã được tạo trong bài tập trước đó.

Nhiệm vụ 1 – Thủ tục tải dữ liệu trong ProDiscover Basic

Nhiệm vụ đầu tiên là chuyển dữ liệu từ tệp InChp03.eve đến ổ đĩa đích. Làm theo các bước sau:

Bước 1

Kết nối với thiết bị phòng thí nghiệm PLABWIN810 .

Ổ USB (E 🙂 hiện đã được gắn.

Bước 2

Khởi động ProDiscover Basic và trong cửa sổ chính, nhấp vào Công cụ , Sao chép Đĩa từ menu.

Bước 3

Trong hộp thoại Sao chép đĩa nguồn hoặc hình ảnh vào đĩa đích , hãy bấm vào tab Hình ảnh vào Đĩa .

Bước 4

Bấm Duyệt bên cạnh hộp văn bản Tệp Hình ảnh và điều hướng đến vị trí bạn đã sao chép các tệp dữ liệu của chương này.

Bấm vào tệp InChp03.eve , sau đó bấm Mở .

Bước 5

Trong hộp thoại Sao chép đĩa nguồn hoặc hình ảnh vào đĩa đích , bấm vào khoảng trống bên dưới cột Tên Đĩa ở dưới cùng, như được hiển thị trong ảnh chụp màn hình sau đây.

Bấm vào mũi tên danh sách Tên Đĩa , bấm vào ổ đích, rồi bấm OK.

Ảnh chụp màn hình Practice Labs.

Bước 6

Trong hộp thoại Sao chép mở ra, bấm vào nút tùy chọn Viết Tất cả 0 , sau đó bấm OK để bắt đầu tải dữ liệu.

Ảnh chụp màn hình Practice Labs.

Bước 7

Nhấp vào OK trong hộp thông báo “Sao chép thành công” để kết thúc quá trình tải.

Ảnh chụp màn hình Practice Labs.

Bước 8

Thoát khỏi ProDiscover Basic .

Dự án Thực hành 3-2

Trong dự án này, bạn tạo tệp hình ảnh ProDiscover của quá trình tải dữ liệu trong Hands-

Về dự án 3-1. Để chuẩn bị, bạn cần làm như sau:

Đảm bảo rằng bạn có ổ đĩa nghi ngờ USB Drive (E 🙂 chứa tải dữ liệu từ Dự án Thực hành 3-1.

Xem lại các bước trong “Sử dụng định dạng thu thập thô của ProDiscover” để tạo tệp hình ảnh.

Xác minh rằng bạn có đủ dung lượng trống trên ổ đĩa trong của máy tính để nhận tệp hình ảnh (khoảng 120 MB).Lưu ý: Đối với mục đích của dự án này, bạn không cần trình chặn ghi. Tuy nhiên, đối với các công việc thực tế, hãy luôn sử dụng trình chặn ghi.

Để thực hiện chuyển đổi này trên ổ đĩa được kết nối nội bộ, hãy làm theo các bước sau:

Bước 1

Trên thiết bị PLABWIN810 , khởi động ProDiscover Basic 64 từ máy tính để bàn.

Nhấp vào Hành động và chọn Chụp ảnh . Ổ nguồn sẽ là ổ USB (E 🙂 .

Làm theo các bước trong chương này để thực hiện chuyển đổi định dạng thô, đảm bảo bạn nhấp vào định dạng dd kiểu UNIX trong hộp danh sách thả xuống Định dạng Hình ảnh . Gán một tên tệp duy nhất cho tệp hình ảnh.

Sử dụng thư mục công việc làm vị trí bạn sẽ lưu hình ảnh dd kiểu UNIX.

Sau đó bấm OK trong hộp thoại Chụp ảnh .

Nhấp vào Tiếp tục khi bạn nhận được thông báo CẢNH BÁO.

Ảnh chụp màn hình Practice Labs.

Bước 2

Khi quá trình mua lại hoàn tất, hãy nhấp vào OK .

Thoát khỏi ProDiscover Basic64 .

Dự án thực hành 3-3

Trong dự án này, bạn chuẩn bị một ổ đĩa và tạo một phân vùng đĩa FAT32 bằng Linux. Bạn cần những thứ sau:

  • Bản phân phối Linux hoặc Linux Live CD
  • Một ổ đĩa
  • Phương pháp kết nối ổ đĩa với máy trạm của bạn, chẳng hạn như USB,
  • FireWire, SATA bên ngoài hoặc các kết nối nội bộ, chẳng hạn như PATA hoặc SATA
  • Đánh giá về các bước trong phần “Chuẩn bị Drive mục tiêu để chuyển đổi trong Linux”

Để định dạng ổ đĩa dưới dạng FAT32 trong Linux, hãy làm theo các bước sau:

Bước 1

Kết nối với PLABWIN810 và PLABKSRV01 thiết bị.

Bước 2

Thực hiện theo các bước trong phần “ Bài tập 1 – Chuẩn bị Đĩa Đĩa để Mua trong Linux ”.

Bước 3

Khi bạn đã định dạng xong ổ đĩa đích, hãy để nó kết nối cho dự án tiếp theo.

Dự án thực hành 3-4

Trong dự án này, bạn sử dụng lệnh dd Linux để thực hiện chia tách chuyển đổi thành các khối lượng được phân đoạn 30 MB. Sau đó, bạn xác thực dữ liệu bằng cách sử dụng

Lệnh md5sum của Linux trên ổ đĩa gốc và các tệp hình ảnh. Đầu ra cho md5sum sau đó được chuyển hướng đến tệp dữ liệu được lưu cùng với tệp hình ảnh. Đối với dự án này, bạn cần những thứ sau:

  • Bản phân phối Linux hoặc Linux Live CD
  • Ổ đĩa FAT32 được phân vùng và định dạng trong Dự án Thực hành 3-3
  • Phương pháp kết nối ổ FAT32 và ổ được tạo trong Dự án Thực hành 3-1 với máy trạm của bạn, chẳng hạn như USB, FireWire, SATA bên ngoài hoặc các kết nối nội bộ, chẳng hạn như PATA hoặc SATA

Đánh giá về phần “Thu thập dữ liệu với dd trong Linux” và “Xác thực dữ liệu thu được từ dd”. Làm theo các bước sau:

Bước 1

Đảm bảo rằng bạn đã kết nối ổ đĩa mà bạn đã chuẩn bị trong Dự án Thực hành 3-3 với máy trạm Linux của mình.

Bước 2

Đặt lại hệ thống Linux và thực hiện thu thập dd, theo các bước trong “ Bài tập 2 – Thu thập dữ liệu với dd trong Linux .”

Bước 3

Khi quá trình chuyển đổi hoàn tất, khi bạn hoàn tất, hãy đóng ứng dụng hoặc cửa sổ shell và đăng xuất khỏi Linux.

Tóm lược

  • Thu thập dữ liệu pháp y được lưu trữ ở ba định dạng khác nhau: thô, độc quyền và AFF. Hầu hết các định dạng độc quyền và AFF lưu trữ siêu dữ liệu về dữ liệu thu được trong tệp hình ảnh.
  • Bốn phương pháp thu thập dữ liệu để phân tích pháp y là tệp đĩa sang hình ảnh, bản sao đĩa vào đĩa, đĩa-sang-đĩa hoặc tệp đĩa-dữ liệu hợp lý hoặc bản sao dữ liệu thưa thớt của một thư mục hoặc tệp.
  • Nén không mất dữ liệu để thu thập pháp y không làm thay đổi dữ liệu khi nó được khôi phục, không giống như nén mất dữ liệu. Nén không mất dữ liệu có thể nén tới 50% cho hầu hết các dữ liệu. Nếu dữ liệu đã được nén trên ổ đĩa, thì tính năng nén không mất dữ liệu có thể không tiết kiệm thêm dung lượng.
  • Nếu có giới hạn về thời gian hoặc quá nhiều dữ liệu để lấy từ các ổ đĩa lớn hoặc ổ đĩa RAID, thì việc chuyển đổi hợp lý hoặc thưa thớt có thể là cần thiết. Tham khảo ý kiến ​​luật sư chính hoặc người giám sát của bạn trước để cho họ biết rằng việc thu thập tất cả dữ liệu có thể không thực hiện được.
  • Bạn nên có một kế hoạch dự phòng để đảm bảo rằng bạn có một giao dịch mua lại hợp lý và thực hiện hai lần mua lại nếu bạn có đủ bộ nhớ dữ liệu. Lần chuyển đổi đầu tiên nên được nén và lần chuyển đổi thứ hai không được nén. Nếu một chuyển đổi bị hỏng, chuyển đổi còn lại sẽ có sẵn để phân tích.
  • Các thiết bị hoặc tiện ích chặn ghi phải được sử dụng với các công cụ thu thập GUI trong cả Windows và Linux. Thực hành với ổ đĩa thử nghiệm thay vì ổ đĩa nghi ngờ và sử dụng công cụ băm trên ổ đĩa thử nghiệm để xác minh rằng không có dữ liệu nào bị thay đổi.
  • Luôn xác thực việc mua lại của bạn bằng các công cụ tích hợp từ chương trình thu thập pháp y, trình chỉnh sửa hệ thập lục phân với các hàm băm MD5 hoặc SHA-1 hoặc các lệnh md5sum hoặc sha1sum của Linux.
  • Linux Live CD, chẳng hạn như SIFT, Kali Linux hoặc Deft, cung cấp nhiều công cụ hữu ích cho việc mua lại pháp y kỹ thuật số.
  • Công cụ mua lại Linux được ưa thích là dcfldd thay vì dd vì nó được thiết kế để mua lại pháp y. Công cụ dcfldd cũng có sẵn cho Windows. Luôn xác thực việc mua lại bằng các tính năng băm của dcfldd và md5sum hoặc sha1sum.
  • Khi sử dụng lệnh dd hoặc dcfldd của Linux, hãy nhớ rằng việc đảo ngược trường đầu ra (of¼) và trường đầu vào (if¼) của các ổ đĩa nghi ngờ và đích có thể ghi dữ liệu vào ổ đĩa sai, do đó phá hủy bằng chứng của bạn. Nếu có, bạn nên luôn sử dụng thiết bị chặn ghi vật lý cho các chuyển đổi.
  • Để có được đĩa RAID, bạn cần xác định loại RAID và công cụ thu nhận nào để sử dụng. Với RAID phần cứng-phần sụn, việc lấy dữ liệu trực tiếp từ máy chủ RAID có thể là cần thiết.
  • Các công cụ thu thập mạng từ xa yêu cầu cài đặt một tác nhân từ xa trên máy tính bị nghi ngờ. Tác nhân từ xa có thể bị phát hiện nếu nghi phạm cài đặt các chương trình bảo mật của riêng họ, chẳng hạn như tường lửa.

Tham khảo Khóa Học CHFI v9 Online https://cehvietnam.com/2021/03/14/khoa-hoc-chfi-v9-online-ceh-vietnam/

Lưu ý : Sau khi tham khảo bài học và thực hành thì phần Hand on Project là các bài tập làm thêm, các bạn hãy làm và chụp hình kết quả thực hiện. Ví dụ sau đây là một số hướng dẫn khái quát , vì đây là bài tập để các bạn ôn lại kiến thức và thao tác của phần bài học nên BQT sẽ không trình bày chi tiết. Hãy copy hay ghi chú lại dòng lệnh để dễ thực hành.

Trả lời

Please log in using one of these methods to post your comment:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s