Đây là khóa học được xây dựng dựa trên chương trình đào tạo Digital Forensic with Kali Linux của PACKT nên sẽ có giáo trình / sách tham khảo PDF và Video gốc kèm với đó là các bài giảng VN của instructor
Các bạn hãy theo dõi và làm bài tập đối ứng sẽ rất mau tiến bộ. Kali không chỉ dành cho hacker mà các điều tar pháp y số cũng rất cân. Và trong khóa học này còn giới thiệu thêm các bộ tool nổi tiếng nhất cho lĩnh vực này là SANS SIFT và DEFT ZERO, REMNUX
Lesson 1 : Giới Thiệu Tổng Quan
Hãy cài đặt KALI LINUX (hiện nay là 2023) hoặc dùng bản dựng sẵn
Lesson 2 : Các Công Cụ Digital Forensic :
Giới thiệu về các tool chuyên dùng cho digital forensci trên KALI LINUX
Thảo luận về anti forensic để có phương án đối phó khi “thực chiến”
Lesson 4 : Install Forensic Lab (10 phút)
Phần này các bạn hãy dựng các forensic lab trên nền tảng Linux , với chủ đạo là Kali Linux nhưng cần cài đặt thêm các hệ thống DEFT ZERO và SANS SIFT . Ngay trong các bài của chương trình Forensic with Kali Linux vẫn cần có DEFT ZERO để chạy XPLICO
Phần 2 : Thu Thập Chứng Cứ Số
Trong phần này các bạn cần chuẩn bị 1 USB tầm 2 GB để tiến hành thu thập chứng cứ vối guymager, dc3dd và thao tác với lệnh fdsik -l
2.1 – Sử dụng lệnh fdisk : Đây là lệnh rất quan trọng và cầ nắm vững để quản lý các thiết bị lưu trữ trên Linux, ở đây ta sẽ demo trên USB 2 GB
2.2 – Cách tính và xác nhận giá trị băm trên Kali Linux với MD5SUM, SHASUM : Phần tính hash value các bạn sẽ gặp nhiều trong các bài tập, trên CHFI v9 Lab các bạn sẽ thấy MD5 Caculator hay HashCal. Ơ đây ta sẽ dùng những công cụ sẵn có trên Kali Linux, hãy chú ý thao tác xác nhận giá trị MD5 khi chứng cứ được chia thành nhiều phân đoạn, tính tổng thế nào sẽ có trình bày trong tài liệu và bài hướng dẫn (2.2)
2.3 – Sử dụng dc3dd trên Kali Linux : Đây là công cụ hưu ích để thu thập data. Để thực hành các bạn nên có 1 ổ USB khoảng 2 GB hoặc 16 GB (càng to chạy càng lâu)
2.4 – Chia nhỏ dữ liệu chứng cứ trong quá trinh thu thập : Khi dữ liệu chứng cứ gốc có kích thước lớn ta cần tính toán để chia thành nhiều đoạn thích hợp, ví dụ mỗi đoạn 650 MB để chứ trong đĩa CD
2.5 – Xóa đĩa với dc3dd : Đây là thao tác xóa triệt để nhằm tránh các giải pháp khôi phục, thường gọi là disk wipe
2.6 – Image Acquisition với GuyMager : Ứng dụng mạnh mẽ với giao diện GUI mà bất kì điều tra viên trong lĩnh vực pháp y số nào cũng cần biết
Phần 3 – Xử lý chứng cứ số : Để xử lý chứng cứ sau thu thập là cả một quy trình cần làm theo chặt chẽ, từ việc cất hay lưu trữ chúng trong các túi chứa chống tĩnh điện cho đế lưu trữ ở nơi an toàn, đề phòng cháy nổ, đề phòng mất cắp hay hư hại. Các bạn hãy xem lại những bài này trong phần lý thuyết tổng quan, nếu bạn nào chưa ngeh qua các điều này có khả năng là xem chưa kỹ do đó cần phải đọc FULL tài liệu lý thuyết tiếng Việt và tham khảo 16 chương bài giảng tiếng Việt trong phần 1 tại đây
Trong phần này chúng ta sẽ thảo luận về các khía cạnh kỹ thuật như phục hồi, crave data với những “hàng” chuyên dụng.
3.1 – Carve Data với Foremost : Hàng đỉnh cao cho crave data, cần ghi nhớ vào “tim” và dán cả lên tường khi học tập
3.2 – Scapel & PhotoRec : Tiếp theo là 2 công cụ đặc chủng dùng để trích xuất và phục hồi dữ liệu chuyên dùng cho vấn đề pháp ý số
3.3 – Trích xuất dữ liệu với BulkExtractor : Đây là côn cụ có công năng và “level” ngang ngữa foremost mà các bạn cần nắm vững
Phần 4 : Phân tích bộ nhớ – Nếu nói digital forensic là đỉnh trong các chứng chỉ hay môn học về cbersec thì momory forensic là “chóp của đỉnh”. Nói đơn giãn vậy cho dễ hiểu, và trong loạt bài này ta sẽ nhìn và sờ nắm chóp đó xem thế nào, còn sâu và sát hơn các bạn cần phải thực hành nhiều lab như các bài root me, thm , hneynet challener hay một số bài trong CHFI v9 Lab Guide.
4.1 – Tổng quan về Volatility (VOL) : Vol là công cụ tuyệt vời , miễn phí chuyên dùng để phân tích bộ nhớ mà các hàng trả phí chưa chắc làm đươc. Ngoài bản chạy trên Kali Linux hay Linux thì các bạn có thể cài trên Windows hay chạy bản standalone với Volatility Workbench do hãng PaassMask triển khai (hãng làm OS Forensic) . Khi phân tích bộ nhớ thì bên cạnh VOL các bạn nên thủ sẵn các công cụ như Redline của Fireeye (dùng trên Windows) hay
4.2 – Chạy VOL trên Kali Linux : Công cụ này cũng có mặt trong bộ SANS SIFT và DEFT ZERO
4.2.1 – Image Info : lấy thông tin profile của bộ nhớ
4.2.2 – pslist & pstree : xem các tiến trình đang hoạt động, malware hay gì đi nữa cũng không thể ẩn trong memory…
4.2.4 – connection_conscan_sockets : xem các kết nối ra ngoài, chú ý đến những kết nối ngoại lai xuất phát từ những tiến trình bất thường, ví dụ pdf hay word… mà mở kết nối ra ngoài là cần chú ý hơn so với các tiến trình của trình duyệt như firefox, iexplorer …
4.2.5 – DLL analysis : phân tích các dll được tải lên bộ nhớ
4.2.6 – Các lệnh registry_dumphash_timeliner_malfind trong VOL : VOL từng “quảng cáo” hay “nổ” nói theo kiểu bình dân là chỉ có nó, tức VOL mới chơi được vụ phân tích registry qua bộ nhớ. Vậy các công cụ khác thì sao, nếu chúng ta không chơi tức phân tích registry qua bộ nhớ mà phân tích qua ảnh đĩa thì thế nào (dĩ nhiên là đĩa chưa system partition rồi) ? Trong trường hợp này các bạn cần nắm cách phân tích theo quy trình và hướng dẫn của SANS SEC 508 , rất tuyệt với. Sẽ dùng FTK Imager kết hợp với Registry Explorer (theo SANS) hoặc dùng FTK Registry Viwer bản trial cũng rất hiệu quả. Các bạn có thể xem các bài này trong seri hướng dẫn làm đề án kết thúc khóa học với các evidence cua NIST.
Loạt bài này còn có một số bài bổ sung như phân tích bộ nhớ qua loạt bài Command & Control của ROOT ME hay phân tích firmware và XPLICO , DEFT, DFF tuy nhiên các bạn full này thuộc một khóa học chuyên đề Digital Forensic with Kali Linux. Các bạn cũng có thể xme trong video hướng dẫn gốc kèm tài liệu của PATCK mà BQT có cung cấp cho lớp CHFI v9 qua 1 Drive.
Bây giờ, hãy mở lab, tải mẫu chứng cứ và thực hành, quay hay chụp hình lab đối chứng cho BQT.
[elearning] Digital Forensic with Kali Linux
học an toàn & bảo mật thông tin 