OSForensics là tên của công cụ trung với thao tác pháp ý số dành cho hệ điều hành gây ra nhiều liên tưởng. Trong Module 6 của chương trình CHFI các bạn đã tìm hiểu và sử dụng OSForensic cho các thao tác dò tìm thông tin và chứng cứ số căn bản, loạt bài sau sẽ giúp ta tìm hiểu sâu hơn trên mẫu chứng cứ thực tế hơn.

Hãy dành thời gian để làm bài tập này một khi các bạn đã hoàn thành lab module 6.1

Bài giảng Digital Forensics Investigation Với OS Forensics

Giới thiệu về pháp y số

OSForensics từ PassMark Software là một ứng dụng pháp y máy tính kỹ thuật số cho phép bạn trích xuất và phân tích bằng chứng dữ liệu kỹ thuật số một cách hiệu quả và dễ dàng.  OSForensics phát hiện, xác định và quản lý cung như khám phá mọi thứ ẩn bên trong hệ thống máy tính và thiết bị lưu trữ kỹ thuật số của bạn .

OSForensics là một bộ công cụ độc lập và có khả năng thực hiện hầu hết các công tác pháp y kỹ thuật số bao gồm Thu thập dữ liệu, trích xuất, phân tích, phân tích email, hình ảnh dữ liệu, khôi phục hình ảnh và hơn thế nữa. Tuy nhiên, BQT có thử phân tích sâu vào trong registry thì OSForensics không thể bao hàm hết mọi khía cạnh, khi đó chúng tôi phải dùng thêm Registry Explorer để phân tích hiệu quả và sâu hơn.

Có một điều kha khiếm khuyết là lab CHFI lại không trình bày khía cạnh này, nhưng các bạn đừng lo lắng vì chúng tôi có bổ sung đầy đủ kiến thức và phương pháp để lục tung registry hive.

Trong bài viết này, chúng tôi sẽ đề cập đến tất cả các khả năng chính của OSForensics đối với các cuộc điều tra pháp y kỹ thuật số.

Giới thiệu Case hay tình huống cần phân tích M57-Jean

Kịch bản M57-Jean là một kịch bản hình ảnh đĩa đơn liên quan đến việc lọc các tài liệu công ty từ máy tính xách tay của một giám đốc điều hành cấp cao. Kịch bản liên quan đến một công ty nhỏ mới thành lập, M57.Biz. Một vài tuần sau khi hoạt động, một bảng tính bí mật có tên và mức lương của các nhân viên chủ chốt của công ty đã được đăng lên phần “bình luận” của một trong những đối thủ cạnh tranh của công ty. Bảng tính chỉ tồn tại trên một trong những quản lý của M57 — là Jean.

Jean nói rằng cô ấy không biết dữ liệu đã rời khỏi máy tính xách tay của mình như thế nào và chắc chắn cô ấy đã bị tấn công.

Bạn đã được cung cấp một hình ảnh đĩa của máy tính xách tay của Jean. Công việc của bạn là tìm ra cách dữ liệu bị đánh cắp — hoặc Jean không vô tội như cô ấy tuyên bố.

Dữ liệu chứng cứ được thu thập:

• Đĩa của Jean ở định dạng EnCase E01:
  • nps-2008-jean.E01
  • nps-2008-jean.E02 (Lưu ý: nps-2008-jean là tệp Nhân chứng Chuyên gia gồm nhiều tập. Bạn cần cả hai tệp để có thể truy cập nội dung.)
• Trang trình bày :
  • M57-Jean.ppt     (định dạng Microsoft PowerPoint)
  • M57-Jean.key     (Định dạng của Apple)
  • M57-Jean.pdf     (định dạng Adobe Acrobat)

Các giải pháp:

Giải pháp được phân phối dưới dạng tệp PDF được mã hóa:

• M57-Jean_Solution.pdf

Vui lòng xem ghi chú của chúng tôi về việc đạt được các giải pháp .

Khám phá OSForensics

Để bắt đầu với OSForensics hãy chạy nó, chúng ta có thể thấy cửa sổ OSForensics đang mở.

Ở phía bên trái là các tùy chọn / khả năng chính của pháp y số mà chúng ta sẽ đề cập chi tiết.

Xin lưu ý rằng tùy chọn bắt đầu làm nổi bật các công cụ chính. Các tính năng của OSF được sử dụng rộng rãi cùng các tùy chọn cũng có thể được truy cập thông qua các tab ở khung bên trái.

Tùy chọn đầu tiên là Quản lý trường hợp hay Case (lưu ý rằng trong bài viết này thuật ngữ case hay tình huống hay trường hợp có thể được dùng thay cho nhau, và case cũng có thể là một vụ án tùy tính chất của tình huống cần điều tra):

Bất kỳ tác vụ / thao tác nào chúng ta muốn thực hiện trong OSF, chúng tôi luôn khuyên bạn nên tạo một Case cho điều đó. Tạo một Case sẽ hữu ích để phân biệt nhiều quy trình / hoạt động với nhau và cũng hoạt động như một thùng chứa công việc đã thực hiện, điều này còn hỗ trợ trong việc tham khảo trong tương lai.

Để tạo một case mới, hãy nhấp vào biểu tượng Tạo Case trong tùy chọn bắt đầu hoặc nút case mới trong tùy chọn Quản lý Case và cung cấp tất cả các chi tiết liên quan liên quan đến tình huống. Ngoài ra, hãy lưu ý vị trí mà chúng tôi muốn lưu tình huống.

Hãy thay tên case name nếu bạn muốn, thây tên Investigator Ankit thành tên của bạn

Nhập tất cả các chi tiết và nhấp vào OK, chúng ta có thể thấy trường hợp được liệt kê. Nếu đang giải quyết nhiều trường hợp cùng một lúc hoặc chúng tôi có nhiều trường hợp được liệt kê trên OSF, chúng ta cần chọn trường hợp nào chúng ta cần giải quyết. Để thực hiện việc này, hãy chọn trường hợp và nhấp vào load case, chúng ta sẽ thấy một dấu kiểm màu xanh lá cây đối với trường hợp hiện đang được nạp.

Chúng tôi có thể xóa bất kỳ trường hợp nào hoặc nhập một trường hợp từ một trường hợp đã được tạo với các menu tương ứng.

Đối với bài thực hành này, chúng ta sẽ nghiên cứu trường hợp NPFJeane, đây là trường hợp demo (E01) mà chúng ta sẽ thực hiện điều tra pháp y số.  Để thêm bằng chứng cho trường hợp của mình, hãy nhấp vào thêm thiết bị (add device).

Chọn tệp hình ảnh và duyệt tìm tệp Bằng chứng và nhấp vào mở.

Tất cả các phân vùng trong hình ảnh có được sẽ được liệt kê. Chọn phân vùng và nhấp vào OK.

Bằng chứng sẽ được thêm vào và tên bằng chứng sẽ được hiển thị. Nếu được yêu cầu, chúng ta có thể thay đổi tên hiển thị.

Sau khi thêm thành công bằng chứng sẽ được liệt kê như hình dưới đây.

Tìm kiếm tập tin

Tùy chọn này được sử dụng để tìm kiếm bất kỳ tên tệp cụ thể nào, để tìm kiếm bất kỳ tệp cụ thể nào, chúng ta có thể chỉ cần cung cấp tên tệp và duyệt tìm ổ đĩa, thư mục hoặc bất kỳ vị trí nào khác mà chúng ta cần tìm kiếm.

Có một tùy chọn đặt trước (Presets) , chúng ta có thể sử dụng tùy chọn này để chọn bất kỳ danh mục tệp cụ thể nào

Ngoài ra, các bạn có thể lọc / tinh chỉnh tìm kiếm tệp bằng cách thay đổi cài đặt cấu hình, để làm như vậy, hãy nhấp vào nút cấu hình (Config…) và thay đổi cài đặt theo yêu cầu.

Nhấp vào OK và trong cửa sổ tìm kiếm tệp, nhập tên tệp và nhấp vào tìm kiếm, Tùy thuộc vào khối lượng dữ liệu Việc tìm kiếm sẽ mất một chút thời gian và sẽ hiển thị kết quả. Trong tìm kiếm của chúng tôi, chúng tôi đã tìm kiếm cụm từ “Sale” và điều này sẽ hiển thị tất cả các tệp có cụm từ tìm kiếm như hình sau.

Các bạn cũng có thể xem các tệp đã tìm kiếm dưới dạng hình thu nhỏ

Và chế độ xem dòng thời gian. Chế độ xem dòng thời gian sẽ hiển thị đại diện bằng biểu đồ thanh của từ khóa đó trên cơ sở thời gian và số lượng từ khóa.

Kết thúc tìm kiếm tệp.

Tạo chỉ mục / lập chỉ mục

Tìm kiếm theo chỉ mục là một tìm kiếm sâu và tinh tế hơn và rất quan trọng đối với các cuộc điều tra pháp y số.

Phương pháp trực quan nhất để tìm kiếm từ khóa là cung cấp một từ khóa duy nhất và tìm kiếm sự xuất hiện của từ khóa đó trong dữ liệu / bằng chứng của chúng ta. Để đạt được mục tiêu này, cách tốt nhất là tạo một chỉ mục của ổ đĩa / thư mục mà chúng ta cần thực hiện tìm kiếm trong đó. Chỉ mục chỉ đơn giản là một danh sách các hiệu số cho sự xuất hiện của các từ khóa bắt buộc. Lập chỉ mục cho phép tìm kiếm trong nội dung của nhiều tệp / ổ đĩa / thư mục / tệp hình ảnh cùng một lúc.

Trong OSF, chúng ta có thể được lập chỉ mục trên các loại tệp được xác định trước

Hoặc có thể tạo một mẫu tùy chỉnh

Chúng ta có thể chọn các phần mở rộng cần tìm kiếm, bỏ qua bất kỳ tệp hoặc thư mục nào bằng cách chỉ định tên của chúng hoặc bằng cách giới hạn kích thước tệp. Tùy chỉnh mẫu và bấm OK

Tùy chỉnh mẫu và nhấp vào OK. Nhấp vào tiếp theo và chuyển sang Bước 2. Tại đây các bạn cần chọn ổ đĩa hoặc thư mục muốn lập chỉ mục và chọn tùy chọn lập chỉ mục từ trình đơn thả xuống như hình dưới đây và nhấp vào OK.

Hình ảnh, ổ đĩa hoặc thư mục được chọn sẽ được liệt kê, (chúng ta có thể thêm nhiều ổ đĩa / thư mục) để lập chỉ mục.

Nhấp vào tiếp theo và chuyển sang bước 3

Bây giờ chúng ta sẽ có một cái nhìn về các ổ đĩa mà chúng ta đang lập chỉ mục cùng với các phần mở rộng sẽ được lập chỉ mục. Nếu mọi thứ đều đáp ứng yêu cầu của bạn, hãy nhấp vào “Bắt đầu lập chỉ mục” nếu không, hãy nhấp vào nút “Quay lại” để thực hiện thay đổi .

Việc lập chỉ mục sẽ bắt đầu và tùy thuộc vào dữ liệu, sẽ mất một khoảng thời gian để hoàn thành .

Ban đầu, Prescan được thực hiện và ngay sau khi Pre-Scan thì tiến trình lập chỉ mục sẽ tự động bắt đầu

Sau khi lập chỉ mục hoàn tất, chúng ta sẽ nhận được một cửa sổ bật lên với thông báo đã hoàn thành lập chỉ mục.

Các bạn cũng có thể kiểm tra nhật ký chỉ mục để kiểm tra trạng thái / kết quả của việc lập chỉ mục và bất kỳ lỗi nào mà hệ thống có thể đã xảy ra trong quá trình lập chỉ mục.

Chỉ mục tìm kiếm

Ở trên chúng ta đã lập chỉ mục ổ đĩa để tìm kiếm từ khóa, bây giờ chúng ta sẽ thực sự tìm kiếm các từ khóa trong ổ đĩa / thư mục đã được lập chỉ mục.

Để bắt đầu, hãy nhấp vào chỉ mục tìm kiếm.

Các bạn có thể xem tất cả ổ đĩa đã lập chỉ mục trong một trình đơn thả xuống

Chúng ta có thể nhập từng từ khóa muốn tìm vào tab “Nhập từ tìm kiếm”, nhấp vào tìm kiếm và sẽ nhận được kết quả trên màn hình. Ở trên ta đã tìm kiếm từ khóa “Sale”, bên trong bằng chứng ta có thể thấy tất cả các tệp có chứa từ Ethical.

Ngoài ra, các bạn có thể tải lên các từ khóa muốn tìm kiếm trong một tệp văn bản và tải nó lên, tùy chọn này phù hợp nếu chúng ta muốn tìm kiếm nhiều từ khóa cùng một lúc.

Chúng tôi đã tạo một tệp văn bản có tên key.txt với ba từ khóa và lưu nó trên máy tính.

Để tải lên tệp này, hãy nhấp vào “Sử dụng tệp danh sách Word hay Use Word List File” và tải lên tệp được giới thiệu ở trên

Chúng ta có thể thấy kết quả của các từ khóa trên màn hình cùng với tổng số lượt truy cập của từng từ khóa trong thư mục được lập chỉ mục, trong Tab lịch sử.

Nhấp đúp vào từ khóa trong danh sách và tất cả các tệp có chứa từ khóa cụ thể đó sẽ được liệt kê trong tab tệp.

Quá trình này kết thúc việc lập chỉ mục và tìm kiếm việc lập chỉ mục dưới mức hay under-indexing.

Digital Forensics Investigation through OS Forensics (Part 2)

Trong Phần 1 của bài viết này, chúng tôi đã đề cập đến Tạo trường hợp, Tìm kiếm Tệp và Lập chỉ mục. Bài thực hành tiếp theo sẽ trình bày thêm một số tính năng / chức năng của OSForensics.

Hoạt động gần đây

Tính năng Hoạt động gần đây cho phép điều tra viên quét bằng chứng về hoạt động gần đây, chẳng hạn như các trang web đã truy cập, ổ USB, mạng không dây, tải xuống gần đây và nhiều hơn nữa.

Để bắt đầu, hãy mở OSForensics và chọn Hoạt động gần đây.

Chúng tôi có tùy chọn để nắm bắt các Hoạt động gần đây hay Recent Activity thông qua việc thu thập trực tiếp các máy hiện tại hoặc bằng cách quét ổ đĩa / bằng chứng.

Để nắm bắt quá trình thu nhận trực tiếp của máy hiện tại, hãy chọn tùy chọn đầu tiên và nhấp vào quét. Nếu chúng ta đã chọn điều tra trường hợp của máy khác tại thời điểm tạo trường hợp (được hiển thị trong phần 1 của bài viết này), các bạn có thể nhận được thông báo cảnh báo như hình dưới đây, nhấp vào có để tiếp tục.

Nhưng chúng ta sẽ thu thập bằng chứng của mình (là tệp hình ảnh .E01).

Quá trình quét sẽ bắt đầu và có thể mất một chút thời gian để thao tác này hoàn tất.

Khi quá trình quét hoàn tất, các bạn sẽ nhận được một cửa sổ bật lên với bản tóm tắt bằng chứng đã quét.

Nhấp vào nút OK và trên cửa sổ hoạt động gần đây, chúng ta có thể tìm thấy tất cả các chi tiết hoạt động gần đây với tiêu đề ở ngăn bên trái và chi tiết về các tệp liên quan ở bên phải.

Dưới đây là danh sách xem các tệp

Chúng tôi cũng có thể xem chi tiết tệp bằng cách nhấp vào tab Chi tiết tệp

Để phân tích thêm bất kỳ tệp nào, chỉ cần nhấp chuột phải vào tệp để có thêm các tùy chọn tệp.

Tương tự, các bạn có thể điều tra hoạt động gần đây của bất kỳ ổ đĩa cụ thể nào.

Chúng ta cũng có thể thay đổi cấu hình hoặc áp dụng / xóa bất kỳ bộ lọc nào theo yêu cầu nhưng những thay đổi này phải được thực hiện trước khi bắt đầu quét.

Để chỉnh sửa cấu hình, hãy nhấp vào nút “Cấu hình hay Config” nằm ở góc trên cùng bên phải trên cửa sổ hoạt động gần đây.

Chọn / Bỏ chọn các tùy chọn theo yêu cầu hoặc nếu được yêu cầu, hãy thay đổi ngày / phạm vi ngày cho một hoạt động dựa trên thời gian cụ thể và nhấp vào OK.

Để quản lý các bộ lọc, hãy nhấp vào nút “Bộ lọc” nằm bên dưới nút “Cấu hình”

Các bạn có thể thêm bộ lọc theo yêu cầu bằng cách chọn một giá trị từ menu thả xuống hoặc điền vào các chi tiết theo yêu cầu.

 Trong hình ảnh dưới đây, chúng ta đã áp dụng một bộ lọc và đặt các thông số của nó theo yêu cầu.

Nhấp vào nút Thêm bộ lọc và sau đó OK, bộ lọc sẽ được thêm.

Qua trình này kết thúc tính năng Hoạt động gần đây.

Tìm kiếm tệp đã xóa

Khôi phục tệp đã xóa là một trong những yêu cầu chính đối với pháp y kỹ thuật số. OSF cung cấp khả năng khôi phục / tìm kiếm tập tin đã xóa rất đơn giản và hiệu quả.

Để tìm kiếm các tệp đã xóa, hãy nhấp vào “Tìm kiếm tệp đã xóa” và chọn ổ đĩa mà chúng ta muốn tìm kiếm từ menu thả xuống. Chúng ta có thể chọn toàn bộ Ổ đĩa vật lý / Đĩa cứng (PhysicalDrive0), Bằng chứng thu được hoặc bất kỳ ổ đĩa Lôgic nào (C / D / E) mà các bạn muốn khôi phục dữ liệu.

Nhấp vào nút “Cấu hình” và chọn / bỏ chọn các tùy chọn theo yêu cầu. Chọn Chất lượng từ menu thả xuống (Xin lưu ý rằng chất lượng tốt hơn sẽ mất nhiều thời gian hơn để xử lý), để có kết quả tốt hơn, hãy kiểm tra tùy chọn khắc tệp. Các bạn cũng có thể giới hạn kích thước tệp muốn tìm kiếm (điều này sẽ bỏ qua các tệp không nằm trong phạm vi để tinh chỉnh tìm kiếm), Nhấn Ok.

Trên menu thả xuống đặt trước, chọn loại tệp muốn khôi phục / tìm kiếm. Chọn tất cả các tệp nếu cần có nhiều loại tệp làm đầu ra.

Khi tất cả các cài đặt đã hoàn tất, hãy nhấp vào Tìm kiếm. Tùy thuộc vào khối lượng dữ liệu và cấu hình đã chọn, có thể mất một khoảng thời gian để quá trình hoàn tất.

Các bạn cũng có thể xem chế độ xem hình thu nhỏ của các tệp để phân tích nhanh hơn.

Để lưu / khôi phục tệp, hãy chọn tệp muốn khôi phục và nhấp chuột phải vào các tùy chọn và lưu tệp.

Quá trình này kết thúc tìm kiếm tệp đã xóa.

Tìm kiếm tệp không khớp

Tính năng này cho phép chúng ta xác định các tệp có phần mở rộng không khớp với dữ liệu của chúng. Thông qua đó, chúng tôi có thể nắm bắt một số bằng chứng liên quan có thể ở dạng hình ảnh, tài liệu hoặc pdf nhưng giả vờ là của một số phần mở rộng khác. Ví dụ: tệp word có thể không khớp với tệp jpeg (dữ liệu như vậy còn có thể được gọi là “Dữ liệu tối”).

Để bắt đầu bằng cách nhấp vào Tìm kiếm tệp không khớp, chọn ổ đĩa / thư mục cùng với bộ lọc từ menu thả xuống hoặc tạo bộ lọc theo yêu cầu, nếu chúng tôi không chắc chắn về cài đặt bộ lọc, chúng tôi có thể đi với “Tất cả (Tích hợp sẵn) ”Lọc và nhấp vào tìm kiếm.

Điều này sẽ hiển thị kết quả trong danh sách tệp. Các bạn cũng có thể xem chế độ xem hình thu nhỏ của các tệp.

Trình xem bộ nhớ

Tính năng Memory Viewer hiển thị bộ nhớ đang hoạt động của hệ thống mà OSF đang hoạt động. Nó không thể được sử dụng để hiển thị bộ nhớ của hình ảnh hoặc ổ đĩa có được của máy tính khác (chúng ta sẽ minh họa tính năng này trên máy đang chạy của mình chứ không phải trên tệp bằng chứng M57-jean). Các bạn có thể kết xuất bộ nhớ trực tiếp / RAM để điều tra thêm với VOLATILITY FRAMEWORK

Để bắt đầu, hãy mở OSF và nhấp vào Trình xem bộ nhớ. Chúng ta có thể xem danh sách tất cả các quy trình hiện đang chạy cùng với ID quy trình (PID) của chúng. Nhấp vào bất kỳ quy trình nào và các bạn có thể xem chi tiết của quy trình trong Thông tin quy trình. Nhấp vào làm mới để làm mới danh sách quy trình.

Nhấp vào cửa sổ chọn biểu tượng con trỏ sẽ thay đổi từ con trỏ thành vòng tròn, nhấp vào bất kỳ đâu trên màn hình hoặc trên bất kỳ ứng dụng đang chạy nào khác và các bạn có thể xem chi tiết quy trình của quá trình mà đã nhấp vào. Ví dụ, trong hình ảnh dưới đây, chúng tôi đã nhấp vào một tệp word đang mở và quá trình tương ứng với tệp word đó sẽ được hiển thị.

Nhấp vào kết xuất Bộ nhớ vật lý, thao tác này sẽ kết xuất bộ nhớ vật lý / RAM trong tệp .bin và có thể lưu nó ở bất kỳ đâu. Trong hình ảnh dưới đây, chúng tôi đang lưu tệp với tên Memory Dump.bin trong một thư mục có tên là Physical Memory Dump trên Desktop

Khi các bạn nhấp vào lưu, cửa sổ bật lên sẽ xuất hiện cho đến khi Bộ nhớ được kết xuất.

Sau khi hoàn thành, ta sẽ nhận được Thông báo thành công.

Các bạn cũng có thể lưu một kết xuất sự cố, chỉ cần duyệt đến một thư mục và lưu tệp. Phần mở rộng của tệp kết xuất sự cố là .dmp. Trong hình ảnh dưới đây, chúng ta đang lưu tệp kết xuất sự cố với tên CrashDump.dmp. Các bạn sẽ nhận được thông báo sau khi quá trình kết xuất đang diễn ra

Sau khi kết xuất hoàn tất, chúng tôi sẽ nhận được thông báo thành công.

Quá trình này kết thúc Trình xem bộ nhớ

Trình xem tìm nạp trước Prefetch Viewer

Trình xem tìm nạp trước hiển thị các tệp .exe mà chúng ta đã thực thi lần cuối trên hệ thống. Để bắt đầu, hãy mở OS Forensic và nhấp vào trình xem tìm nạp trước.

Chúng ta có thể duyệt ổ đĩa từ menu thả xuống để kiểm tra tệp .exe đã thực thi trên một ổ đĩa cụ thể. Các bạn có thể nhấp vào bất kỳ ổ đĩa cụ thể nào và có thể xem chi tiết của exe cùng với các tệp được ánh xạ trong tab tệp được ánh xạ.

Ngoài ra, ta có thể xem các thư mục, được ánh xạ với tệp .exe trong Tab Thư mục được Ánh xạ.

Điều này kết thúc Trình xem tìm nạp trước.

Digital Forensics Investigation through OS Forensics (Part 3)

Trong Phần 2 của bài hướng dẫn này, chúng ta đã đề cập đến các Hoạt động gần đây, Tìm kiếm tệp đã xóa, Tìm kiếm tệp không khớp, Trình xem bộ nhớ và Trình xem tìm nạp trước. Bài viết này sẽ trình bày thêm một số tính năng / chức năng của OSForensics.

Trình xem đĩa thô Raw Disk Viewer

Trên một ổ đĩa, dữ liệu thường được lưu trữ trong các tệp và thư mục hệ thống tệp nhưng khi nói đến pháp y số, chúng ta cần kiểm tra sâu hơn về các ổ đĩa, chúng ta có thể có một phần bằng chứng trong các khu vực thô của ổ đĩa, hình ảnh. Không thể truy cập các lĩnh vực này thông qua Hệ điều hành nhưng chúng ta có thể truy cập các lĩnh vực thô thông qua Trình xem đĩa thô Raw Disk Viewer của OS Forensic.

Raw Disk Viewer bao gồm tìm kiếm văn bản / hex, làm nổi bật các lỗi ổ đĩa có liên quan và giải mã các cấu trúc đĩa đã biết (chẳng hạn như MBR, GPT)

Để bắt đầu với OSF, hãy mở OSF và nhấp vào Raw Disk Viewer

Từ đĩa thả xuống để chọn Bằng chứng chúng tamuốn điều tra.

Nhấp vào nút cấu hình và thực hiện các thay đổi cần thiết. Các bạn có thể chỉ định giới hạn phạm vi khu vực, đánh dấu các loại tệp bằng các màu khác nhau, bao gồm / loại trừ các đối tượng hệ thống tệp.

Để tìm kiếm một tệp / khu vực / offset cụ thể, hãy nhấp vào nút Jump To, chúng ta có thể thấy một màn hình để chọn bất kỳ tệp hoặc offset cụ thể nào.

Để biết chi tiết của bất kỳ tệp cụ thể nào, hãy chọn tệp và duyệt tệp.

Nhấp vào mở và sau đó OK, tệp sẽ mở trong HEX để điều tra.

Nhấp vào nút giải mã (Decode) để nhận thông tin chi tiết của tệp. Điều này sẽ cung cấp số cụm và khu vực của tệp.

Nhấp chuột phải vào tệp để nhận tất cả các tùy chọn có sẵn của tệp / offset / cluster.

Bấm vào nút Tìm kiếm, một màn hình sẽ xuất hiện để chúng ta có thể tìm kiếm Hex hoặc Text và tiếp tục. Thao tác này sẽ tìm kiếm văn bản hoặc Hex cụ thể trong các sector thô và sẽ hiển thị kết quả.

Nhấp vào nút đánh dấu trên màn hình chính của Raw Disk Viewer. chúng tôi có thể tạo các dấu trang cho các bằng chứng liên quan.

Tạo một dấu trang mới bằng cách chỉ định độ lệch đầu và độ lệch cuối của nó. Chúng ta có thể phân biệt bookmark thông qua màu sắc của nó.

Dấu trang đã lưu sẽ được liệt kê.

Nếu chúng ta nhấp vào dấu trang, phạm vi offset sẽ được đánh dấu trên màn hình chính và đánh dấu điểm bắt đầu của khoảng bù bằng một lá cờ và màu của cờ là màu của dấu trang (bookmark).

Tiến trình này kết thúc Trình xem đĩa thô.

Trình xem sổ đăng ký Registry Viewer

Trình xem sổ đăng ký cho phép điều tra sổ đăng ký bằng chứng.

Để bắt đầu với việc mở trình xem sổ đăng ký, chúng tôi có thể chọn ổ đĩa / bằng chứng mà chúng tôi muốn làm việc. Tất cả các tệp đăng ký trong ổ đĩa / bằng chứng cụ thể đó sẽ được liệt kê ở phía bên phải.

Nhấp đúp vào bất kỳ tệp nào và chúng tôi có thể điều hướng đến sổ đăng ký và có thể nhận được tất cả các chi tiết.

Điều này kết thúc Registry Viewer

Trình duyệt hệ thống tệp

Trình duyệt hệ thống tệp cho phép chúng tôi điều hướng đến Ổ đĩa / Bằng chứng.

Chúng ta có thể điều hướng qua tất cả các tệp / thư mục và thực hiện nhiều hoạt động. Trong trình duyệt hệ thống tệp, các tùy chọn khác của OSF cũng như Tìm kiếm tệp, Tìm kiếm không khớp, Tạo chỉ mục, Tạo chữ ký. Một số tính năng này chúng ta đã nói đến và một số trong số đó sẽ thảo luận trong các bài viết tới.

Các bạn có thể kiểm tra tùy chọn “Hiển thị tệp đã xóa” bằng cách nhấp vào Công cụ> Tùy chọn> Hiển thị tệp đã xóa.

 Các tệp / thư mục đã xóa (nếu có) cũng sẽ được liệt kê và sẽ được đánh dấu bằng dấu thập đỏ.

Điều này kết thúc Trình duyệt Hệ thống Tệp.

Mật khẩu

Tính năng mật khẩu cho phép các bạn truy xuất thông tin liên quan đến mật khẩu của bằng chứng. Những mật khẩu này có thể là mật khẩu được lưu trữ trong trình duyệt, Mật khẩu đăng nhập Windows, các bạn cũng có thể tạo bảng cầu vồng bằng cách kết hợp nhiều mật khẩu và truy xuất mật khẩu từ bảng cầu vồng. Trong mật khẩu OSF cũng có một tùy chọn để giải mã một tệp được mã hóa.

Để bắt đầu với mở OSF và chọn mật khẩu

Tab đầu tiên là Tìm Mật khẩu & Chìa khóa, điều này sẽ cho phép khôi phục mật khẩu đã lưu trữ từ trình duyệt, outlook, mật khẩu đăng nhập tự động cửa sổ, v.v. Chúng ta có thể thực hiện việc thu thập trực tiếp máy hiện tại hoặc Scan Drive và chọn bất kỳ ổ đĩa hoặc bằng chứng nào.

Nhấp vào nút Cấu hình, kiểm tra các mật khẩu bạn muốn khôi phục. Chọn cài đặt giải mã dựa trên yêu cầu, chúng tôi có thể đưa vào tệp từ điển của mình hoặc có thể sử dụng từ điển tự động. Nếu thông tin xác thực được biết, các bạn có thể cung cấp thông tin xác thực đăng nhập windows và bấm OK.

Nhấp vào nút Lấy mật khẩu để bắt đầu quá trình.

Tất cả mật khẩu / khóa sản phẩm sẽ được liệt kê.

Hình ảnh dưới đây là quá trình thu thập mật khẩu của Máy hiện tại để bạn hiểu rõ hơn vì bằng chứng ta đang nghiên cứu không có bất kỳ mạng không dây nào được lưu trữ.

Chọn Mật khẩu đăng nhập Windows, chọn Drive / bằng chứng và nhấp vào Lấy mật khẩu

Tất cả các thông tin sẽ được liệt kê. Nếu có bất kỳ mật khẩu đã lưu nào, chúng cũng sẽ được liệt kê, các bạn có thể lấy thông tin về nó, và có thể lấy NT hash và LM Hash của mật khẩu mà từ đó ta có thể khôi phục mật khẩu.

Có một tùy chọn để tạo một bảng cầu vồng. Điều này được sử dụng để tạo một danh sách các mật khẩu với các kết hợp và hoán vị khác nhau. Các bạn có thể chọn từ các tùy chọn / kết hợp khác nhau từ trình đơn thả xuống. Các đầu vào càng lớn và phức tạp thì thời gian sẽ càng lâu.

Duyệt qua đường dẫn tệp nơi chúng tôi muốn lưu bảng và nếu cần, hãy sửa đổi các tham số. Nhấp vào nút tạo bảng cầu vồng để bắt đầu quá trình.

Tùy thuộc vào độ phức tạp mà quá trình sẽ bắt đầu.

Mật khẩu thông qua một bảng cầu vồng rainbow table. Nếu mật khẩu nằm trong bảng cầu vồng mà chúng ta đã tạo và có NT hash và LM Hash, ta có thể khôi phục mật khẩu . Để đạt được điều này, các bạn cần thêm thư mục của bảng Rainbow trong “Chọn bảng Rainbow / Select Rainbow Table” và có thể nhập hàm băm thô hoặc có thể duyệt tệp có thể chứa hàm băm, nếu mật khẩu có trong bảng cầu vồng, ta sẽ nhận được Mật khẩu.

Trong hình ảnh, chúng ta đang duyệt tệp “hash.txt”, đã lưu mật khẩu đăng nhập windows (được hiển thị ở trên) và bảng cầu vồng đã tạo.

Nhấp vào nút recovery Password / s để bắt đầu quá trình, nếu mật khẩu có trong Hash.txt được tìm thấy trong bảng cầu vồng ta sẽ nhận được kết quả.

Trong phần trên, chúng ta không tìm thấy mật khẩu vì nó không được hiển thị bên trong bảng. Ngoài ra, các bảng này có những hạn chế nhất định và có tỷ lệ thành công là 95% (ước chừng). Có những phương pháp khác cũng như để khôi phục mật khẩu mà chúng tôi sẽ thảo luận trong các bài viết khác.

Tiến trình này sẽ kết thúc việc dò tìm Mật khẩu.

CEH VIETNAM / CHFI v9 PLUS – Khóa Học Trực Tuyến CHFI v9