Các bạn lưu ý , tình huống Mr X sẽ được minh họa trong bài NIST Data Leak Case “kinh điển” của lớp CHFI v9, bài này từng được trình bày cho khá nhiều lớp đào tạo dành cho các chuyên gia tại Việt Nam.

Tình huống : Ông X bị nghi ngờ có liên quan đến việc bán dữ liệu bí mật của công ty ông cho các đối thủ cạnh tranh, nhưng không có bằng chứng thì không thể thực hiện hành động nào chống lại ông. Để xác thực và chứng minh Mr X có tội, công ty đã yêu cầu dịch vụ pháp y số là các bạn, người đang cầm chứng chi CHFI , và biết được tất cả dữ liệu liên quan đều có trong máy tính để bàn được cung cấp cho anh ta.

Bài này nói về việc lấy hình ảnh pháp y số của bằng chứng kỹ thuật số và khôi phục nó vào bất kỳ ổ đĩa nào khác.

Vì chúng ta không bao giờ nên làm việc với bằng chứng gốc vì có thể vô tình làm mất một số dữ liệu liên quan, vì vậy chúng ta sẽ tạo ra hình ảnh của bằng chứng ban đầu và tiếp tục nghiên cứu nó. Bằng cách này, bằng chứng ban đầu được an toàn và tính toàn vẹn và tính xác thực của bằng chứng có thể được chứng minh thông qua các giá trị băm.

Bài này cũng rất hữu ích nếu chúng ta cần sao lưu dữ liệu một cách an toàn.

Để hình ảnh màn hình nền, chúng tôi sẽ sử dụng Encase Imager. Đầu tiên, tải xuống Encase Imager từ đây

Mở Encase Imager và chọn tùy chọn Thêm thiết bị cục bộ.

Từ menu chọn tất cả các tùy chọn và bỏ chọn “chỉ hiển thị ghi bị chặn (Only Show Write-blocked)” như trong hình và nhấp vào tiếp theo.

Các bạn có thể thấy tất cả các ổ đĩa vật lý, phân vùng logic, Cd Rom, RAM và tiến trình đang chạy trên hệ thống. Chúng ta cần chọn những gì cần để lấy hình ảnh làm bằng chứng, lý tưởng nhất là chọn các ổ đĩa vật lý có chứa các phân vùng hợp lý khi ta có được hình ảnh đĩa hoàn chỉnh thông qua ổ đĩa vật lý. Trong một số trường hợp nhất định, các bạn chỉ có thể chọn một ổ đĩa logic hoặc RAM theo yêu cầu.

Chọn / Kiểm tra số lượng bằng chứng bạn muốn hình ảnh và nhấp vào kết thúc.

Bằng chứng bạn đã chọn sẽ được liệt kê trong trường hợp nhiều bằng chứng được chọn, và có thể sẽ thấy nhiều bằng chứng được liệt kê ở đây.

Nhấp đúp chuột vào bằng chứng, các bạncó thể thấy nội dung bên trong và nếu muốn ta có thể bỏ qua bất kỳ phần, tệp hoặc thư mục nào để không được chụp ảnh ở giai đoạn này.

Nhấp vào Nhận để tiến hành chụp ảnh. Bây giờ ta cần nhập thông tin liên quan đến trường hợp hay tình huống (case) bao gồm số trường hợp, đường dẫn đầu ra, định dạng tệp mà các bạn muốn tạo hình ảnh

Định dạng tệp được chọn ở đây là E01 vì định dạng này được hỗ trợ bởi nhiều công cụ và phù hợp để phân tích sâu hơn.

Nếu các bạn muốn bảo vệ bằng mật khẩu / mã hóa hình ảnh của mình thì có thể thực hiện ở giai đoạn này.

Lưu ý: Lý tưởng nhất là lưu trữ hình ảnh trên bất kỳ ổ lưu trữ ngoài nào khác để không gian lưu trữ không bị hạn chế nhưng vì lợi ích thiết thực, chúng ta sẽ lưu hình ảnh trên màn hình theo đường dẫn sau “C: \ Users \pc11\ Desktop \ EvidenceImage\ 1.E01 ”.

Nhấp vào ok và quá trình thu nhận ảnh sẽ bắt đầu, bạn có thể kiểm tra trạng thái thu nhận ảnh trên cùng một cửa sổ ở góc dưới bên phải cùng với thời gian còn lại (tham khảo hình ảnh bên dưới).

Sau khi quá trình thu thập hoàn tất, hình ảnh sẽ được lưu vào thư mục đầu ra (tham khảo hình ảnh bên dưới).

Để chứng minh tính xác thực của bằng chứng, các bạn có thể tạo ra giá trị băm của bằng chứng

Để tạo giá trị băm của hình ảnh, hãy nhấp vào bằng chứng và chọn băm như thể hiện trong hình dưới đây.

Khi quá trình băm hoàn tất, hãy nhấp vào phần báo cáo ở ngăn dưới

Nhấp và chọn Sao chép để sao chép báo cáo và dán vào tài liệu từ / văn bản.

Lưu báo cáo cùng với tệp Hình ảnh (E01). Báo cáo này chứa tất cả các chi tiết có liên quan cùng với báo cáo chi tiết chứa các giá trị băm.

Việc thu thập bằng chứng đã hoàn tất

Khôi phục hình ảnh bằng chứng

Các bạn đã hoàn tất việc chụp ảnh đĩa / bằng chứng.

Sau đó bỏ vào giỏ chống từ trường, tĩnh điện rồi vận chuyển trong 1 xe thùng an toàn để chở về Computer Forensic Lab của mình, hãy nhớ là chuẩn bị đồ chơi trên Lab để có thể “chiến”. Các bạn có nhớ trong tài liệu lý thuyết tôi biên soạn co nói phòng lab không nên để cửa sổ hướng thẳng ra đường chứ ? Nếu không nhớ xem lại bài lý thuyết tại đây. Và các bài hướng dẫn dựng lab là những menu con của mục này.

Bây giờ , các bạn hãy bật computer forensic lab lên và ta sẽ khôi phục hình ảnh có được này vào ổ đĩa. Để bắt đầu hãy mở Encase Imager và thêm bằng chứng vào Encase imageer

Duyệt đến tệp hình ảnh (.E01) và thêm nó vào hộp. Bằng chứng được thêm vào sẽ được liệt kê 

Nhấp đúp vào hình ảnh, chọn tệp cần khôi phục và chọn tùy chọn khôi phục nằm trong tùy chọn Thiết bị.

Khi nhấp vào khôi phục, hãy kết nối ổ đĩa mà các bạn muốn khôi phục hình ảnh và nhấp vào tiếp theo

Tất cả các ổ đĩa sẽ được đọc

Tất cả các ổ đĩa được hiển thị, hãy chọn ổ đĩa cần khôi phục hình ảnh. Sử dụng ổ đĩa trống để khôi phục hình ảnh vì dữ liệu hiện có sẽ bị xóa. Vì vậy, nếu thực hành để nắm kỹ năng các bạn có thể dùng máy ảo. Và trong quá trình phân tích thực tế ta có thể dùng máy ảo hay không ?

• Tôi nghĩ là có thể nếu các bạn có máy host đủ mạnh…

‘

Nếu được yêu cầu, các bạn có thể xác minh các giá trị Hash và nhấp vào kết thúc.

Nhập “Có” vào hộp văn bản và nhấp vào OK, thao tác này sẽ xóa sạch dữ liệu hiện có trên ổ đĩa và bắt đầu khôi phục hình ảnh.

Khôi phục hình ảnh sẽ bắt đầu, chúng ta có thể kiểm tra tiến trình ở góc dưới bên phải của cửa sổ.

Sau khi quá trình khôi phục hoàn tất, chúng ta có thể thấy dữ liệu trong ổ đĩa mà chúng ta đã chọn.

Để đảm bảo tính toàn vẹn của dữ liệu, chúng ta có thể xem phần báo cáo ở ngăn dưới cùng và kiểm tra các giá trị băm. Giá trị băm phải giống với giá trị của hình ảnh (i có thể kiểm tra giá trị băm ban đầu trong báo cáo hình ảnh.)

Nếu được yêu cầu, chúng tôi có thể sao chép và lưu báo cáo trong bất kỳ tệp văn bản / từ nào để tham khảo trong tương lai.