CHFI Bài học bổ trợ cho lớp Digital Forensic. Trong bài này, chúng ta sẽ tìm hiểu cách thực hiện điều tra pháp y số trên Tệp Trang pagefile.sys. Có rất nhiều thông tin có thể được trích xuất thông qua kết xuất bộ nhớ. Tuy nhiên, còn nhiều hơn thế nữa: bạn có thể thực hiện điều tra pháp y bộ nhớ ngay cả khi không có kết xuất bộ nhớ bằng cách phân tích bộ nhớ ảo.
Có những bản ghi trên ổ đĩa chứa một vài phần bộ nhớ. Các tệp này là pagefile.sys, swapfile.sys và hiberfil.sys. Chúng tôi sẽ thực hiện với pagefile.sys.
Mục lục
- Giới thiệu
- Chụp bộ nhớ và tệp trang bằng máy ảnh FTK
- Phân tích bằng Trung tâm Bằng chứng Belkasoft
Giới thiệu
Pagefile.sys còn được gọi là tệp hoán đổi hoặc tệp bộ nhớ ảo được sử dụng bên trong các khung điều hành Windows để lưu trữ thông tin từ RAM khi nó bị đầy. Pagefile.sys trong khung điều hành Windows được đặt tại C: \ pagefile.sys. Hệ điều hành Windows hỗ trợ tối đa 16 tệp hoán trang; hiện chỉ có một cái được sử dụng.
Tại bất kỳ thời điểm nào bạn mở một ứng dụng trong Windows, PC của bạn sẽ ngốn RAM. Tại thời điểm bạn mở nhiều ứng dụng hơn mức RAM trên PC có thể giải quyết, các chương trình trước đó đang chạy trong RAM sẽ được chuyển sang tệp Trang. Điều này được gọi là Phân trang và ngụ ý rằng tệp Trang được sử dụng như RAM tăng cường, còn được gọi là bộ nhớ ảo.
Chụp bộ nhớ và tệp trang bằng FTK Imager
Chúng tôi sẽ sử dụng FTK Imager để ghi lại bộ nhớ cùng với pagefile.sys.
FTK® Imager là một công cụ để hình ảnh và xem trước dữ liệu FTK Imager cũng tạo ra các bản sao hoàn hảo (hình ảnh pháp y) của dữ liệu máy tính mà không cần thay đổi bằng chứng ban đầu. Bạn có thể tải xuống hình ảnh FTK từ đây .
Nhấp vào Capture Memory để tạo kết xuất bộ nhớ như hình sau .
Bước tiếp theo là duyệt đường dẫn đích theo ý muốn, chọn giải pháp thay thế “bao gồm tệp trang” và nhấp vào Capture Memory.
Quá trình chụp bộ nhớ sẽ bắt đầu khi bạn nhấp vào chụp bộ nhớ .
Sau khi hoàn thành quá trình, kết xuất bộ nhớ và tệp trang sẽ được khắc trong thư mục đích đã chọn trước đó.
Phân tích bằng Trung tâm Bằng chứng Belkasoft
Bây giờ để phân tích tệp đã khắc, chúng ta sẽ sử dụng công cụ Trung tâm Bằng chứng Belkasoft để phân tích pagefile.sys. Trung tâm Bằng chứng Belkasoft là một công cụ pháp y số tất cả trong một để thu thập phân tích và khắc bằng chứng kỹ thuật số. Bạn có thể tải xuống bản dùng thử miễn phí của công cụ từ đây .
Trước hết, hãy tạo một trường hợp mới. Điền thông tin trường hợp, chọn thư mục gốc, nếu muốn, bạn có thể thêm trường hợp mô tả. Nhấp vào tạo và mở để tiếp tục phân tích thêm.
Để phân tích bộ nhớ đã chiếm (tệp trang), hãy chọn tùy chọn Hình ảnh RAM; thêm tệp pagefile.sys mà bạn đã tạo trước đó làm nguồn bằng chứng bằng cách sử dụng trình hình ảnh FTK.
Chọn kiểu dữ liệu mong muốn mà bạn muốn tìm kiếm. Có rất nhiều kiểu dữ liệu được hỗ trợ bởi công cụ. Nhấp vào kết thúc sau đó.
Đây là bảng điều khiển cho trường hợp sau khi hoàn thành các bước trên. Nó hiển thị thông tin được tách biệt thích hợp về dữ liệu được khắc từ tệp trang. Tổng số 1097 tệp đã được khắc, bao gồm URL, hình ảnh và các hiện vật khác.
Tab khám phá trường hợp ngay bên cạnh tab trang tổng quan cho phép mở rộng và xem từng cột hồ sơ. Dữ liệu đã được tạo từ các trình duyệt, ảnh, tệp hệ thống và các tệp khác.
Hãy mở rộng và phân tích hồ sơ Trình duyệt. Nó đã khắc lịch sử chrome bao gồm các URL, hãy kiểm tra phần được khắc chrome để biết thêm chi tiết. Nó bao gồm các URL cho các trang web đã truy cập, một trong số đó được đánh dấu trong ảnh chụp màn hình sau.
Một hồ sơ khác trong trình duyệt là opera. Phân tích hồ sơ opera (khắc) tương tự, hiển thị chi tiết về các URL được truy cập.
Dữ liệu được khắc từ tệp trang cũng bao gồm một số hình ảnh. Những hình ảnh này có thể là từ các trang web đã truy cập và các hình thu nhỏ khác.
Tính năng tuyệt vời của trung tâm bằng chứng belkasoft là nó cho phép bạn chỉ cần ngay trên hình ảnh và phân tích nó cho các khía cạnh khác nhau như kiểm tra da, phát hiện nội dung khiêu dâm từ hình ảnh, phát hiện văn bản và cả khuôn mặt. Tất cả những khía cạnh này đều hữu ích trong quá trình phân tích trực tiếp.
Một số tệp hệ thống cũng được tạo từ bộ nhớ ảo đã chiếm được, hiển thị tên NetBIOS, đường dẫn tệp và kích thước.
Tab dòng thời gian hiển thị chế độ xem tổng thể của dữ liệu được khắc để dễ dàng phân tích cùng với thời gian và URL của trang web tìm kiếm đã truy cập.
Một tab kết quả tìm kiếm cũng có trong công cụ này hiển thị các kết quả tìm kiếm được xác định trước. Ảnh chụp màn hình sau đây hiển thị kết quả của công cụ tìm kiếm cùng với liên kết và tên hồ sơ.
Tương tự, bạn có thể thực hiện điều tra pháp y cho hiberfil. Xuất hiberfil.sys (lưu trữ dữ liệu trong khi hệ thống cửa sổ đang ở chế độ Hibernate) bằng cách sử dụng FTK tại C: /hiberfile.sys và phân tích thêm bằng Belkasoft Evidence Center.
Việc phân tích các tệp bộ nhớ ảo phục vụ một mục đích tuyệt vời cho pháp y trình duyệt web.
học an toàn & bảo mật thông tin 