Hướng dẫn toàn diện về Công cụ Autopsy (Windows)

Đây là công cụ mà tôi hành trình bày trong các khóa học CHFI hay chuyên về Digital Forensic với những bài tập như tìm con mèo bị bắt cóc (root-me) hay tìm kiếm hình ảnh của mẫu chứng cứ 8-jpeg-search và nhiều bài khác.

Ngoài ra, thực tế thì tôi cũng có tư vấn cho một anh bạn làm tại ngân hàng Agribank tìm ra được “kẻ xấu” trong cơ quan bằng chính phần mềm này.

Autopsy là một công cụ mã nguồn mở được sử dụng để thực hiện các hoạt động pháp y số trên hình ảnh đĩa của bằng chứng. Cuộc điều tra pháp y được thực hiện trên hình ảnh đĩa được hiển thị ở đây. Các kết quả thu được từ Autopsy giúp ích cho việc điều tra và xác định thông tin liên quan. Công cụ Autopsy được sử dụng bởi các cơ quan thực thi pháp luật, cảnh sát địa phương và cũng có thể được sử dụng trong các doanh nghiệp để điều tra bằng chứng được tìm thấy trong một tội phạm máy tính. Nó cũng có thể được sử dụng để phục hồi thông tin đã bị xóa.

Mục lục

  • Tạo một trường hợp mới
  • Nguồn dữ liệu
  • Lượt xem
    1. Loại tệp
    2. Kiểu MIME
  • Tệp đã xóa
  • Kích thước tệp MB
  • Các kết quả
    1. Nội dung được trích xuất
    2. Số lượt truy cập từ khóa
  • Mốc thời gian
  • Khám phá
  • Hình ảnh / Video
  • Thêm thẻ tệp
  • Tạo báo cáo

Vì vậy, chúng ta hãy bắt đầu! Tải xuống Công cụ Autopsy từ đây .

Tạo một trường hợp mới

Chạy công cụ Autopsy trên Hệ điều hành Windows của bạn và nhấp vào “Trường hợp mới” để tạo một tình huống hay case mới.

Sau đó điền vào tất cả các thông tin case cần thiết như tên tình huống hay vụ án và chọn một thư mục cơ sở để lưu tất cả dữ liệu case vào một nơi.

Bạn cũng có thể thêm thông tin tùy chọn bổ sung về case nếu được yêu cầu.

Bây giờ chúng ta hãy thêm loại nguồn dữ liệu. Có nhiều loại khác nhau để lựa chọn.

Tệp Disk Image hoặc VM:   Bao gồm tệp hình ảnh có thể là bản sao chính xác của ổ cứng, thẻ nhớ hoặc thậm chí là máy ảo.

Đĩa cục bộ:  Tùy chọn này bao gồm các thiết bị như Đĩa cứng, Ổ bút, thẻ nhớ, v.v.

Tệp logic : Nó bao gồm hình ảnh của bất kỳ thư mục hoặc tệp cục bộ nào.

Tệp hình ảnh không gian chưa phân bổ : Chúng bao gồm các tệp không chứa bất kỳ hệ thống tệp nào và chạy với sự trợ giúp của mô-đun nhập.

Kết quả chụp ảnh logic quá trình pháp y số: Chúng bao gồm nguồn dữ liệu từ việc chạy trình chụp ảnh logic.

Xuất văn bản XRY: Điều này bao gồm nguồn dữ liệu từ việc xuất tệp văn bản từ XRY,

Bây giờ chúng ta hãy thêm nguồn dữ liệu. Ở đây chúng tôi có một tệp hình ảnh đã tạo trước đó, vì vậy chúng tôi sẽ thêm vị trí của tệp đó. Nếu không có hãy tải mẫu 8-jpeg-search trên mạng.

Tiếp theo, bạn sẽ được nhắc Định cấu hình Mô-đun nhập.

Nội dung của mô-đun được liệt kê bên dưới:

Thông tin Nguồn dữ liệu hiển thị siêu dữ liệu cơ bản. Phân tích chi tiết được hiển thị ở dưới cùng.

Lượt xem

Loại tệp:  Có thể được phân loại dưới dạng tệp mở rộng hoặc kiểu MIME.

Cung cấp thông tin về phần mở rộng tệp thường được sử dụng bởi Hệ điều hành trong khi kiểu MIME được trình duyệt sử dụng để quyết định dữ liệu nào sẽ đại diện. Nó cũng hiển thị các tệp đã xóa.

Lưu ý: Các loại tệp này có thể được phân loại tùy thuộc vào Phần mở rộng, Tài liệu, Các tệp thực thi.

Trong danh mục Loại tệp theo phần mở rộng và bạn có thể thấy rằng điều này đã được chia nhỏ thành các loại tệp như hình ảnh, video, âm thanh, lưu trữ, cơ sở dữ liệu, v.v.

Hãy nhấp vào hình ảnh và khám phá những hình ảnh đã được phục hồi. Trong khóa học CHFI v9 của CEH VIETNAM các bạn đã sử dụng autopsy trên các mẫu của ECC, rất dễ dàng và thích hợp.

Chúng tôi cũng có thể xem hình thu nhỏ của các hình ảnh.

Khi xem hình thu nhỏ, bạn có thể xem siêu dữ liệu tệp và thông tin chi tiết về hình ảnh.

Tại đây chúng ta cũng có thể xem một vài tệp âm thanh đã được khôi phục. Các bạn có thể trích xuất các tệp này từ hệ thống và nghe chúng bằng các phần mềm khác nhau.

Các tài liệu

Tài liệu được phân loại thành 5 loại: HTML, office, PDF, Plain Text, Rich Text.

Khi khám phá tùy chọn tài liệu, bạn có thể xem tất cả các tài liệu HTML hiện có, bạn có thể nhấp vào những tài liệu quan trọng để xem chúng.

Khi khám phá tùy chọn PDF, bạn cũng có thể tìm thấy tệp PDF quan trọng trong ảnh đĩa.

Tương tự, bạn cũng có thể xem các tệp văn bản thuần túy khác nhau. Bạn cũng có thể khôi phục các tệp văn bản thuần túy đã xóa.

Thực thi

Các loại tệp này được chia nhỏ thành .exe, .dll, .bat, .cmd và .com.

Theo loại MIME

Trong loại danh mục này, có bốn danh mục phụ như ứng dụng, âm thanh, hình ảnh và văn bản. Chúng được chia thành nhiều phần và loại tệp hơn.

Tệp đã xóa:    hiển thị thông tin về tệp đã xóa mà sau đó có thể được khôi phục.

Tệp có kích thước MB:   Trong mục này, các tệp được phân loại dựa trên kích thước của chúng bắt đầu từ 50MB. Điều này cho phép người kiểm tra tìm kiếm các tệp lớn.

Các kết quả

Trong phần này, chúng ta nhận được thông tin về nội dung đã được trích xuất.

Nội dung được trích xuất: Tất cả nội dung đã được trích xuất, được tách biệt chi tiết hơn. Tại đây, chúng tôi đã tìm thấy siêu dữ liệu, Thùng rác và các bản tải xuống web. Hãy để chúng tôi xem thêm từng người trong số họ.

Siêu dữ liệu : Tại đây chúng ta có thể xem tất cả thông tin về các tệp như ngày nó được tạo, được sửa đổi, chủ sở hữu của tệp, v.v.

Thùng rác: Các tệp được đưa vào thùng rác được tìm thấy trong danh mục này.

Tải xuống từ web: Tại đây bạn có thể xem các tệp đã được tải xuống từ internet.

Số lần từ khóa:  Trong điều này, bất kỳ từ khóa cụ thể nào cũng có thể được tìm kiếm trong hình ảnh đĩa. Việc tìm kiếm có thể được thực hiện liên quan đến Đối sánh chính xác, Đối sánh chuỗi con, Email, Từ theo nghĩa đen, Cụm từ thông dụng, v.v.

Bạn có thể xem các địa chỉ email có sẵn.

Bạn có thể chọn xuất sang định dạng CSV.

Mốc thời gian

Bằng cách sử dụng tính năng này, bạn có thể nhận được thông tin về việc sử dụng hệ thống dưới dạng thống kê, chi tiết hoặc danh sách.

Khám phá

 Tùy chọn này cho phép tìm phương tiện bằng các bộ lọc khác nhau có trên ảnh đĩa.

Theo các tùy chọn đã chọn, bạn có thể nhận được kết quả mong muốn.

Hình ảnh / Video

 Tùy chọn này để tìm hình ảnh và video thông qua các tùy chọn khác nhau và nhiều danh mục

Thêm thẻ tệp

 Gắn thẻ có thể được sử dụng để tạo dấu trang, theo dõi, đánh dấu là bất kỳ mục nào đáng chú ý, v.v.

Bây giờ khi bạn nhìn thấy các tùy chọn thẻ, bạn sẽ thấy rằng các tệp đã được gắn thẻ theo các danh mục khác nhau.

Tạo báo cáo

Sau khi điều tra được thực hiện, giám định viên có thể tạo báo cáo ở các định dạng khác nhau tùy theo sở thích của mình.

Kiểm tra nguồn dữ liệu có báo cáo cần được tạo.

Ở đây chúng tôi chọn tạo báo cáo ở định dạng HTML.

Như vậy, Báo cáo pháp y số của bạn đã sẵn sàng!

CEH VIETNAM – Trung Tâm Đào Tạo Điều Tra Số & Hacker Thiện Chí

Trả lời

Please log in using one of these methods to post your comment:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s