Bài học dành cho lớp CHFI v10 . Một trong những vấn đề gấy nhức đầu cho điều tra viên nhất là dò tìm các thông tin trong những file bị mã hóa , bị chèn trong các hình ảnh … Vì vậy trong seri này BQT sẽ lấy các mẫu từ bài thi thực tế của ECC liên quan đến chủ đề digital forensic cho các bạn tìm hiểu và thực tập.

Bên cạnh đó là các bài học về phân tích các gói tin pcap bằng Wireshark.

Với evidence đầu tiên là gói tin DOS.pcapng , các bạn hãy tìm dấu hiệu cho thấy mục tiêu đang bị tấn công DOS và gởi đáp án qua group của lớp.

Tham khảo bài mở đầu cho seri digital forensic này qua video bên dưới (có kèm link download tool, tài liệu và chứng cứ của khóa học)

Trong bài trình bày BQT có nhắc đến tình huống tấn công DOS SYN Flooding với hping3 (sẽ hỗ trợ cho các bạn khi dò tìm dấu hiệu gói DOS.pcapng nhằm xác định các tín hiệu cho thấy mục tiêu bị DOS), hãy tham khảo tại đây :

Như tron bài trình bày ở trên, khi up gói pcapng DOS lên virustotal và cả hybrid analysys thì không thấy gì, các bạn thử dùng SNORT để đọc gói này xe sao, sau đây là một minh họa cách dùng SNORT cho gói Pcap Attack Trace có trong lab CHFI (họ lấy từ trang honeynet project)

Và sau cùng ta nên cài Wiresahrk để đọc cho rõ. Sau khi xem bằng Wireshark ta thấy ngay bị DOS SynFloding

iClass Link

Lưu ý : Các bạn nên thử phân tích tự động với SNORT và chụp hình minh họa. SNORT có thể cài dễ dàng trên Kali Linux hay Parot OS