CHFI v10 – Các Tình Huống Của Bài Thi Thực Hành

Bài học dành cho lớp CHFI v10

Một trong những vấn đề gấy nhức đầu cho điều tra viên nhất là dò tìm các thông tin trong những file bị mã hóa , bị chèn trong các hình ảnh … Vì vậy trong seri này BQT sẽ lấy các mẫu từ bài thi thực tế của ECC liên quan đến chủ đề digital forensic cho các bạn tìm hiểu và thực tập.

Bên cạnh đó là các bài học về phân tích các gói tin pcap bằng Wireshark. Để vững vàng với wireshark các bạn hãy log in practice lab wireshark và làm tất cả các ví dụ, bài học trong lab đưa ra (lấy tài khoản trên group). Tham khảo nội dung của các lab wireshark tại đây :

https://store.practice-labs.com/product/906f686d-3711-4fa7-899b-ac92dcae1e06

Với evidence đầu tiên là gói tin DOS.pcapng , các bạn hãy tìm dấu hiệu cho thấy mục tiêu đang bị tấn công DOS và gởi đáp án qua group của lớp.

Tham khảo bài mở đầu cho seri digital forensic này qua video bên dưới (có kèm link download tool, tài liệu và chứng cứ của khóa học)

Trong bài trình bày BQT có nhắc đến tình huống tấn công DOS SYN Flooding với hping3 (sẽ hỗ trợ cho các bạn khi dò tìm dấu hiệu gói DOS.pcapng nhằm xác định các tín hiệu cho thấy mục tiêu bị DOS), hãy tham khảo tại đây :

Như tron bài trình bày ở trên, khi up gói pcapng DOS lên virustotal và cả hybrid analysys thì không thấy gì, các bạn thử dùng SNORT để đọc gói này xe sao, sau đây là một minh họa cách dùng SNORT cho gói Pcap Attack Trace có trong lab CHFI (họ lấy từ trang honeynet project)

Và sau cùng ta nên cài Wiresahrk để đọc cho rõ. Sau khi xem bằng Wireshark ta thấy ngay bị DOS SynFloding

Sau đây là bài trình bày của phần 2 (các bạn cần log in bằng tài khoản CHFI v10 để xem trên iClass CHFI , kênh HackerCool DFORENSIC).

iClass Link

Lưu ý : Các bạn nên thử phân tích tự động với SNORT và chụp hình minh họa. SNORT có thể cài dễ dàng trên Kali Linux hay Parot OS

Trả lời

Bạn cần phải đăng nhập để gửi bình luận:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s