Digital Forensic là một chủ đề rất thú vị, rất hay thuộc lĩnh vực “điều tra số”. Theo learning path thì Digital Forensic sẽ sếp sau hay trên các môn như Pentest , eHacking vì các điều tra viên cần có kiến thức tốt về lĩnh vực pentest / hacking mới có khả năng điều tra tốt. (Phần 2)

Nhưng mã môn học của Digital Forensic gồm có CHFI v10 (hiện nay) của EC Council, SANS FOR (seri FOR gồm nhiều môn khác nhau của SANS với chứng chỉ hay được các chuyên gia Việt Nam theo học và thi là GCIH. Ngoài ra, COmpTIA có CySA+ cũng là một track rất tuyệt vời cho cả chủ đề điều tar số và đối phó sự cố an toàn thông tin khẩn câp, có thể nói là rộng hơn CHFI (vì EC Council có track riêng cho món đối phó khẩn cấp này).

Tài CEH VIETNAM hiện nay, chúng tôi có các chương trình đào tạo theo nội dung chính hãng của EC Council là CHFI v10 và CySA+, dành cho các bạn theo cả 2 hướng EC Council và CompTIA. Và CHFI v10 vẫn được ưa thích hơn bởi các công ty, tổ chức, doanh nghiệp và các chuyên gia hàng đầu. Nhưng ngày càng nhiều người theo học bộ 4 đẳng của Comptia về Bảo Mật + Hacking / Pentets là Security +, Pentest +, CySA+ và CASP + do cơ chế stackable tuyệt vời của họ (khi bạn gom 4 cert này sẽ “kín tường”)

Trong bài này chúng tôi tổng hợp các nội dung đào tạo về digital forensic của CEH VIETNAM (thuộc Security365) và các bài viết hay được biên soạn hay tổng hợp trong chủ đề điều tra số.

Trước tiên, để có thể dễ dàng hay nhanh chóng hấp thu các kiến thức và rèn luyện kỹ năng ta có thể theo học các chương trình đào tạo trực tuyến CHFI v10 hày CySA+ (CS0-002) nếu có điều kiện. Và rèn luyện các lab, truy tìm các chứng cứ theo những bài tập trên TryHackMe, NIST, HoneyNet , Root-Me …

Các chủ đề nhập môn của CHFI v10 và CySA+ (phần này chung cho cả 2 lớp vì các kiến thức cũng như khái niệm tương đương, các bạn cần login với tài khoản youraccount_sdt@hackermuxam.edu.vn để có thể xem các bài giảng và trình bày, nội dung dựa trên tài liệu tiếng Việt được biên soạn bởi instructor Đông Dương , được chia sẽ cho tất cả các học viên, bạn nào chưa có hãy yêu cầu trên nhóm Tele).

CHFI LEARNING PATH

Sau đây là Learning Path dành cho các bạn mới tham gia lớp CHFI (xem thêm một số video opening tại đây) :

00a – Giới thiệu về Nhóm Tele CHFI , Stream … : Trước đây. nhóm hỗ trợ trên Zalo nhưng vì lý do file lưu trữ không được thuận tiện, nên BQT đã chuyển qua nhóm Tele từ cuối năm 2022. Cách join nhóm hay tìm tài liệu các bạn tham khảo nhưng bài trình bày sau đây :

CHFI Group & Stream , iClass, Stream, Thao Trường Mạng (iLab CHFI) , Nhóm Hỗ Trợ Ôn Thi CHFI v10 (312-49 v10)

00b – Các bài mở đầu (Opening) : Dành cho các bạn mới nhập môn CHFI

CEH VIETNAM khởi đầu CHFI với version 9, các bạn tham khảo nếu cần. Trước đây, chúng tôi sử dụng stream và drive trên domain hackermuxam.edu.vn nhưng hiện nay drive của domain này không còn sử dụng được, còn stream thì vẫn ổn. Để xem giới thiệu về các stream liên uan đến chủ đề CHFI trên domain hackermuxam.edu.vn các bạn tham khảo bài giới thiệu. Đến version 10 hay CHFI v10 kể từ năm 2023 BQT chuyển qua domain antoanthongtin.edu.vn và những học viên mới sẽ được cấp 2 account Office365 trên hackermuxam và antoanthongtin vì lý do có khá nhiều bài giảng + hướng dẫn thực hành vẫn trên domain cũ, việc di chuyển mất khá nhiều thời gian nên sử dụng cùng lúc 2 stream (iClass) sẽ thuận tiện hơn. Sau đây là các bài Openning cho những lớp CHFI 2023 : Phần 1 CHFI Opening – Phần 2 CHFI Opening – Phần 3 Tổng Quát Về Các Tài Nguyên Của Khóa Học

01.0 – Lý Thuyết Tổng Quan Về Digital Forensic

01.1 – Nhóm Học Tập & Cách Tìm Tài Liệu Chia Sẽ (các tài liệu chính hãng official guide các bạn cần đọc qua tài khoản aspen của mình)

01.2 – Tham khảo một số bài học (Demo) các buổi Live (có record và up qua Stream)

02 – Cài Đặt Computer Forensic Lab

03 – Xem 100 % iLearn trên iClass CHFI v10 (trong vòng 2 – 4 tuần) : Đặc biệt, với các bạn thi qua RPS (mã voucher EDR) cần xem 100% nếu không thi xong sẽ bị treo bằng cho dù đạt điểm đậu, đến khi các bạn xem 100% video bài giảng chính hãng trên iLearn mới được cấp bằng từ Ec Council. Với môn CEH v12 bản eLite các proctor của EC Council có thể kiểm tra thêm cả phần thực hành.

04 – Tham khảo đầy đủ khóa học 5 ngày CHFI – A86 : Đây là khóa học trong vòng 5 ngày dành cho A86 , do thời gian trong vòng 1 tuần nên số lượng bài tập được tuyển chọn với những bài lý thuyết + thực hành mang tính thực tiễn, nhưng vẫn đầy đủ nội dung để có thể thi đạt chứng chỉ quốc tế CHFI.

05 – Điều Tra Số Với Kali Linux : Đây là chuyên đề rất hay, bổ trợ cho các học viên CHFI được xây dựng khá dễ hiểu và áp dụng. Các bạn nền dành thời gian tham khảo theo Learn Path đề ra, làm các bài tập kèm theo sẽ mau tiến bộ, không nến đốt cháy giai đoạn hay bỏ bước sẽ có nhiều khiếm khuyết. V1 dụ, trong seri này các bạn sẽ nắm rất nhiều công cụ và phương pháp điều tra mà CHFI v10 Lab không có đề cập đến như foremost, bulk extractor, dff, xplico,guymaner … Với mỗi công cụ đều có bài tập kèm theo, hãy làm đầy đủ và gởi đáp án bằng hình ảnh về BQT qua group học tập trong khu vực Bài Làm .

Phần 5 các bạn cần chuẩn bị 1 USB nhỏ nhỏ vài GB để test thao tác imaging trên Kali Linux, nên dùng Kali 2023 mới nhất. Hãy tải sách tham khảo cùng các mẫu chứng cứ (có trên nhóm học tập).

Trong học phần này các bạn cần tham khảo đầy đủ và hoàn thành các bài lab theo official gồm : Lesson 04 – Thực Hành CHFI ECC Lab Defeat Antiforensic (Bẻ khóa tài liêu Office, PDF, Giải Nén) – 59 phút , và bài tập nâng cao dùng HashCat để crack file nén (theo hướng dẫn từ HackerSploit được trình bày lài trong một bài học mới của CHFI) , Lesson 06 – Network Forensic / WinUFO / PCap Attack Trace (1 giờ 12 phút) và Lesson 12 – Bài Tập Thực Hành Root Me – Digital Forensic (32 phút). Kết quả bài làm hãy gởi lên nhóm kín CHFI Telegram.

06 – Đigital Forensic Lab Trên TryHackMe , Null Byte và HAForensic (Hacking Article): Chuyên đề này các bạn có thể tham khảo thêm, hiện BQT sẽ update “lai rai” theo tiến trình cho nên 06 sẽ được update đều đặn. Có rất nhiều lab tuyệt với về điều tra số trên TryHackMe, có thể một số bài thiên về eHacking nhưng vẫn có những điểm mà Digital Forenic cần quan tâm nên BQT sẽ cung cấp kèm theo. Một số bài điển hình như CHFI _PLUS TryHackMe-NAX , CHFI_PLUS TryHackMe OVERPASS2 , xem thêm tại đây

TryHackMe CHFI-THM-CTF-Collection Vol.1 : Hãy tạo tài khoản trên TryHackMe (có thể đăng kí premium nếu cần thiết, dùng email edu sẽ được giảm giá), sau đó là các bài lab và gởi link tài khoản của các bạn qua Group Tele để BQT có thể kiểm tra tiến độ.

Tổng hợp các Bài Viết Hay & Bài Học Thực Tiễn về Digital Forensic

Linux Data Acquisition – Bài Học Trên Security365 Practice Lab (Online) chủ đề CHFI Module 2 (hiện nay, các bạn có thể dựng bản clone của Practice Lab là Virtual Lab để thực hành local qua máy ảo Vmware, thay thế Kali Linux 2019 với Kali 2023) . Data acquisition là bước mà ta hay gọi là imaging, thu thập chứng cứ số trên đĩa cứng, usb … sau đó phân tích. Thao tác này có thể xem là đầu tiên nhưng các bạn cũng cần nhớ trước khi tiếp cận hiện trường (case) cần hân biệt là tình huống dân sự hay hình sự. Điều tra số trong tổ chức hay bên ngoài để biết được cần phải có Lệnh Khám Xét hay không ? Sau đó mới tiếp cận hiện trường hay máy tính và imaging. Hãy xem tài liệu Real Life Forensic và bài trình bày kèm theo trên Stream để hiểu một quy trình điều tra tại 1 trường đại học khi sinh viên nó lưu trữ hình ảnh bậy bạ 🙂 :

eforensic-real-life-computer-forensic-p1-Intro

eforensic-real-life-computer-forensic-p2_Pre-Search

eforensic-real-life-computer-forensic-p3_Thuc_Hien

eforensic-real-life-computer-forensic-p4_Phan_Tich

Dumping Router Firmware – TryHackMe : Xin chào các bạn, đây là bản dịch và có biên tập đôi chút từ trang nguồn nhằm giúp cho các bạn đang học CHFI, CEH có thêm kiến thức về phân tích firmware (CHFI) và qua đó thể tiến hành hack hay pentest (CEH). Cũng lưu ý là những kiến thức này rất cần cho bài học và bài thi CPENT, có thể giúp các bạn kiếm được vài trăm điểm (nhưng trước đó các bạn phải hack tốt mới có sụn mà “ăn” , ý là phân tích kiếm điểm) , xem thêm

Phân tích phần sụn – IOT : Internet of Things còn được gọi là IoT và ngày nay rất nhiều thiết bị IoT được đưa vào thị trường để thu thập và chia sẻ dữ liệu trên đám mây. Bất kỳ thiết bị hiện đại nào mà chúng ta sử dụng sẽ tương tác với firmware, là một đoạn mã trên thiết bị cho phép và cho phép thiết bị thực hiện các tác vụ khác nhau cần thiết để thiết bị hoạt động. Nói một cách đơn giản firmware là phần mềm được lập trình trên thiết bị phần cứng. Trong hướng dẫn này, chúng ta sẽ tập trung vào phân tích firmware ở các cấp độ khác nhau, chẳng hạn như trích xuất hay phân tích nhị phân và các thành phần khác như hệ thống tệp, cơ chế nén, mã hóa, bộ tải khởi động, v.v. Xem thêm về Phân tích firmware IOT

Phân tích IoT Firmware : Một bài hướng dẫn phân tích khá hay từ infosec, bài tập cần thiết cho những ai đang theo học chương trình CHFI và CPENT. Các công cụ triển khai trong bài này là binwalk và firmwalker cùng với onlinedisassembler.com , để thực hành theo cần có Kali Linux và tải các mẫu firmware về để lab. Xem thêm

Digital Forensics Investigation Sử Dụng OS Forensics – CHFI vX :

OSForensics là tên của công cụ trung với thao tác pháp ý số dành cho hệ điều hành gây ra nhiều liên tưởng. Trong Module 6 của chương trình CHFI các bạn đã tìm hiểu và sử dụng OSForensic cho các thao tác dò tìm thông tin và chứng cứ số căn bản, loạt bài sau sẽ giúp ta tìm hiểu sâu hơn trên mẫu chứng cứ thực tế hơn.

Bài giảng Digital Forensics Investigation Với OS Forensics 

Bài hướng dẫn thực hành Text Guide có mẫu chứng cứ kèm theo tại đây , hãy download tool và cài đặt, phân tích chi tiết (OS Forensic tải bản null tại GetinToPC) : Giới thiệu Case hay tình huống cần phân tích M57-Jean

Kịch bản M57-Jean là một kịch bản hình ảnh đĩa đơn liên quan đến việc lọc các tài liệu công ty từ máy tính xách tay của một giám đốc điều hành cấp cao. Kịch bản liên quan đến một công ty nhỏ mới thành lập, M57.Biz. Một vài tuần sau khi hoạt động, một bảng tính bí mật có tên và mức lương của các nhân viên chủ chốt của công ty đã được đăng lên phần “bình luận” của một trong những đối thủ cạnh tranh của công ty. Bảng tính chỉ tồn tại trên một trong những quản lý của M57 — là Jean.

Hướng Dẫn Cài Đặt Secure Onion (S.O) : Bộ công cụ và ứng dụng trên S.O bao gồm nhiều hàng rất tuyệt , đặc biệt cho lĩnh vực đối phó sự cố và điều tra số với những công cụ như Snort, Suricata, Elastic … Do toàn hàng nặng đô nên cài đặt và chạy Secure Onion đòi hỏi khá nhiều phần cứng, RAM nếu không rất ì ạch. Các bạn có thể tham khảo kênh của chuyên gia IT SecurityLabs trên Youtube mà tôi thường giới thiệu, anh ấy hay trình bày hacking kèm Secure Onion để detect rất hay. Hiện nay, việc cài đặt có thể có đôi chút khác biệt nhưng về cơ bản sẽ như các bài hướng dẫn sau đây trên stream bài học 2023 : SO_1/4 _Download_Tool_Lab_INSTALL , SO_2/4_Install_Secure_Onion_tren_VirtualBox, SO_3/4_Setup_Network_Security_Service, SO_4/4_soup_sostat_restart_network_security_service

Giới Thiệu SANS 610 phần 1 & phần 2 : Một chương trình đào tạo đỉnh cao của SANS về truy tìm malware

BÀI TẬP LỚN

Case Study – Bài Tập Lớn : Các bạn muốn “xuống núi” hay nhận thêm chứng chỉ của Security365 (thuộc seri Chứng chỉ Hacker Mũ Xám) cần hoàn thành đầy đủ các Bài Tập sau đây. Lưu ý, các bạn có thể đăng kí thi chứng chỉ quốc tế CHFI v10 trước nếu thấy đã đủ trình, và khi có cert quốc tế rồi vẫn phải làm full lab Case Study mới có thể nhận GCFI của Security365. Vậy những bài tập này là gì, hãy tham khảo khung sường và một số hướng dẫn tổng quát, các bạn hãy làm và record các bước tổng quan hay chi tiết của bài làm.

Case Study 1 : NIST – DATA LEAK CASE

Giới thiệu tình huống : ‘Iaman Informant’ đang làm quản lý bộ phận phát triển công nghệ tại một công ty quốc tế nổi tiếng OOO chuyên phát triển các công nghệ và tiện ích hiện đại. Xem thêm

Giới thiêu Data Leak Case – DLC (tham khảo một số bài hướng dẫn sau đó thực hành full và giải đáp các câu hỏi của đề bài, gởi đáp án pdf về email dongduongict@gmail.com).

Gợi ý : Hiện nay các bạn có thể dùng Autopsy để làm 2 bài Case Study của NIST rất nhanh và thuận tiện, nhưng phương pháp cũ từ BQT có nhiều điểm hay v2 thú vị, cũng nên tìm hiểu. Hãy xem Case Study 2 để biết thêm về Autopsy

Giải đáp 5 câu đầu , phần đầu tiên các bạn hãy suy nghĩ sâu sắc về vụ thời gian, dễ nhầm và cũng dễ quên, mà thời gian sai có khi toi cả 1 quá trình. Nói vậy chứ tôi cũng quên mất cách xác định sao cho nhanh chóng dễ dàng, các bạn cứ phải research , ai có cách nào hay và dễ hiểu hãy chia sẽ lên nhóm. Nhớ nhé, vấn đề thời gian này rất quan trọng.

Các bài hướng dẫn này có đăng tại Kênh Bài Học Mới 2023 , hãy truy cập với tài khoản Hacker Mũ Xám tại https://web.microsoftstream.com/channel/96b1646f-6b2c-4486-a56f-fe72037e1286

DLC_Question_1_HashVerify

DLC_Question_2

DLC_Question_3_xac_dinh_os_va_ngay_cai_dat

DLC_Question_4-5

Q21 : Export OST and Read with Kernel OS Viewer (áp dụng kiến thức SANS FOR để làm câu này)

Lưu ý : Các bạn hãy tham khảo các bài sưu tầm , hướng dẫn dụng SANS SIFT để điều tra số tình huống DLC này qua các bài :

(1) cfreds_2015_data_leakage_pc_SANS SIFT – Copying E01 Forensic Image Files to SIFT Workstation (2) cfreds_2015_data_leakage_pc_SANS SIFT – Mount E01 Forensic Image Using imageMounter.py script (3) cfreds_2015_data_leakage_pc_SANS SIFT – Search for and Extract OST from Mounted E01 Image

Case Study 2 (gồm nhiều bài tập mở rộng)

2.1 : Autopsy (Phân tích 8 jpeg Serch, tìm đủ 10 hình) – Xem các bài trên Stream Bài Học Mới 2023

2.2 _Image Forensic vơi Autopsy và Foremost : Sử dụng Foremost để trích xuất dữ liệu

2.3 – Dò tìm malware trên máy ảo THEROCK với INETSIM : Chủ đề INETSIM được trình bày trong nhiều chương trình khác nhau, vì vậy bài học hay bài tập có thể trùng lặp, tuy nhiên vì sự đặc biệt hữu ích của INETSIM nên BQT đưa chúng vào mục Bài Tập Lớn, các bạn hãy tham khảo hướng dẫn và làm lab. Có thể xem thêm các demo xác định dấu hiệu bất thường của ccleaner trong các video kèm theo trong khu vực Stream Bài Học 2023.

2.4 – Phân tích các dấu hiệu khả nghi với WireShark : Hãy tải chứng cứ pcap về và dùng Wireshark để phân tích (trên Kali hay Windows tùy ý)

Phần 2.4.1

Phần 2.4.2 : https://www.youtube.com/watch?v=F7t9I4ESUbU

Case Study 3 : Hacking Case (vụ này cũng của NIST , dựa trên chứng cứ thu thập là ảnh imaging từ máy tính laptop của nghi phạm hãy chứng mình máy này chứa các chứng cứ có thể đem ra tòa. Các bài trình bày cơ bản có tại Bài Học Mới 2023 (lưu ý, có thể dùng Autopsy làm theo hướng dẫn của Hacker Cool), các bạn cần làm full và gởi đáp án là file PDF kèm câu trả lời. Cần làm thực sự kèm hình ảnh minh họa chứ không thuổng trên mạng về rồi gởi là không được đâu, các bạn cần lưu ý BQT là ai 🙂 , mấy chiêu tà đạo không thể qua mặt được nhé. Các bài hướng dẫn tổng quát có trong khu vực bài học.

hacking-case_q1_verify_Image , hacking-case_q2_(os_windowsxp)q3(install_date)q5(registered owner) , hacking-case-q8_q9_q10_q11_tim_cac_account_va_thong_tin_dang_nhap . hacking-case_q16_app_install

Để làm bài này mọi người hãy dùng phương pháp mới 2023 trên Autopsy như hướng dẫn của HackerCool sẽ nhanh và dễ hơn. Hãy làm full , trả lời đầy đủ các câu hỏi. Sau đây là 2 bài hướng dẫn cơ sở : chfiv10_hackercool_forensic_01_hackingcase_with_autopsy

chfiv10_hackercool_forensic_02_hackingcase_with_autopsy

Case Study 4 : Phân tích bộ nhớ qua tình huống Banking Trouble – Bài này có trên CHFI v9, qua CHFI v10 không còn nhưng nó quá thú vị, vì vậy các bạn nên làm. Đây là chứng cứ từ các thử thách của HoneyNet với tình huống nhân viên ngân hàng bị dụ mở fiel pdf độc hại chứa malware và sau đó đã nhiễm và điều khiển máy này từ xa, chuyển tiền trái phép … Các bạn hãy phân tích dò tìm fiel pdf, trích xuất maware, tìm kênh C&C … Đây là bài học và hướng dẫn khá dài, gần 2 tiếng đồng hồ, hãy xem tại đây và làm lab.

Hãy tham khảo thêm các công cụ chuyên dùng cho thu thập bộ nhớ trên Windows & Linux tại đây . Chú ý tên các công cụ để làm bài thi, tốt nhất hãy thực hành qua 1 lần sẽ nhớ mãi. Và các câu hỏi về tool là những câu hỏi dễ nhất nếu ta đã thực hành.