Danh sách các bài học hay bài viết trong phần này tập trung vào những công cụ hay ứng dụng thường dùng trong thực tiễn và cả trong các bài thực hành của chương trình CHFI v10 EC Council . Danh sách này cũng bao gồm các bài viết hay hướng dẫn được yêu cầu làm thực hành ở phần 1 trong mục Case STudy hay Bài Tập Lớn.
Những công cụ pháp y số quan trọng nhất dành cho Chuyên gia An Toàn Thông Tin hay Nhà Phân Tích Bảo Mật Mạng : Đầu tiên, các bạn hãy ghi nhớ và thực hành càng nhiều càng tốt những công cụ có mặt trong danh sách sau. Nên bookmark hay in ra để có thể xem lại vài lần.
CHFI v10 – Bài Thực Hành Pháp Y Số Hacking Case NIST Với FTK Imager , Regstry Viewer hoặc Autopsy – Sử Dụng WIN FORENSIC hay SANS SIFT WORKSTATION . Cần download image máy ảo này và cài đặt các tool cần thiết, chụp ảnh hay record quá trình chạy lab và cài đặt
CHFI v10 – Setup Local Lab để thực hành Offline : Việc thực hành online sẽ hữu ích và môi trường khá hay, nhưng nếu cần ta có thể dựng local lab như hướng dẫn tại đây và tham khảo nhóm học tập.
SANS FOR 500 Arsenal Mounting Donal Blake (CHFI +) : Khóa học CHFI v10 version 2023 sẽ bổ sung thêm các bài học SANS FOR 500 (Windows Forensic) trên nền công cụ SANS SIFT WORKSTATION, những bài học rất hay và rất thực tiễn.
Easy US Recovery – Công Cụ Phục Hồi Dữ Liệu Tốt Nhất Hiện Nay : Đây là ứng dụng không thể thiếu trong điều tra số, lab Module 2 CHFI có trình bày về Easy US Recovery, một trong những ưu điểm là có thể phục hồi dữ liệu từ image mounting.
Autopsy – Volatility Data Source Processor (CHFI v10 plus) : Đọc ảnh bộ nhớ (được thu thập từ dumpit, hay bekasoft …) với Autopsy Plugin. Trong bài thi có 1 câu hỏi công cụ chụp memory và đáp án là Autopsy (thấy sai sai) nhưng 3 đáp án còn lại thì sai 100%. Nhưng có thể trong bài thi thực họ sẽ thay đổi đáp án và đưa ar ftk imager hay dump it, hay bekasoft thì hoàn toàn đúng.
CHFI v10 – Các Tình Huống Phân Tích Gói Tin Pcap Như tron bài trình bày ở đây, khi up gói pcapng DOS lên virustotal và cả hybrid analysys thì không thấy gì, các bạn thử dùng SNORT để đọc gói này xe sao, sau đây là một minh họa cách dùng SNORT cho gói Pcap Attack Trace có trong lab CHFI ( lấy từ trang honeynet project)
Các Cách & Công Cụ Thu Thập Bộ Nhớ Để Phân Tích : Trong bài này, CEH VIETNAM và các thành viên lớp CHFI sẽ tìm hiểu cách chiếm bộ nhớ RAM để phân tích, có nhiều cách khác nhau để thực hiện và hãy dành chút thời gian và tìm hiểu tất cả các trường hợp khác nhau để đưa ra biện pháp khác nhau.
CHFI Plus : BitLocker_Key_Recover (SANS FOR 500) Sau đây là phần minh họa BitLocker Key Recover thuộc Workbook SANS FOR 500 của một thành viên trong lớp CHFI .
Cài đặt Caine 11 trên máy ảo Vmware : Cùng với DEFT, SANS SIFT, KALI thì CAINE là một distro dforensic không phải dạng vừa. Các bạn hãy tải ISO mới nhất của CAINE v11 và cài trên máy ảo Vmware. Tham khảo thêm bài Hàng Khủng Cho Digital Forensic tại đây, tác giả Dr Yerby còn cho rằng xài CAINE còn sướng hơn SANS SITF (còn này là trên Linux chứ không phải còn SANS SIFT Worksation, vì cái này chạy trên Win nên không so sánh với bản trên Linux được).
HoneyDrive 3 vs Kali Linux : Tôi biết đến HoneyDrive khi phân tích tình huống banking trouble của honeynet, khi đó các tác giả có hướng dẫn dùng ” hoa ăn thịt người ” để bóc tách shell trong malware. Thấy kỹ thuật lạ và hay quá nên tìm mò ra đến HoneyDrive . Bài này so sánh sơ bộ HoneyDrive 3 và Kali 2021, nay các distro này có lẽ đã lên 2023 , và các bạn hãy research để tìm hiểu thêm. Qua đó biết thêm 1 distro cực kì thú vị và hữu ích là HoneyDrive.
Kiểm tra hay Phân tích bộ nhớ sử dụng Volatility Workbench : VOL là công cụ được rất nhiều chuyên gia phải nói là “hàng đầu” rất thích. BQT có biên sạn 1 bản tiếng Việt, hãy tìm tải trên nhóm Telegram CHFI v10, ở đây ta dùng VOL Workbench, một bản trên Windows có thể dùng nhanh cho hiều trường hợp bộ nhớ nhỏ hay vừa phải. Nếu kích thước bộ nhớ thu thập quá lơn nên dùng bản chính thức chạy trên Linux.
Hướng dẫn toàn diện về Công cụ Autopsy (Windows) : Đây là công cụ luôn có trong các khóa học CHFI hay chuyên về Digital Forensic với những bài tập như tìm con mèo bị bắt cóc (root-me) hay tìm kiếm hình ảnh của mẫu chứng cứ 8-jpeg-search và nhiều bài khác. Ngày nay, Auoppsy có thể một mình “cân tất”với những bài như data Leak Case và Hacking Case của NIST hay Donal Blake Case của SANS. Nói dễ hiểu, trước đây phải phối hợp nhiều tool để đọc registry, mount image, recover … thì nay autopsy nó một mình chiến hết. Đôi khi dùng Autopsy có thể bị tràn heap nhưng nhìn chung cứ máy mạnh thật mạnh vào là không có gì lo lắng, còn về sự mạnh mẽ thì tool chó cầm kính lúp này quá đỉnh !
Điều tra số : Pagefile.sys : CHFI Bài học bổ trợ cho lớp Digital Forensic. Trong bài này, chúng ta sẽ tìm hiểu cách thực hiện điều tra pháp y số trên Tệp Trang pagefile.sys. Có rất nhiều thông tin có thể được trích xuất thông qua kết xuất bộ nhớ. Tuy nhiên, còn nhiều hơn thế nữa: bạn có thể thực hiện điều tra pháp y bộ nhớ ngay cả khi không có kết xuất bộ nhớ bằng cách phân tích bộ nhớ ảo.
Combo Lab CEH-CHFI : CTF Collection Vol.1 : Đây là bài học dành cho cả 2 nhóm CEH và CHFI, do nó liên quan cả 2. BQT sẽ trình bày hướng dẫn và gợi ý rồi các bạn do-it-lab. Mục tiêu bài này là giới thiệu những công cụ và phương án khi dò tìm các hình ảnh hay string bị mã hóa …
CHFI PLUS : Bài Tập Phân Tích Browsers Under Attack : Tôi nhớ là trong các phiên bản CHFI cũ hơn có mẫu này trong bài tập, còn CHFI v9 thì không thấy và trên CHFI v10 cũng bỏ luôn có lẽ do trình duyệt trong tình huống này cũ quá, nhưng ý nghĩa thì vẫn như nhau nên BQT đưa vào CHFI Plus. Tuy nhiên, theo như hint trên thì các bạn nên tìm kiếm tài liệu của CHFI v8 về tham khảo thêm, cho dù nó cũ hơn nhưng có nhiều cái hay mà trong CHFI v9 & 10 không có.
CHFI – Forensic Investigation : Điều Tra Số Các Tệp Hỏng Metadata Với ExifTool : Trong bài viết này, chúng ta sẽ tìm hiểu cách chúng ta có thể kiểm tra một tệp bị hỏng với sự trợ giúp của Exiftool để đi trước một bước trong một cuộc điều tra pháp y số.
học an toàn & bảo mật thông tin 