CEH v13 AI – CEH VIETNAM

,

Thực hành Mô-đun 02: Điều tra Pháp y Máy tính

Bản đầy đủ kèm hình ảnh có trong iClass CHFI v10 Quy trình Điều tra Sự gia tăng nhanh chóng của tội phạm mạng đã dẫn đến sự phát triển của nhiều luật và tiêu chuẩn khác nhau liên quan đến tội phạm mạng. Các nhà điều tra pháp y máy tính phải tuân theo…

IT-PRO

Bản đầy đủ kèm hình ảnh có trong iClass CHFI v10

Quy trình Điều tra

Sự gia tăng nhanh chóng của tội phạm mạng đã dẫn đến sự phát triển của nhiều luật và tiêu chuẩn khác nhau liên quan đến tội phạm mạng. Các nhà điều tra pháp y máy tính phải tuân theo quy trình điều tra pháp y tiêu chuẩn, bao gồm các luật và quy định địa phương. Quy trình này mang tính phức tạp và khắt khe, vì chứng cứ kỹ thuật số dễ bị tổn hại. Quy trình chặt chẽ và kỹ lưỡng là rất quan trọng để đảm bảo tính toàn vẹn của chứng cứ kỹ thuật số, cũng như tính hiệu lực của nó trước tòa. Nếu quy trình điều tra không đảm bảo tính đại diện và tính xác thực của chứng cứ, thì những phát hiện của cuộc điều tra có thể bị xem là không hợp lệ.

Do đó, đối với điều tra pháp y máy tính, việc có kiến thức về quy trình điều tra kỹ thuật số là điều quan trọng, chẳng hạn như thu thập chứng cứ kỹ thuật số, xây dựng một phòng thí nghiệm pháp y máy tính, khôi phục dữ liệu đã xóa, v.v.

Mục tiêu Thí nghiệm

Mục tiêu của thí nghiệm này là cung cấp kiến thức chuyên môn về các công cụ được sử dụng trong điều tra pháp y. Điều này bao gồm kiến thức chuyên môn về các nhiệm vụ sau:

  • Khôi phục dữ liệu đã xóa khỏi hệ thống
  • Tạo các giá trị băm cho các tệp đã chọn
  • Tính toán giá trị băm MD5 của tệp
  • Phân tích một tệp và tạo báo cáo điều tra
  • Tạo một bản sao hình ảnh của phân vùng ổ cứng

Tổng quan về Quy trình Điều tra Pháp y Máy tính

Một chuyên gia pháp y máy tính nên có kiến thức sâu rộng về các công cụ khôi phục dữ liệu. Bằng cách sử dụng các công cụ như EaseUS Data Recovery Wizard, MDFS Calculator và R-Drive Image, có thể khôi phục các tệp đã bị xóa khỏi ổ cứng, thiết bị, thẻ nhớ, v.v. Ngoài ra, cũng có thể tạo bản sao của ổ cứng.

Một phòng thí nghiệm pháp y máy tính là một môi trường được thiết kế đặc biệt để tiến hành phân tích pháp y máy tính. Nó có thể điều tra bất kỳ chứng cứ kỹ thuật số nào được thu thập tại hiện trường vụ án, bao gồm phương tiện truyền thông máy tính, âm thanh, hình ảnh, thư điện tử và chứng cứ tội phạm mạng.

Nhiều tổ chức xây dựng phòng thí nghiệm pháp y để ngăn chặn truy cập trái phép vào thông tin nhạy cảm. Thông tin pháp y có được từ phòng thí nghiệm có thể giúp xác định tội lỗi hoặc sự vô tội của một người hoặc một tổ chức.

Nhiệm vụ Thí nghiệm

Các nhiệm vụ được đề xuất để hỗ trợ quá trình điều tra pháp y máy tính:

  • Khôi phục dữ liệu từ ổ cứng Windows
  • Thực hiện Tính toán Băm hoặc HMAC
  • So sánh Giá trị Băm của Tệp để Kiểm tra Tính toàn vẹn của chúng
  • Xem Tệp của Nhiều Định dạng
  • Xử lý Dữ liệu Chứng cứ
  • Tạo Tệp Hình ảnh của Phân vùng Ổ cứng

Thí nghiệm 1: Khôi phục Dữ liệu từ Ổ cứng Windows

Kịch bản Thí nghiệm

Một giám đốc tài chính tại một công ty có uy tín đã chỉnh sửa dữ liệu tài chính của công ty và chuyển tiền từ quỹ của công ty vào tài khoản cá nhân. Để che giấu chứng cứ, anh ta đã xóa vĩnh viễn các tệp gốc khỏi máy tính. Công ty sau đó phát hiện ra gian lận và muốn khôi phục các tệp đã bị xóa. Nhà điều tra nên sử dụng công cụ nào để khôi phục các tệp này?

Để trở thành một nhà điều tra pháp y máy tính chuyên nghiệp, bạn cần phải có kiến thức chuyên sâu về các công cụ được sử dụng để khôi phục dữ liệu đã xóa khỏi máy tính.

Mục tiêu Thí nghiệm

Ổ cứng là thiết bị lưu trữ dữ liệu không bay hơi được sử dụng để lưu trữ hoặc cài đặt chương trình trên máy tính.

Mục tiêu của thí nghiệm này là giúp học viên hiểu và thực hiện khôi phục tệp dữ liệu bằng cách sử dụng công cụ Khôi phục Dữ liệu EaseUS.

Tổng quan về Thí nghiệm

Thí nghiệm này sẽ làm quen với bạn với công cụ EaseUS Data Recovery Wizard và giúp bạn hiểu cách khôi phục các tệp đã bị xóa khỏi hệ thống Windows.

Nhiệm vụ Thí nghiệm

  1. Chọn máy ảo CHFI v10 WINDOWS 10 và nhấn Ctrl+Alt+Del.
  2. Theo mặc định, hồ sơ người dùng Admin được chọn, nhập qwerty@123 vào trường Mật khẩu và nhấn Enter để đăng nhập.
    • Lưu ý: Nếu PC và Thiết bị của tôi xuất hiện, hãy nhấp vào Có để cho phép PC khác và Thiết bị của tôi trên mạng này khám phá PC của bạn.
  3. Trước khi bắt đầu thí nghiệm này, hãy điều hướng đến thư mục Tài liệu và tạo một thư mục có tên Tệp Khôi phục.
  4. Điều hướng đến Z:\CHFI\10 Module 02 Computer Forensic Investigation Process\Computer Forensics Software\EaseUS Data Recovery Wizard 13.5_Free. Nhấp đúp chuột vào setup.exe. Một cửa sổ Lựa chọn Ngôn ngữ Cài đặt EaseUS sẽ xuất hiện. Đảm bảo chọn ngôn ngữ tiếng Anh và nhấp vào OK.
    • Lưu ý: Nếu xuất hiện cửa sổ bật lên Bảo mật của Tệp Mở, hãy nhấp vào Chạy.
    • Lưu ý: Nếu xuất hiện cửa sổ bật lên Kiểm soát Tài khoản Người dùng, hãy nhấp vào Có.
  5. Cài đặt: EaseUS Data Recovery Wizard sẽ xuất hiện. Thực hiện theo các bước cài đặt hướng dẫn bằng trình hướng dẫn để cài đặt ứng dụng.
  6. Trong bước cuối cùng của quá trình cài đặt, bỏ chọn Tham gia Chương trình Cải thiện Trải nghiệm Khách hàng và nhấp vào Hoàn tất.
    • Lưu ý: Nếu xuất hiện cửa sổ bật lên cho biết Ứng dụng này có thể mở, hãy nhấp vào Đóng.
    • Lưu ý: Một trang web Cài đặt EaseUS Thành công sẽ xuất hiện trong trình duyệt web. Đóng trình duyệt.
    • Lưu ý: Nếu xuất hiện cửa sổ bật lên Cập nhật CHFI, hãy nhấp vào Hủy để hủy cập nhật.
  7. EaseUS Data Recovery Wizard sẽ xuất hiện ở góc dưới bên phải của màn hình. Đóng cửa sổ bật lên EaseUS Data Recovery Wizard.
  8. EaseUS Data Recovery Wizard hiển thị các Ổ cứng bên dưới phần Thiết bị và Ổ. Di chuột qua vị trí bạn muốn quét, trong thí nghiệm này, chúng ta sẽ quét Ổ đĩa (D:). Vì vậy, di chuột qua nút Quét bên dưới Tên ổ (D:). Sau đó, nhấp vào nút Quét.
  9. Ứng dụng này thực hiện hai loại quét: Quét Nhanh và Quét Sâu. Sau khi hoàn thành quá trình quét, EaseUS Data Recovery Wizard sẽ hiển thị kết quả theo ba thư mục: Tệp Đã Xóa, Tệp Mất và Tệp Hiện có.
  10. Các tệp đã xóa nằm trong thư mục Tệp Đã Xóa. Bạn có thể chọn xem trước các tệp này hoặc khôi phục chúng tùy thuộc vào yêu cầu của bạn. Trong thí nghiệm này, chúng ta sẽ xem trước một tệp văn bản có tên Lời khuyên.txt nằm trong thư mục Đã Xóa. Vì vậy, mở rộng thư mục Tệp Văn bản ở bảng bên phải và nhấp đúp chuột vào Lời khuyên.txt.
  11. Bản xem trước của tệp văn bản đã chọn sẽ xuất hiện như hình bên dưới.
  12. Nếu bạn muốn khôi phục tệp văn bản này, hãy nhấp vào Khôi phục.
  13. Một cửa sổ Duyệt Thư mục sẽ xuất hiện, nơi bạn cần chỉ định vị trí để lưu tệp. Chúng ta sẽ lưu tệp vào thư mục đã tạo trước đó. Do đó, trong phần PC này, mở rộng thư mục Tài liệu, chọn thư mục Tệp Khôi phục và nhấp vào OK.
  14. Sau khi hoàn thành quá trình khôi phục, một cửa sổ EaseUS Khôi phục Hoàn thành sẽ xuất hiện và ứng dụng sẽ tự động điều hướng đến vị trí nơi các tệp đã khôi phục được lưu.
  15. Đóng cửa sổ EaseUS Khôi phục Hoàn thành.
  16. EaseUS tạo một thư mục con có tên Xem trước bên trong một thư mục con tự động tạo khác có tên [DD HH MM], trong đó DD biểu thị ngày, HH biểu thị giờ và MM biểu thị phút.
  17. Bạn cũng có thể xem thủ công tệp đã khôi phục này bằng cách điều hướng đến vị trí Tài liệu[DD HH MM]\Xem trước.
  18. Để khôi phục nhiều tệp, hãy chọn các tệp bạn muốn khôi phục, sau đó nhấp vào Khôi phục. Trong trường hợp này, chúng ta chọn _2.txt, _3.txt, _4.txt, _5.txt và Information.txt. Do đó, hãy chọn các tệp này và nhấp vào Khôi phục.
  19. Nhấp vào Khôi phục. Cửa sổ Duyệt Thư mục sẽ xuất hiện, nơi bạn cần chọn vị trí để lưu các tệp đã khôi phục. Bạn có thể chọn thư mục được tạo trước đó hoặc bất kỳ vị trí nào khác. Trong trường hợp này, chúng ta sẽ lưu các tệp vào cùng thư mục Tệp Khôi phục. Vì vậy, chọn Tệp Khôi phục và nhấp vào OK. Các tệp được khôi phục sau đó sẽ được lưu vào thư mục Tệp Khôi phục này.
  20. Sau khi hoàn thành quá trình khôi phục, một cửa sổ EaseUS Khôi phục Hoàn thành sẽ xuất hiện, giống như đã thấy trước đó, và ứng dụng sẽ tự động điều hướng đến vị trí nơi các tệp đã khôi phục được lưu.
  21. Đóng cửa sổ EaseUS Khôi phục Hoàn thành.
  22. EaseUS tạo một loạt thư mục con bên trong thư mục Tệp Khôi phục theo thứ tự này: [DD HH MM]\Xem trước, trong đó DD biểu thị ngày, HH biểu thị giờ và MM biểu thị phút.
  23. Để xem các tệp đã khôi phục, mở Tệp Đã Xóa -> Tệp Văn bản. Các tệp đã khôi phục sẽ xuất hiện trong cùng một vị trí, như hình trong ảnh chụp màn hình sau.
  24. Theo cách tương tự, bạn có thể khôi phục một hoặc nhiều thư mục, thư mục con hoặc thậm chí toàn bộ thư mục Tệp Đã Xóa.
    • Lưu ý: Nếu không gian lưu trữ trên thiết bị đích không đủ, bạn có thể lưu dữ liệu đã khôi phục vào ổ cứng ngoài hoặc lên đám mây.
    • Lưu ý: Do chúng ta đang sử dụng phiên bản dùng thử của EaseUS Data Recovery Wizard nên công cụ này không hỗ trợ xem trước tệp hoặc thư mục.
  25. Đóng tất cả các cửa sổ đang mở.

Thí nghiệm 2: Thực hiện Tính toán Băm hoặc HMAC

Kịch bản Thí nghiệm

Một công ty đa quốc gia đã trở thành nạn nhân của một cuộc tấn công mạng. Nhà điều tra pháp y được thuê để điều tra vụ việc đã phát hiện ra một số mã không quen thuộc dường như quen thuộc với kẻ tấn công. Các mã này được thiết kế để kiểm tra khả năng truy cập vào một cơ sở dữ liệu lớn. Vấn đề chính ở đây là cơ sở dữ liệu được sử dụng cho mục đích mã hóa và kích thước lớn của nó khiến việc tìm kiếm trở nên khó khăn. Do đó, nhà điều tra sử dụng các giá trị băm để tìm dấu vết mã này trong cơ sở dữ liệu.

Để trở thành một nhà điều tra pháp y máy tính chuyên nghiệp, bạn phải có kiến thức vững chắc về băm và các công cụ được sử dụng để tính toán băm.

Mục tiêu Thí nghiệm

Băm được thực hiện trên dữ liệu như tệp hoặc văn bản để tạo một chuỗi có độ dài cố định duy nhất được gọi là giá trị băm hoặc tổng kiểm tra. Các giá trị băm được tạo ra rất hữu ích trong việc xác định xem dữ liệu đã cho có được duy trì tính toàn vẹn hay không.

Mục tiêu của thí nghiệm này là trình bày và mô tả cách:

  • Tính toán giá trị băm của tệp hoặc văn bản
  • Kiểm tra giá trị băm để xem liệu tệp có độc hại hay không
    • Lưu ý: Giá trị băm hoặc tổng kiểm tra cũng có thể được gọi là tổng kiểm tra.

Tổng quan về Thí nghiệm

Thí nghiệm này sẽ làm quen với bạn với HashCalc, một công cụ giúp bạn xác định giá trị băm của nhiều tệp. Xác định giá trị băm của tệp cho phép nhà điều tra thiết lập tính toàn vẹn của tệp.

Nhiệm vụ Thí nghiệm

  1. Chọn máy ảo CHFI v10 WINDOWS SERVER 2016 và nhấn Ctrl+Alt+Del.
  2. Theo mặc định, hồ sơ người dùng Quản trị viên được chọn, nhập qwerty@123 vào trường Mật khẩu và nhấn Enter để đăng nhập.
    • Lưu ý: Nếu PC và Thiết bị của tôi xuất hiện, hãy nhấp vào Có để cho phép PC khác và Thiết bị của tôi trên mạng này khám phá PC của bạn.
  3. Điều hướng đến C:\CHFI-Tools\CHFIv10 Module 02 Computer Forensic Investigation Process để tìm các tệp bằng chứng cho thí nghiệm này.
  4. Điều hướng đến C:\CHFI-Tools\Evidence Files để tìm các tệp bằng chứng.
    Nhấp đúp chuột vào setup.exe và làm theo các bước cài đặt hướng dẫn bằng trình hướng dẫn để cài đặt ứng dụng.
    • Lưu ý: Nếu cửa sổ bật lên Cảnh báo Bảo mật Tệp Mở xuất hiện, nhấp vào Chạy.
  5. Trong bước cuối cùng của quá trình cài đặt, bỏ chọn tùy chọn Xem tệp README, kiểm tra tùy chọn Khởi chạy HashCalc và nhấp vào Hoàn tất.
  6. Cửa sổ chính của ứng dụng HashCalc sẽ xuất hiện, như hình trong ảnh chụp màn hình sau.
  7. Trong danh sách thả xuống Định dạng Dữ liệu, chọn Định dạng Tệp và nhấp vào dấu chấm lửng.
  8. Sau đó, cửa sổ Tìm sẽ xuất hiện, điều hướng đến C:\CHFI-Tools\Evidence Files để tìm tệp bằng chứng cần tính toán giá trị băm. Trong thí nghiệm này, chúng ta đã chọn Fan.png. Sau khi bạn chọn tệp, hãy nhấp vào Mở.
  9. Tệp đã chọn sẽ được hiển thị trong trường Dữ liệu.
    • Lưu ý: Để tính toán tổng kiểm tra của dữ liệu, hộp HMAC phải được bỏ chọn.
  10. Chọn các thuật toán bạn muốn sử dụng để tính toán bằng cách đánh dấu vào các hộp có tên thích hợp và sau đó nhấp vào nút Tính toán.
  11. Các giá trị băm sẽ được hiển thị cho tệp đã chọn, như hình trong ảnh chụp màn hình sau.
  12. Để tính toán Mã Xác thực Thông báo Băm Khóa (HMAC) cho dữ liệu:
    • Trong hộp Định dạng Khóa, chọn Loại Khóa bạn muốn sử dụng để tính toán. Chúng ta có các tùy chọn sau: Văn bản (chuỗi) để thực hiện tính toán bằng cách sử dụng các khóa văn bản hoặc hộp Nhị phân để thực hiện tính toán bằng cách sử dụng các khóa nhị phân hoặc hộp Kết hợp để thực hiện tính toán bằng các khóa kết hợp. Ví dụ: ở đây, Văn bản (chuỗi) đã được nhập làm Loại Khóa.
    • Nhập khóa (ví dụ: ở đây, KEY đã được nhập làm Khóa) vào hộp Khóa.
    • Chọn các thuật toán bạn muốn sử dụng để tính toán HMAC bằng cách đánh dấu vào các hộp có tên thích hợp (ví dụ: MD4, SHA1, SHA512, PANAMA).
    • Sau đó, nhấp vào Tính toán.
  13. HashCalc tính toán giá trị băm của tệp đã chỉ định và hiển thị chúng như hình trong ảnh chụp màn hình sau.
  14. Nếu bạn muốn thực hiện tính toán cho chuỗi văn bản, trước tiên hãy chọn Chuỗi Văn bản từ danh sách thả xuống Định dạng Dữ liệu. Ở đây, văn bản ‘Tôi là Nhà điều tra Pháp y Máy tính CHFI’ đã được nhập trong trường Dữ liệu.
  15. Chọn các thuật toán bạn muốn sử dụng để tính toán bằng cách đánh dấu vào các hộp có tên thích hợp và sau đó nhấp vào nút Tính toán.
  16. Các giá trị băm sẽ được hiển thị cho các thuật toán đã chọn như hình trong ảnh chụp màn hình sau.
  17. Tiếp theo, chúng ta sẽ tính toán giá trị băm MD5 của một tệp pdf bị nhiễm và tìm kiếm giá trị băm này trong cơ sở dữ liệu VirusTotal để xem liệu tệp có độc hại hay không.
  18. Trong danh sách thả xuống Định dạng Dữ liệu, chọn Định dạng Tệp và tệp sẽ nằm trong thư mục Tệp Bằng chứng.
  19. Trong danh sách thả xuống Định dạng Dữ liệu, chọn Định dạng Tệp và tệp sẽ nằm trong thư mục Tệp Bằng chứng.
  20. Nhấp vào dấu chấm lửng được liên kết với danh sách thả xuống Định dạng Dữ liệu để chọn tệp.
  21. Cửa sổ Tìm sẽ xuất hiện. Điều hướng đến C:\CHFI-Tools\Evidence Files, chọn Infected.pdf và nhấp vào Mở.
  22. Tệp đã chọn sẽ được hiển thị trong trường Dữ liệu.
  23. Nhấp vào Tính toán để tính toán giá trị băm của tệp.
  24. Do thuật toán MD5 đã được chọn trước, HashCalc sẽ tính toán giá trị băm MD5, sau đó là các thuật toán khác (nếu có). Sao chép giá trị băm MD5 như hình trong ảnh chụp màn hình sau.
  25. Bây giờ, hãy khởi chạy trình duyệt web Firefox và duyệt URL https://www.virustotal.com/gui/home/search. Trang tìm kiếm VirusTotal sẽ xuất hiện như hình trong ảnh chụp màn hình bên dưới.
  26. Dán giá trị băm MD5 vào trường Tìm kiếm và nhấp vào Enter.
  27. VirusTotal sẽ tìm kiếm giá trị này trong cơ sở dữ liệu của nó và trả về kết quả như hình trong ảnh chụp màn hình sau.
    • Lưu ý: Số lượng công cụ chống vi rút và tỷ lệ phát hiện có thể khác nhau trong môi trường thí nghiệm của bạn.
  28. Nếu kết quả cho thấy nhiều công cụ chống vi rút phát hiện tệp là độc hại, bạn có thể tải tệp lên để quét bằng nhiều công cụ chống vi rút trong thời gian thực để biết liệu tệp có độc hại hay không. Trong thực tế, bạn có thể tính toán giá trị băm MD5 và gửi đến VirusTotal để biết liệu tệp có độc hại hay không. Chúng ta sẽ trình bày phân tích độc hại chi tiết hơn trong các thí nghiệm của CHFI v10 Mô-đun 14 Phần mềm độc hại Pháp y.
  29. Theo cách này, bạn có thể kiểm tra các giá trị băm MD5 của các tệp đáng ngờ và các chuỗi văn bản, và tìm kiếm giá trị băm đó trên các công cụ quét phần mềm độc hại trực tuyến.
  30. Đóng tất cả các cửa sổ đang mở.

Thí nghiệm 3: So sánh Giá trị Băm của Tệp để Kiểm tra Tính toàn vẹn của chúng

Kịch bản Thí nghiệm

Trong một quy trình điều tra, một chuyên gia pháp y cần kiểm tra tính toàn vẹn của một số tệp của một tổ chức. Để làm được điều này, người đó cần tính toán giá trị băm của nhiều tệp và so sánh chúng với giá trị băm của các tệp gốc mà tổ chức đã lưu. Về cơ bản, nhà điều tra cần kiểm tra xem các tệp có chứa dữ liệu bí mật của tổ chức có bị sửa đổi hay không. Do đó, nhà điều tra cần phải làm gì để kiểm tra tính toàn vẹn của các tệp?

Để trở thành một chuyên gia pháp y máy tính, bạn phải có kiến thức vững chắc về các công cụ được sử dụng để tính toán và so sánh giá trị băm.

Mục tiêu Thí nghiệm

Băm được thực hiện trên dữ liệu như tệp hoặc văn bản để tạo một chuỗi có độ dài cố định duy nhất được gọi là giá trị băm hoặc tổng kiểm tra. Sử dụng giá trị băm, bạn có thể xác định tính toàn vẹn của dữ liệu đã cho. Mục tiêu của thí nghiệm này là giúp bạn tìm hiểu cách:

  • Tạo giá trị băm MD5 của các tệp đã chọn bằng MD5 Calculator
  • So sánh giá trị băm MD5 được tạo với các giá trị băm có sẵn để xác định tính toàn vẹn của các tệp.

Tổng quan về Thí nghiệm

Trong thí nghiệm này, bạn sẽ tính toán giá trị băm của các tệp ảnh và so sánh chúng với giá trị băm được lưu trữ trong tệp Evidence Files\hashes.txt.

Nhiệm vụ Thí nghiệm

  1. Chọn máy ảo CHFI v10 WINDOWS SERVER 2016 và nhấn Ctrl+Alt+Del.
  2. Theo mặc định, hồ sơ người dùng Quản trị viên được chọn, nhập qwerty@123 vào trường Mật khẩu và nhấn Enter để đăng nhập.
    • Lưu ý: Nếu mạng của PC và Thiết bị của tôi xuất hiện, nhấp vào Có để cho phép PC và Thiết bị khác trên mạng này khám phá PC của bạn.
    • Lưu ý: Vì bạn đã đăng nhập vào máy ảo CHFI v10 WINDOWS SERVER 2016 trong thí nghiệm trước đó, bạn có thể bỏ qua các bước trên.
  3. Điều hướng đến C:\CHFI-Tools\CHFIv10 Module 02 Computer Forensic Investigation Process\Hash Value Calculator Tool để cài đặt ứng dụng.
  4. Nhấp đúp chuột vào md5calc_0.4.0.0.msi để khởi chạy quá trình cài đặt và làm theo các hướng dẫn theo trình hướng dẫn để cài đặt ứng dụng.
    • Lưu ý: Nếu cửa sổ bật lên Cảnh báo Bảo mật Tệp Mở xuất hiện, nhấp vào Chạy.
  5. Sau khi hoàn tất cài đặt, nhấp vào Đóng để đóng trình hướng dẫn cài đặt.
  6. Điều hướng đến C:\CHFI-Tools\Evidence Files\Image Files để tìm các tệp bằng chứng cho thí nghiệm này.
  7. Để tính toán giá trị băm MD5 của tệp, trước tiên hãy chọn tệp, nhấp chuột phải vào tệp và sau đó chọn Máy tính MD5 từ menu ngữ cảnh. Ở đây, chúng ta đang chọn tệp ảnh cartoon-article.jpg để tính toán giá trị băm MD5.
  8. Cửa sổ Máy tính MD5 sẽ xuất hiện ngay sau đó, hiển thị giá trị băm MD5 cho tệp đã chọn như hình trong ảnh chụp màn hình sau.
  9. Sau khi kiểm tra giá trị băm MD5, đóng công cụ.
  10. Nếu bạn muốn so sánh giá trị băm của tệp với giá trị băm có sẵn của tệp đó, hãy nhập giá trị băm có sẵn vào phần So sánh Với và tính toán giá trị băm của tệp. Ở đây, chúng ta sẽ so sánh giá trị băm của nhiều tệp để xem giá trị băm được tạo có khớp với giá trị băm có sẵn hay không.
  11. Điều hướng đến C:\CHFI-Tools\Evidence Files\Image Files\hashes.txt. Tệp này chứa giá trị băm của một số tệp ảnh nằm tại C:\CHFI-Tools\Evidence Files\Image Files.
  12. Trong thí nghiệm này, chúng ta sẽ so sánh giá trị băm của hai tệp Kitty.jpg và Model.png.
  13. Để so sánh giá trị băm của Kitty.jpg, hãy sao chép giá trị băm tương ứng của tệp.
  14. Điều hướng đến C:\CHFI-Tools\Evidence Files\Image Files, nhấp chuột phải vào Kitty.jpg và sau đó chọn Máy tính MD5 từ menu ngữ cảnh.
  15. Máy tính MD5 hiển thị giá trị băm MD5 (giá trị băm) cho tệp đã chọn. Bây giờ, dán giá trị băm mà bạn đã sao chép ở Bước 13 vào phần So sánh Với.
  16. Máy tính MD5 ngay lập tức so sánh cả hai giá trị băm. Nếu các giá trị băm bằng nhau, như hình trong ảnh chụp màn hình sau, thì tính toàn vẹn của tệp được xác nhận.
  17. Nhấp vào Thoát để đóng ứng dụng.
  18. Bây giờ, chúng ta sẽ so sánh giá trị băm của Model.png bằng cách sao chép giá trị băm tương ứng của tệp từ C:\CHFI-Tools\Evidence Files\Image Files\hashes.txt.
  19. Điều hướng đến C:\CHFI-Tools\Evidence Files\Image Files, nhấp chuột phải vào Model.png và sau đó chọn Máy tính MD5 từ menu ngữ cảnh.
  20. Máy tính MD5 hiển thị giá trị băm MD5 (giá trị băm) cho tệp đã chọn. Bây giờ, dán giá trị băm mà bạn đã sao chép ở Bước 19 vào phần So sánh Với.
  21. Máy tính MD5 ngay lập tức so sánh giá trị băm và hiển thị rằng các giá trị băm không khớp, như hình trong ảnh chụp màn hình sau.
  22. Nếu các giá trị băm không khớp, tính toàn vẹn của tệp sẽ bị nghi ngờ và cần được điều tra thêm vì tệp có thể đã bị sửa đổi và được sử dụng làm phương tiện tấn công.
  23. Việc điều tra các tệp bị nhiễm và phát hiện vi rút sẽ được trình bày trong các thí nghiệm của CHFI v10 Mô-đun 05 Xóa Tệp và Mô-đun 06 Pháp y Windows.
  24. Theo cách này, bạn có thể kiểm tra tính toàn vẹn của các tệp bằng cách sử dụng MD5 Calculator và so sánh các giá trị băm để xác minh tính toàn vẹn của các tệp.
  25. Đóng tất cả các cửa sổ.

Thí nghiệm 4: Xem Tệp của Nhiều Định dạng

Kịch bản Thí nghiệm

Một quản trị viên mạng đã báo cáo việc truyền một số tệp không xác định qua mạng của công ty, đây là một vi phạm an ninh. Sau khi điều tra, nhà điều tra đã phát hiện ra rằng kẻ tấn công đã sử dụng một định dạng tệp ẩn để vượt qua quản trị viên mạng và gây ra cuộc tấn công. Nhà điều tra đã sử dụng File Viewer để nhận dạng định dạng tệp và trích xuất nội dung của tệp đã dẫn đến cuộc tấn công.

Để trở thành một chuyên gia điều tra pháp y máy tính, bạn phải có kiến thức vững chắc về các công cụ xem tệp khác nhau có thể được sử dụng để xem tệp, xem tệp ở các định dạng khác nhau, v.v.

Mục tiêu Thí nghiệm

Trình xem tệp là một chương trình giúp hiển thị nội dung của tệp. Một số định dạng tệp phổ biến là .doc, .txt, .jpg, .png, .bmp, .pdf, v.v.

Mục tiêu của thí nghiệm này là giúp học viên tìm hiểu và thực hiện việc xem tệp của nhiều định dạng bằng cách sử dụng File Viewer.

Tổng quan về Thí nghiệm

Trong thí nghiệm này, bạn sẽ tìm hiểu cách kiểm tra các tệp ở nhiều định dạng bằng cách sử dụng File Viewer và xác định xem chúng có cần điều tra thêm hay không.

Nhiệm vụ Thí nghiệm

  1. Chọn máy ảo CHFI v10 WINDOWS SERVER 2016 và nhấn Ctrl+Alt+Del.
  2. Theo mặc định, hồ sơ người dùng Quản trị viên được chọn. Nhập qwerty@123 vào trường Mật khẩu và nhấn Enter để đăng nhập.
    • Lưu ý: Nếu mạng của PC và Thiết bị của tôi xuất hiện, nhấp vào Có để cho phép PC và Thiết bị khác trên mạng này khám phá PC của bạn.
  3. Điều hướng đến C:\CHFI-Tools\CHFIv10 Module 02 Computer Forensic Investigation Process\Computer Forensics Software\File Viewer để cài đặt ứng dụng. Nhấp đúp chuột vào FileView.exe để khởi chạy quá trình cài đặt và làm theo các hướng dẫn theo trình hướng dẫn để cài đặt ứng dụng.
    • Lưu ý: Nếu cửa sổ bật lên Cảnh báo Bảo mật Tệp Mở xuất hiện, nhấp vào Chạy.
  4. Sau khi hoàn tất cài đặt, nhấp vào Hoàn tất.
  5. Nhấp đúp chuột vào biểu tượng File Viewer 9.5 trên màn hình để khởi chạy ứng dụng.
  6. Cửa sổ đăng ký File Viewer sẽ xuất hiện. Nhấp vào nút Đóng để mở cửa sổ File Viewer.
  7. Cửa sổ chính của File Viewer sẽ xuất hiện cùng với hộp thoại Bắt đầu với File Viewer. Đánh dấu vào hộp Không hiển thị khi khởi động và nhấp vào Hủy.
  8. Nếu hộp thoại không xuất hiện, hãy bỏ qua bước tiếp theo.
  9. Đi đến menu Tệp và nhấp vào Mở.
  10. Trong hộp thoại Mở:
    • Điều hướng đến đường dẫn tệp bằng chứng C:\CHFI-Tools\Evidence Files\Image Files.
    • Chọn Tất cả tệp (*) trong danh sách thả xuống Loại tệp.
    • Chọn tệp Friends3.jpg và sau đó nhấp vào Mở.
  11. Nếu hộp thoại Bắt đầu với File Viewer xuất hiện, hãy nhấp vào Hủy.
  12. Hình ảnh Friends3.jpg sẽ mở trong trình xem tệp như hình trong ảnh chụp màn hình sau.
  13. Điều hướng đến Tệp -> Thuộc tính tệp để xem nhiều thuộc tính khác nhau của hình ảnh đã chọn.
  14. Cửa sổ Thuộc tính tệp sẽ xuất hiện, hiển thị nhiều thuộc tính khác nhau của tệp đã chọn. Nhấp vào OK để đóng cửa sổ.
  15. Bây giờ, chúng ta sẽ mở tệp 520px-Biohazard_symbol_(blue).bmp trong ứng dụng.
  16. Đi đến menu Tệp và nhấp vào Mở.
  17. Trong hộp thoại Mở:
    • Điều hướng đến đường dẫn tệp bằng chứng C:\CHFI-Tools\Evidence Files\Image Files.
    • Chọn Tất cả tệp (*) trong danh sách thả xuống Loại tệp.
    • Chọn tệp 520px-Biohazard_symbol_(blue).bmp và sau đó nhấp vào Mở.
  18. Nếu hộp thoại Bắt đầu với File Viewer xuất hiện, hãy nhấp vào Hủy.
  19. Một cửa sổ bật lên của File Viewer sẽ xuất hiện với dòng chữ Lỗi IMM. Nhấp vào OK để đóng cửa sổ bật lên.
  20. File Viewer sẽ cố gắng chạy tệp .bmp nhưng sẽ không làm được, như hình trong ảnh chụp màn hình sau.
  21. Điều này xảy ra khi tệp bị hỏng hoặc phần mở rộng của nó bị thay đổi một cách ép buộc, dẫn đến một màn hình trống. Bạn cần điều tra thêm các tệp như vậy.
  22. Trước khi điều tra thêm, bạn cần xác định các tệp đáng ngờ. Việc xác định các tệp và định dạng của chúng sẽ được trình bày trong các thí nghiệm của CHFI v10 Mô-đun 06 Pháp y Windows.
  23. Đóng tất cả các cửa sổ đang mở.

Thí nghiệm 5: Xử lý Dữ liệu Bằng chứng

Kịch bản Thí nghiệm

Sau khi hoàn tất quy trình điều tra, một nhà điều tra đã nộp các tệp bằng chứng cho tòa án để xét xử. Thẩm phán đã bác bỏ vụ án do bằng chứng không được xử lý đúng cách hoặc dữ liệu được trình bày không phù hợp. Vụ việc này cho thấy tầm quan trọng của việc xử lý bằng chứng đúng cách và trình bày dữ liệu theo một cách phù hợp.

Để trở thành một chuyên gia pháp y máy tính, bạn phải có kiến thức vững chắc về cách xử lý dữ liệu pháp y một cách hiệu quả bằng cách sử dụng các công cụ chuyên nghiệp như Nền tảng Pháp y E3 của Paraben.

Mục tiêu Thí nghiệm

Bằng chứng pháp y thu được bằng cách sao chép bit-by-bit phương tiện gốc như ổ cứng, ổ USB, v.v. được tìm thấy tại hiện trường vụ án. Bằng chứng này chứa thông tin, chẳng hạn như tệp, thư mục, dữ liệu đã xóa, v.v., có thể hữu ích trong quá trình điều tra.

Mục tiêu của thí nghiệm này là giúp học viên tìm hiểu và sử dụng Nền tảng Pháp y E3 của Paraben để xử lý dữ liệu bằng chứng.

Tổng quan về Thí nghiệm

Trong thí nghiệm này, bạn sẽ tìm hiểu cách tiến hành kiểm tra pháp y trên tệp bằng chứng bằng cách sử dụng Nền tảng Pháp y E3 của Paraben.

Lưu ý: Nếu bạn tải xuống phiên bản mới nhất của Paraben E3 (có thể cao hơn Paraben E3 v.2.7.7), thì một số ảnh chụp màn hình được sử dụng trong thí nghiệm này có thể khác.

Nhiệm vụ Thí nghiệm

  1. Chọn máy ảo CHFI v10 WINDOWS SERVER 2016 và nhấn Ctrl+Alt+Del.
  2. Theo mặc định, hồ sơ người dùng Quản trị viên được chọn. Nhập qwerty@123 vào trường Mật khẩu và nhấn Enter để đăng nhập.Lưu ý: Nếu PC và Thiết bị của tôi xuất hiện, hãy nhấp vào Có để cho phép PC và Thiết bị khác trên mạng này khám phá PC của bạn.Lưu ý: Vì bạn đã đăng nhập vào máy ảo CHFI v10 WINDOWS SERVER 2016 trong thí nghiệm trước đó, bạn có thể bỏ qua các bước trên. Hãy đảm bảo bạn đăng ký phiên bản dùng thử của nền tảng E3 bằng cách truy cập https://paraben.com/dfir-tools-trial/ và liên hệ với Paraben để lấy mã kích hoạt.
  3. Nhấp đúp chuột vào trình cài đặt Paraben để khởi chạy quá trình cài đặt và làm theo các bước cài đặt theo hướng dẫn bằng trình hướng dẫn để cài đặt ứng dụng. (Ở đây, chúng tôi đã tải xuống công cụ trên màn hình).Lưu ý: Nếu cửa sổ bật lên Cảnh báo Bảo mật Tệp Mở xuất hiện, hãy nhấp vào Chạy.
  4. Ở cuối quá trình cài đặt, hãy nhấp vào Hoàn tất để thoát khỏi trình hướng dẫn cài đặt.Lưu ý: Nếu trang web tải xuống Paraben’s Driver Pack mở ra trong trình duyệt mặc định, hãy đóng nó.
  5. Nhấp đúp chuột vào biểu tượng Electronic Evidence Examiner nằm trên màn hình để khởi chạy ứng dụng. Ngoài ra, bạn có thể khởi chạy ứng dụng từ Ứng dụng.*Lưu ý: Nếu công cụ đã được kích hoạt trước đó, bạn có thể bỏ qua bước kích hoạt công cụ trong bài tập thí nghiệm tiếp theo và chuyển trực tiếp đến bài tập thí nghiệm.
  6. Khi khởi chạy Paraben E3, cửa sổ bật lên Cài đặt của Paraben E3 sẽ mở ra cùng với nó. Đóng cửa sổ bật lên.Lưu ý: Nếu cửa sổ bật lên Kích hoạt E3 xuất hiện, hãy nhấp vào Hủy.Lưu ý: Nếu trang web bật lên của công cụ Paraben mở ra trong trình duyệt mặc định, hãy đóng nó.Lưu ý: Nếu cửa sổ bật lên Hướng dẫn sử dụng xuất hiện trong cửa sổ chính khi khởi chạy E3, hãy đóng cửa sổ bật lên hướng dẫn sử dụng.
  7. Để kích hoạt phiên bản dùng thử, hãy chuyển đến Vụ án trong menu và từ danh sách thả xuống, hãy nhấp vào Kích hoạt. Sau đó, nhấp vào tùy chọn Kích hoạt như hình trong ảnh chụp màn hình bên dưới.
  8. Cửa sổ Kích hoạt Paraben’s Electronic Evidence Examiner sẽ xuất hiện, liệt kê các tùy chọn để kích hoạt. Đảm bảo rằng tùy chọn Giấy phép Internet được chọn và nhấp vào nút Kích hoạt.
  1. Một hộp thoại Đăng ký sẽ xuất hiện, yêu cầu bạn khởi động lại ứng dụng để hoàn tất kích hoạt. Nhấp vào OK. Đóng ứng dụng và khởi động lại.Lưu ý: Phiên bản dùng thử của Paraben E3 chỉ có giá trị trong 7 ngày.
  2. Tiếp theo, cửa sổ Kết nối với Máy chủ Giấy phép Web sẽ mở ra và yêu cầu thông tin đăng nhập người dùng để kết nối với máy chủ giấy phép web. Tại đây, bạn phải nhập ID Đăng nhập (hoặc ID email) và Mật khẩu đã được sử dụng để đăng ký/đăng ký thiết lập dùng thử Paraben E3 để truy cập phiên bản dùng thử của công cụ. Sau khi nhập thông tin đăng nhập, hãy nhấp vào nút Kết nối.
  3. Cửa sổ chính của ứng dụng sẽ mở ra cùng với cửa sổ bật lên Paraben E3 mà chúng ta đã thấy khi khởi chạy ứng dụng lần đầu tiên sau khi hoàn tất cài đặt. Đóng cửa sổ bật lên.
  4. Truy cập Vụ án trên thanh menu và nhấp vào Trợ giúp để kiểm tra xem công cụ đã được kích hoạt hay chưa. Trong ngăn bên phải, bạn có thể tìm thấy thông tin liên quan đến đăng ký Paraben E3 cùng với Khóa đăng ký.Lưu ý: Khi phiên bản dùng thử của ứng dụng đã được kích hoạt, bạn cũng sẽ thấy tên của nó ở đầu cửa sổ là Paraben E3: Universal thay vì Paraben E3: Free, chỉ được nhìn thấy khi sử dụng phiên bản miễn phí của công cụ.
  5. Tiếp theo, chúng ta sẽ kiểm tra bằng chứng kỹ thuật số đã được thu thập bằng pháp y bằng cách sử dụng nền tảng pháp y Paraben E3. Để kiểm tra bằng chứng mới, hãy chuyển đến Vụ án trên thanh menu và nhấp vào Tạo Vụ án Mới.
  6. Một cửa sổ Vụ án Mới sẽ xuất hiện, hiển thị phần Chào mừng. Nhấp vào nút Tiếp theo.
  7. Trong phần Thuộc tính Vụ án, hãy cung cấp Tên Vụ án và Mô tả vụ án trong các trường tương ứng. Bạn có thể nhập các chi tiết này theo yêu cầu của bạn. Nhấp vào Tiếp theo.
  8. Trong phần Thông tin Bổ sung, hãy nhập thông tin bổ sung liên quan đến nhà điều tra (bạn cũng có thể nhập chi tiết của mình trong phần này) và nhấp vào nút Hoàn tất.Lưu ý: Thông tin bổ sung không bắt buộc và có thể được điền bất cứ lúc nào thông qua ngăn Thuộc tính.
  9. Trong cửa sổ tạo vụ án mới xuất hiện tiếp theo, hãy điều hướng đến Màn hình và tạo một thư mục có tên Báo cáo. Sau đó, hãy chuyển đến thư mục Báo cáo bằng cách đảm bảo rằng nó được chọn và nhấp vào Mở. Chỉ định tên tệp cho vụ án (ở đây, nó là Vụ án 1.e3) trong trường Tên tệp và sau đó nhấp vào Lưu.
  10. Trong cửa sổ Thêm Bằng chứng Mới xuất hiện tiếp theo, hãy chọn Tệp Hình ảnh trong phần Danh mục ở ngăn bên trái, sau đó chọn Tự động phát hiện hình ảnh trong phần Loại Nguồn ở ngăn bên phải và nhấp vào OK.
  11. Một cửa sổ Mở sẽ xuất hiện; điều hướng đến C:\CHFI-Tools\Evidence Files\Forensic Images, chọn Windows_Evidence_001.dd và nhấp vào nút Mở.
  12. Một cửa sổ bật lên sẽ xuất hiện, nơi chúng ta có thể chỉ định một tên mới cho bằng chứng mà chúng ta đã thêm. Chúng ta sẽ giữ nguyên tên mặc định (Windows_Evidence_001) cho tệp bằng chứng của mình. Nhấp vào OK.
  13. Một cửa sổ Cài đặt NTFS sẽ bật lên. Đánh dấu vào tất cả các tùy chọn cụ thể cho khôi phục dữ liệu đã xóa và nhấp vào OK.Lưu ý: Nếu tệp hình ảnh sử dụng hệ thống tệp FAT, thì cửa sổ bên dưới sẽ không bật lên.
  14. Tệp hình ảnh đã chọn được thêm vào vụ án (tệp Vụ án 1 trong tab Nội dung Vụ án ở ngăn bên trái của cửa sổ ứng dụng).
  15. Mở rộng Vụ án 1 -> Windows_Evidence_001 -> NTFS -> Root. Bạn sẽ tìm thấy dữ liệu liên quan đến tệp bằng chứng.
  16. Trong quá trình điều tra pháp y, việc truy xuất dữ liệu đã xóa từ tệp hình ảnh bằng chứng là rất quan trọng. Thông tin liên quan đến dữ liệu đã xóa có thể được truy xuất từ thư mục Thùng rác. Nhấp vào thư mục Thùng rác để tìm dữ liệu đã xóa.
  17. Để xem các thuộc tính của tệp đã xóa, hãy chọn tệp đó. Các thuộc tính của nó sau đó sẽ được hiển thị trong tab Thuộc tính ở ngăn bên phải của cửa sổ như hình trong ảnh chụp màn hình (ở đây, chúng tôi đã chọn tệp hình ảnh Tweety1.gif):
  18. Để xem hình ảnh thực tế có trong tệp đã chọn (vì tệp đã chọn có định dạng tệp hình ảnh), hãy nhấp vào tab Xem Tệp. Hình ảnh sẽ được hiển thị ở ngăn bên phải của cửa sổ.
  19. Ngoài việc xem hình ảnh thực tế có trong tệp đã chọn, Paraben E3 còn cho phép bạn xem các giá trị Hex của nó. Các giá trị Hex giúp xác định nội dung thô và chính xác của tệp ngay cả khi nó đã bị xóa hoặc ghi đè. Do đó, các giá trị Hex giúp bạn xác định và truy xuất thông tin có giá trị pháp y mà thông thường hệ điều hành không thể truy cập được.
  20. Để xem các giá trị hex của tệp đã chọn, hãy nhấp vào tab Xem Hex. Các giá trị Hex sẽ được hiển thị ở ngăn bên phải của cửa sổ.
  21. Để xem các giá trị văn bản của tài liệu tệp văn bản, hãy chọn tệp văn bản (ở đây, chúng tôi đã chọn tệp văn bản New Text Document.txt) và sau đó nhấp vào tab Xem Văn bản như được chỉ ra trong ảnh chụp màn hình bên dưới:
  22. Để tạo báo cáo điều tra, trước tiên hãy chọn các tệp mong muốn cần được đưa vào báo cáo. Sau đó, nhấp vào Báo cáo trên thanh menu và sau đó nhấp vào Tạo Báo cáo như được chỉ ra trong ảnh chụp màn hình bên dưới:
  23. Trong cửa sổ Trình hướng dẫn Báo cáo xuất hiện tiếp theo, chúng ta cần chọn loại báo cáo cần tạo và cũng chỉ định thư mục Đích. Trong thí nghiệm này, chúng ta sẽ chọn tùy chọn loại Báo cáo Điều tra HTML và vị trí thư mục đích mặc định được hiển thị bởi ứng dụng. Đảm bảo đánh dấu vào các tùy chọn Bao gồm Dữ liệu Nhúng đã Phân tích cú pháp và Mở báo cáo khi hoàn tất. Nhấp vào Tiếp theo.Lưu ý: Nếu bạn muốn báo cáo được mở tự động vào cuối thí nghiệm mà không cần phải mở thủ công bằng cách điều hướng đến vị trí nơi nó đã được lưu, thì hãy đảm bảo đánh dấu vào tùy chọn Mở báo cáo khi hoàn tất.
  24. Bạn có thể Thêm hoặc Chỉnh sửa bất kỳ thông tin bổ sung nào của nhà điều tra, nếu cần, trong phần Thông tin của Nhà điều tra xuất hiện tiếp theo và sau đó nhấp vào nút Tiếp theo.
  25. Trong phần Loại Hệ thống tệp xuất hiện tiếp theo, hãy chọn các loại tệp mà bạn muốn đưa vào báo cáo và nhấp vào nút Tiếp theo.
  26. Trong phần Thuộc tính Tệp xuất hiện tiếp theo, hãy chọn các chi tiết trong phần thuộc tính mà bạn muốn đưa vào báo cáo, sau đó nhấp vào Tiếp theo.
  27. Trong phần Bằng chứng Khác xuất hiện tiếp theo, hãy chọn các tùy chọn theo yêu cầu của bạn (bạn cũng có thể để các tùy chọn này theo mặc định). Nhấp vào Tiếp theo.
  28. Trong phần Tệp đã Sắp xếp xuất hiện tiếp theo, hãy chọn nút radio Chỉ bao gồm dữ liệu được đánh dấu là “Bao gồm vào báo cáo” và sau đó nhấp vào Tiếp theo.
  29. Trong phần Xem Báo cáo Tùy chỉnh xuất hiện tiếp theo, bạn có thể tùy chỉnh chế độ xem báo cáo bằng cách thêm biểu trưng tùy chỉnh, tiêu đề tùy chỉnh và chân trang tùy chỉnh của bạn. Nhấp vào Tiếp theo sau khi tùy chỉnh chế độ xem báo cáo.Lưu ý: Việc tùy chỉnh chế độ xem báo cáo không bắt buộc và có thể được bỏ qua bằng cách nhấp vào Tiếp theo.
  30. Trong phần Tóm tắt và Kết luận xuất hiện tiếp theo, bạn có thể thêm tóm tắt và kết luận liên quan đến kiểm tra bằng chứng tương ứng trong các phần Tóm tắt Kiểm tra và Kết luận Kiểm tra. Nhấp vào các nút Chỉnh sửa Phần bên dưới các phần phụ Tóm tắt Kiểm tra và Kết luận Kiểm tra tương ứng. Một cửa sổ Chỉnh sửa Phần (trông giống như tài liệu word) cho mỗi phần phụ đó sẽ mở ra. Trong các cửa sổ Chỉnh sửa Phần cho mỗi phần phụ đó, bạn có thể viết một bản tóm tắt ngắn gọn về tệp bằng chứng được kiểm tra và một kết luận mô tả các hành động được thực hiện trên đó và kết quả được tạo ra tương ứng. Sau khi thêm tóm tắt và kết luận, hãy nhấp vào Tiếp theo.Lưu ý: Phần Tóm tắt và Kết luận không bắt buộc phải chỉnh sửa và có thể được bỏ qua bằng cách nhấp vào Tiếp theo.
  31. Trong phần Nhật ký và Tệp Bổ sung, hãy đánh dấu vào tùy chọn Bao gồm Lịch sử Vụ án và nhấp vào Hoàn tất.
  32. Một cửa sổ Thông báo Trạng thái Nhiệm vụ sẽ xuất hiện, cho biết việc tạo báo cáo đã hoàn tất và báo cáo đã tạo đã được lưu vào đích mặc định (trong trường hợp này: C:\Users\Administrator\Documents\E3 Cases\Reports\Case 1). Nhấp vào OK hoặc đóng cửa sổ.Lưu ý: Nếu được hỏi về cách bạn muốn mở báo cáo đã tạo, như hình trong ảnh chụp màn hình bên dưới, thì hãy lựa chọn và nhấp vào OK. Báo cáo sau đó sẽ được mở thông qua trình duyệt mà bạn đã chọn. Sau thao tác này, bất cứ khi nào bạn cố gắng mở báo cáo điều tra mà bạn đã tạo, nó sẽ luôn được mở tự động thông qua trình duyệt mà bạn đã chọn ở đây.
  33. Bạn cũng có thể điều hướng thủ công đến thư mục nơi bạn đã lưu tệp báo cáo và mở nó từ đó. Trong thư mục này, bạn sẽ tìm thấy một thư mục con có tên Vụ án 1. Mở thư mục con đó và nhấp đúp chuột vào tệp Case 1.html để mở và xem báo cáo.
  34. Một Báo cáo Điều tra chi tiết sẽ mở ra trong trình duyệt web; cuộn xuống cửa sổ trình duyệt để kiểm tra báo cáo chi tiết.
  35. Theo cách này, bạn có thể sử dụng tiện ích Paraben E3 để xử lý dữ liệu bằng chứng.
  36. Đóng tất cả các cửa sổ đang mở.

Thí nghiệm 6: Tạo Tệp Hình ảnh Đĩa của Phân vùng Ổ cứng

Kịch bản Thí nghiệm

Một nhà điều tra đang thực hiện pháp y trên bản sao ổ cứng thì kích hoạt một quy trình được tải trước đã xóa toàn bộ dữ liệu ổ đĩa, dẫn đến mất bằng chứng. Tuy nhiên, anh ta đã tạo một bản sao pháp y của ổ đĩa và điều này cho anh ta tùy chọn làm việc trên cùng một dữ liệu một lần nữa. Do đó, các nhà điều tra nên luôn tạo bản sao của ổ cứng và thực hiện quy trình pháp y trên bản sao.

Để trở thành một chuyên gia pháp y máy tính, bạn phải có kiến thức vững chắc về các công cụ tạo ảnh đĩa khác nhau được sử dụng để điều tra pháp y.

Mục tiêu Thí nghiệm

Hình ảnh đĩa là bản sao bit-by-bit của ổ cứng hoặc phân vùng ổ đĩa, bao gồm tất cả các tệp/thư mục, tệp đã xóa, tệp còn lại trong không gian trống và không gian chưa được phân bổ, thông tin hệ thống tệp, v.v.

Mục tiêu của thí nghiệm này là giúp học viên hiểu cách tạo tệp hình ảnh đĩa của phân vùng ổ cứng bằng R-Drive Image.

Tổng quan về Thí nghiệm

Thí nghiệm này giúp bạn tìm hiểu cách tạo tệp hình ảnh đĩa của phân vùng ổ cứng. Việc tạo ảnh của ổ cứng hoặc phân vùng ổ cứng giúp bạn tạo bản sao pháp y của ổ đĩa hoặc phân vùng trên đó để bạn có thể sử dụng bản sao pháp y cho mục đích điều tra.

Nhiệm vụ Thí nghiệm

  1. Chọn máy ảo CHFI v10 WINDOWS 10 và nhấn Ctrl+Alt+Del.
  2. Theo mặc định, hồ sơ người dùng Admin được chọn, nhập qwerty@123 vào trường Mật khẩu và nhấn Enter để đăng nhập.Lưu ý: Nếu PC và Thiết bị của tôi xuất hiện, hãy nhấp vào Có để cho phép PC khác và Thiết bị của tôi trên mạng này khám phá PC của bạn.
  3. Trong thí nghiệm này, chúng ta sẽ tạo hình ảnh đĩa từ phân vùng ổ cứng. Vì vậy, hãy chuyển đến PC này -> Ổ đĩa Cục bộ (C:) và tạo một thư mục có tên Tệp Hình ảnh Bằng chứng.
  4. Điều hướng đến Z:\CHFIv10 Module 02 Computer Forensic Investigation Process\Computer Forensics Software\R-drive Image.
  5. Nhấp đúp chuột vào RDriveImage6.exe để khởi chạy quá trình cài đặt, chọn ngôn ngữ (ở đây, tiếng Anh) và nhấp vào OK. *Lưu ý: Nếu cửa sổ bật lên Cảnh báo Bảo mật Tệp Mở xuất hiện, hãy nhấp vào Chạy.* *Lưu ý: Nếu cửa sổ bật lên Kiểm soát Tài khoản Người dùng xuất hiện, hãy nhấp vào Có.*

Use code with caution.

Làm theo các bước cài đặt theo hướng dẫn bằng trình hướng dẫn để cài đặt ứng dụng.

Khi hoàn tất cài đặt, hãy đảm bảo rằng tùy chọn Khởi chạy R-Drive Image được chọn và nhấp vào Hoàn tất.

GUI R-Drive Image xuất hiện, nhấp vào Tiếp theo.

Trong cửa sổ Chọn Hành động, tùy chọn Tạo Hình ảnh được chọn theo mặc định. Nhấp vào Tiếp theo để tiếp tục.

Trong thí nghiệm này, chúng ta sẽ tạo hình ảnh cho D:. Do đó, trong cửa sổ Chọn Phân vùng, chọn ổ D để tạo tệp hình ảnh ổ đĩa. Nhấp vào Tiếp theo.

Trong bảng Đích Hình ảnh:

  • Mở rộng PC này -> Ổ đĩa Cục bộ (C:) và chọn thư mục Tệp Hình ảnh Bằng chứng để lưu tệp trong ổ đĩa này.
  • Tên tệp sẽ được ứng dụng tự động lấy.
  • Chọn tệp R-Drive Image (*.rdr) trong trường Loại tệp và nhấp vào Tiếp theo.

Trong bảng Tùy chọn Hình ảnh, hãy nhấp vào Tiếp theo.

Lưu ý: Cung cấp mật khẩu là tùy chọn.

Trong bảng Tùy chọn Sao lưu, hãy nhấp vào Tiếp theo.

Bảng Xử lý hiển thị tóm tắt của tất cả các quy trình. Nhấp vào Bắt đầu để bắt đầu quy trình tạo ảnh phân vùng ổ đĩa.

Thanh Tiến trình trong bảng Xử lý sẽ hiển thị tỷ lệ phần trăm nhiệm vụ đã hoàn thành. Sau khi quá trình hoàn tất, một cửa sổ bật lên sẽ xuất hiện, hiển thị Hình ảnh đã được tạo thành công. Nhấp vào OK.

Trong bảng Xử lý, hãy nhấp vào Tiếp tục để hoàn tất quy trình.

Trong cửa sổ R-Drive Image có dòng chữ Chọn Hành động ở trên cùng, hãy nhấp vào nút Thoát để đóng ứng dụng.

Bây giờ, hãy điều hướng đến PC này -> Ổ đĩa Cục bộ (C:) -> Tệp Hình ảnh Bằng chứng để xem tệp hình ảnh phân vùng ổ đĩa đã tạo.

Lưu ý: Kích thước của tệp hình ảnh phụ thuộc vào dung lượng đã lấp đầy trên ổ đĩa. Vì chúng ta đang tạo ảnh ổ D, hiện đang trống, nên kích thước của tệp hình ảnh được tạo tương đối nhỏ.

Việc kiểm tra tệp hình ảnh đĩa sẽ được trình bày trong các thí nghiệm của CHFI v10 Mô-đun 06 Pháp y Windows.

Đóng tất cả các cửa sổ đang mở.

Bình luận về bài viết này

Thịnh hành