Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ

LAB 04
SỬ DỤNG CÁC CÔNG CỤ PHÁP Y MÁY TÍNH
(Current Digital Forensics Tools)

Họ tên và MSSV: Lê Phú Mỹ - B2014585

Nhóm học phần: CT297 - 01

- Các sinh viên bị phát hiện sao chép bài của nhau sẽ nhận 0đ cho tất cả bài thực hành
của môn này.
- Bài nộp phải ở dạng PDF, hình minh họa phải rõ ràng chi tiết. Hình minh hoạ chỉ cần
chụp ở nội dung thực hiện, không chụp toàn màn hình.

1. Sử dụng công cụ Autopsy cơ bản

1.1. Tải và cài đặt công cụ Autopsy trên máy tính cá nhân.
1.2. Tải tập tin Lab04_01.rar, giải nén được tập tin charlie-2009-12-03.E01
1.3. Sử dụng công cụ Autopsy, chọn chức năng “New Case”. Nhập các thông tin cần
thiết. Ở mục “Select Data Source Type” chọn “Disk Image or VM file”. Ở mục
“Select Data Source” chỉ đường dẫn đến tập tin charlie-2009-12-03.E01
ở Câu 1.2. Ở mục “Configure Ingest Modules”, giữ nguyên các lựa chọn. Cuối
cùng chọn Finish.
1.4. Sau khi Autopsy phân tích xong dữ liệu (tốn nhiều thời gian):
1.4.1. Chọn chức năng “Keyword Search” và tìm kiếm với từ khóa
“Project2400”. Autopsy sẽ tìm thấy 14 kết quả. Chọn và hiển thị kết quả
có tên là “Inbox”.
Chụp hình minh họa kết quả thực hiện.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ

1.4.2. Chọn chức năng Tools/Timeline trên thanh toolbar. Chọn thời gian là từ
16/11/2009, đến 4/12/2009. Chọn mục Filters, lọc với từ khóa
“Project2400” (Must include text), chọn “Apply”. Trên biểu đồ bên tay
phải, chọn 1 trong các cột trong biểu đồ để thấy các thông tin tìm thấy.
Chụp hình minh họa kết quả thực hiện.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ

1.4.3. Đóng cửa sổ Timeline và quay về giao diện chính. Chọn mục “Data
Artifacts/Web search” để thấy những gì người dùng đã tìm kiếm trên
Web.
Chụp hình minh họa kết quả thực hiện.

1.4.4. Chọn chức năng “Tools/Generate Report” để sinh ra báo cáo kết quả điều
tra. Chọn loại báo cáo là “Results - HTML” và “All Results”. Sau khi báo
cáo được tạo, hiển thị bằng trình duyệt web.
Chụp hình minh họa kết quả thực hiện.

1.5. Trả lời những câu hỏi sau:

1.5.1. Người dùng Charlie đã gửi và nhận bao nhiêu email?
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ

+Charlie đã gửi: 25 email

+Charlie đã nhận: 45 email
1.5.2. Bao nhiêu Web searches và Web downloads đã được thực hiện trên máy
tính?
+Web searches: 31
+Web downloads: 22
1.5.3. Tên và địa chỉ IP của một ổ cứng mạng (remote drive) nối kết vào máy
tính?
+Tên: NTUSER.DAT
+Địa chỉ IP: 192.168.1.1

2. Mini project - Điều tra kẻ phóng hỏa (Burninator case)

2.1. Tiến hành điều tra sơ bộ
Những kẻ phóng hỏa thường quay lại hiện trường vụ hỏa hoạn mà họ gây ra và chụp
ảnh để ghi nhớ sự kiện hoặc thỏa mãn về sự phá hoại của của họ. Vài năm trước, cảnh sát cứu
hỏa đã xác định rằng nhiều đám cháy gần Roslyn và Winthrop là do một kẻ đốt phá gây ra. Kẻ
đốt phá này đã để lại những ghi chú có chữ ký “Trogdor the Burninator”, thách thức cảnh sát bắt
giữ anh ta trước vụ hỏa hoạn tiếp theo. Cảnh sát tin rằng nghi phạm đang sử dụng máy tính tại
một công ty có tên là Superior Bicycles, và đã được chủ sở hữu công ty cho phép kiểm tra máy
tính này tại chỗ để xác định xem có bất kỳ bằng chứng nào trên ổ cứng hay không. Trong bài
thực hành này, bạn sẽ sử dụng công cụ FTK Imager tiến hành điều tra sơ bộ về dữ liệu trên ổ
cứng của máy tính trước khi nhận được lệnh thu giữ máy tính.
2.1.1. Tải tập tin Lab04_02.zip, giải nén được tập tin
GCFI-Bart_Jones.E01.
2.1.2. Sử dụng công cụ FTK Imager, chọn chức năng File/Add Evidence Item;
sau đó chọn nguồn dữ liệu là tập tin GCFI-Bart_Jones.E01 ở Câu
1.1.
2.1.3. Ở mục Evidence Tree, mở tập tin GCFI-Bart_Jones.E01 ->
GCFI-bj01 [NTFS] -> [root] để hiển thị thông tin của tập tin
2.1.4. Ở mục Evidence Tree, chọn chuột phải vào GCFI-Bart_Jones.E01 và
sử dụng chức năng “Export Directory Listing” để xuất danh sách tập tin có
trên máy tính. Lưu nội dung vào tập tin có tên “Preliminary Search”.
2.1.5. Chọn chuột phải vào GCFI-bj01[NTFS] và sử dụng chức năng “Export
File Hash List” để xuất giá trị băm của các tập tin. Lưu nội dung vào tập
tin có tên “Firestarter File Hashes”.
2.1.6. Mở 02 tập tin “Preliminary Search” và “Firestarter File Hashes”.
Chụp hình minh họa (chỉ cần phần đầu của tập tin).
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ

2.1.7. Tìm kiếm thông tin và trả lời các câu hỏi sau:
- Tên các tập tin Office bị xóa được tìm thấy trong thư mục “RECYCLED
BIN/Plans”?
- Burninator1.docx
- Burninator2.doc
- Burninator3.doc
- Burninator4.doc
Chụp hình minh họa kết quả thực hiện trên.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ

- Có bao nhiêu tập tin trong thư mục “RECYCLED BIN/Favorites”?

- 16 tệp tin.
Chụp hình minh họa kết quả thực hiện trên.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ

2.2. Điều tra kẻ phóng hỏa

Sau khi tiến hành một cuộc điều tra sơ bộ, bạn đã tìm thấy kẻ đốt phá và chiếc máy tính
được sử dụng để ghi lại tội ác của hắn. Trong quá trình phân tích dữ liệu từ ổ cứng, bạn đã khôi
phục hình ảnh các đám cháy trong thư mục “RECYCLED BIN” và các tập tin có thể chứa kế
hoạch thực hiện hành vi đốt phá. Trong bài thực hành này, bạn sử dụng Autopsy để phân tích
dữ liệu của máy tính và thu thập bằng chứng. Kết quả điều tra sẽ được trình bày trong một báo
cáo dùng truy tố hình kẻ phóng hỏa. Nếu vụ án được đưa ra xét xử, bạn sẽ sử dụng bản báo
cáo trong lời khai của mình với tư cách là nhân chứng chuyên môn cho việc truy tố.

2.2.1. Sử dụng công cụ Autopsy, chọn chức năng “New Case”. Nhập các thông
tin cần thiết. Ở mục “Select Data Source Type” chọn “Disk Image or VM
file”. Ở mục “Select Data Source” chỉ đường dẫn đến tập tin
GCFI-Bart_Jones.E01.Ở mục “Configure Ingest Modules” chọn
Select All, sau đó bỏ chọn Virtual Machine Extraction,
SmutDetect4Autopsy, và Android Analyzer; cuối cùng chọn Finish (tốn
nhiều thời gian).
2.2.2. Trong mục “Keyword Search”, chọn “Exact Match” và tìm kiếm với từ
khóa Burninator.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ

2.2.3. Trong kết quả tìm kiếm, chọn tập tin f00009424.html, xem qua nội
dung tập tin và trích xuất nội dung tập tin (Extract Files).

2.2.4. Trong kết quả tìm kiếm, chọn tập tin chat.log (tập tin chứa cuộc trò
chuyện giữa MasterBlastre và PhyreKing). Chọn chuột phải vào tập tin ->
Add File Tag -> New Tag. Ở giao diện New Tag, nhập “Burninator” vào
mục Tag Name, sau đó chọn OK.

2.2.5. Chọn và xem nội dung các tập Burninator2.doc,

Burninator3.doc, và Burninator4.doc. Chọn tất cả 3 tập tin và
click chuột phải -> Add File Tag -> “Burninator”.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ

2.2.6. Ở mục Web Search của Autopsy, chọn từ khóa tìm kiếm “arson for
fun and profit”. Chọn chuột phải vào thông tin -> Add Result Tag
-> New Tag. Ở giao diện New Tag, nhập “Web Searches” vào mục Tag
Name, sau đó chọn OK.

2.2.7. Ở mục Data Sources, đến thư mục “RECYCLED BIN/Plans” trích xuất tất
cả 04 tập tin Burninator1.docx, Burninator2.doc,
Burninator3.doc, và Burninator4.doc. Chọn chuột phải vào tập
tin Burninator1.docx -> Add File Tag -> “Burninator”.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ

2.2.8. Ở mục Data Sources, đến thư mục “RECYCLED BIN/Favorites”, chọn tất
cả tập tin có tên bắt đầu là fire. Chọn chuột phải vào các tập tin ->
Add File Tag -> New Tag. Ở giao diện New Tag, nhập “Possible Past
Arson Incident” vào mục Tag Name, sau đó chọn OK.

2.2.9. Ở mục Data Sources, đến thư mục “RECYCLED

BIN/Pleasure/Lumbermill”, chọn tất cả tập tin JPG có trong thư mục.
Chọn tất cả các tập tin và click chuột phải -> Add File Tag -> “Possible
Past Arson Incident”.

2.2.10. Ở mục Analysis Results/Encryption Detected của Autopsy, chọn tất cả

các 04 tập tin zip đã được đặt mật khẩu, sau đó trích xuất nội dung các
tập tin.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ

2.2.11. Cuối cùng, chức năng “Tools/Generate Report” để sinh ra báo cáo kết
quả điều tra. Chọn loại báo cáo là “Results - HTML” và “All Results”. Sau
khi báo cáo được tạo, hiển thị bằng trình duyệt web.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ

Chụp hình minh họa kết quả thực hiện.

2.3. Mở các tập tin được bảo vệ bằng mật khẩu

Sau khi gửi báo cáo điều tra, bạn nhận được thông báo từ công tố viên yêu cầu thêm
hai thông tin trong dữ liệu của máy tính thu được. Đầu tiên, công tố viên muốn xác nhận rằng
máy tính mà tội phạm (Bart Jones) sử dụng có một cảnh báo cho biết rằng người dùng không
có quyền riêng tư khi sử dụng máy tính này. Thứ hai, công tố viên muốn bạn trích xuất dữ liệu
trong các tập tin Burner.zip và Burninator1.docx được bảo vệ bằng mật khẩu và xác
định xem chúng chứa bằng chứng gì. Với các yêu cầu này, công tố viên dự định yêu cầu bạn
làm chứng trong phiên điều tra rằng máy tính được Bart Jones sử dụng có một cảnh báo hiển
thị khi người dùng đăng nhập vào máy tính đó, và máy tính có chứa các tập tin được bảo vệ
bằng mật khẩu, chứa bằng chứng bổ sung về các vụ đốt phá.

2.3.1. Tiếp tục sử dụng công cụ Autopsy, ở mục “Data Sources” ->
GCFI-Bart_Jones.E01 -> Windows -> System32 -> config; sau đó chọn
tập tin SOFTWARE.
2.3.2. Ở của nội dung bên dưới, chọn Microsoft -> Windows -> CurrentVersion
-> Policies -> System. Trong danh sách các Registry keys, chọn
legalnoticetext.
Chụp hình nội dung thông báo.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ

2.3.3. Tải và cài đặt công cụ Krylack, sử dụng công cụ để dò mật khẩu của tập
tin Burner.zip (trích xuất được ở Câu 2). Ở công cụ Krylack, chọn tập
tin Burner.zip. Sau đó chọn phương pháp Brute-force dò mật khẩu
có chứa ký tự Latin (abc…) và số Digits (123…), có độ dài tối thiểu là 8 ký
tự.
- Mật khẩu để giải nén tập tin Burrner.zip là gì?
- Mật khẩu giải nén tập tin Burrner.zip: aaaaaaaa
Chụp hình minh họa kết quả thực hiện.

2.3.4. Dò thủ công mật khẩu của tập tin Burninator1.docx, sử dụng các
nội dung tập tin temp.txt giải nén được ở Câu 3.3.
- Mật khẩu để mở tập tin Burninator1.docx là gì?
- Mật khẩu là: trogdor
- Hiển thị nội dung tập tin Burninator1.docx
Chụp hình minh họa kết quả thực hiện.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ

3. Sử dụng công cụ OSForensics (Không bắt buộc thực hiện, nhưng sinh viên nên
làm để quen với công cụ)
3.1. Tải và cài đặt công cụ OSForensics trên máy tính cá nhân.
3.2. Thực thi công cụ OSForensics, chọn “Continue Using Trial Version”. Chọn chức
năng “Create Case”, nhập các thông tin cần thiết và chọn “Investigate Disk(s)
from Another Machine”. Sau đó chọn chức năng “Add Device”, lựa chọn “Image
File”, sau đó chỉ đường dẫn tới tập tin charlie-2009-12-03.E01 ở Câu 1.2.
3.3. Sau đó thực hiện các công việc sau:
3.3.1. Chọn chức năng “Create Index”, chọn “Use Pre-defined File Types”. Chọn
“Uncheck All”, sau đó chọn lại “Emails” và “Images”. Ở Bước 2, chọn nút
“Add”, sau đó chọn “Whole Drive”. Sau đó đợi công cụ OSForensics hoàn
thành phân tích.
3.3.2. Chọn chức năng “Search Index”, tìm kiếm với từ khóa “Project2400”.
Click chuột phải vào email tìm được, chọn “View with E-mail Viewer” để
hiển thị email tìm được.
Chụp hình minh họa kết quả thực hiện.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ

3.3.3. Chọn chức năng “User Activity”, ở mục “Drive to Scan” chọn
charlie-2009-12-03. Ở mục “Config” chọn thời gian tìm kiếm là từ
16/11/2009 đến 9/12/2009. Sau khi OSForensics phân tích xong, chọn
thẻ “Timeline” để thấy các sự kiện xảy ra trong khoản thời gian đã chọn.
Chụp hình minh họa kết quả thực hiện.
# Nếu OSForensics bị lỗi thì bỏ qua câu này.
3.3.4. Quay về thẻ “File Details”, chọn sự kiện xảy ra vào lúc “11/17/2009,
15:30:27”. Click chuột phải chọn chức năng “Open URL/Open URL with
Internet Browser” để hiển thị nội dung trang web mà người dùng đã truy
cập.
Chụp hình minh họa kết quả thực hiện.
# Nếu OSForensics bị lỗi thì bỏ qua câu này.
3.3.5. Chọn chức năng “Start”, sau đó chọn chức năng “Generate Report” để
tạo báo cáo. Hiển thị báo cáo được sinh ra.
Chụp hình minh họa kết quả thực hiện.
3.4. Trả lời những câu hỏi sau:
3.4.1. Chủ đề (subject), tên người gửi (sender’s name), tên công ty (company
name) của e-mail được gửi tới Charlie 17/11/2009, 3:30 p.m.?
3.4.2. Lần cuối trình duyệt Firefox được thi là khi nào?
3.4.3. Trang web nào được mở vào 17/11/2009, 3:30:27 p.m.?
--- Hết ---