Professional Documents
Culture Documents
B2014585 CF Lab04
B2014585 CF Lab04
LAB 04
SỬ DỤNG CÁC CÔNG CỤ PHÁP Y MÁY TÍNH
(Current Digital Forensics Tools)
- Các sinh viên bị phát hiện sao chép bài của nhau sẽ nhận 0đ cho tất cả bài thực hành
của môn này.
- Bài nộp phải ở dạng PDF, hình minh họa phải rõ ràng chi tiết. Hình minh hoạ chỉ cần
chụp ở nội dung thực hiện, không chụp toàn màn hình.
1.4.2. Chọn chức năng Tools/Timeline trên thanh toolbar. Chọn thời gian là từ
16/11/2009, đến 4/12/2009. Chọn mục Filters, lọc với từ khóa
“Project2400” (Must include text), chọn “Apply”. Trên biểu đồ bên tay
phải, chọn 1 trong các cột trong biểu đồ để thấy các thông tin tìm thấy.
Chụp hình minh họa kết quả thực hiện.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ
1.4.3. Đóng cửa sổ Timeline và quay về giao diện chính. Chọn mục “Data
Artifacts/Web search” để thấy những gì người dùng đã tìm kiếm trên
Web.
Chụp hình minh họa kết quả thực hiện.
1.4.4. Chọn chức năng “Tools/Generate Report” để sinh ra báo cáo kết quả điều
tra. Chọn loại báo cáo là “Results - HTML” và “All Results”. Sau khi báo
cáo được tạo, hiển thị bằng trình duyệt web.
Chụp hình minh họa kết quả thực hiện.
2.1.7. Tìm kiếm thông tin và trả lời các câu hỏi sau:
- Tên các tập tin Office bị xóa được tìm thấy trong thư mục “RECYCLED
BIN/Plans”?
- Burninator1.docx
- Burninator2.doc
- Burninator3.doc
- Burninator4.doc
Chụp hình minh họa kết quả thực hiện trên.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ
2.2.1. Sử dụng công cụ Autopsy, chọn chức năng “New Case”. Nhập các thông
tin cần thiết. Ở mục “Select Data Source Type” chọn “Disk Image or VM
file”. Ở mục “Select Data Source” chỉ đường dẫn đến tập tin
GCFI-Bart_Jones.E01.Ở mục “Configure Ingest Modules” chọn
Select All, sau đó bỏ chọn Virtual Machine Extraction,
SmutDetect4Autopsy, và Android Analyzer; cuối cùng chọn Finish (tốn
nhiều thời gian).
2.2.2. Trong mục “Keyword Search”, chọn “Exact Match” và tìm kiếm với từ
khóa Burninator.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ
2.2.3. Trong kết quả tìm kiếm, chọn tập tin f00009424.html, xem qua nội
dung tập tin và trích xuất nội dung tập tin (Extract Files).
2.2.4. Trong kết quả tìm kiếm, chọn tập tin chat.log (tập tin chứa cuộc trò
chuyện giữa MasterBlastre và PhyreKing). Chọn chuột phải vào tập tin ->
Add File Tag -> New Tag. Ở giao diện New Tag, nhập “Burninator” vào
mục Tag Name, sau đó chọn OK.
2.2.6. Ở mục Web Search của Autopsy, chọn từ khóa tìm kiếm “arson for
fun and profit”. Chọn chuột phải vào thông tin -> Add Result Tag
-> New Tag. Ở giao diện New Tag, nhập “Web Searches” vào mục Tag
Name, sau đó chọn OK.
2.2.7. Ở mục Data Sources, đến thư mục “RECYCLED BIN/Plans” trích xuất tất
cả 04 tập tin Burninator1.docx, Burninator2.doc,
Burninator3.doc, và Burninator4.doc. Chọn chuột phải vào tập
tin Burninator1.docx -> Add File Tag -> “Burninator”.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ
2.2.8. Ở mục Data Sources, đến thư mục “RECYCLED BIN/Favorites”, chọn tất
cả tập tin có tên bắt đầu là fire. Chọn chuột phải vào các tập tin ->
Add File Tag -> New Tag. Ở giao diện New Tag, nhập “Possible Past
Arson Incident” vào mục Tag Name, sau đó chọn OK.
2.2.11. Cuối cùng, chức năng “Tools/Generate Report” để sinh ra báo cáo kết
quả điều tra. Chọn loại báo cáo là “Results - HTML” và “All Results”. Sau
khi báo cáo được tạo, hiển thị bằng trình duyệt web.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ
2.3.1. Tiếp tục sử dụng công cụ Autopsy, ở mục “Data Sources” ->
GCFI-Bart_Jones.E01 -> Windows -> System32 -> config; sau đó chọn
tập tin SOFTWARE.
2.3.2. Ở của nội dung bên dưới, chọn Microsoft -> Windows -> CurrentVersion
-> Policies -> System. Trong danh sách các Registry keys, chọn
legalnoticetext.
Chụp hình nội dung thông báo.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ
2.3.3. Tải và cài đặt công cụ Krylack, sử dụng công cụ để dò mật khẩu của tập
tin Burner.zip (trích xuất được ở Câu 2). Ở công cụ Krylack, chọn tập
tin Burner.zip. Sau đó chọn phương pháp Brute-force dò mật khẩu
có chứa ký tự Latin (abc…) và số Digits (123…), có độ dài tối thiểu là 8 ký
tự.
- Mật khẩu để giải nén tập tin Burrner.zip là gì?
- Mật khẩu giải nén tập tin Burrner.zip: aaaaaaaa
Chụp hình minh họa kết quả thực hiện.
2.3.4. Dò thủ công mật khẩu của tập tin Burninator1.docx, sử dụng các
nội dung tập tin temp.txt giải nén được ở Câu 3.3.
- Mật khẩu để mở tập tin Burninator1.docx là gì?
- Mật khẩu là: trogdor
- Hiển thị nội dung tập tin Burninator1.docx
Chụp hình minh họa kết quả thực hiện.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ
3. Sử dụng công cụ OSForensics (Không bắt buộc thực hiện, nhưng sinh viên nên
làm để quen với công cụ)
3.1. Tải và cài đặt công cụ OSForensics trên máy tính cá nhân.
3.2. Thực thi công cụ OSForensics, chọn “Continue Using Trial Version”. Chọn chức
năng “Create Case”, nhập các thông tin cần thiết và chọn “Investigate Disk(s)
from Another Machine”. Sau đó chọn chức năng “Add Device”, lựa chọn “Image
File”, sau đó chỉ đường dẫn tới tập tin charlie-2009-12-03.E01 ở Câu 1.2.
3.3. Sau đó thực hiện các công việc sau:
3.3.1. Chọn chức năng “Create Index”, chọn “Use Pre-defined File Types”. Chọn
“Uncheck All”, sau đó chọn lại “Emails” và “Images”. Ở Bước 2, chọn nút
“Add”, sau đó chọn “Whole Drive”. Sau đó đợi công cụ OSForensics hoàn
thành phân tích.
3.3.2. Chọn chức năng “Search Index”, tìm kiếm với từ khóa “Project2400”.
Click chuột phải vào email tìm được, chọn “View with E-mail Viewer” để
hiển thị email tìm được.
Chụp hình minh họa kết quả thực hiện.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ
3.3.3. Chọn chức năng “User Activity”, ở mục “Drive to Scan” chọn
charlie-2009-12-03. Ở mục “Config” chọn thời gian tìm kiếm là từ
16/11/2009 đến 9/12/2009. Sau khi OSForensics phân tích xong, chọn
thẻ “Timeline” để thấy các sự kiện xảy ra trong khoản thời gian đã chọn.
Chụp hình minh họa kết quả thực hiện.
# Nếu OSForensics bị lỗi thì bỏ qua câu này.
3.3.4. Quay về thẻ “File Details”, chọn sự kiện xảy ra vào lúc “11/17/2009,
15:30:27”. Click chuột phải chọn chức năng “Open URL/Open URL with
Internet Browser” để hiển thị nội dung trang web mà người dùng đã truy
cập.
Chụp hình minh họa kết quả thực hiện.
# Nếu OSForensics bị lỗi thì bỏ qua câu này.
3.3.5. Chọn chức năng “Start”, sau đó chọn chức năng “Generate Report” để
tạo báo cáo. Hiển thị báo cáo được sinh ra.
Chụp hình minh họa kết quả thực hiện.
3.4. Trả lời những câu hỏi sau:
3.4.1. Chủ đề (subject), tên người gửi (sender’s name), tên công ty (company
name) của e-mail được gửi tới Charlie 17/11/2009, 3:30 p.m.?
3.4.2. Lần cuối trình duyệt Firefox được thi là khi nào?
3.4.3. Trang web nào được mở vào 17/11/2009, 3:30:27 p.m.?
--- Hết ---