Professional Documents
Culture Documents
LAB 05
LIVE ACQUISITIONS AND ANALYSIS
(Thu thập và phân tích dữ liệu trực tiếp)
- Các sinh viên bị phát hiện sao chép bài của nhau sẽ nhận 0đ cho tất cả bài thực hành
của môn này.
- Bài nộp phải ở dạng PDF, hình minh họa phải rõ ràng chi tiết. Hình minh hoạ chỉ cần
chụp ở nội dung thực hiện, không chụp toàn màn hình.
1.2. Tải và thực thi công cụ QuickHash để tính giá trị băm của một file bất kỳ.
Chụp hình minh họa các kết quả thực hiện trên.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ
1.3. Tải và thực thi công cụ MWSnap để chụp màn hình máy tính cá nhân.
Chụp hình minh họa các kết quả thực hiện trên.
1.4. Tài và thực thi công cụ Belkasoft RAM Capturer cho thu thập dữ liệu trên bộ nhớ
RAM của máy tính cá nhân.
Chụp hình minh họa các kết quả thực hiện trên.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ
Lưu ý: các công cụ này có cũng thể đưa vào USB thu thập dữ liệu ở Câu 2 của Lab 01.
2.4.2. Giá trị băm của mật khẩu của tài khoản Waldo. (Mục hashdump).
- Giá trị băm tài khoản Waldo: +
+ LM hash :“aad3b435b51404eeaad3b435b51404ee”
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ
2.4.3. Chương trình đang hoạt động (lắng nghe) ở cổng 8080. (Mục netscan)
- Chương trình đang hoạt động ở cổng 8080: “ftpbasicsvr.exe”
sử dụng giao thức TCPv4
2.4.4. Mật khẩu mặc nhiên (default password) của LSA. (Mục lsadump)
- Mật khẩu mặc nhiên (default password): “P@ssw0rd”
2.4.6. Tên của thư mục trên mạng mà máy tính đã kết nối vào. (Mục shellbags)
- Thư mục trên mạng mà máy tính đã kết nối vào: “sambowne”
2.4.7. Tên chương trình ở thư mục “./Downloads” được thực thi lúc 23:12:30
ngày 9-13-2013. (Mục userassist)
- Chương trình ở thư mục “./Downloads” được thực thi lúc
23:12:30 ngày 9-13-2013: “Poison Ivy 2.3.2.exe”
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ
2.4.8. Mật khẩu của tài khoản Probe (Gợi ý: lấy giá trị băm của mật khẩu, sau
đó sử dụng các công cụ hoặc website (https://crackstation.net/) để dò mật
khẩu).
- Mật khẩu của tài khoản Probe: “P@ssw0rd”
Chụp hình minh họa các kết quả thực hiện trên.
3.7. Sử dụng công cụ Wireshark mở lại tập tin rhino.log.Lọc tất cả dữ liệu data
của mạng của dịch vụ FTP (ftp-data). Sử dụng chức năng “Follow” ->"TCP
Stream" để hiển thị dữ liệu, chọn hiển thị dữ liệu dạng RAW. Sau đó save as dữ
liệu thành tập tin có tên là rhino1.jpg
- Hiển thị tập tin rhino1.jpg (chụp hình minh họa kết quả thực hiện)
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ