Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ

LAB 05
LIVE ACQUISITIONS AND ANALYSIS
(Thu thập và phân tích dữ liệu trực tiếp)

Họ tên và MSSV: Lê Phú Mỹ - B2014585

Nhóm học phần: CT297-01

- Các sinh viên bị phát hiện sao chép bài của nhau sẽ nhận 0đ cho tất cả bài thực hành
của môn này.
- Bài nộp phải ở dạng PDF, hình minh họa phải rõ ràng chi tiết. Hình minh hoạ chỉ cần
chụp ở nội dung thực hiện, không chụp toàn màn hình.

1. Công cụ Live Acquisitions

1.1. Tải và thực thi công cụ WinAudit để lấy thông tin của máy tính cá nhân. Chọn
mục Firewall để xem cấu hình tường lửa của máy tính.
Chụp hình minh họa các kết quả thực hiện trên.

1.2. Tải và thực thi công cụ QuickHash để tính giá trị băm của một file bất kỳ.
Chụp hình minh họa các kết quả thực hiện trên.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ

1.3. Tải và thực thi công cụ MWSnap để chụp màn hình máy tính cá nhân.
Chụp hình minh họa các kết quả thực hiện trên.

1.4. Tài và thực thi công cụ Belkasoft RAM Capturer cho thu thập dữ liệu trên bộ nhớ
RAM của máy tính cá nhân.
Chụp hình minh họa các kết quả thực hiện trên.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ

Lưu ý: các công cụ này có cũng thể đưa vào USB thu thập dữ liệu ở Câu 2 của Lab 01.

2. Phân tích bộ nhớ sử dụng công cụ Autopsy

2.1. Tải tập tin Lab05_02.7z, giải nén được tập tin memdump.7z.
2.2. Sử dụng công cụ Autopsy. Ở thanh Menu, chọn Tools -> Plugins -> thẻ Installed.
Chọn mục "Experimental", sau đó chọn nút Activate button. Đóng cửa sổ Plugins
sau khi hoàn thành.
2.3. Trên công cụ Autopsy, chọn chức năng “New Case”. Nhập các thông tin cần
thiết. Ở mục “Select Data Source Type” chọn “Memory Image File (Volatility)”.
- Ở mục “Select Data Source” chỉ đường dẫn đến tập tin memdump.7z ở
Câu 2.2.
- Ở mục “Plugins to run” chọn consoles, hashdump, lsadump, netscan,
pslist, shellbags, userassist.
- Ở mục “Configure Ingest Modules” chọn Select All. Cuối cùng chọn
Finish.
2.4. Sau quá trình phân tích thành công, chọn mục "Data Sources" ->
“ModuleOutput”. Tìm kiếm thông tin và trả lời các câu hỏi sau:
2.4.1. Mật khẩu của tài khoản Waldo. (Mục consoles)
- Mật khẩu tài khoản Waldo: “Apple 123”

2.4.2. Giá trị băm của mật khẩu của tài khoản Waldo. (Mục hashdump).
- Giá trị băm tài khoản Waldo: +
+ LM hash :“aad3b435b51404eeaad3b435b51404ee”
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ

+ NTML hash: “cfeac129dc5e61b2eb9b2e7131fc7e2b”

2.4.3. Chương trình đang hoạt động (lắng nghe) ở cổng 8080. (Mục netscan)
- Chương trình đang hoạt động ở cổng 8080: “ftpbasicsvr.exe”
sử dụng giao thức TCPv4

2.4.4. Mật khẩu mặc nhiên (default password) của LSA. (Mục lsadump)
- Mật khẩu mặc nhiên (default password): “P@ssw0rd”

2.4.5. Tên tiến trình có mã số (PID) là 1800. (Mục pslist)

- Tiến trình có PID 1800: “FTK Imager.exe”

2.4.6. Tên của thư mục trên mạng mà máy tính đã kết nối vào. (Mục shellbags)
- Thư mục trên mạng mà máy tính đã kết nối vào: “sambowne”

2.4.7. Tên chương trình ở thư mục “./Downloads” được thực thi lúc 23:12:30
ngày 9-13-2013. (Mục userassist)
- Chương trình ở thư mục “./Downloads” được thực thi lúc
23:12:30 ngày 9-13-2013: “Poison Ivy 2.3.2.exe”
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ

2.4.8. Mật khẩu của tài khoản Probe (Gợi ý: lấy giá trị băm của mật khẩu, sau
đó sử dụng các công cụ hoặc website (https://crackstation.net/) để dò mật
khẩu).
- Mật khẩu của tài khoản Probe: “P@ssw0rd”

Chụp hình minh họa các kết quả thực hiện trên.

3. Phân tích mạng sử dụng Wireshark

3.1. Tải và cài đặt công cụ Wireshark trên máy tính cá nhân. Sử dụng công cụ
Wireshark để bắt một số dữ liệu trên card mạng của máy tính cá nhân.
3.2. Tải và giải nén tập tin Lab05_03.zip, giải nén được tập tin rhino.log.
3.3. Sử dụng công cụ Wireshark mở tập tin rhino.log. Lọc chọn những gói tin của
dịch Telnet. Sử dụng chức năng “File” ->"Export Specified Packets" để xuất tất
cả các gói tin lọc được, lưu vào tập tin có tên là telnet.pcap.
3.4. Tương tự Câu 3.3, lọc và xuất tất cả dữ liệu của mạng của dịch vụ FTP vào tập
tin ftp.pcap
3.5. Dùng Wireshark mở tập tin telnet.pcap. Chọn tất cả các gói tin, sử dụng
chức năng “Follow” ->"TCP Stream" để hiển thị dữ liệu gửi và nhận qua dịch vụ
Telnet. Ở mục dưới bên phải của cửa sổ, thay đổi giá trị mục Stream để thấy
các nội dung dữ liệu của các Stream.
- Tìm tên tập tin chứa thông điệp gửi cho người dùng John.
- Tên tập tin chứa thông điệp gửi cho người dùng John:
“JOHNREADME”
Chụp hình minh họa kết quả thực hiện trên.
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ

3.6. Tương tự Câu 3.5, mở tập tin ftp.pcap.

- Tìm tên tập tin thứ 3 được download thông qua dịch vụ FTP.
- Tên tập tin thứ 3 được download thông qua dịch vụ FTP:
“contraband.zip”
Chụp hình minh họa kết quả thực hiện trên.

3.7. Sử dụng công cụ Wireshark mở lại tập tin rhino.log.Lọc tất cả dữ liệu data
của mạng của dịch vụ FTP (ftp-data). Sử dụng chức năng “Follow” ->"TCP
Stream" để hiển thị dữ liệu, chọn hiển thị dữ liệu dạng RAW. Sau đó save as dữ
liệu thành tập tin có tên là rhino1.jpg
- Hiển thị tập tin rhino1.jpg (chụp hình minh họa kết quả thực hiện)
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ

--- Hết ---