Câu1:

- Mở File HDD Computer bằng phần mềm FTK Images:

- Lịch sử từ khoá tìm kiếm của trình duyệt Chrome được lưu ở thư mục Kim-
Ly//AppData//Roamming//Google//Local Search History:
- Chuột phải vào file google%2Eweb.w chọn Export. Sau đó mở File này bằng
Notepad ta được kết quả từ khoá tìm kiếm bằng trình duyệt Chrome:
- Lịch sử truy cập trang web của đối tượng:
- Danh sách các file đối tượng tải xuống:

- Tài khoản Skype của đối tượng là kimlyha

- Facebook của đối tượng: http://www.facebook.com/kimly.ha.395

-
Câu 2:
- Mở file SystemLog.evtx, chọn Filter Current Log
- Dùng filter current log để lọc event ID 6005: "The Event log service was
started". Đây là thông báo cho biết Dịch vụ Log Sự Kiện đã được khởi động,
thường xảy ra khi máy tính bắt đầu khởi động.
- Chọn mốc thời gian trong hai tuần gần nhất bằng cách nhấn vào Logged, chọn
Custom range:
- Ta được thông tin đối tượng mở máy 2 lần trong hai tuần gần nhất:
- Tương tự với event ID 6006: "The Event log service was stopped". Đây là
thông báo cho biết Dịch vụ Log Sự Kiện đã được dừng, thường xảy ra khi máy
tính đang tiến hành tắt máy. Ta được kết quả:
Câu 3:
- Mở file bằng công cụ Wireshark sử dụng filter lọc địa chỉ IP 192.168.1.100
bằng cách gõ ip.addr ==192.168.1.100:

- Từ thông tin gói tin thu thập được ta thấy thiết bị của đối tượng có địa chỉ
MAC là 00:0f:ea:19:83:dd:

- Dùng filter ip.addr == 192.168.1.100 && dns && dns.qry.name ==

"www.techdictionary.com". Các site cần giám sát việc là các địa chỉ IP :
203.162.0.181

- Các site Không trả lời gói tin ICMP ping request
- Số thứ tự gói tin ICMP”Echo (ping) request”, hiển thị ở thông tin frame
number của các gói tin là 3226: