LAP1: Carving tệp SSD hệ thống tệp Windows

Carving tập tin là một kỹ thuật để khôi phục các tập tin và các đoạn tập tin từ không gian đĩa cứng chưa
được phân bổ trong trường hợp không có siêu dữ liệu tập tin.

KỊCH BẢN:
Sam, một điều tra viên pháp y, có nhiệm vụ thực hiện khắc tệp trên tệp hình ảnh pháp y của ổ SSD có
được từ hệ thống tệp Windows. Các cơ quan thực thi pháp luật đã thu được hình ảnh từ máy của một
nghi phạm bị cáo buộc thực hiện các hoạt động bất chính. Lúc này, điều tra viên pháp y nên sử dụng kỹ
thuật khắc file để phục hồi thêm dữ liệu liên quan đến vụ án. Để làm như vậy, điều tra viên phải có
kiến thức về cấu trúc hệ thống tệp để xác định và khôi phục các tệp cũng như các đoạn tệp từ không
gian chưa được phân bổ của SSD trong trường hợp không có siêu dữ liệu tệp.

MỤC TIÊU: hiểu cách thực hiện khắc tệp SSD

MÔI TRƯỜNG:
 Một máy tính chạy máy ảo Windows Server 2016
 Đặc quyền quản trị để thực thi lệnh
 Một trình duyệt web có khả năng truy cập internet
 Autopsy cho Windows cài trên máy ảo

Bước 1: Đăng nhập vào máy ảo Winserver2016

Bước 2: Vào Autopsy 4.14.0 > New Case

Bước 3: Chỉ định Case Name là SSD File Carving (Windows, TRIM Enabled), lưu tại folder Image
File Analysis trên Desktop, mở Browse để chỉ định nó làm Base Directory, Next
Bước 4: Optional Information. Cung cấp Case Number & Examiner Details, viết thông tin vào
Examiner tùy thích, Finish

Bước 5: Sau khi tạo cây, xuất hiện cửa sổ Add Data Source, Select Type of Data Source to Add: Disk
Image or VM File, Next
Bước 6: Select Data Source: Browse

Bước 7: Vửa sổ Open xuất hiện. Chuyển hướng tới Windows_Evidence_SSD_TE.dd, Open

Bước 8: Select Data Source xuất hiện đường dẫn của file .dd vừa rồi, Next

Bước 9: Add Data Source hiển thị Configure Ingest Modules hiển thị danh sách các tùy chọn đã được
click, chọn theo yêu cầu cá nhân
Bước 10: Add Data Source section xuất hiện, hiển thị Data Source đã được thêm vào csdl cục bộ, Files
đang được phân tích, Finish

Bước 11: Chuyển đến cửa sổ chính của ứng dụng. Expand Data Sources, liệt kê tệp ảnh chọn để phân
tích. Click vào tên tệp ảnh chứa các thư mục lưu trữ dữ liệu liên quan đến tệp, quy trình, dịch vụ, công
cụ, v.v., được lưu trữ/sử dụng trên hệ thống Windows

Bước 12: Mục tiêu là khôi phục các tệp tin đã được carving. Mất khoảng 10-15p để phân tích ảnh và
truy xuất các tệp đã bị xóa và carving khỏi ảnh. Tuy nhiên, vì đây là trường hợp liên quan đến việc sử
dụng tệp hình ảnh SSD hỗ trợ TRIM làm tệp bằng chứng nên chúng tôi nhận thấy rằng công cụ này
không khắc bất kỳ tệp nào. Do đó, điều này chứng tỏ rằng không thể khắc tệp khi TRIM được bật trên
tệp hình ảnh SSD. Đóng tất cả windows của Autopsy
Bước 13: Chuyển sang lấy dữ liệu từ tệp hình ảnh SSD bị tắt TRIM. Các bước bên dưới mô tả việc
khắc tệp SSD trên hệ thống tệp Windows khi TRIM bị tắt.
Bước 14: Khởi chạy lại công cụ Autopsy, chọn lại New Case

Bước 15: Làm lại các bước như trên, khi đến Case Information, Case name là SSD File Carving
(Windows, TRIM Disable)
Bước 16: Tại Select Data Source: Browse, vì là TRIM Disable nên mình sẽ chọn Windows
Evidence_SSD_TD.dd

Bước 17: Expand Data Source, click vào Windows_Evidence_SSD_TD.dd để xem thông tin
Bước 18: Để tìm được Carved files, đúp chuột vào CarvedFiles sẽ hiện dạm sách các tập tin được xác
định bằng dấu chéo liên kết với biểu tượng con dao

Note: Sau khi tải các tệp đã khắc, bạn cũng sẽ tìm thấy chúng trong tùy Deleted Files. Expand Deleted
Files để tìm danh mục All bên dưới nó. Chọn All rồi cuộn xuống danh sách tệp ở khung bên phải để
xác định vị trí các tệp được khắc đó. Do đó, bạn có thể khôi phục các tệp đã khắc đó từ All trong
Deleted Files theo cách khác.

Bước 19: Để xem nội dung của một tập tin được khắc, hãy chọn tập tin đó. Nội dung của nó sẽ được
hiển thị ở khung bên dưới của cửa sổ công cụ. Chọn

Bước 20: Để khôi phục carved files đã chọn, click chuột phải rồi chọn Extract Files
Bước 21: Cửa sổ Save mở ra, hiển thị vị trí mặc định nơi tệp được trích xuất ra. Vị trí mặc định này là
thư mục con Export tại trong thư mục trường hợp được tạo trong thư mục Image File
Analysis/Desktop. Save

Bước 22: Hiển thị pop-up trích xuất thành công

Bước 23: Vào folder Image Analysis kiểm tra
LAP 2: Carving tệp SSD hệ thống tệp Linux

Khắc tập tin là một kỹ thuật để khôi phục các tập tin và các đoạn tập tin từ không gian đĩa bard chưa
được phân bổ trong trường hợp không có siêu dữ liệu tập tin. Việc khắc tệp SSD trên hệ thống tệp
Linux được thực hiện bằng công cụ pháp y Autopsy.

Kịch bản:
Sam, một điều tra viên pháp y, có nhiệm vụ thực hiện khắc tệp trên tệp hình ảnh pháp y của ổ SSD có
được từ hệ thống tệp Linux. Các cơ quan thực thi pháp luật đã thu được hình ảnh từ máy của một nghi
phạm bị cáo buộc thực hiện các hoạt động bất chính. Lúc này, điều tra viên pháp y nên sử dụng kỹ
thuật khắc file để phục hồi thêm dữ liệu liên quan đến vụ án. Để làm như vậy, điều tra viên phải có
kiến thức về cấu trúc hệ thống tệp để xác định và khôi phục các tệp cũng như các đoạn tệp từ không
gian chưa được phân bổ của SSD trong trường hợp không có siêu dữ liệu tệp.

MỤC TIÊU: thực hiện khắc tệp SSD trên hệ thống tệp Linux

MÔI TRƯỜNG:
 Một máy tính chạy máy ảo Windows Server 2016
 Đặc quyền quản trị để thực thi lệnh
 Một trình duyệt web có khả năng truy cập internet
 Autopsy cho Windows cài trên máy ảo

Bước 1: Login vào Winserver, mở Autopsy -> New Case

Bước 2: Case name sẽ là SSD File Carving (Linux File System)

Bước 3: Optional Information, Case Number là 101

Bước 4: Select Type of Data Source to Add: Disk Image or VM File, Select Data Source: Browse. Ở
đây mình sẽ chọn Linux_Evidence_SSD.dd rồi làm theo các bước hay làm

Bước 5: Expand Data Sources, chọn Linux _Evidence_SSD.dd để xem nội dung bên trong
Bước 6: Lab này mục tiêu là truy xuất các carved Files. Sau khi click vào Linux_Evidence_SSD.dd cần
chờ khoảng vài phút trong khi load folder Carved Files ở khung bên phải
Bước 7: Xem nội dung của Carved Files, click vào nó

Bước 8: CHọn một trong số các carved images files (f0203056.jpg) để xem nội dung. Tùy theo yêu cầu
có thể xem cả ở những options Hex, text,…

Bước 9: Để khôi phục carved Files, bấm phải chuột chọn Extract Files
Bước 10: Xuất hiện cửa sổ Save, sẽ được mặc định lưu trong Exports

Bước 11: Xuất hiện một pop-up thông báo thành công

Bước 12: Vào trong Image File Analysis để xem tệp đã được khôi phục
LAP 3: Khôi phục dữ liệu bị mất / bị xoá khỏi phân vùng đĩa

Khi một phân vùng bị xóa khỏi đĩa, các tệp trong đĩa sẽ bị mất và các mục liên quan đến phân vùng đã
xóa sẽ bị máy tính xóa khỏi bảng phân vùng MBR. Tuy nhiên, miễn là phần tương ứng của đĩa không
bị ghi đè thì vẫn có cơ hội khôi phục phân vùng đã xóa và các tệp trong đó.
Kịch bản:
Kẻ tấn công đã lưu các tệp độc hại vào một trong các phân vùng đĩa của hệ thống máy trạm của nạn
nhân và thực thi chúng để đánh cắp dữ liệu kinh doanh nhạy cảm. Sau khi phạm tội, kẻ tấn công đã xóa
toàn bộ phân vùng đĩa mà chúng đã lưu các tệp độc hại để ngăn chặn hành vi phạm tội và danh tính của
chúng bị phát hiện. Nạn nhân phát hiện ra rằng một trong các phân vùng đĩa trên hệ thống của họ bị
thiếu. Họ cũng phát hiện ra rằng hệ thống đang hoạt động đáng ngờ và đã báo cáo vấn đề với bộ phận
an ninh mạng của tổ chức họ. Là một phần của cuộc điều tra pháp y trong trường hợp này, các nhà điều
tra hiện phải khôi phục phân vùng đĩa đã bị xóa để có thể truy xuất các tệp được lưu trữ trong đó (cả
tệp bình thường và tệp độc hại) và có thể gửi tệp độc hại để điều tra thêm.
MỤC TIÊU:
hiểu cách khôi phục dữ liệu từ các phân vùng bị mất/bị xóa

Môi trường:
 Một máy tính chạy máy ảo Windows 10
 Một máy tính chạy máy ảo Windows Server 2016
 Đặc quyền quản trị để thực thi lệnh
 Công cụ EaseUS Data Recovery Wizard đã được cài đặt trênmáy ảo của bạn

Bước 1: Login vào Win 10

Bước 2: Giữ máy WinSV được bât

Bước 3: Khởi động EaseUS Data Recovery Wizard. Di chuột tới Lost-Partition-1 để thấy nút Scan và
bắt đầu Scan
Bước 4: Công cụ chạy Advanced Scan sẽ hiển thị biểu tượng cho phân vùng đã xóa trong một cửa sổ
mới. Biểu tượng Lost Partition-1 có thể được tìm thấy ở khung bên trái của cửa sổ ở trên cùng. Bên
dưới Lost Partition -1 sẽ tìm thấy một thư mục có tên Lost Files và thư mục tương tự có thể được tìm
thấy ở khung bên phải, như trong ảnh chụp

Bước 5: Để xem nội dung trong folder Lost Files, mở rộng Lost Files sẽ thấy như sau
Bước 6: Mở rộng Lost partition (NTFS) để xem dữ liệu trong đó.

Bước 7: Các file audio, ảnh, txt được hiển thị như trên

Bước 8: Mục tiêu của lab là khôi phục toàn bộ phân vùng bị mất/xóa nên kiểm tra icon Lost Partition-1
ở trên cùng bên trái cửa sổ, chọn tất cả dữ liệu nằm trong phân vùng đó và bấm Recover
Bước 9: Xuất hiện cửa sổ Browse for Folder, tại ổ F chọn folder Recovered Partition được tạo trước khi
làm lab rồi click OK, tất cả dữ liệu được lưu trữ trong phân vùng bị xóa sẽ được recover và lưu vào
Recovered Partition

Bước 10: EaseUS sẽ bắt đầu khôi phục các tệp như dưới đây

Bước 11: Một lúc sau ứng dụng sẽ tạm dừng khôi phục và đưa ra hai lựa chọn, do đây là bản dùng thử
nên sẽ không thể khôi phục tất cả các tệp miễn phí. Ở lab này mình sẽ chọn options Don’t Recover Any
More

Bước 12: Sau đó ứng dụng sẽ tự động chuyển tới vị trí lưu dữ liệu từ phân vùng đã xóa

Bước 13: EaseUS tự động tạo một loạt thư mục con bên trong thư mục Recovered Partition. Thư mục
Recovered Partitions sẽ có thư mục EaseUS theo định dạng Easeus [DD HH_MM] với DD là ngày 23,
HH là 15 giờ còn MM là 09 phút, tất cả data được khôi phục sẽ được lưu trong này
LAP 4: Khôi phục dữ liệu từ phân vùng đã bị xóa và extend nó vào phân vùng khác

Khi một phân vùng bị xóa khỏi đĩa, các tệp trong đĩa sẽ bị mất và các mục liên quan đến phân vùng đã
xóa sẽ bị máy tính xóa khỏi bảng phân vùng MBR. Tuy nhiên, miễn là phần tương ứng của đĩa không
bị ghi đè thì vẫn có cơ hội khôi phục phân vùng đã xóa và các tệp trong đó.
Kịch bản:
Kẻ tấn công đã lưu các tệp độc hại vào một trong các phân vùng đĩa của hệ thống máy trạm của nạn
nhân và thực thi chúng để đánh cắp dữ liệu kinh doanh nhạy cảm. Sau khi phạm tội, kẻ tấn công đã xóa
toàn bộ phân vùng đĩa mà chúng đã lưu các tệp độc hại để ngăn chặn hành vi phạm tội và danh tính của
chúng bị phát hiện. Để làm mọi việc phức tạp hơn, kẻ tấn công đã sáp nhập phân vùng này vào phân
vùng khác. Nạn nhân phát hiện ra rằng một trong các phân vùng đĩa trên hệ thống của họ ✓ bị thiếu và
kích thước của phân vùng khác đã tăng lên theo kích thước của phân vùng đã xóa. Họ đã báo cáo vấn
đề với bộ phận an ninh mạng của tổ chức. Là một phần của cuộc điều tra pháp y trong trường hợp này,
các điều tra viên hiện phải khôi phục dữ liệu từ phân vùng đã tồn tại trước đó để có thể truy xuất các
tệp được lưu trữ trong đó (cả tệp bình thường và tệp độc hại) và các tệp chương trình độc hại có thể bị
xử lý. tiếp tục điều tra.

Mục tiêu:
Giúp bạn hiểu cách khôi phục dữ liệu từ một phân vùng đã bị xóa và sáp nhập vào một phân vùng
khác.
Môi trường:
 Một máy tính chạy máy ảo Windows 10
 Một máy tính chạy máy ảo Windows Server 2016
 Đặc quyền quản trị để thực thi lệnh
 Một trình duyệt web có khả năng truy cập internet
 R-Studio

Bước 1: Login vào win 10

Bước 2: Bậtmáy WinSV 2016
Bước 3: Lab này là phần tiếp của lab trước, ở lab này sẽ mở rộng phân vùng ổ đĩa đã có bằng
cách hợp x GB dung lượng chưa phân bổ vào đó. X GB là dung lượng của phân vùng bị xóa và do
đó sẽ hiển thị dưới dạng dung lượng chưa được phân bổ trong Disk Management

Bước 4: Giờ sẽ xem cách khôi phục phân vùng đã bị xóa bằng R-Studio

Bước 5: Gõ Diskmanagement ở Search bar và Enter, chọn Create and format hard disk partitions

Bước 6: Cửa sổ Disk Management xuất hiện, tìm thấy một phân vùng , click chuột phải vào đó và
chọn Extend Volume để mở rộng ổ đĩa

Bước 7: Xuất hiện cửa số Extend Volume Wizard, Next

Bước 8: Xuất hiện phần Select Disk, tại đây sẽ thấy dung lượng chưa được phân bổ trong đĩa
(~10GB) , Next
Bước 9: đến bước cuối chọn finish

Bước 10: Hiện giờ đxa thấy ổ E tăng thêm 10GB

 Bước 11: Sau khi gộp phân vùng đã xóa vào phân vùng đang hoạt động thì sẽ khôi phục các tập tin
của phân vùng đã bị xóa và sát nhập vào. Chuyển đến Tools của Module 5, khởi động
Rstudio8.exe. Chọn ngôn ngữ là tiếng Anh, Ok

Note: Nếu hiện lên pop-up User Account Control thì bấm Yes

Bước 12: Click next theo cài đặt mặc định

Bước 13: Ở bước cuối chọn Launch R-Studio và Finish

Bước 14: Cửa sổ đăng ký dùng tool hiện ra, chọn Demo để tiếp tục

B15. Cửa sổ chính của công cụ xuất hiện, kiểm tra phân vùng đã bị xóa và khôi phục dữ liệu của phân
vùng đã bị xóa. Để làm vậy thì đầu tiên chọn ổ F và click vào icon Scan trên thanh công cụ
B16: Xuất hiện cửa sổ Scan. Chọn option Detailed (Scan progress and found objects.Slower.) rồi chọn
button Scan

B17. Công cụ sẽ bắt đầu Scan và thông tin chi tiết khi quét sẽ được hiển thị ở khung bên phải của cửa
sổ công cụ, có thể quan sát tiến trình quét ở dưới cùng cửa sổ
Note: Thời gian quét phụ thuộc vào dung lượng lưu trữ của ổ đĩa được quét
B18. Sau khi hoàn tất quá trình quét, công cụ sẽ liệt kê các phân vùng được nhận dạng (Regconized
Partitions) bên dưới ổ đĩa đã chọn để quét

B19. Tại ổ C kiểm tra phân vùng được liệt kê là Regconized0, công cụ hiển thị kích thước của nó , đây
là dung lượng không xác định => Recognized2 là vùng bị mất/xóa có dung lượng 10B được hợp nhất
vào ổ F hiện có

B20. Để xem nội dung phân vùng bị mất/xóa (Recognized0), nháy đúp chuột vào phân vùng đó
B21. Giờ có thể thấy tất cả nội dung của phân vùng đó như dưới đây

B22. Nếu muốn xem nội dung của các folder được lưu trữ trong phân vùng bị xóa thì click vào folders
đó, sẽ hiển thị nội dung chi tiết bên cột phải cửa sổ. Mình sẽ xem thông tin của folder Audio File và
ADS file

B23. Mục tiêu lab này là khôi phục toàn bộ phân vùng bị xóa nên sẽ khôi phục toàn bộ Recognized2
B24. Chọn biểu tượng Recognized2 ở trên cùng khung trái cửa sổ để chọn tất cả thư mục, sau đó chọn
Recover Marked trên thanh công cụ

B25. Xuất hiện cửa sổ Recover, trong trường Output Folder trên cùng cần cung cấp thư mục đầu ra để
lưu dữ liệu của phân vùng được khôi phuck, mình sẽ đặt thư mục đầu ra là C:\Recovered Partitions.
Trên cửa sổ đó, dưới tab Main kiểm tra các ô và chọn theo yêu cầu bản thân rồi OK

B26. Nếu hộp thoại R-Studio Demo xuất hiện nhắc chọn xóa thuộc tính hay giữ nguyên cài đặt, chọn
Apply the Answer to all the recovered files nhấp vào Continue

B27. R-Studio tạo một thư mục có tên Root bên trong phân vùng C:\Recovered Partition. Dữ liệu từ
phân vùng bị mất/bị xóa sẽ được khôi phục và lưu vào thư mục này, tức là D:\Recovered Partition\
Root.

B28. Vì đây là phiên bản demo của công cụ nên các tệp có kích thước lớn hơn 256 KB sẽ không được
phục hồi. Nếu thấy pop-up R-Studio Demo cho biết rằng không thể khôi phục các tệp vượt quá giới
hạn 256 KB, hãy chọn Don’t show this message again và nhấp vào Skip
B29. R-Studio bắt đầu khôi phục files và hiển thị tiến độ như dưới đây

B30. Sau khi hoàn thành quá trình khôi phục sẽ tìm thấy data được khôi phục tại C:\Users\
Administrator\Desktop\Recovered Partition\Root
LAP 5: Bẻ khóa mật khẩu ứng dụng

Mật khẩu thường là một chuỗi ký tự được sử dụng để xác minh danh tính của
người dùng trong quá trình xác thực.
Kịch bản
Quá trình điều tra trộm cắp tài sản trí tuệ và bí mật thương mại của một tổ
chức ngân hàng đầu tư đã khiến các điều tra viên điều tra chiếc máy tính cá nhân của
hung thủ. Thủ phạm đã lưu trữ tất cả thông tin bị đánh cắp dưới dạng nhiều tài liệu
khác nhau trên máy tính của họ và đặt mật khẩu cho những tài liệu đó để ngăn người
khác truy cập.
Với sự giúp đỡ của các cơ quan thực thi pháp luật, các nhà điều tra viên đã thu
giữ máy của thủ phạm để tìm kiếm thông tin bị đánh cắp trong đó. Trong quá trình
điều tra, các điều tra viên đã tìm thấy một số tệp được bảo vệ bằng mật khẩu, mật
khẩu này phải được bẻ khóa để có thể truy cập vào thông tin nhạy cảm của tổ chức
ngân hàng đầu tư. Các điều tra viên nên tiến hành bẻ khóa mật khẩu của các tài liệu
được bảo vệ như thế nào?
Là một chuyên gia điều tra viên, bạn phải biết cách bẻ khóa mật khẩu của các
tệp và ứng dụng được bảo vệ bằng mật khẩu.
Mục tiêu
Mục tiêu của lab này là giúp bạn hiểu cách bẻ khóa mật khẩu của các tệp và
ứng dụng được bảo vệ bằng mật khẩu.
Môi trường
Lab này yêu cầu những điều sau:
 Một máy tính chạy máy ảo Windows 10
 Một máy tính chạy máy ảo Windows Server 2016
 Đặc quyền quản trị để thực thi lệnh
 Một trình duyệt web có thể truy cập internet
 Bộ cài đặt Passware Kit Forensic có tại C:\CHFI-Tools\CHFIv10 Module05
Defeating Anti-forensics Techniques\Password Cracking Tools\Passware Kit
Forensic
Lưu ý: Bạn có thể tải xuống phiên bản mới nhất của Passware Kit Forensic từ
https://www.passware.com/kit-forensic/
Nếu bạn sử dụng phiên bản phần mềm mới nhất cho lab này thì các bước và ảnh
chụp màn hình được trình bày trong phòng thí nghiệm có thể khác.
Lưu ý: Đảm bảo rằng Bảo vệ thời gian thực bị tắt trong máy ảo Windows 10 (nếu
nó đang chạy) trước khi bắt đầu bài thực hành này.
Tổng quan
Lab này giúp bạn làm quen với công cụ Pháp y Passware Kit và giúp bạn hiểu
cách bẻ khóa mật khẩu của các ứng dụng/tệp được bảo vệ bằng mật khẩu trên máy
tính nhằm mục đích điều tra số.

B1. Đăng nhập vào máy ảo Windows 10.

B2. Luôn bật máy ảo Windows Server 2016
B3. Cài đặt passware-kit-forensic-demo.msi trong Module 5
Lưu ý: Nếu cửa sổ Open File - Security Warning xuất hiện, hãy nhấp vào Run.

B4. tại bước cưới, bấm Run Passware Kit Forensic Demo đã được chọn. Bấm vào
Finish
B5. Passware Kit Forensic GUI xuất hiện

B6. Nhấp vào tùy chọn Recover File Password

B7, chọn file Sample_1.docx,và nhấp vào Open.

B8. Sau khi tải tệp lên ứng dụng, trình hướng dẫn cửa sổ Recover File Password sẽ
xuất hiện, tại đây bạn cần chọn tùy chọn Use Predefined Settings

B9. sẽ mất một chút thời gian để bẻ khóa mật khẩu.Thời gian cần thiết tỷ lệ thuận với
số lượng và loại ký tự được sử dụng trong mật khẩu.

B10. Sau khi phân tích, công cụ hiển thị mật khẩu đã bị bẻ khóa
B11. Đóng ứng dụng. Bây giờ, chúng ta sẽ xem xét cách bẻ khóa một tệp nén được
bảo vệ bằng mật khẩu.

B12. để bẻ khóa mật khẩu của thư mục nén hoặc tệp RAR, cài đặt
Archpr_setup_en.msi trong Module 5

B13. nhấn next --> finish

B15. Advanced Archive Password Recovery GUI hiện ra

B16. Bây giờ, hãy đặt phạm vi cho các tùy chọn tấn công vũ phu bằng cách chọn các
tùy chọn trong tab Range. Với mục đích minh họa của lab này, chúng tôi đang chọn
tùy chọn All digits (0-9) trong khi bỏ chọn tất cả các tùy chọn khác. Trong khi chạy
phòng thí nghiệm trong thời gian thực, bạn có thể kiểm tra các tùy chọn này theo yêu
cầu của mình.
B17. Từ
thanh công cụ của cửa sổ công cụ, nhấp vào Open để thêm tệp WinRAR mà
bạn muốn bẻ khóa

B18. chọn tệp Compression_files.rar và nhấn Open

B19. Công cụ bẻ khóa mật khẩu và hiển thị nó cùng với các chi tiết khác

B20. Trong tình huống thực tế, bạn phải đặt tất cả các tùy chọn vì bạn thường sẽ không
có bất kỳ manh mối nào về mật khẩu bảo vệ tệp. Do đó, công cụ này sẽ mất rất nhiều
thời gian để bẻ khóa mật khẩu nếu nó có tính chất phức tạp.

B21. Đóng ứng dụng.

B22. Bây giờ Weshall sẽ bẻ khóa mật khẩu của tệp PDF được bảo vệ bằng mật khẩu
B23. Để bẻ khóa mật khẩu, chúng tôi sẽ sử dụng công cụ Advanced PDF Password
Recovery.
B24. CCaif đặt apdfpr_setup_en.msi trong Module 5
B25,26. nhấn next - finish

B27. Advanced PDF Password Recovery GUI xuất hiện

B28. đặtphạm vi cho các cuộc tấn công vét cạn bằng cách chọn các tùy chọn trong tab
Range. Với mục đích minh họa lab này, chúng tôi đang chọn tùy chọn All small
latin(a-z) trong khi không chọn các tùy chọn khác.
B29. nhấp vào Open để thêm tệp PDF bạn muốn bẻ khóa.
B30. Chọn File Confidential.pdf và click Open
B31. Cửa sổ bật lên APDFPR xuất hiện với thông báo nhắc bạn nhập mật khẩu cho tài
liệu. Nhấp vào nút Start recovery
B32. Saukhi thực hiện phân tích, công cụ sẽ hiển thị một cửa sổ có mật khẩu cho tệp
Confidential.pdf, như trong ảnh chụp màn hình sau:

B33. rong tình huống thực tế, bạn phải đặt tất cả các tùy chọn vì bạn thường sẽ không
có bất kỳ manh mối nào về mật khẩu bảo vệ tệp. Do đó, công cụ này sẽ mất rất nhiều
thời gian để bẻ khóa mật khẩu nếu nó có tính chất phức tạp
LAP 6. Phát hiện kỹ thuật Steganography
Steganography là quá trình ẩn thông tin hoặc một tập tin trong một tập tin
khác. Nói cách khác, đó là quá trình ngụy trang một tệp có hại thành một tệp an toàn.
Kịch bản
Những kẻ tấn công đôi khi cố gắng đánh lừa người dùng và bảo mật hệ thống
bằng cách ẩn một chương trình độc hại bằng một hình ảnh hoặc tệp có vẻ hữu ích.
Bằng cách này, họ có thể ngăn chặn việc kiểm tra bảo mật và dụ nạn nhân tải xuống
và chạy phần mềm độc hại cũng như ngăn chặn việc nhận dạng điều tra.
Là một nhà điều tra viên chuyên nghiệp, bạn phải có khả năng phát hiện và
phân tích các tệp tin mật mã.
Mục tiêu
Mục tiêu của lab này là giúp bạn phân tích các tệp bị ẩn bằng kỹ thuật giấu tin
và tìm ra tác động của chúng đối với hệ thống hoặc mạng.
Môi trường
Lab này yêu cầu những điều sau:
 Một máy tính chạy máy ảo Windows Server 2016
 Đặc quyền quản trị để thực thi lệnh
 Một trình duyệt web có khả năng truy cập internet

Tổng quan:
Lab này giúp bạn làm quen với các công cụ như StegSpy, Image Steganography,
OpenStego và DeepSound, đồng thời giúp bạn hiểu cách xác định thư hoặc tệp có nội
dung ẩn bằng các công cụ này

B1. đăng nhập vào Win sv

B2. cài đặt StegSpy2.1.exe (Admin) trong Module 5
B3. nhấn Run

B4. cửa sổ chính hiện ra, chọn tệp Model.png vfa nhấn Open

B5. Công cụ sẽ quét tệp và hiển thị loại kỹ thuật steganography được sử dụng để ẩn
tệp khác trong đó.
B6. Close

B7. Ngoài ra, bạn có thể sử dụng các công cụ phát hiện kỹ thuật ẩn mật trực tuyến như
Steganography Defense Initiative của McAfee để phát hiện kỹ thuật ẩn mật trong hình
ảnh
B8. Để thực hiện phát hiện steganography bằng nền tảng trực tuyến này, hãy khởi
chạy trình duyệt web (tại đây, Firefox)
https://www.mcafee.com/enterprise/en-us/downloads/free-tools/steganography.html.
Lưu ý: Vì chúng tôi đang minh họa tác vụ này trên một trang web nên nếu McAfee
xóa nó hoặc thay đổi URL của trang đích trong tương lai thì liên kết nêu trên có thể
không hoạt động

Không biết thưucj hành trên web này, chưa nghiên cứu được
B15. Bây giờ chúng ta sẽ thử giải mã nội dung ẩn trong ảnh. Chúng ta phải tiếp tục cố
gắng sử dụng nhiều công cụ khác nhau để phát hiện dữ liệu ẩn trong ảnh. Trong lab
này, chúng tôi sẽ sử dụng Image Steganography và OpenStego để khám phá dữ liệu
ẩn
B16. Chúng ta hãy thử phát hiện dữ liệu ẩn bằng công cụ Image Steganography. Cài
đặt công cụ trong bộ tools Module 5

B17. Cửa sổ chính của Image Steganography xuất hiện, như trong ảnh chụp màn hình
sau

B19. chọn Decode để trích xuất tệp ẩn từ tệp đáng ngờ

B20. Để thử giải mã hình ảnh, hãy nhập vị trí của hình ảnh,chọn ảnh Model.png và
click Start
B21. Công cụ sẽ cố gắng phân tích tệp và hiển thị kết quả nếu nó có thể giải mã được;
nếu không, nó sẽ hiển thị một thông báo cho biết hình ảnh được cung cấp bị hỏng
hoặc không hợp lệ
B22. rong trường hợp này, công cụ không phát hiện hoặc trích xuất được nội dung
hoặc tệp ẩn. Nó sẽ hiển thị một thông báo cho biết rằng tệp đầu vào được cung cấp bị
hỏng hoặc không hợp lệ. Bấm vào OK
B23. close
B24. Bây giờ
chúng ta sẽ cố gắng trích xuất tệp ẩn từ hình ảnh đã chọn trước đó
(Model.png) bằng cách sử dụng công cụ khác, tức là OpenStego

B25. cài đặt OpenStego trong bộ Tools Module 5

B26. cài đặt theo HD
Note: Trong quá trình cài đặt OpenStego, nếu hộp thoại OpenStego Setup xuất hiện
hỏi bạn có muốn cài đặt Java Runtime Environment (JRE) phiên bản 1.5.0 trở lên hay
không, hãy chọn No và sau đó nhấp vào OK để tiếp tục việc cài đặt ứng dụng
OpenStego

B27. Mở Run OpenStego

B28. GUI OpenStego xuất hiện. Nhấp vào nút Extract Data trong phần Data Hiding
để nhập tệp chứa kỹ thuật giấu tin và trích xuất dữ liệu ẩn

B29. Cung cấp đường dẫn của tệp chứa steganography trong Input Stego File và chỉ
định một thư mục làm thư mục đầu ra trong trường Output Folder for Message File.
Đầu vào là file Model.png, thư mục đầu ra là Desktop.
B30. Nhấp vào nút Extract Data
B31. Công cụ sẽ phân tích file và trích xuất dữ liệu ẩn thành công. Nó lưu dữ liệu được
trích xuất vào Desktop. Bấm vào OK

B32. Tệp ẩn đã được trích xuất ra Desktop dưới dạng Test.txt, chứa văn bản như ảnh
B33. Bằng cách này, bạn có thể trích xuất dữ liệu ẩn từ tệp hình ảnh. Đóng tệp văn bản
và ứng dụng OpenStego.
B34. Trong quá trình điều tra, bạn cũng có thể gặp các tệp âm thanh chứa dữ liệu ẩn.
B35. Trong phần này, bạn sẽ tìm hiểu quy trình trích xuất dữ liệu ẩn từ tệp âm thanh
bằng DeepSound.
b36. cài đặt ứng dụng DeepSound trong bộ Tools Module 5

B37. Mở DeepSound, cửa sổ chính xuất hiện

B38. OpenCarrier Files để thêm file chứa steganography
B39. chọn tệp Dangerous.wav và nhấp vào nút Open
B40. Nhấp vào nút Extract secret files để bắt đầu trích xuất các tệp hoặc dữ liệu ẩn.

B42. Saukhi giải nén, công cụ sẽ tạo một thông báo hiển thị vị trí của tệp được giải
nén. Bấm vào OK.

B43. Để xem tệp ẩn đã được giải nén ở bước trước, hãy chuyển đến vị trí được hiển
thị trong ảnh chụp màn hình ở trên,

Bằng cách này, bạn có thể phát hiện và phân tích dữ liệu ẩn trong các tệp có định
dạng khác nhau có chứa steganography ( kỹ thuật giấu tin)
Không biết thưucj hành trên web này, chưa nghiên cứu được
LAP 7: Phát hiện Alternate data Streams

Sử dụng Alternate Data Streams (ADS) là một kỹ thuật chống lại forensic (điều tra số) cho phép kẻ tấn
công ẩn ( đánh cắp ???) dữ liệu trong Windows NTFS; đôi khi các ADS ẩn này cótheer được sư
rdungj để khaithacs máy chủ web từ xa

KỊCH BẢN:
Là một phần của doanh nghiệp tội phạm lớn, kẻ tấn công đã đánh cắp thông tin tài chính nhạy cảm của
một số MNCs có trụ siwr tại châu Âuu bằng cách đánh lừa họ thông qua các cuộc tấn công mạng. Là
một phần trong kế hoạch của mình, kẻ tấn công đã sử dụng ADS ẩn để giới thiệu và thực thi các
rootkits và công cụ hacker ẩn trong hệ thống mục tiêu mà không bị phát hiện. Một vài ngày sau vụ tấn
công, MNCs đã phát hiện ra rằng thông tin tài chính bí mật của họ bị xâm phạm. MNCs đã tham khảo
ý kiến của các chuyên gia pháp ý đểgiair quyết vụ việc và bảo vệ hệ thống.
Thử thách trước mắt của các chuyên gia forensic là trích xuất thông tin ẩn trong ADS đã được sử dụng
bởi attacker để thực thi kế hoạch của họ. Thông tin ẩn được trích xuất bởi chuyên viên forensic từ
ADS có thể giúp các nhóm ứng phó sự cố của MNCs ngắn chặn những kẻ tấn công gây thêm bất kỳ
thiệt hại nào. Là một chuyên gia điều tra forensic, bạn phải biết cách làm thế nào để trích xuất thông tin
từ ADS ẩn

MỤC TIÊU:
Mụctieeu của lab này là giúp bạn biết cách làm thế nào để phát hiện ADS

MÔI TRƯỜNG:
1. Một máy tính chạy máy ảo Windows 10
2. Một máy tính chạy máy ảo Win SV 2016
3. Quyền Admin để thực thi các câu lệnh
4. Trình duyệt web truy cập Internet
5. NoVirusThanks Stream Detector được cài đặt từ bộ công cụ Module 5

TỔNG QUAN:
Lab nàygiups bạn làm quen với khái niệm ADS và giúp bạn hiểu được cách để phát hiện ADS trọng hệ
thống Windows
Bước 1: Đăng nhập vào win 10
Bước 2: Giữ cho máy ảo được bật trong quá trình làm lab này
Bước 3: trong lab này chúng ta sẽ sử dụng Windows PowerShell để phát hiện streams và xem chúng.
Khởi động PowerShell (Admin)
Note: nếu 1 pop-up User Account Control hiện ra,click yes

Bước 4: PowerShell (Admin khởi động. Để xác định ADS ẩn thông qua PowerShell , nhập câu lệnh
gci -recurse | % { gi $_.FullName -stream * } | where stream -ne ‘:$Data’ và nhấn enter

Bước 5: Như ảnh chụp trên, việc chạy lệnh được mô tả trong PowerShell sẽ phát hiện files chưa ADS
và hiện thị kết quả

Bước 6: Bây giờ, di chueyern đến đường dẫn ( C:\Windows\System32) nới chứa các tệp văn bản
simple_file1.txt và simple_file2.txt và mở chúng

Bước 7: các tệp khi được mở, hiển thị dữ liệu bên trong, nhưng không thể xem các Alternate data
streamns thông qua Windows Explorer

Note: Với mục đích của lab này, các file đơn giản được hiển thị trong ảnh chụp màn hình ở trên với
dòng nội dung This file is meant to dêcive you (tệp này nhằm mục đích lừa bạn). trong tình huống thực
tế, các tệp chưa ADS sẽ hiển thị nội dung bình thường không có vẻ đang ngờ; attackers sử dụng các file
với nội dung bình thường để ẩn các tin nhắn bí mật của chúng và ngăn chặn việc bị phát hiện

Bước 8: Chúng ta sẽ trích xuất streams ẩn được đính kèm với file ban đầu (simple_file1.txt. Để trích
xuất stream, thực thi câu lệnh get-content -path C:\\simple_file1.txt -stream secret_file1.txt trong
PowerShell

Bước 9: PowerShell sẽ trích xuất và hiển thị nội dung được lưu trong stream ẩn như hình dưới
Bước 10: tương tự, thực hiện trích xuất như trên với file simple_file2.txt

Bước 11: PowerShell sẽ trích xuất và hiển thị nội dung được lưu trong stream ẩn như hình dưới

Bước 12: Bằng cách này, chúng ta có thể sử dụng PowerShell để xác định stream và xem nội dung
ADS

Bước 13: Sử dụng NoVirusThanks Stream Detector để phát hiện streams. Cài đặt công cụ này trong
Modules 5
Note: pop-up Open File -Securty: Run
Note: pop-up User Account Control : yes
Note: windows Sercurty xuất hiện, nhập username và password của máy ảo win sv 2016, nhập thông
tin đăng nhập và click OK

Bước 14: ở bước cuối, hãy chọn Open NoVirusThanks Stream Detector và click Finish

Bước 15: khi hoàn tất cài đặt, màn hình chính NoVirusThanks Stream Detector hiện ra cung với cửa sổ
trình duyệt hiển thị trang web novirusthanks. Đóng trình duyệt web

Bước 16: Chỉ định một thư mục để scan ADS. Trong lab này, sẽ scan file C:\Windows\System32. click
Brower

Bước 17: cửa sổ Browers for Folder hiện ra, chọn thư mục mà ta sẽ scan và click OK

Bước 18: Đường dẫn đến folder được chọn sẽ được hiển thị như hình. Click Scan để bắt đầu scan thư
mục

Bước 19: Công cụ scan các file ADS, sau khi hoàn tất scan, nó sẽ hiển thị các stream có trong thư mục
với các chi tiết như Stream Nam, FileName (tên của các file trong stream) và Sizze của các file

Bước 20: nếu bạn muốn lưu thông tin được hiển thị trên màn hình, click Export

Bước 21: Save file as . . . . hiện ra. Chọn vị trí muốn lưu, để tên file là mạc định, click Save

Bước 22: file sẽ được lưu và xuất sang vị trí lưu, di chuyển đến đấy và mở file để xem chi tiết các file
chứa ADS
LAP 8: Phát hiện phần mở rộng tệp không khớp
Phần mở rộng file là mã định danh được chỉ định làm hậu tố ở cuối tên tệp. Nó giúp xác định các loại
tệp trong các hệ điều hành như là Windows

KỊCH BẢN:
Attacker đxa lưu một file độc hại trong hệ thống để thực thi nhằm việc đánh cắp dữ liệu người dùng.
Để đánh lừa tường lửa và chương trình chống phần mềm độc hại trên hệ thống, họ sử dụng kỹ thuật
anti-forensic để thay đổi phần mở rộng của các file độc hại để không bị pháthieenj. Attacker có thể đã
thay đổi phần mở rộng của một số file độc hại thành .sý đểnguyj trang chúng thành fileheej thống và
ngăn cản sự chú ý của các chuyên viên forensic. Các nhà kiểm tra hệ thống cần phát hiện từng tệp độc
hại này để có thể thu thập và nghiên cứu để điều tra thêm

Để trở thành một chuyên viên forensic, bạn cần biết cách làm thế nào để pháthienej các files với phần
mở rộng không khớp bằng cách sử dụng các công cụ thích hợp

MÔI TRƯỜNG:
1. Một máy tính chạy Win SV 2016
2. Quyền Adminđể thực thi các câu lệnh
3. Trình duyệt web kết nối Internet
4. Autopsy (cái này đac được cài đặt từ lap trước)

TỔNG QUAN:
Lab này giúp bạn làm quen với khái niệm phần mở rộng file không khớp và với sự trợ giúp từ công cụ
Autopsy, giúp bạn hiểu được cách để phát hiện file có phần mở rộng không khớp
Bước 1: Đăng nhập vào máy ảo Winserrver 2016
Bước 2: khởi động Autopsy, click Newcase

Bước 3: Cửa sổ New case Information hiện ra, nhập Case Name và Base Directory. Case name nhập
tuỳ ý:
Bước 4: Lưu case dữ liệu trong folder Image File Analysis, gán thư mục này tại Base Diẻctory và click
Next
Bước 5: Tại phần Optional Ìnormation, nhập vào Case Number và Examiner Details (ở đây nhập như n
trong lab book, có thể nhập cái khác nếu muốn), click finish

Bước 6: Mất một chút thời gian để tạo case

A few minuters lates

Bước 7: Sau khi tạo case, cửa sổ Add Data Source hiện ra, tại phần Select Type of Data Source to
Add, chọn Disk Image or VM File, click Next
Bước 8: Tại phần The Select Data Source, click Browse để chọn đường dẫn file ảnh

Bước 9: sau khi click browse, cửa sổ open hiện ra, di chuyển đến Forensic Images và chọn file
Windows_Evidence_001.dd. Click open

Bước 10: Đường dẫn đến file được hiển thị như hình, click next

Bước 11: Tiếp theo, tại phần Cònigure Ingest Modules.Tại mục Run ingest modules on: tích chọn các
option cần thiết (tích chọn như trong lab book). click Next
Bước 12: Tại phần Add Data Source, hiển thị lên message như hình , click Finish

Note: đợi một chút để phân tích tệp hình ảnh

Bước 13: Công cụ sẽ nhảy đến của sổ chính. Mở rộng Data Source ở khung bên trái. Tuỳ chọn Data
Source sẽ lệt kê tên của file ảnh đã phân tích (trong TH này, file là Windows_Evidence_001.dd)

Note: Autopsy sử dụng hầu hết tài nguyên của máy ảo khi scan ảnh. Máy có thể không phản hồi cho
đến khi quá trình quét hoàn tất. Không nên truy cập vào máy cho đến khi quá trình scan hoàn thành
100%

Bước 14: Click vào tên file hình ảnh (Windows_Evidence_001.dd) và xem nội dung của nó ở khung
bên phải. Nó bao gồm tất cả các dữ liệu hệ điều hành cần thiết
Bước 15: Để xem các file được phát hiện với phần mở rộng không khớp. Click vào Extension
Mismatch Dêtcted tại khung bên trái. Công cụ sẽ hiển thị các file có phần mở rộng không khớp trong
khung bên phải, như hình:

Note: Trong hìnhtreen, cột Extension trong khung bên phải hiển thị các tiện ích mở rộng đã sửa đổi
của file, trong khi cột MIME Type hiển thị các tiện ích ban đầu. Vì phần mở rộng đã được sửa đổi, nên
có nghĩa là các file này đã bị giả mạo

Bước 16: Để xem các nội dung của tệp với phần mở rộng không khớp, chọn files; nội dung của nó sẽ
hiển thị tại khung bên dưới, như ảnh (ở đây chọn file tcp-wireshark-file1.trace). Việc chọn tệp này sẽ
hiển thị ảnh của một mạch điện tử trong khung dưới. Như có thể thấy trong ảnh chụp dưới .trace là
phần mở rộng ban đầu của tệp, trong khi .jpeg là phần mở rộng ban đầu
Note: Khi chọn một file ảnh, công cụ sẽ hiển thị nội dung của nó trong tab Application ở khung dưới
của cửa sổ. Bạn có thể click vào Hex, Text, File Metadata và các tab khác để xem dữ liệu tương ứng
được lưu trữ bên dưới chúng
Bước 17: Bằng cách này có thể xác định được các tệp có phần mở rộng không khớp, bị giả mạo, xem
các phần mở rộng ban đầu của chúng và thực hiện thêm các phân tích nêus cần
LAP 9: Giải nén bộ đóng gói chương trình
Việc sử dụng đóng gói chương trình là một kỹ thuật chống forensic hiệu quả dành cho attacker nhằm
ngăn chặn việc phát hiện phần mềm độc hại trên hệ thống

KỊCH BẢN:
Attacker đã lưu một file chương trình độc hại trong máy tính trạm được sử dụng bởi một kế toán tại
công ty môi giới chứng khoán. Attacker đã nguỵ trang file độc hại thành tệp vô hại bằng cạc sử dụng
trình đóng gói chương trình. Trình đóng gói chương trình cho phép file độc hại dược thực thi trong hệ
thống mà không bị phát hiện bởi chương hệ thống tường lửa và chương trình chống phân fmeem fđộc
hại. Các file độc hại được gói khiến thông tin nhạy cảm được lưu trữ trong hệ thống mục tiêu. Công ty
đxa tham khảo ý kiến cút các chuyên viên forensic, bạn phải biết cách giải nén các tập tin đã bị đóng
gói

MỤC ĐÍCH:
Mục tiêu của lab này giúp bạn hiểu được cách làm thế nào để giải nén bộ đóng gói chương trình

MÔI TRƯỜNG:
1. Máy ảo Windows Server 2016
2. Quyền quản trị viên để thực thi các câu lệnh
3. Trình duyệt web kết nối Internet
4. Công cụ Exeinfo PE trong Module 5
5. UPX trong Module 5

TỔNG QUAN:
Lab này giúp bạn làm quen với quy trình xác định cách đóng gói để gói một file sử dụng ExeInfo PE
và giải nén tập tin sử dụng UPX

Bước 1: Đăng nhập vào máy ảo Windows Server 2016

Bước 2: Đầu tiên, xác định trình đóng gói để nén tập tin có tên Ìnected.exe trong file Evidence Files
Bước 3: Sử dụng ExeInfo PE để thực thi nhiệm vụ này. Di chuyển đến ExeInfo PE và double click vào
Exeinfope.exe để khởi động công cụ
Bước 4: Giao diện công cụ như hình

Bước 5: Click Open file ở thanh công cụ bên phải

Bước 6: Cửa sổ Open EXE,DLL hiển thị, di chuyển đến Evidence Files,chọn file Infected.exe và click
Open
Note: Bằng chứng mục tiêu này có tên là Infected.exe. Trong một tình huống thực tế, một tệp tin
chương trình độc hại có thể mang tên có vẻ như bình thường.Những kẻ tấn công ngụy trang các tệp độc
hại thành các tệp thông thường bằng cách sử dụng các công cụ đóng gói chương trình để chúng không
bị tường lửa và phần mềm chống phần mềm độc hại trên hệ thống phát hiện.

Bước 7: Cửa sổ chính của công cụ sẽ hiển thị thôngtin chi tiết về ứng dụng đã được sử dụng để gói tệp
thực thi được chọn (file Ìnected.exe)

Bước 8: Từ ảnh chụp màn hình trên, có thể thấy rằng tệp thực thi đã chọn đã được gói sử dụng công cụ
UPX. Do đó, sẽ sử dụng cùng một công cụ (UPX) để giải nén nó. Đóng của sổ ExeInfo PE

Bước 9: Chạy UPX thông qua cmd, di chuyển đến Progran Unpacking Tools trong Module 5, chọn
folder UPX, nhấn giữu Shif + chuột phải vào folder UPX

Bước 10: Chọn Open cmd Window here

Bước 11: cmd mở ra với đườn dẫn:

Bước 12: Giải nén file mục tiêu (Infeced.exe) và lưu nó dưỡi dạng Unpacked.exe, chạy câu lệnh
upx.exe -d -o “C:\ \Evidence Files\Unpacked.exe” “C:\ \Evidence Files\Infected.exe”

Bước 13: công cụ UPX giải nén file thành công như sau:

Bước 14: Tệp đã được giải nén dưới dạng unpacked.exe và được lưu tại thư viẹn :

Bước 15: file Unpacked.exe này là tệp gốc (không nén) đã được đóng gói và có thể nhìn thấy kích
thước của tệp được đóng gói