Lab 1: Phân tích file hệ thống của một Linux Image

Tổng quan Lab: Bài lab này giúp ta làm quen với phân tích hệ thống tập tin bằng công cụ Autospy.
Lab Task
1. Đăng nhập vào máy ảo Windows Server 2016
2. Trong lab này ta sử dụng Autopsy để kiểm tra file hệ thống của Linux image
3. Để cài đặt Autopsy, chuyển hướng đến C:\CHFI-Tools\CHFIv10 Module 03 Understanding Hard
Disks and File Systems\File System Analysis Tools\Autopsy, nháy đúp vào autopsy-4.14.0-
64bit.msi để cài đặt và tiếp tục các bước để hoàn thành quá trình cài đặt.

4. Sau khi cài đặt thành công, nháy đúp vào biểu tượng Autopsy 4.14.0 ngoài màn hình Desktop.
5. Trong màn hình Welcome của Autopsy, nhấn chọn New Case.
6. Một cửa sổ “New Case Information” xuất hiện yêu cầu điền Case Name và Base Directory. Trong
Base directory điền đường dẫn trực tiếp tới nơi lưu case data. Điền tên case vào Case Name.
7. Tạo một folder có tên Image File Analysis ngoài màn hình Desktop. Sau đó điền đường dẫn trực
tiếp của folder này vào Base directory.
8. Nhấn next

9. Tại cửa sổ New Case Information sẽ hiển thị Optional Information, nơi ta có thể điền một số chi
tiết đặc biệt như tên người kiểm tra và case number. Trong bài này, ta đặt tên là Jonathan và case
number là 1001-125. Nhấn Finish để hoàn thành.
10. Tại cửa sổ Add Data Source, chọn Type of Data Source To Add. Tại đây ta cần chọn loại nguồn
dữ liệu đầu vào. Trong lab này, ta sẽ phân tích disk image, do đó chọn Disk Image or VM File và
nhấn Next.

11. Click vào Browse tại Select Data Source để chọn đường dẫn tới Image cần kiểm tra.
12. Chọn file Linux_Evidence_001.img rồi click Open.

13. Nhấn Next

14. Tại Configure Ingest Modules, chọn các tùy chọn theo mục đích và nhấn Next.

15. Nhấn finish

Lưu ý: Autopsy sẽ mất một khoảng thời gian để hoàn thành phân tích evidence file.
16. Ứng dụng hiển thị kết quả tại cửa sổ chính của Autopsy. Mở rộng phần Data Sourrce bên trái và
nhấn chọn Linux_Evidence_001.img

17. Mở rộng file Linux_Evidence_001.img để xem nội dung.

18. Ta có thể kiểm tra tất cả các file được lưu trong image như một phần của phân tích file hệ thống.
Trong lab này, ta sẽ xem file passwd được lư trong \etc. Chọn folder etc.
19. Tất cả file và folder trong etc được hiển thị bên tay phải
20. Nhấn chọn file passwd và chọn Text
21. Autopsy sẽ hiển thị tất cả text (thông tin tài khoản người dùng) trong file passwd, tab Strings sẽ
hiển thị như dưới đây.

22. Tương tự, nhấn chọn File Metada, Hex và Annotations để xem những thông tin khác trong file.
23. Với cách này, ta có thể phân tích tất cả các files và folders khác để lấy thông tin từ chúng.
24. Một phần trong việc kiểm tra file hệ thống, ta có thể tính giá trị hashes của files, từ đó có thể
kiểm tra tính toàn vẹn của bằng chứng.
25. Trong lab này, ta sẽ tính giá trị MD5 hash của file có tên SeatPlan.xls, được lưu trong
/home/roger/Documents.
26. Để xem giá trị MD5 hash của file này, tìm tới home  roger  Documents và chọn Documents
folder
27. File SeatPlan.xls xuất hiện bên tay phải cửa sổ Autopsy. Nhấn vào file.
28. Phần File Metadata hiển thị thông tin metadata của file đang được chọn như thời gian tạo, chỉnh
sửa, thời gian truy cập của file, tiếp theo là giá trị băm MD5 của nó.