Professional Documents
Culture Documents
Lab 1
Lab 1
Tổng quan Lab: Bài lab này giúp ta làm quen với phân tích hệ thống tập tin bằng công cụ Autospy.
Lab Task
1. Đăng nhập vào máy ảo Windows Server 2016
2. Trong lab này ta sử dụng Autopsy để kiểm tra file hệ thống của Linux image
3. Để cài đặt Autopsy, chuyển hướng đến C:\CHFI-Tools\CHFIv10 Module 03 Understanding Hard
Disks and File Systems\File System Analysis Tools\Autopsy, nháy đúp vào autopsy-4.14.0-
64bit.msi để cài đặt và tiếp tục các bước để hoàn thành quá trình cài đặt.
4. Sau khi cài đặt thành công, nháy đúp vào biểu tượng Autopsy 4.14.0 ngoài màn hình Desktop.
5. Trong màn hình Welcome của Autopsy, nhấn chọn New Case.
6. Một cửa sổ “New Case Information” xuất hiện yêu cầu điền Case Name và Base Directory. Trong
Base directory điền đường dẫn trực tiếp tới nơi lưu case data. Điền tên case vào Case Name.
7. Tạo một folder có tên Image File Analysis ngoài màn hình Desktop. Sau đó điền đường dẫn trực
tiếp của folder này vào Base directory.
8. Nhấn next
9. Tại cửa sổ New Case Information sẽ hiển thị Optional Information, nơi ta có thể điền một số chi
tiết đặc biệt như tên người kiểm tra và case number. Trong bài này, ta đặt tên là Jonathan và case
number là 1001-125. Nhấn Finish để hoàn thành.
10. Tại cửa sổ Add Data Source, chọn Type of Data Source To Add. Tại đây ta cần chọn loại nguồn
dữ liệu đầu vào. Trong lab này, ta sẽ phân tích disk image, do đó chọn Disk Image or VM File và
nhấn Next.
11. Click vào Browse tại Select Data Source để chọn đường dẫn tới Image cần kiểm tra.
12. Chọn file Linux_Evidence_001.img rồi click Open.
22. Tương tự, nhấn chọn File Metada, Hex và Annotations để xem những thông tin khác trong file.
23. Với cách này, ta có thể phân tích tất cả các files và folders khác để lấy thông tin từ chúng.
24. Một phần trong việc kiểm tra file hệ thống, ta có thể tính giá trị hashes của files, từ đó có thể
kiểm tra tính toàn vẹn của bằng chứng.
25. Trong lab này, ta sẽ tính giá trị MD5 hash của file có tên SeatPlan.xls, được lưu trong
/home/roger/Documents.
26. Để xem giá trị MD5 hash của file này, tìm tới home roger Documents và chọn Documents
folder
27. File SeatPlan.xls xuất hiện bên tay phải cửa sổ Autopsy. Nhấn vào file.
28. Phần File Metadata hiển thị thông tin metadata của file đang được chọn như thời gian tạo, chỉnh
sửa, thời gian truy cập của file, tiếp theo là giá trị băm MD5 của nó.