Professional Documents
Culture Documents
Module 3
Module 3
Module 3
Cửa sổ Option Information để nhập các thông tin chi tiết về người thực hiện và
case number.
Tiếp theo, lựa chọn kiểu của nguồn dữ liệu được cung cấp ở đầu vào. Ở lab này, ta
phân tích một disk image, do đó lựa chọn Disk Image or VM file.
Ứng dụng hiển thị kết quả trong cửa sổ chính. Mở rộng mục Data Sources ở khung
bên trái và nhấp vào tệp hình ảnh, tức là Linux_Evidence_001.img. Điều này sẽ
hiển thị nội dung của tệp hình ảnh, như trong ảnh chụp màn hình sau:
Mở rộng image file Linux_Evidence_001.img để xem nội dung của nó. Khi đó,
Autopsy hiển thị hệ thống tệp của Linux image như trong ảnh chụp màn hình sau:
Có thể kiểm tra tất cả các tệp cần thiết được lưu trữ trong images như một phần của
việc phân tích hệ thống tệp. Trong bài thực hành này, chúng ta sẽ xem tệp passwd
được lưu trữ ở thư mục \etc.
Khi chọn thư mục, tất cả các tệp và thư mục có trong đó sẽ được hiển thị ở khung
bên phải của cửa sổ.
Chọn passwd file và click the Text tab
Autopsy hiển thị tất cả văn bản (thông tin tài khoản người dùng) có trong tệp
passwd, trong tab String, như trong ảnh chụp màn hình sau:
Tương tự, click vào tab File Metadata, Hex và Annotations để xem các chi tiết
khác liên quan tới file được lựa chọn.
Bằng cách này, có thể phân tích tất cả các tệp và thư mục khác mà ta chọn để có
được thông tin chi tiết về chúng.
Ngoài việc kiểm tra hệ thống tệp, cũng có thể tính toán giá trị băm của các tệp mà
ta kiểm tra, điều này giúp xác thực tính toàn vẹn của bằng chứng.
Trong phòng thí nghiệm này, ta sẽ tính toán hàm băm MD5 của tệp SeatPlan.xls,
nằm trong /home/roger/Documents.
Để xem giá trị băm MD5 của tệp này, hãy mở homeroger Documents và chọn
thư mục Documents ở khung bên trái.
Phần File Metadata hiển thị thông tin siêu dữ liệu của thư mục/tệp đã chọn, chẳng
hạn như thời gian tạo, sửa đổi và truy cập của tệp, theo sau là giá trị băm MD5 của
tệp.
Similarly, to view the type of file system and the OS related to the image type
fsstat "C:\CHFI-Tools\Evidence Files\Forensic Images\
Windows_Evidence_001.dd":
Từ ảnh chụp màn hình ở trên, có thể thấy rằng hệ thống tệp là NTFS và hệ điều
hành nguồn là Windows XP.
Sử dụng lệnh img_stat để xem chi tiết của file image đã chọn. Nhập img_stat "C:\
CHFI -Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd"
Sử dụng công cụ istat trong The Sleuth Kit để xem chi tiết cấu trúc siêu dữ liệu.
Để hiển thị tổng quan về tệp MFT, hãy nhập istat -f ntfs "C:\CHFI Tools\Evidence
Files\Forensic Images\Windows_Evidence_001.dd" 0
Bảng Tệp Chính (MFT) có mục nhập cho mọi tệp và thư mục; do đó, cần phải tìm
tất cả các tệp khác. Bố cục của MFT được xác định bằng cách xử lý mục 0 trong
MFT
Để hiển thị Tổng quan về tệp MFTMirr, hãy nhập istat -f ntfs "C:\CHFI Tools\
Evidence Files\Forensic Images\Windows_Evidence_001.dd" 1
Mục nhập MFT 1 dành cho tệp MFTMirr, có thuộc tính không thường trú chứa bản
sao lưu của mục nhập MFT đầu tiên.
Để hiển thị tổng quan về Tệp khởi động, hãy nhập istat -f ntfs "C:\CHFI-Tools\
Evidence Files\Forensic Images\Windows_Evidence_001.dd" 7
Tệp siêu dữ liệu hệ thống tệp khởi động nằm trong mục nhập MFT 7 và chứa khu
vực khởi động của hệ thống tệp.
Để hiển thị tổng quan về tệp siêu dữ liệu hệ thống tệp ổ đĩa, hãy nhập isat -f ntfs
"C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 3
Tệp siêu dữ liệu hệ thống tệp ổ đĩa nằm trong mục nhập MFT 3 và chứa nhãn ổ đĩa
cũng như các thông tin khác liên quan đến phiên bản.
Để hiển thị tổng quan về tệp AttrDef, hãy nhập istat -f ntfs "C:\CHFI-Tools\
Evidence Files\Forensic Images\Windows_Evidence_001.dd" 4.
Mục nhập MFT cho tệp siêu dữ liệu hệ thống tệp AttrDef là 4. Nó xác định tên và
mã định danh loại cho từng loại thuộc tính.
Để hiển thị tổng quan về tệp Bitmap, hãy nhập istat -f ntfs "C:\CHFI-Tools\
Evidence Files\Forensic Images\Windows_Evidence_001.dd" 6.
Mục nhập MFT của tệp siêu dữ liệu hệ thống tệp Bitmap, xác định trạng thái của
cụm, là 6
Để hiển thị tổng quan về tệp BadClus, hãy nhập istat -f ntfs "C:\CHFI-Tools\
Evidence Files\Forensic Images\Windows_Evidence_001.dd" 8.
NTFS theo dõi các cụm bị hỏng bằng cách phân bổ chúng vào thuộc tính $DATA
của tệp siêu dữ liệu hệ thống tệp BadClus. Mục nhập MFT là 8.
Để hiển thị tổng quan về tệp Bảo mật, hãy nhập istat -f ntfs "C:\CHFI-Tools\
Evidence Files\Forensic Images\Windows_Evidence_001.dd" 9.
Tệp siêu dữ liệu tệp bảo mật lưu trữ các bộ mô tả bảo mật xác định chính sách
kiểm soát truy cập cho tệp hoặc thư mục. Mục nhập MFT cho nó là 9
Sử dụng công cụ dòng lệnh fls của TSK để liệt kê tên các file và tên thư mục. Nhập
fls -f ntfs "C:\CHFI Tools\Evidence Files\Forensic Images\
Windows_Evidence_001.dd"
Bây giờ, chúng ta sẽ khôi phục các tệp này từ hình ảnh bằng mô-đun tsk_recover.
Trước khi chạy mô-đun này, bạn cần tạo một thư mục có tên là Retrieved Files by
SleuthKit trên Desktop.
Khi tạo thư mục, hãy quay lại dấu nhắc lệnh, gõ lệnh tsk_recover -i raw -e "C:\
CHFI-Tools\Evidence
Files\Forensic Images\Windows_Evidence_001.dd" " E:\Retrieved Files by
SleuthKit ".
-i đại diện cho loại hình ảnh. Vì đang sử dụng tệp dd nên loại image trong lệnh là
“raw”. Việc nhập khóa chuyển -e sẽ hướng dẫn công cụ khôi phục tất cả các tệp.
Công cụ bắt đầu truy xuất các tập tin từ hình ảnh pháp y. Sau khi hoàn thành, nó sẽ
trả về một thông báo hiển thị số lượng tệp được khôi phục, như trong ảnh chụp
màn hình sau:
Để xem các tệp đã truy xuất, hãy điều hướng đến Màn hình nền và mở thư mục
Tệp đã truy xuất bằng SleuthKit. Bạn có thể xem các tệp/thư mục đã truy xuất như
trong ảnh chụp màn hình sau:
Bằng cách này, ta có thể sử dụng The Sleuth Kit để lấy thông tin liên quan đến dữ
liệu có trong tệp hình ảnh và truy xuất các tệp và thư mục từ đó.
Cửa sổ File Header Search trên Linux_Evidence_001.img xuất hiện hiển thị các
loại file mà bạn muốn giải nén.
Trong phòng thí nghiệm này, chúng tôi sẽ trích xuất hình ảnh; do đó, hãy nhấp vào
nút + để mở rộng thư mục Picture.
Chọn định dạng tệp hình ảnh bạn chọn trong thư mục Picture và nhấp vào OK.
Cửa sổ Select Target Folder sẽ hiện ra. Điều hướng đến vị trí bạn muốn lưu các tệp
đã truy xuất, tạo thư mục có tên Retrieved Files rồi nhấp vào Open.
Ứng dụng hiện hiển thị thư mục đã chọn. Bấm vào OK.
Để bắt đầu quá trình khôi phục, hãy nhấp vào OK trong cửa sổ Tìm kiếm tiêu đề
tệp trên Linux_Evidence_001.img. Hành động này sẽ đóng cửa sổ và bắt đầu khôi
phục các tệp (với các loại tệp được chỉ định) từ hình ảnh.
Sau khi quá trình khôi phục hoàn tất, hãy nhấp vào OK trong cửa sổ bật lên File
Recovery by Type để đóng cửa sổ xử lý.
Để xem các tệp đã được khôi phục, mở thư mục Retrieved Files.
Bằng cách này, ta có thể khôi phục các tệp từ hình ảnh pháp y bằng WinHex.