Module 3

Understanding Hard Disks and File Systems

Lab 1. Analyzing File System of a Linux Image
Tình huống:
- Một thanh tra đang điều tra một vụ giết người đã tìm thấy một hệ thống chết
tại hiện trường vụ án và nghi ngờ rằng hệ thống này có liên quan đến vụ việc
và có thể cung cấp manh mối về nó. Khi thanh tra viên đưa hệ thống đến bộ
phận điều tra mạng, họ sẽ tạo một image của ổ cứng và bắt đầu phân tích file
iso đó bằng Autopsy. Khi phân tích sâu hơn về tệp hệ thống này, điều tra
viên tìm thấy một số bằng chứng quan trọng có thể giúp giải quyết vụ án.
- Để điều tra ổ cứng, với tư cách là điều tra viên, ta phải biết các loại hệ thống
tệp và cách phân tích chúng bằng nhiều công cụ khác nhau.
Mục tiêu:
- Giúp các nhà điều tra tìm hiểu và thực hiện phân tích hệ thống tệp bằng
Autopsy. Việc thực hiện phân tích hệ thống tệp cho phép người điều tra xác
định các thông tin sau:
o Loại hệ thống tập tin
o Thông tin siêu dữ liệu
o Thông tin nội dung
Tạo một case trong Autopsy, sử dụng Autopsy tool để kiểm tra filesytem của một
Linux image.
Nhập thông tin về case bao gồm: case name và base directory
base directory: là thư mục nơi dữ liệu của case sẽ được lưu trữ

Cửa sổ Option Information để nhập các thông tin chi tiết về người thực hiện và
case number.
Tiếp theo, lựa chọn kiểu của nguồn dữ liệu được cung cấp ở đầu vào. Ở lab này, ta
phân tích một disk image, do đó lựa chọn Disk Image or VM file.

Lựa chọn image file để kiểm tra

Ở lựa chọn tiếp theo, Configure Ingest Modules chứa danh sách các lựa chọn cho
việc kiểm tra. Lựa chọn KeywordSearch với Phone Numbers, IP Addresses, Email
Addresses
Kết thúc quá trình Add data source.

Ứng dụng hiển thị kết quả trong cửa sổ chính. Mở rộng mục Data Sources ở khung
bên trái và nhấp vào tệp hình ảnh, tức là Linux_Evidence_001.img. Điều này sẽ
hiển thị nội dung của tệp hình ảnh, như trong ảnh chụp màn hình sau:

Mở rộng image file Linux_Evidence_001.img để xem nội dung của nó. Khi đó,
Autopsy hiển thị hệ thống tệp của Linux image như trong ảnh chụp màn hình sau:

Có thể kiểm tra tất cả các tệp cần thiết được lưu trữ trong images như một phần của
việc phân tích hệ thống tệp. Trong bài thực hành này, chúng ta sẽ xem tệp passwd
được lưu trữ ở thư mục \etc.
Khi chọn thư mục, tất cả các tệp và thư mục có trong đó sẽ được hiển thị ở khung
bên phải của cửa sổ.
Chọn passwd file và click the Text tab
Autopsy hiển thị tất cả văn bản (thông tin tài khoản người dùng) có trong tệp
passwd, trong tab String, như trong ảnh chụp màn hình sau:

Tương tự, click vào tab File Metadata, Hex và Annotations để xem các chi tiết
khác liên quan tới file được lựa chọn.
Bằng cách này, có thể phân tích tất cả các tệp và thư mục khác mà ta chọn để có
được thông tin chi tiết về chúng.
Ngoài việc kiểm tra hệ thống tệp, cũng có thể tính toán giá trị băm của các tệp mà
ta kiểm tra, điều này giúp xác thực tính toàn vẹn của bằng chứng.
Trong phòng thí nghiệm này, ta sẽ tính toán hàm băm MD5 của tệp SeatPlan.xls,
nằm trong /home/roger/Documents.
Để xem giá trị băm MD5 của tệp này, hãy mở homeroger Documents và chọn
thư mục Documents ở khung bên trái.
Phần File Metadata hiển thị thông tin siêu dữ liệu của thư mục/tệp đã chọn, chẳng
hạn như thời gian tạo, sửa đổi và truy cập của tệp, theo sau là giá trị băm MD5 của
tệp.

Lab 2: Analyzing File System of Windows images

Sam, giám đốc của một tổ chức, đã gọi đến đội điều tra sau khi một cuộc tấn công
mạng diễn ra. Nhóm infosec của Sam đã tạo forensic images về các máy bị ảnh
hưởng với mục đích tiết kiệm thời gian và công sức của nhóm điều tra viên.
Khi đến, họ đã kiểm tra tính toàn vẹn của image file và bây giờ họ cần làm quen
với nó. Nhiệm vụ đầu tiên của họ là tìm hiểu hệ thống file của image filevà tiến
hành khôi phục file.
Để điều tra một ổ cứng, điều tra viên phải có sự hiểu biết thấu đáo về các loại hệ
thống tệp và cách phân tích chúng bằng nhiều công cụ khác nhau.
- The Sleuth Kit (TSK) is used to obtain the following information:
o File system type
o Metadatainformation
o Content information
Trong lab này, ta sẽ sử dụng 2 evidence file để kiểm tra gồm
Windows_Evidence_001.dd và Windows_Evidence_002.dd
(Windows_Evidence_002.dd để xem bảng phân vùng, Windows_Evidence_001.dd
để xem các thông tin liên kết với image và khôi phục lại các file, tập tin trong
image.)
To view partition tables liên kết với Windows_Evidence_002.dd, type mmls "C:\
CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_002.dd" and
press Enter. Thao tác này sẽ hiển thị bố cục phân vùng của hệ thống ổ đĩa (bảng
phân vùng) được liên kết với tệp hình ảnh, như trong ảnh chụp màn hình sau:

Similarly, to view the type of file system and the OS related to the image type
fsstat "C:\CHFI-Tools\Evidence Files\Forensic Images\
Windows_Evidence_001.dd":

Từ ảnh chụp màn hình ở trên, có thể thấy rằng hệ thống tệp là NTFS và hệ điều
hành nguồn là Windows XP.
Sử dụng lệnh img_stat để xem chi tiết của file image đã chọn. Nhập img_stat "C:\
CHFI -Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd"

Sử dụng công cụ istat trong The Sleuth Kit để xem chi tiết cấu trúc siêu dữ liệu.
Để hiển thị tổng quan về tệp MFT, hãy nhập istat -f ntfs "C:\CHFI Tools\Evidence
Files\Forensic Images\Windows_Evidence_001.dd" 0

Bảng Tệp Chính (MFT) có mục nhập cho mọi tệp và thư mục; do đó, cần phải tìm
tất cả các tệp khác. Bố cục của MFT được xác định bằng cách xử lý mục 0 trong
MFT
Để hiển thị Tổng quan về tệp MFTMirr, hãy nhập istat -f ntfs "C:\CHFI Tools\
Evidence Files\Forensic Images\Windows_Evidence_001.dd" 1

Mục nhập MFT 1 dành cho tệp MFTMirr, có thuộc tính không thường trú chứa bản
sao lưu của mục nhập MFT đầu tiên.
Để hiển thị tổng quan về Tệp khởi động, hãy nhập istat -f ntfs "C:\CHFI-Tools\
Evidence Files\Forensic Images\Windows_Evidence_001.dd" 7

Tệp siêu dữ liệu hệ thống tệp khởi động nằm trong mục nhập MFT 7 và chứa khu
vực khởi động của hệ thống tệp.
Để hiển thị tổng quan về tệp siêu dữ liệu hệ thống tệp ổ đĩa, hãy nhập isat -f ntfs
"C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 3
Tệp siêu dữ liệu hệ thống tệp ổ đĩa nằm trong mục nhập MFT 3 và chứa nhãn ổ đĩa
cũng như các thông tin khác liên quan đến phiên bản.
Để hiển thị tổng quan về tệp AttrDef, hãy nhập istat -f ntfs "C:\CHFI-Tools\
Evidence Files\Forensic Images\Windows_Evidence_001.dd" 4.

Mục nhập MFT cho tệp siêu dữ liệu hệ thống tệp AttrDef là 4. Nó xác định tên và
mã định danh loại cho từng loại thuộc tính.
Để hiển thị tổng quan về tệp Bitmap, hãy nhập istat -f ntfs "C:\CHFI-Tools\
Evidence Files\Forensic Images\Windows_Evidence_001.dd" 6.
Mục nhập MFT của tệp siêu dữ liệu hệ thống tệp Bitmap, xác định trạng thái của
cụm, là 6
Để hiển thị tổng quan về tệp BadClus, hãy nhập istat -f ntfs "C:\CHFI-Tools\
Evidence Files\Forensic Images\Windows_Evidence_001.dd" 8.

NTFS theo dõi các cụm bị hỏng bằng cách phân bổ chúng vào thuộc tính $DATA
của tệp siêu dữ liệu hệ thống tệp BadClus. Mục nhập MFT là 8.
Để hiển thị tổng quan về tệp Bảo mật, hãy nhập istat -f ntfs "C:\CHFI-Tools\
Evidence Files\Forensic Images\Windows_Evidence_001.dd" 9.
Tệp siêu dữ liệu tệp bảo mật lưu trữ các bộ mô tả bảo mật xác định chính sách
kiểm soát truy cập cho tệp hoặc thư mục. Mục nhập MFT cho nó là 9
Sử dụng công cụ dòng lệnh fls của TSK để liệt kê tên các file và tên thư mục. Nhập
fls -f ntfs "C:\CHFI Tools\Evidence Files\Forensic Images\
Windows_Evidence_001.dd"

Bây giờ, chúng ta sẽ khôi phục các tệp này từ hình ảnh bằng mô-đun tsk_recover.
Trước khi chạy mô-đun này, bạn cần tạo một thư mục có tên là Retrieved Files by
SleuthKit trên Desktop.
Khi tạo thư mục, hãy quay lại dấu nhắc lệnh, gõ lệnh tsk_recover -i raw -e "C:\
CHFI-Tools\Evidence
Files\Forensic Images\Windows_Evidence_001.dd" " E:\Retrieved Files by
SleuthKit ".
-i đại diện cho loại hình ảnh. Vì đang sử dụng tệp dd nên loại image trong lệnh là
“raw”. Việc nhập khóa chuyển -e sẽ hướng dẫn công cụ khôi phục tất cả các tệp.

Công cụ bắt đầu truy xuất các tập tin từ hình ảnh pháp y. Sau khi hoàn thành, nó sẽ
trả về một thông báo hiển thị số lượng tệp được khôi phục, như trong ảnh chụp
màn hình sau:

Để xem các tệp đã truy xuất, hãy điều hướng đến Màn hình nền và mở thư mục
Tệp đã truy xuất bằng SleuthKit. Bạn có thể xem các tệp/thư mục đã truy xuất như
trong ảnh chụp màn hình sau:
Bằng cách này, ta có thể sử dụng The Sleuth Kit để lấy thông tin liên quan đến dữ
liệu có trong tệp hình ảnh và truy xuất các tệp và thư mục từ đó.

Lab 3: Recovering Deleted Files from Hard Disks

Các nhà điều tra pháp y bắt đầu quét máy tính để tìm dữ liệu đã bị xóa để truy tìm
thủ phạm, kẻ đã thu thập dữ liệu riêng tư của công ty cho mục đích có hại. Để
tránh bị nhận dạng, hung thủ đã xóa dữ liệu khỏi hệ thống. Tuy nhiên, các nhà điều
tra đã có thể lần ra dấu vết hệ thống mà thủ phạm sử dụng bằng cách phân tích hệ
thống tệp và khôi phục dữ liệu đã xóa bằng công cụ WinHex.
Hiểu cách khôi phục các tệp đã bị xóa vĩnh viễn bằng công cụ WinHex.
Trong lab này, ta sẽ sử dụng các file evidence nằm trong thư mục Froensic Images
Ở màn hình chính của WinHex, lựa chọn file Linux_Evidence_001.img
WinHex sẽ xử lý tệp hình ảnh và hiển thị cửa sổ sau với cửa sổ bật lên Data
Interpreter ở góc dưới bên phải của cửa sổ.
Navigate to ToolDisk Tools File Recovery by Type...
Một cửa sổ bật lên WinHex xuất hiện, nhấp vào OK.

Cửa sổ File Header Search trên Linux_Evidence_001.img xuất hiện hiển thị các
loại file mà bạn muốn giải nén.
Trong phòng thí nghiệm này, chúng tôi sẽ trích xuất hình ảnh; do đó, hãy nhấp vào
nút + để mở rộng thư mục Picture.
Chọn định dạng tệp hình ảnh bạn chọn trong thư mục Picture và nhấp vào OK.
Cửa sổ Select Target Folder sẽ hiện ra. Điều hướng đến vị trí bạn muốn lưu các tệp
đã truy xuất, tạo thư mục có tên Retrieved Files rồi nhấp vào Open.
Ứng dụng hiện hiển thị thư mục đã chọn. Bấm vào OK.
Để bắt đầu quá trình khôi phục, hãy nhấp vào OK trong cửa sổ Tìm kiếm tiêu đề
tệp trên Linux_Evidence_001.img. Hành động này sẽ đóng cửa sổ và bắt đầu khôi
phục các tệp (với các loại tệp được chỉ định) từ hình ảnh.
Sau khi quá trình khôi phục hoàn tất, hãy nhấp vào OK trong cửa sổ bật lên File
Recovery by Type để đóng cửa sổ xử lý.

Để xem các tệp đã được khôi phục, mở thư mục Retrieved Files.
Bằng cách này, ta có thể khôi phục các tệp từ hình ảnh pháp y bằng WinHex.