Module 5

Lab 1: SSD file Carving on Windows File system

File carving là quá trình tập hợp lại các tệp máy tính từ các mảnh trong trường hợp không có siêu
dữ liệu hệ thống tệp.
Lab Scenario:
Sam, một điều tra viên pháp y, được cho là thực hiện tập hợp lại các tệp bị phân mảnh trên file
image của ổ SSD thu được từ hệ thống tệp Windows. Các nhân viên thực thi pháp luật có được
hình ảnh từ cỗ máy của một nghi phạm bị buộc tội thực hiện các hoạt động bất chính. Bây giờ,
điều tra viên pháp y nên sử dụng các kỹ thuật khắc tệp để khôi phục thêm dữ liệu liên quan đến
vụ án. Để làm như vậy, điều tra viên phải có kiến thức về cấu trúc hệ thống tệp để xác định và
khôi phục các tệp và đoạn tệp từ không gian chưa được phân bổ của SSD trong trường hợp
không có siêu dữ liệu tệp.
Mục tiêu:
Lab này giúp bạn làm quen với công cụ Autopsy trên Windows và giúp hiểu Windows khôi phục
cách chức năng TRIM ảnh hưởng đến khả năng dữ liệu trên SSD. Nó cũng giúp bạn tìm hiểu
cách khôi phục dữ liệu từ hệ thống tệp trên SSD khi chức năng TRIM bị tắt. Nói cách khác,ta sẽ
thực hiện SSD file carving trên hệ thống tệp Windows trong lab này.
Thực hiện:
1. Mở công cụ Autopsy, chọn new case
2. Nhập Case name và Base Directory, đây là vị trí nơi case data được lưu trữ. Case name
có thể nhập theo mục đích nhận dạng của người sử dụng, ở đây ta đặt theo mục đích của
bài lab: SSD File Carving (Windows, TRIM Enabled).
3. Ta sẽ lưu case data này trong folder Image File Analysis:
4. Ở phần Optional Information, ta cung cấp Case Number và Examiner Details
5. Sẽ mất một lúc để tạo case. Sau khi tạo xong, ta lựa chọn kiểu data source ở đây là Disk
Image or VM file

6. Tiếp theo lựa chọn file Windows_Evidence_SSD_TE.dd để khôi phục:

7. Ở cửa sổ Configure Ingest Modules, hiển thị danh sách các lựa chọn sẽ được kiểm tra. Ở
đây ta để mặc định.
8. Finish để hoàn tất.
9. Ứng dụng bây giờ sẽ mở cửa sổ chính của nó. Mở rộng nút Data source trong ngăn bên
trái của cửa sổ. Tùy chọn Data source liệt kê tên của file image mà ta đã phân tích (trong
trường hợp này, nó là Windows_Evidence_SSD_TE.dd)
10. Click vào tên file image(Windows_Evidence_SSD_TE.dd) để xem các thư mục nội dung
của nó trong ngăn lưu trữ bên phải của cửa sổ công cụ. File image chứa dữ liệu liên quan
đến tệp, quy trình, dịch vụ, công cụ, v.v., được lưu trữ / sử dụng trên hệ thống Windows.
11. Mục tiêu của chúng tôi ở đây là khôi phục các tệp được khắc. Công cụ này có xung
quanh tập tin. Vì vậy, mất khoảng 10-15 phút để phân tích hình ảnh và cố gắng truy xuất
các tệp đã bị xóa và bị phân mảnh từ file image.

12. Tuy nhiên, vì đây là trường hợp liên quan đến việc sử dụng tệp hình ảnh SSD hỗ trợ
TRIM làm tệp bằng chứng, quan sát thấy rằng công cụ này không khắc bất kỳ tệp nào.
Do đó, điều này chứng tỏ rằng không thể khắc tệp khi TRIM được bật trên tệp hình ảnh
SSD.
13. Thực hiện tương tự với file image nhưng chức năng TRIM bị tắt.
14. Case name: SSD File Carving (Windows, TRIM Disabled)
15. Optional Information: set case number as 100
16. Chọn file Windows_Evidence_SSD_TD.dd để khôi phục
17. Lựa chọn tiếp theo tương tự các bước ở trên
18. Kết quả thu được tập hợp các file bị phân mảnh:
19. Bây giờ, để khôi phục tệp đã chọn đã khắc, nhấp chuột phải vào Extract File(s) từ context
menu:
20. Lưu vào folder Export
21. Kết quả sau khi extract

22. Trong trường hợp này, ta có thể truy xuất và xem (các) nội dung của tệp vì nó đã được
lấy từ đĩa khi TRIM bị tắt trên đó.
Lab 2: SSD File Carving on a Linux File System
File Carving là một kỹ thuật để khôi phục các tệp và đoạn tệp từ không gian đĩa cứng chưa
được phân bổ trong sự vắng mặt của siêu dữ liệu tệp. SSD file carving trên hệ thống tệp
Linux được thực hiện bằng công cụ pháp y Autopsy.
Lab Scenario:
Sam, điều tra viên pháp y, tệp của SSD thu được được cho là thực hiện khắc tệp trên hình
ảnh pháp y từ hệ thống tệp Linux. Các nhân viên thực thi pháp luật có được hình ảnh từ máy
của một nghi phạm bị buộc tội thực hiện các hoạt động bất chính. Điều tra viên pháp y nên
sử dụng các kỹ thuật khắc tệp để khôi phục thêm dữ liệu liên quan đến vụ án. Để làm như
vậy, điều tra viên nên có kiến thức về cấu trúc hệ thống tệp để xác định và khôi phục các tệp
và phân đoạn tệp từ không gian chưa được phân bổ của SSD trong trường hợp không có siêu
dữ liệu tệp.
1. Mở công cụ Autopsy, chọn new case

2. Nhập Case name và Base Directory, đây là vị trí nơi case data được lưu trữ. Case name
có thể nhập theo mục đích nhận dạng của người sử dụng, ở đây ta đặt theo mục đích của
bài lab: SSD File Carving (Linux File system).
3. Ta sẽ lưu case data này trong folder Image File Analysis:
4. Ở phần Optional Information, ta cung cấp Case Number và Examiner Details
5. Sẽ mất một lúc để tạo case. Sau khi tạo xong, ta lựa chọn kiểu data source ở đây là Disk
Image or VM file
6. Tiếp theo lựa chọn file Linux_Evidence_SSD.dd để khôi phục:
7. Ở cửa sổ Configure Ingest Modules, hiển thị danh sách các lựa chọn sẽ được kiểm tra. Ở
đây ta để mặc định.
8. Finish để hoàn tất.
9. Ứng dụng bây giờ sẽ mở cửa sổ chính của nó. Mở rộng nút Data source trong ngăn bên
trái của cửa sổ. Tùy chọn Data source liệt kê tên của file image mà ta đã phân tích
10. Click vào tên file image(Linux_Evidence_SSD.dd) để xem các thư mục nội dung của nó
trong ngăn lưu trữ bên phải của cửa sổ công cụ.
11. Tệp hình ảnh chứa các thư mục lưu trữ dữ liệu liên quan đến tệp, quy trình, dịch vụ, công
cụ, v.v., được sử dụng trên hệ thống Linux.

12. Trong phòng thí nghiệm này, mục tiêu của chúng tôi là truy xuất các tệp được khắc. Vì
vậy, sau khi nhấp vào tệp bằng chứng (tức là Linux_Evidence_SSD.dd) trong ngăn bên
trái, chúng ta cần đợi 10–15 phút để thư mục Tệp được khắc được tải trong khung bên
phải của cửa sổ.
13. Click vào 1 file image thu được, để xem nội dung và chi tiết ở khung dưới
14. Thực hiện extract file
 15. Kết quả extract:

Lab 8: Detect file extension Mismatch

Phần mở rộng tệp là mã định danh được chỉ định làm hậu tố ở cuối tên tệp. Nó giúp xác định loại
tệp trong hệ điều hành như windows.
Lab Scenario:
Kẻ tấn công đã lưu các tệp độc hại trên hệ thống để thực thi nhằm đánh cắp dữ liệu nhạy cảm của
người dùng. Để đánh lừa tường lửa và chương trình chống phần mềm độc hại trên hệ thống, họ
sử dụng kỹ thuật chống pháp y thay đổi phần mở rộng của các tệp độc hại đó để chúng vẫn
không bị phát hiện. Kẻ tấn công cũng có thể đã thay đổi một số tệp độc hại này thành .sys ngụy
trang chúng dưới dạng tệp hệ thống và ngăn cản sự chú ý kiểm tra hệ thống của các nhà điều tra
pháp y. Cần phát hiện từng trong số này có thể được thu thập và nghiên cứu để điều tra thêm.

1. Mở tool autopsy, tạo case:

2. Case name và Base Directory:

3. Case number và Examiner Details
4. Lựa chọn kiểu Data Source:
5. Lựa chọn file Windows_Evidence_001.dd để thực hiện
6. Configure Ingest module, lựa chọn các trường dưới đây:
7. Nhấp vào nội dung tên tệp hình ảnh (ở đây là Windows_Evidence_001.dd) trong
ngăn bên phải của cửa sổ công cụ. Nó bao gồm để xem tất cả dữ liệu hệ điều hành
cần thiết của nó.
8. Để xem các tệp đã được phát hiện với phần mở rộng không khớp, hãy nhấp vào
Extension Mismatch Detected hiển thị các tệp có phần mở rộng cửa sổ, như thể hiện
trong danh mục sau trong ngăn bên trái. Công cụ sẽ không khớp trong ngăn bên
phải của ảnh chụp màn hình:
Trong ảnh chụp màn hình ở trên, với Phần mở rộng không khớp trong ngăn cột bên phải trong
ngăn bên phải của cửa sổ hiển thị các phần mở rộng đã sửa đổi của tệp, trong khi cột Loại MIME
hiển thị phần mở rộng ban đầu của chúng. Là phần mở rộng trong số các tệp đã được sửa đổi,
điều đó có nghĩa là chúng đã bị giả mạo.

9. Để xem nội dung của file với phần mở rộng không khớp, click nó, nội dung sẽ được
hiển thị trong khung phía dưới
.trace là phần mở rộng của tệp này, trong khi .jpeg là phần mở rộng ban đầu của nó

Lab 9: Unpacking Program Packers

Sử dụng trình đóng gói chương trình là một kỹ thuật chống pháp y hiệu quả cho kẻ tấn công để
ngăn chặn các chương trình độc hại trên hệ thống bị phát hiện.
Lab Scenario:
Kẻ tấn công đã lưu một tệp chương trình độc hại trong máy tính trạm được sử dụng bởi một kế
toán tại một công ty môi giới chứng khoán. Kẻ tấn công đã ngụy trang tệp độc hại thành tệp vô
hại bằng cách sử dụng trình đóng gói chương trình. Trình đóng gói chương trình cho phép tệp
độc hại được thực thi trên hệ thống mà không bị tường lửa và chương trình chống phần mềm độc
hại của hệ thống phát hiện. Tệp độc hại được đóng gói khiến thông tin nhạy cảm được lưu trữ
trên hệ thống mục tiêu bị xâm phạm. Công ty đã tham khảo ý kiến của cơ quan điều tra pháp y để
phá vụ án và bảo mật hệ thống của mình.
Giao diện chính của tool:

Lựa chọn file thực thi, Với mục đích chứng minh của phòng thí nghiệm này, file evidence mục
tiêu đã được đặt tên Infected.exe. Trong trường hợp thực tế, một tệp chương trình độc hại có thể
mang tên có vẻ bình thường. Những kẻ tấn công ngụy trang các tệp độc hại các tệp thông thường
bằng cách sử dụng các công cụ đóng gói chương trình để chúng không bị phát hiện bởi tường lửa
và phần mềm chống phần mềm độc hại trên hệ thống.
Màn hình chính của tool sẽ cho thấy chi tiết về ứng dụng được sử dụng để đóng gói file thực thi
mà ta đang xem xét.
Từ ảnh trên ta thấy rằng file thực thi được đóng gói bằng tool UPX, do đó ta sẽ sử dụng tool này
để unpack nó.
Sử dụng cmd thao tác với folder UPX

Unpack file mục tiêu Infected.exe và lưu với tên Unpacked.exe với command sau:
upx.exe-d-o E:\ Unpacked.exe E:\Infected.exe
Tệp được đóng gói Unpacked.exe này là tệp gốc (không nén) đã được đóng gói và ta có thể quan
sát thấy rằng kích thước của nó lớn hơn kích thước của tệp được đóng gói.

Bằng cách này, ta có thể phát hiện các trình đóng gói được sử dụng để đóng gói tệp và giải nén
chúng bằng các công cụ phù hợp.

Lab 5: Cracking Application Passwords

Mật khẩu thường là một chuỗi ký tự được sử dụng để xác minh danh tính của người dùng trong
quá trình xác thực.
Cuộc điều tra vụ án trộm cắp tài sản trí tuệ và bí mật thương mại của một tổ chức ngân hàng đầu
tư đã dẫn các nhà điều tra pháp y đến chiếc máy tính cá nhân của hung thủ. Thủ phạm đã lưu trữ
tất cả thông tin bị đánh cắp dưới dạng nhiều tài liệu khác nhau trên máy tính của họ và đặt mật
khẩu cho những tài liệu đó để ngăn người khác truy cập. Với sự giúp đỡ của các cơ quan thực thi
pháp luật, các nhà điều tra pháp y đã thu giữ máy của hung thủ để tìm kiếm thông tin bị đánh cắp
trong đó. Trong quá trình điều tra, các nhà điều tra đã tìm thấy một số tệp được bảo vệ bằng mật
khẩu, mật khẩu này phải được bẻ khóa để có thể truy cập vào thông tin nhạy cảm của tổ chức
ngân hàng đầu tư. Các nhà điều tra nên tiến hành bẻ khóa mật khẩu của các tài liệu được bảo vệ
như thế nào?
Phòng thí nghiệm này giúp bạn làm quen với công cụ Pháp y Passware Kit và giúp bạn hiểu cách
bẻ khóa mật khẩu của các ứng dụng/tệp được bảo vệ bằng mật khẩu trên máy tính nhằm mục
đích điều tra pháp lý.
Giao diện của ứng dụng Passware Kit Forensic:

Lựa chọn file sample_1.docx để crack passowrd

Công cụ sẽ mất một chút thời gian để bẻ khóa mật khẩu. Thời gian cần thiết tỷ lệ thuận với số
lượng và loại ký tự được sử dụng trong mật khẩu.
Sau khi phân tích, công cụ hiển thị mật khẩu đã bị bẻ khóa, như trong ảnh chụp màn hình: