Professional Documents
Culture Documents
Module 5
Module 5
12. Tuy nhiên, vì đây là trường hợp liên quan đến việc sử dụng tệp hình ảnh SSD hỗ trợ
TRIM làm tệp bằng chứng, quan sát thấy rằng công cụ này không khắc bất kỳ tệp nào.
Do đó, điều này chứng tỏ rằng không thể khắc tệp khi TRIM được bật trên tệp hình ảnh
SSD.
13. Thực hiện tương tự với file image nhưng chức năng TRIM bị tắt.
14. Case name: SSD File Carving (Windows, TRIM Disabled)
15. Optional Information: set case number as 100
16. Chọn file Windows_Evidence_SSD_TD.dd để khôi phục
17. Lựa chọn tiếp theo tương tự các bước ở trên
18. Kết quả thu được tập hợp các file bị phân mảnh:
19. Bây giờ, để khôi phục tệp đã chọn đã khắc, nhấp chuột phải vào Extract File(s) từ context
menu:
20. Lưu vào folder Export
21. Kết quả sau khi extract
22. Trong trường hợp này, ta có thể truy xuất và xem (các) nội dung của tệp vì nó đã được
lấy từ đĩa khi TRIM bị tắt trên đó.
Lab 2: SSD File Carving on a Linux File System
File Carving là một kỹ thuật để khôi phục các tệp và đoạn tệp từ không gian đĩa cứng chưa
được phân bổ trong sự vắng mặt của siêu dữ liệu tệp. SSD file carving trên hệ thống tệp
Linux được thực hiện bằng công cụ pháp y Autopsy.
Lab Scenario:
Sam, điều tra viên pháp y, tệp của SSD thu được được cho là thực hiện khắc tệp trên hình
ảnh pháp y từ hệ thống tệp Linux. Các nhân viên thực thi pháp luật có được hình ảnh từ máy
của một nghi phạm bị buộc tội thực hiện các hoạt động bất chính. Điều tra viên pháp y nên
sử dụng các kỹ thuật khắc tệp để khôi phục thêm dữ liệu liên quan đến vụ án. Để làm như
vậy, điều tra viên nên có kiến thức về cấu trúc hệ thống tệp để xác định và khôi phục các tệp
và phân đoạn tệp từ không gian chưa được phân bổ của SSD trong trường hợp không có siêu
dữ liệu tệp.
1. Mở công cụ Autopsy, chọn new case
2. Nhập Case name và Base Directory, đây là vị trí nơi case data được lưu trữ. Case name
có thể nhập theo mục đích nhận dạng của người sử dụng, ở đây ta đặt theo mục đích của
bài lab: SSD File Carving (Linux File system).
3. Ta sẽ lưu case data này trong folder Image File Analysis:
4. Ở phần Optional Information, ta cung cấp Case Number và Examiner Details
5. Sẽ mất một lúc để tạo case. Sau khi tạo xong, ta lựa chọn kiểu data source ở đây là Disk
Image or VM file
6. Tiếp theo lựa chọn file Linux_Evidence_SSD.dd để khôi phục:
7. Ở cửa sổ Configure Ingest Modules, hiển thị danh sách các lựa chọn sẽ được kiểm tra. Ở
đây ta để mặc định.
8. Finish để hoàn tất.
9. Ứng dụng bây giờ sẽ mở cửa sổ chính của nó. Mở rộng nút Data source trong ngăn bên
trái của cửa sổ. Tùy chọn Data source liệt kê tên của file image mà ta đã phân tích
10. Click vào tên file image(Linux_Evidence_SSD.dd) để xem các thư mục nội dung của nó
trong ngăn lưu trữ bên phải của cửa sổ công cụ.
11. Tệp hình ảnh chứa các thư mục lưu trữ dữ liệu liên quan đến tệp, quy trình, dịch vụ, công
cụ, v.v., được sử dụng trên hệ thống Linux.
12. Trong phòng thí nghiệm này, mục tiêu của chúng tôi là truy xuất các tệp được khắc. Vì
vậy, sau khi nhấp vào tệp bằng chứng (tức là Linux_Evidence_SSD.dd) trong ngăn bên
trái, chúng ta cần đợi 10–15 phút để thư mục Tệp được khắc được tải trong khung bên
phải của cửa sổ.
13. Click vào 1 file image thu được, để xem nội dung và chi tiết ở khung dưới
14. Thực hiện extract file
15. Kết quả extract:
9. Để xem nội dung của file với phần mở rộng không khớp, click nó, nội dung sẽ được
hiển thị trong khung phía dưới
.trace là phần mở rộng của tệp này, trong khi .jpeg là phần mở rộng ban đầu của nó
Lựa chọn file thực thi, Với mục đích chứng minh của phòng thí nghiệm này, file evidence mục
tiêu đã được đặt tên Infected.exe. Trong trường hợp thực tế, một tệp chương trình độc hại có thể
mang tên có vẻ bình thường. Những kẻ tấn công ngụy trang các tệp độc hại các tệp thông thường
bằng cách sử dụng các công cụ đóng gói chương trình để chúng không bị phát hiện bởi tường lửa
và phần mềm chống phần mềm độc hại trên hệ thống.
Màn hình chính của tool sẽ cho thấy chi tiết về ứng dụng được sử dụng để đóng gói file thực thi
mà ta đang xem xét.
Từ ảnh trên ta thấy rằng file thực thi được đóng gói bằng tool UPX, do đó ta sẽ sử dụng tool này
để unpack nó.
Sử dụng cmd thao tác với folder UPX
Unpack file mục tiêu Infected.exe và lưu với tên Unpacked.exe với command sau:
upx.exe-d-o E:\ Unpacked.exe E:\Infected.exe
Tệp được đóng gói Unpacked.exe này là tệp gốc (không nén) đã được đóng gói và ta có thể quan
sát thấy rằng kích thước của nó lớn hơn kích thước của tệp được đóng gói.
Bằng cách này, ta có thể phát hiện các trình đóng gói được sử dụng để đóng gói tệp và giải nén
chúng bằng các công cụ phù hợp.