Forensics Investigation
Using
EnCase
Module 12
Được thiết kế bởi các nhà điều tra tội phạm mạng. Trình bày bởi các Chuyên gia
S E C U R I T Y
N E W S
Cầu nối khoảng cách giữa Bảo mật Vật lý và
Thông tin
Hầu hết những người làm công việc bảo mật đều không coi thông tin
bảo mật nằm trong phạm vi trách nhiệm của họ, nhưng Joseph Shaw,
một nhà điều tra mối đe dọa cấp cao cho MetaNet LLC, nói rằng cần có
nhiều sức mạnh tổng hợp giữa hai lĩnh vực này.
Shaw gần đây đã được một công ty thuê để điều tra một khả năng vi
phạm an ninh nội bộ. Một nhân viên đến sau giờ làm việc để làm công
việc hợp pháp, nhưng lại đưa một người không được phép vào, chỉ để
giúp anh ta bắt kịp công việc. Shaw đã sử dụng nhiều loại thông tin từ
các công nghệ bảo mật vật lý, chẳng hạn như video khô khan trong
nhật ký kiểm soát truy cập giám sát, cũng như thơng tin kỹ thuật số từ
máy tính của nghi phạm.
Shaw có thể xác định chính xác thời điểm người đó bước vào tịa nhà,
anh ta đã ở đó bao lâu và chính xác anh ta đã làm việc gì. Bằng cách
sử dụng phần mềm pháp y mã hóa từ phần mềm hướng dẫn, Shaw có
thể xác định cá nhân đang làm gì và trong khi xác định hoạt động của
anh ta là hợp pháp, nhân viên vẫn bị chấm dứt hợp đồng vì khơng tn
theo giao thức. Bằng cách tiến hành cuộc điều tra chính thức, cơng ty
đã tiết kiệm được một khoản tiền đáng kể do không phải thông báo cho
khách hàng về vi phạm bảo mật, điều này cũng có thể gây tổn hại đến
uy tín của họ.
Một sở cảnh sát ở một thị trấn nhỏ phía nam California nhận được
một cuộc gọi báo cáo về một vụ cướp vào ban đêm trong một bãi
đậu xe hẻo lánh. Nghi phạm lấy ví của nạn nhân khi cơ đang lên xe.
Các nhân viên bắt đầu giám sát bãi đậu xe. 48 giờ sau, nghi phạm
cố gắng tấn công một lần nữa và bị bắt. Việc bắt giữ anh ta đã tịch
thu được một chiếc máy tính.
Bằng cách sử dụng EnCase. Theo pháp y, các nhà điều tra đã tìm
thấy thơng tin trong ổ cứng của nghi phạm dẫn đến bằng chứng về
một loạt vụ cướp, vi phạm ma túy và vũ khí liên quan đến băng
đảng và bằng chứng mới quan trọng liên quan đến một số vụ việc
liên quan đến băng đảng trong khu vực. Cảnh sát có thể thêm
nhiều tội danh vào tội cướp ban đầu, với các bản án dài hơn do luật
băng đảng cứng rắn của bang. Bằng cách sử dụng thơng tin tình
báo có thể hành động được thu thập từ ổ cứng, cảnh sát có thể bắt
thêm đối tượng với nhiều tội danh vượt xa hành vi giật ví.
Module Objectives
• Tổng quan về encase
forensic
• Encase forensics modules
• Cài đặt encase forensic
• Cấu hình vỏ bọc
• Giao diện mã hóa
• Tổng quan về cấu trúc
• Xác minh hồ sơ bằng chứng
• Bộ xử lý nguồn
• Thiết lập các tùy trường hợp tùy chọn
• Xem nội dung tập tin
• Tạo nhiều loại dấu trang khác nhau
• Quản lý hồ sơ
• Tạo báo cáo bằng cách sử dụng tab
báo cáo
• Thêm 1 thiết bị
• Xuất một báo cáo
• Mua 1 thiết bị
Nội dung được cấp phép chính thức do
EnCase cung cấp cho EC-Council
Overview of EnCase Forensic
Encase forensic cung cấp cho các nhà điều tra một cơng cụ
duy nhất có khả năng tiến hành các cuộc điều tra quy mô lớn
và phức tạp từ đầu đến cuối
Thu thập dữ liệu theo cách thức rõ ràng bằng cách sử dụng
phần mềm
Cho phép các nhà điều tra thu thập bằng chứng có thể hành
động từ hoạt động internet, phiên trò chuyện, email, tài liệu,
đồ họa, sổ địa chỉ và hơn một trăm định dạng tệp bổ sung
Tiết kiệm thời gian phân tích bằng cách tự động hóa các tác
vụ thường xuyên và phức tạp với các mô-đun chỉ số được xây
dựng trước, chẳng hạn như phân tích trường hợp khởi tạo và
nhật ký sự kiện
Khơi phục bằng chứng kỹ thuật số nằm trong các tệp đã xóa,
đĩa đã định dạng, hốn đổi và khơng gian trùng, tệp ẩn, cuộn
giấy in và hơn thế nữa
Tìm bằng chứng quan
trọng bằng cách sử dụng
khả năng tìm kiếm nâng
cao để xác định dữ liệu
Khôi phục tệp và phân
vùng, phát hiện tệp đã
xóa bằng cách phân tích
cú pháp nhật ký sự kiện,
phân tích chữ ký tệp và
phân tích hàm băm
Xem hàng trăm định dạng tệp ở
dạng gốc, trình xem sổ đăng ký
tích hợp, trình xem ảnh tích hợp,
xem kết quả trên dòng thời
gian/lịch
Lưu giữ dữ liệu ở định
dạng tệp bằng chứng với
một hồ sơ vượt trội về sự
chấp nhận của tòa án
Lấy dữ liệu từ đĩa hoặc RAM, hình
ảnh, email, internet, lịch sử web
và bộ nhớ cache, tệp nén, tệp
sao lưu, tệp được mã hóa, máy
trạm, máy chủ và hơn thế nữa
Xuất báo cáo với danh sách tất cả các tệp và thư mục cùng
với danh sách chi tiết các URL với ngày và thời gian truy cập
Phát hiện và giải mã các khối lượng được mã hóa bằng cách
sử dụng Bitlocker windows7
Giải mã bất kỳ tệp đính kèm được mã hóa RMS nào vào một
email khơng được mã hóa trong một bước duy nhất
Dễ dàng quản lý khối lượng lớn bằng chứng số
Chuyển trực tiếp hồ sơ chứng cứ cho cơ quan thực thi pháp
luật hoặc đại diện hợp pháp khi cần thiết
Các tùy chọn xem xét cho phép những người không phải điều
tra viên, chẳng hạn như luật sư, xem xét bằng chứng một cách
dễ dàng
EnCase Forensic
Platform
Đầu
vào
Phân
tích
Đầu ra
EnCase cung cấp nhiều mô-đun phần mềm khác nhau cung cấp các
công cụ điều tra mạnh mẽ cho các nhà điều tra pháp y xử lý
Các mô-đun này là tiện ích bổ sung cho phần mềm và yêu cầu mua
chứng chỉ từ www.guidancesoftware.com để kích hoạt chúng
Mơ-đun EnCase Forensic:
Mô-đun này cho phép
người dùng miền giải mã
các tệp và thư mục được
mã hóa, bao gồm mã hóa
đĩa, mã hóa ổ đĩa và mã
hóa dựa trên tệp
Mơ-đun này cho phép các
nhà điều tra gắn bằng
chứng máy tính làm ổ đĩa
cục bộ để kiểm tra thông
qua Windows Explorer
Mô-đun này cho phép các
nhà điều tra gắn bằng
chứng máy tính dưới
dạng ổ đĩa mạng ngoại
tuyến, chỉ đọc để kiểm
tra thông qua Windows
Explorer
EnCase Forensics
Modules
Phiên bản phần mềm
Fastbloc (SE)
Mô-đun này là một tập
hợp các công cụ điều
khiển ổ đĩa
Được thiết kế để kiểm
soát việc đọc và ghi vào
ổ đĩa được gắn vào máy
tính thơng qua USB,
FireWire, SCSI, IDE và
thẻ điều khiển SATA để
cho phép thu thập an
toàn các phương tiện
chủ đề từ cửa sổ để mã
hóa tệp bằng chứng
CD-DVD module
Mơ-đun thí nghiệm được
sử dụng để ghi nội dung
sau vào CD hoặc DVD:
Tệp, thư mục và
báo cáo từ chương
trình mã hóa
Các
tệp
bằng
chứng hiện có và
tệp bằng chứng
logic
Hồ sơ bằng chứng
và
bằng
chứng
lơgic
trong
q
trình thu nhận
Yêu cầu phần mềm EnCase
Khóa bảo mật EnCase
Chứng chỉ cho tất cả các mô-đun
đã mua
Phiên bản hiện tại của trình kiểm
tra EnCase
Bộ xử lý mới nhất và chất lượng
nhất
1GB RAM
100MB dung lượng ổ cứng trống
Yêu cầu cụ thể của mô-đun
VFS
o Cơ sở hạ tầng mạng tối
thiểu 100Mb / s
Yêu cầu cụ thể của mô-đun FastBloc SE
Một trong những thẻ điều khiển IDE sau
• Promise Ultra133 Tx2
• Promise SATA TX2plus
• Promise Ultra100 TX2
• SIIG Ultra ATA/133PCI
• SIIG Ultra ATA 100 PCI RAID
Yêu cầu cụ thể của mô-đun
CD-DVD
Ổ ghi CD / DVC hỗ trợ AOPEN, PLEXTOR
712A, ASUS 0402P, Sony RU-710A,
Memorex DVD double, Toshiba R5372layer
16X w / USB bus và Pioneer DVR-108
Lưu ý: Bộ xử lý Intel itanium không được hỗ trợ. FastBloc SE chỉ hỗ trợ giao diện USB với phiên
bản 64-bit
Chèn đĩa CD / DVD mã hóa và đợi tự
động khởi động lại
Trong trình hướng dẫn cài đặt, hãy
nhập đường dẫn cài đặt hoặc chấp
nhận mặc định, sau đó bấm tiếp theo
Đọc và chấp nhận thỏa thuận cấp
phép EnCase Forensic kèm theo
Khi quá trình cài đặt kết thúc, màn
hình hồn tất thiết lập sẽ hiển thị, hãy
nhấp vào kết thúc
Trong quá trình cài đặt, chương trình sẽ tự sao chép và tập hợp các tệp được liên kết vào thư mục đích
Thư mục cấu hình
Thư mục chứng nhận
o
EnCase.pcert
o
AppDescriptors.ini
o
FileSignatures.ii
o
FileTypes.ini
o
Filters.ini and Keywords.ini
o
Profiles.ini
o
textStyles.ini
Thành phần thư mục
Thư mục lưu trữ
o
Case Processor.EnScript
o
o
File Mounter.EnScript
Case Report.ini
o
o
Index Case.EnScript
DifferentialReport.ini
o
o
Scan Local
SweepEnterpriseWEbRepor
Machine.EnScript
o
Webmail Parser.EnScript
t.ini
o
Compromise Assessment
Module.ini
Chứng chỉ được lập trình trên
khóa bảo mật:
• Nếu bạn đặt mua phần mềm
và mơ-đun Encase cùng lúc,
thì khóa bảo mật của bạn sẽ
được lập trình với các chứng
chỉ thích hợp và khơng cần tệp
nào khác
Cài đặt các mơ-đun được
hồn thành thơng qua
một trong hai cách
Tệp chứng chỉ cho khóa bảo
mật của bạn:
• Nếu bạn đã đặt hàng các mơđun sau khi nhận được khóa bảo
mật kèm theo thì bạn sẽ nhận
được các tệp chứng chỉ khớp với
khóa bảo mật của mình
• Giữ tệp chứng chỉ đã nhận
trong C: \ProgramFiles\Encase6\
Certs
Configuring EnCase
Bạn có thể định cấu hình các khía cạnh khác nhau của Encase theo nhu cầu hoặc sở
thích của mình
Các cài đặt này được sử dụng mỗi khi bạn khởi động Encase
Nhấp vào Cơng cụ -> Tùy chọn
Trong trình hướng dẫn Tùy chọn, hãy nhấp vào tab mong muốn và thay đổi cài đặt nếu
cần
Các tab trình hướng dẫn tùy chọn:
•
•
Tab tùy chọn trường hợp
chứa các cài đặt áp dụng
cho trường hợp đang mở
Nó hiển thị thơng tin về
trường hợp mở như tên, tên
người kiểm tra, thư mục
xuất mặc định, thư mục tạm
thời và thư mục chỉ mục
Tab chung của hộp thoại tùy chọn chứa
các cài đặt áp dụng cho mọi trường hợp
Đặt tất cả các thông số như định dạng
ngày, định dạng thời gian, tự động lưu,
v.v.