Bài thực hành 1 điều tra đĩa cứng và USB với phần mềm autopsy
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.38 MB, 16 trang )
Thực hành môn Pháp chứng kỹ thuật số
Bài 1: Thực hành điều tra đĩa cứng và USB với phần mềm Autopsy.
(phần mềm mã nguồn mở Sleuth Kit)
Mục tiêu: sinh viên hiểu rõ các tính năng của công cụ phần mềm Autopsy khi tiến
hành điều tra và tìm kiếm thông tin trong một Filesystem.
Thời gian thực hành: 1 buổi
Autopsy là một công cụ phần mềm pháp chứng kỹ thuật số với giao diện đồ họa của
bộ phần mềm mã nguồn mở Sleuth Kit, Autopsy có thể được sử dụng để điều tra
những gì đã xảy ra trên máy tính. Autopsy cho phép phân tích sự kiện theo thời gian,
trình bầy các sự kiện truy cập tới File system theo trình tự với giao diện đồ họa.
1. Cài đặt Autopsy
Sinh viên sử dụng file autopsy-3.1.1-32bit.msi để cài đặt Autopsy trên Hệ điều hành
Windows. File cài đặt Windows sẽ tạo một thư mục để lưu trữ thông tin và đặt tất cả
các tập tin cần thiết bên trong của thư mục này. File cài đặt bao gồm tất cả các file liên
quan gồm Sleuth Kit và Java.
2. Sử dụng Autopsy để điều tra tìm kiếm thông tin trong một Filesystem
Sinh viên khởi động Autopsy để tạo một Case mới, sử dụng lựa chọn "Create New
Case" tùy chọn trên màn hình, sinh viên phải cung cấp cho Autopsy với tên của vụ án
và thư mục để lưu trữ các kết quả thu thập được.
Sinh viên có thể tùy chọn cung cấp số case và các chi tiết khác, khai báo các thông tin
phù hợp cho case của mình
Sau khi có các thông tin về case, sinh viên vào lựa chọn đối tượng để điều tra thông
tin trong đó bao gồm File ISO, Filesystem hoặc File để điều tra dữ liệu lưu trữ.
Sau khi lựa chọn xong đối tượng điều tra, sinh viên cần lựa chọn các Module để thực
hiện các yêu cầu điều tra, chú ý một số Module sau:
Recent Activity tìm kiếm các hoạt động người dùng như lưu bởi các trình duyệt web
và hệ điều hành Windows.
Hash Lookup sử dụng cơ sở dữ liệu băm để bỏ qua các tập tin được biết từ NIST
NSRL và cờ để tìm các tập tin xấu. Sử dụng nút "Advanced" để thêm và cấu hình cơ
sở dữ liệu để sử dụng hash trong quá trình này.
Keyword Search sử dụng danh sách từ khoá để xác định các tập tin với những từ cụ
thể trong đó. Chúng ta có thể chọn danh sách từ khóa để tìm kiếm tự động và tạo danh
sách mới bằng cách sử dụng nút "Advanced".
Yêu cầu: sinh viên lựa chọn tìm các số điện thoại và địa chỉ IP có trong Filesystem.
Giải thích phương pháp lựa chọn.
Archive Extractor mở các file có dạng ZIP, RAR, và các định dạng lưu trữ khác và
tìm các tập tin từ các tập tin lưu trữ để phân tích thông tin.
Exif Parser trích xuất thông tin EXIF từ các tập tin hình ảnh là lưu các kết quả hình
ảnh vào cây trong giao diện chính.
Sinh viên thực hiện việc xem xét toàn bộ Filesystem, xem xét các lựa chọn nằm ô phía
bên trái của màn hình.
Data Sources: hiển thị tất cả dữ liệu trong Filesystem trong đó có cấu trúc hệ thống
tập tin của hình ảnh đĩa hoặc đĩa cục bộ.
Yêu cầu: sinh viên tìm thư mục có nhiều File nhất trong Filesystem.
Views: hiện thị các thông tin chi tiết thông tin của các file chứa trong Filesystem
Yêu cầu: Sinh viên chuyển xem các file hình ảnh chứa trong Filesystem bằng chế độ
view Thumbnail. Sinh viên tìm số lượng các files dạng doc và pdf chứa trong
Filesystem.
Result: hiển thị và phân loại các thông tin mà các Modules phân tích được trong
Filesystem
Yêu cầu: sinh viên ghi nhận các thông tin đã thu thập được liên quan đến số lượng địa
chỉ IP, địa chỉ Email, số lượng số điện thoại. Nhận xét về lượng thông tin thu thập
được.
Report: chức năng xem các báo cáo đã được tạo ra trong đó bao gồm kết quả tất cả
các phân tích.
Yêu cầu: sinh viên sử dụng nút "Generate Report" để tạo ra báo cáo dạng HTML và
Excel, xem nội dung báo cáo trong mục Report. Nêu nhận xét, kết luận về nội dung
của báo cáo.
--------------------------------------------
Họ Và Tên: Trần Hoài Phương
MSSV: 1X520XXX
Thực hành môn Pháp chứng kỹ thuật số
Bài 1: Thực hành điều tra đĩa cứng và USB với phần mềm Autopsy.
(phần mềm mã nguồn mở Sleuth Kit)
Sinh viên lựa chọn tìm các số điện thoại và địa chỉ IP có trong Filesystem. Giải thích
phương pháp lựa chọn.
địa chỉ IP có trong Filesystem . Trong đây có 2 địa chỉ IP là :
192.168.1.1
10.0.0.1
Số điện thoại có trong Filesystem.Trong đây có 2 số điện thoại:
090 909 9891
016 093 2233
Sinh viên tìm thư mục có nhiều File nhất trong Filesystem.Trong Filesystem này có
nhiều thư mục nhất là 11 thư mục .
Sinh viên chuyển xem các file hình ảnh chứa trong Filesystem bằng chế độ view
Thumbnail. Trong Thumbnail ta tìm thấy được 1 hình ảnh .
Sinh viên tìm số lượng các files dạng doc và pdf chứa trong Filesystem.
Ta tìm thấy 2 File pdf
Ta tìm thấy 6 File doc.
Sinh viên ghi nhận các thông tin đã thu thập được liên quan đến số lượng địa chỉ IP,
địa chỉ Email, số lượng số điện thoại. Nhận xét về lượng thông tin thu thập được.
Địa chỉ Email tìm được.
Số điện thoại tìm được 2 số.
Địa chỉ IP tìm được.
Nhận Xét : dựa vào số điện thoại ,địa chỉ IP và Email chúng ta có thể xác
định được người cần điều tra , qua đó giúp cho việc điều tra pháp chứng
kỷ thuật số trở nên nhanh chóng về dễ dàng tìm ra kết quả.
Sinh viên sử dụng nút "Generate Report" để tạo ra báo cáo dạng HTML và Excel, xem
nội dung báo cáo trong mục Report. Nêu nhận xét, kết luận về nội dung của báo cáo.
Tạo ra báo cáo dạng HTML.
Tạo ra báo cáo dạng Excel
Nhận xét Report dạng HTML xem nhanh thông tin của Case Number các
thông khác như Email,IP,điện thoại dễ dàng hơn .
Nhận xét Report dạng Excel .Ta thấy thấy được Case Number, Case Number ,
Number of Images…
