Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

Khoa Mạng máy tính và Truyền thông
Họ và tên: Nguyễn Cao Hòa
MSSV: 13520287
Lớp: NT334.H11

BÁO CÁO THỰC HÀNH MÔN HỌC: PHÁP CHỨNG KỸ THUẬT SỐ
NT334.H11
BÀI THỰC HÀNH 1: PHÁP CHỨNG TRÊN USB VÀ ĐĨA CỨNG VỚI PHẦN MỀM
AUTOPSY.

Mục tiêu: sinh viên hiểu rõ các tính năng của công cụ phần mềm Autopsy khi tiến hành
điều tra và tìm kiếm thông tin trong một Filesystem.
Thời gian thực hành: 1 buổi Autopsy là một công cụ phần mềm pháp chứng kỹ thuật số
với giao diện đồ họa của bộ phần mềm mã nguồn mở Sleuth Kit, Autopsy có thể được sử
dụng để điều tra những gì đã xảy ra trên máy tính. Autopsy cho phép phân tích sự kiện
theo thời gian, trình bày các sự kiện truy cập tới File system theo trình tự với giao diện đồ
họa.
Nội dung thực hành:
Khởi động công cụ Autospy, chọn Create new case để tạo một case mới:

1|Page

GVHD: Ths Trần Thị Dung


Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

Nhập thông tin , sau đó chọn OK

2|Page

GVHD: Ths Trần Thị Dung


Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

Chọn kiểu Data Source là Local Disk và ổ đĩa G , sau đó chọn Next.

Yêu cầu: sinh viên lựa chọn tìm các số điện thoại và địa chỉ IP có trong Filesystem. Giải
thích phương pháp lựa chọn.
3|Page

GVHD: Ths Trần Thị Dung


Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

Để thêm lựa chọn tìm số điện thoại và địa chỉ IP có trong FileSystem, tại mục Configure
Ingest Module, trong mục Keyword Search, chúng ta chọn thêm hai trường là IP Address
và Phone Number. Vì với phương pháp này, Autopsy sẽ tìm thông tin dựa theo định dạng
của chúng.

4|Page

GVHD: Ths Trần Thị Dung


Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số


Kết quả sau khi quá trình phân tích xong:
Yêu cầu: sinh viên tìm thư mục có nhiều File nhất trong Filesystem.

5|Page

GVHD: Ths Trần Thị Dung


Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

Thực hiện tìm kiếm, ta thấy thư mục Final Day có nhiều file nhất 49948 ( bao gồm file
thông thường + file thư mục) Yêu cầu: Sinh viên chuyển xem các file hình ảnh chứa trong
Filesystem bằng chế độ view Thumbnail. Sinh viên tìm số lượng các files dạng doc và pdf
chứa trong Filesystem.
Trong thư mục View | Images.
Trong màn hình Directory Listing, chọn kiểu xem là Thumbnail

Tiếp đó, di chuyển đến kiểu file là document. Dưới trường pdf, ta có số lượng file pdf
trong filesystem. Số lượng ta tìm được là 1 files

6|Page

GVHD: Ths Trần Thị Dung


Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

Để xác định số lượng file doc, trên giao diện Autopsy, chọn Tools | Search File By
Attributes.


7|Page

GVHD: Ths Trần Thị Dung


Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

Trong trường File Name, chọn kiểu tìm kiếm là “.doc” .
Kết quả tìm kiếm:

8|Page

GVHD: Ths Trần Thị Dung


Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

Số lượng file: 0 files
Yêu cầu: sinh viên ghi nhận các thông tin đã thu thập được liên quan đến số lượng địa
chỉ IP, địa chỉ Email, số lượng số điện thoại. Nhận xét về lượng thông tin thu thập được.
Để thu thập thông tin về số lượng IP, số lượng email và số lượng điện thoại, trong mục
keyword lists, chúng ta sẽ thấy thông tin tương ứng:

9|Page

GVHD: Ths Trần Thị Dung


Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số


Số lượng IP: 869
Số lượng Số điện thoại: 5
Số lượng thông tin địa chỉ Email: 237

10 | P a g e

GVHD: Ths Trần Thị Dung


Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

Autopsy sẽ hiển thị số lượng với mỗi địa chỉ IP. Cụ thể hơn, với mỗi địa chỉ IP, mỗi số
điện thoại hay mỗi địa chỉ Email, Autopsy sẽ hiển thị thông tin đó nằm trong những
file nào. Trong những file đó, nó nằm ở vị trí nào ( những vị trí mà thông tin cần tìm sẽ
được tô vàng ) .
Nhận xét: Autopsy sử dụng các regular expression để thực hiện trích xuất các thông tin
như địa chỉ IP, mail, số điện thoại trong các file mà nó tìm thấy trong nội dung các file,...
( Ví dụ như với địa chỉ IP, nó sẽ tìm kiếm những thông tin có định dạng x.x.x.x). Tuy
nhiên với cách tìm kiếm như vậy đôi lúc thông tin thu thập sẽ không chính xác ( ví dụ
phần mềm có phiên bản 1.0.0.0 cũng xem như là một địa chỉ IP). Tuy nhiên với những
tính năng này, Autopsy vẫn là một công cụ cực kì hữu ích trong việc tìm kiếm, thu thập
thông tin để phục vụ công tác điều tra, pháp chứng số.
Yêu cầu: sinh viên sử dụng nút "Generate Report" để tạo ra báo cáo dạng HTML và
Excel, xem nội dung báo cáo trong mục Report. Nêu nhận xét, kết luận về nội dung của
báo cáo.
Để kết xuất báo cáo, trong giao diện Autopsy, chọn chức năng Generate Report.

11 | P a g e

GVHD: Ths Trần Thị Dung



Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

Sau đó chọn từng kiểu báo cáo tương ứng:
 Với kiểu HTML:

Sau đó chọn Next.
12 | P a g e

GVHD: Ths Trần Thị Dung


Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

13 | P a g e

GVHD: Ths Trần Thị Dung


Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

Thông tin trong phần báo cáo bao gồm: tên case, số thứ tự case, nhân viên pháp chứng,
thông tin về file ảnh cùng với những thông tin có liên quan được liệt kê dưới dạng cột
 Với kiểu Excel:

14 | P a g e

GVHD: Ths Trần Thị Dung



Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

Thông tin trong phần báo cáo bao gồm: tên case, số thứ tự case, nhân viên pháp chứng,
thông tin về file ảnh cùng với những thông tin có liên quan được liệt kê dưới dạng các
sheet
Nhận xét: Báo cáo rõ ràng, liệt kê đầy đủ thông tin cần thiết cho việc thu thập thông tin
để cho công tác điều tra, pháp chứng số sau này.
3. Sử dụng Autopsy để phân tích nội dung của một disk image có sẵn
Download file image tại:
/>Yêu cầu:
- Hãy tìm tất cả những hình ảnh có trong ổ đĩa đã cho?
- Với mỗi file hình ảnh tìm được, liệt kê tất cả các thông tin liên quan đến file đó:
tên file, loại file, size, thời gian tạo, xoá, sửa, MD5, kích thước hình ảnh …
Khởi động Autopsy, tạo mới một case:

15 | P a g e

GVHD: Ths Trần Thị Dung


Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

16 | P a g e

GVHD: Ths Trần Thị Dung


Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số


Kết quả thu thập được:
17 | P a g e

GVHD: Ths Trần Thị Dung


Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

18 | P a g e

GVHD: Ths Trần Thị Dung


Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

Tên file

Loại file

Thời
Thời
MD5
gian tạo gian
xóa, sửa

Size
ảnh

File1.jpg


Image/jpeg

200406-10
10:27:3
6 ICT

698 x
752
pixel
s

File3.jpg
File4.jpg

text
Image/jpeg

Unalloc_67_54579
2_10289152

Image/jpeg

Đây thực chất là một file text bị đổi lại định dạng file thành jpg
Đây không phải là một hình ảnh thật sự, tuy nhiên lí do autopsy vẫn sắp xếp vào là
hình ảnh vì nó có các byte ban đầu trong phần hexa string gần giống với các file jpg
tuy nhiên cũng không giống hoàn toàn. Tiếp tục xem xét trong phần meta data thì ta
thấy đây là một dạng octet/stream 0
Không có thông tin
698 x
752

pixel
s

File8.jpg

Image/jpeg

200406-10
10:27:3
6 ICT

Không có thông tin

75b8d00568815a36c3809b46fc84b
a6d

f9956284a89156ef6967b49eced9d
1 b1

Ghi chú

698 x
752
pixel
s

Được nén trong
file .zip
19 | P a g e


GVHD: Ths Trần Thị Dung


Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

File9.jpg

Image/jpg

Không có thông tin

c5a6917669c77d20f30ecb39d389e
b7d

698 x File ảnh
752
trong
pixel file9.boo
s

File10.jpg

Image/jpg

Không có thông tin

c476a66c2799b4f6f8e27273dd788
6a

698 x

752
pixel
s

nằm
file

File ảnh trong file
file10.tar.gz
File6.jpg

Image/jpeg

Không có thông tin

0c452c5800fcfa7c66027ae89c4f06
8a

563x
527
pixel
s
File ảnh bị xóa
dưới phần mở
rộng của một file
ảnh jpg

File7.hmm

Image/jpeg


Không có thông tin

Afd55222024a4e22f7f5a3a665320
763

698 x
752
pixel
s

20 | P a g e

GVHD: Ths Trần Thị Dung


Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

File ảnh bị xóa
dưới phần mở
rộng của một file
khác
File2.dat

Image/jpeg

200406-10
10:27:3
6 ICT


200406-10
10:27:3
6 ICT

de5d83153339931371719f4e5c924
eba

437 x
365
pixel
s
Đây là một file
ảnh nhưng bị đổi
định dạng file

File13.dll:h ere

Image/jpeg

200406-10
10:29:1
8 ICT

200406-10
10:29:4
5 ICT

9b787e63e3b64562730c5aecaab1e
1f8


518 x
563
pixel
s
Đây là một file
ảnh nhưng bị đổi
định dạng file

21 | P a g e

GVHD: Ths Trần Thị Dung


Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

22 | P a g e

GVHD: Ths Trần Thị Dung