Tải bản đầy đủ (.pdf) (37 trang)
  1. Trang chủ
    2. >>
  2. Kỹ Năng Mềm
    3. >>
  3. Kỹ năng lãnh đạo

Bài tập lớn môn an toàn mạng (9)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.15 MB, 37 trang )

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG

KHOA CƠNG NGHỆ THƠNG TIN 1
------------

Học phần: An tồn mạng
Bài báo cáo:
Tìm hiểu về công cụ FTK Imager

Giảng viên hướng dẫn:

TS. Đặng Minh Tuấn

Sinh viên thực hiện:

Nguyễn Thị Tường Vân

Mã sinh viên:

B18DCAT258

HÀ NỘI – 2021


FTK Imager

Nguyễn Thị Tường Vân – B18DCAT258

MỤC LỤC
DANH MỤC CÁC TỪ VIẾT TẮT .................................................................................. 2
DANH MỤC CÁC HÌNH VẼ ........................................................................................... 3


DANH MỤC CÁC BẢNG BIỂU ...................................................................................... 5
MỞ ĐẦU ............................................................................................................................. 6
CHƯƠNG I: GIỚI THIỆU, LỊCH SỬ HÌNH THÀNH ................................................. 7
1. Về Computer Forensics (Điều tra số): ................................................................... 7
2. Về công cụ FTK Imager: ........................................................................................ 8
CHƯƠNG II: CÀI ĐẶT VÀ SỬ DỤNG........................................................................ 11
1. Hướng dẫn cài đặt: ................................................................................................ 11
a.

Cài đặt trên thiết bị cục bộ (local devices):.......................................................... 11

b. Cài đặt trên các thiết bị di động (portable devices): ............................................ 11
2. Hướng dẫn sử dụng: .............................................................................................. 12
a. Làm việc với giao diện người dùng: ................................................................. 12
b. Làm việc với chứng cứ số .................................................................................. 18
c.

Các tệp đầu ra trong FTK Imager: .................................................................. 20

CHƯƠNG III: DEMO .................................................................................................... 22
Nội dung: Forensics hình ảnh đĩa bằng FTK Imager ..................................................... 22
1. Thông tin, mô tả và kịch bản: .............................................................................. 22
2. Thực hành: ............................................................................................................. 22
3. Kết luận: ................................................................................................................. 33
KẾT LUẬN ...................................................................................................................... 35
TÀI LIỆU THAM KHẢO............................................................................................... 36

1



FTK Imager

Nguyễn Thị Tường Vân – B18DCAT258

DANH MỤC CÁC TỪ VIẾT TẮT
Từ viết tắt

Thuật ngữ tiếng Anh

Thuật ngữ tiếng Việt

FTK

Forensics Toolkit

Bộ công cụ điều tra số

IP

Internet Protocol

Giao thức Internet

RAM

Random Access Memory

Bộ nhớ truy cập ngẫu nhiên

CD


Compact Disc

Đĩa quang

DVD

Digital Optical Disc

Đĩa video kỹ thuật số

MD5

Message Digest Algorithm

Giải thuật Tiêu hóa tin nhắn 5

SHA-1

Secure Hash Algorithm

Giải thuật băm an toàn

SID

System Identifier

Mã định dạng đối tượng

RHEL


Red Hat Enterprise Linux

Máy RHEL

SSH

Secure Shell

Giao thức đăng nhập vào server từ
xa

SOC

Security Operations Center

Trung tâm điều hành an ninh

ID

Identifier

Định danh

CVE

Common Vulnerabilities and

Danh sách các lỗi bảo mật máy


Exposures

tính công khai

Common Vulnerability Scoring

Hệ thống chấm điểm lỗ hổng bảo

System

mật

Operating System

Hệ điều hành

CVSS

OS

2


FTK Imager

Nguyễn Thị Tường Vân – B18DCAT258

DANH MỤC CÁC HÌNH VẼ
Tên


Mơ tả

Trang

Hình 1-1

Logo cơng cụ FTK Imager

9

Hình 2-1

Giao diện người dùng chính

11

Hình 2-2

Thanh Menu

12

Hình 2-3

File menu

13

Hình 2-4


View menu

13

Hình 2-5

Mode menu

14

Hình 2-6

Help menu

14

Hình 2-7

Toolbar

14

Hình 2-8

Properties tab

17

Hình 2-9


Hex Value Interpreter tab

17

Hình 2-10

Custom Content Sources tab

18

Hình 2-11

Hộp Select Source trong Add Evidence Item

19

Hình 2-12

Hộp Select File trong Add Evidence Item

19

Hình 2-13

Drive/Image Verify Result

21

Hình 3-1


Phiên bản của máy RHEL

22

Hình 3-2

Log để xác định IP tấn cơng

23

Hình 3-3

Tấn cơng brute-force thành cơng vào tài khoản

24

‘rossantron’
Hình 3-4

Tấn cơng brute-force thành cơng vào tài khoản ‘chandler’

24

Hình 3-5

Các tài khoản có login shell (1/2)

25

Hình 3-6


Các tài khoản có login shell (2/2)

25

Hình 3-7

Các nhóm tài khoản có quyền sudo trong /etc/sudoers

26

Hình 3-8

Các tài khoản trong nhóm wheel trong /etc/group

27

Hình 3-9

Mật khẩu bị mã hóa của các tài khoản trong /etc/shadow

27

3


FTK Imager

Hình 3-10


Nguyễn Thị Tường Vân – B18DCAT258

Crack mật khẩu của tài khoản rossantron bằng

28

JohnTheRipper
Hình 3-11

Lỗ hổng trong polkit

28

Hình 3-12

IP nạn nhân trong /var/log/secure

29

Hình 3-13

Xác định dịch vụ kẻ tấn cơng sử dụng

29

Hình 3-14

Email và tên máy tấn cơng

30


Hình 3-15

Bash history của tài khoản rachel

31

Hình 3-16

File /var/log/cron

32

Hình 3-17

Vị trí của ython script c2c.py

32

Hình 3-18

Nội dung của python script c2c.py

33

4


FTK Imager


Nguyễn Thị Tường Vân – B18DCAT258

DANH MỤC CÁC BẢNG BIỂU

Tên
Bảng 2-1

Mô tả
Các thành phần của Toolbar

Trang
15

5


FTK Imager

Nguyễn Thị Tường Vân – B18DCAT258

MỞ ĐẦU
Đầu tiên, em xin gửi lời cảm ơn tới Học viện Công nghệ Bưu chính viễn thơng đã
đưa học phần An tồn mạng vào chương trình giảng dạy. Đặc biệt, em xin gửi lời cảm ơn
tới TS. Đặng Minh Tuấn, người đã giảng dạy và truyền đạt rất nhiều kiến thức bổ ích về
học phần An tồn mạng nói riêng và An tồn thơng tin nói chung.
Ngày nay, trong thời đại chuyển đổi số, tầm quan trọng của an tồn thơng tin ngày
càng lớn. Hầu hết các nước, các tổ chức đều đề ra các chính sách và bộ luật để bảo mật dữ
liệu của mình. Với sự gia tăng đáng kể của tội phạm mạng trong những năm gần đây thì
vai trị của Forensics (hay điều tra số) ngày càng lớn. Điều tra số giúp thu thập thơng tin,
phân tích và tìm ra chứng cứ thuyết phục về một vấn đề cần sáng tỏ. Để điều tra một cách

nhanh chóng và chính xác, chúng ta cần các công cụ hỗ trợ, một trong các công cụ lâu đời
và hiệu quả nhất trong điều tra số là FTK Imager, do công ty Access Data, hiện nay là công
ty cổ phần Exterro phát triển.
Trong bài tiểu luận này, em sẽ trình bày chi tiết về công cụ này và bài tiểu luận của
em gồm ba phần chính như sau:
 Chương I:
 Chương II:
 Chương III:

Giới thiệu, lịch sử hình thành của cơng cụ
Cài đặt và sử dụng công cụ
Demo công cụ FTK Imager trong điều tra số

6


FTK Imager

Nguyễn Thị Tường Vân – B18DCAT258

CHƯƠNG I: GIỚI THIỆU, LỊCH SỬ HÌNH THÀNH
1. Về Computer Forensics (Điều tra số):
a. Định nghĩa, lịch sử ra đời và mục tiêu:
 Trong an tồn thơng tin nói riêng và khao học máy tính nói chung, Computer
Forensics, hay cịn gọi là điều tra số, là công việc phát hiện, bảo vệ và phân tích thơng
tin được lưu trữ, truyền tải hoặc được tạo ra bởi một máy tính hoặc mạng máy tính,
nhằm đưa ra các suy luận hợp lý để tìm nguyên nhân, giải thích các hiện tượng trong
q trình điều tra.
 Khái niệm Forensics (Forensics Science – khoa học pháp y) như tên gọi của nó xuất
phát từ lĩnh vực y tế từ thế kỷ 18 và liên quan đến điều tra pháp y. Ngày nay Forensics

đã được mở rộng ra rất nhiều lĩnh vực khác, trong đó có Khoa học máy tính.
 Computer Forensics ra đời vào những năm 1980 do sự phát triển của máy tính cá
nhân, khi xảy ra trộm cắp thiết bị phần cứng, mất mát dữ liệu, vi phạm bản quyền,
virus may tính phá hoại… Các doanh nghiệp và chính phủ các nước khi đó cũng ý
thức hơn về vấn đề bảo mật.
 Cốt lõi của điều tra số là phát hiện, bảo quản, khai thác, tài liệu hóa và đưa ra kết luận
về dữ liệu thu thập được. Cần lưu ý rằng dữ liệu phải đảm bảo tính xác thực và được
lấy mà khơng bị hư hại, nếu khơng dữ liệu đấy sẽ khơng cịn ý nghĩa.
b. Tại sao phải tiến hành điều tra số:
Khi bị hacker tấn công và để lại những hậu quả không mong muốn, cần phải xác
định nguyên nhân bị tấn công, tìm cách khắc phục để sự việc khơng tái diễn hay xa
hơn là xác định thủ phạm. Đó là lúc cần đến điều tra số (forensics).
c. Nguyên tắc trao đổi của Locard và ứng dụng trong điều tra số:
 Edmond Locard (1877 - 1966), được mệnh danh là Sherlock Holmes của nước
Pháp, ông là một chuyên gia điều tra pháp y, cũng là người sáng lập Viện Hình sự
học của trường Đại học Tổng hợp Lyon.
 Locard đã phát biểu một nguyên tắc, mà sau này trở thành kim chỉ nam cho ngành
khoa học điều tra, ông ta cho rằng bất cứ khi nào hai người tiếp xúc với nhau, một
thứ gì đó từ một người sẽ được trao đổi với người khác và ngược lại, và khi việc
trao đổi này có xảy ra, chúng ta có thể bắt được nghi phạm
 Nguyên tắc này hoàn toàn đúng trong Computer Forensics. Cụ thể, khi bạn làm
việc với máy tính hay một hệ thống thông tin, tất cả các hành động của bạn đều bị
ghi vết lại. Tuy nhiên, việc tìm ra thủ phạm trong trường hợp này khó khăn và mất

7


FTK Imager

Nguyễn Thị Tường Vân – B18DCAT258


nhiều thời gian hơn rất nhiều vì những đặc thù của Computer Forensics được đề
cập dưới đây.
d. Đặc điểm của Computer Forensics:
 Dữ liệu cần phân tích lớn, nếu dữ dữ liệu chỉ là dạng text thơi thì với dung lượng
vài MB chúng ta cũng có một lượng thơng tin rất lớn rồi. Trong thực tế thì cịn
khổng lồ hơn
 Dữ liệu thường khơng cịn ngun vẹn, bị thay đổi, phân mảnh và có thể bị lỗi
 Bảo quản dữ liệu khó khăn, dữ liệu thu được có thể có tính tồn vẹn cao, chỉ một
thay đổi nhỏ cũng có thể làm ảnh hưởng đến tất cả.
 Dữ liệu có thể gồm nhiều loại khác nhau: file hệ thống, ứng dụng, văn bản,…
 Vấn đề để forensics thường khác trừu tượng: mã máy, dump file, network
packet,…
 Dữ liệu có thể dễ dàng bị giả mạo
 Xác định tội phạm khó khăn, có thể bạn tìm ra dữ liệu về hacker (IP, email,
profile,..) nhưng để xác định đối tượng thật ở ngồi đời thì khơng hề đơn giản.
e. Đối tượng của điều tra số:
Để thuận tiện hơn cho việc điều tra, Computer Forensics được phân ra để làm việc
với từng đối tượng nhất định như sau:
 Physical Media, Media Management: liên quan đế phần cứng, tổ chức phân vùng,
phục hồi dữ liệu khi bị xóa…
 File System: phân tích các file hệ thống, các hệ điều hành như Windows, Linux
hay Android
 Network: phân tích gói mạng, sự bất thường trong mạng
 Memory: phân tích dữ liệu trên bộ nhớ, thường là những dữ liệu lưu trên RAM
được dump ra
2. Về công cụ FTK Imager:

8



FTK Imager

Nguyễn Thị Tường Vân – B18DCAT258

Hình 1-1. Logo cơng cụ FTK Imager
Khi đã biết về định nghĩa, mục đích cũng như tầm quan trọng của việc điều tra số
trong thời đại bùng nổ về công nghệ thông tin hiện nay, ta sẽ cần một công cụ hỗ trợ việc
điều tra số sao cho nhanh chóng và chính xác, và FTK Imager là một công cụ hữu hiệu
để thực hiện điều này.
FTK Imager là công cụ do công ty Access Data, hiện nay là công ty cổ phần Exterro
xây dựng và phát triển. Đây là một công cụ được sử dụng để xem trước và sao lưu dữ
liệu, từ đó có thể nhanh chóng truy cập vào các chứng cứ số và thực hiện các phân tích
sâu hơn.
Vì FTK Imager làm việc chủ yếu với hình ảnh đĩa (hay disk image), nên để hiểu rõ
hơn về FTK Imager, ta cần tìm hiểu về định nghĩa này. Một hình ảnh đĩa là một bản sao
phần mềm của một đĩa vật lý, nó lưu trữ tồn bộ dữ liệu từ đĩa, bao gồm cấu trúc tập tin
và tất cả các file và thư mục từ đĩa, trong một tập tin duy nhất. Bởi hình ảnh đĩa là bản
sao chính xác, chúng có thể được sử dụng để sao chép đĩa hoặc phục vụ như sao lưu đầy
đủ trong trường hợp khôi phục một hệ thống.
Với FTK Imager, ta có thể:

9


FTK Imager

Nguyễn Thị Tường Vân – B18DCAT258

 Tạo tệp hình ảnh đĩa của các ổ cứng cục bộ, đĩa logic, thiết bị lưu trữ từ xa, thiết

bị di động, bộ nhớ flash, đĩa ZIP, CD và DVD, thư mục hoàn chỉnh hoặc các tệp
riêng lẻ từ nhiều vị trí khác nhau.
 Xem trước là trích xuất nội dung của hình ảnh pháp y được lưu trữ trên máy tính
cụ bộ hoặc ổ đĩa mạng
 Xuất các tệp và thư mục để xử lý chúng riêng lẻ, xem và khôi phục các tệp đã bị
xóa khỏi đĩa hoặc từ thùng rác, nhưng chưa bị ghi đè lên thiết bị.
 Tạo mã băm của các files sử dụng 2 hàm băm trong FTK Imager: Message Digest
(MD5) và Secure Hash Algorithm (SHA-1)
Các tệp hình ảnh đĩa được sử dụng trong FTK Imager có các định dạng:





SMART
AFF (Advanced Forensics Format)
ED01 (EnCase)
dd (Raw)

FTK Imager tạo hình ảnh bằng cách sao chép bằng bit, hình ảnh kết quả trong tệp,
đảm bảo giống hệt với cấu trúc ban đầu của thiết bị, bao gồm không gian, cấu hình của
thiết bị và bất kỳ tệp nào chứa thiết bị, ngay cả khi nó là tạm thời. Điều này giúp ngăn
chặn việc sửa đổi ngẫu nhiên hoặc cố ý các dữ liệu tồn tại trong thiết bị lưu trữ.
Từ những phân tích trên, có thể thấy cơng cụ này đặc biệt hữu ích cho những người
làm về SOC hay Ứng cứu sự cố (Incident response) trong việc truy vết kẻ tấn cơng và có
hướng giải quyết phù hợp nhất với hệ thống.

10



FTK Imager

Nguyễn Thị Tường Vân – B18DCAT258

CHƯƠNG II: CÀI ĐẶT VÀ SỬ DỤNG
1. Hướng dẫn cài đặt:
a. Cài đặt trên thiết bị cục bộ (local devices):
 Bước 1: Truy cập link download trên trang chủ của Access Data:
+ Link dành cho hệ điều hành Linux (Debian và Ubuntu)
/>+ Link dành cho hệ điều hành Windows
/> Bước 2: Click ‘Download Now’  trang web sẽ chuyển hướng đến trang điền thông
tin
 Bước 3: Điền đầy đủ thông tin và link download sẽ được gửi về email vừa đăng ký
 Bước 4: Làm theo hướng dẫn và bắt đầu cài đặt
 Bước 5: Cài đặt thành cơng  giao diện chính:

Hình 2-1. Giao diện người dùng chính
b. Cài đặt trên các thiết bị di động (portable devices):
11


FTK Imager

Nguyễn Thị Tường Vân – B18DCAT258

Có 2 cách để sử dụng công cụ này trên thiết bị di động:
 Cách 1: Copy các files FTK Imager Lite vào thiết bị nhằm tránh cài đặt trước trên
máy tính. Sau đó unzip các file đó vào một ổ cứng di động và thực thi file trong đó.
Phần mềm FTK Imager Lite có ít files hơn và khơng u cầu cài đặt.
 Cách 2: Khởi chạy bản cài đặt trên máy tính, sau đó sao chép thư mục FTK Imager

từ [Drive]:\Program Files\AccessData\FTK Imager vào thumb drive hoặc các
thiết bị di động khác
Một khi FTK Imager được lưu vào các phương tiện di động, nó có thể kết nối đến bất
kỳ máy tính nào chạy hệ điều hành Windows, và thực thi file FTKImager.exe từ các thiết
bị di động.
2. Hướng dẫn sử dụng:
a. Làm việc với giao diện người dùng:
Trong FTK Imager sẽ phân ra hai phần là phần mặc định (không di chuyển được) và phần
di chuyển được:
+ Phần mặc định gồm có hai phần là Menu và Toolbar
+ Phần khơng mặc định sẽ gồm: The Evidence Tree (cây chứng cứ), File List (danh sách
file), Properties (các thuộc tính), Hex Value Interpreter và Custom Content Source.
Ta sẽ đi sâu vào hướng dẫn sử dụng Menu, Toolbar và giao diện chính của người dùng.
 Thanh Menu:
Gồm 4 dropdown: File, View, Mode và Help

Hình 2-2. Thanh Menu
+ File:
Phần này cung cấp truy cập đến các features có thể dùng ở Toolbar

12


FTK Imager

Nguyễn Thị Tường Vân – B18DCAT258

Hình 2-3. File menu
+ View:
Phần này cho phép tùy chỉnh giao diện của FTK Imager, bao gồm hiển thị hay ẩn các

thanh điều khiển

Hình 2-4. View menu
13


FTK Imager

Nguyễn Thị Tường Vân – B18DCAT258

Như hình trên, giao diện FTK sẽ hiển thị 3 phần là Tool Bar, Status Bar và Details.
+ Mode:
Phần này cho phép chọn chế độ xem trước của Viewer. Cụ thể các chế độ sẽ được
đề cập ở phần Viewer bên dưới.

Hình 2-5. Mode menu
+ Help:
Phần này sẽ truy cập đến phần hướng dẫn sử dụng FTK Imager (FTK Imager User
Guide), cũng như các thơng tin về phiên bản của phần mềm,..

Hình 2-6. Help menu
 Thanh Toolbar:

Hình 2-7. Toolbar

Phần này sẽ chứa tất cả các cơng cụ, chức năng và đặc tính mà có thể được truy cập
từ File menu, ngoại trừ Exit. Bảng dưới đây sẽ chỉ rõ chức năng của từng thành phần
trong Toolbar:

14



FTK Imager

Nguyễn Thị Tường Vân – B18DCAT258

Nút bấm

Mô tả
Thêm mới chứng cứ số
Thêm mới tất cả các thiết bị đính kèm
Image mounting (hay làm cho hình ảnh đĩa trở nên có thể truy cập
được )
Gỡ bỏ tất cả các chứng cứ số
Tạo hình ảnh đĩa
Xuất hình ảnh đĩa
Xuất hình ảnh đĩa logic (AD1)
Thêm mới một hình ảnh đĩa nội dung (AD1)
Tạo mới một hình ảnh đĩa nội dung (AD1)
Xác minh ổ cứng/hình ảnh
Chụp ảnh bộ nhớ
Thu các file được bảo vệ
Phát hiện mã hóa EFS
Xuất tệp
Xuất danh sách file mã hóa băm
Xuất các đường dẫn
Tự động chọn chế độ Viewer gồm: IE, text hay hex
Xem các files ở dạng bản rõ
Xem các files ở dạng hex


15


FTK Imager

Nguyễn Thị Tường Vân – B18DCAT258

Mở hướng dẫn sử dụng FTK Imager
Hiện hoặc ẩn các panel bao gồm: Toolbar, Evidence Tree, File List,
Properties, Hex Value Interpreter, hay Custom Content Sources
Bảng 2-1. Các thành phần của Toolbar
 Giao diện chính:
Giao diện chính của người dùng như trên Hình 2-1 gồm 3 phần chính là: Evidence
Tree, File List và Combination
o Evidence Tree:
Đây là phần trên bên trái, hiển thị chứng cứ được thêm vào dưới dạng cấu trúc cây:
: click dấu [+] để hiển thị thêm các thư mục con bên trong thư mục gốc
(trong trường hợp này là thư mục root)
: click dấu [-] để ẩn bớt các thư mục con bên trong thư mục gốc (trong
trường hợp này là thư mục root)
Khi chọn một thư mục trên Evidence Tree, nội dung của thư mục đó sẽ được hiển
thị trên File List và các thuộc tính như tên, vị trí, kích thước,… sẽ được hiển thị
trong mục Properties.
o File List:
Phần này hiển thị các thư mục và tệp tin được chọn trong Evidence Tree. File List
sẽ thay đổi nếu chọn thư mục khác trong Evidence Tree.
o Combination:
Đây là phần dưới bên trái, gồm 3 tabs chính: Properties, Hex Valuue Interpreter và
Custom Content Sources. Chi tiết mỗi phần sẽ trình bày chi tiết dưới đây:
+ Properties tab:


16


FTK Imager

Nguyễn Thị Tường Vân – B18DCAT258

Hình 2-8. Properties tab
Phần này chứa các thơng tin về kiểu đối tượng, kích thước, vị trí, các cờ và dấu
thời gian (time stamp).
+ Hex Value Interpreter tab:
Phần này chuyển các giá trị thập lục phân đã được chọn ở phần Viewer thành các
giá trị thập phân và các giá trị ngày giờ như hình dưới:

Hình 2-9. Hex Value Interpreter tab
+ Custom Content Sources tab: liệt kê tất cả những lần thêm mới chứng cứ trong
Custom Content Image.

17


FTK Imager

Nguyễn Thị Tường Vân – B18DCAT258

Hình 2-10. Custom Content Sources tab
b. Làm việc với chứng cứ số
 Xem trước chứng cứ số:
Các chứng cứ cần được xem trước để xem là cái gì nên đưa vao một đĩa ảnh. Từ

FTK Imager 3.0, các loại file hệ thống được hỗ trợ bao gồm: VXFS, exFAT và Ext4.
FTK Imager đưa ra 3 chế độ dành cho xem trước dữ liệu điện tử gồm: Automatic mode
(chế độ tự động), Text mode (chế độ text) và Hex mode (chế độ hex). Các chế độ này
được chọn trong Mode menu hoặc trong Toolbar.
o Về Automatic mode (hay chế độ tự động): chế độ này sẽ tự động chọn phương thức
phù hợp nhất để xem trước nội dung tệp tên tùy theo loại tệp tin.
o Về Text mode (chế độ Text): chế độ này cho phép xem trước nội dung file theo ký
tự ASCII hay Unicode, kể cả khi file đó khơng phải là file text. Chế độ này phù
hợp cho việc xem text hay dữ liệu nhị phân không được hiển thị khi xem bằng các
ứng dụng thông thường.
o Về Hex mode (chế độ Hex): chế độ này cho phép xem từng byte dữ liệu trong một
file dưới dạng hệ thục lập phân (hexadecimal code).
 Thêm mới chứng cứ số:
FTK Imager cho phép thêm một hoặc nhiều chứng cứ cùng lúc
+ Thêm một chứng cứ:
B1: Làm theo một trong hai cách sau:
 Chọn ‘File’ -> ‘Add Evidence Item’
18


FTK Imager

Nguyễn Thị Tường Vân – B18DCAT258

 Click nút bấm
trong Toolbar
B2: Chọn source type phù hợp, bao gồm: Physical Drive, Logical Drive, Image File
hoặc Contents of a Folder sau đó click ‘Next’

Hình 2-11. Hộp Select Source trong Add Evidence Item

B3: Chọn file phù hợp trong máy sau đó click ‘Finish’:

Hình 2-12. Hộp Select File trong Add Evidence Item
B4: Lặp lại các bước trên nếu muốn thêm mới chứng cứ:
19


FTK Imager

Nguyễn Thị Tường Vân – B18DCAT258

+ Thêm tất cả các thiết bị đính kèm:
Nếu muốn thêm dữ liệu từ tất cả các thiết bị trong máy, làm theo một trong hai cách
sau:
o Chọn ‘File’ -> ‘Add All Attach Device’
o Click nút bấm

trong Toolbar

 Gỡ bỏ chứng cứ số:
Để gỡ bỏ toàn bộ chứng cứ, làm theo một trong hai cách sau:
+ Chọn ‘File’ -> ‘Remove All Evidence Items’
+ Click nút bấm

trong Toolbar

c. Các tệp đầu ra trong FTK Imager:
 Xuất hình ảnh đĩa:
+ Xuất tệp tin:
Xuất hoặc so chép tệp tin từ một chứng cứ số cho chép chỉnh sửa, in hay chạy file mà

không ảnh hương đến chứng cứ ban đầu
Để xuất hoặc sao chép tập tin, thực hiện theo các bước sau:
o B1: Trên Evidence Tree, chọn một thư mục mà chứa file muốn xuất. Nội dung
của thư mục sẽ được hiển thị trên File List
o B2: Trong File List, chọn các files muốn xuấ
o B3: Tiếp theo, làm theo một trong hai cách sau
o B4: Tiếp theo, chọn vị trí đặt file trong máy
o B5: Click ‘OK’  File đã được xuất tại vị trí vừa chọn
+ Xuất danh sách băm của file:
Để tạo và xuất giá trị băm vào một danh sách, thực hiện theo các bước sau:
o B1: Trong Evidence Tree, chọn thư mục chứa những đối tượng muốn tạo mã
băm. Nội dung của các đối tượng được hiển thị trên File List.
o B2: Trong File List, chọn thư mục hoặc tệp muốn băm. Nếu chọn một thư mục,
tất cả các tệp và các thư mục con trong đó đều sẽ được băm
o B3: Thực hiện băm theo một trong hai cách sau:
+ Click ‘File’ -> ‘Export File Hash List’
+ Click biểu tượng
trên Toolbar
o B4: Chọn tên cho file băm và lưu lại. File băm sẽ có đi .csv
+ Xuất liệt kê thư mục (directory listing):
20


FTK Imager

Nguyễn Thị Tường Vân – B18DCAT258

FTK Imager hỗ trợ xuất một danh sách các thư mục và nội dung của các file trong
nó. Để xuất một danh sách thư mục, ta thực hiện các bước sau:
o B1: Chọn đường dẫn muốn xuất

o B2: Tiếp theo, làm theo một trong hai cách sau:
o B3: Chọn đường dẫn để lưu file và đặt tên cho file
o B4: Click ‘Save’
 Xác thực đĩa hoặc hình ảnh:
FTK Imager cho phép tính tốn mã băm MD5 và SHA1 cho toàn bộ đĩa để xác thực
rằng bản copy của chứng cứ chưa bị sửa đổi gì so với bản gốc. Để xác thực một đĩa
hoặc hình ảnh, ta thực hiện như sau:
o B1: Trên Evidence Tree, chọn một đĩa hoặc ảnh muốn xác thực
o B2: Tiếp theo, thực hiện một trong hai cách sau:
o B3: Sau khi quá trình xác thực được thực hiện thành cơng, màn hình kết quả xác
thực Drive/Imager Verify Results xuất hiện như hình:

Hình 2-13. Drive/Image Verify Result
 Đĩa hoặc ảnh này khơng bị thay đổi gì

21


FTK Imager

Nguyễn Thị Tường Vân – B18DCAT258

CHƯƠNG III: DEMO
Nội dung: Forensics hình ảnh đĩa bằng FTK Imager
1. Thơng tin, mơ tả và kịch bản:
 Link: /> Mô tả: doanh nghiệp EDR bị một lập trình viên cũ tấn cơng trên máy RedHat
Linux. Bài lab cho sẵn hình ảnh đĩa của máy nạn nhân có định dạng E01, nhiệm
vụ của ta là sẽ đóng vai một nhân viên trong team ứng cứu sự cố để phân tích và
tìm ra các chứng cứ số, xác định kẻ tấn công cũng như nguyên nhân máy bị tấn
cơng, từ đó có các hướng giải quyết phù hợp

 Các công cụ sử dụng trong bài: FTKImager, JohnTheRipper
2. Thực hành:
a. Xác định phiên bản (version) của máy RHEL:
Truy cập file /etc/redhat-release để xem phiên bản của máy:

Hình 3-1. Phiên bản của máy RHEL
 Máy RHEL có phiên bản 8.4
22


FTK Imager

Nguyễn Thị Tường Vân – B18DCAT258

b. Xác định IP tấn công:
Truy cập /var/log/secure để xem log đăng nhập vào hệ thống

Hình 3-2. Log để xác định IP tấn cơng
Nhận thấy có rất nhiều log đăng nhập khơng thành cơng từ IP 192.168.196.128
 IP tấn công là 192.168.196.128
c. Xác định kỹ thuật được kẻ tấn công sử dụng để cướp quyền truy cập hệ thống và
một số thông tin về kỹ thuật tấn cơng đó:
Tương tự như xác định IP tấn công, truy cập /var/log/secure để xem về log
đăng nhập vào hệ thống

23


FTK Imager


Nguyễn Thị Tường Vân – B18DCAT258

Hình 3-3. Tấn cơng brute-force thành cơng vào tài khoản ‘rossantron’

Hình 3-4. Tấn cơng brute-force thành công vào tài khoản ‘chandler’
Sau rất nhiều lần thử đăng nhập không thành công, cuối cùng tài khoản chandler
cũng đăng nhập thành công
 Kỹ thuật tấn công được sử dụng ở đây là brute-force mật khẩu và user được dùng
để cướp quyền truy cập vào hệ thống là chandler và rossantron (đều là các user
có login shell được tìm thấy bên dưới).
Sau khi cướp quyền truy cập thành công, kẻ tấn công sử dụng user chandler để tạo
user rachel để thực hiện các cuộc tấn công xa hơn
d. Xác định số users có login shell:
24


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×