Bài tập lớn môn an toàn mạng (46)
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.28 MB, 36 trang )
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
KHOA CƠNG NGHỆ THƠNG TIN
HỌC PHẦN: AN TỒN MẠNG
Bài báo cáo:
TÌM HIỂU CƠNG CỤ BULK-EXTRACTOR
Giảng viên hướng dẫn:
Sinh viên thực hiện:
Mã sinh viên:
Nhóm lớp:
TS. Đặng Minh Tuấn
Vũ Thị Huệ
B18DCAT103
02
Hà Nội, 2021
1
LỜI NĨI ĐẦU
Trong lĩnh vực an tồn thơng tin, Computer Forensics hay còn gọi là điều
tra số, pháp y máy tính là cơng việc phát hiện, bảo vệ và phân tích thơng tin được
lưu trữ, truyền tải hoặc được tạo ra bởi một máy tính hoặc mạng máy tính, nhằm
đưa ra các suy luận hợp lý để tìm nguyên nhân, giải thích các hiện tượng trong
q trình điều tra. Khái niệm Forensics (Forensic Science – khoa học pháp y) như
tên gọi của nó xuất phát từ lĩnh vực y tế từ thế kỷ 18 và liên quan đến điều tra
pháp y. Ngày nay Forensics đã được mở rộng ra rất nhiều lĩnh vực khác. Computer
Forensics ra đời vào những năm 1980 do sự phát triển của máy tính cá nhân, khi
xảy ra trộm cắp thiết bị phần cứng, mất mát dữ liệu, vi phạm bản quyền, virus
máy tính phá hoại… Các doanh nghiệp và chính phủ các nước khi đó cũng ý thức
hơn về vấn đề bảo mật. Từ đây và trong các loạt bài về sau, khi tôi dùng từ
Forensics thì mọi người hiểu là đang nói về Computer Forensics.
Nếu bạn là chủ nhân của một website nào đấy, một ngày đẹp trời website
của bạn bị hacker ghé thăm và để lại những hậu quả không mong muốn. Bạn muốn
xác định ngun nhân bị tấn cơng, tìm cách khắc phục để sự việc không tái diễn
hay xa hơn là xác định thủ phạm. Đó là lúc bạn cần đến Forensics. Đấy chỉ là một
ví dụ khá điển hình, ngồi ra còn những trường hợp khác như để phát hiện mã độc
trên máy tính, kiểm tra sự bất thường trong mạng, phát hiện sự xâm nhập… Nói
chung Forensics giúp chúng ta xác định được nguyên nhân sự cố và đưa ra các
biện pháp giải quyết tiếp theo. Nói về Forensics thì khơng thể khơng nhắc đến
một ngun tắc kinh điển của khoa học điều tra.
Mục tiêu cốt lõi của Computer Forensic là phát hiện, bảo quản, khai thác,
tài liệu hóa và đưa ra kết luận về dữ liệu thu thập được. Cần lưu ý rằng dữ liệu
phải đảm bảo tính xác thực, và được lấy mà không bị hư hại, nếu khơng dữ liệu
đấy sẽ khơng cịn ý nghĩa.
Trong báo cáo chúng ta sẽ cùng nghiên cứu về 1 công cụ pháp ý kỹ thuật số rất
mạnh trên kali linux là Bulk_extractor.
2
MỤC LỤC
LỜI NĨI ĐẦU .................................................................................................................2
MỤC LỤC .......................................................................................................................3
DANH MỤC HÌNH ẢNH ...............................................................................................5
DANH MỤC BẢNG BIỂU .............................................................................................6
DANH MỤC TỪ VIẾT TẮT ..........................................................................................7
CHƯƠNG 1: LÝ THUYẾT TỔNG QUAN VỀ DỊCH VỤ COMPUTER FORENSIC –
PHÁP Y MÁY TÍNH ......................................................................................................1
1.1. Khái niệm Computer Forensic ..............................................................................1
1.2. Mục tiêu của Computer Forensic ..........................................................................1
1.3. Vai trò Computer Forensic ....................................................................................1
1.4. Các đối tượng Computer Forensic hướng đến ......................................................1
1.5. Vai trò của Computer Forensic .............................................................................2
1.6. Những kĩ năng cần cho Forensic...........................................................................3
2.1. Tổng quan về Bulk_extractor. ...............................................................................4
2.2. Lịch sử ...................................................................................................................6
2.3. Kiến trúc hoạt động ...............................................................................................7
2.4 Xử lý dữ liệu ........................................................................................................10
2.4.1. Scanners ........................................................................................................10
2.4.2. Các định dạng dữ liệu đầu vào .....................................................................11
2.4.3. File Carving ..................................................................................................13
2.4.4. Loại bỏ các trùng lặp ....................................................................................14
2.4.5. Sử dụng danh sách cảnh báo .........................................................................15
2.4.6. Xử lý dữ liệu nén ..........................................................................................15
2.5 Các tính năng của Bulk_extractor ........................................................................16
2.5.1. Điều tra phần mềm độc hại ...........................................................................16
2.5.2. Điều tra Mạng ...............................................................................................17
2.5.3. Điều tra danh tính .........................................................................................18
2.5.4. Bẻ khóa mật khẩu .........................................................................................20
CHƯƠNG 3: KỊCH BẢN VÀ MƠ HÌNH THỰC NGHIỆM CƠNG CỤ BULK_
EXTRACTOR ...............................................................................................................21
3
3.1. Mơ hình kịch bản thử nghiệm .............................................................................21
3.2. Thực nghiệm phân tích dữ liệu thu thập được từ việc quét ổ đĩa bằng
Bulk_extractor ............................................................................................................21
3.2.1. Thực hiện quét ổ đĩa theo kịch bản ...............................................................21
3.2.2. Phân tích các kết quả thu được .....................................................................22
KẾT LUẬN ...................................................................................................................28
DANH MỤC TÀI LIỆU THAM KHẢO ......................................................................29
4
DANH MỤC HÌNH ẢNH
Hình 2.1. Giao diện người dùng của Bulk_extrator ........................................................5
Hình 2.2. Một câu chuyện thành cơng ban đầu của Bulk_extrator đến từ cảnh sát
Thành phố San Luis Obispo. ...........................................................................................6
Hình 2.3. Ba giai đoạn của hoạt động với Bulk_extrator. ...............................................7
Hình 2.4. Các tính năng tệp email.txt. .............................................................................8
Hình 2.5. Cấu trúc file histogram.txt. ..............................................................................9
Hình 2.6. Các tính năng địa chỉ email ...........................................................................10
Hình 2.7. Forensic path của tính năng email dẫn ngược về luồng HTTP. ....................10
Hình 2.8. Danh sách mẫu output của lệnh. ....................................................................11
Hình 2.9. Sự khác nhau giữa dùng Stoplist và khơng dùng Stoplist .............................15
Hình 2.10. Tệp danh sách cảnh báo mẫu. ......................................................................15
Hình 2.11. Hướng dẫn về cứ pháp được sử dụng bởi Lightgrep Scanner. ....................19
Hình 3.1. Thực thi quét ổ đĩa. ........................................................................................21
Hình 3.2. Kết quả sau khi thực hiện qt ổ đĩa .............................................................22
Hình 3.3. Domain đã được trích xuất. ...........................................................................22
Hình 3.4. Domain dữ liệu thơ. .......................................................................................23
Hình 3.5. Dữ liệu email qt được dưới dạng thơ. ........................................................23
Hình 3.6. Dữ liệu email đã được trích xuất. ..................................................................24
Hình 3.7. Dữ liệu được trích xuất trong tệp rfc822.txt ..................................................24
Hình 3.8. Dữ liệu thơ của hình ảnh ...............................................................................25
Hình 3.9. các ảnh được trích xuất và tổng hợp lại .........................................................25
Hình 3.10. Các file nén đã quét được. ...........................................................................26
Hình 3.11. các tệp nén được giải nén và tổng hợp lại ...................................................26
5
DANH MỤC BẢNG BIỂU
Bảng 2.1. Các định dạng scanner. .................................................................................12
Bảng 2.2. Bảng chế đọ carving file. ..............................................................................14
6
DANH MỤC TỪ VIẾT TẮT
Từ viết tắt
Từ nguyên gốc
URL
Uniform Resource Locator
Portable Document Format
PE
Portable Executable
VCF
Virtual Contact File
SSD
Solid State Driver
I/O
Input /Output
GB
Gigabyte
GUI
Graphical User Interface
GPS
Global Positioning System
SSl
Secure Sockets Layer.
AES
Advanced Encryption Standard
SHA1
Secure Hash Algorithm 1
7
CHƯƠNG 1: LÝ THUYẾT TỔNG QUAN VỀ DỊCH VỤ COMPUTER
FORENSIC – PHÁP Y MÁY TÍNH
1.1. Khái niệm Computer Forensic
Forensic khơng phải là khái niệm xa lạ với những người làm an tồn thơng tin,
nhưng với số đơng người dùng thì vẫn là một khái niệm khá mới mẻ.
Trong lĩnh vực an tồn thơng tin, Forensics hay cịn gọi là điều tra số là công việc
phát hiện, bảo vệ và phân tích thơng tin được lưu trữ, truyền tải hoặc được tạo ra bởi
một máy tính hoặc mạng máy tính, nhằm đưa ra các suy luận hợp lý để tìm nguyên nhân,
giải thích các hiện tượng trong q trình điều tra [1].
1.2. Mục tiêu của Computer Forensic
Mục tiêu cốt lõi của dịch vụ Computer Forensic hướng đến bao gồm [2]:
-
Phát hiện,
-
Bảo quản
-
Khai thác và đưa ra kết luận về dữ liệu thu thập được.
Cần lưu ý rằng dữ liệu phải đảm bảo tính xác thực, và được lấy mà khơng bị hư
hại, nếu khơng dữ liệu đấy sẽ khơng cịn ý nghĩa.
1.3. Vai trò Computer Forensic
Khi mội người dùng là chủ doanh nghiệp gặp phải những vấn đề sau:
-
Công ty của bạn bị gởi email/tin nhắn nặc danh khủng bố và các bạn muốn
biết ai là thủ phạm
-
Công ty của bạn bị DOS (tấn công từ chối dịch vụ) và các bạn muốn biết tin
tặc ở đâu gây ra
-
Website bị deface, hệ thống công ty bị xâm nhập và bạn muốn tìm ra ai là thủ
phạm
-
Thơng tin, dữ liệu nhạy cảm trong cơng ty bị tiết lộ ra ngồi mà bạn không
biết nguyên nhân tại sao
Họ muốn xác định nguyên nhân bị tấn cơng, tìm cách khắc phục để sự việc không
tái diễn hay xa hơn là xác định thủ phạm. Đó là lúc bạn cần đến Forensics.
1.4. Các đối tượng Computer Forensic hướng đến
Forensic thường làm việc với các đối tượng:
1
-
Physical Media, Media Management: Liên quan đến phần cứng, tổ chức phân
vùng, phục hồi dữ liệu khi bị xóa…
-
File System: Phân tích các file hệ thống, hệ điều hành windows, linux,
android…
-
Application: Phân tích dữ liệu từ ứng dụng như các file Log, file cấu hình,
reverse ứng dụng…
-
Network: Phân tích gói tin mạng, sự bất thường trong mạng
-
Memory: Phân tích dữ liệu trên bộ nhớ, thường là dữ liệu lưu trên RAM được
dump ra
1.5. Vai trò của Computer Forensic
Computer Forensic rất quan trọng vì nó có thể tiết kiệm tiền cho công ty, tổ
chức. Nhiều nhà quản lý đang phân bổ một phần lớn ngân sách công nghệ thông tin của
họ cho an ninh mạng và máy tính. International Data Corporation (IDC) báo cáo rằng
thị trường phần mềm phát hiện xâm nhập và đánh giá lỗ hổng sẽ đạt 1,45 tỷ đô la vào
năm 2006. Với số lượng ngày càng tăng, các tổ chức đang triển khai các thiết bị an ninh
mạng như hệ thống phát hiện xâm nhập (IDS), tường lửa, proxy, và những thứ tương tự,
tất cả đều báo cáo về tình trạng bảo mật của mạng.
Từ quan điểm kỹ thuật, mục tiêu chính của Computer Forensic là xác định, thu
thập, bảo quản và phân tích dữ liệu theo cách duy trì tính tồn vẹn của bằng chứng thu
thập được để có thể sử dụng hiệu quả trong một vụ án pháp lý.
Một số khía cạnh điển hình của cuộc điều tra pháp y trên máy tính là gì? Đầu
tiên, những người điều tra máy tính phải hiểu loại bằng chứng tiềm năng mà họ đang
tìm kiếm để cấu trúc tìm kiếm của họ. Các tội danh liên quan đến máy tính có thể bao
gồm nhiều phạm vi hoạt động tội phạm, từ khiêu dâm trẻ em đến đánh cắp dữ liệu cá
nhân đến phá hủy tài sản trí tuệ. Thứ hai, điều tra viên phải chọn các công cụ thích hợp
để sử dụng. Các tệp có thể đã bị xóa, bị hỏng hoặc bị mã hóa và người điều tra phải quen
thuộc với một loạt các phương pháp và phần mềm để ngăn chặn thiệt hại thêm trong q
trình khơi phục.
Hai loại dữ liệu cơ bản được thu thập trong pháp y máy tính. Dữ liệu liên tục là
dữ liệu được lưu trữ trên ổ cứng cục bộ (hoặc phương tiện khác) và được bảo toàn khi
tắt máy tính. Dữ liệu biến động là bất kỳ dữ liệu nào được lưu trữ trong bộ nhớ hoặc tồn
tại trong q trình truyền tải, sẽ bị mất khi máy tính bị mất nguồn hoặc tắt. Dữ liệu biến
động nằm trong sổ đăng ký, bộ nhớ đệm và bộ nhớ truy cập ngẫu nhiên (RAM). Vì dữ
2
liệu biến động là phù du, điều cần thiết là điều tra viên phải biết những cách đáng tin
cậy để nắm bắt nó.
Quản trị viên hệ thống và nhân viên bảo mật cũng phải có hiểu biết cơ bản về
cách các tác vụ quản trị mạng và máy tính thơng thường có thể ảnh hưởng đến cả quy
trình pháp y (khả năng chấp nhận bằng chứng tại tòa) và khả năng khơi phục dữ liệu có
thể quan trọng đối với việc xác định và phân tích sau đó của một sự cố bảo mật [3].
1.6. Những kĩ năng cần cho Forensic
Khi được đào tạo để làm việc trong lĩnh vực Forensic, có một số kỹ năng bạn sẽ
muốn có được trước khi theo đuổi một vị trí trong lĩnh vực này. Một số kỹ năng này có
thể bao gồm:
-
Lập trình: Sự hiểu biết về ngơn ngữ lập trình là điều cần thiết để đào sâu vào
các thiết bị để khôi phục dữ liệu khó tìm, bị mất hoặc bị mã hóa
-
Tiêu chuẩn ISO: Tiêu chuẩn ISO là một tập hợp các quy tắc và giao thức
quy định cách tốt nhất để thực hiện một nhiệm vụ. Pháp y máy tính sử dụng
các tiêu chuẩn này, làm cho chúng trở nên quan trọng để hiểu.
-
Hệ điều hành: Hệ điều hành là thứ cho phép các thiết bị thực hiện bộ chức
năng cốt lõi của chúng. Vì các chuyên gia pháp y máy tính thường làm việc
với các thiết bị bị hỏng hoặc bị xâm nhập, họ cần hiểu hệ điều hành để khôi
phục dữ liệu bị mất.
-
Phần cứng và phần mềm của máy tính: Các chuyên gia pháp y máy tính cần
biết cách hoạt động của các phần mềm và phần cứng của máy tính để tìm ra
những vị trí tốt nhất để tìm kiếm dữ liệu. Nó cũng hữu ích trong trường hợp
cần sửa chữa để khôi phục dữ liệu.
-
Tổ chức: Có một ý thức tổ chức mạnh mẽ là rất quan trọng đối với những
người trong nghề pháp y máy tính. Những người trong lĩnh vực này lược qua
dữ liệu và cần có kỹ năng tổ chức để có thể giúp họ tách dữ liệu không liên
quan khỏi thông tin quan trọng.
-
Các tiêu chuẩn an ninh mạng: Một chuyên gia pháp y máy tính cần phải
nắm chắc các tiêu chuẩn được sử dụng trong ngành an ninh mạng.
-
Khả năng phân tích: Cuối cùng, một chuyên gia pháp y máy tính cần có khả
năng phân tích dữ liệu mà họ phát hiện ra. Làm như vậy có thể giúp họ xác
định dữ liệu có giá trị cho một cuộc điều tra.
3
CHƯƠNG 2: GIỚI THIỆU CÔNG CỤ BULK_EXTRACTOR
2.1. Tổng quan về Bulk_extractor.
Bulk_extractor là một chương trình trích xuất các thơng tin như địa chỉ email, thẻ
tín dụng số, URL và các loại thông tin khác từ phương tiện bằng chứng kỹ thuật số ví
dụ như ổ cứng của tội phạm, phần cứng của máy tính hacker [4].
Nó là một cơng cụ điều tra pháp y hữu ích cho nhiều nhiệm vụ như phân tích
phần mềm độc hại và, điều tra danh tính và điều tra mạng, cũng như phân tích hình ảnh
và bẻ khóa mật khẩu. Chương trình cung cấp một số tính năng đặc biệt bao gồm:
-
Nó tìm địa chỉ email, URL và số thẻ tín dụng mà các cơng cụ khác bỏ sót
-
vì nó có thể xử lý dữ liệu nén (như tệp ZIP, PDF và GZIP) và
-
toàn bộ hoặc một phần dữ liệu bị hỏng. Nó có thể khắc ảnh JPEG, tài liệu văn
phòng và các loại tệp khác từ các phân đoạn dữ liệu nén. Nó sẽ phát hiện và
khắc
-
các tệp RAR được mã hóa.
-
Nó xây dựng danh sách từ dựa trên tất cả các từ được tìm thấy trong dữ liệu,
ngay cả những từ trong tệp nén nằm trong không gian chưa được phân bổ.
Những danh sách từ đó có thể hữu ích cho bẻ khóa mật khẩu.
-
Nó là đa luồng; Bulk_extractor trên máy tính với số lượng gấp đơi
-
của các lõi thường làm cho nó hồn thành một lần chạy trong một nửa thời
gian.
-
Nó tạo biểu đồ hiển thị các địa chỉ email, URL, miền, cụm từ tìm kiếm và các
loại thơng tin khác trên ổ đĩa.
Bulk_extractor hoạt động trên image disk, tệp hoặc thư mục của tệp và trích xuất
các thơng tin hữu ích một cách đầy đủ mà khơng cần phân tích hệ thống tệp hoặc cấu
trúc hệ thống tệp [5]. Đầu vào là chia thành các trang và được xử lý bởi một hoặc nhiều
máy quét. Kết quả được lưu trữ trong tệp tính năng chắc chắn có thể dễ dàng kiểm tra,
phân tích cú pháp hoặc xử lý bằng các cơng cụ tự động khác.
Bulk_extractor cũng tạo biểu đồ của các tính năng mà nó tìm thấy. Điều này hữu
ích bởi vì các tính năng như địa chỉ email và cụm từ tìm kiếm trên internet có xu hướng
phổ biến hơn trở nên quan trọng.
Ngồi các khả năng được mơ tả ở trên, Bulk_extractor cũng bao gồm:
4
-
Giao diện người dùng đồ họa, Bulk Extractor Viewer, để duyệt các tính năng
được lưu trữ trong các tệp tính năng và để khởi chạy quét ký tự ký tự Bulk
-
Một số lượng nhỏ các chương trình python để thực hiện phân tích bổ sung về
tính năng các tập tin
Hình 2.1. Giao diện người dùng của Bulk_extrator
Bulk_extractor 1.5 phát hiện và giải nén dữ liệu một cách cực kì hiệu quả trong
các tập tin ZIP, GZIP, RAR, và các tệp Hibernation của Microsoft. Điều này đã được
chứng minh là hữu ích, chẳng hạn như trong việc khôi phục địa chỉ email từ các đoạn
tệp nén được tìm thấy trong khơng gian chưa được phân bổ.
Bulk_extractor chứa một cơ chế đơn giản nhưng hiệu quả để bảo vệ khỏi
decomPression bomb. Nó cũng có các khả năng được thiết kế đặc biệt cho Windows và
phần mềm độc hại phân tích bao gồm bộ giải mã cho Windows PE, Linux ELF, VCARD,
Base16, Base64 và các định dạng thư mục Windows.
Bulk_extractor có được tốc độ thơng qua việc sử dụng các biểu thức tìm kiếm đã
biên dịch và đa phân luồng. Các biểu thức tìm kiếm được viết dưới dạng biểu thức chính
quy được biên dịch trước, cho phép hàng loạt bulk_extractor thực hiện tìm kiếm song
song các cụm từ khác nhau.
Việc phân luồng được thực hiện thơng qua việc sử dụng một nhóm luồng phân
tích. Sau khi thuộc tính đã được trích xuất, bulk_extractor xây dựng biểu đồ địa chỉ
email, Google cụm từ tìm kiếm và các tính năng được trích xuất khác. Danh sách dừng
cũng có thể được sử dụng để xóa các tính năng khơng liên quan đến một trường hợp.
5
Bulk_extractor được phân biệt với các công cụ pháp y khác bởi tốc độ và tính kỹ
lưỡng của nó. Bởi vì nó bỏ qua cấu trúc hệ thống tệp, Bulk_extractor có thể xử lý các
phần khác nhau của đĩa song song. Điều này có nghĩa là một máy 8 lõi sẽ xử lý một hình
ảnh đĩa gần như nhanh hơn 8 lần so với máy 1 nhân. Bulk_extractor cũng kỹ lưỡng. Nó
tự động phát hiện, giải nén và xử lý lại đệ quy dữ liệu đã được nén với một loạt các thuật
tốn. Thử nghiệm của chúng tơi cho thấy có một lượng đáng kể ép dữ liệu trong các
vùng chưa được phân bổ của hệ thống tệp bị bỏ sót bởi hầu hết các cơng cụ pháp y được
sử dụng phổ biến ngày nay. Một lợi thế khác của việc bỏ qua hệ thống tệp là
Bulk_extractor có thể được sử dụng để xử lý bất kỳ loại phương tiện kỹ thuật số nào.
Chương trình đã được sử dụng để xử lý ổ cứng, SSD, phương tiện quang học, thẻ máy
ảnh, điện thoại di động, mạng kết xuất gói và các loại thông tin kỹ thuật số khác.
2.2. Lịch sử
Từ năm 2005 đến năm 2008, nhóm Bulk_extractor đã phỏng vấn cơ quan thực
thi pháp luật về việc sử dụng các công cụ pháp y của họ. Các nhân viên thực thi pháp
luật muốn có một cơng cụ tự động hóa cao để tìm địa chỉ email và số thẻ tín dụng (bao
gồm thông tin theo dõi 2), điện thoại, tọa độ GPS và thơng tin EXIF từ JPEG, cụm từ
tìm kiếm (trích xuất từ URL) và tất cả các từ có trên đĩa (để bẻ khóa mật khẩu). Các
cơng cụ cần thiết để chạy trên các hệ thống Windows, Linux và Mac OS X mà khơng
có sự tương tác của người dùng. Nó cũng phải hoạt động trên hình ảnh đĩa thô, phân
vùng thô và tệp E01. Công cụ cần thiết để chạy ở tốc độ I/O tối đa của ổ đĩa vật lý và
không bao giờ gặp sự cố. Xuyên qua các cuộc phỏng vấn này, các yêu cầu ban đầu đối
với Bulk_extractor đã được phát triển
Hình 2.2. Một câu chuyện thành công ban đầu của Bulk_extrator đến từ cảnh
sát Thành phố San Luis Obispo.
6
Vào mùa xuân năm 2010, tại thành phố San Luis Obispo. Luật sư của quận đã đệ
đơn buộc tội hai cá nhân gian lận thẻ tín dụng và sở hữu các tài liệu để thực hiện hành
vi gian lận thẻ tín dụng.
Các bị cáo bị bắt bằng việc tra ngược địa chỉ máy tính. Các luật sư bào chữa đã
được mong đợi cho rằng các bị cáo không tinh vi và thiếu hiểu biết để thực hiện hành vi
tội ác. Giám khảo đã được cấp một ổ đĩa 250 GB một ngày trước phiên điều trần sơ bộ
thường sẽ mất vài ngày để tiến hành một cuộc điều tra pháp y thích hợp về điều đó nhiều
dữ liệu.
Bulk_extractor đã tìm thấy bằng chứng có thể hành động chỉ trong hai giờ rưỡi
bao gồm thơng tin sau:
-
Có hơn 10.000 số thẻ tín dụng trong ổ cứng (tài liệu bất hợp pháp).Hơn 1000
số thẻ tín dụng là được tạo mới .
-
Địa chỉ email phổ biến nhất thuộc về bị đơn chính (bằng chứng về chiếm hữu).
-
Các truy vấn cơng cụ tìm kiếm trên internet phổ biến nhất liên quan đến thẻ
tín dụng gian lận và số nhận dạng ngân hàng (bằng chứng về ý định).
Khi Bulk_extractor đã được triển khai và sử dụng trong các ứng dụng khác nhau,
nó đã phát triển để đáp ứng các yêu cầu bổ sung. Sổ tay hướng dẫn này mô tả các trường
hợp sử dụng cho ký tự Bulk hệ thống và thể hiện cách người dùng có thể tận dụng tối
đa tất cả các khả năng của nó
2.3. Kiến trúc hoạt động
Bulk_extractor tìm địa chỉ email, URL và CCN mà các công cụ khác bỏ sót. Đây
là một phần do thực tế là bulk_extractor giải nén và phân tích lại tất cả dữ liệu (ví dụ:
phân đoạn zip, bộ nhớ cache của trình duyệt gzip chạy). Giải nén hoạt động trên dữ liệu
không đầy đủ và bị hỏng cho đến khi giải nén không thành cơng
Hình 2.3. Ba giai đoạn của hoạt động với Bulk_extrator.
7
Có ba giai đoạn hoạt động trong Bulk_extractor: feature extraction, histogram
creation, post processing như trong Hình 1. Các tệp tính năng đầu ra chứa trích xuất dữ
liệu được thiết kế để dễ dàng xử lý bởi các chương trình của bên thứ ba hoặc sử dụng
trong các công cụ bảng tính. Hệ thống bulk_extractor tự động tóm tắt các tính năng.
Các tệp tính năng được viết bằng hệ thống ghi đặc điểm. Khi các tính năng được
phát hiện, chúng được gửi đến bộ ghi đặc điểm và được ghi lại trong tệp thích hợp.
Nhiều lần qt cùng một điểm có thể ghi vào cùng một tệp tính năng. Ví dụ: máy quét
exif tìm kiếm tệp định dạng được sử dụng bởi máy ảnh kỹ thuật số và tìm tọa độ GPS
trong hình ảnh. Những phát hiện đó được ghi vào tệp đầu ra gps.txt bởi trình ghi tính
năng gps. Một máy quét riêng biệt, máy quét gps, tìm kiếm dữ liệu Garmin Trackpoint
và cũng tìm tọa độ GPS và ghi chúng vào gps.txt. Điều đáng chú ý là một số máy qt
cũng tìm thấy nhiều hơn một loại tính năng và ghi vào một số tệp tính năng. Ví dụ: trình
quét email trong cho địa chỉ email, miền, URL và tiêu đề RFC822 và ghi chúng vào
email.txt, domain.txt, url.txt, rfc822.txt và ether.txt tương ứng.
Tệp tính năng chứa các hàng tính năng. Mỗi hàng thường bao gồm một phần bù,
một và tính năng trong ngữ cảnh bằng chứng mặc dù máy qt có thể lưu trữ miễn phí
thơng tin họ muốn. Một vài dịng của tệp tính năng email có thể giống như sau:
Hình 2.4. Các tính năng tệp email.txt.
Các loại tính năng được hiển thị trong tệp tính năng sẽ khác nhau tùy thuộc vào
loại ính năng đang được lưu trữ. Tuy nhiên, tất cả các tệp tính năng đều sử dụng cùng
một định dạng với mỗi hàng phản hồi một phiên bản được tìm thấy của một đối tượng
địa lý và ba cột mô tả dữ liệu ((offset, feature, and feature trong ngữ cảnh bằng chứng).
Biểu đồ là một công cụ mạnh mẽ để hiểu một số loại bằng chứng. Một biểu đồ
email cho phép chúng tơi nhanh chóng xác định người dùng chính của ổ đĩa, các thư từ
chính của tổ chức tội phạm và các địa chỉ email khác. Hệ thống ghi tính năng tự động
tạo biểu đồ khi dữ liệu được xử lý. Khi máy quét ghi vào hệ thống ghi chép tính năng,
các biểu đồ liên quan được cập nhật tự động.
Nhìn chung, một tệp biểu đồ sẽ trơng giống như phần trích dẫn tệp sau:
8
Hình 2.5. Cấu trúc file histogram.txt.
Mỗi dịng hiển thị một đối tượng địa lý và số lần đối tượng địa lý đó được tìm
thấy bởi Bulk_extractor (biểu đồ cho biết số lần mục được tìm thấy được mã hóa là
UTF-16). Features được lưu trữ trong tệp theo thứ tự xuất hiện với hầu hết các tính năng
thường xuyên xuất hiện ở đầu tệp và hiển thị ít thường xuyên nhất ở dưới cùng.
Bulk_extractor có nhiều trình qt trích xuất các tính năng. Mỗi máy quét chạy trong
một hứ tự tùy ý. Máy quét có thể được bật hoặc tắt có thể hữu ích cho việc gỡ lỗi và tối
ưu hóa tốc độ. Một số máy quét là đệ quy và thực sự mở rộng dữ liệu nó đang khám phá,
do đó tạo ra nhiều dữ liệu hơn mà cơng cụ ký kết Bulk có thể phân tích. Các khối được
gọi là sbufs. Chữ "s" là viết tắt của từ safe. Tất cả quyền truy cập vào dữ liệu trong sbuf
được kiểm tra giới hạn, vì vậy các sự kiện tràn bộ đệm rất khó xảy ra. Cấu trúc dữ liệu
sbuf là một trong những lý do khiến cho việc sử dụng tối đa tài nguyên có khả năng
chống va chạm. Đệ quy được sử dụng cho, trong số những thứ khác, giải nén ZLIB và
Windows HIBERFILE, trích xuất văn bản từ các tệp PDF và xử lý dữ liệu bộ nhớ cache
của trình duyệt nén.
Quá trình đệ quy yêu cầu một cách mới để mô tả các hiệu số. Để làm điều này,
Bulk_extractor giới thiệu khái niệm về “con đường pháp y”. Đường dẫn pháp y là một
mô tả về nguồn gốc của một phần dữ liệu. Ví dụ, nó có thể đến từ một tệp phẳng, một
luồng dữ liệu, hoặc giải nén một số loại dữ liệu. Hãy xem xét một luồng HTTP có chứa
Email nén GZIP như trong Hình 2. Một loạt máy quét trước tiên sẽ tìm thấy ZLIB các
vùng được nén trong luồng HTTP có chứa email, giải nén chúng và sau đó tìm các tính
năng trong email đó có thể bao gồm địa chỉ email, tên và số điện thoại. Sử dụng phương
pháp này, Bulk_extractor có thể tìm thấy các địa chỉ email ở dạng nén dữ liệu. Đường
dẫn pháp y cho các địa chỉ email được tìm thấy cho thấy rằng nó bắt nguồn từ một email,
đó là GZIP đã được nén và tìm thấy trong một luồng HTTP. Con đường pháp y của các
tính năng địa chỉ email được tìm thấy có thể được trình bày như sau:
9
Hình 2.6. Các tính năng địa chỉ email
Hình 2.7. Forensic path của tính năng email dẫn ngược về luồng HTTP.
Tồn bộ chức năng của Bulk_extractor được cung cấp thông qua tốn tử dịng
lệnh và cơng cụ GUI, Bulk Extractor Viewer. Cả hai chế độ hoạt động đều hoạt động
cho Linux, Mac và Windows
2.4 Xử lý dữ liệu
2.4.1. Scanners
Có nhiều máy quét được triển khai với hệ thống Bulk_extractor. Để có danh sách
chi tiết của các máy quét được cài đặt với phiên bản Bulk_extractor của bạn, hãy chạy
lệnh sau:
$ bulk_extractor -H
Lệnh này sẽ hiển thị tất cả các máy quét được cài đặt với thông tin bổ sung trong
hệ thống về mỗi máy qt. Cụ thể, có một mơ tả cho mỗi máy quét, một danh sách các
tính năng mà nó tìm thấy và bất kỳ cờ nào có liên quan. Dưới đây là một mẫu đầu ra:
10
Hình 2.8. Danh sách mẫu output của lệnh.
2.4.2. Các định dạng dữ liệu đầu vào
Hệ thống ký kết Bulk có thể xử lý nhiều định dạng dữ liệu bao gồm E01, raws,
split-raws và individual files cũng như các thiết bị hoặc tệp thơ. Nó cũng có thể hoạt
động trên memory và bắt gói, mặc dù việc bắt gói sẽ được trích xuất hiệu quả hơn nếu
bạn xử lý trước chúng bằng tcpflow.
Tất cả các máy quét đều phục vụ các chức năng khác nhau và tìm kiếm các loại
thơng tin khác nhau. Thơng thường, một tính năng sẽ được lưu trữ ở định dạng không
dễ truy cập và sẽ yêu cầu nhiều máy quét để trích xuất dữ liệu tính năng.
Ví dụ: một số tệp PDF chứa dữ liệu văn bản nhưng định dạng PDF khơng thể tìm
kiếm trực tiếp bằng máy quét tìm địa chỉ email hoặc máy quét tìm kiếm từ khóa.
Bulk_extractor giải quyết vấn đề này bằng cách có hai máy quét hoạt động cùng nhau.
Máy quét pdf trước tiên sẽ trích xuất tất cả văn bản từ PDF và sau đó các máy quét khác
sẽ xem xét văn bản được trích xuất để tìm các tính năng. Cái này quan trọng cần nhớ
khi tắt và bật máy quét, vì các máy quét làm việc cùng nhau để truy xuất các tính năng
từ hình ảnh đĩa. Các định dạng máy quét của bulk_extractor có như trong bảng như sau:
11
Bảng 2.1. Các định dạng scanner.
Tên định dạng
Scanner
accts
Mô tả
Data Type
Tài khoản số, chẳng hạn như số điện thoại và CCN
aes
Các khóa AES trong bộ nhớ từ lịch biểu chính của chúng
base16
Dữ liệu được mã hóa cơ sở 16 (hex) (bao gồm mã MD5
được nhúng trong dữ liệu)
base64
Base 64 code
elf
Định dạng có thể thực thi và có thể liên kết (ELF)
exif
Cấu trúc EXIF từ JPEGS (và khắc các tệp JPEG)
Facebook HTML
gps
XML từ thiết bị GPS Garmin (đã xử lý)
gzip
Tệp GZIP và luồng GZIP nén ZLIB
hashdb
hiber
httplogs
Hỗ trợ cơ sở dữ liệu NPS Hash
Các phân đoạn tệp ngủ đông của Windows (được giải nén
và xử lý, không được khắc)
Tệp nhật ký HTTP
jpeg
JPEG. Mặc định là chỉ các ảnh JPEG được mã hóa mới
được khắc. JPEG khơng có EXIF cũng được khắc
json
Các tệp và đối tượng JavaScript Object Notation được tải
xuống từ máy chủ web, cũng như các đối tượng giống
JSON được tìm thấy trong mã nguồn
12
kml
KML files
Văn bản từ tệp PDF (được trích xuất để xử lý không được
khắc)
rar
Các thành phần RAR trong kho lưu trữ khơng được mã
hóa được giải mã và xử lý. Tệp RAR được mã hóa được
khắc.
vcard
vCard files
windirs
Các mục nhập thư mục Windows FAT32 và NTFS
winpe
Môi trường cài đặt sẵn Windows (PE) Các tệp thực thi (tệp
.exe và .dll được ký hiệu bằng mã băm MD5 của 4k đầu
tiên)
winprefetch
Windows Tìm nạp trước các tệp, các đoạn tệp (đã xử lý)
2.4.3. File Carving
File carving một loại khắc đặc biệt, trong đó các tệp được khơi phục. File carving
là sử dụng hồn hảo cho cả việc khôi phục dữ liệu và điều tra pháp y vì nó có thể khơi
phục tệp khi các sector chứa siêu dữ liệu hệ thống tệp bị ghi đè hoặc bị hỏng
Kết quả khắc được lưu trữ ở hai nơi khác nhau. Đầu tiên, một tệp liệt kê tất cả
các tệp được khắc được ghi vào tệp .txt tương ứng: tệp JPEG thành jpeg_carved.txt, Tệp
ZIP để giải nén.txt và tệp RAR để giải nén. Thứ hai, JPEG chạm khắc, ZIP và các tệp
RAR được đặt trong các thư mục trong thùng rác có tên / jpeg, / unzip và /unrar tương
ứng. Ví dụ, tất cả các ảnh JPEG được khắc sẽ nằm trong thư mục / jpeg. Đầu ra các tệp
được thêm vào thùng rác với 1000 tệp trong mỗi thư mục. Tên thư mục là 3 chữ số thập
phân. Nếu có hơn 999.000 tệp được chạm khắc cùng một loại, thì bộ tiếp theo của các
thư mục được đặt tên bằng 4 chữ số. Tên tệp cho JPEG là forensicpath.jpg.
Tên tệp cho trình khắc phục sự cố ZIP là forensicpath_filename. Nếu tên tệp ZIP
có dấu gạch chéo trong đó (biểu thị thư mục), chúng được chuyển thành '_' (gạch dưới).
Ví dụ, tệp mydocs /output /specialfile sẽ được đặt tên là mydocs_output_specialfile.
Có 3 chế độ carving file mà Bulk_extractor cung cấp, như bảng dưới:
13
Bảng 2.2. Bảng chế đọ carving file.
Mô tả
Mode
0
Không khôi phục các tệp thuộc loại được chỉ định.
1
Chỉ khôi phục các tệp được mã hóa thuộc loại được chỉ định
2
Khơi phục tất cả các tệp
2.4.4. Loại bỏ các trùng lặp
Hệ điều hành hiện đại chứa đầy địa chỉ email. Chúng đến từ Windows nhị phân,
chứng chỉ SSL và tài liệu mẫu. Hầu hết các địa chỉ email này, đặc biệt là những người
xảy ra thường xuyên nhất, chẳng hạn như , khơng liên quan đến
trường hợp. Điều quan trọng là có thể ngăn chặn những địa chỉ email không liên quan
đến trường hợp. Để giải quyết vấn đề này, Bulk_extractor cung cấp hai cách tiếp cận.
Đầu tiên, Bulk_extractor cho phép người dùng tạo danh sách dừng hoặc sử dụng
danh sách dừng hiện có sẵn cho Tải xuống. Các danh sách dừng này được sử dụng để
nhận ra và loại bỏ các địa chỉ email có nguồn gốc từ Hệ điều hành. Cách tiếp cận này
hoạt động tốt cho các địa chỉ email rõ ràng là không hợp lệ, chẳng hạn như
Tuy nhiên, đối với hầu hết các địa chỉ email, bạn sẽ muốn
ngăn chặn chúng trong một số trường hợp nhưng khơng phải những trường hợp khác.
Ví dụ, ở đó hơn 20.000 nhà phát triển Linux, bạn muốn dừng địa chỉ email của họ trong
chương trình nhị phân, khơng có trong thư email. Để giải quyết vấn đề này,
Bulk_extractor sử dụng danh sách dừng phân biệt ngữ cảnh. Thay vì một danh sách các
tính năng, cách tiếp cận này sử dụng tính năng + ngữ cảnh.
Có một danh sách dừng phân biệt ngữ cảnh dành cho Microsoft Windows XP,
2000, 2003, Vista và một số hệ thống Linux. Tổng danh sách dừng là 70 MB và bao
gồm 628.792 tính năng trong một tệp zip 9 MB. Danh sách dừng nhạy cảm theo ngữ
cảnh lược bỏ nhiều phần mềm do hệ điều hành cung cấp. Bằng cách áp dụng nó
Số lượng email được tìm thấy đã giảm từ 9.143 xuống 4.459. Điều này làm giảm
đáng kể khối lượng công việc điều tra viên phải thực hiện. Hình dưới cho thấy biểu đồ
của địa chỉ email khác nhau khi Bulk_extractor được chạy có và khơng có phân biệt ngữ
cảnh danh sách dừng. Danh sách dừng nhạy cảm theo ngữ cảnh được xây dựng cho các
hệ điều hành khác nhau
14
Hình 2.9. Sự khác nhau giữa dùng Stoplist và khơng dùng Stoplist
2.4.5. Sử dụng danh sách cảnh báo
Các từ hoặc tính năng cụ thể trong một ngữ cảnh nhất định có thể quan trọng đối
với cuộc điều tra của người dùng.
Danh sách cảnh báo có thể chứa danh sách các từ và / hoặc tên tệp đặc trưng và
khi khớp là tìm thấy, nó sẽ cảnh báo cho người dùng. Cách thức hoạt động của cảnh báo
tệp tính năng tương tự như cách chúng được sử dụng cho danh sách dừng nhạy cảm theo
ngữ cảnh. Nó sẽ chỉ cảnh báo về một tính năng được chỉ định khi nó được tìm thấy trong
ngữ cảnh được chỉ định
Hình 2.10. Tệp danh sách cảnh báo mẫu.
Mặc dù danh sách này dường như khơng giúp ích cho bất kỳ cuộc điều tra cụ thể
nào, nhưng nó chứng tỏ mà bạn có thể chỉ định các từ riêng biệt quan trọng đối với phân
tích của chúng. Kết quả bao gồm thông tin danh sách cảnh báo được tìm thấy trong tệp
alert.txt trong bulk_extractor thư mục đầu ra
2.4.6. Xử lý dữ liệu nén
Nhiều công cụ pháp y thường bỏ sót dữ liệu quan trọng vì chúng không kiểm tra
chứng chỉ bao gồm các lớp dữ liệu nén. Ví dụ: một nghiên cứu gần đây về 1400 ổ đĩa
được tìm thấy hàng nghìn địa chỉ email đã được nén. Không cần xem xét tất cả dữ liệu
15
trên mỗi ổ đĩa và giải nén một cách hiệu quả trong đó, các tính năng quan trọng có thể
bị bỏ lỡ. Các địa chỉ email được nén, chẳng hạn như những địa chỉ trong tệp GZIP,
không giống như địa chỉ email đối với máy quét; trước tiên chúng phải được giải nén
được xác định.
2.5 Các tính năng của Bulk_extractor
Có rất nhiều trường hợp sử dụng kĩ thuật kỹ thuật số cho Bulk_extractor. Trong
phần này, chúng ta nêu bật một số cách sử dụng phổ biến nhất của hệ thống. Mỗi trường
hợp thảo luận về tệp đầu ra nào, bao gồm tệp đặc trưng và tograms, có liên quan nhất
đến các loại điều tra này.
2.5.1. Điều tra phần mềm độc hại
Phần mềm độc hại là sự xâm nhập có lập trình. Khi thực hiện điều tra phần mềm
độc hại, người dùng sẽ muốn xem các tệp thực thi, thông tin đã được tải xuống từ webbased các ứng dụng dựa trên và các mục trong thư mục windows (dành cho các cuộc
điều tra dành riêng cho Windows). Bulk_extractor cho phép điều này theo một số cách
Đầu tiên, Bulk_extractor tìm thấy bằng chứng về hầu như tất cả các tệp thực thi
trên ổ cứng bao gồm thứ tự nhập chúng, những tệp chứa trong tệp ZIP và những tệp
được nén.
Nó khơng cung cấp cho bạn giá trị băm của toàn bộ tệp, thay vào đó, nó cung cấp
cho bạn giá trị băm của 4KB đầu tiên của tệp. Nghiên cứu đã chỉ ra rằng 4KB đầu tiên
mang tính dự đốn vì hầu hết các tệp thực thi có giá trị băm riêng biệt cho 4KB đầu tiên
của tệp. Ngoài ra, nhiều tệp trong số này có thể bị phân mảnh và nhìn vào 4KB đầu tiên
vẫn sẽ cung cấp thơng tin liên quan đến một cuộc điều tra bởi vì sự phân mảnh khó có
thể xảy ra trước 4KB đầu tiên. Hàm băm đầy đủ của tệp bị phân mảnh không có sẵn
trong bulk_extractor.
Một số tệp tính năng đầu ra do Bulk_extractor tạo ra chứa các tệp có liên quan
và quan trọng thông tin về các tệp thực thi. Các tệp này bao gồm:
-
elf.txt - Tệp này (do máy quét elf tạo ra) chứa thông tin về các tệp thực thi
ELF có thể được sử dụng để nhắm mục tiêu các hệ thống Linux và Mac OS
X.
-
winprefetch.txt - Tệp này (do trình quét winprefetch tạo ra liệt kê các
tệp hiện tại và đã xóa được tìm thấy trong thư mục tìm nạp trước của
Windows. XML trong các tệp tính năng này quá phức tạp để xem xét
nếu không sử dụng các ứng dụng khác những lời khen ngợi. Cách được
khuyến nghị để phân tích kết quả thực thi là sử dụng một phần ba
16
Cơng cụ bên phân tích các tệp thực thi hoặc kéo kết quả vào bảng tính. Trong
trang tính, một cột có thể chứa các giá trị băm và những giá trị đó có thể được so sánh
chống lại cơ sở dữ liệu của các hàm băm thực thi. Ngoài ra cịn có một cơng cụ python
đi kèm vớiBulk_extractor được gọi là Recoggit_filenames.py có thể được sử dụng để
lấy tên tệp đầy đủ của tệp.
Đối với các cuộc điều tra phần mềm độc hại cụ thể của Windows, các tệp
winpe.txt và winprefetch.txt rất hữu ích. Chúng được tạo ra bởi các máy quét winpe và
winprefetch cẩn thận. Windows Prefetch hiển thị các tệp đã được tìm nạp trước trong
Windows Prefetch thư mục và hiển thị các tệp đã xóa được tìm thấy trong không gian
chưa được phân bổ. Những cửa sổ tính năng PE hiển thị các mục nhập liên quan đến tệp
thực thi Windows JSON, Ký hiệu đối tượng JavaScript, là một định dạng trao đổi dữ
liệu nhẹ. Web-các trang web có xu hướng tải xuống nhiều thơng tin bằng JSON. Tệp
đầu ra json.txt, được sản xuất bởi máy quét json, có thể hữu ích cho việc điều tra và phân
tích phần mềm độc hại ứng dụng dựa trên web. Nếu một trang web đã tải xuống thông
tin ở định dạng JSON, thì trình qt JSON có thể tìm thấy thơng tin đó trong bộ nhớ
cache của trình duyệt.
2.5.2. Điều tra Mạng
Các cuộc điều tra mạng có thể quét nhiều loại thông tin khác nhau. Một số hợp
nhất đặc điểm của các cuộc điều tra này là nhu cầu tìm khóa mã hóa, giá trị băm và hơng
tin về các gói ethernet. Bulk_extractor cung cấp một số máy quét cung cấp các tệp tính
năng duce có chứa thơng tin này
Đối với thơng tin mã hóa, các tệp tính năng sau có thể hữu ích:
-
aes.txt - AES là một hệ thống mã hóa. Nhiều triển khai để lại các phím trong
bộ nhớ có thể được tìm thấy bằng cách sử dụng một thuật toán được phát
minh tại Đại học Princeton. Bulk_extractor cung cấp phiên bản cải tiến của
thuật tốn đó để tìm khóa AES trong máy qt aes. Khi nó qt bộ nhớ, chẳng
hạn như hoán đổi tệp hoặc giải nén tập tin ngủ đơng, nó sẽ xác định các khóa
AES. Các phím có thể được sử dụng cho phần mềm, điều đó sẽ giải mã tài
liệu được mã hóa AES.
-
hex.txt - Máy quét base16 giải mã thông tin được lưu trữ trong Base16, chia
nó thành các giá trị thập phân tương ứng. Điều này rất hữu ích nếu bạn tìm
kiếm khóa AES hoặc hàm băm SHA1. Máy quét này chỉ ghi các khối kích
thước 128 và 256 vì chúng là kích thước được sử dụng cho các khóa mã hóa.
Tính năng tệp sẽ hữu ích nếu nhà điều tra đang tìm kiếm những người đã mã
hóa email khóa hoặc giá trị băm trong một cuộc điều tra không gian mạng
17
Ngoài ra, máy quét base64 rất quan trọng đối với các cuộc điều tra mạng vì nó
trơng chủ yếu là ở các tệp đính kèm email được mã hóa trong Base64. Thơng tin được
tìm thấy trong những các tệp đính kèm sẽ được phân tích bởi các máy quét khác để tìm
các tính năng cụ thể.
Máy qt Windirs tìm các mục nhập thư mục Windows FAT32 và NTFS và cũng
sẽ hữu ích cho các cuộc điều tra mạng liên quan đến máy Windows, vì chúng có thể là
chỉ báo số lần hoạt động đó diễn ra.
Cuối cùng, các tệp ether.txt, ip.txt, tcp.txt và domain.txt đều do máy qt mạng.
Nó tìm kiếm các gói ethernet và cấu trúc bộ nhớ được liên kết với các cấu trúc dữ liệu
mạng trong bộ nhớ. Điều quan trọng cần lưu ý là các kết nối tcp có rất nhiều kết quả
dương tính giả và nhiều thơng tin được máy qt này tìm thấy sẽ là sai. Các nhà điều tra
nên cẩn thận với việc giải thích các tệp tính năng này vì lý do.
2.5.3. Điều tra danh tính
Các cuộc điều tra danh tính có thể tìm kiếm nhiều loại thơng tin bao gồm cả email
địa chỉ, thơng tin thẻ tín dụng, số điện thoại, thơng tin địa lý và từ khóa. Ví dụ: nếu điều
tra viên đang cố gắng tìm hiểu xem một người là ai và cộng sự của họ là ai, họ sẽ xem
số điện thoại, cụm từ tìm kiếm để xem họ đang làm gì và gửi email để biết họ đang giao
tiếp với ai.
Máy quét accts rất hữu ích cho việc điều tra danh tính. Nó tạo ra một số tính năng
các tệp có thơng tin nhận dạng bao gồm:
-
ccn.txt - số thẻ tín dụng
-
ccn_track2.txt - hai thơng tin theo dõi thẻ tín dụng - thơng tin liên quan nếu
một số-
-
một người đang cố gắng làm thẻ tín dụng giả
-
pii.txt - thông tin nhận dạng cá nhân bao gồm ngày sinh và số xã hội
-
bia
-
phone.txt - số điện thoại
Máy quét kml và gps đều tạo ra thông tin GPS cung cấp thông tin về một người
trong một lĩnh vực nhất định hoặc liên kết đến những gì họ đã và đang làm trong một
lĩnh vực nhất định. Cả hai trong số những máy quét này ghi vào gps.txt.
KML là định dạng được Google Earth và Google sử dụng các tệp bản đồ. Máy
quét này tìm kiếm các tọa độ GPS trong dữ liệu được định dạng đó. Gps máy quét xem
xét thơng tin được định dạng Garmin Trackpoint và tìm tọa độ GPS trong dữ liệu đó.
18
