Thu thập và phân tích chứng cứ từ file ảnh và dấu tin trong ảnh

Cấu hình hệ thống được đề xuất Đề xuất một hệ thống để phân tích pháp y kỹ thuật số sử dụng bộ lọchình ảnh, bao gồm một bộ sao chép, một bộ xác minh tính toàn vẹn, một bộlưu trữ gốc, mộ

BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ

FILE ẢNH VÀ GIẤU TIN TRONG ẢNH

Chuyên ngành: An toàn thông tin

Người hướng dẫn:

Giảng viên:TS.Nguyễn Mạnh Thắng

Khoa An toàn thông tin – Học viện Kỹ thuật mật mã

MỤC LỤC

Lời nói đầu 4

CHƯƠNG I THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ FILE ẢNH 6

1.1 Giới thiệu: 6

1.2 Cấu hình hệ thống được đề xuất 7

1.3 Các quy trình chung để thu thập và phân tích bằng chứng kỹ thuật số 8

1.4 Phân tích quy trình cho tệp hình ảnh làm bằng chứng mục tiêu chính 10

1.6 Kết luận 11

1.7 Một số công cụ điều tra pháp y kỹ thuật số 12

1.7.1 SANS SIFT 12

1.7.2 The Sleuth Kit (+Autopsy) 13

1.7.3 FireEye RedKine 14

1.7.4 FTK Imager 15

CHƯƠNG II TỔNG QUAN VỀ GIẤU TIN 17

2.1 Giới thiệu chung về giấu thông tin 17

2.2 Các khái niệm về giấu thông tin trong ảnh số 18

2.3 Một số đặc điểm của việc giấu thông tin trên ảnh số 20

2.3.1 Tính vô hình của thông tin 20

2.3.2 Tính bảo mật 20

2.3.3 Tỷ lệ giấu tin 20

2.3.4 Lựa chọn ảnh 21

2.3.5 Ảnh môi trường đối với quá trình giải mã 21

CHƯƠNG III GIẤU TIN TRONG ẢNH 24

3.1 Giới thiệu chung 24

3.2 Các đặc trưng của giấu thông tin trong ảnh 26

3.3 Sự khác nhau giữa giấu tin trong ảnh đen trắng và ảnh màu 27

3.4 Thuật toán LSB 29

KẾT QUẢ THỰC NGHIỆM 31

TÀI LIỆU THAM KHẢO 35

Danh mục hình ảnh:

Hình 1: Cấu hình hệ thống 7

Hình 2: Phân tích bằng chứng cho tệp hình ảnh 10

Hình 3: Sans Sift 12

Hình 4: The Sleuth Kit 14

Hình 5: FireEye RedKine 15

Hình 6: FTL Imager 16

Hình 7: Lược đồ chung cho giấu thông tin 18

Hình 8: Một thẻ thông minh đã được giấu tin sử dụng trong công tác nhận dạng 26

Hình 9: Ảnh màu sau khi giấu tin rất khó phát hiện sự thay đổi 30

Hình 10: Ảnh đen trắng sau khi giấu cùng một lượng thông tin như ảnh màu nhưng chất lượng kém hơn 30

Bảng 1: Sự khác nhau giữa giấu thông tin trong ảnh đen trắng và ảnh màu 29

LỜI NÓI ĐẦU

Ngày nay, cùng với sự phát triển mạnh mẽ của ngành khoa học công nghệthông tin, internet đã trở thành một nhu cầu, phương tiện không thể thiếu đối vớimọi người, việc truyền tin qua mạng ngày càng lớn Tuy nhiên, với lượng thông tinđược truyền qua mạng nhiều hơn thì nguy cơ dữ liệu bị truy cập trái phép cũngtăng lên vì vậy vấn đề bảo đảm an toàn và bảo mật thông tin cho dữ liệu truyềntrên mạng là rất cần thiết

Để đảm bảo an toàn và bí mật cho một thông điệp truyền đi người ta thườngdùng phương pháp truyền thống là mã hóa thông điệp theo một qui tắc nào đó đãđược thỏa thuận trước giữa người gửi và người nhận Tuy nhiên, phương thức nàythường gây sự chú ý của đối phương về tầm quan trọng của thông điệp Thời giangần đây đã xuất hiện một cách tiếp cận mới để truyền các thông điệp bí mật, đó làgiấu các thông tin quan trọng trong những bức ảnh thông thường Nhìn bề ngoàicác bức ảnh có chứa thông tin cũng không có gì khác với các bức ảnh khác nên hạnchế được tầm kiểm soát của đối phương Mặt khác, dù các bức ảnh đó bị phát hiện

ra là có chứa thông tin trong đó thì với các khóa có độ bảo mật cao thì việc tìmđược nội dung của thông tin đó cũng rất khó có thể thực hiện được

Xét theo khía cạnh tổng quát thì giấu thông tin cũng là một hệ mã mật nhằmbảo đảm tính an toàn thông tin, nhưng phương pháp này ưu điểm là ở chỗ giảmđược khả năng phát hiện được sự tồn tại của thông tin trong nguồn mang Khônggiống như mã hóa thông tin là chống sự truy cập và sửa chữa một cách trái phépthông tin, mục tiêu của giấu thông tin là làm cho thông tin trộn lẫn với các điểmảnh Điều này sẽ đánh lừa được sự phát hiện của các tin tặc và do đó làm giảm khảnăng bị giải mã

Kết hợp các kỹ thuật giấu tin với các kỹ thuật mã hóa ta có thể nâng cao độ

an toàn cho việc truyền tin

Vì vậy, nhóm em đã lựa chọn đề tài “Thu thập và phân tích chứng cứ từ fileảnh và dấu tin trong ảnh” nhằm mục đích tìm hiểu về các kỹ thuật thu thập và phântích các chứng cứ từ ảnh và dấu tin trong ảnh cũng như triển khai hướng giải quyết

Báo cáo có 3 phần:

Chương 1: Thu thập và phân tích chứng cứ từ file ảnh

Chương 2: Tổng quan về giấu tin

Chương 3: Dấu tin trong ảnh

Mặc dù đã rất cố gắng nhưng do kiến thức và thời gian còn nhiều hạn chế nên chắcchắn đề tài không khỏi có những thiếu sót, chúng em rất mong nhận được những ýkiến đóng góp của thầy và các bạn sinh viên để chúng em có thể tìm hiểu sâu hơn

về đề tài này

Chúng em xin chân thành cảm ơn!

CHƯƠNG I THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ

FILE ẢNH

1.1 Giới thiệu

Gần đây, ngoài tội phạm máy tính, ngay cả trong các tội phạm nóichung, bằng chứng hoặc manh mối quan trọng ngày càng được lưu trữ trongnhiều phương tiện điện tử, chẳng hạn như máy tính hoặc máy tính xách tay

Dữ liệu kỹ thuật số rất dễ bị sao chép và rất khó phân biệt bản gốc với bảnsao Hơn nữa, dữ liệu kỹ thuật số có thể dễ dàng bị làm sai lệch, thay đổihoặc xóa khỏi dữ liệu gốc Do đó, các cuộc điều tra tội phạm cần công nghệpháp y kỹ thuật số cấp độ cao để có được bằng chứng tốt hơn từ dữ liệu kỹthuật số trong máy tính hoặc máy tính xách tay của nghi phạm

Công nghệ pháp y kỹ thuật số được chia thành kỹ thuật thu thập bằngchứng kỹ thuật số, kỹ thuật phân tích bằng chứng kỹ thuật số bao gồm kỹthuật khôi phục bằng chứng kỹ thuật số và kỹ thuật lập hồ sơ bằng chứng kỹthuật số Các kỹ thuật này kiểm tra và phân tích các thiết bị kỹ thuật số,chẳng hạn như máy tính hoặc điện thoại di động, để tìm ra bằng chứng tiềmnăng và bao gồm việc truyền dữ liệu điện tử, phân biệt thông tin được lưutrữ, tìm kiếm, tài liệu và bảo quản

Báo cáo này nói về các phân tích pháp y cho bằng chứng kỹ thuật sốbao gồm rất nhiều hình ảnh như tranh ảnh và ảnh chụp, ngoại trừ văn bản

Vụ án có nhiều hình ảnh trong máy tính cá nhân được các nghi phạm sửdụng nên rất có ý nghĩa đối với công tác điều tra pháp y Ví dụ, nếu hình ảnhkhiêu dâm của trẻ em được lưu trữ trong máy tính, đó là một tội ác nghiêmtrọng Vì vậy, việc tìm kiếm hình ảnh, ngoài văn bản là rất quan trọng Hơnnữa, việc phân tích hình ảnh có thể là dữ liệu bằng chứng rất quan trọng xácđịnh xu hướng hoặc vấn đề quan tâm của nghi phạm Khi một lượng lớn tệphình ảnh được lưu trữ trong máy tính cá nhân, một cuộc điều tra tội phạmkhẩn cấp sẽ kiểm tra tất cả các tệp một cách không hiệu quả; do đó, đòi hỏiphải cải tiến kỹ thuật phân tích một cách mạnh mẽ Cụ thể, các giám địnhviên pháp y mở để kiểm tra mọi tệp hình ảnh có trong đĩa cứng của máy tính

hoặc thẻ nhớ của nghi phạm Nếu chúng có số lượng hình ảnh khổng lồ, bạn

sẽ mất quá nhiều thời gian để kiểm tra và phân tích

Do đó, chúng tôi sử dụng bộ lọc hình ảnh áp dụng mô hình học tập đểphân chia chúng thành một số danh mục một cách tự động Thông qua cáchnày, giám định pháp y chỉ có thể kiểm tra các tệp hình ảnh liên quan và sau

đó giảm thời gian phân tích Trước đó, giám định viên pháp y thực hiện một

số hạng mục để phân loại hình ảnh và đầu vào và tìm hiểu lượng mẫu hìnhảnh khổng lồ cho bộ lọc hình ảnh này Bằng cách này, độ chính xác khiphân loại tệp hình ảnh có thể được cải thiện

1.2 Cấu hình hệ thống được đề xuất

Đề xuất một hệ thống để phân tích pháp y kỹ thuật số sử dụng bộ lọchình ảnh, bao gồm một bộ sao chép, một bộ xác minh tính toàn vẹn, một bộlưu trữ gốc, một bộ phân tích bằng chứng và một bộ tạo báo cáo

Người sao chép tạo bản sao của bằng chứng kỹ thuật số gốc và người xácminh tính toàn vẹn xác nhận liệu bản sao do người sao chép tạo ra có giống vớibản gốc của bằng chứng kỹ thuật số hay không Kho lưu trữ gốc lưu trữ bản gốccủa bằng chứng kỹ thuật số trên cơ sở kết quả được xác định bởi người xác minhtính toàn vẹn Bằng chứng kỹ thuật số được lưu trữ trong bộ lưu trữ gốc là các tệphình ảnh được thu thập từ đĩa cứng của máy tính hoặc bộ nhớ của thiết bị kỹ thuật

Hình 1: Cấu hình hệ thống

số Trình phân tích bằng chứng phân loại các tệp hình ảnh cho bản sao của bằngchứng kỹ thuật số được lưu trữ trong kho lưu trữ gốc thành các danh mục được xácđịnh trước, sử dụng bộ lọc hình ảnh bao gồm mô hình lọc hình ảnh, sau đó phântích bằng chứng Trình tạo báo cáo tạo báo cáo về kết quả phân tích bằng chứng domáy phân tích bằng chứng thu được.

Trình phân tích bằng chứng không chỉ phân tích dữ liệu hiện có và các tệphình ảnh trên đĩa cứng, mà còn các hình ảnh được khôi phục từ dữ liệu bị xóa và bịmất, đồng thời thực hiện phân tích sổ đăng ký, phân tích e-mail, phân tích lịch sửweb, phân tích mật khẩu và phân tích tìm kiếm từ khóa liên quan Do đó, trìnhphân tích bằng chứng bao gồm trình phân tích bằng chứng hình ảnh phân tích bằngchứng hình ảnh có trong bản sao của bằng chứng kỹ thuật số và một hoặc nhiềumáy phân tích khác thực hiện phân tích tất cả bằng chứng, chẳng hạn như phân tích

sổ đăng ký, phân tích lịch sử web, e-mail phân tích, phân tích lịch sử web, phântích mật khẩu và phân tích tìm kiếm từ khóa có liên quan, ngoại trừ phân tích hìnhảnh

Bộ phân tích bằng chứng hình ảnh bao gồm một trình trích xuất tệp hìnhảnh, một trình học mô hình lọc hình ảnh và một bộ lọc hình ảnh Trình trích xuấttệp hình ảnh trích xuất tất cả các hình ảnh có trong bản sao của bằng chứng kỹthuật số Và người học mô hình lọc hình ảnh nhận các hình ảnh mẫu học tập đượcphân loại thành các danh mục định trước, thực hiện một quy trình trước, chẳng hạnnhư loại bỏ các khung hình ảnh hoặc tách nhiều hình ảnh và tạo ra một mô hình lọchình ảnh trên cơ sở các đặc điểm, chẳng hạn như màu sắc và tông màu, đại diệncho các thuộc tính hình ảnh được trích xuất từ các hình ảnh mẫu học tập đã được

xử lý trước và một thuật toán học tập Cuối cùng, bộ lọc ảnh nhận các tập tin ảnh

do trình giải nén ảnh trích xuất, lọc các tập tin ảnh thành các danh mục xác địnhtrước bằng cách sử dụng mô hình lọc ảnh do người học mô hình lọc ảnh tạo ra, sau

đó đưa ra kết quả phân tích ảnh được phân loại thành các danh mục định trước

1.3 Các quy trình chung để thu thập và phân tích bằng chứng kỹ thuật số

Quy trình chung để thu thập và phân tích bằng chứng kỹ thuật số như sau:

1 Sau khi bằng chứng kỹ thuật số (thường là đĩa cứng) được thu thập từ PCcủa nghi phạm, người sao chép bắt đầu sao chép bằng chứng kỹ thuật số thuđược Người xác minh tính toàn vẹn xác minh xem bản sao của bằng chứng

kỹ thuật số có giống với bản gốc hay không bằng cách so sánh chúng và sau

đó lưu trữ bản gốc của bằng chứng kỹ thuật số vào kho lưu trữ ban đầu.Bằng chứng kỹ thuật số ban đầu có thể bị hỏng hoặc biến dạng, do đó, bảnsao của bằng chứng kỹ thuật số được kiểm tra thay vì bản gốc để phân tíchbằng chứng kỹ thuật số

2 Máy phân tích bằng chứng phân tích bằng chứng từ bản sao của bằng chứng

kỹ thuật số được xác minh Không chỉ dữ liệu hiện có, mà dữ liệu bị xóa và

bị mất đều được đưa vào đối tượng của phân tích bằng chứng Trình phântích bằng chứng khôi phục một số dữ liệu bị xóa và bị mất và sử dụng chúng

để phân tích bằng chứng Ngoài việc khôi phục, phân tích bằng chứng baogồm tất cả các phần phân tích để chứng minh sự thật tội phạm, bao gồmphân tích sổ đăng ký, phân tích e-mail, phân tích lịch sử web, phân tích mậtkhẩu và tìm kiếm từ khóa liên quan, v.v Trình phân tích bằng chứng sửdụng các tệp hình ảnh được lưu trữ trong đĩa cứng, chẳng hạn như tranh ảnhhoặc ảnh chụp để phân tích bằng chứng Hình ảnh hiện có hoặc được khôiphục có thể là thông tin quan trọng để tìm hiểu thực tế tội phạm hoặckhuynh hướng của tội phạm

3 Trình tạo báo cáo tạo một báo cáo về tất cả các bằng chứng đã được phântích và sau đó toàn bộ quá trình kết thúc

Hình ảnh khiêu dâm, chẳng hạn như nội dung khiêu dâm trẻ em, là hình ảnhkhách quan chính để giám định pháp y phân tích, nhưng nhiều hình ảnh khácnhau có thể được coi là bằng chứng phạm tội, tùy thuộc vào các chi tiết của tộiphạm Chúng tôi đơn giản hóa quy trình phân tích riêng lẻ nhiều hình ảnh kỹthuật số trên đĩa cứng của PC của nghi phạm và phân tích bằng chứng hình ảnhbằng cách sử dụng bộ lọc hình ảnh mà mô hình học tập được áp dụng Bởi vì tất

cả các tệp hình ảnh trên đĩa cứng được tự động phân loại thành nhiều loại bằngcách sử dụng bộ lọc hình ảnh, nhà phân tích pháp y có thể phân tích các tệp

hình ảnh hiệu quả hơn Các danh mục của tệp hình ảnh có thể do người quản lý(nhà phân tích pháp y) quyết định Hơn nữa, vì một lượng lớn các mẫu hình ảnh

đã được nhập và học theo các danh mục trước đó, nên có thể tăng độ chính xáckhi áp dụng bộ lọc hình ảnh

1.4 Phân tích quy trình cho tệp hình ảnh làm bằng chứng mục tiêu chính

Hình 2 mô tả quá trình phân tích bằng chứng cho các tệp ảnh theo phươngpháp được đề xuất

Đầu tiên, như một quy trình trước, người quản lý hoặc nhà phân tích thuthập các hình ảnh mẫu học tập phù hợp với các danh mục hình ảnh được xác địnhtrước Người học mô hình lọc hình ảnh nhận các hình ảnh mẫu học tập được thuthập, tạo mô hình lọc hình ảnh, sau đó truyền mô hình lọc hình ảnh đến bộ lọc hìnhảnh Quá trình học tập có thể được thực hiện độc lập với việc lọc, do đó có thể cảithiện độ chính xác bằng cách đào tạo trước nhiều mẫu hơn bằng cách sử dụng cáctài nguyên Trong quá trình này, sau khi các hình ảnh có trong bản sao của bằngchứng kỹ thuật số được trích xuất từ trình trích xuất tệp hình ảnh được đưa vào bộlọc hình ảnh, bộ lọc hình ảnh sẽ phân loại hình ảnh thành các loại đã được xác địnhtrước trên cơ sở các đặc điểm được trích xuất bởi quy trình trước , chẳng hạn nhưloại bỏ khung hình ảnh và tách nhiều hình ảnh và mô hình lọc hình ảnh nhận được

từ người học mô hình lọc hình ảnh

1.5 Quá trình học và lọc

Hình 2:Phân tích bằng chứng cho tệp hình ảnh

Người học mô hình bộ lọc hình ảnh hoạt động như sau.

1 Người học nhận các hình ảnh mẫu học tập do người quản lý thu thập để tạo

mô hình lọc và sau đó thực hiện quy trình trước, chẳng hạn như loại bỏ mộtkhung hình ảnh hiện tại hoặc tách nhiều hình ảnh khỏi nhiều hình ảnh

2 Sau quá trình tiền xử lý, người học trích xuất các đặc điểm khác nhau,chẳng hạn như màu sắc và tông màu, đại diện cho các thuộc tính của hìnhảnh và tạo ra một mô hình lọc hình ảnh bằng cách sử dụng các đặc tínhđược trích xuất và một thuật toán học tập

3 Người học truyền mô hình lọc ảnh được tạo như mô tả ở trên đến bộ lọcảnh

Bởi vì một lượng lớn các mẫu hình ảnh được nhập và học trước trong ngườihọc mô hình lọc hình ảnh theo các danh mục được xác định bởi người quản lý hoặcnhà phân tích, có thể tăng độ chính xác trong phân loại khi áp dụng hệ thống phântích bằng chứng cho bộ lọc hình ảnh

Mặt khác, bộ lọc hình ảnh hoạt động như sau Bộ lọc hình ảnh nhận các tệphình ảnh được trích xuất từ bản sao của bằng chứng kỹ thuật số từ trình trích xuấttệp hình ảnh và thực hiện quy trình trước, chẳng hạn như loại bỏ khung hình ảnh

và tách đa hình ảnh, tương tự như quy trình học mô hình bộ lọc hình ảnh

Sau khi xử lý trước, bộ lọc hình ảnh trích xuất các đặc điểm khác nhau,chẳng hạn như màu sắc hoặc tông màu, chỉ ra các thuộc tính của hình ảnh, lọc hìnhảnh thành các danh mục xác định trước trên cơ sở các đặc điểm được trích xuất và

mô hình lọc hình ảnh được truyền từ người học mô hình lọc hình ảnh, và sau đóxuất ra kết quả phân tích các ảnh đã phân loại Các danh mục hình ảnh có thể đượcxác định trước cho từng trường hợp bởi người quản lý hoặc nhà phân tích theoquyết định của mình

1.6 Kết luận

Nhóm đã đề xuất một hệ thống phân tích pháp y sử dụng bộ lọc hình ảnh đểgiảm thời gian phân tích cho tất cả các hình ảnh có bằng chứng kỹ thuật số củanghi phạm như đĩa cứng hoặc thẻ nhớ Hệ thống được đề xuất rất tốt để phân tích

các bằng chứng kỹ thuật số bao gồm rất nhiều hình ảnh như tranh ảnh và ảnh chụp,ngoại trừ văn bản Chúng tôi sử dụng bộ lọc hình ảnh áp dụng mô hình học tập để

tự động phân chia chúng thành một số danh mục Thông qua cách này, giám địnhpháp y chỉ có thể kiểm tra các tệp hình ảnh liên quan và sau đó giảm thời gian phântích Trước đó, người dùng thực hiện một số danh mục để phân loại hình ảnh vànhập lượng mẫu hình ảnh khổng lồ vào bộ lọc hình ảnh này để học Bằng cách này,

độ chính xác khi phân loại tệp hình ảnh có thể được cải thiện

1.7 Một số công cụ điều tra pháp y kỹ thuật số

1.7.1 SANS SIFT

Bộ công cụ pháp y điều tra SANS (SIFT) là một CD Trực tiếp dựa trênUbuntu bao gồm tất cả các công cụ bạn cần để tiến hành điều tra chuyên sâu vềpháp y hoặc phản ứng sự cố Nó hỗ trợ phân tích Định dạng nhân chứng chuyêngia (E01), Định dạng pháp y nâng cao (AFF) và định dạng bằng chứng RAW (dd).SIFT bao gồm các công cụ như log2timeline để tạo dòng thời gian từ nhật ký hệthống, Scalpel để khắc tệp dữ liệu, Rifiuti để kiểm tra thùng rác và nhiều hơn nữa

Hình 3: Sans Sift

Khi bạn lần đầu tiên khởi động vào môi trường SIFT, tôi khuyên bạn nênkhám phá tài liệu trên màn hình để giúp bạn quen với những công cụ nào có sẵn vàcách sử dụng chúng Ngoài ra còn có một lời giải thích tốt về nơi tìm bằng chứngtrên một hệ thống Sử dụng thanh menu trên cùng để mở một công cụ hoặc khởichạy nó theo cách thủ công từ cửa sổ dòng lệnh.

Các tính năng chính:

+) Hệ thống cơ sở 64-bit

+) Cập nhật và tùy chỉnh gói tự động DFIR

+) Tương thích chéo với Linux và Windows

+) Hỗ trợ hệ thống tệp mở rộng

+) Tùy chọn cài đặt hệ thống độc lập

1.7.2 The Sleuth Kit (+Autopsy)

Sleuth Kit là một bộ công cụ pháp y kỹ thuật số mã nguồn mở có thể được

sử dụng để thực hiện phân tích chuyên sâu các hệ thống tệp khác nhau Khámnghiệm tử thi về cơ bản là một GUI nằm trên Bộ công cụ Sleuth Nó đi kèm vớicác tính năng như Phân tích dòng thời gian, Lọc băm, Phân tích hệ thống tệp vàTìm kiếm từ khóa ngoài hộp, với khả năng thêm các mô-đun khác cho chức năng

mở rộng

Khi khởi chạy Khám nghiệm tự động, bạn có thể chọn tạo một trường hợpmới hoặc tải một trường hợp hiện có Nếu bạn chọn tạo một trường hợp mới, bạn

sẽ cần tải một hình ảnh pháp y hoặc một đĩa cục bộ để bắt đầu phân tích Khi quátrình phân tích hoàn tất, hãy sử dụng các nút trên ngăn bên trái để chọn kết quả cầnxem

Các tính năng chính:

+) Hiển thị các sự kiện hệ thống thông qua giao diện đồ họa

+) Cung cấp đăng ký, tệp LNK và phân tích email

RedLine cung cấp khả năng thực hiện phân tích bộ nhớ và tệp của một máychủ cụ thể Nó thu thập thông tin về các quy trình và trình điều khiển đang chạy từ

bộ nhớ, đồng thời thu thập siêu dữ liệu hệ thống tệp, dữ liệu đăng ký, nhật ký sựkiện, thông tin mạng, dịch vụ, tác vụ và lịch sử Internet để giúp xây dựng hồ sơđánh

giá mối đe dọa tổng thể

Khi khởi chạy RedLine, bạn sẽ được lựa chọn Thu thập dữ liệu hoặc Phântích dữ liệu Trừ khi bạn đã có sẵn tệp kết xuất bộ nhớ, bạn sẽ cần tạo bộ thu thập

để thu thập dữ liệu từ máy và để quá trình đó chạy qua cho đến khi hoàn thành.Sau khi bạn có tệp kết xuất bộ nhớ, bạn có thể bắt đầu phân tích của mình

1.7.4 FTK Imager

FTK Imager là công cụ hình ảnh và xem trước dữ liệu cho phép bạn kiểm tracác tệp và thư mục trên ổ cứng cục bộ, ổ đĩa mạng, CD / DVD và xem lại nội dungcủa hình ảnh pháp y hoặc kết xuất bộ nhớ Sử dụng FTK Imager, bạn cũng có thểtạo tệp băm SHA1 hoặc MD5, xuất tệp và thư mục từ hình ảnh pháp y sang đĩa,

Hình 5: FireEye RedKine

xem lại và khôi phục tệp đã bị xóa khỏi Thùng rác (miễn là khối dữ liệu của chúngkhông bị ghi đè) và gắn kết một hình ảnh pháp y để xem nội dung của nó trongWindows Explorer.

Hình 6: FTL Imager

Khi bạn khởi chạy FTK Imager, hãy chuyển đến ‘File> Add EvidenceItem…’ để tải một phần bằng chứng để xem xét Để tạo hình ảnh pháp y, hãy đi tới

‘Tệp> Tạo hình ảnh trên đĩa…’ và chọn nguồn bạn muốn tạo hình ảnh pháp y

Các tính năng chính:

+) Đi kèm với khả năng xem trước dữ liệu để xem trước các tệp / thưmục cũng như nội dung trong đó

+) Hỗ trợ gắn hình ảnh+) Sử dụng CPU đa lõi để song song hoác các hành động+) Truy cập cơ sở dữ liệu trường hợp được chia sẻ, do đó, một cơ sở

dữ liệu trung tâm duy nhất là đủ cho một trường hợp duy nhất