Pháp chứng trên USB và đĩa cứng với phần mềm AUTOSPY

Pháp chứng trên USB và đĩa cứng với phần mềm AUTOSPY Pháp chứng trên USB và đĩa cứng với phần mềm AUTOSPY Pháp chứng trên USB và đĩa cứng với phần mềm AUTOSPY PHÁP CHỨNG TRÊN USB VÀ ĐĨA CỨNG VỚI PHẦN MỀM AUTOPSY

Trang 1

Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

Khoa Mạng máy tính và Truyền thông

Họ và tên: Nguyễn Cao Hòa

MSSV: 13520287

Lớp: NT334.H11

BÁO CÁO THỰC HÀNH MÔN HỌC: PHÁP CHỨNG KỸ THUẬT SỐ

NT334.H11BÀI THỰC HÀNH 1: PHÁP CHỨNG TRÊN USB VÀ ĐĨA CỨNG VỚI PHẦN MỀM

AUTOPSY.

Mục tiêu: sinh viên hiểu rõ các tính năng của công cụ phần mềm Autopsy khi tiến hành

điều tra và tìm kiếm thông tin trong một Filesystem

Thời gian thực hành: 1 buổi Autopsy là một công cụ phần mềm pháp chứng kỹ thuật số

với giao diện đồ họa của bộ phần mềm mã nguồn mở Sleuth Kit, Autopsy có thể được sửdụng để điều tra những gì đã xảy ra trên máy tính Autopsy cho phép phân tích sự kiệntheo thời gian, trình bày các sự kiện truy cập tới File system theo trình tự với giao diện đồhọa

Nội dung thực hành:

Khởi động công cụ Autospy, chọn Create new case để tạo một case mới:

1 | P a g e

GVHD: Ths Trần Thị Dung

Trang 2

Nhập thông tin , sau đó chọn OK

Trang 3

Chọn kiểu Data Source là Local Disk và ổ đĩa G , sau đó chọn Next

Yêu cầu: sinh viên lựa chọn tìm các số điện thoại và địa chỉ IP có trong Filesystem Giải thích phương pháp lựa chọn

3 | P a g e

Trang 4

Để thêm lựa chọn tìm số điện thoại và địa chỉ IP có trong FileSystem, tại mục ConfigureIngest Module, trong mục Keyword Search, chúng ta chọn thêm hai trường là IP Address

và Phone Number Vì với phương pháp này, Autopsy sẽ tìm thông tin dựa theo định dạngcủa chúng

Trang 5

Kết quả sau khi quá trình phân tích xong:

Yêu cầu: sinh viên tìm thư mục có nhiều File nhất trong Filesystem.

5 | P a g e

Trang 6

Thực hiện tìm kiếm, ta thấy thư mục Final Day có nhiều file nhất 49948 ( bao gồm file

thông thường + file thư mục) Yêu cầu: Sinh viên chuyển xem các file hình ảnh chứa trong

Filesystem bằng chế độ view Thumbnail Sinh viên tìm số lượng các files dạng doc và pdf

chứa trong Filesystem.

Trong thư mục View | Images.

Trong màn hình Directory Listing, chọn kiểu xem là Thumbnail

Tiếp đó, di chuyển đến kiểu file là document Dưới trường pdf, ta có số lượng file pdf

trong filesystem Số lượng ta tìm được là 1 files

Trang 7

Để xác định số lượng file doc, trên giao diện Autopsy, chọn Tools | Search File By Attributes.

7 | P a g e

Trang 8

Trong trường File Name, chọn kiểu tìm kiếm là “.doc”

Kết quả tìm kiếm:

Trang 9

Số lượng file: 0 files

Yêu cầu: sinh viên ghi nhận các thông tin đã thu thập được liên quan đến số lượng địa chỉ IP, địa chỉ Email, số lượng số điện thoại Nhận xét về lượng thông tin thu thập được

Để thu thập thông tin về số lượng IP, số lượng email và số lượng điện thoại, trong mụckeyword lists, chúng ta sẽ thấy thông tin tương ứng:

9 | P a g e

Trang 10

Số lượng IP: 869

Số lượng Số điện thoại: 5

Số lượng thông tin địa chỉ Email: 237

Trang 11

Autopsy sẽ hiển thị số lượng với mỗi địa chỉ IP Cụ thể hơn, với mỗi địa chỉ IP, mỗi số

điện thoại hay mỗi địa chỉ Email, Autopsy sẽ hiển thị thông tin đó nằm trong những file nào Trong những file đó, nó nằm ở vị trí nào ( những vị trí mà thông tin cần tìm sẽ

được tô vàng )

Nhận xét: Autopsy sử dụng các regular expression để thực hiện trích xuất các thông tin

như địa chỉ IP, mail, số điện thoại trong các file mà nó tìm thấy trong nội dung các file, ( Ví dụ như với địa chỉ IP, nó sẽ tìm kiếm những thông tin có định dạng x.x.x.x) Tuynhiên với cách tìm kiếm như vậy đôi lúc thông tin thu thập sẽ không chính xác ( ví dụphần mềm có phiên bản 1.0.0.0 cũng xem như là một địa chỉ IP) Tuy nhiên với nhữngtính năng này, Autopsy vẫn là một công cụ cực kì hữu ích trong việc tìm kiếm, thu thậpthông tin để phục vụ công tác điều tra, pháp chứng số

Yêu cầu: sinh viên sử dụng nút "Generate Report" để tạo ra báo cáo dạng HTML và Excel, xem nội dung báo cáo trong mục Report Nêu nhận xét, kết luận về nội dung của báo cáo.

Để kết xuất báo cáo, trong giao diện Autopsy, chọn chức năng Generate Report

11 | P a g e

Trang 12

Sau đó chọn từng kiểu báo cáo tương ứng:

Trang 13

13 | P a g e

Trang 14

Thông tin trong phần báo cáo bao gồm: tên case, số thứ tự case, nhân viên pháp chứng, thông tin về file ảnh cùng với những thông tin có liên quan được liệt kê dưới dạng cột

 Với kiểu Excel:

Trang 15

Thông tin trong phần báo cáo bao gồm: tên case, số thứ tự case, nhân viên pháp chứng,thông tin về file ảnh cùng với những thông tin có liên quan được liệt kê dưới dạng cácsheet

Nhận xét: Báo cáo rõ ràng, liệt kê đầy đủ thông tin cần thiết cho việc thu thập thông tin

để cho công tác điều tra, pháp chứng số sau này

3 Sử dụng Autopsy để phân tích nội dung của một disk image có sẵn

Download file image tại:

https://www.dropbox.com/s/qklup1dnjfrnz4v/Autopsy%20image.dd?dl=0

Yêu cầu:

- Hãy tìm tất cả những hình ảnh có trong ổ đĩa đã cho?

- Với mỗi file hình ảnh tìm được, liệt kê tất cả các thông tin liên quan đến file đó:tên file, loại file, size, thời gian tạo, xoá, sửa, MD5, kích thước hình ảnh …

Khởi động Autopsy, tạo mới một case:

15 | P a g e

Trang 17

Kết quả thu thập được:

17 | P a g e

Trang 19

gian tạo Thời gian

6 ICT

06-1010:27:3

2004-6 ICT

75b8d00568815a36c3809b46fc84b

pixels

hình ảnh vì nó có các byte ban đầu trong phần hexa string gần giống với các file jpgtuy nhiên cũng không giống hoàn toàn Tiếp tục xem xét trong phần meta data thì tathấy đây là một dạng octet/stream 0

Unalloc_67_54579

2_10289152

752pixels

pixels

Được nén trongfile zip

19 | P a g e

Trang 20

File9.jpg Image/jpg Không có thông tin c5a6917669c77d20f30ecb39d389e

pixels

File ảnh trong filefile10.tar.gz

pixels

Trang 21

File ảnh bị xóadưới phần mởrộng của một filekhác

2004-06-1010:27:3

6 ICT

06-1010:27:3

2004-6 ICT

de5d83153339931371719f4e5c924

pixels

Đây là một fileảnh nhưng bị đổiđịnh dạng file

2004-06-1010:29:1

8 ICT

06-1010:29:4

2004-5 ICT

9b787e63e3b64562730c5aecaab1e

pixels

Đây là một fileảnh nhưng bị đổiđịnh dạng file

21 | P a g e

Định dạng
Số trang	23
Dung lượng	1,87 MB