Câu hỏi thi cuối khóa Môn Pháp chứng kỹ thuật số Câu 1: [đã xong]Cho biết các nhiệm vụ của pháp chứng viên khi điều tra trên máy tính và cho biết phần mềm Autopsy có tính năng như thế nào khi điều tra nội dung một ổ đĩa.
Trang 1Câu hỏi thi cuối khóa Môn Pháp chứng kỹ thuật số Câu 1: [đã xong] Cho biết các nhiệm vụ của pháp chứng viên khi điều tra
trên máy tính và cho biết phần mềm Autopsy có tính năng như thế nào khi điều tra nội dung một ổ đĩa
=> Trả lời:
Nhiệm vụ của Pháp chứng viên ( bài 3 -slide 10)
● Quản lý và khai thác dữ liệu trên hệ thống máy tính, hiểu biết khai thác các phương pháp lưu trữ thông tin trên máy tính và thiết bị số
● Phân tích các dữ liệu tìm được trên hệ thống máy tính để tìm ra các thông tin chi tiết liên quan như là nguồn gốc, nội dung;
● Đánh giá các thông tin tìm được và tập hợp thành bằng chứng số
● Đưa bằng chứng số trước tòa và bảo vệ các bằng chứng số đó
Các tính năng của Autopsy (bài 3 -slide 47)
● Băm lọc (Hash Filtering ): đánh dấu các tập tin có vấn đề và bỏ qua các tập tin tốt
● Phân tích pháp chứng với File system: cho phép khôi phục các tập tin
từ hầu hết các định dạng phổ biến
● Tìm kiếm theo từ khóa - chỉ mục từ khóa tìm kiếm để tìm các tập tin có
đề cập đến các từ có liên quan
● Khai thác các thông tin sử dụng Web: cho phép trích xuất lịch sử truy cập Web, đánh dấu, tìm cookie từ trình duyệt Firefox, Chrome, và IE
● Đa phương tiện - trích xuất dạng EXIF (Exchangeable image file format) từ các ảnh và video
Trang 2Câu 2: [đã xong] Giải thích các giai đoạn của quy trình điều tra pháp
chứng kỹ thuật số và phân tích các giai đoạn này với tham khảo từ Video điều tra vụ án giết người của cảnh sát Hoa Kỳ
=> Trả lời:
Quy trình điều tra pháp chứng kỹ thuật số (bài 2 thì phải)
Với Pháp chứng viên, một cuộc điều tra pháp chứng kỹ thuật số thường bao
gồm 4 giai đoạn:
● Tập hợp chứng cứ điều tra (Evidence)
○ cảnh sát giao cho pháp chứng viên điện thoại thu giữ tại hiện trường
● Xem xét dữ liệu hay còn gọi là xem xét chứng cứ số (Acquisition),
○ Pháp chứng viên kết nối điện thoại vào máy tính, sử dụng thiết bị chuyên dụng để xem dữ liệu trên máy Sau đó thì phát hiện một đường link khả nghi trong lịch sử web là một trang diễn đàn Vì không có password để truy cập nên tiến hành phá password
● Phân tích chứng cứ (Analysis):
○ Trong diễn đàn phát hiện cuộc hội thoại với một người khả nghi
về việc giải quyết tiền bạc Sau đó tìm thông tin/ vị trí về người
đã nói chuyện với nạn nhân
● Lập báo cáo (Reporting):
○ Pháp chứng viên viết báo cáo và gửi lại cho phía cảnh sát
Câu 3: [Đã xong ] Giải thích lý do tại sao pháp chứng viên cần phải tạo
các đĩa chép (Clone) khi điều tra Giải thích cách sử dụng thiết bị ImageMASSter Solo-3 để sao chép một ổ đĩa (Kian Brian làm rồi)
=> Trả lời: https://www.youtube.com/watch?v=wojaxRX7PVI
Lý do cần tạo các đĩa chép khi điều tra:
Khi một ổ đĩa được đánh giá là có thể chứa các chứng cứ số, pháp chứng viên cần tuần thủ một chuỗi các thủ tục để đảm bảo rằng việc trích xuất các bằng chứng số là hợp pháp và có
Trang 3giá trị Các dữ liệu gốc phải được đảm bảo rằng chưa bị chỉnh sửa kể từ khi bắt đầu điều tra và từ đó pháp chứng viên phải tạo các bản sao từ các dữ liệu gốc đó để tiến hành điều tra Thông thường việc sao chép này diễn ra dưới hình thức các đĩa chép (clone) từ đĩa cứng, đĩa mềm, CD, DVD, USB
[Trường cute version]
Hình ảnh kỹ thuật số là một phần chính của dữ liệu trong nhiều thiết bị kỹ thuật số và trở thành nguồn cung cấp thông tin chính trong kỷ nguyên kỹ thuật số.Trong tội phạm mạng, các hình ảnh kỹ thuật số được trình bày như là bằng chứng trước tòa Tính xác thực của các hình ảnh kỹ thuật số được gửi làm bằng chứng trước tòa là một dấu hỏi lớn; vì những hình ảnh này có thể được thay đổi hoặc sửa đổi Do đó phương pháp nhân bản hoặc phát hiện giả mạo sao chép được sử dụng trong điều tra pháp chứng thiết bị được đưa ra Các tập tin nghi ngờ thu được như bằng chứng của tòa án dùng để phân tích
-Kian Khoa version -
Cách sử dụng thiết bị ImageMASSter Solo-3 để sao chép một ổ đĩa:
- Master solo 3 có thể thu thập dữ liệu từ máy tính hoặc máy tính xách tay chưa mở bằng cách sử dụng các interface FireWire hoặc USB của master solo 3
- Master solo 3 hỗ trợ hình ảnh ổ đĩa từ IDE serial ata (nối tiếp ata) và ổ đĩa cứng scuzzy bao gồm 80 thiết bị trạng thái solid tương thích
- Đầu tiên, đặt thiết bị ImageMASSter Solo-3 lên bề mặt phẳng
- Kiểm tra xem công tắc nguồn của thiết bị đang ở vị trí tắt
- Kết nối AC adapter với đầu nối nguồn của thiết bị
- Kết nối ổ đĩa nghi ngờ vào data cable, đồng thời kết nối ổ đĩa bằng chứng vào data cable
- Sau đó, kết nối các data cable đó vào thiết bi Master solo 3
- Kết nối các dây cáp nguồn ổ đĩa tương ứng vào thiết bị
- Bật nguồn thiết bị, master solo 3 đã sẵn sàng thu thập dữ liệu và tạo thành hai bản sao cùng lúc ở chế độ UD MA
- Màn hình đầu tiên được hiển thị sau khi thiết bị được khởi tạo, nó cung cấp quyền truy cập vào tất cả các chức năng
- Truy cập chế độ Setting sẽ cho phép người dùng chọn các bước tiếp theo
- Chọn Operational mode chứa danh sách các thao tác (như single capture mode, linux DD capture) thực hiện bởi master master solo 3
- Chọn linux DD capture mode sẽ sao chép toàn bộ nội dung của ổ đĩa nghi ngờ vào tệp bằng chứng DD linux với dữ liệu được ghi dưới dạng tệp được phân đoạn được lưu trữ trong thư mục con trên ổ đĩa bằng chứng
- Chọn Run xong chọn Yes
Trang 4-copy Khôi version
- Cố định thiết bị ở một mặt phẳng bằng
- Kiểm tra và chắc chắn rằng công tắc nguồn của thiết bị đang đóng
- Kết nối AC adapter của thiết bị tới cổng nguồn
- Kết nối các data cable vào ổ đĩa của nghi phạm và ổ đĩa bằng chứng (Ổ đĩa bằng chứng là
ổ đĩa copy qua) Sau đó, kết nối các data cable đó vào thiết bị
- Kết nối các dây nguồn tương ứng của từng ổ đĩa vào thiết bị
- Mở nguồn thiết bị lên Thiết bị đã sẵn sàng sao chép dữ liệu
- Sau khi mở, main menu sẽ hiện ra Chọn Single Capture Mode để sao chép toàn bộ dữ liệu từ ổ đĩa của nghi phạm sang ổ đĩa bằng chứng
Câu 4: [ đã xong ] Cho biết thế nào là kỹ thuật giấu dữ liệu và kỹ thuật ẩn
giấu các file dữ liệu Giải thích cách sử dụng phần mềm QuickStego
để giấu thông tin trên ảnh số
=> Trả lời:
Kỹ thuật giấu dữ liệu (bài 4 - slide 12)
● Steganography - việc viết và chuyển tải các thông điệp một cách bí mật, sao cho ngoại trừ người gửi và người nhận, không ai biết đến sự tồn tại của các thông điệp này, là một dạng của bảo mật như là che giấu file chứa dữ liệu
● Trong kỹ thuật ẩn giấu thông thường, thông điệp xuất hiện dưới một dạng khác trong quá trình truyền tải: hình ảnh, bài báo hoặc thông điệp
ẩn có thể được viết bằng mực vô hình giữa các khoảng trống trong một
lá thư bình thường
Kỹ thuật ẩn giấu dữ liệu trong File hình ảnh (bài 4 - slide 18) (thấy klq lắm nhỉ)
Trang 5● Thay đổi các bit dữ liệu của hình ảnh bằng các bit của thông điệp bí mật sao cho mắt thường khó nhận ra sự thay đổi trên hình ảnh chứa thông điệp
● Thuật toán cơ bản nhất là LSB (Least Significant Bit) để ẩn một thông điệp vào một tập tin ảnh bằng cách thay đổi Bit cuối cùng của các giá trị màu RGB trong bức ảnh bằng Bit của thông điệp bí mật
● 1100001
Ẩn giấu các file dữ liệu trên đĩa (bài 4 -slide 24) [thấy này hợp lí nè]
● Dùng phần mềm chia file chứa dữ liệu ra thành các mục nhỏ khác nhau
và giấu mỗi mục ở một file khác nhau
● Những phần đĩa dư do các file không sử dụng hết dung lượng được gọi
là slack space Dùng phần mềm giấu file chứa dữ liệu bằng cách sử dụng slack space
● Kỹ thuật ẩn giấu các file gây khó khăn rất lớn cho việc truy hồi và tập hợp những thông tin bị ẩn giấu
Giấu file trong các file (bài 4 - slide 28) (để thôi chứ không biết lquan không)
● Có thể giấu một file bên trong file khác
● Executable files –là những file máy tính chạy được có thể giấu trong các file khác
● Những chương trình được gọi là packer có thể lồng các executable file vào các file loại khác, trong khi các công cụ binder có thể gắn kết rất nhiều executable file lại với nhau
Phần mềm QuickStego (bài 4 - slide 16) (chắc chưa đủ/đúng đâu)
● Website http://www.quickcrypto.com
● Phần mềm QuickStego cho phép người ta ẩn các văn bản trong hình ảnh như vậy mà chỉ có những người dùng khác của QuickStego có thể lấy và đọc các tin nhắn bí mật ẩn
● Một khi văn bản được giấu trong một hình ảnh hình ảnh lưu vẫn là một
"hình ảnh", nó sẽ tải giống như bất kỳ hình ảnh khác và xuất hiện như
nó đã làm trước
● Các hình ảnh có thể được lưu lại, gửi qua email, tải lên web, như trước đây, sự khác biệt duy nhất là nó có chứa văn bản ẩn
cách sử dụng phần mềm QuickStego để giấu thông tin trên ảnh số
● (1) Mở mô-đun Steganography bằng cách nhấp vào nút 'Stego'
Trang 6● (2) Chọn ‘carrier file’(tệp mang) - tệp âm thanh hoặc hình ảnh
● (3) Nhập văn bản để ẩn hoặc chọn một tệp khác để ẩn trong ‘carrier file’
● (4) Nhấp vào nút 'Hide Data' và văn bản hoặc tệp đã chọn sẽ bị ẩn trong
‘carrier file’ đã chọn
● ‘carrier file’ sau đó có thể được gửi qua email, đăng lên web như bình thường!
Câu 5: [ đã xong ] Giải thích cơ chế hoạt động của Botnet Giải thích việc
sử dụng thiết bị RioRey để phát hiện và ngăn chặn các cuộc tấn công của Botnet
https://www.youtube.com/watch?v=1YiYBoeci7k
=> Trả lời: slide 6
• Là một mạng lớn gồm nhiều máy tính bị lây nhiễm Malware (Zoombie) và được kết
nối tới một Server và chịu sự điều khiển của Server này nhằm phục vụ các tác vụ như Ddos, Spam, ăn cắp thông tin,
• Được thừa hưởng, hội tụ những kỹ thuật tiên tiến như remote control, tự động lây
nhiễm, phân cấp – phân tán quản lý
Đánh vào những lỗ hổng an ninh, những mảng vá cũ hay những server lỗi thời hết hạn, các Bot nằm ẩn mình trong các máy tính của khách hàng – kết nối sẵn với Botmaster, chỉ đợi lệnh và điều khiển từ Bot Master để tiến hành hoạt động của mình Sau khi nhận lệnh từ Hacker, mỗi Bot có một hoạt động riêng tùy theo sự điều khiển từ phía ngoài Nó có thể tấn công theo nhiều cách như là: Tạo Spam, tấn công DdoS, chiếm giữ hệ thống, lừa đảo
ăn cắp Bitcoin Dù cách tấn công như nào thì mục đích cuối cùng của nó cũng chỉ là điều khiển hoạt động của máy tính bị nhiễm, bắt buộc người dùng phải làm theo mệnh lệnh của
nó
Trang 7
Một chương trình chỉ huy botnet (botnet's originator hay bot herder) có thể điều khiển cả nhóm bot từ xa
Giải thích việc sử dụng thiết bị RioRey để phát hiện và ngăn chặn các cuộc tấn công của Botnet
Khi sử dụng RioRey phía trước server của chúng ta, sẽ giúp chống lại các cuộc tấn công Dos và DDos trong khi vẫn phục vụ đối với các hoạt động sử dụng thông thường Mỗi gói dữ liệu qua RioRey sẽ được kiểm tra Nếu gói tin được xác định là xấu, có nguy hại thì sẽ bị loại bỏ trước khi đến với server Nếu gói tin được xác định là bình thường, thì gói tin sẽ được chuyển tới
Server
Câu 6: Giải thích các kỹ thuật phân tích gói tin trong điều tra mạng máy
tính. Cho biết phần mềm WireShark có tính năng như thế nào khi điều tra nội dung một gói tin IP
=> Trả lời: 7-33
Các kỹ thuật phân tích gói tin
Có ba kỹ thuật cơ bản khi tiến hành phân tích gói tin:
● Pattern Matching (theo mô hình): xác định các gói tin liên quan bằng cách kết hợp các giá trị cụ thể trong các gói tin bắt được
Trang 8● Parsing Protocol Fields (phân tích các thành phần giao thức): rút trích
ra nội dung của các giao thức trong các lĩnh vực
● Packet Filtering (lọc gói tin)- lọc các gói riêng biệt dựa trên giá trị của các thành phần trong siêu dữ liệu
Pattern Matching - theo mô hình
● Giống như trong pháp chứng máy tính, các thông tin tìm kiếm nhạy cảm "dirty word search" được dùng để tìm kiếm các dữ liệu quan tâm
● Thiết lập một danh sách các chuỗi nhạy cảm (“dirty word list") như tên,
mô hình, vv, có thể liên quan đến các hoạt động đáng ngờ đang được điều tra
● Các nhà điều tra có thể tận dụng các thông tin chung về một "dirty word list" để xác định các gói dữ liệu hoặc dữ liệu cần quan tâm trong một lưu lượng mạng bắt được
Phân tích các thành phần giao thức
● Phân tích các thành phần giao thức là tìm ra các nội dung công việc trong các gói tin liên quan
● Ví dụ sử dụng tshark để trích xuất tất cả các thông điệp từ gói bắt được Lọc gói tin
● Lọc gói là phương pháp tách gói dựa trên các giá trị của các trường trong giao thức siêu dữ liệu hoặc tải trọng
● Thông thường, các Pháp chứng viên lọc các gói tin bằng cách sử dụng
bộ lọc BPF hoặc bộ lọc hiển thị Wireshark
Phần mềm WireShark
Các giao thực được hỗ trợ bởi WireShark(bài 7 - slide 58)
● WireShark có ưu thế vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ những loại phổ biến như TCP, IP đến những loại đặc biệt như là AppleTalk và Bit Torrent
Trang 9● Wireshark được phát triển trên mô hình mã nguồn mở, những giao thức mới sẽ được cộng đồng của Wireshark thêm vào
Lọc gói tin theo yêu cầu
● Pháp chứng viên có thể lọc các gói tin thu thập được theo các yêu cầu của mình
● Ví dụ:
○ not (tcp.port == 80) and not (tcp.port == 25) and ip.addr == 192.168.1.104
○
○ ip.addr == 192.168.1.104
Xem nội dung gói tin
Màu sắc gói tin
Các gói tin các màu sắc khác nhau như xanh lá cây, xanh da trời và đen , để giúp người dùng phân biệt được các loại traffic khác nhau
Các tính năng của wireshark
● Bắt các gói tin theo thời gian thực trên các NIC
● Mở các file captured của các công cụ bắt gói tin khác như tcpdump/WinDump
● Import các packet từ file text chứa mã hex của dữ liệu các packet
● Hiển thị dữ liệu với các thông tin chi tiết của các giao thức
● Lưu lại các bản tin các bắt được
● Export các packet đã bắt được từ file capture
Câu 7:[chưa xong] Giải thích cơ chế hoạt động của phần mềm Fiddler và
cho biết phần mềm Fiddler có tính năng như thế nào khi điều tra nội dung một Website
=> Trả lời:
Trang 10Cơ chế hoạt động:
Fiddler đứng giữa người dùng và server của các dịch vụ web và hoạt động theo cơ chế Man In The Middle, Fiddler hoạt động như một proxy, nó sẽ bắt các gói tin trao đổi giữa người dùng và server,các Web API Service, bản ghi HTTP và cả HTTPS Ví dụ, khi ta truy cập vào trang web, fiddler sẽ bắt được các gói tin yêu cầu và phản hồi giữa người dùng và server Ngoài ra, fiddler còn hỗ trợ ta kiểm tra các web service qua các giao thức POST, PUT, v.v
Mô hình hoạt động của Fiddler
Tính năng của Fiddler (bài 6 -slide 58)
● Fiddler hoạt động như một proxy cục bộ;
● Fiddler đăng ký như hệ thống proxy trong khi chụp
xem, phân tích và sửa đổi lưu lượng truy cập web từ bất kỳ ứng dụng
● Fiddler hoạt động trên hầu hết các thiết bị (ví dụ Windows Mobile)
● Fiddler cho phép với giao thức HTTPS chặn bắt thông qua các yêu cầu
● Fiddler dễ mở rộng với công nghệ JavaScript hoặc NET