Tài liệu Bài thực hành 1 - điều tra đĩa cứng và usb với phần mềm autopsy

Thực hành môn Pháp chứng kỹ thuật số Bài 1: Thực hành điều tra đĩa cứng và USB với phần mềm Autopsy. (phần mềm mã nguồn mở Sleuth Kit) Mục tiêu: sinh viên hiểu rõ các tính năng của công cụ phần mềm Autopsy khi tiến hành điều tra và tìm kiếm thông tin trong một Filesystem. Thời gian thực hành: 1 buổi Autopsy là một công cụ phần mềm pháp chứng kỹ thuật số với giao diện đồ họa của bộ phần mềm mã nguồn mở Sleuth Kit, Autopsy có thể được sử dụng để điều tra những gì đã xảy ra trên máy tính. Autopsy cho phép phân tích sự kiện theo thời gian, trình bầy các sự kiện truy cập tới File system theo trình tự với giao diện đồ họa. 1. Cài đặt Autopsy Sinh viên sử dụng file autopsy-3.1.1-32bit.msi để cài đặt Autopsy trên Hệ điều hành Windows. File cài đặt Windows sẽ tạo một thư mục để lưu trữ thông tin và đặt tất cả các tập tin cần thiết bên trong của thư mục này. File cài đặt bao gồm tất cả các file liên quan gồm Sleuth Kit và Java. 2. Sử dụng Autopsy để điều tra tìm kiếm thông tin trong một Filesystem Sinh viên khởi động Autopsy để tạo một Case mới, sử dụng lựa chọn "Create New Case" tùy chọn trên màn hình, sinh viên phải cung cấp cho Autopsy với tên của vụ án và thư mục để lưu trữ các kết quả thu thập được. Sinh viên có thể tùy chọn cung cấp số case và các chi tiết khác, khai báo các thông tin phù hợp cho case của mình Sau khi có các thông tin về case, sinh viên vào lựa chọn đối tượng để điều tra thông tin trong đó bao gồm File ISO, Filesystem hoặc File để điều tra dữ liệu lưu trữ. Sau khi lựa chọn xong đối tượng điều tra, sinh viên cần lựa chọn các Module để thực hiện các yêu cầu điều tra, chú ý một số Module sau: Recent Activity tìm kiếm các hoạt động người dùng như lưu bởi các trình duyệt web và hệ điều hành Windows. Hash Lookup sử dụng cơ sở dữ liệu băm để bỏ qua các tập tin được biết từ NIST NSRL và cờ để tìm các tập tin xấu. Sử dụng nút "Advanced" để thêm và cấu hình cơ sở dữ liệu để sử dụng hash trong quá trình này. Keyword Search sử dụng danh sách từ khoá để xác định các tập tin với những từ cụ thể trong đó. Chúng ta có thể chọn danh sách từ khóa để tìm kiếm tự động và tạo danh sách mới bằng cách sử dụng nút "Advanced". Yêu cầu: sinh viên lựa chọn tìm các số điện thoại và địa chỉ IP có trong Filesystem. Giải thích phương pháp lựa chọn. Archive Extractor mở các file có dạng ZIP, RAR, và các định dạng lưu trữ khác và tìm các tập tin từ các tập tin lưu trữ để phân tích thông tin. Exif Parser trích xuất thông tin EXIF từ các tập tin hình ảnh là lưu các kết quả hình ảnh vào cây trong giao diện chính. Sinh viên thực hiện việc xem xét toàn bộ Filesystem, xem xét các lựa chọn nằm ô phía bên trái của màn hình. Data Sources: hiển thị tất cả dữ liệu trong Filesystem trong đó có cấu trúc hệ thống tập tin của hình ảnh đĩa hoặc đĩa cục bộ. Yêu cầu: sinh viên tìm thư mục có nhiều File nhất trong Filesystem. Views: hiện thị các thông tin chi tiết thông tin của các file chứa trong Filesystem Yêu cầu: Sinh viên chuyển xem các file hình ảnh chứa trong Filesystem bằng chế độ view Thumbnail. Sinh viên tìm số lượng các files dạng doc và pdf chứa trong Filesystem. Result: hiển thị và phân loại các thông tin mà các Modules phân tích được trong Filesystem Yêu cầu: sinh viên ghi nhận các thông tin đã thu thập được liên quan đến số lượng địa chỉ IP, địa chỉ Email, số lượng số điện thoại. Nhận xét về lượng thông tin thu thập được. Report: chức năng xem các báo cáo đã được tạo ra trong đó bao gồm kết quả tất cả các phân tích. Yêu cầu: sinh viên sử dụng nút "Generate Report" để tạo ra báo cáo dạng HTML và Excel, xem nội dung báo cáo trong mục Report. Nêu nhận xét, kết luận về nội dung của báo cáo. -------------------------------------------- Họ Và Tên: Trần Hoài Phương MSSV: 1X520XXX Thực hành môn Pháp chứng kỹ thuật số Bài 1: Thực hành điều tra đĩa cứng và USB với phần mềm Autopsy. (phần mềm mã nguồn mở Sleuth Kit) Sinh viên lựa chọn tìm các số điện thoại và địa chỉ IP có trong Filesystem. Giải thích phương pháp lựa chọn. địa chỉ IP có trong Filesystem . Trong đây có 2 địa chỉ IP là : 192.168.1.1 10.0.0.1 Số điện thoại có trong Filesystem.Trong đây có 2 số điện thoại: 090 909 9891 016 093 2233 Sinh viên tìm thư mục có nhiều File nhất trong Filesystem.Trong Filesystem này có nhiều thư mục nhất là 11 thư mục . Sinh viên chuyển xem các file hình ảnh chứa trong Filesystem bằng chế độ view Thumbnail. Trong Thumbnail ta tìm thấy được 1 hình ảnh . Sinh viên tìm số lượng các files dạng doc và pdf chứa trong Filesystem. Ta tìm thấy 2 File pdf Ta tìm thấy 6 File doc. Sinh viên ghi nhận các thông tin đã thu thập được liên quan đến số lượng địa chỉ IP, địa chỉ Email, số lượng số điện thoại. Nhận xét về lượng thông tin thu thập được. Địa chỉ Email tìm được. Số điện thoại tìm được 2 số. Địa chỉ IP tìm được.  Nhận Xét : dựa vào số điện thoại ,địa chỉ IP và Email chúng ta có thể xác định được người cần điều tra , qua đó giúp cho việc điều tra pháp chứng kỷ thuật số trở nên nhanh chóng về dễ dàng tìm ra kết quả. Sinh viên sử dụng nút "Generate Report" để tạo ra báo cáo dạng HTML và Excel, xem nội dung báo cáo trong mục Report. Nêu nhận xét, kết luận về nội dung của báo cáo. Tạo ra báo cáo dạng HTML. Tạo ra báo cáo dạng Excel  Nhận xét Report dạng HTML xem nhanh thông tin của Case Number các thông khác như Email,IP,điện thoại dễ dàng hơn .  Nhận xét Report dạng Excel .Ta thấy thấy được Case Number, Case Number , Number of Images…