CHFI v9 PLAB 1 : Hiểu Về Điều Tra Chứng Cứ Số

Khóa học CHFI v9 https://akademy.edu.vn/course/chuong-trinh-dao-tao-chfi-v9/

Lưu ý : Một số thuật ngữ được chúng tôi chuyển sang tiếng Việt để phù hợp với tất cả mọi người. Tuy nhiên, các bạn nên tham khảo danh sách các thuật ngữ được chuyển đổi này trong phần phụ lục để có thể dễ dàng nắm bắt cũng như thuận tiện trong qua trình thực hành trên giao diện tiếng Anh.

Và qua khóa học này các bạn cũng rèn luyện thêm vốn từ vựng của mình về các thuật ngữ tin học trong lịnh vực điều tra chứng cứ số như :

Source : Nguồn / Destination : Đích

Hiểu nghiệp vụ và điều tra kỹ thuật số

Thực hành Thu thập dữ liệu chứng cứ số USB với ProDiscovery Basic

Tìm hiểu về Digital Forensics trong phòng thí nghiệm Security365 Practice Labs cung cấp cho bạn các hướng dẫn và thiết bị để phát triển tay nghề các kỹ năng trong các chủ đề sau.

• Có được Hình ảnh Phương tiện Bằng chứng : Thu thập dữ liệu chứng cứ số
• Phân tích bằng chứng kỹ thuật số của bạn
• Dự án thực hành 1–1
• Dự án thực hành 1–2
• Dự án thực hành 1–3
• Dự án thực hành 1–4
• Dự án thực hành 1–5
• Dự án thực hành 1–6

Sơ đồ phòng thí nghiệm

Trong phiên của bạn, bạn sẽ có quyền truy cập vào cấu hình lab sau. Tùy thuộc vào các bài tập, bạn có thể sử dụng hoặc không sử dụng tất cả các thiết bị, nhưng chúng được hiển thị ở đây trong bố cục để hiểu tổng thể về cấu trúc liên kết của phòng thí nghiệm.

Kết nối với Phòng thí nghiệm của bạn

Trong mô-đun này, bạn sẽ làm việc trên các thiết bị sau đây để thực hiện các bước được xác định trong mỗi bài tập.

Mỗi bài tập sẽ trình bày chi tiết bạn được yêu cầu sử dụng thiết bị nào để thực hiện các bước.

Để bắt đầu, chỉ cần nhấp vào Máy chủ hoặc Máy trạm đã đặt tên từ danh sách thiết bị (nằm ở bên trái màn hình) và nhấp vào biểu tượng Bật nguồn từ thanh công cụ. Trong một số trường hợp, thiết bị có thể tự động bật nguồn.

Trong quá trình khởi động, một chỉ báo hoạt động sẽ được hiển thị trong tab tên thiết bị:

• Đen — Đã tắt nguồn
• Blue — Làm việc theo yêu cầu của bạn
• Màu xanh lá cây — Sẵn sàng truy cập

Nếu thiết bị đầu cuối từ xa không được hiển thị tự động trong cửa sổ chính (hoặc cửa sổ bật lên), hãy nhấp vào biểu tượng Kết nối nằm trong thanh công cụ để bắt đầu phiên của bạn.

Nếu bảng điều khiển từ xa không xuất hiện, vui lòng thử tùy chọn sau:

Bài tập 1 — Thu thập Hình ảnh Phương tiện Bằng chứng

Sau khi bạn truy xuất và bảo mật bằng chứng, bạn đã sẵn sàng sao chép phương tiện bằng chứng và phân tích dữ liệu. Quy tắc đầu tiên của pháp y kỹ thuật số là bảo tồn bằng chứng ban đầu. Sau đó, chỉ tiến hành phân tích trên bản sao dữ liệu — hình ảnh của phương tiện gốc. Một số nhà cung cấp cung cấp các công cụ thu thập chứng cứ số trên MS-DOS, Linux và Windows. Tuy nhiên, các công cụ Windows yêu cầu thiết bị chặn ghi (được thảo luận trong Chương 3) khi lấy dữ liệu từ hệ thống tệp FAT hoặc NTFS.

Nhiệm vụ 1 — Sử dụng ProDiscover Basic để lấy ảnh ổ đĩa

Để bắt đầu sử dụng ProDiscover để lấy hình ảnh đĩa, hãy làm theo các bước sau:

Bước 1

Đảm bảo rằng bạn đã bật nguồn cho thiết bị cần thiết được chỉ ra trong phần Giới thiệu của phòng thí nghiệm này.

Kết nối với thiết bị PLABWIN810 .

Khi đã đăng nhập, hãy nhấp vào biểu tượng File Explorer trên thanh tác vụ.

Bước 2

Điều hướng đến vị trí sau:

C:\Work

Thư mục này sẽ được sử dụng để lưu trữ dữ liệu và các tệp liên quan khác mà ProDiscover tạo ra khi thu thập và phân tích bằng chứng. Bạn có thể sử dụng bất kỳ vị trí và tên nào cho thư mục công việc của mình, nhưng bạn sẽ thấy nó được gọi trong các hoạt động là “C: \ Work” hoặc đơn giản là thư mục công việc của bạn

Đóng cửa sổ File Explorer .

Bước 3

Các bước sau đây sẽ chỉ ra cách lấy ảnh của ổ đĩa E được gọi là USB. Xin lưu ý rằng ổ này không phải là ổ USB thực tế mà là ổ cố định trên máy tính.

Việc thu thập hình ảnh có thể được áp dụng các phương tiện khác, chẳng hạn như ổ đĩa cố định và lưu trữ cổng thông tin như ổ đĩa flash USB. : Trên ổ USB, tìm công tắc chống ghi (nếu có) và đặt ổ ở chế độ chống ghi. Sau đó, kết nối ổ USB với máy tính của bạn. (Hầu hết các ổ flash USB hiện tại không có công tắc chặn ghi; đối với hoạt động này, người ta cho rằng ổ flash USB đã được bảo vệ chống ghi.) Hoạt động này nhằm giới thiệu cho bạn công cụ ProDiscover Basic. Các thủ tục pháp y thích hợp yêu cầu bảo vệ bằng văn bản bất kỳ phương tiện bằng chứng nào để đảm bảo rằng nó không bị thay đổi.

Bước 4

Khởi động ProDiscover Basic với quyền Quản trị . Để mở ProDiscover Basic với quyền Quản trị, nhấp chuột phải vào lối tắt trên màn hình và chọn Chạy với tư cách Quản trị viên . Bạn sẽ cần nhấn Có trên hộp Kiểm soát Tài khoản Người dùng.

Bước 5

Nếu hộp thoại khởi chạy ProDiscover mở ra, hãy nhấp vào Hủy .

Bước 6

Trong cửa sổ chính, nhấp vào menu Hành động , nhấp vào Chụp ảnh .

Bước 7

Bước 8

Nhập tên cho hình ảnh bạn đang tạo, chẳng hạn như:

InChp-prac

Nhấp vào Lưu để lưu tệp.

Bước 9

Quay lại hộp thoại Chụp ảnh , nhập tên của bạn vào hộp văn bản Tên kỹ thuật viên .

Trong hộp văn bản Số Hình ảnh , hãy nhập:

InChp-prac01

Bấm OK .

Bước 10

Sau đó, ProDiscover Basic thu được hình ảnh của ổ đĩa đích như bạn có thể thấy từ trạng thái của ổ đĩa đang chụp ở cuối cửa sổ.

Vui lòng đợi vì quá trình này sẽ mất vài giây.

Bước 11

Khi hoàn tất, nó sẽ hiển thị thông báo để kiểm tra tệp nhật ký được tạo trong quá trình chuyển đổi. Tệp nhật ký này chứa thông tin bổ sung nếu gặp lỗi trong quá trình thu thập dữ liệu. ProDiscover cũng tạo tệp đầu ra băm MD5. Trong Chương 3 và 4, bạn học cách sử dụng MD5 để phân tích pháp y số và xác thực bằng chứng.

Khi ProDiscover kết thúc, bấm OK trong hộp thông báo hoàn thành.

Bước 12

Nhấp vào Tệp , chọn Thoát từ menu để thoát khỏi ProDiscover.

Hoạt động này hoàn thành việc thu thập dữ liệu pháp y đầu tiên của bạn. Tiếp theo, bạn học cách xác định vị trí dữ liệu trong chuyển đổi.

Giữ cho thiết bị được bật nguồn ở trạng thái hiện tại và tiến hành bài tập tiếp theo.

Bài tập 2 — Phân tích bằng chứng kỹ thuật số của bạn

Khi bạn phân tích bằng chứng kỹ thuật số, công việc của bạn là khôi phục dữ liệu. Nếu người dùng đã xóa hoặc ghi đè các tệp trên đĩa, thì đĩa đó sẽ chứa các tệp đã xóa và các đoạn tệp ngoài các tệp hiện có. Hãy nhớ rằng khi các tệp bị xóa, không gian mà chúng chiếm sẽ trở thành không gian trống — nghĩa là nó có thể được sử dụng cho các tệp mới được lưu hoặc các tệp mở rộng khi dữ liệu được thêm vào chúng.

Các tệp đã bị xóa vẫn còn trên đĩa cho đến khi một tệp mới được lưu vào cùng một vị trí thực, ghi đè lên tệp gốc. Trong thời gian chờ đợi, những tệp đó vẫn có thể được truy xuất. Các công cụ pháp y như ProDiscover Basic có thể truy xuất các tệp đã xóa để sử dụng làm bằng chứng.

Để hiểu rõ hơn về công nghệ này, vui lòng tham khảo tài liệu khóa học của bạn hoặc sử dụng công cụ tìm kiếm ưa thích của bạn để nghiên cứu chủ đề này chi tiết hơn.

Nhiệm vụ 1 — Sử dụng ProDiscovery để phân tích bằng chứng

Trong các bước sau, bạn phân tích ổ đĩa của George Montgomery. Nhiệm vụ đầu tiên là tải hình ảnh có được vào ProDiscover Basic bằng cách làm theo các bước sau:

Bước 1

Trên thiết bị PLABWIN810 , khởi động ProDiscover Basic 64 như bạn đã làm trong hoạt động trước đó.

Bước 2

Nhấp vào Hủy trên hộp thoại Khởi chạy ProDiscover.

Bước 3

Để tạo một trường hợp hay tình huống mới, hãy nhấp vào Tệp , Dự án Mới từ menu.

Bước 4

InChp01

Bấm OK .

Bước 5

Trong chế độ xem dạng cây của cửa sổ chính, bấm để mở rộng mục Thêm , rồi bấm Tệp Hình ảnh .

Bước 6

Nhấp vào Mở .

Bước 7

Bấm Có trong hộp thông báo Tự động Kiểm tra Hình ảnh, nếu cần.

Nhiệm vụ tiếp theo là hiển thị nội dung của dữ liệu thu được.

Trong chế độ xem dạng cây, hãy nhấp để mở rộng Chế độ xem nội dung , nếu cần.

Nhấp để mở rộng Hình ảnh và nhấp vào đường dẫn tên tệp hình ảnh C: \ Work \ Chap01 \ Chapter \ InChp01-doing.eve .

Bước 8

Tiếp theo, bấm vào dấu + ở phía trước tên đường dẫn tệp hình ảnh, sau đó bấm Tất cả các tệp bên dưới đường dẫn tên tệp hình ảnh.

Bước 9

Khi hộp thoại ProDiscover — CAUTION mở ra, hãy bấm Có .

Bước 10

Sau đó, tệp InChp01-doing.eve được tải trong cửa sổ chính.

Bước 11

Trong ngăn phía trên bên phải (vùng làm việc), bấm vào tệp tracking.log để xem nội dung của nó trong vùng dữ liệu.

Bước 12

Trong vùng dữ liệu, bạn sẽ thấy nội dung của tệp tracking.log . Tiếp tục điều hướng qua các khu vực làm việc và dữ liệu và kiểm tra nội dung của bằng chứng đã thu hồi.

Để ProDiscover Basic chạy cho hoạt động tiếp theo.

Giữ cửa sổ ProDiscover Basic — InChp01 mở.

Giữ cho thiết bị được bật nguồn ở trạng thái hiện tại và tiến hành tác vụ tiếp theo.

Nhiệm vụ 2 — Phân tích dữ liệu

Bước tiếp theo là phân tích dữ liệu và tìm kiếm thông tin liên quan đến khiếu nại. Phân tích dữ liệu có thể là công việc tốn nhiều thời gian nhất, ngay cả khi bạn biết chính xác những gì cần tìm trong bằng chứng. Phương pháp để xác định vị trí tạo tác bằng chứng là tìm kiếm các giá trị dữ liệu cụ thể đã biết. Giá trị dữ liệu có thể là các từ duy nhất hoặc các ký tự không in được, chẳng hạn như mã thập lục phân. Ngoài ra còn có các mã ký tự có thể in được không thể tạo từ bàn phím, chẳng hạn như các ký hiệu bản quyền (ª) hoặc nhãn hiệu đã đăng ký (TM). Nhiều chương trình pháp y kỹ thuật số có thể tìm kiếm các chuỗi ký tự (chữ cái và số) và các giá trị thập lục phân, chẳng hạn như A9 cho biểu tượng bản quyền hoặc AE cho biểu tượng nhãn hiệu đã đăng ký. Tất cả các giá trị dữ liệu có thể tìm kiếm này được gọi là “từ khóa”. Với ProDiscover Basic, bạn có thể tìm kiếm các từ khóa quan tâm trong trường hợp.

Bước 1

Trên thiết bị PLABWIN810 , cửa sổ ProDiscover Basic — InChp-01 đang mở.

Đảm bảo rằng Chế độ xem nội dung> Hình ảnh> C: \ Work \ Data files \ Ch01 \ Inchp-Practice.eve sau đó nút Tất cả tệp được chọn.

Trong chế độ xem dạng cây, hãy nhấp vào Tìm kiếm .

Bước 2

Trong hộp thoại Tìm kiếm , bấm vào tab Tìm kiếm nội dung , nếu cần.

Bước 3

Tiếp theo, trong hộp văn bản bên dưới nút tùy chọn Tìm kiếm (các) mẫu , hãy nhập:

plabwin810

: Bạn có thể liệt kê các từ khóa riêng biệt hoặc kết hợp các từ với các toán tử logic Boolean AND, OR và NOT. Tìm kiếm một từ khóa phổ biến tạo ra quá nhiều lượt truy cập và khiến việc tìm kiếm bằng chứng quan tâm đến trường hợp trở nên khó khăn. Áp dụng logic Boolean có thể giúp giảm số lần truy cập quá mức không liên quan, được gọi là “lần truy cập dương tính giả.

Bước 4

Bước 5

Vui lòng đợi trong khi ProDiscover Basic chạy tìm kiếm.

Quá trình này sẽ mất vài giây.

Bước 6

Khi kết thúc tìm kiếm, ProDiscover hiển thị kết quả trong ngăn kết quả tìm kiếm trong vùng làm việc. Lưu ý các tab có nhãn Tìm kiếm 1 .

Đối với mỗi tìm kiếm bạn thực hiện trong một trường hợp, ProDiscover thêm một tab mới để giúp lập danh mục các tìm kiếm của bạn.

Theo dõi nhấp chuột .

Lưu ý rằng tệp tracking.log được tìm thấy chứa chuỗi ‘ plabwin810 .’

Bước 7

Nhấp vào nút Kết quả Tìm kiếm Nội dung trong ngăn kết quả tìm kiếm và kiểm tra nội dung của nó trong vùng dữ liệu.

Giữ cửa sổ ProDiscover Basic luôn mở.

Giữ cho thiết bị được bật nguồn ở trạng thái hiện tại và tiến hành tác vụ tiếp theo.

Nhiệm vụ 3 — Tạo báo cáo

Bạn cũng có thể chọn các mục cụ thể và thêm chúng vào báo cáo. Ví dụ, để chọn một tệp trong vùng làm việc, hãy bấm vào hộp kiểm trong cột Chọn bên cạnh tệp để mở hộp thoại Thêm Nhận xét. Nhập mô tả và bấm OK. Nhận xét mô tả sau đó được thêm vào báo cáo ProDiscover Basic.

Để tạo báo cáo trong ProDiscover Basic, hãy thực hiện các bước sau:

Bước 1

Trên thiết bị PLABWIN810 , cửa sổ ProDiscover Basic — InChp01-Practice đang mở.

Trong chế độ xem dạng cây, hãy nhấp vào Báo cáo . Sau đó, báo cáo được hiển thị trong ngăn bên phải.

Bước 2

Để in báo cáo, hãy nhấp vào Tệp , In Báo cáo từ menu.

Bước 3

Vì không có máy in vật lý nào được cài đặt trên thiết bị phòng thí nghiệm, bạn sẽ chọn in báo cáo bằng Microsoft XPS Document Writer.

Trong hộp thoại In , bấm OK .

Bước 4

Trên hộp thoại Lưu Dưới dạng Đầu ra In dưới dạng , bấm vào hộp Tên tệp và nhập:

Ch01-Report

Nhấp vào Lưu .

Bước 5

Thu nhỏ ProDiscover Basic — Cửa sổ InCh01-Practice .

Bước 6

Bấm chuột phải vào Bắt đầu quyến rũ rồi trên menu lối tắt, bấm Chạy .

Bước 7

Bạn sẽ khởi chạy Chính sách bảo mật cục bộ và đặt chính sách cho phép Quản trị viên mở trình đọc XPS gốc trong Windows 8.1.

Trên hộp thoại Chạy , nhập:

secpol.msc

Nhấn Enter .

Bước 8

Trên ngăn chi tiết ở bên phải, cuộn xuống và tìm Kiểm soát Tài khoản Người dùng: Chế độ Phê duyệt Quản trị viên cho tài khoản Quản trị viên Tích hợp .

Bước 9

Bước 10

Bấm OK .

Bước 11

Đóng cửa sổ Chính sách bảo mật cục bộ .

Bước 12

Nhấp chuột phải vào Bắt đầu quyến rũ và chọn Chạy .

Bước 13

Trên hộp thoại Chạy , nhập:

shutdown /r /t 0

Nhấn Enter .

Bắt buộc phải khởi động lại để chính sách này áp dụng cho máy tính cục bộ.

Bước 14

Vui lòng đợi trong khi PLABWIN810 được khởi động lại.

Giữ cho thiết bị được bật nguồn ở trạng thái hiện tại và tiến hành tác vụ tiếp theo.

Nhiệm vụ 4 — Xem Báo cáo

Để đọc báo cáo được tạo từ ProDiscover Basic, hãy làm theo các bước sau:

Bước 1

Kết nối lại với thiết bị PLABWIN810 1 phút sau khi khởi động lại.

Khi đã đăng nhập, hãy nhấp vào biểu tượng File Explorer trên thanh tác vụ.

Bước 2

Trên ngăn chi tiết ở bên phải, bấm đúp vào Ch01-Báo cáo .

Bước 3

Trình đọc XPS gốc của Windows 8.1 sẽ mở báo cáo.

Di chuột trên đầu màn hình cho đến khi bạn nhìn thấy thanh tiêu đề.

Nhấp vào nút [X] để thoát khỏi ứng dụng khi xem xong nội dung của báo cáo.

Giữ cho thiết bị được bật nguồn ở trạng thái hiện tại và tiến hành tác vụ tiếp theo.

Nhiệm vụ 5 — Xuất Báo cáo

Nếu báo cáo cần được lưu vào một tệp, bạn sử dụng tính năng Xuất của ProDiscover Basic và chọn RTF hoặc plaintext cho định dạng tệp. Để xuất báo cáo thành tệp, hãy làm như sau:

Bước 1

Trên thiết bị PLABWIN810 , khởi chạy ứng dụng ProDiscover Basic 64 từ máy tính để bàn.

Bước 2

Nhấp vào Hủy trên cửa sổ Hộp thoại Khởi chạy

Nhấp vào Tệp và chọn Mở Dự án .

Bước 3

Ở phần dưới bên phải, tìm danh sách thả xuống và chọn Tất cả tệp (*. *).

Từ danh sách các tệp, chọn tệp InChp01-Practice và nhấp vào Mở .

Bước 4

Khi dự án đang mở, bạn cần thêm các hình ảnh một lần nữa.

Nhấp vào Tệp và chọn Mở Hình ảnh .

Bước 5

Trên hộp thoại Mở , xác minh rằng bạn đang ở trong đường dẫn thư mục này: Đĩa cục bộ (C :)> Công việc> Tệp dữ liệu> Ch01 .

Chọn InChp-Practice.eve và nhấp vào Mở .

Bước 6

Sau khi mở hình ảnh, trong chế độ xem dạng cây, hãy nhấp vào Báo cáo .

Bước 7

Nhấp vào Hành động , Xuất từ menu.

Bước 8

Bước 9

Trên hộp thoại Lưu dưới dạng , trong hộp văn bản Tên tệp, loại:

InChp01

Nhấp vào Lưu .

Bước 10

Quay lại hộp thoại Xuất , bấm OK .

Bước 11

Nhấp đúp vào tệp RTF InChp01

Bước 12

Trên hộp thoại Chào mừng đến với OpenOffice 4.1.2 , bấm Tiếp theo .

Bước 13

Trên trang Cung cấp tên đầy đủ và tên viết tắt của bạn bên dưới , hãy để trống các trường và nhấp vào Hoàn tất .

Bước 14

Xem lại báo cáo, đóng ứng dụng OpenOffice Writer khi hoàn tất.

Hoạt động này hoàn thành phân tích của bạn về ổ USB. Trong phần tiếp theo, bạn học cách hoàn thành trường hợp. Trong các chương sau, bạn học cách áp dụng nhiều kỹ thuật tìm kiếm và phân tích hơn.

Giữ cho thiết bị được bật nguồn ở trạng thái hiện tại và tiến hành tác vụ tiếp theo.

Dự án thực hành 1–1

Trong các dự án thực hành tiếp theo, hãy tiếp tục làm việc trên máy trạm PLABWIN810 . Nếu cần, hãy tham khảo hướng dẫn trong chương này và hướng dẫn sử dụng ProDiscover, trong C: \ ProgramFiles (x86) \ Technology Pathways \ ProDiscover theo mặc định.

Vụ án trong dự án này liên quan đến một cái chết đáng ngờ. Joshua Zarkan đã tìm thấy xác chết của bạn gái mình trong căn hộ của cô ấy và trình báo. Nhân viên thực thi pháp luật phản ứng đầu tiên đã thu giữ một ổ USB. Một kỹ thuật viên chứng cứ hiện trường vụ án có kỹ năng thu thập dữ liệu đã tạo hình ảnh ổ USB bằng ProDiscover và đặt tên là daylightTest . đêm trước . Sau khi mua lại, kỹ thuật viên đã vận chuyển và bảo mật ổ USB và đặt nó vào một tủ đựng vật chứng an toàn tại đồn cảnh sát. Bạn đã nhận được tệp hình ảnh từ thám tử được chỉ định cho vụ án này. Anh ta hướng dẫn bạn kiểm tra nó và xác định bất kỳ hiện vật chứng cứ nào có thể liên quan đến trường hợp này.

Trong khi xem xét thực hành này, nếu bạn nhận được bất kỳ tài liệu tham khảo nào về thư mục công việc, điều này đề cập đến c: \ Work \ Data files \ Ch01.

Để xử lý trường hợp này, hãy làm theo các bước sau để đánh giá hình ảnh của ổ USB:

Bước 1

Khởi động ProDiscover Basic .

Bước 2

Trong hộp thoại Khởi chạy Hộp thoại, bấm vào tab Dự án Mới , nếu cần.

Nhập số dự án. Nếu công ty của bạn không có sơ đồ đánh số tiêu chuẩn, bạn có thể sử dụng ngày theo sau là số đại diện cho trường hợp của ngày hôm đó theo thứ tự, chẳng hạn như 20150124 01.

Bước 3

Nhập C1Prj01 làm tên dự án, nhập mô tả ngắn gọn về trường hợp, sau đó bấm Mở .

Bước 4

Bước 5

Nếu hộp thông báo Kiểm tra Hình ảnh Tự động mở ra, hãy bấm Có .

Bước 6

Trong chế độ xem dạng cây, hãy nhấp để mở rộng Chế độ xem nội dung .

Bấm để mở rộng Hình ảnh , sau đó bấm vào tên đường dẫn chứa tệp hình ảnh. Trong khu vực làm việc, hãy để ý các tệp được liệt kê.

Bước 7

Bước 8

Nếu bạn quyết định xuất tệp, hãy bấm chuột phải vào tệp và bấm Sao chép tệp . (Lưu ý: Tạo một thư mục riêng để xuất là một ý tưởng hay để giữ cho các tệp của bạn có tổ chức.)

Trong hộp thoại Lưu dưới dạng mở ra, điều hướng đến vị trí bạn muốn lưu tệp, sau đó bấm Lưu .

Bước 9

Bạn cần xuất bất kỳ tệp nào trong hình ảnh này và đưa chúng cho người điều tra. Ngoài ra, hãy viết một báo cáo ngắn gọn (không quá hai đoạn văn) bao gồm bất kỳ sự kiện nào từ nội dung của dữ liệu được phục hồi. Trong ProDiscover Basic, bạn phải thoát khỏi chương trình trước khi bắt đầu một trường hợp mới.

Dự án thực hành 1–2

Trong các dự án thực hành tiếp theo, hãy tiếp tục làm việc trên máy trạm PLABWIN810 .

Trong dự án này, bạn làm việc cho một công ty bảo mật CNTT của một tập đoàn lớn. Nhiệm vụ của bạn bao gồm thực hiện điều tra máy tính nội bộ và kiểm tra pháp y trên hệ thống máy tính của công ty. Bà Jones, một phụ tá của Bộ luật pháp yêu cầu bạn kiểm tra ổ USB của một nhân viên đã rời công ty và hiện đang làm việc cho một đối thủ cạnh tranh. Bộ luật lo ngại rằng nhân viên cũ có thể sở hữu dữ liệu nhạy cảm của công ty. Cô Jones muốn biết liệu ổ USB có chứa thứ gì đáng kể hay không.

Ngoài ra, cô ấy thông báo cho bạn rằng nhân viên cũ có thể đã truy cập vào tài liệu bí mật vì một đồng nghiệp đã nhìn thấy anh ta truy cập vào máy tính của người quản lý vào ngày làm việc cuối cùng. Các tài liệu bí mật này bao gồm 24 tệp với văn bản là “ đoạn “. Cô ấy muốn bạn xác định bất kỳ lần xuất hiện nào của các tệp này trên hình ảnh luồng bit của ổ USB.

Để xử lý trường hợp này, bạn sẽ sử dụng tệp có tên là tệp FATSearchTestImage.eve trên máy trạm phòng thí nghiệm của mình, sau đó làm theo các bước sau:

Bước 1

Khởi động ProDiscover Basic. Trong tab Dự án Mới , nhập số dự án, tên dự án C1Prj02 và mô tả dự án, sau đó bấm Mở. Bạn nên có thói quen lưu dự án ngay lập tức, vì vậy hãy nhấp vào Tệp, Lưu Dự án từ menu và lưu tệp trong thư mục công việc C: \ Work \ Data files \ Ch01 \.

Bước 2

Nếu hộp thông báo Kiểm tra Hình ảnh Tự động mở ra, hãy bấm Có .

Bước 3

Trong chế độ xem dạng cây, hãy nhấp để mở rộng Chế độ xem nội dung , nếu cần.

Bấm để mở rộng Hình ảnh , sau đó bấm vào tên đường dẫn chứa tệp hình ảnh. Trong khu vực làm việc, hãy kiểm tra các tệp được liệt kê.

Bước 4

Bước 5

Nhập phân đoạn vào hộp danh sách cho các từ khóa tìm kiếm.

Trong Chọn (các) Đĩa / (các) Hình ảnh bạn muốn tìm kiếm , hãy bấm vào ổ đĩa bạn đang tìm kiếm rồi bấm OK .

Bước 6

Trong chế độ xem dạng cây, hãy bấm để mở rộng Kết quả tìm kiếm, nếu cần, rồi bấm Kết quả tìm kiếm nội dung để chỉ định loại tìm kiếm. Ảnh chụp màn hình bên dưới hiển thị ngăn kết quả tìm kiếm.

Bước 7

Bước 8

Trong chế độ xem dạng cây, bấm Kết quả Tìm kiếm Cụm và xem ngăn kết quả tìm kiếm. Hãy nhớ lưu dự án của bạn và thoát khỏi ProDiscover Basic trước khi bắt đầu trường hợp tiếp theo.

Khi bạn hoàn tất, hãy viết một bản ghi nhớ cho cô Jones với thông tin sau: tên tệp mà bạn đã tìm thấy lần truy cập cho từ khóa và nếu lần truy cập xảy ra trong không gian chưa được phân bổ, số cụm.

Đóng ứng dụng ProDiscover Basic .

Dự án thực hành 1–3

Trong các dự án thực hành tiếp theo, hãy tiếp tục làm việc trên máy trạm PLABWIN810 .

Cô Jones thông báo cho bạn rằng nhân viên cũ đã sử dụng thêm một ổ đĩa. Cô ấy yêu cầu bạn kiểm tra ổ đĩa mới này để xác định xem nó có chứa số tài khoản mà nhân viên có thể có quyền truy cập hay không. Từ khóa 1cro thuộc về phó chủ tịch cấp cao và được sử dụng để truy cập dịch vụ ngân hàng của công ty qua Internet.

Bước 1

Khởi động ProDiscover Basic .

Trong tab Dự án Mới, nhập số dự án, tên dự án C1Prj03 và mô tả ngắn gọn, sau đó bấm Mở .

Lưu dự án trong thư mục công việc của bạn bằng cách nhấp vào Tệp , Lưu Dự án từ menu.

Bước 2

Bấm Có trong hộp thông báo Tự động Kiểm tra Hình ảnh, nếu cần.

Bước 3

Để hỗ trợ điều tra của bạn, bạn có thể muốn xem các tệp đồ họa trên ổ đĩa. Để thực hiện việc này, hãy bấm để mở rộng Chế độ xem nội dung trong chế độ xem dạng cây, bấm để mở rộng Hình ảnh , sau đó bấm vào tên đường dẫn chứa tệp hình ảnh.

Bước 4

Bấm vào menu View và chọn Gallery View .

Cuộn qua các tệp đồ họa trên hình ảnh ổ đĩa. Bạn sẽ cần tìm kiếm trong tất cả các thư mục, có thể mất một chút thời gian. Nếu một tệp được quan tâm, hãy nhấp vào hộp kiểm bên cạnh tệp đó trong cột Chọn. Trong hộp thoại Thêm nhận xét mở ra, hãy nhập mô tả và bấm OK . Những ghi chú này được thêm vào báo cáo ProDiscover.

Bước 5

Ổ đĩa này có liên quan đến trường hợp trong Dự án Thực hành 1–2, vì vậy bạn vẫn đang tìm kiếm sự xuất hiện của từ “phân mảnh”. Mở hộp thoại Tìm kiếm và lặp lại các Bước từ 5 đến 8 của Dự án Thực hành 1–2 cho ảnh ổ đĩa này. Khi bạn xem kết quả tìm kiếm, hãy nhấp để chọn bất kỳ tệp nào quan tâm (như được mô tả trong Bước 4), thao tác này sẽ mở ra hộp thoại Thêm nhận xét nơi bạn có thể nhập ghi chú.

Bước 6

Tiếp theo, hãy tìm kiếm từ khóa 1cro mà cô Jones đã đưa cho bạn. Nhấp vào nút trên thanh công cụ Tìm kiếm . Nhấp vào tab Tìm kiếm Nội dung , nếu cần và nhập 1cro làm từ khóa tìm kiếm. Bấm để chọn ổ đĩa bạn đang tìm kiếm, sau đó bấm OK .

Nhấp vào tab Tìm kiếm theo cụm và lặp lại tìm kiếm cho từ khóa. Hãy nhớ chọn bất kỳ tệp nào quan tâm và nhập ghi chú vào hộp thoại Thêm nhận xét. Hãy nhớ rằng văn bản có thể được tìm thấy trong các tệp đồ họa cũng như trong tài liệu. Nếu kết quả tìm kiếm của bạn không có kết quả nào, bạn có thể phải tìm kiếm riêng các tệp đồ họa và hình ảnh để làm bằng chứng.

Bước 7

Khi bạn hoàn tất, hãy nhấp vào Báo cáo trong chế độ xem dạng cây. Cuộn qua báo cáo để đảm bảo rằng tất cả các mục bạn tìm thấy đều được liệt kê.

Bước 8

Tiếp theo, nhấp vào nút Xuất trên thanh công cụ. Trong hộp thoại Xuất , bấm vào nút tùy chọn Định dạng RTF , nhập Ch1Prj03Report vào hộp văn bản Tên Tệp, rồi bấm OK . (Nếu bạn muốn lưu trữ báo cáo trong một thư mục khác, hãy nhấp vào Duyệt qua và điều hướng đến vị trí mới.)

Bước 9

Viết một bản ghi nhớ ngắn để tóm tắt những gì bạn tìm thấy. Lưu dự án và thoát khỏi ProDiscover Basic.

Đóng ProDiscover Basic.

Dự án thực hành 1–4

Trong các dự án thực hành tiếp theo, hãy tiếp tục làm việc trên máy trạm PLABWIN810 .

Đôi khi yêu cầu khám phá từ các công ty luật yêu cầu bạn chỉ khôi phục dữ liệu được cấp phát từ đĩa. Dự án này chỉ cho bạn cách chỉ giải nén các tệp chưa bị xóa khỏi hình ảnh.

Bước 1

Khởi động ProDiscover Basic với tư cách Quản trị viên .

Trong tab Dự án Mới, nhập số dự án, mô tả ngắn gọn và tên dự án C1Prj04 , sau đó bấm Mở .

Bước 2

Bấm Có trong hộp thông báo Tự động Kiểm tra Hình ảnh, nếu cần. Lưu dự án trong thư mục công việc của bạn.

Bước 3

Trong chế độ xem dạng cây, hãy nhấp để mở rộng Chế độ xem nội dung, nếu cần. Nhấp để mở rộng Đĩa> Ổ đĩa vật lý1> E. Lưu ý các tệp được hiển thị trong vùng làm việc.

Bước 4

Nhấp vào tiêu đề cột Đã xóa để sắp xếp tệp thành các nhóm CÓ và KHÔNG (xem ảnh chụp màn hình bên dưới).

Bước 5

Để trích xuất các tệp được phân bổ từ hình ảnh vào thư mục công việc của bạn, hãy nhấp chuột phải vào từng tệp chứa KHÔNG trong cột Đã xóa và nhấp vào Sao chép Tệp .

(Lưu ý rằng trong ProDiscover Basic, không có cách nào để chọn nhiều tệp cùng một lúc. Bạn phải sao chép từng tệp được phân bổ riêng biệt.) Khi bạn hoàn thành, hãy lưu dự án và thoát khỏi ProDiscover Basic.

Dự án thực hành 1–5

Trong các dự án thực hành tiếp theo, hãy tiếp tục làm việc trên máy trạm PLABWIN810 .

Dự án này là sự tiếp nối từ dự án trước đó; bạn sẽ tạo một báo cáo liệt kê tất cả các tệp chưa được phân bổ (đã xóa) mà ProDiscover tìm thấy.

Bước 1

Khởi động ProDiscover Basic với tư cách quản trị viên. Tạo một dự án mới.

Bước 2

Nhập số dự án tùy chỉnh của bạn.

Trong tên tệp dự án, nhập C1Prj04 và bấm OK .

Bấm Có trong hộp thông báo Tự động Kiểm tra Hình ảnh, nếu cần.

Bước 3

Nhấp vào Hành động và chọn Thêm> Đĩa …

Chọn PhysicalDrive1 , nhập tên duy nhất vào hộp văn bản. Nhấp vào Thêm .

Bước 4

Mở rộng Dạng xem Nội dung> Đĩa> PhysicalDrive1 rồi bấm Ổ đĩa E.

Bước 4

Nếu cần, hãy sắp xếp lại các tệp trong vùng làm việc bằng cách bấm vào tiêu đề cột Đã xóa. Bấm vào hộp kiểm trong cột Chọn bên cạnh bất kỳ tệp được phân bổ nào. Khi bạn nhấp vào từng hộp kiểm, hộp thoại Thêm nhận xét sẽ mở ra, nơi bạn có thể nhập mô tả của từng tệp.

Bước 5

Trong hộp văn bản nhận xét của Người điều tra, hãy thêm chú thích rằng tệp nằm trên đĩa và cho biết loại tệp của nó, chẳng hạn như tài liệu Word hoặc tệp hình ảnh (ví dụ: .jpeg hoặc .gif). Đảm bảo nhập nội dung có ý nghĩa bằng cách kiểm tra tệp trước.

Bước 6

Khi bạn hoàn tất, hãy nhấp vào Báo cáo trong chế độ xem dạng cây. Nếu bạn hài lòng, hãy xuất báo cáo bằng cách nhấp vào nút Xuất trên thanh công cụ. Trong hộp thoại Xuất, hãy chọn tùy chọn định dạng bạn muốn, nhập C1Prj05Report vào hộp văn bản Tên tệp, rồi bấm OK. Lưu dự án và thoát khỏi ProDiscover Basic.

Dự án thực hành 1–6

Trong các dự án thực hành tiếp theo, hãy tiếp tục làm việc trên máy trạm PLABWIN810 .

Trong dự án này, một điều tra viên khác yêu cầu bạn kiểm tra hình ảnh và tìm kiếm tất cả các lần xuất hiện của các từ khóa sau:

Bước 1

Khởi động ProDiscover Basic với tư cách quản trị viên. Trong tab Dự án Mới, nhập số dự án, mô tả ngắn gọn và tên dự án, sau đó bấm Mở.

Bước 2

Trong chế độ xem dạng cây, hãy nhấp để mở rộng Thêm và nhấp vào Đĩa .

Chọn PhysicalDrive1, sau đó nhập tên duy nhất vào hộp văn bản rồi bấm Mở .

Bấm Có trong hộp thông báo Tự động Kiểm tra Hình ảnh, nếu cần. Lưu dự án trong thư mục công việc của bạn.

Bước 3

Nhấp vào nút trên thanh công cụ Tìm kiếm . Trong hộp thoại Tìm kiếm, nhập tất cả các từ khóa vào hộp danh sách (đặt mỗi từ khóa trên một dòng riêng biệt), bấm để chọn ổ chứa hình ảnh và bấm OK.

Bước 4

Kiểm tra các tệp trong ngăn kết quả tìm kiếm. Chọn những cái nhìn thú vị và nhập ghi chú vào hộp thoại Thêm nhận xét.

Bước 5

Tạo báo cáo và xuất báo cáo, như đã giải thích trong các dự án trước. Lưu dự án và thoát khỏi ProDiscover Basic.

Tóm lược

• Pháp y kỹ thuật số áp dụng quy trình pháp y cho bằng chứng kỹ thuật số. Quá trình này liên quan đến việc tích lũy và phân tích thông tin số một cách có hệ thống để sử dụng làm bằng chứng trong các vụ án dân sự, hình sự và hành chính. Pháp y kỹ thuật số khác với pháp y mạng và phục hồi dữ liệu ở phạm vi, kỹ thuật và mục tiêu.
• Các luật liên quan đến bằng chứng kỹ thuật số được thiết lập vào những năm 1970.
• Để trở thành một nhà điều tra pháp y kỹ thuật số thành công, bạn phải làm quen với nhiều nền tảng máy tính. Để bổ sung kiến ​​thức của bạn, hãy phát triển và duy trì liên lạc với các chuyên gia máy tính, mạng và điều tra.
• Các nhà điều tra cần các máy trạm chuyên dụng để kiểm tra bằng chứng kỹ thuật số, bao gồm các khoang bổ sung cho ổ đĩa bằng chứng, phần mềm pháp y và trình chặn ghi.
• Các cuộc điều tra khu vực công và khu vực tư nhân khác nhau, ở chỗ các cuộc điều tra khu vực công thường yêu cầu lệnh khám xét trước khi thu giữ bằng chứng kỹ thuật số. Tu chính án thứ tư đối với Hiến pháp Hoa Kỳ và luật tương tự ở các quốc gia khác áp dụng cho việc khám xét và thu giữ của chính phủ. Trong các cuộc điều tra khu vực công, bạn tìm kiếm bằng chứng để hỗ trợ các cáo buộc tội phạm. Trong quá trình điều tra khu vực tư nhân, bạn tìm kiếm bằng chứng để hỗ trợ các cáo buộc vi phạm chính sách, lạm dụng tài sản và trong một số trường hợp là khiếu nại hình sự.
• Các biểu ngữ cảnh báo nên được sử dụng để nhắc nhở nhân viên và khách về chính sách của công ty về việc sử dụng máy tính, e-mail và Internet.
• Các công ty nên xác định và giới hạn số lượng người yêu cầu được ủy quyền có thể bắt đầu điều tra.
• Các nhà điều tra pháp y kỹ thuật số phải duy trì hành vi chuyên nghiệp để bảo vệ uy tín của họ.
• Luôn sử dụng một cách tiếp cận có hệ thống cho các cuộc điều tra của bạn. Thực hiện theo danh sách kiểm tra trong chương này như một hướng dẫn cho trường hợp của bạn.
• Khi lập kế hoạch cho một trường hợp, hãy tính đến bản chất của trường hợp, hướng dẫn từ người yêu cầu, những công cụ và kiến ​​thức chuyên môn bổ sung nào bạn có thể cần và cách bạn thu thập bằng chứng.
• Các vụ án hình sự và vi phạm chính sách của công ty nên được xử lý theo cùng một cách để đảm bảo rằng bằng chứng chất lượng được trình bày. Cả hai vụ án hình sự và vi phạm chính sách của công ty đều có thể ra tòa.
• Khi bạn bắt đầu một vụ án, có thể có những thách thức không lường trước mà không rõ ràng khi áp dụng cách tiếp cận có hệ thống cho kế hoạch điều tra của bạn. Đối với tất cả các cuộc điều tra, bạn cần lên kế hoạch dự phòng cho mọi vấn đề bất ngờ mà bạn có thể gặp phải.
• Bạn nên tạo một biểu mẫu lưu giữ bằng chứng tiêu chuẩn để theo dõi chuỗi lưu giữ bằng chứng cho trường hợp của bạn. Có hai loại biểu mẫu: biểu mẫu nhiều chứng cứ và đơn chứng cứ.
• Các cuộc điều tra lạm dụng Internet yêu cầu kiểm tra dữ liệu nhật ký máy chủ.
• Đối với các trường hợp đặc quyền của luật sư-khách hàng, tất cả các giao tiếp bằng văn bản phải có nhãn tiêu đề cho biết rằng giao tiếp đặc quyền và sản phẩm công việc bí mật.
• Bản sao theo luồng bit là bản sao từng bit của đĩa gốc. Bạn nên sử dụng bản sao, bất cứ khi nào có thể, khi phân tích bằng chứng.
• Luôn ghi nhật ký để ghi lại chính xác những gì bạn đã làm khi xử lý bằng chứng.
• Bạn nên luôn tự phê bình công việc của mình để xác định xem bạn đã thực hiện những cải tiến gì trong mỗi trường hợp, điều gì có thể đã được thực hiện theo cách khác và cách áp dụng những bài học đó cho các trường hợp sau này.

Chúc mừng học viên LTT mới pass CHFI v9 của CEH VIETNAM

Originally published at http://cehvietnam.com on February 14, 2021.