Nhóm 12 - Đề Tài 11 - Module -12.Pptx

PowerPoint Presentation Forensics Investigation Using EnCase Module 12 Được thiết kế bởi các nhà điều tra tội phạm mạng Trình bày bởi các Chuyên gia Cầu nối khoảng cách giữa Bảo mật Vật lý và Thông ti[.]

Forensics Investigation

Using EnCase

Module 12

Được thiết kế bởi các nhà điều tra tội phạm mạng Trình bày bởi các Chuyên gia

Cầu nối khoảng cách giữa Bảo mật Vật lý và Thông tin

Hầu hết những người làm công việc bảo mật đều không coi thông tin bảo mật nằm trong phạm vi trách nhiệm của họ, nhưng Joseph Shaw, một nhà điều tra mối đe dọa cấp cao cho MetaNet LLC, nói rằng cần có nhiều sức mạnh tổng hợp giữa hai lĩnh vực này.

Shaw gần đây đã được một công ty thuê để điều tra một khả năng vi phạm an ninh nội bộ Một nhân viên đến sau giờ làm việc để làm công việc hợp pháp, nhưng lại đưa một người không được phép vào, chỉ để giúp anh ta bắt kịp công việc Shaw đã sử dụng nhiều loại thông tin từ các công nghệ bảo mật vật lý, chẳng hạn như video khô khan trong nhật ký kiểm soát truy cập giám sát, cũng như thông tin kỹ thuật số từ máy tính của nghi phạm.

Shaw có thể xác định chính xác thời điểm người đó bước vào tòa nhà, anh ta đã ở đó bao lâu và chính xác anh ta đã làm việc gì Bằng cách

sử dụng phần mềm pháp y mã hóa từ phần mềm hướng dẫn, Shaw có thể xác định cá nhân đang làm gì và trong khi xác định hoạt động của anh ta là hợp pháp, nhân viên vẫn bị chấm dứt hợp đồng vì không tuân theo giao thức Bằng cách tiến hành cuộc điều tra chính thức, công ty

đã tiết kiệm được một khoản tiền đáng kể do không phải thông báo cho khách hàng về vi phạm bảo mật, điều này cũng có thể gây tổn hại đến

uy tín của họ.

S E C U R I T Y N E W S

Một sở cảnh sát ở một thị trấn nhỏ phía nam California nhận được một cuộc gọi báo cáo về một vụ cướp vào ban đêm trong một bãi đậu xe hẻo lánh Nghi phạm lấy ví của nạn nhân khi cô đang lên xe Các nhân viên bắt đầu giám sát bãi đậu xe 48 giờ sau, nghi phạm

cố gắng tấn công một lần nữa và bị bắt Việc bắt giữ anh ta đã tịch thu được một chiếc máy tính

Bằng cách sử dụng EnCase Theo pháp y, các nhà điều tra đã tìm thấy thông tin trong ổ cứng của nghi phạm dẫn đến bằng chứng về một loạt vụ cướp, vi phạm ma túy và vũ khí liên quan đến băng đảng và bằng chứng mới quan trọng liên quan đến một số vụ việc liên quan đến băng đảng trong khu vực Cảnh sát có thể thêm nhiều tội danh vào tội cướp ban đầu, với các bản án dài hơn do luật băng đảng cứng rắn của bang Bằng cách sử dụng thông tin tình báo có thể hành động được thu thập từ ổ cứng, cảnh sát có thể bắt thêm đối tượng với nhiều tội danh vượt xa hành vi giật ví.

• Tổng quan về encase

forensic

• Encase forensics modules

• Cài đặt encase forensic

• Thiết lập các tùy trường hợp tùy chọn

• Xem nội dung tập tin

• Tạo nhiều loại dấu trang khác nhau

• Tạo báo cáo bằng cách sử dụng tab

báo cáo

• Xuất một báo cáo

Nội dung được cấp phép chính thức do

Encase forensic cung cấp cho các nhà điều tra một công cụ

duy nhất có khả năng tiến hành các cuộc điều tra quy mô lớn

và phức tạp từ đầu đến cuối

Cho phép các nhà điều tra thu thập bằng chứng có thể hành

động từ hoạt động internet, phiên trò chuyện, email, tài liệu,

đồ họa, sổ địa chỉ và hơn một trăm định dạng tệp bổ sung

Tiết kiệm thời gian phân tích bằng cách tự động hóa các tác

vụ thường xuyên và phức tạp với các mô-đun chỉ số được xây

nhật ký sự kiện

đĩa đã định dạng, hoán đổi và không gian trùng, tệp ẩn, cuộn

giấy in và hơn thế nữa

Thu thập dữ liệu theo cách thức rõ ràng bằng cách sử dụng

phần mềm

Tìm bằng chứng quan trọng bằng cách sử dụng khả năng tìm kiếm nâng cao để xác định dữ liệu

Lưu giữ dữ liệu ở định dạng tệp bằng chứng với một hồ sơ vượt trội về sự chấp nhận của tòa án

Xuất báo cáo với danh sách tất cả các tệp và thư mục cùng với danh sách chi tiết các URL với ngày và thời gian truy cập

Phát hiện và giải mã các khối lượng được mã hóa bằng cách

sử dụng Bitlocker windows7

Giải mã bất kỳ tệp đính kèm được mã hóa RMS nào vào một email không được mã hóa trong một bước duy nhất

Dễ dàng quản lý khối lượng lớn bằng chứng số

Chuyển trực tiếp hồ sơ chứng cứ cho cơ quan thực thi pháp

Các tùy chọn xem xét cho phép những người không phải điều tra viên, chẳng hạn như luật sư, xem xét bằng chứng một cách

dễ dàng

 EnCase cung cấp nhiều mô-đun phần mềm khác nhau cung cấp các

công cụ điều tra mạnh mẽ cho các nhà điều tra pháp y xử lý

 Các mô-đun này là tiện ích bổ sung cho phần mềm và yêu cầu mua

chứng chỉ từ www.guidancesoftware.com để kích hoạt chúng

 Mô-đun EnCase Forensic:

Mô-đun này cho phép

người dùng miền giải mã

các tệp và thư mục được

mã hóa, bao gồm mã hóa

đĩa, mã hóa ổ đĩa và mã

hóa dựa trên tệp

Mô-đun này cho phép các nhà điều tra gắn bằng chứng máy tính làm ổ đĩa cục bộ để kiểm tra thông qua Windows Explorer

Mô-đun này cho phép các nhà điều tra gắn bằng chứng máy tính dưới dạng ổ đĩa mạng ngoại tuyến, chỉ đọc để kiểm tra thông qua Windows Explorer

Được thiết kế để kiểm

soát việc đọc và ghi vào

ổ đĩa được gắn vào máy

tính thông qua USB,

FireWire, SCSI, IDE và

thẻ điều khiển SATA để

sử dụng để ghi nội dung sau vào CD hoặc DVD:

 Tệp, thư mục và báo cáo từ chương trình mã hóa

 Các tệp bằng chứng hiện có và tệp bằng chứng logic

 Hồ sơ bằng chứng

và bằng chứng lôgic trong quá trình thu nhận

EnCase Forensics

Modules

Yêu cầu phần mềm EnCase

 Khóa bảo mật EnCase

Yêu cầu cụ thể của mô-đun FastBloc SE

 Một trong những thẻ điều khiển IDE sau

• Promise Ultra133 Tx2

• Promise SATA TX2plus

• Promise Ultra100 TX2

• SIIG Ultra ATA/133PCI

• SIIG Ultra ATA 100 PCI RAID

Ổ ghi CD / DVC hỗ trợ AOPEN, PLEXTOR 712A, ASUS 0402P, Sony RU-710A, Memorex DVD double, Toshiba R5372layer 16X w / USB bus và Pioneer DVR-108

Lưu ý: Bộ xử lý Intel itanium không được hỗ trợ FastBloc SE chỉ hỗ trợ giao diện USB với phiên bản 64-bit

 Chèn đĩa CD / DVD mã hóa và đợi tự động khởi động lại

 Trong trình hướng dẫn cài đặt, hãy nhập đường dẫn cài đặt hoặc chấp nhận mặc định, sau đó bấm tiếp theo

 Đọc và chấp nhận thỏa thuận cấp phép EnCase Forensic kèm theo

 Khi quá trình cài đặt kết thúc, màn hình hoàn tất thiết lập sẽ hiển thị, hãy nhấp vào kết thúc

mô-khóa bảo mật của mình

• Giữ tệp chứng chỉ đã nhận trong C: \ProgramFiles\Encase6\ Certs

Cài đặt các mô-đun được hoàn thành thông qua một trong hai cách

 Bạn có thể định cấu hình các khía cạnh khác nhau của Encase theo nhu cầu hoặc sở

thích của mình

 Các cài đặt này được sử dụng mỗi khi bạn khởi động Encase

 Nhấp vào Công cụ -> Tùy chọn

 Trong trình hướng dẫn Tùy chọn, hãy nhấp vào tab mong muốn và thay đổi cài đặt nếu

cần

 Các tab trình hướng dẫn tùy chọn:

• Tab tùy chọn trường hợp chứa các cài đặt áp dụng cho trường hợp đang mở

• Nó hiển thị thông tin về

người kiểm tra, thư mục xuất mặc định, thư mục tạm thời và thư mục chỉ mục

Tab chung của hộp thoại tùy chọn chứa các cài đặt áp dụng cho mọi trường hợp

Đặt tất cả các thông số như định dạng ngày, định dạng thời gian, tự động lưu, v.v

 Thông tin và tùy chọn gỡ lỗi trong tab debug specifiles

 Chọn tùy chọn ghi nhật

ký gỡ lỗi để xác định hành động nào được thực hiện nếu lỗi bao gồm

• Tab màu sắc cho phép bạn kết hợp màu

sắc với các yếu tố trường hợp khác nhau

• Nhấp đúp vào một phần tử được liệt kê

để thay đổi màu

• Tab phông chữ cho phép bạn áp dụng

phông chữ cho các thành phần chữ hoa khác nhau

• Nhấp đúp vào một mục trong danh sách

để mở hộp thoại phông chữ

Enscrip Tab

Sử dụng tab này để chỉ định các tùy

chọn cho các chi tiết cụ thể được sử

dụng bởi các chương trình biên tập

Storage Paths Tab

Tab đường dẫn lưu trữ nắm bắt các đường dẫn cho các tệp được sử dụng bởi mã hóa

 Tệp Ini là tệp văn bản thuần

túy chứa thông tin cấu hình

 EnCase sử dụng các tệp này

để lưu trữ các cài đặt như chữ

ký tệp và từ khóa

 Chia sẻ tệp cấu hình (INI):

Nhấp vào Công cụ -> Tùy chọn và chọn tab đường dẫn lưu trữ Nhấp đúp vào hàng chứa mong muốn tệp INI

Nhập đường dẫn của tệp INI bạn muốn sử dụng và bấm OK Hộp thoại chỉnh sửa đường dẫn đến tệp INI sẽ mở ra<.ini tệp name> chứa

Mã hóa các

thành phần cửa

sổ chính

Thanh menu hệ thống

Thanh công cụ Ngăn cây

Ngăn bộ lọc

Thanh trạng thái

Ngăn bảng Xem ngăn

Tất cả các tính năng của EnCase đều được truy cập từ cửa sổ EnCase chính

 Các lệnh menu tệp thao tác với các tệp ứng dụng và cài đặt ứng dụng

Thanh công cụ

xuất hiện bên

dưới thanh menu

lệnh này bằng c

ách nhấp chuộ

t phải và m

ở

danh mục

Các tùy chọn có sẵn trên thanh công cụ là mới,

mở, lưu, in, thêm thiết bị, tìm kiếm, đăng nhập, đăng xuất, làm mới và

đóng

Quá trình kiểm tra bằng chứng thu được có tính chất chu kỳ và được phản ánh trong mối quan hệ giữa bốn ngăn của giao diện EnCase

EnCase Interface Pane

Table Pane Tree Pane Vies Pane Table Pane

Hiển thị bất kỳ nội dung nào được chọn trong ngăn bảng Dữ liệu này có thể được xem ở nhiều định dạng khác nhau, tùy thuộc vào loại dữ liệu

Cung cấp các công

cụ để lọc bằng chứng, chạy EnScripts và chọn các tùy chọn hiển thị khác

đã chọn trong ngăn cây

Các tệp bằng chứng được chọn cung cấp các công cụ khác để phân tích

Cung cấp các công cụ để tìm kiếm, lọc và tự động hóa phân tích của bạn

Ngăn cây trình bày một chế độ xem có cấu trúc của tất cả bằng chứng thu thập được trong hệ thống phân cấp thư mục giống như cửa sổ

Các tab trong ngăn cây và tab

phụ cho phép bạn tìm thông

tin tập hợp phù hợp để kiểm

tra chi tiết

Nội dung tệp của các thư mục

được hiển thị trong ngăn bảng

khi thư mục chứa chúng được

đánh dấu trong ngăn cây

 Ngăn bảng chứa thông tin về các tệp và mục nhập có trong các đối tượng

bạn đã chọn trong ngăn cây

 Nó chứa sáu tab cung cấp nhiều cách khác nhau để tìm hiểu thêm về dữ liệu

đã chọn

 Nội dung tab bảng được hiển thị trong các hàng và cột

 Bạn có thể thao tác các cột này và tinh chỉnh dữ liệu nào đang được hiển thị theo một số cách

 Các cột trong bảng hiển thị thông tin về dữ liệu / tệp đã chọn như

tên tệp, phần mở rộng tệp, loại tệp, tệp được tạo, kích thước

lôgic, giá trị băm, đường dẫn gốc, v.v.

 Tab báo cáo tạo báo cáo nhanh

cho các tệp hiện đang được hiển thị trong ngăn bảng

 Báo cáo này có thể được xuất

dưới dạng tệp text, rtf hoặc html

để thao tác thêm

 Để xuất, bấm chuột phải vào ngăn

báo cáo và bấm xuất

Table Pane : Gallery Tab

Tab Gallery cho phép bạn

xem các hình ảnh được

chọn trong Tree pane

trong dạng xem hình thu

nhỏ

Hiển thị các tệp dựa trên phần mở rộng tệp của chúng

Bạn có thể điều chỉnh dạng xem của mình trong tab Gallery để hiển thị hình ảnh lớn hơn hoặc nhỏ hơn

C HFI Copyright © by FC Council

All Rights Reserved Reproduction is Strictly Prohibited

1

 Tab Timeline cho phép bạn xem

ngày và giờ sử dụng máy tính bằng

 Mỗi dấu chấm trên dòng thời gian

đại diện cho một tệp và vị trí của dấu

chấm cho biết thời gian tệp đó được

truy cập

Table Pane : Timeline Tab

Table Pane : Disk Tab and Code Tab

Disk Tab hiển thị bản trình bày đồ họa

của phương tiện bạn đang xem và cho

View Pane (Cont'd)

I Các tab View pane hiển thị các biểu diễn khác nhau của các mục được tô sáng trong Table pane

II The View cho phép bạn kiểm tra nội dung của mục Table pane được tô sáng theo nhiều cách khác nhau

Text Tab Hiển thị tệp được tô sáng dưới dạng văn bản ASCII Hex Tab Hiển thị dạng xem phân tách của tệp có giá trị thập phân khô cằn

ở bên trái và ASCII ở bên phải Doc Tab Hiển thị văn bản ở định dạng gốc của nó Transcript Tab Trích xuất văn bản từ tệp chứa nhiều văn bản hơn Picture Tab Hiển thị nội dung của tệp hình ảnh

Report Tab Hiển thị danh sách chi tiết các thuộc tính ở định dạng báo cáo Console Tab Xem trạng thái đầu ra khi chạy chương trình EnScript

View Table Tab

C HFI

Filter Pane

 Filter Pane cho phép bạn lọc

và tinh chỉnh danh sách các mục được hiển thị trong tab Table

 Điều này được thực hiện bằng cách tạo và chạy các bộ lọc, điều kiện và truy vấn

C HFI Copyright © by FC Council

All Rights Reserved Reproduction is Strictly Prohibited

1

EnScrip Tab Hiển thị danh sách EriScripts có sẵn, được tổ chức ở dạng cây

Hits Tab Hiển thị lượt truy cập tìm kiếm hoặc tệp mà không để lại tab Entries của

Tree pane

Filters Tab Hiển thị các bộ lọc có sẵn và cho phép bạn sửa đổi dữ liệu được hiển thị

trong Table pane Conditions Tab Hiển thị các điều kiện sẵn dùng và giới hạn nội dung Table pane

Display Tab Hiển thị các bộ lọc, điều kiện và truy vấn hiện đang chạy

Queries Tab Hiển thị các truy vấn có sẵn và cho phép bạn tạo các truy vấn

Text Styles Tab Cho phép bạn tạo, chỉnh sửa và áp dụng kiểu văn bản cho nội dung trong

View Pane

Filter Pane Tabs

C HFI

 Trong Filter pane, hãy nhấp vào tab Fiilters

 Di chuột phải vào biểu tượng Filters trong vùng nội dung và nhấp vào New

 Trong hộp thoại New Filter, nhập tên mô tả vào trường Filter name

và bấm OK

 Trình chỉnh sửa nguồn hiển thị trong Table pane

 Nhập mã EnScript theo yêu cầu để hoàn thành nhiệm vụ của bạn

 Bộ lọc mới tạo hiển thị ở cuối danh sách bộ lọc

Creating a Filter

 Để tạo một điều kiện mới, hãy bấm chuột phải vào thư mục trong tab Conditions trong Filter pane , sau đó chọn New

 Trong New Condition wizard , bấm vào tab Condition và nhập tên vào Name field

 Bấm chuột phải Vào Main và chọn New

 Trong New Term dialog box, chọn các tham

số của thuộc tính, toán tử, giá trị và sự lựa chọn và bấm OK để lưu điều kiện

Creating Conditions

Khu vực GPS của thanh trạng thái bao gồm tên của trường hợp, tên của thiết bị, tên của âm lượng, đường dẫn đến tệp và tên tệp

C HFI

Overview of Case Structure

 Trường hợp bằng chứng có cấu trúc ba bên bao gồm tệp bằng chứng, tệp tình huống và tệp cấu hình EnCase

 Hồ sơ trường hợp chứa thông tin cụ thể cho một trường hợp bao gồm:

Lưu ý: Bạn phải tạo hồ sơ trước khi có thể xem trước bất kỳ phương tiện hoặc tệp chứng cứ nào

C HFI

 Chương trình có thể mở nhiều hơn một trường hợp tại một thời điểm

 Mỗi trường hợp xuất hiện trong Table pane và được phân tích độc lập với các trường hợp khác

 Cột Devices của bảng cho biết có bao nhiêu thiết bị được liên kết với trường hợp trong cột Name

 Để chuyển phân tích trường hợp từ trường hợp này sang trường hợp khác:

 Bấm View -> Cases Sub-Tabs -> Home

 Chọn trường hợp để phân tích từ Tab Table

Case Management

C HFI

Indexing a Case (Cont'd)

 Lập chỉ mục văn bản cho phép bạn nhanh chóng truy vấn bảng điểm của các mục

 Các mục này chứa các con trỏ chỉ đến xuất hiện trong tập tin

o Mở một trường hợp chứa các tệp bằng chứng

o Chọn các tệp bạn muốn lập chỉ mục cụ thể trong Table pane

o Chọn Took ->Index Case

o Hộp thoại mở ra với tab Options được chọn theo mặc định

o Nếu bạn chỉ muốn lập chỉ mục các tệp đã chọn, hãy chọn Selected Entries Only

o Nếu bạn muốn áp dụng một điều kiện cho các tệp được lập chỉ mục, hãy chọn Conditions

o Chọn các thông số khác theo sự lựa chọn của bạn

o Trong tab Noise file , chọn tệp ngôn ngữ và nhấp vào OK

o Tệp Bằng chứng bắt đầu lập chỉ mục

C HFI

3 4

Indexing a Case

C HFI

Case Backup

 Chọn Tools-> Options -> Global

 Thay đổi số trong Auto Save

Theo mặc định, một bản sao lưu của hồ sơ trường hợp được lưu sau mỗi 10 phút

Backup files(.cbak) được lưu vào C:\Program Files\EnCase\Backup lưu cùng tên với tệp mẹ

Thay đổi thời gian lưu mặc định