phần mềm mã nguồn mở Sleuth Kit Mục tiêu: sinh viên hiểu rõ các tính năng của công cụ phần mềm Autopsy khi tiến hành điều tra và tìm kiếm thông tin trong một Filesystem.. Sử dụng Autop
Trang 1Thực hành môn Pháp chứng kỹ thuật số Bài 1: Thực hành điều tra đĩa cứng và USB với phần mềm Autopsy
(phần mềm mã nguồn mở Sleuth Kit)
Mục tiêu: sinh viên hiểu rõ các tính năng của công cụ phần mềm Autopsy khi tiến
hành điều tra và tìm kiếm thông tin trong một Filesystem
Thời gian thực hành: 1 buổi
Autopsy là một công cụ phần mềm pháp chứng kỹ thuật số với giao diện đồ họa của
bộ phần mềm mã nguồn mở Sleuth Kit, Autopsy có thể được sử dụng để điều tra những gì đã xảy ra trên máy tính Autopsy cho phép phân tích sự kiện theo thời gian, trình bầy các sự kiện truy cập tới File system theo trình tự với giao diện đồ họa
1 Cài đặt Autopsy
Sinh viên sử dụng file autopsy-3.1.1-32bit.msi để cài đặt Autopsy trên Hệ điều hành
Windows File cài đặt Windows sẽ tạo một thư mục để lưu trữ thông tin và đặt tất cả các tập tin cần thiết bên trong của thư mục này File cài đặt bao gồm tất cả các file liên quan gồm Sleuth Kit và Java
2 Sử dụng Autopsy để điều tra tìm kiếm thông tin trong một Filesystem
Sinh viên khởi động Autopsy để tạo một Case mới, sử dụng lựa chọn "Create New Case" tùy chọn trên màn hình, sinh viên phải cung cấp cho Autopsy với tên của vụ án
và thư mục để lưu trữ các kết quả thu thập được
Sinh viên có thể tùy chọn cung cấp số case và các chi tiết khác, khai báo các thông tin phù hợp cho case của mình
Trang 2Sau khi có các thông tin về case, sinh viên vào lựa chọn đối tượng để điều tra thông tin trong đó bao gồm File ISO, Filesystem hoặc File để điều tra dữ liệu lưu trữ
Sau khi lựa chọn xong đối tượng điều tra, sinh viên cần lựa chọn các Module để thực hiện các yêu cầu điều tra, chú ý một số Module sau:
Trang 3Recent Activity tìm kiếm các hoạt động người dùng như lưu bởi các trình duyệt web
và hệ điều hành Windows
Hash Lookup sử dụng cơ sở dữ liệu băm để bỏ qua các tập tin được biết từ NIST
NSRL và cờ để tìm các tập tin xấu Sử dụng nút "Advanced" để thêm và cấu hình cơ
sở dữ liệu để sử dụng hash trong quá trình này
Keyword Search sử dụng danh sách từ khoá để xác định các tập tin với những từ cụ
thể trong đó Chúng ta có thể chọn danh sách từ khóa để tìm kiếm tự động và tạo danh sách mới bằng cách sử dụng nút "Advanced"
Yêu cầu: sinh viên lựa chọn tìm các số điện thoại và địa chỉ IP có trong Filesystem Giải thích phương pháp lựa chọn
Archive Extractor mở các file có dạng ZIP, RAR, và các định dạng lưu trữ khác và
tìm các tập tin từ các tập tin lưu trữ để phân tích thông tin
Trang 4Exif Parser trích xuất thông tin EXIF từ các tập tin hình ảnh là lưu các kết quả hình
ảnh vào cây trong giao diện chính
Sinh viên thực hiện việc xem xét toàn bộ Filesystem, xem xét các lựa chọn nằm ô phía bên trái của màn hình
Data Sources: hiển thị tất cả dữ liệu trong Filesystem trong đó có cấu trúc hệ thống
tập tin của hình ảnh đĩa hoặc đĩa cục bộ
Yêu cầu: sinh viên tìm thư mục có nhiều File nhất trong Filesystem
Views: hiện thị các thông tin chi tiết thông tin của các file chứa trong Filesystem
Yêu cầu: Sinh viên chuyển xem các file hình ảnh chứa trong Filesystem bằng chế độ view Thumbnail Sinh viên tìm số lượng các files dạng doc và pdf chứa trong
Filesystem.
Result: hiển thị và phân loại các thông tin mà các Modules phân tích được trong
Filesystem
Yêu cầu: sinh viên ghi nhận các thông tin đã thu thập được liên quan đến số lượng địa chỉ IP, địa chỉ Email, số lượng số điện thoại Nhận xét về lượng thông tin thu thập được
Trang 5Report: chức năng xem các báo cáo đã được tạo ra trong đó bao gồm kết quả tất cả
các phân tích
Yêu cầu: sinh viên sử dụng nút "Generate Report" để tạo ra báo cáo dạng HTML và Excel, xem nội dung báo cáo trong mục Report Nêu nhận xét, kết luận về nội dung
của báo cáo
-
Trang 6Họ Và Tên: Trần Hoài Phương
MSSV: 1X520XXX
Thực hành môn Pháp chứng kỹ thuật số
Bài 1: Thực hành điều tra đĩa cứng và USB với phần mềm Autopsy
(phần mềm mã nguồn mở Sleuth Kit)
Sinh viên lựa chọn tìm các số điện thoại và địa chỉ IP có trong Filesystem Giải thích phương pháp lựa chọn
địa chỉ IP có trong Filesystem Trong đây có 2 địa chỉ IP là :
192.168.1.1
Trang 710.0.0.1
Số điện thoại có trong Filesystem.Trong đây có 2 số điện thoại:
090 909 9891
016 093 2233
Sinh viên tìm thư mục có nhiều File nhất trong Filesystem.Trong Filesystem này có nhiều thư mục nhất là 11 thư mục
Trang 8Sinh viên chuyển xem các file hình ảnh chứa trong Filesystem bằng chế độ view
Thumbnail Trong Thumbnail ta tìm thấy được 1 hình ảnh
Sinh viên tìm số lượng các files dạng doc và pdf chứa trong Filesystem
Ta tìm thấy 2 File pdf
Trang 9Ta tìm thấy 6 File doc
Sinh viên ghi nhận các thông tin đã thu thập được liên quan đến số lượng địa chỉ IP, địa chỉ Email, số lượng số điện thoại Nhận xét về lượng thông tin thu thập được Địa chỉ Email tìm được
Trang 10Số điện thoại tìm được 2 số
Địa chỉ IP tìm được
Trang 11 Nhận Xét : dựa vào số điện thoại ,địa chỉ IP và Email chúng ta có thể xác định được người cần điều tra , qua đó giúp cho việc điều tra pháp chứng
kỷ thuật số trở nên nhanh chóng về dễ dàng tìm ra kết quả
Trang 12Sinh viên sử dụng nút "Generate Report" để tạo ra báo cáo dạng HTML và Excel, xem nội dung báo cáo trong mục Report Nêu nhận xét, kết luận về nội dung của báo cáo Tạo ra báo cáo dạng HTML
Trang 13Tạo ra báo cáo dạng Excel
Trang 14 Nhận xét Report dạng HTML xem nhanh thông tin của Case Number các
thông khác như Email,IP,điện thoại dễ dàng hơn
Trang 16 Nhận xét Report dạng Excel Ta thấy thấy được Case Number,Case Number , Number of Images…