TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP.HCM KHOA CÔNG NGHỆ THƠNG TIN 🙣🙣🙣🙣🙣 ĐỒ ÁN TÌM HIỂU VỀ BỘ CÔNG CỤ SLEUTH KIT VÀ ỨNG DỤNG TRONG CÔNG TÁC ĐIỀU TRA SỐ Giảng viên hướng dẫn : TS VŨ ĐỨC THỊNH Sinh viên thực : NGUYỄN THỊ LỆ QUYÊN MSSV:2033172013 LỚP:08DHBM2 NGUYỄN KIM YẾN MSSV:2033172078 LỚP:09DHBM3 TP Hồ Chí Minh, 7/2021 LỜI CẢM ƠN Em xin gửi lời cảm ơn chân thành đến thầy giáo, giáo viên hướng dẫn TS Vũ Đức Thịnh Trong trình nghiên cứu đề tài, thầy tạo điều kiện tài liệu kiến thức liên quan, tận tình hướng dẫn tạo điều kiện thuận lợi để chúng em hồn thành tốt đề tài Tuy nhiên q trình nghiên cứu đề tài, kiến thức chuyên ngành hạn chế nên em cịn thiếu sót tìm hiểu, đánh giá trình bày đề tài Rất mong nhận quan tâm, góp ý thầy/ cô để đè tài em đày đủ hoàn chỉnh Em xin trân thành cảm ơn MỤC LỤC Danh Mục Hình Ảnh CHƯƠNG 1: ĐIỀU TRA SỐ ( DIGITAL FORENSICS) 1.1 Khái niệm .1 1.2 Forensics 1.3 Mục đích - Ứng dụng .1 1.4 Khi cần thực điều tra số .2 1.5 Một số loại hình diều tra số 1.5.1 Điều tra máy tính (Computer Forensics ) .2 1.5.2 Điều tra thiết bị di động ( Mobile Device Forensics ) 1.5.3 Điều tra mạng xã hội ( Social Network Forensics ) .3 1.5.4 Điều tra mạng ( Network Forensics ) .3 1.5.5 Điều tra sở liệu ( Database Forensics ) CHƯƠNG 2: QUY TRÌNH ĐIỀU TRA PHÁP CHỨNG KỸ THUẬT SỐ 2.1 Quy trình điều tra pháp chứng kỹ thuật số 2.2.Các bước thực 2.2.1 Evidence – Tập hợp chứng 2.2.2 Acquisition – Xem xét chứng 2.2.3 Analysis – Phân tích chứng .4 2.2.4 Reporting – Lập báo cáo 2.3 Chứng .4 2.3.1 Khái niệm .4 2.3.2 Một số nguyên tắc thu thập chứng 2.4 Bằng chứng số .4 2.4.1 Khái niệm .4 2.4.2 Đặc tính chứng số 2.4.3 Các phương pháp để tìm kiếm chứng số 2.4.4 Ví trí tìm thấy chứng số 2.4.5 Bảo vệ tính pháp lý chứng số 2.5 Các yêu cầu nhân viên pháp chứng 2.6 Nhiệm vụ điều tra viên CHƯƠNG 3: CÁC HÌNH THỨC PHẠM TỘI XÂM NHẬP QUA MÁY TÍNH 3.1 Quy trình kiểm sốt phần cứng hệ thống máy tính 11 3.2 Xác định thơng tin cần tìm kiếm 11 3.3 Đánh giá nơi dấu liệu 11 CHƯƠNG CẤU TRÚC VÀ THÀNH PHẦN CỦA HỆ THỐNG TẬP TIN 4.1 FileSystem gì? 12 4.2 Hệ điều hành Windown 12 4.2.1 Cấu trúc Registry 12 4.2.2 Các nhánh Registry .13 4.2.3 Các kiểu liệu 13 4.2.4 Các chức 15 4.2.5 Cấu trúc Windown .17 4.2.6 Các tập tin hỗ trợ Windown 18 4.3 Hệ điều hành Linux 19 4.3.1 Tổ chức tập tin Linux 19 4.3.2 Những loại file system mà Linux hỗ trợ 22 4.3.3 Các thành phần hệ thống tập tin 24 4.3.4 Các loại tập tin .24 CHƯƠNG 5: BỘ CÔNG CỤ SLEUTH KIT 5.1 SleuthKit 25 5.1.1 Khái niệm .25 5.1.2 Dữ liệu đầu vào 25 5.1.3 Kỹ thuật tìm kiếm 26 5.2 Sử dụng Autopsy hệ thống điều hành Windown .27 5.2.1 Hướng dẫn cài đặt Autopsy 27 5.2.2 Thực nghiệm 32 5.3 Sử dụng Autopsy hệ điều hành Linux 47 Danh Mục Hình Ảnh Hình h.1 Các bước thực điều tra số Hình h.2 Các nhánh Registry Hình h.3 Kiểu liệu Registry Hình h.4 Nhánh phân quyền: permissions for HKEY_CURENT_USER Hình h.5 Chức Hình h.6 Tìm kiếm, phân quyền Registry Hình h.7 Cấu trúc Windown Hình h.8 Thành phần ổ đĩa Hình h.9 File Hình h.10 Thư mục Hình h.11 Sơ đồ tập tin Linux Hình h.12 Ý nghĩa floder “/” Hình h.13 Quá trình file vào Journaling Hình h.14 Trang chủ Autopsy Hình h.15 Phần download Autopsy Hình h.16 Sau download Autopsy xong Hình h.17 Giao diện sau mở file Hình h.18 Sau file chạy xong Hình h.19 Giao diện Autopsy Hình h.20 Giao diện thiết lập xong tùy chọn Hình h.21 Kết thu Hình h.22 Các file Zip, Raz, docx, hình ảnh,… Hình h.23 Thơng tin image tìm Hình h.24 Các file video tìm Hình h.25 Các file âm tìm đượch Hình h.26 Các email tìm Hình h.27 Các IP Address tìm Hình h.28 Duyệt web Hình h.29 Biểu đồ cột autopsy Hình h.30 Danh sách dịng thời gian hoạt động Hình h.31 Sau quét đĩa ta có thư mục deleted files Hình h.32 Kết Hình h.33 Quá trình update upgrade Hình h.34 Install Sleuthkit Hình h.35 Install autopsy Hình h.36 Sau install xong Hình h.37 Sau nhập URL // localhost: 9999 / autopsy Hình h.38 Giao diện tạo case Hình h.39 Câu thơng báo thêm máy chủ lưu trữ doan: kích vào add host để thêm thành cơng Hình h.40 Thêm tên máy chủ, mơ tả, thời gian GMT trường hợp đến từ quốc gia khác, (Cũng thêm thời gian trễ máy tính có sở liệu chứa băm tệp độc hại biết.) Hình h.41 Thêm máy chủ lưu trữ Hình h.42 Add image file để điều tra hình ảnh Hình h.43 Bắt đầu Add a new image NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN CHƯƠNG 1: ĐIỀU TRA SỐ ( DIGITAL FORENSICS) 1.1 Khái niệm Điều tra số ( hay gọi Pháp chứng kỹ thuật số ) nhánh ngành Khoa học điều tra đề cập đến việc phục hồi điều tra tài liệu tìm thấy thiết bị kỹ thuật số, thường liên quan đến tội phạm máy tính Thuật ngữ điều tra số ban đầu sử dụng tương đương với điều tra máy tính sau mở rộng để bao quát toàn việc điều tra tất thiết bị có khả lưu trữ liệu số Điều tra số hiểu điều tra, tìm kiếm phân tích thơng tin hệ thống máy tính để tìm kiếm chứng số 1.2 Forensics Khái niệm Forensics(Forensics Science – khoa học pháp y) xuất phát từ lĩnh vực y học từ kỷ 18 liên quan đến điều tra pháp y Ngày Forensics mở rộng nhiều lĩnh vực khác Foremsics dùng để xác định nguyên nhân bị cơng, phát mã dộc máy tính, kiểm tra bất thường mạng , phát xâm nhập,… Từ đưa biện pháp để giải Nói Forensics khơng thể khơng nhắc đến nguyên tắc kinh điển khoa học điều tra Đó nguyên tắc trao đổi Locard (Locard lấy từ Edmon Locard (1877-1966), ông chuyên gia điều tra pháp y, sáng lập Viện Hình học trường Đại học Tổng hợp Lyon) Ông phát biểu nguyên tắc mà sau trở thành kim nam ngành khoa học điều tra Ông ta cho hai người tiếp xúc với nhau, thứ từ người trao đổi với người khác ngược lại Có thể bụi, tế bào da, bùn đất, sợi, mạt kim loại… Những việc trao đổi có xảy bắt nghi phạm Với Computer Forensics, nguyên tắc hoàn toàn Khi bạn làm việc với máy tính hay hệ thống thơng tin, tất hành động bạn bị ghi vết lại ( việc tìm thủ phạm trường hợp khó khăn thời gian nhiều) 1.3 Mục Đích - Ứng dụng Trong thời đợi công nghệ phát triển ngày nay, song song với ngành khoa học khác điều tra số có đóng góp quan trọng việc ứng cứu nhanh cố xảy máy tính, giúp chun gia phát nhanh dấu hiệu hệ thống có nguy bị xâm nhập, việc xác định hành vi, nguồn gốc vi phạm xảy hệ thống Về mặt kỹ thuật Điều tra số như: điều tra mạng, điều tra nhớ, điều tra thiết bị điện thoại giúp cho tổ chức xác định nhanh xảy làm ảnh hưởng tới hệ thống, qua xác định điểm yếu để khắc phục Về mặt pháp lý điều tra số giúp cho quan điều tra tố giác tội phạm công nghệ cao có chứng số thuyết phục để áp dụng luật xử phạt với hành vi phạm pháp 1.4 - Khi cần thực điều tra số? Khi hệ thống bị công mà chưa xác định nguyên nhân Khi cần hiết khôi phục liệu thiết bị, hệ thống xóa Hiểu rõ cách làm việc hệ thống Khi thực điều tra tội phảm có liên quan đến công nghệ cao Điều tra gian lận tổ chức Điều tra hoạt động gián điệp công nghiệp 1.5 Một số loại hình điều tra số 1.5.1 Điều tra máy tính ( Computer Forensics ): Là nhánh Digital Forensics liên quan đến việc phân tích chứng pháp lý tìm thấy máy tính phương tiện lưu trữ kỹ thuật số như: + Điều tra ghi (Registry forensics) : loại hình điều tra liên quan đến trích xuất thơng tin, ngữ cảnh từ nguồn liệu chưa khai thác Công cụ thường dùng: MuiCache View, Process Monitor, Regshot + Điều tra phương tiện lưu trữ ( Disk Forensics ) : việc thu thập, phân tích liệu lưu trữ phương tiện lưu trữ vật lý, nhằm trích Tập tin khơi phục file NguyenKimYen: Hình h.32 Kết 5.3 Sử dụng Autopsy hệ điều hành Linux Chúng ta kết hợp command apt update upgrade để nâng cấp toàn package hệ thống:  sudo apt update && sudo apt upgrade -y 46 Hình h.33 Quá trình update upgrade 47 Hình h.34 Install Sleuthkit 48 Hình h.35 Install autopsy 49 Hình h.36 Sau install xong Sau đó, khởi động ứng dụng từ cửa sổ terminal lệnh: autopsy Tiếp theo, đến trình duyệt viết URL // localhost: 9999 / autopsy cho Autopsy hoạt động máy chủ chúng tơi chạy 50 Hình h.37 Sau nhập URL // localhost: 9999 / autopsy 51 Hình h.38 Giao diện tạo case Trên hình ta có : Case Name: tên vụ án mà muốn điều tra Description: mơ tả vụ án Investigator Names: tên điều tra viên thực điều tra ( Description Investigator bỏ qua Chúng ta điền vào phân tích cụ thể vụ án ) 52 Hình h.39 Câu thơng báo thêm máy chủ lưu trữ doan: kích vào add host để thêm thành cơng 53 Hình h.40 Thêm tên máy chủ, mô tả, thời gian GMT trường hợp đến từ quốc gia khác, (Cũng thêm thời gian trễ máy tính có sở liệu chứa băm tệp độc hại biết.) 54 Hình h.41 Thêm máy chủ lưu trữ Hình h.42 Add image file để điều tra hình ảnh 55 Hình h.43 Bắt đầu Add a new image Chỉ loại hình ảnh đĩa phân vùng phương thức nhập, hình ảnh nhập vào Autopsy từ vị trí liên kết tượng trưng, chép di chuyển  CHỨC NĂNG Tìm kiếm phân tích tất tùy chọn mà người dùng thiết lập (file zip, rar, image, ) 56 Kiểm tra trình duyệt web người dùng Kiểm tra email người dùng sử dùng thiết bị Kiểm tra IP Address vào thiết bị Kiểm tra file ẩn mà người dùng thiết bị khơng biết có tồn Có thể đọc file doc, docx Biết kích thước, liệu có sử dụng hàm băm hay khơng, đánh dấu tập tin có vấn đề bỏ qua tập tin tốt Biết thời gian chỉnh, sửa, xóa liệu Tìm file text file ảnh xóa thiết bị Phân tích pháp chứng với file system: cho phép khôi phục tập tin từ hầu hết định dạng phổ biến Tìm kiếm theo từ khóa - mục từ khóa tìm kiếm để tìm tập tin có đề cập đến từ có liên quan Đa phương tiện - trích xuất dạng EXIF(Exchangeable image file format) từ ảnh video 57 TÀI LIỆU THAM KHẢO http://dembinhyen.free.fr/UDS/Ebook/CD1/He%20Dieu %20Hanh/Htm/Bai08.htm http://www.cs.put.poznan.pl/akobusinska/downloads/Operating_Systems_Conce pts.pdf http://www.cit.ctu.edu.vn/~dtnghi/linux/3-he_thong_file.pdf https://users.soict.hust.edu.vn/linhtd/courses/CompLit/part01linux/GiaotrinhLinux.pdf https://linuxhint.com/sleuth_kit_autopsy/ 58 59 60 ... CHƯƠNG 5: BỘ CÔNG CỤ SLEUTH KIT 24 5.1 Sleuth Kit 5.1.1 Khái niệm Fleuth Kit phần mềm mã nguồn mở Là công cụ( tools) phần mềm pháp chứng hỗ trợ điều tra kỹ thuật số Các công cụ Fleuth -Kit cơng cụ dịng... CHƯƠNG 1: ĐIỀU TRA SỐ ( DIGITAL FORENSICS) 1.1 Khái niệm Điều tra số ( hay gọi Pháp chứng kỹ thuật số ) nhánh ngành Khoa học điều tra đề cập đến việc phục hồi điều tra tài liệu tìm thấy thiết... xóa Hiểu rõ cách làm việc hệ thống Khi thực điều tra tội phảm có liên quan đến cơng nghệ cao Điều tra gian lận tổ chức Điều tra hoạt động gián điệp công nghiệp 1.5 Một số loại hình điều tra số