HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THƠNG TIN HỌC PHẦN: AN TỒN MẠNG Bài báo cáo: TÌM HIỂU CƠNG CỤ BULK-EXTRACTOR Giảng viên hướng dẫn: Sinh viên thực hiện: Mã sinh viên: Nhóm lớp: TS Đặng Minh Tuấn Vũ Thị Huệ B18DCAT103 02 Hà Nội, 2021 LỜI NĨI ĐẦU Trong lĩnh vực an tồn thơng tin, Computer Forensics hay cịn gọi điều tra số, pháp y máy tính cơng việc phát hiện, bảo vệ phân tích thơng tin lưu trữ, truyền tải tạo máy tính mạng máy tính, nhằm đưa suy luận hợp lý để tìm ngun nhân, giải thích tượng trình điều tra Khái niệm Forensics (Forensic Science – khoa học pháp y) tên gọi xuất phát từ lĩnh vực y tế từ kỷ 18 liên quan đến điều tra pháp y Ngày Forensics mở rộng nhiều lĩnh vực khác Computer Forensics đời vào năm 1980 phát triển máy tính cá nhân, xảy trộm cắp thiết bị phần cứng, mát liệu, vi phạm quyền, virus máy tính phá hoại… Các doanh nghiệp phủ nước ý thức vấn đề bảo mật Từ loạt sau, tơi dùng từ Forensics người hiểu nói Computer Forensics Nếu bạn chủ nhân website đấy, ngày đẹp trời website bạn bị hacker ghé thăm để lại hậu không mong muốn Bạn muốn xác định nguyên nhân bị cơng, tìm cách khắc phục để việc không tái diễn hay xa xác định thủ phạm Đó lúc bạn cần đến Forensics Đấy ví dụ điển hình, ngồi trường hợp khác để phát mã độc máy tính, kiểm tra bất thường mạng, phát xâm nhập… Nói chung Forensics giúp xác định nguyên nhân cố đưa biện pháp giải Nói Forensics khơng thể khơng nhắc đến ngun tắc kinh điển khoa học điều tra Mục tiêu cốt lõi Computer Forensic phát hiện, bảo quản, khai thác, tài liệu hóa đưa kết luận liệu thu thập Cần lưu ý liệu phải đảm bảo tính xác thực, lấy mà không bị hư hại, không liệu khơng cịn ý nghĩa Trong báo cáo nghiên cứu công cụ pháp ý kỹ thuật số mạnh kali linux Bulk_extractor MỤC LỤC LỜI NÓI ĐẦU MỤC LỤC .3 DANH MỤC HÌNH ẢNH .5 DANH MỤC BẢNG BIỂU .6 DANH MỤC TỪ VIẾT TẮT CHƯƠNG 1: LÝ THUYẾT TỔNG QUAN VỀ DỊCH VỤ COMPUTER FORENSIC – PHÁP Y MÁY TÍNH 1.1 Khái niệm Computer Forensic 1.2 Mục tiêu Computer Forensic 1.3 Vai trò Computer Forensic 1.4 Các đối tượng Computer Forensic hướng đến 1.5 Vai trò Computer Forensic .2 1.6 Những kĩ cần cho Forensic 2.1 Tổng quan Bulk_extractor 2.2 Lịch sử 2.3 Kiến trúc hoạt động .7 2.4 Xử lý liệu 10 2.4.1 Scanners 10 2.4.2 Các định dạng liệu đầu vào .11 2.4.3 File Carving 13 2.4.4 Loại bỏ trùng lặp 14 2.4.5 Sử dụng danh sách cảnh báo 15 2.4.6 Xử lý liệu nén 15 2.5 Các tính Bulk_extractor 16 2.5.1 Điều tra phần mềm độc hại 16 2.5.2 Điều tra Mạng .17 2.5.3 Điều tra danh tính 18 2.5.4 Bẻ khóa mật 20 CHƯƠNG 3: KỊCH BẢN VÀ MƠ HÌNH THỰC NGHIỆM CƠNG CỤ BULK_ EXTRACTOR .21 3.1 Mơ hình kịch thử nghiệm .21 3.2 Thực nghiệm phân tích liệu thu thập từ việc quét ổ đĩa Bulk_extractor 21 3.2.1 Thực quét ổ đĩa theo kịch .21 3.2.2 Phân tích kết thu .22 KẾT LUẬN 28 DANH MỤC TÀI LIỆU THAM KHẢO 29 DANH MỤC HÌNH ẢNH Hình 2.1 Giao diện người dùng Bulk_extrator Hình 2.2 Một câu chuyện thành công ban đầu Bulk_extrator đến từ cảnh sát Thành phố San Luis Obispo .6 Hình 2.3 Ba giai đoạn hoạt động với Bulk_extrator Hình 2.4 Các tính tệp email.txt Hình 2.5 Cấu trúc file histogram.txt Hình 2.6 Các tính địa email 10 Hình 2.7 Forensic path tính email dẫn ngược luồng HTTP 10 Hình 2.8 Danh sách mẫu output lệnh 11 Hình 2.9 Sự khác dùng Stoplist không dùng Stoplist .15 Hình 2.10 Tệp danh sách cảnh báo mẫu 15 Hình 2.11 Hướng dẫn pháp sử dụng Lightgrep Scanner 19 Hình 3.1 Thực thi quét ổ đĩa 21 Hình 3.2 Kết sau thực quét ổ đĩa .22 Hình 3.3 Domain trích xuất .22 Hình 3.4 Domain liệu thơ 23 Hình 3.5 Dữ liệu email qt dạng thơ 23 Hình 3.6 Dữ liệu email trích xuất 24 Hình 3.7 Dữ liệu trích xuất tệp rfc822.txt 24 Hình 3.8 Dữ liệu thơ hình ảnh .25 Hình 3.9 ảnh trích xuất tổng hợp lại 25 Hình 3.10 Các file nén quét .26 Hình 3.11 tệp nén giải nén tổng hợp lại 26 DANH MỤC BẢNG BIỂU Bảng 2.1 Các định dạng scanner .12 Bảng 2.2 Bảng chế đọ carving file 14 DANH MỤC TỪ VIẾT TẮT Từ viết tắt Từ nguyên gốc URL Uniform Resource Locator PDF Portable Document Format PE Portable Executable VCF Virtual Contact File SSD Solid State Driver I/O Input /Output GB Gigabyte GUI Graphical User Interface GPS Global Positioning System SSl Secure Sockets Layer AES Advanced Encryption Standard SHA1 Secure Hash Algorithm CHƯƠNG 1: LÝ THUYẾT TỔNG QUAN VỀ DỊCH VỤ COMPUTER FORENSIC – PHÁP Y MÁY TÍNH 1.1 Khái niệm Computer Forensic Forensic khơng phải khái niệm xa lạ với người làm an toàn thơng tin, với số đơng người dùng khái niệm mẻ Trong lĩnh vực an tồn thơng tin, Forensics hay cịn gọi điều tra số công việc phát hiện, bảo vệ phân tích thơng tin lưu trữ, truyền tải tạo máy tính mạng máy tính, nhằm đưa suy luận hợp lý để tìm ngun nhân, giải thích tượng q trình điều tra [1] 1.2 Mục tiêu Computer Forensic Mục tiêu cốt lõi dịch vụ Computer Forensic hướng đến bao gồm [2]: - Phát hiện, - Bảo quản - Khai thác đưa kết luận liệu thu thập Cần lưu ý liệu phải đảm bảo tính xác thực, lấy mà không bị hư hại, không liệu khơng cịn ý nghĩa 1.3 Vai trị Computer Forensic Khi mội người dùng chủ doanh nghiệp gặp phải vấn đề sau: - Công ty bạn bị gởi email/tin nhắn nặc danh khủng bố bạn muốn biết thủ phạm - Công ty bạn bị DOS (tấn công từ chối dịch vụ) bạn muốn biết tin tặc đâu gây - Website bị deface, hệ thống công ty bị xâm nhập bạn muốn tìm thủ phạm - Thông tin, liệu nhạy cảm công ty bị tiết lộ ngồi mà bạn khơng biết ngun nhân Họ muốn xác định nguyên nhân bị cơng, tìm cách khắc phục để việc khơng tái diễn hay xa xác định thủ phạm Đó lúc bạn cần đến Forensics 1.4 Các đối tượng Computer Forensic hướng đến Forensic thường làm việc với đối tượng: - Physical Media, Media Management: Liên quan đến phần cứng, tổ chức phân vùng, phục hồi liệu bị xóa… - File System: Phân tích file hệ thống, hệ điều hành windows, linux, android… - Application: Phân tích liệu từ ứng dụng file Log, file cấu hình, reverse ứng dụng… - Network: Phân tích gói tin mạng, bất thường mạng - Memory: Phân tích liệu nhớ, thường liệu lưu RAM dump 1.5 Vai trò Computer Forensic Computer Forensic quan trọng tiết kiệm tiền cho cơng ty, tổ chức Nhiều nhà quản lý phân bổ phần lớn ngân sách công nghệ thông tin họ cho an ninh mạng máy tính International Data Corporation (IDC) báo cáo thị trường phần mềm phát xâm nhập đánh giá lỗ hổng đạt 1,45 tỷ đô la vào năm 2006 Với số lượng ngày tăng, tổ chức triển khai thiết bị an ninh mạng hệ thống phát xâm nhập (IDS), tường lửa, proxy, thứ tương tự, tất báo cáo tình trạng bảo mật mạng Từ quan điểm kỹ thuật, mục tiêu Computer Forensic xác định, thu thập, bảo quản phân tích liệu theo cách trì tính tồn vẹn chứng thu thập để sử dụng hiệu vụ án pháp lý Một số khía cạnh điển hình điều tra pháp y máy tính gì? Đầu tiên, người điều tra máy tính phải hiểu loại chứng tiềm mà họ tìm kiếm để cấu trúc tìm kiếm họ Các tội danh liên quan đến máy tính bao gồm nhiều phạm vi hoạt động tội phạm, từ khiêu dâm trẻ em đến đánh cắp liệu cá nhân đến phá hủy tài sản trí tuệ Thứ hai, điều tra viên phải chọn cơng cụ thích hợp để sử dụng Các tệp bị xóa, bị hỏng bị mã hóa người điều tra phải quen thuộc với loạt phương pháp phần mềm để ngăn chặn thiệt hại thêm q trình khơi phục Hai loại liệu thu thập pháp y máy tính Dữ liệu liên tục liệu lưu trữ ổ cứng cục (hoặc phương tiện khác) bảo tồn tắt máy tính Dữ liệu biến động liệu lưu trữ nhớ tồn trình truyền tải, bị máy tính bị nguồn tắt Dữ liệu biến động nằm sổ đăng ký, nhớ đệm nhớ truy cập ngẫu nhiên (RAM) Vì liệu biến động phù du, điều cần thiết điều tra viên phải biết cách đáng tin cậy để nắm bắt Quản trị viên hệ thống nhân viên bảo mật phải có hiểu biết cách tác vụ quản trị mạng máy tính thơng thường ảnh hưởng đến quy trình pháp y (khả chấp nhận chứng tòa) khả khơi phục liệu quan trọng việc xác định phân tích sau cố bảo mật [3] 1.6 Những kĩ cần cho Forensic Khi đào tạo để làm việc lĩnh vực Forensic, có số kỹ bạn muốn có trước theo đuổi vị trí lĩnh vực Một số kỹ bao gồm: - Lập trình: Sự hiểu biết ngơn ngữ lập trình điều cần thiết để đào sâu vào thiết bị để khôi phục liệu khó tìm, bị bị mã hóa - Tiêu chuẩn ISO: Tiêu chuẩn ISO tập hợp quy tắc giao thức quy định cách tốt để thực nhiệm vụ Pháp y máy tính sử dụng tiêu chuẩn này, làm cho chúng trở nên quan trọng để hiểu - Hệ điều hành: Hệ điều hành thứ cho phép thiết bị thực chức cốt lõi chúng Vì chun gia pháp y máy tính thường làm việc với thiết bị bị hỏng bị xâm nhập, họ cần hiểu hệ điều hành để khôi phục liệu bị - Phần cứng phần mềm máy tính: Các chuyên gia pháp y máy tính cần biết cách hoạt động phần mềm phần cứng máy tính để tìm vị trí tốt để tìm kiếm liệu Nó hữu ích trường hợp cần sửa chữa để khơi phục liệu - Tổ chức: Có ý thức tổ chức mạnh mẽ quan trọng người nghề pháp y máy tính Những người lĩnh vực lược qua liệu cần có kỹ tổ chức để giúp họ tách liệu không liên quan khỏi thông tin quan trọng - Các tiêu chuẩn an ninh mạng: Một chuyên gia pháp y máy tính cần phải nắm tiêu chuẩn sử dụng ngành an ninh mạng - Khả phân tích: Cuối cùng, chuyên gia pháp y máy tính cần có khả phân tích liệu mà họ phát Làm giúp họ xác định liệu có giá trị cho điều tra Hình 2.9 Sự khác dùng Stoplist không dùng Stoplist 2.4.5 Sử dụng danh sách cảnh báo Các từ tính cụ thể ngữ cảnh định quan trọng điều tra người dùng Danh sách cảnh báo chứa danh sách từ / tên tệp đặc trưng khớp tìm thấy, cảnh báo cho người dùng Cách thức hoạt động cảnh báo tệp tính tương tự cách chúng sử dụng cho danh sách dừng nhạy cảm theo ngữ cảnh Nó cảnh báo tính định tìm thấy ngữ cảnh định Hình 2.10 Tệp danh sách cảnh báo mẫu Mặc dù danh sách dường khơng giúp ích cho điều tra cụ thể nào, chứng tỏ mà bạn định từ riêng biệt quan trọng phân tích chúng Kết bao gồm thông tin danh sách cảnh báo tìm thấy tệp alert.txt bulk_extractor thư mục đầu 2.4.6 Xử lý liệu nén Nhiều cơng cụ pháp y thường bỏ sót liệu quan trọng chúng khơng kiểm tra chứng bao gồm lớp liệu nén Ví dụ: nghiên cứu gần 1400 ổ đĩa tìm thấy hàng nghìn địa email nén Khơng cần xem xét tất liệu 15 ổ đĩa giải nén cách hiệu đó, tính quan trọng bị bỏ lỡ Các địa email nén, chẳng hạn địa tệp GZIP, không giống địa email máy quét; trước tiên chúng phải giải nén xác định 2.5 Các tính Bulk_extractor Có nhiều trường hợp sử dụng kĩ thuật kỹ thuật số cho Bulk_extractor Trong phần này, nêu bật số cách sử dụng phổ biến hệ thống Mỗi trường hợp thảo luận tệp đầu nào, bao gồm tệp đặc trưng tograms, có liên quan đến loại điều tra 2.5.1 Điều tra phần mềm độc hại Phần mềm độc hại xâm nhập có lập trình Khi thực điều tra phần mềm độc hại, người dùng muốn xem tệp thực thi, thông tin tải xuống từ webbased ứng dụng dựa mục thư mục windows (dành cho điều tra dành riêng cho Windows) Bulk_extractor cho phép điều theo số cách Đầu tiên, Bulk_extractor tìm thấy chứng tất tệp thực thi ổ cứng bao gồm thứ tự nhập chúng, tệp chứa tệp ZIP tệp nén Nó khơng cung cấp cho bạn giá trị băm tồn tệp, thay vào đó, cung cấp cho bạn giá trị băm 4KB tệp Nghiên cứu 4KB mang tính dự đốn hầu hết tệp thực thi có giá trị băm riêng biệt cho 4KB tệp Ngồi ra, nhiều tệp số bị phân mảnh nhìn vào 4KB cung cấp thông tin liên quan đến điều tra phân mảnh khó xảy trước 4KB Hàm băm đầy đủ tệp bị phân mảnh khơng có sẵn bulk_extractor Một số tệp tính đầu Bulk_extractor tạo chứa tệp có liên quan quan trọng thông tin tệp thực thi Các tệp bao gồm: - elf.txt - Tệp (do máy quét elf tạo ra) chứa thông tin tệp thực thi ELF sử dụng để nhắm mục tiêu hệ thống Linux Mac OS X - winprefetch.txt - Tệp (do trình quét winprefetch tạo liệt kê tệp xóa tìm thấy thư mục tìm nạp trước Windows XML tệp tính phức tạp để xem xét không sử dụng ứng dụng khác lời khen ngợi Cách khuyến nghị để phân tích kết thực thi sử dụng phần ba 16 Cơng cụ bên phân tích tệp thực thi kéo kết vào bảng tính Trong trang tính, cột chứa giá trị băm giá trị so sánh chống lại sở liệu hàm băm thực thi Ngồi cịn có cơng cụ python kèm vớiBulk_extractor gọi Recoggit_filenames.py sử dụng để lấy tên tệp đầy đủ tệp Đối với điều tra phần mềm độc hại cụ thể Windows, tệp winpe.txt winprefetch.txt hữu ích Chúng tạo máy quét winpe winprefetch cẩn thận Windows Prefetch hiển thị tệp tìm nạp trước Windows Prefetch thư mục hiển thị tệp xóa tìm thấy khơng gian chưa phân bổ Những cửa sổ tính PE hiển thị mục nhập liên quan đến tệp thực thi Windows JSON, Ký hiệu đối tượng JavaScript, định dạng trao đổi liệu nhẹ Web-các trang web có xu hướng tải xuống nhiều thông tin JSON Tệp đầu json.txt, sản xuất máy quét json, hữu ích cho việc điều tra phân tích phần mềm độc hại ứng dụng dựa web Nếu trang web tải xuống thông tin định dạng JSON, trình qt JSON tìm thấy thơng tin nhớ cache trình duyệt 2.5.2 Điều tra Mạng Các điều tra mạng quét nhiều loại thông tin khác Một số hợp đặc điểm điều tra nhu cầu tìm khóa mã hóa, giá trị băm hơng tin gói ethernet Bulk_extractor cung cấp số máy qt cung cấp tệp tính duce có chứa thơng tin Đối với thơng tin mã hóa, tệp tính sau hữu ích: - aes.txt - AES hệ thống mã hóa Nhiều triển khai để lại phím nhớ tìm thấy cách sử dụng thuật toán phát minh Đại học Princeton Bulk_extractor cung cấp phiên cải tiến thuật tốn để tìm khóa AES máy qt aes Khi qt nhớ, chẳng hạn hoán đổi tệp giải nén tập tin ngủ đơng, xác định khóa AES Các phím sử dụng cho phần mềm, điều giải mã tài liệu mã hóa AES - hex.txt - Máy quét base16 giải mã thơng tin lưu trữ Base16, chia thành giá trị thập phân tương ứng Điều hữu ích bạn tìm kiếm khóa AES hàm băm SHA1 Máy quét ghi khối kích thước 128 256 chúng kích thước sử dụng cho khóa mã hóa Tính tệp hữu ích nhà điều tra tìm kiếm người mã hóa email khóa giá trị băm điều tra không gian mạng 17 Ngoài ra, máy quét base64 quan trọng điều tra mạng trơng chủ yếu tệp đính kèm email mã hóa Base64 Thơng tin tìm thấy tệp đính kèm phân tích máy qt khác để tìm tính cụ thể Máy quét Windirs tìm mục nhập thư mục Windows FAT32 NTFS hữu ích cho điều tra mạng liên quan đến máy Windows, chúng báo số lần hoạt động diễn Cuối cùng, tệp ether.txt, ip.txt, tcp.txt domain.txt máy qt mạng Nó tìm kiếm gói ethernet cấu trúc nhớ liên kết với cấu trúc liệu mạng nhớ Điều quan trọng cần lưu ý kết nối tcp có nhiều kết dương tính giả nhiều thơng tin máy qt tìm thấy sai Các nhà điều tra nên cẩn thận với việc giải thích tệp tính lý 2.5.3 Điều tra danh tính Các điều tra danh tính tìm kiếm nhiều loại thơng tin bao gồm email địa chỉ, thông tin thẻ tín dụng, số điện thoại, thơng tin địa lý từ khóa Ví dụ: điều tra viên cố gắng tìm hiểu xem người cộng họ ai, họ xem số điện thoại, cụm từ tìm kiếm để xem họ làm gửi email để biết họ giao tiếp với Máy quét accts hữu ích cho việc điều tra danh tính Nó tạo số tính tệp có thơng tin nhận dạng bao gồm: - ccn.txt - số thẻ tín dụng - ccn_track2.txt - hai thơng tin theo dõi thẻ tín dụng - thơng tin liên quan số- - người cố gắng làm thẻ tín dụng giả - pii.txt - thông tin nhận dạng cá nhân bao gồm ngày sinh số xã hội - bia - phone.txt - số điện thoại Máy quét kml gps tạo thông tin GPS cung cấp thông tin người lĩnh vực định liên kết đến họ làm lĩnh vực định Cả hai số máy quét ghi vào gps.txt KML định dạng Google Earth Google sử dụng tệp đồ Máy quét tìm kiếm tọa độ GPS liệu định dạng Gps máy quét xem xét thơng tin định dạng Garmin Trackpoint tìm tọa độ GPS liệu 18 Trình qt email tìm kiếm địa email tất liệu ghi vào email.txt Máy quét vcard xem xét liệu vCard, định dạng danh thiếp điện tử tìm tên, địa email số điện thoại để ghi vào tệp tính tương ứng Đó nhiều tệp url bao gồm url.txt, url_facebook-address.txt, url_facebookid.txt, url_microsoft-live.txt, url_searches.txt url_services.txt pro trình quét email tạo Một máy quét khác, máy quét lightgrep cung cấp chức tương tự tìm kiếm nhanh nhiều cung cấp nhiều chức Nó máy quét lực tìm kiếm qua đệm kết phù hợp danh sách tìm kiếm toàn cầu Một bảng cú pháp biểu thức quy hữu ích cho người dùng việc tạo danh sách tìm kiếm sử dụng Lightgrep Scanner hiển thị hình Hình 2.11 Hướng dẫn pháp sử dụng Lightgrep Scanner Máy quét lightgrep sử dụng thư viện Lightgrep từ Lightbox Technologies Một phiên nguồn mở thư viện tải xuống từ https://github.com/LightboxTech / liblightgrep Máy qt lightgrep thích hợp tìm kiếm tất cụm từ thông dụng lúc, lần chuyển qua liệu Máy quét tìm kiếm thực tìm kiếm biểu thức danh sách tìm thấy thời điểm 19 Ví dụ: danh sách tìm danh sách y tế thuật ngữ chẩn đoán Bulk_extractor tìm kiếm hồ sơ y tế, máy quét tìm tìm kiếm thuật ngữ phần liệu lần chuyển qua, lần lượt Một danh sách 35 biểu thức yêu cầu 35 lần qua liệu Máy quét lightgrep tìm kiếm vùng đệm định cho tất thuật ngữ y tế lúc, lần chuyển qua Nếu thư viện Lightgrep cài đặt danh sách tìm thấy cung cấp cho Bulk_extractor, chạy máy qt lightgrep Nếu khơng, sử dụng máy qt tìm Khơng máy qt cần người dùng kích hoạt cụ thể, gọi Bulk_extractor với danh sách tìm kiếm tự động bật máy quét thích hợp Tuy nhiên, khơng khuyến khích sử dụng danh sách tìm kiếm mà khơng có thư viện Light Grep - làm cho Bulk_extractor chạy chậm tìm kiếm tìm thấy thực Điều cung cấp cấp số nhân chậm lại Các nhà điều tra tìm kiếm thơng tin nhận dạng chủ yếu dựa vào danh sách tìm thấy để tìm kiếm để biết tên, số từ khóa cụ thể có liên quan đến điều tra Các tính tìm thấy máy qt find lightgrep ghi vào tệp find.txt lightgrep.txt tương ứng 2.5.4 Bẻ khóa mật Nếu điều tra viên tìm cách bẻ khóa mật khẩu, trình qt danh sách từ hữu ích Nó tạo danh sách tất từ tìm thấy đĩa có từ đến 14 ký tự Người dùng thay đổi kích thước tối thiểu tối đa từ cách định tùy chọn thời gian chạy nhận thấy phạm vi kích thước tối ưu cho hầu hết ứng dụng Bởi trình quét danh sách từ bị tắt theo mặc định, người dùng phải bật cách cụ thể thời điểm chạy Khi cần thiết Để làm điều đó, chạy lệnh sau: $ bulk_extractor -e wordlist -o output mydisk.raw Điều tạo hai tệp hữu ích cho việc bẻ khóa mật khẩu, wordlist_histogram.txt wordlist.txt Các tệp chứa từ lớn sử dụng để bẻ khóa mật 20 CHƯƠNG 3: KỊCH BẢN VÀ MƠ HÌNH THỰC NGHIỆM CƠNG CỤ BULK_ EXTRACTOR 3.1 Mơ hình kịch thử nghiệm Với yêu cầu đặt Sinh viên đề xuất kịch bẳn thực nghiệm công cụ Bulk_extractor sau Kịch đề xuất có ổ cứng có nhiều liệu Yêu cầu cần đặt cần sử dụng công cụ Bulk_extractor tiến hành phân tích tổng hợp thơng tin có ích Các liệu kịch đặt vào ổ cứng bao gồm: liệu domain người dùng truy cập, liệu email trao đổi, liệu hình ảnh, tập tin khác ổ cứng 3.2 Thực nghiệm phân tích liệu thu thập từ việc quét ổ đĩa Bulk_extractor 3.2.1 Thực quét ổ đĩa theo kịch Trong bước tiếng hình quét thư mục ổ đĩa để tiến hành thu thập thông tin Khởi động terminal gõ lệnh sau: $ bulk_extractor -o output -R /home/bulk_extractor/tests Hình 3.1 Thực thi quét ổ đĩa 21 Hình 3.2 Kết sau thực quét ổ đĩa 3.2.2 Phân tích kết thu 3.2.2.1 Phân tích domain Đầu tiên, phân tích đến file domain.txt, file chứa tên miền mà người dùng truy cập vào Từ nghiên cứu hành vi sử dụng internet đối tượng nội dung thường xem truy cập Sau quét có file domain.txt domain_histogram.txt, file chứa tất thông tin domain quét file thứ chứa thơng tin trích xuất cụ thể Hình 3.3 Domain trích xuất 22 Hình 3.4 Domain liệu thơ 3.2.2.2 Phân tích email Sau tiếp tục phân tích file email.txt email_histogram.txt, tương tự với domain Ở có file email.txt chứa tất thông tin quét email file cịn lại chứa thơng tin trích xuất Hình 3.5 Dữ liệu email qt dạng thơ 23 Hình 3.6 Dữ liệu email trích xuất Hơn cơng cụ cịn hỗ trợ trích xuất tiêu đề email tiêu đề HTTP qua tệp rfc822.txt Tệp rfc822.txt chủ yếu cung cấp tiêu đề email tiêu đề HTTP, hai có định dạng định RFC822, Tiêu chuẩn Thư Internet Có thể hữu ích xem chủ đề email gửi thơng tin hình thành u cầu HTTP Hình 3.7 Dữ liệu trích xuất tệp rfc822.txt 24 3.2.2.3 Phân tích hình ảnh Cơng cụ Bulk_extractor qt trích xuất liệu hình ảnh bên thiết bị lưu trữ Các liệu thơ thơng tin hình ảnh thống kê jpeg_carved.txt Hình 3.8 Dữ liệu thơ hình ảnh Hơn hỉnh ảnh tổng hợp lại thư mục jpeg_carved nhằm dễ dàng cho việc phân tích Hình 3.9 ảnh trích xuất tổng hợp lại Từ hình ảnh này, liên kết để biết chủ liệu ai, người có mối liên hệ hình ảnh sống ngày họ 25 3.2.2.4 Phân tích tệp nén Ngồi với Bulk_extractor, qt trích xuất tất file nén lưu trữ ổ cứng (kể xóa hay format) Hình 3.10 Các file nén quét Công cụ hỗ trợ việc giải nén tập tổng hợp lại thư mục unzip_carved Hình 3.11 tệp nén giải nén tổng hợp lại Ngồi cịn nhiều thơng tin hữu ích cho việc phân tích như: 26 - ether.txt - Địa MAC Ethernet tìm thấy thơng qua việc khắc gói IP tệp hốn đổi tệp ngủ đông hệ thống nén đoạn tệp - exif.txt - EXIF từ JPEG phân đoạn video Tệp tính chứa tất trường EXIF, mở rộng dạng ghi XML - find.txt - Kết yêu cầu tìm kiếm biểu thức quy cụ thể - ip.txt - Địa IP tìm thấy thơng qua việc khắc gói IP - phone.txt - Số điện thoại Hoa Kỳ quốc tế - url.txt - URL, thường tìm thấy nhớ cache trình duyệt, thư email biên dịch trước thành tệp thực thi - url_searches.txt - Biểu đồ thuật ngữ sử dụng tìm kiếm Internet từ dịch vụ Google, Bing, Yahoo dịch vụ khác - wordlist.txt -: Danh sách tất “từ” trích xuất từ đĩa, hữu ích cho việc bẻ khóa mật - wordlist _ * txt - Danh sách từ bị xóa trùng lặp, định dạng dạng dễ dàng nhập vào chương trình bẻ khóa mật phổ biến - zip.txt - Một tệp chứa thông tin thành phần tệp ZIP tìm thấy phương tiện Điều đặc biệt hữu ích tệp ZIP chứa cấu trúc bên ZIP ngày định dạng tệp kết hợp lựa chọn cho nhiều sản phẩm Microsoft Office Từ việc phân tích liệu có chứng trên, rút nhiều thơng tin hữu ích có hiệu đưa chứng phạm tội tin tặc hay phát mối liên kết, đầu mối quan trọng để điều tra 27 KẾT LUẬN Bài báo cáo trình bày khái niệm tổng quan Computer Forensic, giới thiệu công cụ Bulk- Extractor xây dựng kịch demo với công cụ BulkExtractor Bài báo cáo giúp cho biết Pháp y kỹ thuật số khái niệm mẻ Việt Nam Mặc dù có số trung tâm cung cấp dịch vụ chưa chuyên sâu Đi với tình hình phát triển ngày nhanh thời đại 4.0 nước ta, công hacker ngày tinh vi khó nắm bắt Việc phát triển thông thạo pháp y kỹ thuật số cách tay đắc lực nhằm điều tra tội phạm mạng, đưa chứng thép giúp cho việc đưa kẻ phạm tội phải chịu trừng phạt thích đáng Nhu cầu truy vết tìm tội phạm mạng hứa hẹn toán buộc phải giải dành cho quan tổ chức lẫn doanh nghiệp Đây hội nghề nghiệp lớn mở cho sinh viên chuyên ngành CNTT chưa định hướng tương lai 28 DANH MỤC TÀI LIỆU THAM KHẢO [1] B Carrier, File System Forensic Analysis, 1st edition Boston, Mass. ; London: Addison-Wesley Professional, 2005 [2] admin, “Forensics gì.” https://list.hocsinhgioi.net/forensics-la-gi/ (accessed Dec 23, 2021) [3] “What is Computer Forensics? | DeVry University.” https://www.devry.edu/onlineprograms/area-of-study/technology/what-is-computerforensics.html?fbclid=IwAR0FnwWCQ03CD1V7aZydhpRCoWeHHfQDYpCazj wK0P8YvaoACwf9cdbuv0Q (accessed Dec 23, 2021) [4] S L Garfinkel, “Digital media triage with bulk data analysis and bulk_extractor,” Comput Secur., vol 32, pp 56–72, 2013 [5] J R Bradley and S L Garfinkel, “Bulk Extractor 1.4 User’s Manual,” NAVAL POSTGRADUATE SCHOOL MONTEREY CA DEPT OF COMPUTER SCIENCE, Aug 2013 Accessed: Dec 23, 2021 [Online] Available: https://apps.dtic.mil/sti/citations/ADA584102 29 ... mạnh mẽ quan trọng người nghề pháp y máy tính Những người lĩnh vực lược qua liệu cần có kỹ tổ chức để giúp họ tách liệu không liên quan khỏi thông tin quan trọng - Các tiêu chuẩn an ninh mạng: Một... vết tìm tội phạm mạng hứa hẹn toán buộc phải giải dành cho quan tổ chức lẫn doanh nghiệp Đây hội nghề nghiệp lớn mở cho sinh viên chuyên ngành CNTT chưa định hướng tương lai 28 DANH MỤC TÀI LIỆU... MỤC LỤC .3 DANH MỤC HÌNH ẢNH .5 DANH MỤC BẢNG BIỂU .6 DANH MỤC TỪ VIẾT TẮT CHƯƠNG 1: LÝ THUYẾT TỔNG QUAN VỀ DỊCH VỤ COMPUTER FORENSIC –