Please follow and like us:
Thu thập và phân tích chứng
cứ từ hệ thống
Quá trình thu thập và phân tích chứng cứ từ hệ thống bao gồm các quá trình thu thập dữ liệu từ trình duyệt, nhật ký trò chuyện và thu thập dữ liệu từ các file log hệ thống.
1. Dữ liệu từ trình duyệt, nhật ký trò chuyện
o Bất kỳ các ứng dụng được sử dụng để giao tiếp trên Internet đều có khả năng chứa các chứng cứ: trình duyệt web, email khách hàng, các bản ghi trò chuyện.
o Tìm kiếm chứng cứ trong các trình duyệt:
▪ Lịch sử duyệt web.
▪ Kiểm tra địa chỉ:
thanh địa chỉ ghi lại những địa chỉ web mà tội phạm đã gõ vào.
▪ Tìm kiếm thông qua các phần hiển thị: các trình duyệt thường lưu lại các thuật ngữ tìm kiếm được nhập trước đó.
Các tội phạm chuyên nghiệp thường không dùng biểu tượng của trình duyệt trên màn hình máy tính nên cần tìm kiếm tất cả các trình duyệt trên máy tính.
o Tìm chứng cứ thông qua nhật ký trò chuyện: các chat room cũng có thể được sử dụng để trao đổi thông tin giữa các tội phạm. Các phần mềm chat [Yahoo, MSN,
Wechat, Zalo…] thường giữ ít nhất một bản ghi tạm thời của cuộc hội thoại => có thể tìm kiếm các manh mối có giá trị.
2. Thu thập dữ liệu từ các file log hệ thống
o Windows log:
▪ Log ứng dụng: sự kiện đăng nhập bởi các ứng dụng.
▪ Log bảo mật: việc sử dụng tài nguyên, số lần đăng nhập thành công/thất bại.
▪ Log setup: sự kiện liên quan đến cài đặt ứng dụng.
▪ Log hệ thống: các sự kiện liên quan các thành phần hệ thống.
▪ Log sự kiện chuyển tiếp: các sự kiện thu
thập được từ máy tính từ xa.
o Linux log:
▪ /var/log/faillog: thông tin đăng nhập người dùng không thành công.
▪ /var/log/kern.log: các thông điệp từ nhân của hệ điều hành.
▪ /var/log/lpr.log: nhật ký máy in.
▪ /var/log/mail.*: nhật ký máy chủ email.
▪ /var/log/mysql: nhật ký máy chủ CSDL MySQL.
▪ /var/log/apache2/*: các hoạt động liên quan tới máy chủ web apache.
▪ /var/log/apport.log: nhật ký các ứng dụng bị treo.
▪ /var/log/user.log: chứa bản ghi hoạt động
của người dùng.
3. Phục hồi dữ liệu bị xóa
o Phục hồi dữ liệu từ hệ điều hành Windows: khôi phục dữ liệu từ thùng rác, từ ổ đĩa.
o Phục hồi dữ liệu từ hệ điều hành Linux:
▪ Thông báo cho người dùng hệ thống: lệnh wall System is going down to… please save your work. Press CTRL+D to send message.
▪ Khởi động lại máy và vào chế độ single user.
▪ Sử dụng cú pháp:
grep -b ‘search-text /dev/partition > file.txt
hoặc grep -a -B[size before] -A[size after]
‘text’/dev/[your_partition] > file.txt
Ví dụ: # grep -i -a -B10 -A100 nixCraft’ /dev/sda1 > file.txt
▪ Xem file.txt.
4. Các vị trí quan trọng cần kiểm tra đối với hệ thống
o Trong Windows:
▪ C:\Program Files: nơi cài đặt hầu hết các chương trình, nơi thường được tìm kiếm các phần mềm gián điệp, công cụ hack, phần mềm liên quan đến tội phạm máy tính.
▪ C:\Windows: nơi lưu trữ các hệ điều hành.
▪ C:\Windows\System32: chứa các file hệ thống quan trọng DLLs.
▪
C:\Users\username\Documents: vị trí mặc định của các tài liệu.
▪ C:\Users\username\Pictures: vị trí mặc định lưu hình ảnh của Windows.
▪ C:\Users\username\Favorites: nơi Internet Explorer lưu trữ thư mục yêu thích của mỗi người dùng, nơi có thể tìm những trang web mà tội phạm có thể đánh dấu.
▪ C:\Users\username\Desktop: màn hình máy tính người dùng.
▪ C:\Users\username\Downloads: vị trí mặc định cho bất kỳ chương trình tải về từ Internet.
o Trong Linux:
▪ /home: tương tự
thư mục C:\Users trong Windows.
▪ /root: thư mục cho người quản trị có quyền root.
▪ /var: chứa các mục quản trị như các bản ghi, cần kiểm tra kỹ lưỡng.
▪ /temp: chứa các tập tin tạm thời.
▪ /etc: chứa các tập tin cấu hình, các tội phạm thường thay đổi file cấu hình => cần so sánh các tập tin cấu hình trên máy tính bị nghi ngờ với phiên bản sao lưu.
Please follow and like us:
Xem thêm : Hiểu Về Điều Tra Chứng Cứ Số
Thu Thập Dữ Liệu Chứng Cứ Số – Bài Tập 1
Đăng kí học :
Làm theo các bước sau để tạo ảnh đĩa NTFS trên đĩa FAT32 bằng cách sử dụng lệnh dd.Các lệnh Linux / UNIX phân biệt chữ hoa chữ thường, vì vậy hãy đảm bảo rằng bạn nhập các lệnh chính xác như được trình bày trong các bước của phần này.
Nhiệm vụ 1 – Sử dụng lệnh dd
Để sử dụng lệnh dd để tạo tệp hình ảnh của thiết bị lưu trữ, hãy thực hiện các bước sau:
Bước 1
Trên thiết bị PLABWIN810 , cửa sổ Terminal của KALI Linux đang mở.
Tại dấu nhắc shell, liệt kê tất cả các ổ đĩa được kết nối với loại máy tính:
Nhấn Enter .
Bước 2
Sau đây là đầu ra của lệnh fdisk.
Bước 3
Để thay đổi thư mục mặc định của bạn thành ổ đĩa đích, hãy nhập:
Nhấn Enter .
Bước 4
Liệt kê nội dung của cấp độ gốc của ổ đĩa đích bằng cách nhập
ls -al
Và nhấn Enter.
Đầu ra của bạn phải tương tự như sau:
total 8 drwxr-xr-x 2 root root 4096 Jun 1 03:35 . drwxr-xr-x 3 root root 4096 Jun 1 03:35 ..
Bước 5
Để tạo một thư mục đích nhận các bản lưu hình ảnh của ổ đĩa nghi ngờ, hãy nhập:
Nhấn Enter .
Bước 6
Để thay đổi thư mục đích mới được tạo, hãy nhập:
Nhấn Enter .
Đừng đóng cửa sổ shell.
Bước 7
Tiếp theo, bạn thực hiện chuyển ảnh định dạng thô của toàn bộ ổ đĩa nghi ngờ vào thư mục đích. Để làm điều này, bạn sử dụng lệnh tách với lệnh dd. Lệnh phân tách tạo phần mở rộng gồm hai ký tự cho mỗi ổ đĩa được phân đoạn .. Theo quy tắc chung, nếu bạn định sử dụng công cụ pháp y của Windows để kiểm tra tệp hình ảnh dd được tạo bằng công tắc này, các ổ đĩa được phân đoạn không được vượt quá 2 GB mỗi ổ vì giới hạn kích thước tệp FAT32. Giới hạn 2 GB này cho phép bạn chỉ sao chép tối đa 198 GB đĩa của nghi phạm. Nếu bạn cần sử dụng lệnh dd, tốt hơn nên sử dụng mặc định của lệnh tách gồm các phần mở rộng chữ cái tăng dần và tạo các phân đoạn nhỏ hơn. Để điều chỉnh kích thước âm lượng được phân đoạn, hãy thay đổi giá trị cho
Bây giờ, hãy nhập:
dd if=/dev/sdb1 conv=sync,noerror bs=64K | gzip -c | split -b 2000m - /system_drive_backup.img.gz
Nhấn Enter .
Bước 8
Sau vài phút, bạn sẽ nhận được kết quả là ảnh tệp đã tạo, tương tự như ảnh chụp màn hình sau đây.
Đóng cửa sổ Terminal .
Bước 9
Để xem ảnh thô đã được tạo từ lệnh dd và lệnh tách, bấm đúp vào biểu tượng Máy tính trên màn hình nền.
Bước 10
Trên cửa sổ đang mở, bấm Hệ thống tệp ở ngăn bên trái.
Lưu ý tệp hình ảnh system_drive_backup.img.gzaa .
Nhấp chuột phải vào tệp đã nói và chọn Cắt .
Bước 11
Dán tệp hình ảnh vào thư mục / mnt / sdb1 / case01 .
Đóng cửa sổ Hệ thống Tệp .
Bước 12
Để hoàn tất việc mua lại này, hãy mở lại GParted .
Gỡ bỏ mục tiêu / dev / sdb1 bằng cách nhấp chuột phải vào nó và chọn Unmount.
Đóng GParted sau khi thiết bị được tháo gỡ.
Bước 13
Trong loại Terminal, Sudo Reboot