LÝ THUYẾT TỔNG QUAN VỀ DỊCH VỤ COMPUTER FORENSIC – PHÁP Y MÁY TÍNH
Khái niệm Computer Forensic
Forensic là một khái niệm quen thuộc đối với những chuyên gia an toàn thông tin, nhưng vẫn còn khá mới mẻ đối với phần lớn người dùng.
Trong lĩnh vực an toàn thông tin, điều tra số (Forensics) là quá trình phát hiện, bảo vệ và phân tích thông tin từ máy tính hoặc mạng máy tính Mục tiêu của điều tra này là đưa ra các suy luận hợp lý để xác định nguyên nhân và giải thích các hiện tượng trong quá trình điều tra.
Mục tiêu của Computer Forensic
Mục tiêu cốt lõi của dịch vụ Computer Forensic hướng đến bao gồm [2] :
- Khai thác và đưa ra kết luận về dữ liệu thu thập được
Cần lưu ý rằng dữ liệu phải đảm bảo tính xác thực, và được lấy mà không bị hư hại, nếu không dữ liệu đấy sẽ không còn ý nghĩa.
Vai trò Computer Forensic
Khi mội người dùng là chủ doanh nghiệp gặp phải những vấn đề sau:
- Công ty của bạn bị gởi email/tin nhắn nặc danh khủng bố và các bạn muốn biết ai là thủ phạm
- Công ty của bạn bị DOS (tấn công từ chối dịch vụ) và các bạn muốn biết tin tặc ở đâu gây ra
- Website bị deface, hệ thống công ty bị xâm nhập và bạn muốn tìm ra ai là thủ phạm
- Thông tin, dữ liệu nhạy cảm trong công ty bị tiết lộ ra ngoài mà bạn không biết nguyên nhân tại sao
Khi gặp phải một cuộc tấn công, việc xác định nguyên nhân là rất quan trọng để tìm ra biện pháp khắc phục, ngăn chặn sự việc tái diễn và xác định thủ phạm Đây chính là lúc mà dịch vụ Forensics trở nên cần thiết.
Các đối tượng Computer Forensic hướng đến
Forensic thường làm việc với các đối tượng:
- Physical Media, Media Management: Liên quan đến phần cứng, tổ chức phân vùng, phục hồi dữ liệu khi bị xóa…
- File System: Phân tích các file hệ thống, hệ điều hành windows, linux, android…
- Application: Phân tích dữ liệu từ ứng dụng như các file Log, file cấu hình, reverse ứng dụng…
- Network: Phân tích gói tin mạng, sự bất thường trong mạng
- Memory: Phân tích dữ liệu trên bộ nhớ, thường là dữ liệu lưu trên RAM được dump ra
Vai trò của Computer Forensic
Công nghệ Forensic máy tính đóng vai trò quan trọng trong việc tiết kiệm chi phí cho các công ty và tổ chức Nhiều nhà quản lý đang đầu tư một phần lớn ngân sách công nghệ thông tin vào an ninh mạng Theo báo cáo của International Data Corporation (IDC), thị trường phần mềm phát hiện xâm nhập và đánh giá lỗ hổng dự kiến đạt 1,45 tỷ đô la vào năm 2006 Để đối phó với sự gia tăng các mối đe dọa, các tổ chức đang triển khai nhiều thiết bị an ninh mạng như hệ thống phát hiện xâm nhập (IDS), tường lửa và proxy, nhằm báo cáo tình trạng bảo mật của hệ thống mạng.
Mục tiêu chính của Computer Forensic là xác định, thu thập, bảo quản và phân tích dữ liệu một cách hiệu quả, đồng thời đảm bảo tính toàn vẹn của bằng chứng để sử dụng trong các vụ án pháp lý.
Cuộc điều tra pháp y trên máy tính đòi hỏi các điều tra viên phải hiểu rõ loại bằng chứng tiềm năng mà họ đang tìm kiếm, từ tội phạm như khiêu dâm trẻ em đến đánh cắp dữ liệu cá nhân và phá hủy tài sản trí tuệ Họ cũng cần lựa chọn các công cụ phù hợp, vì các tệp có thể đã bị xóa, hỏng hoặc mã hóa Điều này yêu cầu điều tra viên phải quen thuộc với nhiều phương pháp và phần mềm để khôi phục dữ liệu mà không gây thiệt hại thêm.
Trong pháp y máy tính, có hai loại dữ liệu cơ bản được thu thập: dữ liệu liên tục và dữ liệu biến động Dữ liệu liên tục được lưu trữ trên ổ cứng cục bộ hoặc các phương tiện khác, và nó được bảo toàn ngay cả khi máy tính tắt Ngược lại, dữ liệu biến động là những thông tin tồn tại trong bộ nhớ hoặc trong quá trình truyền tải, và sẽ bị mất khi máy tính mất nguồn hoặc tắt Loại dữ liệu này thường nằm trong sổ đăng ký, bộ nhớ đệm và bộ nhớ truy cập ngẫu nhiên (RAM).
3 liệu biến động là phù du, điều cần thiết là điều tra viên phải biết những cách đáng tin cậy để nắm bắt nó
Quản trị viên hệ thống và nhân viên bảo mật cần nắm vững cách các tác vụ quản trị mạng và máy tính ảnh hưởng đến quy trình pháp y và khả năng khôi phục dữ liệu, điều này rất quan trọng cho việc xác định và phân tích sự cố bảo mật.
Những kĩ năng cần cho Forensic
Khi theo đuổi sự nghiệp trong lĩnh vực pháp y, bạn cần trang bị một số kỹ năng quan trọng Những kỹ năng này sẽ giúp bạn thành công và nổi bật trong ngành nghề này.
Lập trình là yếu tố quan trọng giúp bạn hiểu rõ về ngôn ngữ lập trình, từ đó có khả năng truy cập và khôi phục dữ liệu khó tìm, bị mất hoặc bị mã hóa trên các thiết bị.
Tiêu chuẩn ISO là bộ quy tắc và giao thức xác định phương pháp tối ưu để thực hiện các nhiệm vụ, đặc biệt trong lĩnh vực pháp y máy tính Việc nắm vững các tiêu chuẩn này là rất quan trọng để đảm bảo tính chính xác và hiệu quả trong công việc.
Hệ điều hành đóng vai trò quan trọng trong việc thực hiện các chức năng cốt lõi của thiết bị Đối với các chuyên gia pháp y máy tính, việc hiểu biết về hệ điều hành là cần thiết, đặc biệt khi họ làm việc với các thiết bị bị hỏng hoặc bị xâm nhập, nhằm khôi phục dữ liệu bị mất.
Các chuyên gia pháp y máy tính cần nắm vững cách hoạt động của phần cứng và phần mềm để xác định vị trí tối ưu cho việc tìm kiếm dữ liệu Kiến thức này cũng rất quan trọng trong việc sửa chữa và khôi phục dữ liệu hiệu quả.
Có một ý thức tổ chức mạnh mẽ là rất quan trọng đối với những người làm trong nghề pháp y máy tính Họ cần kỹ năng tổ chức để phân loại dữ liệu, giúp tách biệt thông tin quan trọng khỏi dữ liệu không liên quan.
- Các tiêu chuẩn an ninh mạng: Một chuyên gia pháp y máy tính cần phải nắm chắc các tiêu chuẩn được sử dụng trong ngành an ninh mạng
Chuyên gia pháp y máy tính cần có khả năng phân tích dữ liệu phát hiện được để xác định thông tin quan trọng cho cuộc điều tra Kỹ năng này giúp họ nhận diện và khai thác dữ liệu có giá trị, góp phần vào việc giải quyết các vụ án hiệu quả hơn.
Tổng quan về Bulk_extractor
Bulk_extractor là phần mềm chuyên dụng để trích xuất thông tin quan trọng từ các phương tiện kỹ thuật số, bao gồm địa chỉ email, số thẻ tín dụng, URL và nhiều loại dữ liệu khác Chương trình này thường được sử dụng trong các cuộc điều tra, ví dụ như từ ổ cứng của tội phạm hoặc phần cứng máy tính của hacker.
Nó là một công cụ điều tra pháp y quan trọng, hỗ trợ cho nhiều nhiệm vụ như phân tích phần mềm độc hại, điều tra danh tính, điều tra mạng, phân tích hình ảnh và bẻ khóa mật khẩu Chương trình này cung cấp nhiều tính năng đặc biệt, giúp nâng cao hiệu quả trong công tác điều tra.
- Nó tìm địa chỉ email, URL và số thẻ tín dụng mà các công cụ khác bỏ sót
- vì nó có thể xử lý dữ liệu nén (như tệp ZIP, PDF và GZIP) và
Dữ liệu bị hỏng, bao gồm cả ảnh JPEG, tài liệu văn phòng và nhiều loại tệp khác, có thể được khôi phục từ các phân đoạn dữ liệu nén Công nghệ khôi phục sẽ phát hiện và khắc phục những tệp này một cách hiệu quả.
- các tệp RAR được mã hóa
Nó tạo ra danh sách từ dựa trên tất cả các từ được phát hiện trong dữ liệu, bao gồm cả các từ trong tệp nén nằm trong không gian chưa được phân bổ Những danh sách từ này có thể rất hữu ích trong việc bẻ khóa mật khẩu.
- Nó là đa luồng; Bulk_extractor trên máy tính với số lượng gấp đôi
- của các lõi thường làm cho nó hoàn thành một lần chạy trong một nửa thời gian
- Nó tạo biểu đồ hiển thị các địa chỉ email, URL, miền, cụm từ tìm kiếm và các loại thông tin khác trên ổ đĩa
Bulk_extractor hoạt động trên hình ảnh đĩa, tệp hoặc thư mục, trích xuất thông tin hữu ích mà không cần phân tích hệ thống tệp Đầu vào được chia thành các trang và xử lý bởi một hoặc nhiều máy quét Kết quả được lưu trữ trong tệp tính năng, dễ dàng kiểm tra, phân tích cú pháp hoặc xử lý bằng các công cụ tự động khác.
Bulk_extractor tạo ra biểu đồ các tính năng mà nó phát hiện, giúp người dùng nhận diện những đặc điểm quan trọng Các tính năng như địa chỉ email và cụm từ tìm kiếm trên internet thường phổ biến hơn, do đó, việc phân tích chúng trở nên rất cần thiết.
Ngoài các khả năng được mô tả ở trên, Bulk_extractor cũng bao gồm:
Giao diện người dùng đồ họa của Bulk Extractor Viewer cho phép người dùng dễ dàng duyệt qua các tính năng được lưu trữ trong các tệp tính năng, đồng thời hỗ trợ khởi chạy quét ký tự Bulk một cách hiệu quả.
- Một số lượng nhỏ các chương trình python để thực hiện phân tích bổ sung về tính năng các tập tin
Hình 2.1 Giao diện người dùng của Bulk_extrator
Bulk_extractor 1.5 phát hiện và giải nén dữ liệu một cách cực kì hiệu quả trong các tập tin ZIP, GZIP, RAR, và các tệp Hibernation của Microsoft Điều này đã được chứng minh là hữu ích, chẳng hạn như trong việc khôi phục địa chỉ email từ các đoạn tệp nén được tìm thấy trong không gian chưa được phân bổ
Bulk_extractor có cơ chế đơn giản nhưng hiệu quả để bảo vệ chống lại decompression bomb Ngoài ra, nó còn tích hợp các tính năng chuyên biệt cho Windows và phân tích phần mềm độc hại, bao gồm bộ giải mã cho các định dạng Windows PE, Linux ELF, VCARD, Base16, Base64 và các định dạng thư mục Windows.
Bulk_extractor đạt được tốc độ cao nhờ vào việc sử dụng các biểu thức tìm kiếm đã được biên dịch và khả năng đa phân luồng Các biểu thức tìm kiếm này được viết dưới dạng biểu thức chính quy và được biên dịch trước, cho phép bulk_extractor thực hiện tìm kiếm song song nhiều cụm từ khác nhau một cách hiệu quả.
Việc phân luồng được thực hiện bằng cách sử dụng nhóm luồng phân tích, cho phép trích xuất các thuộc tính quan trọng Sau khi trích xuất, bulk_extractor sẽ xây dựng biểu đồ địa chỉ email, cụm từ tìm kiếm từ Google và các tính năng khác Danh sách dừng có thể được áp dụng để loại bỏ các tính năng không liên quan đến trường hợp cụ thể.
Bulk_extractor nổi bật giữa các công cụ pháp y khác nhờ tốc độ xử lý nhanh chóng và khả năng phân tích kỹ lưỡng Bằng cách bỏ qua cấu trúc hệ thống tệp, nó cho phép xử lý song song nhiều phần của đĩa, giúp máy 8 lõi hoạt động hiệu quả hơn gấp 8 lần so với máy 1 nhân Ngoài ra, Bulk_extractor tự động phát hiện và giải nén dữ liệu nén, xử lý đệ quy bằng nhiều thuật toán khác nhau Các thử nghiệm cho thấy công cụ này phát hiện được lượng lớn dữ liệu bị ép trong các vùng chưa được phân bổ, điều mà nhiều công cụ pháp y phổ biến hiện nay không làm được Một điểm mạnh khác là khả năng xử lý mọi loại phương tiện kỹ thuật số, từ ổ cứng, SSD, phương tiện quang học, thẻ máy ảnh, điện thoại di động cho đến mạng kết xuất gói và nhiều loại thông tin kỹ thuật số khác.
Lịch sử
Từ năm 2005 đến 2008, nhóm Bulk_extractor đã tiến hành phỏng vấn các cơ quan thực thi pháp luật để tìm hiểu về nhu cầu sử dụng công cụ pháp y Nhân viên thực thi pháp luật mong muốn có một công cụ tự động hóa cao để tìm kiếm địa chỉ email, số thẻ tín dụng, thông tin GPS, EXIF từ JPEG, và các từ khóa từ URL cũng như trên đĩa để hỗ trợ bẻ khóa mật khẩu Công cụ này cần hoạt động trên các hệ điều hành Windows, Linux và Mac OS X mà không cần sự tương tác của người dùng, đồng thời có khả năng xử lý hình ảnh đĩa thô, phân vùng thô và tệp E01 với tốc độ I/O tối đa mà không gặp sự cố Qua các cuộc phỏng vấn, các yêu cầu ban đầu cho Bulk_extractor đã được hình thành.
Hình 2.2 Một câu chuyện thành công ban đầu của Bulk_extrator đến từ cảnh sát Thành phố San Luis Obispo
Vào mùa xuân năm 2010, tại San Luis Obispo, luật sư quận đã cáo buộc hai cá nhân về hành vi gian lận thẻ tín dụng và sở hữu tài liệu liên quan đến việc thực hiện gian lận này.
Các bị cáo đã bị bắt giữ thông qua việc truy tìm địa chỉ máy tính Luật sư bào chữa cho rằng các bị cáo không đủ tinh vi và thiếu hiểu biết để thực hiện hành vi phạm tội Giám khảo nhận được một ổ đĩa 250 GB một ngày trước phiên điều trần sơ bộ, điều này thường yêu cầu vài ngày để tiến hành một cuộc điều tra pháp y toàn diện đối với lượng dữ liệu lớn này.
Bulk_extractor đã tìm thấy bằng chứng có thể hành động chỉ trong hai giờ rưỡi bao gồm thông tin sau:
- Có hơn 10.000 số thẻ tín dụng trong ổ cứng (tài liệu bất hợp pháp).Hơn 1000 số thẻ tín dụng là được tạo mới
- Địa chỉ email phổ biến nhất thuộc về bị đơn chính (bằng chứng về chiếm hữu)
Các truy vấn phổ biến trên công cụ tìm kiếm liên quan đến thẻ tín dụng gian lận và số nhận dạng ngân hàng cho thấy sự quan tâm ngày càng tăng của người dùng về an ninh tài chính Những tìm kiếm này không chỉ phản ánh mối lo ngại về việc bảo vệ thông tin cá nhân mà còn thể hiện nhu cầu tìm hiểu cách nhận diện và phòng tránh các hình thức lừa đảo trực tuyến.
Bulk_extractor đã được triển khai trong nhiều ứng dụng và đã phát triển để đáp ứng các yêu cầu mới Hướng dẫn này trình bày các trường hợp sử dụng cho hệ thống ký tự Bulk và chỉ ra cách người dùng có thể tối ưu hóa tất cả các tính năng của nó.
Kiến trúc hoạt động
Bulk_extractor là công cụ mạnh mẽ giúp tìm kiếm địa chỉ email, URL và CCN mà các công cụ khác có thể bỏ sót Điều này xảy ra nhờ vào khả năng giải nén và phân tích toàn bộ dữ liệu, bao gồm các định dạng như phân đoạn zip và bộ nhớ cache của trình duyệt gzip Quá trình giải nén diễn ra ngay cả trên dữ liệu không đầy đủ hoặc bị hỏng, cho đến khi không thể giải nén được nữa.
Hình 2.3 Ba giai đoạn của hoạt động với Bulk_extrator
Bulk_extractor hoạt động qua ba giai đoạn chính: trích xuất tính năng, tạo histogram và xử lý hậu kỳ Các tệp đầu ra chứa dữ liệu được trích xuất, được thiết kế để dễ dàng xử lý bởi các chương trình bên thứ ba hoặc sử dụng trong các công cụ bảng tính Hệ thống này tự động tóm tắt các tính năng, giúp tối ưu hóa quy trình phân tích dữ liệu.
Các tệp tính năng được ghi lại bằng hệ thống ghi đặc điểm, nơi các tính năng phát hiện được gửi đến bộ ghi và lưu trong tệp phù hợp Nhiều lần quét tại cùng một điểm có thể ghi vào cùng một tệp tính năng; ví dụ, máy quét exif tìm kiếm tệp định dạng của máy ảnh kỹ thuật số và tọa độ GPS trong hình ảnh, sau đó ghi vào gps.txt Một máy quét khác, máy quét gps, cũng tìm dữ liệu Garmin Trackpoint và tọa độ GPS, ghi vào cùng tệp gps.txt Đặc biệt, một số máy quét có khả năng phát hiện nhiều loại tính năng khác nhau và ghi vào nhiều tệp tính năng, như máy quét email tìm địa chỉ email, miền, URL và tiêu đề RFC822, ghi vào email.txt, domain.txt, url.txt, rfc822.txt và ether.txt tương ứng.
Tệp tính năng bao gồm các hàng tính năng, trong đó mỗi hàng thường chứa một phần bù và một tính năng trong ngữ cảnh bằng chứng Mặc dù máy quét có thể lưu trữ miễn phí thông tin mà họ muốn, nhưng một số dòng trong tệp tính năng email có thể tương tự nhau.
Hình 2.4 Các tính năng tệp email.txt
Các loại tính năng trong tệp tính năng sẽ khác nhau tùy thuộc vào loại tính năng được lưu trữ Tuy nhiên, tất cả các tệp này đều sử dụng một định dạng chung, trong đó mỗi hàng phản ánh một phiên bản của đối tượng địa lý và bao gồm ba cột mô tả dữ liệu: offset, feature và feature trong ngữ cảnh bằng chứng.
Biểu đồ là công cụ hữu ích giúp hiểu rõ các loại bằng chứng, đặc biệt là trong việc phân tích email Biểu đồ email cho phép xác định nhanh chóng người dùng chính của ổ đĩa, các thư từ quan trọng của tổ chức tội phạm và các địa chỉ email liên quan Hệ thống ghi tính năng tự động tạo biểu đồ khi dữ liệu được xử lý, và khi máy quét ghi vào hệ thống, các biểu đồ liên quan sẽ được cập nhật tự động.
Nhìn chung, một tệp biểu đồ sẽ trông giống như phần trích dẫn tệp sau:
Hình 2.5 Cấu trúc file histogram.txt
Mỗi dòng trong tệp hiển thị một đối tượng địa lý cùng số lần mà đối tượng đó được Bulk_extractor phát hiện, với các tính năng được lưu trữ theo thứ tự xuất hiện, từ thường xuyên đến ít thường xuyên Bulk_extractor sử dụng nhiều trình quét để trích xuất các tính năng, cho phép bật hoặc tắt từng máy quét nhằm hỗ trợ gỡ lỗi và tối ưu hóa tốc độ Một số máy quét là đệ quy, mở rộng dữ liệu đang khám phá và tạo ra nhiều dữ liệu hơn cho công cụ ký kết Bulk phân tích Dữ liệu được tổ chức trong các khối gọi là sbufs, với chữ "s" đại diện cho từ safe, đảm bảo quyền truy cập vào dữ liệu trong sbuf được kiểm tra giới hạn, giảm thiểu sự cố tràn bộ đệm Cấu trúc dữ liệu sbuf giúp tối ưu hóa tài nguyên và khả năng chống va chạm, trong khi đệ quy được sử dụng cho việc giải nén ZLIB, Windows HIBERFILE, trích xuất văn bản từ PDF và xử lý dữ liệu bộ nhớ cache của trình duyệt nén.
Quá trình đệ quy yêu cầu một cách mới để mô tả các hiệu số, và Bulk_extractor giới thiệu khái niệm "con đường pháp y" để mô tả nguồn gốc của dữ liệu Ví dụ, trong một luồng HTTP chứa email nén GZIP, máy quét sẽ tìm thấy các vùng ZLIB được nén, giải nén và xác định các tính năng như địa chỉ email, tên và số điện thoại Phương pháp này cho phép Bulk_extractor phát hiện địa chỉ email trong dữ liệu nén, với con đường pháp y cho thấy nguồn gốc từ email đã được nén GZIP trong luồng HTTP.
Hình 2.6 Các tính năng địa chỉ email
Hình 2.7 Forensic path của tính năng email dẫn ngược về luồng HTTP
Bulk_extractor cung cấp đầy đủ chức năng thông qua dòng lệnh và công cụ GUI mang tên Bulk Extractor Viewer, hoạt động trên cả ba hệ điều hành Linux, Mac và Windows.
Xử lý dữ liệu
Để xem danh sách chi tiết các máy quét đã được triển khai với phiên bản Bulk_extractor của bạn, hãy sử dụng lệnh sau.
Lệnh này hiển thị tất cả các máy quét đã cài đặt cùng với thông tin bổ sung về từng máy quét, bao gồm mô tả, danh sách các tính năng phát hiện và các cờ liên quan Dưới đây là một mẫu đầu ra:
Hình 2.8 Danh sách mẫu output của lệnh
2.4.2 Các định dạng dữ liệu đầu vào
Hệ thống ký kết Bulk hỗ trợ nhiều định dạng dữ liệu như E01, raws, split-raws và các tệp cá nhân, cũng như các thiết bị hoặc tệp thô Nó có khả năng hoạt động trên bộ nhớ và thực hiện việc bắt gói, tuy nhiên, hiệu quả hơn nếu các gói được xử lý trước bằng tcpflow.
Tất cả các máy quét đều có chức năng riêng và tìm kiếm thông tin đa dạng Thông thường, mỗi tính năng được lưu trữ ở định dạng khó truy cập, do đó cần nhiều máy quét để trích xuất dữ liệu một cách hiệu quả.
Bulk_extractor giải quyết vấn đề tìm kiếm trong các tệp PDF bằng cách sử dụng hai máy quét hoạt động đồng thời Đầu tiên, máy quét PDF sẽ trích xuất toàn bộ văn bản từ tệp, sau đó các máy quét khác sẽ phân tích văn bản này để tìm kiếm các tính năng cần thiết Việc bật và tắt các máy quét cần được chú ý, vì chúng phối hợp với nhau để truy xuất các đặc điểm từ hình ảnh đĩa Các định dạng máy quét của bulk_extractor được liệt kê trong bảng dưới đây.
Bảng 2.1 Các định dạng scanner
Tên định dạng Mô tả
Dữ liệu quét bao gồm nhiều loại thông tin như tài khoản số (số điện thoại và CCN), khóa AES trong bộ nhớ từ lịch biểu chính, dữ liệu mã hóa cơ sở 16 (hex) và mã MD5 Ngoài ra, còn có mã hóa Base 64, định dạng ELF cho tệp thực thi và cấu trúc EXIF từ tệp JPEG Dữ liệu từ Facebook, XML từ thiết bị GPS Garmin, tệp GZIP và luồng GZIP nén ZLIB cũng được hỗ trợ Hơn nữa, cơ sở dữ liệu NPS Hash, các phân đoạn tệp ngủ đông của Windows, tệp nhật ký HTTP, và ảnh JPEG cũng được xử lý, bao gồm cả JPEG không có EXIF.
Các tệp và đối tượng JavaScript Object Notation được tải xuống từ máy chủ web, cũng như các đối tượng giống JSON được tìm thấy trong mã nguồn
13 kml KML files pdf Văn bản từ tệp PDF (được trích xuất để xử lý không được khắc) rar
Các thành phần RAR trong kho lưu trữ không được mã hóa sẽ được giải mã và xử lý, trong khi các tệp RAR được mã hóa sẽ bị khắc Đối với các tệp vCard, chúng có liên quan đến các mục nhập thư mục Windows trên hệ thống tập tin FAT32 và NTFS, cũng như ứng dụng WinPE.
Môi trường cài đặt sẵn Windows (PE) chứa các tệp thực thi như exe và dll, được đánh dấu bằng mã băm MD5 của 4k đầu tiên Chức năng winprefetch trong Windows giúp tìm nạp trước các tệp và đoạn tệp đã được xử lý, tối ưu hóa hiệu suất hệ thống.
File carving là một kỹ thuật khôi phục tệp đặc biệt, cho phép phục hồi dữ liệu ngay cả khi các sector chứa siêu dữ liệu hệ thống tệp đã bị ghi đè hoặc hỏng Phương pháp này rất hữu ích trong cả việc khôi phục dữ liệu và điều tra pháp y, giúp lấy lại thông tin quan trọng từ các tệp bị mất.
Kết quả khắc được lưu trữ ở hai vị trí khác nhau: một tệp txt liệt kê tất cả các tệp đã khắc, bao gồm jpeg_carved.txt cho tệp JPEG, unzip.txt cho tệp ZIP và unrar.txt cho tệp RAR Đồng thời, các tệp JPEG, ZIP và RAR được lưu trong các thư mục trong thùng rác với tên lần lượt là /jpeg, /unzip và /unrar Mỗi thư mục chứa tối đa 1000 tệp và được đặt tên bằng 3 chữ số thập phân; nếu số lượng tệp vượt quá 999.000, các thư mục tiếp theo sẽ có tên 4 chữ số Tên tệp cho JPEG được đặt là forensicpath.jpg.
Tên tệp cho trình khắc phục sự cố ZIP là forensicpath_filename, và nếu tên tệp ZIP chứa dấu gạch chéo (biểu thị thư mục), các dấu gạch chéo sẽ được thay thế bằng dấu gạch dưới '_'.
Ví dụ, tệp mydocs /output /specialfile sẽ được đặt tên là mydocs_output_specialfile
Có 3 chế độ carving file mà Bulk_extractor cung cấp, như bảng dưới:
Bảng 2.2 Bảng chế đọ carving file
0 Không khôi phục các tệp thuộc loại được chỉ định
1 Chỉ khôi phục các tệp được mã hóa thuộc loại được chỉ định
2 Khôi phục tất cả các tệp
2.4.4 Loại bỏ các trùng lặp
Hệ điều hành hiện đại chứa nhiều địa chỉ email, chủ yếu từ Windows nhị phân, chứng chỉ SSL và tài liệu mẫu Nhiều địa chỉ email, như someone@example.com, không liên quan đến trường hợp và cần được ngăn chặn Bulk_extractor cung cấp hai cách tiếp cận để giải quyết vấn đề này: người dùng có thể tạo danh sách dừng hoặc sử dụng danh sách dừng có sẵn để loại bỏ các địa chỉ email không hợp lệ Phương pháp này hiệu quả với những địa chỉ rõ ràng không hợp lệ, nhưng đối với nhiều địa chỉ khác, việc ngăn chặn cần phải linh hoạt hơn tùy thuộc vào từng trường hợp cụ thể.
Bulk_extractor sử dụng danh sách dừng phân biệt ngữ cảnh để giải quyết vấn đề dừng địa chỉ email của hơn 20.000 nhà phát triển Linux trong chương trình nhị phân Thay vì dựa vào một danh sách các tính năng đơn giản, phương pháp này kết hợp tính năng với ngữ cảnh để đạt được hiệu quả cao hơn.
Có một danh sách dừng phân biệt ngữ cảnh dành cho Microsoft Windows XP,
Vào năm 2000 và 2003, hệ điều hành Vista cùng một số hệ thống Linux đã được phát triển Tổng danh sách dừng của chúng là 70 MB, bao gồm 628.792 tính năng trong một tệp zip chỉ 9 MB Danh sách dừng này nhạy cảm theo ngữ cảnh và đã loại bỏ nhiều phần mềm do hệ điều hành cung cấp, nhằm tối ưu hóa hiệu suất.
Số lượng email đã giảm từ 9.143 xuống còn 4.459, giúp giảm đáng kể khối lượng công việc cho các điều tra viên Biểu đồ dưới đây minh họa sự khác biệt về địa chỉ email khi chạy Bulk_extractor với và không có phân biệt ngữ cảnh từ danh sách dừng Danh sách dừng nhạy cảm theo ngữ cảnh được thiết lập cho các hệ điều hành khác nhau.
Hình 2.9 Sự khác nhau giữa dùng Stoplist và không dùng Stoplist
2.4.5 Sử dụng danh sách cảnh báo
Các từ hoặc tính năng cụ thể trong một ngữ cảnh nhất định có thể quan trọng đối với cuộc điều tra của người dùng
Các tính năng của Bulk_extractor
Kỹ thuật số cho Bulk_extractor được áp dụng trong nhiều trường hợp khác nhau Trong phần này, chúng tôi sẽ trình bày một số ứng dụng phổ biến nhất của hệ thống Mỗi trường hợp sẽ đề cập đến các tệp đầu ra liên quan, bao gồm tệp đặc trưng và tograms, phù hợp với từng loại điều tra cụ thể.
2.5.1 Điều tra phần mềm độc hại
Phần mềm độc hại là sự xâm nhập có lập trình, và khi điều tra, người dùng cần xem các tệp thực thi, thông tin tải xuống từ các ứng dụng web và mục trong thư mục Windows Bulk_extractor hỗ trợ điều này bằng cách tìm kiếm bằng chứng về hầu hết tất cả các tệp thực thi trên ổ cứng, bao gồm thứ tự nhập, các tệp chứa trong tệp ZIP và các tệp nén.
Nó chỉ cung cấp giá trị băm của 4KB đầu tiên của tệp thay vì toàn bộ tệp, vì nghiên cứu cho thấy phần này mang tính dự đoán cao, đặc biệt đối với các tệp thực thi Ngoài ra, nhiều tệp có thể bị phân mảnh, nhưng việc xem xét 4KB đầu tiên vẫn cung cấp thông tin quan trọng cho các cuộc điều tra, vì sự phân mảnh thường không xảy ra trước 4KB đầu tiên Lưu ý rằng hàm băm đầy đủ của tệp bị phân mảnh không có sẵn trong bulk_extractor.
Một số tệp tính năng đầu ra do Bulk_extractor tạo ra chứa thông tin quan trọng liên quan đến các tệp thực thi Các tệp này bao gồm các dữ liệu có giá trị giúp phân tích và đánh giá các tệp này một cách hiệu quả.
Tệp elf.txt, được tạo ra bởi máy quét ELF, chứa thông tin quan trọng về các tệp thực thi ELF, có thể được sử dụng để nhắm mục tiêu các hệ thống Linux và Mac OS.
Tệp winprefetch.txt được tạo ra bởi trình quét winprefetch, liệt kê các tệp hiện tại và đã xóa trong thư mục tìm nạp trước của Windows Nội dung XML trong các tệp này quá phức tạp để xem xét nếu không có các ứng dụng hỗ trợ Để phân tích kết quả thực thi một cách hiệu quả, việc sử dụng phần mềm của bên thứ ba là cách được khuyến nghị.
Công cụ phân tích tệp thực thi cho phép so sánh các giá trị băm với cơ sở dữ liệu hàm băm Một công cụ Python đi kèm, Recoggit_filenames.py, giúp lấy tên tệp đầy đủ Trong các cuộc điều tra phần mềm độc hại trên Windows, tệp winpe.txt và winprefetch.txt rất quan trọng, được tạo ra bởi các máy quét chuyên dụng Windows Prefetch lưu trữ thông tin về các tệp đã được truy cập trước đó và các tệp đã xóa trong không gian chưa phân bổ Các tính năng PE hiển thị thông tin liên quan đến tệp thực thi Windows dưới định dạng JSON, một định dạng trao đổi dữ liệu nhẹ, thường được sử dụng trên web Tệp đầu ra json.txt từ máy quét JSON có giá trị trong việc điều tra phần mềm độc hại ứng dụng web, và nếu một trang web tải xuống dữ liệu ở định dạng JSON, thông tin đó có thể được tìm thấy trong bộ nhớ cache của trình duyệt.
Các cuộc điều tra mạng có khả năng quét và thu thập nhiều loại thông tin khác nhau, bao gồm khóa mã hóa, giá trị băm và thông tin về các gói ethernet Bulk_extractor cung cấp các máy quét hiệu quả, tạo ra các tệp tính năng duce chứa thông tin quan trọng này Đặc biệt, các tệp tính năng liên quan đến thông tin mã hóa có thể rất hữu ích trong quá trình phân tích.
AES là một hệ thống mã hóa phổ biến, nhưng nhiều triển khai để lại các khóa trong bộ nhớ, có thể được phát hiện thông qua một thuật toán từ Đại học Princeton Bulk_extractor đã cải tiến thuật toán này để tìm khóa AES trong quá trình quét bộ nhớ, bao gồm cả tệp hoán đổi và tệp ngủ đông Khi quét, nó có khả năng xác định các khóa AES, cho phép sử dụng chúng để giải mã tài liệu đã được mã hóa bằng AES.
Máy quét hex.txt là công cụ hữu ích cho việc giải mã thông tin lưu trữ trong định dạng Base16, chuyển đổi chúng thành các giá trị thập phân tương ứng Công cụ này đặc biệt hữu ích khi tìm kiếm khóa AES hoặc hàm băm SHA1, với khả năng ghi lại các khối kích thước 128 và 256, phù hợp với kích thước khóa mã hóa Tính năng này rất quan trọng cho các nhà điều tra trong việc xác định các khóa mã hóa email hoặc giá trị băm trong các cuộc điều tra không gian mạng.
Máy quét base64 đóng vai trò quan trọng trong các cuộc điều tra mạng, đặc biệt là khi phân tích các tệp đính kèm email mã hóa bằng Base64 Thông tin trong các tệp đính kèm này sẽ được các máy quét khác phân tích để xác định các tính năng cụ thể.
Máy quét Windirs có khả năng tìm kiếm các mục nhập thư mục trên hệ thống Windows FAT32 và NTFS, đồng thời hỗ trợ các cuộc điều tra mạng liên quan đến máy tính Windows, vì chúng có thể chỉ ra số lần hoạt động đã diễn ra.
Cuối cùng, các tệp ether.txt, ip.txt, tcp.txt và domain.txt đều do máy quét mạng
Bài viết này đề cập đến việc tìm kiếm các gói ethernet và cấu trúc bộ nhớ liên quan đến dữ liệu mạng Cần lưu ý rằng các kết nối TCP thường có nhiều kết quả dương tính giả, do đó, thông tin mà máy quét thu thập có thể không chính xác Các nhà điều tra cần thận trọng khi giải thích các tệp tính năng này để tránh sai sót.
Các cuộc điều tra danh tính có khả năng thu thập nhiều loại thông tin quan trọng như địa chỉ email, thông tin thẻ tín dụng, số điện thoại, thông tin địa lý và từ khóa tìm kiếm Chẳng hạn, nếu điều tra viên muốn xác định danh tính của một cá nhân và các mối quan hệ của họ, họ sẽ xem xét số điện thoại, các cụm từ tìm kiếm để hiểu hoạt động của người đó, cũng như kiểm tra email để biết ai là người mà họ đang giao tiếp.
Máy quét accts rất hữu ích cho việc điều tra danh tính Nó tạo ra một số tính năng các tệp có thông tin nhận dạng bao gồm:
- ccn.txt - số thẻ tín dụng
- ccn_track2.txt - hai thông tin theo dõi thẻ tín dụng - thông tin liên quan nếu một số-
- một người đang cố gắng làm thẻ tín dụng giả
- pii.txt - thông tin nhận dạng cá nhân bao gồm ngày sinh và số xã hội
- phone.txt - số điện thoại
Máy quét KML và GPS cung cấp thông tin định vị chính xác về hoạt động của người dùng trong một lĩnh vực cụ thể Cả hai thiết bị này đều ghi lại dữ liệu vào tệp gps.txt, giúp theo dõi và phân tích thông tin liên quan đến các hoạt động đã thực hiện.
KỊCH BẢN VÀ MÔ HÌNH THỰC NGHIỆM CÔNG CỤ BULK_
Thực nghiệm phân tích dữ liệu thu thập được từ việc quét ổ đĩa bằng Bulk_extractor
Với những yêu cầu đặt ra Sinh viên đề xuất kịch bẳn thực nghiệm công cụ Bulk_extractor như sau
Kịch bản đề xuất yêu cầu sử dụng công cụ Bulk_extractor để phân tích ổ cứng chứa nhiều dữ liệu quan trọng Các thông tin cần thu thập bao gồm dữ liệu về domain người dùng truy cập, email đã trao đổi, hình ảnh và các tập tin khác có trong ổ cứng.
3.2 Thực nghiệm phân tích dữ liệu thu thập được từ việc quét ổ đĩa bằng Bulk_extractor
3.2.1 Th ự c hi ệ n quét ổ đĩa theo kị ch b ả n
Trong bước này chúng ta sẽ tiếng hình quét thư mục ổ đĩa để tiến hành thu thập thông tin Khởi động terminal và gõ lệnh như sau:
$ bulk_extractor -o output -R /home/bulk_extractor/tests
Hình 3.1 Thực thi quét ổ đĩa
Hình 3.2 Kết quả sau khi thực hiện quét ổ đĩa
3.2.2 Phân tích các k ế t qu ả thu đượ c
3.2.2.1 Phân tích domain Đầu tiên, chúng ta phân tích đến file domain.txt, trong file này sẽ chứa tên miền mà người dùng đã từng truy cập vào Từ đó có thể nghiên cứu được hành vi sử dụng internet của đối tượng cũng như những nội dung nào thường được xem và truy cập Sau khi quét chúng ta sẽ có 2 file đó là domain.txt và domain_histogram.txt, trong file đầu tiên chứa tất cả những thông tin về domain quét được còn trong file thứ 2 sẽ chứa các thông tin đã được trích xuất cụ thể
Hình 3.3 Domain đã được trích xuất
Hình 3.4 Domain dữ liệu thô
Chúng ta sẽ tiến hành phân tích file email.txt và email_histogram.txt, tương tự như cách đã làm với domain File email.txt chứa toàn bộ thông tin đã quét được về email, trong khi file email_histogram.txt chứa thông tin đã được trích xuất từ file đầu tiên.
Hình 3.5 Dữ liệu email quét được dưới dạng thô
Hình 3.6 Dữ liệu email đã được trích xuất
Công cụ này hỗ trợ trích xuất tiêu đề email và tiêu đề HTTP từ tệp rfc822.txt, cung cấp thông tin theo định dạng RFC822, Tiêu chuẩn Thư Internet Điều này hữu ích cho việc xem xét chủ đề của các email đã gửi và thông tin liên quan đến các yêu cầu HTTP.
Hình 3.7 Dữ liệu được trích xuất trong tệp rfc822.txt
Công cụ Bulk_extractor có khả năng quét và trích xuất dữ liệu hình ảnh từ thiết bị lưu trữ, với thông tin thô về hình ảnh được lưu trữ trong tập tin jpeg_carved.txt.
Hình 3.8 Dữ liệu thô của hình ảnh
Hơn nữa các hỉnh ảnh cũng được tổng hợp lại trong thư mục jpeg_carved nhằm dễ dàng cho việc phân tích
Hình 3.9 các ảnh được trích xuất và tổng hợp lại
Từ những hình ảnh này, chúng ta có thể xác định được chủ sở hữu dữ liệu, các mối quan hệ của họ và hình ảnh về cuộc sống hàng ngày của họ.
3.2.2.4 Phân tích các tệp nén
Ngoài ra với Bulk_extractor, chúng ta cũng có thể quét và trích xuất tất cả file nén được lưu trữ ở trong ổ cứng (kể cả đã xóa hay format)
Hình 3.10 Các file nén đã quét được
Công cụ cũng hỗ trợ việc giải nén các tập và tổng hợp lại trong thư mục unzip_carved
Hình 3.11 các tệp nén được giải nén và tổng hợp lại Ngoài ra còn rất nhiều thông tin hữu ích cho việc phân tích như:
Địa chỉ MAC Ethernet có thể được xác định thông qua việc phân tích gói IP trong tệp hoán đổi, tệp ngủ đông nén và các đoạn tệp liên quan.
- exif.txt - EXIF từ JPEG và phân đoạn video Tệp tính năng này chứa tất cả các trường EXIF, được mở rộng dưới dạng bản ghi XML
- find.txt - Kết quả của các yêu cầu tìm kiếm biểu thức chính quy cụ thể
- ip.txt - Địa chỉ IP được tìm thấy thông qua việc khắc gói IP
- phone.txt - Số điện thoại Hoa Kỳ và quốc tế
- url.txt - URL, thường được tìm thấy trong bộ nhớ cache của trình duyệt, thư email và được biên dịch trước thành tệp thực thi
Biểu đồ các thuật ngữ tìm kiếm trên Internet từ các dịch vụ như Google, Bing, Yahoo và nhiều nền tảng khác, cung cấp cái nhìn tổng quan về xu hướng và sở thích của người dùng trong việc tìm kiếm thông tin trực tuyến.
- wordlist.txt -: Danh sách tất cả các “từ” được trích xuất từ đĩa, hữu ích cho việc bẻ khóa mật khẩu
- wordlist _ * txt - Danh sách từ bị xóa trùng lặp, được định dạng ở dạng có thể dễ dàng nhập vào một chương trình bẻ khóa mật khẩu phổ biến
Tệp zip.txt chứa thông tin chi tiết về các thành phần trong tệp ZIP trên phương tiện lưu trữ Điều này rất hữu ích vì tệp ZIP không chỉ bao gồm cấu trúc bên trong mà còn ngày càng trở thành định dạng tệp ưa chuộng cho nhiều sản phẩm, đặc biệt là Microsoft Office.
Phân tích dữ liệu từ bằng chứng cho phép chúng ta thu thập thông tin quan trọng, giúp xác định bằng chứng phạm tội của tin tặc và phát hiện các mối liên kết cũng như đầu mối cần thiết cho quá trình điều tra.
