Một số đường dẫn quan tâm trong đánh giá an ninh an toàn
1. Dịch vụ kiểm tra chương trình, đường dẫn an toàn
https://www.virustotal.com/
2. Kho lưu trữ bản chụp các trang web
https://archive.org/
3. Bản đồ an ninh mạng thời gian thực
http://www.akamai.com/html/technology/dataviz1.html
http://map.ipviking.com/?_ga=1.106938115.1477390587.1388686673#
http://www.digitalattackmap.com/#anim=1&color=0&country=ALL&time=16372&view=map
4. Kho lưu trữ các phần mềm thông dụng đã được kiểm tra
khophanmem.vn
5. Phần mềm khôi phục dữ liệu
https://www.piriform.com/recuva
https://drive.google.com/open?id=0B6e8HrlpZLUoRnZwdG9IMEJCSHc
6. Phần mềm hiện thị file ẩn trên usb
https://drive.google.com/open?id=0B6e8HrlpZLUoNTV1ZmQ0UjBYU1E
7. Phần mềm xóa vĩnh viễn dữ liệu
https://drive.google.com/open?id=0B6e8HrlpZLUoMVkzcHJZd3pNUFU
8. Địa chỉ kiểm tra email còn an toàn
https://isleaked.com/
https://lastpass.com/gmail/
Một số hướng dẫn chi tiết:
Hương dẫn sử dụng máy ảo VmWare
Hướng dẫn sử dụng TrueCrypt
Ẩn danh khi lướt web
Xác thực 2 lớp trên Gmail
Monday, December 28, 2015
Wednesday, December 16, 2015
HƯỚNG DẪN SỬ DỤNG MỘT SỐ PHẦN MỀM GIẤU TIN TRONG ẢNH STEGANOGRAPHY
Ngày nay chúng ta thường nghe nói đến Steganography.
Đó là một hình thức che giấu sự tồn tại của thông điệp. Khác với Cryptography
(mã hóa) thì Steganography ẩn đi các thông tin cần giữ bí mật trong các dữ
liệu vô hại để đối phương không thể biết được sự hiện diện của thông điệp.
Trong cuộc cách mạng của Mỹ, mực không màu cũng được
sử dụng để trao đổi thông điệp giữa người Mỹ và người Anh. Trong các cuộc chiến
tranh thế giới, Steganography cũng được sử dụng. Người Đức đã sử dụng mực không
màu để viết các dấu chấm nhỏ lên phía trên và dưới các chữ cái bằng cách thay
đổi chiều cao các chữ trong đoạn văn bản. Trong chiến tranh thế giới thứ nhất, các
tù nhân cũng sử dụng mã Morse để gửi thư về nhà bằng cách viết các dấu chấm và
gạch ngang lên các chữ cái i,j,t,f.
Ngày nay trên mạng có rất nhiều đoạn nhạc hay các bức
hình tưởng chừng như bình thường nhưng nó lại chứa các thông tin hoàn toàn bí
mật. Điều này càng làm cho Steganography càng trở nên phổ biến. Dưới đây là
hình ảnh minh họa cho điều này:
Bức ảnh trên có chứa một thông điệp mà nếu chỉ nhìn
bằng mắt thường thì khó có thể nhận thấy được.
1. Phần mềm Ultima Steganogarphy
Ultima
Steganography cung cấp cho người dùng một trong những phương pháp hiệu quả nhất
để bảo mật dữ liệu trong Windows. Phần mềm
cho phép bạn mã hóa các tập tin quan trọng và đặt chúng trong những bức ảnh
thông thường. Và dĩ nhiên, sẽ chẳng ai ngờ đến sự tồn tại của tập tin đó bởi thứ
họ nhìn thấy chỉ là một bức ảnh không hơn không kém.
Ultima Steganography có một giao diện người dùng vô cùng đơn giản và dễ sử
dụng. Phần mềm cung cấp hai chế độ làm việc bao gồm Hide a file in an image (ẩn tập tin trong một bức ảnh) và Extract hidden file from an image (Giải nén tập tin từ một bức ảnh). Bằng việc thực hiện
lần lượt các yêu cầu của phần mềm, bạn sẽ dễ dàng vô hình hóa tập tin với một mật
khẩu cho trước để chia sẻ hoặc lưu trữ chúng mà không lo bị phát hiện.
1.1. Hướng dẫn cài đặt
Bước
1. Nhấn đúp vào file Ultima_Steganography_Setup.exe; sau đó bấm Next
Bước 2. Chọn nơi cài đặt
Bước 3. Chọn Next, chương trình sẽ chạy
cho đến cửa sổ Complete
Bước 4. Nhập thông tin đăng ký
Nhập thông tin hoàn thành quá trình cài đặt
1.2. Ẩn giấu thông tin
Bước 1: khởi chạy
chương trình
Giao diện chương trình sau khi chạy
Bước 2: Lựa
chọn chức năng mong muốn:
-
Để ẩn giấu thông tin ta chọn Hide a file in an image
-
Để trích xuất thông tin ẩn giấu ta chọn Extract hidden file from an image
Để ẩn giấu thông tin vào trong ảnh ta chọn “Hide a
file in an image” sau đó bấm Next. Cửa sổ mở ra:
Tại mục “Please, select a secret
file (file to hiden), bấm Nút Browse
Sau đó, chúng
ta có thể (tùy chọn) điền một số thông tin miêu tả tại mục File Description
(chú ý: không ghi thông tin mật liên quan tới file ẩn giấu)
Bước 3. Chọn vật
mang (ảnh, video,….) để lưu trữ thông tin
Phần mềm hỗ trợ
rất nhiều định dạng vật mang (.gif, .bmp, .jpeg,…)
Bước 4. Lựa chọn ảnh lưu trữ đầu ra tại Output Image. Bấm Browse chọn
vị trí lưu trữ ảnh đã ẩn giấu thông tin. Lưu ý: Không sử dụng định dạng lưu trữ
đầu ra dạng .JPEG vì đây là định dạng ảnh có tỷ lệ nén cao vì thế dễ bị mất mát
dữ liệu
Bấm Browse và
chọn tên file lưu trữ
Bước 5. Đặt mật khẩu mã hóa
Tuy nhiên, để đảm bảo an toàn phần
mềm yêu cầu độ dài tối thiểu của mật khẩu là 6 ký tự
Sau khi nhập mật khẩu chính xác, bấm phím Next, một cửa sổ mở ra:
- Open the result image: để mở
file ảnh đã lưu trữ có chứa dữ liệu ẩn giấu
- Open the result image folder:mở
ra thư mục chứa ảnh đã lưu trữ
- Process another image: Tiếp tục
xử lý những bức ảnh khác
Chú ý: Để đảm bảo dữ liệu được lưu trữ một cách toàn vẹn thì không
nên chuyển đổi ảnh lưu trữ về các định dạng khác.
Kết quả cuối cùng: ảnh 123 là ảnh
gốc, ảnh trannghiphu là ảnh lưu trữ thông tin.
1.3. Trích xuất thông tin ẩn giấu
Bước 1. Lựa chọn ảnh
có giấu thông tin và bấm Next
Một số thông tin về file hiển thị
Bước 2. Chọn Extract
để trích rút dữ liệu
Bước 3. Nhập mật
khẩu dùng để trích chọn file
Nhập mật khẩu và nhấn OK, cửa số
kết quả hiển thị
2. Phần mềm
Steganography
Steganography
giúp bạn ẩn giấu những dữ liệu quan trọng nén dưới định dạng zip, rar vào trong
hình ảnh JPEG/JPG mà việc trích xuất sau đó có thể thực hiện không cần phần
mềm.
2.1. Hướng dẫn cài
đặt
- Nhấn đúp vào file cài đặt:
- Bấm Next và
chờ đến khi cài đặt xong
- Qúa trình hoàn
thành, chúng ta có biểu tượng khởi động chương trình:
2.2. Giấu file
Cách
sử dụng rất đơn giản.
+
Trong thẻ Create, bạn chọn file ảnh làm vật chủ chứa dữ liệu (Image),
tập tin nén muốn ẩn giấu (File) tại các hộp chức năng tương ứng. Chú ý
phần mềm chỉ hỗ trợ việc ẩn giấu file nén RAR hoặc ZIP. Vì thế chúng ta cần
phải thực hiện nén file trước khi ẩn giấu
+
Sau đó, nhập tên cho file ảnh tạo thành (Output Name) hay thay đổi nơi
lưu tại Output Location (mặc định là Desktop).
+
Nếu muốn thực hiện thiết lập lại từ đầu, nhấn nút Reset.
+
Cuối cùng, bạn nhấn Create để chương trình làm nhiệm vụ của
mình.
2.3. Trích xuất
file
Bạn mở thẻ Open >
nhấn nút Open > dẫn đến file ảnh chứa dữ liệu. Chương trình
nén của máy sẽ hiện ra và bạn có thể trích xuất nội dung file bên trong.
Chọn
Image, ta sẽ đưa đường dẫn tới file ảnh chứa dữ liệu. Phần mềm hỗ trợ rất nhiều
định dạng ảnh
Sau
đó bấm nút Open, ta mở ra cửa sổ của phần mềm WinRar hoặc Winzip để mở file nén
ẩn giấu trong bức ảnh đó.
Lưu
ý:
-
Dung lượng file tối đa cho tập tin nén ẩn giấu là 100MB.
-
Nếu bạn sẽ chỉnh sửa hình ảnh với các chương trình biên tập ảnh, tập tin ẩn
giấu sẽ bị mất.
-
Dung lượng file ảnh chứa dữ liệu sẽ khá lớn và dễ nhận biết nên bạn cần cất
giấu thận trọng.
3. Phần mềm steganography_1000
3.1. Đặc điểm phần mềm
-
Phần mềm steganography_1000 với
dung lượng thấp, sử dụng không chiếm tài nguyên của ổ cứng và không ảnh hưởng đến
các dữ liệu khác trong máy tính của bạn.
- Chương trình còn tương thích với các hệ điều
hành Windows XP/ Vista/ 7/ 8.
- Steganography cung cấp tới người sử dụng những
công cụ thông minh giúp che giấu tệp tin hay tài liệu dưới những tấm hình một
cách an toàn và tinh vi. Điểm nổi bật của chương trình này là cho phép bạn giấu
đi những thông tin quan trọng dưới các tấm hình kích thước giống y hệt tấm hình
nguyên thủy. Do đó, sẽ khó có thể phát hiện tấm hình nào đang chứa tài liệu và
tấm hình nào không.
Với sự giúp đỡ của chương trình Steganography
các tệp tin của bạn sẽ được mã hóa dễ dàng để có thể giấu bên trong các file ảnh.
Điều quan trọng là các hình ảnh chứa file ẩn sẽ vẫn được Load giống như những bức
ảnh khác và hiển thị như bình thường, sự khác biệt là nó chứa tệp tin quan trọng
mà chỉ có người sử dụng mới biết điều này.
- Tuy nhiên phần mềm vẫn hạn chế trong các định
dạng ảnh hỗ trợ, phần mềm chỉ hỗ trợ định dạng .BMP
3.2.
Ẩn giấu thông tin
Bước 1.
Khởi chạy phần mềm và bấm nút Load để tải bức ảnh (định dạng .bmp)
Bước 2.
Điền nội dung bí mật muốn cất giữ vào khung bên dưới, sau đó bấm nút > Hide
>. Kết quả thấy tạo ra một ảnh mới có chứa thông tin, để lưu ảnh ta bấm Save.
3.3.
Trích xuất thông tin
Bước 1. Trong tab Extract, ta chọn Load another để tải ảnh
chứa thông tin
Bước
2. Bấm Extract để xuất dữ liệu ẩn giấu ra
4. Phần mềm OpenPuff(http://embeddedsw.net/OpenPuff_Steganography_Home_vn.html)
4.1. Giới thiệu phần mềm
OpenPuff là một
ứng dụng cho phép người dùng giấu tài liệu vào tệp mã hóa để gửi. Công cụ này
khá hữu ích cho những người gửi thông tin tuyệt mật mà không muốn bị chú ý. Mọi
người sẽ không thể nhìn thấy dữ liệu của bạn, nhưng họ rất muốn biết có điều gì
ở trong đó. Thay vì tạo ra một tập tin được mã hóa như thông thường, bạn có thể
sử dụng Steganography để ẩn dữ liệu được mã hóa của mình trong một tập tin hình
ảnh, video, hoặc âm thanh.
OpenPuff là một
ứng dụng dành cho Windows có thể giúp bạn làm điều này dễ dàng. Phần mềm này sử
dụng quy tắc của kỹ thuật giấu thư (steganography) để giấu thông tin vào những
tệp thông thường như tệp ảnh, audio hay video. File chứa sẽ được chuyển đi qua
email, thiết bị di động hoặc các thiết bị lưu trữ khác mà không làm nảy sinh
nghi ngờ về tệp được chuyển đi.
Biện pháp này nhằm bảo vệ tin nhắn
và những người trao đổi tin nhắn đó. Đồng thời, khi chuyển tệp, người dùng có
quyền sử dụng tối đa ba mật khẩu và sắp xếp thứ tự tệp chứa để mã hóa tin nhắn.
Người nhận muốn đọc tin nhắn thì cần phải có đủ mật khẩu và đúng thứ tự. Nếu bất
cứ thông tin nào không đúng, thông tin sẽ bị hủy.
Bên cạnh đó, ứng
dụng này có thể sử dụng từ một thiết bị di động mà không cần cài đặt hoặc để lại
dấu vết trong registry máy tính. Phần mềm này có giao diện đơn giản, dễ sử dụng,
hiển thị đầy đủ các bước cần thiết để mã hóa tệp.
+ Hỗ trợ tệp ảnh
(BMP, JPG, PCX, PNG, TGA), audio (AIFF, MP3, NEXT/SUN, WAV), video (3GP, MP4,
MPG, VOB) và Flash-Adobe (FLV, SWF, PDF
+ Hỗ trợ chuỗi
nhiều tệp chứa (chứa tối đa 256 MB tin nhắn mật)
4.2. Ẩn giấu thông tin
Nhấn đúp vào OpenPuff.exe (chỉ hỗ
trợ trên Windows XP)để khởi động chương trình, đợi quá trình load
Quá trình tải thành
công, màn hình giao diện chương trình xuất hiện
Để
thực hiện ẩn giấu thông tin, chọn Hide
tại tab Steganography, sau đó điền các thông số sau:
-
Tại (1) Insert 3 uncorrelated data password: nhập 3 mật khẩu theo thứ tự, có độ
dài tối thiểu là 8 ký tự, tối đa là 32 ký tự
+
Password check: kiểm tra trạng thái mật khẩu có đáp ứng yêu cầu không
-
Tại (2) Data: chúng ta chọn dữ liệu cần ẩn giấu (tối đa lên tới 256MB)
-
Tại (3) Carrier selection: chọn vật mang
để ẩn giấu dữ liệu. Phần mềm hỗ trợ
Lưu
ý: Kích thước vật mang phải đáp ứng yêu cầu tối thiểu
Kết quả:
Tuy
nhiên, nếu chúng ta lựa chọn vật mang có kích thước nhỏ hơn dữ liệu cần ẩn giấu
thì sẽ nhận thông báo
Như
vậy ta cần chọn vật mang có kích thước lớn hơn hoặc chọn nhiều vật mang để tổng
kích thước lớn hơn dữ liệu ẩn giấu. Nếu đáp ứng các yêu cầu trên khí chọn Hide Data! thì một cửa sổ sẽ hiển ra
cho phép ta lựa chọn vị trí lưu trữ
Kết quả hiển thị:
Lưu ý: Nếu ta lựa chọn
lưu tại nơi có file ảnh gốc thì sẽ gặp lỗi
4.3. Trích xuất thông tin
Để trích rút
thông tin ẩn giấu từ ảnh, ta lựa chọn Unhide
trong tab Steganography
Bước 1: Điền mật
khẩu đã sử dụng ở quá trình Hide tại Insert 3 uncorrelated password
Bước 2. Tại Carrier
selection chọn Add Carrier lựa chọn vật mang
Bước 3. Bấm
Unhide! để trích xuất thông tin. Chọn vị trí lưu trữ thông tin
Friday, March 27, 2015
Bitcoin-những nguy cơ tiềm ẩn
Bitcoin (ký hiệu: BTC)
là một loại tiền tệ kỹ thuật số phân cấp dựa trên một mã nguồn mở, giao thức
internet ngang hàng. Nó được giới thiệu bởi một nhà phát triển tên là Satoshi
Nakamoto trong năm 2009. Bitcoin lcó thể dùng để giao dịch, mua bán hàng hóa
trên Internet. Bitcoin không chịu sự quản lý của bất kỳ ngân hàng trung ương
nào và hoàn toàn không chịu ảnh hưởng bởi các chính sách tiền tệ và tài khóa.
Vì vậy giá
trị của đồng tiền ảo không phụ thuộc vào nền kinh tế của quốc gia cũng như hoạt
động tài chính của các tổ chức, mà sẽ được quyết định bởi lòng tin của thị trường.
Nó có thể được chuyển đổi thành tiền mặt sau khi được đưa vào ví ảo.
Người dùng muốn tham gia "đào" Bitcoin, cần có kiến thức về
công nghệ thông tin, một chiếc máy tính được kết nối mạng, phần mềm thì có thể
được download dễ dàng từ trang chủ của Bitcoin. Để dễ hình dung, chúng ta có thể coi Bitcoin như
một mỏ vàng, kim cương, đá quý, v..v.. có trữ lượng nhất định. Phần mềm này mô
tả cho chúng ta cách thiên nhiên tạo ra các nguồn quặng giá trị không được tái
tạo nêu trên. Dù có bao nhiêu người "đào" hay "đào" bằng dụng
cụ gì thì cũng sẽ đến lúc chạm tới ngưỡng không còn tài nguyên để khai thác. Những
người đến trước, "đào" trước sẽ dễ dàng hơn những người đến sau
"đào" sau. Và càng "đào" lâu, càng nhiều người
"đào" thì càng khó. Khi càng "đào" càng khó thì việc mua
bán lại trên mạng sẽ đắt hơn. Vì vậy rủi ro có thể thuộc về những người đến
sau.
Chính vì những cái khó khi "đào" và những ràng buộc khi giao dịch
trên mạng nên Bitcoin chỉ được một nhóm nhỏ ở Việt Nam cũng như trên thế giới sử
dụng, giao dịch. Đó là những người trẻ am hiểu
và có kiến thức về công nghệ thông tin. Để đầu tư một máy tính “đào” Bitcoin
khá đắt tiền, chưa kể đến đâu tư cơ sở hạ tầng, lượng điện tiêu hao, dung lượng
mạng,… Ở nước
Mỹ, theo các thống kê đã tính ra rằng để đào
được 1 đồng bitcoin dân công nghệ lỗ trung bình khoảng 2000 USD đó là chi phí
cho siêu máy tính và đặc biệt là tiền điện. Ngoài ra việc tiền ảo dễ gặp phải
những nguy cơ bị tấn công, đánh cắp, thay đổi dữ liệu hoặc bị ngừng giao dịch
khi sập mạng. Thực tế nguy cơ này đã trở thành hiện thực. Vào tháng 11-2013 một
vụ đánh cắp đã xảy ra với giá trị lớn kỷ lục lên đến 100 triệu USD. Đầu năm 2014, giá Bitcoin đã sụt giảm mạnh sau khi 2
sàn giao dịch Bitcoin lớn nhất thế giới là Mt.Gox và BitStamp tạm ngừng cho
khách hàng rút tiền vì sự cố kỹ thuật. Ngày 25-2-2014, sàn Mt.Gox đã bất ngờ
đóng cửa khiến hàng triệu USD của thành viên mạng lưới Bitcoin đứng trước nguy
cơ mất trắng. Nhà chức trách Mỹ đã bắt giữ 4 nhân vật bị tình nghi sử dụng
Bitcoin cho các giao dịch tội phạm. Không những thế Bitcoin còn đã trở
thành công cụ thanh toán trên thị trường chợ đen trên mạng cũng như rửa tiền và
rủi ro lớn nhất là đồng tiền bitcoin bị nhiều ngân hàng trung ương của các quốc
gia phủ nhận nên giá trị của nó không ổn định, những
đổ vỡ ban đầu ở một số nước trên thế giới đã gióng lên hồi chuông cảnh báo về
những rủi ro của Bitcoin.
Các
chuyên gia về tài chính khi bình luận về "tiền ảo" Bitcoin khá thận
trọng và khẳng định đây là loại "tiền ảo" không chính thống và thiếu
minh bạch. Những người dân "chơi" Bitcoin hay bất kỳ loại "tiền
ảo" nào đều có nguy cơ trắng tay. Theo Ngân hàng Nhà nước, Bitcoin là một
dạng tiền kỹ thuật số (tiền ảo), không được phát hành bởi chính phủ hay một tổ
chức tài chính nào, mà được tạo ra và vận hành dựa trên hệ thống các máy tính
kết nối mạng internet ngang hàng. Bitcoin không do một hiệp hội có uy tín phát
hành, không được bất cứ tổ chức, cơ quan nào đứng ra quản lý nên trong trường
hợp rủi ro xảy ra, không có bất kỳ ai chịu trách nhiệm. Bitcoin chỉ tồn tại như
một thỏa thuận dân sự, một hình thức thanh toán trên cơ sở quy ước và đồng
thuận giữa các bên. Do tính chất pháp lý yếu của đồng "tiền ảo" này,
Bitcoin rất khó được sử dụng rộng rãi như tiền giấy. Vì vậy khi có tranh chấp xảy ra, người dùng gần như không được bảo vệ.
Vậy trái đắng
hay quả ngọt đầu tư vào bitcoin vẫn đang còn là câu hỏi ?
Nguyễn Huy Trung - Nguyễn Xuân Dũng
Tuesday, March 10, 2015
Thu thập và xử lý dữ liệu kiểu Live Data!
Cũng một thời gian dài tìm hiểu Forensic, có nhiều thông tin nhưng cũng có nhiều thắc mắc, hôm nay học tại KNPU (Học viện Cảnh sát Hàn Quốc), gặp được giáo sư Joshua I. James người Ailen làm rõ cho mình nhiều ý hay tạm note lại tý không quên:
Dữ liệu Live data để chỉ những dữ liệu trên máy chỉ tồn tại khi máy tính đang hoạt động mà chưa bị shut down để phân biệt với dữ liệu vẫn còn tồn tại khi tắt máy, tắt điện như dữ liệu trên USB, ổ cứng... Những kiểu dữ liệu này chủ yếu tồn tại trong RAM(với công nghệ hiện tại thôi nhé, như công nghệ mình hiện biết thì sắp tới 1-2 năm nữa sẽ có những loại RAM nhanh hơn nhiều và tắt điện vẫn còn dữ liệu nguyên) và một số dữ liệu trong các cache của thiết bị, thanh ghi...
Trong live data chứa những thông tin cực kỳ quý giá như danh sách chương trình đang hoạt động và thậm chí cả những chương trình, session, connection... vừa hoạt động và đã bị tắt(kiểu recent)... đặc biệt là các dữ liệu tạm thời đang hoạt động trong các ứng dụng, dữ liệu các ứng dụng nhưng ở dạng rõ (raw, not encrypted) bởi vì nếu file đó có mã hóa thì khi giải mã để sử dụng, dữ liệu tải lên RAM đã là dữ liệu đã được giải mã, các thông tin về mật khẩu (thường là mã băm của mật khẩu).
Về phương án thu thập, chúng ta có thể dụng FTK Imager hay Dumpit để thu thập, nhưng một điều cần lưu ý là chúng ta không thể tạo signature (hash) cho dữ liệu sau khi thu thập bởi khi chạy ứng dụng thu thập dữ liệu thì bản thân dữ liệu trên RAM đã bị thay đổi tại vị trí mà nó load. Do đó nếu dùng ứng dụng kích thước càng bé, sử dụng ít RAM trong quá trình dump thì sẽ hiệu quả hơn, ví dụ Dumpit, nhưng điều đáng tiếc là hiện tại nó vẫn chưa có phiên bản cho 64 bit.
Từ dữ liệu RAM, chúng ta có thể thu được các thông tin quan trọng nhờ các công cụ khác:
- Các tiến trình, hash đăng nhập... nhờ phần mềm Volatility với các addon như hivescan, hivelist, hashdump...
- Chúng ta có thể explore trực tiếp dữ liệu trong file dump bằng hexview, tìm các file bằng các số đặc trưng bắt đầu và kết thúc các file để tìm ra các file dữ liệu đang ở trong RAM ví dụ như http://en.wikipedia.org/wiki/Magic_number_(programming)
- Hoặc tự động phát hiện các file multi media bằng photeRec (free nhé)
- Từ thông tin RAM, ta có thể dễ dàng thu được thông tin thông quan LiveDetector, khôi phục màn hình Desktop bằng List view!
Sau đây là sự khác biệt lớn giữa Live Data với các dữ liệu permanent data:
1. Will get more information from RAM or directly from running system
2. Will need specialized equipment and software
3. Won’t pull the plug right away
4. Will have more of an impact on the suspect device and potentially on evidence
Hôm nay cũng tìm ra một số thông tin rất dễ nhưng lại chả bao giờ nghĩ đến trong điều tra như dùng một số ứng dụng có sẵn như google street view để xem trước địa điểm cần tìm, hay kho dữ liệu http://www.exploit-db.com/google-dorks/ mà cứ cố nhớ đau cả đầu.
Có vài note nhỏ để tập viết lại, mong sẽ thành thói quen dần!!!
(Nhớ Mận, nhớ nhà và các đồng đội quá)!
Dữ liệu Live data để chỉ những dữ liệu trên máy chỉ tồn tại khi máy tính đang hoạt động mà chưa bị shut down để phân biệt với dữ liệu vẫn còn tồn tại khi tắt máy, tắt điện như dữ liệu trên USB, ổ cứng... Những kiểu dữ liệu này chủ yếu tồn tại trong RAM(với công nghệ hiện tại thôi nhé, như công nghệ mình hiện biết thì sắp tới 1-2 năm nữa sẽ có những loại RAM nhanh hơn nhiều và tắt điện vẫn còn dữ liệu nguyên) và một số dữ liệu trong các cache của thiết bị, thanh ghi...
Trong live data chứa những thông tin cực kỳ quý giá như danh sách chương trình đang hoạt động và thậm chí cả những chương trình, session, connection... vừa hoạt động và đã bị tắt(kiểu recent)... đặc biệt là các dữ liệu tạm thời đang hoạt động trong các ứng dụng, dữ liệu các ứng dụng nhưng ở dạng rõ (raw, not encrypted) bởi vì nếu file đó có mã hóa thì khi giải mã để sử dụng, dữ liệu tải lên RAM đã là dữ liệu đã được giải mã, các thông tin về mật khẩu (thường là mã băm của mật khẩu).
Về phương án thu thập, chúng ta có thể dụng FTK Imager hay Dumpit để thu thập, nhưng một điều cần lưu ý là chúng ta không thể tạo signature (hash) cho dữ liệu sau khi thu thập bởi khi chạy ứng dụng thu thập dữ liệu thì bản thân dữ liệu trên RAM đã bị thay đổi tại vị trí mà nó load. Do đó nếu dùng ứng dụng kích thước càng bé, sử dụng ít RAM trong quá trình dump thì sẽ hiệu quả hơn, ví dụ Dumpit, nhưng điều đáng tiếc là hiện tại nó vẫn chưa có phiên bản cho 64 bit.
Từ dữ liệu RAM, chúng ta có thể thu được các thông tin quan trọng nhờ các công cụ khác:
- Các tiến trình, hash đăng nhập... nhờ phần mềm Volatility với các addon như hivescan, hivelist, hashdump...
- Chúng ta có thể explore trực tiếp dữ liệu trong file dump bằng hexview, tìm các file bằng các số đặc trưng bắt đầu và kết thúc các file để tìm ra các file dữ liệu đang ở trong RAM ví dụ như http://en.wikipedia.org/wiki/Magic_number_(programming)
- Hoặc tự động phát hiện các file multi media bằng photeRec (free nhé)
- Từ thông tin RAM, ta có thể dễ dàng thu được thông tin thông quan LiveDetector, khôi phục màn hình Desktop bằng List view!
Sau đây là sự khác biệt lớn giữa Live Data với các dữ liệu permanent data:
1. Will get more information from RAM or directly from running system
2. Will need specialized equipment and software
3. Won’t pull the plug right away
4. Will have more of an impact on the suspect device and potentially on evidence
Hôm nay cũng tìm ra một số thông tin rất dễ nhưng lại chả bao giờ nghĩ đến trong điều tra như dùng một số ứng dụng có sẵn như google street view để xem trước địa điểm cần tìm, hay kho dữ liệu http://www.exploit-db.com/google-dorks/ mà cứ cố nhớ đau cả đầu.
Có vài note nhỏ để tập viết lại, mong sẽ thành thói quen dần!!!
(Nhớ Mận, nhớ nhà và các đồng đội quá)!
Subscribe to:
Posts (Atom)