Cũng một thời gian dài tìm hiểu Forensic, có nhiều thông tin nhưng cũng có nhiều thắc mắc, hôm nay học tại KNPU (Học viện Cảnh sát Hàn Quốc), gặp được giáo sư Joshua I. James người Ailen làm rõ cho mình nhiều ý hay tạm note lại tý không quên:
Dữ liệu Live data để chỉ những dữ liệu trên máy chỉ tồn tại khi máy tính đang hoạt động mà chưa bị shut down để phân biệt với dữ liệu vẫn còn tồn tại khi tắt máy, tắt điện như dữ liệu trên USB, ổ cứng... Những kiểu dữ liệu này chủ yếu tồn tại trong RAM(với công nghệ hiện tại thôi nhé, như công nghệ mình hiện biết thì sắp tới 1-2 năm nữa sẽ có những loại RAM nhanh hơn nhiều và tắt điện vẫn còn dữ liệu nguyên) và một số dữ liệu trong các cache của thiết bị, thanh ghi...
Trong live data chứa những thông tin cực kỳ quý giá như danh sách chương trình đang hoạt động và thậm chí cả những chương trình, session, connection... vừa hoạt động và đã bị tắt(kiểu recent)... đặc biệt là các dữ liệu tạm thời đang hoạt động trong các ứng dụng, dữ liệu các ứng dụng nhưng ở dạng rõ (raw, not encrypted) bởi vì nếu file đó có mã hóa thì khi giải mã để sử dụng, dữ liệu tải lên RAM đã là dữ liệu đã được giải mã, các thông tin về mật khẩu (thường là mã băm của mật khẩu).
Về phương án thu thập, chúng ta có thể dụng FTK Imager hay Dumpit để thu thập, nhưng một điều cần lưu ý là chúng ta không thể tạo signature (hash) cho dữ liệu sau khi thu thập bởi khi chạy ứng dụng thu thập dữ liệu thì bản thân dữ liệu trên RAM đã bị thay đổi tại vị trí mà nó load. Do đó nếu dùng ứng dụng kích thước càng bé, sử dụng ít RAM trong quá trình dump thì sẽ hiệu quả hơn, ví dụ Dumpit, nhưng điều đáng tiếc là hiện tại nó vẫn chưa có phiên bản cho 64 bit.
Từ dữ liệu RAM, chúng ta có thể thu được các thông tin quan trọng nhờ các công cụ khác:
- Các tiến trình, hash đăng nhập... nhờ phần mềm Volatility với các addon như hivescan, hivelist, hashdump...
- Chúng ta có thể explore trực tiếp dữ liệu trong file dump bằng hexview, tìm các file bằng các số đặc trưng bắt đầu và kết thúc các file để tìm ra các file dữ liệu đang ở trong RAM ví dụ như http://en.wikipedia.org/wiki/Magic_number_(programming)
- Hoặc tự động phát hiện các file multi media bằng photeRec (free nhé)
- Từ thông tin RAM, ta có thể dễ dàng thu được thông tin thông quan LiveDetector, khôi phục màn hình Desktop bằng List view!
Sau đây là sự khác biệt lớn giữa Live Data với các dữ liệu permanent data:
1. Will get more information from RAM or directly
from running system
2. Will need specialized equipment and software
3. Won’t pull the plug right away
4. Will have more of an impact on the suspect
device and potentially on evidence
Hôm nay cũng tìm ra một số thông tin rất dễ nhưng lại chả bao giờ nghĩ đến trong điều tra như dùng một số ứng dụng có sẵn như google street view để xem trước địa điểm cần tìm, hay kho dữ liệu http://www.exploit-db.com/google-dorks/ mà cứ cố nhớ đau cả đầu.
Có vài note nhỏ để tập viết lại, mong sẽ thành thói quen dần!!!
(Nhớ Mận, nhớ nhà và các đồng đội quá)!
No comments:
Post a Comment