LỜI CẢM ƠN . I
MỤC LỤC .II
DANH MỤC BẢNG BIỂU .V
DANH MỤC HÌNH VẼ. VIII
MỞ ĐẦU.1
CHƯƠNG 1: QUY TRÌNH XỬ LÝ SỰ CỐ MẤT ATTT VÀ PHƯƠNG PHÁP THU
THẬP CHỨNG CỨ.3
1.1. Quy trình điều tra số.3
1.2. Thu thập chứng cứ.5
1.2.1. Khó khăn trong thu thập chứng cứ.5
1.2.2. Tại sao thu thập chứng cứ?.5
1.2.3. Lựa chọn phương pháp thu thập.6
1.2.4. Các loại chứng cứ.6
1.2.5. Các quy tắc thu thập chứng cứ .7
1.2.6. Chứng cứ khả biến.9
1.2.7. Quy trình thu thập chứng cứ.10
1.2.8. Thu thập chứng cớ và lưu trữ .10
1.2.9. Phương pháp thu thập chứng cứ.11
1.2.10.Dữ liệu thu thập.13
1.2.11.Kiểm soát và bảo vệ dữ liệu.14
CHƯƠNG 2: GIẢI PHÁP THU THẬP CHỨNG CỨ BẰNG USB CHUYÊN DỤNG
.16
2.1. Bài toán đặt ra.16
2.2. Phương pháp giải quyết bài toán.17
2.2.1 Hướng đi cho bài toán .17
2.2.2 Xây dựng USB thu thập chứng cứ để giải quyết bài toán.18
2.3. Các bản phân phối của hệ điều hành Linux hỗ trợ thu thập chứng cứ.20
2.3.1 DEFT Linux.20
2.3.2 CAINE Linux .21
2.3.3 Kali Linux.23
95 trang |
Chia sẻ: honganh20 | Ngày: 15/03/2022 | Lượt xem: 413 | Lượt tải: 3
Bạn đang xem trước 20 trang tài liệu Luận văn Nghiên cứu, xây dựng giải pháp thu thập chứng cứ hỗ trợ xử lý sự cố an toàn thông tin, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ra nó có một kho công cụ pháp y máy tính riêng biệt
cho các nhà điều tra số.
Trang chủ: https://www.Kali.org/
Nền tảng : Debian
Chức năng: Kiểm thử bảo mật và điều tra số
Kali Linux là một trong những hệ điều hành được lựa chọn hàng đầu cho những người
kiểm thử thâm nhập và những người đam mê bảo mật trên toàn thế giới. Nó được sử dụng
trong CEI (Certified EC-Council Instructor) cho khóa học Hacker để chứng nhận (CEH).
Kali luôn được coi là ngôi sao trong lĩnh vực bảo mật và an toàn thông tin do có nhiều
Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng
Học viên: Đỗ Bá Sơn 24
chương trình bảo mật đi kèm từ các công cụ quét và trinh sát đến các công cụ khai thác tiên
tiến và công cụ báo cáo.
Giống như các công cụ được đề cập ở trên, Kali Linux có thể được sử dụng như một
công cụ phục vụ cho công việc điều tra số, vì nó chứa nhiều công cụ cần thiết cho các cuộc
điều tra toàn diện. Tuy nhiên, Kali cũng có thể được sử dụng như một hệ điều hành hoàn
chỉnh, vì nó có thể được cài đặt hoàn toàn vào đĩa cứng hoặc ổ đĩa Flash và cũng chứa một
số công cụ cho năng suất và giải trí. Nó đi kèm với nhiều trình điều khiển cần thiết để sử
dụng được trên phần cứng, đồ họa và mạng và cũng chạy trơn tru trên cả hệ thống 32bit và
64bit với tài nguyên tối thiểu, nó cũng có thể được cài đặt trên một số thiết bị di động,
chẳng hạn như điện thoại và máy tính bảng Nexus và OnePlus. Ngoài ra, Nó có thể khởi
động từ đĩa CD / DVD trực tiếp hoặc ổ đĩa flash nhờ đó điều tra viên có một số tùy chọn,
bao gồm Live (chế độ pháp y), giữ nguyên ổ đĩa chứng cứ và không giả mạo nó bằng cách
vô hiệu hóa các chương trình tự động ghi đè lên các ổ đĩa flash và phương tiện lưu trữ khác,
cung cấp tính toàn vẹn của chứng cứ ban đầu trong suốt quá trình điều tra.
Khi khởi động Kali Linux từ ổ đĩa DVD hoặc flash, trước tiên người dùng sẽ được cung
cấp các tùy chọn cài đặt đi kèm. Chọn tùy chọn thứ ba ở danh sách sẽ đưa chúng ta vào
Live (chế độ pháp y) phục vụ điều tra số như được thấy trong ảnh dưới đây:
Hình 2. 8 - Giao diện khởi động của Kali Linux
Khi Kali Live (chế độ pháp y) đã khởi động, điều tra viên thấy một màn hình chính
hiện lên như trong ảnh dưới dây:
Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng
Học viên: Đỗ Bá Sơn 25
Hình 2. 9- Giao diện desktop của Kali Linux
Menu Kali có thể được tìm thấy ở góc trên cùng bên trái bằng cách nhấp vào Application,
danh sách các mục hiện ra, danh mục pháp y ở thứ tự số 11 – Forensics như trong ảnh ở
dưới đây:
Hình 2. 10 - Các ứng dụng Forensics trên Kali Linux
Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng
Học viên: Đỗ Bá Sơn 26
Cần lưu ý rằng các công cụ được liệt kê trong mục 11- Forensics không phải là công cụ
duy nhất có sẵn trong Kali, còn một số công cụ khác có thể được tải thông qua Terminal
Điều đáng chú ý là, khi ở chế độ pháp y Kali không can thiệp vào ổ đĩa chứng cứ ban
đầu mà còn không ghi dữ liệu vào tệp hoán đổi, nơi dữ liệu quan trọng được truy cập và
lưu trữ gần đây trong bộ nhớ có thể nằm. Ảnh chụp màn hình sau đây cho thấy một chế độ
xem khác khi truy cập menu Frorensics bằng biểu tượng chín chấm trong hình vuông ở cuối
cùng trong danh sách menu thanh bên trái màn hình chính:
Hình 2. 11 - Chế độ khác trong giao diện Kali Linux
Tham khảo liên kết “https://tools.Kali.org/tools-listing” để tải đầy đủ các tính năng và
gói được bao gồm trong Kali Linux [4].
2.4. Công cụ thu thập chứng cứ trên Windows và Kali Linux
2.4.1 Công cụ thu thập chứng cứ trên Windows
2.4.1.1. Giới thiệu công cụ thu thập chứng cứ Ir-Rescue
Ir-Rescue là một tập lệnh Windows Batch thu thập dữ liệu số từ các tệp hệ thống
Windows 32bit và 64bit. Nó được thiết kế để sử dụng phản ứng sự cố ở các giai đoạn khác
nhau trong quá trình phân tích và điều tra. Nó có thể được thiết lập để thực hiện thu thập
dữ liệu toàn diện cho mục đích phân loại, cũng như thu thập tùy chỉnh các loại dữ liệu cụ
thể. Công cụ này có độ tin cậy cao để sử dụng làm giải pháp thu thập chứng cứ, bất kể nhu
Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng
Học viên: Đỗ Bá Sơn 27
cầu điều tra và ít phụ thuộc vào hỗ trợ tại chỗ khi không có quyền truy cập từ xa hoặc phân
tích trực tiếp.
Ir-Rescue sử dụng các lệnh Windows tích hợp và các tiện ích bên thứ ba nổi tiếng từ
Sysiternals và NirSoft, ví dụ, một số là nguồn mở. Nó được thiết kế để nhóm các bộ tệp
theo loại dữ liệu. Ví dụ: Tất cả dữ liệu liên quan đến kết nối mạng, như chia sẻ tệp mở và
kết nối TCP, được nhóm lại với nhau, trong khi chạy các quy trình, dịch vụ và tác vụ được
thu thập dưới phần mềm độc hại. Công cụ này cũng được thiết kế nhằm mục đích không sử
dụng PowerShell và WMI để làm cho nó tương thích theo chiều ngang. Việc thu thập các
loại dữ liệu và các tùy chọn chung khác được chỉ định trong một tệp cấu hình đơn giản. Cần
lưu ý rằng công cụ khởi chạy một số lượng lớn các lệnh và công cụ, do đó để lại một dấu
vết đáng kể trên hệ thống. Thời gian chạy khác nhau tùy thuộc vào công suất tính toán và
cấu hình được đặt, mặc dù nó thường kết thúc trong vòng tối đa một giờ nếu được định cấu
hình để chạy hoàn toàn.
Ir-Rescue được viết để ứng phó sự cố và được dùng các nhà phân tích pháp y, cũng như
cho các nhà thực hành bảo mật, nó đã được sử dụng trong các công ty như Cisco, PepsiCo,
SaskTel, Praetorian và Counteractive Security. Nó nỗ lực hợp lý hóa việc thu thập dữ liệu
máy chủ, bất kể nhu cầu điều tra và ít phụ thuộc vào hỗ trợ tại chỗ khi không có quyền truy
cập từ xa hoặc phân tích trực tiếp. Do đó, nó có thể được sử dụng để tận dụng các công cụ
và lệnh đã được gói trong các hoạt động pháp y [7].
2.4.1.2. Cấu trúc và cách sử dụng công cụ thu thập chứng cứ Ir-Rescue
- Cấu trúc của công cụ Ir-Rescue
Ir-Rescue phụ thuộc vào một số tiện ích của bên thứ ba để thu thập dữ liệu cụ thể từ máy
chủ lưu trữ. Các phiên bản của các công cụ được liệt kê trong phần cuối cùng và được cung
cấp với gói như hiện tại, do giấy phép và thỏa thuận người dùng của chúng phải được chấp
nhận trước khi chạy Ir-Rescue. Lưu ý rằng các tiện ích Sysiternals không thể được phân
phối lại cho người khác sao chép theo điều khoản cấp phép phần mềm của Sysiternals. Do
đó, Ir-Rescue không còn được xuất bản cùng với các tiện ích Sysiternals, và vì vậy tất cả
các mục được liệt kê trong phần danh sách và tài liệu tham khảo của bên thứ ba phải được
tải xuống từ kho lưu trữ trực tuyến của Sysiternals và chuyển vào các thư mục phù hợp của
chúng để tập lệnh chạy.
Các mô tả và tổ chức của bộ công cụ được đưa ra dưới đây, với cả phiên bản 32bit và
64bit của các công cụ Windows được bao gồm một cách ngẫu nhiên, nếu có:
+ tools-win\: Thư mục chứa công cụ bên thứ ba ir-rescue-win:
o activ\: Công cụ phân tích cú pháp người dùng
▪ exiftool.exe: Phân tích tệp liên kết (LNK).
Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng
Học viên: Đỗ Bá Sơn 28
▪ JLECmd.exe: Phân tích danh sách nhảy đích tự động và tùy chỉnh;
▪ LastActivityView.exe: Hiển thị mini-timeline về hoạt động của người dùng và
hệ thống như đăng nhập và đăng xuất;
▪ rifiuti-vista[64].exe: Phân tích cú pháp tái chế các tập tin bin;
▪ USBDeview[64].exe: Lists previously and currently connected USB devices;
o ascii\: Text ASCII art files in *.txt format;
o cfg\: Tệp cấu hình:
▪ ir-rescue-win.conf: Tệp cấu hình chính ir-rescue-win;
▪ nonrecursive-(acl|iconsext|md5deep).txt: accesschk[64].exe, iconsext.exe and
md5deep[64].exe non-recursive locations;
▪ nonrecursive.txt: Non-recursive locations cho nhiều công cụ;
▪ recursive-(acl|iconsext|md5deep).txt: accesschk[64].exe, iconsext.exe and
md5deep[64].exe Fecursive locations;
▪ recursive.txt: Fecursive locations cho nhiều công cụ;
o cygwin\: Công cụ Cygwin và Dynamic Linked Libraries (DLLs):
▪ tr.exe: Được sử dụng để cắt các ký tự không in được;
▪ grep.exe: Được sử dụng để lọc ngày với các biểu thức thông thường;
o disk\: Công cụ ổ đĩa:
▪ EDD.exe: Kiểm tra phần mềm mã hóa đĩa;
o evt\: Công cụ hiển thị Windows events:
▪ psloglist.exe: Trích xuất Windows event logs;
o fs\: Công cụ tệp system:
▪ tsk\: The Sleuth Kit (TSK) tools và DLLs:
• fls.exe: Đi theo bảng tập tin chính (MFT);
• mcat.exe: Xuất nội dung của một phân vùng;
• mmls.exe: Hiển thị thông tin về các bảng phân vùng đĩa (DOS, GPT);
▪ AlternateStreamView[64].exe: Liệt kê các luồng dữ liệu thay thế (ADSs);
▪ ExtractUsnJrnl[64].exe: Chiết xuất C:\$Extend\$UsnJrnl (NTFS journal) tệp
không chữa sparsed zeroes;
▪ md5deep[64].exe: Computes Message Digest 5 (MD5) giá trị hàm băm;
▪ ntfsinfo[64].exe: Hiển thị thông tin về NTFS;
▪ RawCopy[64].exe: Mở data trên NTFS level;
o mal\: công cụ Malware:
▪ autoruns[64].exe: Chuyển các vị trí autorun sang định dạng nhị phân Autorun;
▪ autorunsc[64].exe: Liệt kê vị trí Autorun;
Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng
Học viên: Đỗ Bá Sơn 29
▪ BrowserAddonsView[64].exe: Liệt kê plugins and add-ons từ nhiều multiple
browser;
▪ densityscout[64].exe: Tính toán một biện pháp dựa trên Entropy để phát hiện
các nhà đóng gói và mã hóa;
▪ DriverView[64].exe: Liệt kê các trình điều khiển Kernel đã tải;
▪ handle[64].exe: Danh sách Object xử lý;
▪ iconsext.exe: Trích xuất các biểu tượng từ Portable Executables (PEs);
▪ Listdlls[64].exe: Liệt kê các DLL được tải;
▪ OfficeIns[64].exe: Danh sách bổ trợ Microsoft Office đã cài đặt;
▪ pslist[64].exe: Danh sách running Processes;
▪ PsService[64].exe: Danh sách Services;
▪ sigcheck[64].exe: Kiểm tra chữ ký số trong PEs;
▪ WinPrefetchView[64].exe: Hiển thị nội dung của tập tin tìm nạp trước;
o mem\: Công cụ Memory:
▪ winpmem_1.6.2.exe: Bỏ bộ nhớ;
o net\: Công cụ Network:
▪ psfile[64].exe: Danh sách các tệp opened remotely;
▪ tcpvcon.exe: Dach sách kết nối TCP, ports và UDP ports;
o sys\: Công cụ hệ thống:
▪ accesschk[64].exe: Liệt kê quyền của người dùng của các vị trí được chỉ định;
▪ logonsessions[64].exe: Liệt kê các phiên đăng nhập hiện đang hoạt động;
▪ PsGetsid[64].exe: Liệt kê các phiên đăng nhập hiện đang hoạt động;
▪ Psinfo[64].exe: Hiển thị thông tin phần mềm và phần cứng hệ thống;
▪ psloggedon[64].exe: Danh sách đăng nhập cục bộ trên người dùng có hồ sơ
của họ trong sổ đăng ký;
o web\: web tools:
▪ BrowsingHistoryView[64].exe: Liệt kê lịch sử duyệt web từ nhiều trình duyệt;
▪ ChromeCacheView.exe: Hiển thị bộ đệm Google Chrome;
▪ IECacheView.exe: Hiển thị bộ đệm Internet Explorer;
▪ MozillaCacheView.exe: Hiển thị bộ đệm Mozilla Firefox;
o yara\: YARA Công cụ và chữ ký:
▪ rules\: *.yar thư mục quy tắc;
▪ yara(32|64).exe: YARA thực thi chính;
▪ yarac(32|64).exe: YARA trình biên dịch quy tắc;
o 7za.exe: Nén tệp tin và thư mục;
Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng
Học viên: Đỗ Bá Sơn 30
o nircmdc[64].exe: Tính năng mở rộng, trong đó chụp ảnh màn hình;
o sdelete(32|64).exe: Xóa an toàn các tệp tin và thư mục;
+ data\: Thư mục dữ liệu được tạo trong thời gian chạy với dữ liệu được thu thập:
o -\: theo mẫu YYYYMMDD:
▪ ir-rescue-win: Thư mục cho ir-rescue-win liên quan đến dữ liệu:
• ir-rescue-win.log: Tệp nhật ký verbose của thông điệp trạng thái;
• ir-rescue-win-global.log: Tệp global log với ir-rescue-win các lệnh chạy
trong quá khứ;
• screenshot-#: Ảnh chụp màn hình được đánh số ir-rescue-win only;
▪ Thư mục được đặt tên theo loại dữ liệu được đặt cho bộ sưu tập [7].
- Cách sử dụng Ir-Rescue
Ir-Rescue cần được chạy trong bảng điều khiển dòng lệnh với quyền quản trị viên trong
khi Ir-Rescue cần được chạy dưới cửa sổ dòng lệnh với quyền root. Cả hai đều không yêu
cầu đối số và sử dụng tệp cấu hình tương ứng để đặt các tùy chọn mong muốn. Như vậy,
việc thực thi các tập lệnh chỉ cần chạy tệp như sau:
o ir-rescue-win-v1.w.x.ba
Một số công cụ thực hiện tìm kiếm đệ quy hoặc quét chỉ được đặt để lặp lại trên các thư
mục cụ thể. Điều này làm cho việc thu thập dữ liệu được nhắm mục tiêu nhiều hơn trong
khi tính đến hiệu suất thời gian chạy vì các thư mục được chỉ định là các vị trí có khả năng
phân tích do sử dụng rộng rãi bởi phần mềm độc hại. Các vị trí cho tìm kiếm đệ quy và tìm
kiếm không đệ quy cho các hệ thống Windows và Unix có thể được thay đổi theo ý muốn
trong các tệp văn bản tương ứng trong các thư mục cấu hình. Một số công cụ có các tệp
chuyên dụng với các vị trí cụ thể để và không tái diễn. Chúng được đặt tên đệ quy-
.txt và Nonrecursive- .txt, với được đổi thành tên công cụ. Mỗi tệp phải có
một vị trí là đường dẫn đầy đủ trên mỗi dòng mà không có dấu gạch chéo ngược hoặc dấu
gạch chéo về phía trước.
Trong thời gian chạy, tất cả các ký tự được in ra các kênh Standard Output (STDOUT)
và Standard Error (STDERR) được ghi vào các tệp văn bản được mã hóa UTF-8. Điều này
có nghĩa là đầu ra của các công cụ được lưu trữ trong các thư mục và tệp văn bản tương
ứng. Các thông báo ASCII trạng thái vẫn được in ra bàn điều khiển để kiểm tra tiến trình
thực hiện. Một thư mục tạm thời được tạo trong% TEMP% \ Ir-Rescue-win hoặc / tmp / Ir-
Rescue-nix được sử dụng để lưu trữ dữ liệu thời gian chạy (ví dụ: trình điều khiển kết xuất
bộ nhớ và liên kết đến các bản sao VSS) và bị xóa sau khi hoàn thành. Thư mục dữ liệu
được tạo dưới dạng giữ chỗ cho dữ liệu trong quá trình khởi tạo. Sau khi thu thập, các thư
Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng
Học viên: Đỗ Bá Sơn 31
mục trống có thể bị xóa nếu không có dữ liệu nào được thu thập (ví dụ: bộ đệm của trình
duyệt trống). Cuối cùng, dữ liệu được nén vào một kho lưu trữ được bảo vệ bằng mật khẩu
và sau đó sẽ bị xóa, nếu được đặt để làm như vậy [7].
2.4.2. Công cụ thu thập chứng cứ trên Kali Linux.
2.4.2.1. Công cụ thu thập chứng cứ Dc3dd
- Giới thiệu công cụ dc3dd
DC3DD (Department of Defense Cyber Crime Center). DC3DD là một gói của công cụ
DD (Data Dump), nó được sử dụng để thu thập chứng cứ phục vụ cho điều tra số.
Một số các tính năng của Data Dump (DD) như sau:
+ Bitstream (raw) disk acquisition and cloning.
+ Copying disk Phân vùng.
+ Copying folders and files.
+ Hard disk drive error checking.
+ Forensic wiping of all data on hard disk drive.
- Các tính năng trên công cụ dc3dd
Mở terminal sau đó sử dụng lệnh dc3dd - - help, liệt kê các tham số khả dụng được sử
dụng với dc3dd
Hình 2. 12 - Nội dung hiển thị câu lệnh dc3dd -- help
Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng
Học viên: Đỗ Bá Sơn 32
Như đã thấy trong ảnh chụp màn hình trước đó bằng cách sử dụng lệnh dc3dd - - help,
cách sử dụng điển hình của lệnh DC3DD định dạng:
Trong phần usage: ta thấy option được đưa vào trong câu lệnh
| dc3dd [option 1] [option 2] . . . [option n]
Basic option: phần giải thích về các lựa chọn tương ứng với từng option.
+ Các tùy chọn thu thập chứng cứ trên dc3dd
Câu lệnh: dc3dd if=/dev/sdb2 hash=md5 log=dc3ddusb of=test_usb.dd
Giải thích câu lệnh:
o If: Tệp đầu vào có định danh chuyên biệt có định dạng .img
o Hash: Hàm băm, chỉ định một loại thuật toán băm, trong ví dụ này chúng tôi sử
dụng hàm băm MD5.
o Log: Tên định dạng một loại của tệp ghi lại nhật ký các chi tiết hoạt động của
chương trình.
o Of: Tên tệp đầu ra của tệp chứng cứ sau khi thu thập được tạo bởi dc3dd.
+ Tách tập tin bằng DC3DD
Phụ thuộc vào kích thước của chứng cứ thu thập, khả năng quản lý và tính di động,
DC3DD có thể phân chia dữ liệu chứng cứ thành nhiều phần khác nhau. Điều này được
thực hiện bằng các sử dụng các Tùy chọn ofsz và ofs:
o Ofsz: chỉ định kích thước của từng tệp tin đầu ra.
o Ofsz: chỉ định các tệp đầu ra với phần mở rộng tệp số, thông thường (.000, .001,
.002, )
Trong ví dụ này, chúng tôi đã sử dụng ổ đĩa flash 2 GB giống như trước đây; tuy nhiên,
với mục đích trình diễn, chúng ta sẽ nhận thấy hai thay đổi.
Thay vì sử dụng hàm băm MD5, chúng tôi đã sử dụng hàm băm SHA-1 có định dạng
.img cho tệp đầu ra thay thế định dạng trước đây là .dd.
Thay vào đó, kích thước flash 2 GB hình ảnh sẽ được chia thành nhiều phần (tổng cộng
bốn phần) 500 MB mỗi phần sử dụng ofsz = 500M với các phần có tên là 2GBdc3dd2. img.
000, 2GBdc3dd2. img.001, 2GBdc3dd2. img.002 và 2GBdc3dd2. img.003.
Câu lệnh được sử dụng để tách tệp tin:
| dc3dd if=/dev/sdb hash=sha1 log=dd_split_usb ofsz=500M ofs=split_test_usb.
img. Ooo
Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng
Học viên: Đỗ Bá Sơn 33
Hình 2. 13 - Tệp .img được tách thành nhiều tệp nhỏ khác nhau
+ Xác minh hàm băm của các tệp sau khi phân tách
Để xác minh hàm băm của các tệp tách, có thể sử dụng lệnh sau:
| cat split_test_usb. img. * | sha1sum
Cái này cũng phù hợp với đầu ra sha1sum của chính ổ đĩa flash 2 GB, được hiển thị
bằng cách sử dụng lệnh sau:
| sha1sum /dev/sdb
+ Xóa ổ đĩa bằng dc3dd
Dc3dd ngoài khả năng là một công cụ thu thập dữ liệu rất mạnh, chúng còn có khả
năng xóa dữ liệu. dc3dd có thể xóa sạch dữ liệu và xóa các ổ đĩa bằng cách ghi đè dữ
liệu theo 3 cách:
• Ghi đè và điền dữ liệu và ổ đĩa bằng số không. Lệnh được sử dụng là dc3dd
wipe=/dev/sdb
• Ghi đè và điền dữ liệu và ổ đĩa bằng mẫu thập lục phân bằng tùy chọn pat. Lệnh
được sử dụng là dc3dd wipe=/dev/sdb pat=000111:
• Ghi đè và điền dữ liệu và ổ đĩa bằng mẫu văn bản bằng tùy chọn tpat. Lệnh được
sử dụng là dc3dd wipe=/dev/sdb tpat=cfsi [4].
2.4.2.2. Công cụ thu thập chứng cứ Ir-Rescue.
- Cấu trúc Ir-Rescue trong Linux
Công cụ Ir-Rescue được sử dụng trên cả hai hệ điều hành Kali Linux và Windows, giới
trong phần 2.4.1. chúng tôi đã giới thiệu tổng quan đầy đủ các khía cạnh về công cụ này,
do đó trong phần này chúng tôi sẽ không nhắc lại, dưới đây trình bày cấu trúc của Ir-Rescue
trong Linux:
+ tools-nix/: Thư mục chứa công cụ bên thứ ba ir-rescue-nix:
o ascii/: Text ASCII art tệp in *.txt format;
o cfg/: Tệp cấu hình:
Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng
Học viên: Đỗ Bá Sơn 34
▪ ir-rescue-nix.conf: Tệp cấu hình chính ir-rescue-nix;
▪ nonrecursive-(hidden|md5sum).txt: Tệp ẩn và md5sum non-recursive
locations;
▪ nonrecursive.txt: Non-recursive locations cho nhiều công cụ;
▪ recursive-(exec|hidden|md5sum).txt: Câu lệnh, tệp ẩn và md5sum recursive
locations;
▪ recursive.txt: Recursive locations cho nhiều công cụ;
o mem/: Công cụ bộ nhớ:
▪ linpmem-2.1.post4 (64-bit ELF): Dumps the memory;
+ Cách sử dụng Ir-Rescue
Để sử dụng Ir-Rescue trong Linux mở terminal
$$: chmod +x ./ir-rescue-nix-v1.y.z.sh;
$$: ./ir-rescue-nix-v1.y.z.sh [7]
2.5. Một số phương pháp bảo mật phân vùng USB
2.5.1. BitLocker
2.5.1.1. Giới thiệu về BitLocker
BitLocker là một tính năng bảo vệ dữ liệu có sẵn trong Windows Enterprise và Ultimate
và máy tính chạy Windows Server 2008. BitLocker được Microsoft phát triển sau khi nhận
được hàng loạt yêu cầu khách hàng về các mối đe dọa đánh cắp dữ liệu máy tính. Chức
năng chính của BitLocker ngăn kẻ lạ khởi động hệ điều hành khác để ổ đĩa đã bị khóa hoặc
chạy công cụ hack phần mềm để phá vỡ tệp hệ thống Windows nhằm thực hiện xem ngoại
tuyến các tệp được lưu trữ trên ổ đĩa, nó thực hiện bằng cách mã hóa toàn bộ ổ đĩa chứa dữ
liệu hệ thống Windows.
BitLocker sử dụng Trusted Platform Module (TPM 1.2) để bảo vệ dữ liệu người dùng
và để đảm bảo rằng PC chạy Windows V không bị giả mạo trong khi hệ thống ngoại tuyến.
BitLocker tăng cường bảo vệ dữ liệu bằng cách kết hợp hai chức năng con: Mã hóa toàn bộ
ổ đĩa và kiểm tra tính toàn vẹn của các thành phần khi khởi động ổ đĩa.
Kiểm tra tính toàn vẹn của các thành phần khi khởi động ổ đĩa giúp đảm bảo rằng việc
giải mã dữ liệu chỉ được thực hiện nếu các thành phần đó xuất hiện không bị biến đổi và ổ
đĩa được mã hóa. BitLocker cung cấp tùy chọn khóa quy trình khởi động bình thường cho
đến khi người dùng cung cấp mã PIN, giống như mã PIN thẻ ATM hoặc chèn ổ đĩa flash
USB có chứa mã khóa. Các biện pháp bảo mật bổ sung này cung cấp xác thực đa yếu tố và
đảm bảo rằng ổ đĩa được cài đặt BitLocker sẽ không khởi động hoặc cho đến khi xuất hiện
đúng mã PIN hoặc ổ flash USB.
Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng
Học viên: Đỗ Bá Sơn 35
2.5.1.2. Chức năng chính của BitLocker
BitLocker được Microsoft xây dựng là bảo vệ dữ liệu người dùng chữa trong ổ đĩa đang
sử dụng trên nền tảng hệ điều hành Windows. Hai tính năng chính của BitLocker là nó
không chỉ cung cấp mã hóa toàn bộ ổ đĩa mà còn xác minh tính toàn vẹn của các thành phần
khởi khi khởi động ổ đĩa. Microsoft nêu ra các chức năng chính của BitLocker như sau:
- Mã hóa dữ liệu ổ đĩa
+ Mã hóa toàn bộ ổ đĩa Windows, bao gồm cả dữ liệu người dùng và hệ thống tệp, tệp
ngủ đông, tệp trang và tệp tạm thời.
+ Cung cấp bảo vệ cho các ứng dụng của bên thứ ba, các ứng dụng bên thứ ba được
hưởng lợi khi được chứa bên trong ổ đĩa được mã hóa.
- Đảm bảo tính toàn vẹn của quá trình khởi động
+ Cung cấp một phương pháp để kiểm tra xem tính toàn vẹn của tệp khởi động
+ Bảo vệ hệ thống khỏi các cuộc tấn công dựa trên phần mềm ngoại tuyến
+ Khóa hệ thống khi bị giả mạo
- Tái sử dụng dữ liệu
Dữ liệu được mã hóa sẽ được giữ an toàn trên ổ đĩa. Dữ liệu trên ổ đĩa được mã hóa có
thể được hiển thị nếu như mã hóa được giải mã bằng khóa của chính nó.
2.5.1.3. Kiến trúc BitLocker
Kiến trúc hệ thống của BitLocker yêu cầu thành phần chức năng sau:
- Hệ thống cần yêu cầu phải có Trusted Platform Module (TPM) v1.21 để báo cáo và đo
lường toàn vẹn quá trình khởi động hệ thống.
- Hệ thống phải có BIOS v1.2 TCG (Trusted Computing Group).
+ BIOS thiết lập chuỗi tin cậy để khởi động preOS.
+ The system must include support for TCG specified (SRTM).
+ Hệ thống phải bao gồm hỗ trợ cho TCG được chỉ định (Static Root Trust
Measurement) (SRTM).
+ Máy tính phải có ít nhất hai ổ đĩa.
+ Ổ đĩa hệ điều hành (HĐH): Tệp hệ thống của hệ điều hành Windows và các tệp hỗ trợ
của nó; nó phải được định dạng bằng NTFS. Dữ liệu trên ổ đĩa này được bảo vệ bởi
BitLocker.
+ Ổ đĩa hệ thống: Ổ đĩa chứa các tệp phần cứng cần thiết để tải máy tính Windows sau
khi BIOS khởi động nền tảng. Để BitLocker hoạt động, ổ đĩa hệ thống không được
mã hóa, phải khác với ổ đĩa hệ điều hành và phải được định dạng bằng NTFS. Dung
Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng
Học viên: Đỗ Bá Sơn 36
lượng hệ thống của chúng ta phải tối thiểu 1,5 gigabyte (GB). Dữ liệu, bao gồm dữ
liệu người dùng bổ sung, được ghi vào ổ đĩa này không được BitLocker bảo vệ [9].
Hình 2. 14 - Kiến trúc BitLocker
2.5.1.4. Quản lý khóa BitLocker
- Tổng quan quản lý khóa BitLocker
Để đạt được mức độ bảo mật cao hơn, mà không ảnh hưởng lớn đến khả năng sử dụng,
BitLocker hỗ trợ các loại thuật toán mã hóa và lớp mã hóa khác nhau, bao gồm xác thực đa
yếu tố. Lưu ý rằng chỉ có một tập hợp con các tùy chọn khả dụng khi hoạt động ở chế độ
FIPS. Mục tiêu chính của BitLocker là bảo vệ dữ liệu người dùng trên ổ đĩa hệ điều hành
của ổ cứng. Để đạt được điều này, các thành phần của đĩa được mã hóa bằng Khóa mã hóa
Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng
Học viên: Đỗ Bá Sơn 37
toàn khối (FVEK), luôn được mã hóa bằng Volume Master Key (VMK) được gắn với TPM
(trong các kịch bản TPM). VMK trực tiếp bảo vệ FVEK do đó bảo vệ VMK trở nên quan
trọng. Bảo vệ đĩa thông qua VMK cho phép hệ thống dễ dàng khóa lại khi một trong các
khóa khác ngược dòng trong chuỗi bị mất hoặc bị xâm phạm, đặc biệt là khi giải mã và mã
hóa lại toàn bộ ổ đĩa.
Bảng 2. 1 - Một số cách để mã hóa VMK
Ngữ cảnh VMK blob
Thuật toán sử
dụng để giải mã
VKM
Khả năng
sẵn sàng
FIPS-mod
Default (TPM-only) SRK(VMK) RSA Yes
TPM và PIN (SRK + SHA256(PIM)(VMK) RSA Yes
TPM và PIN và USB
XOR ((SRK +
SHA256(PIN)),SK) (VKM)
RSA Yes
TPM vaf USB
(TPM+SK)
XOR(SRK(IK),SK)(VMK) RSA Yes
Khởi động khóa (SK) SK (VMK) RSA Yes
Thu hồi khóa (RK) RK(VMK) RSA Yes
Thu hồi mật khẩu
(Chain-
hashing(Password),Salk)(VMK)
RSA No
Xóa khóa (CC) CC(VM) RSA No
Tự động mở khóa RSA Yes
SRK là khóa gốc lưu trữ được giữ bởi TPM. Đó là cặp khóa RSA 2048 bit được tạo khi
quyền sở hữu TPM được thực hiện. SRK, được gọi ở đây là khóa RSA, thực sự là khóa
công khai RSA; thành viên Private key của cặp này không bao giờ được hiển thị bởi TPM.
SRK được lưu trữ trong bộ nhớ được bảo vệ trong chế độ bất biến của TPM và không thể
xóa được. Điều này giúp đảm bảo rằng tài liệu Private key không thể bị rò rỉ và ngăn không
cho khóa được sử dụng trên bất kỳ nền tảng nào ngoài nền tảng mà chúng được tạo trên đó.
Tuy nhiên, các cơ chế có sẵn để di chuyển các khóa từ TPM này sang TPM khác, nhằm
mục đích sao lưu và khắc phục thảm họa.
Các hoạt động chính của TPM dựa trên SRK. Khi quyền sở hữu được thực hiện đối với
TPM, chủ sở hữu mới được yêu cầu chỉ định hai mẩu thông tin ủy quyền, ủy quyền sở hữu
và ủy quyền sử dụng SRK. Ủy quy
Các file đính kèm theo tài liệu này:
- luan_van_nghien_cuu_xay_dung_giai_phap_thu_thap_chung_cu_ho.pdf