PassMark OSForensics: Truy tìm hoạt động trái phép trên máy tính

09/07/2013 16:00

PassMark OSForensics là bộ công cụ giúp bạn tìm kiếm và phân tích các chứng cứ về hành vi trái phép trên máy tính, thiết bị lưu trữ kỹ thuật số.

Chương trình có dung lượng 42,2MB, tương thích Windows XP/Vista/7, miễn phí cho người dùng cá nhân, tải tại đây.

Sau khi cài đặt và khởi động chương trình, bạn sẽ thấy tại thẻ Start có công cụ khác khau được chia thành các nhóm như: Case Management (quản lý các trường hợp truy cập trái phép), File Searching & Indexing (các công cụ tìm kiếm), Hashing and File Indentification (phân tích tính toàn vẹn), Viewers (các công cụ xem nội dung file), System Artifact & Passwords (tìm kiếm mật khẩu và các dấu vết), House Keeping (bảo toàn dữ liệu).

Trước tiên, tại thẻ Manage Case, bạn nhấn New Case để tạo case mới. Kết quả thu được từ các công cụ khác sẽ được lưu trong case nầy giúp bạn dễ dàng quản lý và truy cập

1. Nhóm công cụ File Searching & Indexing

- File Name Search là công cụ tìm kiếm đơn giản theo tên và định dạng file. Bạn chỉ việc điền tên hoặc đuôi file vào ô Search String, thư mục tìm kiếm vào ô Start Folder rồi nhấn Search để tìm kiếm. Bạn cũng có thể nhấn Config để sử dụng các tùy chọn nâng cao như ngày tháng, thuộc tính file. Đơn giản hơn, bạn sử dụng các bộ thiết lập có sẵn trong mục Preset như Office document (tài liệu), Hidden attribute set (file ẩn), Encrypted attribute set (file bị mã hóa)…

- Nếu muốn tìm kiếm bên trong nội dung file, trước tiên bạn cần tạo chỉ mục tại thẻ Create Index.

+ Bước 1: Bạn đánh dấu chọn vào các loại file muốn tạo chỉ mục như Offile + PDF document, Web files

+ Bước 2: Bạn nhấn Add để thêm vào các ổ đĩa, thư mục muốn tạo chỉ mục

+ Bước 3: Bạn đặt tên cho chỉ mục tại mục Index Title rồi nhấn Start Indexing.

Sau khi hoàn tất việc tạo chỉ mục, bạn chuyển sang thẻ Search Index, điền từ khóa vào ô Enter Search Words, chọn chỉ mục vừa tạo trong mục Index to Search rồi nhấn Search để tìm kiếm.

- Mismatch File Search là công cụ rất sáng tạo giúp tìm các file bị đổi định dạng để che dấu, ví dụ như các file Word bị đổi thành đuôi jpg nên không thể đọc được. Bạn chọn thư mục tìm kiếm trong ô Start Folder rồi nhấn Search để bắt đầu tìm kiếm.

2. Nhóm công cụ Hashing & File Indentification

- Hashing giúp đảm bảo nội dung file không bị thay đổi. Tại thẻ Verify/Create Hash, bạn chọn tập tin trong ô File, chuẩn mã hóa trong mục Hash Function rồi nhấn Calculate, kết quả sẽ được hiển thị trong mục Calculated Hash, bạn lưu lại chuỗi kết quả nầy để so sánh. Khi nào cần kiểm tra tính toàn vẹn, bạn lặp lại quá trình tính hash như trên sau đó dán chuỗi hash bạn đã lưu vào ô Comparison hash. Nếu hai chuỗi khác nhau tức là nội dung file đã bị thay đổi.

- Tính năng Signature giúp kiểm tra xem một thư mục có bị thêm hay xóa file nào không. Tại thẻ Create Signature, bạn chọn thư mục tại thẻ Start Folder rồi nhấn Start để tạo một signature mới. Khi muốn so sánh hai signature ở hai thời điểm khác nhau, bạn chuyển sang thẻ Compare Signature, chọn signature cũ trong mục Old Signature, chọn signature mới trong mục New Signature rồi nhấn Compare. Chương trình sẽ hiển thị tên các file bị thêm hay xóa cùng với dung lượng, ngày tháng tại danh sách phía dưới.

3. Nhóm công cụ Viewers

Các công cụ nầy giúp xem nội dung bên trong các file, thiết bị, bao gồm:

- File and Hex Viewer: Xem nội dung phần lớn các định dạng file.

- Memory Viewer: Xem thông tin về các tiến trình đang chạy trên hệ thống.

- Raw Disk Viewer: Xem dữ liệu trên ổ cứng theo từng sector.

- Registry Viewer: Xem và trích xuất các khóa registry vào case.

- SQLite DB Browser: Xem nội dung các file cơ sở dữ liệu SQL.

- Web Browser: Trình duyệt web tích hợp khả năng chụp ảnh.

- Email Viewer: Xem tập tin cơ sở dữ liệu của các trình mail client.

4. Nhóm công cụ System Artifact & Passwords

- Deleted File Search giúp tìm kiếm các file bị xóa. Bạn chọn ổ đĩa trong mục Disk, từ khóa trong mục Filter String, nhấn Config tùy chỉnh thêm các tùy chọn nâng cao rồi nhấn Search để bắt đầu tìm kiếm. Kết quả sẽ được hiển thị trong danh sách phía dưới, bạn có thể nhấp đúp chuột để mở xem, hoặc nhấn phải chuột rồi chọn Save Deleted File để lưu lại

- Công cụ Recent Activity giúp tìm kiếm dấu vết về các hoạt động gần đây trên máy tính như truy cập file, chạy chương trình, sửa registry… bạn nhấn Scan để bắt đầu tìm kiếm.

- Công cụ Website Passwords có khả năng tìm lại mật khẩu đăng nhập các trang web được lưu trên trình duyệt. Tại thẻ Find Browser Passwords, bạn nhấn Retrieve Passwords để bắt đầu tìm kiếm.

5. Nhóm công cụ House Keeping:

Disk Imaging giúp tạo file ảnh cho toàn bộ cấu trúc dữ liệu trên ổ cứng. Sau đó bạn có thể sử dụng file ảnh nầy trên bất kỳ máy tính nào khác để phân tích dữ liệu. Bạn chọn ổ đĩa trong mục Source Disk, file ảnh xuất ra trong mục Target Image File rồi nhấn Create Image. Khi cần phân tích dữ liệu, bạn chọn thẻ Mount Drive Image, nhấn Mount New rồi chỉ đến file ảnh đã tạo, lúc nầy trên máy tính sẽ có thêm một ổ đĩa ảo với cấu trúc dữ liệu giống hệt như ổ đĩa gốc.

- Forensic Folder Copy khác cách copy thông thường ở chỗ nó sẽ bảo toàn nguyên vẹn ngày tháng tạo và sửa của file gốc. Bạn chọn thư mục nguồn trong mục Source Directory, nơi lưu ở mục DestinationDirectory rồi nhấn Start để bắt đầu sao chép.

KẸO CHIP (Hà Nội)
Ý kiến bạn đọc (0)
Tên   Email

Lên đầu trang