Digital Forensics Professional - INE Lab 3 สอบ (ECDFP)

Digital Forensics Professional - INE Lab สอบ (ECDFP) 

วันนี้จะมาเตรียมสอบ  ECDFP  โดยการฝึกทำ LAB  Digital Forensics Professional - INE  Course

ขั้นแรกคือ การเข้าไปทำ Lab  

1. ทำการ download VPN File   ตัวอย่าง Basic File Header Analysis

LAB 3

เรียนคำสั้งเพื่อเชื่อมต่อ VPN 

#sudo openvpn /home/kali/Desktop/lab-3-basic-file-header-analysis.ovpn 

และใส่  User Password 

 

Connection Type: VNC

vncviewer 172.16.82.100  และ login password

Goals

Learn and use various tools to analyze and examine various file headers.

Those files can be found in the C:\DFP\Labs\Module03\Lab3 directory of the Win10 machine.

ไฟล์ที่ 1: ตรวจสอบไฟล์ "2D3Fa2a"

หลังจากเชื่อมต่อกับเครื่อง Win10  เปิดโปรแกรม Hex [อยู่ที่เดสก์ท็อป] และโหลดไฟล์ 2D3FA2A [อยู่ใน C:\DFP\Labs\Module03\Lab3]

การตรวจสอบส่วนหัวของไฟล์หลังจากเปิดด้วย  HXD ทำให้เราสามารถระบุประเภทของไฟล์ได้ทันที

จากส่วนหัว (%PDF_1.5 . .%) และสองสามไบต์แรก (25 50 44 46 ) ซึ่งเป็นหมายเลข magic number ของไฟล์ PDF เราสามารถสรุปได้ว่าไฟล์นี้เป็นไฟล์ PDF

ไฟล์ที่ 2: ตรวจสอบไฟล์ "AW3DXW"

ส่วนหัวของไฟล์ที่สองไม่ชัดเจน  เนื่องจากบรรทัดแรกไม่มีนามสกุลที่เป็นที่รู้จัก

อย่างไรก็ตาม เราสามารถสังเกตได้ว่าไฟล์เริ่มต้นด้วย (FF D8) ไบต์; นี่คือ magic number สำหรับไฟล์ JPEG นอกจากนี้เรายังสามารถสังเกตเห็น JFIF ภายในไฟล์ เราสามารถสรุปได้ว่าเรากำลังวิเคราะห์ไฟล์ที่มีรูปแบบ JPEG

ไฟล์ที่  3: ตรวจสอบไฟล์ "Mx#234"

ไฟล์ที่สามค่อนข้างสับสนกว่าตัวอย่างก่อนหน้าเล็กน้อย เราจะเห็นว่าไฟล์เริ่มต้นด้วยค่า (50 4B 03 04)

เมื่อดูออนไลน์เราจะเห็นว่านี่คือ Magic Number สำหรับไฟล์ Microsoft 2010

ปัญหาคือ Magic Number นี้ไม่สามารถช่วยให้เราแยกความแตกต่างระหว่างไฟล์ Word, PowerPoint หรือ Excel ได้ เนื่องจาก   มีไฟล์สามประเภทภายในโฟลเดอร์ที่ติดไวรัส นั่นหมายความว่าเราต้องมองหาที่อื่นเพื่อพิจารณาว่าไฟล์นี้เป็น Microsoft Office ประเภทใด ในตัวอย่างนี้ เป็นส่วนท้ายของไฟล์ที่จะช่วยเรา ไม่ใช่ส่วนหัว

ต่างจากตัวอย่างก่อนหน้านี้ โดยการตรวจสอบส่วนท้ายของแต่ละไฟล์ เราจะเห็นได้ว่า Microsoft 2010 เพิ่มประเภทเนื้อหาไว้ใกล้กับส่วนท้ายของไฟล์ เราสามารถดูการอ้างอิงสตริง PPT จำนวนมากที่เขียนไว้ในส่วนท้ายของไฟล์

ซึ่งจะช่วยให้เราระบุไฟล์นี้เป็นไฟล์ PowerPoint

ไฟล์ที่  4: ตรวจสอบไฟล์ "QW#@g#"

ไฟล์นี้ดูง่ายกว่าตัวอย่างอื่นๆ ก่อนหน้านี้ที่เราเคยเห็นมา

ฟังก์ชันการแสดงข้อความ ASCII อัตโนมัติที่ใช้งานภายใน Hex Workshop มีประโยชน์มากในตัวอย่างนี้ ข้อความ  ASCII ธรรมดาที่เขียนในไฟล์แสดงว่าเป็นไฟล์ข้อความปกติที่สามารถเปิดได้โดยใช้ Notepad

ดังที่เราเห็นก่อนหน้านี้ ไฟล์ข้อความปกติซึ่งมักจะเปิดโดยใช้ Notepad ไม่มีส่วนหัวหรือส่วนท้าย(  header or footer ) ( เราสามารถระบุได้ว่านี่คือไฟล์ข้อความ (Test File )โดยการตรวจสอบเนื้อหาและ อักขระ ASCII

ไฟล์ที่  5: ตรวจสอบไฟล์ "XFaWxVa"

ในตัวอย่างนี้ เรายังพบเลขMagic Number ของ Microsoft Office 2010 ที่จุดเริ่มต้นของไฟล์

เราสามารถใช้วิธีเดียวกับที่เราทำตามก่อนหน้านี้โดยตรวจสอบจุดสิ้นสุดของไฟล์ เพื่อพิจารณาว่าไฟล์นี้เป็นไฟล์ประเภทใด ใกล้ถึงจุดสิ้นสุดของไฟล์ เราจะเห็นเอกสารอ้างอิงซึ่งบ่งชี้ว่าน่าจะเป็นเอกสาร Microsoft Office Word

งาน 6: ตรวจสอบไฟล์ "ZC2f2d2"

เราพบหมายเลขมายากลของ Microsoft Office 2010 ที่ส่วนหัวของไฟล์อีกครั้ง

ตอนนี้เราได้ทำไปแล้วสองครั้งแล้ว เรารู้แล้วว่าเราต้องไปที่ใดและดูว่าไฟล์นี้เป็น Microsoft Office 2010 ประเภทใด ที่ส่วนท้ายของไฟล์ เราสามารถค้นหาข้อมูลอ้างอิงมากมาย เช่น XL, worksheet, and workbook   ซึ่งชี้ให้เห็นถึงข้อเท็จจริงที่ว่านี่คือไฟล์ Microsoft Office 2010 Excel

INE Cyber Security – Connecting to Your First Lab

อ่านเพิ่มเตรียมสอบ eLearnSecurity Certified Digital Forensics

Reference : ine.com

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD