Wednesday, December 29, 2021

Digital Forensics Professional - INE Lab 3 สอบ (ECDFP)

Digital Forensics Professional - INE Lab สอบ (ECDFP) 

วันนี้จะมาเตรียมสอบ  ECDFP  โดยการฝึกทำ LAB  Digital Forensics Professional - INE  Course

ขั้นแรกคือ การเข้าไปทำ Lab  

1. ทำการ download VPN File   ตัวอย่าง Basic File Header Analysis

LAB 3


เรียนคำสั้งเพื่อเชื่อมต่อ VPN 

#sudo openvpn /home/kali/Desktop/lab-3-basic-file-header-analysis.ovpn 

และใส่  User Password 

 


Connection Type: VNC
vncviewer 172.16.82.100  และ login password






Goals

Learn and use various tools to analyze and examine various file headers.



Those files can be found in the C:\DFP\Labs\Module03\Lab3 directory of the Win10 machine.


ไฟล์ที่ 1: ตรวจสอบไฟล์ "2D3Fa2a"


หลังจากเชื่อมต่อกับเครื่อง Win10  เปิดโปรแกรม Hex [อยู่ที่เดสก์ท็อป] และโหลดไฟล์ 2D3FA2A [อยู่ใน C:\DFP\Labs\Module03\Lab3]
การตรวจสอบส่วนหัวของไฟล์หลังจากเปิดด้วย  HXD ทำให้เราสามารถระบุประเภทของไฟล์ได้ทันที
จากส่วนหัว (%PDF_1.5 . .%) และสองสามไบต์แรก (25 50 44 46 ) ซึ่งเป็นหมายเลข magic number ของไฟล์ PDF เราสามารถสรุปได้ว่าไฟล์นี้เป็นไฟล์ PDF


ไฟล์ที่ 2: ตรวจสอบไฟล์ "AW3DXW"



ส่วนหัวของไฟล์ที่สองไม่ชัดเจน  เนื่องจากบรรทัดแรกไม่มีนามสกุลที่เป็นที่รู้จัก

อย่างไรก็ตาม เราสามารถสังเกตได้ว่าไฟล์เริ่มต้นด้วย (FF D8) ไบต์; นี่คือ magic number สำหรับไฟล์ JPEG นอกจากนี้เรายังสามารถสังเกตเห็น JFIF ภายในไฟล์ เราสามารถสรุปได้ว่าเรากำลังวิเคราะห์ไฟล์ที่มีรูปแบบ JPEG


ไฟล์ที่  3: ตรวจสอบไฟล์ "Mx#234"
ไฟล์ที่สามค่อนข้างสับสนกว่าตัวอย่างก่อนหน้าเล็กน้อย เราจะเห็นว่าไฟล์เริ่มต้นด้วยค่า (50 4B 03 04)


เมื่อดูออนไลน์เราจะเห็นว่านี่คือ Magic Number สำหรับไฟล์ Microsoft 2010



ปัญหาคือ Magic Number นี้ไม่สามารถช่วยให้เราแยกความแตกต่างระหว่างไฟล์ Word, PowerPoint หรือ Excel ได้ เนื่องจาก   มีไฟล์สามประเภทภายในโฟลเดอร์ที่ติดไวรัส นั่นหมายความว่าเราต้องมองหาที่อื่นเพื่อพิจารณาว่าไฟล์นี้เป็น Microsoft Office ประเภทใด ในตัวอย่างนี้ เป็นส่วนท้ายของไฟล์ที่จะช่วยเรา ไม่ใช่ส่วนหัว

ต่างจากตัวอย่างก่อนหน้านี้ โดยการตรวจสอบส่วนท้ายของแต่ละไฟล์ เราจะเห็นได้ว่า Microsoft 2010 เพิ่มประเภทเนื้อหาไว้ใกล้กับส่วนท้ายของไฟล์ เราสามารถดูการอ้างอิงสตริง PPT จำนวนมากที่เขียนไว้ในส่วนท้ายของไฟล์

ซึ่งจะช่วยให้เราระบุไฟล์นี้เป็นไฟล์ PowerPoint


ไฟล์ที่  4: ตรวจสอบไฟล์ "QW#@g#"
ไฟล์นี้ดูง่ายกว่าตัวอย่างอื่นๆ ก่อนหน้านี้ที่เราเคยเห็นมา



ฟังก์ชันการแสดงข้อความ ASCII อัตโนมัติที่ใช้งานภายใน Hex Workshop มีประโยชน์มากในตัวอย่างนี้ ข้อความ  ASCII ธรรมดาที่เขียนในไฟล์แสดงว่าเป็นไฟล์ข้อความปกติที่สามารถเปิดได้โดยใช้ Notepad

ดังที่เราเห็นก่อนหน้านี้ ไฟล์ข้อความปกติซึ่งมักจะเปิดโดยใช้ Notepad ไม่มีส่วนหัวหรือส่วนท้าย(  header or footer ) ( เราสามารถระบุได้ว่านี่คือไฟล์ข้อความ (Test File )โดยการตรวจสอบเนื้อหาและ อักขระ ASCII


ไฟล์ที่  5: ตรวจสอบไฟล์ "XFaWxVa"
ในตัวอย่างนี้ เรายังพบเลขMagic Number ของ Microsoft Office 2010 ที่จุดเริ่มต้นของไฟล์



เราสามารถใช้วิธีเดียวกับที่เราทำตามก่อนหน้านี้โดยตรวจสอบจุดสิ้นสุดของไฟล์ เพื่อพิจารณาว่าไฟล์นี้เป็นไฟล์ประเภทใด ใกล้ถึงจุดสิ้นสุดของไฟล์ เราจะเห็นเอกสารอ้างอิงซึ่งบ่งชี้ว่าน่าจะเป็นเอกสาร Microsoft Office Word



งาน 6: ตรวจสอบไฟล์ "ZC2f2d2"
เราพบหมายเลขมายากลของ Microsoft Office 2010 ที่ส่วนหัวของไฟล์อีกครั้ง



ตอนนี้เราได้ทำไปแล้วสองครั้งแล้ว เรารู้แล้วว่าเราต้องไปที่ใดและดูว่าไฟล์นี้เป็น Microsoft Office 2010 ประเภทใด ที่ส่วนท้ายของไฟล์ เราสามารถค้นหาข้อมูลอ้างอิงมากมาย เช่น XL, worksheet, and workbook   ซึ่งชี้ให้เห็นถึงข้อเท็จจริงที่ว่านี่คือไฟล์ Microsoft Office 2010 Excel


INE Cyber Security – Connecting to Your First Lab



อ่านเพิ่มเตรียมสอบ eLearnSecurity Certified Digital Forensics


Reference ine.com

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD 

No comments:

Post a Comment

Digital Forensics:WhatsMyName (OSINT)

Digital Forensics:WhatsMyName (OSINT) Welcome to WhatsMyName This tool allows you to enumerate usernames across many websites How to use: 1....