Digital Forensics Professional - INE Lab สอบ (ECDFP)
วันนี้จะมาเตรียมสอบ ECDFP โดยการฝึกทำ LAB Digital Forensics Professional - INE Course
ขั้นแรกคือ การเข้าไปทำ Lab
1. ทำการ download VPN File ตัวอย่าง Basic File Header Analysis
LAB 3
เรียนคำสั้งเพื่อเชื่อมต่อ VPN
#sudo openvpn /home/kali/Desktop/lab-3-basic-file-header-analysis.ovpn
และใส่ User Password
Connection Type: VNC
vncviewer 172.16.82.100 และ login password
Goals
Learn and use various tools to analyze and examine various file headers.
Those files can be found in the C:\DFP\Labs\Module03\Lab3 directory of the Win10 machine.
ไฟล์ที่ 1: ตรวจสอบไฟล์ "2D3Fa2a"
หลังจากเชื่อมต่อกับเครื่อง Win10 เปิดโปรแกรม Hex [อยู่ที่เดสก์ท็อป] และโหลดไฟล์ 2D3FA2A [อยู่ใน C:\DFP\Labs\Module03\Lab3]
การตรวจสอบส่วนหัวของไฟล์หลังจากเปิดด้วย HXD ทำให้เราสามารถระบุประเภทของไฟล์ได้ทันที
จากส่วนหัว (%PDF_1.5 . .%) และสองสามไบต์แรก (25 50 44 46 ) ซึ่งเป็นหมายเลข magic number ของไฟล์ PDF เราสามารถสรุปได้ว่าไฟล์นี้เป็นไฟล์ PDF
ไฟล์ที่ 2: ตรวจสอบไฟล์ "AW3DXW"
ส่วนหัวของไฟล์ที่สองไม่ชัดเจน เนื่องจากบรรทัดแรกไม่มีนามสกุลที่เป็นที่รู้จัก
อย่างไรก็ตาม เราสามารถสังเกตได้ว่าไฟล์เริ่มต้นด้วย (FF D8) ไบต์; นี่คือ magic number สำหรับไฟล์ JPEG นอกจากนี้เรายังสามารถสังเกตเห็น JFIF ภายในไฟล์ เราสามารถสรุปได้ว่าเรากำลังวิเคราะห์ไฟล์ที่มีรูปแบบ JPEG
ไฟล์ที่ 3: ตรวจสอบไฟล์ "Mx#234"
ไฟล์ที่สามค่อนข้างสับสนกว่าตัวอย่างก่อนหน้าเล็กน้อย เราจะเห็นว่าไฟล์เริ่มต้นด้วยค่า (50 4B 03 04)
เมื่อดูออนไลน์เราจะเห็นว่านี่คือ Magic Number สำหรับไฟล์ Microsoft 2010
ปัญหาคือ Magic Number นี้ไม่สามารถช่วยให้เราแยกความแตกต่างระหว่างไฟล์ Word, PowerPoint หรือ Excel ได้ เนื่องจาก มีไฟล์สามประเภทภายในโฟลเดอร์ที่ติดไวรัส นั่นหมายความว่าเราต้องมองหาที่อื่นเพื่อพิจารณาว่าไฟล์นี้เป็น Microsoft Office ประเภทใด ในตัวอย่างนี้ เป็นส่วนท้ายของไฟล์ที่จะช่วยเรา ไม่ใช่ส่วนหัว
ต่างจากตัวอย่างก่อนหน้านี้ โดยการตรวจสอบส่วนท้ายของแต่ละไฟล์ เราจะเห็นได้ว่า Microsoft 2010 เพิ่มประเภทเนื้อหาไว้ใกล้กับส่วนท้ายของไฟล์ เราสามารถดูการอ้างอิงสตริง PPT จำนวนมากที่เขียนไว้ในส่วนท้ายของไฟล์
ซึ่งจะช่วยให้เราระบุไฟล์นี้เป็นไฟล์ PowerPoint
ไฟล์ที่ 4: ตรวจสอบไฟล์ "QW#@g#"
ไฟล์นี้ดูง่ายกว่าตัวอย่างอื่นๆ ก่อนหน้านี้ที่เราเคยเห็นมา
ฟังก์ชันการแสดงข้อความ ASCII อัตโนมัติที่ใช้งานภายใน Hex Workshop มีประโยชน์มากในตัวอย่างนี้ ข้อความ ASCII ธรรมดาที่เขียนในไฟล์แสดงว่าเป็นไฟล์ข้อความปกติที่สามารถเปิดได้โดยใช้ Notepad
ดังที่เราเห็นก่อนหน้านี้ ไฟล์ข้อความปกติซึ่งมักจะเปิดโดยใช้ Notepad ไม่มีส่วนหัวหรือส่วนท้าย( header or footer ) ( เราสามารถระบุได้ว่านี่คือไฟล์ข้อความ (Test File )โดยการตรวจสอบเนื้อหาและ อักขระ ASCII
ไฟล์ที่ 5: ตรวจสอบไฟล์ "XFaWxVa"
ในตัวอย่างนี้ เรายังพบเลขMagic Number ของ Microsoft Office 2010 ที่จุดเริ่มต้นของไฟล์
เราสามารถใช้วิธีเดียวกับที่เราทำตามก่อนหน้านี้โดยตรวจสอบจุดสิ้นสุดของไฟล์ เพื่อพิจารณาว่าไฟล์นี้เป็นไฟล์ประเภทใด ใกล้ถึงจุดสิ้นสุดของไฟล์ เราจะเห็นเอกสารอ้างอิงซึ่งบ่งชี้ว่าน่าจะเป็นเอกสาร Microsoft Office Word
งาน 6: ตรวจสอบไฟล์ "ZC2f2d2"
เราพบหมายเลขมายากลของ Microsoft Office 2010 ที่ส่วนหัวของไฟล์อีกครั้ง
ตอนนี้เราได้ทำไปแล้วสองครั้งแล้ว เรารู้แล้วว่าเราต้องไปที่ใดและดูว่าไฟล์นี้เป็น Microsoft Office 2010 ประเภทใด ที่ส่วนท้ายของไฟล์ เราสามารถค้นหาข้อมูลอ้างอิงมากมาย เช่น XL, worksheet, and workbook ซึ่งชี้ให้เห็นถึงข้อเท็จจริงที่ว่านี่คือไฟล์ Microsoft Office 2010 Excel
INE Cyber Security – Connecting to Your First Lab
อ่านเพิ่มเตรียมสอบ eLearnSecurity Certified Digital Forensics
Reference : ine.com
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD
No comments:
Post a Comment