Digital Forensics Professional - INE Lab สอบ (ECDFP)
วันนี้จะมาเตรียมสอบ ECDFP โดยการฝึกทำ LAB Digital Forensics Professional - INE Course
ขั้นแรกคือ การเข้าไปทำ Lab
1. ทำการ download VPN File ตัวอย่าง Basic File Header Analysis
LAB 3
เรียนคำสั้งเพื่อเชื่อมต่อ VPN
#sudo openvpn /home/kali/Desktop/lab-3-basic-file-header-analysis.ovpn
และใส่ User Password
Connection Type: VNC
vncviewer 172.16.82.100 และ login password
Goals
Learn and use various tools to analyze and examine various file headers.
Those files can be found in the C:\DFP\Labs\Module03\Lab3 directory of the Win10 machine.
หลังจากเชื่อมต่อกับเครื่อง Win10 เปิดโปรแกรม Hex [อยู่ที่เดสก์ท็อป] และโหลดไฟล์ 2D3FA2A [อยู่ใน C:\DFP\Labs\Module03\Lab3]
การตรวจสอบส่วนหัวของไฟล์หลังจากเปิดด้วย HXD ทำให้เราสามารถระบุประเภทของไฟล์ได้ทันที
จากส่วนหัว (%PDF_1.5 . .%) และสองสามไบต์แรก (25 50 44 46 ) ซึ่งเป็นหมายเลข magic number ของไฟล์ PDF เราสามารถสรุปได้ว่าไฟล์นี้เป็นไฟล์ PDF
ไฟล์ที่ 2: ตรวจสอบไฟล์ "AW3DXW"
ส่วนหัวของไฟล์ที่สองไม่ชัดเจน เนื่องจากบรรทัดแรกไม่มีนามสกุลที่เป็นที่รู้จัก
อย่างไรก็ตาม เราสามารถสังเกตได้ว่าไฟล์เริ่มต้นด้วย (FF D8) ไบต์; นี่คือ magic number สำหรับไฟล์ JPEG นอกจากนี้เรายังสามารถสังเกตเห็น JFIF ภายในไฟล์ เราสามารถสรุปได้ว่าเรากำลังวิเคราะห์ไฟล์ที่มีรูปแบบ JPEG
ไฟล์ที่ 3: ตรวจสอบไฟล์ "Mx#234"
ไฟล์ที่สามค่อนข้างสับสนกว่าตัวอย่างก่อนหน้าเล็กน้อย เราจะเห็นว่าไฟล์เริ่มต้นด้วยค่า (50 4B 03 04)
เมื่อดูออนไลน์เราจะเห็นว่านี่คือ Magic Number สำหรับไฟล์ Microsoft 2010
ปัญหาคือ Magic Number นี้ไม่สามารถช่วยให้เราแยกความแตกต่างระหว่างไฟล์ Word, PowerPoint หรือ Excel ได้ เนื่องจาก มีไฟล์สามประเภทภายในโฟลเดอร์ที่ติดไวรัส นั่นหมายความว่าเราต้องมองหาที่อื่นเพื่อพิจารณาว่าไฟล์นี้เป็น Microsoft Office ประเภทใด ในตัวอย่างนี้ เป็นส่วนท้ายของไฟล์ที่จะช่วยเรา ไม่ใช่ส่วนหัว
ต่างจากตัวอย่างก่อนหน้านี้ โดยการตรวจสอบส่วนท้ายของแต่ละไฟล์ เราจะเห็นได้ว่า Microsoft 2010 เพิ่มประเภทเนื้อหาไว้ใกล้กับส่วนท้ายของไฟล์ เราสามารถดูการอ้างอิงสตริง PPT จำนวนมากที่เขียนไว้ในส่วนท้ายของไฟล์
ซึ่งจะช่วยให้เราระบุไฟล์นี้เป็นไฟล์ PowerPoint
ไฟล์ที่ 4: ตรวจสอบไฟล์ "QW#@g#"
ไฟล์นี้ดูง่ายกว่าตัวอย่างอื่นๆ ก่อนหน้านี้ที่เราเคยเห็นมา
ฟังก์ชันการแสดงข้อความ ASCII อัตโนมัติที่ใช้งานภายใน Hex Workshop มีประโยชน์มากในตัวอย่างนี้ ข้อความ ASCII ธรรมดาที่เขียนในไฟล์แสดงว่าเป็นไฟล์ข้อความปกติที่สามารถเปิดได้โดยใช้ Notepad
ดังที่เราเห็นก่อนหน้านี้ ไฟล์ข้อความปกติซึ่งมักจะเปิดโดยใช้ Notepad ไม่มีส่วนหัวหรือส่วนท้าย( header or footer ) ( เราสามารถระบุได้ว่านี่คือไฟล์ข้อความ (Test File )โดยการตรวจสอบเนื้อหาและ อักขระ ASCII
ไฟล์ที่ 5: ตรวจสอบไฟล์ "XFaWxVa"
ในตัวอย่างนี้ เรายังพบเลขMagic Number ของ Microsoft Office 2010 ที่จุดเริ่มต้นของไฟล์
เราสามารถใช้วิธีเดียวกับที่เราทำตามก่อนหน้านี้โดยตรวจสอบจุดสิ้นสุดของไฟล์ เพื่อพิจารณาว่าไฟล์นี้เป็นไฟล์ประเภทใด ใกล้ถึงจุดสิ้นสุดของไฟล์ เราจะเห็นเอกสารอ้างอิงซึ่งบ่งชี้ว่าน่าจะเป็นเอกสาร Microsoft Office Word
งาน 6: ตรวจสอบไฟล์ "ZC2f2d2"
เราพบหมายเลขมายากลของ Microsoft Office 2010 ที่ส่วนหัวของไฟล์อีกครั้ง
ตอนนี้เราได้ทำไปแล้วสองครั้งแล้ว เรารู้แล้วว่าเราต้องไปที่ใดและดูว่าไฟล์นี้เป็น Microsoft Office 2010 ประเภทใด ที่ส่วนท้ายของไฟล์ เราสามารถค้นหาข้อมูลอ้างอิงมากมาย เช่น XL, worksheet, and workbook ซึ่งชี้ให้เห็นถึงข้อเท็จจริงที่ว่านี่คือไฟล์ Microsoft Office 2010 Excel
อ่านเพิ่มเตรียมสอบ eLearnSecurity Certified Digital Forensics
Reference : ine.com
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
No comments:
Post a Comment