Bài giảng Pháp chứng kỹ thuật số - Bài 8: Điều tra tội phạm trên Internet - Pháp chứng số trên Internet

Điểm khác biệt giữa tội phạm công nghệ cao và tội phạm truyền thống chính là phương tiện phạm tội.

Tội phạm công nghệ cao sử dụng sự tiến bộ của công nghệ thông tin để phạm tội.

Tội phạm công nghệ cao thực hiện được những hành vi phạm tội mà tội phạm truyền thống không thể làm được, như tội phạm ngồi ở Việt Nam nhưng có thể trộm cắp được tiền của một người nào đó đang ở nước ngoài.

Không cần dùng chìa khóa vạn năng, tội phạm công nghệ cao vẫn có thể xâm nhập được vào "kho tiền" của người khác để chiếm đoạt.

 

pptx 64 trang thom 05/01/2024 1800
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Pháp chứng kỹ thuật số - Bài 8: Điều tra tội phạm trên Internet - Pháp chứng số trên Internet", để tải tài liệu gốc về máy hãy click vào nút Download ở trên

Tóm tắt nội dung tài liệu: Bài giảng Pháp chứng kỹ thuật số - Bài 8: Điều tra tội phạm trên Internet - Pháp chứng số trên Internet

Bài giảng Pháp chứng kỹ thuật số - Bài 8: Điều tra tội phạm trên Internet - Pháp chứng số trên Internet
Bài 8: Điều tra tội phạm trên Internet - Pháp chứng số trên Internet 
Giảng viên: TS. Đàm Quang Hồng Hải 
PHÁP CHỨNG KỸ THUẬT SỐ 
Tội phạm trên Internet - tôi phạm công nghệ cao 
Điểm khác biệt giữa tội phạm công nghệ cao và tội phạm truyền thống chính là phương tiện phạm tội. 
T ội phạm công nghệ cao sử dụng sự tiến bộ của công nghệ thông tin để phạm tội. 
T ội phạm công nghệ cao thực hiện được những hành vi phạm tội mà tội phạm truyền thống không thể làm được, như tội phạm ngồi ở Việt Nam nhưng có thể trộm cắp được tiền của một người nào đó đang ở nước ngoài . 
K hông cần dùng chìa khóa vạn năng, tội phạm công nghệ cao vẫn có thể xâm nhập được vào "kho tiền" của người khác để chiếm đoạt. 
Tấn công vào máy người dùng 
H ành vi của tội phạm công nghệ cao 
H ành vi của tội phạm công nghệ cao khác nhiều so với tội phạm cổ điển, như: tấn công trái phép vào website để lấy đi những thông tin bí mật, thay vào đó những thông tin giả 
T ội phạm công nghệ cao có thể phá hoại website bằng virút, làm giả thẻ tín dụng, lấy cắp tài khoản cá nhân 
Đối tượng phạm tội cũng khác với tội phạm truyền thống, nhất thiết phải có hiểu biết về công nghệ thông tin thì mới thực hiện được hành vi phạm tội. 
Lừa đảo Công nghệ cao 
Đ ối tượng lừa đảo lập ra một trang web, lấy địa chỉ giả ở Mỹ rồi nhập tên tuổi của những người tham gia vào mạng lưới cùng với số tiền họ đã góp. 
Đ ối tượng lừa đảo mở máy tính cho những người tham gia xem, họ tận mắt nhìn thấy tên mình, số tiền của mình trên màn hình thì vui và tin là mình đang kinh doanh tài chính với tập đoàn ở Mỹ thật mà không biết rằng việc tạo ra một trang web là vô cùng đơn giản. 
Một nguyên nhân nữa đó là do mức lãi suất mà bọn lừa đảo đưa ra quá hấp dẫn, quá cao so với tất cả các hình thức huy động tiền gửi hợp pháp khác. 
Sự thiếu hiểu biết cũng là một nguyên nhân khiến nhiều người bị mắc lừa. 
T ội phạm công nghệ cao và Lỗ hổng 
Lỗ hổng (bug) là các điểm yếu trong phần mềm cho phép kẻ tấn công phá hoại sự toàn vẹn, độ sẵn sàng hoặc bảo mật của phần mềm hoặc dữ liệu do phần mềm xử lý. 
Một số lỗ hổng nguy hiểm nhất cho phép kẻ tấn công khai thác hệ thống bị xâm phạm bằng cách khiến hệ thống chạy các mã độc hại mà người dùng không hề biết. 
T hế giới đã bị rúng động bởi sự hoành hành của Flame và Duqu, những virus đánh cắp thông tin  mật của các hệ thống điện toán  
Lỗ hổng Zero Day 
Lỗ hổng zero day là một thuật ngữ để chỉ những lỗ hổng chưa được công bố hoặc chưa được khắc phục. 
Lợi dụng những lỗ hổng này, hacker và bọn tội phạm mạng có thể xâm nhập được vào hệ thống máy tính của các doanh nghiệp, tập đoàn để đánh cắp hay thay đổi dữ liệu. 
Tuổi thọ trung bình của một lỗ hổng zero-day là 348 ngày trước khi nó được phát hiện ra hoặc vá lại, nhiều lỗ hổng thậm chí còn sống "thọ" hơn thế. 
Tội phạm công nghệ cao sẵn sàng trả khoản tiền rất lớn để mua lại các lỗ hổng zero-day. 
Tấn công vào các lỗ hổng bảo mật 
Hiện nay các lỗ hổng bảo mật được phát hiện càng nhiều trong các hệ điều hành, các máy chủ cung cấp dịch vụ hoặc các phần mềm khác, ... các hãng sản xuất luôn cập nhật các phần mềm vá lỗi của mình. 
N hững thông tin có thể ăn cắp như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng. 
Người dùng cần thiết cập nhật thông tin và nâng cấp phiên bản cũ. 
Ví dụ: tấn công Java Zero-day CVE-2013-1493 
Xem xét File log lưu trữ trên máy tính 
Các file log máy tính có thể tạo ra và duy trì từ những dữ liệu hệ thống tự động hoặc bằng tay, chẳng hạn như các tập tin đăng nhập hệ thống và nhật ký máy chủ proxy. 
Các hồ sơ phải được đầu ra được tạo ra từ các ứng dụng máy tính / quy trình trong đó thông thường, không phải là dữ liệu đầu vào một cá nhân tạo ra 
Các file log máy tính là những dữ liệu điện tử hoặc kỹ thuật số đầu có thể xem với một phần mềm bảng tính hoặc phần mềm xử lý văn bản. 
Ví dụ: File Log với phần mềm HijacThis 
Sử dụng trên phần mềm chống Virus 
Thông thường các máy tính có cài phần mềm chống Virus đều có ghi lại quá trình ngăn chặn Virus 
Phần mềm chống Virus có thể bắt đầu diệt của phần mềm độc hại trước khi nó có cơ hội để tải về và cài đặt 
Pháp chứng viên có thể xem xét các thông tin này cùng với các thông tin truy cập Web để tìm được nguồn gốc Virus 
Phần mềm chống Virus 
 Mã độc Malware 
Thuật ngữ " M alware " bao hàm tất cả các loại phần mềm được thiết kế để làm hại máy tính hoặc mạng máy tính. 
Phần mềm độc hại có thể được cài đặt trên máy mà người dùng không hay biết, thường thông qua các liên kết lừa đảo hoặc nội dung tải xuống được đăng như là nội dung thường dùng . 
14 
Malware 
Các loại Malware 
Mã độc M alware bao gồm rất nhiều loại phổ biến như: 
Virus 
Sâu máy tính (worm) 
Trojan horse 
Botnets 
Keylogger. 
Phần mềm gián điệp (spyware) 
Phần mềm quảng cáo. 
 Virus , Worm , Trojan horse 
Virus là phần mềm độc hại được gắn vào chương trình khác để thực thi một nhiệm vụ không mong muốn trên máy tính của người dùng. 
Worm thực thi mã (code) tùy ý và cài đặt bản sao của nó vào máy tính bị nhiễm để sau đó lây nhiễm vào các máy khác. 
Trojan horse không giống như worm hoặc virus. Nó được viết ra trông giống như là 1 chương trình nào đó, nhưng thực chất nó là công cụ dùng để tấn công 
17 
Virus , Worm , Trojan 
Botnets, Keylogger , Phần mềm gián điệp 
Botnets là những chương trình tương tự Trojan cho phép kẻ tấn công sử dụng máy của họ như là những Zoombie (máy tính bị chiếm quyền điều khiển hoàn toàn ) và chúng chủ động kết nối với một Server để dễ dàng điều khiển. 
Keylogger là phần mềm ghi lại chuỗi gõ phím của người dùng. Nó có thể hữu ích cho việc tìm nguồn gốc lỗi sai trong các hệ thống máy tính 
Phần mềm gián điệp là loại virus có khả năng thâm nhập trực tiếp vào hệ điều hành mà không để lại "di chứng". 
Lịch sử phát triển của Malware 
Khởi đầu lịch sử phát triển của mình, những Malware thế hệ đầu tiên lây nhiễm giữa các máy tính bằng việc lây nhiễm vào vùng MBR của các đĩa mềm dùng để khởi động máy tính hoặc trao đổi dữ liệu. 
Các thiết bị lưu trữ dữ liệu hiện đại hơn như USB, CD,... Malware cũng phát triển theo sự phát triển của công nghệ. 
Ngày nay, không chỉ lây nhiễm qua các thiết bị lưu trữ vật lý mà Malware còn có thể lây nhiễm giữa các hệ thống thông qua các kết nối mạng một các tự động. 
C ác công cụ Forensic và Malware Analysic được sử dụng để 	phân tích cách thức lây nhiễm, payload, hành vi của chúng để có thể đưa ra các cách giải quyết,  ngăn chặn chúng 
Ví dụ hoạt động Malware 
Mã hóa và tránh né phát hiện 
Được các tác giả viết Malware sử dụng từ những năm đầu thập niên 1990 nhằm mã hóa payload và bản thân chúng để tránh né việc phát hiện các công cụ như Antivirus, IDS, .... 
Kỹ thuật này thường được Malware sử dụng phục vụ vào những mục đích chính như: 
Tránh né việc phát hiện của IDS/IPS, Antivirus 
Ẩn kênh C&C 
Mã hóa lưu lượng điều khiển 
22 
Ví dụ: Virus Rookit tấn công vào bảng danh sách hàm hệ thống 
Trong Windows, Rootkit thường hoạt động dựa vào cơ chế móc nối vào bảng lưu địa chỉ các hàm dịch vụ hệ thống (System Service Dispatch Table - SSDT). 
Để điều tra những vấn đề này, Pháp chứng viên có thể lấy bằng chứng từ nghiên cứu pháp chứng số trên bộ nhớ dựa vào framework như của bộ công cụ Volatility. 
Kết quả điều tra giúp Pháp chứng viên hiểu chiến lược móc nối SSDT, giúp nhà sản xuất phần mềm chống Virus tối ưu hơn sản phẩm của họ. 
Bảng SSDT (System Service Dispatch Table) 
Kỹ thuật hooking vào SSDT của Rookit 
Công cụ Volatility 
Volatility : bộ công cụ điều tra trên bộ nhớ Volatility có thể điều tra các hoạt động của process kể cả process của rookit. 
Phần mềm chống Virus sử dụng SSDT hooking 
SSDT hooking cũng là một phương pháp phổ biến được sử dụng bởi một số phần mềm chống Virus để thiết lập các hạn chế truy cập các tài nguyên hệ thống. 
Các sản phẩm chống virus thường móc vào SSDT để quét các chương trình đang chạy. 
Các sản phẩm chống Virus thường hooking bằng cách thay đổi địa chỉ được lưu trữ trong hàm SSDT Native, và trỏ địa chỉ đến các hàm chống Virus. 
Cơ chế t ự động cập nhật Malware 
28 
Để có thể tồn tại trong ‘môi trường’ hiện đại, Malware cần phải thích ứng được với ‘môi trường’. 
Trong những năm cuối thập niên 1990, các Malware phát triển với tốc độ nhanh chóng nhờ được thiết kế với khả năng tự cập nhật thông qua mạng, cho phép kẻ tấn công có thể thay đổi Malware về phương thức lây nhiễm, payload, hành vi một cách nhanh chóng. 
Các thế hệ Malware đầu tiên có thể tự cập nhật như W95/Babylonia trên giao thức HTTP. Các Malware hiện đại hơn được trang bị các cơ chế xác thực, chữ ký điện tử, mã hóa bản cập nhật bằng các thuật toán mã hóa RSA 128 bit (W95/Hybris), sử dụng các giao thức phổ biến như HTTP, P2P,... 
Malware đ a hình (Polymorphic malware) 
Sự ưu việt của các công cụ bảo mật và điều tra hỗ trợ rất nhiều trong việc phát hiện sớm các mối nguy của Malware truyền thống để sớm có các biện pháp ngăn chặn lây nhiễm khiến các Malware được thiết kế ngày càng tinh vi để đối phó lại các kỹ thuật phân tích lưu lượng. 
Những Malware đầu tiên có hành vi tương đối ‘đồng nhất’ như sử dụng duy nhất hoặc các port, giao thức chỉ định nên khi bị phát hiện thì dễ dàng bị ngăn chặn bởi antivirus, IDS. 
Ví dụ : W32/Blaster có thể bị phát hiện bởi những lưu lượng bất thường trên các port TCP 135, TCP 444, TCP 69 UDP 69. W32/Witty sử dụng source port UDP 4000 để trao đổi dữ liệu 
 ... 
29 
Đa hình 
Để tránh việc bị phát hiện và ngăn chặn một cách dễ dàng như vậy, các Malware hiện đại được thiết kế tinh vi hơn về cách thức hoạt động và lây nhiễm như: 
Sử dụng nhiều cách thức lây nhiễm khác nhau 
Thay đổi port sử dụng 
Dùng các kỹ thuật quét tinh vi mục tiêu mới như: 
Quét random 
Quét hoán đổi 
Quét giả 
Quét phân tán 
Quét định thì 
30 
Trộn lẫn hành vi 
Với các công cụ và các cảm biến ngày càng phức tạp và tinh vi dùng trong bảo mật và forensic có thể phân biệt được các tác vụ hợp pháp hoặc không hợp pháp dẫn đến các Malware có thể nhanh chóng bị phát hiện 
Các Malware mới để thích ứng và tồn tại được cần phải che giấu hành động của mình kỹ hơn. Một trong những kỹ thuật dùng để che dấu là trộn lẫn các hành động bất hợp pháp của mình vào những hành động hợp pháp nhằm che mắt được các bộ cảm biến, antivirus, 
Ví dụ: Hầu hết các công ty, tổ chức đều không thể khóa toàn bộ lưu lượng của giao thức HTTP/HTTPS. Lợi dụng đặc điểm này, các mạng Botnet HTTP-Based lây nhiễm rộng rãi thông qua kết nối HTTP/HTTPS. 
31 
 Fast-Flux 
Là kỹ thuật được thiết kế cho các Malware dễ dàng che giấu hành vi bằng cách thay đổi liên tục bản ghi địa chỉ các Server điều khiển (thường có TTL 5- 10) khiến việc ngăn chặn các máy tính lây nhiễm giao tiếp với Server điều khiển trở nên khó khăn. 
Sử dụng nhiều loại giao thức như HTTP, SMTP, POP, DNS, P2P, và các kỹ thuật như kênh chỉ huy và điều khiển phân tán, cân bằng tải trên web, tái điều hướng, gây khó khăn cho việc ngăn chặn và truy tìm Server Root. 
Rất hiệu quả trong việc né tránh sự giám sát của của các cảm biến, antivirus,  
32 
Advanced Persistent Threat (APT) 
Vào tháng 1/2010, Google khởi đầu việc thông báo rằng các victim có nguồn gốc từ Trung Quốc đang thực hiện chiến dịch ăn cắp các thông tin nhạy cảm ‘có chủ đích’ từ các tổ chức tài chính, các công ty công nghệ và các tổ chức nghiên cứu tại Mỹ như Symantec, Adobe, Northrup, Google, Grumman, 
Thuật nghữ APT được dùng để chỉ kiểu tấn công dai dẳng và có chủ đích vào thực thể xác định nào đó. Các cuộc tấn công như thế này thường được hẫu thuận rất lớn từ một chính phủ hoặc một tổ chức nào đó. 
Thường khai thác kết hợp cùng lúc nhiều lỗi zero-day cùng với kỹ thuật cutting-edge tấn công vào các mục tiêu cần tấn công và không lây lan mạnh ra bên ngoài 
33 
Hành vi của Malware 
Các phần mềm độc hại ngày càng phát triển tinh vi, đặc biệt là các cuộc tấn công zero-day và trở thành một phần của internet. 
Có thể kiểm tra nhiễm malware bằng cách theo sự thay đổi bất thường của lưu lượng mạng. 
Tấn công APT (Advanced Persistent Threat – Cách thức tấn công mạng sử dụng kỹ thuật cao) sẽ là thử thách lớn cho các nhà bảo mật trong thời gian tới. 
34 
 Cách thức lây nhiễm Malware 
Các phương thức lây nhiễm phổ biến: 
Email 
Web 
Chia sẻ qua mạng 
Network-based 
Khai thác lỗ hổng mạng 
35 
Cách thức lây nhiễm 
36 
Ví dụ : Tấn công bằng thư rác của blog 
 Hành vi Payload 
Payload: tấn công lưu l ượng của một virus có thể được sử dụng để hủy chức năng của máy tính và phá hủy dữ liệu. 
Các hoạt động của mạng và biểu hiện của malware sau khi lây nhiễm thay đổi liên tục, tùy thuộc vào mục đích kẻ tấn công, môi trường và các yếu tố khác. 
Các xu hướng xâm nhập hệ thống gồm : Spam, DoS, spyware, keylogging. 
37 
Botnet 
Là một mạng lớn gồm nhiều máy tính bị lây nhiễm Malware (Zoombie) và được kết nối tới một Server và chịu sự điều khiển của Server này nhằm phục vụ các tác vụ như Ddos, Spam, ăn cắp thông tin,... 
Được thừa hưởng, hội tụ những kỹ thuật tiên tiến như remote control, tự động lây nhiễm, phân cấp – phân tán quản lý. 
Phương thức hoạt động không có nhiều thay đổi so với những thế hệ hệ thống đầu tiên. 
Các hệ thống Botnet hiện đại sử dụng các Malware tinh vi hơn khi xây dựng hệ thống để tránh né sự phát hiện của các cảm biến, Antivirus,... 
38 
Botnet 
Hệ thống Botnet đơn giản 
39 
Chứng cớ số về hoạt động của Botnet 
Hệ thống chỉ huy và điều khiển phân tán 
Được xây dựng nhằm thay thế các hệ thống điều khiển tập trung truyền thống 
Khó khăn khi quản lý số lượng lớn các máy tính bị lây nhiễm trong mạng . 
Dễ bị phát hiện bởi các công cụ Pháp chứng 
Dễ dàng bị ngăn chặn lây nhiễm khi bị phát hiện , Khó khăn trong việc chuyển đổi quyền điều khiển và sử dụng 
Ưu điểm của hệ thống chỉ huy và điều khiển phân tán 
Tính dự phòng cao . Tránh né các cơ chế phát hiện 
Bảo vệ được các hệ thống chủ chỉ huy và điều khiển 
41 
Hệ thống chỉ huy và điều khiển phân tán 
42 
Hệ thống chỉ huy và điều khiển phân tán 
43 
Ví dụ: cấu trúc gói tin điều khiển Botnet 
Kênh yêu cầu và điều khiển C&C 
Kênh yêu cầu và điều khiển (Command-and-Control) cho phép điều khiển tấn công từ xa. 
Các hình thức lây nhiễm qua C&C phổ biến. 
HTTP 
Các trang mạng xã hội (Facebook, Twitter) 
Peer to peer 
IRC (Internet Relay Chat) 
Môi trường điện toán đám mây 
45 
Kênh Command-and-Control tới Server 
Điều tra mã độc 
Pháp chứng viên cần tìm các thông tin bằng chứng, bằng cách nào mà một thủ phạm, một hacker có thể giành quyền truy cập vào một mạng máy tính. 
Mã độc gửi e-mail l ừa đảo , thông qua việc sử dụng kỹ thuật để thu hút hoặc kích thích George người dùng đến một trang web có cài đặt mã độc hại trong nền . 
E -mail l ừa đảo đôi khi trong khi thuyết phục ngườ dùng cung cấp cho ID ngân hàng và mật khẩu, thông tin tài khoản. 
Phương pháp E -mail l ừa đảo rất hiệu quả nếu tìm kiếm một tập hợp các khách hàng như khách hàng của một ngân hàng chung. 
Ví dụ: điều tra hoạt động Botnet sử dụng Honeypot 
Honeypot: một hệ thống tài nguyên thông tin được xây dựng với mục đích giả dạng đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ý của chúng, ngăn không cho chúng tiếp xúc với hệ thống thật. 
Phân loại Honeypot 
Honeypot tương tác thấp: mô phỏng giả các dịch vụ, ứng dụng, hệ điều hành. Mức độ rủi ro thấp, dễ triển khai, bảo dưỡng nhưng giới hạn về dịch vụ. 
Honeypot tương tác cao: là các dịch vụ, ứng dụng, hệ điều hành thật. Mức độ thu thập thông tin cao, rủi ro cao, tốn thời gian vận hành và bảo dưỡng. 
Nội dung thu thập thông tin 
Thực hiện vào tại Junewon Park Digital Forensic Research Laboratories, Auckland University of Technology, New Zealand năm 2014. 
Trong 11 ngày, có 3,227 tấn công, 1,466 mẫu Malware and 110 mã code. 
96% các malware độc ​​hại là các Conflicker.B và Conflicker.C Bot. 
Các bằng chứng tĩnh sau đó đã được biên soạn và sử dụng để chạy một phỏng trên một máy an toàn. 
Các Pháp chứng viên có thể sao chép lại nghiên cứu này và so sánh kết quả trong việc phát triển kiến ​​thức trong lĩnh vực này của điều tra pháp chứng. 
Phân tích IRC- BOT khi sử dụng CWSandbox 
Phân tích IRC- BOT khi sử dụng CWSandbox 
Trong t.hợp này, bằng cách tạo ra một tập tin thực thi của Windows có tên a.bat tại thư mục gốc của Windows. Và sau đó, có hành động đáng ngờ là chạy hàng loạt các hướng dẫn dòng lệnh. 
Ví dụ, các Process # 2 (ID: 24), Process # 3 (ID: 1572), Quy trình # 5 (ID: 816), và quá trình # 6 (ID: 1964) thực hiện các hướng dẫn sau đây: 
C: \> cmd / c net stop "SharedAccess“ 
C: \> a.bat 
C: \> cmd / c net stop "Security Center" 
C: \> cmd / c net start "SharedAccess“ 
Vô hiệu hóa kết nối Internet 
Tắt chế độ an toàn của máy tính 
Tắtcác gói phần mềm diệt virus 
Cuối cùng tiến hành thay đổi các giá trị trong Registry bằng regestry.exe mà máy tính người dùng không phát hiện ra được 
Nội dung thực thi trên máy nhiễm 
Các giá trị registry bị thay đổi bởi botnet 
Malware và Network forensics 
Các kỹ thuật lây nhiễm cũ nếu vẫn còn tác dụng thì vẫn được sử dụng, đặc biệt là các kỹ thuật nontarget và less skillful. 
Các công cụ Forensic có thể dễ bị ‘lạc hậu’ so với sự phát triển của Malware 
Pháp chứng viên phải cần gạt bỏ những suy nghĩ cứng nhắc khi làm công việc này, cần phải suy nghĩ sáng tạo, nắm bắt trước được các hướng hành động của Malware để thực hiện tốt công việc. 
Và như sự phát triển sinh học, Malware luôn biến đổi và có thể tự biến đổi để phù hợp và thích nghi. 
55 
P hát triển của Malware và Network forensics 
Với hơn 2 thập kỷ quan sát sự phát triển của Malware, ta có thể khẳng định rằng trong tương lai Malware vẫn sẽ tiếp tục phát triển. 
Như truyền thống, các Malware vẫn cần phải tiếp tục lây nhiễm lên các hệ thống mới, cần phải giao tiếp được với các Server điều khiển 
Trong tương lai Malware có thể được thiết kế nhiều phương thức giao tiếp khác nhau có nhiều ưu điểm hơn phục vụ cho quá trình giao tiếp, truyền dữ liệu và tương tác với con người. 
Các công cụ Forensic được phát triển hướng đến các thiết bị di động khi số lượng thiết bị di động đang ngày càng tăng nhanh. 
56 
Điều tra nguồn gốc Malware từ Website 
Mã độc có thể phát tán từ W ebsite hợp pháp đã bị hacker tấn công và nắm quyền kiểm soát, thay vì phá hoại, kẻ xấu lại lợi dụng chúng gieo Malware . 
Hacker thay đổi mã nguồn để đưa và các object là các Malware. 
Người dùng khi truy cập Website sẽ download các Malware về máy tính của mình. 
Ví dụ: Malware từ website của yahoo 
Công cụ phân tích Website Fiddler 
Fiddler được phát triển bởi Microsoft trong cuộc chiến chống thông tin rác từ các website với thế mạnh là khả năng phân tích Web. Fiddler là công cụ xác định vị trí và sửa lỗi Proxy HTTP, lưu trữ bản ghi tất cả lưu lượng HTTP giữa máy tính và Internet 
Tất cả các trang web truy cập, tải về phần mềm và chuyển hướng được ghi lại trong một bản ghi phiên. 
Fiddler có các công cụ để giải thích và lấy thông tin trong nhiều cách khác nhau . Pháp chứng viên có thể dùng Fiddler tìm xem các trang web nào thực hiện những công việc gì và có thể phát hiện việc cài malware 
Mô hình hoạt động của Fiddler 
Tính năng của Fiddler 
Fiddler hoạt động như một proxy cục bộ ; 
Fiddler đăng ký như hệ thống proxy trong khi chụp  x em, phân tích và sửa đổi lưu lượng truy cập web từ bất kỳ ứng dụng 
Fiddler hoạt động trên hầu hết các thiết bị (ví dụ Windows Mobile) 
Fiddler c ho phép với giao thức HTTPS chặn bắt thông qua các yêu cầu. 
Fiddler dễ mở rộng với công nghệ JavaScript hoặc. NET 
Giao diện Fiddler 
Bộ lọc trong Fiddler 
Hết bài 8 

File đính kèm:

  • pptxbai_giang_phap_chung_ky_thuat_so_bai_8_dieu_tra_toi_pham_tre.pptx