Digital Forensics - Chương 1 (PDF)
Document Details
Uploaded by Deleted User
Tags
Related
- Certified Cybersecurity Technician Computer Forensics PDF
- Certified Cybersecurity Technician Computer Forensics PDF
- Chapter 20 - 04 - Understand the Forensic Investigation Process and its Importance_ocred_fax_ocred.pdf
- Computer Forensics Exam 212-82 PDF
- Digital Forensics Chapter 2 PDF
- IR : Forensics et eDiscovery 2023-11-10 PDF
Summary
This document presents an overview of digital forensics, including definitions, key concepts, and investigative steps. It covers various aspects like digital investigation types, data handling, and important terms like chain of custody. The document is likely part of an educational material or course, focusing on fundamental concepts for a digital forensics course.
Full Transcript
# Chương 1 ## Digital Forensics là gì? - Quá trình bảo mật thông tin mạng - Việc truy xuất, phân tích, và sử dụng bằng chứng kỹ thuật số trong điều tra dân sự hoặc hình sự - Công cụ để mã hóa dữ liệu - Lưu trữ dữ liệu trên các thiết bị kỹ thuật số ## Theo định nghĩa của NIST, yếu tố nào sau đây kh...
# Chương 1 ## Digital Forensics là gì? - Quá trình bảo mật thông tin mạng - Việc truy xuất, phân tích, và sử dụng bằng chứng kỹ thuật số trong điều tra dân sự hoặc hình sự - Công cụ để mã hóa dữ liệu - Lưu trữ dữ liệu trên các thiết bị kỹ thuật số ## Theo định nghĩa của NIST, yếu tố nào sau đây không liên quan đến Digital Forensics? - Xác minh bằng toán học - Dùng công cụ chưa được xác nhận - Chuỗi hành trình bằng chứng - Tái hiện lại quy trình ## "Chain of custody" có nghĩa là gì? - Quy trình đảm bảo dữ liệu không bị sao chép - Theo dõi ai đã thu thập, xử lý, phân tích và lưu trữ bằng chứng - Phương pháp mã hóa dữ liệu trước khi lưu trữ - Đánh giá thông tin từ dữ liệu bị xóa ## Loại điều tra nào thuộc Digital Investigation trong khu vực công? - Vi phạm chính sách của công ty - Điều tra và truy tố tội phạm bởi cơ quan chính phủ - Phân tích dữ liệu tài chính - Mua bán bất hợp pháp trên mạng ## Bước đầu tiên trong quy trình điều tra kỹ thuật số là gì? - Phân tích dữ liệu - Thu thập dữ liệu - Báo cáo kết quả - Xác định nguồn dữ liệu ## Công cụ sao chép từng bit dữ liệu từ thiết bị gốc được gọi là gì? - Image file - Log file - Backup copy - Network copy ## Dữ liệu thu thập được từ đâu trong điều tra kỹ thuật số? - Máy tính để bàn, laptop, thiết bị loT - Chỉ từ ổ cứng di động - Chỉ từ nhật ký hoạt động mạng - Chỉ từ các thiết bị ngoại vi ## Điều nào không phải là một phần của bước Examination? - Phân loại dữ liệu - Phân tích dữ liệu - Loại bỏ thông tin không liên quan - Truy xuất dữ liệu từ file bị mã hóa ## Quá trình phân tích trong điều tra kỹ thuật số nhằm mục đích gì? - Xóa dữ liệu không cần thiết - Rút ra kết luận từ dữ liệu - Mã hóa thông tin nhạy cảm - Tạo các file sao lưu ## Khi báo cáo kết quả điều tra, yếu tố nào không cần xem xét? - Đối tượng báo cáo - Các giải thích thay thế - Độ phức tạp của công cụ sử dụng - Thông tin có thể thực hiện ## Loại bằng chứng nào không thuộc về bước Examination? - File hệ điều hành - Các file bị xóa - Đường dẫn mạng bị hỏng - Tài liệu giấy ## Một yếu tố quan trọng trong báo cáo là gì? - Dự đoán kết quả - Trình bày thông tin một cách logic và rõ ràng - Tăng cường tính bảo mật cho báo cáo - Sử dụng phần mềm tối tân ## Lợi ích của việc sử dụng công cụ forensics là gì? - Giảm khối lượng dữ liệu cần xử lý - Sao lưu toàn bộ dữ liệu - Tự động đưa ra kết luận - Xóa thông tin không liên quan ## Hành động nào nên thực hiện trước khi thu thập dữ liệu từ một máy tính? - Sao chép dữ liệu ngay lập tức - Chụp ảnh và ghi chú chi tiết về thiết bị - Khởi động lại máy tính - Thay đổi cấu hình hệ thống ## Một bit-stream copy là gì? - Sao chép từng bit của thiết bị lưu trữ gốc - Sao chép dữ liệu từ các file đã được mã hóa - Sao chép chỉ các file được nhận diện - Sao chép nội dung màn hình máy tính ## Kỹ thuật nào không dùng trong bước Examination? - Tìm kiếm mẫu văn bản - Phân loại nội dung file - Phân tích mối quan hệ giữa các dữ liệu - Loại trừ file không liên quan ## Trong báo cáo, điều tra viên cần làm gì? - Đưa ra kết luận chắc chắn - Trình bày các vấn đề phát sinh cần được giải quyết - Tạo lại toàn bộ dữ liệu gốc - Bỏ qua các yếu tố chưa rõ ràng ## Yếu tố nào ảnh hưởng đến chất lượng của báo cáo? - Các công cụ sử dụng - Phản hồi từ nguồn yêu cầu - Mức độ chính xác của thông tin được trình bày - Cả A, B, và C ## Phương pháp lưu trữ chuỗi hành trình bằng chứng nhằm mục đích gì? - Xác minh danh tính của nghi phạm - Đảm bảo tính toàn vẹn của bằng chứng - Phân tích nguồn gốc của thiết bị - Xóa dữ liệu không cần thiết ## Một tổ chức có thể cải thiện điều tra kỹ thuật số bằng cách nào? - Thu thập dữ liệu không có kế hoạch - Sử dụng quy trình nhất quán - Chỉ dựa vào các công cụ tự động - Loại bỏ các bước phân tích # Chương 2 ## Digital Forensics là gì? - Quá trình bảo mật thông tin mạng - Việc truy xuất, phân tích, và sử dụng bằng chứng kỹ thuật số trong điều tra dân sự hoặc hình sự - Công cụ để mã hóa dữ liệu - Lưu trữ dữ liệu trên các thiết bị kỹ thuật số ## Theo định nghĩa của NIST, yếu tố nào sau đây không liên quan đến Digital Forensics? - Xác minh bằng toán học - Dùng công cụ chưa được xác nhận - Chuỗi hành trình bằng chứng - Tái hiện lại quy trình ## Loại hình điều tra nào thuộc khu vực công? - Điều tra vi phạm chính sách công ty - Điều tra tội phạm do cơ quan chính phủ thực hiện - Giám sát hành vi trên mạng xã hội - Thu thập dữ liệu phục vụ marketing ## Bước đầu tiên trong quy trình điều tra kỹ thuật số là gì? - Báo cáo kết quả - Xác định nguồn dữ liệu - Thu thập dữ liệu - Phân tích dữ liệu ## "Chain of custody" là gì? - Bảo mật thông tin trong quá trình xử lý - Ghi lại ai đã thu thập, xử lý và lưu trữ bằng chứng - Tăng tốc độ truy xuất dữ liệu - Chia nhỏ dữ liệu thành các tập tin nhỏ hơn ## Trong các định dạng lưu trữ bằng chứng số, định dạng nào là mã nguồn mở? - Raw format - Proprietary format - Advanced Forensics Format (AFF) - NTFS ## Điểm mạnh của định dạng raw là gì? - Truyền dữ liệu nhanh - Tích hợp metadata vào file ảnh - Tự động nén dữ liệu - Phù hợp với các đĩa mã hóa ## Nhược điểm của định dạng Proprietary là gì? - Không thể chia nhỏ file ảnh - Không thể chia sẻ ảnh giữa các công cụ khác nhau - Không hỗ trợ nén dữ liệu - Không hỗ trợ mã hóa ## AFF được thiết kế với mục tiêu gì? - Chỉ hỗ trợ Windows OS - Không có giới hạn kích thước file ảnh - Không cho phép lưu metadata - Không thể kiểm tra tính toàn vẹn ## Phương pháp tạo bản sao bit-for-bit được gọi là gì? - Disk-to-image file - Logical acquisition - Sparse acquisition - File-based copy ## Phương pháp thu thập dữ liệu live được áp dụng trong trường hợp nào? - Khi máy tính đang hoạt động và sử dụng mã hóa ổ cứng - Khi thiết bị đã bị tắt nguồn - Khi không cần thu thập RAM - Khi cần sao chép toàn bộ ổ đĩa ## Write Blocker có tác dụng gì? - Ghi đè dữ liệu vào ổ đĩa - Ngăn chặn việc ghi dữ liệu vào ổ đĩa - Xóa toàn bộ dữ liệu trên ổ đĩa - Giúp ổ đĩa tự động nén dữ liệu ## Khi thực hiện một bản sao, yếu tố nào cần được cân nhắc? - Kích thước của ổ đĩa nguồn - Khả năng nén dữ liệu tổn thất - Chỉ số CRC-16 - Thời gian sao lưu tối thiểu ## Công cụ mã nguồn mở nào được sử dụng để tạo định dạng raw? - dd command - EnCase - FTK Imager - ProDiscover ## Phương pháp kiểm tra tính toàn vẹn dữ liệu nào không phổ biến? - MD5 - FTP - SHA-256 - CRC-32 ## Một hệ điều hành nhỏ dùng để tạo Live USB trên Windows được gọi là gì? - WinPE - Ubuntu - Tails - ParrotOS ## Hạn chế của lệnh dd là gì? - Không hỗ trợ nén dữ liệu - Không tạo được định dạng raw - Không thể đọc file metadata - Chỉ hoạt động trên Windows ## Công cụ nào hỗ trợ chia nhỏ file ảnh thành các tập tin nhỏ hơn? - dcfldd - FTK Imager - EnCase - Kali Linux ## File extension nào thuộc định dạng AFF? - .E01 - .raw - .afd - .gzip ## Phương pháp tạo bản sao "sparse acquisition" là gì? - Sao chép tất cả dữ liệu trên ổ đĩa - Thu thập các mảnh dữ liệu chưa phân bổ - Sao chép dữ liệu trên RAM - Sao lưu toàn bộ hệ điều hành ## Định dạng nén của EnCase sử dụng phần mở rộng nào? - .E01 - .AFF - .IMG - .DDS ## Contingency planning yêu cầu gì? - Tạo một bản sao duy nhất của dữ liệu - Tạo ít nhất hai bản sao bằng các công cụ khác nhau - Chỉ làm việc trên các ổ đĩa không mã hóa - Không cần kiểm tra lỗi dữ liệu ## Một trong các hệ điều hành Linux dành cho forensics là gì? - Debian - Kali Linux - CentOS - Fedora ## Công cụ FTK Imager được thiết kế để làm gì? - Xem và tạo ảnh pháp lý từ ổ đĩa - Phân tích log mạng - Mã hóa dữ liệu nhạy cảm - Tạo phân vùng ổ đĩa ## Nhược điểm chính của việc sử dụng "Proprietary formats" trong lưu trữ bằng chứng là gì? - Không hỗ trợ metadata - Dễ dàng nén dữ liệu - Không tương thích giữa các công cụ khác nhau - Không hỗ trợ phân đoạn file ## Khi nào nên sử dụng phương pháp "disk-to-disk"? - Khi dữ liệu đã được nén - Khi không thể tạo bản sao dưới dạng file ảnh - Khi dữ liệu có kích thước nhỏ - Khi không cần lưu metadata ## Tại sao "live acquisition" được ưu tiên trong nhiều trường hợp hiện nay? - Không ảnh hưởng đến RAM - Do các ổ cứng hiện nay thường sử dụng mã hóa - Không cần thiết bị đặc biệt - Không yêu cầu thời gian xử lý lâu ## Định dạng nào hỗ trợ khả năng tự kiểm tra tính nhất quán nội bộ (self-authentication)? - Raw format - Proprietary formats - Advanced Forensics Format (AFF) - NTFS ## Công cụ write blocker ngăn chặn điều gì? - Sao chép file từ ổ đĩa - Thực hiện lệnh đọc dữ liệu - Ghi dữ liệu vào ổ đĩa - Phân tích dữ liệu trên ổ đĩa ## Một phương pháp kiểm tra tính toàn vẹn của dữ liệu phổ biến là gì? - Hashing bằng MD5 hoặc SHA - Chia nhỏ file dữ liệu - Phân tích các sector bị lỗi - Xóa các dữ liệu trùng lặp ## Một công cụ mã nguồn mở có giao diện dễ sử dụng để tạo ảnh pháp lý là gì? - EnCase - Guymager - FTK Imager - ProDiscover ## Các hệ điều hành nào sau đây hỗ trợ chế độ forensic? - Ubuntu và CentOS - Kali Linux và CAINE - Windows PE và Fedora - Debian và Tails ## Khi thực hiện kế hoạch dự phòng (contingency planning), yếu tố nào cần được xem xét? - Chỉ sử dụng một công cụ duy nhất - Tạo bản sao bằng nhiều phương pháp khác nhau - Nén dữ liệu tối đa để tiết kiệm không gian - Bỏ qua các ổ đĩa có mã hóa ## Một công cụ mã nguồn mở để phân vùng và nén dữ liệu là gì? - dcfldd - FTK Imager - dd command - Guymager ## Điểm mạnh của "Advanced Forensics Format (AFF)" là gì? - Hỗ trợ nhiều nền tảng và không giới hạn kích thước file ảnh - Yêu cầu dung lượng lưu trữ nhỏ hơn file gốc - Không tích hợp metadata - Không hỗ trợ nén dữ liệu ## Định dạng nén của AFF có phần mở rộng là gì? - .afd và .afm - .raw và .zip - .E01 và .E02 - .gzip và .tar ## Công cụ Linux nào có thể tạo file raw và phân đoạn dữ liệu? - dd command - FTK Imager - EnCase - ParrotOS ## Một ưu điểm của phương pháp "logical acquisition" là gì? - Thu thập toàn bộ dữ liệu trên ổ đĩa - Chỉ thu thập những file liên quan đến vụ việc - Thực hiện nhanh chóng với dữ liệu lớn - Không cần xác minh dữ liệu ## HPA (Host Protected Area) là gì? - Một khu vực trên ổ đĩa không thể truy cập bằng các lệnh thông thường - Một dạng mã hóa dữ liệu đặc biệt - Một phần của RAM cần được bảo vệ - Công cụ phân tích log dữ liệu ## Công cụ forensic nào hỗ trợ nhiều định dạng như dd, EWF và AFF? - Guymager - FTK Imager - ProDiscover - dcfldd ## Phương pháp nào có thể sử dụng để thu thập dữ liệu từ đĩa RAID? - Disk-to-disk - Static acquisition - Sparse acquisition - Logical acquisition ## Một công cụ miễn phí hỗ trợ xem và tạo ảnh pháp lý từ ổ đĩa là gì? - FTK Imager - EnCase - Guymager - ProDiscover ## Công cụ nào được sử dụng để phân tích lệnh tại khu vực HPA? - Write blocker - EnCase - FTK Imager - Guymager ## Phương pháp thu thập nào tạo ra bản sao đầy đủ bit-for-bit từ thiết bị gốc? - Disk-to-image file - Logical acquisition - Sparse acquisition - RAID extraction ## Công cụ EnCase thường được sử dụng trong lĩnh vực nào? - Điều tra pháp lý số chuyên nghiệp - Mã hóa dữ liệu - Tăng tốc xử lý dữ liệu mạng - Giám sát hệ thống bảo mật ## Một tính năng chính của WinPE là gì? - Tự động nén dữ liệu - Cung cấp môi trường OS nhỏ gọn cho forensic - Tích hợp công cụ phân tích log - Chỉ chạy được trên Linux ## Công cụ nào cho phép xác minh dữ liệu bằng SHA hoặc MD5? - FTK Imager - dcfldd - EnCase - Tsurugi Linux ## Phần mềm mã nguồn mở nào có thể chia nhỏ dữ liệu và xác minh tính toàn vẹn? - Guymager - dcfldd - FTK Imager - EnCase ## Trong các phương pháp thu thập dữ liệu, phương pháp nào phù hợp nhất với thời gian giới hạn? - Logical acquisition - Disk-to-disk - Sparse acquisition - RAID reconstruction ## Một ưu điểm của write blocker là gì? - Cho phép ghi dữ liệu nhanh hơn - Ngăn không cho dữ liệu bị thay đổi trong quá trình thu thập - Tăng tốc độ đọc dữ liệu từ ổ đĩa - Tích hợp khả năng nén dữ liệu # Chương 3 ## Mục đích chính của Master File Table (MFT) trong hệ thống NTFS là gì? - Lưu trữ dữ liệu đã xóa - Chứa thông tin về tất cả các file trên ổ đĩa - Quản lý dung lượng ổ đĩa - Mã hóa các file nhạy cảm ## Khi xóa file trong hệ thống FAT, điều gì xảy ra với dữ liệu của file? - Dữ liệu bị xóa hoàn toàn - File được di chuyển vào MFT - Dữ liệu vẫn còn trên ổ đĩa nhưng không được phân bổ - Dữ liệu bị mã hóa ngay lập tức ## Một đặc điểm nổi bật của NTFS là gì so với FAT? - Sử dụng hệ thống ghi log để theo dõi các giao dịch - Không hỗ trợ Unicode - Tăng kích thước cluster để giảm phân mảnh - Không thể phân vùng ổ đĩa ## File Allocation Table (FAT) có chức năng chính là gì? - Lưu trữ thông tin về vị trí file và thư mục trên ổ đĩa - Mã hóa dữ liệu để bảo mật - Tăng tốc độ ghi file trên ổ đĩa - Nén dữ liệu để tiết kiệm không gian ## Wear-leveling trong ổ SSD có tác dụng gì? - Tăng tốc độ truy cập dữ liệu - Bảo vệ dữ liệu khỏi bị xóa - Đảm bảo phân bổ đều các lần đọc/ghi trên các cell nhớ - Tự động mã hóa dữ liệu khi ghi ## Tệp $LogFile trong NTFS có ý nghĩa gì? - Lưu trữ nội dung file bị xóa - Ghi lại các giao dịch thay đổi metadata trong NTFS - Quản lý dung lượng ổ đĩa trống - Mã hóa file để bảo mật ## Windows Event Log được lưu trữ dưới dạng file nào? - .txt - .evtx - .csv - .xml ## Dữ liệu "UserAssist" cung cấp thông tin gì? - Lịch sử duyệt web - Các ứng dụng GUI đã được người dùng khởi chạy - Mật khẩu lưu trữ trên trình duyệt - Thời gian tắt máy tính ## Trong NTFS, một file có nhiều dòng dữ liệu bổ sung (Alternate Data Streams) khi nào? - Khi file được gắn thêm dữ liệu với các thuộc tính bổ sung - Khi file bị mã hóa - Khi file được nén - Khi file bị xóa và lưu lại trong Recycle Bin ## Công cụ nào được sử dụng để phân tích Prefetch file trong Windows? - FTK Imager - PECmd.exe - Guymager - NTFSExplorer ## Dữ liệu Prefetch cung cấp thông tin gì? - File hệ điều hành bị lỗi - Thời gian và tần suất chạy các ứng dụng - Các file bị xóa gần đây - File đã được mã hóa bằng BitLocker ## Registry trong Windows chứa thông tin gì? - Cấu hình phần cứng, phần mềm và người dùng - Danh sách tất cả các file đã xóa - Dữ liệu ghi log từ ổ cứng - Mã hóa ổ đĩa NTFS ## Tính năng đặc biệt của Shimcache là gì? - Lưu trữ lịch sử duyệt web - Lưu thông tin về các chương trình đã được thực thi - Mã hóa các file trên hệ thống - Lưu trữ các key đăng nhập ## Khi sử dụng EFS (Encrypting File System) trong NTFS, điều gì sẽ xảy ra? - File được mã hóa bằng khóa công khai và khóa riêng tư - File được lưu trong phân vùng ẩn - File không thể được khôi phục - File được nén tự động ## Shimcache lưu thông tin tại đâu trong Registry? - HKCU\Software\Microsoft\Windows - HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache - HKLM\Software\Microsoft\Internet Explorer - HKCU\Software\Microsoft\Windows NT ## Dữ liệu được ghi vào $STANDARD_INFORMATION trong NTFS bao gồm gì? - Thời gian tạo, truy cập, sửa đổi và thông tin metadata của file - Vị trí file trên ổ đĩa - Các thay đổi gần đây nhất đối với hệ thống file - Kích thước cluster trong NTFS ## Windows Event Log có thể được chuyển đổi sang định dạng nào để phân tích? - .pdf, .xlsx - .csv, xml, .json - .docx, .txt - .html, .pptx ## Tệp Amcache.hve được sử dụng để lưu trữ thông tin gì? - Thông tin về phần mềm đã cài đặt trên hệ thống - Thông tin về các file bị xóa gần đây - Các thay đổi trong Registry - Dữ liệu mã hóa từ EFS ## Công cụ nào được sử dụng để phân tích UserAssist? - RegRipper - PECmd.exe - Guymager - FTK Imager ## Windows PowerShell có giá trị pháp y nào? - Phát hiện các lệnh khởi động gần đây - Ghi lại lịch sử lệnh được thực thi - Lưu lại các mật khẩu của người dùng - Mã hóa dữ liệu Prefetch ## Wear-leveling trong SSD giúp bảo vệ điều gì? - Chống mất dữ liệu do va chạm vật lý - Phân bổ đều các lần ghi dữ liệu trên các ô nhớ - Bảo vệ dữ liệu khỏi bị truy cập trái phép - Nén dữ liệu tự động ## Cluster là gì trong hệ thống file? - Đơn vị đo kích thước của ổ đĩa - Phần không gian chưa được sử dụng trên ổ đĩa - Đơn vị lưu trữ được hình thành từ các sector - Một dạng phân vùng ổ đĩa ## Trong NTFS, phần tử nào lưu trữ thông tin về tất cả các file và thư mục? - Boot Sector - Master File Table (MFT) - Alternate Data Streams - Partition Gap ## Đâu là nhược điểm của file FAT so với NTFS? - Dễ bị lỗi phần cứng - Không lưu trữ metadata chi tiết - Không hỗ trợ Unicode - Không thể lưu file dung lượng lớn hơn 4GB ## Tệp Prefetch trong Windows chứa gì? - Lịch sử truy cập web - Thông tin về các ứng dụng đã chạy gần đây - Các thay đổi trong Registry - File bị xóa từ Recycle Bin ## Trong Windows Registry, "HKEY" là gì? - Một file hệ thống quan trọng - Một khóa gốc lưu trữ dữ liệu cấu hình - Một phân vùng của ổ đĩa - Một vùng dữ liệu bị ẩn ## "Shimcache" lưu thông tin gì? - Tên người dùng gần nhất đã đăng nhập - Lịch sử thực thi của các chương trình - Cấu hình mạng của hệ thống - Các file bị xóa gần đây ## Alternate Data Streams trong NTFS có tác dụng gì? - Tăng tốc độ ghi dữ liệu - Lưu dữ liệu bổ sung mà không thay đổi cấu trúc file chính - Bảo vệ file khỏi bị truy cập trái phép - Giảm dung lượng file ## Công cụ nào hỗ trợ phân tích file Registry? - FTK Imager - PECmd.exe - RegRipper - WinPrefetchView ## Một tính năng quan trọng của NTFS là gì? - Không hỗ trợ Unicode - Có khả năng mã hóa file với EFS - Không thể lưu các file bị xóa - Chỉ hỗ trợ cluster kích thước lớn ## NTFS lưu dữ liệu về các thay đổi metadata ở đâu? - Alternate Data Streams - Master File Table (MFT) - $LogFile - Recycle Bin ## Công cụ nào dùng để phân tích các file Prefetch? - PECmd.exe - FTK Imager - Guymager - RegExplorer ## Tính năng của UserAssist trong Windows là gì? - Theo dõi các chương trình GUI được khởi chạy - Lưu thông tin về các file bị xóa - Ghi lại các thay đổi trong Registry - Quản lý cấu hình hệ thống ## Dữ liệu nào được lưu trữ trong Amcache? - Thông tin về các chương trình đã cài đặt và cập nhật - Dữ liệu bị xóa từ ổ đĩa - Các thay đổi trong hệ thống file - Lịch sử duyệt web ## Trong NTFS, dữ liệu không được phân bổ gọi là gì? - Cluster Gap - Slack Space - Unallocated Space - Partition Void ## Công cụ FTK Imager dùng để làm gì? - Phân tích file Prefetch - Tạo ảnh pháp lý của ổ đĩa và file hệ thống - Khôi phục dữ liệu từ ổ SSD - Phân tích file log trong Windows ## Một nhược điểm của FAT là gì? - Dễ bị phân mảnh file - Không hỗ trợ ổ SSD - Không lưu trữ thời gian truy cập file - Không hỗ trợ mã hóa dữ liệu ## Tại sao cần phân tích Windows Event Log? - Để mã hóa dữ liệu - Để tìm bằng chứng về hoạt động hệ thống và bảo mật - Để xóa lịch sử truy cập file - Để tăng tốc độ hoạt động của hệ thống ## Cluster Slack là gì? - Dữ liệu bị lỗi trên ổ đĩa - Không gian trống trong một cluster không được sử dụng bởi file - Dữ liệu ẩn trong Registry - Lỗi trong phân vùng ổ đĩa ## MACB timestamps trong NTFS thể hiện gì? - Thời gian tạo, truy cập, sửa đổi, và thay đổi metadata của file - Dung lượng file và thời gian nén - Thời gian khởi chạy ứng dụng gần nhất - Lịch sử duyệt web ## Định dạng NTFS hỗ trợ Unicode với mục đích gì? - Đảm bảo tính tương thích quốc tế - Tăng tốc độ ghi dữ liệu - Giảm kích thước cluster - Hỗ trợ mã hóa mạnh hơn ## Tệp $STANDARD_INFORMATION trong NTFS chứa gì? - Metadata cơ bản về file như thời gian tạo và sửa đổi - Danh sách các file bị xóa - Cấu trúc file chính - Dữ liệu không phân bổ ## Tại sao Wear-leveling quan trọng với ổ SSD? - Giảm hao mòn không đều trên các ô nhớ - Nén dữ liệu để tiết kiệm không gian - Tăng tốc độ đọc/ghi dữ liệu - Tự động khôi phục dữ liệu bị xóa ## Amcache.hve lưu trữ thông tin ở đâu? - C:\Windows\System32 - C:\Windows\AppCompat\Programs\Amcache.hve - HKCU\Software\Microsoft\Windows - NTFS\root\MFT ## Tool nào hỗ trợ phân tích Amcache? - PECmd.exe - FTK Imager - AmcacheParser.exe - RegRipper ## Nhược điểm của lệnh dd khi sử dụng để thu thập dữ liệu là gì? - Không hỗ trợ nén dữ liệu - Không thể tạo file raw - Không đọc được metadata - Chỉ hoạt động trên Linux ## Trong Registry, thông tin về UserAssist được mã hóa bằng phương pháp nào? - SHA-256 - ROT-13 - MD5 - AES ## Shimcache không lưu thông tin gì? - Thời gian thực thi chương trình - Lịch sử duyệt web - Đường dẫn đầy đủ của file - Kích thước file ## Công cụ phân tích timeline của NTFS là gì? - MFTECmd.exe - FTK Imager - PECmd.exe - EnCase ## Tệp nào ghi lại tất cả thay đổi của metadata trong NTFS? - $STANDARD_INFORMATION - $LogFile - $MFT - $J # Chương 4 ## Phần 1: Filesystem và phân vùng ## Cấu trúc nào lưu trữ thông tin về kích thước block, vị trí của bảng inode trong EXT4? - Superblock - Inode - Data block - Bitmap ## Linux hỗ trợ các loại filesystem mạng nào? - NFS - Samba/CIFS - SSHFS - Tất cả các đáp án trên ## Lệnh nào hiển thị danh sách các phân vùng trên ổ đĩa? - Isblk - fdisk -l - mmls - Cả B và C ## Trong EXT4, khái niệm nào tương tự với cluster trên NTFS? - Inode - Superblock - Block - Group Descriptor Table ## Bitmap trong EXT4 dùng để làm gì? - Quản lý inode và block - Lưu trữ dữ liệu file - Lưu metadata của file - Lưu thông tin thời gian tạo filesystem ## Phần 2: Sleuth Kit (TSK) ## Công cụ nào trong Sleuth Kit được sử dụng để tạo timeline từ hệ thống file? - mactime - istat - icat - blkstat ## Lệnh nào dùng để liệt kê các inode trong hệ thống file? - Is - fls - ils - istat ## Công cụ nào giúp phân tích file nhật ký journaling? - jcat - icat - ffind - tsk_recover ## Trong Sleuth Kit, lệnh nào được sử dụng để phục hồi các file đã xóa? - icat - tsk_recover - blkstat - sigfind ## Lệnh fsstat dùng để làm gì? - Hiển thị thông tin tổng quan về hệ thống file - Phục hồi file đã xóa - Xác định inode của file - Phân tích khối dữ liệu ## Phần 3: Log Files và Systemd Journal ## File nhật ký hệ thống truyền thống thường được lưu tại đâu? - /var/log/messages - /etc/logs/ - /home/log/ - /sys/logs ## Công cụ nào được sử dụng để phân tích file nhật ký binary từ systemd? - logcat - journalctl - syslog - logstat ## Tính năng nào của systemd giúp bảo vệ tính toàn vẹn của file nhật ký? - Forward Secure Sealing (FSS) - File Encryption - File Locking - Journal Guard ## Lệnh nào hiển thị thông tin về các lần khởi động trong nhật ký systemd? - journalctl --list-boots - journalctl --boots - journalctl --show-boots - journalctl --boot-summary ## File log của các gói đã cài đặt trên hệ thống Debian được lưu tại đâu? - /var/log/apt/ - /etc/logs/apt/ - /var/lib/dpkg/ - /usr/local/log/ ## Phần 4: User và System Configuration ## Thông tin người dùng truyền thống trên Linux được lưu trữ ở đâu? - /etc/passwd và /etc/group - /etc/shadow và /etc/group - /home/user/config/ - /var/lib/passwd ## Thư mục nào lưu trữ lịch sử lệnh đã thực thi của người dùng? - ~/.bashrc - ~/.bash_history - ~/.profile - ~/.commands ## File cấu hình cho các dịch vụ systemd thường nằm ở đâu? - /etc/systemd/ - /usr/lib/systemd/ - /lib/systemd/ - Tất cả các đáp án trên ## Các cron job truyền thống được lưu tại đâu? - /var/spool/cron/ - /etc/cron.* - /etc/crontab - Tất cả các đáp án trên ## Lệnh nào hiển thị cấu hình hạt nhân (kernel) của hệ thống? - uname -r - Ismod - cat /etc/sysctl.conf - file vmlinuz ## Phần 5: Encryption và Steganography ## Công cụ nào được sử dụng để phát hiện steganography? - stegdetect - bulk_extractor - photocrypt - Cả A và C ## Loại mã hóa nào thường được sử dụng để bảo vệ file PDF? - LUKS - TrueCrypt - Application file encryption - GPG ## Để giải mã một file GPG, cần thông tin nào? - Passphrase hoặc key file - User ID - File nguồn ban đầu - Tất cả các đáp án trên ## Lệnh nào hiển thị danh sách các thiết bị được mã hóa LUKS? - Isblk -f - cryptsetup luksDump - blkid - Cả B và C ## Phần 1: Filesystem và phân vùng ## File hệ thống nào phổ biến nhất cho các bản cài đặt Linux hiện đại? - NTFS - EXT4 - BTRFS - HFS+ ## Lệnh nào hiển thị thông tin chi tiết về phân vùng và loại file hệ thống? - blkid - fdisk - Isblk -f - df ## Thành phần nào lưu trữ dữ liệu thực tế trong EXT4? - Superblock - Inode - Bitmap - Data block ## Filesystem nào là lựa chọn phổ biến cho ổ đĩa mạng? - EXT4 - FAT32 - NFS - BTRFS ## Lệnh nào hiển thị số lần filesystem đã được gắn kết? - fsstat - mount - tune2fs - umount ## Linux sử dụng định dạng nào cho thẻ nhớ SD? - EXT4 - NTFS - FAT32 hoặc exFAT - XFS ## Phần 2: Công cụ Sleuth Kit (TSK) ## Lệnh nào dùng để xác định inode của một file? - istat - ifind - ffind - icat ## Lệnh blkcat dùng để làm gì? - Hiển thị nội dung của block hoặc sector - Hiển thị thông tin inode - Phân tích journaling - Khôi phục file ## Lệnh nào trong Sleuth Kit dùng để liệt kê các file đã bị xóa? - icat - fsstat - fls - blkstat ## Công cụ nào tạo timeline dựa trên MACB timestamps? - mactime - istat - icat - blkcalc ## Lệnh tsk_recover hoạt động trên loại file nào? - File đã mã hóa - File hệ thống NFS - File đã bị xóa - File log ## Phần 3: Log Files và Systemd Journal ## File log của các dịch vụ systemd thường có phần mở rộng nào? - .log - .txt - .journal - .conf ## Lệnh nào dùng để liệt kê kernel messages từ systemd journal? - journalctl --kernel - journalctl --dmesg - journalctl --since - dmesg ## Làm cách nào để xem nhật ký từ người dùng cụ thể trong systemd? - journalctl --user - journalctl --file=user-UID@* - journalctl --logs - journalctl --list-users ## Tính năng Forward Secure Sealing (FSS) của systemd giúp bảo vệ điều gì? - Tính toàn vẹn của file log - Chống mã hóa ngược - Ghi đè log cũ - Phân tích nhật ký ## File nhật ký wtmp được sử dụng để lưu trữ thông tin gì? - Lịch sử lệnh - Thông tin đăng nhập và khởi động lại hệ thống - File log của các daemon - Quá trình thực thi ứng dụng ## Phần 4: Người dùng và cấu hình hệ thống ## File nào lưu trữ thông tin mật khẩu người dùng đã được băm (hashed passwords)? - /etc/passwd - /etc/shadow - /etc/group - /etc/config ## Lệnh last sử dụng file nào để hiển thị lịch sử đăng nhập? - /var/log/wtmp - /var/log/utmp - /var/log/messages - /etc/utmp ## Công cụ nào hiển thị danh sách người dùng hiện đang đăng nhập? - who - last - passwd - id ## File nào lưu trữ thông tin nhóm người dùng trên hệ thống Linux? - /etc/passwd - /etc/shadow - /etc/group - /var/lib/groups ## Lịch sử lệnh của người dùng được lưu trong file nào? - ~/.bashrc - ~/.bash_history - ~/.profile - ~/.commands ## Phần 5: Encryption và Steganography ## Phần mềm nào giúp phát hiện dữ liệu ẩn trong các file media? - Stegsnow - Stegdetect - HashCat - OpenStego ## LUKS được sử dụng để mã hóa gì? - Block devices - File containers - Hệ thống file NTFS - Ứng dụng PDF ## Công cụ nào được sử dụng để tấn công brute-force mật khẩu mã hóa? - John the Ripper - Stegdetect - Veracrypt - OpenStego ## Veracrypt hỗ trợ loại mã hóa nào? - Mã hóa file PDF - Ẩn volume trong volume khác - Tạo file .journal - Mã hóa mạng ## Dữ liệu được ẩn trong bit ít quan trọng nhất của hình ảnh gọi là gì? - Steganography - Cryptography - Data hiding - Slack space # Chương 5 ## Phần 1: Các trình duyệt web phổ biến ## Trình duyệt nào được tích hợp sẵn trên hệ điều hành Windows? - Firefox - Microsoft Edge - Google Chrome - Safari ## Google Chrome lưu trữ thông tin người dùng trên Linux ở đâu? - ~/.config/google-chrome/ - /etc/google-chrome/ - /var/google-chrome/ - ~/Documents/google-chrome/ ## Công cụ nào được sử dụng để xem lịch sử trình duyệt của Google Chrome trên Windows? - ChromeCacheView - ChromeHistoryView - ChromeCookiesView - Sqlite3 ## Tệp nào trong Firefox lưu trữ danh sách các profile người dùng? - profiles.cfg - profiles.ini - profile_list.json - user_profiles.db ## Lịch sử duyệt web của Firefox được lưu trữ trong tệp nào? - history.db - cookies.sqlite - places.sqlite - downloads.sqlite ## Phần