Course Implementation Plan

  1. Module 1: Introduction to digital forensics
    • Lab 1: Students collect tools for network forensics : Wireshark, Network Miner, Pcapfix
  2. Module 2: Basic technical for digital forensic
    • Lab 2: Students collect tools for computer forensics: FTK Image, Encase, Volatility.
    • Lab 3: Using HexView to view header about JPEG, EXE to understand FILE HEADER.
  3. Module 3: Building environments for digital forensics
    • Lab 4: Prepare tools for lab: FTK, Encase, Volatility Framework, Memdump.
    • Lab 5: Buiding an environment for Computer Forensics, FTK install, Using Encase
  4. Module 4: Collecting evidence
    • Lab 6: Students collect tools for cloning computer, Disk Cloning
    • Lab 7: Collecting evidence: drives, ram. Gathering Evidence Using the Various Tools of DataLifter
    • Lab 8: Using dd for DiskCloning, Gathering Evidence Using the Various Tools of DataLifter
  5. Module 5: Computer forensics
    • Lab 9: FTK capture Registry
    • Lab 10: RAM Capture and Analysis
  6. Module 6: Network forensics
    • Lab 11: Building an environment for network forensics.Wireshark, NetworkMiner.
    • Lab 12: Building an intrusion detection system. Snort
    • Lab 13: Using Snort for Network-Based Forensics

Note:

Toàn bộ tài liệu môn học sẽ được copy trực tiếp cho từng sinh viên trong tuần học đầu tiên, các em chú ý đi học đầy đủ.

Labs

Lab 0: Setting Up an Initial Lab Environment

  • Install Kali (Optional)
  • Get the NIST data leakage case DD image
  • Exam files in the DD image
  • Extract registry files from the DD Image
  • Extract prefetched event log files from the DD Image
  • Extract security event log files from the DD Image
  • Install tree, Install RegRipper 3.0, Windows-Prefetch-Parser

Vì sao Lab 0 (NIST Data Leakage – Environment Setting) lại dài và “khó làm xong trong 1 slot”?

Bối cảnh: Đây là bài lab đầu tiên của môn Digital Forensics nhưng nội dung dài, nhiều bước kỹ thuật (mount image, trích xuất Registry/Prefetch/Event Log), khiến người học dễ cảm giác “quá tải” và không hiểu mục tiêu thật sự.

1) Cảm nhận ban đầu mà lab 0 “cố tình” tạo ra cho người học

Cảm giác sinh viên có thể gặp phải:

  • Mở lab ra thấy rất nhiều bước
  • Nhiều lệnh Linux và khái niệm mới
  • Không thể hoàn thành trong 1 slot

…là hoàn toàn bình thường.

Ý đồ truyền tải kiến thức của lab này:
lab này không được thiết kế để “làm xong trong 1 buổi”, mà để bạn thấy được bản chất thật của công việc điều tra số.

2) Ý tưởng: Lab này là “bài định hướng tư duy”, không phải “bài kiểm tra kỹ năng”
2.1 Lab này KHÔNG nhằm:
  • Kết luận ngay “ai rò rỉ dữ liệu”
  • Thành thạo toàn bộ công cụ
  • Hoàn thiện toàn bộ quy trình điều tra trong 1 buổi
2.2 Lab này nhằm đến việc:
  • Cho sinh viên thấy bức tranh tổng thể của một case forensics thực tế
  • Đặt nền móng cho tư duy:
    • Forensics = quy trình
    • Chứng cứ = artefacts
    • Kết luận = tổng hợp nhiều nguồn bằng chứng
  • Giúp sinh viên nhận diện các artefact chủ lực trong Windows Forensics:
    • Disk image (DD)
    • Windows Registry
    • Prefetch
    • Event Logs (Security.evtx)

Nói ngắn gọn:

Đây là “lab đưa ra cái nhìn tổng quan về đồ môn học”, không phải lab để làm trọn vẹn.

3) Mục tiêu của bài Lab 0
3.1 Để chỉnh kỳ vọng về môn học

Digital Forensics trong thực tế:

  • Không gọn và nhanh như bạn tưởng
  • Không có “tool chạy cái ra kết quả”
  • Phần lớn thời gian là:
    • chuẩn bị chứng cứ
    • bảo toàn dữ liệu
    • trích xuất artefacts
    • dựng timeline

Lab dài ngay buổi đầu giúp sinh viên không đánh giá thấp môn học.

3.2 Sinh viên cần tránh 3 “ảo tưởng”

Ảo tưởng 1: Forensics = chạy một phần mềm → ra kết luận
→ Lab cho thấy: phải hiểu partition, mount image, copy đúng artefacts, giữ read-only.

Ảo tưởng 2: Điều tra số là việc nhanh
→ Lab cho thấy: 80% công việc là chuẩn bị và thu thập.

Ảo tưởng 3: Có thể làm forensics mà không hiểu OS
→ Lab buộc bạn chạm vào nền tảng Windows (Registry/Prefetch/Logs).

4) Vì sao Lab 0 lại tập trung vào “Environment Setting”?

Bởi vì trong forensics, nếu bạn làm sai từ đầu (ví dụ mount sai, ghi thay đổi vào chứng cứ), thì:

  • dữ liệu có thể bị biến đổi
  • kết quả phân tích mất độ tin cậy
  • thậm chí mất giá trị chứng cứ (trong bối cảnh pháp lý)

Environment Setting được đặt đầu tiên để hình thành thói quen:

  • thao tác read-only
  • làm việc theo chuỗi thu thập chứng cứ
  • ưu tiên tính chuẩn mực (forensic soundness)
5) Lab này đóng vai trò “bản đồ tổng quan” cho các chương sẽ học sau

Lab 0 giống như trailer giới thiệu các “mảnh ghép” mà các buổi sau sẽ đào sâu:

Artefact trong Lab 0 Vai trò Buổi/chương học sau sẽ làm gì?
Disk Image & Partition Nền tảng Disk forensics, file system, deleted files
Registry Hive (HKLM/HKU) Hành vi + cấu hình USB history, user activity, app traces
Prefetch (.pf) Chương trình đã chạy Program execution, timeline hành vi
Event Log (Security.evtx) Sự kiện hệ thống Timeline, log correlation, policy violations

Sinh viên chưa cần hiểu sâu ngay, nhưng cần:

  • biết các artefact nằm ở đâu
  • biết chúng dùng để trả lời câu hỏi điều tra nào
6) Yêu cầu đạt được trong 1 slot học
6.1 Yêu cầu tối thiểu
  • Hiểu “mình đang làm gì và vì sao”
  • Làm được một phần:
    • tải/giải nén image (hoặc có sẵn)
    • mount read-only
    • copy được 1–2 nhóm artefacts (ví dụ Prefetch hoặc Security.evtx)
6.2 Sinh viên không cần thiết phải:
  • Chạy hết tất cả bước
  • Phân tích sâu ngay
  • Viết kết luận rò rỉ dữ liệu hoàn chỉnh

Nói cách khác:

“Đạt yêu cầu” = hiểu bản đồ + đi được vài bước đầu.

7) Các bước làm Lab 0 hợp lý
7.1 Học theo “khối” thay vì làm liền mạch

Chia lab thành 4 khối để làm dần:

  1. Image integrity (tải/verify)
  2. Mount & extract (read-only, copy artefacts)
  3. Prefetch/Registry basics (nhận diện)
  4. Event log basics (nhận diện)
7.2 Mỗi bước chỉ cần trả lời 2 câu hỏi
  • Bước này tạo ra đầu ra gì? (file nào được trích xuất)
  • Đầu ra đó dùng để trả lời câu hỏi điều tra nào?
7.3 Đặt mục tiêu “sản phẩm buổi học”

Thay vì “làm xong lab”, hãy đặt mục tiêu:

  • Có thư mục lab_out/ chứa artefacts
  • Có checklist xác nhận đã trích được:
    • Registry (HKLM/HKU)
    • Prefetch
    • Security.evtx
8) Kết luận: Ý đồ của bài lab này là gì?

Ý đồ của Lab 0 là:

  1. Cho bạn thấy Digital Forensics là quy trình có kỷ luật
  2. Giúp bạn nhận diện các nguồn chứng cứ chủ lực trong Windows
  3. Đặt nền móng để các buổi sau bạn học sâu từng artefact
  4. Tạo kỳ vọng đúng: forensics không nhanh, không gọn, nhưng có phương pháp

Nếu bạn chưa làm xong lab trong 1 tiết nhưng bạn hiểu “bài lab này để định hình tư duy và nhận diện artefacts”, bạn đã nắm đúng ý đồ của nó.

Kết quả có thể đạt được với Lab 0

Sinh viên có thể viết 3 đoạn:

  1. Mục tiêu: thiết lập môi trường điều tra và trích xuất artefacts cốt lõi
  2. Kết quả đạt được: liệt kê artefacts đã trích (Registry/Prefetch/EVTX)
  3. Nhận xét: lab dài vì phản ánh quy trình forensics thực tế; phần phân tích sâu sẽ triển khai ở các buổi sau

Lab 1: Introduction to Digital Forensics – Autopsy software

  • Windows 10
  • Investigate a USB drive (owned by George Montgomery)
  • Assume we have the image file: https://www.dropbox.com/s/nw23q14vzsykyup/Ch01InChap01.dd (from book Guide to Computer Forensics and Investigations, Sixth Edition)
  • Software: Autopsy
  • Tasks
    • Recover Word files, images
    • Search key words

Lab 2: Data Carving

  • Scenario 1: A file (A) is hidden inside of another file (B). You can’t open the file B because the B’s header is corrupted.
  • Senario 2: A suspect deleted files. The files contains an important information. A file occupies a few clusters. Unfortunately, some clusters are reused (overwritten) by new files.

→ A forensic expert really wants to recover files, even a partial files.

  1. Extracting images from a corrupted Word document
  2. Carving/Recovering a USB image

Lab 3: USB Image Acquisition

  • Download and install FTK
  • Plug in a Flash Drive to your computer. You can copy some files to the USB. Verify your PC can read the USB drive.
  • Acquiring a USB using FTK

→ What to Do Next?

Lab 4: Disk Image and Partitions

Book

  • John Sammons. The Basics of Digital Forensics: The Primer for Getting Started in Digital Forensics 2nd Edition, Syngress Publing © 2015.
  • Bill Nelson, Amelia Phillips, Chris Steuart, Guide to Computer Forensics and Investigations Processing Digital Evidence 5th Edition, Cengage Learning © 2016.
  • John Sammons, Lars Daniel. Digital Forensics Trial Graphics: Teaching the Jury Though Effective Use of Visuals, Elsevier © 2017.

URLs