HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN - - BÀI TẬP LỚN Đề tài: ĐIỀU TRA VÀ PHÂN TÍCH CHỨNG CỨ SỬ DỤNG ENCASE Sinh viên thực hiện: Lữ Mạnh Thắng - AT140344 Lê Văn Quang - AT140836 Lê Chiến Thắng - AT140440 Vũ Hoài Sơn - AT140635 Giảng viên hướng dẫn: TS Nguyễn Mạnh Thắng Khoa An tồn thơng tin – Học viện Kỹ Thuật Mật mã Hà Nội, 2021 LỜI CẢM ƠN Trong q trình thực đề tài này, nhóm chúng em xin chân thành cảm ơn giúp đỡ tận tình q thầy Khoa An tồn thơng tin – Học viện Kỹ thuật Mật mã Đặc biệt, chúng em xin chân thành cảm ơn TS Nguyễn Mạnh Thắng – Khoa An tồn thơng tin Học viện Kỹ thuật Mật mã hướng dẫn tận tình tạo điều kiện tốt để chúng em thực đề tài Chúng em xin chân thành cảm ơn Nhóm sinh viên thực Page LỜI MỞ ĐẦU Ngày nay, thời đại số, tầm quan trọng an tồn thơng tin ngày lớn Hầu hết nước, tổ chức đề quy định, pháp luật để bảo vệ bảo vệ liệu an tồn thơng tin Với gia tăng đáng kể tội phạm mạng vai trị điều tra số ngày lớn Tuy nhiên, thấy lĩnh vự điều tra số mẻ Những ngày đầu máy tính, tịa án coi chứng từ máy tính khơng khác so với loại chứng khác Khi cơng nghệ máy tính ngày trở nên phát triển phức tạp hơn, suy nghĩ thây đổi – tòa án biết đucợ chứng tội phạm dễ dàng bị thay đổi, bị xóa phá hỏng Điều tra viên nhận cần thiết phải phát triển công cụ giúp việc điều tra chứng máy tính mà khơng làm ảnh hường tới thơng tin Trong báo cáo này, nhóm em lựa chọn đề tài “Tìm hiểu số kỹ thuật thu thập phân tích thơng tin sử dụng Encase” để tìm hiểu số kỹ thuật thu thập phân tích thơng tin an ninh mạng lấy từ phương tiện lưu trữ máy tính Bản báo cáo có phần: Chương I: Tổng quan thu thập phân tích thơng tin an ninh mạng từ thiết bị lưu trữ máy tính Chương giới thiệu tổng quan điều tra số, kí thuật điều tra bước tiến hành điều tra thiết bị lưu trữ Chương II: Giải pháp điều tra số phân tích chứng sử dụng EnCase Page Chương giới thiệu phần mềm điều tra số Encase, đặc điểm tính Encase MỤC LỤC LỜI CẢM ƠN LỜI MỞ ĐẦU MỤC LỤC DANH MỤC HÌNH ẢNH CHƯƠNG I TỔNG QUAN VỀ THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH MẠNG TỪ CÁC THIẾT BỊ LƯU TRỮ TRONG MÁY TÍNH 1.1 Giới thiệu điều tra số 1.1.1 Tổng quan điều tra số chứng số 1.1.2 Lịch sử điều tra số 1.1.3 Lý cần phải tiến hành điều tra số 1.1.4 Các bước thực điều tra số 1.1.5 Các loại hình điều tra số phổ biến 12 1.2 Giới thiệu kĩ thuật điều tra thiết bị lưu trữ 14 1.3 Các bước tiến hành điều tra phương tiện lưu trữ 16 1.3.1 Xác định thiết bị lưu trữ kỹ thuật số (Identify digital storage devices) 17 1.3.2 Thu giữ thiết bị lưu trữ (Seizure and Acquisition of Storage devices) 17 1.3.3 Xác thực chứng (Authentication of the evidence) 18 1.3.4 Bảo quản chứng (Preservation of the evidence) 18 1.3.5 Xác minh phân tích chứng (Verification and Analysis of the evidence) 19 1.3.6 Báo cáo kết (Reporting the findings) 19 1.3.7 Lập tài liệu (Documentation) 19 CHƯƠNG II GIẢI PHÁP ĐIỀU TRA SỐ VÀ PHÂN TÍCH BẰNG CHỨNG SỬ DỤNG ENCASE 21 2.1 Giới thiệu Encase 21 2.3 Đặc điểm EnCase 23 Page Vòng đời điều tra EnCase 24 2.4 2.5 Chi tiết số chức phần mềm 25 2.5.1 Tính thu thập liệu điều tra 25 2.5.1.1 Device Acquisition (Thu thập từ thiết bị) 25 2.5.1.2 Direct Network Preview 26 2.5.2 Các tính liên quan đến suất quy trình làm việc 27 2.5.2.1 Pathways 27 2.5.2.2 Indexing 28 2.5.2.3 Keyword Searching 28 2.5.2.4 EnScripts and App Central 29 2.5.3 Các tính xử lý chứng (Evidence Processor) 31 2.5.3.1 Prioritization (Ưu tiên xử lý) 31 2.5.3.2 Phân tích Entropy 31 2.5.3.3 Email Processing 33 2.5.3.4 Internet Artifact Processing 33 TỔNG KẾT 35 TÀI LIỆU THAM KHẢO 36 Page DANH MỤC HÌNH ẢNH Hình 1 Sơ đồ bước điều tra số 10 Hình Sơ đồ bước điều tra thiết bị lưu trữ 17 Hình Cấu hình Direct Network Preview 27 Hình 2 Full Investigation Pathway Processing Options and Analysis Links 28 Hình Kiểm tra từ khóa 29 Hình EnCase App Central 30 Hình Giao diện người dùng Entropy Analysis 32 Hình Các tùy chọn xử lý email 33 Hình Giao diện xem cookie 34 Page CHƯƠNG I TỔNG QUAN VỀ THU THẬP VÀ PHÂN TÍCH THÔNG TIN AN NINH MẠNG TỪ CÁC THIẾT BỊ LƯU TRỮ TRONG MÁY TÍNH 1.1 Giới thiệu điều tra số 1.1.1 Tổng quan điều tra số chứng số Điều tra số (Digital Forensics) nhánh khoa học điều tra, với mục đích truy tìm phân tích tài liệu chứa thiết bị số, thường gọi “tài liệu số”, để tìm chứng số (Digital Evidence) nhằm tạo điều kiện thúc đẩy việc tái lại kiện nhằm tìm hành vi phạm tội hay hỗ trợ cho việc dự đoán hoạt động trái phép cố ý xâm nhập, công gây gián đoạn trình làm việc hệ thống Rõ ràng, Digital Forensics liên quan đến tội phạm máy tính (Computer Crime) Digital Forensics bao gồm nhiều lĩnh vực: Computer Forensics, Network Forensics, Data Analytical Forensics Mobile Device Forensics… Mục đích quan trọng điều tra số thu thập, phân tích tìm chứng thuyết phục vấn đề cần sáng tỏ Điều tra số có ứng dụng quan trọng khoa học điều tra cụ thể Bằng chứng số (Digital Evidence) hay gọi chứng điện tử (Electronic Evidence), thơng tin có giá trị pháp lý lưu trữ, truyền dẫn dạng thức số có giá trị pháp lý trước tòa Trước chấp nhận Page chứng số, quan tòa phải xác định có liên quan đến vụ án xem xét, cho dù tính xác thực kiểm chứng Có thể hiểu chứng số cách ngắn gọn sau: Bằng chứng số chứng dạng thức số, khơi phục, hay tìm thấy, thiết bị số – thường thiết bị liên quan với máy tính Dữ liệu nhận từ ổ đĩa máy tính từ thiết bị lưu trữ khác chưa thể chứng (số) Để có chứng, nhân viên điều tra phải thực trình khảo sát phân tích liệu ban đầu Thơng thường, tìm liệu họ phải xâu chuỗi chúng lại với để đưa chứng Nhiệm vụ tin học điều tra (Forensic Computing) là: Áp dụng hiểu biết khoa học công nghệ để truy tìm – khơi phục, khảo sát phân tích – chứng có nguồn gốc số Bằng chứng tìm phải có giá trị pháp lý trước tịa Bằng chứng số có đặc tính sau đây: – Admissible (tính thừa nhận) – Authentic (tính xác thực)- Reliable (tính tin cậy) – Believable (tính đáng tin) Về mặt kỹ thuật điều tra số giúp xác định xảy làm ảnh hưởng tới hệ thống đồng thời qua phát nguyên nhân hệ thống bị xâm nhập, hành vi, nguồn gốc vi phạm xảy hệ thống 1.1.2 Lịch sử điều tra số Tội phạm máy tính xuất từ năm 1960 lịch sử gắn liền với lịch sử điều tra số Năm 1978, tội phạm máy tính lần đề cập Luật Tội phạm máy tính Floria, với quy định việc chống sửa đổi trái phép hay xóa liệu hệ thống máy tính Page Giai đoạn năm 1980 đến 1990: Trước gia tăng tội phạm máy tính năm này, quan thực thi pháp luật tiến hành thành lập nhóm chuyên ngành cấp quốc gia để xử lý khía cạnh kỹ thuật việc điều tra Các kỹ thuật điều tra số phát triển thuật ngữ “Computer Forensics” xuất sử dụng tài liệu học thuật Năm 1983, Canada quốc gia thực thi luật tội phạm máy tính Năm 1986, Tổ chức chống Gian lận Lạm dụng máy tính Mỹ đời Năm 1989, Úc sửa đổi luật tội phạm máy tính Đạo luật Anh xuất năm 1990 quy định hành vi lạm dụng máy tính Từ năm 2000, tiêu chuẩn phát triển để đáp ứng yêu cầu tiêu chuẩn hóa; quan hội đồng khác công bố tài liệu hướng dẫn kỹ thuật điều tra số Năm 2002, nhóm công tác khoa học chứng số xuất báo với tiêu đề “Các bước thực thi điều tra tội phạm máy tính” (Best practices for Computer Forensics) Năm 2004, Hiệp định tội phạm máy tính ký kết 43 quốc gia có hiệu lực, quốc gia thỏa thuận liên kết với việc điều tra tội phạm liên quan đến công nghệ cao Từ năm 2005, nhiều tiêu chuẩn ISO đề cập đến yêu cầu thẩm quyền giám định, kiểm chuẩn công bố 1.1.3 Lý cần phải tiến hành điều tra số Khơng có đảm bảo cho hệ thống mạng máy tính tuyệt đối an tồn trước nguy cơ, rủi ro, công ác ý tội phạm mạng Quá Page trình xử lý cố, phục hồi chứng truy tìm dấu vết tội phạm cần phải tiến hành cách chuyên nghiệp nhằm đem lại chứng xác Một điều tra số tiến hành nhằm:  Xác định nguyên nhân hệ thống công nghệ thông tin bị công, từ đưa giải pháp khắc phục điểm yếu nhằm nâng cao trạng an toàn hệ thống  Xác định hành vi tội phạm mạng máy tính đã, làm hệ thống mạng máy tính Trong thực tế, thiệt hại tiềm ẩn cơng gây rị rỉ thơng tin, hay làm tính sẵn sàng hệ thống việc hệ thống bị nắm quyền điều khiển, cài chương trình theo dõi, xóa bỏ thơng tin, biến hệ thống mạng máy tính thành cơng cụ cơng hệ thống khác, … Việc tiến hành điều tra số nhằm xác định xác hoạt động mà tội phạm mạng tác động vào hệ thống ngăn ngừa rủi ro khác xảy  Khôi phục thiệt hại mà công vào hệ thống mạng máy tính gây ra: phục hồi liệu, thông tin lưu trữ hệ thống bị phá hoại có chủ đích  Thực điều tra tội phạm, tìm kiếm chứng số nhằm vạch trần tội phạm công nghệ cao, hoạt động gian lận, gián điệp, vi phạm pháp luật 1.1.4 Các bước thực điều tra số Theo SANS (SysAdmin, Audit, Networking, and Security) - cơng ty chun đào tạo an tồn thơng tin an ninh mạng, điều tra số thường bao gồm gian đoạn: chuẩn bị, tiếp nhận liệu, phân tích lập báo cáo Page EnCase cho phép nhà điều tra kiểm tra tệp chứng kỹ thuật số thông qua giao diện Windows EnCase kết hợp tệp chứng liên quan từ ổ đĩa khác thành tệp vụ án Với EnCase, nhà điều tra bắt đầu kết ổ cứng nghi phạm vàomáy tính có chứa phần mềm Encase Ổ đĩa chạy Windows, Macintosh, Linux DOS EnCase sau tạo ổ đĩa ánh xạ hoàn toàn ổ đĩa nói Đồng thời ổ đĩa gài thêm số tính bảo mật để đảm bảo liệu ổ đĩa không bị sửa đổi Điều ngăn cản điều tra viên vơ tình thay đổi liệu làm hiệu lực chứng Để xác minh liệu ánh xạ giống liệu ban đầu, EnCase tính tốn kiểm tra hàm băm MD5 EnCase sau đọc file để tìm kiếm chứng hành vi phạm pháp kẻ sở hữu ổ cứng Phần mềm EnCase tìm kiếm cấp độ hệ điều hành để khảo sát tất file, kể không gian trống, không gian ổ đĩa chưa phân vùng, file bị xóa Khi hiển thị tệp, EnCase xếp chúng dựa nhiều tiêu chí khác nhau, chẳng hạn phần mở rộng dấu thời gian Ngồi ra, EnCase cịn so sánh chữ ký tệp biết với phần mở rộng tệp để nhà điều tra xác định xem liệu người dùng có cố gắng che giấu chứng để không bị phát cách thay đổi phần mở rộng hay khơng Nhà phân phối cung cấp ngôn ngữ macro EScript cho phép người dùng chuyên nghiệp xây dựng công cụ EnCase cung cấp chức tùy chỉnh 2.2 Một số tính EnCase  Khám phá chứng quan trọng cách sử dụng khả tìm kiếm nâng cao để xác định liệu Page 22  Khôi phục tệp phân vùng, phát tệp xóa cách phân tích cú pháp nhật ký kiện, phân tích chữ ký tệp phân tích băm  Lưu giữ liệu định dạng tệp chứng với hồ sơ dùng làm chứng trước tịa  Xem hàng trăm định dạng tệp dạng gốc, trình xem Registry tích hợp, trình xem ảnh tích hợp  Thu thập liệu từ nhiều nguồn khác ổ cứng, RAM, USB, đám mây, thiết bị di động, Internet, email, lịch sử web đệm, tệp nén, tệp lưu, tệp mã hóa, RAIDS, máy trạm, máy chủ, v.v  Khôi phục mật 2.3 Đặc điểm EnCase  Tiết kiệm thời gian cho việc thu thập chứng  Nhanh chóng tìm nguyên nhân trước cần hỗ trợ từ bên  Đảm bảo ‘trưng’ chứng pháp lý (nếu cần), lợi điểm cộng cho tuân thủ  Giao diện thân thiện, dễ sử dụng  Khả tùy chỉnh xử lý mạnh mẽ  Khả tìm kiếm tồn diện  Tự động đánh giá từ bên ngồi  Tích hợp với quy trình điều tra  Linh hoạt việc tạo báo cáo  Có giao diện đồ họa, dễ sử dụng, thay đổi cửa sổ hiển thị cho phù hợp với khung nhìn  Hỗ trợ phân tích liệu nhiều tảng hệ điều hành: MAC OSX, Linux, Windows Page 23  Có tính nhận diện thiết bị chống ghi ngược để đảm bảo tính tồn vẹn liệu phân tích chứng  Có khả đọc liệu đầu vào ảnh ổ cứng tạo công cụ tạo ảnh ổ cứng có định dạng chuẩn (dd, E01, L01 ) trực tiếp từ thiết bị chứa liệu (USB, HDD )  Dễ dàng xem trước liệu mà không cần phải thu thập  Có khả phân tích, phục hồi trích xuất tệp liệu có định dạng văn (như pdf )  Có khả phân tích, phục hồi trích xuất tệp liệu có định dạng âm thanh, hình ảnh  Có khả phân tích trích xuất lịch sử duyệt web  Có khả phân tích trích xuất liệu thư điện tử  Có khả tùy chọn liệu khung báo cáo  Hỗ trợ khả tìm kiếm liệu theo nhiều cách  License phần mềm với thời gian cập nhật, hỗ trợ: 03 năm 2.4 Vòng đời điều tra EnCase  Phân loại: EnCase Forensic cho phép xem xét cách nhanh chóng tìm kiếm chứng tiềm trình điều tra Người dùng sử dụng EnCase Portable để xem xét chứng mà không làm thay đổi hư hỏng liệu  Thu thập: EnCase Forensic giúp thu thập nhiều loại chứng khác nhau, bao gồm tệp tin hệ thống, kể thiết bị di động  Giải mã: Page 24 EnCase Forensic có khả giải mã giải pháp điều tra số nào, bao gồm sản phẩm Dell Data Protection, Symantec, McAfee, … Người dùng mở rộng khả giải mã với Tableau Password Recovery – giải pháp phần cứng xây dựng để xác định mở khóa tập tin có mã bảo vệ  Xử lý: Bộ xử lý chứng số Encase Forensic cung cấp khả xử lý tự động để chuẩn bị chứng cứ, hỗ trợ việc điều tra dễ dàng Được trang bị cơng cụ đánh mục có khả mở rộng hiệu suất tốt, giúp người dùng tiết kiệm thời gian tăng hiệu điều tra xử lý phức tạp  Điều tra: EnCase Forensic xây dựng dựa công cụ điều tra, cho phép thực phân tích sâu nhanh chóng Giúp người dùng thực tốt nhất: tìm kiếm chứng đóng trường hợp điều tra  Báo cáo: EnCase Forensic cung cấp mẫu báo cáo đa dạng phù hợp với nhu cầu người dùng dễ dàng chia sẻ tổ chức 2.5 Chi tiết số chức phần mềm 2.5.1 Tính thu thập liệu điều tra 2.5.1.1 Device Acquisition (Thu thập từ thiết bị) Page 25 Ngoài thiết bị lưu trữ, công cụ hỗ trợ thu thập phân tích liệu từ loạt thiết bị di động, máy tính bảng thiết bị phi truyền thống khác (ví dụ: hệ thống GPS Garmin) Các điều tra viên kết hợp điều tra từ máy tính xách tay, máy tính bảng hình ảnh điện thoại di động từ người dùng nghi ngờ phân tích chúng Đặt tất chứng vào trường hợp cho phép nhà phân tích tạo mối tương quan chứng bị bỏ lỡ họ sử dụng nhiều tảng phần mềm để phân tích Một tính quan trọng khác EnCase Forensic khả thu thập liệu từ dịch vụ đám mây Tính đặc biệt quan trọng bối cảnh thiết bị di động phần lớn liệu sử dụng người dùng nghi ngờ thực lưu trữ đám mây, khơng phải thiết bị Hiện tại, EnCase Forensic hỗ trợ dịch vụ đám mây sau:  Amazon Alexa  Facebook  Gmail  Google Drive  Google Locations  Twitter 2.5.1.2 Direct Network Preview Chức Xem trước mạng trực tiếp EnCase Forensic cho phép tổ chức khơng có ngân sách cho cơng cụ thu thập đắt tiền để thực việc thu thập liệu pháp y qua mạng Direct Network Preview giới hạn thiết bị kết nối thời điểm Vì vậy, khơng phù hợp cho việc thu thập hàng loạt, chắn phù hợp cho việc phân loại cỗ máy nghi ngờ nhiệm vụ thu thập đặc biệt Page 26 Hình Cấu hình Direct Network Preview Direct Network Preview hỗ trợ việc thu thập nhớ vật lý nhớ xử lý, quyền truy cập vào ổ đĩa kết nối với máy Theo mặc định, tác nhân di động nghe cổng TCP 4445, nhiên, tác nhân di động bắt đầu nghe cổng TCP nào, giúp hoạt động dễ dàng cổng cho phép danh sách kiểm sốt truy cập nội 2.5.2 Các tính liên quan đến suất quy trình làm việc EnCase Forensic bao gồm số tính năng suất quy trình làm việc cho phép điều tra hiệu Các tính đánh giá đánh giá bao gồm Pathways, Indexing, Keyword Searching, EnScripts App Central 2.5.2.1 Pathways Tính EnCase Pathways làm cho điều tra dễ dàng cách phi thường, đặc biệt nhà phân tích sở Với Pathways, nhà phân tích cần làm theo quy trình làm việc xác định trước Mặc dù tính Pathways dường ban đầu tạo tính "người bắt đầu” Ngay nhà điều tra cao cấp quen thuộc với hoạt động EnCase Forensic có khả hưởng lợi từ Pathways để có hiệu truy cập nhanh vào nhiệm vụ điều tra phổ biến Page 27 Hình 2 Full Investigation Pathway Processing Options and Analysis Links EnCase Forensic kèm với hai Pathways cài đặt Đầu tiên Điều tra đầy đủ, tên gọi nó, tính sử dụng nhà phân tích dự định tiến hành điều tra pháp y đầy đủ hệ thống Pathway cài đặt sẵn khác Preview /Triage Pathway phù hợp để trả lời câu hỏi cụ thể mà không xử lý đầy đủ máy Một trường hợp sử dụng tuyệt vời khác cho Pathway ứng dụng tập hợp hash độc hại biết để nhanh chóng xác định xem có cần điều tra thêm máy hay khơng Một trường hợp sử dụng ví dụ cho tính tải hash phần mềm độc hại biết để nhanh chóng xác định xem "phịng thủ Trojan" sử dụng trường hợp chấm dứt lỗi hay không Nếu phần mềm độc hại biết đến tìm thấy hình ảnh nghi ngờ, tổ chức chuyển vụ việc đến điều tra viên cao cấp nhiều 2.5.2.2 Indexing Một giá trị lớn tìm kiếm văn EnCase Forensic hỗ trợ ngôn ngữ mở rộng EnCase Forensic lập mục nhiều ngôn ngữ ký tự, bao gồm ngôn ngữ chủ yếu sử dụng ký tự multibyte (ví dụ: tiếng Ả Rập Cyrillic) Nếu nhà phân tích biết hệ thống nghi ngờ sử dụng ngơn ngữ bổ sung, họ bật ngôn ngữ cụ thể Bộ xử lý chứng EnCase 2.5.2.3 Keyword Searching Tìm kiếm từ khóa EnCase Forensic dễ dàng hết Các nhà phân tích tìm kiếm từ khóa để sử dụng Bộ xử lý Bằng chứng Page 28 EnCase q trình lập mục thơng qua hình ảnh thơ (khơng lập mục) tab Bằng chứng EnCase Forensic làm cho đánh với tìm kiếm từ khóa thơ, cho phép nhà điều tra thực tìm kiếm từ khóa trước lập mục đầy đủ liệu Hình Kiểm tra từ khóa Khi xây dựng danh sách từ khóa, giúp biết bạn nhận trước thực tìm kiếm tốn thời gian Hầu hết nhà phân tích có kinh nghiệm thực tìm kiếm chờ kết để thấy từ khóa bị đánh vần khơng xác số lỗi khác Với Keyword Tester, EnCase Forensic giúp nhà phân tích tránh việc lãng phí thời gian 2.5.2.4 EnScripts and App Central Một tính quan trọng EnCase Forensic ln cho phép người dùng mở rộng tảng thơng qua ngơn ngữ lập trình EnScript Mặc dù hầu hết nhà cung cấp khác chọn xây dựng tất tính hỗ trợ trực tiếp vào tảng họ, EnCase Forensic sử dụng mơ hình khác nhiều: cho Page 29 phép người dùng cuối mở rộng tảng Mơ hình ưa thích phân tích chứng tương lai Các vật pháp y phát thường xuyên cung cấp cho nhà phân tích khả kết hợp chúng vào tảng mà khơng cần u cầu tính thức yếu tố kích hoạt lớn Tính EnScript cho phép nhà phân tích xây dựng khả phát hiện vật tùy chỉnh EnScript cho phép so sánh kiện tạo quy trình nhật ký tùy chỉnh với kiện Nhật ký Sự kiện Windows tìm khác biệt Hình EnCase App Central Nhưng khơng phải cơng cụ điều tra có nhà phát triển có sẵn để xây dựng EnScripts tùy chỉnh Trong q khứ, nhà phân tích tìm kiếm kịch xuất tác giả khác trang web tương ứng họ Bây có App Central, nơi người dùng tải xuống tập lệnh, nhiều số OpenText trì trực tiếp Tất EnScript App Central gửi nhà phát triển kiểm tra, giảm khả tập lệnh độc hại xâm nhập vào hệ sinh thái EnCase Forensic thức Hình kịch xây dựng sẵn để phân tích Prefetch ShimCache App Central Page 30 2.5.3 Các tính xử lý chứng (Evidence Processor) Bộ xử lý chứng EnCase đầu mối để phân tích chứng vụ án Bộ xử lý chứng chứa số tính thú vị, suy nghĩ kỹ lưỡng rõ ràng nhà phân tích điều khiển 2.5.3.1 Prioritization (Ưu tiên xử lý) Bộ xử lý Bằng chứng EnCase cung cấp tùy chọn để ưu tiên xử lý cụ thể Cài đặt cho phép nhà phân tích xem kết trước - trước phân tích khác hồn thành Tùy chọn đặc biệt hữu ích nhà phân tích làm việc trường hợp ưu tiên cao cần trả lời câu hỏi cụ thể cách nhanh chóng trường hợp tiếp tục xử lý Giao diện người dùng ưu tiên cho phép phân tích tài liệu hình ảnh ưu tiên Đây hai mục trọng tâm nhiều điều tra pháp y Hơn nữa, giao diện cho phép điều tra viên giới hạn hệ thống xử lý tệp tìm thấy phạm vi ngày cụ thể Chức hữu ích trường hợp đánh cắp liệu nội gần đây: Nhân viên có hàng ngàn tài liệu máy mình, tổ chức đặc biệt quan tâm đến tài liệu tạo tuần nhân viên nộp đơn từ chức Thay xử lý tồn vụ án để trả lời câu hỏi tài liệu cụ thể, điều tra viên cần mở giao diện người dùng ưu tiên, điền vào phạm vi ngày đề cập bắt đầu xử lý 2.5.3.2 Phân tích Entropy Bộ xử lý chứng EnCase hỗ trợ phân tích entropy theo tùy chọn phân tích băm Entropy thước đo mức độ ngẫu nhiên tệp cụ thể Ví dụ, tệp văn chứa số lượng tương đối hạn chế ký tự khác Kết là, coi có entropy thấp Mặt khác, tệp zip có entropy Page 31 cao liệu nén mặt tốn học Mặc dù phân tích entropy bị vơ hiệu hóa theo mặc định, số trường hợp cụ thể, cơng cụ tuyệt vời bật Hình Giao diện người dùng Entropy Analysis Trong điều tra ứng phó cố, việc định vị phần mềm độc hại điểm cuối có khả bị nhiễm ln quan trọng Phân tích entropy cơng cụ quan trọng việc định vị phần mềm độc hại nhiều tác giả phần mềm độc hại sử dụng trình đóng gói để làm xáo trộn mã họ che giấu khỏi bị phát quét chống vi-rút Khi làm điều này, tác giả phần mềm độc hại để lại trục trặc quan sát ma trận, nói, cách thay đổi thuộc tính tệp - cụ thể entropy Bởi packers nén mã hóa mã độc hại ban đầu để lại stub nhỏ giải nén, chương trình đóng gói có entropy cao so với tệp thực thi khác Một trường hợp sử dụng khác để phân tích entropy việc định vị thùng chứa ẩn, mã hóa Người dùng cơng nghệ tiên tiến sử dụng Page 32 thùng chứa ẩn, mã hóa để ẩn liệu hàng lậu cách phủ nhận hợp lý 2.5.3.3 Email Processing EnCase hỗ trợ điều tra tệp lưu trữ số tùy chọn xử lý email Mặc dù điều tra định dạng PST (Microsoft Outlook) phổ biến số sản phẩm phần mềm pháp y, hỗ trợ Lotus Notes có phần thưa thớt Hình Các tùy chọn xử lý email EnCase hỗ trợ phát xử lý nhiều định dạng hộp thư email, bao gồm EDB (Microsoft Exchange), DBX (Outlook Express) chí tệp MBOX kiểu Unix 2.5.3.4 Internet Artifact Processing Bộ xử lý chứng EnCase phân tích vật Internet từ số trình duyệt web lớn Page 33 Hình Giao diện xem cookie Bộ xử lý Bằng chứng EnCase hiển thị tất thông tin liên quan từ vật phân tích Hình cookie từ usa.gov, cookie cho biết người dùng có khả truy cập trang web Page 34 TỔNG KẾT Ngày nay, tình hình an tồn thơng tin giới diễn vơ phức tạp quan tâm hết Vấn đề an ninh thiết bị lưu trữ nhiều người quan tâm tìm hiểu, đưa giải pháp khác để đảm bảo an ninh cho thiết bị lưu trữ Sau thời gian tìm hiểu, đọc tài liệu Nhóm tìm hiểu hồn thành nội dung sau:  Tìm hiểu tổng quan điều tra số, bước thực điều tra số loại hình điều tra phổ biến  Tìm hiểu kĩ thuật điều tra thiết bị lưu trữ quy trình điều tra  Tìm hiểu giải pháp điều tra số sử dụng phần mềm Encase Tuy nhiên, trình tìm hiểu, hạn chế kiến thức thời gian mà báo cáo dừng lại mức giới thiệu bản, chưa sâu vào dạng nâng cao áp dụng vào thực tế Hy vọng tương lai, có thời gian hội, chúng em tiếp tục phát triển vấn đề nâng cao Page 35 TÀI LIỆU THAM KHẢO [1] One-Click Forensic Analysis: A SANS Review of EnCase Forensic (SANS Institute InfoSec Reading Room) [2] EnCase Forensic v8.07 User Guide, Guidance Software®, 2018 [3] https://www.sciencedirect.com/topics/computer-science/digitalforensics?fbclid=IwAR0qfPu0MEAHTyJMDZKaZmZZgTux4XcMEoOERZ2YFTAX8xU0C1sjXMQAwI [4] EnCase: A Case Study in Computer-Forensic Technology, Computer Forensics: High-Tech Law Enforcement, 2001 [5] https://www.sciencedirect.com/topics/computer-science/digitalforensics?fbclid=IwAR0qfPu0MEAHTyJMDZKaZmZZgTux4XcMEoOERZ2YFTAX8xU0C1sjXMQAwI Page 36 ... nguồn gốc vi phạm xảy hệ thống 1.1.2 Lịch sử điều tra số Tội phạm máy tính xuất từ năm 1960 lịch sử gắn liền với lịch sử điều tra số Năm 1978, tội phạm máy tính lần đề cập Luật Tội phạm máy tính... thập chứng cứ, xác minh phân tích chứng cứ, thu thập chứng số báo cáo, bảo quản tài liệu đối tượng kết thúc vụ án Page 20 CHƯƠNG II GIẢI PHÁP ĐIỀU TRA SỐ VÀ PHÂN TÍCH BẰNG CHỨNG SỬ DỤNG ENCASE. .. việc kiểm tra Điều liên quan đến việc tìm kiếm từ khóa, phân tích hình ảnh, phân tích dịng thời gian, phân tích sổ đăng ký, phân tích hộp thư, phân tích sở liệu, cookie, phân tích tệp lịch sử Internet