HỌC VIỆN KỸ THUẬT MẬT Mà CÔNG NGHỆ THÔNG TIN ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỀ TÀI THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ Ổ CỨNG Chun ngành: An tồn thơng tin Mơn: Phịng chống điều tra tội phạm máy tính Giảng viên: Thầy Nguyễn Mạnh Thắng Sinh viên thực hiện: Lê Văn Trọng – AT140249 Nguyễn Hữu Quảng – AT140136 Hoàng Trung Học – AT130222 Phạm Thị Thúy – AT140645 Nguyễn Thị Hải Yến – AT140253 Hà Nội, 2021 MỤC LỤC DANH MỤC HÌNH ẢNH LỜI NÓI ĐẦU Hiện Việt Nam xuất nhiều loại tội phạm mới, công hạ tầng thông tin quốc gia, sở liệu quan nhà nước, ngân hàng, doanh nghiệp, trộm cắp thơng tin bí mật quốc gia, phát tán thơng tin gây kích động, thù hằn, phá hoại đồn kết dân tộc, lừa đảo qua mạng, công từ chối dịch vụ Cuộc đấu tranh chống loại tội phạm lĩnh vực công nghệ thông tin, viễn thông thường khó khăn phức tạp đối tượng khơng sử dụng công nghệ vào việc cơng, gây án, mà cịn triệt để lợi dụng để xóa dấu vết truy cập, dấu vết cài đặt mã độc, dấu vết lấy cắp liệu, tải liệu, mã hóa liệu, dùng ngơn ngữ đặc biệt để lập trình mã độc, chống phát dịch ngược mã độc Tin tặc thường sử dụng máy tính, điện thoại di động, thiết bị lưu trữ kỹ thuật mã hóa liệu, để lưu trữ, giấu liệu Khi nghi ngờ bị điều tra, theo dõi, chúng cảnh giác, xóa hết dấu vết, liệu có liên quan, chí format thiết bị lưu trữ liệu Ổ cứng thành phần quan trọng nhớ máy tính, thiết bị chứa toàn liệu người dùng hệ điều hành windows hay tệp cá nhân Đồng thời định tốc độ xử lý (ví dụ tốc độ truyền liệu sang ổ cứng di động khác hay USB) máy, tính bảo mật liệu hay điện tiêu thụ nhiệt độ CPU Việc liệu ổ cứng xảy thường xuyên xảy nhiều nguyên nhân Thông thường liệu quan trọng phục vụ cho công việc nên việc lấy lại liệu vơ cần thiết Với mục đích tìm hiểu ổ cứng việc điều tra nó, nhóm em chọn đề tài “Thu thập phân tích chứng từ ổ cứng” Với đề tài này, báo cáo nhóm em gồm chương: Chương I: Tổng quan điều tra số Chương II: Thu thập phân tích chứng từ ổ cứng Chương III: Demo Trong q trình thực đề tài này, nhóm em cố gắng, xong không tránh khỏi thiếu sót Rất mong nhận góp ý, dẫn thầy cô bạn sinh viên CHƯƠNG I: TỔNG QUAN VỀ ĐIỀU TRA SỐ 1.1 Khái niệm Điều tra số (còn gọi Khoa học điều tra số) nhánh ngành Khoa học điều tra đề cập đến việc phục hồi điều tra tài liệu tìm thấy thiết bị kỹ thuật số, thường có liên quan đến tội phạm máy tính Thuật ngữ điều tra số ban đầu sử dụng tương đương với điều tra máy tính sau mở rộng để bao qt tồn việc điều tra tất thiết bị có khả lưu trữ liệu số Điều tra số định nghĩa việc sử dụng phương pháp, công cụ kỹ thuật khoa học chứng minh để bảo quản, thu thập, xác nhận, chứng thực, phân tích, giải thích, lập báo cáo trình bày lại thông tin thực tế từ nguồn kỹ thuật số với mục đích tạo điều kiện thúc đẩy việc tái lại kiện nhằm tìm hành vi phạm tội hay hỗ trợ cho việc dự đoán hoạt động trái phép gây gián đoạn trình làm việc hệ thống 10 - Trong ngăn bên phải, hàng cùng, có ký tự NTFS hiển thị bên Điều phân vùng định dạng hệ thống tệp NTFS 152 Hình ảnh 22: Chế độ xem cluster Di chuyển sang phải qua vài cụm để xem mẫu Mỗi cụm có kích thước 200 byte, 200 dạng thập lục phân, 512 byte dạng thập phân Những gọi Cluster thực Sectors, cấp độ vật lý trực tiếp mà sử dụng, đĩa khơng có khái niệm Cluster Tìm kiếm 153 Trong hộp thoại Tìm kiếm , bấm vào tab Tìm kiếm nội dung 154 Nhấp vào hộp kiểm Chọn tất kết phù hợp , nút tùy chọn ASCII nút tùy chọn tìm kiếm (các) mẫu Sau nhập từ khóa muốn tìm kiếm nhấn ok để tìm kiếm 155 Hình ảnh 23: Tìm kiếm 156 Trong trình chạy tìm kiếm ProDiscover Basic vài phút 157 Hình ảnh 24: Quá trình tìm kiếm 158 Khi kết thúc tìm kiếm, ProDiscover hiển thị kết ngăn kết tìm kiếm vùng làm việc 159 Đối với tìm kiếm bạn thực trường hợp, ProDiscover thêm tab để giúp lập danh mục tìm kiếm bạn File tìm thấy có chứa chuỗi data setup 160 161 Hình ảnh 25: Kết tìm kiếm Kiểm tra MD5 Kiểm tra md5 file vừa tìm thêm comment vào báo cáo: Thêm comment ‘confirm’ add to Report 162 Hình ảnh 26: Comment Xem lại kết Hard Disk: PhysicalDrive0 Mã MD5 : 1EE3BD713BAF8DA75ECD537F7E086EB8 List of Files: C:\Users\huuqu\Desktop\Newfolder\DEMO.001\C:\autorun.inf Investigator's comments: confirm 163 Hình ảnh 27: Kết báo cáo 164 KẾT LUẬN Các tổ chức ngày phải đối mặt với nhiều thách thức mà công nghệ ngày phát triển, giá trị công nghệ truyền tải lưu trữ máy tính ngày cao Đó mục tiêu cơng nhằm vào máy tính để đánh cắp thơng tin quan trọng u cầu ứng phó có cố hệ thơng từ phần cứng phần mềm luôn vấn đề quan tâm Qua tập lớn chúng em có kiến thức điều tra số, ổ cứng cách thức thu thập liệu từ ổ cứng, có thêm hiểu biết để giải cố tương lai 165 TÀI LIỆU THAM KHẢO [1] Digital Forensic Analysis of Hard Disks for Evidence Collection, Bandu B Meshram1 , Dinesh N Patil2 Veermata Jijabai Technological Institute Matunga, Mumbai, India [2] Carrier B.: File System Forensic Analysis, Addison Wesley Professional (2005), ch pp 129-131 [3] “Hệ thống tập tin”, Wikipedia, https://vi.wikipedia.org/wiki/H%E1%BB %87_th%E1%BB%91ng_t%E1%BA%ADp_tin [4] “Điều tra số”, Wikipedia [5] “ ổ cứng”, Wikipedia 166 ... hiểu ổ cứng việc điều tra nó, nhóm em chọn đề tài ? ?Thu thập phân tích chứng từ ổ cứng? ?? Với đề tài này, báo cáo nhóm em gồm chương: Chương I: Tổng quan điều tra số Chương II: Thu thập phân tích chứng. ..HỌC VIỆN KỸ THU? ??T MẬT Mà CÔNG NGHỆ THÔNG TIN ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỀ TÀI THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ Ổ CỨNG Chun ngành: An tồn thơng tin Mơn: Phịng chống điều tra tội phạm máy tính Giảng... hợp với việc điều tra loạt tội phạm máy tính, điều tra máy tính sử dụng tố tụng dân Bằng chứng thu từ điều tra máy tính thường phải tn theo ngun tắc thơng lệ chứng kỹ thu? ??t số khác Nó sử dụng số