THU THẬP VÀ SAO CHÉP DỮ LIỆU NHÓM Họ Tê Nguyễn T Trần Nguyễn Phan Các phương pháp điều tra viên sử dụng để thu thập chứng kỹ thuật số gì?  Tạo tệp từ disk-toimage bit-stream Là phương pháp phổ biến mà nhà điều tra pháp y sử dụng Khi sử dụng phương pháp này, nhà điều tra pháp y tạo nhiều chứng kỹ thuật số họ cần Các nhà điều tra hình ảnh đĩa gốc sang đĩa khác Một nhà điều tra sau sử dụng cơng cụ khác EnCase, FTK, Smart, Task Ilook để đọc phân tích tệp hình ảnh Tạo disk-todisk bit-stream Nếu nhà điều tra tạo tệp từ đĩa đến hình ảnh, giải pháp thay tạo đĩa- todisk bit ổ đĩa nghi phạm để có thơng tin từ Có số chương trình bitstreaming chép thông tin từ đĩa sang đĩa khác Các công cụ chụp ảnh từ đĩa sang đĩa khác bao gồm SafeBack, SnapCopy Norton Ghost Nhiều ứng dụng số chạy theo MS-DOS  Tạo liệu thưa thớt thư mục tệp Một liệu thưa thớt mà nhà điều tra tạo phần tập hợp liệu lớn, có liệu phù hợp với điều tra bao gồm Một nhà điều tra chọn tạo liệu thưa thớt để giảm kích thước tổng thể tập tin chứng  Điều tra viên thu thập liệu Linux nào? “  Các nhà điều tra pháp y sử Linux để chép d  Lệnh dd chép d mà Linux gắn kết  Các biện pháp thu thập liệu: • “ • • Các lệnh SavePart WritePart DriveSpy làm gì? “  DriveSpy cho hướng thơng thể sang Các lệnh bảo tồn liệu DriveSpy SavePart Có chức tạo hình ảnh phân vùng SavePart cho phép người điều tra mở rộng phương tiện để lưu trữ hình ảnh hồn chỉnh cần thiết Sau tạo hình ảnh phân vùng, DriveSpy cung cấp tóm tắt băm MD5 trì cho hình ảnh để đảm bảo tính tồn vẹn liệu hình ảnh khơi phục 10 WritePart Chức khơi phục hình ảnh phân vùng Hình ảnh hình ảnh lưu trữ phân vùng kiểm tra Một số tính DFSMSdss: • “ 28 • • dd thốn • • • “ • • • 30 Sao lưu phục hồi toàn liệu ổ cứng partition Chuyển đổi định dạng liệu từ ASCII sang EBCDIC ngược lại Sao lưu lại MBR máy (MBR file liệu quan chứa lệnh để LILO GRUB nạp hệ điều hanh) Chuyển đổi chữ thường sang chữ hoa ngược lại Tạo file với kích cô định Tạo file ISO “ 31 CÚ PHÁP SỬ DỤNG #dd if= of= option Trong đó: • if= địa nguồn liệu bắt đầu đọc • of= viết đầu file • option : tùy chọn cho câu lệnh CÁC TRƯỜNG HỢP CỤ THỂ  #dd if=/dev/sda of=/dev/sdb conv=noerror,sync “ 32 Câu lệnh dùng ổ sda sang ổ sdb v conv=noerrom.syn lưu liệu đầu với liệu sdb  dd if=/dev/sda1 Tạo file im nhanh viêc  Nếu muốn nén dụng command dd if=/dev/sda1 |  Sao lưu từ đĩa C dd if=/dev/cdrom conv=noerror “ Phục hồi liệu dd if=/root/sda1.img of=/dev/sda1  33 Gán quyền cho root vào xem chmod 600 /root/swap “ 34 Kết hợp với câu lệnh mkswap để tạo phân vùng swap cho máySử dụng câu lênh dd để tạo phân vùng trống có kích cỡ 1G: “ 35 Mơ tả tính QuickCopy • • “ 37 • • • • “ 38 • Có khả đa nhiệm cho cơng việc hỗn hợp Ví dụ, chép đồng thời băng mm DLT Cung cấp xác minh 100% tất thực Sử dụng hệ điều hành Microsoft NT giao diện người dùng đồ họa (GUI) Cũng chép phương tiện CD với tùy chọn QuickCopy-CD 10 Yêu cầu hệ thống Drive SnapShot gì? “ 40 Drive SnapShot tạo hình ảnh đĩa hình ảnh cơng việc động vào DOS thíchvới tất hết hệ thống tệ • • “ 41 • Hệ điều hành: Windows NT 4.0 SP3/2000/XP/2003/PE/Vista RAM: MB Hard disk: Phải có 2MB cịn trống ổ đĩa Thanks! 42 ... tập tin chứng  Điều tra viên thu thập liệu Linux nào? “  Các nhà điều tra pháp y sử Linux để chép d  Lệnh dd chép d mà Linux gắn kết  Các biện pháp thu thập liệu: • “ • • Các lệnh SavePart... dụng để thu thập liệu “ 19 Image MASSter Solo-3 công cụ cầm tay nhẹ mà nhà điều tra sử dụng để thu thập liệu Nó lấy liệu khỏi máy tính xách tay PATA, SATA SCSI ổ cứng máy tính để bàn Nó kéo liệu. .. “ 13 Ngồi ra, chương trình kịch chạy để định dạng lại đĩa cứng ghi đè liệu định làm cho việc truy xuất chứng trở nên khó khăn khơng thể Chính điều mà liệu phải thu thập chép từ đĩa cứng trước