THU THẬP VÀ SAO CHÉP DỮ LIỆU Họ Tên Sinh Viên MSSV Nguyễn Thị Ánh Nguyệt N18DCAT054 Trần Bảo Toàn N18DCAT076 Nguyễn Thị Lan Vy N18DCAT104 ► NHÓMN18DCAT106 Phan Thị Như Ý Câu 4,8,9 1,6 2,3,7 5,10 ác phương pháp điêu tra viên sử dụng để thu thập chứng kỹ thuật số gì? ❖ Tạo tệp từ disk-toimage bit-stream Là phương pháp phổ biến mà nhà điều tra pháp y sử dụng Khi sử dụng phương pháp này, nhà điều tra pháp y tạo nhiều chứng kỹ thuật số họ cần Các nhà điều tra hình ảnh đĩa gốc sang đĩa khác Một nhà điều tra sau sử dụng công cụ khác EnCase, FTK, Smart, Task Ilook để đọc phân tích tệp hình ảnh ❖ Tạo disk-todisk bit-stream Nếu nhà điều tra tạo tệp từ đĩa đến hình ảnh, giải pháp thay tạo đĩa-to-disk bit ổ đĩa nghi phạm để có thơng tin từ Có số chương trình bitstreaming chép thông tin từ đĩa sang đĩa khác Các công cụ chụp ảnh từ đĩa sang đĩa khác bao gồm SafeBack, SnapCopy Norton Ghost Nhiều ứng dụng số chạy theo MS-DOS ❖ Tạo liệu thưa thớt thư mục tệp Một liệu thưa thớt mà nhà điều tra tạo phần tập hợp liệu lớn, có liệu phù hợp với điều tra bao gồm Một nhà điều tra chọn tạo liệu thưa thớt để giảm kích thước tổng thể tập tin chứng tra viên thu thập Linux nào? *t* Các nhà điều tra pháp y sử dụng lệnh dd có sẵn Linux để chép liệu từ ổ đĩa *t* Lệnh dd chép liệu từ đĩa mà Linux gắn kết truy cập *♦* Các biện pháp thu thập liệu: • Using the dd command (Sử dụng dịng lệnh dd) • Using dd to Extract the MBR (Sử dụng dịng lệnh đe trích xuất MBR) • Using netcat with dd (Sử dụng Netcat với dòng lệnh dd) Các lệnh SavePart ritePart DriveSpy làm gì? hướng thơng từvực mộtkhác phạm vi khu vực cụ thể sang mộttin khu Các lệnh bảo tồn liệu •• DriveSpy SavePart Có chức tạo hình ảnh phân vùng SavePart cho phép người điều tra mở rộng phương tiện để lưu trữ hình ảnh hồn chỉnh cần thiết Sau tạo hình ảnh phân vùng, DriveSpy cung cấp tóm tắt băm MD5 trì cho hình ảnh để đảm bảo tính tồn vẹn liệu hình ảnh khơi phục WritePart Chức làphân khơi phục hình Hình ảnh vùng ảnh trữ phân hình vùng ảnh được lưu kiểm tra 10 Một số tính Save-N-Sync - Standard and bidirectional synchronization (Đồng hóa hai chiều) - Daily timer (hẹn hàng ngày) Unobtrusive background Processing Embedded open file manager option (tùy chọn trình quản lý tệp mở nhúng) File attribute transfers (chuyển thuộc tính tệp) Extensive filtering capabilities (khả lọc mở rộng) DFSMSdss thành phần DFSMS (Hệ thống quản lý sở liệu) IBM DFSMSdss chép liệu từ đĩa sang đĩa khác từ đĩa sang băng Một số tính DFSMSdss: • Movement and replication of data (di chuyển chép liệu) • Backup and recovery of data (sao lưu phục hồi ofdữdata liệu) Conversion đổi tập liệu khối setslượng) and volumes (chuyển dd làm việc với hệ thống tập tin nào? • Sao lưu phục hồi tồn liệu ổ cứng partition • Chuyển đổi định dạng liệu từ ASCII sang EBCDIC ngược lại • Sao lưu lại MBR máy (MBR file liệu quan chứa lệnh để LILO GRUB nạp hệ điều hanh) • Chuyển đổi chữ thường sang chữ hoa ngược lại • Tạo file với kích cơ định • Tạo file ISO CÚ PHÁP SỬ DỤNG #dd if= of= option Trong đó: • if= địa nguồn liệu bắt đầu đọc • of= viết đầu file • option : tùy chọn cho câu lệnh CÁC TRƯỜNG HỢP CỤ THỂ ♦♦♦ #dd if=/dev/sda of=/dev/sdb conv=noerror,sync Câu lệnh dùng dể lưu toàn liệu ổ sda sang ổ sdb với tùy chọn trường conv=noerrom.sync với ý ngĩa tiếp tục lưu liệu đầu vào bị lỗi tự động đồng với liệu sdb ♦♦♦ dd if=/dev/sda1 of=/root/sda1.img Tạo file image cho ổ sdal Các nhanh viêc chuyển liệu ổ khác ♦♦♦ Nếu muốn nén ảnh file anh vào bạn sử dụng command sau dd if=/dev/sda1 | grip > /root/sda1.img.gz *** Sao lưu từ đĩa CDroom dd if=/dev/cdrom of=/root/cdrom.img conv=noerror *** Phục hồi liệu dd if=/root/sda1.img of=/dev/sda1 Gán quyền cho root vào xem chmod 600 /root/swap install.log.sỵslog swap testl [root@Centos ~]f chmod 600 /root/swap [rootSCentos ~]t 13 -1 /root/swap -rw root root 1073741824 Oct 17 01:03 /root/swap ~]t [câu swap cho máySử dụng phân [root@Centos vùng trống có kích cỡ lênh 1G: dd để tạo Quick Copy hệ thống nhân băng Sau số tính QuickCopy: Nhân băng thành nhiều băng đích Bản từ ảnh lưu trữ ổ cứng cục mạng 32 • Có khả đa nhiệm cho công việc hỗn hợp Ví dụ, chép đồng thời băng mm DLT • Cung cấp xác minh 100% tất thực ••• • Sử dụng hệ điều hành Microsoít NT giao diện người dùng đồ họa (GUI) Cũng QuickCopy-CD chép phương tiện CD với tùy chọn Yêu cầu hệ thống 33 Drive SnapShot gì? Drive tạo SnapShot hình ảnh đĩa làkhơng cơng xác cụNó thu có thập thể tạo hình cơng ảnh việc điều tra Windows viên tiếp tục Khởi thực động thíchvới vào tất DOS cảtrong hệ thống cần thiết tệp Windows Nó tương vàliệu hầu hết hệ thống tệp Linux 34 Ịếi Snapshũt - startup Screen Snapshũt 2019 VI,48-Dec Drive Snapshũt(TM) Instant Disk Irnaging for Windows 2ŨŨŨ/XP/7/8/ 1Ũ 2ŨŨ3/2ŨŨ8R2 2Ũ12/2Ọ12R2 copyri ực) tomehlert 2001-2019 BBE3 Help Backup DiskTũ File Restore Diskfrom File Restore complete Disk f rom Images Time limited trial veráon no backup possible after 19,01,2020 see MHH.drivesnapỉhũt.d e for detailỉ Enter Ịicense Infũ View contents ũf saved Diỉklmage Hệ điều hành: Windows NT 4.0 SP3/2000/XP/2003/PE/Vista RAM: MB Hard disk: Phải có 2MB cịn trống ổ đĩa r Thanks ! ... viên thu thập Linux nào? *t* Các nhà điều tra pháp y sử dụng lệnh dd có sẵn Linux để chép liệu từ ổ đĩa *t* Lệnh dd chép liệu từ đĩa mà Linux gắn kết truy cập *♦* Các biện pháp thu thập liệu: •... Chính điều mà liệu phải thu thập chép từ đĩa cứng trước phân tích diễn ra .chép? ?iều -> Do trọng mà bấtsao kỳ liệu tra pháp mộtyphần máy quan tính 13 etcat sử dụng với dd để lấy liệu? 14 *t* Netcat... dụng để thu thập liệu Image MASSter Solo-3 công cụ cầm tay nhẹ mà nhà điều tra sử dụng để thu thập liệu Nó lấy liệu khỏi máy tính xách tay PATA, SATA SCSI ổ cứng máy tính để bàn Nó kéo liệu khỏi