HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG CƠ SỞ THÀNH PHỐ HỒ CHÍ MINH BÀI BÁO CUỐI KỲ KHOA HỌC PHÁP LÝ SỐ GV: Huỳnh Trọng Thưa Nhóm 10: Võ Xuân Thịnh – N17DCAT066 Nguyễn Hoàng Hải – N17DCAT021 ĐỀ TÀI: DATA ACQUISITION AND DUPLICATION PHẦN 1: TRẢ LỜI CÂU HỎI TRONG ĐỀ TÀI Câu What are the methods investigators use to acquire digital evidence? (Các phương pháp điều tra viên sử dụng để thu thập chứng kỹ thuật số gì?) Tạo tệp bit-stream disk-to-image Tạo bit-stream disk-to-disk Tạo liệu thưa thớt thư mục tệp Câu How does an investigator acquire data on Linux? (Điều tra viên thu thập liệu Linux nào?) Các nhà điều tra pháp y sử dụng lệnh dd có sẵn Linux để chép liệu từ ổ đĩa Các công cụ pháp y khác, chẳng hạn AccessData FTK Ilook, đọc tệp hình ảnh dd Câu 3: What the SavePart and WritePart commands in DriveSpy do?( Các lệnh SavePart WritePart DriveSpy làm gì?) + Lệnh SavePart tạo hình ảnh phân vùng đĩa cứng + WritePart: Chức lệnh WritePart khơi phục hình ảnh phân vùng Hình ảnh hình ảnh lưu trữ phân vùng kiểm tra Câu 4: Why is there a need for data duplication?( Tại cần có trùng lặp liệu?) Nhân liệu điều cần thiết để bảo quản thích hợp chứng kỹ thuật số Câu 5: How is netcat used with dd to acquire data?( Netcat sử dụng với dd để lấy liệu?) Lệnh netcat hỗ trợ lệnh dd với tính mạng Điều tra viên sử dụng để đọc ghi liệu mạng TCP UDP TCP giao thức thực quy tắc cốt lõi cho phép kết nối hướng kết nối đáng tin cậy máy tính chủ qua mạng UDP giao thức không đáng tin cậy thực quy tắc nỗ lực cao cho phép giao tiếp mạng việc phân phối xác gói không quan trọng, chẳng hạn để phát trực tuyến video Để tạo hình ảnh phân vùng máy khác: • Trên máy nguồn: dd if / dev / hda bs16065b | netcat targethost-IP 1234 • Trên máy đích: netcat -l -p 1234 | dd / dev / hdc bs16065b Câu 6: Write down the hardware tools used for data acquisition?( Viết công cụ phần cứng sử dụng để thu thập liệu.) Image MASSter Solo-3 LinkMASSter-2 RoadMASSter-2 Câu 7: Write down the hardware tools used for data duplication? (Viết công cụ phần cứng sử dụng để chép liệu.) ImageMASSter 6007SAS Disk Jockey IT QuickCopy Câu 8: What file systems does dd work with?( dd làm việc với hệ thống tập tin nào?) Lệnh tạo bit-stream disk-to-disk file disk-to-image Lệnh dd chép liệu từ đĩa mà Linux gắn kết truy cập Một ưu điểm việc sử dụng lệnh dd Linux phần mềm miễn phí không phụ thuộc vào tài nguyên bổ sung từ máy tính Lệnh dd Linux tạo ảnh đĩa hệ thống tệp ext2, ext3, UNIX, FAT12, FAT16, FAT32, NTFS, HFS HPFS Câu 9: Describe the features of QuickCopy? (Mơ tả tính QuickCopy) QuickCopy hệ thống nhân băng Sau số tính QuickCopy: • Nhân băng thành nhiều băng đích • Bản từ ảnh lưu trữ ổ cứng cục mạng • Có khả đa nhiệm cho cơng việc hỗn hợp Ví dụ, chép đồng thời băng mm DLT • Cung cấp xác minh 100% tất thực • Sử dụng hệ điều hành Microsoft NT giao diện người dùng đồ họa (GUI) • Cũng chép phương tiện CD với tùy chọn QuickCopy-CD Câu 10: What are the system requirements for Drive SnapShot?( Yêu cầu hệ thống Drive SnapShot gì?) Drive SnapShot cơng cụ thu thập liệu tạo hình ảnh đĩa xác Nó tạo hình ảnh điều tra viên tiếp tục thực cơng việc Windows Nó tương thích với tất hệ thống tệp Windows hầu hết hệ thống tệp Linux Chỉ người dùng có đặc quyền quản trị sử dụng Drive SnapShot Yêu cầu hệ thống Drive SnapShot • Hệ điều hành: Windows NT 4.0 SP3 / 2000 / XP / 2003 / PE / Vista • RAM: MB • Đĩa cứng: Ít MB dung lượng đĩa trống ĐỀ TÀI: FORENSIC INVESTIGATIONS USING ENCASE EnCase phần mềm pháp y cung cấp cho nhà điều tra công cụ đầy đủ để điều tra pháp y Chương cung cấp số thông tin EnCase thảo luận cách nhà điều tra sử dụng EnCase để thực nhiệm vụ pháp y khác PHẦN 1: TRẢ LỜI CÂU HỎI TRONG ĐỀ TÀI Câu 1: What is an evidence file, and what is it used for? (Tệp bẳng chứng gì, dùng để làm gì?) Tệp chứng EnCase gọi tệp hình ảnh pháp y Tệp chứng EnCase biết đến rộng rãi ngành thực thi pháp luật bảo mật máy tính Các tệp chứng EnCase sử dụng để lưu giữ chứng tiếp tục việc kiểm tra mà không cần phải khôi phục hình ảnh vào phương tiện riêng biệt Điều cho phép người điều tra tìm kiếm kiểm tra nội dung ổ đĩa mua môi trường EnCase Tệp chứng EnCase chứa xác liệu từ phương tiện gốc, bao gồm dấu thời gian, tệp xóa, khơng gian chưa phân bổ thuộc tính hệ thống tệp Điều tra viên dễ dàng chuyển tệp chứng EnCase sang loại phương tiện khác lưu trữ để tham khảo tương lai Nếu cần, điều tra viên sử dụng tệp chứng để khơi phục hình ảnh xác vào ổ cứng khác Câu 2: Describe the main parts of an evidence file.(Mô tả thành phần tệp chứng) Tệp chứng EnCase có ba thành phần chính: tiêu đề, khối liệu thành phần toàn vẹn tệp (CRC MD5 / SHA-1) Tiêu đề xuất phần cuối tệp chứng khối liệu theo sau tiêu đề Thành phần toàn vẹn tệp tồn xuyên suốt cung cấp mức độ tồn vẹn tệp dự phịng Mỗi thành phần có tính tồn vẹn riêng mình, tiêu đề bịt kín với CRC(hàm bằm) riêng Mỗi khối liệu xác minh CRC riêng Tồn phần khối liệu phải chịu hàm băm MD5 / SHA-1, gọi hàm băm chuyển đổi , thêm vào sau khối liệu Xác minh tính tồn vẹn tệp Bất điều tra viên thêm tệp chứng vào vụ án, họ sử dụng EnCase để xác minh tính tồn vẹn tệp Câu 3: Describe the steps involved in acquiring an image of a storage device.( Mơ tả bước liên quan để có hình ảnh thiết bị lưu trữ.) Lấy hình ảnh Điều tra viên thu hình ảnh cách thực bước sau: Nhấp vào Tệp sau Thêm thiết bị để có hình ảnh Điều tra viên nhấp luân phiên vào nút Thêm thiết bị công cụ Encase trình Chọn loại thiết bị Nếu thiết bị ổ USB, khơng nên kết nối với máy tính pháp y trước q trình khởi động Bước 1: Điều tra viên lựa chon cấu hình để lấy tệp hình ảnh cơng cụ Encase Bước 2: Sau hi thực xong việc Add Device bạn điền thông tin cho thư mục Đây tùy chọn bạn Bước 3: Sau thực thực xong phần điền thơng tin bạn lựa chọn câu hình phù hợp cho việc điều tra Cho phép người điều tra tự động cấu hình điều chỉnh Bước 4: Menu View cung cấp cho điều tra thông tin tệp điều tra câu cụ để phân tích them Câu 4: What does the Device tab show?( Tab hiển thị gì) Khi duyệt xem chứng bạn, phần lớn thời gian bạn dành cho việc tìm kiếm chứng Device tab Đây chứng thơng tin bạn xem xử lý EnCase từ nhiều nguồn tìm khác Ex01, Lx01, E01, and L01 files l VMDK files l VHD files l Raw DD Image files EnCase phân tch cú pháp t p ệkhi chúng đếến Mỗỗi t p hiệ n th ể nhị mư t thiếết ộ b ịtrến giao di n Tâết ệ c d ảli uữ đãệ phân tch cú pháp t mừt thiếết ộ b ịđ ược l ưu tr ữtrong nhớ cache c thiếết bị Số chứng mà Tab hiển thị cung cấp cho điều tra viên •Đường dẫn tập tin • Tên giám khảo Thanh trạng thái •Ngày thực tế • Ngày mục tiêu • Tổng kích thước • Tổng số ngành • Tính tồn vẹn tệp • Phiên EnCase • Phiên hệ thống • Băm chuyển đổi • Xác minh hàm băm • Ghi Câu 5: What is the purpose of an EnCase boot disk?(Mục đích đĩa khởi động Encase gì) Mục đích đĩa khởi động pháp y khởi động máy tính tải hệ điều hành theo cách hợp lý để không bị thay đổi phương tiện xác minh Một đĩa khởi động DOS thông thường thực gọi đến ổ C: chủ yếu qua COMMAND.COM với IO Câu 6: What is the purpose of file-signature analysis?( Mục đích phân tích chữ ký tệp gì??) Khi loại tệp chuẩn hóa, chữ ký tiêu đề lưu trữ với liệu.Các ứng dụng sử dụng tiêu đề để phân tích cú pháp liệu cách xác Người điều tra xem chữ ký tệp để xác định loại tệp, phần mở rộng bị thay đổi Người điều tra dễ dàng tạo giá trị băm cho tệp trường hợp Điều tra viên dễ dàng tạo loại trình xem bên ngồi Phần mềm Pháp Y Encase hiển thị chữ kỹ tệp thực xong nhiệm vụ Câu 7: How does EnCase use MD5 hashing?( EnCase sử dụng băm MD5 nào?) Hàm băm MD5 giá trị 128 bit (16 byte) mô tả nội dung tệp Đây hàm băm chiều chuyển đổi thông điệp thành chuỗi ký tự cố định gọi thông báo kỹ thuật số Tạo mã băm người điều tra nhấp vào Tìm kiếm chọn Tính giá trị băm để tạo giá trị băm cho tệp phân bổ Mục đích giá trị EnCase để xác minh tệp chứng mà EnCase tạo có cấu trúc byte giống phương tiện gốc EnCase sử dụng băm MD5 để tạo băm sau thêm vào thư viện băm Bộ băm tập hợp tệp băm EnCase tạo giá trị băm (dấu vân tay kỹ thuật số) cho tệp trường hợp Câu 8: Describe the kinds of searches an investigator can perform using EnCase?( Mơ tả loại tìm kiếm mà điều tra viên thực EnCase.) EnCase có khả tìm kiếm nâng cao sau: Tìm kiếm đồng thời • Tìm kiếm vùng lân cận • Tìm kiếm Internet e-mail • Tìm kiếm địa e-mail • Tìm kiếm Global Regular Expressions Post (GREP): Tiện ích tìm kiếm GREP cho phép người điều tra tìm kiếm thơng tin với định dạng chung biết, chẳng hạn số điện thoại, số thẻ tín dụng, ID mạng, ghi đăng nhập địa IP, số cụ thể khơng biết • Cơng cụ tìm tệp: Cơng cụ tìm kiếm tệp trang, cụm chưa phân bổ, tệp chọn toàn trường hợp, tìm kiếm loại tệp cụ thể liệu có cấu trúc EnCase cung cấp  Cửa sổ tìm kiếm cơng cụ Encase Điều tra viên tùy chọn tìm khiếm khác Lưu ý: Thành phần quan trọng tìm kiếm từ khóa ấn đề tài Lựa chọn từ khóa mà bạn muốn tìm kiếm để điểm tra Có thể them nhiều nhóm từ khóa để tìm kiếm MỘT SỐ ĐỊNH NGHĨA TRONG CHƯƠNG + Checksum (còn gọi tổng băm) số ngun có kích thước cố định kết việc áp dụng thuật toán vào khối liệu kỹ thuật số nhằm mục đích xác minh tính tồn vẹn liệu gốc; thường sử dụng so sánh liệu chép với liệu gốc + Cyclic Redundancy Check thường viết tắt CRC, thuật ngữ tiếng Anh kỹ thuật số, phương pháp kiểm tra phát lỗi, sử dụng mạng số thiết bị lưu trữ để phát thay đổi tình cờ liệu truyền hay lưu trữ + MD5 dùng nhiều ứng dụng bảo mật, dùng phổ biến để kiểm tra tính tồn vẹn tập tin Một bảng băm MD5 thường diễn tả số hệ thập lục phân 32 ký tự + NTFS hệ thống tập tin tiêu chuẩn Windows NT NTFS hệ thống file tiên tiến nhiều so với FAT32 Nó có đầy đủ đặc tính hệ thống file đại mà FAT32 khơng có + ISO (Tổ chức Tiêu chuẩn hóa Quốc tế) ITU (Liên minh Viễn thông Quốc tế) làm việc để tiêu chuẩn hóa loại liệu điện tử + MFT ( Master File Table) bảng phân bổ tệp hệ thống tệp NTFS MFT nhập nhiều (tài liệu), mục MFT chiếm không gian 1024 byte Mặt trước hàng chục byte cho mục MFT có cấu trúc tiêu đề cố định sử dụng để mô tả thông tin mục MFT Các byte sau để lưu trữ "thuộc tính." Mỗi tập tin thư mục thơng tin bao gồm MFT, tập tin thư mục bảng mục MFT Khu vực khởi động, hệ thống hoạt động trước tiên phải truy cập MFT, mục MFT để tìm tệp mục MFT, MFT để tìm nội dung dựa thơng tin hồ sơ truy cập Tóm Tắt Chương ■ Tệp chứng thành phần cốt lõi điều tra Pháp Y công cụ EnCase ■ Mỗi tệp chứng xác theo ngành đĩa mềm đĩa cứng mà kỹ thuật viên điều tra ■ EnCase tính tốn sử dụng hàm băm MD5 có ổ đĩa vật lý ổ đĩa logic từ máy tính người dùng ■ EnCase cung cấp khả tìm kiếm mạnh mẽ, phân tích xác ■ EnCase cho phép người điều tra đánh dấu tệp, thư mục phần tệp để dễ dàng tham khảo lựa chọn dễ dàng cho người điều tra ■ EnCase tìm kiếm cụm chưa phân bổ bảng tệp (MFT) để khôi phục tệp thư mục ■ EnCase tạo giá trị băm (dấu vân tay kỹ thuật số) cho tệp trường hợp ■ EnCase lấy lại thơng tin dấu hay bị thư mục https://www.youtube.com/watch?v=Ca-9LWmau5Q https://www.youtube.com/watch?v=1OxR4KLj-4I ... MB dung lượng đĩa trống ĐỀ TÀI: FORENSIC INVESTIGATIONS USING ENCASE EnCase phần mềm pháp y cung cấp cho nhà điều tra công cụ đầy đủ để điều tra pháp y Chương cung cấp số thông tin EnCase thảo... nhiệm vụ pháp y khác PHẦN 1: TRẢ LỜI CÂU HỎI TRONG ĐỀ TÀI Câu 1: What is an evidence file, and what is it used for? (Tệp bẳng chứng gì, dùng để làm gì?) Tệp chứng EnCase gọi tệp hình ảnh pháp y... there a need for data duplication? ( Tại cần có trùng lặp liệu?) Nhân liệu điều cần thiết để bảo quản thích hợp chứng kỹ thuật số Câu 5: How is netcat used with dd to acquire data? ( Netcat sử