0

Quy trình điều tra số, bằng chứng số, ứng dụng trong điều tra tội phạm máy tính

156 0 0
  • Quy trình điều tra số, bằng chứng số, ứng dụng trong điều tra tội phạm máy tính

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Tài liệu liên quan

Thông tin tài liệu

Ngày đăng: 04/05/2022, 12:36

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - Hoàng Thanh Nam NGHIÊN CỨU ĐIỀU TRA SỐ TRÊN THIẾT BỊ DI ĐỘNG THÔNG MINH Chun ngành: Truyền thơng mạng máy tính LUẬN VĂN THẠC SĨ KỸ THUẬT NGƯỜI HƯỚNG DẪN KHOA HỌC PGS.TS Nguyễn Linh Giang Năm 2016 MỤC LỤC MỤC LỤC i DANH MỤC VIẾT TẮT v DANH MỤC BẢNG .vi DANH MỤC HÌNH vii LỜI MỞ ĐẦU xi CHƯƠNG TỔNG QUAN VỀ KHOA HỌC ĐIỀU TRA SỐ 1.1 Khái niệm khoa học điều tra số 1.1.1 Khái niệm 1.1.2 Ứng dụng điều tra số 1.1.3 Các loại hình điều tra số 1.2 Đặc điểm điều tra số 1.2.1 Tội phạm máy tính 1.2.2 Bằng chứng số 1.2.3 Vấn đề pháp lý 1.3 Quy định chứng số Mỹ 11 1.4 Yêu cầu để thừa nhận chứng số 12 1.4.1 Xác thực 12 1.4.2 Quy định chứng gốc 14 1.5 Xác nhận tính hợp lệ công cụ điều tra số 15 1.6 Kiểu chứng số 16 1.6.1 Bằng chứng số máy tính 16 i 1.6.2 Các kiểu chứng khác 20 CHƯƠNG QUY TRÌNH ĐIỀU TRA SỐ 22 2.1 Quy trình chung điều tra số 22 2.1.1 Chuẩn bị 23 2.1.2 Bảo vệ giám định trường 25 2.1.3 Lập tài liệu trường 26 2.1.4 Thu thập chứng 27 2.1.5 Đánh dấu, vận chuyển lưu trữ 37 2.1.6 Kiểm tra 38 2.1.7 Phân tích 39 2.1.8 Lập tài liệu báo cáo báo cáo 40 2.2 Quy trình điều tra số thiết bị Android 41 2.2.1 Tiếp nhận điều tra 42 2.2.2 Nhận dạng thiết bị 43 2.2.3 Chuẩn bị 47 2.2.4 Bảo vệ chứng 50 2.2.5 Xử lý chứng 51 2.2.6 Kiểm tra xác nhận 52 2.2.7 Lập tài liệu báo cáo 53 2.2.8 Trình bày vụ án 54 2.2.9 Lưu trữ hồ sơ vụ án 54 2.3 Quy trình thu thập chứng 54 2.3.1 Thủ tục ban đầu để bảo vệ liệu thiết bị 57 ii 2.3.2 Thu thập liệu thiết bị bật, khơng có mã bảo vệ 58 2.3.3 Thu thập thiết bị bật, có mã bảo vệ 60 2.4 Quy trình phân tích chứng 62 CHƯƠNG KỸ THUẬT ĐIỀU TRA SỐ 66 3.1 Hệ điều hành Android 66 3.1.1 Các thành phần hệ điều hành Android 66 3.1.2 Bảo mật Android 69 3.1.3 Cấu trúc phân cấp file 71 3.1.4 Hệ thống tập tin 73 3.2 Thiết lập môi trường điều tra số 80 3.2.1 Môi trường điều tra số 80 3.2.2 Cơng cụ lập trình ASDK 80 3.2.3 Hệ thống giả lập thiết bị Android 80 3.2.4 Kết nối thiết bị Android 83 3.2.5 Truy cập thiết bị Android khơng khố 85 3.2.6 Truy cập thiết bị Android có khố 86 3.3 Kỹ thuật trích xuất phục hồi liệu 89 3.3.1 Trích xuất liệu thủ công 89 3.3.2 Trích xuất liệu logic 90 3.3.3 Trích xuất liệu vật lý 98 3.3.4 Trích xuất tạo ảnh nhớ thẻ 102 3.3.5 Khôi phục tập tin bị xóa 103 3.3.6 Phục hồi liệu bị xóa từ thẻ SD 103 iii 3.3.7 Phục hồi liệu bị xóa từ nhớ 106 CHƯƠNG THỰC NGHIỆM PHÂN TÍCH ĐIỀU TRA SỐ 114 4.1 Giới thiệu tình 114 4.2 Thực quy trình điều tra 115 4.2.1 Tiếp nhận điều tra 115 4.2.2 Nhận dạng thiết bị 115 4.2.3 Chuẩn bị 116 4.2.4 Bảo vệ chứng 118 4.2.5 Xử lý chứng 119 4.2.6 Kiểm tra xác nhận 128 4.3 Đánh giá trình thực quy trình 128 KẾT LUẬN 130 TÀI LIỆU THAM KHẢO 131 PHỤ LỤC I CÁC CÔNG CỤ ĐIỀU TRA SỐ 132 PHỤ LỤC II SỬ DỤNG CÔNG CỤ AUTOSPY 138 PHỤ LỤC III GIẢI MÃ TẬP TIN CƠ SỞ DỮ LIỆU ỨNG DỤNG WHATSAPP 142 iv DANH MỤC VIẾT TẮT SWGDE Nhóm khoa học làm việc chứng số Viện tư pháp quốc gia Hoa Kỳ Tổ chức tiêu chuẩn hóa quốc tế FBI SOP ACPO MD5 SHA RAM Scientific Working Group on Digital Evidence National Institute of Justice International Organization for Standardization Federal Bureau of Investigation Standard Operating Procedures Association of Chief Police Officers Message-Digest algorithm Secure Hash Algorithm Random Access Memory NTFS FAT New Technology File System File Allocation Table Hệ thống tập tin công nghệ Bảng định vị tập tin PDA GPS Personal digital assistant Global Positioning Systems Thiêt bị trợ giúp cá nhân Thiết bị định vị NIJ ISO v Cục điều tra liên bang Quy trình chuẩn Hiệp hội cảnh sát trưởng Thuật toán hàm băm Thuật toán hàm băm an toàn Bộ nhớ truy cập ngẫu nhiên DANH MỤC BẢNG Bảng 2.1– Đường dẫn lưu trữ tập tin sở liệu 80 Bảng 4.1 – Thông tin nhận dạng thiết bị 116 vi DANH MỤC HÌNH Hình 1.1Mẫu chuỗi quản lý chứng 13 Hình 1.2 Kết chuỗi MD5 14 Hình 1.3 Kiểu chứng số 17 Hình 2.1 Quy trình điều tra số 23 Hình 2.2 Thiết bị chống ghi 25 Hình 2.3 Quy trình thu thập chứng theo NIJ 30 Hình 2.4 Tạo thư mục chứa chứng 35 Hình 2.5 Chọn thu thập đữ liệu từ nhớ 35 Hình 2.6 Chọn thư mục chứa chứng 36 Hình 2.7 Quá trình thu thập bắt đầu diễn 36 Hình 2.8 Lựa chọn xác nhận hình ảnh 36 Hình 2.9 Kết giá trị băm 37 Hình 2.10 –Lược đồ quy trình điều tra số 42 Hình 2.11 – Quy trình thu thập chứng 56 Hình 2.12 – Thủ tục ban đầu bảo vệ liệu thiết bị 57 Hình 2.13– Các bước thu thập thiết bị khơng có mã bảo vệ 59 Hình 2.14 – Thiết bị UFED TOUCH ULTIMATE 60 Hình 2.15 – Thu thập liệu thiết bị có mã bảo vệ 61 Hình 2.16 – Quy trình kiểm tra phân tích 63 Hình 3.1 Kiến trúc Android 66 Hình 3.2 Máy ảo Dalvik Java 68 Hình 3.3– Kích hoạt chế độ USB Debug thiết bị 84 Hình 3.4 – Tìm thiết bị kết nối 84 Hình 3.5 – Kết nối ADB 84 Hình 3.6 – Mơ khóa mơ hình android 87 Hình 3.7 – Nội dung file gesture.key dạng hex 88 Hình 3.8 – So sánh chuỗi nhận với từ điển 88 vii Hình 3.9 – Mơ lại hình dạng khóa mơ hình 88 Hình 3.10 – Dữ liệu copy từ /data 91 Hình 3.11 – SQLite Browser 92 Hình 3.12 – Dữ liệu ghi gọi 93 Hình 3.13 – Thơng tin lịch sử gọi 94 Hình 3.14 Gọi bảng file contacts2.db 94 Hình 3.15 –Các tập tin browser2.db oxy Viewer SQLite Forensic 95 Hình 3.16 –Bảng fb.db SQLite Browser 96 Hình 2.15 Các ứng dụng AFLogical OSE 98 Hình 3.17 Thơng báo hiển thị sau chiết xuất hoàn tất 98 Hình 3.18 – Thơng tin trích xuất dạng csv 98 Hình 3.19 – Thiết lập The JTAG 100 Hình 3.20 – Kỹ thuật Chip-off 101 Hình 3.21 -Các tùy chọn hình ảnh đĩa WinHex 103 Hình 3.22 – Phát phục hồi thiết bị Android 104 Hình 3.23 – Danh sách thiết bị lưu trữ có sẵn 105 Hình 3.24 – Danh sách file phục hồi 105 Hình 3.25– Ứng dụng siêu lưu 106 Hình 3.26 – Xem liệu bị xoá phần mềm Oxygen 109 Hình 3.27 – Tệp cấu hình scalpel 110 Hình 2.27 -Chạy cơng cụ Scalpel file dd 111 Hình 3.28 – Thư mục đầu sau chạy công cụ Scalpel 111 Hình 3.29 –Dữ liệu khơi phục sau sử dụng Scalpel 112 Hình 3.30 – Danh sách liên lạc Gmail 112 Hình 3.31 – Hộp thoại thơng báo khơi phục danh sách liên lạc 113 Hình 4.1 – Quy trình thu thập chứng vụ án 118 Hình 4.2 – Dữ liệu bên thư mục /data/system 119 Hình – Xác nhận giá trị chứng 120 Hình 4.4 – Xem tin nhắn SMS từ sở liệu 121 viii Hình 4.5 – Chuyển đổi giá trị ngày 122 Hình 4.6 – Dữ liệu chứa ứng dụng whatsapp 122 Hình 4.7 – Các tập tin sở liệu Whatsapp 123 Hình 4.8 – Bảng sở liệu whatsapp 123 Hình 4.9 – Bảng sqlite_sequence 124 Hình 4.10 – Thư mục backup thẻ nhớ ứng dụng whatsapp 124 Hình 4.11 – Giả mã sở liệu Whatsapp 125 Hình 4.12 – Nội dung tin nhắn trích xuất từ whatapps 125 Hình 4.13 – Kết tìm kiếm từ khóa Rookie 126 Hình 4.14 – Vị trí lưu trữ tập tin tải 126 Hình 4.15 – Trích xuất tập tin bị xóa 127 ix Kết bước này:  Nghi phạm sử dụng ứng dụng Whatapps để thực gửi tin nhắn  Các tin nhắn bị xóa điều tra viên khơi phục lại tìm thơng tin địa điểm giao dịch :  Thời gian: 00h ngày 03/06/2015  Địa điểm: Học viện kỹ thuật Mật Mã Bước 3: Kết điều tra  Điều tra viên nhân liệu thẻ nhớ tệp tin SD.img usedata.img để đưa phân tích  Dữ liệu gốc điện thoại không bị ảnh hưởng  Nghi phạm sử dụng ứng dụng Whatapps để thực gửi tin nhắn  Các tin nhắn bị xóa điều tra viên khơi phục lại tìm thơng tin địa điểm giao dịch :  Thời gian: 00h ngày 03/06/2015  Địa điểm: Học viện kỹ thuật Mật Mã 4.2.6 Kiểm tra xác nhận Điều tra viên thực lại tệp tin thu SD.img, usedata.img nhân xác lần Với kết thu thập bước xử lý chứng, bước kiểm tra xác nhận tạm thời coi thông tin thu nhận coi “bằng chứng số” để quan điều tra tiếp tục đến địa điểm giao dịch để bắt tang giao dịch Các vấn đề nghiệp vụ quan điều tra Nếu có xảy giao dịch nghi phạm có phạm tội “bằng chứng số” phần thông tin lưu hồ sơ báo cáo, hồ sơ tội phạm sau 4.3 Đánh giá trình thực quy trình Sau giới thiệu tình cần phải điều tra điện thoại di động sử dụng hệ điều hành Android Học viên áp dụng “Quy trình điều tra số thiết bị Android” mục 2.2 để tiến hành phân tích: 128 Trong trình áp dụng “ Quy trình điều tra số thiết bị Android” mục 2.2 bước nhỏ quy trình bước “ Xử lý chứng “ mục 2.2.5 Học viên áp dụng “ Quy trình thu thập chứng” để thu thập thơng tin hữu ích, áp dụng “Quy trình phân tích chứng” để thực phân tích chứng Quá trình thực nghiệm tìm kết thơng tin hữu ích địa điểm giao dịch nghi phạm Học viên tuân thủ theo quy trình chung mà tổ chức khuyến cáo thực hiện, thực chi tiết bước để đảm bảo yêu cầu cấp giao cho như: “Tìm thơng tin hữu ích điện thoại di động Android thông tin dự kiến địa điểm giao dịch hay thông tin nghi ngờ khác” không làm ảnh hưởng đến liệu gốc điện thoại di động Đảm bảo chứng gốc điện thoại nguyên vẹn đạt yêu cầu để cấp 129 KẾT LUẬN Sau thời gian thực đề tài, học viên thực mục tiêu đề tài đặt nghiên cứu luật pháp quy định điều tra số, kỹ thuật phân tích điều tra số, quy trình thu thập phân tích chứng số, cơng cụ hỗ trợ điều tra số thực nghiệm số trường hợp cụ thể để đánh giá quy trình Đề tài tập trung vào thiết bị điện thoại di động sử dụng hệ điều hành Android Đây đề tài mới, q trình hồn thiện học viên khơng tránh khỏi sai sót, cịn nhược điểm đề tài cần phải hoàn thiện hơn: - Cần hoàn thiện quy trình chi tiết , áp dụng nhiều trường hợp thực nghiệm để hoàn thiện quy trình tốt Hướng phát triển: Quy trình điều tra số, phương pháp kỹ thuật điều tra số áp dụng quan an ninh, quốc phịng Việt Nam Việc hồn thiện quy trình điều tra số tài liệu tham khảo hữu ích cho quan Học viên tìm hiểu thêm nghiệp vụ điều tra Việt Nam để hoàn thiện đề tài Trong tương lại học viên phát triển cơng cụ chuyên dụng để thu thập phân tích thơng tin hữu ích phục vụ cơng tác điều tra số 130 TÀI LIỆU THAM KHẢO [1] Phạm Minh Thuấn, 2013,28-38, Giáo trình phịng chống điều tra tội phạm máy tính- Học viện kỹ thuật Mật Mã [2] EC-Council, Computer Forensics Investigating Data and Images Files [3] Bộ luật hình 2015 – Các quy định điều luật điều tra tội phạm máy tính http://www.toiphammaytinh.com/ [4] Federal Evidence Review, 2015, Federal Rules of Evidence http://www.fbi.gov/ [5] ACPO, 2012, ACPO Good Practice Guide for Digital Evidence [6] Federal Evidence Review, 2015, Federal Rules of Evidence [7] B.Nelson, Cengate, 2010,Guide to Computer Forensics and Investagaion 3rd [8] EC-Council, Computer Forensis Investigating Data and Images Files [9] Computer forensics Evidence Collection & Preservation https://news.asis.io/sites/default/files/Evidence_Collection_Preservation.pdf [10] K Kent, S Chevalier, T Grance and H Dang, “Guide to Integrating Forensics into Incident Response”, Special Publication 800-86, Computer Security Division Information Technology Laboratory, National Institute of Standards and Technology, Gaithersburg, MD, (2006) [11] Det Cynthia A Murphy ,Developing Process for Mobile Device Forensics https://digital-forensics.sans.org/media/mobile-device-forensic-process-v3.pdf [12] E Rick Ayers, Sam Brothers, Wayne Janse, Guidelines on Mobile Device Forensics (Draft), (2013), NIST- National Institute of Standards and Technology [13] Andre Morum de L.Simao, Fabio Cáu Sicoli, Sousa Junior, Acquisition and analysic of digital evidence in Android Smart phones, 2011 [14]Aditya Gupta, Learning pentesting for Android Devices, Paperback – March 26, 2014 [15] Satish Bommisetty, Rohit Tamma, Heather Mahilick, Practical Mobile Forensics 2014 131 PHỤ LỤC I CÁC CÔNG CỤ ĐIỀU TRA SỐ Thiết bị chống ghi phần cứng, phần mềm: STT Tên công cụ Phần cứng/phần mềm Nhà cung cấp WipeMASSter Phần cứng Image MASSter WipePro Phần cứng Image MASSter SafeBlock Phần mềm UltraKit Phần cứng Digital intelligence Forensics DriveDockv4 Phần cứng Wiebetech 132 Mục đích, mơ tả Sản phẩm thiết kế để xóa liệu làm lần ổ đĩa với tốc độ 3gb/phút Nó xóa làm ổ đĩa với kích cỡ khác Công cụ hỗ trợ việc làm đến lần ổ SAS, SATA, IDE eSATA với tốc độ 18 GB/phút Cho phép điều tra viên thay đổi ổ cách nhanh chóng làm giảm thời gian cần thiết để xóa ổ Phần mềm chống ghi ngược giúp việc thu thập liệu nhanh chông an tồn, giúp phân tích ổ đĩa phương tiện lưu trữ Windows Công cụ chứng minh NIST an toàn nhanh so với phần cứng chống ghi ngược Cơng cụ có giá từ 499$-549$ Đây cơng cụ cầm tay giúp chống ghi ngược kết nối chuyển đổi (adapter) để sử dụng việc thu thập liệu kỳ ổ đĩa thiết bị lưu trữ Công cụ giải pháp writeblock ghi truy cập vào ổ cứng ổ SATA IDE Công nghệ write-block cung cấp để dễ dàng truy cập chế độ chỉ đọc từ thiết bị ổ cứng nghi ngờ thông qua FireWire 800/400 STT Tên cơng cụ Mục đích/Mơ tả Encase Encase Forensic tàng mạnh mẽ điều ta viên thu thập liệu số, thực phân tích báo cáo với tòa án để xác nhận $995 ProDiscover Forensics ProDiscover Forensics công cụ giúp điều tra viên tìm liệu ổ đĩa máy tính, bảo vệ chứng tạo báo cáo chất lượng sử dụng trình pháp lý Giá cơng cụ từ 679$-1679$ FTK Imager FTK Imager cho phép điều tra viên thu thập hình ảnh từ thiết bị vật lý hiển thi liệu logic FAT, NTFS, EXT and Data acquisition Toolbox Data Acquisition Toolbox cung cấp chức để kết nối MATLAB đến phần cứng thu thập liệu SafeBack Safe Back cơng cụ pháp y máy tính sử dụng để tạo chứng ổ đĩa cứng phân vùng Nó sử dụng để tạo hình ảnh theo luồng bit lưu file ổ cứng tạo IlookPI Công cụ cho phép truy cập vào liệu tuyệt vời để điều tra hình ảnh, thiết bị, tạo tập tin ảnh cho máy ảo, phân tích file hệ thống R-Studio R –Studio phần mềm khôi phục lại tập tin định dạng phân vùng FAT, NTFS, HS, Ext2/Ext3/Ext4 Đầu tiên chép toàn ổ đĩa hình ảnh trình tạo hình ảnh file Sau tìm kiếm thành phần bị thay đổi, sửa, xóa F-Response Đây tool giúp điều tra viên tiến hành thu thập liệu sống, khôi phục liệu Công cụ cấp sáng chế phần mềm tiện ích, sử dụng q trình sáng chế cung cấp truy cập chỉ đọc vào ổ đĩa vật lý công với nhớ RAM FLAG( Forensics and Log Analysics GUI) Công cụ điều tra pháp y cho phép phân tích khối lượng lớn file logs điều tra pháp y Cơng cụ phân tích bắt hình ảnh từ mạng định dạng TCPDump Phân tích hình ảnh ổ đĩa cứng ThumbsDisplay Công cụ kiểm tra báo cáo nội dung file thumbs.db sử dụng Windows 10 133 11 X-Way forensics Đây môi trường làm việc tiên tiến cho điều tra viên điều tra pháp y Cơng giúp.Tạo hình ảnh clone ổ đĩa.Khả đọc cấu trúc phân vùng hình ảnh tập tin thơ (.dd), ISO Hỗ trợ tập tin FAT16, FAT32, exFAT, NTFS, Ext2, Ext3, Ext4, Hiển thị chụp lại RAM nhớ ảo chạy tiến trình.Hiển thị tất file bị xóa theo thư mục Công cụ phần cứng công cụ phần cứng khuyên dùng theo giáo trình CHFI v8 Image MASSter: http://ics-iq.com/ Logicube: http://www.logicube.com/ Paraben forensics: https://www.paraben.com/ Digital intelligence Forensics hardware: http://www.digitalintelligence.com Bảng Công cụ phần cứng giúp thu thập, nhân 134 STT Tên công cụ Nhà cung cấp US-LATT Westonetech Đặc điểm US-LATT thu thập giữ liệu sông chọn cung câp cho điều tra viên thu thập chứng trực tiếp RoadMASSter -3 Image MASSter RoadMASSter thiết kế để thực thu thập phân tích liệu Đây công cụ pháp y quan luật pháp cũng công ty an ninh để thu thập phân tích liệu Tableau TD1 Forensics Duplicator Tableau Công cụ cung cấp nhân disk –to –disk disk –to –data theo dạng ( IDE-IDE, IDE-SATA, SATA-SATA, SATA-IDE) Forensics MD5 Logicube - Forensic MD5 thiết kế đặc biệt cho điều tra viên chuyên nghiệp thực thi pháp luật, công ty an ninh, điều tra tội phạm công nghệ cao sử dụng - Công cụ giúp thu thập nhanh liệu từ ổ cứng, xây dựng sử dụng CRC-32 Những hình ảnh MD5 có tốc độ lên đến 3.3gb/phút Portable Forensisc Lab Logicube Forensic Talon Logicube RAID I/O Adapter Logicube - Là công cụ pháp y xách tay, công cụ cung cấp cho điều tra viên nhìn đầu tiên, giảm thời gian cần thiết để thu thập đc liệu quan trọng - Công cụ giúp điều ta viên bắt liệu chứng với tốc độ cao từ nhiều nguồn Forensic Talon công cụ thu thập liệu từ hệ thống, thiết kế đặc biệt cho yêu cầu luật pháp, quan an ninh, quân đội, điều tra viên - Cơng cụ đồng thời chéo xác nhận liệu với tốc độ 4gb/min Nó bắt liệu từ ổ IDE/UDMA/SATA, ổ SCSI thông qua cáp USB Công cụ bắt( capture) cặp ổ RAID nghi ngờ Nó có bắt liệu từ RAID 0, RAID USB Adapter Logicube USB Adapter cho phép cloning quản lý ổ đĩa trực tiếp thông qua usb( 2.0, 3.0) cổng máy tính laptop Tốc độ cloning 750 mb/min Disk Jokey Pro Diskology - Đây công cụ giúp chép nhân liệu - Công cụ đặc tiêu chuẩn DoD( 7-pass) việc ghi đè liệu, sẵn sang copy vùng HPA DCO ổ cứng, sử dụng cổng usb 2.0 để chống ghi ngược 135 10 Forensics Quest-2 Logicube - Đây thiết bị thu thập liệu cầm tay đầy đủ tính thiết kế đặc biết cho đòi hỏi quan thực thi pháp luật, quân sự, phủ tổ chức an ninh - Việc ghi chứng thực hình ảnh tốc độ 6gb/phút.Sử dụng MD5 ShA256 - Đạt tiêu chuản DoD Chat stick thiết bị USB flash giúp tìm kiếm tồn máy tính, scan logs chat từ yahoo, MSN, Skype, Trillian, …và tạo báo cáo Đây thiết bị cầm tay phần mềm phân tích chat nhúng vào ổ usb flash 11 Chat Stick Paraben Forensics 12 Rapid Image 7029 X2 IT Image MASSter Rapit Image 7020 X2 ổ cứng nhỏ gọn giúp nhân bản/cloner/ trùng liệu cung cấp giải pháp cáp miễn phí cho ổ 3.5 SATA/ SAS Nó sap chép, nhân bản, cloner hình ảnh từ ổ đĩa nguồn đến 19 ổ đối tượng với tốc độ 8gb/phút Công cụ đạt tiêu chuẩn DoD 13 UltraBlock SCSI Digital intelligence Công cụ sử dụng thu thập liệu từ ổ đĩa SCSI môi trường bảo vệ hình ảnh chép 14 HardCopy 3P Digital intelligence Đây công nhân liệu dựa công nghệ chứng minh Công pháp y hình ảnh, clone, wipe(DoD 5220-M) liệu với tốc độ 7.5 GB/phút Nó tự động phát chép liệu, bảo vệ liệu chép 15 WipeMASSter Image MASSter Sản phẩm thiết kế để xóa liệu làm lần ổ đĩa với tốc độ 3gb/phút Nó xóa làm ổ đĩa với kích cỡ khác 16 Portale Forensics system and Tower Forensics Air-Lite V MK III http://Forensicscomputer.com Thiết bị với xử lý Inter QUAD, 12MB cach, ổ SATA 500gb, DVD, ổ liệu di động Nó tương thích phần mềm pháp y thu thập phân tích Encase, FTK, ProDiscver 17 Logicube: Cable Logicube Chuẩn sản phẩm cáp cung cấp sử dụng http://www.logicube.com/accessories/ 18 Logicube Adapters Logicube Chuẩn sản phẩm adapter cung cấp sử dụng http://www.logicube.com/accessories/ 136 19 Logicube GPStamp Logicube Đây thiết bị sản xuất xác minh vị trí, thời gian, ngày liệu bắt Điều tra viên tăng cương uy tín họ cách xác định nơi bắt liệu thực 20 MoniPort Logicube Thiết bị USB cho phép nhân liệu Công cụ phân tích mã nguồn mở STT Tên cơng cụ Digital Forensics FrameWork Mô tả Đây tảng phổ biến dành cho điều tra pháp y Công cụ mã nguồn mở sử dụng chuyên gia  Có thể sử dụng để ghi lịch trình, truy cập từ thiết bị từ xa local, phục hồ tập tin bị xóa, liệt kê tiến trình chạy,… SANS Investigative Đây mơi trường tuyệt vời, tạo chuyên gia forensics Forensics Toolkit hàng đầu giới, tập trung việc việc chọn cơng cụ sử dụng điều tra Forensics tích hợp sẵn hệ thống, chứng minh điều tra chuyên sâu ứng phó với xâm nhập thực việc sử dụng công cụ mã nguồn mở cập nhật thường xuyên công cụ DFF, Thesleuth Kit, DFF, Wireshark, Foremost, Volatility Volatility Volatility tảng với nhiều plugin dùng để phân tích tiềm kiếm thơng tin chứng Đây công cụ giúp điều tra nhớ Được dùng để phân tích phần mềm độc hại Với cơng cụ ta trích xuất thơng tin từ tiến trình chạy, kết nối mạng, file Dll…  137 PHỤ LỤC II SỬ DỤNG CÔNG CỤ AUTOSPY TheSleuth Kit & Autospy Đây công cụ tiếng phân tích điều tra tội phạm máy tính Đây cơng cụ mã nguồn mở hỗ trợ nhiều hệ điều hành windows, linux, OSX cũng họ Unix khác, công cụ thường sử dụng để thực việc phân tích chuyên sâu hệ thống tập tin NTFS, FAT, HFS+, Ext3 UFS nhiều loại ổ đĩa khác hệ thống 1.1 Cài đặt - Ta tải công cụ trang chủ http://www.sleuthkit.org/autospy/ - Sau tải về, bước cài đặt tương tự phần mềm windows 1.2 Sử dụng - Khi bật phần mềm, ta thấy bảng thông báo có lựa chọn, tạo case điều tra mới, Mở case gần nhất, mở case điều tra tạo trước hình sau: Hình 32 – Tạo case điều tra - Giả sử ta tạo case điều tra mới, chọn vào Create New Case lúc lên giao diện để nhập thông tin chi tiết case điều tra 138 Hình 33 – Thơng tin chi tiết case điều tra Ở hình ta tạo case điều tra với tên doantotnghiep liệu lưu trữ thư mục evidence C: \evidence\ - Tiếp theo ta cần điền số hiệu điều tra tên người điều tra Hình 34 Thơng tin case điều tra 139 - Bước tiếp theo, ta cần phải thêm vào nguồn chứng cứ, phân vùng liệu Sau bấm next để kết thúc trình thêm nguồn chứng Hình 35 Thêm nguồn chứng điều tra - Sau hồn tất q trình tạo case điều tra giao diện ứng dụng sau: 140 Hình 36 Cấu trúc phân vùng liệu usrdata 141 PHỤ LỤC III GIẢI MÃ TẬP TIN CƠ SỞ DỮ LIỆU ỨNG DỤNG WHATSAPP Các bước thực giải mã tập tin sở liệu ứng dụng Whatsapp sau: - Bước 1: Chọn vào Upload Your Crypt Key File Bước 2: Chọn vào nút duyệt để thực hiển tải tập tin key lên hệ thống Bước 3: Chọn vào nút Upload để hồn tất q trình tải khóa lên - Bước 4: Để giải mã tập tin sở liệu bị mã hóa, chọn chức Decrypt WhatsApp Database Bước 5: Chọn đường dẫn tới tập tin sở liệu bị mã hóa Bước 6: Chọn vào nút Process/ Download Zip để hồn tất q trình tải tập tin mã hóa - lên yêu cầu tải tập tin giải mã với định dạng zip Bước 7: Lưu trữ tập tin sở liệu giải mã 142 ... học điều tra số, đặc điểm điều tra số, vấn đề pháp lý liên quan chứng số, việc thừa nhận chứng số, xác nhận tính hợp lệ cơng cụ điều tra số CHƯƠNG QUY TRÌNH ĐIỀU TRA SỐ Chương trình bày quy trình. .. loại điều tra máy tính, điều tra mạng điều tra thiết bị di động 1.1.3.1 Điều tra máy tính Điều tra máy tính nhánh khoa học điều tra số liên quan đến việc phân tích chứng pháp lý tìm thấy máy tính. .. pháp điều tra cố ISO/IEC 27042 –Phân tích giải thích chứng số ISO/IEC 27043 –Nguyên tắc quy trình điều tra chứng số 1.3 Quy định chứng số Mỹ Bằng chứng trình bày tịa phải tn thủ quy tắc chứng
- Xem thêm -

Xem thêm: Quy trình điều tra số, bằng chứng số, ứng dụng trong điều tra tội phạm máy tính ,