Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 22 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
22
Dung lượng
2,07 MB
Nội dung
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO MƠN HỌC THU THẬP VÀ PHÂN TÍCH THÔNG TIN AN NINH MẠNG ĐỀ TÀI: NGHIÊN CỨU KỸ THUẬT THU THẬP VÀ PHÂN TÍCH DỮ LIỆU TỪ Ổ CỨNG Sinh viên thực hiện: TRỊNH THỊ DUNG AT150209 NGUYỄN THÙY DƯƠNG AT150211 NGUYỄN MINH HẰNG AT150216 ĐỖ DUY HƯNG AT150225 Nhóm 02 Giảng viên hướng dẫn: GV LÊ HẢI VIỆT Hà Nội, 05-2022 LỜI MỞ ĐẦU Ngày nay, thời đại số, tầm quan trọng an tồn thơng tin ngày lớn Hầu hết nước, tổ chức đề quy định, pháp luật để bảo vệ bảo vệ liệu an tồn thơng tin Với gia tăng đáng kể tội phạm mạng vai trị điều tra số ngày lớn Điều tra thông tin số, điều tra an ninh mạng hay điều tra số trình xác định thu thập chứng số từ mơi trường nào, đồng thời bảo vệ tính tồn vẹn chứng phục vụ trình kiểm tra báo cáo Bằng chứng số định nghĩa kết hợp yếu tố pháp luật khoa học máy tính để thu thập phân tích liệu từ hệ thống máy tính, mạng, truyền thông không dây thiết bị lưu trữ… Để điều tra, thu thập phục hồi liệu kỹ thuật khó, địi hỏi điều tra viên phải có kiến thức sâu rộng tập tin hệ thống, hoạt động ổ đĩa cứng , thu thập phân tích điều tra số Nhận thấy vấn đề cấp thiết quan trọng nên nhóm em chọn đề tài nghiên cứu module: “Thu thập phân tích chứng từ ổ cứng” SINH VIÊN THỰC HIỆN Hoàng Văn Thuyết Ngơ Quốc Hưng Vũ Đình Tùng Nguyễn Hồng Quân Hoàng Quang Vinh MỤC LỤC CHƯƠNG I TỔNG QUAN VỀ Ổ ĐĨA CỨNG I.1 Khái niệm Đĩa cứng hay gọi ổ đĩa cứng (tiếng Anh: Hard Disk Drive, viết tắt HDD) thiết bị dùng để lưu trữ liệu bề mặt đĩa hình trịn phủ vật liệu từ tính Ổ đĩa cứng (hay ổ cứng) thường biết đến phận quan trọng máy tính với việc lưu trữ liệu suốt trình sử dụng người dùng: Các thao tác từ việc truy xuất đọc tài liệu office, tải file, thiết kế hình ảnh, vẽ, biên tập video, cài đặt phần mềm, game… thao tác đọc/ghi ổ đĩa cứng liệu lưu Đĩa cứng loại nhớ “khơng thay đổi”, có nghĩa chúng khơng bị liệu ngừng cung cấp nguồn điện cho chúng Đĩa cứng nguồn thông tin quan trọng cho người điều tra Do đó, nhà điều tra nên biết cấu trúc hoạt động đĩa cứng Điều tra viên nên xác định vị trí bảo vệ liệu thu thập từ đĩa cứng làm chứng Do đó, người điều tra cần biết tất thông tin cần thiết nguyên lý hoạt động đĩa cứng Hệ thống tập tin quan trọng việc lưu trữ phân phối liệu đĩa cứng phụ thuộc vào hệ thống tập tin sử dụng I.2 Phân loại ổ đĩa Ổ đĩa cứng thiết bị lưu trữ liệu kỹ thuật số sử dụng chế lưu trữ khác học, điện tử, từ tính quang học để lưu trữ liệu Nó định địa ghi lại để hỗ trợ thay đổi sửa đổi liệu Tùy thuộc vào loại phương tiện chế đọc ghi liệu, loại ổ đĩa khác phân loại sau: – Thiết bị lưu trữ từ tính (Magnetic Storage Devices): Thiết bị lưu trữ từ tính lưu trữ liệu cách sử dụng nam châm để đọc ghi liệu cách điều khiển từ trường phương tiện lưu trữ Đây thiết bị học với thành phần di chuyển để lưu trữ đọc liệu Ví dụ: đĩa mềm, băng từ, … Trong loại đĩa cứng này, đĩa bên vật liệu quay với tốc độ cao hướng vào ổ đĩa đọc ghi liệu – Thiết bị lưu trữ quang học (Optical Storage Devices): Thiết bị lưu trữ quang học phương tiện lưu trữ điện tử, lưu trữ đọc liệu dạng giá trị nhị phân cách sử dụng chùm tia laze Các thiết bị sử dụng đèn có mật độ khác để lưu trữ đọc liệu Ví dụ thiết bị lưu trữ quang bao gồm đĩa BlueRay, CD DVD – Thiết bị nhớ flash (Flash Memory Devices): Bộ nhớ flash có khả lưu giữ liệu khơng có điện Nó loại nhớ đọc lập trình xóa điện tử (Electronocally erasable programmable read only memory -EEPROM) Các thiết bị rẻ hiệu so với thiết bị lưu trữ khác Các thiết bị sử dụng nhớ flash để lưu trữ liệu ổ đĩa flash USB, máy nghe nhạc MP3, máy ảnh kỹ thuật số, SSD, Một số ví dụ nhớ flash là: • Chip BIOS máy tính • Compact Flash (thường thấy máy ảnh kỹ thuật số) • Smart Media (thường thấy máy ảnh kỹ thuật số) • Thẻ nhớ (thường thấy máy ảnh kỹ thuật số) • Thẻ nhớ PCMCIA Loại I Loại II tìm thấy máy tính xách tay • Thẻ nhớ cho console trị chơi điện tử I.2.1 Hard Disk Driver (HDD) Ổ đĩa cứng thiết bị lưu trữ liệu kỹ thuật số truy cập ngẫu nhiên, giữ liệu kể khơng có điện sử dụng hệ thống máy tính Đĩa cứng lưu trữ liệu theo phương thức tương tự phương thức tủ tập tin Người dùng cần truy cập liệu chương trình Khi máy tính cần chương trình liệu lưu trữ, hệ thống đưa đến vị trí tạm thời từ vị trí cố định Khi người dùng hệ thống thực thay đổi tập tin, máy tính lưu tập tin cách thay tập tin cũ tập tin HDD ghi liệu từ tính lên đĩa cứng Các đĩa cứng khác từ phép đo khác như: – Dung lượng đĩa cứng – Giao diện sử dụng – Tốc độ quay phút – Tìm kiếm thời gian – Thời gian truy cập – Thời gian chuyển I.2.2 Solid State Driver (SSD) Ổ cứng thể rắn (SSD) thiết bị lưu trữ liệu điện tử sử dụng công nghệ nhớ thể rắn để lưu trữ liệu tương tự ổ đĩa cứng Trạng thái rắn thuật ngữ điện dùng để mạch điện tử chế tạo hoàn tồn chất bán dẫn Nó sử dụng loại chip nhớ: NAND-based SSDs: Những SSD sử dụng vi mạch NAND nhớ trạng thái rắn để lưu trữ liệu Dữ liệu vi mạch trạng thái khơng bay có nghĩa lưu trữ liệu kể khơng có điện không cần phận chuyển động Bộ nhớ NAND có chất khơng thay đổi giữ nhớ khơng có điện Volatile RAM-based SSDs: SSD dựa RAM dễ bay DRAM, sử dụng ứng dụng yêu cầu truy cập liệu nhanh Những SSD bao gồm pin sạc bên chuyển đổi AC/DC bên lưu trữ dự phịng Dữ liệu nằm DRAM q trình truy cập liệu lưu trữ lưu trữ dự phòng trường hợp điện I.3 Cấu trúc vật lý logic ổ đĩa cứng Hình Các thành phần ổ đĩa cứng là: Platters: Đây cấu trúc giống đĩa có đĩa cứng, xếp chồng lên lưu trữ liệu Head: Là thiết bị nằm tay ổ cứng để đọc ghi liệu đĩa từ, gắn bề mặt ổ đĩa Spindle: Là trục quay, giữ đĩa vị trí cố định cho tay đọc/ghi lấy liệu đĩa Actuator: Nó thiết bị, bao gồm đầu đọc-ghi di chuyển ổ đĩa cứng để lưu truy xuất thông tin Cylinder: Đây track tròn diện platter ổ đĩa khoảng cách tính từ tâm I.3.1 Cấu trúc vật lý ổ cứng Hình Đĩa cứng chứa chồng đĩa (platter), đĩa kim loại hình trịn gắn bên ổ đĩa cứng phủ vật liệu từ tính, niêm phong hộp phận kim loại Cố định vị trí ngang dọc, đĩa cứng có đầu đọc ghi điện từ phía bên đĩa cứng Bề mặt đĩa bao gồm số vòng đồng tâm gọi tracks; track có phân vùng nhỏ gọi disk blocks Kích thước disk block 512 bytes (0,5 KB) Đánh số track bắt đầu Khi đĩa quay, đầu ghi liệu theo tracks Một đĩa cứng 3,5 inches chứa khoảng hàng nghìn tracks Trục giữ đĩa (The spindle holds the platters) vị trí cố định cho nhánh đọc/ghi để lấy liệu đĩa Các đĩa quay với tốc độ không đổi đầu ổ đĩa, đặt gần tâm đĩa, đọc liệu chậm từ bề mặt đĩa so với cạnh bên ngồi đĩa Để trì tính toàn vẹn liệu, phần đầu đọc khoảng thời gian cụ thể từ vị trí đầu ổ đĩa Các track rìa ngồi đĩa có sector dân cư so với track gần tâm đĩa Đĩa lấp đầy không gian dựa kế hoạch tiêu chuẩn Một mặt đĩa chứa không gian, dành riêng cho thơng tin track-positioning phần cứng khơng có sẵn cho hệ điều hành Bộ điều khiển đĩa sử dụng thông tin track-positioning để đặt đầu ổ đĩa vào vị trí sector Đĩa cứng ghi liệu kỹ thuật ghi bit khoanh vùng, gọi ghi nhiều vùng Phương pháp kết hợp vùng đĩa cứng với thành vùng, tùy thuộc vào khoảng cách từ tâm đĩa Một vùng chứa số sector định track Tính tốn mật độ liệu ổ đĩa thực theo điều kiện sau: Track density: Đề cập đến số lượng track đĩa cứng Area density: Mật độ vùng dung lượng lưu trữ đĩa cứng tính bit/inch2 Bit density: Là số bit đơn vị độ dài tracks I.3.2 Cấu trúc logic đĩa cứng Cấu trúc logic đĩa cứng chủ yếu phụ thuộc vào hệ thống tập tin sử dụng phần mềm xác định trình truy cập liệu từ đĩa Hệ điều hành sử dụng loại hệ thống tập tin khác hệ thống tập tin sử dụng nhiều loại chế kiểm soát truy cập khác liệu đĩa cứng Hệ điều hành tổ chức đĩa cứng theo nhiều cách khác Cấu trúc logic đĩa cứng ảnh hưởng trực tiếp đến tính quán, hiệu suất, khả tương thích khả mở rộng hệ thống lưu trữ đĩa cứng Cấu trúc logic phụ thuộc vào loại hệ điều hành hệ thống tập tin sử dụng, yếu tố tổ chức kiểm soát việc truy cập liệu đĩa cứng Các hệ thống tập tin máy tính phổ biến là: - FAT FAT32 NTFS EXT EXT2 EFS I.4 Giao diện kết nối Hình I.4.1 ATA/PATA (IDE/EIDE) IDE (Integrated Drive Eectronics) giao diện điện tử tiêu chuẩn sử dụng đường dẫn liệu bus bo mạch chủ máy tính thiết bị lưu trữ đĩa máy tính, chẳng hạn ổ cứng ổ CD-ROM/DVD Chuẩn bus 16-bit IBM PC Industry Standard Architecture (ISA) sở cho giao diện IDE, giao diện cung cấp kết nối máy tính sử dụng chuẩn bus khác ATA (Advanced Technology Attachment) tên thức Viện Tiêu chuẩn Quốc gia Hoa Kỳ (American National Standards Institute’s ANSI) Điện tử Truyền động Tích hợp (Integrated Drive Electronics IDE) Parallel ATA PATA dựa cơng nghệ truyền tín hiệu song song, cung cấp điều khiển ổ đĩa loại bỏ cần thiết thẻ điều hợp riêng Tiêu chuẩn Parallel ATA cho phép chiều dài cáp lên đến 46 cm (18 inch) Các tính PATA: Tương đối rẻ Dễ dàng cấu hình Cho phép look-ahead caching Enhanced Integrated Drive Electronics (EIDE) Hầu hết máy tính bán ngày sử dụng phiên nâng cao IDE gọi Điện tử ổ đĩa tích hợp nâng cao (Enhanced Integrated Drive Electronics EIDE) Ổ IDE kết nối với PC, sử dụng thẻ điều hợp máy chủ IDE Bộ điều khiển IDE máy tính đại tính tích hợp sẵn bo mạch chủ IDE nâng cao phần mở rộng cho giao diện IDE hỗ trợ tiêu chuẩn ATA-2 ATARI Hai loại ổ cắm IDE nâng cao có bo mạch chủ Một ổ cắm kết nối hai ổ đĩa, cụ thể cáp 80 dây cho ổ cứng nhanh cáp ribbon 40-pin cho CD-ROM/DVDROM IDE nâng cao mở rộng giao diện điện tử tiêu chuẩn, kết nối bo mạch chủ máy tính với ổ lưu trữ EIDE xử lý ổ cứng lớn 528 Mbyte cho phép truy cập nhanh vào ổ cứng cung cấp hỗ trợ Truy cập Bộ nhớ Trực tiếp (Direct Memory Access DMA) ổ đĩa bổ sung thiết bị băng, CD-ROM, Trong cập nhật hệ thống máy tính với ổ cứng lớn hơn, lắp điều khiển EIDE vào khe cắm hệ thống EIDE truy cập ổ đĩa lớn 528 Mbyte cách sử dụng Địa khối logic 28-bit (Logical Block Address LBA) để vị trí actual head, sector cylinder liệu đĩa Địa khối logic 28-bit cung cấp thông tin, đủ để biểu thị sector cho thiết bị 8,4 GB I.4.2 Serial ATA Serial ATA (SATA) cung cấp kênh điểm-điểm bo mạch chủ ổ đĩa Các cáp SATA có chiều dài ngắn so với PATA Nó sử dụng cáp bảo vệ bốn dây dài tối đa mét Cáp SATA linh hoạt hơn, mỏng khối lượng so với cáp ribbon, yêu cầu cho ổ cứng PATA thơng thường - Các tính SATA: Hoạt động với tốc độ tuyệt vời Dễ dàng kết nối với thiết bị lưu trữ Dễ dàng cấu hình Truyền liệu với tốc độ 1,5 Gbps (SATA 1.0) Gbps (SATA 3) Kết nối ổ đĩa bo mạch chủ thông qua kênh điểm-điểm SATA dựa cơng nghệ truyền tín hiệu nối tiếp Cơng nghệ cho phép truyền liệu khoảng 1,5 Gbps chế độ kênh bán song công I.4.3 SCSI SCSI tập hợp giao diện điện tử tiêu chuẩn ANSI cho phép máy tính cá nhân giao tiếp với phần cứng ngoại vi ổ đĩa cứng, ổ đĩa băng, ổ CD-ROM, máy in máy scan Được phát triển Apple Computer sử dụng Macintosh, SCSI giao diện song song Cổng SCSI tiếp tục trở thành tính tích hợp máy tính cá nhân khác ngày thu thập hỗ trợ từ tất hệ điều hành Ngồi tốc độ liệu nhanh hơn, SCSI linh hoạt giao diện truyền 10 liệu song song trước SCSI cho phép tối đa 15 thiết bị (tùy thuộc vào băng thông bus) kết nối với cổng SCSI theo kiểu daisy-chain Điều cho phép bảng mạch thẻ chứa tất thiết bị ngoại vi, thay có thẻ riêng cho thiết bị, làm cho trở thành giao diện lý tưởng để sử dụng với máy tính xách tay, notebook Một điều hợp máy chủ nhất, dạng thẻ PC, đóng vai trị giao diện SCSI cho máy tính xách tay, giải phóng cổng song song nối tiếp để sử dụng với modem máy in bên đồng thời cho phép sử dụng thiết bị khác I.4.4 Serial Attached SCSI (SAS) Serial Attached SCSI (SAS) giao thức nối tiếp điểm-điểm để xử lý luồng liệu thiết bị lưu trữ máy tính ổ cứng ổ băng Nó kế thừa Parallel SCSI sử dụng lệnh SCSI tiêu chuẩn SAS chọn thay SCSI tính linh hoạt tính có lợi khác đưa đây: – Mặc dù tiêu chuẩn SCSI song song hỗ trợ tối đa 16 thiết bị, SAS sử dụng hỗ trợ lên đến 65.535 thiết bị – SAS khơng có vấn đề kết thúc lệch đồng hồ – SAS cơng nghệ điểm-điểm, có nghĩa vấn đề tranh chấp tài nguyên, vốn phổ biến SCSI song song, không ảnh hưởng đến – Ổ đĩa SAS cung cấp hiệu suất, khả mở rộng độ tin cậy tốt ứng dụng lưu trữ hoạt động môi trường mà SCSI I.4.5 USB USB giao diện “plug-and-play” (Viết tắt PnP, có nghĩa cắm chạy, tính thơng minh, giúp máy tính tự động nhận diện thiết bị nạp driver cho bạn sử dụng ngay), cho phép người dùng thêm thiết bị mà không cần thẻ điều hợp khơng cần khởi động lại máy tính Universal Serial Bus (USB), phát triển Intel, phát hành lần vào năm 1995 với tốc độ tối đa hỗ trợ 12 Mbps USB có hỗ trợ tốc độ truyền liệu lên đến Gbps USB cho phép thiết bị ngoại vi bên đĩa, modem, máy in, … kết nối với máy tính Kiến trúc thiết kế USB khơng đối xứng bao gồm máy chủ lưu trữ, nhiều cổng USB nhiều thiết bị ngoại vi Giao tiếp thông qua thiết bị USB chủ yếu thông qua đường ống kênh logic, kết nối điều khiển máy chủ thực thể logic gọi điểm cuối Chiều dài cáp USB từ khoảng feet đến 16 feet Chiều dài tối đa 16 feet inch thiết bị tốc độ cao feet 10 inch thiết bị tốc độ thấp Các tính USB: – – – – Dễ sử dụng Cung cấp khả mở rộng Cung cấp tốc độ cho người dùng cuối Có hiệu suất cao phổ biến 11 – Cho phép kết nối dễ dàng thiết bị ngoại vi bên PC – Hầu hết hệ điều hành tự động cấu hình thiết bị hỗ trợ USB – Hữu ích điện thoại PC hội nghị truyền hình I.5 Mật độ liệu, dung lượng hiệu suất ổ đĩa I.5.1 Mật độ liệu Đĩa cứng lưu trữ liệu phương pháp ghi bit khoanh vùng, gọi ghi nhiều vùng Trong kỹ thuật này, track tạo thành tập hợp vùng tùy thuộc vào khoảng cách chúng từ tâm đĩa track bên ngồi có nhiều sector chúng track bên Điều cho phép ổ đĩa lưu trữ nhiều bit track bên so với vùng giúp đạt tổng dung lượng liệu cao - Mật độ track (Track Density): Nó đề cập đến không gian mà số track cụ thể yêu cầu đĩa Các đĩa có mật độ track lớn lưu trữ nhiều thơng tin mang lại hiệu suất tốt Mật độ Areal (Areal Density): Nó đề cập đến số bit/inch2 đĩa đại diện cho lượng liệu mà đĩa cứng chứa Mật độ bit (Bit Density): Nó số lượng bit mà đơn vị độ dài track chứa I.5.2 Dung lượng hiệu suất ổ đĩa Đĩa cứng hệ thống máy tính điển hình có dung lượng lưu trữ Dữ liệu lưu trữ đĩa cứng dạng tập tin (file) Một tập tin khơng khác tập hợp byte Các byte là: - Mã ASCII Hướng dẫn chương trình phần mềm để hệ thống máy tính thực thi Bản ghi sở liệu Màu pixel cho ảnh GIF Việc đo hiệu suất tốt ổ đĩa cứng bao gồm tính tốn hai đặc điểm thời gian truy cập (access time) tốc độ truyền liệu (data transfer rate) Hình Dữ liệu lưu trữ đĩa cứng dạng tập tin (file) Khi chương trình chạy u cầu tập tin, đĩa cứng khơi phục nội dung byte tập tin gửi chúng đến CPU lần để xử lý thêm Hiệu suất đĩa cứng đo yếu tố sau: 12 - Data rate: Là tỷ lệ số byte giây mà đĩa cứng gửi đến CPU - Seek time: Là khoảng thời gian cần thiết để gửi byte tập tin đến CPU, yêu cầu tập tin 13 CHƯƠNG II PHÂN VÙNG Ổ CỨNG VÀ HỆ THỐNG TẬP TIN I.6 Phân vùng ổ cứng Phân vùng đề cập đến việc tạo ổ đĩa logic để quản lý nhớ hiệu phân vùng ổ đĩa logic để lưu trữ liệu Phân vùng ẩn tạo ổ đĩa ẩn liệu Có loại phân vùng: Phân vùng (Primary partition) Là ổ chứa thơng tin liên quan đến hệ điều hành, vùng hệ thống thông tin khác cần thiết để khởi động Trong MS-DOS phiên trước hệ thống Microsoft Windows, phân vùng (C :) phải “phân vùng chính” Phân vùng mở rộng (Extended partition) Là ổ đĩa logic chứa thông tin liênquan đến liệu tệp lưu trữ đĩa Có nhiều công cụ khác để kiểm tra phân vùng đĩa Một số công cụ chỉnh sửa đĩa Disk Edit, WinHex Hex Workshop Những cơng cụ giúp người dùng xem header file thông tin quan trọng file Cả hai yêu cầu phân tích mã thập lục phân mà hệ điều hành xác định sử dụng để trì hệ thống file Hệ thống tập tin Máy tính khơng tính tốn liệu mà lưu trữ liệu Vấn đề cấu trúc tập tin lưu trữ liệu quan tâm hàng đầu Để giải vấn đề này, nhà sản xuất sử dụng cách lưu trữ tổ chức hiệu liệu máy tính gọi hệ thống tập tin Hệ thống tập tin giúp bạn dễ dàng tìm kiếm truy cập liệu Các thiết bị lưu trữ liệu ổ đĩa cứng CD-ROM sử dụng hệ thống tập tin để lưu trữ liệu Hệ thống tập tin chia tập tin thành phần nhỏ sau lưu trữ chúng vào ổ đĩa cứng nhớ flash theo cluster • Hệ thống tập tin tập hợp kiểu liệu sử dụng cho: • Lưu trữ (Storage) • Phân loại theo thứ bậc (Hierarchical categorization) • Quản lý (Management) • Điều hướng (Navigation) • Truy cập (Access) • Khôi phục liệu (Recovering the data) Các hệ thống tập tin bao gồm FAT, NTFS, HFS, Ext2, Ext3, Người dùng truy cập tập tin giao diện đồ họa dòng lệnh Hệ thống tập tin tổ 14 chức liệu dạng thư mục có cấu trúc hình Đây thường tủ tài liệu thư mục Các thư mục yêu cầu quyền cấp phép để truy cập Sau loại hệ thống tập tin khác nhau: Disk file system: Là kỹ thuật thiết kế để lưu trữ khôi phục tập tin tin thiết bị lưu trữ, thường đĩa cứng, kết nối trực tiếp gián tiếp với máy tính Một vài ví dụ disk file system FAT, NTFS, ext2, ISO 9660, ODS-5 UDF Network file system: Là loại hệ thống tập tin, giúp người dùng truy cập tập tin máy tính khác kết nối qua mạng Hệ thống tập tin minh bạch người dùng Một vài ví dụ network file system NFS, CIFS GFS Database file system: Đây phương pháp để lưu trữ liệu máy tính quản lý hiệu hệ thống tập tin Các hệ thống tập tin trước sử dụng quản lý có cấu trúc phân cấp, hệ thống tập tin sở liệu xác định tập tin theo đặc điểm chúng, chẳng hạn tên tập tin, loại tập tin, chủ đề, tác giả metadata tương tự Do đó, người dùng tìm kiếm tập tin cách lập cơng thức truy vấn SQL giọng nói tự nhiên Ví dụ, người dùng cần tìm tài liệu viết, truy vấn “tài liệu viết ABC” hiển thị kết Flash file systems: Hệ thống lưu trữ tập tin liệu thiết bị nhớ flash Trong giới ngày nay, hệ thống tập tin trở nên phổ biến với số lượng thiết bị di động ngày tăng Với hệ thống tập tin này, chi phí cho kích thước nhớ giảm dung lượng nhớ flash tăng lên I.6.1 Hệ thống tập tin Window (Windows file systems) File Systems đơn vị lưu trữ thiết bị hệ điều hành Windows cung cấp lượng cho hầu hết thiết bị máy tính tồn cầu Do đó, nhà điều tra có trách nhiệm xem xét hệ thống khác chạy Windows điều tra cố bảo mật cần có kiến thức hợp lý cách hệ điều hành lưu trữ tập tin Phần trình bày phương pháp, Hệ điều hành Windows sử dụng, để lưu trữ tập tin nhằm giúp nhà điều tra trích xuất phân tích chúng FAT (File Allocation Table) hệ thống tập tin, thiết kế vào năm 1976, dành cho nhiều hệ điều hành DOS, Windows, OpenDOS, Được thiết kế cho đĩa cứng nhỏ cấu trúc thư mục đơn giản, hệ thống tập tin FAT có tên theo cách tổ chức thư mục bảng cấp phát tập tin tin Bảng cấp phát tập tin tin lưu trữ tất tập tin nằm phần đầu tập Nó tạo hai bảng cấp phát tập tin tin để bảo vệ ổ đĩa khỏi bị hư hỏng.Một số thiết bị triển khai FAT bao gồm nhớ flash, máy ảnh kỹ thuật số thiết bị di động khác Gần hầu hết hệ điều hành cài đặt máy tính cá nhân triển khai hệ thống tập tin FAT 15 FAT32 phiên FAT thay hệ thống tập tin FAT16 có sẵn Windows 95 OSR Windows 98 FAT32 sử dụng cluster nhỏ với nhiều bit địa để hỗ trợ đĩa lớn cung cấp khả lưu trữ tốt Nó ln tạo lưu FAT (file allocation table) thay mặc định Tính FAT32: • Sử dụng khơng gian hiệu hơn, khoảng 10% - 15%, sử dụng cluster nhỏ • Rất mạnh mẽ thay đổi đích thư mục gốc sử dụng lưu bảng cấp phát tập tin • Gồm boot record mở rộng để kết hợp dự phịng cấu trúc thơng tin • Có tỷ lệ lỗi thấp so với ổ FAT16 • Thích nghi • Có sẵn đâu ổ đĩa trình tổ chức gốc ổ đĩa FAT32 chuỗi cluster tiêu chuẩn • Khơng có giới hạn số lượng root folder entry • Cho phép người dùng vơ hiệu hóa việc lặp lại file allocation table I.6.2 Hệ thống tập tin MAC OS X Mac OS X Apple sử dụng cách tiếp cận khác việc lưu trữ liệu, so sánh với Windows Linux Phần giúp người điều tra biết hệ thống tập tin mà phiên hệ điều hành Mac khác sử dụng I.6.3 Hierarchical FileSystem (HFS) Apple thiết kế Hierarchical File System (HFS) vào năm 1985 cho hệ điều hành Mac Nó cho phép người dùng lưu trữ tập tin theo cách phân cấp Nó nhóm tập tin thành thư mục thư mục nhóm với thư mục khác Nó hiển thị ổ đĩa, thư mục tập tin theo nhóm Nó chia khối lượng logic thành khối logic 512 bytes Hệ thống tập tin sau nhóm khối thành khối cấp phát HFS sử dụng giá trị 16 bits để giải khối cấp phát 16 Hình Khối lượng logic khối boot blocks, chứa thông tin khởi động hệ thống Ví dụ: tên hệ thống tập tin shell tải khởi động Khối logic có Master Directory Block (MDB) xác định liệu volume dấu ngày thời gian việc tạo volume, vị trí cấu trúc volume, bitmap volume kích thước cấu trúc logic Alternate Master Directory Block (Alternate MDB) MDB nằm phần cuối đối diện tập khối logic thứ hai đến cuối Các tiện ích đĩa chủ yếu sử dụng alternate Master Directory Block cập nhật tập tin tin tràn phần mở rộng (extents overflow file) tập tin danh mục (catalog file) có kích thước lớn Khối logic khối volume bitmap Nó theo dõi khối cấp phát sử dụng khối free Hierarchical File System cho phép người dùng: Hierarchically organize files (Sắp xếp tập tin theo thứ bậc) Use longer file names that include embedded spaces (Sử dụng tên tập tin dài bao gồm không gian nhúng) Use as many levels of directories and subdirectories as needed (Sử dụng nhiều mức thư mục thư mục cần) Use a CICS transaction to observe and maintain HFS files (Sử dụng giao dịch CICS để quan sát trì tập tin HFS) I.6.4 Hierarchical File System Plus (HFS+) 17 Hình HFS Plus (HFS +) kế thừa HFS hệ thống tập tin Macintosh Nó hỗ trợ tập tin lớn sử dụng Unicode để đặt tên cho mục (tập tin thư mục) Một số tính thêm vào HFS Plus là: HFS Plus sử dụng B-tree để lưu trữ liệu Nó hỗ trợ tập tin có độ dài 64 bits Nó cho phép tên tập tin có độ dài 255 ký tự Nó sử dụng bảng phân bổ 32 bits cho bảng ánh xạ, không giống 16 bits HFS HFS Plus cho phép người dùng: Sử dụng hiệu dung lượng ổ cứng Chỉ sử dụng tên tập tin thân thiện với quốc tế Dễ dàng khởi động hệ điều hành Mac OS Còn gọi Mac OS Extended (HFS Extended), hệ thống tập tin số iPod Apple I.7 Hệ thống lưu trữ RAID 18 I.7.1 Khái niệm Redundant Array of Independent Disks (RAID) công nghệ sử dụng đồng thời nhiều đĩa nhỏ hơn, hoạt động ổ đĩa lớn Nó cung cấp phương pháp cụ thể để truy cập nhiều đĩa cứng riêng biệt, giảm nguy tất liệu đĩa cứng bị lỗi dễ bị hỏng, đồng thời giúp cải thiện thời gian truy cập, gia tăng tốc độ đọc/ghi liệu tăng thêm an toàn liệu chứa hệ thống đĩa kết hợp hai yếu tố Công nghệ RAID giúp người dùng: Duy trì lượng lớn liệu lưu trữ Đạt mức hiệu suất đầu vào/đầu cao Đạt độ tin cậy cao nhờ dự phòng liệu Hệ thống RAID cho phép truy cập đồng thời nhiều tập tin khác đĩa cứng khác nhau, giúp giảm thời gian cần thiết để tìm liệu đĩa cứng Truyền liệu tăng đáng kể hệ thống RAID qua đĩa cứng I.7.2 Phương thức ghi RAID Parity: Phương thức ghi chẵn lẻ sử dụng mã vùng đơn giản q trình phát khơi phục lại liệu lưu trữ, nghĩa tự động chép lại nội dung trước có đĩa hỏng Stripe: Là phương thức chia sẻ liệu ngẫu nhiên sang nhiều đĩa khác nhau, có nghĩa khơng có ổ đĩa chứa đầy đủ liệu Mirroring: Sử dụng cho RAID RAID 10, phương thức ghi liệu chép, nghĩa tất ổ đĩa ghi liệu giống Hot Pare: Là ổ đĩa dùng máy chủ, tự động thay ổ đĩa bị hỏng Nếu có ổ đĩa bị hỏng hệ thống, tự động khởi động tự động rebuild lại liệu Chunks: Là kích thước liệu, tối thiểu 4KB trở lên, cách xác định kích thước chunk tăng hiệu suất I/O I.8 Định dạng số tập tin I.8.1 JPEG File Format JPEG tên viết tắt Joint Photographic Experts Group, ủy ban tạo tiêu chuẩn JPEG JPED thuật ngữ sử dụng để đại diện cho tập tin hình ảnh đồ họa tạo cách sử dụng tiêu chuẩn JPEG Đây phương pháp nén liệu cho hình ảnh kỹ thuật số cho phép người dùng điều chỉnh mức độ nén, có tác động lựa chọn đến kích thước lưu trữ chất lượng hình ảnh Các tập tin JPEG cho phép tỷ lệ nén 90%, phần 19 mười kích thước liệu I.8.2 BMP File Format BMP file format, gọi bitmap image file device independent bitmap (DIB) file format, định dạng tập tin hình đồ họa tiêu chuẩn sử dụng để lưu trữ hình ảnh hệ điều hành Windows Microsoft phát triển định dạng để Windows hiển thị hình ảnh loại hình Hình ảnh bitmap bao gồm hình ảnh động Kích thước màu sắc hình ảnh thay đổi từ 1-bit pixel (đen trắng) đến 24-bit màu (16,7 triệu màu) I.8.3 GIF File Format GIF định dạng tập tin chứa 8-bit pixel hiển thị 256 màu khung hình CompuServe tạo định dạng GIF vào năm 1987 GIF sử dụng kỹ thuật nén liệu không liệu để trì chất lượng hình ảnh I.8.4 PNG File Format PNG, viết tắt Portable Network Graphics, định dạng hình ảnh khơng liệu nhằm thay định dạng GIF TIFF PNG cải thiện định dạng tập tin GIF thay định dạng tập tin hình ảnh Nó quyền giấy phép miễn phí Định dạng tập tin PNG hỗ trợ màu trung thực 24 bit, độ suốt kênh bình thường kênh alpha hình ảnh lập mục/dựa bảng màu màu RGBA 24-bit 32-bit RGBA hình ảnh thang độ xám 20 CHƯƠNG III PHÂN TÍCH HỆ THỐNG TỆP TIN I.9 Tổng quan hệ thống Phần thực điều tra kỹ thuật số hệ thống tệp NTFS để khôi phục cáctệp bị xóa, xác định trích xuất liệu ẩn Như bạn biết bạn xóa liệu miễn bạn cịn giữ chúng RecycleBin khơi phục lại Tuy nhiên, bạn xóa hẳn Shift+Delete bạn khơng thể lấy lại liệu Thế nhưng, có nhiều ứng dụng bên thứ có khả khơi phục lại liệu bạn xóa vĩnh viễn, điều khiến cho bạn suy nghĩrằng liệu liệu bị xóa có thật biến Khi bạn làm trống Recycle Bin không nghĩa liệu mà bạn xóa bị vĩnh viễn Thứ bị xóa vĩnh viễn thật chất bảng phân bố file (Master file table) liệu mà thơi Nếu bạn chưa biết bảng phân bố file file có chức đơn cho hệ thống biết vị trí file nằm đâu Điều có nghĩa chất bạn khơng thực xóa liệu mà bạn xóa “tấm đồ” dẫn đường đến liệu mà thơi Đồng thời, việc “xóa” vĩnh viễn cấp cho hệ thống quyền để ghi đè liệu khác lên vị trí ổ cứng I.10 Mơ hình điều tra - Nhận dạng: Điều nhận biết cố từ thiết bị kỹ thuật số xác định loại Chuẩn bị: Bao gồm việc chuẩn bị công cụ, kỹ thuật ủy quyền giám sát Tiến hàng: Mở Ổ đĩa vật lý với Quyền đọc Collection: Thu thập ghi lại trường nhân chứng số cách tạo disk image Kiểm tra: Tìm mục nhập phân vùng chứa phân vùng NTFS Điều hướng đến phần đầu MFT Tính cấp phát mục Xử lý ghi INDX tìm thấy liệu thuộc tính cấp phát mục cách đệ quy bạn tìm thấy tệp phù hợp với tệp bạn tìm kiếm Trong mục nhập mục , tìm số ghi MFT di chuyển đến vị trí ghi MFT 21 - Ghi lại mục nhập MFT xử lý tiêu đề thuộc tính chuẩn gặp thuộc tính liệu Sử dụng quy trình trích xuất liệu thuộc tính để truy xuất thuộc tính liệu có chứa nội dung tệp truy cập Báo cáo: Sau hoàn thành điều tra, điều tra viên trình bày liệu thơng tin mình, thường dạng báo cáo văn I.11 Mơ hình triển khai - - Mơ hình bao gồm hai giai đoạn: Trích xuất tệp Phân tích tệp hình Trong giai đoạn trích xuất tệp, hình ảnh đĩa tạo nhập trực tiếp từ thiết bị đính kèm Boot sector đọc để xác định vị trí bắt đầu MFT, thư mục gốc thuộc tính sử dụng để khơi phục tệp xóa Phân tích chi tiết thực giai đoạn phân tích tệp Các thuộc tính thu giai đoạn trích xuất tệp sử dụng để khơi phục tệp xóa Có thể xác định MAC time để phân tích Mơ-đun phân tích chứng ẩn có nhiệm vụ tìm chứng từ tệp bị xóa, free spaces (file slack) Và tải vào sở liệu Trong mô-đun Hoạt động điều tra tệp giám sát, lớp FileSystemWatcher giám sát hoạt động điều tra tệp xóa, truy cập, thay đổi tệp Cơ sở liệu lưu trữ liệu liên quan đến tệp tên tệp, loại tệp, thời gian tạo, thời gian sửa đổi thời gian xóa, thời gian truy cập lần cuối Mơ-đun tạo báo cáo, tạo báo cáo cho chứng thu thập từ hệ thống tập tin phân tích hệ thống thiết bị số ảnh đĩa ổ đĩa 22 ... rộng tập tin hệ thống, hoạt động ổ đĩa cứng , thu thập phân tích điều tra số Nhận thấy vấn đề cấp thiết quan trọng nên nhóm em chọn đề tài nghiên cứu module: ? ?Thu thập phân tích chứng từ ổ cứng? ??... biết tất thông tin cần thiết nguyên lý hoạt động đĩa cứng Hệ thống tập tin quan trọng việc lưu trữ phân phối liệu đĩa cứng phụ thu? ??c vào hệ thống tập tin sử dụng I.2 Phân loại ổ đĩa Ổ đĩa cứng thiết... trữ liệu kỹ thu? ??t số sử dụng chế lưu trữ khác học, điện tử, từ tính quang học để lưu trữ liệu Nó định địa ghi lại để hỗ trợ thay đổi sửa đổi liệu Tùy thu? ??c vào loại phương tiện chế đọc ghi liệu,