CÔNG TRÌNH ĐƯỢC HOÀN THÀNH TẠIĐẠI HỌC KỸ THUẬT HẬU CẦN CAND KHOA CÔNG NGHỆ THÔNG TIN CÔNG NGHỆ XỬ LÝ DỮ LIỆU Chuyên đề TÌM HIỂU CÁC CÔNG NGHỆ XỬ LÝ DỮ LIỆU ỨNG DỤNG TRONG ĐIỀU TRA SỐ Giáo viên hướng d.
CƠNG TRÌNH ĐƯỢC HỒN THÀNH TẠI ĐẠI HỌC KỸ THUẬT- HẬU CẦN CAND TRƯỜNG ĐẠI HỌC KỸ THUẬT – HẬU CẦN CAND KHOA CÔNG NGHỆ THÔNG TIN Chủ nhiệm: Nguyễn Văn Phú Thành viên: Nguyễn Tuấn Anh Lớp: B2-D1 Ngành học: Công nghệ thông tin Cán hướng dẫn: Thượng úy Nghiêm Văn Hưng Tên cơng trình: TÌM HIỂU CÁC CÔNG NGHỆ XỬ LÝ DỮ LIỆU ỨNG DỤNG TRONG ĐIỀU TRA SỐ Tóm tắt: Tìm hiểu, trình bày kiến thức điều tra số Nghiên cứu quy trình điều tra số bước để thu thập phục hồi liệu điện tử Nghiên cứu công cụ minh họa trình điều tra số nhằm phục vụ cho trình học tập, nghiên cứu cung cấp kỹ thực hành sau tốt nghiệp trường CƠNG NGHỆ XỬ LÝ DỮ LIỆU Chun đề: TÌM HIỂU CÁC CÔNG NGHỆ XỬ LÝ DỮ LIỆU ỨNG DỤNG TRONG ĐIỀU TRA SỐ Giáo viên hướng dẫn : THẠC SĨ NGHIÊM VĂN HƯNG Sinh viên thực : NGUYỄN VĂN PHÚ NGUYỄN TUẤN ANH Lớp : B2 Khóa : D1 Hệ : ĐẠI HỌC CHÍNH QUY Bắc Ninh, tháng năm 2016 LỜI MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ ĐIỀU TRA SỐ 1.1 Điều tra số 1.1.1 Điều tra số ? .3 1.1.2 Lịch sử điều tra số 1.1.3 Mục đích điều tra số 1.2 Một số khái niệm .5 1.2.1 Dữ liệu điện tử 1.2.2 Chứng 1.2.3 Chứng điện tử .5 1.3 Các loại hình điều tra số 1.4 Quy trình điều tra số 1.4.1 Khi cần thiết phải mở điều tra số 1.4.2 Các bước thực điều tra số 1.5 Các bước thu giữ máy tính độc lập có lưu trữ chứng điện tử 10 CHƯƠNG THU THẬP, XỬ LÝ, PHỤC HỒI DỮ LIỆU ĐIỆN TỬ TRONG ĐIỀU TRA MÁY TÍNH 11 2.1 Các định dạng lưu trữ chứng điện tử 11 2.1.1 Định dạng thô (RAW Format) 11 2.1.2 Định dạng độc quyền 11 2.1.3 Định dạng nâng cao 12 2.2 Một số công cụ thu thập, xử lý liệu điện tử điều tra máy tính Computer Forensic 12 2.2.1 Phục hồi liệu ổ cứng máy tính .12 2.2.2 Một số công cụ sử dụng để đọc liệu ổ cứng vật lý 13 2.2.3 Phục hồi ổ cứng hỏng vật lý .13 2.3 Thu thập liệu nhớ RAM 14 2.3.1 Tại phải thu thập liệu nhớ RAM .14 2.3.2 Các thơng tin thu nhớ RAM .14 2.3.3 Phương pháp thu lại nhớ RAM 16 CHƯƠNG MINH HỌA CHƯƠNG TRÌNH 17 3.1 Tạo Ảnh Đĩa Với AccessData FTK Imager 17 3.2 Sử dụng FTK tool tìm kiếm khơi phục liệu ổ đĩa cứng 20 KẾT LUẬN 26 TÀI LIỆU THAM KHẢO 27 DANH MỤC HÌNH ẢNH Hình Các bước thực việc điều tra số Hình 2:Thiết bị PC-3000 13 Hình 3: Cơng cụ DumpIt để ghi lại nhớ RAM môi trường Windows .16 Hình 4: Giao diện FTK Image 17 Hình 5: Hồn tất lưu tập tin .19 Hình 6: Giao diện cơng cụ FTK 20 LỜI MỞ ĐẦU Tính cấp thiết chuyên đề Trong thời đại bùng nổ Công nghệ thông tin, ứng dụng công nghệ cao ngày sử dụng rộng rãi xã hội Cùng với phát triển việc đời tội phạm sử dụng công nghệ cao Tội phạm sử dụng công nghệ cao xuất ngày phức tạp với nhiều thủ đoạn tinh vi, xâm phạm đến lĩnh vực an ninh quốc gia, hình sự, kinh tế, ma túy, truyền bá văn hóa phẩm đồi trụy Đáng ý chuyển hướng sang hoạt động phạm tội sử dụng công nghệ cao tội phạm truyền thống Có lẽ chưa tội phạm sử dụng mạng Internet để thực hành vi phạm tội lại nhiều Cùng với phát triển vượt bậc khoa học - cơng nghệ, thủ đoạn tội phạm lại đa dạng tinh vi hơn; thâm nhập vào đời sống dân sinh để lừa đảo hình thức - chiêu trị mánh khóe tất bình diện Thời gian gần đây, tìm kiếm chứng số điều tra tội phạm công nghệ cao ngày nhận nhiều quan tâm, ý đông đảo người Các điều tra viên hệ thống mạng thường sử dụng công nghệ giúp thu thập liệu khôi phục liệu để phục vụ q trình điều tra chứng cứ, gọi điều tra số Lý chọn chuyên đề Do lý nêu trên, việc lựa chọn chun đề “Tìm hiểu cơng nghệ xử lý liệu ứng dụng điều tra số” cần thiết phù hợp Bên cạnh kết tốn có tính ứng dụng thực tiễn cao công tác Công an, đồng thời làm tư liệu tham khảo cơng tác giảng dạy công nghệ thông tin phạm vi trường T36 Dưới hướng dẫn giúp đỡ, bảo tận tình thầy giáo Nghiêm Văn Hưng - khoa Công nghệ thông tin trường Đại học Kỹ thu ật - H ậu c ần CAND, chúng em định thực Chun đề " Tìm hiểu cơng nghệ xử lý liệu ứng dụng điều tra số " Mục tiêu chuyên đề Chuyên đề xây dựng với mục đích tìm hiểu điều tra số, công nghệ thu thập, khôi phục liệu sử dụng công tác điều tra số Đồng thời tìm hiểu minh họa số phần mềm nghiệp vụ đơn vị nghiệp vụ sử dụng công tác điều tra số Nội dung Chuyên đề gồm phần: Phần Mở đầu: Giới thiệu chuyên đề, lý chọn chuyên đề, tính cấp thiết chuyên đề nghiên cứu Phần Nội dung chính, chia thành chương: - Chương 1: Tổng quan điều tra số, điều tra máy tính nh ững nguyên tắc điều tra máy tính - Chương 2: Thu thập, xử lý liệu điện tử điều tra máy tinhs - Chương 3: Minh họa chương trình Phần Kết luận: đưa số đánh giá tổng quan kết nghiên cứu, xác định hướng phát triển chuyên đề CHƯƠNG TỔNG QUAN VỀ ĐIỀU TRA SỐ Thời gian gần đây, tìm kiếm chứng số điều tra tội phạm công nghệ cao ngày nhận nhiều quan tâm, ý đông đ ảo ng ười dùng Một ví dụ điển hình tập đoàn lượng Enron s ập đ ổ vào tháng 12 năm 2001 khiến cho hàng trăm nhân viên b ị m ất vi ệc m ột số quan chức dường hưởng lợi từ việc phá s ản công ty Qu ốc h ội Mỹ định điều tra có nhiều tin đồn v ề làm ăn gian l ận c Enron Và hầu hết công việc điều tra lực lượng đơng đảo chun gia tìm kiếm chứng công nghệ cao tiến hành dựa kỹ thuật Computer Forensic & Investigation hay Nghiệp Vụ Điều Tra Máy Tính Và Truy Tìm Chứng Cứ Số, tập trung vào tập tin liệu máy tính hàng trăm nhân viên Enron để tìm kiếm chứng phạm tội 1.1 Điều tra số 1.1.1 Điều tra số ? Điều tra số trình thu thập phân tích thơng tin máy tính sử dụng chứng phục vụ cho việc điều tra tội phạm hay dùng công tác quản trị hệ thống thông tin Theo công ty hoạt động chuyên biệt lĩnh vực truy tìm b ằng chứng phạm tội cơng nghệ cao computer forensic có nghĩa khoa h ọc v ề nghiên cứu phân tích liệu từ thiết bị lưu trữ máy tính s dụng chứng trước tịa Như có th ể xem computer forensic trình điều tra pháp lý máy tính hay g ọi t ều tra máy tính Theo “An tồn thơng tin cơng tác phịng chống tội ph ạm s dụng công nghệ cao” Đại tá, PSG Trần Văn Hịa “Computer Forensic q trình sủ dụng thiết bị phần mềm chuyên dùng để phục hồi, tìm kiếm, lưu trữ, phân tích xác lập chứng máy tính đối tượng theo quy định pháp luật” Nói cách tổng quát q trình điều tra máy tính bao g ồm vi ệc thu thập liệu máy tính lưu giữ chúng cách an toàn, ti ến hành phân tích liệu khả nghi nhằm xác định thông tin g ốc n ội dung chúng, sau trình bày thơng tin trước tịa áp dụng ều lu ật đ ối v ới hành vi liên quan Điều tra số thường hay liên quan đến tội phạm máy tính Cũng điều tra hình sự, trước thực điều tra số, cần có s pháp lý để phân định rõ quyền hạn, trách nhiệm quan điều tra 1.1.2 Lịch sử điều tra số Tội phạm máy tính xuất từ năm 1960 lịch sử gắn liền với lịch sử điều tra số Năm 1978, tội phạm máy tính lần đề cập Luật T ội phạm máy tính Floria, với quy định việc chống sửa đổi trái phép hay xóa liệu hệ thống máy tính Giai đoạn năm 1980 đến 1990: Trước gia tăng tội phạm máy tính năm này, quan thực thi pháp luật ti ến hành thành l ập nhóm chuyên ngành cấp quốc gia để xử lý khía cạnh kỹ thu ật vi ệc điều tra Các kỹ thuật điều tra số phát tri ển thuật ngữ “Computer Forensics” xuất sử dụng tài liệu học thuật Năm 1983, Canada quốc gia thực thi luật tội ph ạm máy tính Năm 1986, Tổ chức chống Gian lận Lạm dụng máy tính Mỹ đời Năm 1989, Úc sửa đổi luật tội phạm máy tính Đạo luật Anh xu ất năm 1990 quy định hành vi lạm dụng máy tính Từ năm 2000, tiêu chuẩn phát tri ển để đáp ứng yêu cầu tiêu chuẩn hóa; quan hội đồng khác công b ố tài li ệu hướng dẫn kỹ thuật điều tra số Năm 2002, nhóm cơng tác khoa học chứng số xuất báo với tiêu đề “Các bước thực thi điều tra tội ph ạm máy tính” (Best practices for Computer Forensics) Năm 2004, Hiệp định tội phạm máy tính ký kết 43 qu ốc gia có hiệu lực, quốc gia thỏa thuận liên kết với vi ệc ều tra tội phạm liên quan đến công nghệ cao Từ năm 2005, nhiều tiêu chuẩn ISO đề cập đến yêu cầu thẩm quyền giám định, kiểm chuẩn công bố Tại Việt Nam, kể từ kết nối với mạng Internet tồn c ầu (1997) kèm theo hành vi gian lận, phá ho ại m ạng di ễn ngày phức tạp Trước thực tế đó, khoa học điều tra số phải phát triển theo, nhà nước ta nói chung cơng an nói riêng có quan tâm cần thiết đầu tư cho khoa học điều tra s ố ban hành Luật Công nghệ thông tin (2006), Luật Hình sửa đổi bổ sung năm 2009, bước đầu tư đào tạo nhân lực an ninh an tồn thơng tin ều tra số 1.1.3 Mục đích điều tra số Mục đích quan trọng điều tra số thu thập, phân tích tìm chứng thuyết phục vấn đề cần sáng tỏ Điều tra s ố có ứng dụng quan trọng khoa học điều tra cụ thể Về mặt kỹ thuật điều tra số giúp xác định x ảy làm ảnh hưởng tới hệ thống đồng thời qua phát nguyên nhân hệ th ống bị xâm nhập, hành vi, nguồn gốc vi phạm xảy hệ th ống Về mặt pháp lý điều tra số giúp cho quan ều tra t ố giác t ội phạm cơng nghệ cao có chứng số thuyết phục để áp d ụng chế tài xử phạt với hành vi phạm pháp 1.2 Một số khái niệm 1.2.1 Dữ liệu điện tử Dữ liệu điện tử thông tin chứa phương tiện điện tử như: Ổ cứng máy tính, nhớ điện thoại di động, máy ảnh, máy ghi hình, máy fax, máy ghi âm, máy đọc thẻ, thẻ từ, thẻ chíp, thẻ nhớ, USB, đĩa CD, đĩa VCD, đĩa DVD loại phương tiện điện tử khác 1.2.2 Chứng Chứng có thật, thu thập theo trình tự, thủ tục Bộ luật quy định mà CQ điều tra, Viện kiểm sát Toà án dùng làm c ứ đ ể xác định có hay khơng có hành vi phạm tội, người th ực hi ện hành vi ph ạm t ội tình tiết khác cần thiết cho việc giải đắn vụ án Chứng xác định bằng: vật chứng; lời khai người làm chứng, người bị hại, nguyên đơn dân sự, bị đơn dân sự, người có quyền l ợi, nghĩa vụ liên quan đến vụ án, người bị bắt, người bị tạm giữ, bị can, bị cáo; k ết luận giám định; biên hoạt động điều tra, xét xử tài liệu, đồ v ật khác Chứng có đặc điểm: Tính khách quan: Là có thật phản ánh trung th ực nh ững tình tiết vụ án hình xảy Tính liên quan: Có mối quan hệ trực tiếp gián ti ếp v ới vụ án Nhưng cho dù trực tiếp hay gián tiếp phải m ối quan h ệ nội tại, có tính nhân quả, tức chứng phải kết lo ại hành vi hành động quan hệ định, ngược lại, hành vi, hành động quan hệ nguyên nhân dẫn đến việc hình thành chứng Tính hợp pháp: Tất có thật phải cung cấp, thu th ập, nghiên cứu, bảo quản theo trình tự luật định Đây trình tự nhằm bảo đảm giá trị chứng minh chứng Trong thực tế, tính hợp pháp chứng xác định thơng qua hoạt động chứng minh tồ án tất người tham gia tố tụng thực tuân thủ 1.2.3 Chứng điện tử Theo tổ chức Cảnh sát hình Quốc tế (Interpol), ch ứng c ứ ện t thông tin liệu có giá trị điều tra lưu tr ữ truy ền b ởi m ột máy tính, mạng máy tính thiết bị điện tử kỹ thuật số khác Nguyên văn sau: “Digital evidence is defined as information and data of value to an investigation that is stored on, received or transmitted by an electronic device This evidence can be acquired when electronic devices are seized and secured for examination (chứng điện tử định nghĩa thông tin liệu có giá trị cho điều tra lưu giữ, nhận truyền thiết bị điện tử Bằng chứng thu thiết bị điện tử bị thu giữ đảm bảo an toàn cho việc điều tra).” Theo TTLT 10/2012/TTLT ngày 10/9/2012: Chứng điện tử li ệu điện tử lưu giữ vật chứng có khả lưu li ệu điện tử (nh ổ c ứng máy tính, nhớ điện thoại di động, máy ảnh, máy ghi hình, máy fax, máy ghi âm, máy đọc thẻ, thẻ từ, thẻ chíp, thẻ nhớ, USB, đĩa CD, đĩa VCD, đĩa DVD loại phương tiện điện tử khác) khám xét, thu gi ữ, tạm giữ bảo quản theo trình tự, thủ tục tố tụng hình sự; phải chuy ển sang dạng đọc được, nhìn được, nghe được; phải lập biên nội dung liệu điện tử phục hồi, phân tích; kèm theo l ời khai, xác nh ận c người phạm tội, người làm chứng thơng tin 1.3 Các loại hình điều tra số Với nhiều loại hình điều tra số như: điều tra Internet, ều tra ện t ử, điều tra mạng, điều tra ứng dụng có cách phân chia khác nhau, nh ưng v ề điều tra số chia thành loại hình ều tra máy tính, ều tra mạng điều tra thiết bị di động Điều tra máy tính (Computer Forensics) nhánh khoa học điều tra số liên quan đến việc phân tích chứng pháp lý đ ược tìm th máy tính phương tiện lưu trữ kỹ thuật số như: - Điều tra ghi (Registry Forensics) việc trích xuất thơng tin ngữ cảnh từ nguồn liệu chưa khai thác qua bi ết nh ững thay đổi (chỉnh sửa, thêm bớt…) liệu ghi (Register) 2.3 Thu thập liệu nhớ RAM 2.3.1 Tại phải thu thập liệu nhớ RAM Khoa học điều tra số chứng minh vai trò quan tr ọng Memory Forensics, việc điều tra nhớ RAM nơi mà liệu sẵn sàng đ ể ghi l ại phân tích, cung cấp chững có giá trị, vượt qua m ột s ố h ạn ch ế phương pháp điều tra truyền thống (phân tích đĩa vật lý), gi ải quy ết vấn đề mà công nghệ mã hóa có th ể gây khó khăn q trình điều tra Những phương pháp phân tích truyền thống bị giới hạn số chỗ, ví dụ tiến hành phân tích thường gặp khó khăn khơng truy cập liệu mã hóa trừ có th ể b ẻ khóa mật người dùng Mà biết khóa mật lưu trữ đĩa Tuy nhiên thiết nạp vào lưu trữ nhớ RAM, tiến hành phân tích nhớ cho phép sử dụng kỹ thuật công cụ đ ể khôi phục mật kh ẩu khóa mật mã cách dễ dàng Một hạn chế khác phương pháp ều tra truyền thống người phân tích không đủ khả việc khám phá thơng tin tiến trình chạy b ộ nh ớ, d ễ b ỏ qua việc điều tra ứng dụng, hệ th ống sử dụng th ời ểm công diễn ra, liệu che giấu nhớ Nhưng Memory Forensics, việc dễ dàng Chính việc phân tích điều tra nhớ RAM cho nhìn sâu s ắc nh ất, xác diễn hệ th ống th ời ểm h ệ th ống bị cơng 2.3.2 Các thơng tin thu nhớ RAM Các tiến trình chạy hệ thống: Tất tiến trình chạy lưu trữ nhớ lấy việc sử dụng công cụ dựa vào cấu trúc hệ thống điều tra Từ đưa vào hệ thống kết thúc tiến trình tồn trạng thái khác Các tập tin mở Registry Handles: Các tập tin mở xử lý registry (registry handles) truy xuất tiến trình lưu trữ nhớ Thông tin tập tin m hay xử lý liên quan đến Registry có giá trị việc ều tra Các kết nối mạng có hệ thống: Thơng tin kết nối mạng bao gồm cổng lắng nghe h ệ th ống, k ết n ối đ ược thiết lập thông tin liên kết hệ th ống với k ết n ối từ xa, nh ững thơng tin lấy từ nhớ Các thông tin kết n ối 15 mạng cho ta biết Backdoor kết n ối h ệ th ống, máy chủ điều khiển botnet… dựa vào kết nối Mật khóa mật mã: Một lợi quan trọng phân tích điều tra nhớ việc phục hồi lại mật người dùng khóa mật mã dùng để giải mã tập tin, ch ương trình mà người dùng sử dụng, truy cập (firefox,yahoo…) Mật khóa mật mã có quy luật chung không lưu đĩa cứng mà khơng có b ất kỳ s ự bảo vệ sử dụng chúng Tuy nhiên chúng l ại lưu tr ữ b ộ nh RAM điều xảy việc điều tra việc ghi lại b ộ nhớ RAM giúp phục hồi liệu, khơi phục mật có th ể truy c ập vào tài khoản trực tuyến thuộc sở hữu kẻ bị ều tra email liệu lưu trữ Các tập tin bị xóa: Dữ liệu ẩn thơng thường hay nghĩ đến thực thể độc hại hệ thống, hay liệu mà chủ hệ thống muốn bảo vệ để lưu trữ liệu nhớ RAM thay đĩa cứng Ngồi vi ệc tập tin ẩn nhớ, kẻ cơng chạy mã đ ộc h ại từ b ộ nhớ thay lưu trữ mã độc hại đĩa cứng Việc gây khó khăn cho vi ệc dịch ngược mã, khó khăn thực việc lấy mẫu c ch ương trình độc hại tìm cách thức làm việc nào, đ ể gi ảm thi ểu mối đe dọa chúng gây ra, việc ki ểm tra tập tin ẩn ch ứa nhớ RAM đưa phát hay thông tin quan trọng cho q trình điều tra Dữ liệu ẩn thơng thường hay nghĩ đến thực thể độc hại hệ thống, hay li ệu mà ch ủ h ệ th ống muốn bảo vệ để lưu trữ liệu nhớ RAM thay đĩa cứng Mã độc hại tập tin bị lây nhiễm: Trong năm gần việc công sử dụng mã độc ngày phổ bi ến gia tăng, k ẻ t ấn cơng chạy mã khai thác từ nhớ thay mã độc th ực hi ện vi ệc l ưu tr ữ ổ đĩa Điều mục đích đ ể tránh s ự phát hi ện, qua mặt chương trình diệt virus Việc kẻ công thực vi ệc lưu tr ữ mã độc nhớ làm cho người trực ti ếp phân tích g ặp khó khăn việc phục hồi dịch ngược mã chúng 2.3.3 Phương pháp thu lại nhớ RAM Thu lại nhớ RAM dựa phần cứng: liên quan đến việc tạm ngưng q trình xử lý máy tính thực hi ện truy c ập b ộ nh tr ực ti ếp đ ể có nhớ, phương pháp coi tin c ậy h ơn hệ điều hành phần mềm hệ thống bị xâm nhập b ị làm sai kẻ công, có th ể nhận m ột hình ảnh xác nhớ, khơng phụ thuộc vào thành phần h ệ th ống 16 Nhưng nhược điểm phương pháp chi phí đắt đỏ Một phần cứng chuyên dụng thiết kế cho việc Tribble Card, mạch PCI cài đặt sẵn hệ thống trước thỏa hiệp di ễn ra, cho phép nhà điều tra ghi lại b ộ nh m ột cách xác đáng tin cậy nhất, hẳn so với phương pháp thu hồi dựa phần mềm Thu lại nhớ RAM dựa phần mềm : kỹ thuật thường sử dụng phổ biến việc sử dụng công cụ đáng tin cậy phát triển cung cấp chuyên gia điều tra s ố hàng đ ầu th ế giới Memoryze, dumpit, win32dd, Mandiant Redline,… Hoặc sử dụng cơng cụ tích hợp sẵn hệ thống để tiến hành thu lại nhớ RAM dd, memdump linux Dumpit: Là công cụ giúp lưu lại trạng thái liệu RAM thành m ột raw Từ ta sử dụng raw để phân tích Hình 3: Cơng cụ DumpIt để ghi lại nhớ RAM môi trường Windows Volatility: Là công cụ mạnh, chủ yếu dùng để đọc, phân tích liệu RAM từ raw thu Công cụ vi ết ngơn ng ữl lập trình Python nên muốn chạy mơi trường Windows phải có trình biên dịch Python, ngồi cơng cụ tích hợp sẵn Kali, m ột hệ điều hành mã nguồn mở nhiều nhà an ninh an toàn thông tin tin dùng 17 CHƯƠNG MINH HỌA CHƯƠNG TRÌNH 3.1 Tạo Ảnh Đĩa Với AccessData FTK Imager FTK Imager chương trình thu thập liệu chạy Windows có cơng cụ AccessData Forensic Toolkit Khi sử dụng FTK Imager c ần có thiết bị USB kèm để lưu trữ li ệu, ứng dụng có th ể dùng đ ể đọc chứng tạo ảnh disk-to-image theo định dạng độc quy ền đ ịnh dạng độc quyền khác FTK Imager đọc tập tin ảnh tạp AccessData AD1, Expert Witness (EnCase), hay SMART S01,và tập tin định dạng thơ Ngồi FTK Imager cịn đọc liệu đĩa CD hay DVD Hình 4: Giao diện FTK Image FTK Imager cho phép chia nhỏ tập tin ảnh để lưu trữ thi ết b ị có dung lượng thấp, tạo hình ảnh theo chế disk-to-image Sau bước tạo tập tin ảnh với FTK Imager ổ đĩa USB (do công cụ chạy hệ điều hành Windows nên bạn cần đặt ch ế đ ộ chống ghi đè để bảo vệ liệu gốc) 1.Khởi động máy trạm điều tra chứng dùng hệ điều hành Windows Gắn ổ đĩa chứng vào máy Kết nối ổ đĩa mục tiêu vào máy Lưu ý, bạn sử dụng thi ết bị lưu trữ chứng gốc USB có chế độ chống ghi ta gắn ổ mục 18 tiêu qua kết nối USB cổng khác Còn n ếu s d ụng ch ế đ ộ ch ống ghi b ằng Registry phải gắn ổ đĩa mục tiêu qua cáp IDA SATA Để khởi động FTK Imager, nhấn Start, ch ọn All Programs, tr ỏ chuột đến AccessData, sau chọn FTK Imager , ti ếp theo nh ấn chu ột ph ải vào FTK Imager nhấp vào Run as administrator Trên cửa sổ FTK Imager, nhấp vào File, Create Disk Image từ menu Trong hộp thoại Select Source, bấm vào nút tùy chọn Physical Drive sau kích Next Trong hộp thoại Select Drive, bấm vào mũi tên l ựa chọn Drive Selection xác định ổ đĩa khả nghi (là ổ đĩa chứa chứng cứ) sau nh ấn Finish Trong hộp thoại Create Image, nhấn chọn Verify image sau chúng tạo sau nhấn Add Trong hộp thoại Select Image Type nhấn vào nút Raw (dd) sau kích Next 19 Trong hộp thoại Select Image Destination, nhấn Browse, tìm đến vị trí tập tin hình ảnh (thư mục làm việc bạn), sau nhấp OK 10 Trong ô Image filename (excluding extension) nh ập vào InChp04ftk, sau nhấn Finish 11 Tiếp theo, hộp thoại Create Image, nhấn Start đ ể b đ ầu thu thập liệu 12 Khi FTK Imager kết thúc công việc nhấn Close h ộp tho ại Drive/Image Verify Results sau nhấn Close thêm lần h ộp tho ại Create Image 20 Hình 5: Hồn tất lưu tập tin 3.2 Sử dụng FTK tool tìm kiếm khơi phục liệu ổ đĩa cứng Ví dụ: Khi thực điều tra máy tính tội phạm phát ổ cứng máy tính kẻ tình nghi trống trơn Vấn đề đặt xác đ ịnh d ữ li ệu b ị gì? Và phục hồi lại liệu bị (Q trình ều tra th ực hi ện ổ cứng lưu bit-to-bit với ổ cứng gốc) Để thực yêu cầu nhóm chúng em sử dụng cơng cụ FTK Imager Máy ảo VMWare XP có ổ đĩa E thực xóa liệu Ta tiến hành chạy tool FTK máy ảo XP Hình 6: Giao diện công cụ FTK File Add Evidence Item… 21 Giao diện để chọn loại ổ đĩa cần điều tra: chọn Physical Drive ( ổ đĩa vật lý) Next Chọn ổ đĩa cứng cần kiểm tra Finish Ta điều tra ln ổ đĩa cứng sau: 22 Tuy nhiên để đảm bảo yêu cầu pháp lý trình ều tra: cần tạo ảnh ổ đĩa cứng tiến hành điều tra sau: File Verify để nhận mã xác thực hash cho ổ đĩa thơng tin tình tr ạng ổ đĩa Ở cơng cụ FTK sử dụng hai mã check MD5 SHA1 File Export Disk Image để tạo ảnh ổ đĩa cứng 23 Add chọn Raw (chế độ copy trực tiếp Bit ổ đĩa cứng) Các tùy chọn giao diện bao gồm: Image Destination Folder: Nơi lưu trữ file ảnh hoàn thành Image Filename: Tên file ảnh Image Fragment Size: với ổ đĩa có dung lượng lớn, phải ti ến hành băm liệu thành file ảnh nhỏ Giá trị bi ểu di ễn kích thước tối đa file băm Nếu giá trị tức không tiên hành băm Use AD Encryption: tiến hành xác thực tìm hi ểu file ảnh; có cách đặt mật mã hóa file ảnh 24 Giao diện đặt mật mã cho file ảnh Ok Finish \ Khi trình kết thúc ta nhận giao di ện ch ứng minh file ảnh ổ đĩa gốc hoàn toàn giống hai mã MD5 SHA1 hoàn toàn trùng kh ớp 25 Kết trình file: File ảnh ổ đĩa file note pad lưu lại thông tin ổ đĩa cứng, mã checksum nh th ời gian th ực hi ện lưu… Thực việc copy file ảnh sang máy thật Windows ta có th ể kiểm tra file ảnh phục hồi lại liệu bị File Add Evidence Item chọn Image File (ảnh ổ đĩa vật lý) Next Đánh mã xác thực muốn xử lý thông tin ổ đĩa 26 Ổ đĩa cần điều tra có cấu trúc Trong File có dấu X file bị xóa Ngồi tra cịn có File hệ thống thông tin ổ đĩa c ứng Để tiến hành khôi phục file bị xóa click chuột phải vào file chọn Export File… Chọn nơi lưu file 27 KẾT LUẬN Kết đạt Tìm hiểu điều tra số, đặc biệt điề tra máy tính Quy trình điều tra thu thập liệu, chứng điện tử Tìm hiểu số cơng nghệ xử lý liệu điều tra số Tìm hiểu minh họa số công cụ để thu thập lữu trữ phục hồi liệu điện tử Hạn chế Do thời gian tiến hành nghiên cứu hạn hẹp, nên chưa tiến hành tìm hiểu sâu vào cơng nghệ xử lý liệu Hướng phát triển tương lai Tiếp tục nghiên cứu tìm hiểu lĩnh vực điều tra số (Computer Forensic) để nâng cao khả hiểu biết Từ nâng cấp bổ sung thêm cho chuyên đề, đồng thời nghiên cứu ứng dụng chương trình xử lý liệu thực tế phục vụ cho công tác chuyên môn tương lai 28 TÀI LIỆU THAM KHẢO [1] Đại tá, tiến sĩ Trần Văn Hịa (2011), “An tồn thơng tin cơng tác phịng chống tội phạm sử dụng cơng nghệ cao”, Nhà xuất Công an nhân dân [2] SECURITY365 / Computer Forensic – CHFI [3] http://www.antoanthongtin.edu.vn [4] http://www.cehvietnam.com [5] http://www.security365.vn 29 ... " Tìm hiểu cơng nghệ xử lý liệu ứng dụng điều tra số " Mục tiêu chuyên đề Chuyên đề xây dựng với mục đích tìm hiểu điều tra số, cơng nghệ thu thập, khôi phục liệu sử dụng công tác điều tra số. .. đặc biệt điề tra máy tính Quy trình điều tra thu thập liệu, chứng điện tử Tìm hiểu số công nghệ xử lý liệu điều tra số Tìm hiểu minh họa số cơng cụ để thu thập lữu trữ phục hồi liệu điện tử Hạn... Internet, ều tra ện t ử, điều tra mạng, điều tra ứng dụng có cách phân chia khác nhau, nh ưng v ề điều tra số chia thành loại hình ều tra máy tính, ều tra mạng điều tra thiết bị di động Điều tra máy