DIGITAL FORENSICS Các bước thực hiện Điều tra số03 Khái niệm, mục tiêu, nhiệm vụ của Digital Forensics01 Đặc tính và truy tìm Bằng chứng số02 Các loại hình Điều tra số và một số ví dụ04 NỘI DUNG CHÍNH.
DIGITAL FORENSICS NỘI DUNG CHÍNH 01 02 03 04 Khái niệm, mục tiêu, nhiệm vụ Digital Forensics Đặc tính truy tìm Bằng chứng số Các bước thực Điều tra số Các loại hình Điều tra số số ví dụ CÁC KHÁI NIỆM TRONG DIGITAL FORENSICS Digital Forensics nhánh khoa học điều tra, với mục đích truy tìm phân tích tài liệu chứa thiết bị số, thường gọi “tài liệu số”, để tìm chứng số (Digital Evidence) CÁC KHÁI NIỆM TRONG DIGITAL FORENSICS Digital Evidence • Digital Evidence (Bằng chứng số) hay cịn gọi Electronic Evidence (Bằng chứng điện tử), thông tin có giá trị pháp lý lưu trữ, truyền dẫn dạng thức số có giá trị pháp lý trước tịa • Bằng chứng số chứng dạng thức số, khơi phục, hay tìm thấy, thiết bị số – thường thiết bị liên quan với máy tính, điện thoại, IoT… MỤC TIÊU CỦA DIGITAL FORENSICS Phát hiện, bảo quản, khai thác liệu thu thập Mục tiêu cốt lõi Digital Forensics Tài liệu hóa đưa kết luận liệu thu thập Cần lưu ý liệu phải đảm bảo tính xác thực, lấy mà không bị hư hại, khơng liệu khơng cịn ý nghĩa Nguyên tắc: Khi bạn làm việc với máy tính hay hệ thống thông tin, tất hành động bạn bị ghi vết lại hay từ chuyên môn gọi Log NHIỆM VỤ CỦA DIGITAL FORENSICS • Nhiệm vụ điều tra số áp dụng hiểu biết khoa học cơng nghệ để truy tìm, khơi phục, khảo sát phân tích chứng có nguồn gốc số • Bằng chứng tìm phải có giá trị pháp lý trước tịa ĐẶC TÍNH CỦA BẰNG CHỨNG SỐ Admissible (tính thừa nhận) Authentic (tính xác thực) Reliable (tính tin cậy) Believable (tính đáng tin) TRUY TÌM BẰNG CHỨNG SỐ Để có chứng số, nhân viên điều tra phải: 1 Thực trình khảo sát Phân tích liệu ban đầu Nếu tìm liệu, họ phải xâu chuỗi chúng lại với để đưa chứng Chú ý: Dữ liệu số thu từ ổ đĩa máy tính từ thiết bị lưu trữ khác chưa thể chứng số TRUY TÌM BẰNG CHỨNG SỐ Ví trí tìm thấy chứng số Trong tập tin lịch sử truy cập Internet Trong tập tin tạm sinh từ truy cập Internet Tại không gian đĩa chưa cấp phát Nơi lưu trữ thiết lập tập tin, cấu trúc thư mục, tên tập tin Giá trị thời gian tập tin Ẩn/nhúng phần mềm/phần cứng bổ sung Trong tập tin chia sẻ Ẩn e-mail … CÁC BƯỚC THỰC HIỆN ĐIỀU TRA SỐ Theo SANS (SysAdmin, Audit, Networking, and Security) - công ty chun đào tạo an tồn thơng tin an ninh mạng, điều tra số thường bao gồm gian đoạn: Chuẩn bị (Preparation), tiếp nhận liệu hay cịn gọi ảnh hóa tang vật (Acquisition), phân tích (analysis) lập báo cáo (Reporting) Chuẩn bị Tiếp nhận liệu Phân tích Lập báo cáo WINDOW LOG Cấu trúc file log • Event Log Windows lưu trữ thư mục mặc định đường dẫn %systemRoot%\System32\winevt\logs, truy cập vào để mở file log mở Event viewer để xem • Vào Run → eventvwr WINDOW LOG Ví dụ: Event log xóa file # Diễn giải Tên Tên log mà kiến lưu trữ, ví dụ liên quan đến Security Security, Application Application Là hệ thống/ứng dụng sinh log, ví dụ sinh McAfee McAfee Là mã gán cho loại kiện (lưu ý trường để tra cứu) Log Name Source Event ID Level Mức độ kiện, mức độ Informantion, Error, Warning… User Là user thực thi liên quan đến kiện ghi nhận Logged Thời gian kiện sinh Task Category Là loại danh mục gán log sinh ra, ví dụ: Logon, Audit Policy Change Keywords Được gán nguồn kiện, ví dụ Classic, Audit Success… Computer Tên máy tính 10 Description Mơ tả chi tiết WINDOW LOG • Kích thước tối đa file log 20MB • Khi file log giới hạn ghi cũ bị xóa bỏ Tùy thuộc vào mục đích cấu hình tăng kích thước lên WINDOW LOG Cách tra cứu window log • Sử dụng công cụ filter log để lọc event nghi ngờ liên quan đến việc cơng • Vào event log → Filter Current Log… nhập thơng tin cần tra cứu WINDOW LOG Cấu hình thời gian lưu trữ log: • Phần log cần cấu hình đủ lâu để thơng tin lưu trữ đầy đủ Chuột phải vào phần Security log → Properties ✓ Log path: Chuyển sang ổ lưu trữ khác ổ E, ổ D Không lưu ổ C ✓ Maximum log size (KB): Dung lượng file log tối đa 20MB 20248KB ✓ Archive the log when full, not overwrite events: Khơng xóa log mà tách log thành file khơng xóa file WINDOW LOG Một số loại log cần phải tra cứu Lịch sử Remote Desktop (Event ID = 1149) Lịch sử đăng nhập, đăng xuất (EventID = 4624, 4634, 4676) Lịch sử cài đặt service (Event ID = 7045) WINDOW LOG Lịch sử Remote Desktop (Event ID = 1149) • Tìm event mã 1149 để xem lịch sử remote desktop, từ thấy nhiều thơng tin hưu ích như: Địa IP, User, Domain, thời điểm remote vào server • Ví dụ sau thấy được: Máy tính bị remote thơng qua Administrator máy có tên Gaara-PC, IP 30.x.x.174 vào lúc 10:08:14 PM ngày 11/01/2020 WINDOW LOG Lịch sử Remote Desktop (EventID = 4624, 4634, 4676) • Tìm mã 4024 (logon), 4034 (logoff), 4676 (xác thực) để xem lịch sử đăng nhập, đăng xuất • Ví dụ sau thấy được: Thời điểm đăng nhập, đăng xuất, thành công hay thất bại, IP… WINDOW LOG Lịch sử cài đặt service (Event ID = 7045) • Tìm mã 4024 (logon), 4034 (logoff), 4676 (xác thực) để xem lịch sử đăng nhập, đăng xuất • Ví dụ sau thấy được: Thời điểm đăng nhập, đăng xuất, thành công hay thất bại, IP… HARD DRIVE DATA RECOVERY Trong trình điều tra chứng số, số trường hợp phải thực khôi phục lại liệu thiết bị lưu trữ, HDD, SSD, USB HARD DRIVE DATA RECOVERY Khi xác định cần lấy liệu ổ cứng, cần thực ngay: • Dừng hành động copy, restart thao tác máy có ổ cần lấy liêu • Shutdown máy tính sử dụng ổ cứng cần lấy liệu • Tháo ổ cứng cần lấy liệu lắp sang máy tính khác cài phần mềm recover ổ cứng máy tính HARD DRIVE DATA RECOVERY • Các phần mềm khơi phục liệu (mất phí) ✓ EaseUS Data Recovery Wizard https://www.easeus.com/datarecoverywizardpro/?x- clickref=1011lhuPH7dG ✓ OnTrack EasyRecovery https://www.ontrack.com/en-us/data- recovery/software ✓ Active@Undelete http://www.active-undelete.com/lite.htm • Phần mềm khôi phục liệu chuyên dụng ✓ PC300 phần mềm hàng đầu nhiều quan an ninh giới sử dụng: PC-3000 Portable III Systems || Professional Hardware-Software Solutions for Data Recovery & Digital Forensics ACE Lab, the Czech Republic (acelaboratory.com) HARD DRIVE DATA RECOVERY • Khi sử dụng phần mềm có chế độ: Logical Scan (Volume) Hardisk scan (Advanced scan) • Logical Scan (Volume): Scan file, thư mục bị xóa mà chưa bị ghi đè, MFT ✓ Ưu điểm: Scan nhanh, view cấu trúc file, thư mục, tỉ lệ file bị lỗi thấp ✓ Nhược điểm: Không lấy file bị MFT HARD DRIVE DATA RECOVERY • Hardisk scan (Advanced scan) ▪ Ưu điểm: Scan mức block nên tìm file bị xóa MFT phần file bị ghi đè ▪ Nhược điểm: Scan lâu, không hệ thống lại thành thư mục nên kết trả khó để tìm kiếm hoăc phân loại, liệu khơi phục khơng tồn vẹn ... 04 Khái niệm, mục tiêu, nhiệm vụ Digital Forensics Đặc tính truy tìm Bằng chứng số Các bước thực Điều tra số Các loại hình Điều tra số số ví dụ CÁC KHÁI NIỆM TRONG DIGITAL FORENSICS Digital Forensics. .. DEVICE FORENSICS NỘI DUNG CHÍNH Khái niệm, mục đích Mobile Device Forensics Trích xuất liệu KHÁI NIỆM MOBILE DEVICE FORENSICS Mobile Forensics gì? Điều tra thiết bị di động (Mobile device Forensics) :... bị liên quan với máy tính, điện thoại, IoT… MỤC TIÊU CỦA DIGITAL FORENSICS Phát hiện, bảo quản, khai thác liệu thu thập Mục tiêu cốt lõi Digital Forensics Tài liệu hóa đưa kết luận liệu thu