Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 32 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
32
Dung lượng
5,89 MB
Nội dung
KIẾN THỨC CƠ BẢN VỀ MÁY TÍNH CHO NHÀ ĐIỀU TRA KỸ THUẬT SỐ Mơn: An tồn bảo mật thơng tin GV hướng dẫn: Ths Nguyễn Đức Tồn Nhóm thực hiện: • Vũ Trọng Nhân - 20198252 • Nguyễn Anh Tuấn – 20198268 • Nguyễn Huy Hồng - 20198227 Sơ lược lịch sử máy tính • Vào đầu năm 1800, Jacquard phát triển ý tưởng Falcon Vaucanson (những người bị ảnh hưởng máy dệt Trung Quốc vào kỉ thứ hai ) để tạo máy dệt tự động • Sau vào năm 1800, Augusta Ada đề xuất sử dụng hệ thống hệ nhị phân thay hệ thập phân George Boole phát triển logic Boolean • Từ năm 1940 trở đi, George Stiblitz Phịng thí nghiệm Bell Atlantic phát triển số máy tính bao gồm Model trình diễn máy tính chuyển tiếp • Sau đó, vào năm 1941, kỹ sư người Đức tên Konrad Zuse dường tạo máy tính nhị phân điện tử có tên Z3 sử dụng phim cũ để lưu trữ chương trình liệu • Máy tính cá nhân trở nên khả thi vào năm 1974 công ty nhỏ có tên Intel bắt đầu bán chip máy tính rẻ tiền gọi vi xử lý 8080 Một vi xử lý 8080 chứa tất mạch điện tử cần thiết để tạo máy tính lập trình Các hoạt động máy tính Trung tâm xử lý (CPU) Mỗi lần bật máy tính, máy tính phải tự làm quen với nội ,các thành phần giới ngoại vi Quá trình khởi động gọi boot process Các trình khởi động có ba giai đoạn bản: đặt lại đơn vị xử lý trung tâm (CPU), tự kiểm tra bật nguồn (POST) khởi động đĩa Hệ thống đầu vào đầu BIOS xử lý chuyển động liệu xung quanh máy tính Mọi chương trình chạy máy tính sử dụng BIOS để giao tiếp với CPU Một số chương trình BIOS cho phép cá nhân đặt mật khẩu, mật nhập vào, BIOS không chạy máy tính khơng chạy Cơng cụ cấu hình POST CMOS • BIOS chứa chương trình gọi POST để kiểm tra thành phần máy tính Khi CPU lần kích hoạt BIOS, chương trình POST bắt đầu • Để an tồn, kiểm tra xác minh tính tồn vẹn CPU chương trình POST • Phần lại POST xác minh tất thành phần máy tính hoạt động bình thường, bao gồm ổ đĩa, hình, RAM bàn phím • Máy tính sử dụng chip RAM CMOS để lưu lại ngày, giờ, ổ cứng thông số chi tiết cấu hình khác nguồn máy tính tắt Một nguồn Pin nhỏ cung cấp lượng cho chip CMOS — máy tính cũ khơng khởi động nguồn bật pin CMOS hết, khiến máy tính "qn" cài đặt phần cứng • Sử dụng cơng cụ cấu hình CMOS, xác định hệ thống thời gian, xác định xem trước tiên máy tính cố gắng tìm hệ điều hành ổ cứng hay ổ đĩa khác thay đổi cài đặt máy tính cần thiết Khi thu thập chứng kỹ thuật số từ máy tính, thường cần làm gián đoạn trình khởi động kiểm tra cài đặt CMOS chẳng hạn hệ thống ngày giờ, cấu hình ổ cứng trình tự khởi động Khởi động đĩa • Hệ điều hành mở rộng chức BIOS hoạt động giao diện máy tính giới bên ngồi Nếu khơng có hệ điều hành, khó để tương tác với máy tính — lệnh không khả dụng, liệu không xếp tệp thư mục phần mềm khơng chạy máy • Hầu hết máy tính mong đợi hệ điều hành cung cấp đĩa mềm, đĩa cứng, đĩa nén Máy tính tải hệ điều hành mà tìm thấy Sự thật cho phép thay hệ điều hành máy cách cung cấp hệ điều hành thay đĩa khác Ví dụ, đĩa mềm có chứa hệ điều hành chèn vào vào máy tính dựa Intel để ngăn hệ điều hành đĩa cứng tải lên • Khả ngăn máy tính sử dụng hệ điều hành đĩa cứng quan trọng đĩa chứa chứng Các nhà điều tra kỹ thuật số không nên cố gắng thực hành động máy tính chứa chứng trừ họ quen thuộc với loại hệ thống cụ thể Biểu diễn liệu • Tất liệu kỹ thuật số kết hợp số số không, thường gọi bit Các nhà điều tra kỹ thuật số thường cần xử lý liệu cấp độ bit, đòi hỏi hiểu biết cách hệ thống khác biểu diễn liệu • Cho dù liệu kiểu đầu to hay đầu nhỏ , biểu diễn liệu nhị phân (những số số không) cồng kềnh Thay vào đó, nhà điều tra kỹ thuật số thường xem cách biểu diễn liệu theo hệ thập lục phân Một cách biểu diễn liệu thường sử dụng khác ASCII Tiêu chuẩn ASCII quy định tổ hợp số số không đại diện cho chữ số định • Về mặt khái niệm, chương trình hiển thị byte liệu hệ thập lục phân định dạng ASCII giống kính hiển vi, cho phép nhà điều tra kỹ thuật số xem đặc điểm thường khơng nhìn thấy Biểu diễn liệu Định dạng tệp • Nhiều loại tệp có cấu trúc đặc biệt thiết kế nhà phát triển phần mềm quan tiêu chuẩn hữu ích cho việc phân loại khôi phục đoạn liệu • Ví dụ: định dạng tệp đồ họa JPEG có cấu trúc hồn tồn khác với tài liệu Microsoft Word, bắt đầu vài byte đầu tệp (“tiêu đề”), tiếp tục đến vị trí lưu trữ liệu phần tệp kết thúc vài byte đặc biệt cuối tệp (“footer”) HỆ THỐNG TẬP TIN VÀ LƯU TRỮ DỮ LIỆU • Các hệ thống tập tin FAT16, FAT32, NTFS, HFS( hệ thống file nhị phân Macintosh), HFS+, Exts2(Linux) UFS(Solaris) theo dõi vị trí liệu ổ cứng, cung cấp file tệp có cấu trúc tương tự • Trước hệ thống file hình thành, phân vùng phải hình thành để định rõ phần ổ cứng mà chiếm lĩnh Sector ổ cứng chứa ghi khởi động (MBR) lưu trữ bảng phân vùng ổ cứng để thông báo với hệ điều hành ổ cứng chia thành phần Mô tả đơn giản cấu trúc đĩa với hai phân vùng, phân vùng chứa ổ đĩa định dạng FAT Bảng phân vùng định rõ sector đầu cuối phân vùng bổ sung thêm thông tin phân vùng Ví dụ sau biểu diễn đầu lệnh Linux fdisk chạy máy tính Dell với hai ổ cứng Việc không nhận hệ thống có hai ổ cứng để lại kết mát chứng số • Từ góc nhìn pháp lí, việc hiểu liệu diễn tả tầng thấp quan trọng • Một bảng phân vùng với lối vào thể bảng 15.5a 15.5b bảng nhìn thấy ổ cứng phiên dịch tiện ích mmls từ Sleuthkit Phân vùng bắt đàu sector 63 ( hệ thaaoj nhị phân 3f) dung lượng 1588545, biểu diễn 18 3D 41 theo hệ thập nhị phân bảng 15.5a • Khi phân vùng tạo ra, format với hệ thống tập tin Ví dụ, hệ thống tập tin FAT tạo lệnh format windows Phần diện tích vận hành hệ thống tập tin gọi ổ đĩa, ấn định chữ C: hệ điều hành • Format ổ đĩa tiêu hủy danh mục thư viện để sách lên kệ Ta tìm sách cần tốn thời gian Mơ hình 15.7 thể ổ NTFS format lại theo cấu trúc tệp trước sử dụng EnCase • • Sector ổ đĩa gọi boot sector, bao gồm thông tin quan trọng hệ thống tập tin Ví dụ, hình 15.8 thể boot sector máy Windows 95 Nó phân phối tập tin (FAT) sẵn có – bảng tương đương với danh mục thư viện mà phòng trường hợp chỉnh bị hỏng tiêu hủy Hình cụm liệu đĩa lớn (64 sector/ cụm x 512b/ sector = 32kb) • Nhớ hệ thống tập tin khơng sử dụng tồn phân vùng, để lại khoảng trống điểm kết thúc ổ đĩa điểm kết thúc phân vùng, vùng gọi khe hở ổ đĩa sử dụng để giấu liệu • Cũng nên nhớ phân vùng thường điểm mở đầu mọt hình trụ cho kết phần không gian không sử dụng điểm cuối phân vùng điểm mở đầu phân vùng • Có vài chức hệ thống tập tin hữu dụng việc khôi phục liệu Khi tập tin chiếm không hết không gian cụm, tập tin khác khơng sử dụng phần khơng gian thừa Nói ngắn gọn hơn, cụm chứa liệu, cụm đặt trước • Nếu máy tính có nhét thêm liệu vào phần không gian không sử dụng ấy, liệu chen vào liệu cũ Những sector thừa cụm gọi không gian khe hở tập tin ĐỐI PHÓ VỚI BẢO VỆ MẬT KHẨU VÀ MÃ HĨA • Hai số trở ngại lớn mà nhà điều tra đối mặt hôm bảo vệ mật mã hóa • Về mặt khái niệm, mã hóa khóa liệu chìa khóa người có chìa khóa thích hợp mở khóa liệu Mã hóa đơi bị phá vỡ bị phá vỡ cách sử dụng kiến thức thiết bị chuyên dụng nhưng, nhiềutrường hợp, không khả thi sử dụng tài nguyên cần thiết để phá vỡ mã hóa Cơ mã hóa • Mã hóa q trình mà đối tượng số đọc chuyển đổi vào đối tượng số không đọc (ciphertext) sử dụng tốn học hàm Các sơ đồ mã hóa mạnh dùng mật khẩu, gọi chìa khóa • Ví dụ, rot13 mã đơn giản để thay chữ thông điệp plaintext với chữ 13 chữ xa bảng chữ (a z) Vậy, a trở thành n, b trở thành o, v v • ROT13 thường sử dụng nhóm tin tức để làm xáo trộn thơng báo có khả bị phản đối, cho phép người đọc định xem có nên giải mã thơng báo hay khơng Thơng báo Usenet sau thể ứng dụng ROT13: Mã Hóa Khóa Riêng Mã hóa khóa cá nhân (cịn gọi mã hóa khóa đối xứng) mặt khái niệm đơn giản — khóa tương tự sử dụng để mã hóa tin nhắn sử dụng để giải mã Một số thuật tốn mã hóa khóa đối xứng thường sử dụng DES, IDEA Blowfish Mã Khóa Cơng Khai • Hai thuật tốn khóa cơng khai thường sử dụng RSA DSA • Một cá nhân phổ biến phần thơng tin gọi khóa cơng khai mà sử dụng để mã hóa thông điệp người nhận dự định sở hữu khóa cá nhân tương ứng giải mã thơng điệp • Bạn tạo hàng nghìn ổ khóa giống hệt phân phối chúng khắp giới để muốn gửi tin nhắn riêng tư cho bạn lấy ổ khóa bạn sử dụng để bảo mật tin nhắn riêng tư Mã Hóa Email Một cách sử dụng phổ biến mã hóa với e-mail Khi email truyền Internet, thông điệp phải qua máy tính trung gian Internet Ngồi ra, thay đổi tin nhắn đường đi, làm ảnh hưởng đến tính tồn vẹn Các chương trình mã hóa PGP cho phép cá nhân mã hóa ký tin nhắn, bảo vệ nội dung chuyển tiếp cung cấp số đảm bảo tin nhắn từ cá nhân cụ thể không thay đổi kể từ tạo người gửi ... chứa hệ điều hành chèn vào vào máy tính dựa Intel để ngăn hệ điều hành đĩa cứng tải lên • Khả ngăn máy tính sử dụng hệ điều hành đĩa cứng quan trọng đĩa chứa chứng Các nhà điều tra kỹ thuật số không... thực hành động máy tính chứa chứng trừ họ quen thuộc với loại hệ thống cụ thể Biểu diễn liệu • Tất liệu kỹ thuật số kết hợp số số không, thường gọi bit Các nhà điều tra kỹ thuật số thường cần... định tổ hợp số số không đại diện cho chữ số định • Về mặt khái niệm, chương trình hiển thị byte liệu hệ thập lục phân định dạng ASCII giống kính hiển vi, cho phép nhà điều tra kỹ thuật số xem đặc