Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 22 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
22
Dung lượng
0,96 MB
Nội dung
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG ──────── * ─────── BÀI TẬP LỚN Mơn: An tồn bảo mật thơng tin ĐỀ TÀI : KIẾN THỨC CƠ BẢN VỀ MÁY TÍNH CHO NHÀ ĐIỀU TRA KỸ THUẬT SỐ Sinh viên thực hiện: Vũ Trọng Nhân– 20198252 Nguyễn Huy Hoàng - 20198227 Nguyễn Anh Tuấn- 20198268 Giáo viên hướng dẫn : ThS Nguyễn Đức Toàn TIEU LUAN MOI download : skknchat123@gmail.com moi nhat MỤC LỤC Chương Sơ lược lịch sử máy tính Chương Hệ điều hành máy tính 2.1 Trung tâm xử lý (CPU) 2.2 Hệ thống đầu vào đầu 2.3 Cơng cụ cấu hình POST CMOS 2.4 Khởi động đĩa Chương Biểu diễn liệu 3.1 Định dạng tệp Chương 4: LƯU TRỮ VÀ CHE GIẤU DỮ LIỆU 11 4.1 Ẩn / Làm mờ liệu 12 Chương 5: HỆ THỐNG TẬP TIN VÀ LƯU TRỮ DỮ LIỆU 13 Chương 6: ĐỐI PHÓ VỚI BẢO VỆ MẬT KHẨU VÀ MÃ HÓA 17 mã hóa 18 1 Mã Hóa Khóa Riêng 19 6.1.2 Mã Khóa Cơng Cộng 19 6.1.3 Quyền riêng tư tốt 20 6.1.4 Mã Hóa Email 20 Phát xử lý mã hóa 21 Chương Tổng kết 21 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat Chương Sơ lược lịch sử máy tính Sự phát triển máy tính đại khơng phải điều dễ dàng để theo dõi nhiều khái niệm mà kết hợp Vào đầu năm 1800, Jacquard phát triển ý tưởng Falcon Vaucanson (những người bị ảnh hưởng máy dệt Trung Quốc vào kỉ thứ hai ) để tạo máy dệt tự động sử dụng chuỗi thẻ tông đục lỗ để tạo mẫu cụ thể vải dệt thoi, giống thẻ đục lỗ sử dụng để lập trình máy tính kỷ XX Chưa đầy thập kỷ sau, Babbage tưởng tượng động nước thực phép tốn số học số người coi cha đẻ máy tính Sau vào năm 1800, Augusta Ada đề xuất sử dụng hệ thống hệ nhị phân thay hệ thập phân George Boole phát triển logic Boolean Hình Biều đồ máy tính Atanasoff-Berry Ngay phát triển gần máy tính đầy tranh cãi Từ năm 1940 trở đi, George Stiblitz Phịng thí nghiệm Bell Atlantic phát triển số máy tính bao gồm Model trình diễn máy tính chuyển tiếp (khơng hồn tồn điện tử) sử dụng thiết bị đầu cuối từ xa Dartmouth kết nối qua đường dây điện thoại sửa đổi với máy tính Thành phố New York Sau đó, vào năm 1941, kỹ sư người Đức tên Konrad Zuse dường tạo máy tính nhị phân điện tử có tên Z3 sử dụng phim cũ để lưu trữ chương trình liệu Đồng thời, Máy tính Atanasoff-Berry kỹ thuật số điện tử (ABC), đặt theo tên người phát minh nó, chế tạo với ống chân khơng, tụ điện thẻ đục lỗ (Hình 1) Ngay sau đó, Máy tích hợp số điện tử Máy tính (ENIAC) tạo Eckert Mauchly, sáng chế sau bị vơ hiệu hóa hai phát minh coi giống máy tính ABC (Honeywell v Rand, 1973) Nhiều người khác đóng vai trị phát triển máy tính đại có phát triển mang tính cách mạng cơng nghệ máy tính kể từ máy tính ABC ENIAC tạo giá trị quan trọng tác động đến tội phạm chứng kỹ thuật số Đặc biệt, máy tính cá nhân cho phép cá nhân sở hữu huy cỗ TIEU LUAN MOI download : skknchat123@gmail.com moi nhat máy mạnh mẽ mà quốc gia có đủ khả 50 năm trước Sự sẵn có hàng loạt máy tính gây thay đổi cách mà tội phạm hoạt động tòa án vật lộn với thay đổi Máy tính cá nhân trở nên khả thi vào năm 1974 cơng ty nhỏ có tên Intel bắt đầu bán chip máy tính rẻ tiền gọi vi xử lý 8080 Một vi xử lý 8080 chứa tất mạch điện tử cần thiết để tạo máy tính lập trình Gần lập tức, số máy tính nguyên thủy phát triển vi xử lý Vào đầu Những năm 1980, Steve Jobs Steve Wozniak tiếp thị hàng loạt máy tính Apple Bill Gates làm việc với IBM để tiếp thị đại chúng máy tính cá nhân IBM Ở Anh, máy tính Acorn Sinclair bán Các Sinclair, bàn phím nhỏ cắm vào TV âm tiêu chuẩn máy cassette để lưu trữ nhớ, cách mạng vào năm 1985 Giấc mơ Bill Gates thay máy tính lớn tập trung, đắt tiền máy tính nhỏ, rẻ tiền Ngồi ra, phổ biến máy tính tồn giới tạo mạng máy tính bước hợp lý Chương Hệ điều hành máy tính 2.1 Trung tâm xử lý (CPU) Mỗi lần bật máy tính, máy tính phải tự làm quen với nội ,các thành phần giới ngoại vi Quá trình khởi động gọi boot process giống thể máy tính phải tự khởi động lên chuỗi khởi động Các q trình khởi động có ba giai đoạn bản: đặt lại đơn vị xử lý trung tâm (CPU), tự kiểm tra bật nguồn (POST) khởi động đĩa Hình Xung điện khởi động lại CPU, kích hoạt BIOS TIEU LUAN MOI download : skknchat123@gmail.com moi nhat 2.2 Hệ thống đầu vào đầu BIOS xử lý chuyển động liệu xung quanh máy tính Mọi chương trình chạy máy tính sử dụng BIOS để giao tiếp với CPU Một số chương trình BIOS cho phép cá nhân đặt mật khẩu, mật nhập vào, BIOS khơng chạy máy tính khơng chạy 2.3 Cơng cụ cấu hình POST CMOS BIOS chứa chương trình gọi POST để kiểm tra thành phần máy tính Khi CPU lần kích hoạt BIOS, chương trình POST bắt đầu Để an toàn, kiểm tra xác minh tính tồn vẹn CPU chương trình POST Phần lại POST xác minh tất thành phần máy tính hoạt động bình thường, bao gồm ổ đĩa, hình, RAM bàn phím Đáng ý, sau BIOS kích hoạt trước POST hồn tất, làm gián đoạn trình khởi động người dùng thực hành động cụ thể Ví dụ: máy tính dựa Intel cho phép người dùng mở công cụ cấu hình metal oxide silicon (CMOS) giai đoạn Máy tính sử dụng chip RAM CMOS để lưu lại ngày, giờ, ổ cứng thông số chi tiết cấu hình khác nguồn máy tính tắt Một nguồn Pin nhỏ cung cấp lượng cho chip CMOS — máy tính cũ khơng khởi động nguồn bật pin CMOS hết, khiến máy tính "qn" cài đặt phần cứng Sử dụng cơng cụ cấu hình CMOS, xác định hệ thống thời gian, xác định xem trước tiên máy tính cố gắng tìm hệ điều hành ổ cứng hay ổ đĩa khác thay đổi cài đặt máy tính cần thiết Khi thu thập chứng kỹ thuật số từ máy tính, thường cần làm gián đoạn trình khởi động kiểm tra cài đặt CMOS chẳng hạn hệ thống ngày giờ, cấu hình ổ cứng trình tự khởi động Trong số trường hợp, cần phải thay đổi cài đặt CMOS để đảm bảo máy tính khởi động từ đĩa mềm thay chứng cứng ổ đĩa Trong nhiều máy tính, kết POST kiểm tra dựa ghi lưu trữ vi mạch CMOS Nếu có vấn đề giai đoạn POST, máy tính phát loạt tiếng bíp thơng báo lỗi hình Hướng dẫn sử dụng máy tính nên giải thích tổ hợp tiếng bíp cho nhiều lỗi khác Khi tất kiểm tra phần cứng hoàn tất, BIOS hướng dẫn CPU để tìm đĩa chứa hệ điều hành Một số máy tính Sun Macintosh tn theo trình tự khởi động thuật ngữ khác Ví dụ, máy tính Macintosh gọi chip CMOS Parameter RAM (PRAM) Sau trình POST, hệ thống Macintosh khơng dựa Intel, chương trình có tên Open Firmware (tương tự PC-BIOS) khởi tạo cố gắng xác định vị trí phần cứng đính kèm Mở Firmware sau thực chuỗi thao tác TIEU LUAN MOI download : skknchat123@gmail.com moi nhat để tải hệ điều hành Macintosh Hệ thống Macintosh dựa Intel sử dụng EFI không cho phép người dùng làm gián đoạn q trình khởi động Hệ thống máy tính Sun có POST cấp thấp kiểm tra nhiều chức phần cứng Sau máy Sun thực POST này, chúng gửi quyền kiểm sốt đến chương trình sở OpenBoot PROM (OBP) (tương tự PC-BIOS) thực thử nghiệm hệ thống bổ sung tác vụ khởi tạo 2.4 Khởi động đĩa Hệ điều hành mở rộng chức BIOS hoạt động giao diện máy tính giới bên ngồi Nếu khơng có hệ điều hành, khó để tương tác với máy tính — lệnh không khả dụng, liệu không xếp tệp thư mục phần mềm khơng chạy máy Hầu hết máy tính mong đợi hệ điều hành cung cấp đĩa mềm, đĩa cứng, đĩa nén Vì vậy, máy tính sẵn sàng tải hệ điều hành, nhìn đĩa theo thứ tự định trình tự khởi động cài đặt đề cập phần trước Máy tính tải hệ điều hành mà tìm thấy Sự thật cho phép thay hệ điều hành máy cách cung cấp hệ điều hành thay đĩa khác Ví dụ, đĩa mềm có chứa hệ điều hành chèn vào vào máy tính dựa Intel để ngăn hệ điều hành đĩa cứng tải lên Có thể lập trình Phần mềm mở rộng Macintosh (Power PC) để khởi động từ CDROM cách giữ phím “c” Sun OBP bị ngắt cách nhấn đồng thời phím “Dừng” “A” ,thiết bị khởi động định dấu nhắc ok (ví dụ: boot cdrom) Khả ngăn máy tính sử dụng hệ điều hành đĩa cứng quan trọng đĩa chứa chứng Các nhà điều tra kỹ thuật số không nên cố gắng thực hành động máy tính chứa chứng trừ họ quen thuộc với loại hệ thống cụ thể Trong trường hợp, kỹ thuật viên yêu cầu ghi lại thời gian hệ thống Macintosh iBook trước tháo ổ cứng Anh ta khởi động hệ thống cố gắng làm gián đoạn trình khởi động để truy cập vào CMOS, làm để làm gián đoạn trình khởi động Kết là, hệ thống khởi động từ ổ cứng chứng, thay đổi dấu ngày-giờ tệp liệu hữu ích tiềm khác đĩa Trong tình vậy, an toàn tháo ổ cứng trước khởi động hệ thống để ghi lại cấu hình hệ thống Chương Biểu diễn liệu Tất liệu kỹ thuật số kết hợp số số không, thường gọi bit Các nhà điều tra kỹ thuật số thường cần xử lý liệu cấp độ bit, đòi hỏi hiểu biết cách hệ thống khác biểu diễn liệu Ví dụ, biết số TIEU LUAN MOI download : skknchat123@gmail.com moi nhat biểu diễn dạng 10 hệ nhị phân hữu ích giải thích liệu khơng để lấy câu chuyện đùa "Chỉ có 10 kiểu người giới: Những người hiểu hệ nhị phân người không" Số 511 biểu thị 00000001 11111111 hệ thống kiểu đầu to (ví dụ: máy tính có xử lý Motorola Macintosh; máy tính dựa RISC Sun) Con số tương tự biểu thị 11111111 00000001 hệ thống kiểu đầu nhỏ máy tính chạy Intel Nói cách khác, kiến trúc kiểu đầu to đặt byte quan trọng bên trái (đặt phần cuối lớn trước) kiến trúc kiểu đầu nhỏ đặt byte quan trọng bên phải (đặt phần cuối nhỏ trước) Cho dù liệu kiểu đầu to hay đầu nhỏ , biểu diễn liệu nhị phân (những số số khơng) cồng kềnh Thay vào đó, nhà điều tra kỹ thuật số thường xem cách biểu diễn liệu theo hệ thập lục phân Một cách biểu diễn liệu thường sử dụng khác ASCII Tiêu chuẩn ASCII quy định tổ hợp số số không đại diện cho chữ số định Bảng cho thấy ASCII giá trị thập lục phân chữ in hoa Một ví dụ dịch hệ thập lục phân ASCII 45 4F 47 48 41 4E 20 43 41 53 45 59, đánh vần "EOGHAN CASEY", số thập lục phân 20 kí hiệu khoảng trắng Về mặt khái niệm, chương trình hiển thị byte liệu hệ thập lục phân định dạng ASCII giống kính hiển vi, cho phép nhà điều tra kỹ thuật số xem đặc điểm thường khơng nhìn thấy Ví dụ, tài liệu Word chứa liệu thường không hiển thị hiển thị trình xem thập lục phân thể Bảng 15.2 với hệ thập lục phân bên trái ASCII bên phải Các chữ viết thường biểu thị giá trị thập lục phân khác nhau, 45 6f 67 68 61 6e 20 4361 7365 79 đánh vần “Eoghan Casey” TIEU LUAN MOI download : skknchat123@gmail.com moi nhat Sự khác biệt rõ ràng kiểu liệu đầu nhỏ kiểu liệu đầu to chuyển đổi liệu từ biểu diễn máy tính họ thành kiểu đọc Ví dụ: Bảng 15.3 hiển thị hai dòng tệp tcpdump tạo máy tính chạy Intel (bên trái) so với tệp tcpdump tạo lúc máy tính Sun (bên phải) Ngày “Thứ bảy, ngày 10 tháng năm 2003, 08:37:01 GMT” biểu diễn cách sử dụng chuỗi byte hiển thị Bảng 15.3 — thứ tự byte khác hai hệ thống nhìn thấy rõ ràng Bảng Phân đoạn Tài liệu Word hiển thị dạng thập lục phân Nhận thức thứ tự byte thiết yếu tìm kiếm chứng kỹ thuật số cho kết hợp cụ thể byte Ví dụ, e-mail Lotus Notes, tin nhắn gán mã định danh (UID), chẳng hạn 8A6FE5AA74B887B7,nhưng số lưu trữ tệp Lotus Notes NSF dạng big-endian Vì vậy,khi thực tìm kiếm từ khóa cho mã định danh này, cần phải xây dựng tìm kiếm hệ thập lục phân \ xB7 \ x87 \ xB8 \ x74 \ xAA \ xE5 \ x6F \ x8AP Bảng Hai tệp tcpdump tạo intel cho thấy khác Little-Endian Big-Endian đại diện TIEU LUAN MOI download : skknchat123@gmail.com moi nhat 3.1 Định dạng tệp Nhiều loại tệp có cấu trúc đặc biệt thiết kế nhà phát triển phần mềm quan tiêu chuẩn hữu ích cho việc phân loại khơi phục đoạn liệu Ví dụ: định dạng tệp đồ họa JPEG có cấu trúc hoàn toàn khác với tài liệu Microsoft Word, bắt đầu vài byte đầu tệp (“tiêu đề”), tiếp tục đến vị trí lưu trữ liệu phần tệp kết thúc vài byte đặc biệt cuối tệp (“footer”) Đầu trang chân trang cho số loại tệp phổ biến liệt kê Bảng Bảng Phần Header Footer số tệp thông dụng Các tiêu đề phổ biến tệp hình ảnh JPEG, tài liệu Word loại tệp khác thường gọi chữ ký tệp sử dụng để định vị phục hồi phần tệp xóa Q trình tìm kiếm chữ ký tệp cố gắng trích xuất liệu liên quan gọi "khắc" mặt khái niệm, liên quan đến việc cắt phần liệu cụ thể khỏi tập liệu lớn Khắc bối cảnh pháp y kỹ thuật số sử dụng đặc điểm lớp tệp định để định vị tệp luồng liệu thô, chẳng hạn cụm chưa phân bổ ổ cứng Ví dụ: phần đầu phần cuối trang Web (HTML) đánh dấu “” “” Hình cho thấy ví dụ khác chứng kỹ thuật số thường thấy điều tra bóc lột trẻ em — ảnh chụp từ máy ảnh kỹ thuật số Các giá trị thập lục phân “FF D8 FF” đặc trưng cho biết phần đầu tệp mã hóa JPEG đặc điểm “Exif” tệp Định dạng tệp hình ảnh trao đổi phổ biến máy ảnh kỹ thuật số Khi phần đầu phần cuối tệp định vị, liệu trung gian trích xuất thành tệp Q trình khắc đạt cách chép liệu dán chúng vào tệp Ngồi ra, liệu trích xuất sử dụng lệnh dd cách định phần đầu phần cuối tệp hiển thị đây: D:\>ddif=g:\Case1435\Prepare\unallocated-raw\memory-card-03424- unalloc of=g:\Case1435\Review\unallocated processed\ memorycard-03424-image1.jpg bs=1 skip=100934 count=652730 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat Hình 3: Phần đầu tệp JPEG Để làm cho trình hiệu hơn, công cụ phát triển để tự động hóa q trình khắc cho loại tệp khác Các công cụ pháp y chuyên dụng EnCase, FTK X-Ways có số khả khắc Những cơng cụ hữu ích để khôi phục phân đoạn video kỹ thuật số tạo Webcam, thường định dạng AVI, MPEG Quicktime bị xóa thường xuyên Kỹ thuật khắc hoạt động để trích xuất tệp từ nhớ vật lý thiết bị di động từ lưu lượng mạng thơ Ngồi ra, thiết bị di động chứa liệu xóa khơi phục cơng cụ chuyên dụng (van der Knijff, 2008) Có số hạn chế cách tiếp cận để lấy liệu từ phương tiện lưu trữ: Đầu tiên, tên tệp dấu ngày-giờ liên kết với tệp hệ thống tệp tham chiếu không phục hồi với liệu Thứ hai, kích thước tệp gốc khơng biết, cần phải đoán xem cần khắc liệu Thứ ba, tệp gốc bị phân mảnh, quy trình khắc đơn giản giả định tất phần tệp lưu trữ liền kề đĩa không thành công, việc trục vớt đoạn nhiều tệp kết hợp chúng thành vùng chứa khơng xác Nghiên cứu phát triển tiến hành để phát triển công cụ khắc khắc phục số hạn chế số loại tệp định Ví dụ: Adroit (http://digital-assembly.com) cơng cụ thiết kế để khôi phục tệp JPEG bị phân mảnh TIEU LUAN MOI download : skknchat123@gmail.com moi nhat Chương 4: LƯU TRỮ VÀ CHE GIẤU DỮ LIỆU Mặc dù phương tiện lưu trữ có nhiều dạng, đĩa cứng nguồn cung cấp chứng kỹ thuật số phong phú máy tính Ngay máy photocopy đại có ổ cứng tăng cường cách kết nối điều khiển bên với CPU, RAM ổ cứng dung lượng cao để đáp ứng thao tác in phức tạp nhanh chóng Hiểu cách thức hoạt động ổ cứng, cách liệu lưu trữ chúng nơi ẩn liệu giúp nhà điều tra kỹ thuật số xử lý ổ cứng nguồn chứng Có số cơng nghệ ổ cứng phổ biến Ổ đĩa Điện tử Tích hợp (IDE) — cịn gọi ổ Đính kèm Cơng nghệ Tiên tiến (ATA) — đơn giản hơn, tốn phổ biến ổ SCSI hiệu suất cao Điều phiên công nghệ này: Ổ đĩa SATA phổ biến ổ SCSI Đính kèm Nối tiếp hiệu suất cao Firewire điều chỉnh tiêu chuẩn SCSI cung cấp quyền truy cập tốc độ cao vào chuỗi thiết bị mà nhiều nhược điểm SCSI khơng ổn định chi phí Bất kể cơng nghệ sử dụng, loại ổ cứng chứa đĩa quay làm vật liệu nhẹ, cứng nhôm, gốm thủy tinh Các đĩa có lớp phủ từ tính hai mặt quay cặp đầu đọc / ghi — đầu mặt đĩa Những đầu này, di chuyển đĩa giống kim đĩa hát đầu phát bề mặt đĩa quay đệm khơng khí tạo chuyển động quay đĩa, xếp hạt phương tiện từ tính (được gọi ghi) ngược lại, phát cách hạt đĩa chỉnh (được gọi đọc hiểu) Các hạt chỉnh theo cách biểu thị nhị phân (1) hạt chỉnh theo cách khác biểu thị số khơng nhị phân (0) thể Hình 15.4 Dữ liệu ghi đĩa theo vòng tròn đồng tâm (giống vòng hàng năm thân cây) gọi khúc Thuật ngữ hình trụ đồng nghĩa với theo dõi, gọi chung tuyến đường có bán kính tất đĩa ổ cứng Kể khúc chia thành cung, thường đủ lớn để chứa 512 byte thơng tin (512 × đơn vị số khơng) Nhiều hệ thống tệp sử dụng hai nhiều lĩnh vực, gọi cụm, làm nơi lưu trữ chúng đơn vị đĩa Ví dụ, Hình cho thấy đĩa có 64 cung cụm, dẫn đến 32 kbyte cụm (64 cung x 512 byte / sector ÷ 1024 byte) TIEU LUAN MOI download : skknchat123@gmail.com moi nhat Hình 5: Mô tả đĩa, rãnh, cung, cụm đầu đĩa máy tính Như thể Hình 5, liệu vị trí đĩa xác định chúng nằm trụ nào, đầu truy cập chúng sector chứa chúng; điều gọi địa CHS Do đó, dung lượng đĩa cứng tính cách nhân số lượng xi lanh, đầu cung với 512 byte Số lượng xi lanh, đầu cung rãnh thường in bên ngồi ổ cứng dung lượng tính tốn (C × H × S × 512 byte) so sánh với lượng liệu trích xuất từ ổ cứng để đảm bảo tất chứng thu thập Ví dụ, ổ cứng có 1024 xi lanh, 256 đầu 63 cung chứa 8455716864 byte (1024 × 256 × 63 × 512 byte) Điều tương đương với 8,4 Gbyte (8455716864 byte ÷ 1024 byte ÷ 1024 byte) Gbyte chứa khoảng tỷ ký tự Mặc dù giá trị CHS khơng có mối quan hệ trực tiếp với số lượng đĩa đầu bên lớn ổ cứng, chúng thường sử dụng để mô tả ổ đĩa 4.1 Ẩn / Làm mờ liệu Có số sắc thái ổ cứng cho phép cá nhân khôn ngoan che giấu diện lượng lớn liệu chúng Hình trụ đĩa (cịn gọi rãnh bảo trì) sử dụng để lưu trữ thơng tin ổ đĩa hình dạng vị trí thành phần xấu Bằng cách cố ý đánh dấu phần đĩa xấu, cá nhân che giấu liệu khu vực khỏi hệ điều hành Các công cụ thu thập chứng mô tả văn không bị đánh lừa kỹ thuật số tiện ích Anadisk3 chép theo dõi bảo trì đĩa mềm Một khu vực tiềm khác để ẩn liệu Khu vực Bảo vệ đĩa sau ATA 1998 Như tên cho thấy, hầu hết chương trình khơng thể truy cập khu vực số công cụ pháp y phát triển để phát chép khu vực Trong số tình huống, cố xảy sử dụng công cụ pháp y để thu thập liệu từ phương tiện lưu trữ khiến số khu vực bị bỏ sót Các ví dụ phổ biến vấn đề lớp phủ cấu hình ổ đĩa (DCO) vùng bảo vệ máy chủ (HPA), giúp ẩn hiệu phần ổ cứng khỏi BIOS hệ điều hành (Gupta, Hoeschele, TIEU LUAN MOI download : skknchat123@gmail.com moi nhat & Rogers, 2006) Ngoài ra, hệ thống thu nhận khơng phát xác kích thước ổ cứng, dẫn đến khơng hồn chỉnh Viện Tiêu chuẩn Thử nghiệm Quốc gia Hoa Kỳ có chương trình để đánh giá cơng cụ pháp y máy tính cơng bố kết (www.cftt.nist.gov) Trên thực tế, diện DCO HPA không thiết việc ẩn liệu khu vực nhà sản xuất máy tính sử dụng cho mục đích khác Các cách tiếp cận đơn giản hơn, phổ biến để ẩn liệu phương tiện lưu trữ phân vùng ẩn đĩa mã hóa Ví dụ, chương trình có sẵn cho phép người dùng tạo phân vùng ổ cứng bị ẩn khỏi hệ điều hành Sử dụng phương pháp này, cá nhân lưu trữ liệu vùng ẩn ổ cứng mà người dùng khác hệ thống phân vùng ẩn tồn Các công cụ khám nghiệm pháp y làm lộ phân vùng ẩn vậy, chứng tỏ tầm quan trọng việc sử dụng công cụ thiết kế đặc biệt để tiến hành giám định pháp y — việc dựa vào phương pháp khác để xem phương tiện lưu trữ khiến nhà điều tra kỹ thuật số thiếu thông tin quan trọng Mã hóa phương tiện lưu trữ phương pháp che giấu hiệu nội dung truy cập khóa giải mã thích hợp thảo luận phần sau chương Chương 5: HỆ THỐNG TẬP TIN VÀ LƯU TRỮ DỮ LIỆU Các hệ thống tập tin FAT16, FAT32, NTFS, HFS( hệ thống file nhị phân Macintosh), HFS+, Exts2(Linux) UFS(Solaris) theo dõi vị trí liệu ổ cứng, cung cấp file tệp có cấu trúc tương tự Trước hệ thống file hình thành, phân vùng phải hình thành để định rõ phần ổ cứng mà chiếm lĩnh Sector ổ cứng chứa ghi khởi động (MBR) lưu trữ bảng phân vùng ổ cứng để thông báo với hệ điều hành ổ cứng chia thành phần Hình mô tả cấu trúc chung cứng với phân vùng Hình 6: Mơ tả đơn giản cấu trúc đĩa với hai phân vùng, phân vùng chứa ổ đĩa định dạng FAT Bảng phân vùng định rõ sector đầu cuối phân vùng bổ sung thêm thông tin phân vùng Ví dụ đơn giản việc tạo quan sát phân TIEU LUAN MOI download : skknchat123@gmail.com moi nhat vùng sử dụng lệnh fdisk Ví dụ sau biểu diễn đầu lệnh Linux fdisk chạy máy tính Dell với hai ổ cứng, ổ cứng có phân vùng nhỏ cho mục đích phục hồi phân vùng lớn để chứa hệ thống tập tin NTFS (Windows NT/2000/XP), ổ cứng lại chứa số phân vùng bao gồm hệ thống tập tin ext2 (Linux) Việc không nhận hệ thống có hai ổ cứng để lại kết mát chứng số Một ví dụ nữa, kết trả sau từ lệnh Windows fdisk biểu diễn ổ cứng với phân vùng phân vùng mở rộng chia nhỏ thành phân vùng nhỏ Việc sử dụng phân vùng mở rộng cần thiết bảng phân vùng có đủ chỗ chứa cho phân vùng – phân vùng mở rọng chia nhỏ thành phân vùng bổ sung mà không ảnh hưởng đến bảng phân vùng Từ góc nhìn pháp lí, việc hiểu liệu diễn tả tầng thấp quan trọng Một bảng phân vùng với lối vào thể bảng 15.5a 15.5b bảng nhìn thấy ổ cứng phiên dịch tiện ích mmls từ TIEU LUAN MOI download : skknchat123@gmail.com moi nhat Sleuthkit Phân vùng bắt đàu sector 63 ( hệ thaaoj nhị phân 3f) dung lượng 1588545, biểu diễn 18 3D 41 theo hệ thập nhị phân bảng 15.5a Khi phân vùng tạo ra, format với hệ thống tập tin Ví dụ, hệ thống tập tin FAT tạo lệnh format windows Phần diện tích vận hành hệ thống tập tin gọi ổ đĩa, ấn định chữ C: hệ điều hành Đối nghịch với suy nghĩ phổ cập, lệnh format khơng xóa liệu ổ đĩa, ta khôi phục liệu từ ổ cứng sau bị format So sánh ổ đĩa với tủ sách thư viện, hệ thống tập tin tương tự danh mục thư viện, cung cấp phương pháp hiệu để xác định vật phẩm cụ thể Format ổ đĩa tiêu hủy danh mục thư viện để sách lên kệ Ta tìm sách cần tốn thời gian Mơ hình 15.7 thể ổ NTFS format lại theo cấu trúc tệp trước sử dụng EnCase TIEU LUAN MOI download : skknchat123@gmail.com moi nhat Hình 7: Cấu trúc thư mục trước phục hồi từ định dạng lại khối lượng NTFS Hình 8: Khu vực khởi động Windows 95 xem Norton Diskedit Sector ổ đĩa gọi boot sector, bao gồm thông tin quan trọng hệ thống tập tin Ví dụ, hình 15.8 thể boot sector máy Windows 95 Nó phân phối tập tin (FAT) sẵn có – bảng tương đương với danh mục thư viện mà phòng trường hợp chỉnh bị hỏng tiêu hủy Hình cụm liệu đĩa lớn (64 sector/ cụm x 512b/ sector = 32kb) Nhớ hệ thống tập tin khơng sử dụng tồn phân vùng, để lại khoảng trống điểm kết thúc ổ đĩa điểm kết thúc phân vùng, vùng gọi khe hở ổ đĩa sử dụng để giấu liệu Hình 15.9 thể tàn dư virus Form lưu trữ khe hở ổ đĩa Bạn nên nhớ phân vùng thường điểm mở đầu mọt hình trụ cho kết phần không gian không sử dụng điểm cuối phân vùng điểm mở đầu phân vùng Có vài chức hệ thống tập tin hữu dụng việc khôi phục liệu Khi tập tin chiếm không hết không gian cụm, tập tin khác không sử TIEU LUAN MOI download : skknchat123@gmail.com moi nhat dụng phần khơng gian thừa Nói ngắn gọn hơn, cụm chứa liệu, cụm đặt trước Như phần lớn nhà hàng, người khách ngồi bàn người ghế thứ bỏ trống đến vị khách dùng xong bàn Ý tưởng người lạ mặt thứ chen vào bữa ăn người Tương tự thế, máy tính có nhét thêm liệu vào phần không gian không sử dụng ấy, liệu chen vào liệu cũ Những sector thừa cụm gọi không gian khe hở tập tin Khi tập tin không kết thúc giới hạn sector, hệ điều hành trước Windows 95a lấp đầy phần lai cụm liệu từ RAM, với tên gọi khe hở RAM Những phiên sau Windows lấp đầy khoảng trống với số Hình 9: Volume slack chứa tàn tích virus Form xem EnCase Chương 6: ĐỐI PHÓ VỚI BẢO VỆ MẬT KHẨU VÀ MÃ HÓA Hai số trở ngại lớn mà nhà điều tra phải đối mặt ngày bảo vệ mật mã hóa Bảo vệ mật thường cách xử lý đơn giản Người kiểm tra chứng kỹ thuật số thường chấp nhận việc bảo vệ mật tệp riêng lẻ tìm thấy máy tính mà họ phân tích Nhiều cơng cụ có sẵn để lấy, phá đốn mật loại tệp khác Hai số chương trình khơi phục mật mạnh mẽ linh hoạt có Bộ cơng cụ khơi phục mật (PRTK) DNA từ Dữ liệu truy cập PRTK khơi phục mật từ nhiều loại tệp hữu ích để xử lý liệu mã hóa Nó mạng DNA thử khóa thời gian ngắn cách kết hợp sức mạnh số máy tính Có nhiều công cụ khôi phục mật chuyên dụng khác John the Ripper (http://www.openwall.com/john/), Cain Abel (http://www.oxid.it/cain.html) Khôi phục mật lưu trữ nâng cao (http://www.elcomsoft.com/azpr.html) Khi thực xây dựng lại chức cách sử dụng khôi phục hệ thống Windows, cần bỏ qua mật TIEU LUAN MOI download : skknchat123@gmail.com moi nhat đăng nhập cách sử dụng chương trình ntpasswd (http:// pogostick.net/ ~ pnh / ntpasswd /) Microsoft’s ERD Commander Mã hóa thuật ngữ chung cho phương pháp mã hóa thơng tin khác Về mặt khái niệm, mã hóa khóa liệu chìa khóa người có chìa khóa thích hợp mở khóa liệu Mã hóa đơi bị phá vỡ bị phá vỡ cách sử dụng kiến thức thiết bị chuyên dụng nhưng, nhiềutrường hợp, không khả thi sử dụng tài nguyên cần thiết để phá vỡ mã hóa mã hóa Mã hóa q trình mà đối tượng số đọc chuyển đổi vào đối tượng số không đọc (ciphertext) sử dụng tốn học hàm Các sơ đồ mã hóa mạnh dùng mật khẩu, gọi chìa khóa Tuy nhiên, có hệ thống mã hóa đơn giản Ví dụ, rot13 mã đơn giản để thay chữ thông điệp plaintext với chữ 13 chữ xa bảng chữ (a z) Vậy, a trở thành n, b trở thành o, v v ROT13 thường sử dụng nhóm tin tức để làm xáo trộn thơng báo có khả bị phản đối, cho phép người đọc định xem có nên giải mã thơng báo hay khơng Thơng báo Usenet sau thể ứng dụng ROT13 From: AndrewB (andrewbee@my-deja.com) Subject: Sexual differences [view thread] Newsgroups: soc.religion.christian Date: 2000-10-02 20:58:37 PST [This posting asks advice on a sexually explicit topic My first reaction is that it’s a troll, but perhaps I’m just narrow-minded To avoid offending people, the body of the posting has been translated using rot13.] Uv, Sbetvir zr sbe orvat irel senax urer Zl jvsr naq V unir n ceboyrz V nz cerggl “bhg gurer” jura vg pbzrf gb zl frkhny cersreraprf Zl jvsr, ubjrire, vf n irel pbafreingvir fznyy-gbja tvey jura vg pbzrf gb gung Fcrpvsvpnyyl, V nz irel ghearq ba zl fcnaxvat, jurernf zl jvsr frrf ab cynpr sbe vg ng nyy va gur orqebbz V xabj gung gurer ner thlf nebhaq jub tvir cevingr fcnaxvatf Ab frkhny pbagnpg; whfg gur tengvsvpngvba vaurerag gurerva Vs V pbhyq qb guvf, vg jbhyq zrrg zl arrq, naq rnfr zl sehfgengvba Bayl ceboyrzf ner: zl jvsr rdhngrf vg gb purngvat, ba gur tebhaqf gung vg vaibyirf obqvyl pbagnpg sbe frkhny tengvsvpngvba, naq V unir qbhogf nobhg jurgure vg’f ernyyl BX sbe n Tbq-srnevat Puevfgvna gb qb gung V jnag gb yvir va chevgl orsber Tbq, ohg V nyfb unir guvf fgebat hetr naq qrfver Nalbar unq nal fvzvyne rkcrevraprf be pna bssre nal uryc? Gunaxf N.O Frag ivn Qrwn.pbz uggc://jjj.qrwn.pbz/ TIEU LUAN MOI download : skknchat123@gmail.com moi nhat Orsber lbh ohl Nhiều trình đọc tin có khả giải mã ROT13, giúp người đọc khỏi quy trình thủ cơng tẻ nhạt Một lý khác để sử dụng ROT13 xáo trộn địa e-mail tin nhắn để khiến kẻ gửi thư rác Internet khó lấy địa 1 Mã Hóa Khóa Riêng Mã hóa khóa cá nhân (cịn gọi mã hóa khóa đối xứng) mặt khái niệm đơn giản — khóa tương tự sử dụng để mã hóa tin nhắn sử dụng để giải mã Nghĩ mã hóa ổ khóa, chìa khóa khóa liệu sử dụng để mở khóa khơng có chìa khóa khó mở khóa liệu Hãy nhớ rằng, thực tế, "khóa" hàm tốn học Vì khơng an tồn dựa vào tính bí mật hàm tốn học sử dụng để mã hóa liệu, nên hầu hết sơ đồ mã hóa phổ biến sử dụng hàm tốn học khó đảo ngược Bằng cách này, biết hàm toán học, khó giải mã liệu mà khơng biết khóa Một số thuật tốn mã hóa khóa đối xứng thường sử dụng DES, IDEA Blowfish Ví dụ: lấy văn “Đây tin nhắn bí mật” mã hóa khóa “eoghan” thuật toán DES đưa mã sau: -ENCRYPTED BFADQGxwAwYABz2FQEz0E3C3QF3zB11BAz43VGBFE4GxI8GADBoub 8EWE0YF +Wk9OpfbGxVgix+Hr6mXKzSHRX54jDvtvQWNQ6VBv9JD/ dMZqsYAHnHPa4XJ pC4jnAF8VWgfSIPJnyGBlUVpuVWiUImjO1Qfu3O+FE753JZxXFhXd5ivsl VY RsxEJFY/NxlFRu/2r1+dYFrknA0m8ihJJHs+ARss+GjzjDtagw9emTyed0Kb mMwo1BQyKKsiiqzvoD4rNs2bSZslQ6mJMxonIJnST9ruH/ 25XmK1uXpr2rK8 hJ1DT8UEKW1z4ylKkAWS3sSf5/ v96t6sSOhDP+2mkAxdELL7PNb46gl6Aeth f3j/ 3GkYCz5jT793t3sO+aa+MQhIEPRA2/2QYpfO7boVViXJp3pRS6w1bdwL o3sbeUvIQcEZnx5bgCK7CTI+aAS4x62jMIiMQ6CXEfAAwjzE5XaibgK/ NcP4 3cdsst/kvSzmVjsah67l END -Ciphertext giải mã chương trình hotcrypt cài đặt thuật tốn mã hóa khác nhau, cung cấp thuật tốn khóa biết đốn 6.1.2 Mã Khóa Cơng Cộng TIEU LUAN MOI download : skknchat123@gmail.com moi nhat Một khó khăn với việc mã hóa khóa đối xứng người ta muốn mã hóa liên lạc họ Cả hai phải có chìa khóa mà encodes decodes liệu Ví dụ, hai người muốn trao đổi e - mail, làm họ trao đổi chìa khóa để giải mã thơng điệp? Họ có nên gửi chìa khóa tin nhắn sau liệu mã hóa khơng? Nếu mối quan tâm e - mail bị chặn lại, chìa khóa dễ bị chặn lại Họ có nên gửi chìa khóa đĩa thư thường khơng? Nó chậm khơng an tồn kẻ thù xác định chặn đĩa Câu trả lời cho câu đố rõ ràng mã hóa khóa cơng khai Tiếp tục tương tự khóa, tưởng tượng bạn tạo hàng nghìn ổ khóa giống hệt phân phối chúng khắp giới để muốn gửi tin nhắn riêng tư cho bạn lấy ổ khóa bạn sử dụng để bảo mật tin nhắn riêng tư Vào năm 1970, nhà tốn học thơng minh cuối phát triển chế để thực ý tưởng này, cho phép cá nhân phổ biến phần thông tin gọi khóa cơng khai mà sử dụng để mã hóa thơng điệp người nhận dự định sở hữu khóa cá nhân tương ứng giải mã thơng điệp Hai thuật tốn khóa cơng khai thường sử dụng RSA DSA 6.1.3 Quyền riêng tư tốt Một chương trình sử dụng mật mã khóa riêng tư công khai Pretty Good Privacy (PGP; www.pgpi.com) Mặc dù sử dụng thuật tốn khóa cơng khai RSA để mã hóa tin nhắn, điều chậm xử lý tin nhắn lớn Mã hóa khóa cá nhân hiệu đáng kể Vì vậy, PGP sử dụng tốt hai phương pháp kết hợp chúng PGP mã hóa thư thuật tốn khóa riêng DES cách sử dụng khóa riêng tạo ngẫu nhiên mã hóa khóa riêng thuật tốn khóa cơng khai RSA (bước u cầu khóa cơng khai người nhận dự định) PGP sau gửi văn mã hóa khóa cá nhân mã hóa cho người nhận Vì vậy, người nhận nhận tin nhắn mã hóa, họ sử dụng khóa riêng cá nhân để giải mã khóa riêng tạo ngẫu nhiên sử dụng khóa riêng tạo ngẫu nhiên để giải mã tin nhắn 6.1.4 Mã Hóa Email Một cách sử dụng phổ biến mã hóa với e-mail Khi e-mail truyền Internet, thông điệp phải qua máy tính trung gian Internet Ở giai đoạn hành trình, cá nhân tị mị đọc tin nhắn e-mail Ngồi ra, thay đổi tin nhắn đường đi, làm ảnh hưởng đến tính tồn vẹn Ngồi ra, khơng có ngăn cản cá nhân không trung thực tạo tin nhắn giống tin nhắn đến từ người khác, khơng có đảm bảo tin nhắn xác thực Các chương trình mã hóa PGP cho phép cá nhân mã hóa ký tin nhắn, bảo vệ nội dung chuyển tiếp cung cấp số đảm bảo tin nhắn từ cá nhân cụ thể khơng thay đổi kể từ tạo người TIEU LUAN MOI download : skknchat123@gmail.com moi nhat gửi Các dịch vụ e-mail chuyên biệt Hushmail Zixmail làm cho e-mail mã hóa có sẵn cho nhiều đối tượng Tội phạm không bỏ qua sức mạnh công cụ sử dụng chúng để che giấu hoạt động chúng Internet mã hóa liệu lưu trữ máy tính chúng để bảo vệ chúng khỏi nhà điều tra Phát xử lý mã hóa Khi mã hóa sử dụng, thường có số dấu hiệu máy tính nghi phạm Ví dụ, pgp phần mềm ẩn liệu hình ảnh, âm văn thường cài đặt hệ thống Ngoài ra, cá nhân mã hóa e - mail họ, thường có số liên lạc cá nhân làm việc với việc sử dụng mã hóa Nó tìm kiếm đĩa cho tập tin liên quan đến pgp lệnh unix ispgp từ maresware (http:// www maresware / gk htm # ispgp) Các phương pháp phát tinh vi phát triển để phát liệu mã hóa mà khơng dựa vào đặc tính tập tin cụ thể liên kết với pgp chương trình khác Một mã hóa tìm thấy máy tính, có nhiều cách tiếp cận tiết lộ liệu plaintext Tổng quan tổng quan cách tiếp cận thực tiễn việc giải mã hóa cung cấp casey (2001), nhiều kỹ thuật cụ thể để xử lý toàn việc mã hóa đĩa bao phủ casey (2008) Chương Tổng kết Các nhà điều tra kỹ thuật số yêu cầu hiểu biết cách máy tính hoạt động cách liệu lưu trữ phương tiện Việc khơng hiểu kiểm sốt q trình khởi động dẫn đến thay đổi thực ổ đĩa cứng chứng Để khôi phục liệu, nhà điều tra kỹ thuật số phải biết cách xếp liệu đĩa Để phân tích liệu, nhà điều tra kỹ thuật số phải biết cách xem chúng giải thích chúng Quan sát vòng đời tệp cách minh họa để tóm tắt số khái niệm quan trọng trình bày chương Khi chương trình hướng dẫn hệ điều hành tạo tệp, bước tìm khơng gian trống đĩa nơi liệu lưu trữ Hệ thống tệp phục vụ mục đích này, dành riêng cụm cần thiết Sau đó, đầu đọc / ghi ổ cứng chuyển đến rãnh thích hợp đĩa quay đến sector, biểu diễn nhị phân liệu tạo cách thay đổi bề mặt đĩa Khi tệp bị xóa, khơng gian không phân bổ — hệ thống tệp cập nhật để cụm có sẵn cho liệu Tuy nhiên, cụm TIEU LUAN MOI download : skknchat123@gmail.com moi nhat sử dụng lại, liệu ban đầu Ngay cụm sử dụng lại, số liệu gốc không gian chùng tệp TIEU LUAN MOI download : skknchat123@gmail.com moi nhat ... triển máy tính đại có phát triển mang tính cách mạng cơng nghệ máy tính kể từ máy tính ABC ENIAC tạo giá trị quan trọng tác động đến tội phạm chứng kỹ thuật số Đặc biệt, máy tính cá nhân cho phép... liệu, nhà điều tra kỹ thuật số phải biết cách xếp liệu đĩa Để phân tích liệu, nhà điều tra kỹ thuật số phải biết cách xem chúng giải thích chúng Quan sát vịng đời tệp cách minh họa để tóm tắt số. .. tình vậy, an toàn tháo ổ cứng trước khởi động hệ thống để ghi lại cấu hình hệ thống Chương Biểu diễn liệu Tất liệu kỹ thuật số kết hợp số số không, thường gọi bit Các nhà điều tra kỹ thuật số thường