HỌC VIỆN KỸ THUẬT MẬT Mà CÔNG NGHỆ THÔNG TIN ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỀ TÀI THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ Ổ CỨNG Chun ngành: An tồn thơng tin Mơn: Phịng chống điều tra tội phạm máy tính Giảng viên: Thầy Nguyễn Mạnh Thắng MỤC LỤC MỤC LỤC DANH MỤC HÌNH ẢNH LỜI NÓI ĐẦU CHƯƠNG I: TỔNG QUAN VỀ ĐIỀU TRA SỐ 1.1 Khái niệm 1.2 Mục đích – Ứng dụng 1.3 Các bước thực điều tra 1.4 Một số loại hình điều tra phổ biến 1.4.1 Điều tra máy tính - Computer Forensics 1.4.2 Điều tra mạng - Network Forensics 1.4.3 Điều tra thiết bị di động - Mobile Device Forensics 1.4.4 Điều tra Registry - Registry Forensics 10 1.4.5 Điều tra ổ đĩa - Disk Forensics 11 1.4.6 Điều tra ứng dụng - Application Forensics 11 1.4.7 Điều tra nhớ - Memory Forensics 12 CHƯƠNG II: THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ Ổ CỨNG 2.1 Giới thiệu ổ cứng 13 13 2.1.1 Khái niệm 13 2.1.2 Cấu tạo 13 2.2 Phân vùng ổ cứng 16 2.3 Hệ thống tập tin 17 2.3.1 Windows 18 2.3.2 Linux 19 2.4 Raid 22 2.4.1 RAID 22 2.4.2 RAID 24 2.4.3 RAID 10 25 2.4.4 RAID 26 2.5 Thu thập phân tích chứng từ ổ cứng 27 2.5.1 Quy trình thu thập phân tích chứng từ ổ cứng 27 2.5.2 Phân tích hệ thống tập tin 28 CHƯƠNG III: DEMO 3.1 Chuẩn bị 30 30 Máy tính cài cơng cụ 30 Tạo file imgdisk để phân tích 30 3.2 Tiến hành phân tích 34 Tạo project 34 Tìm kiếm 37 Kiểm tra MD5 39 KẾT LUẬN 41 TÀI LIỆU THAM KHẢO 42 DANH MỤC HÌNH ẢNH Hình ảnh Hình ảnh Hình ảnh Hình ảnh Hình ảnh mật Hình ảnh Hình ảnh Hình ảnh Hình ảnh Hình ảnh Hình ảnh Hình ảnh Hình ảnh Hình ảnh Hình ảnh Hình ảnh Hình ảnh Hình ảnh Hình ảnh Hình ảnh Hình ảnh Hình ảnh Hình ảnh Hình ảnh Hình ảnh Hình ảnh Hình ảnh : Các giai đoạn điều tra số 2: Sử dụng Wireshark phân tích cơng Teadtop 3: Sử dụng WPDeviceManager để trích xuất SMS 10 4: Sử dụng Regsshot quan sát thay đổi Registry 10 5: Passware Encryption Analyzer xác định những file được bảo vệ bởi 11 6: Sử dụng skypelogview xem dữ liệu được trao đổi qua đường truyền12 7: Sử dụng Volatility liệt kê tiến trình chạy hệ thống 12 8: Cấu tạo ổ đĩa cứng 14 9: Raid 22 10: Raid 24 11: Raid 10 25 12: Raid 26 13: Chọn nguồn tạo image 30 14: Chọn loại image 31 15: Nhập thông tin image 31 16: Chọn đường dẫn lưu đặt tên 32 17: Quá trình đợi tạo image 32 18: Thông báo kết tạo 33 19: Tạo project 34 20: Kiểm tra báo cáo 34 21: Chế độ xem content 35 22: Chế độ xem cluster 36 23: Tìm kiếm 37 24: Quá trình tìm kiếm 38 25: Kết tìm kiếm 39 26: Comment 39 27: Kết báo cáo 40 LỜI NÓI ĐẦU Hiện ở Việt Nam xuất nhiều loại tội phạm mới, công hạ tầng thông tin quốc gia, sở dữ liệu quan nhà nước, ngân hàng, doanh nghiệp, trộm cắp thông tin bí mật quốc gia, phát tán thơng tin gây kích động, thù hằn, phá hoại đoàn kết dân tộc, lừa đảo qua mạng, công từ chối dịch vụ Cuộc đấu tranh chống loại tội phạm lĩnh vực cơng nghệ thơng tin, viễn thơng thường khó khăn phức tạp đối tượng khơng sử dụng công nghệ vào việc công, gây án, mà cịn triệt để lợi dụng để xóa dấu vết truy cập, dấu vết cài đặt mã độc, dấu vết lấy cắp dữ liệu, tải dữ liệu, mã hóa dữ liệu, dùng ngơn ngữ đặc biệt để lập trình mã độc, chống phát dịch ngược mã độc Tin tặc thường sử dụng máy tính, điện thoại di động, thiết bị lưu trữ kỹ thuật mã hóa dữ liệu, để lưu trữ, giấu dữ liệu Khi nghi ngờ bị điều tra, theo dõi, chúng cảnh giác, xóa hết dấu vết, dữ liệu có liên quan, chí format thiết bị lưu trữ dữ liệu Ổ cứng thành phần quan trọng nhớ máy tính, bởi thiết bị chứa toàn dữ liệu người dùng hệ điều hành windows hay tệp cá nhân Đồng thời định tốc độ xử lý (ví dụ tốc độ truyền dữ liệu sang ổ cứng di động khác hay USB) máy, tính bảo mật dữ liệu hay điện tiêu thụ nhiệt độ CPU Việc dữ liệu ổ cứng xảy thường xuyên xảy nhiều nguyên nhân Thông thường những dữ liệu quan trọng phục vụ cho công việc nên việc lấy lại dữ liệu vô cần thiết Với mục đích tìm hiểu ổ cứng việc điều tra nó, nhóm em chọn đề tài “Thu thập phân tích chứng từ ổ cứng” Với đề tài này, báo cáo nhóm em gồm chương: Chương I: Tổng quan điều tra số Chương II: Thu thập phân tích chứng từ ổ cứng Chương III: Demo Trong trình thực đề tài này, nhóm em cố gắng, xong khơng tránh khỏi thiếu sót Rất mong nhận được góp ý, dẫn thầy cô bạn sinh viên CHƯƠNG I: TỔNG QUAN VỀ ĐIỀU TRA SỐ 1.1 Khái niệm Điều tra số (còn gọi Khoa học điều tra số) nhánh ngành Khoa học điều tra đề cập đến việc phục hồi điều tra tài liệu tìm thấy thiết bị kỹ thuật số, thường có liên quan đến tội phạm máy tính Thuật ngữ điều tra số ban đầu được sử dụng tương đương với điều tra máy tính sau được mở rộng để bao quát toàn việc điều tra tất thiết bị có khả lưu trữ dữ liệu số Điều tra số được định nghĩa việc sử dụng phương pháp, công cụ kỹ thuật khoa học được chứng minh để bảo quản, thu thập, xác nhận, chứng thực, phân tích, giải thích, lập báo cáo trình bày lại những thông tin thực tế từ nguồn kỹ thuật số với mục đích tạo điều kiện thúc đẩy việc tái lại kiện nhằm tìm hành vi phạm tội hay hỗ trợ cho việc dự đoán hoạt động trái phép gây gián đoạn trình làm việc hệ thống 1.2 Mục đích – Ứng dụng Trong thời đại công nghệ phát triển mạnh Song song với ngành khoa học khác, điều tra số có những đóng góp quan trọng việc ứng cứu nhanh cố xảy máy tính, giúp chuyên gia phát nhanh dấu hiệu hệ thống có nguy bị xâm nhập, việc xác định được hành vi, nguồn gốc vi phạm xảy hệ thống Về mặt kỹ thuật điều tra số như: Điều tra mạng, điều tra nhớ, điều tra thiết bị điện thoại giúp cho tổ chức xác định nhanh những xảy làm ảnh hưởng tới hệ thống, qua xác định được điểm yếu để khắc phục, kiện tồn Về mặt pháp lý điều tra số giúp cho quan điều tra tố giác tội phạm cơng nghệ cao có được những chứng số thuyết phục để áp dụng chế tài xử phạt với hành vi phạm pháp Một điều tra số thường bao gồm giai đoạn: Tiếp nhận dữ liệu ảnh hóa tang vật, sau tiến hành phân tích cuối báo cáo lại kết điều tra được Việc tiếp nhận dữ liệu địi hỏi tạo copy xác sector hay gọi nhân điều tra, phương tiện truyền thông, để đảm bảo tính tồn vẹn chứng thu được những có được phải được băm sử dụng SHA1 MD5, điều tra cần phải xác minh độ xác thu được nhờ giá trị băm trước Trong giai đoạn phân tích, chun gia sử dụng phương pháp nghiệp vụ, kỹ thuật công cụ khác để hỗ trợ điều tra, những kỹ thuật được đề cập chi tiết ở chương đồ án Sau thu thập được những chứng có giá trị có tính thuyết phục tất phải được tài liệu hóa lại rõ ràng, chi tiếp báo cáo lại cho phận có trách nhiệm xử lý chứng thu được 1.3 Các bước thực điều tra Một điều tra số thường bao gồm giai đoạn: Chuẩn bị (Preparation), tiếp nhận dữ liệu hay cịn gọi ảnh hóa tang vật (Acquisition), phân tích (analysis) lập báo cáo (Reporting) Hình ảnh : Các giai đoạn điều tra số - Chuẩn bị: Bước thực việc mô tả lại thơng tin hệ thống, những xảy ra, dấu hiệu, để xác định phạm vi điều tra, mục đích tài nguyên cần thiết sử dụng suốt trình điều tra - Tiếp nhận dữ liệu: Đây bước tạo xác sector hay cịn gọi nhân điều tra phương tiện truyền thông, xác định rõ nguồn chứng sau thu thập bảo vệ tính tồn vẹn chứng việc sử dụng hàm băm mật mã - Phân tích: Đây giai đoạn chuyên gia sử dụng phương pháp nghiệp vụ, kỹ thuật công cụ khác để trích xuất, thu thập phân tích chứng thu được - Lập báo cáo: Sau thu thập được những chứng có giá trị có tính thuyết phục tất phải được tài liệu hóa lại rõ ràng, chi tiết báo cáo lại cho phận có trách nhiệm xử lý chứng thu được 1.4 Một số loại hình điều tra phổ biến 1.4.1 Điều tra máy tính - Computer Forensics Điều tra máy tính (Computer Forensics) nhánh khoa học điều tra số liên quan đến việc phân tích chứng pháp lý được tìm thấy máy tính phương tiện lưu trữ kỹ thuật số Mục đích điều tra máy tính nhằm xác định, bảo quản, phục hồi, phân tích, trình bày lại việc ý kiến thông tin thu được từ thiết bị kỹ thuật số Mặc dù thường được kết hợp với việc điều tra loạt tội phạm máy tính, điều tra máy tính được sử dụng tố tụng dân Bằng chứng thu được từ điều tra máy tính thường phải tuân theo những nguyên tắc thông lệ những chứng kỹ thuật số khác Nó được sử dụng số trường hợp có hồ sơ cao cấp được chấp nhận rộng rãi hệ thống tòa án Mỹ Châu Âu 1.4.2 Điều tra mạng - Network Forensics Điều tra mạng (Network Forensics) nhánh khoa học điều tra số liên quan đến việc giám sát phân tích lưu lượng mạng máy tính nhằm phục vụ cho việc thu thập thông tin, chứng pháp lý hay phát xâm nhập Network Forensics được hiểu Digital Forensics môitrường-mạng Network Forensics lĩnh vực tương đối khoa học pháp y Sự phát triển ngày Internet đồng nghĩa với việc máy tính trở thành mạng lưới trung tâm dữ liệu bây giờ khả dụng chứng số nằm đĩa Network Forensics được thực điều tra độc lập kết hợp với việc phân tích pháp y máy tính (computer forensics) – thường được sử dụng để phát mối liên kết giữa thiết bị kỹ thuật số hay tái tạo lại quy trình phạm tội Hình ảnh 2: Sử dụng Wireshark phân tích tấn công Teadtop 1.4.3 Điều tra thiết bị di động - Mobile Device Forensics Điều tra thiết bị di động (Mobile device Forensics) nhánh khoa học điều tra số liên quan đến việc thu hồi chứng kỹ thuật số dữ liệu từ thiết bị di động Thiết bị di động ở không đề cập đến điện thoại di động mà thiết bị kỹ thuật số có nhớ khả giao tiếp, bao gồm thiết bị PDA, GPS máy tính bảng Việc sử dụng điện thoại với mục đích phạm tội phát triển rộng rãi những năm gần đây, nghiên cứu điều tra thiết bị di động lĩnh vực tương đối mới, có niên đại từ những năm 2000 Sự gia tăng loại hình điện thoại di động thị trường (đặc biệt điện thoại thơng minh) địi hỏi nhu cầu giám định thiết bị mà đáp ứng kỹ thuật điều tra máy tính ... hiểu ổ cứng việc điều tra nó, nhóm em chọn đề tài ? ?Thu thập phân tích chứng từ ổ cứng? ?? Với đề tài này, báo cáo nhóm em gồm chương: Chương I: Tổng quan điều tra số Chương II: Thu thập phân tích chứng. .. kê các tiến trình chạy hệ thớng CHƯƠNG II: THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ Ổ CỨNG 2.1 Giới thiệu ổ cứng 2.1.1 Khái niệm Ổ đĩa cứng, hay gọi ổ cứng (tiếng Anh: Hard Disk Drive, viết tắt: HDD)... trình thu thập phân tích chứng từ ổ cứng 27 2.5.2 Phân tích hệ thống tập tin 28 CHƯƠNG III: DEMO 3.1 Chuẩn bị 30 30 Máy tính cài cơng cụ 30 Tạo file imgdisk để phân tích 30 3.2 Tiến hành phân tích