Quy trình người phản hồi Giảng viên: Thầy Nguyễn Mạnh Thắng Tình Sam, quản trị viên hệ thống, bị bất ngờ thấy office server tệp quan trọng bị thiếu Anh nghi server bị xâm nhập nên thực điều tra hệ thống Sam báo cáo việc cho Bob, nhân viên An ninh Thông tin làm việc công ty Bob ghi lại báo cáo từ Sam Là CHFI, Sam nắm bắt tình hình làm theo thủ tục để kiểm tra hệ thống Anh ta kiểm tra tập tin hình ảnh đĩa cứng server thấy xuất diện rootkit thư mục server Khi điều tra Sam có nhớ lại tải xuống công cụ quản lý từ bên thứ ba Internet Anh nhận rootkit đóng gói với cơng cụ quản lý Chống tội phạm thời đại thông tin Ngày công nghệ phát triển, cách công tội phạm Để thành công thời đại thông tin này, quan thực thi pháp luật phải nắm bắt công nghệ để chống lại tội phạm kỷ 21 Franklin County Sherif Ewell Hunt cho biết: “Chúng liên tục bổ sung vào kho cơng cụ cơng nghệ mình” "Các điều tra ngày khác so với 30 năm trước, phải điều chỉnh phương pháp cho phù hợp với tội phạm kỷ 21." “Ví dụ điện thoại di động tham gia 90% điều tra tội phạm chúng tôi” Hunt cho biết “Chúng chứa lượng lớn thơng tin mà chúng tơi sử dụng để thiết lập dòng thời gian, liên lạc địa hữu ích cho điều tra chúng tơi." Vào tháng 2, Văn phịng Cảnh sát trưởng Quận Franklin mua phần cứng, phần mềm đào tạo để lấy chứng pháp y từ điện thoại di động “Chúng không giám sát việc sử dụng điện thoại di động”,Trung sĩ Eric Ingram nói "Chúng tơi truy xuất thơng tin từ điện thoại có cách hợp pháp trình điều tra tội phạm” Ingram, Trung úy Steve McGuire Điều tra viên Sandra Ingram đào tạo để truy xuất liệu bảo quản chứng pháp lý để đảm bảo thơng tin chấp nhận trước tịa Mục tiêu Module • Bằng chứng điện tử • Người phản hồi • Thiết bị điện tử: loại, thu thập chứng • Bộ cơng cụ • Kiến thức • Phản hồi nhân viên pháp y • Bảo mật đánh giá trường • Phỏng vấn sơ • Ghi lại trường tội phạm điện tử • Thu thập bảo quản chứng điện tử • Đóng gói vận chuyển chứng điện tử • Báo cáo trường vụ án • Ghi danh sách kiểm tra • Những sai lầm phổ biến MOUDLE Luồng Thực FLOW Thi Người Bộ công cụ Phản hồi phản hồi phản hồi đầu đầu tiên tiên Bảo mật Thực đánh giá trường vụ án vấn điện tử sơ Thu thập Đóng gói bảo quản vận chuyển chứng chứng điện tử điện tử Ghi lại trường vụ án điện tử Lập báo cáo trường vụ án Bằng chứng điện tử “Bằng chứng điện tử liệu có giá trị điều tra lưu trữ thiết bị điện tử truyền đi" Nó che giấu, tương tự dấu vân tay hay DNA Các đặc tính chứng điện tử Nó hết hạn thời gian quy định Nó bị phá hủy tác động bên Người phản hồi Là người đến trường truy cập máy tính nận nhân sau tai nạn Là người chịu trách, bảo quản, bảo vệ chứng từ trường Là người làm quản trị mạng, người thi hành luật tra Vai trò người phản hồi Xác định trường Bảo vệ trường Lưu giữ chứng tạm thời Thu thập đầy đủ thông tin đủ vụ việc Ghi lại tất phát Đóng gói vận chuyển chứng điện tử Các thiết bị điện tử: Các loại cách thu thập chứng tiềm (Cịn tiếp) Hệ thống máy tính Bằng chứng tìm thấy tài liệu lưu trữ máy, nhớ, thẻ, đĩa cứng, thiết bị lưu trữ tháo rời phương tiện đĩa mềm, CD, DVD Các cá nhân trợ lý phần kỹ thuật Bằng chứng tìm thấy sổ địa chỉ, lịch hẹn thông tin, tài liệu emall Máy nhắn tin Để thu thập chứng, kiểm tra thông tin địa chỉ, tin nhắn, emal số điện thoại Máy ảnh kĩ thuật số Bằng chứng tìm thấy hình ảnh, video, âm thanh, thời gian ngày tháng Máy trả lời Bằng chứng tìm thấy ghi âm giọng nói tin nhắn xóa, số gần gọi, ghi nhớ số điện thoại Ổ cứng Để thu thập chứng, kiểm tra tệp văn bản, hình ảnh, video, đa phương tiện, liệu chương trình Ổ cứng flash Để thu thập chứng, kiểm tra trang văn bản, đồ họa, pháp sư hình ảnh Thẻ nhớ Để thu thập chứng, kiểm tra nhật ký kiện, nhật ký trò chuyện, văn bản, tệp hình ảnh, tệp ảnh lịch sử duyệt Intemet Thẻ thông minh, Dongle, Máy quét sinh trắc học Bằng chứng tìm thấy cách nhận xác minh thông tin thẻ với người dùng, cấp độ truy cập, cấu hình, quyền thiết bị Thiết bị điện tử: Các loại cách thu thập chứng tiềm Máy fax Bằng chứng tìm qua tài liệu, số fax, lịch sử gửi Đồng hồ số Bằng chứng tìm địa điểm đặt chỗ, giấy nhớ, lịch hẹn, số điện thoại, email Thẻ credit Bằng chứng tìm ngày hết hạn, địa chủ thẻ, số thẻ, tên chủ thẻ Máy in Bằng chứng tìm bên tài liệu, lịch sử dung, thời gian ngày dùng Máy in Bằng chứng tìm lịch sử sử dụng, thông tin thời gian, ngày tháng, thông tin mạng Các đĩa mềm bị bỏ Bằng chứng tìm bên chúng Điện thoại bàn Bằng chứng thấy thông tên, số điện thoại, thông tin định danh người gọi, thông tin gọi Modem Bằng chứng tìm bên chúng Máy quét Bằng chứng thấy thông tên, số điện thoại, thông tin định danh người gọi, thông tin gọi Lưu trữ chứng điện tử Đảm bảo chứng điện tử liệt kê theo sách phận Bảo vệ chứng điện tử khỏi từ Lưu trữ chứng điện tử nơi trường, khói bụi, tránh rung lắc an tồn mơi trường yếu tố khác phá hủy kiểm sốt tính tồn vẹn chúng Chuỗi hành trình Tài liệu chuỗi hành trình bao • “Chuỗi hành trình” đề cập đến tài gồm đầy đủ thông tin liệu viết cá nhân có quyền chứng có được: giữ vật chất chứng  Số trường hợp từ bị thu giữ kết thúc  Tên chức danh vụ án • người nhận Bằng cách trở thành mắt xích  Địa số điện thoại chuỗi hành trình sở hữu mảnh  Địa điểm thu thập bằng chứng, cá nhân có trách nhiệm bảo mật chịu giám sát pháp luật trường hợp có khiếu nại việc giả mạo chứng chứng  Ngày/giờ thu thập chứng  Số lượng/mô tả Cấu trúc đơn giản tài liệu chuỗi hành trình Tài liệu chuỗi hành trình Tên phịng thí nghiệm/cơ quan Người nhận (Tên tiêu đề) Địa điểm có chứng Số trường hợp: Địa số điện thoại Lý có Ngày có chứng chứng Số hàng Số lượng Mô tả Các mẫu chuỗi hành trình (cịn tiếp) Bảng tính hệ thống máy tính Các mẫu chuỗi hành trình (cịn tiếp) Thiết bị ngoại vi kết nối Các mẫu chuỗi hành trình Mẫu chuỗi hành trình Chuỗi hành trình đặt phong bì/ túi chứng mẫu đăng xuất MOUDLE Luồng thực FLOW thi Người Bộ công cụ Phản hồi phản hồi phản hồi đầu đầu tiên tiên Bảo mật Thực đánh giá trường vụ án vấn điện tử sơ Thu thập Đóng gói bảo quản vận chuyển chứng chứng điện tử điện tử Ghi lại trường vụ án điện tử Lập báo cáo trường vụ án Lập báo cáo trường vụ án  Sau hồn thành q trình điều tra, người phản hồi cần tạo báo cáo cuối bao gồm đầy đủ thơng tin q trình điều tra  Bản báo cáo bao gồm: • Thời gian địa điểm vụ án • Kết q trình qt virus • Mơ hình, kích thước phân vùng ổ • Phần mềm có máy tính cứng để phát liệu bị bị ẩn • • nạn nhân • Danh sách tập tin lưu trữ Tên phiên hệ điều hành máy tính nạn nhân gắn với thời gian chạy máy tính nạn nhân tạo sửa đổi Kết chương trình • DOS ScanDisk DOC ChkDisk để phát xác liệu tìm thấy Tên phiên hệ điều hành sử dụng q trình thu thập • Tên người vấn quan điểm người Danh mục kiểm tra (còn tiếp) Danh mục kiểm tra trường vụ án  Ngày/giờ Danh mục kiểm tra trường vụ án  Các thông tin khác trường  Tên - Nhật ký trường vụ án  Số lượng - Nhân viên y tế trường  Loại cố - Giám định y khoa trường  Ngày/giờ đến - Phương tiện truyền thơng  Vị trí vật lý/địa trường  Loại vị trí  Bên chịu trách nhiệm nạn nhân  Các điều kiện thời tiết - Tên  Các điều kiện ánh sáng - Ngày sinh - Tự nhiên - Địa - Nhân tạo  Nhân chứng  Thông tin liên hệ trường - Tên, chức danh, số seri - Tên - Ngày sinh – Địa Danh mục kiểm tra Danh mục kiểm tra trường vụ án  Phương tiện giao thông trường - Hình dáng/Mơ hình/Màu sắc/Biển số xe - Vị trí - Tổn thất  Cơng cụ tìm /ghi lại chứng  Lệnh khám xét  Bằng chứng/bên ngồi - Vị trí, chủng loại, điều kiện - Mơ tả, vị trí, hướng di chuyển - Vật chứng trường hợp có sử dụng Mơ tả Hình dáng Vị trí - Các vết máu Loại, vị trí, phương hướng Danh mục kiểm tra trường - Các in tiềm ẩn vụ án Vị trí, định hướng Mẫu biết Loại vị trí - Khác Vị trí, định hướng Mẫu biết Loại vị trí - Khác Mơ tả, loại, vị trí  Hình ảnh - Ảnh nhật ký - Quan điểm/Vị trí ảnh - Chủ đề - Ảnh tổng quan/mở rộng, trung gian,cận cảnh - Quy mô Các lỗi thường gặp người phản hồi • Hầu hết, quản trị mạng hệ thống làm việc người phản hồi trường vụ án • Họ khơng thể xử lý Lỗi thường gặp người phản hồi • nạn nhân • Giả sử số thành phần máy tính nạn nhân cố an ninh cách phù đáng tin cậy hợp họ khơng biết rõ quy trình Tắt khởi động máy tính dùng • Khơng có quyền truy cập vào tài liệu sở máy tính nạn nhân • Khơng ghi lại q trình thu thập liệu TỔNG KẾT  Bằng chứng điện tử thơng tin liệu có giá trị điều tra lưu trữ truyền qua thiết bị điện tử  Đơi người dùng có cần phải có đồng ý người dùng phần cứng yêu cầu đồng thời đồng ý đưa  Tài liệu vụ án tạo hồ sơ lịch sử không thay đổi  “Chuỗi hành trình” đề cập đến tài liệu viết cá nhân có quyền giữ vật chất chứng từ bị thu giữ kết thúc vụ án ... danh sách kiểm tra • Những sai lầm phổ biến MOUDLE Luồng Thực FLOW Thi Người Bộ công cụ Phản hồi phản hồi phản hồi đầu đầu tiên tiên Bảo mật Thực đánh giá trường vụ án vấn điện tử sơ Thu thập Đóng... máy pháp y Wiebetech • Máy Logicube pháp y MOUDLE Luồng Thực FLOW Thi Người Bộ công cụ Phản hồi phản hồi phản hồi đầu đầu tiên tiên Bảo mật Thực đánh giá trường vụ án vấn điện tử sơ Thu thập Đóng... định danh người gọi, thông tin gọi MOUDLE Luồng Thực FLOW Thi Người Bộ công cụ Phản hồi phản hồi phản hồi đầu đầu tiên tiên Bảo mật Thực đánh giá trường vụ án vấn điện tử sơ Thu thập Đóng gói bảo