Module Thực hành điều tra máy tính C HFI Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited Chiến lược hóa điều tra máy tính Trách nhiệm điều tra viên máy tính tiến hóa để bắt kịp với chất tội phạm máy tính Đấy lời Jacques Malan, giám đốc Facts Consulting, Thượng đỉnh An ninh ITWeb lần thứ Sandton vào tuần Malan nói vai trị điều tra viên tiến hóa đến giai đoạn phát triển biện pháp chiến lược chủ động điều tra "Chúng ta phải biết tội phạm máy tính khơng đơn hacker sử dụng Internet công cụ phạm tội, " Malan Điều bao gồm tội phạm kinh tế, tội phạm lừa đảo ảo, hacker, khủng bố kẻ công mạng lưới Khi tiến hành điều tra, công ty nên bắt đầu cách đánh giá, Malan nói "Chúng đảm bảo cố an ninh, điều chỉnh sai thử nghiệm Đôi bắt gặp cố riêng biệt khác điiều tra." Có cân định việc đưa hệ thống offline để bảo vệ chứng giữ cho công ty hoạt động "Để làm việc này, phải phát triển cơng nghệ để lấy hình ảnh điều tra từ hệ thống hoạt động việc tắt hệ thống khơng cịn khả thi nữa" C HFI Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited Module Flow C HFI Chuẩn bị môi trường thực nghiệm Dịch vụ điều tra pháp y máy tính Pháp y phần cứng máy tính Pháp y phần mềm máy tính 38 Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited Mơi trường điều tra máy tính Mơi trường điều tra nơi để thực điều tra chứng thu thập máy tính Cài đặt môi trường bao gồm: Lên kế hoạch kinh phí Lấy giấy phép cho lab Vị trí địa lý cân nhắc thiết kế cấu trúc Cân nhắc nhân lực Cân nhắc khu vực làm việc Các khuyến cáo an ninh vật lý C HFI Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited Lên kế hoạch cho lab điều tra Danh sách yếu tố nên lên kế hoạch trước xây dựng phòng lab điều tra: Các loại điều tra thực Các tài liệu tham khảo Các máy trạm, gồm máy điều tra khác Các tủ khóa để lưu trữ bảo vệ chứng gốc UPS để phòng chống trường hợp điện Kết nối LAN Internet Các phần mềm phần cứng cần thiết Các tủ lưu trữ dụng cụ chưa dùng Giá sách cho thư viện Số lượng điều tra viên C HFI Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited Phân bố ngân sách cho phòng lab C HFI Bản chất phòng lab nhân tố định Ngân sách phịng lab tính cách ước tính số lượng trường hợp cần điều tra Không gian sử dụng, thiết bị cần dùng, nhân sự, huấn luyện, yêu cầu phần mềm phần cứng cần cân nhắc phân bố số lượng ngân sách cụ thể cho phòng lab Số liệu tội phạm năm ngối dự đốn xu hướng đóng vai trị quan trọng việc phân bố ngân sách Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited u cầu vị trí vật lý phịng lab Địa điểm phòng lab Tiếp cận với dịch vụ khẩn cấp Đèn chiếu sáng phịng lab Điều kiện mơi trường xã hội phòng lab Thiết kế sở đỗ xe C HFI Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited Cân nhắc thiết kế cấu trúc Phải nơi an toàn Phải xây dựng máy móc nặng Khơng có chổ hở tường, trần nhà sàn nhà Khơng có cửa sổ bên ngồi C HFI Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited Điều kiện mơi trường Diện tích phịng lớn C HFI Lượng khơng khí trao đổi phịng cao Hệ thống điều hòa tốt để cân với lượng nhiệt tỏa máy trạm Phân bố máy trạm dựa theo diện tích phịng Sắp xếp máy tính dựa theo kiến trúc phịng lab Bắt buộc phải xử lý lượng nhiệt tỏa server RAID Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited Yêu cầu điện Cần cung cấp lượng điện đầy đủ Cần phải có nguồn điện ánh sáng khẩn cấp Phải có ổ điện dễ tiếp cận Phải có Nguồn điện Khơng gián tiếp (UPS) tất máy tính C HFI Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited Phần mềm phân tích: SIM Card Seizure Sim Card Seizure cơng cụ phân tích liệu thẻ SIM khơi phục liệu xóa C HFI 134 Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited Phần mềm phân tích: CD/DVD Inspector Trình kiểm tra CD / DVD phần mềm để phân tích chuyên sâu trích xuất liệu từ CD-R, CD-RW DVD Media Nó đọc tất định dạng hệ thống tệp CD DVD bao gồm ISO-9660 Joliet UDF, HFS HFS + Các tính trình kiểm tra CD / DVD • Cạnh tranh hình ảnh CD • Hỗ trợ tạo hình ảnh Zip từ phương tiện • Hỗ trợ khơi phục phương tiện DVD • Qt tệp • Tích hợp trình xem hình ảnh • Kiểm tra qt ngành cấp thấp • Hiển thị đĩa CD Text, Isrc RID audio C HFI 135 Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited Phần mềm phân tích: Video Indexer ❑ Video Indexer phát video tốc độ khung hình cao (lên đến 64 lần tốc độ phát bình thường) ghi lại thay đổi đáng kể khung hình coi thay đổi cảnh ❑ Kết hiển thị hình số lượng tương đối nhỏ số lượng hình thu nhỏ khung hình tương đối nhỏ cho thấy hành động quan trọng video C HFI 136 Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited Phần mềm giám sát: Device Seizure Thu giữ thiết bị phần mềm thu thập phân tích liệu từ 1.950 điện thoại di động, PDA thiết bị GFS bao gồm iPhone Nó thiết kế từ công cụ cấp pháp y sử dụng vơ số phiên tịa Thu giữ thiết bị thu thập liệu sau: • Lịch sử SMS • SMS xóa • Danh bạ điện thoại • Lịch sử gọi • Hệ thống tập tin • Điểm tham chiếu GFS • Cơ sở liệu PDA • Cơ quan đăng ký C HFI 137 Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited Device Seizure Screenshots C HFI 138 Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited Phần mềm giám sát: Deployable P2 Commander DP2C Paraben công cụ pháp y triage dựa ổ ngón tay cái, hồn hảo cho tình thu thập triển khai nhanh chóng Đặc trưng • Khởi động trực tiếp vào DP2C mà khơng cần đăng nhập vào Windows • Tìm kiếm chứng nhanh chóng • Sắp xếp liệu khu vực ẩn email, trị chuyện, lịch sử internet, tài liệu, v.v • Qt qua liệu xóa không gian chưa phân bổ C HFI 139 Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited Phần mềm giám sát: ThumbsDisplay ThumbsDisplay công cụ để kiểm tra báo cáo nội dung tệp thumbs.db sử dụng windows Hiển thị tất tệp hình thu nhỏ: thumbs.db, thumbcache_idx.db, thumcache_32.db, v.v Hiển thị tất hình ảnh thu nhỏ có tên tệp gốc dấu thời gian Hiển thị hình thu nhỏ ba kích thước: 96x96, 150x150 200x200 In hình ảnh vào khay nhớ tạm để đưa vào tài liệu C HFI 140 Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited ThumbsDisplay Screenshot C HFI 141 Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited Phần mềm giám sát: Email Detective ❑ Email Detective công cụ phần mềm cho phép nhà điều tra trích xuất nội dung email từ sở liệu America Online ổ đĩa máy tính người dùng ❑ Một báo cáo toàn diện tạo cho điều tra viên pháp y nêu chi tiết tất tin nhắn hình ảnh truy xuất C HFI 142 Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited Phần mềm pháp y máy tính: Datalifter Datalifter cơng cụ pháp y có chín cơng cụ giúp điều tra pháp y Các tiện ích nhóm lại với với datalifter bao gồm: • Disk2File • Image Linker • File Extractor Pro • Internet History Viewer • Email Retriever • Recycle Bin History and Link File Viewer • Ping/ Trace route/ Whois tools • FTK Imager • Screen Capture C HFI 143 Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited Phần mềm pháp y máy tính: X-Ways Forensics X-Ways Forensics mơi trường làm việc tiên tiến dành cho giám định viên pháp y máy tính Đặc trưng: Sao chép đĩa hình ảnh Khả đọc cấu trúc hệ thống tệp phân vùng bên tệp hình ảnh thơ, hình ảnh ISO VHD Hỗ trợ gốc cho Fat12, Fat16, Fat32, exFAT, TFat, NTFS, EXxt2, Xem kết xuất Ram vật lý nhớ ảo tiến trình chạy Chế độ xem đệ quy tất tệp có xóa tất thư mục C HFI 144 Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited Phần mềm pháp y máy tính: LiveWire Investigator ❑ LiveWire Investigator kiểm tra hệ thống máy tính cách nhanh chóng kín đáo, thu thập liệu liên quan, bao gồm trạng thái, hệ thống điều tra tiếp tục hoạt động ❑ Nó tiến hành điều tra thu thập thơng tin mà khơng làm gián đoạn hoạt động ❑ Nó đơn giản để hoạt động; Nó tuân theo nguyên tắc tốt pháp y kỹ thuật số cung cấp loạt tùy chọn thu thập liệu cơng cụ phân tích C HFI 145 Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited Module Summary ❑ Phịng thí nghiệm pháp y máy tính địa điểm định để tiến hành điều tra dựa máy tính dựa điều kiện thu thập ❑ Ngân sách cho phòng thí nghiệm pháp y phân bổ cách ước tính số trường hợp khai thác ❑ Một phịng thí nghiệm lý tưởng bao gồm hai máy trạm pháp y máy trạm thơng thường có kết nối internet ❑ Phịng thí nghiệm nên kiểm tra thường xuyên để kiểm tra xem máy trạm sách có hoạt động với kết nối internets hay khơng ❑ Phịng thí nghiệm cần kiểm tra thường xun để kiểm tra xem sách thủ tục thực có tn thủ hay khơng ❑ Một phịng thí nghiệm pháp y nên giám sát để bảo vệ khỏi xâm nhập ❑ The american cociety of crime laboratory directors (ASCLD) quan quốc tế chứng nhận phịng thí nghiệm pháp y điều tra vụ án hình cách phân tích chứng C HFI 146 Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited C HFI 147 Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited C HFI 148 Copyright © by FC Council All Rights Reserved Reproduction is Strictly Prohibited ... Prohibited Điều tra viên • Điều tra viên cần có kiến thức máy tính phần cứng, phần mềm, hệ điều hành, ứng dụng, v v • Điều tra viên cần phải thực điều tra chuẩn mực để bảo vệ chứng số • Điều tra viên... Prohibited Xác định công cụ điều tra Điều tra thiết bị di đông Bao gồm S/W cho trính trích xuất chứng, xử lý điều tra Điều tra thiết bị di đông Chỉ điều tra liệu thu thập Điều tra môi trường Lab Bao... Reserved Reproduction is Strictly Prohibited Môi trường điều tra máy tính Mơi trường điều tra nơi để thực điều tra chứng thu thập máy tính Cài đặt mơi trường bao gồm: Lên kế hoạch kinh phí Lấy