Nghiên ứu điều tra số trên thiết bị di động thông minh

123 Trang 11 x LỜI CAM ĐOANTrước tiên tôi xin chân thành gửi lời cảm ơn và lòng biết ơn sâu sc tới PGS.TS Nguyn Linh Giang – Vi n Công nghệ Thông tin – Truyền thông, người đã tận tình

B GIÁO D Ộ ỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠ I H C BÁCH KHOA HÀ N I Ọ Ộ

-

Hoàng Thanh Nam

ĐỘNG THÔNG MINH

Chuyên ngành: Truy n thông và m ng máy tính ề ạ LUẬN VĂN THẠC SĨ KỸ THU T Ậ

NGƯỜI HƯỚ NG D N KHOA H C Ẫ Ọ

PGS.TS Nguy n Linh Giang ễ

Năm 2016

i

M C L C Ụ Ụ

M C L C Ụ Ụ i

DANH M C VI T T T Ụ Ế Ắ v

DANH M C B Ụ ẢNG vi

DANH M C HÌNH Ụ vii

L I M Ờ Ở ĐẦ xi U CHƯƠNG 1 TỔ NG QUAN V KHOA H Ề ỌC ĐIỀ U TRA S 1 Ố 1.1 Khái ni m vệ ề khoa học điều tra s ố 1

1.1.1 Khái ni m ệ 1

1.1.2 ng d ng cỨ ụ ủa điều tra s ố 1

1.1.3 Các loại hình điều tra s ố 2

1.2 Đặc điểm của điều tra s 3ố 1.2.1 T i ph m máy tính ộ ạ 3

1.2.2 B ng ch ng s ằ ứ ố 6

1.2.3 Vấn đề pháp lý 7

1.3 Quy định b ng ch ng s t i M 11ằ ứ ố ạ ỹ 1.4 Yêu cầu để thừa nh n b ng ch ng s ậ ằ ứ ố 12

1.4.1 Xác th c ự 12

1.4.2 Quy định v b ng ch ng gề ằ ứ ốc 14

1.5 Xác nh n tính h p l c a công c ậ ợ ệ ủ ụ điều tra số 15

1.6 Ki u b ng ch ng s ể ằ ứ ố 16

1.6.1 B ng ch ng s máy tính ằ ứ ố 16

ii

1.6.2 Các ki u b ng ch ng khác ể ằ ứ 20

CHƯƠNG 2 QUY TRÌNH ĐIỀ U TRA S 22 Ố 2.1 Quy trình chung điều tra s 22ố 2.1.1 Chu n b ẩ ị 23

2.1.2 B o v ả ệ và giám định hiện trường 25

2.1.3 L p tài li u hiậ ệ ện trường 26

2.1.4 Thu th p b ng chậ ằ ứng 27

2.1.5 Đánh dấu, v n chuyậ ển và lưu trữ 37

2.1.6 Ki m tra ể 38

2.1.7 Phân tích 39

2.1.8 L p tài li u báo cáo và báo cáo ậ ệ 40

2.2 Quy trình điều tra s trên thi t b Android ố ế ị 41

2.2.1 Ti p nh n cuế ậ ộc điều tra 42

2.2.2 Nh n d ng thi t b ậ ạ ế ị 43

2.2.3 Chuẩn b ị 47

2.2.4 B o v b ng chả ệ ằ ứng 50

2.2.5 X lý b ng ch ng ử ằ ứ 51

2.2.6 Ki m tra xác nh n ể ậ 52

2.2.7 L p tài li u và báo cáo ậ ệ 53

2.2.8 Trình bày v ụ án 54

2.2.9 Lưu trữ ồ sơ vụ h án 54

2.3 Quy trình thu th p b ng chậ ằ ứng 54

2.3.1 Th tủ ục ban đầu để ả b o v d u trên thi t b ệ ữ liệ ế ị 57

iii

2.3.2 Thu th p d u trên thi t b b t, không có mã b o v ậ ữ liệ ế ị ậ ả ệ 58

2.3.3 Thu th p trên thi t b b t, có mã b o vậ ế ị ậ ả ệ 60

2.4 Quy trình phân tích b ng chằ ứng 62

CHƯƠNG 3 KỸ THU ẬT ĐIỀ U TRA S 66 Ố 3.1 H ệ điều hành Android 66

3.1.1 Các thành ph n h ầ ệ điều hành Android 66

3.1.2 B o m t Android ả ậ 69

3.1.3 C u trúc phân c p file ấ ấ 71

3.1.4 H ệ thống t p tin ậ 73

3.2 Thi t lế ập môi trường điều tra s ố 80

3.2.1 Môi trường điều tra s 80ố 3.2.2 Công c l p trình ASDK ụ ậ 80

3.2.3 H ệ thống gi l p thi t b Android ả ậ ế ị 80

3.2.4 K t n i thi t b Android ế ố ế ị 83

3.2.5 Truy c p thi t b Android không khoá ậ ế ị 85

3.2.6 Truy c p thi t b Android có khoá ậ ế ị 86

3.3 K ỹ thuật trích xu t và ph c h i d uấ ụ ồ ữ liệ 89

3.3.1 Trích xu t d u th ấ ữ liệ ủ công 89

3.3.2 Trích xu t d u logic ấ ữ liệ 90

3.3.3 Trích xu t d u vấ ữ liệ ật lý 98

3.3.4 Trích xu t t o nh m t b nh ấ ạ ả ộ ộ ớ thẻ 102

3.3.5 Khôi ph c các t p tin b xóa ụ ậ ị 103

3.3.6 Ph c h i d u b xóa t ụ ồ ữ liệ ị ừ thẻ SD 103

iv

3.3.7 Ph c h i d u b xóa t b nh ụ ồ ữ liệ ị ừ ộ ớ trong 106

CHƯƠNG 4 THỰ C NGHI ỆM PHÂN TÍCH ĐIỀ U TRA S 114 Ố 4.1 Gi i thi u tình hu ng ớ ệ ố 114

4.2 Th c hiự ện quy trình điều tra 115

4.2.1 Ti p nh n cuế ậ ộc điều tra 115

4.2.2 Nh n d ng thi t b ậ ạ ế ị 115

4.2.3 Chu n b ẩ ị 116

4.2.4 B o v ả ệ chứng c ứ 118

4.2.5 X lý b ng ch ng ử ằ ứ 119

4.2.6 Ki m tra xác nh n ể ậ 128

4.3 Đánh giá quá trình thực hi n quy trình 128ệ K T LU N Ế Ậ 130

TÀI LI U THAM KH O Ệ Ả 131

PHỤ Ụ L C I CÁC CÔNG C ĐI U TRA S 132 Ụ Ề Ố PHỤ Ụ L C II S D NG CÔNG C AUTOSPY Ử Ụ Ụ 138 PHỤ Ụ L C III GI I MÃ T Ả ẬP TIN CƠ SỞ Ữ D LI U Ứ Ệ NG D NG WHATSAPP 142 Ụ

v

SWGDE Scientific Working Group on Digital

Evidence Nhóm khoa h c làm vi c trên b ng chứng s ố ọ ệ ằNIJ National Institute of Justice Viện tư pháp quốc gia Hoa K ỳISO International Organization for

Standardization

T ổ chức tiêu chu n hóa qu c t ẩ ố ế

FBI Federal Bureau of Investigation Cục điều tra liên bang

SOP Standard Operating Procedures Quy trình chu n ẩ

ACPO Association of Chief Police Officers Hiệp h i cộ ảnh sát trưởng

MD5 Message-Digest algorithm 5 Thuật toán hàm băm

SHA Secure Hash Algorithm Thuật toán hàm băm an toàn RAM Random Access Memory B nh truy c p ngộ ớ ậ ẫu nhiên

NTFS New Technology File System H ệ thống t p tin công ngh m i ậ ệ ớFAT File Allocation Table Bảng định vị ậ t p tin

PDA Personal digital assistant Thiêt b ị trợ giúp cá nhân

GPS Global Positioning Systems Thiế ị địt b nh v ị

vi

B ng 2.1ả – Đường dẫn lưu trữ các tập tin cơ sở ữ liệ 80 d u

B ng 4.1 Thông tin nh n d ng thi t b ả – ậ ạ ế ị 116

vii

Hình 1.1M u chu i qu n lý b ng ch ng ẫ ỗ ả ằ ứ 13

Hình 1.2 K t qu ế ả chuỗi MD5 14

Hình 1.3 Ki u b ng ch ng s ể ằ ứ ố 17

Hình 2.1 Quy trình điều tra s 23ố Hình 2.2 Thi t b ế ị chống ghi 25

Hình 2.3 Quy trình thu th p b ng ch ng theo NIJ ậ ằ ứ 30

Hình 2.4 Tạo thư mục ch a b ng ch ng ứ ằ ứ 35

Hình 2.5 Ch n thu thọ ập đữ liệ ừ ộ u t b nh ớ 35

Hình 2.6 Chọn thư mục ch a b ng ch ng ứ ằ ứ 36

Hình 2.7 Quá trình thu th p bậ ắt đầu di n ra ễ 36

Hình 2.8 L a ch n xác nh n hình nh ự ọ ậ ả 36

Hình 2.9 K t qu giá tr ế ả ị băm 37

Hình 2.10 –Lược đồquy trình điều tra s ố 42

Hình 2.11 Quy trình thu th p b ng ch ng – ậ ằ ứ 56

Hình 2.12 – Thủ ục ban đầ t u b o v d u trên thi t b ả ệ ữ liệ ế ị 57

Hình 2.13 – Các bước thu th p trên thi t b không có mã b o vậ ế ị ả ệ 59

Hình 2.14 – Thiế ị UFED TOUCH ULTIMATE 60t b Hình 2.15 Thu th p d u trên thi t b có mã b o v – ậ ữ liệ ế ị ả ệ 61

Hình 2.16 Quy trình ki m tra và phân tích – ể 63

Hình 3.1 Ki n trúc Android ế 66

Hình 3.2 Máy o Dalvik và Java ả 68

Hình 3.3 Kích ho t ch USB Debug trên thi t b – ạ ế độ ế ị 84

Hình 3.4 Tìm các thi t b – ế ị đã kế ố t n i 84 Hình 3.5 K t n i ADB – ế ố 84

Hình 3.6 Mô ph ng khóa mô hình android – ỏ 87

Hình 3.7 N i dung file gesture.key d ng hex – ộ ở ạ 88 Hình 3.8 So sánh chu i nh– ỗ ận được v i t ớ ừ điể 88n

viii

Hình 3.9 Mô ph ng l i hình d ng khóa mô hình – ỏ ạ ạ 88

Hình 3.10 D u copy t – ữ liệ ừ /data 91

Hình 3.11 SQLite Browser – 92

Hình 3.12 D u b n ghi cu c g i – ữ liệ ả ộ ọ 93

Hình 3.13 Thông tin l ch s – ị ử cuộc g i ọ 94

Hình 3.14 G i b ng trong file contacts2.db ọ ả 94

Hình 3.15 Các t p tin trong browser2.db oxy Viewer SQLite Forensic – ậ 95

Hình 3.16 B ng fb.db trong SQLite Browser – ả 96

Hình 2.15 Các ng d ng AFLogical OSE ứ ụ 98

Hình 3.17 Thông báo hi n th sau khi chi t xu t hoàn t tể ị ế ấ ấ 98

Hình 3.18 Thông tin trích xu t d ng csv – ấ ạ 98

Hình 3.19 – Thiế ập t l The JTAG 100

Hình 3.20 K – ỹ thuật Chip-off 101

Hình 3.21 -Các tùy ch n hình ọ ảnh đĩa WinHex 103

Hình 3.22 Phát hi n ph c h i thi t b Android – ệ ụ ồ ế ị 104

Hình 3.23 Danh sách các thi t b – ế ị lưu trữ có s n ẵ 105

Hình 3.24 – Danh sách file được ph c h i 105ụ ồ Hình 3.25 ng d– Ứ ụng siêu sao lưu 106

Hình 3.26 Xem d – ữ liệu đã bị xoá trên ph n m m Oxygen ầ ề 109

Hình 3.27 T p c u hình scalpel – ệ ấ 110

Hình 2.27 -Chạy công c Scalpel trong m t file dd ụ ộ 111

Hình 3.28 – Thư mục đầu ra sau khi ch y công c Scalpel ạ ụ 111

Hình 3.29 D u khôi ph c sau khi s d ng Scalpel – ữ liệ ụ ử ụ 112

Hình 3.30 Danh sách liên l c trên Gmail – ạ 112

Hình 3.31 H p tho i thông báo khôi ph c danh sách liên l c – ộ ạ ụ ạ 113

Hình 4.1 Quy trình thu th p – ậ chứng c v án ứ ụ 118

Hình 4.2 D – ữ liệu bên trong thư mục /data/system 119

Hình 4 3 Xác nh n giá tr b n sao ch ng c – ậ ị ả ứ ứ 120 Hình 4.4 Xem tin nh n SMS t – ắ ừ cơ sở ữ liệ 121 d u

ix

Hình 4.5 – Chuyển đổi giá tr ngày giị ờ 122

Hình 4.6 D u ch a trên ng d ng whatsapp – ữ liệ ứ ứ ụ 122

Hình 4.7 Các t– ập tin cơ sở ữ liệ d u c a Whatsapp ủ 123

Hình 4.8 B– ảng cơ sở ữ liệ d u whatsapp 123

Hình 4.9 B ng sqlite_sequence – ả 124

Hình 4.10 – Thư mục backup trên thẻ nh c a ng d ng whatsapp ớ ủ ứ ụ 124

Hình 4.11 –Giả mã cơ sở ữ ệ d li u Whatsapp 125

Hình 4.12 N i dung tin nh n trích xu t t whatapps – ộ ắ ấ ừ 125

Hình 4.13 K t qu– ế ả tìm ki m t khóa Rookie ế ừ 126

Hình 4.14 V – ị trí lưu trữ ậ t p tin t i vả ề 126

Hình 4.15 Trích xu t t p tin b – ấ ậ ị xóa 127

x

LỜI CAM ĐOAN

Trước tiên tôi xin chân thành gửi lời cảm ơn và lòng biết ơn sâu sc tới PGS.TS Nguyn Linh Giang – Vi n Công nghệ Thông tin – Truyền thông, người đã tận tình ệhướng dẫn, ch bảo tôi trong suốt quá trình hoàn thiện luận văn

Tôi xin bày t lòng biết ơn các thầy cô giáo trong Viện Công nghệ Thông tin – Truyền thông nói riêng và Đại học Bách Khoa Hà Nội nói chung đã ch dạy, cung cấp những kiến thức quý báu cho tôi trong suốt quá trình học tập và nghiên cứu tại trường Cuối cùng tôi xin gửi lời cảm ơn sâu sc tới gia đình, bạn bè, những người luôn cổ v, quan tâm và giúp đ tôi trong suốt thời gian học tập và làm luận văn

Tôi cam đoan đây là công trình nghiên cứu của riêng tôi

Các số liệu, kết quả trong luận văn là trung thực và chưa từng được ai công bố trong bất kỳ công trình nào khác

Tác giả

Hoàng Thanh Nam

xi

L I M Ờ Ở ĐẦU

Ngày nay công ngh thông tin ngày càng phát tri n không ngệ ể ừng đem lạ ấi r t nhi u lề ợi ích cho thương mại, kinh t , xã hế ội Tuy nhiên đấy cng chính là môi trường giúp cho các loạ ội t i ph m công ngh cao l i d ng th c hi n nhạ ệ ợ ụ ự ệ ững hành vi như trộm c p thông tin, phát tán mã độc, hay các hành vi trái v i pháp lu t khácớ ậ Để có th ể xác định được hành vi c a ủ

nh ng t i ph m công ngh cao thì c n ph i d a vào b ng chữ ộ ạ ệ ầ ả ự ằ ứng mà chúng để ại Để l có thể thu thập được đầy đủ ằ b ng chứng đòi hi những người ph n ả ứng đầu tiên khi ti p xúc v i ế ớ

b ng ch ng ph i có kinh nghiằ ứ ả ệm để xác định được hết được các nguồn để ạ ằ l i b ng ch ng ứĐồng th i ph i có mờ ả ột quá trình b o qu n, khôi ph c m t cách nghiêm ngả ả ụ ộ ặt để nh ng b ng ữ ằchứng này có giá tr trư c tòa T t c nhị ớ ấ ả ững hành động trên liên quan đến ngành khoa học điều tra s ( digital forensics) Viố ệc điều tra s này không ch ố  đơn thuần là y u t k ế ố ỹ thuật,

nó còn đòi hi người th c hi n có kinh nghi m nh n thự ệ ệ ậ ức được những gì nên làm và không nên làm Chính vì v y hậ ọc viên đã lựa chọn đề tài “Nghiên cứu điề u tra s trên thi t bị ố ế

di động thông minh”

M c tiêu c ụ ủa đề tài là nghiên c u : ứ luật pháp quy định về điều tra s , các k thuật phân ố ỹtích điều tra s , quy trình thu th p và phân tích b ng ch ng s , b công c h tr ố ậ ằ ứ ố ộ ụ ỗ ợ điều tra

s và th c nghi m m t s ố ự ệ ộ ố trường h p c ợ ụ thể để đánh giá quy trình

Giớ i h n v ạ ấn đề: Đềtài p trung vào các thi t b tậ ế ị điện tho i ạ di động s d ng h ử ụ ệ điều hành Android

Các bướ c th c hi ự ện đề tài:

- Tìm hi u luể ật pháp quy định v ề điều tra s t i M và Vi t Nam ố ạ ỹ ệ

- Khảo sát các tài li u k ệ ỹ thuật, các b công c ộ ụ được công b trên các trang Web ốchuyên sâu v ề điều tra s c a các t ố ủ ổ chức trong và ngoài nước

- Tìm hi u chi tiể ết quy trình điều tra s t ng quát cố ổ ủa nước ngoài được công b T ố ừ

đó tập trung xây d ng quy trình thu th p và phân tích b ng ch ng s ự ậ ằ ứ ố trên điện thoại

di động Android

- T p trung nghiên c u tìm hi u các kậ ứ ể ỹ thuật điều tra s trên h ố ệ điều hành Android như: cấu trúc h ệ điều hành, v ị trí đường dẫn các thông tin được lưu trữ trên h ệ điều hành này nh ng v ở ữ ị trí như thế nào, t ừ đó tìm hiểu các công c phù hụ ợp giúp thu

thập ph c h i d ệụ ồ ữli u theo yêu cầu đưa ra

- Học viên đã thực hiện được mục tiêu đề tài:

o Tìm hi u lu t pháp v ể ậ ề điều tra s t i M và Vi t Nam ố ạ ỹ ệ

o Xây dựng đượ quy trình điềc u tra s ố cho điện thoại di động Android, quy trình thu th p b ng ậ ằ chứng, quy trình phân tích

o Thử nghiệm quy trình và đánh giá thực hiệ quy trình qua trườn ng h p c ợ ụ thể Luận văn tốt nghiệp được trình bày 4 chương:

CHƯƠNG 1 TỔ NG QUAN V KHOA H Ề ỌC ĐIỀ U TRA S Ố

Chương này trình bày tổng quan v khoa hề ọc điều tra số, đặc đ ểm điềi u tra s , vố ấn đềpháp lý liên quan b ng ch ng s , vi c th a nh n b ng ch ng s , xác nh n tính h p l cằ ứ ố ệ ừ ậ ằ ứ ố ậ ợ ệ ủa công c ụ điều tra s ố

CHƯƠNG 2 QUY TRÌNH ĐIỀ U TRA S Ố

Chương này trình bày các quy trình điều tra s tố ổng quát, quy trình điều tra s trên thiết ố

b ị di động Android, quy trình thu th p b ng ch ng, quy trình phân tích b ng ch ng ậ ằ ứ ằ ứ

CHƯƠNG 3 K THU Ỹ ẬT ĐIỀ U TRA S Ố

Chương này trình bày kiến trúc và các đặc điểm c th h đi u hành Android khi th c ụ ể ệ ề ự

hiện điều tra s , thi t lố ế ập môi trường điều tra s và các k thu t trích xu t d u, ph c hố ỹ ậ ấ ữ liệ ụ ồi

d u trên các thi t b Android Bên cữ liệ ế ị ạnh đó trong từng k thu t hỹ ậ ọc viên cng trình bày các là b công c ph n c ng, ph n mộ ụ ầ ứ ầ ềm được các hãng chuyên v ề điều tra t i ph m máy ộ ạtính đưa ra

CHƯƠNG 4 THỰ C NGHI M PHÂN TÍC Ệ H ĐIỀ U TRA S Ố

Ứng d ng quy trình, k thuụ ỹ ật cng như bộ công c ụ để tiến hành điều tra, tìm ra nh ng ữ

b ng ch ng theo yêu c u cằ ứ ầ ủa các đơn vị điều tra

xiii

Luận văn được hoàn thành trong th i gian có h n, ch c ch n còn nhi u khi m khuy t ờ ạ   ề ế ếTôi mong các th y cô, b n ầ ạ bè và người thân s có nh ng góp ý chân tình cho n i dung c a ẽ ữ ộ ủluận văn này để tôi có thể p ttiế ục đi sâu tìm hiểu và mở ộ r ng nh m hoàn thi n và phát triằ ệ ển

đề sau này Tôi xin chân thành ctài ảm ơn!

Hà N i, tháng 4 ộ năm 2016

H c viên ọ

Hoàng Thanh Nam

CHƯƠNG 1 T NG QUAN V Ổ Ề KHOA H ỌC ĐIỀ U TRA S Ố

1.1 Khái ni m v khoa h ệ ề ọc điề u tra s ố

1.1.1 Khái ni m ệ

Điều tra s (còn gọố i là Khoa học điều tra s ) là mộố t nhánh c a ngành Khoa ủ

học điều tra đề ập đế c n vi c ph c hệ ụ ồi và điều tra các tài li u tìm th y trong các thiệ ấ ết

b kị ỹ thu t s Thu t ng ậ ố ậ ữ này trước tương đương với thu t ngữ điềậ u tra máy tính, nhưng sau này thuật ng ữ này được m rở ộng để bao quát toàn th viể ệc điều tra các thiế ịt b có kh ả năng lưu trữ ữ ệ d li u s ố

Điều tra s có th ố ể được hi u là viể ệc ử ụng các phương pháp, công cụ kỹ s dthuật khoa học đã được chứng minh để ả b o qu n, thu th p, xác nh n, ch ng th c, ả ậ ậ ứ ựphân tích, gi i thích, l p báo cáo và trình bày l i nh ng thông tin th c t tả ậ ạ ữ ự ế ừ các nguồn

k ỹ thuậ ố ớt s v i mục đích tạo điều ki n hoệ ặc thúc đẩ việy c tái hi n l i các s ệ ạ ự kiện,

nh m tìm ra hành vi ph m t i hay h ằ ạ ộ ỗ trợ cho vi c d ệ ự đoán các hoạt động trái phép gây gián đoạn quá trình làm vi c c a h th ng ệ ủ ệ ố

Điều tra s thưố ờng hay liên quan đế ộn t i phạm máy tính Cng như điều tra hình sự, trước khi th c hiự ện điều tra s , c n có nhố ầ ững cơ sở pháp lý để phân định rõ

nh ng quy n h n, trách nhi m cữ ề ạ ệ ủa cơ quan điều tra

1.1.2 Ứ ng d ng c ụ ủa điề u tra s ố

Mục đích quan trọng nh t cấ ủa điều tra s là thu th p, phân tích và tìm ra ch ng c ố ậ ứ ứthuyết ph c v m t vụ ề ộ ấn đề ầ c n sáng t Điều tra s có nh ng ng d ng quan tr ng ố ữ ứ ụ ọtrong khoa học điều tra c ụ thể

V m t k ề ặ ỹ thuậ thì điềt u tra s ố giúp xác định những gì đang xảy ra làm ảnh hưởng

t i h ớ ệ thống đồng thời qua đó phát hiện các nguyên nhân h ệ thống b xâm nh p, các ị ậhành vi, ngu n gồ ốc c a các vi ph m xủ ạ ảy ra đối vớ ệ ối h th ng

V m t pháp lýề ặ thì điều tra số giúp cho cơ quan điều tra khi t giác t i ph m công ố ộ ạngh ệ cao có được nh ng ch ng c s ữ ứ ứ ố thuyết phục để áp d ng các ch tài x ph t vụ ế ử ạ ới các hành vi ph m pháp ạ

Không có b t c s m b o nào cho h ấ ứ ự đả ả ệ thống mạng máy tính được tuyệt đối an toàn trước những nguy cơ, rủi ro, t n công ác ý c a t i ph m m ng Quá trình x lý ấ ủ ộ ạ ạ ử

s c , ph c h i ch ng c và truy tìm d u v t t i ph m c n phự ố ụ ồ ứ ứ ấ ế ộ ạ ầ ải được ti n hành mế ột

cách chuyên nghi p nhệ ằm đem lại ch ng c chính xác M t cuứ ứ ộ ộc điều tra s ố được tiến hành nh m: ằ

1 Xác định nguyên nhân h ệ thống công ngh thông tin b t n công, t ệ ị ấ ừ đó đưa ra giải pháp kh c ph ục điểm y u nh m nâng cao hi n tr ng an toàn c a h ế ằ ệ ạ ủ ệ thống

2 Xác định các hành vi t i ph m mộ ạ ạng máy tính đã, đang và s ẽ làm đố ớ ệi v i h thống mạng máy tính Trong th c t , thi t h i tiự ế ệ ạ ềm ẩn do nh ng cu c t n công ữ ộ ấgây rò r thông tin, hay làm m t tính s n sàng c a h  ấ ẵ ủ ệ thống là vi c h ệ ệ thống b ị

n m quy ền điều khiển, cài chương trình theo dõi, xóa b thông tin, bi n h ế ệ

thống m ng máy tính thành công c t n công các h ốạ ụ ấ ệ th ng khác Vi c ti n ệ ếhành m t cuộ ộc điều tra s nhố ằm xác định chính xác nh ng hoữ ạt động mà tội

ph m mạ ạng đã tác động vào h ệ thống và ngăn ngừa các r i ro khác có th x y ủ ể ả

ra

3 Khôi ph c thi t h i mà cu c t n công vào h ụ ệ ạ ộ ấ ệ thống m ng máy tính gây ra: ạ

ph c h i d ụ ồ ữ liệu, thông tin lưu trữ trên h ệ thống đã bị phá ho i có ch ạ ủ đích.Thực hiện điều tra t i ph m, tìm ki m ch ng c s nh m v ch tr n t i ph m công ộ ạ ế ứ ứ ố ằ ạ ầ ộ ạngh cao, các hoệ ạt động gian lận, gián điệp, vi ph m pháp ạ luật

1.1.3 Các lo ại hình điề u tra s ố

V i nhi u loớ ề ại hình điều tra số: điều tra Internet, điều tra điện tử, điều tra m ng, ạđiều tra ng dứ ụng… có các các phân chia khác nhau, nhưng về cơ bản điều tra s ốđược chia làm 3 loại chính là điều tra máy tính, điều tra m ng ạ và điều tra thi t bế ị di động

1.1.3.1 Điều tra máy tính

Điều tra máy tính là m t nhánh c a khoa hộ ủ ọc điều tra s ố liên quan đến vi c phân ệtích các b ng chằ ứng pháp lý được tìm thấy trong máy tính và các phương tiện lưu trữ

k ỹ thuậ ốt s Mục đích của điều tra máy tính là nhằm xác định, b o qu n, ph c h i, ả ả ụ ồphân tích, trình bày l i sạ ự việc và ý ki n vế ề các thông tin t ừ thiế ị kỹt b thu t s và tiến ậ ốhành điều tra các thành phần như:

Điều tra b nh (Memory forensics) lộ ớ à phương thức điều tra máy tính b ng việc ằghi l i b nh (RAM) c a h ạ ộ ớ ủ ệ thống sau đó tiến hành phân tích làm rõ các hành vi đã

x y ra trên hả ệ thống C ụ thể hơn, đó là cố gng s d ng ki n trúc qu n lý b nh trong ử ụ ế ả ộ ớmáy tính để ánh x , trích xu t các tạ ấ ập tin đang thực thi và cư trú trong bộ nh Nh ng ớ ữ

t p tin thậ ực thi có th ể đượ ửc s dụng để ch ng minh r ng hành vi c a t i phứ ằ ủ ộ ạm đã xảy

ra hoặc để theo dõi nó đã din ra như thế nào

Điều tra t p tin (File System Forensics) là loại hình điều tra liên quan đếậ n các t p ậ

h ệ thống c a h ủ ệ điều hành Windows, Linux

Điều tra ng d ng(Application Forensics) là loứ ụ ại hình điều tra phân tích các t p ậtin nh t ký log trong ng dậ ứ ụng như Email, dữ ệ li u trình duyệt, skype, yahoo… Qua

đó trích xuất các bản ghi được lưu trữ trên các ng d ng ph c v cho viứ ụ ụ ụ ệc điều tra tìm ki m ch ng c ế ứ ứ

1.1.3.2 Đ ềi u tra m ng ạ

Là m t nhánh c a khoa hộ ủ ọc điều tra s ố liên quan đến vi c giám sát và phân tích ệlưu lượng m ng máy tính nh m ph c v cho vi c thu th p thông tin, ch ng c pháp ạ ằ ụ ụ ệ ậ ứ ứ

lý hay phát hi n các xâm nh p vào h ệ ậ ệ thống máy tính này Điều tra mạng có th được ể

th c hiự ện như một cuộc điều tra độ ậc l p ho c k t h p v i viặ ế ợ ớ ệc điều tra máy tính (computer forensics) – thường đượ ử ụng đểc s d phát hi n m i liên k t gi a các thiệ ố ế ữ ết

b k ị ỹ thuậ ốt s hay tái t o l i quy trình ph m t ạ ạ ạ ội

Điều tra m ng bao g m vi c ch n b t, ghi âm và phân tích các s ki n mạ ồ ệ ặ  ự ệ ạng đểkhám phá ngu n gồ ốc c a các cu c t n công ho c s c c a m t vủ ộ ấ ặ ự ố ủ ộ ấn đề nào đó Không giống các loại hình điều tra s ố khác, điều tra m ng x lý nh ng thông tin d ạ ử ữ  thay đổi

và biến động Lưu lượng mạng được truyền đi và không được lưu lại, do đó việc điều tra mạng thường ph i r t linh ho t, ch ng ả ấ ạ ủ độ

1.1.3.3 Điều tra thi t b ế ị di độ ng

Điều tra thi t b ế ị di động (Mobile device Forensics) là m t nhánh c a khoa h c ộ ủ ọđiều tra s liên quan đếố n vi c thu h i b ng ch ng kệ ồ ằ ứ ỹ thu t s ho c d u tậ ố ặ ữ liệ ừ các thiết

b ị di động Thi t b ế ị di động ở đây không ch đề ập đến điệ c n thoại di động mà còn là

b t k ấ ỳ thiế ị ỹ thuậ ốt b k t s nào có b nh trong và kh ộ ớ ả năng giao tiếp, bao g m các ồthiế ị điệt b n thoại di động, PDA, GPS và máy tính b ng ả

Việ ửc s dụng điện tho i v i mạ ớ ục đích phạm tội đã phát triể ộn r ng rãi trong nh ng ữnăm gần đây, nhưng các nghiên cứu điều tra về thi t b di động là một lĩnh vực tương ế ị

đối m i, có bớ t đầ ừu t những năm 2000

1.2 Đặ c đi m c ể ủa điề u tra s ố

1.2.1 T i ph m máy tính ộ ạ

D a theo b ự ộ luật hình s ự năm 1999 sửa đổi 2009, có khái ni m v t i ph m máy ệ ề ộ ạtính như sau: “T i ph m máy tính là hành vi vi ph m pháp lu t hình s ộ ạ ạ ậ ự do người có năng lực trách nhi m hình s s dệ ự ử ụng máy tính để ự th c hi n hành vi ph m tệ ạ ội, lưu trữ thông tin ph m t i ho c xâm phạ ộ ặ ạm đến hoạt động bình thường và an toàn c a máy ủtính, h ệ thống mạng máy tính”

 Giả ạ m o

 T n công ho c s d ng ph n m m giấ ặ ử ụ ầ ề án điệp

 Truy c p trái phép vào d u ậ ữ liệ

 Truy c p b t h p pháp vào h ậ ấ ợ ệ thống máy tính và d u nh y c m ữ liệ ạ ả

Truy c p trái phép vào h ậ ệ thống máy tính hoặc d u có th ữ liệ ể được cho là mục đích khác hơn so vớ ội t i phạm đánh cp định danh Ví d , th ph m có th muụ ủ ạ ể ốn ăn

c p d u bí m ữ liệ ậ ủt c a công ty, tài li u tài chính nh y c m ho c các dệ ạ ả ặ ữ u khác liệThông tin này có th ể đượ ử ụng đểc s d thu hút khách hàng t i th c nh tranh, phát ừ đố ủ ạhành để làm h ng c phi u c a công ty, ho c s ổ ế ủ ặ ử dụng để ố t ng ti n Trong mề ọi trường

h p, các y u t ph bi n là th ph m hoợ ế ố ổ ế ủ ạ ặc là không được cho phép truy c p d ậ ữ liệu hoặc không được phép s d ng d ử ụ ữ liệu v y mà c tình s d ng nó Các ậ ố ử ụ phương pháp tương tự như bấ ể ục đích củt k m a các truy c p trái phép Nó có th ậ ể được th c hiự ện thông qua hacking ho c ph n mặ ầ ềm gián điệp, các nhân viên truy c p d li u ho c ậ ữ ệ ặthông qua phương tiện truy n thông d li u b lo i b Đ c bi t, hành vi tr m c p d ề ữ ệ ị ạ  ặ ệ ộ  ữliệu là m t vộ ấn đề quan trọng, lý do chính là khó khăn để ngăn chặn nhân viên được phép truy cập đến d liữ ệu Đôi khi cng rất khó để phân bi t giệ ữa các truy c p trái ậ

 Lừa đảo giao d ch tr c tuy n: Hi n nay giao dị ự ế ệ ịch đấu giá tr c tuy n khá ự ế

ph biổ ến Người dùng h p pháp có th ợ ể khó khăn xác định m t m c giá t t, ộ ứ ố

ho c lo i b các m t hàng không còn nhu cặ ạ  ặ ầu Cng như nhiều địa điểm kinh doanh h p pháp, tuy nhiên, b n t i ph m n l c thao tác lợ ọ ộ ạ ỗ ự ừa đảo để

ăn c ừp t các nạn nhân Như không giao hàng, giao hàng với giá tr ị thấp hơn, cung cấp hàng hóa không đúng hạn, không ti t l thông tin liên quan ế ộ

đến s n ph m ả ẩ

 Lừa đảo nh n/chuy n ti n: M t lo t các trò gian l n trên Internet có liên ậ ể ề ộ ạ ậquan đến việc trao đổi mộ ệt l nh chuy n ti n gi ho c ký séc ti n th t B ng ể ề ả ặ ề ậ ằchứng s ố

 Vi ph m b n quy n: Là hình vi tr m c p tài s n trí tu B n quy n ph n ạ ả ề ộ  ả ệ ả ề ầ

m m, bề ài hát, đoạn phim được trao đổi, mua bán khi chưa có sự đồng ý của tác giả Thông thường các trường h p này là vấn đềợ dân s V ki n s ự ụ ệ ẽngăn chặn và gi i quy t thi t h i b ng ti n mả ế ệ ạ ằ ề ột cách đáng kể

 Phát tán tin rác, mã độc

M t d ng t i ph m n a r t ph bi n hi n nay là t i ph m chuyên th c hi n các ộ ạ ộ ạ ữ ấ ổ ế ệ ộ ạ ự ệhành vi phát tán tin rác, mã độc h i Phát tán tin rác là hành vi g i các tin nh n hoạ ử  ặc các email ch a n i dung quứ ộ ảng cáo, marketing và được g i m t cách vô t i v gây ử ộ ộ ạphiền toái cho người nhận Đôi khi, nó dẫn d ụ người nh dẹ ạ, tìm cách đọ ố thẻc s tín

d ng và các tin t c cá nhân c a h Theo th ng kê t hãng b o mụ ứ ủ ọ ố ừ ả ật Kaspersky Lab tháng 6-2013, t l  ệ thư rác chiếm trung bình đến 71,1% lượng thư điện t toàn c u ử ầTrong đó hơn một n a s ử ố thư rác có nguồn g c t Trung ố ừ Quốc (23,9%) và M (17,2%) ỹ

- hai quốc gia hàng đầu về phát tán thư rác Việt Nam x p v trí th sáu vế ị ứ ớ  ệi t l phần trăm thư rác chiếm kho ng 3,3% ả

Viết mã độc - Phát tán mã độc là m t trong nh ng hình th c t n công m i trên ộ ữ ứ ấ ớ

m ng K t n công s d ng các chạ ẻ ấ ử ụ ương trình mã độc để lây nhi m vào các h th ng,  ệ ố

ph n m m nh m mầ ề ằ ục đích phá hoạ ệ thối h ng hoặc đánh cp các thông tin trái phép

Để ự th c hiện phát tán mã độc, k tẻ ấn công thường g i m t email có chử ộ ứa mã độ ới c t

n n nhân hoạ ặc đính kèm trong một ph n m m, ng i dùng ch c n kích hoầ ề ườ  ầ ạt chương trình là mã độ ẽ ự độc s t ng lây nhi m vào h th ệ ống Như vậy, k t n công có th theo ẻ ấ ểdõi toàn b hoộ ạt động trên h ệ thống lây nhi m ho c s d ng h  ặ ử ụ ệ thống b lây nhiị m như một công c th c hi n t n công tụ ự ệ ấ ới các đối tượng khác.[1]

1.2.2 B ng ch ng s ằ ứ ố

Định nghĩa

Có r t nhiấ ều cách định nghĩa khác nhau về ằ b ng ch ng s , mứ ố ỗi định nghĩa

ph n ánh m t cách nhìn nhả ộ ận khác nhau Trong đó định nghĩa được hiện nay đang được s dử ụng đó là“ Bằng ch ng s (Digital Evidence), hay còn g i là b ng ch ng ứ ố ọ ằ ứđiệ ửn t (Electronic Evidence), là m i thông tin có giá tr ọ ị pháp lý được lưu trữ, được truyền dẫn dướ ại d ng th c sứ ố” Những b ng chằ ứng này có được khi thông tin và thiết

b vị ật lý được thu thập và lưu trữ trong quá trình điều tra [2]

 Đáng tin: Bằng ch ng ph i rõ ràng, d hiứ ả  ểu và đáng tin đố ới v i th m phán ẩ

 Tin tưởng: Th m phán phẩ ải tin tưởng vào tính xác th c c a b ng ch ng ự ủ ằ ứ

 Hoàn ch nh: B ng ch ng ph i ch ằ ứ ả ứng minh được hành động c a k t n công có ủ ẻ ấ

t i ho c vô t i ộ ặ ộ

B ng ch ng s d b ằ ứ ố  ị hư hại như trong khi đ ềi u tra tai hiện trường v án máy tính ụ

b t t ngu n thì các d u d biị  ồ ữ liệ  ến động như RAM sẽ b m t Hay trong khi máy tính ị ấđang được kế ố ớt n i v i Internet, nạn nhân chưa kịp ng t k t n i thì k t n công có th  ế ố ẻ ấ ểxóa b ng ch ng bằ ứ ằng cách xóa đi các tập tin logs

Ngoài vi c xóa d u vệ ấ ế ằt b ng ch ng, t i ph m máy tính còn s d ng anti-ứ ộ ạ ử ụ forensics

để làm c n trả ở, gây khó khăn cho việc điều tra

 Ghi đè lên d li u: phá h y b t k d li u nghi ng nào b ng cách ghi ữ ệ ủ ấ ỳ ữ ệ ờ ằ

đè nhiề ầu l n v i bit 0 ớ

 Ẩn d li u( stegano, mã hóa): ữ ệ

 Obfuscation( xáo tr n) d u ộ ữ liệ

1.2.3 V ấn đề pháp lý

Vấn đề pháp lý r t quan trấ ọng trong điều tra số, các quy định v vi c ch p ề ệ ấ

nh n b ng ch ng s trong v án ậ ằ ứ ố ụ Điều tra pháp y liên quan đến luật quy định trong nước, lu t pháp qu c t , các tiêu chu n k thuậ ố ế ẩ ỹ ật được áp d ng ụ

V ấn đề luật pháp quy định trong nướ c

Theo Viện trưởng Viện ki m soát nhân dân t i cao Nguy n Hòa Bình c n quy ể ố  ầ

định v ch ng c ề ứ ứ điệ ửn t Ngày nay, công ngh thông tin phát tri n và t i ph m v ệ ể ộ ạ ềcông ngh ệ thông tin cng bt đầu tăng dần Ngoài xã h có lo i t i ph m gì thì trên ội ạ ộ ạ

m ng thông tin toàn c u có lo i t i phạ ầ ạ ộ ạm đó, từ ộ tr m c p, l ừa đảo, kh ng b n gi t ủ ố đế ếngười… Vì vậy, B lu t t t ng hình s ( BLTTHS) c n b ộ ậ ố ụ ự ầ ổ sung quy định v nguề ồn

d u ch ng c ữ liệ ứ ứ điệ ử Đây đượn t c xem là ngu n ch ng c quan trồ ứ ứ ọng và đặc thù

Điều đáng lưu ý là dữ ệu điệ ử li n t là nh ng ký t ữ ự được lưu giữ trong thi t b ế ịđiệ ử như máy tính, máy ản t nh, máy phôtô, mạng Internet… mà từ đó có thể cho ra chữ ế vi t, ch s , hình ữ ố ảnh, âm thanh… phản ánh s ki n ph m t i Nh ng d ự ệ ạ ộ ữ ữ liệu điệ ửn t này r t d b t y xóa, s a chấ  ị ẩ ử ữa, thay đổi, h y b do c ý ho c vô ý Do v y, ủ  ố ặ ậquá trình sửa đổi BLTTHS c n phầ ải quy định c ụ thể trình t , th t c thu th p, phự ủ ụ ậ ục

h i, phân tích d ồ ữ liệu điệ ửn t , th t c thu giủ ụ ữ phương tiện điệ ửn t cng như việc ch n, ặthugiữ ữ ệu điệ ử trên đườ d li n t ng truy n trên m ng ề ạ

Theo đại tá, tiến sĩ Trần Văn Hòa, phó cục trưởng C c C nh sát phòng ch ng tụ ả ố ội

ph m công ngh cao B ạ ệ ộ Công an đã đưa ra nhiều đề xu t thì: "B ấ ộ luậ ố ụt t t ng hình

s (BLTTHS) hiự ện chưa công nhận d liữ ệu điệ ửn t là ch ng c ứ ứ như ký hiệu, chữ viết, chữ ố s , hình nh, âm thanh t n tả ồ ại dướ ại d ng số, được lưu giữ trong máy tính ho c ặcác thi t b có b nh k ế ị ộ ớ ỹ thuậ ố khác Đểt s thu thập được d liữ ệu điệ ửn t này, c n s ầ ử

d ng nh ng thi t b và ph n m m phù hụ ữ ế ị ầ ề ợp, để có th ph c h i "d u vể ụ ồ ấ ết điệ ử" đã bị n txóa, b ị ghi đè, dữ liệ ồ ại dướ ạ u t n t i d ng ẩn, đã mã hóa…để có th c, ghi l i, s ể đọ ạ ử

d ng làm b ng chụ ằ ứng trước tòa Đặc bi t, hiệ ện chưa có quy định v ề thủ ụ ố t ng t c t ụhình s i v i vi c thu th p, b o qu n, ph c h i và giám nh ch ng c là d ự đố ớ ệ ậ ả ả ụ ồ đị ứ ứ ữ liệu điệ ửn t "

Tiến sĩ Trần Văn Hòa đưa ra đề xuất, để thu thập được ch ng c ứ ứ điệ ử ần t c n s ử

d ng k ụ ỹ thuật phù hợp để ph c hụ ồi được nh ng ch ng c ữ ứ ứ điệ ử đã bị xóa, ghi đè, n t

nh ng d ữ ữ liệ ồ ại dướ ạu t n t i d ng n, mã hóa, nhẩ ững ph n m m mã nầ ề guồn được cài đặt dướ ại d ng ẩn, để làm cho có th ể đọc được, ghi lại dưới hình th c có th ứ ể đọc được và

có th sể ử d ng làm b ng chụ ằ ứng pháp lý trước tòa Để đáp ứng nh ng yêu c u này cữ ầ ần

có những quy định c ụ thể ề việc đố ớ v i v i vi c thu th p, b o qu n, ph c h i và giám ệ ậ ả ả ụ ồ

định ch ng c ứ ứ điệ ử cng như về ản t gi i pháp k thuỹ ật để có th s d ng ch ng c ể ử ụ ứ ứđiệ ửn t làm b ng ch ng ch ng minh t i ph m.ằ ứ ứ ộ ạ [3]

C n b sung, sầ ổ ửa đổi th t c khám xét, thu gi v t ch ng, ch ng c ủ ụ ữ ậ ứ ứ ứ điệ ử như n t sau:

 Quy nh quy n và th t c khám xét, thu gi máy tính và các thi t b đị ề ủ ụ ữ ế ị

k ỹ thuậ ố có lưu chứt s ng c ứ điệ ửn t ;

 Quy nh quy n yêu c u cung c p d u máy tính, quy n và th tđị ề ầ ấ ữ liệ ề ủ ục thu gi ữ và lưu giữ chứng c ứ điệ ử đố ớn t i v i các nhà cung c p d ch v ấ ị ụinternet, chủ ở ữ s h u máy tính;

 Quy định c th quy n yêu c u cung cụ ể ề ầ ấp thông tin trên máy tính dưới

d ng có th ạ ể mang đi, hữu hình và đọc được Điều này r t quan tr ng vì ấ ọ

v i s phát tri n nhanh chóng c a công ngh thông tin và vi n thông, ớ ự ể ủ ệ đòi hi các nhà cung c p d ch v thư ng xuyên phấ ị ụ ờ ải đầu tư rấ ớt l n v ềcông nghệ Cơ quan điều tra không th t ể ự đầu tư thiế ị đểt b tìm, thu thập, ch n bặ t thông tin và đặc bi t là chuy n thông tin d ng k ệ ể ở ạ ỹ thuật

số, như giao thức IP sang d ng thông tin có th ạ ể đọc, nghe, nhìn được

 Quy nh quy n truy c p và l y d u ph c v đị ề ậ ấ ữ liệ ụ ụ công tác điều tra

 Quy nh b o qu n d đị ả ả ữ liệu điệ ử đã đượn t c truy n t i qua m ng máy ề ả ạ

tính, đặc bi t là d liệ ữ ệu có nguy cơ bị ấ m t ho c sặ ửa đổi, để  b t bu c ộngười qu n lý máy tính gi bí mả ữ ật, b o quả ản và lưu giữ ự s toàn vẹn c a ủ

d ữ liệu máy tính trong m t kho ng th i gian c n thi t, tộ ả ờ ầ ế ối đa là 90 ngày,

để cơ quan có thẩm quy n tìm ki m và thu gi nh ng thông tin có liên ề ế ữ ữquan đến vụ ệ vi c

 Quy nh v quy n yêu c u cung c p thông tin thuê bao, thông tin truy đị ề ề ầ ấ

c p, thông tin các cu c g i và nhậ ộ ọ ững thông tin khác có liên quan đến

v ụ việc đố ới v i nhà cung c p d ch vụ ấ ị vi n thông, internet

Theo d b o lu t 2014, vự ả ậ ấn đề liên quan đến công nh n b ng ch ng s hi n ậ ằ ứ ố ệ

t i v n n m trong d ạ ẫ ằ ự thảo c a Vi t Nam ủ ệ

Luậ t pháp qu c t ố ế

Đố ớ ởi v i M , tiêu chu n và k thu t là ph n thi t y u cỹ ẩ ỹ ậ ầ ế ế ủa điều tra pháp y Cùng với các cơ quan liên bang khác FBI đã hỗ trợ ộ m t lo t các t ạ ổ chức như Nhóm công tác khoa h c ọ (Scientific Working Group) và Nhóm công tác kỹ thuật (Technical Working Group Tháng 2/1998 quan th c thi pháp lu t thành l p SWGDE( nhóm ) cơ ự ậ ậlàm vi c khoa h c trên b ng ch ng s ) SWGDE ệ ọ ằ ứ ố được thành l p v i mậ ớ ục đích tiếp

t c phát triụ ển hướng d n và các tiêu chu n cho vi c khôi ph c, b o qu n và ki m tra ẫ ẩ ệ ụ ả ả ể

b ng ch ng s ằ ứ ố và trao đổ ằi b ng ch ng gi a các qu c gia ứ ữ ố

Tiêu chuẩn SWGDE đưa ra:

Nguyên t c ắ : để đả m b o r ng b ng ch ng s ả ằ ằ ứ ố được thu th p, b o qu n, kiậ ả ả ểm tra đảm

b o s chính xác và tin c y c a b ng chả ự ậ ủ ằ ứng thì cơ quan thực thi pháp lu t ho c các ậ ặ

t ổ chức pháp y ph i thi t l p và duy trì mả ế ậ ộ ệ ốt h th ng qu n lý chả ất lượng t tố Quy trình chuẩn( SOP Standard Operating Procedures) là tài hi– ệu hướng d n ẫ kiếm soát chất lượng và s d ng th t c v ử ụ ủ ụ ề thiế ị đã đượt b c ch p nh n ấ ậ

Tiêu chu n và tiêu chí s 1.1 ẩ ố

T t c ấ ả các cơ quan thu giữ và tìm ki m b ng ch ng ph i duy trì m t tài liế ằ ứ ả ộ ệu SOP thích h p T t c các y u t trong chính sách và th tợ ấ ả ế ố ủ ục liên quan đến b ng ằchứng s phải đượố c thi t lập rõ ràng quy định trong tài li u SOP theo th m quy n cế ệ ẩ ề ủa

cơ quan đó

Tiêu chu n và tiêu chí 1.2 ẩ

Các cơ quan quản lý ph i xem xét l i SOP hàng nả ạ ăm, để đả m b o phù h p và ả ợ

hi u qu ệ ả

Các công ngh ệ nhanh chóng thay đổi vì v y mà nhậ ững đặc điểm c a b ng ủ ằchứng s cng thay đổi về ại, địố lo nh d ng vì vậạ y c n phầ ải có phương pháp thu giữ và

kiểm tra các lo i b ng chạ ằ ứng đó phù hợp vớ ựi s phát triển Để đả m bảo được nhân

s , thi t b các th t c hi u qu thì c n ph i c p nh n quy trình chu n hự ế ị ủ ụ ệ ả ầ ả ậ ậ ẩ ằng năm.Tiêu chu n và tiêu chí 1.3 ẩ

t c s d ng ph c ch p nh n chung và h d c thu th p Thủ ụ ử ụ ải đượ ấ ậ ỗ trợ ữ liệu đượ ậ

và được ghi l i mộạ t cách khoa h c ọ

Các th t c này phủ ụ ải được áp d ng cho các vụ ấn đề nhất định, các tiêu chuẩn tiêu chí để đánh giá thủ ụ t c c n duy trì linh ho t ầ ạ

Tiêu chu n và tiêu chí 1.4 ẩ

u tra ph i duy trì b n sao b

Cơ quan điề ả ả ằng văn bản c a quy trình k thu t ủ ỹ ậ

Tiêu chu n và tiêu chí 1.6 ẩ

T t c hoấ ả ạt động thu giữ, lưu trữ, ki m tra b ng ch ng s phể ằ ứ ố ải được ghi lại thành văn bản, để ẵn sàng để s xem xét l i và làm ch ng ạ ứ

Tiêu chu n và tiêu chí 1.7 ẩ

T t c các hoấ ả ạt động điều tra phải được th c hi n b i nhự ệ ở ững người có trình

độ( chuyên gia, nh ng ữ người được đào tạo đúng cách) để tránh làm thay đổi, hư hại

ho c phá hặ ủy đố ớ ằi v i b ng ch ng gứ ốc.[3]

Ở Anh, các nguyên t c c a b ng ch ng s trên máy tính c a ACPO( hi p h i c nh  ủ ằ ứ ố ủ ệ ộ ảsát trưởng Anh) đưa ra:

1 Các cơ quan th c thi pháp lu t hoự ậ ặc các đơn vị thành viên không được phép

có b t c ấ ứ hành động nào làm thay đổ ữ liệi d u trong các máy tính ho c thi t b ặ ế ịlưu trữ mà có th ể được tòa án s dử ụng sau đó

2 Trong trường h p mợ ột người th y c n thi t ph i truy c p vào d u g c cấ ầ ế ả ậ ữ liệ ố ủa máy tính ho c thi t b ặ ế ị lưu trữ đang là bằng ch ng sứ ố, người đó phải có quyền làm điều đó và có thể ph i cung cả ấp lý do cng như những tác động c a hành ủ

động c a h ủ ọ

3 C n t o ra tài liầ ạ ệu lưu lại toàn b quá trình x lý các b ng chộ ử ằ ứng điệ ử n t

4 Người ph ụ trách điều tra có trách nhi m t ng th m b o lu t pháp và các ể ổ ể đả ả ậnguyên tc này được tôn tr ng và th c thi ọ ự

Các tiêu chu n k ẩ ỹ thuật: tiêu chu n qu c t ISO/IEC ẩ ố ế

ISO/IEC 27037 –Hướng dẫn xác định, thu th p và thu gi b ng b ng ch ng sậ ữ ằ ằ ứ ố

Mục đích của tiêu chuẩn ISO này là để ch c ch n độ tin c y c a b ng ch ng s khi ậ ủ ằ ứ ốđượ ử ục s d ng trong tòa án và các vấn đề tranh ch p pháp lý ấ

ISO/IEC 27040 –Hướng d n b o mẫ ả ật lưu trữ

ISO/IEC 27041 –Hướng dẫn đảm bảo cho các phương pháp điều tra s c ự ố

gì trong m t v ộ ụ án trước khi đưa ra xét xử Xét x có th là th m phán ho c b i thử ể ẩ ặ ồ ẩm đoàn tùy thuộc vào mục đích của phiên tòa và s l a ch n c a các bên ự ự ọ ủ

Theo lu t v b ng ch ng m ậ ề ằ ứ ỹ 2015 định nghĩa liên quan đến b ng chằ ứng như sau[4]

(d) Bản sao có nghĩa là sử d ng các k ụ ỹ thuật để sao chép l i chính xác b n g c ạ ả ố

Để ằ b ng ch ng s ứ ố đượ ử ục s d ng t i phiên tòa thì c n ph i có b ng ch ng gạ ầ ả ằ ứ ốc, đây

là quy định theo điều 1002 trong lu t liên bang v b ng ch ng: ậ ề ằ ứ

(b) B n gả ốc không được thu th p theo quy trình ậ tư pháp có sẵn

(c) B n gả ốc ban đầu được đối th s hủ ở ữu Đồng thời khi b n gả ốc được đặt dưới

s ự kiểm soát của đối thủ ch ng lố ại người cung c p b n gấ ả ốc, đối th s ủ ẽ đưa vào thông báo để ệ bi n h , b n g c là mộ ả ố ột đối tượng c a b ng ch ng t i phiên tòa ủ ằ ứ ạ

phải đáp ứng các yêu c u c a tòa án khi thu gi t b ng ch ng t máy tính ho c tầ ủ ữ ừ ằ ứ ừ ặ ừ các thi t b khác, chế ị ứng minh nó không thay đổ ể ừ khi đượi k t c thu th p Quá trình ậ

qu n lý b ng ch ng ch ng minh r ng b ng ch ng s ả ằ ứ ứ ằ ằ ứ ố được thu th p l i t nh ng công ậ ạ ừ ữ

c chuyên d ng, và ki m soát liên t c trong suụ ụ ể ụ ốt quá trình điều tra

S d ng chu i qu n lý b ng ch ử ụ ỗ ả ằ ứng

Việ ửc s chuỗi quy trình qu n lý b ng ch ng( chain of ả ằ ứ custody) bao gồm thông tin làm th ế nào để thu th p, v n chuy n, phân tích b o qu n tậ ậ ể ả ả ại nơi xử lý Chain of Custody đóng vai trò rất quan trọng trong quá trình điều tra, vì trong mỗi giai đoạn

c a viủ ệc điều tra c n ph i biầ ả ết nhân viên điều tra ở đâu, khi nào và làm như thế nào

b ng ch ng s ằ ứ ố đó được phát hi n, thu th p và x ệ ậ ử lý khi nào, và ai đã tiếp xúc vào

b ng chằ ứng đó…Chuỗi Chain of Custody này b o bao g m c tài liả ồ ả ệu hướng d n vẫ ới các câu h i mà c n thi t ph i tr l i nh ng câu h ầ ế ả ả ờ ữ i đó Nếu như một trong các câu hi này vẫn chưa được tr l i, thì chu i Chain of Custody này b ả ờ ỗ ị gián đoạn Trong trường

h p này, khi trình bày b ng ch ng t i tòa án, nợ ằ ứ ạ ếu như một mt sích b thi u trong ị ếChain of Custody như trên thì tòa án sẽ không ch p nh n các b ng ấ ậ ằ chứng có liên quan

và toàn b ộ quá trình điều tra s là vô ích ẽ

Chain of Custody có th ể được định nghĩa: “ Một bản đồ đường cho th y b ng ấ ằchứng được thu th p, phân tích và b o quậ ả ản để được trình bày như mộ ằt b ng ch ng ứtại tòa án” ( John Vacca) Đây là mộ ụt c m t ừ ch ự ể s ki m toán và ki m soát chính xác ể

b ng ch ng g c có tiằ ứ ố ềm năng có thể đượ ửc s d ng cho mụ ục đích hợp pháp Biết được

v trí hi n t i c a b ng chị ệ ạ ủ ằ ứng là chưa đủ ầ, c n ph i có b n ghi chính xác theo dõi sả ả ự chuyển động và việc người nào s h u b ng chứng đó để điềở ữ ằ u tra trong t t c m i ấ ả ọkho ng thả ời gian Điều tra viên c n ph i tr l i chính xác toàn b nh ng câu h i trong ầ ả ả ờ ộ ữ quá trình điều tra s ố như sau:

Hình 1.1M u chu i qu n lý b ng ch ng ẫ ỗ ả ằ ứ

Trong quá trình thu th p ch ng c t o b n sao phậ ứ ứ ạ ả ải đáp ứng các tiêu chu n nh ẩ ất

để đả m b o chả ất lượng và độ tin c y S d ng các ph n m m chuyên d ng cho mục ậ ử ụ ầ ề ụđích này có thể đượ ử ục s d ng các b n sao ph i có th ả ả ể được ki m chể ứng để chông gi ả

m o M i ch ng ch c n phạ ỗ ứ ứ ầ ải được đánh dấu theo một cách nào đó bao gồm, ngày, tháng, tên vi t t t cế  ủa người thu th p, s ậ ố

M t s ộ ố thuật toán hàm băm được s dử ụng như MD5, SHA 1 thường đượ- c chính

ph M l a ch n ủ ỹ ự ọ Đố ớ ử ụng hàm băm, thuậi v i s d t toán này s cho ra m t chu i s ẽ ộ ỗ ốnếu như có cùng một đầu vào, nếu đầu vào khác s cho ra m t chu i s khác vẽ ộ ỗ ố ới chuỗi ban đầu Mục đích của phép so sánh này để nh n m nh r ng, v ấ ạ ằ ề cơ bản s không ẽ

có k qu trùng nhau nể ả ếu như đầu vào khác nhau, cùng giống như dấu vân tay và DNA

Hình 1.2 K t qu ế ả chuỗi MD5

1.4.2 Quy đị nh v b ng ch ng g c ề ằ ứ ố

Quy định v b ng ch ng gề ằ ứ ốc: quy định này đượ ạo đểc t ngăn chặn b t k s thay ấ ỳ ự

đổi nào c a b ng chủ ằ ứng số Điều này ch ra r ng, tòa án ch cho phép các b ng ch ng  ằ  ằ ứ

g c c a m t tài li u, hình nh, ho c b n ghi trong phiên xét x ố ủ ộ ệ ả ặ ả ử chứ không ph i b n ả ảsao, b n sao s ả ẽ được cho phép như bằng ch ng theo nhứ ững điều kiện sau đây( điều 1004):

 B ng ch ng g c b phá h y do ằ ứ ố ị ủ cháy/l

 B ng ch ng g c b phá h y trong quá trình hoằ ứ ố ị ủ ạt động kinh doanh

B ng ch ng g c thu c s h u c a bên th 3 ằ ứ ố ộ ở ữ ủ ứ ( đây là những người vượt quá th m ẩquy n gi y tri u t p c a tòa án.ề ấ ệ ậ ủ [7]

1.5 Xác nh n tính h p l c a công c ậ ợ ệ ủ ụ điề u tra s ố

Cng như các nhánh của điều tra s , kỹố thuật điều s và công c phố ụ ải đáp ứng các tiêu chuẩn cơ bản để cho phép b ng ch ng có giá tr pháp lý trong t t ng T i Mằ ứ ị ố ụ ạ ỹ, các yêu cầu đối ớ việv i c ch p nh n b ng ch ng khoa kh c và ý ki n c a chuyên gia ấ ậ ằ ứ ọ ế ủđược được nêu ra trong ti n l ề ệ được thi t l p b i tòa án t i cao quyế ậ ở ố ết định( Daubert

vs Merrell Dow Parmaceuticals, Inc, 509 US 579 1993) Tòa án t i cao M ố ở ỹ thấy

b ng ch ng và ý ki n t các hoằ ứ ế ừ ạt động khoa h c hay k ọ ỹ thuật ph i xu t phát t ả ấ ừ việc chứng minh các công c ụ điều tra có giá tr để đượị c ch p nh n t i tòa án Trong n i ấ ậ ạ ộdung điều tra số, có nghĩa là các công cụ và k thuỹ ật được s d ng trong vi c thu thử ụ ệ ập

và phân tích b ng ch ng s phằ ứ ố ải được xác nhận và ch ng minh theo tiêu chu n khoa ứ ẩ

học

Kiểm tra và xác nh n tính h p l c a ph n mậ ợ ệ ủ ầ ềm điều tra máy tính Khi đã chọn được m t công c s dộ ụ để ử ụng cho công tác điều tra, ti p theo chúng ta c n ph i chế ầ ả c ch ằn r ng các b ng chằ ứng được phục ồh i và phân tích có th ể được th a nh n t i tòa ừ ậ ạ

Để làm điều này, c n ph i ki m tra và xác nh n ph n m m mà b n s d ng ầ ả ể ậ ầ ề ạ ử ụ

Viện tiêu chu n quẩ ốc gia NIST đã xuấ ảt b n các tài li u cung c p công c và t o ệ ấ ụ ạ

ra th t c ki m tra và xác nh n ph n m m, ph n c ng ủ ụ ể ậ ầ ề ầ ứ điều tra máy tính Ph n mầ ềm

cần được xác nhận để ằ b ng ch ng có th ứ ể được ch p nh n trong t t ng t i tòa án ấ ậ ố ụ ạNIST đã tài trợ d án CFTT( Computer Forensics Tool Tự esting) để qu n lý các nghiên ả

c u v công c ứ ề ụ điều tra trên máy tính NIST t o ra chuạ ẩn để thử nghi m các công c ệ ụđiều tra máy tính, được trình bày trong “ General Test Methodology for Computer Forensic Tools” (1.9-2001), Tài liệu này đề cập đến sự thiếu các hướng d n th c hành ẫ ựcho các công c ụ điều tra và t m quan tr ng c a viầ ọ ủ ệc đáp ứng các yêu c u pháp luầ ật

c a nh ng công c này Các tiêu chuủ ữ ụ ẩn được xây d ng dự ựa trên phương pháp nghiệm ISO 17025 Phòng thí nghi m dùng cho vi c ki m tra c n phệ ệ ể ầ ải đáp ứng đượ Error! c

Reference source not found.:

 Phân lo i các công c ạ ụ điều tra máy tính, nhóm các ph n mầ ềm điều tra máy tính theo chức năng ví dụ như ứng dụng được thi t k l y và theo dõi email ế ế để ấ

 Phân lo i yêu cạ ầu điều tra máy tính

 Xác định vụ án để điều tra

 Thiế ập 1 phương pháp thửt l nghi m ệ

Báo cáo k t qu ế ả kiểm tra: mô t các k t qu ki m nghi m trong m t báo cáo ả ế ả ể ệ ộ

ph i phù h p v i tiêu chu n ISO 17025, yêu c u báo cáo ph i chính xác, rõ ả ợ ớ ẩ ầ ảràng, không mơ hồ, khách quan Ngoài ra có 1 tiêu chu n khác là ISO 5725 ẩ

bảo đảm độ chính xác cho t t c ấ ả cuộc thí nghiệm

1.6 Kiể u b ng ch ng s ằ ứ ố

1.6.1 B ng ch ng s máy tính ằ ứ ố

B ng ch ằ ứng ố trê máy tính đượ s n c chia làm 2 lo ại:

 Tập tin đượ ạc t o bởi người dùng

 Tập tin được máy tính sinh ra t ng ự độ

T ập tin đượ ạ c t o b ởi ngườ i dùng

Tập tin đượ ạc t o ra b i ngoài dùng bao gở ồm văn bản( docx), b ng tính( excel), ảhình ảnh, audio, video Nhưng tập tin này ch a siêu d li u, siêu d li u này cung ứ ữ ệ ữ ệ

cấp các thông tin sau: tên ngườ ại t o tài li u, ch s h u máy tính, ngày và gi các ệ ủ ở ữ ờtiafu liệu này đượ ạc t o ra, th i gian tài liờ ệu được lưu lại, b t kỳ ửa đổi nào đượấ s c thực

hi n trên tài li u, ngày tháng và th i gian tài liệ ệ ờ ệu được ch nh s a l n cu i và truy c p  ử ầ ố ậ

T ập tin đượ c b o v b ả ệ ởi ngườ i dùng

Có nhiều các khác nhau để người dùng b o v các tả ệ ập tin Người dùng có th ểthêm mật kh u ho c mã hóa các d ẩ ặ ữ liệu đó để đả m b o không ai có th xem nh ng gì ả ể ữ

có trong t p tin hậ ay thư mục đó

Hay người dùng có th làm n n i d ng c a tể ẩ ộ ụ ủ ập tin đó đi Vì vậy mà cng có

r t nhiấ ều cách để ộ t i ph m có th ạ ể giấu b ng chằ ứng đi về hành động c a h ủ ọ

Thay đổi ph n thành ph n m ầ ầ ởrông

Để b o vả ệ d ữ liệu h i tên t p tin bọ đổ ậ ằng cách thay đổi thành ph n mầ ở ộng( đuôi) r

Sử d ng k ụ ỹ thuật này thành ph n m r ng c a t p tin có th ầ ở ộ ủ ậ ể được thay đổ ở ội b i t i phạm để ẩn đi các tập tin có ch a b ng ch ng bu c t i Ví dứ ằ ứ ộ ộ ụ, kẻ buôn ma túy có một danh sách li t kê khách hàng, các lo i thu c, s ệ ạ ố ố điện tho i, thanh toán, ti n nạ ề ợ…chúng

có thể thay từ “ xls” thành “.jpeg” Chúng có thể thay đổ ừ ậi t t p tin xls thành một

t p tin hình nh, có th ậ ả ể đánh lừa được hướng điều tra khi h muôn tìm danh sách và ọcác tài liệu Tuy nhiên các nhà điều tra cng có sẵn các b công ộ pháp y để khám phá

ra các t p tin b ậ ị thay đổi ví d ụ như công cụ PII Finding có th ể xác định các t p tin b ậ ịxóa, b sị ửa đổi…

Hình 1.3 Kiểu b ng ch ng s ằ ứ ốXóa t p tin ậ

B ng ch ng có th ằ ứ ể được tìm th y trong t p tin b xóa bấ ậ ị ởi người dùng máy tính,

m c dù các t p tin có th b xóa bặ ậ ể ị ằng cách thông thường s ẽ thương được khôi ph c ụ

l i bạ ởi các điều tra viên Đầu tiên, điều tra viên ph i ki m t p tin b xóa trong Recycle ả ể ậ ịThường thì người ph m t i s tr ng trong thu m c Recycle Bin Khi xóa m t t p ạ ộ ẽ để ố ụ ộ ậtin hay thư mục trong Recycle Bin thì th c ch t vi c này ch ự ấ ệ  đánh dấu đã xóa trong Directory Entry và nh ng thông tin liên quan trong ( File Allocation Table- phân vùng ữ

định d ng FAT) hoạ ặc đánh dấu xóa trong Master File Table( phân vùng định d ng ạNTFS) Khi này các vùng ch a d ứ ữ liệu c a tủ ập tin xem như trống và được tính là dung lượng chưa dùng đến của đĩa cứng mặc dù d liệu trên đây vẫ ồữ n t n t i Vì v y v n có ạ ậ ẫthể khôi ph c lụ ại được nh ng d u trong phân vùng này Công c khôi ph c sữ ữ liệ ụ ụ ẽ được trình bày trong ph n 3 ầ

Khi một ổ đĩa được làm s ch v i mạ ớ ột ki u bit, thì d u v n có th ể ữ liệ ẫ ể được khôi

ph c l i b ng cách sụ ạ ằ ử d ng các công c chuyên d ng Theo Tiêu chu n c a b quụ ụ ụ ẩ ủ ộ ốc phòng hoa k ( DoD) thì d u và cỳ ữ liệ ổ ứng c n phầ ải được ghi đè ít nhất 7 l n v i bit 0 ầ ớ

1 ngẫu nhiên để đả m b o r ng d ả ằ ữ liệu ban đầu hoàn toàn b ị xóa Cng có nhiều chương trình phần m m có s n trên mề ẵ ạng đáp ứng được nhu cầu xóa đi vĩnh vin d ữliệ ừu t các thi t b liên quan, nó s ế ị ẽ được ghi đè nhiề ần đảu l m b o r ng d li u trên ả ằ ữ ệthiế ị đượt b c xóa s ch hoàn toàn ạ

Mã hóa t p tin ậ

Để ả b o v t p tin, cá nhân có th s dệ ậ ể ử ụng mã hóa đảm b o cho bên th 3 không ả ứthể truy cập vào được, ho c s d ng m t khặ ử ụ ậ ẩu Mã hóa cơ bản là làm cho d ữ liệu không th ể đọc được, chuyển đổi ừ ảt b n rõ thành b n mã s dả ử ụng khóa công khai đểgiả mã

Các cá nhân s dử ụng mã hóa để b o v quyả ệ ền riêng tư và bảo mật d u trên máy ữ liệtính Việc mã hóa cng mang lại cho b n t i ph m mọ ộ ạ ột v khí rất m nh m che ạ ẽ để

dấu đi hoạt động b t h p pháp c a chúng ấ ợ ủ

Ở Anh, có một điều lu t cậ ủa cơ quan thực thi pháp lu t b t bu c nghi can phậ  ộ ải cung c p thông tin v khóa ấ ề để giải mã ( Ph n III Quy ch v ầ ế ề hành động điều tra RIPA-2000) M c 49, cung cụ ấp cho các cơ quan điề ực để giám sát địu l a ch email cá nhân 

b ng cách ằ cho phép cơ quan thực thi pháp lu t yêu c u giao khóa mã hóa và gi i mã ậ ầ ả

đấy là những hành động vì l i ích c a qu c gia, vợ ủ ố ới mục đích ngăn chặn và phát hiện

ra t i ph m và vì l i ích cộ ạ ợ ủa Anh Tính đến ngày 1/10/2007 n i dung ph n III cộ ầ ủa RIPA đã được ho t ng, bây gi các cá nhân s d ng k ạ độ ờ ử ụ ỹ thuật mã hóa không còn có thể ừ t ch i cho vi c cung c p khóa giố ệ ấ ải mã cho cơ quan thực thi pháp luật Điều 53

của RIPA, trong đó vấn đề ớ v i vi c không tuân th ệ ủ việc bàn giao đúng về khóa giải

mã có th ể được b bu c t i ị ộ ộ Ngượ ạc l i, Hoa K ỳ không có điều lu t cậ ủa cơ quan thực thi pháp lu t, quy n bu c nghi can cung cậ ề ộ ấp thông tin để giải mã Ch khi b  ị cáo đã cung c p thông tin v n i dung các tấ ề ộ ập tin được mã hóa hoặc ổ ứ c ng trong quá trình thẩm v n ấ

Steganography

Steganography đây là kỹ thu t che d u s t n t i c a thông tin Khác v i m t mã, ậ ấ ự ồ ạ ủ ớ ậ

m c tiêu c a steganography là che dụ ủ ấu đi thông báo cần gi bí m t trong các d ữ ậ ữ liệu

vô hại khác để đối phương không thể che dấu được s hi n di n c a thông báo Ví ự ệ ệ ủ

dụ, người dùng thu th p và phân ph i các n i dung khiêu dâm tr em có th che dậ ố ộ ẻ ể ấu hình ảnh và video để tránh bi cơ quan thực thi pháp lu t phát hi n ậ ệ

Để xác định được có ch a dứ ấu mã hay không, thì điều tra viên s s d ng các công ẽ ử ụ

c thích hụ ợp để phát hi n d u n t n t i trong t p tin ệ ữ liệ ẩ ồ ạ ậ

Các công c hi n có s n và n i b t cho viụ ệ ẵ ổ ậ ệc điều tra stegagraphy là Steganos, tools, steghide, jphide,…

s-Các t ập tin đượ ạ c t o ra b i máy tính ở

Các tập tin đượ ạc t o ra t ng b i máy tính có th ự độ ở ể thể ấ r t có giá tr Các t p tin ị ậ

có th h ể ỗ trợ đ ề i u tra viên trong việc điều tra như: logs, lịch s trình duy t, cookies, ử ệ

t p tin temp ậ

 T p tin logs: t ng ghi l i các s ậ ự độ ạ ự kiện trong máy tính có th ể được s d ng ử ụ

để theo dõi, hi u, chuể ẩn đoán các hoạt động và vấn đề trong h th ng ệ ố

 Setup logs: t p tin này cung c p d ậ ấ ữ liệu về các ứng dụng được cài đặt trên máy tính

 System logs: t p tin cung c p thông tin v các thành ph n h ậ ấ ề ầ ệ thống

 Aplication and services logs: ghi l i các các s ạ ự kiện m i ớ

 L ch s trình duy t: thu th p d u t ị ử ệ ậ ữ liệ ừ các trang web người dùng s d ng ử ụ

 Cookies là bản ghi đượ ạo ra và lưu lạc t i trên trình duyệt khi người dùng truy

c p vào m t trang web ậ ộ

 File Temporary là các tập tin được lưu tạm trong quá trình cài đặt chương trình

ứng d ng ụ

File slack space và Unallocated space

Không gian lưu trữ c a các ủ ổ đĩa logic được chia thành các ph n nh b ng nhau, ầ  ằ

có kích thước xác định, được gọi là block đĩa, hay còn gọi là các đơn vị ấ c p phát (allocation) Vớ ầi h u h t các h ế ệ điều hành hi n nay, mệ ột đơn vị ấp phát tương ứng c

v i mớ ột cluster đĩa Cluster được hình thành t 4, 6 ho c 8 sector liên ti p nhau, kích ừ ặ ếthước c a mủ ột sector thường là 512 byte (t c là, m i sector chứ ỗ ứa được 512 byte thông tin)

D u c a các t p tin cữ liệ ủ ậ ần lưu trữ, đầu tiên, được chia thành các block có kích thước b ng nhau và b ng kằ ằ ích thước c a cluster Các block tủ ập tin, sau đó, sẽ được lưu tại các cluster khác nhau trên đĩa Như vậy, trên đĩa vừa có các cluster đang chứa block c a tủ ập tin (không gian đã cấp phát: Allocated space/Used space), v a có cluster ừcòn để ố tr ng (không gian chưa cấp phát: Unallcated space/Free space)

Trong trường hợp kích thước c a t p tin không là b i s củ ậ ộ ố ủa kích thước cluster thì cluster cuối cùng, trong dãy các cluster ch a t p tin này, s ứ ậ ẽ không đượ ử ục s d ng h t ếPhần dư ra này được g i là File slack spaọ ce

Ví dụ: Kích thước c a mủ ột cluster đĩa là 2048 byte, kích thước c a t p tin A là ủ ậ

20512 Byte Trong trường h p này, h ợ ệ điều hành ph i dành ra (c p phát) ít nh t là 11 ả ấ ấcluster để chứa h t n i dung t p tin A Tuy nhiên, cluster th 11 ch s d ng 32 byte, ế ộ ậ ứ  ử ụcòn dư 2048 – 32 = 2016 byte T c là File slack space c a t p tin A là 2016 ứ ủ ậbyte.Thông thương ta thươg ít quan tấm đến vùng thu c slack và unallocated, vì th ộ ế

đây có thể là nơi lý tưởng để chứa chương trình mã độc và các đoạn mã không mong muố ẩn n d u ấ

1.6.2 Các kiể u b ằ ng ch ng khác ứ

H ệ thống điện toán đám mây cung c p m t mô hình mấ ộ ới để ử x lý phân tán d ữliệu s Viố ệc lưu trữ trên đám mây các tài liệu, hình ảnh… cng sẻ là một ngu n ti m ồ ềnăng chứa nhi u ch ng c ề ứ ứ trong quá trình điều tra s ố

Đố ớ i v i thi t b ế ị lưu trữ:

 Ổ ứ c ng là thi t b ế ị lưu trữ điệ ử, lưu trữ ữ liện t d u trên b m t các tề ặ ấm đĩa tròn

ph vủ ậ ệ ừt li e t tính Ổ đĩa cứng là lo i b nh ạ ộ ớ “không thay đổi”, dữ ệ li u không

b mị ất đi khi ngừng cung cấp điện.Có th ể lưu các định dạng khác nhau như văn bản, hình ảnh,… ằ b ng ch ng thu th p b ng cách kiểm tra văn bản, video, ứ ậ ằ

cơ sở ữ ệ d li u và các tập tin chương trình máy tính

 Thẻ nhớ: đây là thiế ị lưu trữ di động, đượ ử ụt b c s d ng trong nhi u thi t b ề ế ị như máy ảnh, điện thoại, PDA…Dữ liệu trong th nh không b m t khi ngẻ ớ ị ấ t ngu n Thu th p b ng ch ng b ng cách ki m tra logs, tồ ậ ằ ứ ằ ể ập tin văn bản, t p tin ậhình ảnh,…

 USB: đây là thiết bị lưu trữ di động vói USB k t nế ối, đây là thiế ịt b nh và

nh Có th thu th p b ng chẹ ể ậ ằ ứng trong đây bằng cách kiểm tra văn bản, hình ảnh

 Ngoài ra còn các thi t b ế ị lưu trữ truyền thống như đĩa mềm, CD/DVD,… bất

k d ỳ ữ liệu nào được ghi trong đó đều là b ng chằ ứng

Thiế ị t b ngo i vi: ạ

 Máy in được k t n i v i máy tính thông qua cáp ho c truy c p thông qua m t ế ố ớ ặ ậ ộ

c ng h ng ngo i M t vài máy in có ch a b nh m cho phép nhổ ồ ạ ộ ứ ộ ớ đệ ận và lưu giữ nhi u lo i tài li u Ch ng c ề ạ ệ ứ ứ được tìm thông qua logs, thông tin th i gian, ờxác định thông tin m ng, h p m c s d ng ạ ộ ự ử ụ

 Máy scan là m t thi t b quang k t n i v i máy tính, có th ộ ế ị ế ố ớ ể chuyển đổi hình ảnh, văn bản ch vi t thành nh kỹữ ế ả thu t s Ch ng c ậ ố ứ ứ được tìm th y b ng ấ ằcách nhìn vào các d u v t trên m t kính c a máy scan ấ ế ặ ủ

 Thiế ịt b RFID( nh n d ng b ng sóng vô tuyậ ạ ằ ến) đây là thiế ịt b có th thay th ể ếcho các mã vạch trong các siêu th ị được s dử ụng trong nhiều lĩnh vực qu n ảhàng hóa, làm thẻ ộ chiếu… Nhữ h ng ch ng c s ứ ứ ẽ được hi n th trên máy tính ể ịkhi thi t b này k t n i vế ị ế ố ới máy tính

Thiế ị t b thông minh: loại điện thoại, điện tho i thông minh, thi t b GPS, máy tính ạ ế ị

bảng Đối v i thi t b ớ ế ị điện tho i b ng chạ ằ ứng được tìm th y thông qua danh b , s ấ ạ ốđiện thoại, xác định thông tin người gọi, hay các b ng ch ng khi truy c p web, email ằ ứ ậthông qua logs Đố ới v i thi t b GPS b ng chế ị ằ ứng được tìm thấy thông qua các điểm truy c p, nh t kí truy cậ ậ ập…

Thiế ị ạ t b m ng: lo i firewall, router, hub, switch, các ạ thiế ịt b khác

 Router, hub,switch k t n i máy tính ho c mế ố ặ ạng khác nhau Đối v i router b ng ớ ằchứng được tìm th y khi cấ ấu hình file Đố ới v i hub và swith b ng chằ ứng được tìm th y trong các thi t b khác ấ ế ị

 Server là một máy tính trung tâm trong đó cung cấp các d ch vị ụ cho phép máy tính hay b t kì thi t b nào khác truy c p B ng ch ng tìm th y trong logs, ram, ấ ế ị ậ ằ ứ ấregsitry…

 Firewall k t n i vế ố ới các thi t b khác trong mế ị ạng, để điều tra b ng ch ng có ằ ứthể được tìm trong file log c a firewall ủ

 M t s ộ ố thiết b ị khác như ạc c m ng b ng chạ ằ ứng được tìm thấy trên địa ch 

m ng, hay dây cáp mạ ạng bao gồm màu sc, độ ầ d y, hình d ng kạ ết nối tùy được vào h ệ thống, ch ng c ứ ứ được tìm th y trên các thi t b ấ ế ị

Các ngu n b ng ch ng không phồ ằ ứ ải điệ ử ấn t r t có giá tr ị như bằng ch ng vứ ật lý thu thập được trong quá trình thu th p b ng ch ng, ch a dậ ằ ứ ứ ấu vân tay, máu,… những b ng ằchứng quan trọng có xác định danh tính c a mủ ột người nào đó rấ ữt h u ích cho vi c ệđiều tra.[4]

CHƯƠNG 2 QUY T RÌNH ĐIỀ U TRA S Ố

Trong công việc điều tra, điều tra viên c n ph i tuân th ầ ả ủ và thực hi n công ệviệc theo quy trình, tránh làm ảnh hưởng t i các b ng ch ng thu thớ ằ ứ ập được Khi

m t v án hay sộ ụ ự c x y ra, không ph i b t kố ả ả ấ ỳ ai cng có thể ớ t i hiện trường, ti p ế

c n hiậ ện trường, ti p c n b ng ch ng và thu thế ậ ằ ứ ập b ng ch ng trong v ằ ứ ụ án Đố ới i v

b ng ch ng thu thằ ứ ập được cần được đưa vào một môi trường an toàn, và ch có các điều tra viên và người được cấp phép điều tra m i có quyớ ền được ti p c n ế ậ

b ng chằ ứng đó Một cuộc điều tra thông thường g m m t s ồ ộ ố giai đoạn chính như[9] [10]

- Ti p nh n cuế ậ ộc điều tra

- Xác định phạm vi điều tra

- Thu th p và b o vậ ả ệ ằ b ng ch ng ứ

- Phân tích tìm nguyên nhân

- L p báo cáo k t qu ậ ế ả cuộc điều tra

- Trình bày trước tòa

- Lưu trữ ồ sơ vụ án h

2.1 Quy trình c hung điề u tra s ố

Hình 2.1 dưới đây thể ện quy trình điề hi u tra s t ng th gố ổ ể ồm các bước như sau:

Hình 2.1 Quy trình điều tra số

2.1.1 Chuẩ n b ị

M c tiêu chung c a vi c chu n bụ ủ ệ ẩ ị điều tra số là t o ra m t k hoạ ộ ế ạch hành động

để ự th c hi n m t cuệ ộ ộc điều tra hi u qu thì c n phệ ả ầ ải có nhân viên điều tra và trang

thiế ị đảt b m b o Chu n b l nh thu giả ẩ ị ệ ữ, khi có đượ ệc l nh thu gi ữ điều tra viên s t o ẽ ạ

ra k hoế ạch để đố i phó v i các tình hu ng ớ ố

Điều tra viên c n ph i chu n b các thi t b chuyên d ng khi thu thầ ả ẩ ị ế ị ụ ập, đóng gói và

lưu trữ thi t b s tránh b ế ị ố để ị thay đổi, hư hng ho c phá h y b ng ch ng s Tránh ặ ủ ằ ứ ố

việc s d ng b t k công c ho c v t li u nào có th ử ụ ấ ỳ ụ ặ ậ ệ ể gây ra tĩnh điện ho c t trư ng ặ ừ ờ

vì chúng có th ể gây hư hại ho c phá h y b ng ch ng ặ ủ ằ ứ

C n ph i chu n b các công c cho vi c thu thầ ả ẩ ị ụ ệ ập như: máy ảnh, h p các tông, s ộ ổ

ghi chép, găng tay, túi bằng ch ng gi y, mi ng dán, túi ứ ấ ế chông tĩnh điện, con d u, ấ

công c không có tính t ụ ừ tính

Chuẩ n b thi t b ị ế ị lưu trữ

Hình ảnh( images) là k t qu cế ả ủa quá trình“ nhân bản pháp y, ph i cung c p các ả ấthiế ị lưu trữt b an toàn Ba lo i thi t b ạ ế ị lưu trữ: ổ đĩa cứng, đĩa quang( CD, DVD) và USB flash là ph bi n trên th ổ ế ị trường Các thi t bế ị này được các nhà điều tra s d ng ử ụ

để lưu trữ hình nh nhân bả ản, để ử ụ s d ng cho việc điều tra và phân tích ti p theo ếĐiều quan tr ng nhất là điều tra viên c n phọ ầ ải đảm b o r ng thi t b ả ằ ế ị đó “ sạch” không chứa b t k d li u nào mà vô tình có th tr thành m t b ng chấ ỳ ữ ệ ể ở ộ ằ ứng khác trong điều tra

Thiế ị lưu trữt b này có th làm s ch theo 2 tiêu chu n: ể ạ ẩ

 Tiêu chu n DoD 5220.22-M tiêu chu n c a B ẩ ẩ ủ ộ Quốc phòng Hoa K ỳ

 Tiêu chu n NSA tiêu chu n cẩ ẩ ủa Cơ quan An ninh Quốc gia Hoa K ỳ

Chuẩ n b thi t b ch ị ế ị ống ghi ngượ c:

Trong cuộc điều tra (thu gi ho c thu th p) b ng ch ng s ữ ặ ậ ằ ứ ố được lưu trữ trong các

h ệ thống hoạt động ho c thi t b ặ ế ị lưu trữ khác phải được b o v ả ệ kh ị ghi đè hoặc i b thay đổi Trong các h ệ thống máy tính, dữ liệu được ghi và đọ ừc t một thi t b lưu trữ ế ịthông qua l nh c a máy tính là c ng kệ ủ ổ ế ố ừ máy tính đết n i t n thi t b ế ị lưu trữ khác Do

đó, chiến lược cơ bản để ự th c hi n chệ ống ghi là đặt m t b l c gi a máy tính và thiộ ộ ọ ữ ết

b cáp th p B h c này ch n t t c các l nh tr c ti p có th hay có kh ị ấ ộ ọ ặ ấ ả ệ ự ế ể ả năng gây ra

s ự thay đổ ớ ữ liệi v i d u g c và ch cho phép các l nh vào thi t b ố  ệ ế ị mà không thay đổi

đố ới v i thi t b ế ị

Thiế ịt b ch ng ghi n m gi a k t n i gi a máy tính ch và thi t b ố ằ ữ ế ố ữ ủ ế ị lưu trữ, nó có thể được th c hi n theo ph n cự ệ ầ ứng ho c ph n mặ ầ ềm Theo đó, hai loạ ỹi k thu t b o v ậ ả ệghi được phát tri n ph n ch ng ch ng ghi và ph n mể ẩ ứ ố ầ ềm ch ng ghi ố

Phần c ng ch ng ghi: ứ ố được th c hi n b ng thi t b v t lý hoự ệ ằ ế ị ậ ặc cơ học, để theo dõi các lệnh cho phép và ngăn chặn d li u t bên ngoài ghi vào b ng ch ng ữ ệ ừ ằ ứPhần m m ch ng ghi: ề ố được th c hi n thông qua ng t và l nh IRP ự ệ  ệ

Hình 2.2 Thiế ị chốt b ng ghi Các thi t b ế ị chống ghi ph n c ng và ph n m m ầ ứ ầ ề được li t kê trong ph l c 1 ệ ụ ụ

2.1.2 B o v ả ệ và giám định hi ện trường

Điề đầu u tiên của đội điều tra nên đảm b o sả ự an toàn c a t t c mủ ấ ả ọi ngườ ại t i

hiện trường v án T t cụ ấ ả các hành động và hoạt động th c hi n t i hiự ệ ạ ện trường phải

phù h p v i lu t pháp Th c hi n theo chính sách c a lu t pháp v ợ ớ ậ ự ệ ủ ậ ề việc b o v hiả ệ ện

trường

Thực hi n m t danh sách ki m tra: xác nh n ki u s c , ch c ch n hiệ ộ ể ậ ể ự ố   ện trường an

toàn, cô l p nhậ ững người khác được phép có m t t i hiặ ạ ện trường, xác định v trí cị ủa

nạn nhân, xác định d ữ liệu liên quan đến kẻ ph m t i, yêu c u s ạ ộ ầ ự giúp đ thêm ở ệ hi n

trường n u c n Thi t l p một vành đai an ninh để xác địế ầ ế ậ nh k ph m t i trong khi v ẻ ạ ộ ụ

hiện trường v án, b o vụ ả ệ và b o qu n b ng ch ng kh i nhả ả ằ ứ  ững r i ro b mủ ị ất mát B o ả

v các d u d b biệ ữ liệ  ị ến động

Điều tra viên nên chu n b l nh thu gi L nh thu gi ẩ ị ệ ữ ệ ữ cho đội ph n nả ứ g đầu tiên

được phép th c hi n tìm ki m và thu gi b ng ch ng s , vự ệ ế ữ ằ ứ ố ấn đề này được đề ậ c p

trong l nh thu gi ệ ữ

 L nh thu gi b ng ch ng s v ệ ữ ằ ứ ố ề cơ bả ận t p trung vào những điều sau:

 L nh thu gi ệ ữ thiế ị lưu trữ ốt b s , L nh thu gi ệ ữ thiế ị lưu trữ ốt b s cho phép

đội ph n ả ứng đầu tiên tìm ki m và thu gi các thành ph n máy tính c a nế ữ ầ ủ ạn

nhân( như phần c ng, ph n mèm, thi t b ứ ầ ế ị lưu trữ, và tài li u) ệ

 L nh thu giệ ữ đảm bảo đội ph n ả ứng đầu tiên có được thông tin trong máy

tính n n máy tính n n nhân ạ ạ

K ho ch chu n b tìm ki m và thu gi ế ạ ẩ ị ế ữ chứa các thông tin chi ti t sau: ế

 Mô t s c , qu n lý s c ả ự ố ả ự ố đang chạy, tên c a s c , v trí s c , th m ủ ự ố ị ự ố ẩ

quy n áp d ng và lu t pháp liên quan, v trí cề ụ ậ ị ủa thi t bế ị thu gi ( ki n kiữ ế ến trúc và kích thước, v trí c a các máy tính ị ủ ở đâu( tát cả 1 vị trí, trải đều khp phòng ), những người liên quan đến s c , ự ố

 Chi ti t nh ng gì c n thu gi ( vế ữ ầ ữ ị trí, ID, mô hình ): ki u thi t b và s ể ế ị ố lượng

ph i thu gi ả ữ

 S thu gi ẽ ữ máy tính đang chạy hay khi đã tt th nào ế

 B ng ch ng có k t n i v i mằ ứ ế ố ớ ạng hay không, n u có thì ki u mế ể ạng, nơi

b ng ch ng có th ằ ứ ể lưu trữ trong mạng, nơi hệ thống backup s ẽ lưu trữ ếu , n

t t h  ệ thống server đang chạy thì ảnh hưởng đến hoạt động kinh doanh của doanh nghiệp như thế nào

Thực hi n tìm kiệ ếm ban đầu trong hiện trường Cô lập ệ thốh ng máy tính và các thiế ịt b có th ch a b ng ch ng Tìm ki m và thu gi b ng ch ng t p tin logs bể ứ ằ ứ ế ữ ằ ứ ậ ởi trong đó có chứa nh ng mô t v máy tính, thi t b trong khi tìm ki m b ng ch ng ữ ả ề ế ị ế ằ ứGhi l i nhạ ững lưu ý trong khi phác thảo hiện trường Cu i cùng là ch p nh và phác ố ụ ảthảo hiện trường, chi ti t v t t c b ng ch ng máy tính ế ề ấ ả ằ ứ

Điều quan tr ng là ph i xem xét các vọ ả ấn đề an toàn trong công vi c th c hi n ệ ự ệ ở

t t c ấ ả các gia đoạn của quá trình điều tra bởi các điều tra viên T t c ấ ả đội ng điều tra viên nên đeo găng tay cao su bảo v khi hoệ ạt động tìm ki m và thu gi di n ra.V n ế ữ  ấ

đề này v a b o v ừ ả ệ được nhân viên và b o quả ản được d u vân tay trên b ng chấ ằ ứng để

có th khôi ph c l ể ụ ại

Tiến hành ch t vấ ấn sơ bộ ngay t i hiạ ện trường, xác định và ghi l i t t c nh ng ạ ấ ả ữngười có m t t i hiặ ạ ện trường v và b n ghi th i gian có mị ả ờ ặ ạt t i hiện trường Trong luật pháp của liên bang, đội ph n ả ứng đầu tiên thu thập được nhi u thông tin cá nhân ềcàng t ốt:

 Ngườ ở ữi s h u thi t b s ế ị ố được tìm th y t i hiấ ạ ện trường

 Tên người dùng và tên nhà cung c p d ch v internet ấ ị ụ

 M t kh u yêu cậ ẩ ầu để truy c p vào h ậ ệ thống, ph n m m ầ ề

 Mục đích khi sử ụ d ng h ệ thống

 Thông tin tài kho n webmail ho c trang m ng xã h i ả ặ ạ ộ

 Tài li u gi i thích ph n c ng, ph n mệ ả ầ ứ ầ ềm được cài đặt trên h th ng ệ ố

2.1.3 L p tài li u hi ậ ệ ện trường

L p tài li u hiậ ệ ện trường đượ ạc t o mục đích để không thay đổi v trí trong hi n ị ệtrường Điều quan tr ng là ghi lai chính xác v trí trong viọ ị ện trường, ghi l i tr ng thái ạ ạ