123 Trang 11 x LỜI CAM ĐOANTrước tiên tôi xin chân thành gửi lời cảm ơn và lòng biết ơn sâu sc tới PGS.TS Nguyn Linh Giang – Vi n Công nghệ Thông tin – Truyền thông, người đã tận tình
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - Hoàng Thanh Nam NGHIÊN CỨU ĐIỀU TRA SỐ TRÊN THIẾT BỊ DI ĐỘNG THÔNG MINH Chun ngành: Truyền thơng mạng máy tính LUẬN VĂN THẠC SĨ KỸ THUẬT NGƯỜI HƯỚNG DẪN KHOA HỌC PGS.TS Nguyễn Linh Giang Năm 2016 17084941078747ba8b5c6-662e-4e6a-a63c-c533c8396e78 1708494107874a067984b-9029-4ff8-bea8-7b1d7c09369f 17084941078746f180834-89bd-423e-b97f-a8ed0d4eb26e MỤC LỤC MỤC LỤC i DANH MỤC VIẾT TẮT v DANH MỤC BẢNG vi DANH MỤC HÌNH vii LỜI MỞ ĐẦU xi CHƯƠNG TỔNG QUAN VỀ KHOA HỌC ĐIỀU TRA SỐ 1.1 Khái niệm khoa học điều tra số 1.1.1 Khái niệm 1.1.2 Ứng dụng điều tra số 1.1.3 Các loại hình điều tra số 1.2 Đặc điểm điều tra số 1.2.1 Tội phạm máy tính 1.2.2 Bằng chứng số 1.2.3 Vấn đề pháp lý 1.3 Quy định chứng số Mỹ 11 1.4 Yêu cầu để thừa nhận chứng số 12 1.4.1 Xác thực 12 1.4.2 Quy định chứng gốc 14 1.5 Xác nhận tính hợp lệ công cụ điều tra số 15 1.6 Kiểu chứng số 16 1.6.1 Bằng chứng số máy tính 16 i 1.6.2 Các kiểu chứng khác 20 CHƯƠNG QUY TRÌNH ĐIỀU TRA SỐ 22 2.1 Quy trình chung điều tra số 22 2.1.1 Chuẩn bị 23 2.1.2 Bảo vệ giám định trường 25 2.1.3 Lập tài liệu trường 26 2.1.4 Thu thập chứng 27 2.1.5 Đánh dấu, vận chuyển lưu trữ 37 2.1.6 Kiểm tra 38 2.1.7 Phân tích 39 2.1.8 Lập tài liệu báo cáo báo cáo 40 2.2 Quy trình điều tra số thiết bị Android 41 2.2.1 Tiếp nhận điều tra 42 2.2.2 Nhận dạng thiết bị 43 2.2.3 Chuẩn bị 47 2.2.4 Bảo vệ chứng 50 2.2.5 Xử lý chứng 51 2.2.6 Kiểm tra xác nhận 52 2.2.7 Lập tài liệu báo cáo 53 2.2.8 Trình bày vụ án 54 2.2.9 Lưu trữ hồ sơ vụ án 54 2.3 Quy trình thu thập chứng 54 2.3.1 Thủ tục ban đầu để bảo vệ liệu thiết bị 57 ii 2.3.2 Thu thập liệu thiết bị bật, khơng có mã bảo vệ 58 2.3.3 Thu thập thiết bị bật, có mã bảo vệ 60 2.4 Quy trình phân tích chứng 62 CHƯƠNG KỸ THUẬT ĐIỀU TRA SỐ 66 3.1 Hệ điều hành Android 66 3.1.1 Các thành phần hệ điều hành Android 66 3.1.2 Bảo mật Android 69 3.1.3 Cấu trúc phân cấp file 71 3.1.4 Hệ thống tập tin 73 3.2 Thiết lập môi trường điều tra số 80 3.2.1 Môi trường điều tra số 80 3.2.2 Cơng cụ lập trình ASDK 80 3.2.3 Hệ thống giả lập thiết bị Android 80 3.2.4 Kết nối thiết bị Android 83 3.2.5 Truy cập thiết bị Android khơng khố 85 3.2.6 Truy cập thiết bị Android có khố 86 3.3 Kỹ thuật trích xuất phục hồi liệu 89 3.3.1 Trích xuất liệu thủ công 89 3.3.2 Trích xuất liệu logic 90 3.3.3 Trích xuất liệu vật lý 98 3.3.4 Trích xuất tạo ảnh nhớ thẻ 102 3.3.5 Khôi phục tập tin bị xóa 103 3.3.6 Phục hồi liệu bị xóa từ thẻ SD 103 iii 3.3.7 Phục hồi liệu bị xóa từ nhớ 106 CHƯƠNG THỰC NGHIỆM PHÂN TÍCH ĐIỀU TRA SỐ 114 4.1 Giới thiệu tình 114 4.2 Thực quy trình điều tra 115 4.2.1 Tiếp nhận điều tra 115 4.2.2 Nhận dạng thiết bị 115 4.2.3 Chuẩn bị 116 4.2.4 Bảo vệ chứng 118 4.2.5 Xử lý chứng 119 4.2.6 Kiểm tra xác nhận 128 4.3 Đánh giá trình thực quy trình 128 KẾT LUẬN 130 TÀI LIỆU THAM KHẢO 131 PHỤ LỤC I CÁC CÔNG CỤ ĐIỀU TRA SỐ 132 PHỤ LỤC II SỬ DỤNG CÔNG CỤ AUTOSPY 138 PHỤ LỤC III GIẢI MÃ TẬP TIN CƠ SỞ DỮ LIỆU ỨNG DỤNG WHATSAPP 142 iv DANH MỤC VIẾT TẮT SWGDE Nhóm khoa học làm việc chứng số Viện tư pháp quốc gia Hoa Kỳ Tổ chức tiêu chuẩn hóa quốc tế FBI SOP ACPO MD5 SHA RAM Scientific Working Group on Digital Evidence National Institute of Justice International Organization for Standardization Federal Bureau of Investigation Standard Operating Procedures Association of Chief Police Officers Message-Digest algorithm Secure Hash Algorithm Random Access Memory NTFS FAT New Technology File System File Allocation Table Hệ thống tập tin công nghệ Bảng định vị tập tin PDA GPS Personal digital assistant Global Positioning Systems Thiêt bị trợ giúp cá nhân Thiết bị định vị NIJ ISO v Cục điều tra liên bang Quy trình chuẩn Hiệp hội cảnh sát trưởng Thuật toán hàm băm Thuật toán hàm băm an toàn Bộ nhớ truy cập ngẫu nhiên DANH MỤC BẢNG Bảng 2.1– Đường dẫn lưu trữ tập tin sở liệu 80 Bảng 4.1 – Thông tin nhận dạng thiết bị 116 vi DANH MỤC HÌNH Hình 1.1Mẫu chuỗi quản lý chứng 13 Hình 1.2 Kết chuỗi MD5 14 Hình 1.3 Kiểu chứng số 17 Hình 2.1 Quy trình điều tra số 23 Hình 2.2 Thiết bị chống ghi 25 Hình 2.3 Quy trình thu thập chứng theo NIJ 30 Hình 2.4 Tạo thư mục chứa chứng 35 Hình 2.5 Chọn thu thập đữ liệu từ nhớ 35 Hình 2.6 Chọn thư mục chứa chứng 36 Hình 2.7 Quá trình thu thập bắt đầu diễn 36 Hình 2.8 Lựa chọn xác nhận hình ảnh 36 Hình 2.9 Kết giá trị băm 37 Hình 2.10 –Lược đồ quy trình điều tra số 42 Hình 2.11 – Quy trình thu thập chứng 56 Hình 2.12 – Thủ tục ban đầu bảo vệ liệu thiết bị 57 Hình 2.13– Các bước thu thập thiết bị khơng có mã bảo vệ 59 Hình 2.14 – Thiết bị UFED TOUCH ULTIMATE 60 Hình 2.15 – Thu thập liệu thiết bị có mã bảo vệ 61 Hình 2.16 – Quy trình kiểm tra phân tích 63 Hình 3.1 Kiến trúc Android 66 Hình 3.2 Máy ảo Dalvik Java 68 Hình 3.3– Kích hoạt chế độ USB Debug thiết bị 84 Hình 3.4 – Tìm thiết bị kết nối 84 Hình 3.5 – Kết nối ADB 84 Hình 3.6 – Mơ khóa mơ hình android 87 Hình 3.7 – Nội dung file gesture.key dạng hex 88 Hình 3.8 – So sánh chuỗi nhận với từ điển 88 vii Hình 3.9 – Mơ lại hình dạng khóa mơ hình 88 Hình 3.10 – Dữ liệu copy từ /data 91 Hình 3.11 – SQLite Browser 92 Hình 3.12 – Dữ liệu ghi gọi 93 Hình 3.13 – Thơng tin lịch sử gọi 94 Hình 3.14 Gọi bảng file contacts2.db 94 Hình 3.15 –Các tập tin browser2.db oxy Viewer SQLite Forensic 95 Hình 3.16 –Bảng fb.db SQLite Browser 96 Hình 2.15 Các ứng dụng AFLogical OSE 98 Hình 3.17 Thơng báo hiển thị sau chiết xuất hoàn tất 98 Hình 3.18 – Thơng tin trích xuất dạng csv 98 Hình 3.19 – Thiết lập The JTAG 100 Hình 3.20 – Kỹ thuật Chip-off 101 Hình 3.21 -Các tùy chọn hình ảnh đĩa WinHex 103 Hình 3.22 – Phát phục hồi thiết bị Android 104 Hình 3.23 – Danh sách thiết bị lưu trữ có sẵn 105 Hình 3.24 – Danh sách file phục hồi 105 Hình 3.25– Ứng dụng siêu lưu 106 Hình 3.26 – Xem liệu bị xoá phần mềm Oxygen 109 Hình 3.27 – Tệp cấu hình scalpel 110 Hình 2.27 -Chạy cơng cụ Scalpel file dd 111 Hình 3.28 – Thư mục đầu sau chạy công cụ Scalpel 111 Hình 3.29 –Dữ liệu khơi phục sau sử dụng Scalpel 112 Hình 3.30 – Danh sách liên lạc Gmail 112 Hình 3.31 – Hộp thoại thơng báo khơi phục danh sách liên lạc 113 Hình 4.1 – Quy trình thu thập chứng vụ án 118 Hình 4.2 – Dữ liệu bên thư mục /data/system 119 Hình – Xác nhận giá trị chứng 120 Hình 4.4 – Xem tin nhắn SMS từ sở liệu 121 viii Hình 4.5 – Chuyển đổi giá trị ngày 122 Hình 4.6 – Dữ liệu chứa ứng dụng whatsapp 122 Hình 4.7 – Các tập tin sở liệu Whatsapp 123 Hình 4.8 – Bảng sở liệu whatsapp 123 Hình 4.9 – Bảng sqlite_sequence 124 Hình 4.10 – Thư mục backup thẻ nhớ ứng dụng whatsapp 124 Hình 4.11 – Giả mã sở liệu Whatsapp 125 Hình 4.12 – Nội dung tin nhắn trích xuất từ whatapps 125 Hình 4.13 – Kết tìm kiếm từ khóa Rookie 126 Hình 4.14 – Vị trí lưu trữ tập tin tải 126 Hình 4.15 – Trích xuất tập tin bị xóa 127 ix