Mục tiêu cụ thể - Tìm hiểu về quy định và các điều kiện để DLĐT trở thành chứng cứ:+ Nghiên cứu về các quy định liên quan đến xác thực DLĐT ở Việt Nam+ Phân tích các loại chứng thực số đ
Trang 11.1 Công tác thu thập dữ liệu điện tử theo chức năng, nhiệm vụ của lựclượng Công an nhân dân 8
1.1.1 Khái niệm, nguồn thu thập và cơ sở pháp lý liên quan đến dữ liệu điện tử 8
1.1.2 Các điều kiện để dữ liệu điện tử trở thành chứng cứ 10
1.2 Quy trình điều tra số của lực lượng công an 12
1.2.1 Khái niệm, đặc điểm của công tác công an trong điều tra số 12
1.2.2 Quy trình điều tra số 14
1.3 Những thuận lợi, khó khăn của lực lượng công an khi tiến hành điều trasố 25
1.3.1 Thuận lợi 25
1.3.2 Khó khăn 25
CHƯƠNG 2 NGHIÊN CỨU TỔNG QUAN VỀ KỸ THUẬT ĐIỀU TRA SỐTRÊN Ổ ĐĨA CỨNG HDD 27
2.1 Thành phần, cấu tạo, cách thức hoạt động của ổ cứng HDD 27
2.1.1 Khái niệm ổ đĩa cứng HDD 27
2.1.2 Cấu trúc vật lý của ổ cứng HDD 27
2.1.3 Cấu trúc logic của ổ cứng HDD 30
2.1.4 Các chuẩn kết nối của ổ cứng HDD 34
2.2 Quy trình điều tra số trên ổ đĩa cứng HDD 36
2.2.1 Tiếp nhận cuộc điều tra 36
2.2.2 Nhận dạng thiết bị 36
2.2.3 Chuẩn bị điều tra 36
2.2.4 Bảo vệ DLĐT 37
2.2.5 Xử lý DLĐT 37
Trang 23.2.2 Mô phỏng thử nghiệm với máy window 11 và ổ cứng di động HDD 52
DANH MỤC TÀI LIỆU THAM KHẢO 67
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 68
Trang 3DANH MỤC CHỮ VIẾT TẮT
ANQG An ninh quốc giaATA AT AttachmentCAND Công an nhân dân
DLĐT Dữ liệu điện tửGPS Global Positioning SystemHDD Hard Disk Drive
PDA Personal Digital AssistantSATA Serial Advanced Technology
AttachmentSSD Solid State DriveVPPL Vi phạm pháp luật
Trang 4MỞ ĐẦU1 Tính cấp thiết của chuyên đề
Ngày nay, việc điều tra ổ đĩa cứng (HDD) đang trở thành một phần khôngthể thiếu trong lĩnh vực điều tra số do vai trò quan trọng của dữ liệu trong các hoạtđộng pháp lý và an ninh mạng Trên ổ đĩa cứng HDD, DLĐT được lưu trữ và ghilại theo dõi rất nhiều hoạt động mà một máy tính hoặc thiết bị lưu trữ dữ liệu đã trảiqua Việc phân tích và khôi phục dữ liệu từ HDD có thể cung cấp cho lực lượngcông an những thông tin quan trọng về các hành vi vi phạm, tội phạm mạng hoặcthậm chí là các dấu vết của hoạt động tội phạm khác nhau
Bên cạnh đó, trong công tác đấu tranh phòng chống tội phạm tham nhũng vàkinh tế, việc điều tra HDD có thể hỗ trợ lực lượng công an xác định việc sử dụng,ra quyết định sai mục đích của các đối tượng tham nhũng, cơ chế dòng tiền của cơquan, doanh nghiệp Công cụ phân tích dữ liệu từ HDD đóng vai trò quan trọngtrong việc thu thập và phân tích DLĐT, từ việc kiểm tra các tệp tin đã xóa, đến việcxác minh thời gian và hoạt động của người sử dụng
Hơn nữa, việc thực hiện điều tra ổ đĩa cứng HDD cũng đặt ra nhiều tháchthức kỹ thuật Dữ liệu trên ổ đĩa có thể bị mã hóa, định dạng hoặc bị ẩn đi, đòi hỏilực lượng công an phải vững về chuyên môn, nghiệp vụ để giải mã, phục hồi, phântích thông tin một cách chính xác và hiệu quả Ngoài ra, việc bảo quản DLĐT từHDD cũng là một phần quan trọng để đảm bảo tính toàn vẹn, hợp lệ, liên quan,khách quan và hợp pháp của thông tin trong quá trình trình diện trước tòa án hoặccác cơ quan chức năng
Trong các vụ án liên quan đến tội phạm mạng, điều tra HDD có thể cung cấpnhững góc nhìn quan trọng về cách thức tấn công, các dấu vết số và thông tin vềngười thực hiện Từ việc phát hiện virus, mã độc, đến việc xác định nguồn gốchoặc hành vi của kẻ tấn công, thông tin từ HDD có thể là một phần không thể thiếutrong quá trình tố tụng và điều tra tội phạm
Nhìn chung, việc điều tra ổ đĩa cứng HDD không chỉ là quá trình kỹ thuật màcòn là một quy trình phức tạp đòi hỏi sự chuyên nghiệp, kiến thức rộng và sự cẩntrọng trong việc xử lý và bảo quản DLĐT Điều này đóng vai trò quan trọng trongviệc đưa ra các DLĐT hợp lệ và đáng tin cậy trong quá trình tố tụng của lực lượngchức năng
Trang 5Chính vì vậy, học viên chọn nghiên cứu chuyên đề: “Nghiên cứu kỹ thuậtđiều tra số trên ổ đĩa cứng HDD” là việc làm rất cần thiết, có ý nghĩa thiết thực
trong công tác thu thập, xử lý, phân tích và phục hồi DLĐT của lực lượng công an
2 Mục tiêu nghiên cứu2.1 Mục tiêu chung
Mục tiêu chung của đề tài là nghiên cứu kỹ thuật thu thập DLĐT trong côngtác điều tra số của lực lượng công an Bên cạnh đó, tìm hiểu thành phần, cấu tạo,cách thức hoạt động của ổ đĩa cứng HDD - đây là một phần quan trọng trong việckhám phá, thu thập DLĐT của cơ quan chức năng
2.2 Mục tiêu cụ thể
- Tìm hiểu về quy định và các điều kiện để DLĐT trở thành chứng cứ:+) Nghiên cứu về các quy định liên quan đến xác thực DLĐT ở Việt Nam+) Phân tích các loại chứng thực số được sử dụng và các phương thức xácthực
+) Đánh giá tính hiệu quả, bảo mật và khả thi của các phương pháp xác thực- Tìm hiểu thành phần, cấu tạo, cách thức hoạt động của ổ đĩa cứng HDD:+) Phân tích các thành phần cơ bản của ổ đĩa cứng (HDD)
+) Xác định và mô tả cấu trúc, cách thức hoạt động của HDD+) Đánh giá sự phát triển của ổ đĩa cứng HDD và các ảnh hưởng đối với lĩnhvực lưu trữ dữ liệu so với ổ đĩa SSD
- Thực hiện khôi phục dữ liệu khi bị xóa, định dạng trên ổ đĩa cứng HDD:+) Sử dụng các công cụ như FTK Imager, Autopsy và TestDisk để thực hiệnviệc khôi phục dữ liệu
+) Đánh giá hiệu suất, độ chính xác và khả năng khôi phục dữ liệu của từngcông cụ
+) Phân tích kỹ thuật và phương pháp để hiểu cách các công cụ này hoạt độngvà áp dụng chúng vào việc khôi phục dữ liệu
3 Đối tượng, phạm vi nghiên cứu3.1 Đối tượng nghiên cứu
Trang 6Kỹ thuật điều tra số trên ổ đĩa cứng HDD: Nghiên cứu về thành phần, cấuhình, cách thức hoạt động cũng như quy trình điều tra số của lực lượng công an đốivới ổ đĩa cứng HDD
Nghiên cứu về cách sử dụng phần mềm FTK Imager, Autopsy và TestDiskđể thu thập thông tin từ ổ đĩa cứng HDD và khả năng khôi phục dữ liệu của từngloại công cụ
Thu thập thông tin trên ổ đĩa cứng HDD: Tìm hiểu về cách thu thập thông tintrên ổ đĩa cứng HDD bao gồm phân tích và đánh giá cấu trúc tập tin, khôi phục dữliệu bị xóa hoặc định dạng, phân tích metadata, sử dụng từng loại công cụ phù hợpđối với từng trường hợp
4 Phương pháp nghiên cứu
Phương pháp khảo sát thực tiễn: học viên sẽ tiến hành khảo sát các loại ổ đĩacứng và so sánh thành phần, cấu hình, cách thức hoạt động đối với ổ đĩa cứngHDD Từ đó, rút ra được kĩ thuật phân tích và khôi phục dữ liệu trên ổ đĩa cứngHDD được tối ưu nhất
Phương pháp chuyên gia: học viên sẽ tranh thủ ý kiến chỉ đạo, hướng dẫn,định hướng của các Thầy, Cô giáo khoa Công nghệ và An toàn thông tin và củamột số người thân đang công tác tại phòng An ninh chính trị nội bộ (PA03), phòngAn ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (PA05), phòng Kỹthuật nghiệp vụ (PA06) công an tỉnh Phú Yên về một số nội dung nghiên cứu liênquan đến quy trình điều tra số đối với các loại ổ cứng
Phương pháp phân tích, tổng hợp: trên cơ sở những số liệu, tài liệu đã thuthập được, học viên sẽ tiến hành phân tích, tổng hợp, đánh giá về thực trạng cũngnhư quy trình điều tra, khôi phục dữ liệu trên ổ đĩa cứng HDD làm cơ sở thu thậpthông tin số phục vụ cho công tác điều tra của lực lượng công an
5 Nội dung nghiên cứu
Trang 7Tìm hiểu về ổ đĩa cứng HDD: Ổ đĩa cứng (HDD) là thiết bị lưu trữ chínhtrong máy tính, sử dụng đĩa từ để lưu trữ dữ liệu và đầu đọc/ghi để truy xuất thôngtin Cấu trúc bao gồm đĩa từ, đầu đọc/ghi, trục quay và bảng điều khiển
Tìm hiểu về quy trình điều tra trên ổ đĩa cứng HDD của lực lượng công an:Tiếp nhận cuộc điều tra, nhận dạng thiết bị, chuẩn bị điều tra, bảo vệ DLĐT, xử lýDLĐT, kiểm tra xác nhận, lập tài liệu báo cáo, trình bày vụ án, lưu trữ hồ sơ vụ án
Chuẩn bị môi trường: Thiết lập một môi trường thí nghiệm cho việc nghiêncứu, bao gồm việc cài đặt và cấu hình các phần mềm như FTK Imager, Autopsy vàTestDisk để nghiên cứu
Nhóm học viên sẽ đánh giá kết quả thu được từ quá trình nghiên cứu này vàrút ra kết luận về tầm quan trọng của việc điều tra số trên ổ đĩa cứng HDD đối vớicông tác công an trong thu thập thông tin
6 Sản phẩm chuyên đề đạt được
Sản phẩm đạt được gồm:
(1): Quyển báo cáo chuyên đề có cấu trúc nội dung dự kiến như sau:
Chương 1 Một số vấn đề lý luận và thực tiễn công tác điều tra số trong thu thập,phân tích, khôi phục, xử lý dữ liệu điện tử của lực lượng công an
Chương 2 Nghiên cứu tổng quan về kỹ thuật điều tra số trên ổ đĩa cứng HDDChương 3 Xây dựng kịch bản theo tình huống thực tế và tiến hành thử nghiệm
Trang 8CHƯƠNG 1 MỘT SỐ VẤN ĐỀ LÝ LUẬN VÀ THỰC TIỄN CÔNG TÁCĐIỀU TRA SỐ TRONG THU THẬP, PHÂN TÍCH, KHÔI PHỤC, XỬ LÝ
DỮ LIỆU ĐIỆN TỬ CỦA LỰC LƯỢNG CÔNG AN1.1 Công tác thu thập dữ liệu điện tử theo chức năng, nhiệm vụ của lựclượng Công an nhân dân
1.1.1 Khái niệm, nguồn thu thập và cơ sở pháp lý liên quan đến dữ liệu điệntử
1.1.1.1 Khái niệm dữ liệu điện tử
- Theo Điều 99, Bộ luật Tố tụng Hình sự năm 2015.1 Dữ liệu điện tử là ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạngtương tự được tạo ra, lưu trữ, truyền đi hoặc nhận được bởi phương tiện điện tử
2 Dữ liệu điện tử được thu thập từ phương tiện điện tử, mạng máy tính,mạng viễn thông, trên đường truyền và các nguồn điện tử khác
3 Giá trị chứng cứ của dữ liệu điện tử được xác định căn cứ vào cách thứckhởi tạo, lưu trữ hoặc truyền gửi dữ liệu điện tử; cách thức bảo đảm và duy trì tínhtoàn vẹn của dữ liệu điện tử; cách thức xác định người khởi tạo và các yếu tố phùhợp khác
- DLĐT được thu thập là nguồn chứng cứ được quy định tại Điểm c Khoản 1Điều 87 Bộ luật Tố tụng hình sự năm 2015
1.1.1.2 Các nguồn thu thập dữ liệu điện tử
- Thứ nhất, từ các phương tiện điện tử, thiết bị số.- Thứ hai, từ các nguồn dữ liệu có sẵn trên phương tiên điện tử, thiết bịsố,
- Thứ ba, là các loại mạng Internet, mạng nội bộ mang không dây, mạng diđộng và các loại ứng dụng trên mạng
- Thứ tư, từ các thông tin về người sử dụng các dịch vụ mạng (bao gồm địachỉ IP), nhật ký truyền dữ liệu, các bản sao dữ liệu máy tính (IP giao dịch, Logfile máy chủ, thiết bị định tuyến)
- Cụ thể: +) Thiết bị điện thoại di động;
Trang 9+) Máy tính xách tay, máy tính bảng;+) Máy tính để bàn;
+) Máy chủ hoạt động online và offline;+) Điện toán đám mây (iCloud);
+) Bộ nhớ động, thiết bị lưu trữ;+) Thiết bị công nghiệp IoT;+) Điện thoại vệ tinh;
+) Thiết bị vận tải, ô tô đường bộ;+) Thiết bị hàng hải;
+) Thiết bị hàng không
1.1.1.3 Cơ sở pháp lý liên quan đến dữ liệu điện tử
- Bộ luật Tố tụng Dân sự năm 2015 - Điều 93;- Bộ luật Tố tụng Hình sự năm 2015 - Điều 87, 99, 107, 223;- Luật giao dịch điện tử 2005, sửa đổi năm 2023;
- Luật Công nghệ thông tin năm 2006;- Luật Viễn thông năm 2009;
- Luật An toàn thông tin mạng năm 2015;- Luật Công an nhân dân năm 2018 (sửa đổi bổ sung năm 2023);- Luật An ninh mạng năm 2018
- Các văn bản Quy phạm pháp luật liên quan công tác thu thập, trích xuất,phục hồi, phân tích DLĐT đã được ban hành
+) Nghị định 53/2022/NĐ-CP ngày 15/8/2022 (Điều 20) hướng dẫn luậtAn ninh mạng quy định và trình tự, thủ tục thực hiện biện pháp thu thập DLĐTliên quan hoạt động xâm phạm an ninh quốc gia, trật an toàn xã hội, quyền và lợiích hợp pháp của cơ quan, tổ chức, cá nhân trên không gian mạng
+) Nghị định 25/2014/NĐ-CP ngày 7/4/2014 (Điều 14) quy định biện pháptổ chức đấu tranh chống tội phạm và vi phạm pháp luật khác có sử dụng côngnghệ cao của Cơ quan chuyên trách đã quy định về việc sử dụng phương tiện kỹthuật nghiệm vụ để kiểm tra, giám sát, phát hiện, thu thập, phục hồi và phân tích
Trang 10thông tin, tài liệu, DLĐT phục vụ phát hiện, điều tra, xử lý tội phạm và cácVPPL khác có sử dụng công nghệ cao (Nghị định này cần sửa đổi bổ sung chophù hợp với sự thay đổi sát nhập tổ chức giữa các đơn vị trong ngành công an).
+) Thông tư liên tịch số TANDTC ngày 10/9/2012, Thông tư liên tịch hướng dẫn áp dụng quy định củaBộ luật Hình sự về một số tội phạm trong lĩnh vực công nghệ thông tin và viễnthông (Thông tư này cần sửa đổi bổ sung cho phù hợp với thực tiễn)
10/2012/TTLT-BCA-BQP-BTTTT-VKSNDTC-+) Thông tư liên tịch số 02/2018/TTLT-BCA-VKSNDTC TANDTC-BQPngày 01/02/2018, quy định về trình tự, thủ tục, thời hạn, địa điểm bị can hoặcngười đại diễn theo pháp luật của pháp nhân thương mại phạm tội đọc, ghi chépbản sao tài liệu hoặc tài liệu được số hóa liên quan đến việc buộc tội, gỡ tội hoặcbản sao tài liệu khác liên quan đến việc bào chữa
- Tham khảo pháp luật quốc tế quy định về chứng cứ+) Tai Hoa Kỳ, Cục Điều tra liên bang (FBI) đã đưa ra khái niệm chứng cứđiện tử dựa trên tài liệu của SWGDE/IOCE, theo đó, “Chứng cứ điện tử là thôngtin có giá trị chứng minh tội phạm được lưu trữ và truyền tải dưới dạng dữ liệusố”
+) Tại Úc, hiệp hội Digital Forensic cho rằng, “Chứng cứ điện từ là thôngtin có giá trị điều tra liên quan đến các thiết bị số và các định dạng dữ liệu”
+) Tại Anh, theo tổ chức ACPO (Association of Chief Police Officers),“Chứng cứ điện tử có thể là các bản ảnh vật lý và logic của các thiết bị, bản ánhlogic chứa một phần hoặc toàn bộ dữ liệu được chụp ngay khi tiến trình đangchạy”
+) Theo tổ chức Cảnh sát hình sự Quốc tế (Interpol): “Chứng cứ điện tử làthông tin và dữ liệu có giá trị điều tra được lưu trữ hoặc truyền đi bởi một máytính, mạng máy tính hoặc thiết bị điện từ kỹ thuật số khác”
1.1.2 Các điều kiện để dữ liệu điện tử trở thành chứng cứ
Trong giai đoạn trình sát công tác thu thập, trích xuất, phục hồi, phân tích,DLĐT được thực hiện theo kế hoạch được lãnh đạo cấp có thẩm quyền phê duyệtđồng thời đảm bảo tính khách quan, tính liên quan và đáp ứng quy định nghiệpvụ ngành Công an và quy định về bảo vệ bí mật Nhà nước
* Tính khách quan
Trang 11- Khi tội phạm xảy ra, nó đã tác động vào thế giới khách quan và để lại cácdấu vết nhất định, các dấu vết này hoàn toàn là sự phản ảnh những gì có thật, tuântheo quy luật khách quan.
- Khi đối tượng phạm tội sử dụng các thiết bị có khả năng tạo ra DLĐT vàoquá trình phạm tôi hoặc che đậy dấu vết, đối tượng tác động vào các thiết bị này tạora các dấu vết vật chất cụ thể, tồn tại trong thiết bị như máy tính, điên thoại di độngcủa đối tượng tự động tạo ra các dấu vết như Logfile, cookies, IP web history,metadata, tồn tại một cách khách quan, có nguồn gốc rõ ràng, không bị làm chosai lệch, độc lập với suy nghĩ của đối tượng
* Tính liên quan: Thể hiện ở việc chứng cứ có mối quan hệ đến vấn đề cần
chứng minh của vụ án hình sự, cũng như các yếu tố khác có ý nghĩa đối với việcgiải quyết đúng đắn vụ án đó Mối liên hệ trên thể hiện ở hai mức độ trực tiếp hoặcgián tiếp
- Trực tiếp ở chỗ chứng cứ là DLĐT phải chứng minh về người đã thực hiệnhành vi phạm tội, yếu tố lỗi, yếu tố hậu quả tác hại,
- Mức độ gián tiếp thể hiện ở việc chứng cứ điện tử giúp cơ quan tiến hành tốtụng xác lập phương án điều tra hợp lý, hoặc so sánh, đối chiếu với những chứngcứ khác trong cùng vụ án Tính liên quan thể hiện ở nguyên lý, công nghệ hìnhthành dấu vết điện tử, thông tin về không gian, thời gian hình thành dữ liệu, địa chỉlưu trữ, nội dung thông tin, thời gian phạm tội,
* Tính hợp pháp: là sự phù hợp của nó với các quy định của pháp luật tố
tụng hình sự Chứng cứ là DLĐT tồn tại trong một nguồn cụ thể của chúng cứ(nguồn chứng cứ) và loại chúng cứ này do cơ quan có thẩm quyền thu thập, bảnquản, phân tích, đánh giả sử dụng theo quy trình, thủ tục do pháp luật tố tụng quyđịnh
* Để xem xét DLĐT có giá trị làm chứng cứ hay không, cơ quan tiếnhành tố tụng phải xem xét các yếu tố khác:
- DLĐT thu được trong giai đoạn trình sát là tài liệu trình sát không đượcsử dụng làm chứng cứ, khi sử dụng dữ liệu điện tử này làm chứng cứ trong hoạtđộng tố tụng hình sự phải chuyển hóa tài liệu trình sát theo quy định Việc bàngiao dữ liệu phải đúng theo quy định nghiệp vụ ngành Công an và quy định vềbảo vệ bí mật Nhà nước
Trang 12- Cách thức khởi tạo, lưu trữ hoặc truyền gửi DLĐT, cách thức bảo đảm vàduy trì tính toàn vẹn của DLĐT.
- Cách thức xác định người khởi tạo và các yếu tố phù hợp khác (Khoản 3Điều 99 Bộ luật Tố tụng Hình sự năm 2015)
- Bên cạnh đó, DLĐT cũng như các loại nguồn chứng cứ khác, giá trị củachứng cứ ở mức độ nào là do cơ quan tiến hành tố tụng đánh giá, quyết định vàtừng trường hợp cụ thể
1.2 Quy trình điều tra số của lực lượng công an1.2.1 Khái niệm, đặc điểm của công tác công an trong điều tra số
1.2.1.1 Khái niệm điều tra số
Điều tra số (còn gọi là Khoa học điều tra số) là một nhánh của ngành Khoahọc điều tra đề cập đến việc phục hồi và điều tra các tài liệu tìm thấy trong cácthiết bị kỹ thuật số Thuật ngữ này trước tương đương với thuật ngữ điều tra máytính, nhưng sau này thuật ngữ này được mở rộng để bao quát toàn thể việc điều tracác thiết bị có khả năng lưu trữ dữ liệu số
Điều tra có thể được hiểu là việc sử dụng các phương pháp, công cụ kỹ thuậtkhoa học đã được chứng minh để bảo quản, thu thập, xác nhận, chứng thực, phântích, giải thích, lập báo cáo và trình bày lại những thông tin thực tế từ các nguồn kỹthuật số với mục tiêu tạo điều kiện hoặc cung cấp các sự kiện tái sinh, cố gắng tìmra hành vi phạm tội hoặc hỗ trợ dự đoán các trái phép gây gián đoạn quá trình làmviệc của hệ thống
Điều tra số thường hay liên quan đến tội phạm máy tính Như điều tra hìnhsự, trước khi thực hiện điều tra số, cần có những cơ sở pháp lý để xác định nhữngquyền hạn, trách nhiệm của cơ quan điều tra
1.2.1.2 Ứng dụng điều tra số
Mục đích quan trọng nhất của điều tra số là thu thập, phân tích và tìm raDLĐT thuyết phục về một vấn đề cần sáng tỏ Điều tra số có những ứng dụng quantrọng trong khoa học điều tra cụ thể
Về mặt kỹ thuật thì điều tra số giúp xác định những gì đang xảy ra làm ảnh
hưởng tới hệ thống đồng thời qua đó phát hiện các nguyên nhân hệ thống bị xâmnhập, các hành vi, nguồn gốc của các vi phạm xảy ra đối với hệ thống
Trang 13Về mặt pháp lý thì điều tra số giúp cho cơ quan điều tra khi tố giác tội phạm
công nghệ cao có được những DLĐT số thuyết phục để áp dụng các chế tài xử phạtvới các hành vi phạm pháp luật
Không có bất kỳ sự đảm bảo nào cho hệ thống máy tính được tuyệt đối antoàn trước những nguy hiểm, rủi ro, tấn công ác ý của tội phạm mạng Phục hồiDLĐT và truy tìm dấu vết tội phạm cần phải được tiến hành một cách chuyênnghiệp nhằm tìm lại DLĐT xác thực Một cuộc điều tra số được tiến hành nhằm:
1 Xác định nguyên nhân hệ thống công nghệ thông tin bị tấn công, từ đóđưa ra giải pháp khắc phục điểm yếu nhằm nâng cao hiện trạng an toàn của hệthống
2 Xác định các hành vi tội phạm mạng máy tính đã, đang và sẽ làm đối vớihệ thống mạng máy tính Trong thực tế, thiệt hại tiềm ẩn do những cuộc tấn cônggây rò rỉ thông tin, hay làm mất tính sẵn sàng của hệ thống là việc hệ thống bị nắmquyền điều khiển, cài chương trình theo dõi, xóa bỏ thông tin, biến hệ thống mạngmáy tính thành công cụ tấn công các hệ thống khác Việc tiến hành một cuộc điềutra số nhằm xác định chính xác những hoạt động mà tội phạm mạng đã tác độngvào hệ thống và ngăn ngừa các rủi ro khác có thể xảy ra
3 Khôi phục thiệt hại mà cuộc tấn công vào hệ thống mạng máy tính gây ranhư phục hồi dữ liệu, thông tin lưu trữ trên hệ thống đã bị phá hoại có chủ đích.Thực hiện điều tra tội phạm, tìm kiếm DLĐT số nhằm vạch trần tội phạm côngnghệ cao, các hoạt động gian lận, gián điệp, vi phạm pháp luật
1.2.1.3 Các loại hình điều tra số
Với nhiều loại hình điều tra số: điều tra Internet, điều tra điện tử, điều tramạng, điều tra ứng dụng,…có các các phân chia khác nhau, nhưng về cơ bản điềutra số được chia làm 3 loại chính là điều tra máy tính, điều tra mạng và điều trathiết bị di động
- Điều tra máy tính
Việc điều tra máy tính là một phần của lĩnh vực khoa học điều tra số, mụcđích phân tích bằng chứng pháp lý được tìm thấy trong máy tính và các thiết bị lưutrữ kỹ thuật số Mục tiêu của việc điều tra máy tính là xác định, bảo quản, phụchồi, phân tích và trình bày thông tin từ các thiết bị kỹ thuật số Các phương phápđiều tra bao gồm:
Trang 14Điều tra bộ nhớ (Memory forensics) là quá trình điều tra máy tính bằng cáchghi lại bộ nhớ (RAM) của hệ thống, sau đó phân tích để làm sáng tỏ các hành vi đãdiễn ra trên hệ thống Cụ thể, nó thực hiện việc sử dụng kiến trúc quản lý bộ nhớtrong máy tính để ánh xạ, trích xuất các tập tin đang được thực thi và lưu trữ trongbộ nhớ Những tập tin này có thể được sử dụng để chứng minh hành vi của tộiphạm hoặc để theo dõi quá trình diễn ra của chúng.
Điều tra hệ thống tập tin (File System Forensics) tập trung vào việc điều tracác hệ thống tập tin của các hệ điều hành như Windows, Linux
Điều tra ứng dụng (Application Forensics) là quá trình phân tích các tập tinlog trong các ứng dụng như Email, dữ liệu trình duyệt, Skype, Yahoo… để tríchxuất thông tin lưu trữ trong các ứng dụng này, hỗ trợ việc tìm kiếm chứng cứ trongquá trình điều tra
- Điều tra mạng
Là một phân nhánh của khoa học điều tra số, điều tra mạng liên quan đếnviệc theo dõi và phân tích luồng dữ liệu trong mạng máy tính để hỗ trợ việc thuthập thông tin, cung cấp dữ liệu điện tử hoặc phát hiện các việc xâm nhập vào hệthống máy tính Việc điều tra mạng có thể thực hiện độc lập hoặc kết hợp với điềutra máy tính (computer forensics) - thường được áp dụng để phát hiện mối liên kếtgiữa các thiết bị kỹ thuật số hoặc tái tạo quá trình vi phạm pháp luật
Công việc điều tra mạng bao gồm việc chặn, ghi lại và phân tích các sự kiệnmạng để phát hiện nguyên nhân của các cuộc tấn công hoặc sự cố cụ thể Khác vớicác hình thức điều tra số khác, điều tra mạng thường phải đối mặt với thông tin dễbiến đổi và thay đổi liên tục Dữ liệu lưu lượng mạng thường chỉ truyền đi màkhông được lưu lại, vì vậy, quá trình điều tra mạng thường cần sự linh hoạt và tínhchủ động cao
- Điều tra thiết bị di động
Điều tra thiết bị di động (Mobile device forensics) là một nhánh của khoahọc điều tra số tập trung vào việc thu thập dữ liệu kỹ thuật số từ các thiết bị diđộng như điện thoại di động, máy tính bảng, PDA và GPS Công việc này khôngchỉ giới hạn trong việc thu thập thông tin từ các điện thoại di động mà còn mở rộngsang các thiết bị khác có khả năng lưu trữ dữ liệu và có tính năng giao tiếp
Trang 15Trong thời gian gần đây, việc sử dụng điện thoại di động trong các hoạtđộng tội phạm đã trở nên phổ biến Mặc dù vậy, nghiên cứu và việc thực hiện điềutra đối với các thiết bị di động là một lĩnh vực mới.
1.2.2 Quy trình điều tra số
Quy trình điều tra số tổng thể gồm các bước như sau: - Chuẩn bị
- Bảo vệ và giám định hiện trường - Lập tài liệu hiện trường
- Thu thập - Kiểm tra - Phân tích - Lập báo cáo
cán bộ điều tra
Trang 16Hình 1 Quy trình điều tra số.
1.2.2.1 Chuẩn bị
Để thực hiện một cuộc điều tra hiệu quả, cần có cán bộ điều tra và trang thiếtbị đảm bảo, mục tiêu chính của việc chuẩn bị điều tra số là tạo ra một kế hoạchhành động cụ thể của lực lượng công an Bên cạnh đó, cần chuẩn bị lệnh thu giữ,sau khi nhận được lệnh thu giữ, lực lượng công an sẽ chuẩn bị để đối phó với cáctình huống cụ thể đặt ra
Để đảm bảo rằng DLĐT số không bị thay đổi, hư hỏng hoặc phá hủy, lựclượng công an cần có các thiết bị chuyên dụng khi thu thập, đóng gói và lưu trữthiết bị số Tránh sử dụng các công cụ hoặc vật liệu gây ra tĩnh điện hoặc từ trườngvì chúng có thể hư hại hoặc phá hủy DLĐT
Chuẩn bị các công cụ không có tính từ tính, máy ảnh, găng tay, hộp các tông,sổ ghi chép, túi DLĐT giấy, miếng dán, túi chống tĩnh điện, con dấu và các dụngcụ khác được yêu cầu
* Chuẩn bị thiết bị lưu trữ
Kết quả của quá trình “nhân bản pháp y” cần được lưu trữ an toàn Ổ đĩacứng, đĩa quang (CD, DVD) và USB flash là ba loại thiết bị lưu trữ phổ biến Cácnhà điều tra sử dụng các thiết bị này để lưu trữ hình ảnh nhân bản để tiếp tục điềutra và phân tích Điều quan trọng nhất là lực lượng công an phải đảm bảo rằng thiếtbị đó “sạch”, không chứa bất kỳ dữ liệu nào và có thể trở thành DLĐT bổ sung chođiều tra
* Chuẩn bị thiết bị chống ghi ngược
DLĐT số được lưu trữ trong các hệ thống hoạt động hoặc thiết bị lưu trữkhác phải được bảo vệ khỏi bị ghi đè hoặc thay đổi trong quá trình điều tra Hệthống máy tính cho phép ghi và đọc dữ liệu từ các thiết bị lưu trữ bằng cách sửdụng cổng kết nối các thiết bị lưu trữ với nhau Do đó, đặt một bộ lọc giữa máy tínhvà dây cáp là chiến lược cơ bản để thực hiện chống ghi Bộ lọc này cấm tất cả cáclệnh trực tiếp có khả năng thay đổi dữ liệu gốc và chỉ cho phép các lệnh vào thiết bịmà không thay đổi nó
Thiết bị chống ghi là một kết nối giữa thiết bị lưu trữ và máy tính chủ Nó cóthể được thực hiện bằng phần mềm hoặc phần cứng Theo đó, phẩn chứng chốngghi và phần mềm chống ghi là hai loại phương pháp bảo vệ ghi:
Trang 17- Phần cứng chống ghi: là các thiết bị vật lý hoặc cơ học được sử dụng đểtheo dõi các lệnh cho phép và ngăn dữ liệu từ bên ngoài ghi vào DLĐT
- Phần mềm chống ghi: được thực hiện thông qua các lệnh IRP và ngắt
Hình 2 Thiết bị chống ghi.
1.2.2.2 Bảo vệ và giám định hiện trường
Sự an toàn của mọi người tại hiện trường vụ án phải là mục tiêu đầu tiên củađội điều tra Tất cả những gì xảy ra tại hiện trường phải phù hợp với luật pháp.Thực hiện theo quy định của luật bảo vệ hiện trường
Thực hiện một bản kiểm tra theo danh sách: xác minh loại sự cố, đảm bảo antoàn tại hiện trường, cô lập những người khác có thể tham gia, xác định vị trí củanạn nhân, thu thập thông tin liên quan đến người vi phạm và yêu cầu hỗ trợ bổ sungnếu cần Đảm bảo bảo vệ và duy trì tính toàn vẹn của dữ liệu, bảo vệ chống lại sựthay đổi không mong muốn của dữ liệu
- Mô tả sự cố, quản lý sự cố đang diễn ra, tên của sự cố, vị trí của sự cố,quyền áp dụng và luật pháp liên quan, vị trí của thiết bị thu giữ (kích thước, kiếntrúc, ), những người liên quan đến sự cố
- Chi tiết những gì cần thu giữ (vị trí, ID, mô hình, ): kiểu thiết bị và sốlượng phải thu giữ
- Xem liệu DLĐT có kết nối với mạng hay không, nếu có thì kiểu mạng, nơiDLĐT có thể lưu trữ trong mạng, nơi hệ thống bảo mật sẽ lưu trữ
Trang 18Để thực hiện điều tra, lực lượng công an cần phải xem xét các vấn đề đảmbảo tính toàn vẹn của DLĐT ở các giai đoạn của quá trình điều tra Tất cả cán bộđiều tra phải đeo găng tay cao su bảo vệ khi hoạt động tìm kiếm và thu giữ diễnra Điều này vừa bảo vệ được lực lượng công an và bảo quản được dấu vân tay trênDLĐT để có thể khôi phục lại.
1.2.2.3 Lập tài liệu hiện trường
Tài liệu hiện trường được tạo để ghi lại chính xác vị trí của hệ thống máytính, thiết bị lưu trữ, thiết bị mạng không dây và điện thoại là rất quan trọng Tất cảcác hoạt động phải được chụp lại, ghi lại nội dung được hiển thị trên màn hình máytính
Tài liệu hiện trường bao gồm toàn bộ vị trí, cũng như các vị trí của máy tínhvà các thiết bị điện tử khác, cũng như các kết nối vật lý đến và đi của các thiết bị.Ghi lại mạng không dây và các điểm kết nối giữa nhiều thiết bị và máy tính
Mô phỏng lại hiện trường nên tạo một khung cảnh toàn diện, bao gồm cácthiết bị khác Mô phỏng chính xác hiện trườn từ tổng thể đến từng chi tiết củaDLĐT
- Thu thập dữ liệu Tìm kiếm và thu nhận các thiết bị điện tử có thể làm DLĐT từ hiện trườngvụ án được gọi là thu thập Có 2 dạng thu thập chính là thu thập tĩnh và thu thậpđộng
Trang 19Hình 3 Quy trình thu thập DLĐT theo NIJ.
Trang 20Đối với hầu hết các loại thiết bị thu giữ, trong trường hợp này là ổ cứng, thiếtbị phải được đặt trước trong túi chống tĩnh điện và sau đó được gập lại trong túichống shock Vận chuyển ổ cứng bằng thiết bị chuyên dụng
* Xác nhận tính toàn vẹn của dữ liệu
Tính toàn vẹn của dữ liệu nên được kiểm tra sau khi chúng được thu thập Đểchứng minh rằng dữ liệu không bị giả mạo là rất quan trọng về mặt pháp lý đối vớilực lượng công an Xác minh tính toàn vẹn dữ liệu thường bao gồm việc sử dụngcông cụ tính giá trị băm của dữ liệu gốc và xem giá trị băm của sao chép dữ liệu cógiống với giá trị băm ban đầu hay không
* Nhân bản dữ liệu
Do tính chất rất dễ bị thay đổi của DLĐT số, lực lượng công an cần phải tuântheo một quy trình cụ thể khi xử lý chúng Nếu không, sẽ có thể gặp phải các vấnđề như bị tòa án từ chối hay bị đối tượng tình nghi kiện ngược lại Do đó, dữ liệuđược thu thập trong quá trình phân tích không nên được sử dụng trực tiếp Thayvào đó, cán bộ điều tra phải thực hiện một quy trình đặc biệt được gọi là “nhânbản” Quá trình này thay thế dữ liệu gốc thành các file logic có thể được sử dụng đểphân tích Nhân bản sẽ giúp duy trì tính toàn vẹn của DLĐT và ngăn dữ liệu bịhỏng
Nhân bản là chuỗi các hành động để tạo ra một bản sao giống hệt DLĐT gốc:Disk - to - image, Disk - to - disk, Sparse data copy
* Công cụ được sử dụng để thu thập
Cài đặt phần mềm thu thập FTK để thu thập dữ liệu bộ nhớ trên USB chốngghi Tạo thư mục DLĐT mới trong USB để lưu trữ
Trang 21Hình 4 Tạo thư mục chứa DLĐT.
Lực lượng công an tiến hành sao lưu đĩa cứng, có thể chọn create DiskImage nếu sao lưu đĩa cứng Nếu cán bộ điều tra muốn thu thập từ bộ nhớ, sẽ chọnCapture Memory
Hình 5 Chọn thu thập đữ liệu từ bộ nhớ.
Sau đó, lực lượng công an có thể sao chép bản sao của DLĐT trong thư mụcEvidence của USB Ta thấy định dạng file DLĐT trong bộ nhớ này có dạng mem.Quá trình thu thập từ bộ nhớ bắt đầu khi bạn nhấn nút Capture Memory
Hình 6 Chọn thư mục chứa DLĐT.
Thu thập sẽ mất một khoảng thời gian khá lâu Sau khi thu thập hoàn thành,trạng thái 100% sẽ được hiển thị, cho thấy quá trình thu thập đã hoàn thành và tậptin memdump đã được nằm trong thư mục Evidence
Trang 22Hình 7 Quá trình thu thập bắt đầu diễn ra.
Để đảm bảo tính toàn vẹn của DLĐT, hàm băm phải được sử dụng Điều nàylà do công cụ tính giá trị hàm băm được tích hợp trong công cụ FTK Imager:
Hình 8 Lựa chọn xác nhận hình ảnh.
Giá trị MD5 và SHA1 sẽ được thông báo sau khi hoàn thành Do đó, DLĐTđảm bảo tính toàn vẹn nếu giá trị băm không thay đổi
Hình 9 Kết quả giá trị băm.
1.2.2.5 Đánh dấu, vận chuyển và lưu trữ
Đánh dấu là hành động phân loại và sắp xếp các đối tượng thu thập được,nhờ đó lực lượng công an có thể lập ra báo cáo Quá trình thu thập, tịch thu và nhân
Trang 23bản được thực hiện song song với hành động này Trong bước điều tra đầu tiên,hành động này bao gồm việc dán nhãn cho cả thiết bị và dây cáp Sau khi thu giữthiết bị, đánh dấu phải được thực hiện Điều này bao gồm dán nhãn vào các thiết bịbị thu giữ, chụp ảnh và ghi lại trong tài liệu Những hành động này phải được cácquan sát viên xác nhận - viện kiểm sát và các cơ quan liên quan
Trước khi vận chuyển, các thiết bị phải được đóng gói đúng cách Túi chốngsốc đóng ổ cứng (còn được gọi là túi chống tĩnh điện) để tránh va chạm điện tĩnh vàva chạm vật lý
Việc lưu trữ các thiết bị thu giữ một cách không đúng cách có thể dẫn đến cácvấn đề nghiêm trọng như mất mát hoặc hỏng hóc Do đó, cần có một nơi lưu trữthích hợp để đảm bảo các thiết bị số không bị ảnh hưởng bởi các yếu tố tiêu cựcnhư sóng điện, từ trường, độ ẩm, bụi bẩn và va đập Ví dụ, có thể lắp đặt sàn chốngtĩnh điện, cung cấp kết nối đất, thiết bị đo độ ẩm, và máy lọc không khí tại nơi lưutrữ
1.2.2.6 Kiểm tra
- Các giai đoạn kiểm tra+) Khảo sát/phân loại bao gồm việc xem xét lại mục đích của tất cả cácphương tiện lưu trữ hiện có, xác định những phương tiện chứa bằng hữu ích nhất vàxác định các yêu cầu xử lý bổ sung
+) Kiểm tra sơ bộ: Kiểm tra pháp y các mục được xác định trong quá trìnhkhảo sát hoặc phân loại có thể chứa các DLĐT hữu ích Mục đích của kiểm tra sơbộ là cung cấp thông tin điều tra có thể hỗ trợ nhanh chóng trong quá trình tiếnhành và tìm kiếm DLĐT
+) Kiểm tra chuyên sâu: kiểm tra toàn diện các mục cần điều tra sâu hơn đểhiểu các câu hỏi liên quan đến hành vi phạm tội
- Sau khi kiểm tra và tìm thấy DLĐT, quá trình kiểm tra cũng phải phục hồidữ liệu để chuẩn bị cho quá trình phân tích
Để phục hồi toàn bộ dữ liệu, cán bộ điều tra sẽ trích xuất dữ liệu từ cácnguồn có sẵn, chẳng hạn như tập tin đã xóa, ẩn hoặc ngụy trang Trong một sốtrường hợp, việc phục hồi lại dữ liệu cũng cung cấp cho lực lượng công an nộidung tối đa để chuẩn bị cho việc điều tra và đưa ra một cái nhìn sâu sắc vào nhữngđộng cơ mà kẻ phạm tội có thể sử dụng để thực hiện hành vi của họ Để khôi phục
Trang 24dữ liệu, lực lượng công an có thể sử dụng các công cụ chuyên dụng được cung cấpbởi các hãng như:
1 S-tools Công cụ này được sử dụng để tìm ra những file ẩn 2 Tesk- Disk Khôi phục lại những dữ liệu nằm trong ổ đĩa cứng
bị format 3 Autospy Khôi phục các tập tin bị xóa
1.2.2.7 Phân tích
Phân tích là một bước rất quan trọng trong quá trình điều tra Theo địnhnghĩa, phân tích trong điều tra số là việc sử dụng các phương pháp khoa học vàquan trọng để giải quyết các vấn đề liên quan đến nghiên cứu: ai, cái gì, ở đâu, nhưthế nào và tại sao
Phân tích là quá trình giải thích dữ liệu được trích xuất để xác định tầm quantrọng của chúng đối với vụ án Phân tích DLĐT số là việc lực lượng công an tìm raDLĐT quan trọng để chứng minh Các thông tin này có thể đã bị xóa, ghi đè, ẩn,phân mảnh hoặc bảo vệ bằng mật khẩu, mã hóa Do đó, phân tích DLĐT yêu cầulực lượng công an phải sử dụng nhiều công cụ và phương pháp Lực lượng công ancó thể thực hiện nhiều loại phân tích dữ liệu mạng, bộ nhớ và công cụ khác nhau.Vì thế, lực lượng công an phải được đào tạo để biết cách sử dụng các công cụ vàứng dụng chúng vào những trường hợp cụ thể Điều này đảm bảo rằng DLĐTkhông bị bỏ qua trong quá trình phân tích
Sau khi thu thập DLĐT, cần tìm kiếm các dấu hiệu đặc biệt của tội phạm Đểđưa ra những nhận xét quan trọng trong quá trình điều tra, dữ liệu được thu thập từDLĐT phải được phân loại và đưa ra các suy luận liên quan Tìm kiếm các manhmối quan trọng bằng cách sử dụng các phương pháp thống kê và khai phá dữ liệuđược sử dụng để tiếp cận DLĐT Vì vậy, lực lượng công an cần có kiến thức vàkinh nghiệm nền tảng về loại phân tích này Để tìm ra các manh mối chính xác hơn,lực lượng công an phải dựa vào tính chất của vụ án hoặc mục tiêu của nó Cán bộđiều tra cần xâu chuỗi các sự kiện một cách logic từ các manh mối đã được thuthập
1.2.2.8 Lập tài liệu báo cáo
Trang 25Trong suốt quá trình điều tra, cần ghi lại các hoạt động đã thực hiện trongnhững thời điểm đó Trong quá trình kiểm tra, tài liệu có thể hữu ích để đảm bảorằng các thông tin cơ bản đã được ghi lại Phần này cung cấp thông tin cần thiết đểchuẩn bị báo cáo sẽ được trình bày trước tòa án và các cơ quan chức năng có liênquan
- Giữ một bản sao của cơ quan điều tra để ghi lại các trường hợp - Duy trì các yêu cầu ban đầu liên quan đến hồ sơ vụ án
- Duy trì một bản sao của tài liệu về hệ thống điều tra - Ghi chú chi tiết về các hành động bao gồm ngày, giờ và mô tả của kết quả - Tài liệu có thể bao gồm thông tin, cấu trúc mạng, danh sách người được ủyquyền, người sử dụng và mật khẩu
1.3 Những thuận lợi, khó khăn của lực lượng công an khi tiến hành điều trasố
1.3.1 Thuận lợi
- DLĐT thường mang lại những chứng cứ số chính xác và không thể chốicãi, từ thông tin giao tiếp qua email, tin nhắn, đến dữ liệu giao dịch tài chính trựctuyến
- DLĐT cho phép lực lượng công an theo dõi và phát hiện các hoạt động tộiphạm trực tuyến như lừa đảo, tội phạm mạng, hoặc truy cập trái phép vào hệ thống
- DLĐT cung cấp thông tin về địa điểm và hoạt động trực tuyến của đối
tượng, hỗ trợ trong việc định vị và theo dõi chúng
- Việc sử dụng DLĐT giúp rút ngắn thời gian điều tra và xác minh thông tin,
từ đó tăng tốc độ giải quyết các vụ án
- DLĐT có thể cung cấp thông tin cần thiết để định tội và truy tìm các tội
phạm, từ việc xác định nhân thân đến mô hình hoạt động
- Qua việc phân tích dữ liệu, lực lượng công an có thể phát hiện và ngăn
chặn các mối đe dọa an ninh mạng, từ đó giúp bảo vệ cơ sở hạ tầng thông tin và dữliệu quan trọng
1.3.2 Khó khăn
* Khó khăn về mặt kỹ thuật
Trang 26Một số thủ đoạn của đối tượng hoạt động đối phó với cơ quan chức năngnhằm che giấu thông tin, xóa bỏ các dấu vết gây khó khăn cho quá trình thu thậpchứng cứ thể hiện qua các hành vi:
- Sử dụng thông tin cá nhân giả, tài khoản giả mạo.- Sử dụng nickname ẩn danh để tạo lập, điều hành các trang mang, blog,chuyên trang trên mạng xã hội,
- Sử dụng kỹ thuật giả mạo IP (IP ảo, fake IP), công cụ vượt tường lửa.- Sử dụng dịch vụ đàm mây, mã hóa dữ liệu, đặt mật khẩu nhiều lớp, - Sử dụng sim rác, hoạt đồng xuyên biên giới,…
- Sử dụng ứng dụng trí tuệ nhân tạo AI phát tán thông tin, lừa đảo mạng
* Khó khăn về mặt chủ quan
- Trong khi đó, lực lượng chuyên trách bảo vệ an ninh mạng vừa mới thànhlập tại các địa phương, còn thiếu nhiều trang thiết bị nghiệp vụ, chưa được thamgia đầy đủ các khóa tập huấn đào tạo, chưa đáp ứng hết yêu cầu công tác
- Việc đầu tư về trang thiết bị phục vụ cho công tác đấu tranh với các loạitội phạm này chưa được quan tâm đầy đủ, các thiết bị số được sử dụng làm côngcụ thu thập DLĐT hầu hết được mua nhập khẩu từ nhiều nước mà trong nướcchưa sản xuất được nên chưa thực sự phù hợp hoàn toàn với yêu cầu xác minh,điều tra tội phạm, đôi lúc còn khó khăn trong sử dụng, chuyển giao công nghệ,gia hạn bản quyền hoặc trao đổi hợp tác quốc tế, hỗ trợ tư pháp,
Trang 27CHƯƠNG 2 NGHIÊN CỨU TỔNG QUAN VỀ KỸ THUẬT ĐIỀU TRA SỐ
TRÊN Ổ ĐĨA CỨNG HDD2.1 Thành phần, cấu tạo, cách thức hoạt động của ổ cứng HDD 2.1.1 Khái niệm ổ đĩa cứng HDD
- Ổ đĩa HDD là thiết bị lưu trữ dữ liệu ổn định, cung cấp khả năng truy cậptùy biến dữ liệu Dữ liệu được lưu vào ổ đĩa cứng bằng ứng dụng từ tính trên cácrãnh nằm trong đĩa từ quay với tốc độ cao
- Thành phần chính của một ổ đĩa HDD bao gồm: trục quay, đầu đọc, đĩa từ
Hình 10 Cấu trúc tổng thể của một ổ đĩa cứng HDD.
- Có 2 loại ổ đĩa cứng:+) Ổ cứng trong +) Ổ cứng rời
2.1.2 Cấu trúc vật lý của ổ cứng HDD
2.1.2.1 Bộ khung
Khung của ổ cứng HDD thường bao gồm một số phần chính:- Vỏ ngoài: Bảo vệ các bộ phận bên trong của ổ cứng Vỏ ngoài có thể là kimloại hoặc nhựa dẻo, tuỳ thuộc vào thiết kế cụ thể của từng loại ổ cứng
Trang 28- Bộ điều khiển (Controller): Là bộ phận quản lý các hoạt động của ổ cứng,điều khiển truy cập vào dữ liệu và các chức năng khác của ổ cứng.
- Các kết nối: Đây là phần cho phép ổ cứng kết nối với các thiết bị khác nhưbo mạch chủ của máy tính thông qua cổng SATA, cổng USB, hoặc các loại kết nốikhác
- Bộ làm mát: Một số ổ cứng có các hệ thống làm mát như quạt hoặc các tảnnhiệt khác để giữ nhiệt độ hoạt động ổn định
2.1.2.2 Đĩa từ
Đĩa từ của ổ cứng HDD là một chiếc đĩa tròn có từ tính, làm từ kim loại hoặcgốm, được dùng để chứa dữ liệu Đĩa được chế tạo một cách độc đáo giúp nó lưutrữ tốt, an toàn và không bị “nhão” (nhả từ) như các thiết bị đọc ghi bằng từ tínhkhác Ở cả hai mặt của đĩa được gọi là môi trường lưu trữ thực, có vật liệu từ và nóđược phủ bằng lớp vỏ bảo vệ Các đĩa này được đánh bóng và sau đó được xếpchồng lên nhau được đánh số trên 2 mặt đĩa lần lượt là 0 và 1 ghép vào môtơ quay.Cơ cấu các đầu từ được ghép vào giữa các đĩa trước khi chồng đĩa được lắp cố địnhvào khung Bên cạnh đó, dữ liệu được ghi từ cả 2 mặt của đĩa
Hình 11 Hình ảnh đĩa từ của ổ cứng HDD.
2.1.2.2 Vòng tròn dữ liệu
- Là các vòng tròn đồng tâm nằm trong mỗi mặt của đĩa từ.- Đầu đọc có thể đến một vị trí trên các vòng này để đọc dữ liệu
Trang 29- Các vòng tròn dữ liệu được đánh số để phân biệt.- Một ổ đĩa cứng hiện nay có khoảng 10000 vòng tròn dữ liệu cho mỗi đĩa từ.- Quá trình đọc ghi dữ liệu được thực hiện bằng cách di chuyển đầu đọc.
Hình 12 Vòng tròn dữ liệu của HDD (1)
2.1.2.3 Các đầu đọc ghi
Các đầu đọc/ghi của ổ cứng HDD trước đây thường được tạo từ lõi sắt mềmvà 8 đến 34 vòng dây đồng mảnh Các đầu từ lớn và nặng làm hạn chế số lượngrãnh mà hệ thống chuyển dịch đầu từ có thể khắc phục trên đĩa
Các thiết kế đầu từ hiện không sử dụng loại đầu từ màng mỏng để quấn dâycổ điển Công nghệ quang hóa giúp nó được chế tạo giống như vi mạch Do kíchthước nhẹ và nhỏ, thời gian dịch chuyển đầu tư nhanh hơn và rãnh ghi cũng nhỏhơn
Trang 30Các đầu đọc/ghi này được gắn vào các cánh tay kim loại dài được điều khiểnbằng các môtơ trong cấu trúc chung Thông thường, các vi mạch tiền khuếch đạicủa đầu từ được gắn vào tấm vi mạch in nhỏ trong bộ dịch chuyển đầu từ Toàn bộcấu trúc này được bao phủ bởi hộp đĩa Nắp kim loại có gioăng lót đậy kín hộp.
Hình 13 Đầu đọc của ổ cứng HDD (2)
2.1.2.4 Môtơ trục dọc
Tốc độ mà đĩa từ lướt qua dưới đầu đọc/ghi là một yếu tố xác định chấtlượng của ổ cứng HDD Đĩa từ có tốc độ lướt qua đầu từ khá cao (tối thiểu là 3600vòng/phút) Các đĩa từ có thể được quay bởi môtơ trục - giống như môtơ ổ đĩamềm, dùng điện một chiều và không có chổi quét Các cuốn dây của môtơ tạo ramột từ trường khi nó được cấp điện Năng lượng được giải phóng dưới dạng xungđiện thế ngược từ trường lưu trữ của các cuộn dây môtơ khi có điện cắt Sử dụngxung điện thế ngược đó, kỹ thuật hãm động sẽ làm dừng lại đĩa
2.1.3.1 Vòng Tròn Dữ Liệu
Trên mỗi mặt của đĩa từ trong ổ đĩa cứng, có tồn tại một cấu trúc vòng trònđồng tâm, trong đó đầu đọc có khả năng di chuyển đến các vị trí khác nhau để đọc
2() https://tuanphong.vn/news/ssd-la-gi-id203
Trang 31dữ liệu Mỗi vòng tròn đóng vai trò quan trọng trong việc tổ chức và lưu trữ dữliệu, được đánh số để phân biệt chúng một cách hiệu quả.
+) Hiện nay, một ổ đĩa cứng thông thường có khoảng 10000 vòng tròn dữliệu cho mỗi đĩa từ Điều này tạo ra một không gian lưu trữ lớn, cho phép lưu trữ vàquản lý đa dạng các loại dữ liệu trên mỗi đĩa từ
+) Quá trình đọc ghi dữ liệu thường được thực hiện bằng cách di chuyển đầuđọc đến vị trí mong muốn trên các vòng tròn Quá trình này không chỉ liên quanđến việc di chuyển đầu đọc mà còn đòi hỏi sự chính xác trong việc đánh số và địnhvị các vòng tròn để đảm bảo hiệu suất và độ ổn định của ổ đĩa cứng
+) Các vòng tròn dữ liệu trên ổ đĩa được đánh số để định vị vị trí của chúngtrong không gian lưu trữ Số vòng tròn này thường bắt đầu từ 0 ở phần ngoài cùngcủa đĩa và tăng dần khi tiến về trung tâm Thông thường, số vòng tròn kết thúc tạigiá trị 1023, tùy thuộc vào đặc điểm kỹ thuật cụ thể của ổ đĩa
+) Quá trình di chuyển đầu đọc trên ổ đĩa được thực hiện sao cho cả hai đầuđọc luôn chỉ vào cùng một số vòng tròn cụ thể Điều này giúp đảm bảo đồng bộ vàđồng nhất trong quá trình đọc và ghi dữ liệu trên các vòng tròn
+) Một cylinder, hay còn gọi là ống trụ, là một nhóm các vòng tròn dữ liệucó cùng số Điều này có nghĩa là tất cả các vòng tròn trong một cylinder đều đượcđánh số giống nhau Việc này giúp tổ chức dữ liệu trên ổ đĩa và cũng liên quan đếncách đầu đọc được di chuyển để truy cập dữ liệu trong không gian ổ đĩa
2.1.3.2 Sector
Sector là đơn vị lưu trữ dữ liệu nhỏ nhất của đĩa từ, thường chứa 512 bytesdữ liệu cùng với một phần dung lượng được dành cho điều khiển và sửa lỗi Mỗisector trên ổ đĩa được gắn nhãn để xác định vị trí và nội dung của dữ liệu Dữ liệulưu trữ trong ổ đĩa được tổ chức thành một chuỗi liên tiếp của các sector, giúp quátrình đọc và ghi dữ liệu trở nên hiệu quả
+) Ví dụ, khi một tệp có dung lượng là 600 bytes, 2 phần sectors (mỗi sector512 bytes) sẽ được sử dụng để chứa toàn bộ tệp Điều này tạo ra một cấu trúc lưutrữ dữ liệu liên tục, giúp quá trình truy cập dữ liệu trở nên nhanh chóng và hiệuquả
+) Việc đánh nhãn cho sector là quan trọng để xác định vị trí của một sectorcụ thể trong đĩa Kết hợp giữa thông tin về cylinder, đầu đọc và nhãn của sector sẽđịnh vị một sector duy nhất trong không gian lưu trữ của ổ đĩa Ví dụ, trong một
Trang 32định dạng ổ đĩa, 50 vòng tròn dữ liệu có thể được chia thành 10 sector cho mỗivòng, và số vòng tròn cùng với nhãn sector sẽ là thông tin quan trọng để xác địnhvị trí chính xác của dữ liệu trên đĩa.
2.1.3.3 Cluster
Cluster là đơn vị đóng vai trò quan trọng trong cấu trúc lưu trữ và quản lý dữliệu Một cluster không chỉ đơn giản là một đơn vị vật lý trên đĩa, mà còn kết hợpnhiều vòng tròn dữ liệu và sector, tùy thuộc vào định dạng được sử dụng Trong hệthống tệp FAT (File Allocation Table), cluster đóng vai trò quan trọng trong việckết nối với các tệp và chứa thông tin giúp hệ điều hành và ổ đĩa định vị dữ liệu
+) Tệp hệ thống chia phần lưu trữ của ổ đĩa thành các đoạn dữ liệu để tối ưuhiệu suất, và mỗi đoạn này được gọi là cluster Trong quá trình lưu trữ, ổ đĩa sẽ gắncác tệp cho các cluster, làm cho cluster trở thành đơn vị quản lý và truy cập dữ liệuquan trọng
+) Kích thước của cluster có ảnh hưởng không nhỏ đến hiệu suất của hệ điềuhành và tương thích với ổ đĩa Việc cấu hình dung lượng cho cluster có thể đượcđiều chỉnh để tối ưu hóa ổ đĩa và đáp ứng nhu cầu cụ thể của người dùng Kíchthước cluster phụ thuộc vào kích thước của phân vùng ổ đĩa và loại tệp hệ thốngtương ứng với công việc phân vùng
+) Để thay đổi kích thước của cluster, người dùng có thể thực hiện qua quátrình định dạng lại ổ đĩa Bằng cách click chuột phải vào ổ đĩa cần định dạng, chọnFormat, và trong cửa sổ Format, có thể tùy chỉnh phần Allocation unit size (kíchthước cluster) theo mong muốn Kích thước cluster có thể được điều chỉnh trongkhoảng từ 512 bytes đến 4096 bytes, tùy thuộc vào yêu cầu và ứng dụng cụ thể củangười dùng
2.1.3.4 Slack space
Slack space hay còn được gọi là “phần dư” của cluster, đề cập đến phầnkhông sử dụng hoặc còn thừa lại trong một cluster sau khi dữ liệu đã được ghi lênđó Một số hệ điều hành và tệp hệ thống sử dụng kích thước cluster cố định và khikích thước của dữ liệu cần lưu trữ nhỏ hơn kích thước của cluster, phần thừa đó tạora slack space
+) Trong môi trường DOS và Windows, một số hệ điều hành sử dụng kíchthước cluster mặc định cho tệp hệ thống của họ Điều này có nghĩa là ngay cả khimột tệp tin chỉ cần một lượng dữ liệu nhỏ, nó vẫn sẽ được lưu trữ trên một cluster
Trang 33toàn bộ Điều này dẫn đến việc tạo ra slack space, là phần không được sử dụng củacluster.
+) Ví dụ, nếu hệ điều hành sử dụng FAT 16 và đặt kích thước cluster là32KB, và một phân vùng có dung lượng 4GB, thì mỗi cluster sẽ là 32KB Ngay cảkhi một tệp tin chỉ cần 10KB, một cluster toàn bộ 32KB sẽ được sử dụng để lưu trữnó Kết quả là, phần slack space trong trường hợp này sẽ là 22KB (32KB - 10KB)
+) Việc sử dụng kích thước cluster lớn có thể tạo ra hiện tượng lãng phíkhông gian lưu trữ và có ảnh hưởng đến hiệu suất hệ thống, nhất là khi có nhiều tệptin nhỏ Các hệ điều hành hiện đại và các định dạng tệp hệ thống hỗ trợ kích thướccluster linh hoạt hơn để giảm thiểu lãng phí không gian
2.1.3.5 Lost cluster
Lost cluster (cluster bị mất) là tình trạng khi hệ điều hành đánh dấu mộtcluster là đang được sử dụng, nhưng thực tế lại không có tệp tin nào được chứa tạiđó Khi xảy ra lost cluster, cluster đó có thể được đăng ký lại để chứa dữ liệu nhưbình thường, nhằm tái sử dụng không gian lưu trữ
+) Lost cluster thường là kết quả của một số sự cố, chẳng hạn như hệ thốngbị treo giữa quá trình ghi dữ liệu, hoặc do quá trình tắt nguồn không đúng cách.Các vấn đề này có thể dẫn đến mất mát thông tin về việc cluster đó được gắn vớifile nào
+) Để xác định lost cluster trong DOS và Windows, quá trình quét ổ đĩađược thực hiện để kiểm tra các cluster và xác định xem chúng có được sử dụngđúng cách hay không Khi phát hiện lost cluster, hệ điều hành có thể cố gắng khôiphục chúng để tái sử dụng cho việc lưu trữ dữ liệu mới
2.1.3.6 Bad sector
- Bad sector (sector hỏng) là phần của đĩa không thể thực hiện việc đọc hoặcghi dữ liệu nữa Điều này có thể xảy ra do nhiều nguyên nhân, bao gồm hư hại vềmặt vật lý của đĩa hoặc vấn đề từ quá trình cấu hình của ổ đĩa
+ Khi ổ đĩa phát hiện một bad sector, quá trình đọc hoặc ghi dữ liệu vào đósẽ thất bại Để xử lý vấn đề này, hệ điều hành thường sử dụng định dạng ổ đĩa đểphát hiện bad sector và đánh dấu chúng để tránh sử dụng trong tương lai Badsector có thể xuất hiện do những vấn đề về mặt vật lý như lỗi trên bề mặt đĩa hoặctừ việc cấu hình không chính xác
Trang 34+ Một số phần mềm đặc biệt được thiết kế để khôi phục bad sector bằng cáchcố gắng sửa chữa hoặc làm mới lại các vùng bị hỏng trên ổ đĩa Tuy nhiên, việc nàykhông luôn thành công và cần phải được thực hiện cẩn thận để tránh mất mát dữliệu.
+ Quan trọng nhất là, khi một ổ đĩa bắt đầu có nhiều bad sector, nó có thể làdấu hiệu của sự hỏng hóc toàn diện và làm giảm độ tin cậy của đĩa Trong trườnghợp này, việc thay thế ổ đĩa mới có thể là lựa chọn tốt nhất để đảm bảo an toàn vàổn định trong lưu trữ dữ liệu
2.1.4 Các chuẩn kết nối của ổ cứng HDD
2.1.4.1 Chuẩn kết nối ATA
Chuẩn kết nối ATA và SATA là hai tiêu chuẩn quan trọng trong lĩnh vực lưutrữ dữ liệu trên các ổ đĩa HDD Trong khi cả hai đều có mục tiêu chung là cung cấpkết nối giữa ổ cứng và bo mạch chủ, chúng khác nhau về cấu trúc và hiệu suất
Chuẩn kết nối ATA, hay PATA (Parallel ATA), sử dụng công nghệ tín hiệusong song và hỗ trợ một trình điều khiển trong ổ cứng Điều này mang lại tính linhhoạt, cho phép loại bỏ trình điều khiển khi cần chỗ cho adaptor card Tuy nhiên,điều này cũng có thể làm tăng phức tạp trong cấu hình hệ thống
Ngược lại, chuẩn kết nối SATA sử dụng công nghệ chuỗi tín hiệu, tạo ra cáckênh kết nối point-to-point giữa ổ cứng và bo mạch chủ Điều này giúp giảm xungđột tín hiệu và tăng hiệu suất truyền dữ liệu SATA truyền dữ liệu một chiều thôngqua một kênh bán song công với tốc độ lên đến 1.5 Gbps, cung cấp hiệu suất caohơn so với ATA
Một điểm đáng chú ý khác là chuẩn SATA chỉ cho phép sử dụng dây cáp cóchiều dài tối đa là 46cm (18 inch) Dây cáp SATA không chỉ linh hoạt hơn mà cònmỏng nhẹ và nhỏ gọn hơn so với dây cáp cần cho chuẩn PATA, giúp tối ưu hóakhông gian trong hệ thống
Sự chọn lựa giữa chuẩn kết nối ATA và SATA phụ thuộc vào yêu cầu cụ thểcủa hệ thống và mục đích sử dụng SATA thường được ưa chuộng với hiệu suấtcao và cấu trúc kết nối hiện đại, trong khi ATA vẫn là một lựa chọn linh hoạt, đặcbiệt trong các hệ thống có yêu cầu đặc biệt về tính tương thích và linh động
2.1.4.2 Chuẩn kết nối SCSI
Chuẩn kết nối SCSI (Small Computer System Interface) là một hệ thốngchuẩn kết nối được thiết kế theo tiêu chuẩn ANSI, mang lại khả năng giao tiếp hiệu
Trang 35quả giữa máy tính cá nhân và các thiết bị ngoại vi như ổ cứng, máy in, và các thiếtbị lưu trữ khác Điều này giúp tối ưu hóa khả năng mở rộng và linh hoạt của hệthống máy tính.
Một trong những ưu điểm nổi bật của chuẩn kết nối SCSI là khả năng kết nốiđồng thời tới tối đa 15 thiết bị ngoại vi Điều này được thực hiện thông qua việc sửdụng một cổng đặc biệt trên bo mạch chủ, được gọi là “cổng SCSI” Cổng này chấpnhận nhiều loại thiết bị khác nhau, từ ổ cứng đến máy in, tạo ra một môi trườnglinh hoạt và đa dạng cho người sử dụng
Chuẩn kết nối SCSI thường được sử dụng trong các hệ thống đòi hỏi sự mởrộng cao và hiệu suất ổn định Sự khả năng kết nối nhiều thiết bị ngoại vi giúpngười dùng dễ dàng mở rộng khả năng lưu trữ và chia sẻ dữ liệu mà không cần phảithay đổi đáng kể cấu trúc của hệ thống
2.1.4.3 Chuẩn kết nối USB
Chuẩn kết nối USB (Universal Serial Bus) đại diện cho một tiêu chuẩn kếtnối tiện ích và phổ quát, mang lại trải nghiệm plug-and-play tiện lợi Một trongnhững ưu điểm nổi bật của USB là khả năng sử dụng ngay lập tức mà không yêucầu sự tham gia của card adapter và không cần phải thiết lập lại máy tính
Tính năng plug-and-play của USB có nghĩa là khi một thiết bị được kết nốivào cổng USB trên máy tính, hệ thống sẽ tự động nhận diện và cấu hình thiết bị đómà không cần bất kỳ sự can thiệp nào từ người dùng Điều này giúp giảm bớt sựphức tạp trong quá trình cài đặt và sử dụng thiết bị
Chuẩn kết nối USB được sử dụng rộng rãi cho nhiều loại thiết bị, bao gồm ổđĩa di động, máy in, bàn phím, chuột, camera, và nhiều thiết bị khác Điều này tạora sự tiện lợi lớn cho người dùng, vì họ có thể kết nối và sử dụng các thiết bị nàymà không cần phải lo lắng về sự tương thích hay các thủ tục cài đặt phức tạp
2.1.4.4 Chuẩn kết nối Fibre Channel
Chuẩn kết nối Fibre Channel (FC) là một hệ thống kết nối point-to-point haichiều, được thiết kế để truyền tải dữ liệu giữa các thiết bị máy tính với tốc độ lênđến 4 Gbps Đặc trưng bởi khả năng truyền tải dữ liệu nhanh chóng và hiệu suấtcao, Fibre Channel thường được sử dụng cho các kết nối giữa máy chủ và các thiếtbị lưu trữ như bộ điều khiển và ổ đĩa cứng
Để đảm bảo tính ổn định và hiệu suất cao, Fibre Channel sử dụng các dòngcáp 75W unbalanced và 150W balanced Các dòng cáp này chủ yếu được ưa