Ngiên cứu kỹ thuật điều tra số trên ổ đĩa cứng HDD

Dữ liệu được lưu vào ổ đĩa cứng bằng ứng dụng từ tính trên các rãnh nằm trong đĩa từ quay với tốc độ cao.. Autopsy là một công cụ mã nguồn mở được sử dụng để thực hiện các hoạt động điều

Quy trình điều tra số trên ổ đĩa cứng HDD

NGHIÊN CỨU TỔNG QUAN VỀ KỸ THUẬT ĐIỀU TRA SỐ

TRÊN Ổ ĐĨA CỨNG HDD

Thành phần, cấu tạo, cách thức

hoạt động của ổ cứng HDD

- Ổ đĩa HDD là thiết bị lưu trữ dữ liệu ổn định, cung cấp khả năng truy cập tùy biến dữ liệu Dữ liệu được lưu vào ổ đĩa cứng bằng ứng dụng từ tính trên các rãnh nằm trong đĩa từ quay với tốc độ cao

- Thành phần chính của một ổ đĩa HDD bao gồm: trục quay, đầu đọc, đĩa từ.

1 Khái niệm ổ đĩa cứng HDD

05

Gồm bộ khung, đĩa từ, vòng tròn dữ liệu, các đầu đọc ghi,

mô tơ trục dọc

2 Cấu trúc vật lý của ổ cứng HDD

05

3 Cấu trúc logic của ổ cứng HDD

4 Các chuẩn kết nối của ổ cứng HDD

05

Quy trình điều tra số trên ổ đĩa cứng

HDD

Tiếp nhận cuộc điều

tra

Nhận dạng thiết bị Chuẩn bị điều tra

Bảo vệ dữ liệu điện tử

Xử lý dữ liệu điện

tửKiểm tra xác

nhậnLập tài liệu

báo cáoTrình bày vụ án

Lưu trữ hồ sơ vụ

án

ỨNG DỤNG AUTOPSY VÀ TESTDISK

TRONG ĐIỀU TRA SỐ

Autopsy là một công cụ mã nguồn mở được sử dụng để thực hiện các hoạt động điều tra số trên hình ảnh đĩa của bằng chứng.

1 Autopsy

05

Giao diện của Autopsy

1 Autopsy

05

Các file được khôi phục trên phần mềm Autopsy

1 Autopsy

05

Kiểm tra Address của thiết bị lưu giữ file ảnh tại mục OS Account

TestDisk là phần mềm khôi phục dữ liệu đã mất hoàn toàn, đặc biệt là dữ liệu nằm trong ổ đĩa cứng bị Format, các phân vùng bị mất và khởi động lại những đĩa cứng bị “đóng băng” do một số loại virus hoặc lỗi người dùng gây ra.

1 TeskDisk

05

Giao diện của TeskDisk

CHƯƠNG 3

XÂY DỰNG KỊCH BẢN THEO TÌNH HUỐNG THỰC TẾ VÀ TIẾN HÀNH THỬ

NGHIỆM

Xây dựng kịch bản thực tế

Hướng dẫn cài đặt và tiến hành thử

nghiệm

XÂY DỰNG KỊCH BẢN THỰC TẾ

- Tình huống 1: lực lượng công an thu giữ được máy tính của đối tượng nhưng bên trong ổ đĩa hoàn toàn bị trống vì đối tượng đã xóa hết các dữ liệu Bài toán đặt ra là lực lượng ta phải khôi phục lại được dữ liệu nhưng sau khi khôi phục thì dữ liệu chỉ toàn là file ảnh Nhưng mấu chốt trong máy đối tượng xuất hiện 1 file có dung lượng lớn hơn các file còn lại, rất có thể đối tượng đã dùng kỹ thuật giấu tin trong ảnh đòi hỏi lực lượng ta phải tìm ra được những dữ liệu mà đối tượng đã tiến hành ẩn đi.

Kịch bản

- Tình huống 2: ở tình huống này, sau khi thu giữ máy tính của đối tượng thì dữ liệu trong ổ đĩa hoàn toàn trống nhưng sau khi phân tích và khôi phục thì không thu giữ được các dữ liệu đã xóa vì thế rất có khả năng đối tượng đã định dạng ổ đĩa Nhiệm vụ của cán bộ điều tra phải khôi phục được dữ liệu bị xóa trên ổ đĩa bị định dạng để có thể thu thập các DLĐT làm cơ sở trong công tác đấu tranh với đối tượng

HƯỚNG DẪN CÀI ĐẶT VÀ TIẾN HÀNH

THỬ NGHIỆM

- Chuẩn bị công cụ, thiết bị: cài đặt phần mềm Autopsy và TestDisk, một ổ đĩa cứng HDD rời (đóng vai trò là ổ đĩa cứng trong máy tính đối tượng mà lực lượng công an thu giữ).

- Chuẩn bị các bước trước khi thực hiện demo• Hướng dẫn cài đặt

- Bước 1: Chuẩn bị các file ảnh png và file khác như: docx, xlsx, ppt, txt • Hướng dẫn cài đặt

- Bước 2: Click chọn các file docx, xlsx, ppt, txt nén thành tệp Giautin.rar.• Hướng dẫn cài đặt

- Bước 3: Nhập cmd trên thanh menu và gõ lệnh “copy /b Anh1.png + Giautin.rar AnhGiautin.png” (Trong đó Anh1.png là file ảnh dùng để giấu tin, Giautin.rar là tệp mà ta cần giấu, Anh2.png là file ảnh sẽ được xuất ra sau khi tiến hành giấu tin).

• Hướng dẫn cài đặt

- Bước 4: copy các file ảnh (trong đó có file AnhGiautin.png) vào ổ đĩa cứng rời mà ta sẽ tiến hành demo thử nghiệm.

• Hướng dẫn cài đặt

SAU KHI CHUẨN BỊ CÁC BƯỚC, KÍNH MỜI CÁC ĐỒNG CHÍ XEM

DEMO QUA 2 VIDEO SAU2 Demo

THANK'S FOR

WATCHING