1. Trang chủ
  2. » Luận Văn - Báo Cáo

Luận văn thạc sĩ Khoa học máy tính: Chứng cứ điện tử thực trạng và định hướng giải pháp công nghệ tại Việt Nam

106 1 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Chứng cứ điện tử: Thực trạng và định hướng giải pháp công nghệ tại Việt Nam
Tác giả Lê Nguyễn Khánh Duy
Người hướng dẫn TS. Phạm Quốc Cường
Trường học Đại học Quốc gia Tp. Hồ Chí Minh
Chuyên ngành Khoa học Máy tính
Thể loại Luận văn thạc sĩ
Năm xuất bản 2018
Thành phố Tp. Hồ Chí Minh
Định dạng
Số trang 106
Dung lượng 4,16 MB

Cấu trúc

  • Chương 1: Chứng cứ điện tử và thực trạng về chứng cứ điện tử ở Việt Nam (14)
    • 1.1 Chứng cứ điện tử (17)
    • 1.2 Các bước trong quá trình thu thập chứng cứ điện tử (20)
    • 1.3 Sự cần thiết của quy trình thu thập chứng cứ điện tử (22)
    • 1.4 Chứng cứ điện tử trong quá khứ, hiện tại và tương lai (22)
  • Chương 2: Điều tra máy tính (computer forensics) (25)
    • 2.1 Hoạt động cơ bản của máy tính (25)
    • 2.2 Thu thập chứng cứ trên các thiết bị lưu trữ dài hạn (29)
      • 2.2.1 Một số chuẩn giao tiếp thường gặp (30)
      • 2.2.2 Cấu trúc ổ cứng HDD (33)
      • 2.2.3 Cấu trúc ổ cứng SSD (41)
      • 2.2.4 Một số loại RAID thông dụng (45)
      • 2.2.5 Cấu trúc lưu trữ hệ thống (filesystem) (52)
      • 2.2.6 Cấu trúc tập tin (53)
      • 2.2.7 Công cụ chống ghi (54)
      • 2.2.8 Công cụ phục hồi (59)
      • 2.2.9 Công cụ sao lưu ổ đĩa thành dạng hình ảnh (74)
    • 2.3 Thu thập chứng cứ tr n bộ nhớ tạm thời RAM (0)
      • 2.3.1 ag il và ib rnate (0)
      • 2.3.2 Belkasoft RAM Capturer (79)
      • 2.3.3 DumpIT (79)
      • 2.3.4 AccessData FTK Imager (80)
      • 2.3.5 DMA (80)
      • 2.3.6 Volatility (85)
  • Chương 3: Điều tra mạng (network forensics) (89)
    • 3.1 Network TAPS (89)
    • 3.2 Wireshark/TCPDump (90)
    • 3.3 Snort/Suricata hay các hệ thống an ninh mạng (91)
    • 3.4 Logs (92)
  • Chương 4: Quy trình tiếp cận thu thập chứng cứ điện tử (95)
    • 4.1 Máy tính vật lý (95)
      • 4.1.1 Hệ thống máy tính đang vận hành bình thường (95)
      • 4.1.2 Hệ thống máy tính đã bị tắt (97)
    • 4.2 Hệ thống ảo hóa (99)
    • 4.3 Hệ thống mạng (101)
    • 4.4 Trích xuất dữ liệu (101)
    • 4.6 Thuyết minh dữ liệu (103)
  • Chương 5: Kết luận (104)
  • Chương 6: Tài liệu tham khảo (105)

Nội dung

Thu thập chứng cứ điện tử một chủ đề nghiên cứu còn khá mới mẻ và đang dần được sử dụng trong các quy trình điều tra máy tính, kỹ thuật phân tích, công cụ và phần mềm để giúp chúng ta ph

Chứng cứ điện tử và thực trạng về chứng cứ điện tử ở Việt Nam

Chứng cứ điện tử

Bộ luật tố tụng hình sự năm 2015 [3] được Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam khóa XIII, kỳ họp thứ 10 được thông qua vào ngày 27 tháng 11 năm 2015, theo điều 87 “Nguồn chứng cứ” đã công nhận “Dữ liệu điện tử” là có giá trị pháp lý như các nguồn chứng cứ và có thể được d ng để làm căn cứ trong quá trình giải quyết vụ án Bộ luật này cũng đã định nghĩa ở điều 99 “Dữ liệu điện tử” về dữ liệu điện tử như sau:

- “1 Dữ liệu điện tử là ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự được tạo ra, lưu trữ, truyền đi hoặc nhận được bởi phương tiện điện tử.”

- “2 Dữ liệu điện tử được thu thập từ phương tiện điện tử, mạng máy tính, mạng viễn thông, trên đường truyền và các nguồn điện tử khác.”

- “3 Giá trị chứng cứ của dữ liệu điện tử được xác định căn cứ vào cách thức khởi tạo, lưu trữ hoặc truyền gửi dữ liệu điện tử; cách thức bảo đảm và duy trì tính toàn vẹn của dữ liệu điện tử; cách thức xác định người khởi tạo và các yếu tố phù hợp khác.”

Chứng cứ điện tử mang tính chất trừu tượng cao, về khía cạnh vật lý, dữ liệu điện tử chỉ là sự thể hiện trạng thái của các phần tử vật chất như là trạng thái dao động của các loại sóng điện từ ở dạng tượng tự (analog, Hình 1.1) hay trạng thái tồn tại có (1) hoặc không (0) trong dạng kỹ thuật số (digital, Hình 1.2) theo thời gian

Hình 1.1: Dạng tương tự (analog) [4]

Hình 1.2: Dạng kỹ thuật số (digital) [5]

Ở khía cạnh máy tính, dữ liệu điện tử sẽ được biểu diễn thành các dạng mà con người có thể tương tác được, gồm chữ viết, chữ số, hình ảnh, âm thanh và video.

Các dữ liệu điện tử này được tạo ra, truyền đi và lưu trữ bởi các phương tiện điện tử dưới sự tương tác của con người Trong quá trình sử dụng và tương tác với các phương tiện điện tử nói chung và các hệ thống máy tính nói riêng, chắc chắn rằng con người sẽ để lại những dấu vết dưới dạng dữ liệu điện tử trên các phương tiện đó như lịch sử nhắn tin khi chúng ta thực hiện các hành vi gởi nhận tin nhắn, nhật ký cuộc gọi khi chúng ta thực hiện hay nhận các cuộc gọi, lịch sử các trang web đã vào khi ta lướt web, lịch sử đăng nhập cũng như lịch sử các hành vi được lưu lại trên máy chủ của nhà cung cấp dịch vụ ) mà chúng ta thực hiện khi kiểm tra hay gởi thư điện tử và tất cả các dữ liệu điện tử đó đều rất có giá trị và có thể được dùng như là một nguồn chứng cứ có giá trị pháp lý khi xảy ra vụ án

Dữ liệu điện tử có thể được chia khái quát ra thành 2 dạng:

- Dữ liệu điện tử do người sử dụng, vận hành hệ thống điện tử chủ đích tạo ra

Ví dụ như các tập tin văn bản (word), các bảng tính (excel), các tập tin trình diễn (powerpoint), các thư điện tử (email), các hình ảnh và video do con người tự tạo ra thông qua phần mềm máy tính hoặc thông qua các thiết bị điện tử khác như máy ảnh cá nhân hay điện thoại thông minh đều có giá trị trong việc chứng minh nguồn gốc dữ liệu cũng như về người đã tạo ra các dữ liệu đó

- Dữ liệu điện tử do các phương tiện điện tử tự động tạo ra dưới sự tương tác điều khiển của con người như “Cookies”, “URL”, “History”, “Email Logs”,

“Event Logs”, “WebServer Logs”, “Firewall Logs”, “Proxy Logs”, các thông tin về địa chỉ IP, cổng kết nối Các dữ liệu này đều có giá trị trong việc chứng minh sự tương tác của con người với các phương tiện điện tử, hệ thống máy tính

Từ các tính chất và đặc điểm đặc trưng như đã nêu ở trên của dữ liệu điện tử, ta cũng có thể thấy được là dữ liệu điện tử có thể dễ dàng bị tác động do cố ý hoặc vô ý như sửa chữa, thay đổi, phá hủy trong quá trình lưu trữ, sao chép cũng như truyền

7 tải, và không những thế, dữ liệu điện tử cũng có thể dễ dàng được được ngụy tạo ra Ngoài ra còn có nhiều các tình huống khác như bị nhiễm mã độc máy tính, phần cứng hư hỏng, lỗi phần mềm, phương pháp truy xuất, truyền tải lên mạng hay bị mã hóa

Các bước trong quá trình thu thập chứng cứ điện tử

Xác định chứng cứ điện tử Để phục vụ cho công tác phân loại dữ liệu điện tử nào có thể được sử dụng để làm chứng cứ điện tử ở công đoạn tiếp theo, chúng ta cần nắm rõ được dữ liệu điện tử có thể tồn tại ở những dạng nào, ở đâu, tính chất và phương pháp thu thập như thế nào ở từng trường hợp cụ thể nhằm thu thập được một cách đầy đủ nhất, hạn chế tối đa khả năng bỏ qua, thu thập sót hoặc sai dữ liệu điện tử Việc thu thập không đầy đủ hoặc thiết chính xác dữ liệu điện tử sẽ gây khó khăn nhất định cho các công đoạn tiếp theo của quá trình điều tra và phân tích sau này

Thu thập chứng cứ điện tử

Sau khi đã biết được chứng cứ điện tử có thể nằm ở đâu, công việc tiếp theo là thu thập chúng Với sự đa dạng về chủng loại thiết bị cũng như cơ chế vận hành đòi hỏi ta cần có nhiều giải pháp khác nhau trong quá trình thu thập chứng cứ điện tử Cũng do tính chất của chứng cứ điện tử cần sự toàn vẹn của dữ liệu được thu thập nên ta cần phải áp dụng các công nghệ phù hợp ứng với từng điều kiện cụ thể nhằm đảm bảo dữ liệu được thu thập để sử dụng làm chứng cứ điện tử là nguyên vẹn, khách quan và kiểm chứng được

Phục hồi chứng cứ điện tử

Các đối tượng sử dụng công nghệ cao để thực hiện hành vi phạm tội đều có sự am hiểu về công nghệ và luôn luôn ý thức được việc làm của mình là vi phạm pháp luật nên chúng rất chú đến việc tiêu hủy các dữ liệu có thể được dùng làm chứng cứ để chứng minh hành vi phạm tội của chúng

Do đó, trong nhiều trường hợp, đối tượng đã kịp xóa bỏ hoặc phá hủy các dữ liệu có thể được sử dụng để làm chứng cứ điện tử Trong các tình huống như thế này, ta cần có các giải pháp công nghệ để khôi phục lại các dữ liệu này phục vụ cho bước khai thác chứng cứ điện tử ở các giai đoạn sau

Ngoài các trường hợp phá hủy dữ liệu, với sự ra đời của rất nhiều các công cụ d ng để mã hóa dữ liệu, với mục đích ban đầu là bảo vệ dữ liệu riêng tư của người sử dụng, tuy nhiên, mặt trái của nó là gây khó khăn cho quá trình thu thập chứng cứ một khi đối tượng từ chối hợp tác, một ví dụ điển hình như phần mềm mã hóa dữ liệu được khá nhiều người sử dụng trên máy tính là VeraCrypt, PGP, không những nó có khả năng mã hóa các tập tin được lưu trữ trong ổ đĩa ảo mà nó tạo ra, nó còn cho phép người dùng tạo một vùng dữ liệu n bên trong phân v ng thông thường, phân vùng này không thể chứng minh là có tồn tại bằng các kỹ thuật thông thường khi mà ta không có mật kh u để giải mã nó Đây là thách thức cần phải nghiên cứu và tìm ra giải pháp song song với các kỹ thuật khôi phục dữ liệu đã bị phá hủy

Bảo quản chứng cứ điện tử

Việc sao lưu lại dữ liệu để bảo quản phải được tiến hành đúng quy trình khoa học, phải sử dụng các thiết bị và phần mềm chuyên dụng đã được thế giới và chính phủ Việt Nam công nhận để có thể kiểm chứng được tính chính xác, khách quan, trung thực, bảo vệ được tính nguyên vẹn của dữ liệu điện tử đang được lưu trữ bảo quản

Khai thác chứng cứ điện tử Đây là bước quan trọng trong cả quá trình Sau khi đã có đầy đủ dữ liệu, ta sẽ cần phải tìm kiếm và phân tích trên các dữ liệu đã tìm được để xác định được đâu là dữ liệu có thể sử dụng để làm chứng cứ điện tử Cụ thể, trong giai đoạn này, ta có thể sẽ cần phải sử dụng đến các công cụ phân tích dữ liệu chuyên dụng như các phần mềm phân tích cấu trúc tập tin, các phần mềm phân tích dữ liệu trên dữ liệu bộ nhớ tạm thời RAM để trích xuất ra các thông tin cụ thể một cách trực quan hóa có thể sử dụng để làm chứng cứ điện tử tại tòa

Thuyết minh chứng cứ điện tử

Tất cả mọi dữ liệu được sử dụng để làm chứng cứ điện tử đều sẽ phải được chứng minh trước tòa án khi được yêu cầu Cụ thể là ta sẽ cần phải chứng minh được mọi quá trình tìm kiếm được chứng cứ, quá trình bảo quản, khôi phục được dữ liệu là hoàn toàn theo đúng quy trình khoa học và cần thiết thì ta sẽ có thể lặp lại quy trình đó để đi đến kết quả như các chứng cứ hiện tại đang được sử dụng tại tòa án

Sự cần thiết của quy trình thu thập chứng cứ điện tử

Chứng cứ thu thập ở một vụ án có một nghĩa rất lớn, là cơ sở mà các bên liên quan căn cứ vào để có cơ sở xác đáng chứng minh bảo vệ quyền và lợi ích chính đáng của mình trước pháp luật

Thông qua các tính chất của chứng cứ điện tử đã được nêu ở phần trên, để chứng cứ điện tử được tòa án công nhận và có giá trị cao trong quá trình tố tụng vụ án thì ta cần phải xây dựng một quy trình thu thập chứng cứ cụ thể để tuân theo, các công nghệ, các thiết bị cũng như phần mềm chuyên dụng được phép sử dụng trong lúc thu thập nhằm bảo toàn giá trị cao nhất của dữ liệu điện tử đã được thu thập để làm chứng cứ điện tử

Các bước cơ bản trong quy trình thu thập chứng cứ điện tử hiện nay bao gồm: thu thập, bảo quản, phục hồi, phân tích và giám định Trong đó, giai đoạn thu thập là giai đoạn có thể nói là quan trọng nhất trong cả quá trình do nó cần phải đảm bảo được các yếu tố:

- Thứ nhất, không được phép làm thay đổi trạng thái và nội dung của thông tin đang được lưu trữ trên các thiết bị điện tử

- Thứ hai, người tiếp cận với các thông tin gốc đang được lưu trữ trong các thiết bị điện tử phải là những chuyên gia đã được đào tạo, có kinh nghiệm và được nhà nước Việt Nam công nhận để thực hiện công tác thu thập, phục hồi chứng cứ điện tử

- Thứ ba, các thiết bị, công cụ, phần mềm chuyên dụng được sử dụng trong quá trình thu thập chứng cứ điện tử phải được kiểm định và được nhà nước Việt Nam công nhận về khả năng bảo vệ tính nguyên vẹn của dữ liệu được thu thập, ngoài ra cũng phải được sử dụng đúng mục đích và theo đúng quy trình của nhà sản xuất

Quy trình thu thập chứng cứ điện tử phải đảm bảo được tính khác quan, tính toàn vẹn và tính kiểm chứng được của chứng cứ đã được thu thập trước tòa án Phải chứng minh được quá trình thực thi để tìm kiếm, thu thập, khôi phục dữ liệu và phải có khả năng dựng lại các bước thực thi của quá trình từ lúc phát hiện chứng cứ đến lúc ra được kết quả khi được tòa án yêu cầu.

Chứng cứ điện tử trong quá khứ, hiện tại và tương lai

Trong quá khứ, với bộ luật tố tụng hình sự năm 2003 quy định điều 64 [6] như sau:

- Chứng cứ là những gì có thật, được thu thập theo trình tự, thủ tục do Bộ luật này quy định mà Cơ quan điều tra, Viện kiểm sát và Toà án d ng làm căn cứ để xác định có hay không có hành vi phạm tội, người thực hiện hành vi phạm tội cũng như những tình tiết khác cần thiết cho việc giải quyết đúng đắn vụ án

- Chứng cứ được xác định bằng: o Vật chứng o Lời khai của người làm chứng, người bị hại, nguyên đơn dân sự, bị đơn dân sự, người có quyền lợi, nghĩa vụ liên quan đến vụ án, người bị bắt, người bị tạm giữ, bị can, bị cáo o Kết luận giám định o Biên bản về hoạt động điều tra, xét xử và các tài liệu, đồ vật khác

Do đó, nếu căn cứ vào các điều luật trên, dữ liệu điện tử có tính trừu tượng hóa cao, mang tính chất ảo nên không nhìn thấy được hình dạng hay tính chất thì công tác xác định chứng cứ liên quan đến tội phạm máy tính gặp rất nhiều khó khăn Không những thế, dữ liệu điện tử còn có đặc tính là có thể dễ dàng bị che dấu hay thực hiện các thao tác tiêu hủy nhằm xóa dấu vết

Vì vậy, nếu đơn thuần ta chỉ xem chứng cứ trong một vụ án chỉ có thể là những vật có thể nhìn thấy được bằng mắt, nghe thấy được bằng tai hay cảm nhận được bằng tay thì rất khó để có thể có được một vật chứng có tính thuyết phục trong lĩnh vực tội phạm máy tính

Vào ngày 27/11/2015, Quốc hội khóa XIII đã thông qua bộ luật tố tụng hình sự, tại đó lần đầu tiên công nhận "dữ liệu điện tử" là nguồn của chứng cứ (Điều 87 khoản 1 điểm c) Bước tiến quan trọng này tạo cơ sở pháp lý, nền tảng vững chắc để sử dụng dữ liệu điện tử như căn cứ quan trọng trong tố tụng hình sự Từ đó, Việt Nam đã hình thành cơ sở hạ tầng vững chắc cho quá trình số hóa bằng chứng trong hoạt động tố tụng hình sự, góp phần nâng cao hiệu quả, minh bạch và công bằng trong giải quyết các vụ án.

11 hành lang pháp lý sâu rộng trong lĩnh vực công nghệ thông tin và các ứng dụng của nó trong tương lai

Điều tra máy tính (computer forensics)

Hoạt động cơ bản của máy tính

Mỗi khi máy tính được bật lên, nó sẽ phải tiến hành khởi tạo tất cả các thành phần cơ bản cần thiết để một máy tính hoạt động, tất cả các thiết bị ngoại vi đang được gắn với bo mạch chủ và sau cùng nó sẽ tiến hành kích hoạt hệ điều hành từ ổ đĩa khởi động Có thể tóm lược lại quá trình khởi động của một máy tính sẽ trải qua 3 bước cơ bản sau:

- Kích hoạt bộ xử lý trung tâm (CPU)

- Khởi tạo các thành phần cần thiết và các thiết bị ngoại vi đang được gắn vào bo mạch chủ

- Nạp hệ điều hành từ ổ đĩa khởi động lên bộ nhớ tạm thời (RAM) và trao lại quyền điều khiển cho hệ điều hành này Để duy trì sự hoạt động của một máy tính thì có 2 nguồn dữ liệu chính đó là nguồn dữ liệu từ bộ nhớ tạm thời (RAM) và trên các thiết bị lưu trữ dài hạn của máy tính Như vậy ta cần phải thu thập đầy đủ dữ liệu từ hai nguồn này

Nguồn dữ liệu từ bộ nhớ tạm thời (RAM):

Bộ nhớ tạm thời trên máy tính sẽ lưu trữ toàn bộ các dữ liệu cần thiết để duy trì sự hoạt động của hệ điều hành và tất cả các dịch vụ phần mềm đang chạy trên máy tính đó

Sao lưu một cách đầy đủ các dữ liệu đang được lưu trữ trên bộ nhớ tạm thời này sẽ giúp ta có được cái nhìn tổng quan về trạng thái hiện hành của mính tính tại thời điểm ta thu thập dữ liệu để từ đó giúp ta giải quyết được một số các vấn đề có thể sẽ gặp phải như: xác định được máy tính đang chạy những phần mềm gì, máy tính đang kết nối đến các máy chủ nào trên mạng Internet, giải mã các dữ liệu bị mã hóa…

Sau khi đã thu thập được dữ liệu được lưu trữ trên bộ nhớ tạm thời của máy tính, ta có thể dễ dàng sử dụng các bộ công cụ phân tích tự động [7] hoặc tự phân tích bằng tay để trích xuất ra các thông tin cần thiết và có thể sử dụng để làm chứng cứ điện tử

- Hình 2.1 cho ta thấy được việc trích xuất thông tin chi tiết các phần mềm đang chạy trên máy tính tại thời điểm sao lưu dữ liệu như dllhost.exe, svchost.exe, vmtoolsd.exe, explorer.exe, msdtc.exe

Hình 2.1: Các tiến trình đang chạy

- Hình 2.2 cho thấy ta có thể xem được dữ liệu vùng nhớ được cấp phát trong tiến trình explorer.exe

Hình 2.2: Xem dữ liệu vùng nhớ

- Hình 2.3 cho ta thấy việc trích xuất thông tin chi tiết các kết nối mà máy tính đang kết nối ra ngoài internet hoặc bên ngoài kết nối đến máy tính tại thời điểm thu thập dữ liệu

Hình 2.3: Danh sách các kết nối

- Hình 2.4 cho ta thấy được danh sách các câu lệnh đã được đối tượng thực thi trên hệ thống máy tính như: tasklist để liệt kê danh sách các tiến trình đang chạy), regedit (quản lý registry của hệ điều hành), iexplorer.exe (mở ứng dụng duyệt Web Internet Explorer) …

Hình 2.4: Các câu lệnh từng được thực thi

Trong nhiều trường hợp, đối tượng có sử dụng các phần mềm mã hóa dữ liệu để che dấu các dữ liệu có thể được sử dụng để tạo thành chứng cứ điện tử, các phần mềm thông dụng hiện nay như VeraCrypt, PGP, itLocker… Nhờ việc thu thập dữ liệu được lưu trữ trên bộ nhớ tạm thời của máy tính, ta có thể dễ dàng trích xuất lại chìa khóa d ng để giải mã dữ liệu mà không cần đến sự hợp tác của đối tượng

- Hình 2.5 cho thấy khả năng trích xuất thông chìa khóa cần để giải mã dữ liệu đã được mã hóa trên ổ đĩa cứng của máy tính sử dụng BitLocker của hệ điều hành Windows

Hình 2.5: Danh sách khóa giải mã BitLocker

Nguồn dữ liệu từ bộ nhớ dài hạn:

Nguồn dữ liệu từ bộ nhớ lưu trữ dài hạn không chỉ giới hạn trong các thiết bị đang được gắn trong máy tính mà ta còn phải tìm kiếm và thu thập dữ liệu từ tất cả các thiết bị lưu trữ ngoại vi xung quanh máy tính như các đĩa CD/DVD, các ổ đĩa di động USB, các thiết bị lưu trữ mạng NAS, hay thậm chí các máy nghe nhạc, máy chơi game…

Hình 2.6: Thiết bị lưu trữ NAS

Hình 2.6 minh họa một chủng loại NAS của hãng SeaGate thường gặp.

Thu thập chứng cứ trên các thiết bị lưu trữ dài hạn

Trong khoảng 10 năm trở lại đây, với sự phát triển vượt bậc của công nghệ lưu trữ dài hạn đã cho ra đời nhiều chủng loại thiết bị lưu trữ đa dạng về mặt dung lượng, công nghệ cũng như giao thức kết nối với giá cả phải chăng, ph hợp với thị hiếu

17 thị trường Do đó, nhu cầu lưu trữ thông tin của mọi người cũng tăng lên do không phải bận tâm đến việc hết không gian lưu trữ

Thiết bị lưu trữ dài hạn rất đa dạng về chủng loại, bao gồm: FDD, Tape, HDD, SSD, ZipDisk, CD/DVR, SDCard, MicroSDCard, MMC, NAND, …

Về mặt lưu trữ trên phương diện vật l thì cho đến thời điểm hiện tại có 2 dạng chính:

- Lưu trữ dựa trên từ tính trên các vật liệu có khả năng lưu giữ trạng thái từ tính (Tape, HDD)

- Lưu trữ trên các CHIP nhớ bán dẫn (MicroSDCard, SDCard, MMC, SSD )

Về mặt giao tiếp, mỗi chủng loại sẽ sử dụng một hoặc nhiều kiểu giao tiếp khác nhau như PATA (Hình 2.7), SATA (Hình 2.8), SCSI (Hình 2.9), M2 (Hình 2.10), PCIe (Hình 2.11), SDIO (Hình 2.12), …

Ngoài ra, còn có các công nghệ để liên kết các thiết bị lưu trữ lại với nhau nhằm nhiều mục đích như tạo không gian lưu trữ thống nhất (Dynamic), vừa tạo không gian lưu trữ thống nhất vừa tăng tốc độ (RAID-0), tạo không gian lưu trữ an toàn (RAID-1) hoặc kết hợp chúng lại theo nhiều cách khác nhau khác như RAID-1+0, RAID-0+1, RAID-5, RAID-6…

2.2.1 Một số chuẩn giao tiếp thường gặp

Hình 2.11: Giao tiếp NVMe (PCIe)

HDD sử dụng cơ chế lưu trữ dựa trên đặc tính từ hóa của một số loại vật liệu từ tính Cụ thể như ở công nghệ lưu trữ TAPE, một đoạn dây nhựa được phủ lên một lớp vật liệu từ tính Khi đi qua đầu ghi, ta cho một dòng điện biến đổi có chủ đích chạy qua đầu ghi, dòng điện này phát ra một từ trường biến đổi sẽ từ hóa lớp vật liệu từ tính trên theo một trật tự và trạng thái nhất định như ta đã chủ đích Khi cũng đoạn dây nhựa này chạy qua đầu thu, từ tính biến đổi trên vật liệu từ tính được phủ trên đoạn dây nhựa sẽ tương tác với đầu thu và tạo thành dòng điện biến đổi tương tự như cách ta đã cho chạy qua đầu ghi bên trên

Với công nghệ lưu trữ TAPE bên trên, do không thể dịch chuyển dây nhựa với tốc độ cao và đổi hướng bất ngờ nên khuyết điểm lớn nhất của nó là có tốc độ chậm và khả năng định vị dữ liệu để truy xuất ngẫu nhiên rất kém Để phục vụ tốt cho nhu cầu sử dụng hàng ngày, ta cần phải có công nghệ khác tốt hơn để cho tốc độ cao và khả năng truy xuất dữ liệu ngẫu nhiên một cách hiệu quả Đĩa từ

Khác với TAPE, HDD sử dụng một phiến đĩa hình tròn (Hình 2.13) có cấu tạo từ gốm thủy tinh có độ bền cơ học cao Nhà sản xuất sẽ phủ một lớp vật liệu từ tính và một lớp vật liệu bảo vệ lên một hoặc cả hai mặt của phiến đĩa này Mỗi phiến đĩa sẽ có khả năng lưu trữ nhất định, để tăng không gian lưu trữ, nhà sản xuất sẽ gắn chồng nhiều phiến đĩa lên nhau trên c ng một trục mô tơ quay (Hình 2.14), do đó các phiến đĩa này sẽ đều quay với cùng một tốc độ trong suốt quãng đời hoạt động của HDD

Nhờ cơ chế cơ học là xoay tròn quanh một trục, nên việc định vị và di chuyển đầu đọc/ghi đến đúng vị trí đang chứa dữ liệu được yêu cầu đọc/ghi ở phiến đĩa là rất dễ dàng, nhờ đó khả năng truy xuất dữ liệu ngẫu nhiên của HDD hoạt động khá hiệu quả

Hình 2.13: HDD với 7 phiến đĩa xếp chồng nhau

Hình 2.14: Mô tơ phiến đĩa Đầu đọc/ghi

Cũng giống với TAPE, một đầu từ bao gồm cả tính năng đọc và ghi sẽ di chuyển phía bề mặt của phiến đĩa, từ đó sẽ ghi xuống hay đọc lên trạng thái từ tính theo một trật tự nhất định (Hình 2.16)

Tuy nhiên, khác với TAPE, đầu đọc/ghi của HDD được bố trí chạy song song với mọi bề mặt đĩa c ng một lúc Mỗi mặt đĩa sẽ được tương tác bởi một đầu đọc/ghi riêng biệt (Hình 2.17) Như vậy, với 5 phiến đĩa thì ta sẽ có tất cả 10 đầu đọc/ghi

Khi thực hiện thao tác đọc/ghi, dữ liệu sẽ được định vị và đọc/ghi tại cùng một vị trí trên cả 2 mặt của tất cả các phiến đĩa Ví dụ, với một HDD sử dụng 5 phiến đĩa (Hình 2.15) xếp chồng nhau thì khi ta đọc hoặc ghi 160bits dữ liệu, thao tác đọc/ghi sẽ đọc/ghi 16bits trên mỗi mặt của mỗi phiến đĩa Do cơ chế này, ổ cứng cho tộc độ đọc ghi cao hơn rất nhiều so với TAPE

Hình 2.15: Bộ đầu đọc/ghi của 1 HDD sử dụng 5 phiến đĩa

Hình 2.16: Đầu đọc/ghi với bộ điều khiển cơ học

Hình 2.17: Đầu đọc/ghi hoạt động với phiến đĩa Mạch điều khiển

Mạch điều khiển (Hình 2.18) thường được tìm thấy ở phía sau của ổ cứng Bao gồm các thành phần như vi điều khiển, RAM, ROM, các IC chuyên trách điều khiển công suất nguồn, IC giao tiếp, …

Mạch điều khiển chịu trách nhiệm cho việc điều khiển cơ học, chuyển đổi qua lại giữa dữ liệu số thành dữ liệu tương tự ở dạng từ tính và liên lạc với máy tính

Hình 2.18: Mạch điều khiển Phần mềm điều khiển

Phần mềm điều khiển hay còn gọi là firmware của HDD có nhiệm vụ cực kỳ quan trọng, nó điều hành mọi hoạt động của HDD

Phần mềm điều khiển được chia thành ít nhất là 2 hoặc 3 phần tùy vào thiết kế của nhà sản xuất ra HDD

- Phần thứ nhất được chứa ở ROM nội tích hợp bên trong vi điều khiển chính nằm trên mạch điều khiển của HDD Chứa các đoạn mã giúp khởi động vi điều khiển chính của mạch điều khiển cũng như các thông tin cần thiết để vi điều khiển có thể nhận dạng và giao tiếp được với các thành phần xung quanh trên mạch điều khiển như RAM, ROM ngoại, IC giao tiếp… Phần này khi bị hư hỏng gần như không thể sửa chữa được nhưng ta có thể dễ dàng thay thế bằng cách sử dụng một vi điều khiển tương tự được tháo từ mạch điều khiển có cùng mã nhận dạng dòng đời được in trên mạch với mạch điều khiển bị hư hại

- Phần thứ hai được chứa ở ROM ngoại nằm trên mạch điều khiển, phần này có thể có hoặc không tùy vào thiết kế của nhà sản xuất ra HDD đó Thông thường, trong trường hợp các thông tin cấu hình cần để mạch điều khiển vận hành HDD đó quá nhiều và vượt qua khả năng lưu trữ của ROM nội bên trong vi điều khiển thì nhà sản xuất sẽ tích hợp thêm phần thứ hai này, chứa trong ROM ngoại Phần này có hai lỗi thường gặp đó là hư hỏng vật lý trên chip ROM và hư hỏng dữ liệu được lưu trữ trên ROM Với trường hợp hư hỏng dữ liệu trên ROM, ta chỉ cần cần sao chép dữ liệu từ ROM của một HDD có cùng mã nhận dạng dòng đời vào trong nó là được Còn với trường hợp hư hỏng vật lý trên chip ROM thì ta cần kiếm một chip ROM tương tự, không nhất thiết cùng mã nhận dạng dòng đời với chip ROM hiện tại mà chỉ cần có cùng thông số sơ đồ các chân I/O và tập lệnh đọc ghi là được Sau khi đã thay thế, ta tiến hình sao chép y như với trường hợp hư hỏng dữ liệu trên ROM như đã đề cập

- Ở cả hai thành phần trên, nếu mạch điều khiển đã bị hư hại quá nhiều và không thể thay thế được thì ta chỉ còn giải pháp là thay thế sử dụng một mạch điều khiển còn tốt được tháo từ một HDD có cùng mã nhận dạng dòng

Điều tra mạng (network forensics)

Network TAPS

Network TAPS là một thiết bị phần cứng cho phép chúng ta sao chép lưu lượng mạng đến các thiết bị thu thập dữ liệu mạng của chúng ta mà không gây ảnh hưởng đến hệ thống mạng hiện hành mà ta đang tiến hành thu thập dữ liệu

Một Network TAPS cơ bản sẽ bao gồm 3 cổng vật lý bao gồm 1 cổng nguồn gọi là A, một cổng đích gọi là B và một cổng sao chép gọi là Monitor Khi một Network TAPS hoạt động, mọi gói tin luân chuyển giữa 2 cổng A và đều được sao chép lại và chuyển qua cổng Monitor Ta sẽ gắn thiết bị điều tra mạng của ta vào cổng Monitor này, khi đó mọi dữ liệu sẽ được ta sao lưu lại đầy đủ để phân tích

Hiện nay, một số các dòng Switch cao cấp cũng đã có hỗ trợ sẵn cổng Monitor này Khi được cấu hình, mọi lưu lượng đi qua mọi cổng trên Switch để sẽ được sao chép lại và gởi lại qua cổng Monitor này

Hình 3.1: Minh họa Network TAPS

Hình 3.1 minh họa thiết bị sao chép đường truyền trên hệ thống cáp quang, cáp Ethernet hay COM.

Wireshark/TCPDump

Wireshark và TCPDump là hai bộ công cụ phổ biến thường được hay dùng trong phân tích dữ liệu mạng Cả 2 đều có khả năng chặn bắt các gói tin trên đường truyền mạng theo thời gian thực và sao lưu lại thành một cấu trúc cụ thể giúp tái hiện được lại thành dạng mà chúng ta có thể dễ dàng hiểu được và phân tích

Trong Hình 3.2, dữ liệu đang được truyền trong hệ thống mạng cho thấy máy tính bị theo dõi đang kết nối đến máy chủ "one-ubuntu-com.amatungulu.com" bằng giao thức HTTPS.

Hình 3.3 cho ta thấy danh sách các gói tin đang luân chuyển trong hệ thống mạng Các gói tin đều được phân tích để hiển thị một cách trực quan nhất giúp chúng ta dễ dàng theo dõi.

Snort/Suricata hay các hệ thống an ninh mạng

Snort và Suricata là hai bộ phát hiện chống xâm nhập thường được các cá nhân, tổ chức sử dụng để giám sát các loại dữ liệu luân chuyển trên đường truyền mạng Chúng có khả năng phân tích giao thức và thực hiện các thao tác tìm kiếm cũng như trích xuất dữ liệu cần thiết để ghi nhận lại lịch sử sử dụng mạng cũng như cảnh báo Việc phân tích dữ liệu được lưu trữ trong các hệ thống này nếu nó đang được áp dụng tại nơi cần thu thập chứng cứ điện tử sẽ giúp ta có cái nhìn tổng quát hơn về việc đối tượng đã làm gì, ở đâu và vào thời điểm nào

Hình 3.4: Minh họa cảnh báo từ hệ thống an ninh mạng

Hình 3.4 là hình chụp từ giao diện quản lý cảnh báo của một hệ thống an ninh mạng Qua hình trên, ta có thể thấy được trong hệ thống mạng đang tồn tại một số vấn đề ảnh hưởng đến sự an toàn của dữ liệu như có hành vi dò mật kh u để cố gắng đăng nhập trái phép của một máy trong hệ thống mạng.

Logs

Công tác thu thập dữ liệu để xây dựng chứng cứ điện tử trong môi trường mạng không chỉ đơn giản là thu thập các dữ liệu đang luân chuyển trên hệ thống mạng mà còn bao gồm cả việc thu thập dữ liệu từ các hệ thống đang có trên hạ tầng mạng như các máy chủ dịch vụ, các thiết bị mạng như Switch, Router, Firewall…

Thông thường, mọi thiết bị cũng như phần mềm trong quá trình hoạt động đều sinh ra các dữ liệu gọi là Logs Các dữ liệu này được sinh ra nhằm giúp cho người quản trị hệ thống nắm bắt được vấn đề nhanh hơn trong quá trình xử lý lỗi khi phát sinh Các dữ liệu Logs này sẽ giúp ích cho chúng ta trong quá trình xây dựng chứng cứ điện tử ví dụ như khi ta phân tích Logs của một máy chủ

80 dịch vụ Web, ta sẽ dễ dàng thấy được những ai đã tương tác với máy chủ Web này, tương tác về vấn đề gì, thời điểm nào cũng như địa chỉ IP của người thực hiện tương tác đó

Hình 3.5: Minh họa Logs của một dịch vụ Web

Qua Hình 3.5, ta có thể thấy được máy chủ dịch vụ đang bị quét các lỗ hổng bảo mật nhằm mục đích khai thác chiếm quyền điều khiển

Hình 3.6: Minh họa Logs dịch vụ DNS

81 Hình 3.6 thể hiện danh sách các tên miền đã được truy vấn trong hệ thống mạng

Quy trình tiếp cận thu thập chứng cứ điện tử

Máy tính vật lý

Khi tiếp cận một hệ thống máy tính vật l , điều đầu tiên ta cần xác định là trạng thái hiện tại của nó đang hoạt động bình thường hay đã bị tắt do quy trình tương tác để thu thập chứng cứ điện tử có phần khác nhau giữa hai trạng thái này

4.1.1 Hệ thống máy tính đang vận hành bình thường

Khi tiếp cận một hệ thống máy tính đang trong quá trình vận hành bình thường, điều đầu tiên ta cần làm là bằng mọi cách cố gắng giữ nguyên trạng thái của nó Trong nhiều trường hợp, đối tượng sẽ cố gắng kích hoạt các phần mền phá hủy dữ liệu hoặc cắt nguồn cung cấp điện cho các hệ thống máy tính này nên ta cần có biện pháp khống chế đối tượng không được phép tiếp cận với hệ thống máy tính đang cần thu thập dữ liệu dưới mọi hình thức

Sau khi đã đảm bảo được trạng thái hoạt động của hệ thống máy tính, công đoạn tiếp theo ta cần thực hiện đó là sao lưu lại toàn bộ dữ liệu trên bộ nhớ tạm thời RAM của hệ thống máy tính Để làm được việc này, ta sẽ cần xác định xem máy tính có đang trong trạng thái bị khóa và đối tượng có đặt mật kh u để mở khóa hay không

Máy tính yêu cầu mật khẩu để mở khóa

Khi tiếp cận một hệ thống máy tính đang vận hành bình thường nhưng ở trạng thái bị khóa và yêu cầu sử dụng mật kh u để mở khóa thì ta có nhiều giải pháp để thực hiện công tác sao lưu dữ liệu

Cách th nhất: xác định các cổng PCI còn trống hoặc có thể thay thế để áp dụng phương pháp sao lưu sử dụng phần cứng trên cơ sở DMA Phương pháp này có thể nói là an toàn nhất do ta không nhất thiết phải xác định xem ổ đĩa chứa hệ điều hành có đang được sử dụng các cơ chế mã hóa để bảo vệ dữ liệu hay không Ngoài ra, với cách này, ta còn có thể mở khóa trực tiếp mà không cần mật kh u trong các tình huống cấp bách cần thiết và đã được cho phép

Cách th hai: xác định máy có hỗ trợ cơ chế ngủ đông hay không Nếu máy có hỗ trợ chế độ ngủ đông thì ta sẽ kích hoạt chế độ này Ở chế độ này, hệ điều hành sẽ tiến hành sao lưu toàn bộ dữ liệu đang hiện hành trên bộ nhớ tạm thời RAM xuống ổ đĩa cứng của máy tính ở dạng một tập tin Ta có thế tiến hành phân tích trên tập tin này như với phương pháp sao lưu sử dụng phần cứng trên cơ sở DMA Tuy nhiên, phương pháp này có khuyết điểm là không thể sử dụng nếu hệ thống máy tính đó có sử dụng các giải pháp mã hóa bảo vệ dữ liệu trên ổ đĩa Ngoài ra, phương pháp này cũng tạo nên một số nguy cơ khác như giảm khả năng khôi phục các dữ liệu đã bị xóa do bị ghi đè khi hệ điều hành sao lưu dữ liệu trên bộ nhớ tạm thời RAM lên ổ đĩa

Máy tính không yêu cầu mật khẩu để mở khóa

Với một hệ thống máy tính không bị khóa hoặc không yêu cầu mật kh u để mở khóa thì ta vẫn có thể áp dụng được tốt các phương pháp như đối với hệ thống bị yêu cầu mật kh u để mở khóa

Do không bị khóa nên ngoài việc sao lưu dữ liệu trên bộ nhớ tạm thời RAM, ta có thể thu thập thêm một số các dữ kiện khác giúp phục vụ cho quá trình điều tra sau này Do có thể toàn quyền tương tác với máy tính nên ta cũng có thể áp dụng phương pháp sao lưu dữ liệu trên bộ nhớ tạm thời RAM sử dụng phần mềm

Sau khi đã đảm bảo thu thập được đầy đủ mọi thông tin và dữ liệu cần thiết từ bộ nhớ tạm thời RAM khi hệ thống máy tính đang trong trạng thái vận hành, khi được sự cho phép, ta sẽ tiến hành cắt nguồn điện cung cấp cho hệ thống máy tính và thực hiện tiếp các thao tác như đối với một hệ thống máy tính đã bị tắt

Có một lưu quan trọng khi tắt nguồn hệ thống máy tính là ta nên tắt nguồn bằng cách cắt nóng nguồn điện đang cung cấp bởi vì trong quá trình hệ điều hành tắt nó sẽ tiến hành một loạt các thao tác dọn dẹp rác và thu hồi các tài nguyên lưu trữ cần thiết, điều này có thể khiến cho công tác thu thập và khôi phục dữ liệu sau này diễn ra khó khăn và phức tạp hơn

Trong trường hợp không còn phương pháp nào khác để có thể thu thập được dữ liệu đang được lưu trữ trong bộ nhớ tạm thời RAM của hệ thống máy tính, ta cần thực hiện các giải pháp đặc biệt nhằm duy trì nguồn điện cho hệ thống máy tính như sử dụng các thiết bị lưu trữ điện năng di động trong quá trình niêm phong và vận chuyển thiết bị về cơ quan điều tra

4.1.2 Hệ thống máy tính đã bị tắt Đối với một hệ thống máy tính đang trong trạng thái không hoạt động thì ta tuyệt đối không được phép khởi động nó lên dưới mọi hình thức Nếu nó đang bị cô lập khỏi nguồn điện thì ta cũng không được tự ý cấp nguồn cho nó mà chưa có sự cho phép Mọi thao tác thay đổi trạng thái hiện hành của một hệ thống máy tính đều có thể gây ảnh hưởng đến các dữ liệu đang được lưu trữ trong các bộ lưu trữ dữ liệu dài hạn đang có trong hệ thống máy tính đó

Xác định loại ổ đĩa và tình trạng của nó

Trước tiên, ta cần xác nhận trạng thái vật lý của nó xem có bị hư hại gì hay không Sau đó ta sẽ tiến hành xác định chủng loại ổ cứng mà hệ thống máy tính đó đang sử dụng là gì Việc xác định chính xác chủng loại ổ đĩa mà hệ thống máy tính đang sử dụng là một việc cực kỳ quan trọng bởi vì mỗi loại ổ đĩa đều có một cơ chế vận hành khác nhau

Một ví dụ cụ thể là như chúng ta đã tìm hiểu qua về cấu trúc và phương thức hoạt động của dòng ổ đĩa SSD (2.2.3 Cấu trúc ổ c ng SSD), nếu xác định nhầm thành dòng ổ đĩa HDD (2.2.2 Cấu trúc ổ c ng HDD) thông thường và ta cấp nguồn cho ổ đĩa SSD trước khi đưa nó vào chế độ Service Mode thì nó sẽ có thể kích hoạt các tính năng dọn dẹp không gian lưu trữ bên trong các CHIP nhớ bán dẫn, điều này sẽ dẫn đến mất khả năng khôi phục các dữ liệu mà đã bị đối tượng cố ý xóa bỏ

Xác định chuẩn giao tiếp của ổ đĩa

85 ước tiếp theo là ta cần xác định chu n giao tiếp của các loại ổ đĩa đang được sử dụng trên hệ thống máy tính Sau khi đã xác định được chính xác chu n giao tiếp mà các ổ đĩa này đang sử dụng thì ta mới có thể sử dụng các công cụ phù hợp để tiến hành sao lưu dữ liệu ở các bước tiếp theo (2.2.1 Một số chu n giao tiếp thường gặp)

Hệ thống ảo hóa

Trước khi công nghệ ảo hóa xuất hiện trên thị trường, hệ điều hành và các ứng dụng đều chạy trên một hệ thống máy tính vật lý, điều này đã tạo nên một mối quan hệ tồn tại chỉ một hệ điều hành có thể chạy trên một hệ thống máy tính tại một thời điểm Chính mối quan hệ 1:1:1 này đã tạo nên một sự lãng phí về tài nguyên của các hệ thống máy tính Để tận dụng được tối đa và triệt để nguồn tài nguyên của một hệ thống máy tính, công nghệ ảo hóa đã được ra đời Công nghệ ảo hóa cho phép chúng ta hợp nhất và chạy nhiều hệ điều hành trên cùng một hệ thống máy tính tại một thời điểm Mỗi một hệ điều hành và các ứng dụng dịch vụ của nó sẽ được chạy trên một hệ các phần cứng bao gồm như CPU, RAM, ổ đĩa, thiết bị mạng hoàn toàn độc lập mà ta thường gọi tắt là máy ảo

Do mỗi máy ảo đều có một hệ các tài nguyên phần cứng hoàn toàn độc lập với nhau và có thể được xem như là một máy tính độc lập nên hệ điều hành và các phần mềm dịch vụ đang chạy trên một máy ảo này không có cách nào để tương tác vào luồng xử lý hoặc dữ liệu của các máy ảo khác đang chạy xung quanh nó trên cùng một hệ thống máy tính vật lý

Hiện nay, cùng với sự phát triển vượt bật của công nghệ ảo hóa, những nhà cung cấp các dịch vụ máy chủ ảo xuất hiện ngày càng phổ biến với giá thành rất cạnh tranh Tận dụng được điều này, nhiều tổ chức hay cá nhân tội phạm công nghệ cao đã lạm dụng các dịch vụ này để tạo nên các hệ thống để hỗ trợ hoặc như là một công cụ để thực hiện hành vi phạm tội của mình

Khác với khi tiếp cận một hệ thống máy tính vật lý, việc thu thập dữ liệu phục vụ cho công tác xây dựng chứng cứ điện tử ở các hệ thống ảo hóa đơn giản hơn Cụ thể, ta vẫn sẽ thu thập dữ liệu như là đối với một hệ thống máy tính vật lý, bao gồm dữ liệu hiện hành đang được lưu trữ trên bộ nhớ tạm thời RAM và dữ liệu đang được lưu trữ trên ổ đĩa cứng của máy ảo [14]

Mọi hệ thống cung cấp dịch vụ ảo hóa như VMWare, Hyper-V, VirtualBox, Qemu, KVM, đều cung cấp các tính năng cơ bản nhất phải có của một hệ thống ảo hóa đối với mỗi máy ảo bao gồm:

Trong đó, 2 tính năng giúp ta thu thập dữ liệu hiệu quá đó chính Standby và Snapshot Để thu thập dữ liệu hiện hành đang được lưu trữ trên bộ nhớ tạm thời RAM, ra chỉ cần ra lệnh cho hệ thống ảo hóa Suspend máy ảo cần thu thập Khi đó hệ thống ảo hóa sẽ tiến hành sao lưu toàn bộ dữ liệu đang có trên bộ nhớ tạm thời RAM của máy ảo đó xuống ổ đĩa cứng

Ngoài ra, nếu ta muốn giữ nguyên trạng thái của máy ảo đó, nghĩa là chính hệ điều hành đang chạy bên trong máy ảo đó cũng không thể nhận biết được sự thay đổi thì ta có thể sử dụng tính năng Snapshot của hệ thống ảo hóa đó Khi ta ra lệnh cho một hệ thống ảo hóa tiến hành Snapshot một máy ảo đang chạy thì nó cũng sẽ sao lưu toàn bộ dữ liệu đang có trên bộ nhớ tạm thời RAM của máy ảo đó xuống ổ đĩa cứng nhưng vẫn giữ máy ảo đó vận hành như bình thường trong quá trình nó đang sao lưu

Sau khi hệ thống ảo hóa đã sao lưu thành công dữ liệu trên bộ nhớ tạm thời RAM của máy ảo xuống đĩa cứng thì ta sẽ ra lệnh cho hệ thống ảo hóa Backup máy ảo đó ra thiết bị lưu trữ gắn ngoài mà ta mong muốn Khi đã ackup xong thì ta đã có

88 được dữ liệu đầy đủ từ bộ nhớ tạm thời RAM và từ ổ cứng ảo của máy ảo đó để tiến hành phân tích ở giai đoạn khôi phục và trích xuất dữ liệu.

Hệ thống mạng

Như đã đề cập ở hương : Điều tra mạng (network forensics), ngay trong lúc thu thập dữ liệu trên các hệ thống máy tính, chúng ta cũng phải tiến thành thu thập hiện trạng về hệ thống mạng xung quanh khu vực đặt hệ thống máy tính đó bao gồm:

- Các thiết bị mạng hiện hành như router, firewall, swich

- Các hệ thống phục vụ cho an ninh mạng như IDS, Proxy,

- Các mạng không dây đang tồn tại trong khu vực

Ta sẽ tiến hành thu thập toàn bộ dữ liệu đang có trong các thiết bị đó để có được cái nhìn tổng quan về các hoạt động liên quan đến không gian mạng như bảng danh sách các kết nối hiện hành cũng như các tập tin Logs có liên quan.

Trích xuất dữ liệu

Sau khi đã thu thập đầy đủ mọi dữ liệu cần thiết ở các bước trên, ta sẽ tiến hành trích xuất các dữ liệu quan trọng và phù hợp để xây dựng nên chứng cứ điện tử Để việc trích xuất dữ liệu được diễn ra hiệu quả và đầy đủ, không bỏ sót các dữ liệu quan trọng thì ta cần nắm được cách thức vận hành của hệ điều hành và các phần mềm đang chạy trên nó

- Các tập tin văn bản

- Các tập tin hình ảnh

- Các tập tin âm thanh

- Các tập tin thực thi được

- Các Emails đã gởi và nhận

- Các đoạn chat đã từng chat với ai và nọi dung gì

Dữ liệu lịch sử ười dùng

Dữ liệu gỡ lỗi của ứng dụng và hệ điều hành

- Các tập tin báo lỗi của phần mềm

- Các tập tin gỡ lỗi của các dịch vụ, phần mềm

Sau khi đã qua bước trích xuất dữ liệu, ta sẽ nắm được đầy đủ thông tin về quá trình tương tác của đối tượng với hệ thống máy tính Dựa trên các dữ liệu về lịch sử các thao tác đó ta sẽ dễ dàng nhận ra được các dữ liệu đã bị đối tượng xóa khỏi thiết bị lưu trữ

Ví dụ, dữ liệu mà ta đã trích xuất được từ hệ thống máy tính của đối tượng cho thấy rằng đối tượng đã từng tạo ra hay chỉnh sửa cập nhật mười tập tin văn bản, trong khi đó, trên ổ đĩa của máy tính đối tượng chỉ tồn tại 8 tập tin Như vậy còn sót 2 tập tin mà đối tượng đã xóa, lúc này ta sẽ tiến hành quá trình khôi phục dữ liệu với mục tiêu phục hồi được dữ liệu của 2 tập tin đã bị xóa đó

Tuy nhiên, cũng có nhiều trường hợp đối tượng đã kịp phá hủy mọi dữ liệu trên các thiết bị lưu trữ Khi đó, ta sẽ không thể thực hiện được công đoạn trích xuất dữ liệu mà ta sẽ phải tiến hành khôi phục lại dữ liệu trước rồi mới tiến hành trích xuất dữ liệu Trong quá trình trích xuất dữ liệu, khi ta nhận thấy có những tập tin còn sót chưa khôi phục thì ta sẽ tiếp tục tìm kiếm và khôi phục những tập tin đó

Quá trình trích xuất dữ liệu và khôi phục dữ liệu là 2 quá trình quan trọng và sẽ bổ sung cho nhau trong công tác xây dựng chứng cứ điện tử

Hình 4.1: Phần mềm trích xuất dữ liệu chuyên dụng Osforensics

Hình 4.1 thể hiện giao diện chính của phần mềm trích xuất dữ liệu Osforensics Phần mềm này cho phép ta thực hiện nhiều thao tác bao gồm cả việc sao chép dữ liệu từ ổ đĩa này sang ổ đĩa khác, tạo ảnh của ổ đĩa, phân tích ảnh đĩa để tìm kiếm các dữ liệu đã bị xóa và một số thông tin thường được quan tâm như thông tin về hệ điều hành, thông tin các tập tin được truy xuất trong khoảng thời gian chỉ định, lịch sử duyệt Web, thông tin đăng nhập, cookies

Thuyết minh dữ liệu

Sau khi mọi dữ liệu liên quan đã được thu thập và xây dựng thành chứng cứ điện tử trước tòa thì ta cũng phải đảm bảo được việc thực hiện lại cụ thể diễn biến của quá trình trong các giai đoạn thu thập, trích xuất, khôi phục dữ liệu và đi đến kết quả cuối cùng là phù hợp với kết quả đang trình bày tại tòa

Ngày đăng: 09/09/2024, 00:39

HÌNH ẢNH LIÊN QUAN

Hình 1.1: Dạng tương tự (analog) [4] - Luận văn thạc sĩ Khoa học máy tính: Chứng cứ điện tử thực trạng và định hướng giải pháp công nghệ tại Việt Nam
Hình 1.1 Dạng tương tự (analog) [4] (Trang 18)
Hình 2.2: Xem dữ liệu vùng nhớ - Luận văn thạc sĩ Khoa học máy tính: Chứng cứ điện tử thực trạng và định hướng giải pháp công nghệ tại Việt Nam
Hình 2.2 Xem dữ liệu vùng nhớ (Trang 27)
Hình 2.4: Các câu lệnh từng được thực thi - Luận văn thạc sĩ Khoa học máy tính: Chứng cứ điện tử thực trạng và định hướng giải pháp công nghệ tại Việt Nam
Hình 2.4 Các câu lệnh từng được thực thi (Trang 28)
Hình 2.13: HDD với 7 phiến đĩa xếp chồng nhau - Luận văn thạc sĩ Khoa học máy tính: Chứng cứ điện tử thực trạng và định hướng giải pháp công nghệ tại Việt Nam
Hình 2.13 HDD với 7 phiến đĩa xếp chồng nhau (Trang 34)
Hình 2.14: Mô tơ phiến đĩa Đầu đọc/ghi - Luận văn thạc sĩ Khoa học máy tính: Chứng cứ điện tử thực trạng và định hướng giải pháp công nghệ tại Việt Nam
Hình 2.14 Mô tơ phiến đĩa Đầu đọc/ghi (Trang 34)
Hình 2.15: Bộ đầu đọc/ghi của 1 HDD sử dụng 5 phiến đĩa - Luận văn thạc sĩ Khoa học máy tính: Chứng cứ điện tử thực trạng và định hướng giải pháp công nghệ tại Việt Nam
Hình 2.15 Bộ đầu đọc/ghi của 1 HDD sử dụng 5 phiến đĩa (Trang 35)
Hình 2.17: Đầu đọc/ghi hoạt động với phiến đĩa Mạch điều khiển - Luận văn thạc sĩ Khoa học máy tính: Chứng cứ điện tử thực trạng và định hướng giải pháp công nghệ tại Việt Nam
Hình 2.17 Đầu đọc/ghi hoạt động với phiến đĩa Mạch điều khiển (Trang 36)
Hình 2.19: Hình ảnh bảng các module trong Service Area - Luận văn thạc sĩ Khoa học máy tính: Chứng cứ điện tử thực trạng và định hướng giải pháp công nghệ tại Việt Nam
Hình 2.19 Hình ảnh bảng các module trong Service Area (Trang 39)
Hình 2.22: Hình ảnh bên trong 1 chủng loại SSD thông dụng - Luận văn thạc sĩ Khoa học máy tính: Chứng cứ điện tử thực trạng và định hướng giải pháp công nghệ tại Việt Nam
Hình 2.22 Hình ảnh bên trong 1 chủng loại SSD thông dụng (Trang 42)
Hình 2.23: Thao tác ánh xạ địa chỉ của SSD TRIM - Luận văn thạc sĩ Khoa học máy tính: Chứng cứ điện tử thực trạng và định hướng giải pháp công nghệ tại Việt Nam
Hình 2.23 Thao tác ánh xạ địa chỉ của SSD TRIM (Trang 44)
Hình 2.25: Minh họa RAID - Luận văn thạc sĩ Khoa học máy tính: Chứng cứ điện tử thực trạng và định hướng giải pháp công nghệ tại Việt Nam
Hình 2.25 Minh họa RAID (Trang 45)

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN