Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 45 trang
THÔNG TIN TÀI LIỆU
Cấu trúc
PHÁP CHỨNG KỸ THUẬT SỐ
Pháp chứng máy tính là gì?
Pháp chứng máy tính và pháp chứng số
Pháp chứng máy tính ngày nay
Tại sao cần Pháp chứng máy tính
Máy tính là công cụ của tội phạm
Tội phạm xâm nhập qua máy tính
Tội phạm máy tính
Slide 9
Nhiệm vụ của điều tra viên
Nơi có thể tìm bằng chứng số
Các tác vụ của Pháp chứng máy tính
Kiểm soát phần cứng hệ thống
Chép (Clone) đĩa cứng theo dạng bit
Xác định thông tin cần tìm kiếm
Đánh giá các nơi còn có thể dấu dữ liệu
Slide 17
Thực hiện tìm kiếm thông tin đã backup
Tìm kiếm thông tin
Ghi nhận các thông tin, dữ liệu tìm được
Các thiết bị phần cứng chuyên dụng
Thiết bị chép đĩa cứng cầm tay ImageMASSter Solo-3
Bảng T8-R2 dành cho USB
Hệ thống Pháp chứng di động
FRED - Hệ thống tìm bằng chứng số
Bằng chứng trên các ổ đĩa
Điều tra dữ liệu trên đĩa
Các thông tin về ổ Đĩa
Cấu trúc đĩa cứng
Các thông số của đĩa cứng
Volume
File system
FAT16
Ví dụ về FAT16
Slide 35
FAT32
NTFS
Phần mềm pháp chứng máy tính
Bộ phần mềm Sleuth Kit
Cài đặt phần mềm Sleuth Kit
Dùng Sleuth Kit điều tra File System
Dùng Autopsy
Các tính năng của Autopsy
Giao diện với File system của Autopsy
Slide 45
Nội dung
PHÁP CHỨNG KỸ THUẬT SỐ Bài 2: Pháp chứng máy tính Giảng viên: TS. Đàm Quang Hồng Hải Pháp chứng máy tính là gì? • Pháp chứng máy tính là một bộ phận của pháp chứng kỹ thuật số về tìm kiếm, duy trì và phân tích thông tin trên các hệ thống máy tính hoặc các thiết bị lưu trữ để tìm kiếm các bằng chứng số. • Máy vi tính đã có ở khắp mọi nơi và được sử dụng trong hầu như mọi người với vô số các ứng dụng. • Việc sử dụng máy tính và các thiết bị lưu trữ dữ liệu điện tử khác để lại những dấu vết và những đường mòn dữ liệu của người dùng máy tính. Pháp chứng máy tính và pháp chứng số Pháp chứng máy tính ngày nay • Trong thế giới công nghệ ngày nay, hiện có nhiều thiết bị có khả năng lưu trữ dữ liệu và do đó có thể được chia thành các lĩnh vực pháp chứng máy tính. • Vai trò của dữ liệu điện tử trong công việc điều tra đã có sự tăng trưởng theo cấp số nhân trong thập kỷ qua. • Máy tính có phần cứng và phần mềm và người điều tra viên cần có đủ kiến thức để khai thác. Tại sao cần Pháp chứng máy tính Máy tính là công cụ của tội phạm • Loại tội phạm “truyền thống” sử dụng máy tính như một công cụ để gây án, để lưu giữ thông tin tội phạm, như: • Tội lừa đảo chiếm đoạt tài sản, trộm cắp tài sản, tội tham ô, tội rửa tiền, • Buôn bán ma túy, mại dâm, tội xâm phạm quyền sở hữu trí tuệ, • Rửa tiền: chuyển tiền từ tài khoản trộm cắp được sang tài khoản e-money tại e-gold, e-passport , chuyển tiền qua Western Union và tài khoản của đối tượng tại các ngân hàng tại Việt Nam Tội phạm xâm nhập qua máy tính • Tấn công cơ sở dữ liệu, Tạo ra, lan truyền, phát tán các chương trình virus, • Đột nhập trái phép cơ sở dữ liệu máy tính, ăn cắp dữ liệu, thông tin, sử dụng trái phép dữ liệu, • Dùng thủ đoạn Phishing, trojan horse, spyware, keylogger, adware để lấy cắp địa chỉ email, thông tin thẻ tín dụng và thông tin cá nhân như tên, địa chỉ, số điện thoại, số thẻ an ninh xã hội, thông tin giấy phép lái xe… Tội phạm máy tính [...]... tra viên có được các bằng chứng kỹ thuật số • Làm việc với IDE/EIDE/ATA/SATA/ATAPI/S AS/Firewire/USB hard drives Bằng chứng trên các ổ đĩa Điều tra dữ liệu trên đĩa • Các thông tin lưu trữ trên các đĩa cứng, đĩa mềm, CD, DVD rất quan trọng cho công việc pháp chứng • Điều tra viên cần kiểm tra, nghiên cứu dữ liệu trên các File system trong các ổ đĩa nghi vấn • Các phần mềm pháp chứng thường không chạy... hệ thống máy tính để chắc chắn rằng thiết bị và dữ liệu được an toàn, đồng thời điều tra viên cần lập tài liệu về cấu hình phần cứng của hệ thống • Chuyển hệ thống máy tính đến vị trí mà điều tra viên nắm quyền bảo mật để không có một cá nhân nào có thể truy cập máy tính và thiết bị lưu trữ đang được kiểm tra • Tạo backup của các ổ đĩa trên hệ thống bao gồm các tập tin có trong ổ đĩa của máy tính hay... bảo các tính năng: An toàn, chính xác, tốc độ cao Bảng T8-R2 dành cho USB • Sử dụng để ghi, đọc các thẻ nhớ USB, ổ đĩa USB • Đảm bảo các tính năng: An toàn, chính xác, tốc độ cao Hệ thống Pháp chứng di động • RoadMASSter-3 • Có khả năng đọc, backup, tìm kiếm thông tin nhanh chóng, an toàn • Tương thích với hầu hết các kết nối, kiểm tra và bảo mật đồng thời FRED - Hệ thống tìm bằng chứng số • FRED:...Nơi có thể tìm bằng chứng số • • • • • • • • Trong các tập tin ghi lịch sử truy cập internet Trong các tập tin Cach sinh ra khi truy cập internet Tại các vùng đĩa chưa cấp phát hoặc file slack Lưu trữ các tập tin, thư mục, tên tập tin Thông tin ngày lưu trữ tập tin Ẩn/nhúng trong phần mềm Trong các tập tin chia sẻ Trong các e-mail Các tác vụ của Pháp chứng máy tính • • • • • Kiểm soát phần... tập tin có trong hệ thống máy tính được ẩn hoặc bị xóa nhưng chưa bị ghi đè, • Kiểm tra các tập tin đã được mã hóa, được bảo vệ bằng mật khẩu, • Lập tài liệu về ngày và giờ hệ thống, ngày và giờ truy cập các tập tin • Lập danh sách các key word cần tìm kiếm liên quan dấu vết tội phạm Đánh giá các nơi còn có thể dấu dữ liệu • Phân tích các khu vực đặc biệt trên ổ đĩa máy tính, bao gồm các phần thường... Chú ý: Điều này rất quan trọng đối với điều tra viên để cung cấp bằng chứng rằng công việc điều tra của họ thực hiện đã bảo vệ thông tin của hệ thống máy tính mà không làm thay đổi hoặc làm hỏng chúng Các thiết bị phần cứng chuyên dụng • Các thiết bị chuyên dụng là một phần không thể thiếu được của các điều tra viên • Đảm bảo các tính năng: An toàn, chính xác, tốc độ cao • Được trang bị trong các phòng... phần mềm pháp chứng, có thể xác định các phân vùng (partitions) được định vị và phân tích với các công cụ phần mềm Các thông tin về ổ Đĩa • • • • • • Hard Disk, CD, DVD Volume File System Data Unit Metadata File Name Cấu trúc đĩa cứng • Đĩa cứng là loại thiết bị với bộ nhớ "không thay đổi" (non-volatile), có nghĩa là chúng không bị mất dữ liệu khi ngừng cung cấp nguồn điện cho chúng Các thông số của . PHÁP CHỨNG KỸ THUẬT SỐ Bài 2: Pháp chứng máy tính Giảng viên: TS. Đàm Quang Hồng Hải Pháp chứng máy tính là gì? • Pháp chứng