Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 13 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
13
Dung lượng
637,93 KB
Nội dung
Nghiên cứu kỹ thuật khai thác liệu thiết bị điện thoại di động thông minh (smartphone) phục vụ công tác phòng, chống tội phạm công nghệ cao Ngô Thị Thanh Hoa Trường Đại học Công nghệ Luận văn Thạc sĩ ngành: Công nghệ phần mềm; Mã số: 60 48 10 Người hướng dẫn: TS Phạm Hồng Thái Năm bảo vệ: 2012 Abstract: Tìm hiểu tính kỹ thuật, hình thức tổ chức chức smartphone hệ điều hành WM Phân tích phương pháp kỹ thuật khai thác thông tin liệu smartphone phục vụ công tác phòng, chống tội phạm công nghệ cao Phát triển, thử nghiệm phần mềm cho phép khai thác liệu từ smartphone hệ điều hành WM Keywords: Công nghệ thông tin; Công nghệ phần mềm; Điện thoại di động; Cấu trúc liệu; Khai thác liệu Content MỞ ĐẦU Đặt vấn đề Sự tiến khoa học kỹ thuật mang lại cho nhiều phát minh hữu ích, giúp nhiều sống hàng ngày Điện thoại di động phát minh Với phát triển không ngừng công nghệ, điện thoại di động phát triển biến đổi ngày, hội tụ công nghệ viễn thông, điện toán, âm thanh, hình ảnh trở thành phương tiện giao tiếp, làm việc chủ yếu người Ngày nay, điện thoại di động không dùng để nghe, gọi nhắn tin mà hỗ trợ nhiều dịch vụ tiện ích khác Với điện thoại di động thông minh (smartphone) tay có thể: xem phim, nghe nhạc, chơi game, sử dụng ứng dụng văn phòng, dùng file word, excel, pdf, lướt web, gửi nhận Email,… Cùng với gia tăng điện thoại thông minh đa chức số vụ án liên quan đến điện thoại di động tăng lên, hình thực vi phạm ngày đa dạng, tinh vi có tổ chức Trong nhiều vụ án, điện thoại di động sử dụng công cụ phạm tội Các đối tượng sử dụng điện thoại để lưu thông tin cá nhân, trao đổi thư, chat, truy cập vào mạng xã hội, trang web cá cược bóng đá, chơi lô đề trực tuyến,… Ở nước ta số vụ án gần qua việc thu thập, khai thác thông tin từ thiết bị di động đối tượng, trinh sát tìm, xác định đối tượng, thu thập nhiều thông tin để đấu tranh Qua việc khai thác thông tin từ thiết bị di động ta tìm nhiều chứng quan trọng mà phương pháp điều tra truyền thống có Với phương pháp truyền thống để thu thông tin chứng việc duyệt nội dung chứa thiết bị thông qua giao diện người sử dụng, xem cách không chắn sử dụng giải pháp cuối Thay vào đó, việc sử dụng công cụ phần mềm giám định theo qui trình cách khai thác liệu thích hợp, tránh việc để mất, thay đổi thông tin thiết bị gốc, thông tin khai thác phục vụ cho công tác phòng, chống tội phạm công nghệ cao Nội dung đề tài − Tìm hiểu tính kỹ thuật, hình thức tổ chức chức smartphone hệ điều hành Windows Mobile − Phân tích phương pháp kỹ thuật khai thác thông tin liệu smartphone phục vụ công tác phòng, chống tội phạm công nghệ cao − Phát triển, thử nghiệm phần mềm cho phép khai thác liệu từ smartphone hệ điều hành Windows Mobile Cấu trúc luận văn Luận văn chia thành chương dựa vào nội dung nêu trên: − Chương 1: Tính kỹ thuật, hình thức tổ chức chức smartphone hệ điều hành Windows Mobile Cấu tạo sơ đồ cấu trúc liệu SIM − Chương 2: Các phương pháp kỹ thuật khai thác thông tin liệu (smartphone) phục vụ công tác phòng, chống tội phạm công nghệ cao − Chương 3: Xây dựng, phát triển phần mềm thu thập, khai thác liệu từ SIM nhớ smartphone hệ điều hành Windows Mobile Chương 1: Tính kỹ thuật, hình thức tổ chức chức smartphone hệ điều hành Windows Mobile 1.1 Hệ điều hành Windows Mobile hệ thống dùng Windows Mobile 1.1.1 Hệ điều hành Windows Mobile Windows Mobile hệ điều hành dành cho thiết bị di động Microsoft Đây hệ điều hành loại thu gọn kết hợp với ứng dụng cho thiết bị di động dựa giao diện lập trình ứng dụng Win32 Microsoft Các thiết bị chạy Windows Mobile bao gồm Pocket PC, Smartphone, Portable Media Center, máy tính lắp sẵn (onboard) cho số loại ô tô Ngoài ra, số máy tính xách tay loại nhỏ (ultra-portable notebook) sử dụng hệ điều hành Windows Mobile thiết kế để tính tương tự với phiên để bàn (desktop) Windows 1.1.2 Đặc điểm hệ điều hành WM Kiến trúc hệ điều hành WM Thiết bị sử dụng hệ điều hành WM xây dựng dựa tảng kiến trúc hệ điều hành Windows CE gồm bốn tầng chính: Tầng ứng dụng, tầng phần cứng, tầng nhà sản xuất thiết bị (OEM - Original Equipment Manufacturer), tầng hệ điều hành Hình 1.1: Kiến trúc hệ điều hành WCE 1.1.3 Các phiên Windows Mobile Từ lúc đời, Windows Mobile (viết tắt WM) trải qua nhiều phiên khác với nhiều lần "thay tên đổi họ" Xuất lần đầu với tên hệ điều hành Pocket PC 2000, Windows Mobile nâng cấp vài lần, phiên hành Windows Mobile 1.1.4 Phát triển ứng dụng Windows Mobile với Visual Studio.NET Công cụ lập trình ứng dụng Windows Mobile bao gồm Visual Studio 2008, Windows Mobile SDK, Window Mobile Device Center Với lập trình windows mobile, ta cần có Windows Mobile SDK Tùy vào phiên HĐH Windows Mobile, mà Microsoft cung cấp cho ta SDK tương ứng 1.2 Cấu trúc SIM Thẻ SIM (hay gọi Module nhận dạng thuê bao) loại thẻ thông minh dùng điện thoại di động sử dụng mạng GSM (Global System for Mobile communication – Hệ thống thông tin di động toàn cầu) Các chức thẻ SIM bao gồm: + Cung cấp chức xác thực thuê bao cho phép người sử dụng truy cập vào dịch vụ đăng ký, bảo mật cho thuê bao mạng + Lưu trữ thông tin cá nhân + Cung cấp dịch vụ phi thoại khác… 1.2.1 Cấu tạo thẻ SIM: Cấu tạo tổng quát thẻ SIM mô tả hình vẽ sau: Hình 1.11: Cấu tạo thẻ SIM SIM có kích thước nhỏ tương đương tem bưu (chiều dài 25 mm, chiều rộng 15 mm, độ dày 0,76 mm) Bộ nhớ SIM có dung lượng từ 16 KB đến 128 KB Tại lõi chứa vi xử lý, nhớ đọc (EPROM) có khả lập trình xóa tín hiệu điện, bao gồm nhớ truy cập ngẫu nhiên (RAM) cho việc thực chương trình nhớ đọc (ROM) cho hệ điều hành, xác thực người sử dụng, thuật toán mã hóa liệu ứng dụng khác 1.2.2 Sơ đồ cấu trúc Data SIM Sơ đồ cấu trúc liệu: Hình 1.12: Sơ đồ cấu trúc file thẻ SIM Kiểu File: Có kiểu file sau: + MF: Master File file chủ + DF: Dedicated File file dành riêng + EF: Elementary File file thành phần Theo hình vẽ MF file DF uỷ nhiệm phân bố phần đầu tổ chức logic nhớ phân mức Các DF khác tương ứng phân chia mức 1,2,3 Cấu trúc phân cấp logic dành riêng cho môi trường đa ứng dụng cho mục đích quản trị 1.2.3 Cấu trúc File: Mỗi file gán mã nhận dạng byte mà sử dụng hệ điều hành lựa chọn file: + Byte thứ file nhận dạng gọi nhận dạng hệ thống + Byte thứ hai nhận dạng file nguồn Chương 2: Các phương pháp kỹ thuật khai thác thông tin liệu smartphone phục vụ công tác phòng, chống tội phạm công nghệ cao 2.1 Các thông tin lưu trữ điện thoại di động Điện thoại di động lưu trữ thông tin nhiều nơi khác nhau: Thẻ SIM, nhớ trong, thẻ nhớ (đối với loại máy có khe cắm thẻ nhớ) 2.1.1 Thông tin lưu trữ SIM: Thẻ SIM loại thẻ thông minh dùng loại máy sử dụng mạng GSM, cho phép người sử dụng kết nối tới mạng xác định tính thuê bao mạng Thẻ SIM chứa thông tin bao gồm thông tin thuê bao di đông, số thông tin cá nhân khác, như: Các tin nhắn SMS nhận gửi, nhật ký điện thoại, danh bạ điện thoại, số Se-ri, thông tin trạng thái SIM, số nhận dạng thuê bao di động quốc tế IMSI, mã dịch vụ (cho mạng GSM), thuật toán nhận thực bảo mật A3, A8, A5, khoá nhận thực thuê bao riêng Ki, Số điện thoại di động quốc tế MSISDN, khoá cho trình cá nhân hoá SIM, thông tin vị trí tại, mã số nhận dạng cá nhân PIN, mã số mở khóa cá nhân PUK 2.1.2 Thông tin lưu trữ Phone Memory − Từ cuối năm 1990, nhà sản xuất tích hợp thêm nhớ vào điện thoại di động để chúng lưu trữ nhiều thông tin Ngoài việc lưu trữ SIM, liệu lưu trữ nhớ điện thoại di động 2.1.3 Các thông tin lưu trữ thẻ nhớ Do nhu cầu người sử dụng điện thoại đòi hỏi điện thoại phải làm chức máy tính nên khả lưu trữ liệu điện thoại mở rộng Nhiều loại điện thoại cho phép hỗ trợ thẻ nhớ ngoài, thẻ nhớ giúp mở rộng khả lưu trữ điện thoại, cho phép người sử dụng lưu trư nhiều thông tin so với khả nhớ tích hợp điện thoại Thẻ nhớ thiết bị lưu trữ bất biến, tháo thẻ nhớ khỏi thiết bị liệu không bị 2.2 Tổng quan kỹ thuật khai thác liệu điện thoại di động Khai thác liệu điện thoại di động vấn đề mẻ lĩnh vực điều tra tội phạm, chứng tỏ vai trò việc giải vụ án Khai thác liệu từ điện thoại di động giúp cho nhà điều tra tìm nhiều chứng mà cách điều tra thông thường có Khai thác liệu điện thoại di động nhằm mục đích: − Trích xuất toàn không làm thay đổi thông tin điện thoại di động − Phân tích thông tin trích xuất tìm chứng liên quan tới vụ án − Cung cấp cho điều tra viên thông tin có độ tin cậy cao sử dụng để làm chứng tòa án Khai thác liệu điện thoại di động toán khó mẻ Để giải toán đòi hỏi cán điều tra phải có kiến thức định thiết bị cần khai thác công cụ khai thác, loại thiết bị phải tìm phương pháp khai thác có hiệu Việc khai thác phải thực theo quy trình tránh làm liệu đảm bảo giá trị pháp lý liệu khai thác 2.3 Kỹ thuật khai thác liệu nhớ smartphone 2.3.1 Kỹ thuật khai thác vật lý Kỹ thuật khai thác vật lý kỹ thuật liệu khai thác phương pháp đọc trực tiếp nhớ Ưu điểm: Toàn liệu khai thác Áp dụng phương pháp cho trường hợp điện thoại bị hỏng thiết bị giao diện Nhược điểm: - Khó thực hiện, khó để phân tích liệu, - Phần mềm khai thác liệu đắt, cần thiết bị phần cứng riêng biệt để khai thác liệu - Không an toàn cho liệu hoạt động Thành công phương pháp phụ thuộc vào kinh nghiệm điều tra kỹ thuật viên, thao tác không xác kỹ thuật điều tra phá hủy toàn thiết bị liệu thiết bị điện thoại di động 2.3.2 Kỹ thuật khai thác logic Phương pháp logic a bit-by-bit copy đối tương lưu trữ logic là: thư mục, file, mà nằm nhớ logic ( ví dụ phân vùng hệ thống file) Ưu điểm: Dễ dàng thực hiện, dễ phân tích, an toàn với liệu hoạt động Phần mềm sử dụng khai thác liệu giá phải chăng, không cần đến thiết bị phần cứng chuyên dụng Nhược điểm: Việc thiết lập kết nối liệu làm thay đổi liệu Một số liệu khai thác, liệu bị xóa hệ thống, bị xóa khôi phục Một số trường hợp áp dụng phương pháp là: Khi điện thoại hỏng sửa chữa, thiết bị giao diện Thông qua thiết bị như: cổng hồng ngoại, Bluetooth, cáp kết nối giúp kết nối điện thoại di động với máy tính Từ đó, khai thác thông tin lưu điện thoại di động Kết hợp sử dụng phần mềm hỗ trợ khai thác thông tin điện thoại di động, thu thập thông tin cần thiết cho trình điều tra, phục vụ công tác điều tra tội phạm công nghệ cao 2.4 Kỹ thuật khai thác liệu SIM 2.4.1 Kết nối SIM với máy tính thông qua đầu đọc SIM Như biết, SIM điện thoại thường chứa nhiều thông tin quan trọng tin nhắn SMS, danh bạ…Việc khai thác thông tin tiến hành điện thoại nhiên cách không hiệu không phục hồi lại thông tin bị xóa Để khai thác toàn thông tin SIM, ta kết nối SIM trực tiếp với máy tính qua đầu đọc thẻ SIM Các bước kết nối: − Lắp SIM vào khe cắm SIM thiết bị − Gắn thiết bị vào máy tính qua cổng USB − Chạy phần mềm nhận dạng thiết bị cài đặt máy tính để kiểm tra kết nối − Nhập mã PIN (nếu SIM bảo vệ mã PIN) − Nhấn Connect để kết nối SIM với máy tính 2.6 Xây dựng quy trình khai thác liệu smartphone phục vụ cho công tác phòng, chống tội phạm công nghệ cao Đối với loại điện thoại có phương pháp khai thác khác, thu thập liệu khác Tuy nhiên, để đảm bảo giá trị pháp lý thông tin thu không bị mát thông tin trình khai thác phải trải qua giai đoạn sau: 2.6.1 Thu giữ bảo quản thiết bị: Trên điện thoại di động có thông tin bất biến có thông tin dễ bị thay đổi biến Quá trình bao gồm công việc: thu giữ, đóng gói, vận chuyển lưu trữ Việc thu giữ bảo quản quy trình đảm bảo cho trình khai thác liệu tiến hành thuận lợi đạt hiệu cao 2.6.2 Thu thập liệu điện thoại Thu thập liệu việc khai thác tất thông tin có điện thoại, bao gồm thông tin lưu máy thông tin xóa nhằm tạo điều kiện cho trình khai thác thông tin SIM điện thoại thiết bị lưu trữ nhiều thông tin Trên SIM thường lưu tin nhắn SMS, danh bạ… Vì vậy, trình khai thác liệu, khai thác SIM khâu quan trọng Việc khai thác liệu SIM tiến hành trực tiếp thông qua điện thoại kết nối với máy tính đầu đọc thẻ SIM Đối với loại điện thoại có phương pháp khai thác liệu khác nhau, tùy thuộc vào loại điện thoại thu mà cán kỹ thuật định nên khai thác theo phương pháp Tuy nhiên để khai thác cách có hiệu phương pháp phải tuân theo trình tự sau: Bước1: Tiến hành thu giữ điện thoại theo quy trình để tránh làm thông tin điện thoại đảm bảo thủ tục pháp lý Bước 2: Khi trạng thái tiết kiệm lượng điện thoại giống tắt, thực tế điện thoại bật Để kiểm tra trạng thái điện thoại ấn nút điện thoại Bước 3: Kiểm tra xem điện thoại có dùng SIM không Nếu điện thoại dùng SIM chuyển sang quy trình khai thác SIM Nếu điện thoại sử dụng công nghệ CDMA việc khai thác liệu tiến hành máy điện thoại Bước 4: Bật nguồn lên tiến hành bước để khai thác thông tin điện thoại Bước 5: Kiểm tra đặc điểm điện thoại, nắm rõ đặc điểm kỹ thuật để đưa phương pháp thu thập liệu hợp lý Bước đòi hỏi cán kỹ thuật phải có kiến thức, am hiểu loại điện thoại đặc điểm chúng Bước 6: Lập kế hoạch khai thác Bước 7: Kiểm tra xem loại điện thoại có hỗ trợ kết nối với máy tính không? Có thể sử dụng công cụ khai thác liệu nào? Bước 8: Sử dụng công cụ để thu thập, khai thác phục hồi liệu điện thoại Tùy thuộc vào liệu cần khai thác mà chọn công cụ khai thác hợp lý để đạt hiệu cao Bước 9: Sử dụng phương pháp khai thác liệu thực trình khai thác liệu điện thoại di động Bước 10: Sau khai thác hết thông tin máy tắt nguồn tháo SIM khỏi máy để chuyển sang qui trình khai thác SIM Khai thác SIM: SIM điện thoại thiết bị lưu trữ nhiều thông tin Trên SIM thường lưu tin nhắn, danh bạ điện thoại Vì vậy, trình khai thác liệu, khai thác SIM khâu quan trọng Để khai thác triệt để thông tin SIM (kể thông tin bị xóa), kết nối SIM với máy tính thông qua đầu đọc SIM sử dụng phần mềm cài máy tính Quá trình khai thác SIM khái quát sơ đồ sau: 2.6.3 Kiểm tra phân tích liệu Quá trình khai thác liệu điện thoại đưa tất thông tin lưu điện thoại, có thông tin có liên quan không liên quan đến vụ án Giai đoạn kiểm tra phân tích chứng sàng lọc tìm thông tin có liên quan đến vụ án 2.6.4 Báo cáo Sau kiểm tra phân tích chứng thu thập được, kết tổng hợp lại dùng làm để phục vụ cho trình điều tra vụ án dùng làm chứng tòa án Chương 3: Xây dựng, phát triển phần mềm thu thập, khai thác liệu từ SIM nhớ smartphone hệ điều hành Windows Mobile 3.1 Phần mềm khai thác SIM TULP2G Đây công cụ phần mềm cho phép khai thác liệu thẻ SIM dùng điện thoại di động Phần mềm có chức sau: − Kết nối qua đầu đọc thẻ theo chuẩn PC/SC − Thu thập thông tin SIM điện thoại di động − Thu thập thông tin lưu SIM − Chức quản lý hồ sơ vụ án, tạo hồ sơ vụ án; xuất báo cáo dạng XML 3.1.1 Kiến trúc ứng dụng Các thành phần ứng dụng: − Framework API : thành phần chứa đựng tất chức như: định danh, nạp thực thi chức thành phần (các plug-in); đồng thời có nhiệm vụ tổ chức quản lý liệu điều tra tương tác với người dùng Ngoài ra, thành phần làm chức giao diện lập trình (API) cho plug-in − GUI: thành phần có nhiệm vụ khởi tạo chuẩn giao diện đồ họa ứng dụng cho người dùng − Storage: thành phần có nhiệm vụ lưu trữ liệu khai thác tệp tin Plug-in: thành phần chức mở rộng, thành phần mở rộng có nhiệm vụ định Hình 3.1: Kiến trúc phần mềm khai thác liệu SIM Tulp 2G Ứng dụng đươc phát triển công nghệ Microsoft NET Framework Đây tảng công nghệ tiên tiến Do tương thích với tất loại máy tính cài đặt hệ điều hành Microsoft Windows Microsoft NET Framework Ngôn ngữ lập trình C# 3.2 Phát triển phần mềm thu thập khai thác thông tin từ nhớ smartphone hệ điều hành Windows Mobile 3.2.1 Yêu cầu Phần mềm cho phép thu thập, khai thác thông tin có từ smartphone hệ điều hành Windows mobile Các thông tin bao gồm: Call log, tin nhắn SMS, danh bạ điện thoại, file hình ảnh… 3.2.2 Chiến lược thiết kế Xây dựng Phần mềm khai thác thiết bị Window Mobile Bộ phát triển ứng dụng: Microsoft Visual Studio 2008 Nhiệm vụ: − Copy toàn file, bao gồm file hệ thống, file liệu điện tử, file danh bạ, file tin nhắn… − Xử lý vấn đề chạy độc lập không cần cài đặt Window Mobile − Xử lý vấn đề chạy tự động cắm thẻ nhớ vào thiết bị di động Window Mobile 3.2.3 Mô hình kiến trúc phần mềm Giao diện người dùng Giao diện người dùng thiết kế đơn giản, để điều tra viên thao tác lấy tin thiết bị di động cách nhanh chóng Thao tác lấy tin thực cách nhấn nút thông qua menu chương trình Giao diện người dùng thiết kế để điều tra viên theo dõi trình khai thác thông tin thiết bị di động Module khai thác thông tin Module khai thác thông tin thiết kế để chạy mức độ hệ thống, lấy số thông tin quan trọng bảo vệ hệ thống 3.2.4.Thiết kế chi tiết Thiết kế phần mềm khai thác liệu Window Mobile Hình 3.2: Mô hình thiết kế phần mềm khai thác 3.2.5 Chạy thử chương trình Giao diện chương trình chính: 10 Hình 3.3: Giao diện chương trình Hình 3.4: Mở hồ sơ vụ án Hình 3.5: Khai thác liệu thẻ SIM 11 Hình 3.6: Kết nối máy tính đầu đọc thẻ SIM Hình 3.7: Quá trình khai thác liệu Hình 3.8: Báo cáo trích xuất liệu References Baryamureeba, V and Tushabe, F (2004) The Enhanced Digital Investigation process Model Digital Forensic Research Workshop Beebe, N.L and Clark J.G (2004) A Hierarchical Objectives-Based Framework for the Digital Investigation Process Digital Forensic Research Workshop Savoldi A and Gubian P (2008) Data hiding and recovery on wince based handheld devices In Fourth Annual IFIPWG 11.9 International Conference on Digital Forensics Breeuwsma M Forensics imaging of embedded systems using JTAG (boundary-scan) In Digital Investigation, 2006, 3: 32-34 C Klaver (2010) Windows Mobile advanced forensics, 12 Ayers R, Jansen W, Cilleros N, Daniellou R Cell Phone Forensic Tools: An Overview and Analysis Online National Institute of Standards and Technology, 2005 Boling D Windows CE.NET advanced memory management Online, msdn.microsoft.com/en-us/library/ms836325.aspx; Rick Ayers, Wayne Jansen, Nicolas Cilleros, Ronan Daniellou (2005) Cell Phone Forensic Tools: An Overview and Analysis, NISTIR Detective Bob Elder (2012) Chip-Off and JTAG Analysis 10 Keonwoo Kim, Dowon Hong, and Jae-Cheol Ryu (2008) Forensic Data Acquisition from Cell Phones using JTAG Interface 11 Wayne Jansen, Rick Ayers (2008) Guidelines on Cell Phone Forensics, NISTIR 12 Salvatore Fiorillo (2009) Theory and practice of flash memory mobile forensics 13 How Windows CE NET is Designed for Quality http://msdn.microsoft.com/en-us/library/ms836770.aspx 13 of Service