ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC BÁCH KHOA - LÊ NGUYỄN KHÁNH DUY CHỨNG CỨ ĐIỆN TỬ THỰC TRẠNG VÀ ĐỊNH HƯỚNG GIẢI PHÁP CÔNG NGHỆ TẠI VIỆT NAM Ngành: Mã số: KHOA HỌC MÁY TÍNH 60.48.01.01 LUẬN VĂN THẠC SĨ TP.HỒ CHÍ MINH, tháng năm 2018 CƠNG TRÌNH ĐƯỢC HỒN THÀNH TẠI TRƯỜNG ĐẠI HỌC BÁCH KHOA –ĐHQG –HCM Cán hướng dẫn khoa học : TS Phạm Quốc Cường (Ghi rõ họ, tên, học hàm, học vị chữ ký) Cán chấm nhận xét : TS Nguyễn Trần Hữu Nguyên (Ghi rõ họ, tên, học hàm, học vị chữ ký) Cán chấm nhận xét : PGS TS Phan Công Vinh (Ghi rõ họ, tên, học hàm, học vị chữ ký) Luận văn thạc sĩ bảo vệ Trường Đại học Bách Khoa, ĐHQG Tp HCM ngày 18 tháng 07 năm 2018 Thành phần Hội đồng đánh giá luận văn thạc sĩ gồm: (Ghi rõ họ, tên, học hàm, học vị Hội đồng chấm bảo vệ luận văn thạc sĩ) TS Lê Thành Sách TS Lê Trọng Nhân TS Nguyễn Trần Hữu Nguyên PGS TS Phan Công Vinh TS Lê Hồng Trang Xác nhận Chủ tịch Hội đồng đánh giá LV Trưởng Khoa quản lý chuyên ngành sau luận văn sửa chữa (nếu có) CHỦ TỊCH HỘI ĐỒNG TRƯỞNG KHOA………… ĐẠI HỌC QUỐC GIA TP.HCM TRƯỜNG ĐẠI HỌC BÁCH KHOA CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc NHIỆM VỤ LUẬN VĂN THẠC SĨ Họ tên học viên: LÊ NGUYỄN KHÁNH DUY MSHV: 7140226 Ngày, tháng, năm sinh: 30/01/1989 Nơi sinh: Tp.Hồ Chí Minh Ngành: KHOA HỌC MÁY TÍNH Mã số : 60.48.01.01 I TÊN ĐỀ TÀI: Chứng điện tử, thực trạng định hướng giải pháp công nghệ Việt Nam II NHIỆM VỤ VÀ NỘI DUNG: - Tìm hiểu tổng quan chứng điện tử - Tìm hiểu tình hình chứng điện tử Việt Nam - Phân tích cơng nghệ sử dụng cho việc tìm kiếm phân tích chứng điện tử - Đề xuất áp dụng cơng nghệ kỹ thuật phù hợp cho tình hình Việt Nam III NGÀY GIAO NHIỆM VỤ : 10/07/2017 IV NGÀY HOÀN THÀNH NHIỆM VỤ: 18/07/2018 V CÁN BỘ HƯỚNG DẪN: TS Phạm Quốc Cường Tp HCM, ngày tháng năm 20 CÁN BỘ HƯỚNG DẪN (Họ tên chữ ký) TRƯỞNG KHOA KH & KTMT (Họ tên chữ ký) Lời cảm ơn Đầu tiên em xin gửi lời cảm ơn chân thành đến thầy TS Phạm Quốc Cường Thầy dẫn dắt em từ bước đề tài, đưa lời khuyên, đưa dẫn cho em suốt trình nghiên cứu Nếu khơng có hướng dẫn thầy, đề tài khơng thể có kết hơm Em xin dành tri ân chân thành to lớn đến tồn thể q thầy Khoa Khoa học Kỹ thuật Máy tính mà em theo học Nhờ tận tình giảng dạy, truyền đạt kiến thức kinh nghiệm quý báu qua giảng mà em có thêm vun đắp, vững vốn hiểu biết mình, để từ làm tảng cho em hồn thành đề tài ngày hôm Em không quên bày tỏ lịng biết ơn đến gia đình, người thân mình, người quan tâm, động viên chăm sóc em qua ngày để em có sức khỏe, tinh thần môi trường phát triển, giúp em có ngày hơm Cuối em xin cảm ơn người bạn hỗ trợ, chia sẻ để em hoàn thành tốt đề tài Với tồn biết ơn sâu sắc đó, em xin gửi lời chúc đến người giúp em làm điều đến ngày hôm Chúc cho quý thầy cô, đặc biệt người em nêu tên trên, Khoa Khoa học Kỹ thuật Máy tính ln có sức khỏe dồi để ln hạnh phúc sống có khả để cống hiến thêm cho khoa, cho trường cho hệ sau Trân trọng Tp Hồ Chí Minh, 18/07/2018 Tóm tắt nội dung Với phát triển vượt bật ngành công nghệ thông tin kết hợp với phổ biến Internet toàn cầu đem lại nhiều lợi ích lớn cho xã hội Tuy nhiên, song song với đó, tỷ lệ tội phạm mà có mục tiêu hay cơng cụ hệ thống máy tính gia tăng Sự xuất loại hình tội phạm cho thách thức phương pháp để xác định, thu thập, kiểm tra, phân tích, phục hồi diễn dãi chứng điện tử trình tố tụng Thu thập chứng điện tử chủ đề nghiên cứu mẻ dần sử dụng quy trình điều tra máy tính, kỹ thuật phân tích, cơng cụ phần mềm để giúp phát thu thập chứng kỹ thuật số phù hợp để trình bày tịa án Những nghiên cứu ngành khoa học điều tra số bao gồm kết hợp kiến thức công nghệ thông tin, khoa học liệu, kiến trúc mạng, khoa học pháp y vấn đề thách thức quan trọng liên quan đến an ninh mật mã máy tính Trong nghiên cứu này, tìm hiểu thảo luận để giải vướng mắt đưa đề xuất công cụ, phần mềm công nghệ mà sử dụng để điều tra chứng kỹ thuật số hiệu Việt Nam Theo luật pháp Việt Nam, chứng kỹ thuật số sử dụng q trình tố tụng Do đó, nghiên cứu máy tính pháp y mạng chủ đề quan trọng việc áp dụng kiến thức an ninh, máy tính mạng để xây dựng xã hội tốt Abstract With the popularity of the Internet and related information technology all over the world, there is an increase the number of criminals who use computing devices such as a computer to commit their crimes that involve digital data These digital crimes imposed to us the new challenges on how to identify, prepare, collect, examine, analyze and present corresponding offences After a system has been breached or an intrusion has been detected, there is a need for a digital investigation process to follow Computer and network forensics are parts of digital forensics, an emerging research topic that is utilized in computer investigation processes, analysis techniques, tools, and software to help us detect and gather digital evidence suitable for presentation in courts These new research directions combine the knowledge of information technology, data science, network architecture, forensic science, and many significant challenging problems related to computer security and cryptography They are not easy and yet to be solved In this paper, we present and discuss these issues along with our suggestions for tools, software, and technologies that we can use for investigating digital evidence more efficiently in Vietnam According to Vietnam laws, the digital evidence currently can be used in proceedings process We believe that computer and network forensics research is an essential topic in applying security, computer, and network knowledge to build a better society Lời cam đoan Học viên xin cam đoan thông tin công việc trình bày báo cáo ngồi việc tham khảo nguồn tài liệu khác có ghi đầy đủ phần phụ lục tài liệu tham khảo, nội dung cịn lại học viên thực Nếu có sai phạm hay gian lận nào, học viên xin chịu hoàn toàn trách nhiệm trước Ban Chủ Nhiệm Khoa Ban Giám Hiệu Nhà Trường Tp Hồ Chí Minh, ngày 18 tháng 07 năm 2018 Học viên thực đề tài Lê Nguyễn Khánh Duy Mục lục Chương 1: Chứng điện tử thực trạng chứng điện tử Việt Nam 1.1 Chứng điện tử 1.2 Các bước trình thu thập chứng điện tử 1.3 Sự cần thiết quy trình thu thập chứng điện tử 1.4 Chứng điện tử khứ, tương lai Chương 2: Điều tra máy tính (computer forensics) 12 2.1 Hoạt động máy tính 12 2.2 Thu thập chứng thiết bị lưu trữ dài hạn 16 2.2.1 Một số chuẩn giao tiếp thường gặp 17 2.2.2 Cấu trúc ổ cứng HDD 20 2.2.3 Cấu trúc ổ cứng SSD 28 2.2.4 Một số loại RAID thông dụng 32 2.2.5 Cấu trúc lưu trữ hệ thống (filesystem) 39 2.2.6 Cấu trúc tập tin 40 2.2.7 Công cụ chống ghi 41 2.2.8 Công cụ phục hồi 46 2.2.9 Cơng cụ lưu ổ đĩa thành dạng hình ảnh 61 2.3 Thu thập chứng tr n nhớ tạm thời RAM 63 2.3.1 ag il ib rnate 64 2.3.2 Belkasoft RAM Capturer 66 2.3.3 DumpIT 66 2.3.4 AccessData FTK Imager 67 2.3.5 DMA 67 2.3.6 Volatility 72 Chương 3: Điều tra mạng (network forensics) 76 3.1 Network TAPS 76 3.2 Wireshark/TCPDump 77 3.3 Snort/Suricata hay hệ thống an ninh mạng 78 3.4 Logs 79 Chương 4: Quy trình tiếp cận thu thập chứng điện tử 82 4.1 Máy tính vật lý 82 4.1.1 Hệ thống máy tính vận hành bình thường 82 4.1.2 Hệ thống máy tính bị tắt 84 4.2 Hệ thống ảo hóa 86 4.3 Hệ thống mạng 88 4.4 Trích xuất liệu 88 4.6 Thuyết minh liệu 90 Chương 5: Kết luận 91 Chương 6: Tài liệu tham khảo 92 Danh sách hình ảnh Hình 1.1: Dạng tương tự (analog) [3] Hình 1.2: Dạng kỹ thuật số (digital) [4] Hình 2.1: Các tiến trình chạy 13 Hình 2.2: Xem liệu vùng nhớ 14 Hình 2.3: Danh sách kết nối 14 Hình 2.4: Các câu lệnh thực thi 15 Hình 2.5: Danh sách khóa giải mã BitLocker 15 Hình 2.6: Thiết bị lưu trữ NAS 16 Hình 2.7: Giao tiếp IDE .17 Hình 2.8: Giao tiếp SATA 18 Hình 2.9: Giao tiếp SCSI [5] 18 Hình 2.10: Giao tiếp M2 19 Hình 2.11: Giao tiếp NVMe (PCIe) .19 Hình 2.12: Giao tiếp SDIO 19 Hình 2.13: HDD với phiến đĩa xếp chồng .21 Hình 2.14: Mơ tơ phiến đĩa 21 Hình 2.15: Bộ đầu đọc/ghi HDD sử dụng phiến đĩa .22 Hình 2.16: Đầu đọc/ghi với điều khiển học .22 Hình 2.17: Đầu đọc/ghi hoạt động với phiến đĩa 23 Hình 2.18: Mạch điều khiển 24 Hình 2.19: Hình ảnh bảng module Service Area 26 Hình 2.20: Minh họa Host Protected Area 27 Hình 2.21: Minh họa Device Configuration Overlay 28 Hình 2.22: Hình ảnh bên chủng loại SSD thông dụng 29 Hình 2.23: Thao tác ánh xạ địa SSD .31 Hình 2.24: Tính TRIM kích hoạt .31 Hình 2.25: Minh họa RAID 32 Hình 2.26: Minh họa RAID-0 33 Hình 2.27: Minh họa RAID-1 34 Hình 2.28: Minh họa RAID-10 RAID-01 .35 Hình 2.29: Minh họa RAID-5 36 Hình 2.30: Cách tính parity block RAID-5 36 Hình 2.31: Minh họa RAID-6 37 Hình 3.4: Minh họa cảnh báo từ hệ thống an ninh mạng Hình 3.4 hình chụp từ giao diện quản lý cảnh báo hệ thống an ninh mạng Qua hình trên, ta thấy hệ thống mạng tồn số vấn đề ảnh hưởng đến an tồn liệu có hành vi dị mật kh u để cố gắng đăng nhập trái phép máy hệ thống mạng 3.4 Logs Công tác thu thập liệu để xây dựng chứng điện tử môi trường mạng không đơn giản thu thập liệu luân chuyển hệ thống mạng mà bao gồm việc thu thập liệu từ hệ thống có hạ tầng mạng máy chủ dịch vụ, thiết bị mạng Switch, Router, Firewall… Thông thường, thiết bị phần mềm trình hoạt động sinh liệu gọi Logs Các liệu sinh nhằm giúp cho người quản trị hệ thống nắm bắt vấn đề nhanh trình xử lý lỗi phát sinh Các liệu Logs giúp ích cho trình xây dựng chứng điện tử ví dụ ta phân tích Logs máy chủ 79 dịch vụ Web, ta dễ dàng thấy tương tác với máy chủ Web này, tương tác vấn đề gì, thời điểm địa IP người thực tương tác Hình 3.5: Minh họa Logs dịch vụ Web Qua Hình 3.5, ta thấy máy chủ dịch vụ bị quét lỗ hổng bảo mật nhằm mục đích khai thác chiếm quyền điều khiển Hình 3.6: Minh họa Logs dịch vụ DNS 80 Hình 3.6 thể danh sách tên miền truy vấn hệ thống mạng 81 Chương 4: Quy trình tiếp cận thu thập chứng điện tử Thơng qua việc tìm hiểu làm rõ vấn đề nêu chương trước, ta nắm nội dung chứng điện tử gì, chứng điện tử tồn dạng nào, tồn đâu, phương pháp thu thập giải pháp phục hồi để đảm bảo tính khách quan liệu nhằm sử dụng làm chứng điện tử Ngồi ra, ta tìm hiểu nắm bắt công nghệ tiên tiến mà nước giới áp dụng công tác thu thập liệu phục vụ chứng điện tử Từ đó, ngồi việc tn thủ theo quy trình thu thập chứng thơng thường có, ta xây dựng nên quy trình cụ thể bước cần làm ta tiếp cận hệ thống theo trình tự khoa học giúp cho việc thu thập chứng điện tử diễn nhanh chóng, đầy đủ mang tính khách quan [12] 4.1 Máy tính vật lý Khi tiếp cận hệ thống máy tính vật l , điều ta cần xác định trạng thái hoạt động bình thường hay bị tắt quy trình tương tác để thu thập chứng điện tử có phần khác hai trạng thái 4.1.1 Hệ thống máy tính vận hành bình thường Khi tiếp cận hệ thống máy tính q trình vận hành bình thường, điều ta cần làm cách cố gắng giữ nguyên trạng thái Trong nhiều trường hợp, đối tượng cố gắng kích hoạt phần mền phá hủy liệu cắt nguồn cung cấp điện cho hệ thống máy tính nên ta cần có biện pháp khống chế đối tượng khơng phép tiếp cận với hệ thống máy tính cần thu thập liệu hình thức Sau đảm bảo trạng thái hoạt động hệ thống máy tính, cơng đoạn ta cần thực lưu lại tồn liệu nhớ tạm thời RAM hệ thống máy tính Để làm việc này, ta cần xác định xem máy tính có trạng thái bị khóa đối tượng có đặt mật kh u để mở khóa hay khơng Máy tính u cầu mật để mở khóa 82 Khi tiếp cận hệ thống máy tính vận hành bình thường trạng thái bị khóa yêu cầu sử dụng mật kh u để mở khóa ta có nhiều giải pháp để thực công tác lưu liệu Cách th nhất: xác định cổng PCI trống thay để áp dụng phương pháp lưu sử dụng phần cứng sở DMA Phương pháp nói an tồn ta không thiết phải xác định xem ổ đĩa chứa hệ điều hành có sử dụng chế mã hóa để bảo vệ liệu hay khơng Ngồi ra, với cách này, ta cịn mở khóa trực tiếp mà khơng cần mật kh u tình cấp bách cần thiết cho phép Cách th hai: xác định máy có hỗ trợ chế ngủ đơng hay khơng Nếu máy có hỗ trợ chế độ ngủ đơng ta kích hoạt chế độ Ở chế độ này, hệ điều hành tiến hành lưu toàn liệu hành nhớ tạm thời RAM xuống ổ đĩa cứng máy tính dạng tập tin Ta tiến hành phân tích tập tin với phương pháp lưu sử dụng phần cứng sở DMA Tuy nhiên, phương pháp có khuyết điểm khơng thể sử dụng hệ thống máy tính có sử dụng giải pháp mã hóa bảo vệ liệu ổ đĩa Ngoài ra, phương pháp tạo nên số nguy khác giảm khả khôi phục liệu bị xóa bị ghi đè hệ điều hành lưu liệu nhớ tạm thời RAM lên ổ đĩa Máy tính khơng u cầu mật để mở khóa Với hệ thống máy tính khơng bị khóa khơng u cầu mật kh u để mở khóa ta áp dụng tốt phương pháp hệ thống bị yêu cầu mật kh u để mở khóa Do khơng bị khóa nên ngồi việc lưu liệu nhớ tạm thời RAM, ta thu thập thêm số kiện khác giúp phục vụ cho trình điều tra sau Do tồn quyền tương tác với máy tính nên ta áp dụng phương pháp lưu liệu nhớ tạm thời RAM sử dụng phần mềm Sau đảm bảo thu thập đầy đủ thông tin liệu cần thiết từ nhớ tạm thời RAM hệ thống máy tính trạng thái vận hành, cho phép, ta tiến hành cắt nguồn điện cung cấp cho hệ thống máy tính thực tiếp thao tác hệ thống máy tính bị tắt 83 Có lưu quan trọng tắt nguồn hệ thống máy tính ta nên tắt nguồn cách cắt nóng nguồn điện cung cấp trình hệ điều hành tắt tiến hành loạt thao tác dọn dẹp rác thu hồi tài nguyên lưu trữ cần thiết, điều khiến cho công tác thu thập khôi phục liệu sau diễn khó khăn phức tạp Trong trường hợp khơng cịn phương pháp khác để thu thập liệu lưu trữ nhớ tạm thời RAM hệ thống máy tính, ta cần thực giải pháp đặc biệt nhằm trì nguồn điện cho hệ thống máy tính sử dụng thiết bị lưu trữ điện di động trình niêm phong vận chuyển thiết bị quan điều tra 4.1.2 Hệ thống máy tính bị tắt Đối với hệ thống máy tính trạng thái khơng hoạt động ta tuyệt đối khơng phép khởi động lên hình thức Nếu bị lập khỏi nguồn điện ta khơng tự ý cấp nguồn cho mà chưa có cho phép Mọi thao tác thay đổi trạng thái hành hệ thống máy tính gây ảnh hưởng đến liệu lưu trữ lưu trữ liệu dài hạn có hệ thống máy tính Xác định loại ổ đĩa tình trạng Trước tiên, ta cần xác nhận trạng thái vật lý xem có bị hư hại hay khơng Sau ta tiến hành xác định chủng loại ổ cứng mà hệ thống máy tính sử dụng Việc xác định xác chủng loại ổ đĩa mà hệ thống máy tính sử dụng việc quan trọng loại ổ đĩa có chế vận hành khác Một ví dụ cụ thể tìm hiểu qua cấu trúc phương thức hoạt động dòng ổ đĩa SSD (2.2.3 Cấu trúc ổ c ng SSD), xác định nhầm thành dòng ổ đĩa HDD (2.2.2 Cấu trúc ổ c ng HDD) thông thường ta cấp nguồn cho ổ đĩa SSD trước đưa vào chế độ Service Mode kích hoạt tính dọn dẹp khơng gian lưu trữ bên CHIP nhớ bán dẫn, điều dẫn đến khả khôi phục liệu mà bị đối tượng cố ý xóa bỏ Xác định chuẩn giao tiếp ổ đĩa 84 ước ta cần xác định chu n giao tiếp loại ổ đĩa sử dụng hệ thống máy tính Sau xác định xác chu n giao tiếp mà ổ đĩa sử dụng ta sử dụng cơng cụ phù hợp để tiến hành lưu liệu bước (2.2.1 Một số chu n giao tiếp thường gặp) Xác đị h phươ thức kết hợp ổ đĩa Đây bước quan trọng, hệ thống máy tính sử dụng để vận hành dịch vụ, hệ thống máy tính mà ta quan sát thấy có sử dụng nhiều ổ đĩa bên có khả đối tượng có áp dụng giải pháp kết hợp ổ đĩa lại với RAID (2.2.4 Một số loại RAID thông dụng) Khi gặp trường hợp hệ thống máy tính trên, trước tiên ta cần quan sát tổng quan tất bảng mạch có hệ thống máy tính Ở bảng mạch chủ bảng mạch ngoại vi, ta quan sát thấy có sử dụng pin bảng mạch ta cần phải thao tác c n thận, đảm bảo không làm nguồn điện cung cấp từ pin đến bảng mạch nguồn điện từ pin ta bị cấu hình quan trọng hành hệ thống máy tính cấu hình RAID Việc để cấu hình bảng mạch chủ hay bảng mạch ngoại vi khiến ta thời gian công đoạn phân tích liệu Sau quan sát bảng mạch hành, ta tiến hành ghi nhận lại xác sơ đồ kết nối ổ đĩa với bảng mạch hệ thống máy tính Cụ thể, ta cần phải đánh dấu ổ đĩa kết nối với cổng vật lý nào, cổng nằm bảng mạch hệ thống máy tính Nguyên tắc ngành khoa học điều tra số thao tác phải thực bảng liệu nhằm ngăn chặn tối đa thay đổi liệu có thiết bị lưu trữ [13] Do đó, sau xác định xác chủng loại ổ đĩa, cổng giao tiếp phương thức kết hợp hệ thống máy tính sử dụng, ta tiến hành lưu ảnh đĩa ổ đĩa thông qua kỹ thuật chép an tồn (2.2.7 Cơng cụ chống ghi) nhằm tránh gây thay đổi liệu ổ đĩa hành Ngoài ra, hệ thống sử dụng giải pháp kết hợp RAID , ta cần phải đảm bảo việc liệu cấu hình bảng mạch liên quan lưu lại cách xác 85 Sau thao tác lưu tiến hành xong từ lúc này, thao tác trích xuất liệu bước sau tiến hành ảnh đĩa lưu Trong trường hợp cần khởi động hệ điều hành hệ thống máy tính sử dụng để việc thu thập dễ dàng ta ghi lại ảnh đĩa có lên ổ cứng khác có dung lượng tương tự Bên cạnh việc thu thập liệu từ hệ thống máy tính vật l , ta cần phải thu thập liệu từ tất thiết bị ngoại vi xung quanh mà có khả lưu trữ liệu đĩa CD/DVD, ổ đĩa gắn qua cổng USB, thiết bị nghe nhìn cầm tay, thiết bị lưu trữ mạng NAS 4.2 Hệ thống ảo hóa Trước cơng nghệ ảo hóa xuất thị trường, hệ điều hành ứng dụng chạy hệ thống máy tính vật lý, điều tạo nên mối quan hệ tồn hệ điều hành chạy hệ thống máy tính thời điểm Chính mối quan hệ 1:1:1 tạo nên lãng phí tài nguyên hệ thống máy tính Để tận dụng tối đa triệt để nguồn tài nguyên hệ thống máy tính, cơng nghệ ảo hóa đời Cơng nghệ ảo hóa cho phép hợp chạy nhiều hệ điều hành hệ thống máy tính thời điểm Mỗi hệ điều hành ứng dụng dịch vụ chạy hệ phần cứng bao gồm CPU, RAM, ổ đĩa, thiết bị mạng hoàn toàn độc lập mà ta thường gọi tắt máy ảo Do máy ảo có hệ tài ngun phần cứng hồn tồn độc lập với xem máy tính độc lập nên hệ điều hành phần mềm dịch vụ chạy máy ảo khơng có cách để tương tác vào luồng xử lý liệu máy ảo khác chạy xung quanh hệ thống máy tính vật lý Hiện nay, với phát triển vượt bật công nghệ ảo hóa, nhà cung cấp dịch vụ máy chủ ảo xuất ngày phổ biến với giá thành cạnh tranh Tận dụng điều này, nhiều tổ chức hay cá nhân tội phạm công nghệ cao lạm dụng dịch vụ để tạo nên hệ thống để hỗ trợ công cụ để thực hành vi phạm tội 86 Khác với tiếp cận hệ thống máy tính vật lý, việc thu thập liệu phục vụ cho công tác xây dựng chứng điện tử hệ thống ảo hóa đơn giản Cụ thể, ta thu thập liệu hệ thống máy tính vật lý, bao gồm liệu hành lưu trữ nhớ tạm thời RAM liệu lưu trữ ổ đĩa cứng máy ảo [14] Mọi hệ thống cung cấp dịch vụ ảo hóa VMWare, Hyper-V, VirtualBox, Qemu, KVM, cung cấp tính phải có hệ thống ảo hóa máy ảo bao gồm: - PowerOn PowerOff Shutdown Suspend Snapshot Suspend Change hardware settings - VNC Backup Trong đó, tính giúp ta thu thập liệu hiệu q Standby Snapshot Để thu thập liệu hành lưu trữ nhớ tạm thời RAM, cần lệnh cho hệ thống ảo hóa Suspend máy ảo cần thu thập Khi hệ thống ảo hóa tiến hành lưu tồn liệu có nhớ tạm thời RAM máy ảo xuống ổ đĩa cứng Ngoài ra, ta muốn giữ ngun trạng thái máy ảo đó, nghĩa hệ điều hành chạy bên máy ảo khơng thể nhận biết thay đổi ta sử dụng tính Snapshot hệ thống ảo hóa Khi ta lệnh cho hệ thống ảo hóa tiến hành Snapshot máy ảo chạy lưu tồn liệu có nhớ tạm thời RAM máy ảo xuống ổ đĩa cứng giữ máy ảo vận hành bình thường q trình lưu Sau hệ thống ảo hóa lưu thành cơng liệu nhớ tạm thời RAM máy ảo xuống đĩa cứng ta lệnh cho hệ thống ảo hóa Backup máy ảo thiết bị lưu trữ gắn mà ta mong muốn Khi ackup xong ta có 87 liệu đầy đủ từ nhớ tạm thời RAM từ ổ cứng ảo máy ảo để tiến hành phân tích giai đoạn khơi phục trích xuất liệu 4.3 Hệ thống mạng Như đề cập hương : Điều tra mạng (network forensics), lúc thu thập liệu hệ thống máy tính, phải tiến thành thu thập trạng hệ thống mạng xung quanh khu vực đặt hệ thống máy tính bao gồm: - Các thiết bị mạng hành router, firewall, swich Các hệ thống phục vụ cho an ninh mạng IDS, Proxy, - Các mạng không dây tồn khu vực Ta tiến hành thu thập toàn liệu có thiết bị để có nhìn tổng quan hoạt động liên quan đến không gian mạng bảng danh sách kết nối hành tập tin Logs có liên quan 4.4 Trích xuất liệu Sau thu thập đầy đủ liệu cần thiết bước trên, ta tiến hành trích xuất liệu quan trọng phù hợp để xây dựng nên chứng điện tử Để việc trích xuất liệu diễn hiệu đầy đủ, không bỏ sót liệu quan trọng ta cần nắm cách thức vận hành hệ điều hành phần mềm chạy Dữ liệu ười dùng - Các tập tin văn - Các tập tin hình ảnh - Các tập tin âm - Các tập tin thực thi - Các Emails gởi nhận - Các đoạn chat chat với nọi dung -… Dữ liệu lịch sử ười dùng 88 - Recent Files - Prefetch Files - Browser History - Chat Hisorty - MRU -… Dữ liệu gỡ lỗi ứng dụng hệ điều hành - Event Logs - Các tập tin báo lỗi phần mềm - Các tập tin gỡ lỗi dịch vụ, phần mềm … 4.5 Khôi phục liệu Sau qua bước trích xuất liệu, ta nắm đầy đủ thông tin trình tương tác đối tượng với hệ thống máy tính Dựa liệu lịch sử thao tác ta dễ dàng nhận liệu bị đối tượng xóa khỏi thiết bị lưu trữ Ví dụ, liệu mà ta trích xuất từ hệ thống máy tính đối tượng cho thấy đối tượng tạo hay chỉnh sửa cập nhật mười tập tin văn bản, đó, ổ đĩa máy tính đối tượng tồn tập tin Như sót tập tin mà đối tượng xóa, lúc ta tiến hành q trình khơi phục liệu với mục tiêu phục hồi liệu tập tin bị xóa Tuy nhiên, có nhiều trường hợp đối tượng kịp phá hủy liệu thiết bị lưu trữ Khi đó, ta khơng thể thực cơng đoạn trích xuất liệu mà ta phải tiến hành khôi phục lại liệu trước tiến hành trích xuất liệu Trong q trình trích xuất liệu, ta nhận thấy có tập tin cịn sót chưa khơi phục ta tiếp tục tìm kiếm khơi phục tập tin Q trình trích xuất liệu khơi phục liệu trình quan trọng bổ sung cho công tác xây dựng chứng điện tử 89 Hình 4.1: Phần mềm trích xuất liệu chun dụng Osforensics Hình 4.1 thể giao diện phần mềm trích xuất liệu Osforensics Phần mềm cho phép ta thực nhiều thao tác bao gồm việc chép liệu từ ổ đĩa sang ổ đĩa khác, tạo ảnh ổ đĩa, phân tích ảnh đĩa để tìm kiếm liệu bị xóa số thơng tin thường quan tâm thông tin hệ điều hành, thông tin tập tin truy xuất khoảng thời gian định, lịch sử duyệt Web, thông tin đăng nhập, cookies 4.6 Thuyết minh liệu Sau liệu liên quan thu thập xây dựng thành chứng điện tử trước tịa ta phải đảm bảo việc thực lại cụ thể diễn biến trình giai đoạn thu thập, trích xuất, khơi phục liệu đến kết cuối phù hợp với kết trình bày tịa 90 Chương 5: Kết luận Luận văn tìm hiểu đưa giải pháp mặt công nghệ ngun lý mà cơng nghệ áp dụng để từ phục vụ cho cơng tác thu thập, trích xuất, phục hồi liệu để hình thành nên chứng điện tử Trong thời điểm tại, nhà nước Việt Nam công nhận liệu điện tử có giá trị pháp l nguồn chứng d ng để làm trình giải vụ án Tuy nhiên, quy trình cơng nghệ cơng tác thu thập, trích xuất phục hồi liệu để hình thành nên chứng điện tử Việt Nam mẻ chưa có hành lang pháp lý cụ thể Điển cơng tác thu thập liệu phục vụ cho xây dựng chứng điện tử nhà nước Việt Nam chưa có văn cụ thể hướng dẫn thiết bị phần cứng hay phần mềm chuyên dụng phép sử dụng cơng nhận tính khách quan liệu trước tịa Do đó, thơng qua kết trình tìm hiểu này, Việt Nam ta tự xây dựng nên sản ph m công nghệ thiết bị phần cứng đặc dụng, phần mềm chuyên dụng, phòng lab chuyên biệt, hệ thống mạng đa dạng viết nên quy trình phù hợp với điều kiện mơi trường Việt Nam Các tìm hiểu luận văn phần nhỏ ngành khoa học điều tra số Do đó, cịn nhiều vấn đề cần phải giải tương lai làm cách để thu thập chứng điện tử thiết bị di động bối cảnh trung bình người xã hội sở hữu điện thoại thông minh, hay làm để thu thập chứng điện tử mạng xã hội facebook, zalo mà ngày nhiều người tham gia vào mạng xã hội Giải cách đầy đủ hợp lý vấn đề đáp ứng nhu cầu xã hội tương lai mà giao dịch mối quan hệ xung đột lợi ích đời sống hàng ngày diễn hầu hết không gian số 91 Chương 6: Tài liệu tham khảo [1] http://antg.cand.com.vn/Ho-so-Interpol/Toi-pham-cong-nghe-cao-2016-Lamnguy-co-nhieu-thach-thuc-423161/ [2] http://cand.com.vn/Lan-theo-dau-vet-toi-pham/Xu-ly-toi-pham-cong-nghe-caoKho-khan-trong-viec-tim-chung-cu-dien-tu-374108/ [3] Bộ Luật Tố Tụng Hình Sự, Việt Nam: Quốc Hội, 2015 [4] https://cdn.sparkfun.com/assets/3/7/6/6/0/51c48875ce395f745a000000.png [5] https://cdn.sparkfun.com/assets/c/8/5/b/e/51c495ebce395f1b5a000000.png [6] Bộ Luật Tố Tụng Hình Sự, Việt Nam: Quốc Hội, 2003 [7] http://www.volatilityfoundation.org/about [8] https://www.cablebuilders.com/scsitutorial.aspx [9] R H Katz and D Walden, RAID: A Personal Recollection of How Storage Became a System, Berkeley: University of California, 2010 [10] http://www.acelaboratory.com [11] https://forensicmethods.com [12] http://coquandieutravkstc.gov.vn/kinh-nghiem-thu-giu-khai-thac-chung-cudien-tu/ [13] M M Saudi, An Overview of Disk Imaging Tool in Computer, SANS Institute, 2001 [14] B Shavers, A Discussion of Virtual Machines Related to Forensics Analysis, Virtual Forensics, 2008 92 Danh mục cơng trình cơng bố Duy Le Nguyen Khanh, Cuong Pham-Quoc, and Le Tan Quan, "Computer and Network Forensics: Technology challenges and research questions in Vietnam", AUN/SEED-Net Regional Conference on Computer and Information Engineering, 2017, Ho Chi Minh City, Vietnam 93 ... TÀI: Chứng điện tử, thực trạng định hướng giải pháp công nghệ Việt Nam II NHIỆM VỤ VÀ NỘI DUNG: - Tìm hiểu tổng quan chứng điện tử - Tìm hiểu tình hình chứng điện tử Việt Nam. .. 1: Chứng điện tử thực trạng chứng điện tử Việt Nam 1.1 Chứng điện tử 1.2 Các bước trình thu thập chứng điện tử 1.3 Sự cần thiết quy trình thu thập chứng điện tử. .. bước trình thu thập chứng điện tử Xác định chứng điện tử Để phục vụ cho công tác phân loại liệu điện tử sử dụng để làm chứng điện tử công đoạn tiếp theo, cần nắm rõ liệu điện tử tồn dạng nào, đâu,