- Phân tích phần mềm độc hại động: Nó liên quan đến việc thực thi phần mềm độc hại để
7. Điều tra các thiết bị di động (Mobile Forensics)
Thiết bị di động đã trở thành một phần không thể thiếu trong cuộc sống hàng ngày của mọi người, và do đó, chúng có xu hướng tạo điều kiện cho hoạt động tội phạm hoặc bị can dự khi tội phạm xảy ra. Trong khi máy tính, máy tính xách tay, máy chủ và thiết bị chơi game có thể có nhiều người dùng, trong phần lớn các trường hợp, thiết bị di động thường thuộc về một cá nhân.
Mobile Forensics là một nhánh của điều tra kỹ thuật số và nó liên quan đến việc mua lại và phân tích các thiết bị di động để khôi phục bằng chứng kỹ thuật số mà điều tra quan tâm.
Tất cả các giai đoạn, từ thu nhận đến phân tích điều tra của thiết bị di động, phải hoàn toàn tránh việc không thay đổi thiết bị được kiểm tra. Quá trình này không hề dễ dàng chút nào, đặc biệt là trên các thiết bị di động.
7.1. Các giai đoạn điều tra thiết bị di động
Giai đoạn này liên quan đến việc thu giữ thực tế thiết bị để nó nằm dưới sự kiểm soát và giám sát của người điều tra / giám định. Cơ quan pháp luật cũng phải xem xét hoặc đồng ý bằng văn bản để thu giữ, trích xuất và tìm kiếm dữ liệu này. Tình trạng vật lý của thiết bị tại thời điểm thu giữ cần được lưu ý, lý tưởng nhất là thông qua tài liệu ảnh kỹ thuật số và các ghi chú bằng văn bản, chẳng hạn như:
• Thiết bị có bị hư hỏng không? Nếu, có, sau đó ghi lại loại thiệt hại.
• Thiết bị đang bật hay tắt?
• Ngày và giờ của thiết bị nếu thiết bị đang bật?
• Nếu thiết bị đang bật, những ứng dụng nào đang chạy hoặc có thể quan sát được trên màn hình thiết bị?
• Nếu thiết bị đang bật, màn hình của thiết bị có thể truy cập được để kiểm tra mật mã và cài đặt bảo mật không?
Giai đoạn 2 - thu thập dữ liệu
Giai đoạn này đề cập đến các phương pháp khác nhau để trích xuất dữ liệu từ thiết bị. Các phương pháp trích xuất dữ liệu có thể được sử dụng chịu ảnh hưởng của những điều sau:
• Loại thiết bị di động: Kiểu dáng, kiểu máy, phần cứng, phần mềm và cấu hình của nhà cung cấp.
• Sự sẵn có của một bộ đa dạng các công cụ trích xuất / phân tích phần cứng và phần mềm theo ý của người giám định: Không có công cụ nào làm được tất cả; người giám định cần có quyền truy cập vào một số công cụ có thể hỗ trợ việc trích xuất dữ liệu.
• Tình trạng vật lý của thiết bị: Thiết bị có bị tiếp xúc với hư hỏng, chẳng hạn như chất lỏng vật lý, nước hoặc sinh học như máu không? Thông thường, loại thiệt hại có thể quy định các biện pháp trích xuất dữ liệu được sử dụng trên thiết bị.
Giai đoạn này của pháp y thiết bị di động yêu cầu phân tích dữ liệu thu được từ thiết bị và các thành phần của thiết bị (thẻ SIM và thẻ nhớ nếu có). Hầu hết các công cụ thu thập pháp y di động lấy dữ liệu từ bộ nhớ thiết bị cũng có thể phân tích cú pháp dữ liệu được trích xuất và cung cấp chức năng giám định trong công cụ để thực hiện phân tích. Điều này đòi hỏi phải xem xét mọi dữ liệu chưa xóa và đã xóa.
Khi xem xét dữ liệu chưa bị xóa, bạn cũng nên thực hiện xem xét thủ công thiết bị để đảm bảo rằng dữ liệu được trích xuất và phân tích cú pháp khớp với những gì được hiển thị bởi thiết bị. Do dung lượng lưu trữ của thiết bị di động đã tăng lên, nên xem xét một số lượng nhỏ các bản ghi dữ liệu từ các khu vực liên quan. Vì vậy, ví dụ: nếu một thiết bị di động có hơn 200 bản ghi cuộc gọi, việc xem lại một số bản ghi cuộc gọi từ cuộc gọi nhỡ, cuộc gọi đến và cuộc gọi đi có thể được kiểm tra trên thiết bị liên quan đến các bản ghi tương tự trong dữ liệu trích xuất. Bằng cách thực hiện đánh giá thủ công này, sau đó có thể phát hiện ra bất kỳ sự khác biệt nào trong dữ liệu được trích xuất.
Việc xem xét thiết bị thủ công chỉ có thể được hoàn thành khi thiết bị vẫn còn trong quyền giám định của người giám định. Có những tình huống, sau khi hoàn thành việc trích xuất dữ liệu, thiết bị được trả lại cho người điều tra hoặc chủ sở hữu. Trong những tình huống như vậy, giám định viên phải ghi lại rằng rất hạn chế hoặc không thể thực hiện xác minh thủ công do những trường hợp này.
Cuối cùng, người đọc cần lưu ý rằng có thể sử dụng nhiều hơn một công cụ phân tích để phân tích dữ liệu thu được. Nhiều công cụ phân tích nên được xem xét, đặc biệt khi một loại dữ liệu cụ thể không thể được phân tích cú pháp bởi một công cụ này, nhưng có thể được phân tích bởi một công cụ khác.
7. Ứng dụng
Đặt tình huống điện thoại nạn nhân bị tấn công. Khi forensics mobile sử dụng công cụ Autopsy ta có thể xem được các thông tin như tin nhắn đã nhận, số điện thoại và thời gian của kẻ đã tấn công vào điện thoại nạn nhân