6. Ý nghĩa khoa học của đề tài
2.4.3 Nhân bản dữ liệu
Bằng chứng số có tính chất rất dễ bị thay đổi do đó cần phải tuân theo quy trình đặc biệt khi xử lý chúng, nếu không, ta có thể sẽ gặp phải 1 số vấn đề nhƣ bị tòa án từ chối hay bị đối tƣợng tình nghi kiện ngƣợc lại. Vì vậy không nên sử dụng trực tiếp dữ liệu thu thập đƣợc khi bạn phân tích. Thay vào đó bắt buộc phải thông qua 1 thủ tục đặc biệt gọi là “nhân bản” nó sẽ thay thế dữ liệu gốc thành các file logic và file đó có thể thực hiện phân tích trên đó. Nhân bản sẽ giúp không chỉ duy trì tính vẹn toàn của chứng cứ mà còn ngăn chặn đƣợc dữ liệu bị hỏng.
Nhân bản là 1 chuỗi các hành động để tạo ra 1 bản sao giống hệt bằng chứng gốc.
Đối với cả 2 trƣờng hợp thu thập tĩnh và thu thập động Xác định phƣơng pháp nhân bản tốt nhất:
- Disk-to-image - Disk-to-disk - Sparse data copy
Disk-to-image: sao chép disk-to-image là phƣơng pháp phổ biến trong việc điều tra pháp y. Tạo file ảnh của bằng chứng gốc. Khi sử dụng phƣơng pháp này, các nhà điều tra có thể tạo ra nhiều bản sao mà họ cần. Điều tra viên có ảnh từ đĩa gốc và đĩa khác.
29
Disk-to-disk: nếu nhƣ điều tra viên không thể tạo bit-stream disk-to- image vì 1 lí do nào đó, họ phải sao chép chính từ ổ đĩa gốc này sang ổ đĩa gốc khác. Với phƣơng pháp này, sử dụng các công cụ nhƣ SafeBack, SnapCopy, Norton Ghost.
Sparse data copy: trong quá trình điều tra, điều tra viên tìm thấy bằng chứng buộc tội cụ thể trong tập tin hoặc thƣ mục. Vì vậy phƣơng pháp này tạo 1 bản sao mà điều tra viên chỉ sử dụng 1 phần tập hợp của các dữ liệu trong tất cả các dữ liệu liên quan. Điều tra viên có thể sử dụng phƣơng pháp này để tạo ra 1 bản sao này để làm giảm kích thƣớc tổng thể của bằng chứng.
Để xác định đƣợc phƣơng thức nhân bản tốt nhất phụ thuộc vào phƣơng thức điều tra mà ta tiến hành. Tuy nhiên hình thức phổ biến nhất là tạo ra 1 bản disk-to-image. Với phƣơng pháp này, ta có thể tạo 1 hay nhiều bản sao của 1 ổ đĩa khả nghi với chất lƣợng tốt nhất. Và bản sao này có thể đọc bằng nhiều công cụ điều tra chứng cứ số khác nhau nhƣ: ProDiscover, EnCase, FTK, Smar, Kit Sleuth và Ilook, để đọc các loại phổ biến nhất của đĩa tập tin hình ảnh tạo ra.
Trong một số trƣờng hợp không thể tạo đƣợc các ảnh đĩa theo dạng disk- to-image do các ổ đĩa gốc quá cũ hay thiếu các trình điều khiển cần thiết. Khi đó phải tạo các bản sao theo dạng disk-to-disk. Một số công cụ tạo ảnh đĩa hay dữ liệu có thể sao chép dữ liệu một cách chính xác từ một ổ đĩa cũ sang ổ đĩa mới. Các công cụ thực hiện điều này nhƣ EnCase và SafeBack. Việc nhân bản chứng cứ từ một ổ đĩa lớn có thể mất vài giờ. Nếu thời gian có hạn, hãy tính đến các tình huống tạo bản sao theo hình thức ánh xạ logic hay phƣơng pháp sao chép dữ liệu sparse copy. Hình thức sao chép logic chỉ copy những tập tin xác định, còn trƣờng hợp spare copy sẽ sao chép cả những phần chia chƣa cấp phát và tập tin bị xóa mà không cần phải làm việc với toàn bộ hệ thống đĩa.
30
Có các phƣơng pháp khác nhau, tuy nhiên mục đích của phần mềm hay phƣơng thức đều là duy trì tính toàn vẹn của bằng chứng số. Để bảo mật định danh giữa bằng chứng số và file ảnh bản sao tạo ra bởi việc nhân bản thì hiện trƣờng thu thập bằng chứng cũng phải đƣợc bảo vệ. Việc niêm phong thiết bị, tài liệu, chụp ảnh hiện trƣờng và các thủ tục khác cũng đƣợc yêu cầu.