CHƯƠNG 4 THỰC NGHIỆM PHÂN TÍCH ĐIỀU TRA SỐ
4.2 Thực hiện quy trình điều tra
4.2.4 Bảo vệ chứng cứ
Đưa thiết bị vào phòng thí nghiệm pháp y, nhằm mục đích cách ly với các kết nối bên ngoài đảm bảo dữ liệu chứa trên điện thoại. Bảo vệ các dữ liệu bên trong thiết bị,
119
tắt các kết nối tới mạng, chuyển về chế độ máy bay (Airplance) tránh trường hợp thiết bị có thể bị truy cập từ xa và xóa đi những dữ liệu quan trọng trong vụ án
Kết quả bước này là:
-Thiết bị được cách ly an toàn với mạng di động và mạng Internet. 4.2.5 Xử lý bằng chứng
Bước xử lý bằng chứng được thực hiện chi tiết theo các bước nhỏ như sau:
- Bước 1: Thu thập dữ liệu hữu ích
- Bước 2: Phân tích và điều tra
- Bước 3: Kết quả phân tích Bước 1: Thu thập dữ liệu hữu ích
Điều tra viên sử dụng cáp kết nối với máy tính Windows 7, sử dụng công cụ ADB để truy cập, sử dụng kỹ thuật trong mục 3.2.4 Kết nối thiết bị Android. Kết nối điện thoại với máy tính, sử dụng công cụ adb để tiếp cận dữ liệu tại thư mục /data/system như Hình 4.2
Hình 4.2 – Dữ liệu bên trong thư mục /data/system
Để tiếp cận được dữ liệu bên trong thiết bị, sử dụng cáp nối USB, kết nối thiết bị với máy tính qua ADB dùng để phân tích điều tra. Công việc tiếp theo cần làm là tạo ra các bản sao lưu của bộ nhớ ngoài SD, và phân vùng usrdata của thiết bị.
120
Trước khi tạo bản sao ta tính toán giá trị hàm băm SHA1 của các phân vùng trên: Thẻ nhớ SD: 31e9df5cd788e2b9dbd6faa63c2a5e1972ddda5b
usrdata: 325cd2cb461b5fc2e10a0c694c7d81fcc1cb921a
Áp dụng mục 3.3.4 Kỹ thuật trích xuất dữ liệu ảnh của bộ nhớ thẻ, sử dụng công cụ dd, winhex để tạo bản sao các phân vùng trên, thu được 2 tập tin là SD.img và usrdata.img xác thực giá trị hàm băm của hai tập tin và so sánh với giá trị băm ban đầu:
Hình 4. 3 – Xác nhận giá trị bản sao chứng cứ
Giá trị hàm băm của các tập tin bản sao hoàn toàn trùng khớp với giá trị hàm băm ban đầu, chứng tỏ quá trình sao lưu hoàn toàn đúng. Ta tiến hành đi vào quá trình phân tích điều tra.
Kết quả bước 1 này là:
Điều tra viên nhân bản được dữ liệu của thẻ nhớ là tệp tin SD.img và usedata.img để đưa đi phân tích.
Dữ liệu gốc trên điện thoại không bị ảnh hưởng.
Bước 2: Phân tích và điều tra
Sau khi có các tệp tin SD.img và usedata.img, điều tra viên áp dụng các kỹ thuật như 3.3.2 Trích xuất dữ liệu logic: trích xuất tin nhắn SMS,MMS,ứng dụng thư điện tử mạng xã hội, áp dụng mục 3.3.5 Khôi phục các tệp tin bị xóa, để thực hiện công việc điều tra tiếp theo.
Mục tiêu của vụ án là tìm ra thời gian và địa điểm của cuộc giao dịch. Vì vậy việc đầu tiên trong quá trình phân tích là kiểm tra dữ liệu như SMS, MMS, các ứng dụng thư điện tử, zalo, facebook, whatsapp.
Sử dụng công cụ Autospy tạo một tình huống điều tra (các bước xây dựng tình huống điều tra trên công cụ Autospy được thể hiện trong phụ lục I). Sau đó thực hiện trích xuất cơ sở dữ liệu SMS từ phân vùng usrdata kiểm tra các tin nhắn đến và đi Hình 4.4. Thư
121
mục chứa cơ sở dữ liệu tin nhắn SMS, MMS trên hệ điều hành Android được lưu trữ trên tập tin mmssms.db trong thư mục:
/data/data/com.android.providers.telephony/databases.
Hình 4.4 – Xem tin nhắn SMS từ cơ sở dữ liệu
Các tham số của SMS trong cơ sở dữ liệu ở hình trên được quy định như sau: - Giá trị trong cột read/type có ý nghĩa như sau:
Read mang 2 giá trị 0 và 1
Giá trị 0, người dùng chưa đọc tin nhắn Giá trị 1, người dùng đã đọc tin nhắn Type mang 2 giá trị 1 và 2
Giá trị 1, tin nhắn được gửi đến Giá trị 2, tin nhắn được gửi đi
- Giá trị trong cột Date được lưu trữ dưới dạng miliseconds, nên ta cần đổi về giờ địa phương. Ví dụ với dòng thời gian thứ 2 thời gian hiển thị trong cơ sở dữ liệu là 1432564944015. Chuyển đổi về thời gian sẽ được là 21:42:24.015 ngày 25 tháng 5 năm 2015. Như hình sau:
122
Hình 4.5 – Chuyển đổi giá trị ngày giờ
Qua Hình 4.4 và Hình 4.5 ta thấy có thể suy luận rằng kẻ tình nghi đã cài ứng dụng Whatsapp trên thiết bị của mình, sử dụng số điện thoại này để đăng ký sử dụng ứng dụng, nên có một tin nhắn với nội dung kích hoạt ứng dụng whatsapp được gửi đến vào lúc 21:42:24 ngày 25/05/2015 và tin nhắn này đã được xem. Tiếp tục theo hướng điều tra thực hiện tìm kiếm dữ liệu trên ứng dụng whatsapp.
Hình 4.6 – Dữ liệu chứa trên ứng dụng whatsapp
Theo dõi cột Created time ta thấy tất cả các dữ liệu chứa trên whatsapp được khởi tạo lúc 09:34:52 ngày 17/05/2015. Nên có thể suy luận rằng tên này đã cài đặt trước đó nhưng chưa kích hoạt để sử dụng, tới ngày 25/05/2015 hắn đã kích hoạt ứng dụng này. Cũng như SMS các đoạn hội thoại, hay tin nhắn sẽ được lưu trữ vào cơ sở dữ liệu, nên ta có thể trích xuất cơ sở dữ liệu của ứng dụng để thực hiện phân tích. Trong thư mục cơ sở dữ liệu của ứng dụng, chứa các tập tin như sau:
123
Hình 4.7 – Các tập tin cơ sở dữ liệu của Whatsapp
Đối với các thiết bị Android, có hai tập tin cơ sở dữ liệu có giá trị trong điều tra ứng dụng Whatsapp là: msgstore.db và wa.db, tập tin msgstore.db chứa thông tin chi tiết về các cuộc hội thoại còn tập tin wa.db lưu trữ thông tin, địa chỉ liên lạc của người dùng. Thực hiện trích xuất tập tin msgstore.db và wa.db, sau đó sử dụng công cụ SQLlite Brower để xem nội dung được lưu trên cơ sở dữ liệu của ứng dụng:
Hình 4.8 – Bảng cơ sở dữ liệu whatsapp
Có 2 nguyên nhân dẫn tới việc bảng messages trong cơ sở dữ liệu của whatsapp không có dữ liệu:
- Kẻ phạm tội mới cài đặt whatsapp chứ chưa sử dụng tới ứng dụng - Kẻ phạm tội đã xóa hết các tin nhắn sau khi sử dụng.
124
Để làm rõ sự việc trên, tiếp tục phân tích tập tin msgstore.db. Tra cứu bảng sqlite_sequence ta thấy số tin nhắn đến và đi tổng là 9, và có 1 số liên lạc trên danh bạ như hình sau:
Hình 4.9 – Bảng sqlite_sequence
Qua đó ta có thể khẳng định rằng kẻ phạm tội đã xóa đoạn hội thoại. Với ứng dụng whatsapp thường lưu trữ một bản sao msgstore.db trên thẻ nhớ SD vì vậy ta có thể truy cập vào tập tin bản sao của thẻ nhớ và thực hiện tìm kiếm thông tin backup của ứng dụng Whatsapp.
Hình 4.10 – Thư mục backup trên thẻ nhớ của ứng dụng whatsapp
Hình 4.10 cho thấy có 2 tập tin cơ sở dữ liệu backup và ở dạng mã hóa. Ta thấy tập tin có tên msgstore-2015-05-28.1.db.crypt8 đã bị xóa, thực hiện trích xuất tập tin bị xóa về máy tính và phân tích. Whatsapp khi sao lưu cơ sở dữ liệu sang thẻ nhớ sẽ mã hóa tập tin đấy. Để giải mã tập tin này ta cần phải lấy tập tin chứa key tại thư mục /data/data/com.whatsapp/files/. Sử dụng trang web http://whatcrypt.com để giải mã tập tin bị mã hóa (Chi tiết các bước sử dụng trang web để giải mã tập tin cơ sở dữ liệu của Whatsapp được nêu ở phần phụ lục II).
125
Hình 4.11 – Giả mã cơ sở dữ liệu Whatsapp
Sau khi sử dụng trang web trên để giải mã trên ta thu được tập tin msgstore.db, sử dụng Sqlite Browser mở tập tin mới nhận được ta thấy
Hình 4.12 – Nội dung tin nhắn trích xuất từ whatapps
Trong nội dung đoạn hội thoại có một liên kết url được gửi đến. Có thể trong url này có chứa thông tin chi tiết về cuộc gặp. Nhưng khi truy cập vào liên kết trên, kết quả là tập tin trên đường dẫn đã bị xóa bởi chủ sở hữu. Có thể tên tội phạm này đã tải tập tin trên về, nên hướng điều tra tiếp theo là tìm kiếm tập tin với tên Rookie.zip trên phân vùng bộ nhớ. Sử dụng công cụ tìm kiếm theo từ khóa của Autopsy tìm kiếm với từ khóa “Rookie” ta thu được:
126
Hình 4.13 – Kết quả tìm kiếm từ khóa Rookie
Kết quả tìm kiếm với từ khóa “Rookie.zip”, cho ta thấy dữ liệu được lưu trữ tại cơ sở dữ liệu của trình duyệt web (tập tin browser2.db) và trình download trên Android. Trích xuất 2 tập tin trên và thực hiện phân tích với tập tin browser2.db ta thấy rằng kẻ tình nghi đã truy cập vào đường dẫn mà đối phương gửi qua ứng dụng whatapps.
Hình 4.14 – Vị trí lưu trữ tập tin tải về
Kết quả phân tích tập tin downloads.db cho thấy tập tin tải về được lưu trữ tại thư mục Download trên thẻ nhớ. Tiếp cận với dữ liệu trên bản sao thẻ, cụ thể là thư mục /Download ta thấy tập tin Rookie.zip đã bị xóa. Nên cần phải khôi phục tập tin đã xóa trên.
127
Hình 4.15 – Trích xuất tập tin bị xóa
Khi khôi phục được tập tin mà kẻ tình nghi đã xóa khỏi thẻ nhớ, thực hiện trích xuất thông tin chứa trong tập tin nén, kết quả thu được là thời gian và địa điểm mà chúng hẹn trong cuộc giao dịch sắp tới:
128
Kết quả của bước này:
Nghi phạm đã từng sử dụng ứng dụng Whatapps để thực hiện gửi các tin nhắn. Các tin nhắn đã bị xóa nhưng điều tra viên đã khôi phục lại được và tìm ra được
thông tin về địa điểm giao dịch là : Thời gian: 00h ngày 03/06/2015 Địa điểm: Học viện kỹ thuật Mật Mã
Bước 3: Kết quả điều tra
Điều tra viên nhân bản được dữ liệu của thẻ nhớ là tệp tin SD.img và usedata.img để đưa đi phân tích.
Dữ liệu gốc trên điện thoại không bị ảnh hưởng.
Nghi phạm đã từng sử dụng ứng dụng Whatapps để thực hiện gửi các tin nhắn. Các tin nhắn đã bị xóa nhưng điều tra viên đã khôi phục lại được và tìm ra được
thông tin về địa điểm giao dịch là : Thời gian: 00h ngày 03/06/2015 Địa điểm: Học viện kỹ thuật Mật Mã 4.2.6 Kiểm tra xác nhận
Điều tra viên thực hiện lại các tệp tin thu được SD.img, usedata.img được nhân bản chính xác lần nữa.
Với kết quả đã thu thập được ở bước xử lý bằng chứng, bước kiểm tra xác nhận tạm thời sẽ coi thông tin thu nhận được coi là “bằng chứng số” để cơ quan điều tra tiếp tục đến địa điểm giao dịch để bắt quả tang giao dịch. Các vấn đề tiếp theo sẽ là nghiệp vụ của cơ quan điều tra. Nếu có xảy ra giao dịch và các nghi phạm có phạm tội thì “bằng chứng số” này sẽ có thể một phần thông tin được lưu trong hồ sơ báo cáo, hồ sơ tội phạm sau này.