File này cần phải được sửa đổi để đề cập đến các tập tin có liên quan đến Android. Một tập tin mẫu scalpel.conf có thể được tải về từ liên kết
111
Người phân tích cũng có thể ghi chú các tập tin và lưu các tập tin conf để chọn loại tập tin đã chọn. Một khi điều này được thực hiện, thay thế các file conf ban đầu với một trong đó được tải về.
Bước 3: Scalpel cần phải được chạy cùng với các tập tin cấu hình trước trên hình ảnh
được kiểm tra. Một khi lệnh được chạy, công cụ khởi chạy để thu thập các tập tin và xây dựng chúng cho phù hợp:
Hình 2.2 -Chạy công cụ Scalpel trong một file dd
Bước 4: Các thư mục đầu ra quy định trong lệnh trước không có chứa danh sách các thư mục dựa trên các loại tập tin, như thể hiện trong hình bên dưới. Mỗi thư mục chứa dữ liệu dựa vào tên thư mục. Ví dụ, jpg 2-0 chứa các tập tin liên quan đến việc mở rộng .jpg đã được phục hồi.
Hình 3.28 – Thư mục đầu ra sau khi chạy công cụ Scalpel
Bước 5: Như thể hiện trong ảnh chụp màn hình trước, mỗi thư mục chứa dữ liệu phục
112
Trong khi một số hình ảnh được phục hồi hoàn toàn, một số không được phục hồi tới một mức độ đầy đủ, như thể hiện trong hình bên dưới:
Hình 3.29 –Dữ liệu khôi phục sau khi sử dụngScalpel
3.3.7.3 Phục hồi địa chỉ liên lạc qua thư điện tử.
Điều tra cũng có thể khôi phục lại địa chỉ liên lạc trên các thiết bị sử dụng tùy chọn Khôi phục liên lạc thông qua các tài khoản Google được cấu hình trên các thiết bị. Nếu người sử dụng các thiết bị trước đây đã được đồng bộ hóa địa chỉ liên lạc của họ bằng cách sử dụng tùy chọn Cài đặt Sync trong Android.. Sau khi tài khoản được truy cập, thực hiện các bước sau để khôi phục dữ liệu:
1. Đăng nhập vào tài khoản Gmail.
2. Click vào Gmail ở góc và chọn Danh bạ trên bên trái, như thể hiện trong những điều sau đây ảnh chụp màn hình:
Hình 3.30 – Danh sách liên lạc trên Gmail
3. Nhấp vào More, hiện trên danh sách liên lạc.
113
Hình 3.31 – Hộp thoại thông báo khôi phục danh sách liên lạc
5. Bây giờ, bạn có thể khôi phục lại danh sách liên lạc vào thời điểm bất kỳ trong vòng 30 ngày qua sử dụng.
114
CHƯƠNG 4. THỰC NGHIỆM PHÂN TÍCH ĐIỀU TRA SỐ
4.1 Giới thiệu tình huống
Đây là một tình huống giả định, ứng dụng quy trình điều tra số trên điện thoại Android.
Tình huống được đặt giả định như sau:
o Trong cuộc điều tra, truy tìm địa điểm một cuộc giao dịch, buôn bán hàng cấm, tổ điều tra đã xác định được nghi phạm. Khi tiến hành theo dõi nghi phạm, nghi phạm đã bỏ trốn. Tại tại nơi ở của nghi phạm, tổ điều tra đã thu giữ được một chiếc điện thoại sử dụng hệ điều hành Android.
Yêu cầu của cấp trên:
o Tìm các thông tin hữu ích có trong chiếc điện thoại di động này, phục vụ cho quá trình tìm kiếm kết tội sau này, tìm thông tin hữu ích liên quan đến địa điểm giao dịch. Thực hiện đúng quy trình đảm bảo dữ liệu còn nguyên vẹn trên chiếc điện thoại này.
o Nếu có thông tin hữu ích thì thông tin này có thể là “Bằng chứng số” được lưu trữ trên thiết bị di động của nghi phạm.
Cách thức thực hiện điều tra
Để thực hiện yêu cầu này thì điều tra viên cần thực hiện theo quy trình, sử dụng kết hợp các công cụ cần thiết để có thể tìm được các thông tin hữu ích. Điều tra viên sử dụng “Quy trình điều tra số trên thiết bị Android” trình bày trong mục 2.2 với các bước như sau:
Bước 1: Tiếp nhận cuộc điều tra Bước 2: Nhận dạng thiết bị Bước 3: Chuẩn bị
Bước 4: Bảo vệ bằng chứng Bước 5: Xử lý bằng chứng
115
Bước 6: Kiểm tra xác nhận Bước 7: Lập tài liệu và báo cáo Bước 8: Trình bày vụ án
Bước 9: Lưu trữ hồ sơ vụ án
Tuy nhiên với tình huống giả định chưa thể kết luận được nhiều thông tin về bằng chứng ngay, mà cần phải nhiều thông tin đi cùng nên việc thực nghiệm sẽ tập trung vào các bước 1,2,3,4,5,6, Các bước số 7, bước số 8 và bước số 9 còn phụ thuộc vào nghiệp vụ của ngành điều tra tội phạm.
4.2 Thực hiện quy trình điều tra
Các bước thực hiện theo quy trình thu thập bằng chứng và phân tích bằng chứng. Để thực hiện bước đầu tiên về tìm kiếm thông tin hữu ích trên chiếc điện thoại, học viên sử dụng “Quy trình thu thập bằng chứng” trên thiết bị di động
4.2.1 Tiếp nhận cuộc điều tra
Điều tra viên nhận thiết bị di động, ký nhận bàn giao thiết bị. Nhận yêu cầu phân tích thông tin trên thiết bị di động là:
“Tìm thông tin hữu ích trên điện thoại di động Android như thông tin dự kiến địa điểm giao dịch hay thông tin nghi ngờ khác”
4.2.2 Nhận dạng thiết bị
Điều tra viên kiểm tra thiết bị hiện tại không có khóa, điều tra viên thu thập thông tin nhận dạng thiết bị như sau khi biết đây là điện thoại Android.
Lấy thông tin nhận dạng thiết bị có thể sử dụng các công cụ đề xuất trong Setting >
About phone và trang tìm kiếm thông tin IMEI http://www.imei.info để lấy các thông
tin cần thiết.
116
Bảng 4.1 – Thông tin nhận dạng thiết bị
Loại thiết bị Điện thoại thông minh
Thiết bị thu thập trong tính trạng nào? Bật Thiết bị có mã bảo vệ không? Không
Chế độ USB debugging Được kích hoạt Tài khoản root trên điện thoại Có
Có thẻ SIM không? Có Số điện thoại 0917xxxxxx Số serial RUJQ323800T Số IMEI 352993056232317 Hãng sản xuất SAMSUNG Model GT-I9300 GSM 850 900 1800 1900 HSDPA 850 900 1900 2100 HSPA+ Hệ điều hành Android 4.1.1 Phiên bản nhân 3.0.1.13
Mục đích của cuộc điều tra là tìm ra địa điểm của cuộc giao dịch bằng cách trích xuất các dữ liệu chứa trên điện thoại đã thu thập được.
Các dữ liệu cần trích xuất: SMS, MMS, lịch sử cuộc gọi, lịch sử duyệt web, các thông tin ứng dụng trên thiết bị.
4.2.3 Chuẩn bị
Sau khi xác định được các mục tiêu trích xuất dữ liệu, điều tra viên cần chuẩn bị các công cụ phục vụ cho quá trình thu thập và điều tra như sau:
Kết quả thu được bước này:
Công cụ truy cập vào điện thoại Dây kết nối
Công cụ ADB
Công cụ sử dụng để tạo bản sao dữ liệu Công cụ DD
117
Winhex
Công cụ để kiểm tra giá trị bằng chứng SHA1SUM
Winhex
Công cụ sử dụng trong phân tích điều tra Trang tìm kiếm thông tin google.com Phần mềm Autospy
SqliteBrowser
Máy tính chạy hệ điều hành Windows 7 và cài sẵn bộ công cụ ASDK được trình bày 3.2 Thiết lập môi trường điều tra số.
Dựa vào thông tin thu được từ bước nhận dạng thiết bị ta thấy rằng thiết bị thu giữ được trong trạng thái bật, chế độ USB debugging trên thiết bị đã được kích hoạt, và thiết bị đã bị root tương đương với việc các điều tra viên có tài khoản người dùng cao nhất để có thể truy cập vào các phân vùng hệ thống để thu thập dữ liệu hữu ích, phục vụ cho quá trình phân tích điều tra.
Tham khảo quy trình thu thập chứng cứ ở mục 2.3 ta có quy trình thu thập dữ liệu đối với tình huống này như hình sau:
118
Hình 4.1 – Quy trình thu thập chứng cứ vụ án
4.2.4 Bảo vệ chứng cứ
Đưa thiết bị vào phòng thí nghiệm pháp y, nhằm mục đích cách ly với các kết nối bên ngoài đảm bảo dữ liệu chứa trên điện thoại. Bảo vệ các dữ liệu bên trong thiết bị,
119
tắt các kết nối tới mạng, chuyển về chế độ máy bay (Airplance) tránh trường hợp thiết bị có thể bị truy cập từ xa và xóa đi những dữ liệu quan trọng trong vụ án
Kết quả bước này là:
-Thiết bị được cách ly an toàn với mạng di động và mạng Internet. 4.2.5 Xử lý bằng chứng
Bước xử lý bằng chứng được thực hiện chi tiết theo các bước nhỏ như sau:
- Bước 1: Thu thập dữ liệu hữu ích
- Bước 2: Phân tích và điều tra
- Bước 3: Kết quả phân tích Bước 1: Thu thập dữ liệu hữu ích
Điều tra viên sử dụng cáp kết nối với máy tính Windows 7, sử dụng công cụ ADB để truy cập, sử dụng kỹ thuật trong mục 3.2.4 Kết nối thiết bị Android. Kết nối điện thoại với máy tính, sử dụng công cụ adb để tiếp cận dữ liệu tại thư mục /data/system như Hình 4.2
Hình 4.2 – Dữ liệu bên trong thư mục /data/system
Để tiếp cận được dữ liệu bên trong thiết bị, sử dụng cáp nối USB, kết nối thiết bị với máy tính qua ADB dùng để phân tích điều tra. Công việc tiếp theo cần làm là tạo ra các bản sao lưu của bộ nhớ ngoài SD, và phân vùng usrdata của thiết bị.
120
Trước khi tạo bản sao ta tính toán giá trị hàm băm SHA1 của các phân vùng trên: Thẻ nhớ SD: 31e9df5cd788e2b9dbd6faa63c2a5e1972ddda5b
usrdata: 325cd2cb461b5fc2e10a0c694c7d81fcc1cb921a
Áp dụng mục 3.3.4 Kỹ thuật trích xuất dữ liệu ảnh của bộ nhớ thẻ, sử dụng công cụ dd, winhex để tạo bản sao các phân vùng trên, thu được 2 tập tin là SD.img và usrdata.img xác thực giá trị hàm băm của hai tập tin và so sánh với giá trị băm ban đầu:
Hình 4. 3 – Xác nhận giá trị bản sao chứng cứ
Giá trị hàm băm của các tập tin bản sao hoàn toàn trùng khớp với giá trị hàm băm ban đầu, chứng tỏ quá trình sao lưu hoàn toàn đúng. Ta tiến hành đi vào quá trình phân tích điều tra.
Kết quả bước 1 này là:
Điều tra viên nhân bản được dữ liệu của thẻ nhớ là tệp tin SD.img và usedata.img để đưa đi phân tích.
Dữ liệu gốc trên điện thoại không bị ảnh hưởng.
Bước 2: Phân tích và điều tra
Sau khi có các tệp tin SD.img và usedata.img, điều tra viên áp dụng các kỹ thuật như 3.3.2 Trích xuất dữ liệu logic: trích xuất tin nhắn SMS,MMS,ứng dụng thư điện tử mạng xã hội, áp dụng mục 3.3.5 Khôi phục các tệp tin bị xóa, để thực hiện công việc điều tra tiếp theo.
Mục tiêu của vụ án là tìm ra thời gian và địa điểm của cuộc giao dịch. Vì vậy việc đầu tiên trong quá trình phân tích là kiểm tra dữ liệu như SMS, MMS, các ứng dụng thư điện tử, zalo, facebook, whatsapp.
Sử dụng công cụ Autospy tạo một tình huống điều tra (các bước xây dựng tình huống điều tra trên công cụ Autospy được thể hiện trong phụ lục I). Sau đó thực hiện trích xuất cơ sở dữ liệu SMS từ phân vùng usrdata kiểm tra các tin nhắn đến và đi Hình 4.4. Thư
121
mục chứa cơ sở dữ liệu tin nhắn SMS, MMS trên hệ điều hành Android được lưu trữ trên tập tin mmssms.db trong thư mục:
/data/data/com.android.providers.telephony/databases.
Hình 4.4 – Xem tin nhắn SMS từ cơ sở dữ liệu
Các tham số của SMS trong cơ sở dữ liệu ở hình trên được quy định như sau: - Giá trị trong cột read/type có ý nghĩa như sau:
Read mang 2 giá trị 0 và 1
Giá trị 0, người dùng chưa đọc tin nhắn Giá trị 1, người dùng đã đọc tin nhắn Type mang 2 giá trị 1 và 2
Giá trị 1, tin nhắn được gửi đến Giá trị 2, tin nhắn được gửi đi
- Giá trị trong cột Date được lưu trữ dưới dạng miliseconds, nên ta cần đổi về giờ địa phương. Ví dụ với dòng thời gian thứ 2 thời gian hiển thị trong cơ sở dữ liệu là 1432564944015. Chuyển đổi về thời gian sẽ được là 21:42:24.015 ngày 25 tháng 5 năm 2015. Như hình sau:
122
Hình 4.5 – Chuyển đổi giá trị ngày giờ
Qua Hình 4.4 và Hình 4.5 ta thấy có thể suy luận rằng kẻ tình nghi đã cài ứng dụng Whatsapp trên thiết bị của mình, sử dụng số điện thoại này để đăng ký sử dụng ứng dụng, nên có một tin nhắn với nội dung kích hoạt ứng dụng whatsapp được gửi đến vào lúc 21:42:24 ngày 25/05/2015 và tin nhắn này đã được xem. Tiếp tục theo hướng điều tra thực hiện tìm kiếm dữ liệu trên ứng dụng whatsapp.
Hình 4.6 – Dữ liệu chứa trên ứng dụng whatsapp
Theo dõi cột Created time ta thấy tất cả các dữ liệu chứa trên whatsapp được khởi tạo lúc 09:34:52 ngày 17/05/2015. Nên có thể suy luận rằng tên này đã cài đặt trước đó nhưng chưa kích hoạt để sử dụng, tới ngày 25/05/2015 hắn đã kích hoạt ứng dụng này. Cũng như SMS các đoạn hội thoại, hay tin nhắn sẽ được lưu trữ vào cơ sở dữ liệu, nên ta có thể trích xuất cơ sở dữ liệu của ứng dụng để thực hiện phân tích. Trong thư mục cơ sở dữ liệu của ứng dụng, chứa các tập tin như sau:
123
Hình 4.7 – Các tập tin cơ sở dữ liệu của Whatsapp
Đối với các thiết bị Android, có hai tập tin cơ sở dữ liệu có giá trị trong điều tra ứng dụng Whatsapp là: msgstore.db và wa.db, tập tin msgstore.db chứa thông tin chi tiết về các cuộc hội thoại còn tập tin wa.db lưu trữ thông tin, địa chỉ liên lạc của người dùng. Thực hiện trích xuất tập tin msgstore.db và wa.db, sau đó sử dụng công cụ SQLlite Brower để xem nội dung được lưu trên cơ sở dữ liệu của ứng dụng:
Hình 4.8 – Bảng cơ sở dữ liệu whatsapp
Có 2 nguyên nhân dẫn tới việc bảng messages trong cơ sở dữ liệu của whatsapp không có dữ liệu:
- Kẻ phạm tội mới cài đặt whatsapp chứ chưa sử dụng tới ứng dụng - Kẻ phạm tội đã xóa hết các tin nhắn sau khi sử dụng.
124
Để làm rõ sự việc trên, tiếp tục phân tích tập tin msgstore.db. Tra cứu bảng sqlite_sequence ta thấy số tin nhắn đến và đi tổng là 9, và có 1 số liên lạc trên danh bạ như hình sau:
Hình 4.9 – Bảng sqlite_sequence
Qua đó ta có thể khẳng định rằng kẻ phạm tội đã xóa đoạn hội thoại. Với ứng dụng whatsapp thường lưu trữ một bản sao msgstore.db trên thẻ nhớ SD vì vậy ta có thể truy cập vào tập tin bản sao của thẻ nhớ và thực hiện tìm kiếm thông tin backup của ứng dụng Whatsapp.
Hình 4.10 – Thư mục backup trên thẻ nhớ của ứng dụng whatsapp
Hình 4.10 cho thấy có 2 tập tin cơ sở dữ liệu backup và ở dạng mã hóa. Ta thấy tập tin có tên msgstore-2015-05-28.1.db.crypt8 đã bị xóa, thực hiện trích xuất tập tin bị xóa về máy tính và phân tích. Whatsapp khi sao lưu cơ sở dữ liệu sang thẻ nhớ sẽ mã hóa tập tin đấy. Để giải mã tập tin này ta cần phải lấy tập tin chứa key tại thư mục /data/data/com.whatsapp/files/. Sử dụng trang web http://whatcrypt.com để giải mã tập tin bị mã hóa (Chi tiết các bước sử dụng trang web để giải mã tập tin cơ sở dữ liệu của Whatsapp được nêu ở phần phụ lục II).
125
Hình 4.11 – Giả mã cơ sở dữ liệu Whatsapp
Sau khi sử dụng trang web trên để giải mã trên ta thu được tập tin msgstore.db, sử dụng Sqlite Browser mở tập tin mới nhận được ta thấy
Hình 4.12 – Nội dung tin nhắn trích xuất từ whatapps
Trong nội dung đoạn hội thoại có một liên kết url được gửi đến. Có thể trong url này có chứa thông tin chi tiết về cuộc gặp. Nhưng khi truy cập vào liên kết trên, kết quả là tập tin trên đường dẫn đã bị xóa bởi chủ sở hữu. Có thể tên tội phạm này đã tải tập tin trên về, nên hướng điều tra tiếp theo là tìm kiếm tập tin với tên Rookie.zip trên phân