Đăng ký

.20 – Kỹ thuật Chip-off

Một phần của tài liệu Quy trình điều tra số, bằng chứng số, ứng dụng trong điều tra tội phạm máy tính (Trang 115 - 117)

Bước 1: Tất cả các chip trên thiết bị cần phải được nghiên cứu để xác định chip chứa dữ

liệu người dùng. Một khi xác định, bộ nhớ flash NAND có thể chất lấy ra từ thiết bị. Điều này có thể được thực hiện bằng cách áp dụng nhiệt để lấy chip như thể hiện trong hình ảnh sau đây (www.binaryintel.com). Đây là một quá trình khó và phải thực hiện cẩn thận nếu không sẽ làm hỏng bộ nhớ NAND.

Bước 2: Các chip được sau đó làm sạch và sửa chữa để đảm bảo rằng các kết nối hiện tại

và hoạt động.

Bước 3: Sử dụng thiết bị phần cứng chuyên adapter, chip có thể đọc được. Điều này được

thực hiện bằng cách chèn các chip vào các thiết bị phần cứng, hỗ trợ chip NAND flash cụ thể. Trong quá trình này, dữ liệu thô được thu thập từ con chip kết quả trong một file .bin.

Bước 4: Các dữ liệu thu được có thể được phân tích bằng kỹ thuật pháp y và các công cụ

mô tả trước đó.

Các kỹ thuật chip-off là hữu ích nhất khi thiết bị bị hư hỏng nặng, bị khóa, hoặc nếu không thể tiếp cận. Tuy nhiên, việc áp dụng kỹ thuật này đòi hỏi không chỉ chuyên môn mà

102

còn thiết bị tốn kém và công cụ,vì có thể gây hỏng bộ nhớ NAND trong khi gỡ bỏ nó và do đó nó được khuyến khích để thử các kỹ thuật đầu tiên logic để trích xuất dữ liệu.

3.3.4 Trích xuất tạo ảnh một bộ nhớ thẻ

Có nhiều công cụ có sẵn có thể tạo ảnh vào thẻ nhớ. Ví dụ sau đây sử dụng WinHex để tạo ra một hình ảnh đĩa của thẻ SD. Sau đây là một bước theo bước quá trình để hình ảnh một thẻ nhớ bằng cách sử dụng phần mềm WinHex.

Bước 1:Kết nối thẻ nhớ: Tháo thẻ SD với khe cắm bộ nhớ và sử dụng một đầu đọc thẻ để

kết nối thẻ nhớ vào máy trạm pháp y.

Bước 2: Bật chức năng: Write Protected the Card: Mở đĩa sử dụng WinHex. Điều hướng

đến Options | Edit Mode và chọn chế độ Write-Protected, như thể hiện trong hình bên dưới. Điều này là để đảm bảo rằng thiết bị là được bảo vệ và không có dữ liệu có thể được viết trên đó.

WinHex của Edit Mode (trái) và WinHex chỉ đọc Mode được kích hoạt

Bước 3: Tính giá trị băm: Tính giá trị băm của thẻ nhớ để đảm bảo rằng không có thay

đổi được thực hiện tại bất kỳ điểm nào trong quá trình điều tra. Điều hướng vào Tools | Compute hash và chọn bất kỳ thuật toán băm.

Bước 4 Tạo hình ảnh của đĩa: Điều hướng vào File | Create Disk Image, như thể hiện

trong hình bên dưới. Chọn tùy chọn Raw image (.dd) để tạo ra một hình ảnh. Điều này hoàn thành hình ảnh của thẻ nhớ.

103

Một phần của tài liệu Quy trình điều tra số, bằng chứng số, ứng dụng trong điều tra tội phạm máy tính (Trang 115 - 117)

Tải bản đầy đủ (PDF)

(156 trang)