- Xác định mục tiêu:
Trước khi bắt đầu vào việc phân tích các dữ liệu thu thập được ở quá trình trước đó, các điều tra viên cần phải để ý tới mục tiêu điều tra, dựa trên những gì đang được điều tra. Việc này rất quan trọng bởi vì tùy thuộc vào tình tiết vụ án và những gì đang được điều tra, phân tích dữ liệu được chiết xuất ra từ thiết bị có thể theo một hướng khác. Chẳng hạn như, mục tiêu có thể chỉ là hình ảnh, video, hoặc địa chỉ liên lạc, ví trí. - Cá nhân hóa thiết bị
Sau khi xác định được các mục tiêu cần phải phân tích, các điều tra viên nên đi vào tìm kiếm, khai thác dữ liệu trích xuất từ thiết bị. Việc tìm kiếm được thực hiện trên các dữ liệu được trích xuất, chẳng hạn như tên người dùng tài khoản Google, thư điện tử, ghi chú, lịch, danh bạ điện thoại. Việc cá nhân hóa thiết bị, giúp điều tra viên có thể
64
xác định ai là người sử dụng thiết bị và liên kết với bằng chứng được tìm thấy qua quá trình phân tích để xác định nghi phạm trong vụ án.
- Phân tích dữ liệu trên thiết bị
Giai đoạn này bao gồm việc phân tích dữ liệu chứa trên thẻ nhớ và dữ liệu chứa trên bộ nhớ trong của thiết bị. Việc phân tích bắt đầu với việc trích xuất dữ liệu từ thẻ nhớ. Với bản sao lưu thẻ nhớ và bộ nhớ trong đã thu thập được trong giai đoạn trên, nó có thể sử dụng các công cụ điều tra thường sử dụng cho điều tra máy tính để xem cấu trúc tập tin, tìm kiếm dữ liệu theo từ khóa, tìm kiếm các biểu thức thông thường, xem các hình ảnh và video hoặc khôi phục lại các tập tin đã xóa. Sau đó, kiểm tra dữ liệu trên thiết bị có thể bị thay đổi tùy thuộc vào cách nó được trích xuất. Lúc này điều tra viên cần phải xác minh lại dữ liệu được trích xuất. Tuy nhiên, trong giai đoạn thu thập, các nhà phân tích phải thực hiện so sánh với những gì đã được trích xuất bởi các ứng dụng với các thông tin trên thiết bị, bổ sung báo cáo điều tra tạo ra bởi công cụ.
Các công cụ thường được sử dụng trong giai đoạn này đó là:
Autopsy là một công cụ mang tính pháp lý trong điều tra số. Nó là một công cụ giúp các điều tra viên phục hồi các tập tin từ thẻ nhớ, hay bộ nhớ của thiết bị lưu trữ, nó hỗ trợ các điều tra viên phân tích theo thời gian, tìm kiếm theo từ khóa, trích xuất lịch sử, đánh dấu và cookie từ trình duyệt, khôi phục các tập tin đã bị xóa …
FTK (Forensic Toolkit ): Đây là một công cụ hỗ trợ điều tra số xây dựng dựa trên tốc độ, ổn định và dễ sử dụng. Nó là một công cụ hỗ trợ truy cập dữ liệu, bộ công cụ này còn bao gồm một chương trình tạo bản sao thiết bị gọi là FTK Imager. Nó tính toán giá trị băm MD5 và xác nhận tính toàn vẹn của dữ liệu trước khi tạo sao lưu. Kết quả là một tập tin hình ảnh được lưu trữ dưới nhiều dạng khác nhau như dd, raw, img, …
Foremost – một công cụ mã nguồn mở, giao diện sử dụng console, dùng để khôi phục tập tin dựa vào tiêu đề, phụ đề và các cấu trúc dữ liệu bên trong.
Các công cụ trên Linux như mount, string, grep, find …
Sau khi thực hiện phân tích các dữ liệu thu thập được từ thiết bị. Trong trường hợp nếu như sau quá trình phân tích mà vẫn chưa thể làm rõ được vụ án, hoặc đã phân tích sai tại một bước nào đó, các điều tra viên có thể đề nghị nghiên cứu lại các tình tiết của vụ án dựa vào các bằng chứng thu thập được và xâu chuỗi sự kiện một cách logic,
65
và điều quan trọng là cần phải làm rõ được việc nghiên cứu thêm tình tiết vụ án đó là hợp lý trong việc làm rõ chân tướng của vụ án. Nhưng nếu như trong trường hợp, sau quá trình phân tích vụ án đã được làm rõ, hoặc sau khi phân tích lại vụ án đã được làm rõ thì các điều tra viên phải có kế hoạch cho việc ghi chép các mốc thời gian của vụ án, cũng như các kỹ thuật, công cụ đã sử dụng trong việc phân tích như thế nào. Sau cùng là làm báo cáo kết quả phân tích để thực hiện chuyển sang quá trình kiểm tra xác nhận kết quả trong quá trình điều tra.
66
CHƯƠNG 3. KỸ THUẬT ĐIỀU TRA SỐ
Chương 3 tập trung vào Điều tra số trên các thiết bị di động sử dụng Hệ điều hành Android.[15]
3.1 Hệ điều hành Android
3.1.1 Các thành phần hệ điều hành Android
Hệ điều hành Android là mã nguồn mở được phát hành dưới giấy phép của Apache, sử dụng nhân Linux, chia thành nhiều lớp như bên dưới.