Hình 2.12 minh họa các bước đầu tiên trong quy trình thu thập và bảo vệ dữ liệu chứa trên các thiết bị. Các điều tra viên cần phải tiến hành các thủ tục bảo vệ dữ liệu trên các thiết bị này. Bằng việc kiểm tra chiếc điện thoại đó có được bật hay không, để có một quy trình xử lý đúng.
Giả sử khi thu thập điện thoại trong trạng thái tắt hoặc không thể bật lên. Việc đầu tiên, các điều tra viên cần phải làm là đánh giá khả năng khôi phục dữ liệu từ thành phần của thiết bị như thẻ nhớ ngoài. Trong trường hợp dữ liệu chứa trên thẻ nhớ có khả năng khôi phục được, ta tiến hành lắp thẻ nhớ vào một đầu đọc thẻ, tạo bản sao lưu của thẻ nhớ, thực hiện trích xuất dữ liệu trên bản sao thẻ nhớ và bảo vệ những dữ liệu thu thập được phục vụ cho quá trình phân tích. Sau khi có được dữ liệu chứa trên thẻ nhớ, hoặc trong trường hợp điện thoại không có thẻ nhớ ngoài, hoặc thẻ nhớ bị hỏng không thu thập được dữ liệu, lúc này các điều tra viên cần phải xác định nguyên nhân dẫn đến thiết bị tắt nhằm khôi phục điện thoại trở lại hoạt động bình thường, phục vụ cho việc thu thập dữ liệu chứa trên bộ nhớ trong. Một số nguyên nhân khiến điện thoại ở trạng thái tắt như:
- Điện thoại hết pin: Trong trường hợp này có thể khôi phục để điện thoại hoạt động bình thường bằng cách tìm kiếm một loại xạc thích hợp với đời máy và tiến hành nạp điện cho thiết bị
58
- Điện thoại thu thập ở hiện trường đã bị ngâm trong nước: Đối với trường hợp này, tại hiện trường thu thập cần phải loại bỏ PIN ra khỏi thiết bị, Khi bị ngâm nước, có thể dữ liệu bộ nhớ trên thiết bị chưa bị phá hủy, nên có thể khôi phục được dữ liệu trên đấy hoặc tìm cách khôi phục để điện thoại trở lại hoạt động bình thường.
- Điện thoại đang trong tính trạng bị phá hủy bằng cách đốt cháy, hoặc đập nát: Với trường hợp này, kẻ gây án đã cố tình phá hủy điện thoại nhằm tiêu hủy bằng chứng chứa trên đó. Bộ nhớ của thiết bị có thể bị phá hủy hoàn toàn, lúc này thiết bị thu thập được không có tác dụng trong việc thu thập bằng chứng .
Trong tình huống này, nếu có thể khôi phục điện thoại trở lại hoạt động bình thường, ta áp dụng quy trình thu thập bằng chứng tại mục 2.3.2
2.3.2 Thu thập dữ liệu trên thiết bị bật, không có mã bảo vệ
Trong trường hợp này các điều tra viên sẽ dễ dàng tiếp cận thu thập dữ liệu nếu như tài khoản người dùng cao nhất (tài khoản root) trên thiết bị được kích hoạt. Việc đầu tiên cần phải làm là duy trì trạng thái của điện thoại, để đảm bảo các tiến trình trên RAM không bị mất, sau đó tiến hành tạo một bản sao dữ liệu trên thẻ nhớ, và áp dụng các kỹ thuật bảo vệ bằng chứng để bảo vệ bản gốc và thực hiện trích xuất dữu liệu trên bản sao của thẻ nhớ.
Thiết bị thu thập được ở trạng thái bật, trước hết ta xem xét dữ liệu chứa trên thẻ nhớ. Các dữ liệu chứa trên thẻ nhớ đã được trích xuất ở các bước trước đó chưa, nếu như chưa được trích xuất ta thực hiện trích xuất dữ liệu trên đấy còn nếu như dữ liệu đã được trích xuất ta thực hiện kiểm tra quyền hạn của người dùng trên thiết bị.
Sau khi kiểm tra dữ liệu trên bộ nhớ ngoài, ta cần thực hiện kết nối giữa thiết bị với máy tính. Kết nối thiết bị thông qua ADB thực hiện tạo ra các bản sao của phân vùng dữ liệu quan trọng. Việc tạo bản sao các phân vùng này, giúp cho quá trình kiểm tra và phân tích dữ liệu trên đó được thuận tiện hơn. Khi có bản sao các phân vùng hệ thống, phân vùng người dùng, điều tra viên cần phải chú ý quan sát các tiến trình đang chạy trên thiết bị và thực hiện một cuộc đánh giá khả năng thu thập bằng chứng từ các tiến trình này.
59