Khi điện thoại đã được bảo vệ, cách ly khỏi các kết nối khác, việc xử lý điện thoại có thể bắt đầu. Việc xử lý bằng chứng bao gồm các bước như thu thập dữ liệu hữu ích trên thiết bị, phân tích các dữ liệu thu thập được và đưa ra kết quả phân tích trên.
2.2.5.1 Thu thập dữ liệu hữu ích
Giai đoạn này rất quan trọng cho quá trình phân tích, điều tra bộ nhớ trên thiết bị: tất cả những thông tin trên điện thoại phải được đưa vào một môi trường điều tra an toàn để thực hiện điều tra, phân tích đây là việc làm rất quan trọng vì nó phải đảm bảo được rằng những bằng chứng thu thập được ban đầu cần phải đảm bảo được tính toàn vẹn của bằng chứng . Tất cả dữ liệu thu thập được từ điện thoại (lịch sử cuộc gọi, tin nhắn, hình ảnh, đa phương tiện, các kết nối, phân vùng bộ nhớ) phải được ghi lại và ký mã bởi các thuật toán như MD5 hoặc SHA1 để đảm bảo tính toàn vẹn bằng chứng, trước khi đi vào phân tích, điều tra thì điều tra viên cần kiểm tra độ tin cậy của bằng chứng dựa vào các thông tin MD5 hoặc SHA1 cung cấp. Nhằm tránh việc gian lận và làm giả các bằng chứng, với mục đích đánh lạc hướng điều tra. Công cụ hỗ trợ kiểm tra tính toàn vẹn bằng chứng có thể là md5sum, sha1sum, hay công cụ HashMyFile cho phép ta kiểm tra, tính toán các mã băm như MD5, SHA1, CRC32 … Nguyên tắc để đảm bảo tính toàn vẹn trong quá trình phân tích là, trước khi bước vào phân tích điều tra ta tạo ra một mã băm của tập tin, và sau khi điều tra có kết quả, ta thực hiện tính toán lại mã băm của tập tin đó. Rồi so sánh kết quả mã băm của trước khi điều tra và sau khi điều tra. Nếu giống nhau, thì bằng chứng hoàn toàn đáng tin cậy, chưa bị sửa đổi trong quá trình phân tích, và ngược lại nếu kết quả so sánh là khác nhau, có thể ai đó đã cố tình thay đổi, hoặc sửa đổi bằng chứng nhằm đánh lạc hướng điều tra hoặc có thể gây ra lỗi trong quá trình phân tích tác động lên bản sao của bằng chứng .
2.2.5.2 Phân tích và điều tra
Sau khi thu thập xong bằng chứng tất cả các dữ liệu được cách ly trong một môi trường điều tra an toàn thì nhiệm vụ tiếp theo của quá trình thực hiện phân
52
tích là thiết lập mốc thời gian. Bằng chứng là một dạng tập tin hình ảnh, bản sao đầy đủ của điện thoại, hoặc là các tập tin dữ liệu được chiết xuất ra, phục vụ hữu ích cho việc theo dõi các sự kiện xảy ra trên điện thoại (hiển thị thời gian lịch sử cuộc gọi, tin nhắn SMS … các tập tin hoặc thư mục được tạo/xóa trong thời gian đó và qua đó cũng chứng minh được sự hiện diện của các kịch bản hoạt động). Quá trình thiết lập mốc thời gian bao gồm: Thời gian của một trong những bước đầu tiên tạo ra các tập tin bản sao, với thông tin (dữ liệu và siêu dữ liệu) lấy ra từ các tập tin hình ảnh, từ điện thoại và tiếp theo là sắp xếp các loại dữ liệu đó theo mốc thời gian tăng dần.
Bằng chứng sau khi thu thập, cần phải tìm kiếm cách thức phù hợp để khai thác dấu hiệu đặc biệt của tội phạm. Các dữ liệu thu thập từ bằng chứng cần được phân loại và bằng suy luận tương quan để đưa ra những nhận xét quan trọng trong quá trình điều tra. Tiếp cận bằng chứng bằng các phương pháp thống kê và khai phá dữ liệu được dùng để tìm kiếm các manh mối quan trọng. Có thể tìm được trên điện thoại một số bằng chứng quan trọng, cũng có trường hợp bằng chứng thu thập được là do kẻ phạm tội cố tình để lại nhằm đánh lạc hướng điều tra. Nên các điều tra viên cần phải có kiến thức nền tảng, kinh nghiệm trong việc phân tích này. Trên bằng chứng thu thập được chúng ta có thể thu được các manh mối từ lịch sử cuộc gọi, tin nhắn SMS, MMS hay hình ảnh, dữ liệu lưu trữ trên bộ nhớ hoặc trên các tài khoản online. Các điều tra viên phải dựa vào tính chất vụ án, hay mục tiêu của vụ án để tiếp cận các manh mối đó một cách chính xác hơn. Từ các manh mối thu thập được điều tra viên cần phải xâu chuỗi các sự kiện một cách logic.
2.2.5.3 Kết quả phân tích
Khi thực hiện các kỹ thuật phân tích, điều tra từ những dữ liệu thu thập được, các điều tra viên cần phải đưa ra được kết luận cuối cùng của việc điều tra, nhằm giải thích, làm rõ vụ án.