Đối với đa số loại thiết bị thu giữ, trong trường hợp này là ổ cứng, đầu tiên đặt nó trong túi chống tĩnh điện, sau đó gập lại với túi chống shock. Sử dụng những thiết bị chuyên dụng để vận chuyển ổ cứng. Trong trường hợp đóng gới với thiết bị di động
31
cần phải sử dụng hộp có chức năng chắn sóng điện tử
2.1.4.2 Xác nhận tính toàn vẹn của dữ liệu
Sau khi dữ liệu được thu giữ, tính toàn vẹn nên được xác minh. Nó đặc biệt quan trọng đối với người điều tra viên để chứng minh dữ liệu không bị giả mạo, đấy là điều cần thiết về tính pháp lý. Xác minh tính toàn vẹn dữ liệu thường bao gốm việc sử dụng công cụ tính giá trị băm của dữ liệu gốc và sao chép dữ liệu sau đó được so sánh giá trị băm đó có giống với ban đầu hay không.
Trước khi bắt đầu thu thập bất kì dữ liệu nào, một quyết định cần phải được thực hiện bởi người thu thập hoặc người quản lý( phù hợp với chính sách tổ chức hoặc pháp luật) về sự cần thiết để thu thập và bảo quản bằng cách hỗ trợ việc sử dụng nó trong thủ tục tố tụng pháp lý và quyền giám hộ theo sau để tránh việc xử lý sai hoặc giả mạo bằng chứng. Điều này liên quan đến việc tạo tài liệu quản lý chuỗi hành trình( chain of custody) của tất cả mọi người, tài liệu này sẽ là bằng chứng về thời điểm nào, lưu trữ bằng chứng như thế nào có đảm bảo an toàn không.
2.1.4.3 Nhân bản dữ liệu
Bằng chứng số có tính chất rất dễ bị thay đổi do đó cần phải tuân theo một quy trình đặt biệt khi xử lý chúng, nếu không, ta có thể sẽ gặp phải một số vấn đề như bị tòa án từ chối hay bị đối tượng tình nghi kiện ngược lại. Vì vậy không nên sử dụng trực tiếp dữ liệu thu thập được khi bạn phân tích. Thay vào đó bạn bắt buộc phải thông qua một thủ tục đặc biệt gọi là “ nhân bản”, nó sẽ thay thế dữ liệu gốc thành các file logic mà bạn có thể thực hiện phân tích trên đó. Nhân bản sẽ giúp bạn không chỉ duy trì tính toàn vẹn của chứng cứ mà còn ngăn chặn việc dữ liệu bị hỏng.
Nhân bản là một chuỗi các hành động để tạo ra một bản sao giống hệt bằng chứng gốc.
Đối với cả 2 trường hợp thu thập tĩnh và thu thập động Xác định phương pháp nhân bản tốt nhất:
Disk –to –image
Disk –to –disk
Sparse data copy
Disk –to –image tạo bit –stream( sao chép disk –to –image là phương pháp phổ biến trong việc điều tra pháp y. Tạo file ảnh của bằng chứng gốc. Khi sử dụng phương
32
pháp, các nhà điều tra có thể tạo ra nhiều bản sao mà họ cần. Điều tra viên có ảnh từ đĩa gốc và đĩa khác.
Disk –to –disk : nếu như điều tra viên không thể tạo bit-stream disk –to –image vì một lý do nào đó. Họ phải sao chép chính sáng từ ổ đĩa gốc này sang ổ đĩa khác. Với phương này sử dụng các công cụ như SafeBack, SnapCopy, và Norton Ghost.
Sparse data copy: Trong quá trình điều tra, điều tra viên tìm thấy bằng chứng buộc tội cụ thể ở trong tập tin hoặc thư mục. Vì vậy phương pháp này tạo một bản sao mà điều tra viên chỉ sử dụng một phần tập hợp của các dữ liệu trong tất cả các dữ liệu liên quan. Điều tra viên có thể sử dụng phương pháp này để tạo ra một bản sao này để làm giảm kích thước tổng thể của bằng chứng.
Để xác định được phương thức nhân bản tốt nhất phụ thuộc vào công tác điều tra mà ta tiến hành. Tuy nhiên hình thức phổ biến nhất là tạo ra một bản sao disk –to – image với phương pháp này ta có thể tạo một hay nhiều bản sao của ổ đĩa khả nghi với chất lượng tốt nhất. Và bản sao này có thể đọc bằng nhiều công cụ điều tra chứng cứ số khác nhau như ProDiscover, EnCase, FTK, SMART, Kit Sleuth, X-cách Forensics, và iLook, để đọc các loại phổ biến nhất của đĩa tập tin hình ảnh tạo ra.
Trong một số trường hợp ta không thể tạo được các ảnh đĩa theo dạng disk –to – image do các ổ đĩa gốc quá cũ hay thiếu các trình điều khiển cần thiết. Khi đó người phân tích phải tạo các bản sao theo dạng disk –to –disk. Một số công cụ tạo ảnh đĩa hay dữ liệu có thể sao chép dữ liệu một cách chính xác từ một ổ đĩa cũ sang ổ đĩa mới. Các công cụ thực hiện điều này như EnCase và SafeBack (www.forensics- intl.com/safeback.html). Việc nhân bản chứng cứ từ một ổ đĩa lớn có thể mất vài giờ. Nếu thời gian của bạn là có hạn, hãy tính đến các tình huống tạo bản sao theo hình thức ánh xạ logic hay phương pháp sao chép dữ liệu sparse copy. Hình thức sao chép logic chỉ copy những tập tin mà chúng ta xác định, còn trường hợp spare copy sẽ sao
33
chép cả những phần chia chưa cấp phát và tập tin bị xóa mà không cần phải làm việc với toàn bộ hệ thống đĩa.
Để xác định phương pháp thích hợp chúng ta cần xem xét kích thước của ổ đĩa nguồn (ổ đĩa khả nghi có thể chứa các chứng cứ). Và những ổ đĩa này có thể thu giữ lâu dài để điều tra hay chỉ là thu giữ tạm thời, cùng với thời gian cho phép của cuộc khảo sát là những điểm mấu chốt để chúng ta quyết định phương pháp thu thập dữ liệu đĩa đúng đắn nhất.
Có các phương pháp khác nhau tuy nhiên mục đích của phần mềm hay phương thức đều là duy trì tính toàn vẹn của bằng chứng số. Để bảo mật định danh giữa bằng chứng số và file ảnh bản sao tạo ra bởi việc nhân bản thì hiện trường thu thập bằng chứng cũng phải được bảo vệ. Việc niêm phong thiết bị, tài liệu, chụp ảnh hiện trường và các thủ tục khác cũng được yêu cầu.
Công cụ phần mềm được sử dụng để thu thập
Những công cụ phần mềm dưới đây được khuyến cáo sử dụng theo các trang chuyên cung cấp công cụ điều tra pháp y được liệt kê trong phụ lục 1.
Ví dụđối với thu thập tĩnh, thu thập động -Thu thập dữ liệu tĩnh
Thu giữ thiết bị phần cứng đã tắt như ổ cứng và usb. Dưới đây sẽ trình bày về việc thu thập 1 thiết bị usb nghi ngờ có chứa những bằng chứng quan trọng. Ta thực hiện thu thập trên thiết bị usb này.
Loại usb: HP
Thiết bị chống ghi phần cứng: Tablue ( Ví dụ) Máy điều tra: cài đặt bộ công cụ SIFT
Bước 1. Hiển thị các ổ đang kết nối
sansforensics@siftworkstation:~/Desktop/cases$ dir /dev/sd* /dev/sda /dev/sda2 /dev/sdb /dev/sdc
/dev/sda1 /dev/sda5 /dev/sdb1 /dev/sdc1
Bước 2. Sử dụng lệnh dmesg | grep sd*
34
14.804371] sd 2:0:0:0: [sda] Assuming drive cache: write through [ 14.804375] sd 2:0:0:0: [sda] Attached SCSI disk
[ 15.672672] EXT4-fs (sda1): mounted filesystem with ordered data mode. Opts: (null)
[ 15.753658] sd 3:0:0:0: Attached scsi generic sg3 type 0
[ 15.762915] sd 3:0:0:0: [sdc] 15702912 512 -byte logical blocks: (8.03 GB/7.48 GiB)
Như ở đây ta thấy thiết bị đã được nhận bởi máy điều tra
Bước 3. Sử dụng lệnh dcfldd để thu thập dữ liệu từ thiết bị usb tạo ra file ảnh của bằng chứng.
sansforensics@siftworkstation:~/Desktop/cases$ sudo dcfldd if=/dev/sdc of=forensic-image.dd
[sudo] password for sansforensics: 245248 blocks (7664Mb) written. 245358+0 records in
245358+0 records out
Bước 4. Sau khi thu thập xong tính toán giá trị băm để đảm bảo tính toàn vẹn của bằng chứng vừa thu thập.
sansforensics@siftworkstation:~/Desktop/cases$ md5s um forensic-image.dd c3c4ac6513f93b1eb2f61bbd34bf2cf1 forensic-image.dd
Thu thập dữ liệu động
Sử dụng USB chống ghi, cài đặt phần mềm thu thập FTK để thu thập dữ liệu bộ nhớ. Tạo thu mục mới Evidence trong USB để lưu trữ bằng chứng.
35