Bằng chứng số trên máy tính được chia làm 2 loại:
Tập tin được tạo bởi người dùng
Tập tin được máy tính sinh ra tự động
Tập tin được tạo bởi người dùng
Tập tin được tạo ra bởi ngoài dùng bao gồm văn bản( .docx), bảng tính( excel), hình ảnh, audio, video. Nhưng tập tin này chứa siêu dữ liệu, siêu dữ liệu này cung cấp các thông tin sau: tên người tạo tài liệu, chủ sở hữu máy tính, ngày và giờ các tiafu liệu này được tạo ra, thời gian tài liệu được lưu lại, bất kỳ sửa đổi nào được thực hiện trên tài liệu, ngày tháng và thời gian tài liệu được chỉnh sửa lần cuối và truy cập.
Tập tin được bảo vệ bởi người dùng
Có nhiều các khác nhau để người dùng bảo vệ các tập tin. Người dùng có thể thêm mật khẩu hoặc mã hóa các dữ liệu đó để đảm bảo không ai có thể xem những gì có trong tập tin hay thư mục đó.
Hay người dùng có thể làm ẩn nội dụng của tập tin đó đi. Vì vậy mà cũng có rất nhiều cách để tội phạm có thể giấu bằng chứng đi về hành động của họ.
Thay đổi phần thành phần mở rông
Để bảo vệ dữ liệu họ đổi tên tập tin bằng cách thay đổi thành phần mở rộng( đuôi). Sử dụng kỹ thuật này thành phần mở rộng của tập tin có thể được thay đổi bởi tội phạm để ẩn đi các tập tin có chứa bằng chứng buộc tội. Ví dụ, kẻ buôn ma túy có một danh sách liệt kê khách hàng, các loại thuốc, số điện thoại, thanh toán, tiền nợ…chúng có thể thay từ “ .xls” thành “.jpeg”. Chúng có thể thay đổi từ tập tin .xls thành một tập tin hình ảnh, có thể đánh lừa được hướng điều tra khi họ muôn tìm danh sách và các tài liệu. Tuy nhiên các nhà điều tra cũng có sẵn các bộ công pháp y để khám phá ra các tập tin bị thay đổi ví dụ như công cụ PII Finding có thể xác định các tập tin bị xóa, bị sửa đổi…
17
Hình 1.3 Kiểu bằng chứng số Xóa tập tin
Bằng chứng có thể được tìm thấy trong tập tin bị xóa bởi người dùng máy tính, mặc dù các tập tin có thể bị xóa bằng cách thông thường sẽ thương được khôi phục lại bởi các điều tra viên. Đầu tiên, điều tra viên phải kiểm tập tin bị xóa trong Recycle. Thường thì người phạm tội sẽ để trống trong thu mục Recycle Bin. Khi xóa một tập tin hay thư mục trong Recycle Bin thì thực chất việc này chỉ đánh dấu đã xóa trong Directory Entry và những thông tin liên quan trong ( File Allocation Table- phân vùng định dạng FAT) hoặc đánh dấu xóa trong Master File Table( phân vùng định dạng NTFS). Khi này các vùng chứa dữ liệu của tập tin xem như trống và được tính là dung lượng chưa dùng đến của đĩa cứng mặc dù dữ liệu trên đây vẫn tồn tại. Vì vậy vẫn có thể khôi phục lại được những dữ liệu trong phân vùng này. Công cụ khôi phục sẽ được trình bày trong phần 3.
Khi một ổ đĩa được làm sạch với một kiểu bit, thì dữ liệu vẫn có thể được khôi phục lại bằng cách sử dụng các công cụ chuyên dụng. Theo Tiêu chuẩn của bộ quốc phòng hoa kỳ( DoD) thì dữ liệu và ổ cứng cần phải được ghi đè ít nhất 7 lần với bit 0 1 ngẫu nhiên để đảm bảo rằng dữ liệu ban đầu hoàn toàn bị xóa. Cũng có nhiều chương trình phần mềm có sẵn trên mạng đáp ứng được nhu cầu xóa đi vĩnh viễn dữ liệu từ các thiết bị liên quan, nó sẽ được ghi đè nhiều lần đảm bảo rằng dữ liệu trên thiết bị được xóa sạch hoàn toàn.
18
Mã hóa tập tin
Để bảo vệ tập tin, cá nhân có thể sử dụng mã hóa đảm bảo cho bên thứ 3 không thể truy cập vào được, hoặc sử dụng mật khẩu. Mã hóa cơ bản là làm cho dữ liệu không thể đọc được, chuyển đổi từ bản rõ thành bản mã sử dụng khóa công khai để giả mã.
Các cá nhân sử dụng mã hóa để bảo vệ quyền riêng tư và bảo mật dữ liệu trên máy tính. Việc mã hóa cũng mang lại cho bọn tội phạm một vũ khí rất mạnh mẽ để che dấu đi hoạt động bất hợp pháp của chúng.
Ở Anh, có một điều luật của cơ quan thực thi pháp luật bắt buộc nghi can phải cung cấp thông tin về khóa để giải mã ( Phần III Quy chế về hành động điều tra RIPA- 2000). Mục 49, cung cấp cho các cơ quan điều lực để giám sát địa chỉ email cá nhân bằng cách cho phép cơ quan thực thi pháp luật yêu cầu giao khóa mã hóa và giải mã đấy là những hành động vì lợi ích của quốc gia, với mục đích ngăn chặn và phát hiện ra tội phạm và vì lợi ích của Anh. Tính đến ngày 1/10/2007 nội dung phần III của RIPA đã được hoạt động, bây giờ các cá nhân sử dụng kỹ thuật mã hóa không còn có thể từ chối cho việc cung cấp khóa giải mã cho cơ quan thực thi pháp luật. Điều 53 của RIPA, trong đó vấn đề với việc không tuân thủ việc bàn giao đúng về khóa giải mã có thể được bị buộc tội. Ngược lại, Hoa Kỳ không có điều luật của cơ quan thực thi pháp luật, quyền buộc nghi can cung cấp thông tin để giải mã. Chỉ khi bị cáo đã cung cấp thông tin về nội dung các tập tin được mã hóa hoặc ổ cứng trong quá trình thẩm vấn.
Steganography
Steganography đây là kỹ thuật che dấu sự tồn tại của thông tin. Khác với mật mã, mục tiêu của steganography là che dấu đi thông báo cần giữ bí mật trong các dữ liệu vô hại khác để đối phương không thể che dấu được sự hiện diện của thông báo. Ví dụ, người dùng thu thập và phân phối các nội dung khiêu dâm trẻ em có thể che dấu hình ảnh và video để tránh bi cơ quan thực thi pháp luật phát hiện.
Để xác định được có chứa dấu mã hay không, thì điều tra viên sẽ sử dụng các công cụ thích hợp để phát hiện dữ liệu ẩn tồn tại trong tập tin.
Các công cụ hiện có sẵn và nổi bật cho việc điều tra stegagraphy là Steganos, s- tools, steghide, jphide,…
19
Các tập tin được tạo ra tự động bởi máy tính có thể thể rất có giá trị. Các tập tin có thể hỗ trợ điều tra viên trong việc điều tra như: logs, lịch sử trình duyệt, cookies, tập tin temp.
Tập tin logs: tự động ghi lại các sự kiện trong máy tính có thể được sử dụng để theo dõi, hiểu, chuẩn đoán các hoạt động và vấn đề trong hệ thống
Setup logs: tập tin này cung cấp dữ liệu về các ứng dụng được cài đặt trên máy tính
System logs: tập tin cung cấp thông tin về các thành phần hệ thống
Aplication and services logs: ghi lại các các sự kiện mới
Lịch sử trình duyệt: thu thập dữ liệu từ các trang web người dùng sử dụng.
Cookies là bản ghi được tạo ra và lưu lại trên trình duyệt khi người dùng truy cập vào một trang web.
File Temporary là các tập tin được lưu tạm trong quá trình cài đặt chương trình ứng dụng
File slack space và Unallocated space
Không gian lưu trữ của các ổ đĩa logic được chia thành các phần nhỏ bằng nhau, có kích thước xác định, được gọi là block đĩa, hay còn gọi là các đơn vị cấp phát (allocation). Với hầu hết các hệ điều hành hiện nay, một đơn vị cấp phát tương ứng với một cluster đĩa. Cluster được hình thành từ 4, 6 hoặc 8 sector liên tiếp nhau, kích thước của một sector thường là 512 byte (tức là, mỗi sector chứa được 512 byte thông tin).
Dữ liệu của các tập tin cần lưu trữ, đầu tiên, được chia thành các block có kích thước bằng nhau và bằng kích thước của cluster. Các block tập tin, sau đó, sẽ được lưu tại các cluster khác nhau trên đĩa. Như vậy, trên đĩa vừa có các cluster đang chứa block của tập tin (không gian đã cấp phát: Allocated space/Used space), vừa có cluster còn để trống (không gian chưa cấp phát: Unallcated space/Free space).
Trong trường hợp kích thước của tập tin không là bội số của kích thước cluster thì cluster cuối cùng, trong dãy các cluster chứa tập tin này, sẽ không được sử dụng hết. Phần dư ra này được gọi là File slack space.
Ví dụ: Kích thước của một cluster đĩa là 2048 byte, kích thước của tập tin A là 20512 Byte. Trong trường hợp này, hệ điều hành phải dành ra (cấp phát) ít nhất là 11 cluster để chứa hết nội dung tập tin A. Tuy nhiên, cluster thứ 11 chỉ sử dụng 32 byte, còn dư 2048 – 32 = 2016 byte. Tức là File slack space của tập tin A là 2016 byte.Thông thương ta thươg ít quan tấm đến vùng thuộc slack và unallocated, vì thế
20
đây có thể là nơi lý tưởng để chứa chương trình mã độc và các đoạn mã không mong muốn ẩn dấu.