Tải bản đầy đủ (.docx) (39 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Lập trình

KỸ THUẬT THU THẬP CHỨNG CỨ ĐIỆN TỬ TRONG ĐIỀU TRA SỐ

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.8 MB, 39 trang )

HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN MƠN HỌC

THU THẬP VÀ PHÂN TÍCH
THƠNG TIN AN NINH MẠNG
Đề tài:

TÌM HIỂU MỘT SỐ KỸ THUẬT THU THẬP
CHỨNG CỨ ĐIỆN TỬ TRONG ĐIỀU TRA SỐ

Sinh viên thực hiện:

Nhóm 1
Nguyễn Thanh Long – AT150533
Trần Đại Nghĩa – AT150639
Ngơ Đồn Vượng – AT150662
Đỗ Văn Toán – AT150159

Giảng viên hướng dẫn:

Thầy Lê Hải Việt



HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA CÔNG NGHỆ THÔNG TIN


ĐỒ ÁN MƠN HỌC

THU THẬP VÀ PHÂN TÍCH
THƠNG TIN AN NINH
MẠNG
Đề tài:

TÌM HIỂU MỘT SỐ KỸ THUẬT THU THẬP
CHỨNG CỨ ĐIỆN TỬ TRONG ĐIỀU TRA
SỐ
Sinh viên thực hiện:

Nhóm 1
Nguyễn Thanh Long – AT150533
Trần Đại Nghĩa – AT150639
Ngơ Đồn Vượng – AT150662
Đỗ Văn Toán – AT150159

Giảng viên hướng dẫn:

Thầy Lê Hải Việt

Hà Nội, 5-2022


MỤC LỤC

LỜI MỞ ĐẦU................................................................................................................................4
CHƯƠNG 1. TỔNG QUAN ĐIỀU TRA SỐ.............................................................................5
1.1 Khái niệm điều tra số......................................................................................................5

1.2 Mục đích - Ứng dụng......................................................................................................6
1.3 Quy trình điều tra số.......................................................................................................7
CHƯƠNG 2. CHỨNG CỨ ĐIỆN TỬ......................................................................................10
2.1 Khái niệm chứng cứ điện tử.........................................................................................10
2.2 Thu thập chứng cứ điện tử...........................................................................................11
2.2.1 Khái niệm...............................................................................................................11
2.2.2 Các hình thức thu thập chứng cứ điện tử................................................................12
2.2.3 Quy tắc thu thập chứng cứ điện tử.........................................................................14
2.2.4 Các kiểu thu thập chứng cứ điện tử........................................................................15
2.2.5 Các định dạng dữ liệu được thu thập......................................................................16
2.3 Quy trình thu thập chứng cứ điện tử...........................................................................18
2.3.1 Xác định phương pháp thu thập dữ liệu.................................................................20
2.3.2 Xác định công cụ thu thập dữ liệu..........................................................................20
2.3.3 Làm sạch phương tiện đích....................................................................................22
2.3.4 Thu thập dữ liệu biến động.....................................................................................22
2.3.5 Bật bảo vệ ghi trên bằng chứng..............................................................................25
2.3.6 Thu thập dữ liệu không biến động..........................................................................26
2.3.7 Lập kế hoạch dự phịng..........................................................................................29
2.3.8 Xác thực việc thu thập dữ liệu................................................................................29
CHƯƠNG 3. TÌNH HUỐNG THỰC TẾ.................................................................................30
3.1 Tình huống thực tế.......................................................................................................30
3.1.1 Tệp bằng chứng thu thập được ở định dạng E01 và máy trạm forensics là Linux.30
3.1.2 Bằng chứng thu thập được cần được chuyển đổi thành một máy ảo có thể khởi
động.................................................................................................................................31
3.1.3 Đĩa cứng vật lý thu được chứa hệ thống tệp Windows và máy trạm forensics là
Linux...............................................................................................................................33


3.2 Thực nghiệm thu thập chứng cứ điện tử.....................................................................35
TÀI LIỆU THAM KHẢO..........................................................................................................36



LỜI MỞ ĐẦU
Ngày nay, trong thời đại số, tầm quan trọng của an tồn thơng tin ngày càng
lớn. Với sự gia tăng đáng kể của tội phạm mạng thì hầu hết các nước, các tổ chức đều
đề ra quy định, pháp luật để bảo vệ dữ liệu và an toàn thơng tin của mình. Cùng với
việc đảm bảo an tồn vận hành hệ thống là khả năng ứng phó và giải quyết sự cố xảy
ra để đưa hệ thống trở về trạng thái hoạt động bình thường trong thời gian nhanh nhất,
giảm thiểu thiệt hại đến mức thấp nhất. Quá trình xử lý sự cố, phục hồi chứng cứ và
truy tìm dấu vết tội phạm có liên quan đến một ngành khoa học là Điều tra số - Digital
forensics.
Dữ liệu điện tử là một trong những nguồn chứng cứ mới được quy định trong
Bộ luật Tố tụng hình sự năm 2015. Tính chân thực, khách quan của dữ liệu điện tử góp
phần khơng nhỏ vào cơng tác đấu tranh phịng, chống, điều tra, truy tố tội phạm giai
đoạn hiện nay. Do đó, việc thu thập, khai thác, chuyển hóa, sử dụng nguồn chứng cứ
này để chứng minh trong các vụ án cần phải được coi trọng. Thông qua tài liệu này,
chúng em muốn giới thiệu về điều tra số và một số kỹ thuật thu thập chứng cứ điện tử
trong điều tra số.


CHƯƠNG 1. TỔNG QUAN ĐIỀU TRA SỐ
1.1 Khái niệm điều tra số

Điều tra số (Digital Forensics) là một nhánh của ngành khoa học điều tra đề cập
đến việc sử dụng các phương pháp, công cụ kỹ thuật khoa học đã được chứng minh để
thu thập, bảo quản, phân tích, lập báo cáo và trình bày lại những thơng tin thực tế từ
các nguồn dữ liệu số với mục đích tạo điều kiện hoặc thúc đẩy việc tái hiện lại các sự
kiện nhằm tìm ra hành vi phạm tội hay hỗ trợ cho việc dự đoán các hoạt động trái phép
như cố ý xâm nhập, tấn công hoặc gây gián đoạn q trình làm việc của hệ thống.
Mục đích quan trọng nhất của điều tra số là thu thập, phân tích và tìm ra chứng

cứ thuyết phục về một vấn đề cần sáng tỏ. Điều tra số có những ứng dụng quan trọng
trong khoa học điều tra cụ thể.
Về mặt kỹ thuật thì điều tra số giúp xác định những gì đang xảy ra làm ảnh
hưởng tới hệ thống đồng thời qua đó phát hiện các nguyên nhân hệ thống bị xâm nhập,
các hành vi, nguồn gốc của các vi phạm xảy ra đối với hệ thống. Về mặt pháp lý thì
điều tra số giúp cho cơ quan điều tra khi tố giác tội phạm cơng nghệ cao có được
những chứng cứ số thuyết phục để áp dụng các chế tài xử phạt với các hành vi phạm
pháp.
Khi nào thì thực sự cần thiết thực hiện một cuộc điều tra số?




Khi hệ thống bị tấn công mà chưa xác định được nguyên nhân.



Khi cần thiết khôi phục dữ liệu trên thiết bị, hệ thống đã bị xóa đi



Hiểu rõ cách làm việc của hệ thống



Khi thực hiện điều tra tội phạm có liên quan đến cơng nghệ cao



Điều tra sự gian lận trong tổ chức




Điều tra các hoạt động gián điệp cơng nghiệp

Cần điều tra những gì?


Physical Media, Media Management: Liên quan đến phần cứng, tổ chức phân
vùng, phục hồi dữ liệu khi bị xóa…



File System: Phân tích các file hệ thống, hệ điều hành windows, linux,
android…



Application: Phân tích dữ liệu từ ứng dụng như các file Log, file cấu hình,
reverse ứng dụng…



Network: Phân tích gói tin mạng, sự bất thường trong mạng



Memory: Phân tích dữ liệu trên bộ nhớ, thường là dữ liệu lưu trên RAM được
dump ra


1.2 Mục đích - Ứng dụng
Trong thời đại cơng nghệ phát triển mạnh như hiện nay. Song song với các
ngành khoa học khác, điều tra số đã có những đóng góp rất quan trọng trong việc ứng
cứu nhanh các sự cố xảy ra đối với máy tính, giúp các chun gia có thể phát hiện
nhanh các dấu hiệu khi một hệ thống có nguy cơ bị xâm nhập, cũng như việc xác định
được các hành vi, nguồn gốc của các vi phạm xảy ra đối với hệ thống.
Về mặt kỹ thuật thì điều tra số gồm: Điều tra mạng, điều tra bộ nhớ, điều tra các
thiết bị điện thoại có thể giúp cho tổ chức xác định nhanh những gì đang xảy ra làm
ảnh hưởng tới hệ thống, qua đó xác định được các điểm yếu để khắc phục, kiện toàn
Về mặt pháp lý thì điều tra số giúp cho cơ quan điều tra khi tố giác tội phạm
cơng nghệ cao có được những chứng cứ số thuyết phục để áp dụng các chế tài xử phạt
với các hành vi phạm pháp.


1.3 Quy trình điều tra số

Quy trình điều tra số được chia thành 3 giai đoạn:
 Giai đoạn tiền điều tra (Pre-investigation): chuẩn bị
Giai đoạn tiền điều tra bao gồm tất cả các nhiệm vụ được thực hiện trước khi bắt đầu điều
tra thực tế. Giai đoạn này bao gồm các bước như lập kế hoạch quy trình, xây dựng đội điều
tra, xác định mục tiêu nhiệm vụ và nhận được sự chấp thuận của cơ quan có thẩm quyền.
Thiết lập một phịng thí nghiệm forensics máy tính (Computer Forensics Lab), xây dựng
một trạm làm việc forensics, phát triển một bộ cơng cụ điều tra. Phịng thí nghiệm forensics
máy tính (CFL) là một địa điểm được chỉ định để thực hiện một cuộc điều tra dựa trên máy
tính đối với các bằng chứng thu thập được nhằm phá án và tìm ra thủ phạm. Phịng thí nghiệm
chứa các thiết bị, công cụ phần mềm và phần cứng, và các máy trạm forensics cần thiết để
thực hiện điều tra tất cả các loại.

 Giai đoạn điều tra số (Acquisition and Analysis): Thu thập và phân tích
Giai đoạn điều tra bao gồm các bước và quy trình khác nhau cần được thực hiện

cẩn thận và có hệ thống để thu được kết quả tốt hơn. Mỗi bước trong giai đoạn này bắt
đầu từ tài liệu về hiện trường vụ án điện tử đến phân tích dữ liệu chứng cứ đều quan
trọng như nhau đối với việc chấp nhận bằng chứng trước tòa án và truy tố thủ phạm.
Hai bước quan trọng trong q trình này là thu thập và phân tích.
Thu thập (Acquisition): Đây là bước tạo ra một bản sao chính xác các sector hay còn
gọi là nhân bản điều tra các phương tiện truyền thông, xác định rõ các nguồn chứng cứ


sau đó thu thập và bảo vệ tính tồn vẹn của chứng cứ bằng việc sử dụng hàm băm mật
mã.


Giai đoạn này rất quan trọng cho q trình phân tích, điều tra một hệ thống máy
tính bị tấn cơng. Tất các những thơng tin máy tính có sẵn phải được đưa vào
một mơi trường điều tra an tồn để thực hiện cơng việc điều tra, phân tích, đây
là việc làm rất quan trọng bởi vì nó phải đảm bảo được rằng những chứng cứ
thu được ban đầu cần phải đảm bảo được tính tồn vẹn.



Tất cả các dữ liệu thu được từ hệ thống (bộ nhớ, tiến trình, kết nối mạng, phân
vùng đĩa…) phải được ghi lại và ký mã bởi các thuật toán như MD5 hoặc
SHA1 để đảm bảo tính tồn vẹn chứng cứ, trước khi bắt đầu điều tra thì người
thực hiện nhiệm vụ phân tích điều tra sẽ kiểm tra độ tin cậy của chứng cứ dựa
vào thông tin mà các chuỗi MD5 hay SHA1 cung cấp. Nhằm tránh việc gian lận
và cài đặt, làm giả các chứng cứ đánh lạc hướng điều tra.

Analysis: Đây là giai đoạn các chuyên gia sử dụng các phương pháp nghiệp vụ, các kỹ
thuật cũng như công cụ khác nhau để trích xuất, thu thập và phân tích các bằng chứng
thu được.



Thiết lập mốc thời gian và phân tích: Sau khi thu thập xong chứng cứ tất cả các
dữ liệu được cách ly trong một mơi trường điều tra an tồn và nhiệm vụ tiếp
theo của quá trình thực hiện phân tích là thiết lập tập tin thời gian. Việc thiết lập
tập tin thời gian giúp người thực hiện công việc điều tra theo dõi lại các hoạt
động của hệ thống (hiển thị ra thời gian cuối cùng mà một tập tin thực thi được
chạy, các tập tin hoặc thư mục được tạo/xóa trong thời gian qua và qua đó có
thể giúp người điều tra hình dung, phỏng đốn được sự hiện diện của các kịch
bản hoạt động).



Phân tích phương tiện truyền dữ liệu của hệ điêu hành: Từ các kết quả thu được
bởi việc phân tích thời gian, chúng ta tiến hành bắt đầu phân tích phương tiện
truyền thơng để tìm kiếm các đầu mối phía sau một hệ thống bị thỏa hiêp. Bộ
cơng cụ có sẵn để phục vụ cho việc phân tích phụ thuộc vào một số nhân tố
như:
-

Nền tảng phần mềm được sử dụng trong máy tính phục vụ điều tra.

-

Nền tảng phần mềm được sử dụng trong các hệ thống mục tiêu của việc
phân tích.

-

Mơi trường phân tích.





Tìm kiếm chuỗi: Với những gì đã thu thập được, người phân tích có thể bắt đầu
tìm kiếm các chuỗi cụ thể chứa bên trong các tập tin để tìm kiếm những thơng
tin hữu ích như địa chỉ IP, địa chỉ Email… để từ đó truy tìm dấu vết tấn công.



Khôi phục dữ liệu: Sau khi thực hiện xong giai đoạn phân tích các phương tiện
truyền thơng, chun viên điều tra hồn tồn có thể tìm kiếm những dữ liệu từ
chứng cứ đã được ghi lại và trích xuất ra các dữ liệu chưa được phân bổ trong
ngăn xếp, sau đó phục hồi lại bất kỳ tập tin nào đã bị xóa. Tìm kiếm khơng gian
trống (trong mơi trường windows) hoặc tìm trong khơng gian chưa phân bố dữ
liệu có thể khám phá ra nhiều tập tin phân mảnh, đó có thể là đầu mối về các
hành động xóa tập tin, thời gian được xóa… Việc nắm bắt được thời gian tập tin
bị xóa là một trong những thơng tin quan trọng liên quan đến các hoạt động tấn
công đã xảy ra trên hệ thống (ví dụ xóa các bản ghi liên quan đến quá trình
thâm nhập hệ thống).

 Giai đoạn hậu điều tra (Post-investigation): Báo cáo điều tra
Trách nhiệm của các nhà điều tra không chỉ dừng lại ở việc tìm kiếm và phân
tích dữ liệu bằng chứng. Sau khi thu thập được những chứng cứ có giá trị và có
tính thuyết phục thì tất cả phải được tài liệu hóa lại rõ ràng, chi tiết và báo cáo lại
cho bộ phận có trách nhiệm xử lý chứng cứ thu được, các chuyên gia phân tích
phải đưa ra các kỹ thuật điều tra, các công nghệ, phương thức được sử dụng, cũng
như các chứng cứ thu được, tất cả phải được giải thích rõ ràng trong báo cáo q
trình điều tra.



CHƯƠNG 2. CHỨNG CỨ ĐIỆN TỬ
2.1 Khái niệm chứng cứ điện tử

Chứng cứ điện tử là thông tin được lưu trữ hoặc truyền dưới dạng nhị phân như
tệp âm thanh, bản ghi video, hình ảnh kỹ thuật số, lịch sử trình duyệt internet, cơ sở dữ
liệu, nội dung của bộ nhớ máy tính... Nó có thể được tìm thấy trên ổ cứng máy tính,
điện thoại di động, và những nơi khác. Chứng cứ điện tử thường liên quan đến tội
phạm điện tử hoặc tội phạm điện tử, chẳng hạn như nội dung khiêu dâm trẻ em hoặc
gian lận thẻ tín dụng. Tuy nhiên, chứng cứ điện tử hiện được sử dụng để truy tố tất cả
các loại tội phạm, không chỉ tội phạm điện tử. Ví dụ: các tệp e-mail hoặc điện thoại di
động của nghi phạm có thể chứa bằng chứng quan trọng về ý định của họ, nơi ở của họ
vào thời điểm phạm tội và mối quan hệ của họ với các nghi phạm khác. Ví dụ, vào
năm 2005, một chiếc đĩa mềm đã đưa các nhà điều tra đến với kẻ giết người hàng loạt
BTK, kẻ đã trốn tránh sự truy bắt của cảnh sát từ năm 1974 và cướp đi sinh mạng của
ít nhất 10 nạn nhân.


2.2 Thu thập chứng cứ điện tử
Thu thập chứng cứ điện tử là bước chủ động đầu tiên trong quá trình điều tra
forensics. Việc thu thập chứng cứ điện tử không chỉ yêu cầu sao chép các tệp từ thiết
bị này sang thiết bị khác. Thông qua thu thập chứng cứ điện tử, các nhà điều tra nhằm
mục đích trích xuất từng bit thơng tin có trong bộ nhớ và lưu trữ của hệ thống nạn
nhân, để tạo bản sao của thông tin này. Hơn nữa, bản sao này phải được tạo theo cách
sao cho tính tồn vẹn của dữ liệu được bảo tồn một cách xác minh và có thể được sử
dụng làm bằng chứng trước tòa. Phần này thảo luận các khái niệm cơ bản về thu thập
chứng cứ điện tử và các bước khác nhau liên quan đến phương pháp thu thập chứng cứ
điện tử.
2.2.1 Khái niệm
Thu thập chứng cứ điện tử là một quá trình tạo hình ảnh hoặc thu thập thơng tin

bằng cách sử dụng các phương pháp đã được thiết lập để trích xuất Thơng tin được lưu
trữ điện tử (ESI) từ máy tính hoặc phương tiện lưu trữ bị nghi ngờ từ nhiều phương
tiện khác nhau theo các tiêu chuẩn nhất định về giá trị pháp lý của chúng. Thơng tin
này sau đó có thể được phân tích để có được cái nhìn sâu sắc về tội phạm hoặc sự việc.
Với sự tiến bộ của cơng nghệ, q trình thu thập chứng cứ điện tử ngày càng trở
nên chính xác, đơn giản và linh hoạt. Tuy nhiên, các nhà điều tra cần đảm bảo rằng
phương pháp thu thập được sử dụng là đúng về mặt pháp lý. Cụ thể, phương pháp thu
thập được thơng qua phải có thể kiểm chứng và lặp lại được. Điều này nâng cao khả
năng chấp nhận dữ liệu hoặc bằng chứng thu được trước tòa án pháp luật. Một yếu tố
cơ bản cần xem xét trong việc thu thập chứng cứ điện tử là thời gian. Mặc dù dữ liệu ở
một số nguồn như ổ cứng này vẫn khơng bị thay đổi và có thể được thu thập ngay cả
sau khi hệ thống tắt, nhưng dữ liệu ở một số nguồn như RAM rất dễ bay hơi và biến
động, do đó phải được thu thập theo thời gian thực. Từ quan điểm này, thu thập chứng
cứ điện tử có thể được phân loại là thu thập dữ liệu trực tiếp (thu thập động) hoặc thu
thập dữ liệu tĩnh.
Trong quá trình thu thập dữ liệu trực tiếp, dữ liệu được lấy từ một máy tính đã
được bật nguồn (bị khóa hoặc ở chế độ ngủ). Điều này cho phép thu thập dữ liệu dễ
biến động và bị mất khi hệ thống mất điện hoặc tắt. Dữ liệu này nằm trong Registry,
bộ nhớ đệm và RAM. Hơn nữa, dữ liệu dễ bay hơi như dữ liệu trong RAM rất biến
động và thay đổi nhanh chóng, do đó phải được thu thập trong thời gian thực.


Trong quá trình thu thập dữ liệu tĩnh, dữ liệu không biến động vẫn không thay
đổi trong hệ thống ngay cả sau khi tắt máy được thu thập. Các nhà điều tra có thể khơi
phục dữ liệu đó từ ổ cứng cũng như từ dung lượng trống, tệp swap file và dung lượng
ổ đĩa chưa được phân bổ. Các nguồn dữ liệu không biến động khác bao gồm CDROM, ổ USB, điện thoại thơng minh và PDA.
2.2.2 Các hình thức thu thập chứng cứ điện tử
Tiếp theo, trong phần này chúng em sẽ đi sâu vào chi tiết hơn về hai hình thức thu thập
dữ liệu này cùng với các nguồn dữ liệu mà chúng thu thập được.
2.2.2.1 Thu thập trực tiếp (Live Acquisition)

Quá trình thu thập dữ liệu trực tiếp bao gồm việc thu thập dữ liệu biến động từ
các thiết bị khi chúng đang hoạt động hoặc được bật nguồn. Thông tin biến động, như
RAM, bộ nhớ cache, DLL, v.v. là động và có khả năng bị mất nếu thiết bị được điều
tra bị tắt. Do đó, nó phải được thu thập trong thời gian thực. Việc kiểm tra thơng tin
biến động giúp xác định tiến trình hợp lý của một sự cố bảo mật và những người dùng
có khả năng phải chịu trách nhiệm về sự cố đó. Sau đó, thu thập trực tiếp có thể được
theo sau bằng thu thập tĩnh, trong đó điều tra viên tắt máy nghi ngờ, lấy đĩa cứng và
sau đó thu thập forensics image của nó. Thu thập dữ liệu trực tiếp có thể giúp các nhà
điều tra thu được thơng tin ngay cả khi dữ liệu có giá trị chứng minh được lưu trữ trên
cloud bằng cách sử dụng dịch vụ như Dropbox hoặc Google Drive. Các nhà điều tra
cũng có thể thu thập dữ liệu từ các vùng chứa hoặc đĩa khơng được mã hóa đang mở
trên hệ thống và được mã hóa tự động khi hệ thống tắt. Nếu nghi phạm đã cố gắng ghi
đè dữ liệu trên đĩa cứng vật lý để tránh bị phát hiện, có khả năng các nhà điều tra có
thể tìm ra dấu vết của dữ liệu bị ghi đè đó bằng cách kiểm tra nội dung RAM. Tùy
thuộc vào nguồn mà chúng được thu thập, dữ liệu biến động có hai loại:
▪ Dữ liệu hệ thống: Dữ liệu hệ thống là thông tin liên quan đến một hệ thống, có
thể dùng làm bằng chứng trong một sự cố bảo mật. Thông tin này bao gồm cấu hình
hiện tại và trạng thái đang chạy của máy tính bị nghi ngờ. Thơng tin hệ thống dễ thay
đổi bao gồm hồ sơ hệ thống (chi tiết về cấu hình), hoạt động đăng nhập, ngày và giờ
hệ thống hiện tại, lịch sử lệnh, thời gian hoạt động của hệ thống hiện tại, các quy trình
đang chạy, tệp đang mở, tệp khởi động, dữ liệu khay nhớ tạm, người dùng đã đăng


nhập, DLL và thư viện được chia sẻ. Thông tin hệ thống cũng bao gồm dữ liệu quan
trọng được lưu trữ trong slack space của ổ đĩa cứng.
▪ Dữ liệu mạng: Dữ liệu mạng là thông tin liên quan đến mạng được lưu trữ
trong hệ thống nghi ngờ và các thiết bị mạng được kết nối. Thông tin mạng dễ thay đổi
bao gồm các kết nối và cổng mở, thông tin định tuyến và cấu hình, bộ đệm ARP, các
tệp được chia sẻ và các dịch vụ được truy cập.
2.2.2.2 Thứ tự biến động

Trong khi thực hiện thu thập dữ liệu trực tiếp, các nhà điều tra cần thu thập dữ
liệu trong khi xem xét khả năng biến động của chúng và tác động của việc thu thập đối
với hệ thống nghi ngờ. Vì khơng phải tất cả dữ liệu đều có mức độ biến động như
nhau, nên trước tiên, các nhà điều tra phải thu thập dữ liệu dễ biến động nhất, sau đó
tiến hành thu thập dữ liệu ít biến động nhất.
Theo RFC 3227, đây là một ví dụ về thứ tự biến động đối với một hệ thống điển hình:
1. Registry và bộ nhớ cache
Thơng tin trong sổ đăng ký hoặc bộ nhớ cache của bộ xử lý trên máy tính tồn
tại trong nano giây. Nó liên tục thay đổi và có thể được xếp vào loại dữ liệu dễ
bay hơi nhất.
2. Bảng định tuyến, bảng quy trình, thống kê hạt nhân và bộ nhớ
Bảng định tuyến, bộ nhớ cache ARP và thống kê hạt nhân nằm trong bộ nhớ
thơng thường của máy tính. Chúng ít biến động hơn một chút so với thông tin
trong sổ đăng ký, với tuổi thọ khoảng 10 nano giây.
3. Tệp hệ thống tạm thời
Hệ thống tệp tạm thời có xu hướng tồn tại lâu hơn trên máy tính so với bảng
định tuyến và bộ nhớ đệm ARP. Những hệ thống này cuối cùng bị ghi đè hoặc
thay đổi, đôi khi chỉ trong vài giây hoặc vài phút sau đó.
4. Đĩa hoặc phương tiện lưu trữ khác
Bất cứ thứ gì được lưu trữ trên đĩa sẽ tồn tại trong một thời gian. Tuy nhiên, đôi
khi do những sự kiện không lường trước được, những dữ liệu này có thể bị xóa
hoặc ghi đè. Do đó, dữ liệu đĩa cũng có thể được coi là hơi dễ bay hơi, với tuổi
thọ khoảng vài phút.
5. Dữ liệu giám sát và ghi nhật ký từ xa có liên quan đến hệ thống được đề cập


Dữ liệu đi qua tường lửa khiến bộ định tuyến hoặc cơng tắc tạo nhật ký. Hệ
thống có thể lưu trữ các nhật ký này ở nơi khác. Các bản ghi này có thể tự ghi
đè lên trong vịng một giờ, một ngày hoặc một tuần.
6. Cấu hình vật lý và cấu trúc liên kết mạng

Cấu hình vật lý và cấu trúc liên kết mạng ít biến động hơn và có tuổi thọ cao
hơn một số nhật ký khác
7. Phương tiện lưu trữ
DVD-ROM, CD-ROM hoặc băng chứa dữ liệu ít biến động nhất vì thơng tin kỹ
thuật số khơng tự động thay đổi trong các nguồn dữ liệu đó trừ khi bị phá hủy
dưới tác động vật lý
2.2.2.3 Thu thập tĩnh (Dead Acquisition)
Dữ liệu tĩnh đề cập đến dữ liệu khơng bay hơi, khơng thay đổi trạng thái của nó
ngay cả sau khi hệ thống ngừng hoạt động. Thu thập tĩnh đề cập đến q trình trích
xuất và thu thập những dữ liệu này theo cách không thay đổi từ phương tiện lưu trữ.
Các nguồn dữ liệu không bay hơi bao gồm ổ cứng, DVD-ROM, ổ USB, thẻ nhớ, điện
thoại thơng minh và ổ cứng ngồi. Loại dữ liệu này tồn tại dưới dạng email, tài liệu xử
lý văn bản, hoạt động web, bảng tính, slack space, swap file, dung lượng ổ đĩa chưa
được phân bổ và nhiều tệp đã xóa khác nhau. Các nhà điều tra có thể lặp lại quá trình
thu thập tĩnh trên bằng chứng đĩa được bảo quản tốt. Dữ liệu tĩnh được khôi phục từ ổ
cứng bao gồm:
▪ Các tệp tạm thời
▪ System registry
▪ Nhật ký sự kiện/hệ thống (Event logs)
▪ Boot sectors
▪ Bộ nhớ cache của trình duyệt web
▪ Cookie
▪ Các tệp ẩn
2.2.3 Quy tắc thu thập chứng cứ điện tử
Trong trường hợp điều digital forensics, chất lượng bằng chứng càng tốt thì kết
quả phân tích và khả năng giải quyết tội phạm nói chung càng tốt. Quy tắc là các nhà
điều tra không bao giờ được thực hiện điều tra forensics hoặc bất kỳ quy trình nào
khác đối với bằng chứng hoặc nguồn bằng chứng ban đầu, vì nó có thể làm thay đổi dữ



liệu và khiến bằng chứng không được chấp nhận trước tịa án. Thay vào đó, các nhà
điều tra có thể tạo một bit-stream image của một ổ đĩa hoặc tệp đáng ngờ để xem dữ
liệu tĩnh và phân tích nó. Phương pháp này không chỉ bảo tồn bằng chứng ban đầu mà
còn cung cấp tùy chọn để tạo lại bản sao nếu có sự cố. Điều cần thiết là phải tạo ra hai
bản sao của phương tiện gốc trước khi bắt đầu q trình điều tra trong đó:
▪ Một bản sao được sử dụng làm bản sao để phân tích
▪ Bản sao thứ hai là thư viện được lưu trữ cho mục đích tiết lộ hoặc, được sử
dụng nếu bản sao đang hoạt động bị hỏng
Nếu chúng ta cần tạo ảnh đĩa, chúng ta có thể sử dụng phương tiện sạch để sao
chép vào. Sau khi nhân bản phương tiện gốc, ta cần xác minh tính tồn vẹn của các
bản sao bằng cách so sánh chúng với bản gốc bằng cách sử dụng các giá trị băm như
MD5.
2.2.4 Các kiểu thu thập chứng cứ điện tử
Mặc dù việc thu thập bản sao bit-by-bit của bằng chứng trong một hệ thống có
vẻ lý tưởng, nhưng điều này có thể địi hỏi một lượng thời gian đáng kể đối với các đĩa
lớn. Trong các tình huống có hạn chế về thời gian và tài nguyên, hai loại thu thập
chứng cứ điện tử chính khác, cụ thể là logical acquisition và sparse acquisition, có thể
phù hợp hơn.
2.2.4.1 Logical acquisition
Trong một tình huống có hạn chế về thời gian và khi người điều tra biết những
tệp nào cần được thu thập, thu thập lôgic có thể được coi là lý tưởng. Thu thập logic là
cách chỉ thu thập các tệp cần thiết cho cuộc điều tra vụ án. Ví dụ: chỉ thu thập các tệp
Outlook .pst hoặc .ost trong các cuộc điều tra email hay thu thập record cụ thể từ một
máy chủ RAID lớn
2.2.4.2 Sparse acquisition
Sparse Acquisition tương tự như logical acquisition. Thông qua phương pháp
này, các nhà điều tra có thể thu thập các đoạn dữ liệu chưa được phân bổ (đã xóa).
Phương pháp này hữu ích khi khơng cần thiết phải kiểm tra toàn bộ ổ đĩa.



2.2.4.3 Bit-Stream Image
Bit-stream image là bản sao từng bit của bất kỳ phương tiện lưu trữ nào có chứa
bản sao của toàn bộ phương tiện, bao gồm tất cả các sectors và clusters. Cloned copy
của phương tiện lưu trữ chứa tất cả dữ liệu tiềm ẩn cho phép các nhà điều tra truy xuất
các tệp và thư mục đã xóa. Các nhà điều tra thường sử dụng bit-stream images của
phương tiện nghi ngờ để ngăn ngừa phương tiện gốc bị lây nhiệm. Hơn nữa, hầu hết
các công cụ forensics máy tính như FTK Imager và EnCase, có thể đọc các bit-stream
image, điều này tạo điều kiện thuận lợi hơn nữa cho q trình điều tra. Có hai loại bitstream image là bit-stream disk-to-image-file và bit-stream disk-to-disk.
 Bit-stream disk-to-image-file: Các nhà điều tra forensics thường sử dụng
phương pháp thu thập dữ liệu này. Đây là một phương pháp linh hoạt cho phép
tạo một hoặc nhiều bản sao của ổ đĩa nghi ngờ. Các công cụ như ProDiscover,
EnCase, FTK, The Sleuth Kit, X-Ways Forensics, v.v., có thể được sử dụng để
tạo tệp image.
 Bit-stream disk-to-disk: Điều tra viên không thể tạo tệp bit-stream disk-toimage trong các trường hợp sau:
o Ổ đĩa nghi ngờ rất cũ và khơng tương thích với phần mềm tạo ảnh
o Cần khôi phục thông tin đăng nhập được sử dụng cho các trang web và
tài khoản người dùng
Trong những trường hợp như vậy, một bản sao bit-stream disk-to-disk của đĩa hoặc ổ
đĩa gốc có thể được thực hiện. Trong khi tạo một bản sao như vậy, các thành phần bên
trong của đĩa đích, bao gồm cả cấu hình cylinder và track của nó, có thể được sửa đổi
để phù hợp với ổ nghi ngờ. Điều này dẫn đến q trình thu thập dữ liệu sn sẻ. Các
cơng cụ như EnCase, SafeBack và Tableau Forensic Imager có thể giúp tạo bản sao
disk-to-disk bit-stream của ổ nghi ngờ.
2.2.5 Các định dạng dữ liệu được thu thập
2.2.5.1 Định dạng Raw
Định dạng thô đề cập đến bản sao từng bit của ổ đĩa nghi ngờ. Hình ảnh ở định
dạng này thường được lấy bằng cách sử dụng lệnh dd.
Ưu điểm:
 Hiệu suất tìm kiếm bằng chứng nhìn chung cao hơn



 Được hỗ trợ bởi hầu hết các công cụ forensics bao gồm các cơng cụ phần mềm
miễn phí như dd, dc3dd và dcfldd
Nhược điểm:
 Không chứa bất kỳ siêu dữ liệu nào
 Không hỗ trợ nén image, dẫn đến image có cùng kích thước với phương tiện bị
nghi ngờ
2.2.5.2 Định dạng độc quyền
Định dạng độc quyền đề cập đến các định dạng tệp image khác nhau được hỗ
trợ/tạo bởi các công cụ thương mại khác nhau.
Ưu điểm:
 Hỗ trợ nén các tập tin image
 Hỗ trợ các tệp image được phân đoạn
 Các tệp image có thể bao gồm siêu dữ liệu
Nhược điểm:
 Định dạng tệp image được tạo bởi một cơng cụ có thể khơng được các cơng cụ
khác hỗ trợ
 Tốn nhiều thời gian hơn cho việc tìm kiếm bằng chứng so với định dạng raw
2.2.5.3 Định dạng forensics nâng cao (AFF)
AFF là định dạng thu thập dữ liệu mã nguồn mở lưu trữ hình ảnh đĩa và siêu dữ
liệu liên quan. Mục tiêu đằng sau sự phát triển của định dạng này là tạo ra một định
dạng ảnh đĩa mở cung cấp cho người dùng một giải pháp thay thế bị khóa vào một
định dạng độc quyền. AFF và AFFv3 hỗ trợ các phần mở rộng tệp như .afm cho siêu
dữ liệu và .afd cho tệp hình ảnh. AFF khơng có bất kỳ hạn chế triển khai nào đối với
các nhà điều tra forensics, vì đây là một định dạng mã nguồn mở.
AFF có thiết kế đơn giản và tương thích để chạy trong nhiều mơi trường máy
tính. Nó cung cấp tùy chọn để nén các tệp image và phân bổ không gian để ghi siêu dữ
liệu của tệp image hoặc tệp được phân đoạn
AFF hỗ trợ hai thuật toán nén là Zlib, nhanh hơn nhưng kém hiệu quả hơn và
LZMA, chậm hơn nhưng hiệu quả hơn.



Hình ảnh đĩa thực tế trong AFF là một tệp duy nhất, bao gồm các phân đoạn với
dữ liệu ổ đĩa và siêu dữ liệu. Nội dung tệp AFF có thể được nén và không nén. AFFv3
hỗ trợ các phần mở rộng tệp AFF, AFD và AFM.
2.2.5.4 Advanced Forensic Framework 4 (AFF4)
Michael Cohen, Simson Garfinkel và Bradly Schatz đã tạo ra Khung forensics
nâng cao 4 (AFF4) như một phiên bản được thiết kế lại và cải tiến của định dạng AFF,
được thiết kế để hỗ trợ phương tiện lưu trữ có dung lượng lớn. Những người sáng tạo
gọi thiết kế của nó là hướng đối tượng vì định dạng bao gồm các đối tượng chung với
hành vi có thể truy cập bên ngồi. Những vật thể này có thể được giải quyết bằng tên
của chúng trong vũ trụ AFF4.
Định dạng này có thể hỗ trợ một số lượng lớn images và cung cấp lựa chọn các
định dạng vùng chứa như Zip và Zip64 cho các tệp nhị phân và các thư mục đơn giản.
Nó cũng hỗ trợ lưu trữ từ mạng và sử dụng WebDAV (một phần mở rộng của giao thức
HTTP) cho phép tạo hình ảnh trực tiếp đến máy chủ HTTP trung tâm.
Định dạng này cũng hỗ trợ các bản đồ, là các phép biến đổi không sao chép dữ
liệu. Các phép biến đổi không sao chép giúp CPU không phải thực hiện nhiệm vụ sao
chép dữ liệu từ vùng nhớ này sang vùng nhớ khác, do đó tăng hiệu quả của nó.
Ví dụ: khơng lưu trữ bản sao mới của tệp đã khắc (tệp đang được giải nén), chỉ
có thể lưu trữ bản đồ của các khối được phân bổ cho tệp này. AFF4 hỗ trợ ký image và
mật mã. Định dạng này cũng cung cấp image minh bạch cho khách hàng.
Thiết kế AFF4 thông qua một sơ đồ các số nhận dạng duy nhất trên toàn cầu để
xác định và tham khảo tất cả các bằng chứng. Các kiểu đối tượng AFF4 cơ bản bao
gồm:
 Volumes: Chúng lưu trữ các phân đoạn, là các khối dữ liệu không thể phân chia
 Luồng: Đây là những đối tượng dữ liệu có thể giúp đọc hoặc ghi, ví dụ, phân
đoạn, hình ảnh và bản đồ
 Đồ thị: Tập hợp các câu lệnh RDF


2.3 Quy trình thu thập chứng cứ điện tử
Các nhà điều tra forensics phải áp dụng một cách tiếp cận có hệ thống và pháp
lý lành mạnh trong khi thu thập chứng cứ điện tử từ các phương tiện tình nghi. Điều
này là để tăng cơ hội bằng chứng được chấp nhận trước tòa án của pháp luật. Chi tiết


về các bước khác nhau mà các nhà điều tra nên tuân theo trong khi thu thập chứng cứ
điện tử có giá trị bằng chứng được nêu ra trong phần này.
Trong khi thực hiện thu thập chứng cứ điện tử, nhà điều tra cần xem xét cẩn
thận các phương pháp tiếp cận và tuân thủ các phương pháp luận nhằm bảo vệ tính
tồn vẹn và tính chính xác của bằng chứng ban đầu. Việc thu thập chứng cứ điện tử
phải được thực hiện theo chính sách của bộ phận hoặc tổ chức và tuân thủ các tiêu
chuẩn, quy tắc và luật hiện hành. Ngoài ra, các nhà điều tra nên thực hiện quy trình thu
thập chứng cứ điện tử theo cách thức rõ ràng và xác thực tính tồn vẹn của hình ảnh
thu được bằng cách sử dụng các thuật tốn băm. Sau đây là ví dụ một quy trình thu
thập chứng cứ điện tử có thể được tham khảo.


2.3.1 Xác định phương pháp thu thập dữ liệu
Phương pháp thu thập dữ liệu phải được áp dụng tùy thuộc vào tình huống mà
điều tra viên gặp phải. Một số yếu tố chính cần phải được xem xét trong việc xác định
phương pháp thu thập dữ liệu là:


 Kích thước của ổ đĩa đáng ngờ: Nếu ổ đáng ngờ có kích thước lớn, điều tra viên
phải chọn sao chép disk-to-image. Hơn nữa, nếu kích thước của đĩa đích nhỏ
hơn đáng kể so với ổ đĩa đáng ngờ, các nhà điều tra cần áp dụng các phương
pháp để giảm kích thước dữ liệu như sau:
o Sử dụng các công cụ nén ổ đĩa của Microsoft như DriveSpace và
DoubleSpace để loại trừ slack space giữa các tệp

o Sử dụng các phương pháp nén sử dụng thuật toán để giảm kích thước tệp
hoặc sử dụng các cơng cụ lưu trữ như PKZip, WinZip và WinRAR để
nén.
o Thử nghiệm nén không mất dữ liệu bằng cách so sánh băm MD5, SHA-2
hoặc SHA-3 trên tệp trước và sau khi nén. Nén chỉ thành công nếu các
giá trị băm khớp nhau.
 Thời gian cần thiết để thu được image: Thời gian cần thiết để thu thập dữ liệu
tăng lên khi kích thước ổ đĩa nghi ngờ tăng. Ví dụ, một ổ đĩa nghi ngờ có dung
lượng 1 TB có thể cần hơn 11 giờ để hồn thành q trình thu thập dữ liệu.
Trong những trường hợp như vậy, các nhà điều tra cần ưu tiên và chỉ thu thập
những dữ liệu quan trọng, có giá trị chứng minh để giảm thời gian và công sức.
2.3.2 Xác định công cụ thu thập dữ liệu
Điều tối quan trọng là chọn đúng công cụ trong quá trình thu thập chứng cứ
điện tử và điều này phụ thuộc vào loại kỹ thuật thu thập được sử dụng bởi điều tra viên
forensics. Các công cụ tạo ảnh phải được xác nhận và thử nghiệm để đảm bảo rằng
chúng tạo ra kết quả chính xác và có thể lặp lại.
Các công cụ này phải đáp ứng các yêu cầu nhất định, trong đó có một số yêu
cầu bắt buộc (các tính năng mà cơng cụ đó phải có hoặc thực hiện được), và một số
yêu cầu là tùy chọn (các tính năng mong muốn cơng cụ sở hữu).
u cầu bắt buộc
 Công cụ không được thay đổi hoặc thực hiện bất kỳ thay đổi nào đối với nội
dung gốc.
 Công cụ phải ghi lại các lỗi I/O trong một biểu mẫu có thể truy cập và đọc
được, bao gồm cả loại và vị trí của lỗi
 Cơng cụ phải có khả năng so sánh nguồn và đích, đồng thời cảnh báo người
dùng nếu đích nhỏ hơn nguồn


 Kết quả mà công cụ cho ra phải được lặp lại và có thể xác minh bởi bên thứ
ba, nếu cần thiết

 Cơng cụ phải thu được hồn tồn tất cả các khu vực dữ liệu ẩn và hiển thị từ
nguồn kỹ thuật số
 Công cụ phải tạo một bản sao bit-stream của nội dung gốc khi khơng có lỗi
nào trong việc truy cập phương tiện nguồn
 Công cụ chỉ được sao chép tệp khi đích lớn hơn hoặc bằng kích thước của
nguồn và ghi lại nội dung trên đích khơng phải là một phần của bản sao
 Tài liệu cơng cụ phải chính xác, tức là người dùng phải nhận được kết quả
mong đợi bằng cách thực hiện nó theo quy trình được lập thành văn bản đi
kèm với cơng cụ
u cầu tùy chọn
 Cơng cụ phải tính tốn giá trị băm cho bản sao hồn chỉnh được tạo từ
tệp hình ảnh nguồn, so sánh nó với giá trị băm nguồn được tính tại thời
điểm tạo hình ảnh và hiển thị kết quả trên tệp đĩa
 Công cụ sẽ chia bản sao luồng bit thành các khối, tính toán các giá trị
băm cho mỗi khối, so sánh chúng với giá trị băm của dữ liệu khối gốc
được tính tốn tại thời điểm tạo hình ảnh và hiển thị kết quả trên tệp đĩa
 Công cụ phải ghi nhật ký một hoặc nhiều mục trên tệp đĩa (các mục bao
gồm phiên bản công cụ, nhận dạng đĩa chủ đề, bất kỳ lỗi nào gặp phải,
hành động của công cụ, thời gian chạy bắt đầu và kết thúc, cài đặt công
cụ và nhận xét của người dùng)
 Công cụ phải tạo một bản sao theo luồng bit của các phân vùng riêng lẻ
theo hướng người dùng
 Công cụ phải hiển thị bảng phân vùng đĩa nguồn cho người dùng và ghi
lại nội dung của nó
 Cơng cụ phải tạo một bản sao luồng bit trên một nền tảng được kết nối
thông qua một liên kết truyền thông tới một nền tảng khác có chứa đĩa
nguồn
2.3.3 Làm sạch phương tiện đích
Trước khi thu thập và sao chép dữ liệu, phải sử dụng một phương pháp làm
sạch dữ liệu thích hợp để xóa vĩnh viễn mọi thơng tin trước đó được lưu trữ trên

phương tiện đích. Việc hủy dữ liệu bằng các phương pháp hủy dữ liệu tiêu chuẩn là
điều cần thiết đối với những dữ liệu nhạy cảm mà người ta không muốn rơi vào tay kẻ


xấu. Các tiêu chuẩn này phụ thuộc vào các mức độ nhạy cảm. Việc xóa và xử lý dữ
liệu trên các thiết bị điện tử chỉ là ảo, nhưng về mặt vật lý thì nó vẫn tồn tại, gây ra
mối đe dọa an ninh.
Các phương pháp như định dạng ổ cứng hoặc xóa phân vùng khơng thể xóa dữ
liệu tệp hoàn toàn. Tuy nhiên, điều quan trọng là phải hủy dữ liệu và bảo vệ dữ liệu
khỏi bị truy xuất, sau khi thu thập bằng chứng từ máy tính. Do đó, cách duy nhất để
xóa hồn tồn dữ liệu và bảo vệ dữ liệu khỏi q trình khơi phục là ghi đè dữ liệu bằng
cách áp dụng mã gồm các số 0 hoặc 1 liên tiếp. Hơn nữa, một khi dữ liệu đích được
thu thập và phân tích, phương tiện phải được xử lý thích hợp để ngăn chặn việc truy
xuất dữ liệu và bảo vệ tính bí mật của nó.
Sự phá hủy vật lý của phương tiện liên quan đến các kỹ thuật, chẳng hạn như
cross-cut shredding. Các phòng ban có thể phá hủy phương tiện tại chỗ hoặc thông qua
một bên thứ ba đáp ứng các tiêu chuẩn bảo mật. Các nhà điều tra phải xem xét loại
phương tiện đích mà họ đang sử dụng để sao chép hoặc nhân bản dữ liệu và chọn một
phương pháp làm sạch thích hợp để đảm bảo rằng khơng có phần nào của dữ liệu trước
đó cịn lại trên phương tiện đích mà họ sẽ dùng để lưu trữ các tệp bằng chứng. Phương
tiện trước đó có thể thay đổi thuộc tính hoặc thay đổi dữ liệu và cấu trúc của nó.
2.3.4 Thu thập dữ liệu biến động
Vì nội dung của RAM và các dữ liệu dễ bay hơi khác là động, các nhà điều tra
cần phải cẩn thận khi thu thập dữ liệu đó. Làm việc trên một hệ thống trực tiếp có thể
thay đổi nội dung của RAM hoặc các quy trình đang chạy trên hệ thống. Mọi hành
động khơng cố ý cũng có thể thay đổi ngày và giờ truy cập tệp, sử dụng thư viện hoặc
DLL được chia sẻ, kích hoạt việc thực thi phần mềm độc hại hoặc —trong trường hợp
xấu nhất - buộc khởi động lại, do đó làm cho hệ thống khơng thể truy cập được. Do đó,
việc kiểm tra hệ thống đang hoạt động và thu thập dữ liệu biến động phải được tiến
hành cẩn thận.

2.3.4.1 Thu thập dữ liệu biến động từ máy Windows
Các công cụ forensics như Belkasoft Live RAM Capturer, FTK Imager, DumpIt
có thể được sử dụng để trích xuất toàn bộ nội dung của bộ nhớ dễ bay hơi của máy
tính. Các cơng cụ này lưu các tệp hình ảnh ở định dạng .mem hoặc .raw


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×