Tải bản đầy đủ (.docx) (33 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Hệ thống thông tin

TÌM HIỂU CÁC CÔNG NGHỆ XỬ LÝ DỮ LIỆU ỨNG DỤNG TRONG ĐIỀU TRA SỐ

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.17 MB, 33 trang )

CƠNG TRÌNH ĐƯỢC HỒN THÀNH TẠI

ĐẠI HỌC KỸ THUẬT- HẬU CẦN CAND

TRƯỜNG ĐẠI HỌC KỸ THUẬT – HẬU CẦN CAND

KHOA CÔNG NGHỆ THÔNG TIN

Chủ nhiệm: Nguyễn Văn Phú
Thành viên: Nguyễn Tuấn Anh
Lớp: B2-D1
Ngành học: Công nghệ thông tin
Cán bộ hướng dẫn: Thượng úy Nghiêm Văn Hưng
Tên cơng trình: TÌM HIỂU CÁC CÔNG NGHỆ XỬ LÝ DỮ LIỆU ỨNG DỤNG
TRONG ĐIỀU TRA SỐ.
Tóm tắt: Tìm hiểu, trình bày các kiến thức cơ bản điều tra số. Nghiên cứu quy trình
điều tra số và các bước để thu thập và phục hồi dữ liệu điện tử. Nghiên cứu công cụ
minh họa quá trình điều tra số nhằm phục vụ cho quá trình học tập, nghiên cứu cũng
như cung cấp kỹ năng thực hành sau khi tốt nghiệp ra trường.

CÔNG NGHỆ XỬ LÝ DỮ LIỆU

Chun đề: TÌM HIỂU CÁC CƠNG NGHỆ XỬ LÝ DỮ LIỆU
ỨNG DỤNG TRONG ĐIỀU TRA SỐ

Giáo viên hướng dẫn : THẠC SĨ NGHIÊM VĂN HƯNG
Sinh viên thực hiện : NGUYỄN VĂN PHÚ
NGUYỄN TUẤN ANH
Lớp : B2
Khóa : D1
Hệ : ĐẠI HỌC CHÍNH QUY



Bắc Ninh, 5 tháng 1 năm 2016


LỜI MỞ ĐẦU........................................................................................................................................ 1
CHƯƠNG 1. TỔNG QUAN VỀ ĐIỀU TRA SỐ............................................................................3
1.1. Điều tra số............................................................................................................................ 3
1.1.1. Điều tra số là gì ?.......................................................................................................3
1.1.2. Lịch sử điều tra số.....................................................................................................3
1.1.3. Mục đích của điều tra số........................................................................................4
1.2. Một số khái niệm cơ bản...............................................................................................5
1.2.1. Dữ liệu điện tử...........................................................................................................5
1.2.2. Chứng cứ........................................................................................................................5
1.2.3. Chứng cứ điện tử.......................................................................................................5
1.3. Các loại hình điều tra số................................................................................................6
1.4. Quy trình điều tra số........................................................................................................7
1.4.1. Khi nào thì cần thiết phải mở một cuộc điều tra số..................................7
1.4.2. Các bước thực hiện điều tra số...........................................................................8
1.5. Các bước thu giữ một máy tính độc lập có lưu trữ chứng cứ điện tử......10
CHƯƠNG 2. THU THẬP, XỬ LÝ, PHỤC HỒI DỮ LIỆU ĐIỆN TỬ TRONG ĐIỀU
TRA MÁY TÍNH ..................................................................................................................................11
2.1. Các định dạng lưu trữ của chứng cứ điện tử......................................................11
2.1.1. Định dạng thô (RAW Format)............................................................................11
2.1.2. Định dạng độc quyền............................................................................................11
2.1.3. Định dạng nâng cao................................................................................................12
2.2. Một số công cụ thu thập, xử lý dữ liệu điện tử trong điều tra máy tính
Computer Forensic..................................................................................................................12
2.2.1. Phục hồi dữ liệu trong ổ cứng máy tính.......................................................12
2.2.2. Một số công cụ sử dụng để đọc dữ liệu ổ cứng vật lý............................13
2.2.3. Phục hồi ổ cứng hỏng vật lý...............................................................................13

2.3. Thu thập dữ liệu trên bộ nhớ RAM........................................................................14
2.3.1. Tại sao phải thu thập dữ liệu trên bộ nhớ RAM.......................................14
2.3.2. Các thơng tin có thể thu được trên bộ nhớ RAM.......................................14
2.3.3. Phương pháp thu lại bộ nhớ RAM...................................................................16
CHƯƠNG 3. MINH HỌA CHƯƠNG TRÌNH...........................................................................17


3.1. Tạo Ảnh Đĩa Với AccessData FTK Imager.............................................................17
3.2. Sử dụng FTK tool tìm kiếm khơi phục dữ liệu ổ đĩa cứng............................20
KẾT LUẬN............................................................................................................................................ 26
TÀI LIỆU THAM KHẢO....................................................................................................................27


DANH MỤC HÌNH ẢNH
Hình 1. Các bước thực hiện việc điều tra số...........................................................................8
Hình 2:Thiết bị PC-3000................................................................................................................13
Hình 3: Cơng cụ DumpIt để ghi lại bộ nhớ RAM trong mơi trường Windows.......16
Hình 4: Giao diện của FTK Image..............................................................................................17
Hình 5: Hồn tất lưu tập tin.........................................................................................................19
Hình 6: Giao diện của cơng cụ FTK...........................................................................................20


LỜI MỞ ĐẦU
1. Tính cấp thiết của chuyên đề.
Trong thời đại bùng nổ Công nghệ thông tin, ứng dụng công nghệ cao ngày
càng được sử dụng rộng rãi trong xã hội. Cùng với sự phát triển đó là việc ra đời
của tội phạm sử dụng công nghệ cao. Tội phạm sử dụng công nghệ cao mới xuất
hiện nhưng ngày càng phức tạp với nhiều thủ đoạn tinh vi, xâm phạm đến các lĩnh
vực an ninh quốc gia, hình sự, kinh tế, ma túy, truyền bá văn hóa phẩm đồi trụy...
Đáng chú ý là sự chuyển hướng sang hoạt động phạm tội sử dụng công nghệ cao

của tội phạm truyền thống. Có lẽ chưa khi nào tội phạm sử dụng mạng Internet để
thực hiện hành vi phạm tội lại nhiều như hiện nay. Cùng với sự phát triển vượt bậc
của khoa học - cơng nghệ, thì các thủ đoạn của tội phạm lại càng đa dạng và tinh vi
hơn; thâm nhập vào đời sống dân sinh để lừa đảo dưới mọi hình thức - chiêu trị mánh khóe trên tất cả bình diện.
Thời gian gần đây, tìm kiếm bằng chứng số và điều tra tội phạm công nghệ
cao ngày càng nhận được nhiều sự quan tâm, chú ý của đông đảo mọi người. Các
điều tra viên trên hệ thống mạng thường sử dụng các công nghệ giúp thu thập dữ
liệu và khơi phục dữ liệu để có thể phục vụ q trình điều tra chứng cứ, gọi là điều
tra số.
2. Lý do chọn chuyên đề.
Do những lý do nêu trên, việc lựa chọn chun đề “Tìm hiểu các cơng nghệ xử
lý dữ liệu ứng dụng trong điều tra số” là hết sức cần thiết và phù hợp. Bên cạnh đó
kết quả của bài tốn có tính ứng dụng thực tiễn cao trong cơng tác Cơng an, đồng
thời có thể làm tư liệu tham khảo trong công tác giảng dạy công nghệ thông tin
trong phạm vi trường T36.
Dưới sự hướng dẫn và giúp đỡ, chỉ bảo tận tình của thầy giáo Nghiêm
Văn Hưng - khoa Công nghệ thông tin trường Đại học Kỹ thu ật - H ậu c ần
CAND, chúng em đã quyết định thực hiện Chuyên đề " Tìm hiểu các công nghệ
xử lý dữ liệu ứng dụng trong điều tra số ".
3. Mục tiêu của chuyên đề.
Chuyên đề được xây dựng với mục đích tìm hiểu về điều tra số, các công
nghệ thu thập, khôi phục dữ liệu hiện đang được sử dụng trong công tác điều tra số.
Đồng thời tìm hiểu và minh họa một số phần mềm nghiệp vụ đang được các đơn vị
nghiệp vụ sử dụng trong công tác điều tra số.

1


4. Nội dung Chuyên đề gồm 3 phần:
Phần Mở đầu: Giới thiệu về chuyên đề, lý do chọn chuyên đề, tính cấp

thiết của chuyên đề nghiên cứu
Phần Nội dung chính, được chia thành 3 chương:
- Chương 1: Tổng quan về điều tra số, điều tra máy tính và nh ững nguyên
tắc trong điều tra máy tính.
- Chương 2: Thu thập, xử lý dữ liệu điện tử trong điều tra máy tinhs.
- Chương 3: Minh họa chương trình.
Phần Kết luận: đưa ra một số đánh giá tổng quan các kết quả nghiên
cứu, xác định hướng phát triển chuyên đề.

2


CHƯƠNG 1. TỔNG QUAN VỀ ĐIỀU TRA SỐ
Thời gian gần đây, tìm kiếm bằng chứng số và điều tra tội phạm công
nghệ cao ngày càng nhận được nhiều sự quan tâm, chú ý của đông đ ảo ng ười
dùng. Một ví dụ điển hình đó là khi tập đồn năng lượng Enron s ập đ ổ vào
tháng 12 năm 2001 khiến cho hàng trăm nhân viên b ị m ất vi ệc trong khi m ột
số quan chức dường như hưởng lợi từ việc phá s ản của công ty này. Qu ốc h ội
Mỹ đã quyết định điều tra khi có nhiều tin đồn v ề sự làm ăn gian l ận c ủa
Enron. Và hầu hết công việc điều tra được một lực lượng đông đảo các chuyên
gia tìm kiếm bằng chứng cơng nghệ cao tiến hành dựa trên kỹ thuật Computer
Forensic & Investigation hay Nghiệp Vụ Điều Tra Máy Tính Và Truy Tìm Chứng
Cứ Số, tập trung vào các tập tin và dữ liệu máy tính của hàng trăm nhân viên
của Enron để tìm kiếm bằng chứng phạm tội.
1.1. Điều tra số.
1.1.1. Điều tra số là gì ?
Điều tra số là quá trình thu thập và phân tích thơng tin trên các máy tính
được sử dụng như là chứng cứ phục vụ cho việc điều tra tội phạm hay dùng
trong các công tác quản trị hệ thống thông tin.
Theo một công ty hoạt động chuyên biệt trong lĩnh vực truy tìm b ằng

chứng phạm tội cơng nghệ cao thì computer forensic có nghĩa là khoa h ọc v ề
nghiên cứu và phân tích dữ liệu từ các thiết bị lưu trữ trên máy tính được s ử
dụng như là chứng cứ trước tòa. Như vậy chúng ta có th ể xem computer
forensic như là q trình điều tra pháp lý trên máy tính hay g ọi t ắt là đi ều tra
máy tính
Theo cuốn “An tồn thơng tin và cơng tác phịng chống tội ph ạm s ử
dụng công nghệ cao” của Đại tá, PSG Trần Văn Hịa thì “Computer Forensic là
q trình sủ dụng thiết bị và phần mềm chuyên dùng để phục hồi, tìm kiếm,
lưu trữ, phân tích và xác lập chứng cứ trong máy tính của đối tượng theo quy
định của pháp luật”.
Nói một cách tổng qt thì q trình điều tra máy tính bao g ồm vi ệc thu
thập dữ liệu máy tính và lưu giữ chúng một cách an toàn, ti ến hành phân tích
các dữ liệu khả nghi nhằm xác định các thông tin g ốc và n ội dung của chúng,
sau đó trình bày các thơng tin này trước tịa và áp dụng các đi ều lu ật đ ối v ới
những hành vi liên quan.
Điều tra số thường hay liên quan đến tội phạm máy tính. Cũng như
điều tra hình sự, trước khi thực hiện điều tra số, cần có những cơ s ở pháp lý
để phân định rõ những quyền hạn, trách nhiệm của cơ quan điều tra.
3


1.1.2. Lịch sử điều tra số.
Tội phạm máy tính đầu tiên xuất hiện từ những năm 1960 và lịch sử
của nó gắn liền với lịch sử điều tra số.
Năm 1978, tội phạm máy tính lần đầu tiên được đề cập trong Luật T ội
phạm máy tính Floria, với quy định về việc chống sửa đổi trái phép hay xóa dữ
liệu trên một hệ thống máy tính.
Giai đoạn năm 1980 đến 1990: Trước sự gia tăng tội phạm máy tính
những năm này, các cơ quan thực thi pháp luật đã ti ến hành thành l ập các
nhóm chuyên ngành cấp quốc gia để xử lý các khía cạnh kỹ thu ật của vi ệc

điều tra. Các kỹ thuật điều tra số cũng đã phát tri ển và thuật ngữ “Computer
Forensics” xuất hiện và được sử dụng trong các tài liệu học thuật.
Năm 1983, Canada là quốc gia đầu tiên thực thi các luật về tội ph ạm
máy tính. Năm 1986, Tổ chức chống Gian lận và Lạm dụng máy tính của Mỹ ra
đời. Năm 1989, Úc sửa đổi luật về tội phạm máy tính. Đạo luật của Anh xu ất
hiện năm 1990 quy định về các hành vi lạm dụng máy tính.
Từ năm 2000, các tiêu chuẩn được phát tri ển để đáp ứng yêu cầu tiêu
chuẩn hóa; các cơ quan và các hội đồng khác nhau đã công b ố các tài li ệu
hướng dẫn kỹ thuật điều tra số.
Năm 2002, nhóm cơng tác khoa học về chứng cứ số đã xuất bản một bài
báo với tiêu đề “Các bước thực thi điều tra tội ph ạm máy tính” (Best practices
for Computer Forensics).
Năm 2004, Hiệp định về tội phạm máy tính đã được ký kết bởi 43 qu ốc
gia có hiệu lực, các quốc gia thỏa thuận liên kết với nhau trong vi ệc đi ều tra
các tội phạm liên quan đến công nghệ cao.
Từ năm 2005, nhiều tiêu chuẩn của ISO đề cập đến các yêu cầu về
thẩm quyền giám định, kiểm chuẩn được công bố.
Tại Việt Nam, kể từ khi chúng ta kết nối với mạng Internet toàn c ầu
(1997) thì đi kèm theo đó là những hành vi gian lận, phá ho ại trên m ạng di ễn
ra ngày càng phức tạp. Trước thực tế đó, khoa học điều tra số của chúng ta
cũng phải phát triển theo, nhà nước ta nói chung và bộ cơng an nói riêng đã có
những quan tâm cần thiết đầu tư cho khoa học điều tra s ố như ban hành Luật
Cơng nghệ thơng tin (2006), Luật Hình sự sửa đổi bổ sung năm 2009, từng
bước đầu tư đào tạo nhân lực về an ninh an tồn thơng tin cũng như đi ều tra
số.

4


1.1.3. Mục đích của điều tra số.

Mục đích quan trọng nhất của điều tra số là thu thập, phân tích và tìm
ra chứng cứ thuyết phục về một vấn đề cần sáng tỏ. Điều tra s ố có những ứng
dụng quan trọng trong khoa học điều tra cụ thể.
Về mặt kỹ thuật thì điều tra số giúp xác định những gì đang x ảy ra làm
ảnh hưởng tới hệ thống đồng thời qua đó phát hiện các nguyên nhân hệ th ống
bị xâm nhập, các hành vi, nguồn gốc của các vi phạm xảy ra đối với hệ th ống.
Về mặt pháp lý thì điều tra số giúp cho cơ quan đi ều tra khi t ố giác t ội
phạm cơng nghệ cao có được những chứng cứ số thuyết phục để áp d ụng các
chế tài xử phạt với các hành vi phạm pháp.

1.2. Một số khái niệm cơ bản.
1.2.1. Dữ liệu điện tử.
Dữ liệu điện tử là thông tin chứa trong phương tiện điện tử như: Ổ cứng
máy tính, bộ nhớ trong của điện thoại di động, máy ảnh, máy ghi hình, máy
fax, máy ghi âm, máy đọc thẻ, thẻ từ, thẻ chíp, thẻ nhớ, USB, đĩa CD, đĩa VCD,
đĩa DVD và các loại phương tiện điện tử khác.
1.2.2. Chứng cứ
Chứng cứ là những gì có thật, được thu thập theo trình tự, thủ tục do Bộ
luật này quy định mà CQ điều tra, Viện kiểm sát và Toà án dùng làm căn c ứ đ ể
xác định có hay khơng có hành vi phạm tội, người th ực hi ện hành vi ph ạm t ội
cũng như những tình tiết khác cần thiết cho việc giải quyết đúng đắn vụ án.
Chứng cứ được xác định bằng: vật chứng; lời khai của người làm chứng,
người bị hại, nguyên đơn dân sự, bị đơn dân sự, người có quyền l ợi, nghĩa vụ
liên quan đến vụ án, người bị bắt, người bị tạm giữ, bị can, bị cáo; k ết luận
giám định; biên bản về hoạt động điều tra, xét xử và các tài liệu, đồ v ật khác.
Chứng cứ có 3 đặc điểm:
 Tính khách quan: Là những gì có thật và phản ánh trung th ực nh ững
tình tiết của vụ án hình sự đã xảy ra.
 Tính liên quan: Có mối quan hệ trực tiếp hoặc gián ti ếp v ới vụ án.
Nhưng cho dù là trực tiếp hay gián tiếp thì đó cũng phải là m ối quan h ệ

nội tại, có tính nhân quả, tức là chứng cứ phải là kết quả của một lo ại
hành vi hoặc hành động hoặc một quan hệ nhất định, ngược lại, hành
vi, hành động hoặc quan hệ đó là ngun nhân dẫn đến việc hình thành
các chứng cứ này.

5


 Tính hợp pháp: Tất cả những gì có thật phải được cung cấp, thu th ập,
nghiên cứu, bảo quản theo một trình tự do luật định. Đây là trình tự
nhằm bảo đảm giá trị chứng minh của chứng cứ.
Trong thực tế, tính hợp pháp của chứng cứ được xác định thơng qua hoạt
động chứng minh được tồ án và tất cả người tham gia tố tụng thực hiện và
tuân thủ..
1.2.3. Chứng cứ điện tử.
Theo tổ chức Cảnh sát hình sự Quốc tế (Interpol), thì ch ứng c ứ đi ện t ử
là thơng tin và dữ liệu có giá trị điều tra được lưu tr ữ hoặc truy ền đi b ởi m ột
máy tính, mạng máy tính hoặc thiết bị điện tử kỹ thuật số khác. Nguyên văn
như sau: “Digital evidence is defined as information and data of value to an
investigation that is stored on, received or transmitted by an electronic device.
This evidence can be acquired when electronic devices are seized and secured
for examination. (chứng cứ điện tử được định nghĩa là thơng tin và dữ liệu có
giá trị cho một cuộc điều tra được lưu giữ, được nhận hoặc được truyền bởi
một thiết bị điện tử. Bằng chứng này có thể thu được khi các thiết bị điện tử
bị thu giữ và đảm bảo an toàn cho việc điều tra).”
Theo TTLT 10/2012/TTLT ngày 10/9/2012: Chứng cứ điện tử là dữ li ệu
điện tử lưu giữ các vật chứng có khả năng lưu dữ li ệu điện tử (nh ư ổ c ứng
máy tính, bộ nhớ trong của điện thoại di động, máy ảnh, máy ghi hình, máy
fax, máy ghi âm, máy đọc thẻ, thẻ từ, thẻ chíp, thẻ nhớ, USB, đĩa CD, đĩa VCD,
đĩa DVD và các loại phương tiện điện tử khác) được khám xét, thu gi ữ, tạm giữ

và bảo quản theo đúng trình tự, thủ tục tố tụng hình sự; phải được chuy ển
sang dạng có thể đọc được, nhìn được, nghe được; phải lập biên bản về nội
dung dữ liệu điện tử đã phục hồi, phân tích; kèm theo l ời khai, xác nh ận c ủa
người phạm tội, người làm chứng về những thơng tin đó.
1.3. Các loại hình điều tra số.
Với nhiều loại hình điều tra số như: điều tra Internet, đi ều tra đi ện t ử,
điều tra mạng, điều tra ứng dụng... có các cách phân chia khác nhau, nh ưng v ề
cơ bản điều tra số được chia thành 3 loại hình chính là đi ều tra máy tính, đi ều
tra mạng và điều tra thiết bị di động.
Điều tra máy tính (Computer Forensics) là một nhánh của khoa học
điều tra số liên quan đến việc phân tích các bằng chứng pháp lý đ ược tìm th ấy
trong máy tính và các phương tiện lưu trữ kỹ thuật số như:
- Điều tra bản ghi (Registry Forensics) là việc trích xuất thơng tin và
ngữ cảnh từ một nguồn dữ liệu chưa được khai thác qua đó bi ết được nh ững
thay đổi (chỉnh sửa, thêm bớt…) dữ liệu trong bản ghi (Register).
6


- Điều tra bộ nhớ (Memory Forensics) là việc ghi lại bộ nhớ khả biến
(bộ nhớ RAM) của hệ thống sau đó tiến hành phân tích làm rõ các hành vi đã
xảy ra trên hệ thống. Để xác định các hành vi đã x ảy ra trong h ệ th ống, ng ười
ta thường sử dụng kiến trúc quản lý bộ nhớ trong máy tính để ánh xạ, trích
xuất các tập tin đang thực thi và cư trú trong bộ nhớ.
- Điều tra phương tiện lưu trữ (Disk Forensics) là việc thu thập, phân
tích dữ liệu được lưu trữ trên phương tiện lưu trữ vật lý, nhằm trích xu ất dữ
liệu ẩn, khơi phục các tập tin bị xóa, qua đó xác định người đã tạo ra nh ững
thay đổi dữ liệu trên thiết bị được phân tích.
Điều tra mạng (network forensic) là một nhánh của khoa học điều
tra số liên quan đến việc giám sát và phân tích lưu lượng mạng máy tính nhằm
phục vụ cho việc thu thập thông tin, chứng cứ pháp lý hay phát hiện các xâm

nhập vào hệ thống máy tính này. Điều tra mạng có thể được thực hi ện như
một cuộc điều tra độc lập hoặc kết hợp với việc đi ều tra máy tính (computer
forensics) – thường được sử dụng để phát hiện mối liên kết giữa các thi ết b ị
kỹ thuật số hay tái tạo lại quy trình phạm tội.
Điều tra mạng bao gồm việc chặn bắt, ghi âm và phân tích các s ự ki ện
mạng để khám phá nguồn gốc của các cuộc tấn công hoặc sự c ố của m ột vấn
đề nào đó. Khơng giống các loại hình điều tra số khác, đi ều tra m ạng x ử lý
những thông tin dễ thay đổi và biến động. Lưu lượng mạng được truyền đi và
không được lưu lại, do đó việc điều tra mạng thường phải rất linh hoạt, chủ
động.
Điều tra thiết bị di động (Mobile device Forensics) là một nhánh của
khoa học điều tra số liên quan đến việc thu hồi bằng ch ứng kỹ thu ật s ố ho ặc
dữ liệu từ các thiết bị di động. Thiết bị di động ở đây không chỉ đề cập đến
điện thoại di động mà còn là bất kỳ thiết bị kỹ thuật s ố nào có b ộ nh ớ trong
và khả năng giao tiếp, bao gồm các thiết bị PDA, GPS và máy tính bảng.
Việc sử dụng điện thoại với mục đích phạm tội đã phát tri ển mạnh
trong những năm gần đây, nhưng các nghiên cứu điều tra về thi ết bị di đ ộng là
một lĩnh vực tương đối mới. Sự gia tăng các loại hình đi ện tho ại di đ ộng trên
thị trường (đặc biệt là điện thoại thơng minh) địi hỏi nhu cầu giám định v ề
tính an tồn của các thiết bị này mà không th ể đáp ứng bằng các kỹ thu ật đi ều
tra máy tính hiện tại.
1.4. Quy trình điều tra số.
1.4.1. Khi nào thì cần thiết phải mở một cuộc điều tra số.
- Khi hệ thống bị tấn công mà chưa xác định được nguyên nhân.
7


- Khi cần thiết khôi phục dữ liệu trên thiết bị, hệ thống đã bị xóa đi.
- Hiểu rõ cách làm việc của hệ thống.
- Khi thực hiện điều tra tội phạm có liên quan đến cơng nghệ cao.

- Điều tra sự gian lận trong tổ chức.
- Điều tra các hoạt động gián điệp công nghiệp.
1.4.2. Các bước thực hiện điều tra số.

Hình 1. Các bước thực hiện việc điều tra số

Một cuộc điều tra số thường bao gồm 4 gian đoạn: Chuẩn bị
(Preparation), tiếp nhận dữ liệu hay còn gọi là ảnh hóa tang vật (Acquisition),
phân tích (analysis) và lập báo cáo (Reporting)
Chuẩn bị: Bước này thực hiện việc mơ tả lại thơng tin hệ thống, những
gì đã xảy ra, các dấu hiệu, để xác định phạm vi điều tra, mục đích cũng nh ư
các tài nguyên cần thiết sẽ sử dụng trong suốt quá trình điều tra.
Kiểm tra xác minh: Khi bắt đầu quá trình điều tra thì đây là nhiệm vụ
đầu tiên, Ở giai đoạn này việc kiểm tra xác minh cung cấp m ột cái nhìn bao
quát về các thông tin liên quan đến hệ thống bị tấn công, thông tin v ề h ạ t ầng
mạng, các cơ chế bảo vệ thệ thống đó, các ứng dụng ngăn ch ặn virus trên h ệ
thống, cũng như các thiết bị mạng (tường lửa, IDS, router…) đang đ ược tri ển
khai.
Mơ tả hệ thống: Sau khi hồn thành nhiệm vụ ki ểm tra xác minh chúng
ta sẽ tiến hành mô tả chi tiết các thông tin về hệ thống như thời gian h ệ th ống
bị tấn công, đặc điểm phần cứng, hệ điều hành đang s ử dụng, ph ần m ềm
đang cài trên hệ thống, danh sách người dùng và nhiều thông tin h ữu ích khác
liên quan tới hệ thống. Một phần của những dữ liệu này sẽ được lấy ra kh ỏi
hệ thống bằng việc sử dụng các phần mềm phục vụ cho q trình đi ều tra, vì
việc điều tra khơng thể thực hiện ngay trên hệ thống được xem là m ục tiêu

8


của tấn cơng được, bởi vì hệ thống có thể đã được cài đặt các ph ần m ềm đ ộc

hại…
Tiếp nhận dữ liệu: Đây là bước tạo ra một bản sao chính xác các
sector hay cịn gọi là nhân bản điều tra các phương tiện truyền thông, xác định
rõ các nguồn chứng cứ sau đó thu thập và bảo vệ tính tồn v ẹn của ch ứng c ứ
bằng việc sử dụng hàm băm mật mã.
Giai đoạn này rất quan trọng cho q trình phân tích, đi ều tra m ột h ệ
thống máy tính bị tấn cơng. Tất các những thơng tin máy tính có s ẵn ph ải
được đưa vào một mơi trường điều tra an tồn để thực hiện cơng vi ệc đi ều
tra, phân tích, đây là việc làm rất quan trọng bởi vì nó ph ải đảm b ảo được
rằng những chứng cứ thu được ban đầu cần phải đảm bảo được tính tồn
vẹn.Tất cả các dữ liệu thu được từ hệ thống (bộ nhớ, ti ến trình, k ết n ối
mạng, phân vùng đĩa…) phải được ghi lại và ký mã bởi các thu ật toán nh ư
MD5 hoặc SHA1 để đảm bảo tính tồn vẹn chứng cứ, trước khi bắt đầu đi ều
tra thì người thực hiện nhiệm vụ phân tích điều tra sẽ ki ểm tra độ tin c ậy c ủa
chứng cứ dựa vào thông tin mà các chuỗi MD5 hay SHA1 cung cấp. Nhằm tránh
việc gian lận và cài đặt, làm giả các chứng cứ đánh lạc hướng điều tra.
Phân tích: Đây là giai đoạn các chuyên gia sử dụng các phương pháp
nghiệp vụ, các kỹ thuật cũng như cơng cụ khác nhau để trích xu ất, thu th ập và
phân tích các bằng chứng thu được.
Thiết lập mốc thời gian và phân tích: Sau khi thu thập xong chứng cứ
tất cả các dữ liệu được cách ly trong một mơi trường điều tra an tồn và
nhiệm vụ tiếp theo của q trình thực hiện phân tích là thi ết lập tập tin th ời
gian. Việc thiết lập tập tin thời gian giúp người thực hiện công vi ệc đi ều tra
theo dõi lại các hoạt động của hệ th ống (hi ển thị ra th ời gian cu ối cùng mà
một tập tin thực thi được chạy, các tập tin hoặc thư mục được tạo/xóa trong
thời gian qua và qua đó có thể giúp người điều tra hình dung, ph ỏng đoán
được sự hiện diện của các kịch bản hoạt động).
Phân tích phương tiện truyền dữ liệu của hệ điêu hành:Từ các kết qu ả
thu được bởi việc phân tích thời gian, chúng ta ti ến hành b ắt đầu phân tích
phương tiện truyền thơng để tìm kiếm các đầu mối phía sau m ột h ệ th ống b ị

thỏa hiêp. Bộ cơng cụ có sẵn để phục vụ cho việc phân tích phụ thu ộc vào
một số nhân tố như:
- Nền tảng phần mềm được sử dụng trong máy tính phục vụ điều tra.
- Nền tảng phần mềm được sử dụng trong các hệ thống mục tiêu của
việc phân tích.
- Mơi trường phân tích.
9


Trong giai đoạn này, việc phân tích để ki ểm tra kỹ các l ớp ph ương ti ện
truyền thông (vật lý, dữ liệu, siêu dữ liệu, hệ thống tập tin và tên tập tin…) đ ể
tìm kiếm bằng chứng về việc cài đặt các tập tin nghi ngờ, các th ư m ục đ ược
thêm vào/gỡ bỏ.
Tìm kiếm chuỗi: Với những gì đã thu thập được, người phân tích có th ể
bắt đầu tìm kiếm các chuỗi cụ thể chứa bên trong các tập tin để tìm ki ếm
những thơng tin hữu ích như địa chỉ IP, địa chỉ Email… để từ đó truy tìm dấu
vết tấn cơng.
Khơi phục dữ liệu: Sau khi thực hiện xong giai đoạn phân tích các
phương tiện truyền thơng, chun viên điều tra hồn tồn có th ể tìm ki ếm
những dữ liệu từ chứng cứ đã được ghi lại và trích xuất ra các dữ liệu chưa
được phân bổ trong ngăn xếp, sau đó phục hồi lại bất kỳ tập tin nào đã b ị xóa.
Tìm kiếm khơng gian trống (trong mơi trường windows) hoặc tìm trong khơng
gian chưa phân bố dữ liệu có thể khám phá ra nhiều tập tin phân m ảnh, đó có
thể là đầu mối về các hành động xóa tập tin, thời gian được xóa… Vi ệc n ắm
bắt được thời gian tập tin bị xóa là một trong những thông tin quan tr ọng liên
quan đến các hoạt động tấn công đã xảy ra trên h ệ th ống (ví dụ xóa các b ản
ghi liên quan đến quá trình thâm nhập hệ thống)
Lập báo cáo: Sau khi thu thập được những chứng cứ có giá trị và có tính
thuyết phục thì tất cả phải được tài liệu hóa lại rõ ràng, chi ti ết và báo cáo l ại
cho bộ phận có trách nhiệm xử lý chứng cứ thu được, các chuyên gia phân tích

phải đưa ra các kỹ thuật điều tra, các công ngh ệ, phương th ức được s ử dụng,
cũng như các chứng cứ thu được, tất cả phải được giải thích rõ ràng trong báo
cáo quá trình điều tra.
1.5. Các bước thu giữ một máy tính độc lập có lưu trữ chứng cứ điện tử.
- Khơng sử dụng máy tính hoặc thử tìm kiếm chứng cứ.
- Chụp ảnh phía trước và phía sau máy tính cũng như dây và các thi ết b ị
kết nối như được tìm thấy. Chụp hình khu vực xung quanh tr ước khi di
chuyển bất kỳ bằng chứng nào.
- Nếu máy tính là "off", khơng bật "on".
- Nếu máy tính là "on" và một cái gì đó được hiển thị trên màn hình,
chụp ảnh màn hình. Nếu máy tính là "on" và các màn hình tr ống, di chuy ển
chuột hoặc nhấn thanh space (để hiển thị các hình ảnh hoạt động trên màn
hình). Sau khi hình ảnh xuất hiện, chụp ảnh màn hình.
- Rút phích cắm dây nguồn từ phía thân máy.
10


- Nếu máy tính xách tay khơng làm tắt máy khi dây điện bị ngắt, xác
định vị trí và tháo pin. Pin thường được đặt ở phía dưới, và thường có một nút
chuyển đổi hoặc cho phép để loại bỏ pin. Khi pin đã được lo ại b ỏ, không l ắp
trả lại hoặc lưu trữ nó trong máy tính xách tay. Tháo pin sẽ ngăn ch ặn tình c ờ
khởi động của máy tính xách tay.
- Vẽ sơ đồ và đánh nhãn các dây để sau này xác định các thi ết bị kết n ối.
- Ngắt kết nối tất cả các dây và các thiết bị khỏi thân máy.
- Đóng gói từng bộ phận và vận chuyển/lưu giữ các bộ phận như hàng
dễ vỡ.
- Thu giữ các phương tiện lưu trữ ngoài (xem phần phương ti ện lưu
trữ).
- Giữ tất cả các phương tiện truyền thông, bao gồm cả tháp, tránh xa
nam châm, máy phát vô tuyến và các yếu tố có khả năng gây hại khác.

- Thu thập Tài liệu chỉ dẫn, tài liệu và ghi chú.
- Ghi lại tất cả các bước liên quan đến việc thu giữ máy tính và bộ phận.
CHƯƠNG 2. THU THẬP, XỬ LÝ, PHỤC HỒI DỮ LIỆU ĐIỆN TỬ TRONG
ĐIỀU TRA MÁY TÍNH .
2.1. Các định dạng lưu trữ của chứng cứ điện tử
Các dữ liệu thu thập được lưu lại theo một trong ba loại định d ạng.
Trong đó có hai loại định dạng mã nguồn mở và loại thứ th ứ ba là s ở h ữu đ ộc
quyền.
2.1.1. Định dạng thơ (RAW Format)
Trước đây chỉ có một cách sao chép dữ liệu để mục đích bảo quản bằng
chứng và kiểm tra. Người dùng sẽ tiến hành sao chép bit-by-bit từ m ột đĩa vào
đĩa khác có cùng kích thước hoặc lớn hơn. Bên cạnh đó các h ệ đi ều hành nh ư
Linux / UNIX cung cấp các tiện ích dịng l ệnh nh ư dd có th ể ghi dữ li ệu vào
tập tin tho cơ chế bit-stream, với phương pháp này sẽ tạp ra một bản sao là
các tập tin có cấu trúc đơn giãn gồm các thông tin tu ần t ự được g ọi là đ ịnh
dạng thơ. Định dạng này có ưu điểm, nhược đi ểm riêng cần xem xét khi l ựa
chọn một phương án thu thập dữ liệu.
Lợi thế của định dạng thô là tốc độ chuyển dữ liệu nhanh và có th ể b ỏ
dữ liệu lỗi trên ổ đĩa nguồn. Ngồi ra, hầu hết các cơng cụ đi ều tra máy tính có

11


thể đọc các định dạng thơ, khiến nó trở thành một định dạng phổ bi ến trong
hầu hết các ứng dụng thu thập dữ liệu.
Tuy nhiên, điểm bất lợi của định dạng thơ là nó địi h ỏi khơng gian l ưu
trữ như đĩa gốc hoặc có kích thước lớn hơn đĩa gốc. Những cơng cụ th ương
mại có chức năng thu thập dữ liệu theo định dạng thô v ới ch ức năng ki ểm tra
toàn vẹn dữ liệu băng các thuật toán như Cyclic Redundancy Check (CRC32),
Message Digest 5 (MD5), và hàm băm Secure Hash Algorithm (SHA-1 ho ặc m ới

hơn).
2.1.2. Định dạng độc quyền.
Hầu hết các công cụ điều tra dữ liệu máy tính sử dụng đ ịnh d ạng riêng
của chúng để thu thập bằng chứng kỹ thuật số. Định dạng độc quy ền cung
cấp một số tính năng bổ sung cho cơng cụ phân tích, chẳng hạn như sau:
- Có tùy chọn cho phép nén hay khơng nén các tập tin hình ảnh c ủa m ột
ổ đĩa khả nghi giúp do đó tiết kiệm không gian trên ổ đĩa mục tiêu
- Khả năng chia nhỏ một hình ảnh thành các tập tin phân đoạn nh ỏ h ơn
để dễ dàng lưu trữ trên đĩa CD hoặc DVD, với khả năng ki ểm tra tính tồn v ẹn
dữ liệu trên từng phân đoạn.
- Có khả năng tích hợp các siêu dữ liệu vào tập tin hình ảnh, ch ẳng h ạn
như thơng tin ngày và thời gian tiến hành thu thập dữ li ệu, giá tr ị băm (đ ược
tạo ra bởi các thuật toán băm dùng để xác thực) của đĩa gốc hoặc phương ti ện
lưu trữ.
2.1.3. Định dạng nâng cao.
Tiến sĩ Simson L. Garfinkel của Basis Technology Corporation đã phát tri ển
một định dạng mã nguồn mở mới áp dụng cho vi ệc thu th ập thông tin là
Advanced Forensic Format (AFF) hay còn gọi là định dạng nâng cao. Đ ịnh
dạng này có những mục tiêu sau :
• Tạo tập tin hình ảnh nén hoặc khơng nén
• Khơng có hạn chế về kích thước khi tạo ra tập tin ảnh cho đĩa nguồn.
• Cung cấp khơng gian lưu trữ siêu dữ liệu trong các tập tin hình ảnh
hoặc các tập tin phân đoạn.
• Thiết kế đơn giản với khả năng mở rộng
• Mã nguồn mở và khả dụng trên nhiều nền tảng máy tính và h ệ đi ều
hành.
• Cung cấp cơ chế kiểm tra dữ liệu đồng nhất để xác thực.
12



Tập tin lưu trữ theo định dạng này có hai phần, với phần mở rộng tập
tin .afd dùng cho các tập tin hình ảnh phân đoạn và .afm cho t ập tin l ưu tr ữ
siêu dữ liệu. Bởi vì AFF là nguồn mở nên các công cụ đi ều tra máy tính c ủa các
nhà cung cấp sẽ khơng gặp phải hạn chế nào khi áp dụng định dạng này.
2.2. Một số công cụ thu thập, xử lý dữ liệu điện tử trong điều tra máy tính
Computer Forensic.
2.2.1. Phục hồi dữ liệu trong ổ cứng máy tính.
Bước 1: Sao chép ổ cứng và sử dụng ổ sao chép để phục hồi:
- Sao ổ đĩa cần khôi phục dữ liệu sang một ổ khác. Tháo ổ cứng của máy
tính và thay thế bằng ổ cứng sao lưu.
- Sử dụng chương trình dd của Linux, Encase, HDD Raw Copy Tool (một
cơng cụ cho phép sao chép ổ đĩa cứng mức thấp ki ểu sector-by-sector và t ạo
ảnh ổ đĩa), Data Recovery CD/USB
Bước 2: Kiểm tra khả năng bị xóa dữ liệu trên máy tính:
Khởi động máy bằng đĩa Hiren’sBoot CD, kiểm tra các phần mềm có th ể
xóa dữ liệu có trên ổ đĩa máy tính hay khơng?
Bước 3: Khơi phục dữ liệu:
Sử dụng phần mềm khôi phục dữ liệu để khơi phục các tập tin bị xóa
trên ổ đĩa đã sao lưu.
2.2.2. Một số công cụ sử dụng để đọc dữ liệu ổ cứng vật lý.
HDDRawCopy: Công cụ này hỗ trợ tạo các file ành của ổ đĩa vật lý. Nó
giống như việc dữ liệu trên ổ cứng sẽ được copy sang một file ảnh khác nh ằm
đảm bảo tính khách quan khi điều tra.
RawCopy: tính năng tương tự như HDDRawCopy.
Bộ công cụ FTK: Tập hợp khá nhiều công cụ giúp bạn có thể đọc, phân
tích dữ liệu ổ cứng cũng như các file ảnh ổ đĩa. Có th ể một s ố file đã b ị xóa thì
bộ cơng cụ này vẫn có thể đọc và phục hồi được.
Digital Forensics Framework: Bộ công cụ này cũng tương tự như FTK
nhưng trong nhiều trường hợp dùng FTk hiệu quả hơn, nhiều trường hợp
dùng DFF hiệu quả hơn. Bộ công cụ này được viết bằng ngơn ngữ Python, có

giao diện người dùng tương đối dễ hiểu, tuy nhiên theo đánh giá chung c ủa
em thì FTK là bộ cơng cụ dễ sử dụng cho người mới hơn, đảm bảo yêu c ầu
pháp lý của quá trình điều tra.

13


2.2.3. Phục hồi ổ cứng hỏng vật lý.
Trong một số trường hợp, khi thu giữ được ổ cứng vật lý thì ổ cứng bị
hư hỏng do nhiều nguyên nhân khác nhau. Trường hợp này không th ể ti ến
hành quá trình điều tra thơng qua các cơng cụ phần mềm thông th ường, b ắt
buộc nhà điều tra phải sử dụng đến các công cụ phần cứng để ti ến hành khơi
phục dữ liệu ổ đĩa cứng qua đó tiến hành điều tra.
- Hỏng bảng mạch điều khiển: Thay bảng mạch điều khiển tương
đương.
- Hỏng đầu từ: Thay đầu từ.
- Hỏng đĩa từ: Sử dụng thiết bị PC3000 hoặc kính hiển vi điện từ để đọc
dữ liệu
Chú ý: Khi ổ đĩa hỏng bề mặt đĩa từ hoặc gãy đầu từ, c ố gắng hạn ch ế
việc bắt ổ đĩa phải đọc nhiều lần để tránh bề mặt ổ đĩa bị hỏng nặng thêm.

Hình 2:Thiết bị PC-3000

Các ứng dụng chính của PC3000:
- Sửa chữa ổ đĩa cứng
- Khôi phục dữ liệu từ ổ cứng bị hư hỏng
- Khôi phục dữ liệu từ ổ đĩa Flash và ổ cứng SSD
Các thành phần của bộ công cụ PC-3000:
- 01 bộ PC-3000 để nối máy tính (chứa phần mềm điều khiển) với ổ
cứng hỏng.

- Phần mềm PC-3000
- Bộ cung cấp nguồn (adapter).

14


2.3. Thu thập dữ liệu trên bộ nhớ RAM.
2.3.1. Tại sao phải thu thập dữ liệu trên bộ nhớ RAM.
Khoa học điều tra số đã chứng minh vai trò quan tr ọng của Memory
Forensics, việc điều tra bộ nhớ RAM nơi mà dữ liệu luôn sẵn sàng đ ể ghi l ại và
phân tích, cung cấp những chững cứ rất có giá trị, nó vượt qua m ột s ố h ạn ch ế
của các phương pháp điều tra truyền thống (phân tích đĩa vật lý), gi ải quy ết
các vấn đề mà các cơng nghệ mới như mã hóa có th ể gây ra khó khăn trong
q trình điều tra. Những phương pháp phân tích truyền thống bị giới hạn bởi
một số chỗ, ví dụ khi tiến hành phân tích chúng ta thường gặp khó khăn khi
khơng truy cập được dữ liệu đã được mã hóa trừ khi chúng ta có th ể b ẻ khóa
được mật khẩu của người dùng. Mà như chúng ta cũng biết khóa và mật khẩu
rất hiếm khi được lưu trữ trên đĩa. Tuy nhiên nó được thiết nạp vào và được
lưu trữ trong bộ nhớ RAM, vì vậy khi tiến hành phân tích bộ nhớ có thể cho
phép chúng ta sử dụng các kỹ thuật và công cụ đ ể khôi phục mật kh ẩu và
khóa mật mã một cách dễ dàng. Một hạn chế khác nữa của phương pháp đi ều
tra truyền thống đó là người phân tích sẽ khơng đủ khả năng trong việc khám
phá những thông tin về các tiến trình đang chạy trong b ộ nh ớ, do đó d ễ b ỏ
qua việc điều tra các ứng dụng, đang được hệ th ống sử dụng tại th ời đi ểm
cuộc tấn công diễn ra, cũng như các dữ liệu được che giấu trong bộ nhớ.
Nhưng đối với Memory Forensics, thì đây là một việc khá dễ dàng. Chính vì
vậy việc phân tích điều tra bộ nhớ RAM cho chúng ta cái nhìn sâu s ắc nh ất,
chính xác nhất về những gì đang diễn ra trên hệ th ống tại th ời đi ểm h ệ th ống
đang bị tấn cơng.
2.3.2. Các thơng tin có thể thu được trên bộ nhớ RAM.

Các tiến trình đang chạy trên hệ thống: Tất cả các tiến trình đang
chạy được lưu trữ ở bộ nhớ và có thể được lấy ra bằng việc sử dụng các công
cụ dựa vào cấu trúc của hệ thống đang điều tra. Từ khi được đưa vào hệ
thống cho đến khi kết thúc tiến trình tồn tại ở các trạng thái khác nhau .
Các tập tin đang mở và Registry Handles: Các tập tin đang mở cũng
như bất kỳ một xử lý registry (registry handles) nào được truy xuất bởi một
tiến trình đều được lưu trữ trong bộ nhớ. Thông tin về các tập tin đang m ở
hay các xử lý liên quan đến Registry rất có giá trị trong việc đi ều tra.
Các kết nối mạng đang có trong hệ thống: Thơng tin về các kết nối
mạng bao gồm các cổng đang lắng nghe trên h ệ th ống, các k ết n ối đang đ ược
thiết lập và các thông tin liên kết giữa hệ th ống với các k ết n ối từ xa, nh ững
thơng tin này đều có thể được lấy ra từ bộ nhớ. Các thông tin về các kết n ối

15


mạng có thể cho ta biết các Backdoor đang kết n ối trong h ệ th ống, các máy
chủ điều khiển botnet… dựa vào các kết nối của nó.
Mật khẩu và các khóa mật mã: Một trong những lợi thế quan trọng
của phân tích điều tra bộ nhớ là việc phục hồi lại mật khẩu người dùng và
các khóa mật mã có thể được dùng để giải mã các tập tin, ch ương trình mà
người dùng sử dụng, truy cập (firefox,yahoo…). Mật khẩu và khóa mật mã có
quy luật chung là không bao giờ được lưu trên đĩa cứng mà khơng có b ất kỳ s ự
bảo vệ nào khi sử dụng chúng. Tuy nhiên chúng l ại được lưu tr ữ trong b ộ nh ớ
RAM và một khi điều này xảy ra thì việc điều tra bằng việc ghi lại b ộ nhớ
RAM có thể giúp phục hồi dữ liệu, khơi phục mật khẩu và có th ể truy c ập vào
tài khoản trực tuyến thuộc sở hữu của kẻ đang bị đi ều tra như email và dữ
liệu lưu trữ.
Các tập tin bị xóa: Dữ liệu ẩn thông thường chúng ta hay nghĩ đến các
thực thể độc hại trên hệ thống, hay các dữ liệu mà chủ hệ thống muốn bảo

vệ để lưu trữ dữ liệu trong bộ nhớ RAM thay vì trong đĩa cứng. Ngồi vi ệc các
tập tin được ẩn trong bộ nhớ, kẻ tấn cơng cũng có thể chạy mã đ ộc h ại từ b ộ
nhớ thay vì lưu trữ mã độc hại trên đĩa cứng. Việc này gây khó khăn cho vi ệc
dịch ngược mã, khó khăn khi thực hiện việc lấy mẫu các bản sao c ủa ch ương
trình độc hại và tìm ra cách thức nó làm việc như thế nào, đ ể gi ảm thi ểu được
mối đe dọa do chúng gây ra, chính vì thế việc ki ểm tra các tập tin ẩn ch ứa
trong bộ nhớ RAM có thể đưa ra những phát hiện hay những thơng tin rất
quan trọng cho quá trình điều tra. Dữ liệu ẩn thông thường chúng ta hay nghĩ
đến các thực thể độc hại trên hệ thống, hay các dữ li ệu mà ch ủ h ệ th ống
muốn bảo vệ để lưu trữ dữ liệu trong bộ nhớ RAM thay vì trong đĩa cứng.
Mã độc hại và các tập tin bị lây nhiễm: Trong những năm gần đây
việc tấn công sử dụng mã độc ngày càng phổ bi ến và gia tăng, k ẻ t ấn cơng có
thể chạy mã khai thác từ bộ nhớ thay vì mã độc sẽ th ực hi ện vi ệc l ưu tr ữ
chính nó trong ổ đĩa. Điều này mục đích chính là đ ể tránh s ự phát hi ện, qua
mặt các chương trình diệt virus. Việc kẻ tấn cơng thực hiện vi ệc lưu tr ữ mã
độc trong bộ nhớ sẽ làm cho những người trực ti ếp phân tích g ặp khó khăn
trong việc phục hồi và dịch ngược mã của chúng.
2.3.3. Phương pháp thu lại bộ nhớ RAM
Thu lại bộ nhớ RAM dựa trên phần cứng: liên quan đến việc tạm
ngưng q trình xử lý của máy tính và thực hi ện truy c ập b ộ nh ớ tr ực ti ếp đ ể
có được một bản sao của bộ nhớ, phương pháp này được coi là tin c ậy h ơn vì
ngay cả khi hệ điều hành và phần mềm trên hệ thống đã bị xâm nhập hoặc b ị
làm sai bởi kẻ tấn công, chúng ta vẫn có th ể nhận được m ột hình ảnh chính
xác của bộ nhớ, vì chúng ta khơng phụ thuộc vào các thành phần của h ệ th ống.
16


Nhưng nhược điểm của phương pháp này là chi phí đắt đỏ. Một trong những
phần cứng chuyên dụng thiết kế cho việc này là Tribble Card, nó là một tấm
mạch PCI được cài đặt sẵn trong hệ thống trước khi một thỏa hiệp được di ễn

ra, vì vậy cho phép các nhà điều tra ghi lại b ộ nh ớ m ột cách chính xác và đáng
tin cậy nhất, hơn hẳn so với phương pháp thu hồi dựa trên phần mềm.
Thu lại bộ nhớ RAM dựa trên phần mềm : hiện nay là kỹ thuật
thường được sử dụng phổ biến bằng việc sử dụng bộ công cụ đáng tin cậy
được phát triển và cung cấp bởi các chuyên gia điều tra s ố hàng đ ầu trên th ế
giới như Memoryze, dumpit, win32dd, Mandiant Redline,… Hoặc cũng có thể
sử dụng những cơng cụ đã được tích hợp sẵn trong hệ thống để tiến hành thu
lại bộ nhớ RAM như dd, memdump trong linux.
Dumpit: Là công cụ giúp lưu lại trạng thái dữ liệu trên RAM thành m ột
bản raw. Từ đó ta có thể sử dụng các bản raw này để phân tích.

Hình 3: Cơng cụ DumpIt để ghi lại bộ nhớ RAM trong môi trường Windows.

Volatility: Là một công cụ rất mạnh, chủ yếu dùng để đọc, phân tích dữ
liệu trên RAM từ các bản raw thu được. Công cụ này được vi ết trên ngơn ng ữl
lập trình Python nên nếu muốn chạy trên môi trường Windows phải có trình
biên dịch Python, ngồi ra cơng cụ này cũng được tích hợp sẵn trên Kali, m ột
hệ điều hành mã nguồn mở được nhiều nhà an ninh an toàn thông tin tin
dùng.

17


CHƯƠNG 3. MINH HỌA CHƯƠNG TRÌNH
3.1. Tạo Ảnh Đĩa Với AccessData FTK Imager.
FTK Imager là chương trình thu thập dữ liệu chạy trên Windows có
trong bộ cơng cụ AccessData Forensic Toolkit. Khi sử dụng FTK Imager c ần
có các thiết bị USB đi kèm để lưu trữ dữ li ệu, ứng dụng này có th ể dùng đ ể
đọc các chứng cứ và tạo ảnh disk-to-image theo định dạng độc quy ền. đ ịnh
dạng độc quyền khác.

FTK Imager có thể đọc các tập tin ảnh được tạp bởi AccessData AD1,
Expert Witness (EnCase), hay SMART. S01,và các tập tin định dạng thơ. Ngồi
ra FTK Imager cịn đọc được dữ liệu trên các đĩa CD hay DVD.

Hình 4: Giao diện của FTK Image

FTK Imager cho phép chia nhỏ tập tin ảnh để lưu trữ trên các thi ết b ị có
dung lượng thấp, và tạo các hình ảnh theo cơ chế disk-to-image.
Sau đây là các bước tạo một tập tin ảnh với FTK Imager trên ổ đĩa USB
(do công cụ này chạy trên hệ điều hành Windows nên các bạn cần đặt ch ế đ ộ
chống ghi đè để bảo vệ dữ liệu gốc).
1.Khởi động máy trạm điều tra chứng cứ dùng hệ điều hành Windows.
2. Gắn ổ đĩa bằng chứng vào máy.
3. Kết nối ổ đĩa mục tiêu vào máy. Lưu ý, nếu các bạn sử dụng thi ết bị
lưu trữ chứng cứ gốc bằng USB có chế độ chống ghi thì ta có thể gắn ổ mục
18


tiêu qua kết nối USB trên cổng khác. Còn n ếu s ử d ụng ch ế đ ộ ch ống ghi b ằng
Registry thì phải gắn ổ đĩa mục tiêu qua cáp IDA ha SATA.
4. Để khởi động FTK Imager, hãy nhấn Start, ch ọn All Programs, tr ỏ
chuột đến AccessData, sau đó chọn FTK Imager , ti ếp theo nh ấn chu ột ph ải
vào FTK Imager và nhấp vào Run as administrator.
5. Trên cửa sổ chính của FTK Imager, hãy nhấp vào File, và Create Disk
Image từ thanh menu.
6. Trong hộp thoại Select Source, bấm vào nút tùy chọn Physical Drive
và sau đó kích Next.

7. Trong hộp thoại Select Drive, bấm vào mũi tên l ựa chọn Drive
Selection và xác định ổ đĩa khả nghi (là ổ đĩa chứa chứng cứ) và sau đó nh ấn

Finish.
8. Trong hộp thoại Create Image, nhấn chọn Verify image sau khi chúng
được tạo và sau đó nhấn Add. Trong hộp thoại Select Image Type hãy nhấn
vào nút Raw (dd) và sau đó kích Next.

19


9. Trong hộp thoại Select Image Destination, nhấn Browse, tìm đến vị trí
tập tin hình ảnh (thư mục làm việc của bạn), và sau đó nhấp OK.

10. Trong ơ Image filename (excluding extension) hãy nh ập vào
InChp04ftk, và sau đó nhấn Finish.
11. Tiếp theo, trong hộp thoại Create Image, nhấn Start đ ể b ắt đ ầu thu
thập dữ liệu.
12. Khi FTK Imager kết thúc công việc hãy nhấn Close trên h ộp tho ại
Drive/Image Verify Results và sau đó nhấn Close thêm lần nữa trên h ộp tho ại
Create Image

20


Hình 5: Hồn tất lưu tập tin

3.2. Sử dụng FTK tool tìm kiếm khơi phục dữ liệu ổ đĩa cứng.
Ví dụ: Khi thực hiện điều tra máy tính của tội phạm phát hiện ra ổ cứng
máy tính của kẻ tình nghi trống trơn. Vấn đề đặt ra là xác đ ịnh các d ữ li ệu b ị
mất là gì? Và phục hồi lại các dữ liệu bị mất đó. (Quá trình đi ều tra th ực hi ện
trên một ổ cứng đã sao lưu bit-to-bit với ổ cứng gốc).
Để thực hiện các yêu cầu trên nhóm chúng em sử dụng cơng cụ FTK

Imager. Máy ảo VMWare XP có một ổ đĩa E đã được thực hiện xóa sạch dữ liệu.
Ta tiến hành chạy tool FTK trên máy ảo XP.

Hình 6: Giao diện của công cụ FTK

File Add Evidence Item…
21


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×