Các giai đoạn thu thập chứng cứ điện tử
Đặng Ngọc Thư
Trên thế giới tội phạm máy tính (hay còn gọi là tội phạm mạng) đang n càng phát triển mạnh. Ở
Việt Nam, tội phạm mạng phát triển chưa nhiều, nhưng cũng đã có nhiều dấu hiệu cho thấy tính chất
nguy hiểm của nó, ảnh hưởng lớn tới sự phát triển của lĩnh vực công nghệ thông tin nói riêng và đời
sống kinh tế - xã hội nói chung.
Tội phạm mạng là loại tội phạm gây án thông qua phương tiện điện tử. Do đó, để truy tìm tội
phạm mạng cần phải có những chứng cứ điện tử. Theo điều 64 của Bộ luật Tố tụng hình sự năm 2003
của Quốc hội Việt Nam thì chứng cứ là những gì có thật, được thu thập theo trình tự, thủ tục dùng làm
căn cứ để xác định có hay không có hành vi phạm tội, những tình tiết cần thiết cho việc giải quyết
đúng đắn vụ án.Vậy thì việc thu thập chứng cứ điện tử diễn ra như thế nào để đảm bảo yêu cầu pháp
lý? Bài viết này xin giới thiệu 3 giai đoạn chính của quá trình thu thập, xử lý chứng cứ điện tử, đó là:
- Chuẩn bị dữ liệu chứng cứ;
- Xác định chứng cứ;
- Phân tích chứng cứ;
Trước khi thực hiện ba giai đoạn trên, người điều tra cần thành lập các bảng số liệu báo cáo mà
nội dung của nó có thể được tạo trước hoặc bổ sung thêm trong quá trình thu thập chứng cứ. Các bảng
đó bao gồm:
- Bảng 1: Bảng dữ liệu dẫn tìm (Search Lead Table) chứa danh sách các đối tượng cần thu thập
trong môi trường mạng, hoặc môi trường đĩa cứng. Ví dụ:
+ Xác định và liệt kê tất cả các mục hoặc các E-mail đã bị xóa
+ Tìm kiếm các file, tài liệu liên quan đến dấu hiệu khiêu dâm trẻ em
+ Cấu hình và thu giữ cơ sở dữ liệu cho việc khám phá dữ liệu
+ Khôi phục tất cả các file đã bị xóa và đường dẫn liên quan.
- Bảng 2: Bảng dữ liệu cần chuẩn bị (Extracted Data Table) là một danh sách chứa các mục đã
được chuẩn bị hoặc thu thập để cho phép xác định dữ liệu phù hợp với yêu cầu chứng cứ. Ví dụ:
+ Xử lý chụp ảnh ổ đĩa cứng để có thể sử dụng trong xử lý nội dung
+ Lưu trữ các file registry và cài đặt trình xem xét registry để cho phép kiểm tra chứng cứ trong
danh mục registry.
+ Nắm bắt những tập cơ sở dữ liệu để nạp vào máy chủ sẵn sàng cho khám phá dữ liệu.
- Bảng 3: Bảng dữ liệu thích đáng (Relevant Data Table) chứa danh sách dữ liệu phù hợp với

yêu cầu chứng cứ. Chẳng hạn, nếu yêu cầu chứng cứ đang tìm liên quan đến thẻ tín dụng như số thẻ,
ảnh thẻ, các email trao đổi về thẻ tín dụng, thì bộ nhớ đệm web sẽ chứa đựng các thông tin về ngày
tháng, thời gian và cách thức tìm ra, sử dụng số thẻ thẻ tín dụng,.. đó là những dữ liệu thích đáng cho
chứng cứ. Ngoài ra khôi phục lại thông tin về nạn nhân cũng là dữ liệu thích đáng, đồng thời tạo điều
kiện cho việc thông báo đến nạn nhân bị xâm hại.
- Bảng 4: Bảng nguồn dữ liệu dẫn tìm mới (New Data Source Leads Table) là một danh sách dữ
liệu phải thu được để chứng thực dữ liệu chứng cứ phạm tội xuất hiện trong quá trình điều tra. Ví dụ:
+ Địa chỉ Email:
+ Lịch trình đăng nhập Server bằng tài khoản Ftp
+ Thông tin thuê bao đối với địa chỉ IP
+ Lịch trình giao dịch trên máy chủ

1


- Bảng 5: Bảng danh sách kết quả phân tích (Analysic Results Table) là một danh sách dữ liệu
hữu ích cho việc trả lời các câu hỏi ai, cái gì, khi nào, ở đâu và như thế nào trong việc thỏa mãn yêu
cầu chứng cứ.
Giai đoạn 1: Chuẩn bị dữ liệu chứng cứ (Preparation /Extraction)
Bắt đầu
Đợi chỉ đạo giải pháp từ cấp
trên.
Có đủ thẩm quyền để
tiến hành thu thập?

Không

Có

Cài đặt phần cứng và phần

mềm thu thập; thiết lập cấu
hình hệ thống nếu cần
Sao lại và xác định sự toàn vệ
dữ liệu thu thập chính xác.
Thu thập được dữ
liệu toàn vẹn?

Đề xuất lại yêu cầu để xác
định bước tiếp theo.
Quay lại nghiên cứu yêu cầu
về thu thập chứng cứ.

Không
đảm bảo
sự toàn
vẹn

Đảm bảo sự toàn vẹn

Tổ chức tinh lọc các yêu cầu chứng
cứ và các công cụ phù hợp, trích ra
được dữ liệu chứng cứ.
Thêm dữ liệu thu được vào danh
sách các dữ liệu chuẩn bị cho quá
trình xác định chứng cứ.
Đánh dấu dữ liệu tìm kiếm đã thực
hiện thu thập

Cần nữa


Có cần thu thập các
dữ liệu khác?

2

Chuyển sang
giai đoạn xác
định chứng cứ

Không


Giai đoạn 2: Xác định chứng cứ (Identification)
Bắt đầu

Có dữ liệu để
xác định?
Có

Dữ liệu liên
quan đến yêu
cầu chứng chứ

Thêm vào danh
sách “dữ liệu
thích đáng”.

Nếu mục này có thể tổng
hợp thành “dữ liệu dẫn
tìm”, thành lập và thêm

vào “danh sách dữ liệu
dẫn tìm”

Nếu mục này hoặc thông
tin khám phá thành
“nguồn dữ liệu mới” thì
thành lập và thêm vào
“danh sách nguồn dữ
liệu dẫn tìn mới”

ến

ầu chứng cứ

Thông tin
ngoài vùng.
Dừng, báo
cáo tới cấp
có thẩm
quyền và đợi
chỉ dẫn.

Thông tin không liên quan đ
yêu c

Loại dữ liệu đó
là gì?

Không


Đánh dấu mục đã xử lý
trong “Danh sách dữ liệu
chuẩn bị”

Nếu có “Dữ liệu dẫn
tìm” mới đã được
thành lập, hãy bắt
đầu giai đoạn 1.

Nếu có “Nguồn dữ
liệu dẫn tìm” mới đã
được thành lập, hãy
bắt đầu quá trình
“Thu thập và mô tả
dữ liệu chứng cứ”

Xem xét những ý gợi mở từ kết
quả tìm kiếm ban đầu
Nếu đã có dữ liệu phân tích, hãy
bắt đầu quá trình phân tích.

3


Giai đoạn 3: Phân tích chứng cứ (Analysis)
Bắt đầu

Có hoặc còn dữ liệu
cần phân tích?


không

có
Ai, cái gì?
- Người nào; việc tạo, soạn thảo, sửa đổi, gửi, nhận tài
liệu dựa trên phần mềm nào hoặc lý do tạo ra tài liệu?
- Những ai liên quan đến mục dữ liêu này?
Ở đâu?
- Dữ liệu được tìm thấy ở đâu, từ đâu tới?
- Nó có chỉ ra những nơi khác liên quan đến sự việc
này không?
Khi nào?
- Nó được tạo ra, truy cập, thay đổi, nhận, gửi, xem,
xóa và kích hoạt khi nào?
- Nó có chỉ ra các sự kiện liên quan đến khi nào
không?
- Phân tích thời gian: Hoạt động nào xảy ra hệ thống
trên cùng thời điểm đó? Nội dung Register đã bị thay
đổi không?
Đối tượng đã làm như thế nào?
- Nó bắt nguồn trên phương tiện truyền thông như thế
nào?
- Nó được tạo ra, truyền, thay đổi và sử dụng như thế
nào?
- Nó chỉ ra các sự kiện liên quan như thế nào?
Những sự kiện giả tạo và siêu dữ liệu liên quan
- Danh mục Registry.
- Nhật ký phần mềm và hệ thống
Các kết nối khác
- Dựa trên những sự kiện giả và siêu dữ liệu gợi ý liên

kết đến những mục hay sự kiện liên quan khác không?
- Những tương quan nào hoặc chứng thực thông tin
nào có liên quan đến mục này?
- User nào đã sử dụng mục tin này?

Nếu mục này
hoặc thông tin
khám phá có
thể thành lập
“Dữ liệu dần
tìm” thì thêm
vào “Danh
sách dữ liệu
dẫn tìm”.

Nếu “dữ liệu
dẫn tìm” mới
được thành lập,
bắt đầu lại Giai
đoạn I.

Nếu mục này
hoặc thông tin
khám phá có
thể thành lập
“Nguồn dữ liệu
dẫn tìm” mới
thì thêm vào
“Danh sách
nguồn dữ liệu

dẫn tìm”.

Nếu “Nguồn
dữ liệu dẫn tìm
mới” được
thành lập, bắt
đầu “Thu thập
và mô tả dữ
liệu chứng cứ”.

Đánh dấu mục
dữ liệu liên
quan đã xử lý
trong “Danh
sách dữ liệu
chuẩn bị”

Báo cáo tài liệu
chứng cứ thu
được.

Xác định các thông tin phù hợp với yêu cầu chứng cứ
Sử dụng dòng thời gian và/hoặc các phương pháp
khác để xác định và thành lập tài liệu “Danh sách kết
quả phân tích”

Để đấu tranh phòng chống loại tội phạm mạng cần có những giải pháp đồng bộ hơn nữa từ hành
lang pháp lý, cơ chế hợp tác và cho đến khả năng năng lực của cán bộ điều tra.

4



- Các văn bản pháp quy như luật giao dịch điện tử, luật công nghệ thông tin cần phải quy định
đầy đủ, chi tiết cụ thể cho từng hành vi phạm tội của loại hình phạm tội mạng.
- Cần có những cơ chế hợp tác, cộng tác với những nhà cung cấp dịch vụ lớn trên mạng như:
Yahoo, Google, Youtube, Fpt, VDC,…
- Lực lượng cảnh sát chống tội phạm trên mạng cần phải được trang bị những thiết bị điện tử tin học hiện đại kể cả phần cứng và phần mềm, cần được đào tạo ở trình độ cao về điện tử - tin học viễn thông.

Tài liệu tham khảo:
1/ Luật Công nghệ thông tin, được Quốc hội khóa XI, kỳ họp thứ 9 thông qua ngày 29/6/2006.
2/ Luật Giao dịch điện tử, được Quốc hội khóa XI, kỳ họp thứ 8 thông qua ngày 29/11/2005.
3/ Bộ luật tố tụng hình sự, được Quốc hội khóa XI, kỳ họp thứ 4 thông qua ngày 26/11/2003.
4/ Website:
5/ Website
6/ Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations. Computer
Crime and Intellectual Property Section. Criminal Division. United States Department of Justice , July 2002.

5