Tải bản đầy đủ (.pdf) (18 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Ôn-Thi-Pháp-Chứng-Kỹ-Thuật-Số.docx

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (319.37 KB, 18 trang )

Câu hỏi thi cuối khóa
Môn Pháp chứng kỹ thuật số
Câu 1: ​[đã xong]​Cho biết các nhiệm vụ của pháp chứng viên khi điều tra
trên máy tính và cho biết phần mềm Autopsy có tính năng như thế
nào khi điều tra nội dung một ổ đĩa.
=> Trả lời:

Nhiệm vụ của Pháp chứng viên ( bài 3 -slide 10)
● Quản lý và khai thác dữ liệu trên hệ thống máy tính, hiểu biết khai thác
các phương pháp lưu trữ thông tin trên máy tính và thiết bị số.
● Phân tích các dữ liệu tìm được trên hệ thống máy tính để tìm ra các
thông tin chi tiết liên quan như là nguồn gốc, nội dung;
● Đánh giá các thông tin tìm được và tập hợp thành bằng chứng số.
● Đưa bằng chứng số trước tòa và bảo vệ các bằng chứng số đó.

Các tính năng của Autopsy (bài 3 -slide 47)
● Băm lọc (Hash Filtering ): đánh dấu các tập tin có vấn đề và bỏ qua các
tập tin tốt.
● Phân tích pháp chứng với File system: cho phép khôi phục các tập tin
từ hầu hết các định dạng phổ biến.
● Tìm kiếm theo từ khóa - chỉ mục từ khóa tìm kiếm để tìm các tập tin có
đề cập đến các từ có liên quan.
● Khai thác các thông tin sử dụng Web: cho phép trích xuất lịch sử truy
cập Web, đánh dấu, tìm cookie từ trình duyệt Firefox, Chrome, và IE.
● Đa phương tiện - trích xuất dạng EXIF (Exchangeable image file
format) từ các ảnh và video.




Câu 2: [đã xong] G


​ iải thích các giai đoạn của quy trình điều tra pháp
chứng kỹ thuật số và phân tích các giai đoạn này với tham khảo từ
Video điều tra vụ án giết người của cảnh sát Hoa Kỳ.
=> Trả lời:

Quy trình điều tra pháp chứng kỹ thuật số (bài 2 thì phải)
Với Pháp chứng viên, một cuộc điều tra pháp chứng kỹ thuật số thường bao
gồm 4 giai đoạn:
● Tập hợp chứng cứ điều tra (Evidence)
○ cảnh sát giao cho pháp chứng viên điện thoại thu giữ tại hiện
trường
● Xem xét dữ liệu hay còn gọi là xem xét chứng cứ số (Acquisition),
○ Pháp chứng viên kết nối điện thoại vào máy tính, sử dụng thiết bị
chuyên dụng để xem dữ liệu trên máy. Sau đó thì phát hiện một
đường link khả nghi trong lịch sử web là một trang diễn đàn. Vì
không có password để truy cập nên tiến hành phá password.
● Phân tích chứng cứ (Analysis):
○ Trong diễn đàn phát hiện cuộc hội thoại với một người khả nghi
về việc giải quyết tiền bạc. Sau đó tìm thông tin/ vị trí về người
đã nói chuyện với nạn nhân.
● Lập báo cáo (Reporting):
○ Pháp chứng viên viết báo cáo và gửi lại cho phía cảnh sát.

Câu 3: ​[Đã xong ]​Giải thích lý do tại sao pháp chứng viên cần phải tạo
các đĩa chép (Clone) khi điều tra. Giải thích cách sử dụng thiết bị
ImageMASSter Solo-3 để sao chép một ổ đĩa. (Kian Brian làm rồi)
=> Trả lời: />Lý do cần tạo các đĩa chép khi điều tra:
Khi một ổ đĩa được đánh giá là có thể chứa các chứng cứ số, pháp chứng viên cần tuần thủ
một chuỗi các thủ tục để đảm bảo rằng việc trích xuất các bằng chứng số là hợp pháp và có



giá trị. Các dữ liệu gốc phải được đảm bảo rằng chưa bị chỉnh sửa kể từ khi bắt đầu điều
tra và từ đó pháp chứng viên phải tạo các bản sao từ các dữ liệu gốc đó để tiến hành điều
tra. Thông thường việc sao chép này diễn ra dưới hình thức các đĩa chép (clone) từ đĩa
cứng, đĩa mềm, CD, DVD, USB..
[Trường cute version]
Hình ảnh kỹ thuật số là một phần chính của dữ liệu trong nhiều thiết bị kỹ thuật số và trở
thành nguồn cung cấp thông tin chính trong kỷ nguyên kỹ thuật số.Trong tội phạm mạng,
các hình ảnh kỹ thuật số được trình bày như là bằng chứng trước tòa. Tính xác thực của các
hình ảnh kỹ thuật số được gửi làm bằng chứng trước tòa là một dấu hỏi lớn; vì những hình
ảnh này có thể được thay đổi hoặc sửa đổi. Do đó phương pháp nhân bản hoặc phát hiện
giả mạo sao chép được sử dụng trong điều tra pháp chứng thiết bị được đưa ra. Các tập tin
nghi ngờ thu được như bằng chứng của tòa án dùng để phân tích.
-----------------------Kian Khoa version-----------------------------------------------------Cách sử dụng thiết bị ImageMASSter Solo-3 để sao chép một ổ đĩa:
-

Master solo 3 có thể thu thập dữ liệu từ máy tính hoặc máy tính xách tay chưa mở
bằng cách sử dụng các interface FireWire hoặc USB của master solo 3.
Master solo 3 hỗ trợ hình ảnh ổ đĩa từ IDE serial ata (nối tiếp ata) và ổ đĩa cứng
scuzzy bao gồm 80 thiết bị trạng thái solid tương thích.
Đầu tiên, đặt thiết bị ImageMASSter Solo-3 l​ ên bề mặt phẳng.
Kiểm tra xem công tắc nguồn của thiết bị đang ở vị trí tắt.
Kết nối AC adapter với đầu nối nguồn của thiết bị.
Kết nối ổ đĩa nghi ngờ vào data cable, đồng thời kết nối ổ đĩa bằng chứng vào data
cable.
Sau đó, kết nối các data cable đó vào thiết bi Master solo 3​.
Kết nối các dây cáp nguồn ổ đĩa tương ứng vào thiết bị.
Bật nguồn thiết bị, master solo 3 đã sẵn sàng thu thập dữ liệu và tạo thành hai bản
sao cùng lúc ở chế độ UD MA.
Màn hình đầu tiên được hiển thị sau khi thiết bị được khởi tạo, nó cung cấp quyền

truy cập vào tất cả các chức năng.
Truy cập chế độ Setting sẽ cho phép người dùng chọn các bước tiếp theo.
Chọn Operational mode chứa danh sách các thao tác (như single capture mode,
linux DD capture)​ t​ hực hiện bởi master master solo 3 .
Chọn linux DD capture mode​ sẽ sao chép toàn bộ nội dung của ổ đĩa nghi ngờ vào
tệp bằng chứng DD linux với dữ liệu được ghi dưới dạng tệp được phân đoạn được
lưu trữ trong thư mục con trên ổ đĩa bằng chứng.
Chọn Run xong chọn Yes.


-----------------------copy Khôi version ------------------------------------------------------ Cố định thiết bị ở một mặt phẳng bằng
- Kiểm tra và chắc chắn rằng công tắc nguồn của thiết bị đang đóng
- Kết nối AC adapter của thiết bị tới cổng nguồn
- Kết nối các data cable vào ổ đĩa của nghi phạm và ổ đĩa bằng chứng (Ổ đĩa bằng chứng là
ổ đĩa copy qua). Sau đó, kết nối các data cable đó vào thiết bị.
- Kết nối các dây nguồn tương ứng của từng ổ đĩa vào thiết bị
- Mở nguồn thiết bị lên. Thiết bị đã sẵn sàng sao chép dữ liệu
- Sau khi mở, main menu sẽ hiện ra. Chọn Single Capture Mode để sao chép toàn bộ dữ
liệu từ ổ đĩa của nghi phạm sang ổ đĩa bằng chứng

Câu 4: [​đã xong​] Cho biết thế nào là kỹ thuật giấu dữ liệu và kỹ thuật ẩn
giấu các file dữ liệu. . ​Giải thích cách sử dụng phần mềm QuickStego
để giấu thông tin trên ảnh số.
=> Trả lời:

Kỹ thuật giấu dữ liệu (bài 4 - slide 12)
● Steganography - việc viết và chuyển tải các thông điệp một cách bí
mật, sao cho ngoại trừ người gửi và người nhận, không ai biết đến sự
tồn tại của các thông điệp này, là một dạng của bảo mật như là che giấu
file chứa dữ liệu.

● Trong kỹ thuật ẩn giấu thông thường, thông điệp xuất hiện dưới một
dạng khác trong quá trình truyền tải: hình ảnh, bài báo hoặc thông điệp
ẩn có thể được viết bằng mực vô hình giữa các khoảng trống trong một
lá thư bình thường.
Kỹ thuật ẩn giấu dữ liệu trong File hình ảnh (bài 4 - slide 18) (thấy klq lắm
nhỉ)


● Thay đổi các bit dữ liệu của hình ảnh bằng các bit của thông điệp bí
mật sao cho mắt thường khó nhận ra sự thay đổi trên hình ảnh chứa
thông điệp.
● Thuật toán cơ bản nhất là LSB (Least Significant Bit) để ẩn một thông
điệp vào một tập tin ảnh bằng cách thay đổi Bit cuối cùng của các giá
trị màu RGB trong bức ảnh bằng Bit của thông điệp bí mật.
● 1100001
Ẩn giấu các file dữ liệu trên đĩa (bài 4 -slide 24) [thấy này hợp lí nè]
● Dùng phần mềm chia file chứa dữ liệu ra thành các mục nhỏ khác nhau
và giấu mỗi mục ở một file khác nhau.
● Những phần đĩa dư do các file không sử dụng hết dung lượng được gọi
là slack space. Dùng phần mềm giấu file chứa dữ liệu bằng cách sử
dụng slack space.
● Kỹ thuật ẩn giấu các file gây khó khăn rất lớn cho việc truy hồi và tập
hợp những thông tin bị ẩn giấu.
Giấu file trong các file (bài 4 - slide 28) (để thôi chứ không biết lquan không)
● Có thể giấu một file bên trong file khác.
● Executable files –là những file máy tính chạy được có thể giấu trong
các file khác
● Những chương trình được gọi là packer có thể lồng các executable file
vào các file loại khác, trong khi các công cụ binder có thể gắn kết rất
nhiều executable file lại với nhau.

Phần mềm QuickStego (bài 4 - slide 16) (chắc chưa đủ/đúng đâu)
● Website
● Phần mềm QuickStego cho phép người ta ẩn các văn bản trong hình
ảnh như vậy mà chỉ có những người dùng khác của QuickStego có thể
lấy và đọc các tin nhắn bí mật ẩn.
● Một khi văn bản được giấu trong một hình ảnh hình ảnh lưu vẫn là một
"hình ảnh", nó sẽ tải giống như bất kỳ hình ảnh khác và xuất hiện như
nó đã làm trước.
● Các hình ảnh có thể được lưu lại, gửi qua email, tải lên web, như trước
đây, sự khác biệt duy nhất là nó có chứa văn bản ẩn.
cách sử dụng phần mềm QuickStego để giấu thông tin trên ảnh số.
● (1) Mở mô-đun Steganography bằng cách nhấp vào nút 'Stego'


● (2) Chọn ‘carrier file’(tệp mang) - tệp âm thanh hoặc hình ảnh.
● (3) Nhập văn bản để ẩn hoặc chọn một tệp khác để ẩn trong ‘carrier
file’
● (4) Nhấp vào nút 'Hide Data' và văn bản hoặc tệp đã chọn sẽ bị ẩn trong
‘carrier file’ đã chọn.
● ‘carrier file’ sau đó có thể được gửi qua email, đăng lên web như bình
thường!
Câu 5: [​đã xong​] Giải thích cơ chế hoạt động của Botnet. ​Giải thích việc
sử dụng thiết bị RioRey để phát hiện và ngăn chặn các cuộc tấn công
của Botnet.
/>=> Trả lời: slide 6


Là một mạng lớn gồm nhiều máy tính bị lây nhiễm Malware (Zoombie) và được kết



nối tới một Server và chịu sự điều khiển của Server này nhằm phục vụ các tác vụ
như Ddos, Spam, ăn cắp thông tin,...


Đ
​ ược thừa hưởng, hội tụ những kỹ thuật tiên tiến như remote control, tự động lây
nhiễm, phân cấp – phân tán quản lý.

Đánh vào những lỗ hổng an ninh, những mảng vá cũ hay những server lỗi thời hết hạn, các
Bot nằm ẩn mình trong các máy tính của khách hàng – kết nối sẵn với Botmaster, chỉ đợi
lệnh và điều khiển từ Bot Master để tiến hành hoạt động của mình. Sau khi nhận lệnh từ
Hacker, mỗi Bot có một hoạt động riêng tùy theo sự điều khiển từ phía ngoài. Nó có thể
tấn công theo nhiều cách như là: Tạo Spam, tấn công DdoS, chiếm giữ hệ thống, lừa đảo
ăn cắp Bitcoin. Dù cách tấn công như nào thì mục đích cuối cùng của nó cũng chỉ là điều
khiển hoạt động của máy tính bị nhiễm, bắt buộc người dùng phải làm theo mệnh lệnh của
nó.


Một chương trình chỉ huy botnet (botnet's originator hay bot herder) có thể
điều khiển cả nhóm bot từ xa
Giải thích việc sử dụng thiết bị RioRey để phát hiện và ngăn chặn các
cuộc tấn công của Botnet.
Khi sử dụng RioRey phía trước server của chúng ta, sẽ giúp chống lại các
cuộc tấn công Dos và DDos trong khi vẫn phục vụ đối với các hoạt động sử
dụng thông thường. Mỗi gói dữ liệu qua RioRey sẽ được kiểm tra. Nếu gói tin
được xác định là xấu, có nguy hại thì sẽ bị loại bỏ trước khi đến với server.
Nếu gói tin được xác định là bình thường, thì gói tin sẽ được chuyển tới
Server
Câu 6: Giải thích các kỹ thuật phân tích gói tin trong điều tra mạng máy
tính. ​Cho biết phần mềm WireShark có tính năng như thế nào khi

điều tra nội dung một gói tin IP.
=> Trả lời: 7-33

Các kỹ thuật phân tích gói tin
Có ba kỹ thuật cơ bản khi tiến hành phân tích gói tin:
● Pattern Matching (theo mô hình): xác định các gói tin liên quan bằng
cách kết hợp các giá trị cụ thể trong các gói tin bắt được.


● Parsing Protocol Fields (phân tích các thành phần giao thức): rút trích
ra nội dung của các giao thức trong các lĩnh vực.
● Packet Filtering (lọc gói tin)- lọc các gói riêng biệt dựa trên giá trị của
các thành phần trong siêu dữ liệu.
Pattern Matching - theo mô hình
● Giống như trong pháp chứng máy tính, các thông tin tìm kiếm nhạy
cảm "dirty word search" được dùng để tìm kiếm các dữ liệu quan tâm.
● Thiết lập một danh sách các chuỗi nhạy cảm (“dirty word list") như tên,
mô hình, vv, có thể liên quan đến các hoạt động đáng ngờ đang được
điều tra.
● Các nhà điều tra có thể tận dụng các thông tin chung về một "dirty
word list" để xác định các gói dữ liệu hoặc dữ liệu cần quan tâm trong
một lưu lượng mạng bắt được.
Phân tích các thành phần giao thức
● Phân tích các thành phần giao thức là tìm ra các nội dung công việc
trong các gói tin liên quan.
● Ví dụ sử dụng tshark để trích xuất tất cả các thông điệp từ gói bắt được.
Lọc gói tin
● Lọc gói là phương pháp tách gói dựa trên các giá trị của các trường
trong giao thức siêu dữ liệu hoặc tải trọng.
● Thông thường, các Pháp chứng viên lọc các gói tin bằng cách sử dụng

bộ lọc BPF hoặc bộ lọc hiển thị Wireshark

Phần mềm WireShark
Các giao thực được hỗ trợ bởi WireShark(bài 7 - slide 58)
● WireShark có ưu thế vượt trội về khả năng hỗ trợ các giao thức
(khoảng 850 loại), từ những loại phổ biến như TCP, IP đến những loại
đặc biệt như là AppleTalk và Bit Torrent.


● Wireshark được phát triển trên mô hình mã nguồn mở, những giao thức
mới sẽ được cộng đồng của Wireshark thêm vào.
Lọc gói tin theo yêu cầu



Pháp chứng viên có thể lọc các gói tin thu thập được theo các yêu cầu của mình.
Ví dụ:
○ not (tcp.port == 80) and not (tcp.port == 25) and ip.addr == 192.168.1.104

○ ip.addr == 192.168.1.104

Xem nội dung gói tin
Màu sắc gói tin
Các gói tin các màu sắc khác nhau như xanh lá cây, xanh da trời và đen.. , để
giúp người dùng phân biệt được các loại traffic khác nhau.






Màu xanh lá cây là traffic TCP,
Mầu xanh da trời đậm là traffic DNS,
Mầu xanh da trời nhạt là traffic UDP
Màu đen là gói TCP có vấn đề.

Các tính năng của wireshark
● Bắt các gói tin theo thời gian thực trên các NIC
● Mở các file captured của các công cụ bắt gói tin khác như
tcpdump/WinDump
● Import các packet từ file text chứa mã hex của dữ liệu các packet
● Hiển thị dữ liệu với các thông tin chi tiết của các giao thức
● Lưu lại các bản tin các bắt được
● Export các packet đã bắt được từ file capture

Câu 7:​[chưa xong] ​Giải thích cơ chế hoạt động của phần mềm Fiddler và
cho biết phần mềm Fiddler có tính năng như thế nào khi điều tra
nội dung một Website.
=> Trả lời:


Cơ chế hoạt động:
Fiddler đứng giữa người dùng và server của các dịch vụ web và hoạt động
theo cơ chế Man In The Middle, Fiddler hoạt động như một proxy, nó sẽ bắt
các gói tin trao đổi giữa người dùng và server,các Web API Service, bản
ghi HTTP và cả HTTPS. Ví dụ, khi ta truy cập vào trang web, fiddler sẽ bắt
được các gói tin yêu cầu và phản hồi giữa người dùng và server. Ngoài ra,
fiddler còn hỗ trợ ta kiểm tra các web service qua các giao thức POST,
PUT, v.v

Mô hình hoạt động của Fiddler


Tính năng của Fiddler (bài 6 -slide 58)
● Fiddler hoạt động như một proxy cục bộ;
● Fiddler đăng ký như hệ thống proxy trong khi chụp
xem, phân tích và sửa đổi lưu lượng truy cập web từ bất kỳ ứng dụng
● Fiddler hoạt động trên hầu hết các thiết bị (ví dụ Windows Mobile)
● Fiddler cho phép với giao thức HTTPS chặn bắt thông qua các yêu cầu.
● Fiddler dễ mở rộng với công nghệ JavaScript hoặc. NET


Câu 8:[​đã xong​] Giải thích nhu cầu và lý do điều tra pháp chứng với
mạng WIFI. Cho biết cách sử dụng phần mềm inSSIDer giúp điều
tra vị trí các WIFI Access Points.
=> Trả lời: 9-2

Nhu cầu điều tra số với mạng không dây
● Ngày nay, các thiết bị mạng và sử dụng mạng không dây có sự bùng nổ
trong các thập niên vừa qua. Điển hình là các thiết bị di động, iPad,
Laptop, các thiết bị GPS…
● Điều tra việc sử dụng các thiết bị không dây đang được chú trọng do
việc dễ dàng sử dụng chúng của các nghi phạm
● Các thiết bị mạng không dây phổ biến bao gồm:
○ Thiết bị WiFi, Wi-Max
○ Điện thoại không dây, di động
○ Tai nghe Bluetooth
○ Các thiết bị hồng ngoại (TV remotes …)
Lý do điều tra mạng không dây
● Tìm kiếm một máy tính xách tay bị đánh cắp bằng cách theo dõi nó trên
mạng không dây.
● Xác định các điểm truy cập giả mạo

● Điều tra các hoạt động nguy hiểm hoặc trái phép xảy ra khi nghi pham
sử dụng mạng không dây.
● Điều tra các cuộc tấn công trên mạng không dây, bao gồm tấn công từ
chối dịch vụ (DoS), tấn công mã hóa, chứng thực...
Phát hiện các mạng không dây bằng phần mềm inSSIDer (9-11)


● inSSIDer một công cụ với các nền tảng Windows, Mac và Android,
được thiết kế để phát hiện ra các mạng 802.11.
● inSSIDer sẽ quét và hiển thị tất cả các thiết bị phát Wi-Fi được tìm
thấy.
● Tại danh sách thiết bị phát Wi-Fi tìm thấy, có thể vào từng cột để sắp
xếp theo các thông tin tương ứng hoặc sử dụng các bộ lọc tại thanh
công cụ Filters phía trên như SSID or Vendor (tên mạng), Channel
(kênh phát), Signal (cường độ tín hiệu),Security (phương thức bảo
mật).
Câu 9:[​đã xong​] Cho biết yêu cầu điều tra các thông tin trên thiết bị di
động. G
​ iải thích cách sử dụng phần mềm GeoTime khai thác các
thông tin GPS và hình ảnh trong điện thoại Blackberry để giúp điều tra
hoạt động của tội phạm đã sử dụng điện thoại này.
=> Trả lời: />
Yêu cầu điều tra các thông tin trên thiết bị di động:
- Bảo vệ toàn vẹn thiết bị di động
● Một trong những nguyên tắc đầu tiên của bất kì cuộc pháp chứng
nào cũng là tránh sự thay đổi của thiết bị di động được điều tra
trên bất kì phương diện nào.
● Phần dung lượng lưu trữ trên một thiết bị không thể dễ dàng lấy
đi. Tuy nhiên nếu thiết bị di động được điều tra đang được bật thì
việc tắt máy hoặc tháo pin sẽ làm thay đổi dữ liệu thiết bị.


- Thu thập các bằng chứng tiềm năng


● Các nhà sản xuất thiết bị di động thường cung cấp một bộ xử lý
thông tin tính năng và khả năng tương tự nhau như: Quản lý
Thông tin cá nhân (PIM), các ứng dụng tin nhắn và e-mail, web
và duyệt web.
● Pháp chứng viên cần hiểu rõ các tính năng và khả năng dựa trên
các yếu tố bao gồm: các thiết bị được sản xuất, phiên bản của
phần mềm đang chạy, những thay đổi được thực hiện do một nhà
cung cấp dịch vụ cụ thể, các sửa đổi hoặc ứng dụng được cài đặt
bởi người sử dụng.
- Các chứng cớ số cần thu thập
● Tên thuê bao và thiết bị định danh
● Ngày/giờ, ngôn ngữ, và các thiết lập khác
● Danh bạ/Thông tin liên hệ
● Thông tin lịch
● Tin nhắn văn bản gửi đi, gửi đến
● Tin nhắn đa phương tiện truyền thông
● Nhật ký cuộc gọi nhỡ
● Thư điện tử
● Hình ảnh
● Âm thanh và video ghi âm
● Các địa chỉ Web
● Các hoạt động duyệt web
● Tài liệu điện tử
● Dữ liệu liên quan môi trường xã hội
● Ứng dụng liên quan đến dữ liệu
● Thông tin vị trí



● Dữ liệu định vị
Giải thích cách sử dụng phần mềm GeoTime khai thác các thông tin GPS
và hình ảnh trong điện thoại Blackberry để giúp điều tra hoạt
động của tội phạm đã sử dụng điện thoại này.
-

Bước đầy tiên mở thư mục GPS, trong thư mục này tìm đc location.XML chứa tất
cả vị trí đc lưu trữ trên đt
Kéo vào thả file này vào excel, để tất cả thông tin vào các cột
vì lat, long chung một cột -> dùng hàm để chia ra làm 2 cột lat, long
sử dụng GeoTime add-on trên excel để gửi data vào GeoTime
sau đó chỉ định Geotime biết cột nào là cột ngày và giờ
Tạo data mapping, sửa lại trường thời gian theo format -> click import
Tất cả vị trí của đt đó sẽ hiện lên, mỗi chấm đỏ tượng trưng cho 1 thời điểm mà đt
có thông tin vị trí, đó có thể từ gps hoặc cell tower location
GeoTime cho phép mô phỏng theo thời gian các địa điểm mà đt đã có thông tin vị
trí tại đó.
Với hình ảnh: chọn 1 folder chứa hình ảnh, sau đó chọn General xif imgaes
Mapping, check vào ô merge events -> click import
Sau đó sẽ hiện lên những tấm hình với thông tin vị trí, ngày chụp,...
Có chế độ mô phỏng theo thời gian của đt dựa trên thời gian, vị trí chụp trên tấm
ảnh.

Câu 10:​[Xong]​Giải thích việc phân loại các công cụ điều tra thiết bị di
động. Giải thích cách sử dụng thiết bị UFED Touch để sao chép dữ
liệu từ điện thoại di động ra ổ đĩa cứng ngoài.
=> Trả lời: 10-25


Phân loại công cụ điều tra thiết bị di động
● Cấp 1, khai thác bằng tay, liên quan đến việc ghi lại thông tin trong
điện thoại và đưa lên trên một màn hình sử dụng bàn phím hoặc
touchscreen để xem.


● Cấp 2, khai thác luân lý, kết nối giữa điện thoại và máy tính qua các
cáp USB hoặc RS-232, hoặc kết nối không dây như IrDA, WiFi, or
Bluetooth. Pháp chứng viên chép thông tin để nghiên cứu.
● Cấp độ 3, Khai thác vật lý, cho phép truy cập vào bộ nhớ Flash của
điện thoại nhằm khai thác thông tin
● Cấp 4, Chip Off, cần tháo bộ nhớ Flash từ một thiết bị di động để trực
tiếp trích xuất dữ liệu. Pháp chứng viên nghiên cứu các dữ liệu nhị
phân từ bộ nhớ Flash
● Cấp 5, Một máy đọc Micro sử dụng một kính hiển vi điện tử. ghi lại
những quan sát vật lý của các cổng trong
NAND hoặc NOR chip.
Cách sử dụng thiết bị UFED Touch để sao chép dữ liệu từ điện thoại di
động ra ổ đĩa cứng ngoài:
1. Ở màn hình chủ sau khi chọn Nhà cung cấp (samsung, lg,..) và mẫu
thiết bị, chọn Physical Extraction.
2. Chọn chế độ ADB hoặc Boot Loader (recommended).
3. Chọn nơi để lưu trữ dữ liệu được trích xuất: ổ đĩa rời hoặc PC.
4. Tùy thuộc vào việc thiết bị có yêu cầu UFED Device Adapter hay
không mà màn hình Waiting for Device hoặc Waiting for Device
Adapter sẽ xuất hiện.
5. Thực hiện các bước sau:
a. Chọn đúng cáp và đầu cho thiết bị di động dựa trên hướng dẫn
trên màn hình.
b. Thay đổi cài đặt thiết bị theo hướng dẫn.

c. Kết nối thiết bị với cổng UFED Touch SOURCE. Một mũi tên
nguồn màu đỏ tiếp tục nhấp nháy ở bên trái màn hình cho đến
khi thiết bị được kết nối.
6. Nhấn vào Continue. Màn hình tiến trình trích xuất sẽ xuất hiện.
7. Khi quá trình Extraction hoàn tất, màn hình Physical Extraction Summary
xuất hiện.
8. Để kết thúc quá trình và trở về màn hình chính, hãy nhấn Finish.


Câu 11: [​đã xong​] Giải thích sự cần thiết phải điều tra tội phạm với cơ sở
dữ liệu. Giải thích việc ảnh hưởng của việc tội phạm tấn công
khâu xử lý dữ liệu ngân hàng tại Ấn Độ có thể làm ảnh hưởng đến
uy tín của ngành Công nghệ Thông tin của nước này. [​xong nhưng
không chắc ý 1]
=> Trả lời: Slide 11

Tội phạm với Cơ sở dữ liệu (slide 10)
● Tôi phạm đột nhập trái phép vào các cơ sở dữ liệu của các lĩnh vực
kinh tế quan trọng như bưu chính, viễn thông, ngân hàng, các
website…để lấy cắp thông tin, chiếm đoạt tên miền (Domain), tài
khoản thẻ tín dụng “chùa” để mua bán, thanh toán trực tuyến
● Tội phạm với Cơ sở dữ liệu gây thiệt hại về kinh tế trong giao dịch điện
tử và thanh toán trực tuyến như các vụ tấn công Database của các công
ty, doanh nghiệp...
Tội phạm với Cơ sở Dữ liệu tại Việt nam

● Ở Việt Nam, một số cơ quan chính phủ và các ngành sẽ phải kết nối
mạng trong tiến trình phát triển chung của xã hội cũng như lộ trình xây
dựng chính phủ điện tử ở Việt Nam.
● Những mạng máy tính thuộc lĩnh vực kinh doanh, dịch vụ tài chính,

ngân hàng, thì các mạng máy tính của các cơ quan chính phủ, bộ, ban,
ngành cũng có thể là đối tượng bị tấn công từ xa và thiệt hại do mất
thông tin bí mật quốc gia.
Giải thích việc ảnh hưởng của việc tội phạm tấn công khâu xử lý dữ liệu
ngân hàng tại Ấn Độ có thể làm ảnh hưởng đến uy tín của ngành
Công nghệ Thông tin của nước này.
- Nhiều ngân hàng trên toàn cầu đã chuyển công việc xử lí thông tin về
Ấn Độ. Gần ¾ các ngân hàng trên thế giới có văn phòng để gia công về
CNTT.


- Việc tin tắc tấn công vào hàng rào an ninh tại 2 công ty xử lí thanh toán
thẻ mới đây làm các máy rút tiền trên toàn thế giới thất thoát tiền làm
dấy lên lo ngại của việc thực hiện khâu xử lí dữ liệu tài chinh của các
ngân hàng toàn thế giới tại một số quốc gia châu Á.
- Những vụ đột nhập hệ thống an ninh gần đây đã khiến ngành công nghệ
thông tin của Ấn Độ mang tai tiếng

Câu 12: [​đã xong nhưng cần check​] Giải thích về lý do tại sao phát sinh
tội phạm trên Mạng xã hội. Cho biết nội dung chi tiết của vụ việc
điều tra trang Facebook của Timur Zhunusov.
=> Trả lời:

Mạng xã hội và tội phạm (bài 12)
● Mặc dù mạng xã hội được sử dụng chủ yếu để giao tiếp và giao tiếp với
bạn bè nhưng tính chất đa dạng và vô danh của các trang web mạng xã
hội làm cho người dùng rất dễ bị tội phạm lợi dụng và tấn công.
● Có thể tạo được nhiều mối quan hệ từ những người không quen biết và
các mối quan hệ trên thế giới ảo đã để lại nhiều hệ lụy đáng tiếc
● Các hoạt động lạm dụng khác có thể được thực hiện trên các trang web

này bao gồm tải lên các tài liệu bất hợp pháp hoặc tải lên các tài liệu
không phù hợp, tải lên các tài liệu phỉ báng…
● Các mạng xã hội cũng khuyến khích việc công bố dữ liệu cá nhân,
chẳng hạn như tuổi, giới tính, thói quen, nơi ở, và lịch trình.
● Sự giàu có của thông tin cá nhân tải lên các trang web làm cho nó có
thể cho bọn tội phạm mạng để thao tác thông tin này để lợi thế của họ
và sử dụng nó để thực hiện hành vi phạm tội.
● Những kẻ lừa đảo, những kẻ ấu dâm, và bọn tội phạm mạng khác có thể
đăng ký các dịch vụ này với thông tin giả, dấu ý định độc hại của họ
đằng sau hồ sơ xuất hiện bình thường.
Cho biết nội dung chi tiết của vụ việc điều tra trang Facebook của Timur
Zhunusov.
- Ngay sau vụ khủng bố paris pháp 13-11, có nhiều trang fb ​Timur
Zhunusov ​đăng ảnh, thông tin giả mạo IS, vô tư thách thức IS vào VN,
gây hoang mang lo sợ trong dư luận quần chúng nhân dân.


- Sau khi trang fb này đc xóa bỏ thì nhiều trang khác đc lập ra để đưa ra
những thông tin xấu dưới danh nghĩa tổ chức IS
- Những người Hồi giáo sẽ nghĩ cộng đồng thế giới không ủng hộ họ, bài
xích họ và sẽ gây ra nhưng mâu thuẫn về tôn giáo -> cho nên những
vấn đề về mxh nên đc nhìn nhận 1 cách khách quan
- Giới trẻ hiện nay dễ bị kích động bởi những yếu tố bên ngoài, không
phân biệt đúng sai
- trươc những diễn biến phức tạp của vụ việc, bộ công an đã có công điện
yêu cầu xử lí nghiêm hành vi khiêu khích khủng bố trên mạng, theo đó
các đơn vị nghiệp vụ của bộ công an đang tích cực phối hợp điều tra
làm rõ chủ nhân của những trang mxh trên.
- hiện nay các tk đã đc gỡ xuống, tuy nhiên việc làm này phải trả giá
bằng hình thức xử lí nghiêm minh của pháp luật.




Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×