Câu hỏi thi cuối khóa
Môn Pháp chứng kỹ thuật số
1. Thế nào là một bằng chứng số, giải thích lý do cần bảo vệ tính pháp lý của bằng
chứng số.
-

Bằng chứng số (Digital Evidence) là mọi thông tin có giá trị pháp lý được lưu trữ,
được truyền dẫn trong dạng thức số và có giá trị pháp lý trước tòa..
 Ví dụ bằng chứng số:việc mở một file trong máy và thay đổi nó, máy tính sẽ ghi
lại thời gian và ngày nó truy cập file.
 Mỗi khi xóa một file, máy tính sẽ chuyển file này sang một danh bạ khác.
Filevẫnđược giữ ở đó tới khi máy tính ghi một dữ liệu đè lên, có thể khôi phục lại
làm bằng chứng.

-

Chúng ta cần bảo vệ tính pháp lý của bằng chứng số vì đây là một nguồn thông tin
quan trọng, rất giá trị cho nhiều vụ án. Tuy nhiên, nếu không kiểm soát, bào vệ thì
bằng chứng số có thể sẽ không được công nhận:
 Tòa án thường coi bằng chứng từ máy tính không khác gì so với những loại bằng
chứng khác.
 Tuy nhiên, một số người không đánh giá cao việc sử dụng thông tin kỹ thuật số là
bằng chứng vì: họ cho rằng dữ liệu máy tính có thể dễ dàng thay đổi nên khó có
thể sử dụng nó là bằng chứng đáng tin cậy.
 Hiện máy tính phát triển hơn và phức tạp hơn, tòa án biết được bằng chứng tội
phạm rất dễ dàng bị thay đổi, bị xóa hoặc bị phá hỏng.
Vì vậy, nếu nhân viên điều tra không thể kiểm soát toàn bộ hệ thống máy tính, bằng
chứng họ tìm được sẽ không được công nhận.

2. Giải thích sự cần thiết của điều tra bằng chứng trên máy tính và nhiệm vụ của
điều tra viên trong điều tra pháp chứng máy tính.

a. Sự cần thiết của điều tra bằng chứng trên máy tính:
-

Loại tội phạm “truyền thống” sử dụng máy tính như một công cụ để gây án, để
lưu giữ thông tin tội phạm:
+ Tội lừa đảo chiếm đoạt tài sản, trộm cắp tài sản, tội tham ô, tội rửa tiền.
+ Buôn bán ma túy, mại dâm, tội xâm phạm quyền sở hữu trí tuệ,...


+ Rửa tiền: chuyển tiền từ tài khoản trộm cắp được sang tài khoản e-money tại
e-gold, e-passport..., chuyển tiền qua Western Union và tài khoản của đối tượng
tại các ngân hàng tại Việt Nam
- Tội phạm xâm nhập qua máy tính:
+ Tấn công cơ sở dữ liệu, tạo ra, lan truyền, phát tán các chương trình virus,
+ Đột nhập trái phép cơ sở dữ liệu máy tính, ăn cắp dữ liệu, thông tin, sử dụng
trái phép dữ liệu,
+ Dùng thủ đoạn Phishing, trojan horse, spyware, keylogger, adware để lấy cắp
địa chỉ email, thông tin thẻ tín dụng và thông tin cá nhân như tên, địa chỉ, số
điện thoại, số thẻ an ninh xã hội, thông tin giấy phép lái xe…
b. Nhiệm vụ của người điều tra viên trong điều tra pháp chứng máy tính
- Quản lý và khai thác dữ liệu trên hệ thống máy tính, hiểu biết khai thác các
phương pháp lưu trữ thông tin trên máy tính và thiết bị số
- Phân tích các dữ liệu tìm được trên hệ thống máy tính để tìm ra các thông tin
chi tiết liên quan như là nguồn gốc, nội dung…
-

Đánh giá các thông tin tìm được và tập hợp thành bằng chứng số.
-

Đưa bằng chứng số trước tòa và bảo vệ các bằng chứng số đó.


3. Giải thích các tác vụ của Pháp chứng máy tính và lý do tại sao điều tra viên cần
phải tạo các đĩa chép (Clone) khi điều tra.
Các tác vụ của Pháp chứng máy tính:

Kiểm soát phần cứng hệ thống
Kiểm soát hệ thống máy tính để chắc chắn rằng thiết bị và dữ liệu được an toàn,
đồng thời điều tra viên cần lập tài liệu về cấu hình phần cứng của hệ thống
Chuyển hệ thống máy tính đến vị trí mà điều tra viên nắm quyền bảo mật để không
có một cá nhân nào có thể truy cập máy tính và thiết bị lưu trữ đang được kiểm tra.

Kiểm tra và xử lý dữ liệu có trên hệ thống
Tạo backup của các ổ đĩa trên hệ thống bao gồm các tập tin có trong ổ đĩa của máy
tính hay các ổ cứng cắm ngoài theo dạng bit, điều tra viên thực hiện việc điều tra
trên các dữ liệu backup.

Xác định thông tin cần tìm kiếm
Kiểm tra dữ liệu trên tất cả các thiết bị lưu trữ bao gồm tất cả các tập tin có trong hệ
thống máy tính được ẩn hoặc bị xóa nhưng chưa bị ghi đè,
Kiểm tra các tập tin đã được mã hóa, được bảo vệ bằng mật khẩu,
Lập tài liệu về ngày và giờ hệ thống, ngày và giờ truy cập các tập tin .
Lập danh sách các key word cần tìm kiếm liên quan dấu vết tội phạm.

Đánh giá các nơi còn có thể dấu dữ liệu
Phân tích các khu vực đặc biệt trên ổ đĩa máy tính, bao gồm các phần thường khó có
thể tiếp cận
Đánh giá tập tin swap của Windows có thể chứa các thông tin bộ nhớ đã sử dụng.


Thường trên cluster cuối cùng chứa tập tin sẽ không được sử dụng hết. Phần dư ra

này được gọi là File slack space. – đây là nơi có thể chứa các mã độc hoặc thông tin
nhậy cảm:
Đánh giá các không gian đĩa chưa cấp phát và các tập tin bị xóa

Thực hiện tìm kiếm thông tin trên các dữ liệu backup
Khôi phục lại càng nhiều thông tin bị xóa càng tốt bằng cách sử dụng các ứng dụng
có thể tìm kiếm và truy hồi dữ liệu bị xóa.
Tìm trên các tập tin, không gian slack của tập tin và không gian chưa cấp phát theo
các key word
Lập tài liệu về tên, ngày và giờ liên quan đến các tập tin
Xác định tập tin, chương trình và thiết bị lưu trữ bất thường

Ghi nhận các thông tin, dữ liệu tìm được
Đánh giá hoạt động các chương trình ra sao, tìm kiếm những điều bất thường
Ghi lại tất cả các bước của quá trình tìm kiếm, những dữ liệu nào tìm thấy tại đâu.
Lập tài liệu về các dữ liệu đã được phát hiện
Tại sao điều tra viên cần phải tạo các đĩa chép (Clone) khi điều tra:
Điều tra viên cần tạo ra các đĩa chép(Clone) để đảm bảo việc điều tra không ảnh
hướng đến sự toàn vẹn của dữ liệu tại đĩa gốc, đồng thời, có thể phân chia cho nhiều
điều tra viên khác cùng thực hiện việc điều tra này, đảm bảo hiệu suất và thời gian
điều tra.
4. Cho biết công cụ Autopsy có tính năng như thế nào khi điều tra một Filesystem

 Băm lọc (Hash Filtering): đánh dấu các tập tin có vấn đề và bỏ qua các tập tin tốt.
 Phân tích pháp chứng với File system: cho phép khôi phục các tập tin từ hầu hết các
định dạng phổ biến.
 Tìm kiếm theo từ khóa – cho phép nhập từ khóa tìm kiếm để tìm các tập tin có liên
quan đến từ khóa đó.
 Khai thác các thông tin sử dụng Web: cho phép trích xuất lịch sử truy cập Web, đánh
dấu, tìm cookie từ trình duyệt Firefox, Chrome và IE.

 Đa phương tiện – trích xuất dạng EXIF (Exchangeable image file format) từ các ảnh
và video.
5. Cho biết thế nào là kỹ thuật dấu dữ liệu và kỹ thuật ẩn dấu các file dữ liệu
-

Kỹ thuật giấu dữ liệu (Steganography) có nguồn gốc từ Hy Lạp là kỹ thuật
chuyển tải các thông điệp một cách bí mật, ngoại trừ người gửi và người nhận
không ai biết sự tồn tại của thông điệp, là một dạng của bảo mật bằng cách che giấu.
Trong kỹ thuật giấu dữ liệu, thông điệp thường xuất hiện dưới nhiều dạng khác
nhau như: hình ảnh, bài báo, danh sách mua hàng, bì thư, hoặc thông điệp ẩn được
viết bằng mực vô hình trong một lá thư bình thường…Kỹ thuật giấu dữ liệu có hai
quá trình ngược nhau là mã hóa (Encode) và giải mã (Decode) nhưng không cần
thông qua chìa khóa nào cả, người nắm được thuật toán sẽ lấy được thông tin.


-

Kỹ thuật ẩn dấu các file dữ liệu được dùng để che khuất dữ liệu tin nhắn bí mật
ẩn bên trong các tập tin máy tính như hình ảnh, tập tin âm thanh, video và các
file thực thi. Không ai, ngoại trừ người gửi và người nhận nghi ngờ sự tồn tại của
thông tin ẩn trong nó.
- Kỹ thuật ẩn dấu file dữ liệu có thể làm thay đổi các tập tin đồ họa hoặc âm thanh mà
không làm mất khả năng tổng thể cho người xem. VD như:
o Với âm thanh, người ta có thể sử dụng những bit của âm thanh mà tai người
không nghe được.
o Với tập tin đồ họa,người ta có thể loại bỏ các bit dư thừa của màu sắc từ hình
ảnh để tạo ra một hình ảnh rất giống và khó phân biệt với bản gốc.
6. Cho biết và giải thích chi tiết yêu cầu điều tra về Registry trong Hệ điều hành
Windows
-


Registry giúp điều tra viên tìm được các thông tin có ích cho quá trình điều tra như:
Hoạt động duyệt web, Các file được mở, Các chương trình được thực thi, Các mật
khẩu, Thiết lập cá nhân và Tuỳ chọn cho trình duyệt, Tên người dùng, Thiết bị và
Cấu hình hệ thống.

-

Các phiên bản hệ điều hành (Windows 9x, Windows XP, Windows 7/8…) có cấu trúc
Registry khác nhau, điều tra cần có hiểu rõ các cấu trúc này để việc điều tra được
chính xác và hiệu quả.

-

Khi điều tra, điều tra viên cần chú ý điều tra các nội dung sau:
•

Các Registry Keys lưu thời gian biến đổi cuối cùng (modified time-stamp) từ đó
xác định được thông tin sử dụng cuối của đối tượng như danh sách các ứng dụng
và tên tập tin được mở gần nhất trong Windows.

•

Các time-stamp phải sửa dưới dạng Binary.

•

Khi điều tra về việc sử dụng Mạng, điều tra viên có thể thu thập được từ Registry
các thông tin:Local groups, Local users, Map network drive MRU, Network
Printers


•

Thu thập các thông tin liên quan đến địa chỉ Website.

•

Thu thập các thông tin liên quan đến người dùng – đặc biệt là các user dùng để
chat trong Yahoo Messenger, ICQ, … Khi điều tra trong Yahoo messenger, cần
chú ý các thông tin: Thông tin các phòng chat, Danh tính người dùng thay thế,
Người dùng đăng nhập cuối cùng, Mật khẩu (có mã hóa), Các liên lạc gần đây,
Tên đăng ký hiện trên màn hình.


•

Thu thập các thông tin liên quan đến các USB Devices, Winzip, Thông tin về thời
gian của hệ thống (Timezone).

7. Cho biết công cụ Fiddler có tính năng như thế nào khi điều tra điều tra nội dung
một Website:
-

-

-

-

Bắt tất cả các gói tin HTTP(s): Cho phép điều tra viên có thể biết được khi truy cập

thì website đó làm những gì, những server mà website đó liên kết đến và có thể phát
hiện việc website có cài đặt malware hay không?
Lọc các gói tin bắt được: Cho phép người điều tra chú ý hơn đến những server khả
nghi từ đó quá trình điều tra hiệu quả hơn. Vd: Trong quá trình điều tra phát hiện 1
địa chỉ IP lạ khi đó có thể dùng chức năng lọc để lọc địa chỉ IP đó.
Phân tích nội dung session: Fiddler cung cấp các chức năng giúp cho người điều tra
có thể phân tích chi tiết các nội dung như: caching, cookie và header.
Phân tích các gói tin từ bất kì client nào và bất kì trình duyệt nào: Một khi bạn
khởi động Fiddler, nó sẽ tự đăng kí chính nó với hệ thống proxy của Microsoft
Windows Internet Service. Do đó có nó có thể giao tiếp với tất cả cả trình duyệt như:
Internet Explorer, Chrome, Firefox, Safari, Opera… Ngoài ra Fiddler còn hỗ trợ các
hệ điều hành như: Windows, Mac, Linux, IOS, Android, Windows Phone…
Cài đặt breakpoints: Là chức năng được Fiddler cung cấp để debug quá trình truy
cập vào 1 website nào đó giúp cho điều tra viên hiểu rõ hơn về quá trình hoạt động
của website.

8. Giải thích cơ chế hoạt động của phần mềm Sniffer và các chứng cớ số do Sniffer
thu thập
Sniffer là một chương trình cho phép nghe các lưu lượng thông tin trên một hệ thống
mạng.
Tương tự như là thiết bị cho phép nghe lén trên đường dây điện thoại.
Việc bắt gói tin bằng Sniffer là thụ động và thường sẽ không tạo ra bất kỳ lưu lượng
mạng nào.
Các phương thức "Catch-it-as-you-can": Tất cả các gói chuyển qua một điểm traffic
nào đó đều được bắt lại và rồi ghi vào thiết bị lưu trữ để sau đó tiến hành phân tích.
Cách tiếp cận này yêu cầu một lượng lớn thiết bị lưu trữ, thường sử dụng các hệ thống
RAID.
Các phương thức "Stop, look and listen": Mỗi gói tin được phân tích sơ bộ ngay trong
bộ nhớ, chỉ một vài thông tin nào đó là được lưu trữ cho quá trình phân tích sau này.
Cách tiếp cận này yêu cầu thiết bị lưu trữ ít hơn nhưng lại cần các processor có tốc độ

nhanh hơn để có thể xử lý hết các traffics đi vào.
Chứng cớ số do Sniffer thu thập:
Bằng thông tin lưu lượng của hệ thống cho phép Điều tra viên có thể phân tích những
vấn đề đang mắc phải trong hoạt động của hệ thống mạng.


Sniffer có thể tự động phát hiện và cảnh báo các cuộc tấn công đang được thực hiện
vào hệ thống mạng mà nó đang hoạt động (Intrusion Detecte Service) qua đó Điều tra
viên có thể triển khai việc thu thập chứng cứ số.
Sniffer có thể ghi lại thông tin về các gói dữ liệu, các phiên truyền. Tương tự như hộp
đen của máy bay, giúp các Điều tra viên có thể xem lại thông tin về các gói dữ liệu, các
phiên truyền sau sự cố…
9. Giải thích lý do và nhu cầu của điều tra số trên mạng không dây
 Lí do
 Tìm kiếm một máy tính xách tay bị đánh cắp bằng cách theo dõi nó trên mạng
không dây.
 Xác định các điểm truy cập giả mạo.
 Điều tra các hoạt động nguy hiểm hoặc trái phép xảy ra khi nghi pham sử dụng
mạng không dây.
 Điều tra các cuộc tấn công trên mạng không dây như: tấn công từ chối dịch vụ
(DoS), tấn công mã hóa, chứng thực...

 Nhu cầu
 Ngày nay, các thiết bị mạng và mạng không dây có sự bùng nổ trong các thập
niên vừa qua. Điển hình là các thiết bị di động, iPad, Laptop, các thiết bị GPS…
 Điều tra việc sử dụng các thiết bị không dây đang được chú trọng do việc dễ dàng
sử dụng chúng của các nghi phạm
 Các thiết bị mạng không dây phổ biến bao gồm:
 Thiết bị WiFi, Wi-Max
 Điện thoại không dây, di động

 Tai nghe Bluetooh
 Các thiết bị hồng ngoại (TV remotes …)
10. Giải thích việc phân loại công cụ điều tra thiết bị di động
-

Trong quá trình thu thập bằng chứng thiết bị di động có hai hành động chính mà
chúng ta thực hiện : đọc dữ liệu từ thẻ SIM và đồng bộ hóa dữ liệu từ thiết bị với máy
tính. Thiết bị di động có chứa đầy đủ các thành phần như một máy tính cá nhân gồm:
bộ vi xử lý, bộ nhớ chỉ đọc (ROM), bộ nhớ truy cập ngẫu nhiên (RAM), bộ xử lý tín
hiệu kỹ thuật số, màn hình.... Các thiết bị di động cơ bản và tiên tiến thường sử dụng
một hệ điều hành độc quyền của công ty như Palm, Windows Phone, RIM, Symbian,
Linux....Việc nắm rõ đặc điểm, cấu trúc của thiết bị di động sẽ giúp xác định được
chính xác phương thức tiến hành điều tra số.

-

Phân loại hệ thống sử dụng cung cấp một framework cho người điều tra pháp chứng
để so sánh với các công cụ khác nhau. Đối tượng của hệ thống phân loại công cụ mở


ra khả năng người kiểm tra dễ dàng thấy được khả năng cùa các công cụ. Biểu tượng
kim tự tháp được đọc từ dưới lên trên, Level 1, đến đỉnh, Level 5, các phương pháp
liên quan đến việc thu hồi trở nên kĩ thuật hơn, tốn thời gian và tốn kém hơn.
 Level 1: Manual Extraction, bao gồm việc ghi nhận thông tin mang lại trên màn
hình thiết bị di động khi sử dụng giao diện người dùng.
 Level 2: Logical Extraction, được sử dụng phổ biến nhất ngày nay và là nòng cốt,
yêu cầu mức độ hiểu biết cơ bản.
 Level 3-5: Đòi hỏi giải nén và ghi nhận một bản copy hoặc hình ảnh của bộ lưu
trữ vật lý (memory chip), trong khi logical sử dụng tại level 2 bao gồm việc thu
các bản sao của đối tượng lưu trữ logical (file, directories) nằm trên nơi lưu trữ

logical.
 Level 3: Physical Extraction, kéo theo sự hiểu quả của việc lấy lại bộ nhớ của
điện thoại tại chỗ và yêu cầu đào tạo nâng cao.
 Level 4: Chip Off, yêu cầu sự tách rời bộ nhớ vật lý từ thiết bị di động của triết
xuất dữ liệu, yêu cầu đào tạo mở rộng trong kỹ thuật điện tử và hệ thống tập tin
pháp chứng.
Level 5: Micro Read, bao gồm việc sử dụng kính hiển vi High-Powered để hiển thị
trạng thái vật lý. Đây là mức độ truy cập cao nhất, tinh vi, tốn kém và tiêu tốn thời
gian nhất trong các cách làm
11. Giải thích yêu cầu cần bảo quản dữ liệu trong điều tra một Cơ sở dữ liệu
Khi điều tra Cơ sở dữ liệu, để bảo quản dữ liệu, điều tra viên cần chú ý những điểm sau:
-

Điều tra viên thu thập các bằng chứng cần thiết bắt đầu từ nơi có vi phạm và làm việc
đảm bảo Cơ sở dữ liệu không thay đổi.

-

Bảo vệ Audit Trail (nhật ký kiểm toán) của Cơ sở dữ liệu, để kiểm toán các thông tin
có thể được thêm vào, thay đổi, hoặc xóa.

-

Điều tra viên chỉ truy cập dữ liệu thích hợp và hạn chế hành động của mình nhằm
tránh làm lộn xộn các thông tin có ý nghĩa và thay đổi các bằng chứng;

-

Điều tra viên cần lập kế hoạch và mục tiêu tất cả các hoạt động cơ sở dữ liệu trước
khi bắt đầu.


-

Nghiên cứu sơ đồ quan hệ thực thể của Cơ sở dữ liệu(ERD).


12. Cho biết lý do tội phạm quan tâm đến các thông tin cá nhân trên mạng xã hội
và giải thích chi tiết các chứng cớ số trên mạng xã hội
-

-

Mặc dù mạng xã hội được sử dụng chủ yếu để giao tiếp và giao tiếp với bạn bè
nhưng tính chất đa dạng và vô danh của các trang web mạng xã hội làm cho người
dùng rất dễ bị tội phạm lợi dụng và tấn công.
Có thể tạo được nhiều mối quan hệ từ những người không quen biết và các mối quan
hệ trên thế giới ảo đã để lại nhiều hệ lụy đáng tiếc
Các hoạt động lạm dụng khác có thể được thực hiện trên các trang web này bao gồm
tải lên các tài liệu bất hợp pháp hoặc tải lên các tài liệu không phù hợp, tải lên các tài
liệu phỉ báng…
Các mạng xã hội cũng khuyến khích việc công bố dữ liệu cá nhân, chẳng hạn như
tuổi, giới tính, thói quen, nơi ở, và lịch trình.
Sự giàu có của thông tin cá nhân tải lên các trang web làm cho nó có thể cho bọn tội
phạm mạng để thao tác thông tin này để lợi thế của họ và sử dụng nó để thực hiện
hành vi phạm tội.
Những kẻ lừa đảo, những kẻ ấu dâm, và bọn tội phạm mạng khác có thể đăng ký các
dịch vụ này với thông tin giả, dấu ý định độc hại của họ đằng sau hồ sơ xuất hiện
bình thường.
Chứng cớ số trên Mạng xã hội:
Số lượng lớn các hành vi phạm tội có thể được thực hiện thông qua các mạng xã hội

làm tăng tầm quan trọng của pháp chứng trong lĩnh vực này.
Chứng cứ số lấy từ các hoạt động trên mạng xã hội trên máy tính của nghi can có thể
hỗ trợ việc điều tra vụ án hình sự mà qua đó có thể buộc tội hoặc chứng minh sự vô
tội của một kẻ tình nghi.
Trong một cuộc điều tra thực tế, các cơ quan thực thi pháp luật có thể truy cập dữ liệu
từ các nhà cung cấp mạng xã hội. Tuỳ theo tính chất của cuộc điều tra, các vấn đề
pháp lý xác định mức độ mà các nhà cung cấp mạng xã hội hợp tác với các cuộc điều
tra.