CHFI
ĐIỀU TRA TỘI PHẠM MÁY TÍNH VÀ TRUY TÌM CHỨNG CỨ SỐ

1


Nội Dung Giáo Trình CHFI

2


CHƯƠNG

1

NGHIỆP VỤ ĐIỀU TRA MÁY TÍNH VÀ
TRUY TÌM CHỨNG CỨ SỐ
Thế Nào Là Computer Forensic ?
Điều Tra Máy Tính Và Những Nguyên Tắt Liên Quan
Lịch Sử Của Điều Tra Máy Tính
Hiểu Về Án Lệ
Chuẩn Bị Nguồn Lực Cho Điều Tra Máy Tính

Chuẩn Bị Cho Q Trình Điều Tra Máy Tính
Hiểu Về Vấn Đề Thực Thi Pháp Luật Của Cơ Quan Điều Tra
Quy Trình Thực Hiện Hợp Lệ
Điều Tra Trong Khu Vực Doanh Nghiệp
Xây Dựng Chính Sách Trong Doanh Nghiệp
Sử Dụng Các Thông Điệp Cảnh Báo
Xác Định Authorized Requester
Tiến Hành Điều Tra An Ninh

Phân Biệt Tài Sản Cá Nhân Và Tài Sản Doanh Nghiệp
3


Duy Trì Ứng Xử Chuyên Nghiệp

Tổng Kết Chương

CHƯƠNG

2

TỔNG QUAN VỀ ĐIỀU TRA MÁY
TÍNH
Chuẩn Bị Cho Một Q Trình Điều Tra Máy Tính
Tổng Quan Về Chứng Cứ Tội Phạm Trên Máy Tính
Những Vi Phạm Chính Sách Doanh Nghiệp

Tiếp Cận Theo Hệ Thống
Truy Cập Vào Vụ Án
Hoạch Định Cho Quá Trình Điều Tra
Bảo Vệ Chứng Cứ An Tồn

Thủ Tục Điều Tra Cơng Nghệ Cao Trong Môi Trường
Tổ Chức
Kết Thúc Hợp Đồng Lao Động

4



Điều Tra Về Vấn Đề Lạm Dụng Internet
Điều Tra Lạm Dụng E-Mail
Attorney-Client Privilege
Điều Tra Các Khe Hỡ Truyền Thông
Điều Tra Tình Báo Cơng Nghiệp
Phỏng Vấn Và Thẩm Vấn Trong Điều Tra Công Nghệ Cao

Máy Trạm Và Phần Mềm Phục Hồi Dữ Liệu
Thiết Lập Hệ Thống Máy Trạm Cho Quá Trình Computer
Forensic

Tiến Hành Điều Tra
Thu Thập Chứng Cứ
Thế Nào Là Bit-Stream Copy
Thu Thập Hình Ảnh Của Ổ Lưu Trữ Chứng Cứ
Sử Dụng ProDiscover Basic Để Tạo Ảnh Đĩa Cho Ổ USB
Phân Tích Chứng Cứ Số

Hồn Thành Bản Án
Rút Kinh Nghiệm Từ Công Việc Điều Tra Đã Thực Hiện

Tổng Kết Chương

5


CHƯƠNG

3


VĂN PHỊNG VÀ PHỊNG THÍ
NGHIỆM CỦA ĐIỀU TRA VIÊN
u Cầu Chứng Nhận Đối Với Computer Forensic Lab
Nhiệm Vụ Của Giám Đốc Phịng Thí Nghiệm Và Nhân Viên
Hoạch Định Ngân Sách Cho Phịng Thí Nghiệm
Chứng Nhận Và Đào Tạo

Xác Định Các Yêu Cầu Vật Lý Cho Một Computer
Forensic Lab
Xác Định Nhu Cầu An Ninh Cho Hệ Thống Lab
Các Yêu Cầu Dành Cho Quá Trình Điều Tra Nguy Cơ Cao
Sử Dụng Hộp Đựng Bằng Chứng
Bảo Trì Cơ Sở Hạ Tầng
Xem Xét Các Nhu Cầu An Ninh Vật Lý
Kiểm Tra Các Máy Tính Trong Phịng Thí Nghiệm
Xác Định Kế Hoạch Hạ Tầng Cho Phịng Thí Nghiệm

Lựa Chọn Máy Trạm Cơ Bản Cho Phịng Thí
Lựa Chọn Máy Trạm Xử Lý Chứng Cứ Cho Cục Cảnh Sát

6


Lựa Chọn Máy Trạm Cho Các Phịng Thí Nghiệm Tư Nhân Và
Doanh Nghiệp
Yêu Cầu Đối Với Thiết Bị Ngoại Vi Phần Cứng
Duy Trì Hệ Điều Hành Và Kho Phần Mềm
Có Kế Hoạch Phục Hồi Thảm Họa
Lập Kế Hoạch Cho Nâng Cấp Thiết Bị
Sử Dụng Máy Tính Xách Tay Làm Máy Trạm Điều Tra Chứng Cứ


Xây Dựng Một Kế Hoạch Kinh Doanh Cho Computer
Forensic Lab
Lập Kế Hoạch Kinh Doanh Cho Phòng Thí Nghiệm Điều Tra
Máy Tính

Tổng Kết Chương

CHƯƠNG

4
THU THẬP DỮ LIỆU

Các Định Dạng Lưu Trữ Của Bằng Chứng Kỹ Thuật Số
Định Dạng Thô (Raw Format)
Định Dạng Độc Quyền
Định Dạng Nâng Cao
7


Xác Định Phương Pháp Thu Thập Dữ Liệu Thích Hợp
Nhất
Kế Hoạch Dự Phòng Cho Việc Thu Ảnh Đĩa Chứng Cứ
Sử Dụng Công Cụ Thu Thập Dữ Liệu
Bật Chức Năng Chống Ghi Cho USB Trên Hệ Điều Hành
Windows
Thu Thập Dữ Liệu Với Các Đĩa Live CD/DVD Linux
Tạo Ảnh Đĩa Với ProDiscover Basic
Tạo Ảnh Đĩa Với AccessData FTK Imager


Xác Thực Tính Hợp Lệ Của Dữ Liệu
Phương Pháp Xác Thực Trên Hệ Thống Linux
Phương Pháp Xác Thực Trên Hệ Thống Windows

Thu Thập Thông Tin Trên Các Ổ Đĩa RAID
Các Loại RAID Cơ Bản
Thu Thập Dữ Liệu Chứng Cứ Trên Các Ổ Đĩa RAID

Sử Dụng Công Cụ Thu Thập Dữ Liệu Từ Xa
Thu Thập Dữ Liệu Từ Xa Với ProDiscover
Thu Thập Dữ Liệu Từ Xa Với EnCase Enterprise
Thu Thập Dữ Liệu Từ Xa Với R-Tools R-Studio
Thu Thập Dữ Liệu Từ Xa Với WetStone Livewire
8


Thu Thập Dữ Liệu Từ Xa Với F-Response
Thu Thập Dữ Liệu Từ Xa Với Runtime Software

Một Số Công Cụ Điều Tra Máy Tính Khác
Snapback DatArrest
NTI SafeBack
DIBS USA RAID
ILook Investigator Iximager
ASRData SMART
Cơng Cụ PyFlag Của Bộ Quốc Phịng Úc

Tổng Kết Chương

CHƯƠNG


5
XỬ LÝ VỤ ÁN

Xác Định Bằng Chứng Kỹ Thuật Số
Hiểu Các Quy Tắt Của Chứng Cứ

Thu Thập Chứng Cứ Trong Khu Vực Tư Nhân
Xử Lý Hiện Trường Vụ Án

9


Hiểu Rõ Các Khái Niệm Và Điều Khoản Trong Lệnh Khám Xét

Chuẩn Bị Tìm Kiếm
Xác Định Bản Chất Của Vụ Án
Xác Định Hệ Thống Điện Toán
Xác Định Quyền Thu Giữ Máy Tính
Xác Định Thơng Tin Chi Tiết Về Địa Điểm
Phân Công Công Việc
Hỗ Trợ Của Các Chuyên Gia Kỹ Thuật
Xác Định Các Công Cụ Cần Thiết
Chuẩn Bị Đội Điều Tra Đảm Bảo An Ninh Cho Hiện Trường

Tịch Thu Bằng Chứng Kỹ Thuật Số Tại Hiện Trường
Chuẩn Bị Cho Qua Trình Thu Thập Chứng Cứ Kỹ Thuật Số
Xử Lý Một Vụ Án
Xử Lý Các Trung Tâm Dữ Liệu Với Hệ Thống RAID
Sử Dụng Cố Vấn Kỹ Thuật

Lập Tài Liệu Chứng Cứ Trong Phịng Thí Nghiệm
Xử Lý Các Bằng Chứng Kỹ Thuật Số
Lưu Trữ Bằng Chứng Kỹ Thuật Số
Duy Trì Bằng Chứng Và Nhu Cầu Của Phương Tiện Lưu Trữ

Lập Tài Liệu Chứng Cứ
Xác Định Giá Trị Băm
10


Xem Lại Một Tình Huống
Một Tình Huống Điều Tra Dân Sự
Ví Dụ Về Điều tra Hình Sự
Đánh Giá Thơng Tin Sơ Bộ Cho Một Vụ Án
Xác Định Các Yêu Cầu Của Vụ Án
Kế Hoạch Điều tra
Tiến Hành Điều Tra: Thu Thập Bằng Chứng Với Accessdata FTK

Tổng Kết Chương

CHƯƠNG

6

LÀM VIỆC VỚI HỆ ĐIỀU HÀNH
WINDOWS VÀ MS-DOS
Tổng Quan Về Hệ Thống Tập Tin Hiểu Về Trình Tự
Khởi Động Của Hệ Thống Windows
Tìm Hiểu Về Đĩa ổ Đĩa
Khám Phá Cấu Trúc Tập Tin Của Hệ Điều Hành Windows


Phân Vùng Của Đĩa Cứng
Master Boot Record
Khảo Sát Ổ Đĩa FAT

11


Khảo Sát Ổ Đĩa NTFS

Hệ Thống Files NTFS
MFT Và Các Thuộc Tính Của Tập Tin
Cấu Trúc MFT Của Tập Tin Dữ Liệu
Luồng Dữ Liệu NTFS
Nén Các Tập Tin NTFS
EFS Recovery Key Agent
Xóa Tập Tin NTFS

Thách Thức Từ Vấn Đề Mã Hóa Tồn Bộ Ổ Đĩa
Microsoft BitLocker
Cơng Cụ Mã Hóa Đĩa Của Bên Thứ Ba

Tổng Quan Về Windows Registry
Tổ Chức Của Windows Registry
Khảo Sát Windows Registry

Tiến Trình Khởi Động Của Microsoft Windows
Tiến Trình Khởi Động Trong Windows NT Trở Về Sau
Tiến Trình Khởi Động Trong Windows 9x/Me


Tiến Trình Khởi Động Của Hệ Điều Hành MS-DOS
Những Hệ Điều Hành Khác

Công Nghệ Ảo Hóa Và Máy Ảo
Cài Đặt Máy Ảo

12


Tổng Kết Chương

CHƯƠNG

7

CÁC CƠNG CỤ ĐIỀU TRA MÁY TÍNH
HIỆN NAY
Đánh Giá Về Nhu Cầu Các Công Cụ Điều Tra Chứng Cứ
Trên Máy Tính
Các Loại Cơng Cụ Điều Tra Máy Tính
Chức Năng Của Cơng Cụ Điều Tra Máy Tính
So Sánh Các Công Cụ
Các Công Cụ Khác

Những Công Cụ Điều Tra Máy Tính Dạng Phần Mềm
Cơng Cụ Điều Tra Máy Tính Dạng Command-Line
Cơng Cụ Điều Tra Máy Tính Chạy Trên UNIX / Linux Các Cơng
Cụ
Điều Tra Máy Tính Dạng Đồ Họa Khác


Cơng Cụ Phần Cứng Dùng Để Điều Tra Chứng Cứ Số

13


Các Máy Trạm Dùng Cho Điều Tra Chứng Cứ Số
Sử Dụng Một Thiết Bị Có Khả Năng Chống Ghi (Write-Blocker)
Khuyến Nghị Cho Một Máy Trạm Điều Tra Chứng Cứ Kỹ Thuật
Số

Kiểm Tra Và Xác Nhận Tính Hợp Lệ Của Phần Mềm
Điều Tra Máy Tính
Sử Dụng Cơng Cụ Của NIST (National Institute of Standards
and Technology)
Sử Dụng Giao Thức Xác Thực

Tổng Kết Chương

CHƯƠNG

8

HỆ THỐNG TẬP TIN VÀ QUÁ TRÌNH
KHỞI ĐỘNG CỦA MACINTOSH
VÀ LINUX
Cấu Trúc Tập Tin Của Hệ Thống Macintosh Và Quá
Trình Khởi Động
Tổng Quan Về Hệ Thống Volume Của Mac OS 9
Tìm Hiểu Tiến Trình Khởi Động Của Macintosh
14



Sử Dụng Phần Mềm Điều Tra Chứng Cứ Trên Macintosh

Tìm Hiểu Cấu Trúc Đĩa Cứng UNIX / Linux Và Quá
Trình Khởi Động
Tổng Quan UNIX Và Linux
Tìm Hiểu Về Inode
Tìm Hiểu Về Quá Trình Khởi Động Của UNIX Và Linux
Tìm Hiểu Về Quá Trình Khởi Động Của UNIX Và Linux
Tìm Hiểu Về Linux Loader Và GRUB
Tìm Hiểu Về Ổ Đĩa UNIX / Linux Và Sơ Đồ Phân Vùng
Khảo Sát Cấu Trúc Đĩa Cứng Của Hệ Điều Hành UNIX Và Linux

Tìm Hiểu Về Cấu Trúc Của Các Loại Đĩa Khác
Tổng Quan Về Đĩa CD / DVD
Tổng Quan Về Đĩa SCSI
Tổng Quan Về Thiết Bị IDE/EIDE Và SATA

Tổng Kết Chương

15


CHƯƠNG

9
PHÂN TÍCH VÀ XÁC THỰC
CHỨNG CỨ SỐ


Xác Định Dữ Liệu Cần Thu Thập Và Phân Tích
Tiếp Cận Tình Huống Điều Tra Máy Tính
Sử Dụng Accessdata Forensic Toolkit Để Phân Tích Dữ Liệu Xác
Nhận Dữ Liệu Pháp Lý

Xác Nhận Tính Hợp Lệ Của Thơng Tin
Xác Nhận Tính Hợp Lệ Với Chương Trình Biên Tập Thập Lục
Phân
Xác Nhận Tính Hợp Lệ Với Chương Trình Điều Tra Máy Tính

Các Kỹ Thuật Ẩn Dữ Liệu
Ẩn Phân Vùng
Đánh Dấu Bad Cluster
Bit-Shifting
Ẩn Dữ Liệu Với Steganography
Kiểm Tra Các Tập Tin Bị Mã Hóa

16


Phục Hồi Mật Khẩu

Thu Thập Dữ Liệu Từ Xa
Thu Thập Dữ Liệu Từ Xa Với Runtime Software

Tổng Kết Chương

CHƯƠNG

10


PHỤC HỒI TẬP TIN ĐỒ HỌA

Thế Nào Là Một Tập Tin Đồ Họa ?
Tìm Hiểu Về Hình Ảnh Đồ Họa Bitmap Và Raster
Tìm Hiểu Về Hình Ảnh Đồ Họa Vector
Tìm Hiểu Về Hình Ảnh Đồ Họa Metafile
Tìm Hiểu Về Định Dạng Tập Tin Đồ Họa
Tìm Hiểu Về Định Dạng Tập Tin Của Máy Ảnh Kỹ Thuật Số

Tổng Quan Về Nén Dữ Liệu
Cơ Chế Nén Lossless Và Lossy

Xác Định Và Phục Hồi Tập Tin Đồ Họa
17


Xác Định Các Phân Mảnh Của Tập Tin Đồ Họa
Sửa Chữa Tiêu Đề Bị Hỏng
Tìm Kiếm Và Phục Hồi Dữ Liệu Từ Vùng Không Cấp Phát Trên
Đĩa Cứng
Xây Dựng Lại Tiêu Đề Tập Tin
Xây Dựng Lại Các Tập Tin Bị Phân Mãnh

Xác Định Các Định Dạng Tập Tin Không Xác Định
Phân Tích Tiêu Đề Của Tập Tin Đồ Họa
Cơng Cụ Xem Ảnh
Tìm Hiểu Về Các Tập Tin Đồ Họa Steganography
Sử Dụng Cơng Cụ Phân Tích Steganalysis


Tìm Hiểu Về Vấn Đề Bản Quyền Của Tập Tin Đồ Họa
Tổng Kết Chương

Chương

11

MÁY ẢO, ĐIỀU TRA PHÁP LÝ MẠNG
MÁY TÍNH VÀ THU THẬP DỮ LIỆU
TRỰC TIẾP

18


Tổng Quan Về Máy Ảo
Tổng Quan Về Điều Tra Pháp Lý Mạng Máy Tính
An Ninh Mạng

Thu Thập Dữ Liệu Trực Tiếp
Tiến Hành Thu Thập Dữ Liệu Trực Tiếp Trong Windows

Phát Triển Các Thủ Tục Chuẩn Cho Điều Tra Pháp Lý
Mạng
Rà Sốt Các Tập Tin Nhật Kí Mạng
Sử Dụng Cơng Cụ Mạng
Sử Dụng Cơng Cụ UNIX / Linux
Sử Dụng Chương Trình Bắt Gói Tin

Tổng Kết Chương


CHƯƠNG

12
ĐIỀU TRA EMAIL

19


Vai Trò Của Email Trong Điều Tra
Vai Trò Của Khách - Chủ Trong E-Mail
Điều Tra Sự Vi Phạm Và Tội Phạm E-Mail
Kiểm Tra Nội Dung Email
Xem Tiêu Đề E-Mail
Kiểm Tra Tiêu Đề E-mail
Kiểm Tra Bổ Sung Tập Tin E-Mail
Truy Tìm Một Thơng Điệp E-Mail
Sử Dụng Tập Tin Nhật Kí Mạng Của Email

Tìm Hiểu Về Máy Chủ E-Mail
Kiểm Tra Nhật Kí Của Máy Chủ Email UNIX
Kiểm Tra Tập Tin Nhật Kí Của Máy Chủ EmailWINDOWS

Các Công Cụ Điều Tra Email Chuyên Dụng
Sử Dụng Accessdata FTK Để Phục Hồi E-Mail
Sử Dụng Trình Biên Tập Thập Lục Phân
Phục Hồi Tập Tin Outlook

Tổng Kết Chương

20



CHƯƠNG

13

ĐIỆN THOẠI DI ĐỘNG VÀ ĐIỀU TRA
PHÁP LÝ TRÊN THIẾT BỊ DI ĐỘNG

Tổng Quan Về Điều Tra Pháp Lý Trên Thiết Bị Di
Động
Khái Niệm Cơ Bản Về Điện Thoại Di Động
Bên Trong Thiết Bị Di Động
Bên Trong Thiết Bị Cầm Tay PDA

Thủ Tục Thu Thập Thông Tin Cho Điện Thoại Và Thiết
Bị Di Động
Điều Tra Pháp Lý Cho Thiết Bị Di Động

Tổng Kết Chương

CHƯƠNG

14
21


VIẾT BÁO CÁO CHO Q TRÌNH
ĐIỀU TRA CƠNG NGHỆ CAO


Hiểu Rõ Tầm Quan Trọng Của Báo Cáo
Xác Định Các Chi Tiết Chính Của Bản Bán Cáo
Các Loại Các Báo Cáo

Hướng Dẫn Viết Báo Cáo
Báo Cáo Sơ Bộ Gồm Những Gì ?
Cấu Trúc Báo Cáo
Viết Báo Cáo Rõ Ràng
Bố Trí Và Trình Bày Các Báo Cáo

Tạo Báo Cáo Với Cơng Cụ Điều Tra Pháp Lý
Sử Dụng ProDiscover Basic Tạo Báo Cáo
Sử Dụng AccessData FTK Tạo Báo Cáo

Tổng Kết Chương

22


Chương

15

CHUYÊN VIÊN CHỨNG NGÔN
TRONG ĐIỀU TRA KỸ THUẬT CAO

Chuẩn Bị Cho Việc Lấy Lời Khai
Cung Cấp Tư Liệu Và Chuẩn Bị Chứng Cứ
Xem Lại Vai Trò Chuyên Gia Tư Vấn Hoặc Nhân Chứng Chun
Mơn Của Bạn

Tạo Và Duy Trì CV Của Bạn
Chuẩn Bị Các Định Nghĩa Kỹ Thuật
Chuẩn Bị Để Đối Phó Với Truyền Thơng

Làm Chứng Tại Tịa Án
Tìm Hiểu Tiến Trình Xét Xử
Cung Cấp Chúng Nhận Cho Lời Khai Của Bạn
Hướng Dẫn Chung Về Làm Chứng
Làm Chứng Trong Quá Trình Kiểm Tra Trực Tiếp
Làm Chứng Trong Kiểm Tra Chéo

23


Chuẩn Bị Cho Việc Cung Cấp Lời Khai Bên Ngoài Tịa
Án
Hướng Dẫn Làm Chứng Trong Các Tình Huống Cung Cấp Lời
Khai Bên Ngồi Tịa Án
Hướng Dẫn Làm Chứng Tại Phiên Điều Trần
Chuẩn Bị Các Bằng Chứng Pháp Lý Cho Lời Khai
Giải Thích Phương Pháp Thu Thập Bằng Chứng Của Bạn

Tổng Kết Chương

Chương

16

QUY TẮC ỨNG XỬ VÀ TRÁCH NHIỆM
NGHIỆP VỤ CỦA NHÂN CHỨNG

CHUYÊN MÔN

Ứng Dụng Các Nguyên Tắt Xử Thế Và Điều Luật Đối
Với Nhân Chứng Chuyên Gia
Vai Trò Của Người Giám Định Pháp Lý Khi Làm Chứng
Quan Tâm Đến Vấn Đề Bị Loại Bỏ
Những Cái Bẫy Đối Với Các Chuyên Gia Không Thận Trọng

24


Xác Định Khả Năng Được Chấp Nhận Của Chứng Cứ

Các Tổ Chức Và Quy Chế Hành Nghề
Hiệp Hội Quốc Tế Các Chuyên Gia Thẩm Định Máy Tính
(ISFCE)
Hiệp Hội Quốc Tế Về Điều Tra Tôi Phạm Công Nghệ Cao
(HTCIA)
Hiệp Hội Quốc Tế Các Chuyên Gia Điều Tra Máy Tính (IACIS)
American Bar Association
Hiệp Hội Y Khoa Hoa Kỳ - AMA
Hiệp Hội Tâm Lý Hoa Kỳ - APA

Những Khó Khăn Về Mặt Đạo Đức Của Nhân Chứng
Chuyên Môn
Những Trách Nhiệm Về Mặt Đạo Đức Đối Với Bạn
Các Công Cụ Pháp Lý Tiêu Chuẩn Và Công Cụ Cá Nhân

Bài Tập Phục Hồi Dữ Liệu Để Tìm Kiếm Thơng Tin
Quan Trọng

Xác Định Giá Trị Thập Lục Phân Cho Chuỗi Kí Tự
Tìm Kiếm Dữ Liệu Unicode Trong Prodiscover Basic
Giải Thích Thuộc Tính 0x80 Của Dữ Liệu Thực Thi
Phục Hồi Data Run Cluster Theo Cách Thủ Công

Tổng Kết Chương

25