�ݺ�ߣ

Bài 2: Pháp chứng máy ��í�Գ�
Giảng viên: TS. Đàm Quang Hồng Hải
PHÁP CHỨNG SỐ TRÊN MÁY TÍNH
VÀ MẠNG

Pháp chứng máy ��í�Գ� là gì?
• Pháp chứng máy ��í�Գ� là một bộ phận của pháp
chứng kỹ thuật số về tìm kiếm, duy trì và phân tích
thông tin trên các hệ thống máy ��í�Գ� hoặc các thiết
bị lưu trữ để tìm kiếm các bằng chứng số.
• Máy vi ��í�Գ� đã có ở khắp mọi nơi và được sử dụng
trong hầu như mọi người với vô số các ứng dụng.
• Việc sử dụng máy ��í�Գ� và các thiết bị lưu trữ dữ liệu
điện tử khác để lại những dấu vết và những đường
mòn dữ liệu của người dùng máy ��í�Գ�.

Pháp chứng máy ��í�Գ� và pháp chứng số

Pháp chứng máy ��í�Գ� ngày nay
• Trong thế giới công nghệ ngày nay, hiện có nhiều
thiết bị có khả năng lưu trữ dữ liệu và do đó có thể
được chia thành các lĩnh vực pháp chứng máy ��í�Գ�.
• Vai trò của dữ liệu điện tử trong công việc điều tra
đã có sự tăng trưởng theo cấp số nhân trong thập kỷ
qua.
• Máy ��í�Գ� có phần cứng
và phần mềm và người
điều tra viên cần có đủ
kiến thức để khai thác.

Tại sao cần Pháp chứng máy ��í�Գ�

Máy ��í�Գ� là công cụ của tội phạm
• Loại tội phạm “truyền thống” sử dụng máy ��í�Գ� như
một công cụ để gây án, để lưu giữ thông tin tội
phạm, như:
• Tội lừa đảo chiếm đoạt tài sản, trộm cắp tài sản, tội tham
ô, tội rửa tiền,
• Buôn bán ma túy, mại dâm, tội xâm phạm quyền sở hữu
trí tuệ,...
• Rửa tiền: chuyển tiền từ tài khoản trộm cắp được sang tài
khoản e-money tại e-gold, e-passport..., chuyển tiền qua
Western Union và tài khoản của đối tượng tại các ngân
hàng tại Việt Nam

Tội phạm xâm nhập qua máy ��í�Գ�
• Tấn công cơ sở dữ liệu, Tạo ra, lan truyền, phát tán
các chương trình virus,
• Đột nhập trái phép cơ sở dữ liệu máy ��í�Գ�, ăn cắp dữ
liệu, thông tin, sử dụng trái phép dữ liệu,
• Dùng thủ đoạn Phishing, trojan horse, spyware,
keylogger, adware để lấy cắp địa chỉ email, thông
tin thẻ tín dụng và thông tin cá nhân như tên, địa
chỉ, số điện thoại, số thẻ an ninh xã hội, thông tin
giấy phép lái xe…

Tội phạm máy ��í�Գ�

Nhiệm vụ của điều tra viên
• Quản lý và khai thác dữ liệu trên hệ thống máy ��í�Գ�,
hiểu biết khai thác các phương pháp lưu trữ thông
tin trên máy ��í�Գ� và thiết bị số.
• Phân tích các dữ liệu tìm được trên hệ thống máy
��í�Գ� để tìm ra các thông tin chi tiết liên quan như là
nguồn gốc, nội dung;
• Đánh giá các thông tin tìm được và tập hợp thành
bằng chứng số.
• Đưa bằng chứng số trước tòa và bảo vệ các bằng
chứng số đó.

Thế nào là bằng chứng số
• Bằng chứng số chỉ bao gồm chuỗi các bit
• Bằng chứng số là hữu hạn trong cả không gian và
thời gian
• Bằng chứng số là chứng cứ dấu vết.
• Bằng chứng số thì tiềm ẩn trong tự nhiên.
• Độ phức tạp của ��í�Գ� toán làm giới hạn việc phân
tích Pháp chứng số.
• Luận thuyết cơ bản của Pháp chứng số là “Cái gì
chưa rõ ràng, nhất quán thì không phải là thật”.
(“What is inconsistent is not true”)
11Báo cáo môn Pháp chứng số

Nơi có thể tìm bằng chứng số
• Trong các tập tin ghi lịch sử truy cập internet
• Trong các tập tin Cach sinh ra khi truy cập internet
• Tại các vùng đĩa chưa cấp phát hoặc file slack
• Lưu trữ các tập tin, thư mục, tên tập tin
• Thông tin ngày lưu trữ tập tin
• Ẩn/nhúng trong phần mềm
• Trong các tập tin chia sẻ
• Trong các e-mail

Các tác vụ của Pháp chứng máy ��í�Գ�
• Kiểm soát phần cứng hệ thống
• Kiểm tra và xử lý dữ liệu có trên hệ thống
• Xác định thông tin cần tìm kiếm
• Đánh giá các nơi còn có thể dấu dữ liệu
• Thực hiện tìm kiếm thông tin trên các dữ liệu
backup
• Ghi nhận các thông tin, dữ liệu tìm được

Kiểm soát phần cứng hệ thống
• Kiểm soát hệ thống máy ��í�Գ� để chắc chắn rằng thiết
bị và dữ liệu được an toàn, đồng thời điều tra viên
cần lập tài liệu về cấu hình phần cứng của hệ thống
• Chuyển hệ thống máy ��í�Գ� đến vị trí mà điều tra
viên nắm quyền bảo mật để không có một cá nhân
nào có thể truy cập máy ��í�Գ� và thiết bị lưu trữ đang
được kiểm tra.
• Tạo backup của các ổ đĩa trên hệ thống bao gồm các
tập tin có trong ổ đĩa của máy ��í�Գ� hay các ổ cứng
cắm ngoài theo dạng bit, điều tra viên thực hiện việc
điều tra trên các dữ liệu backup.

Chép (Clone) đĩa cứng theo dạng bit

Xác định thông tin cần tìm kiếm
• Kiểm tra dữ liệu trên tất cả các thiết bị lưu trữ bao
gồm tất cả các tập tin có trong hệ thống máy ��í�Գ�
được ẩn hoặc bị xóa nhưng chưa bị ghi đè,
• Kiểm tra các tập tin đã được mã hóa, được bảo vệ
bằng mật khẩu,
• Lập tài liệu về ngày và giờ hệ thống, ngày và giờ
truy cập các tập tin .
• Lập danh sách các key word cần tìm kiếm liên quan
dấu vết tội phạm.

Đánh giá các nơi còn có thể dấu dữ liệu
• Phân tích các khu vực đặc biệt trên ổ đĩa máy ��í�Գ�,
bao gồm các phần thường khó có thể tiếp cận
• Đánh giá tập tin swap của Windows có thể chứa các
thông tin bộ nhớ đã sử dụng.
• Thường trên cluster cuối cùng chứa tập tin sẽ không
được sử dụng hết. Phần dư ra này được gọi là File
slack space.
Cần đánh giá File slack space – đây là nơi có thể
chứa các mã độc hoặc thông tin nhậy cảm:
• Đánh giá các không gian đĩa chưa cấp phát
và các tập tin bị xóa

Thực hiện tìm kiếm thông tin đã backup
• Khôi phục lại càng nhiều thông tin bị xóa càng tốt
bằng cách sử dụng các ứng dụng có thể tìm kiếm và
truy hồi dữ liệu bị xóa.
• Tìm trên các tập tin, không gian slack của tập tin và
không gian chưa cấp phát theo các key word
• Lập tài liệu về tên, ngày và giờ liên quan đến các tập
tin
• Xác định tập tin, chương trình và thiết bị lưu trữ bất
thường

Ghi nhận các thông tin, dữ liệu tìm được
• Đánh giá hoạt động các chương trình ra sao, tìm
kiếm những điều bất thường
• Ghi lại tất cả các bước của quá trình tìm kiếm,
những dữ liệu nào tìm thấy tại đâu.
• Lập tài liệu về các dữ liệu đã được phát hiện
• Chú ý: Điều này rất quan trọng đối với điều tra viên
để cung cấp bằng chứng rằng công việc điều tra của
họ thực hiện đã bảo vệ thông tin của hệ thống máy
��í�Գ� mà không làm thay đổi hoặc làm hỏng chúng.

Các thiết bị phần cứng chuyên dụng
• Các thiết bị chuyên dụng là một phần không thể
thiếu được của các điều tra viên
• Đảm bảo các ��í�Գ� năng: An toàn, chính xác, tốc độ
cao.
• Được trang bị trong các phòng Forensic Lab hoặc có
thể mang theo điều tra viên.

Thiết bị chép đĩa cứng cầm tay ImageMASSter
Solo-3
• Thiết bị dễ dàng mang theo, có khả năng
chép tới 2 ổ đĩa, tới 3GBytes/phút. Tương
thích với hầu hết các kết nối, kiểm tra và
bảo mật đồng thời
• Đảm bảo các ��í�Գ� năng: An toàn,
chính xác, tốc độ cao.

Bảng T8-R2 dành cho USB
• Sử dụng để ghi, đọc các thẻ nhớ USB, ổ đĩa USB
• Đảm bảo các ��í�Գ� năng: An toàn, chính xác, tốc độ
cao.

Hệ thống Pháp chứng di động
• RoadMASSter-3
• Có khả năng đọc, backup,
tìm kiếm thông tin nhanh
chóng, an toàn
• Tương thích với hầu hết
các kết nối, kiểm tra và
bảo mật đồng thời

FRED - Hệ thống tìm bằng chứng số
• FRED: Forensic Recovery of
Evidence Device
• Đơn giản chỉ cần lấy các ổ đĩa
cứng cắm chúng vào Fred và điều
tra viên có được các bằng chứng
kỹ thuật số.
• Làm việc với
IDE/EIDE/ATA/SATA/ATAPI/S
AS/Firewire/USB hard drives

Bằng chứng trên các ổ đĩa

Điều tra dữ liệu trên đĩa
• Các thông tin lưu trữ trên các đĩa cứng, đĩa mềm,
CD, DVD rất quan trọng cho công việc pháp chứng.
• Điều tra viên cần kiểm tra, nghiên cứu dữ liệu trên
các File system trong các ổ đĩa nghi vấn.
• Các phần mềm pháp chứng thường không chạy trên
hệ điều hành mà ổ đĩa nghi vấn có nên tất cả các file
ẩn và bị xóa đề có thể đọc được.
• Với những phần mềm pháp chứng, có thể xác định
các phân vùng (partitions) được định vị và phân tích
với các công cụ phần mềm.

Các thông tin về ổ Đĩa
• Hard Disk, CD, DVD
• Volume
• File System
• Data Unit
• Metadata
• File Name

Cấu trúc đĩa cứng
• Đĩa cứng là loại thiết bị với bộ nhớ "không thay đổi"
(non-volatile), có nghĩa là chúng không bị mất dữ
liệu khi ngừng cung cấp nguồn điện cho chúng.

Các thông số của đĩa cứng
• Kích thước ổ đĩa
• Dung lượng ổ đĩa
• Các loại kết nối SCSI, IDE và EIDE, SATA
• Đầu đọc
• Track
• Cylinder
• Sector

Volume
• Volume hay là logical drive là một vùng đĩa cứng.
• Để sử dụng được ổ đĩa người ta cần chia thành các
vùng (partition).
• Mỗi partition được format riêng.
• Một Volume thường bao gồm 1 partition nhưng
không phải bao giờ cũng đồng nhất với Partition.

File system
• {quản lý}
• Các loại File system thường dùng: FAT, NTFS,
UFS 1, UFS 2, EXT2FS, EXT3FS, Ext4, HFS, ISO
9660, and YAFFS2 file systems

FAT16
• File system
như
Windows 3.1.
• File system
C
•
Cluster. FAT16 Cluster.
• FAT16 file

FAT32
•
bit.
•
Cluster.
•
•

NTFS
• NTFS (New Technology File System), là hệ thống tập tin
tiêu chuẩn của Windows NT, bao gồm cả các phiên bản sau
này của Windows.
• NTFS có
C
• NTFS có hỗ trợ
232 Cluster.
• NTFS sử dụng bảng quản lý tập tin MFT (Master File
Table) thay cho bảng FAT nhằm tăng cường khả năng lưu
trữ, ��í�Գ� bảo mật cho tập tin.

• Công cụ tạo ảnh đĩa cứng phổ biến và được chấp
nhận là FTK Imager, nó tạo ra nhiều định dạng hỗ
trợ phân tích pháp chứng.
• State Offices for Criminal Investigation vẫn công
nhận ảnh được bởi FTK Imager là tin cậy.
• Kỹ thuật CRC và MD được dùng để bảo bảo ��í�Գ�
toàn vẹn.
• Công cụ dc3dd cũng phép tách ảnh thành các phần
nhỏ hơn và tạo một mã băm cho mỗi phần.
39
Công cụ tạo ảnh đĩa cứng

Phần mềm pháp chứng máy ��í�Գ�
• Các phần mềm mã nguồn đóng
• COFEE
• Categoriser 4 Pictures
• EnCase
• Các phần mềm mã nguồn mở
• Sleuth Kit
• Wireshark
• Chạy các nền tảng Linux, Unix, OS X, Solaris,
Windows
• Nên chọn phần mềm nào ?

Bộ phần mềm Sleuth Kit
• Sleuth Kit là phần mềm mã nguồn mở
• Sleuth Kit là một bộ các công cụ (tools) phần mềm
pháp chứng hỗ trợ trong điều tra kỹ thuật số
• Các công cụ trong Sleuth Kit là các công cụ dòng
lệnh để sử dụng với Linux, Unix, OS X, Solaris,
Windows.
• Cùng với Sleuth Kit hiện có Autopsy cung cấp một
giao diện đồ họa với các hệ điều hành Windows,
Linux, OS X.

Cài đặt phần mềm Sleuth Kit
• Địa chỉ truy cập http://www.sleuthkit.org
• Với Autopsy, người dùng có thể
sử dụng giao diện Windows thực
hiện các thao tác một cách dễ dàng
• Phần mềm dễ sử dụng và thuận
tiện cho các điều tra viên
• Ghi lại các case (vụ án) điều tra riêng biệt
• Cho phép cứu các file bị hỏng.

Dùng Sleuth Kit điều tra File System
• Các công cụ (tool) trong Sleuth Kit cho phép kiểm
tra hệ thống tập tin của một máy ��í�Գ� nghi ngờ dưới
dạng không xâm nhập vào.
• Các công cụ (tool) về File System cho phép kiểm tra
cách bố trí của ổ đĩa và phương tiện truyền thông
khác.
• Với những công cụ liên quan đến partition, ta có thể
xác định nơi mà các partition được định vị và giải
nén chúng để có thểphân tích với các công cụ phân
tích File System.

Dùng Autopsy
• Autopsy là một phần mềm pháp chứng kỹ thuật số
với giao diện đồ họa của Sleuth Kit
• Autopsy có thể được sử dụng bởi các chuyên gia
pháp chứng, những điều tra viên, những chuyên
viên các công ty để điều tra những gì đã xảy ra trên
máy ��í�Գ�.
• Autopsy cho phép phân tích sự kiện theo thời gian:
trình bầy các sự kiện truy cập tới File system theo
trình tự với giao diện đồ họa.

Các ��í�Գ� năng của Autopsy
• Băm lọc (Hash Filtering ): đánh dấu các tập tin có vấn đề và
bỏ qua các tập tin tốt.
• Phân tích pháp chứng với File system: cho phép khôi phục
các tập tin từ hầu hết các định dạng phổ biến.
• Tìm kiếm theo từ khóa - chỉ mục từ khóa tìm kiếm để tìm
các tập tin có đề cập đến các từ có liên quan.
• Khai thác các thông tin sử dụng Web: cho phép trích xuất
lịch sử truy cập Web, đánh dấu, tìm cookie từ trình duyệt
Firefox, Chrome, và IE.
• Đa phương tiện - trích xuất dạng EXIF (Exchangeable
image file format) từ các ảnh và video.

Giao diện với File system của Autopsy

�ݺ�ߣ

Bai 2

Recommended

More Related Content

What's hot (20)

Similar to Bai 2 (20)

Recently uploaded (18)

Bai 2