Bài giảng Pháp chứng kỹ thuật số - Bài 2: Pháp chứng máy tính - Đàm Quang Hồng Hải

Pháp chứng máy tính

Pháp chứng máy tính là một bộ phận của pháp chứng kỹ thuật số về tìm kiếm, duy trì và phân tích thông tin trên các hệ thống máy tính hoặc các thiết bị lưu trữ để tìm kiếm các bằng chứng số.

Máy vi tính đã có ở khắp mọi nơi và được sử dụng trong hầu như mọi người với vô số các ứng dụng.

Việc sử dụng máy tính và các thiết bị lưu trữ dữ liệu điện tử khác để lại những dấu vết và những đường mòn dữ liệu của người dùng máy tính.

 

pptx 48 trang phuongnguyen 6660
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Pháp chứng kỹ thuật số - Bài 2: Pháp chứng máy tính - Đàm Quang Hồng Hải", để tải tài liệu gốc về máy hãy click vào nút Download ở trên

Tóm tắt nội dung tài liệu: Bài giảng Pháp chứng kỹ thuật số - Bài 2: Pháp chứng máy tính - Đàm Quang Hồng Hải

Bài giảng Pháp chứng kỹ thuật số - Bài 2: Pháp chứng máy tính - Đàm Quang Hồng Hải
Bài 2: Pháp chứng máy tính 
Giảng viên: TS. Đàm Quang Hồng Hải 
PHÁP CHỨNG KỸ THUẬT SỐ 
Pháp chứng máy tính 
Pháp chứng máy tính là một bộ phận của pháp chứng kỹ thuật số về t ìm kiếm, duy trì và phân tích thông tin trên các hệ thống máy tính hoặc các thiết bị lưu trữ để tìm kiếm các bằng chứng số. 
Máy vi tính đã có ở khắp mọi nơi và được sử dụng trong hầu như mọi người với vô số các ứng dụng. 
Việc sử dụng máy tính và các thiết bị lưu trữ dữ liệu điện tử khác để lại những dấu vết và những đường mòn dữ liệu của người dùng máy tính. 
Pháp chứng máy tính và pháp chứng số 
Pháp chứng máy tính ngày nay 
Trong thế giới công nghệ ngày nay, hiện có nhiều thiết bị có khả năng lưu trữ dữ liệu và do đó có thể được chia thành các lĩnh vực pháp chứng máy tính. 
V ai trò của dữ liệu điện tử trong công việc điều tra đã có sự tăng trưởng theo cấp số nhân trong thập kỷ qua. 
Máy tính có phần cứng và phần mềm và người Pháp chứng viên cần có đủ kiến thức để khai thác.  
Tại sao cần Pháp chứng máy tính 
Máy tính là công cụ của tội phạm 
Loại t ội phạm “truyền thống” sử dụng máy tính như một công cụ để gây án, để lưu giữ thông tin tội phạm, như: 
Tội lừa đảo chiếm đoạt tài sản, trộm cắp tài sản, tội tham ô, tội rửa tiền, 
Buôn bán ma túy, mại dâm, tội xâm phạm quyền sở hữu trí tuệ,... 
Rửa tiền: chuyển tiền từ tài khoản trộm cắp được sang tài khoản e-money tại e-gold, e-passport..., chuyển tiền qua Western Union và tài khoản của đối tượng tại các ngân hàng tại Việt Nam 
Tội phạm xâm nhập qua máy tính 
Tấn công cơ sở dữ liệu, Tạo ra, lan truyền, phát tán các chương trình virus, 
Đột nhập trái phép cơ sở dữ liệu máy tính, ăn cắp dữ liệu, thông tin, sử dụng trái phép dữ liệu, 
Dùng thủ đoạn Phishing, trojan horse, spyware, keylogger, adware để lấy cắp địa chỉ email, thông tin thẻ tín dụng và thông tin cá nhân như tên, địa chỉ, số điện thoại, số thẻ an ninh xã hội, thông tin giấy phép lái xe 
Tội phạm máy tính 
Nhiệm vụ của Pháp chứng viên 
Quản lý và khai thác dữ liệu trên hệ thống máy tính, hiểu biết khai thác các phương pháp lưu trữ thông tin trên máy tính và thiết bị số. 
Phân tích các dữ liệu tìm được trên hệ thống máy tính để tìm ra các thông tin chi tiết liên quan như là nguồn gốc, nội dung; 
Đánh giá các thông tin tìm được và tập hợp thành bằng chứng số. 
Đưa bằng chứng số trước tòa và bảo vệ các bằng chứng số đó. 
Thế nào là bằng chứng số 
Bằng chứng số chỉ bao gồm chuỗi các bit 
Bằng chứng số là hữu hạn trong cả không gian và thời gian 
B ằng chứng số là chứng cứ dấu vết. 
B ằng chứng số thì tiềm ẩn trong tự nhiên. 
Độ phức tạp của tính toán làm giới hạn việc phân tích Pháp chứng số. 
Luận thuyết cơ bản của Pháp chứng số là “Cái gì chưa rõ ràng, nhất quán thì không phải là thật”.(“What is inconsistent is not true”) 
11 
Báo cáo môn Pháp chứng số 
Nơi có thể tìm bằng chứng số 
Trong các tập tin ghi lịch sử truy cập internet 
Trong các tập tin Cach sinh ra khi truy cập internet 
Tại các vùng đĩa chưa cấp phát hoặc file slack 
Lưu trữ các tập tin, thư mục, tên tập tin 
Thông tin ngày lưu trữ tập tin 
Ẩn/nhúng trong phần mềm 
Trong các tập tin chia sẻ 
Trong các e-mail 
Các tác vụ của Pháp chứng máy tính 
Kiểm soát phần cứng hệ thống 
Kiểm tra và xử lý dữ liệu có trên hệ thống 
Xác định thông tin cần tìm kiếm 
Đánh giá các nơi còn có thể dấu dữ liệu 
Thực hiện tìm kiếm thông tin trên các dữ liệu backup 
Ghi nhận các thông tin, dữ liệu tìm được 
Kiểm soát phần cứng hệ thống 
Kiểm soát hệ thống máy tính để chắc chắn rằng thiết bị và dữ liệu được an toàn, đồng thời Pháp chứng viên cần lập tài liệu về cấu hình phần cứng của hệ thống 
Chuyển hệ thống máy tính đến vị trí mà Pháp chứng viên nắm quyền bảo mật để không có một cá nhân nào có thể truy cập máy tính và thiết bị lưu trữ đang được kiểm tra. 
Tạo backup của các ổ đĩa trên hệ thống bao gồm các tập tin có trong ổ đĩa của máy tính hay các ổ cứng cắm ngoài theo dạng bit, Pháp chứng viên thực hiện việc điều tra trên các dữ liệu backup. 
Chép (Clone) đĩa cứng theo dạng bit 
Xác định thông tin cần tìm kiếm 
Kiểm tra dữ liệu trên tất cả các thiết bị lưu trữ bao gồm tất cả các tập tin có trong hệ thống máy tính được ẩn hoặc bị xóa nhưng chưa bị ghi đè, 
Kiểm tra các tập tin đã được mã hóa, được bảo vệ bằng mật khẩu, 
Lập tài liệu về ngày và giờ hệ thống, ngày và giờ truy cập các tập tin . 
Lập danh sách các key word cần tìm kiếm liên quan dấu vết tội phạm. 
Đánh giá các nơi còn có thể dấu dữ liệu 
Phân tích các khu vực đặc biệt trên ổ đĩa máy tính, bao gồm các phần thường khó có thể tiếp cận 
Đánh giá tập tin swap của Windows có thể chứa các thông tin bộ nhớ đã sử dụng. 
Thường trên cluster cuối cùng chứa tập tin sẽ không được sử dụng hết. Phần dư ra này được gọi là File slack space. 
	Cần đánh giá File slack space – đây là nơi có thể chứa các mã độc hoặc thông tin nhậy cảm: 
Đánh giá các không gian đĩa chưa cấp phát và các tập tin bị xóa 
Thực hiện tìm kiếm thông tin đã backup 
Khôi phục lại càng nhiều thông tin bị xóa càng tốt bằng cách sử dụng các ứng dụng có thể tìm kiếm và truy hồi dữ liệu bị xóa. 
Tìm trên các tập tin, không gian slack của tập tin và không gian chưa cấp phát theo các key word 
Lập tài liệu về tên, ngày và giờ liên quan đến các tập tin 
Xác định tập tin, chương trình và thiết bị lưu trữ bất thường 
Tìm kiếm thông tin 
Ghi nhận các thông tin, dữ liệu tìm được 
Đánh giá hoạt động các chương trình ra sao, tìm kiếm những điều bất thường 
Ghi lại tất cả các bước của quá trình tìm kiếm, những dữ liệu nào tìm thấy tại đâu. 
Lập tài liệu về các dữ liệu đã được phát hiện 
Chú ý: Điều này rất quan trọng đối với Pháp chứng viên để cung cấp bằng chứng rằng công việc điều tra của họ thực hiện đã bảo vệ thông tin của hệ thống máy tính mà không làm thay đổi hoặc làm hỏng chúng. 
Các thiết bị phần cứng chuyên dụng 
Các thiết bị chuyên dụng là một phần không thể thiếu được của các Pháp chứng viên 
Đảm bảo các tính năng: An toàn, chính xác, tốc độ cao. 
Được trang bị trong các phòng Forensic Lab hoặc có thể mang theo Pháp chứng viên. 
Thiết bị chép đĩa cứng cầm tay ImageMASSter Solo-3 
Thiết bị dễ dàng mang theo, có khả năng chép tới 2 ổ đĩa, tới 3GBytes/phút. Tương thích với hầu hết các kết nối, kiểm tra và bảo mật đồng thời 
Đảm bảo các tính năng: An toàn, chính xác, tốc độ cao. 
Bảng T8-R2 dành cho USB 
Sử dụng để ghi, đọc các thẻ nhớ USB, ổ đĩa USB 
Đảm bảo các tính năng: An toàn, chính xác, tốc độ cao. 
Hệ thống Pháp chứng di động 
RoadMASSter-3 
Có khả năng đọc, backup, tìm kiếm thông tin nhanh chóng, an toàn 
Tương thích với hầu hết các kết nối, kiểm tra và bảo mật đồng thời 
FRED - Hệ thống tìm bằng chứng số 
FRED : F orensic R ecovery of E vidence D evice 
Đơn giản chỉ cần lấy các ổ đĩa cứng cắm chúng vào Fred và Pháp chứng viên có được các bằng chứng kỹ thuật số. 
Làm việc với IDE/EIDE/ATA/SATA/ATAPI/SAS/Firewire/USB hard drives 
Bằng chứng trên các ổ đĩa 
Điều tra dữ liệu trên đĩa 
Các thông tin lưu trữ trên các đĩa cứng, đĩa mềm, CD, DVD rất quan trọng cho công việc pháp chứng. 
Pháp chứng viên cần kiểm tra, nghiên cứu dữ liệu trên các File system trong các ổ đĩa nghi vấn. 
Các phần mềm pháp chứng thường không chạy trên hệ điều hành mà ổ đĩa nghi vấn có nên tất cả các file ẩn và bị xóa đề có thể đọc được. 
Với những phần mềm pháp chứng , có thể xác định các phân vùng (partitions) được định vị và phân tích với các công cụ phần mềm . 
Các thông tin về ổ Đĩa 
Hard Disk, CD, DVD 
Volume 
File System 
Data Unit 
Metadata 
File Name 
Cấu trúc đĩa cứng 
Đ ĩa cứng là loại thiết bị với bộ nhớ "không thay đổi" (non-volatile), có nghĩa là chúng không bị mất dữ liệu khi ngừng cung cấp nguồn điện cho chúng. 
Các thông số của đĩa cứng 
Kích thước ổ đĩa 
Dung lượng ổ đĩa 
Các loại kết nối SCSI, IDE và EIDE, SATA 
Đầu đọc 
Track 
Cylinder 
Sector 
Volume 
Volume hay là logical drive là một vùng đĩa cứng. 
Để sử dụng được ổ đĩa người ta cần chia thành các vùng (partition). 
Mỗi partition được format riêng. 
Một Volume thường bao gồm 1 partition nhưng không phải bao giờ cũng đồng nhất với Partition. 
File system 
File system hay hệ thống {quản lý} tập tin có chức năng tổ chức và kiểm soát các tập tin và siêu dữ liệu tương ứng, được lưu trên ổ đĩa nhằm cho phép truy cập nhanh chóng và an toàn. 
Các loại File system thường dùng: FAT, NTFS, UFS 1, UFS 2, EXT2FS, EXT3FS, Ext4, HFS, ISO 9660, and YAFFS2 file systems 
FAT16 
Đây là File system có từ lâu, từ thời MS-DOS và những phiên bản đầu tiên của Windows như Windows 3.1. 
File system FAT, biểu diễn các vùng luận lý của đĩa thành những đơn vị được gọi là C luster và ánh xạ vị trí dữ liệu tập tin vào những vùng này bằng bảng định vị FAT (file allocation table). 
FAT16 dùng địa chỉ 16 bit để quản lý tập tin và C luster. FAT 16 có thể hỗ trợ đến 65.536 C luster. 
FAT 16 chỉ cho phép tên file tối đa 8 ký tự 
Ví dụ về FAT16 
FAT32 
FAT32 xuất hiện cùng với bản Windows 95 OEM Service Release 2 (OSR2), có không gian địa chỉ 32 bit. 
Bằng việc tăng kích thước của bảng định vị tập tin, nó có khả năng hỗ trợ nhiều C luster . 
FAT32 là nó cho phép đặt tên tập tin đến 255 ký tự, trong khi. Như vậy, người dùng có thể đặt tên tập tin đủ dài để mô tả nội dung tập tin. 
Ưu điểm của FAT32 là ngoài việc tăng dung lượng quản lý địa chỉ từ 2GB lên 2TB, 
NTFS 
NTFS (New Technology File System), l à hệ thống tập tin tiêu chuẩn của Windows NT, bao gồm cả các phiên bản sau này của Windows . 
NTFS có không gian địa chỉ 64 bit và khả năng thay đổi kích thước của C luster độc lập với dung lượng đĩa 
NTFS có hỗ trợ như thuộc tính bảo mật cho tập tin và thư mục, mã hoá tập tin và hỗ trợ khả năng lưu trữ đến 16TB và 232 C luster. 
NTFS sử dụng bảng quản lý tập tin MFT (Master File Table) thay cho bảng FAT nhằm tăng cường khả năng lưu trữ, tính bảo mật cho tập tin . 
Công cụ tạo ảnh đĩa cứng phổ biến và được chấp nhận là FTK Imager, nó tạo ra nhiều định dạng hỗ trợ phân tích pháp chứng. 
State Offices for Criminal Investigation vẫn công nhận ảnh được bởi FTK Imager là tin cậy. 
Kỹ thuật CRC và MD được dùng để bảo bảo tính toàn vẹn. 
Công cụ dc3dd cũng phép tách ảnh thành các phần nhỏ hơn và tạo một mã băm cho mỗi phần. 
39 
Công cụ tạo ảnh đĩa cứng 
FTK Imager 
Phần mềm pháp chứng máy tính 
Các phần mềm mã nguồn đóng 
COFEE 
Categoriser 4 Pictures 
EnCase 
Các phần mềm mã nguồn mở 
Sleuth Kit 
 Wireshark 
Chạy các nền tảng Linux, Unix, OS X, Solaris, Windows 
Nên chọn phần mềm nào ? 
Bộ phần mềm Sleuth Kit 
Sleuth Kit là phần mềm mã nguồn mở 
Sleuth Kit là một b ộ các công cụ (tools) phần mềm pháp chứng hỗ trợ trong điều tra kỹ thuật số 
Các công cụ trong Sleuth Kit là các công cụ dòng lệnh để sử dụng với Linux, Unix, OS X, Solaris, Windows. 
Cùng với Sleuth Kit hiện có Autopsy cung cấp một giao diện đồ họa với các hệ điều hành Windows, Linux, OS X. 
Cài đặt phần mềm Sleuth Kit 
Địa chỉ truy cập  
Với Autopsy, người dùng có thể 
	sử dụng giao diện Windows thực 
	hiện các thao tác một cách dễ dàng 
Phần mềm dễ sử dụng và thuận tiện cho các Pháp chứng viên 
Ghi lại các case (vụ án) điều tra riêng biệt 
Cho phép cứu các file bị hỏng. 
Dùng Sleuth Kit điều tra File System 
Các công cụ (tool) trong Sleuth Kit cho phép kiểm tra hệ thống tập tin của một máy tính nghi ngờ dưới dạng không xâm nhập vào . 
Các công cụ (tool) về File System cho phép kiểm tra cách bố trí của ổ đĩa và phương tiện truyền thông khác. 
Với những công cụ liên quan đến partition , ta có thể xác định nơi mà các partition được định vị và giải nén chúng để có thể phân tích với các công cụ phân tích File System . 
Dùng Autopsy 
Autopsy l à một phần mềm pháp chứng kỹ thuật số với giao diện đồ họa của Sleuth Kit 
Autopsy có thể được sử dụng bởi các chuyên gia pháp chứng , những Pháp chứng viên, những chuyên viên các công ty để điều tra những gì đã xảy ra trên máy tính. 
Autopsy cho phép p hân tích sự kiện theo t hời gian : trình bầy các sự kiện truy cập tới File system theo trình tự với giao diện đồ họa . 
Các tính năng của Autopsy 
Băm lọc (Hash Filtering ): đánh dấu các tập tin có vấn đề và bỏ qua các tập tin tốt. 
P hân tích pháp chứng với File system: cho phép k hôi phục các tập tin từ hầu hết các định dạng phổ biến. 
T ìm kiếm theo t ừ khóa - chỉ mục từ khóa tìm kiếm để tìm các tập tin có đề cập đến các từ có liên quan . 
Khai thác các thông tin sử dụng W eb : cho phép t rích xuất lịch sử truy cập Web , đánh dấu, tìm cookie từ trình duyệt Firefox, Chrome, và IE. 
Đa phương tiện - t rích xuất dạng EXIF (Exchangeable image file format) từ các ảnh và video. 
Giao diện với File system của Autopsy 
Hết bài 2 

File đính kèm:

  • pptxbai_giang_phap_chung_ky_thuat_so_bai_2_phap_chung_may_tinh_d.pptx