HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
CƠ SỞ THÀNH PHỐ HỒ CHÍ MINH

BÀI BÁO CUỐI KỲ KHOA HỌC PHÁP LÝ SỐ
GV: Huỳnh Trọng Thưa
Nhóm 10: Võ Xuân Thịnh – N17DCAT066
Nguyễn Hoàng Hải – N17DCAT021

ĐỀ TÀI: DATA ACQUISITION AND DUPLICATION


PHẦN 1: TRẢ LỜI CÂU HỎI TRONG ĐỀ TÀI.

Câu 1. What are the methods investigators use to acquire digital evidence?
(Các phương pháp điều tra viên sử dụng để thu thập bằng chứng kỹ thuật số
là gì?)
1. Tạo tệp bit-stream disk-to-image
2. Tạo bản sao bit-stream disk-to-disk
3. Tạo một bản sao dữ liệu thưa thớt của một thư mục hoặc tệp

Câu 2. How does an investigator acquire data on Linux? (Điều tra viên thu
thập dữ liệu trên Linux như thế nào?)
Các nhà điều tra pháp y sử dụng lệnh dd có sẵn trong Linux để sao chép dữ liệu từ ổ đĩa.
Các công cụ pháp y khác, chẳng hạn như AccessData FTK và Ilook, có thể đọc các tệp hình ảnh
dd.

Câu 3: What do the SavePart and WritePart commands in DriveSpy do?( Các
lệnh SavePart và WritePart trong DriveSpy làm gì?)
+ Lệnh SavePart tạo hình ảnh của một phân vùng trên đĩa cứng.
+ WritePart: Chức năng chính của lệnh WritePart là khơi phục hình ảnh của một phân vùng. Hình
ảnh có thể là một hình ảnh được lưu trữ trong phân vùng đang được kiểm tra.

Câu 4: Why is there a need for data duplication?( Tại sao cần có sự trùng lặp
dữ liệu?)
Nhân bản dữ liệu là điều cần thiết để bảo quản thích hợp bằng chứng kỹ thuật số

Câu 5: How is netcat used with dd to acquire data?( Netcat được sử dụng như
thế nào với dd để lấy dữ liệu?)
Lệnh netcat hỗ trợ lệnh dd với các tính năng mạng. Điều tra viên có thể sử dụng nó để đọc và ghi
dữ liệu trên mạng bằng TCP hoặc UDP. TCP là một giao thức thực hiện một bộ quy tắc cốt lõi
cho phép kết nối hướng kết nối đáng tin cậy giữa các máy tính chủ qua mạng. UDP là một giao
thức không đáng tin cậy thực hiện một bộ quy tắc nỗ lực cao nhất cho phép giao tiếp mạng trong
đó việc phân phối chính xác từng gói là khơng quan trọng, chẳng hạn như để phát trực tuyến
video.


Để tạo hình ảnh phân vùng trên máy khác:
• Trên máy nguồn: dd if / dev / hda bs16065b | netcat targethost-IP 1234
• Trên máy đích: netcat -l -p 1234 | dd của / dev / hdc bs16065b

Câu 6: Write down the hardware tools used for data acquisition?( Viết ra các
công cụ phần cứng được sử dụng để thu thập dữ liệu.)
Image MASSter Solo-3
LinkMASSter-2
RoadMASSter-2

Câu 7: Write down the hardware tools used for data duplication? (Viết ra các
công cụ phần cứng được sử dụng để sao chép dữ liệu.)
ImageMASSter 6007SAS
Disk Jockey IT
QuickCopy


Câu 8: What file systems does dd work with?( dd làm việc với những hệ thống
tập tin nào?)
Lệnh này có thể tạo một bản sao bit-stream disk-to-disk hoặc một file disk-to-image.
Lệnh dd có thể sao chép dữ liệu từ bất kỳ đĩa nào mà Linux có thể gắn kết và truy cập
Một trong những ưu điểm của việc sử dụng lệnh dd trong Linux là nó là phần mềm miễn phí
khơng phụ thuộc vào bất kỳ tài ngun bổ sung nào từ máy tính. Lệnh dd trong Linux có thể tạo
ảnh của các đĩa hệ thống tệp ext2, ext3, UNIX, FAT12, FAT16, FAT32, NTFS, HFS và HPFS

Câu 9: Describe the features of QuickCopy? (Mơ tả các tính năng của
QuickCopy)
QuickCopy là một hệ thống nhân bản băng. Sau đây là một số tính năng của QuickCopy:
• Nhân bản một băng chính thành một hoặc nhiều băng đích
• Bản sao từ ảnh chính được lưu trữ trên ổ cứng cục bộ hoặc mạng


• Có khả năng đa nhiệm cho các cơng việc hỗn hợp. Ví dụ, nó có thể sao chép đồng thời băng 4
mm và DLT.
• Cung cấp xác minh 100% tất cả các bản sao được thực hiện
• Sử dụng hệ điều hành Microsoft NT và giao diện người dùng đồ họa (GUI)
• Cũng có thể sao chép phương tiện CD với tùy chọn QuickCopy-CD

Câu 10: What are the system requirements for Drive SnapShot?( Yêu cầu hệ
thống đối với Drive SnapShot là gì?)
Drive SnapShot là một cơng cụ thu thập dữ liệu tạo ra hình ảnh đĩa chính xác. Nó có thể tạo ra
hình ảnh này trong khi điều tra viên tiếp tục thực hiện cơng việc của mình trong Windows. Nó
tương thích với tất cả các hệ thống tệp Windows và hầu hết các hệ thống tệp Linux. Chỉ người
dùng có đặc quyền quản trị mới có thể sử dụng Drive SnapShot.
Yêu cầu hệ thống đối với Drive SnapShot
• Hệ điều hành: Windows NT 4.0 SP3 / 2000 / XP / 2003 / PE / Vista

• RAM: 8 MB
• Đĩa cứng: Ít nhất 2 MB dung lượng đĩa trống

ĐỀ TÀI: FORENSIC INVESTIGATIONS USING ENCASE


EnCase là một bộ phần mềm pháp y cung cấp cho các nhà điều tra một bộ công cụ
đầy đủ để điều tra pháp y. Chương này cung cấp một số thông tin về EnCase và
thảo luận về cách các nhà điều tra có thể sử dụng EnCase để thực hiện các nhiệm
vụ pháp y khác nhau.

PHẦN 1: TRẢ LỜI CÂU HỎI TRONG ĐỀ TÀI.

Câu 1: What is an evidence file, and what is it used for? (Tệp bẳng chứng là
gì, và nó dùng để làm gì?)
Tệp bằng chứng EnCase cũng có thể được gọi là tệp hình ảnh pháp y. Tệp bằng chứng EnCase
được biết đến rộng rãi trong các ngành thực thi pháp luật và bảo mật máy tính.
Các tệp bằng chứng EnCase được sử dụng để lưu giữ bằng chứng và tiếp tục việc kiểm tra mà
không cần phải khơi phục hình ảnh vào phương tiện riêng biệt
Điều này cho phép người điều tra tìm kiếm và kiểm tra nội dung của ổ đĩa được mua trong mơi
trường EnCase.
Tệp bằng chứng EnCase chứa bản sao chính xác của dữ liệu từ phương tiện gốc, bao gồm dấu
thời gian, tệp đã xóa, khơng gian chưa được phân bổ và thuộc tính hệ thống tệp. Điều tra viên có
thể dễ dàng chuyển tệp bằng chứng EnCase sang các loại phương tiện khác nhau và lưu trữ để
tham khảo trong tương lai. Nếu cần, điều tra viên cũng có thể sử dụng tệp bằng chứng để khơi
phục hình ảnh chính xác vào ổ cứng khác.
Câu 2: Describe the main parts of an evidence file.(Mơ tả các thành phần

chính của tệp bằng chứng)
Tệp bằng chứng EnCase có ba thành phần chính: tiêu đề, các khối dữ liệu và thành phần toàn vẹn

tệp (CRC và MD5 / SHA-1).
Tiêu đề sẽ xuất hiện ở phần cuối của tệp bằng chứng và các khối dữ liệu theo sau tiêu đề. Thành
phần toàn vẹn tệp tồn tại xuyên suốt và cung cấp các mức độ tồn vẹn tệp dự phịng.
Mỗi thành phần có tính tồn vẹn của riêng mình, và tiêu đề được bịt kín với CRC(hàm bằm)
riêng của mình.
Mỗi khối dữ liệu được xác minh bằng CRC của riêng nó.
Tồn bộ phần khối dữ liệu phải chịu một hàm băm MD5 / SHA-1, được gọi là một hàm băm
chuyển đổi , được thêm vào sau các khối dữ liệu.
Xác minh tính tồn vẹn của tệp


Bất cứ khi nào điều tra viên thêm tệp bằng chứng vào một vụ án, họ có thể sử dụng EnCase để
xác minh tính tồn vẹn của tệp

Câu 3: Describe the steps involved in acquiring an image of a storage device.(
Mơ tả các bước liên quan để có được hình ảnh của thiết bị lưu trữ.)
Lấy một hình ảnh. Điều tra viên có thể thu được hình ảnh bằng cách thực hiện các bước sau:
Nhấp vào Tệp và sau đó Thêm thiết bị để có được hình ảnh.
Điều tra viên có thể nhấp luân phiên vào nút Thêm thiết bị trên thanh cơng cụ Encase của q
trình này.
Chọn loại thiết bị. Nếu thiết bị là ổ USB, nó khơng nên được kết nối với máy tính pháp y trước
q trình khởi động.
Bước 1: Điều tra viên lựa chon cấu hình để lấy tệp hình ảnh ở trên thanh cơng cụ Encase.

Bước 2: Sau hi thực hiện xong việc Add Device thì bạn điền thơng tin cho thư mục. Đây là tùy
chọn cơ bạn


Bước 3: Sau khi thực hiện thực hiện xong phần điền thơng tin bạn có thể lựa chọn câu hình phù
hợp cho việc điều tra. Cho phép người điều tra tự động cấu hình và điều chỉnh



Bước 4: Menu View cung cấp cho điều tra mọi thông tin của tệp điều tra cũng như những câu cụ
để phân tích them.

Câu 4: What does the Device tab show?( Tab hiển thị là gì)
Khi duyệt và xem bằng chứng của bạn, phần lớn thời gian của bạn được dành cho việc tìm kiếm
bằng chứng và đó là các Device tab.
Đây là bằng chứng và thơng tin bạn có thể xem và xử lý trong EnCase từ nhiều nguồn tìm khác
nhau .Ex01, .Lx01, .E01, and .L01 files l VMDK files l VHD files l Raw DD Image files
EnCase phân tch cú pháp các t p này ệkhi chúng đếến. Mỗỗi t p hiệ n th
ể nhị mư t thiếết
ộ
b ịtrến giao
di n. Tâết
ệ c d ảli uữ đãệ phân tch cú pháp t mừt thiếết
ộ
b ịđ ược l ưu tr ữtrong bộ nhớ cache c ủa
thiếết bị
Số bằng chứng mà Tab hiển thị sẽ cung cấp cho điều tra viên
•Đường dẫn tập tin
• Tên giám khảo
Thanh trạng thái
•Ngày thực tế
• Ngày mục tiêu
• Tổng kích thước
• Tổng số ngành
• Tính tồn vẹn của tệp
• Phiên bản EnCase
• Phiên bản hệ thống



• Băm chuyển đổi
• Xác minh hàm băm
• Ghi chú

Câu 5: What is the purpose of an EnCase boot disk?(Mục đích của đĩa khởi
động Encase là gì)
Mục đích của đĩa khởi động pháp y là khởi động máy tính và tải hệ điều hành theo cách hợp lý để không
bị thay đổi phương tiện xác minh.
Một đĩa khởi động DOS thông thường sẽ thực hiện các cuộc gọi đến ổ C: chủ yếu qua COMMAND.COM
nhưng cũng với IO.

Câu 6: What is the purpose of file-signature analysis?( Mục đích của phân
tích chữ ký tệp là gì??)
Khi một loại tệp được chuẩn hóa, chữ ký hoặc tiêu đề được lưu trữ cùng với dữ liệu.Các ứng dụng sử
dụng tiêu đề để phân tích cú pháp dữ liệu một cách chính xác.
Người điều tra có thể xem chữ ký tệp để xác định loại tệp, ngay cả khi phần mở rộng của nó đã bị thay
đổi. Người điều tra có thể dễ dàng tạo giá trị băm cho mọi tệp trong một trường hợp. Điều tra viên có thể
dễ dàng tạo một loại trình xem bên ngồi mới.


Phần mềm Pháp Y Encase hiển thị chữ kỹ tệp khi đã thực hiện xong nhiệm vụ

Câu 7: How does EnCase use MD5 hashing?( EnCase sử dụng băm MD5 như
thế nào?)
Hàm băm MD5 là một giá trị 128 bit (16 byte) mô tả duy nhất nội dung của tệp. Đây là một hàm
băm một chiều chuyển đổi một thông điệp thành một chuỗi ký tự cố định được gọi là thơng báo
kỹ thuật số.
Tạo mã băm người điều tra có thể nhấp vào Tìm kiếm và chọn Tính giá trị băm để tạo giá trị băm

cho mọi tệp được phân bổ.
Mục đích của giá trị trong EnCase là để xác minh rằng tệp bằng chứng mà EnCase tạo ra có cấu
trúc byte giống như phương tiện gốc. EnCase cũng sử dụng băm MD5 để tạo các bộ băm sau đó
được thêm vào thư viện băm. Bộ băm là tập hợp các tệp băm.. EnCase có thể tạo giá trị băm (dấu
vân tay kỹ thuật số) cho bất kỳ tệp nào trong trường hợp.

Câu 8: Describe the kinds of searches an investigator can perform using
EnCase?( Mơ tả các loại tìm kiếm mà điều tra viên có thể thực hiện bằng
EnCase.)
EnCase có các khả năng tìm kiếm nâng cao sau:
Tìm kiếm đồng thời
• Tìm kiếm vùng lân cận
• Tìm kiếm trên Internet và e-mail
• Tìm kiếm địa chỉ e-mail
• Tìm kiếm Global Regular Expressions Post (GREP): Tiện ích tìm kiếm GREP cho phép người
điều tra tìm kiếm thơng tin với định dạng chung đã biết, chẳng hạn như bất kỳ số điện thoại, số
thẻ tín dụng, ID mạng, bản ghi đăng nhập hoặc địa chỉ IP, ngay cả khi con số cụ thể khơng được
biết
• Cơng cụ tìm tệp: Cơng cụ này tìm kiếm trong tệp trang, các cụm chưa được phân bổ, tệp đã
chọn hoặc tồn bộ trường hợp, tìm kiếm các loại tệp cụ thể và dữ liệu có cấu trúc EnCase cung
cấp




Cửa sổ tìm kiếm trên cơng cụ Encase. Điều tra viên có thể tùy chọn tìm khiếm khác nhau.

Lưu ý: Thành phần quan trọng của bất kỳ tìm kiếm nào là các từ khóa.

ấn đề như về tài



Lựa chọn từ khóa mà bạn muốn tìm kiếm để điểm tra. Có thể them nhiều nhóm từ khóa để tìm
kiếm

MỘT SỐ ĐỊNH NGHĨA TRONG CHƯƠNG.

+ Checksum (cịn gọi là tổng băm) một số ngun có kích thước cố định là kết quả của việc áp
dụng thuật toán vào một khối dữ liệu kỹ thuật số nhằm mục đích xác minh tính tồn vẹn của dữ
liệu gốc; thường được sử dụng khi so sánh dữ liệu được sao chép với dữ liệu gốc


+ Cyclic Redundancy Check thường viết tắt là CRC, là thuật ngữ tiếng Anh trong kỹ thuật số, là
phương pháp kiểm tra và phát hiện lỗi, được sử dụng trong các mạng số và thiết bị lưu trữ để
phát hiện sự thay đổi tình cờ đối với dữ liệu được truyền đi hay lưu trữ

+ MD5 đã được dùng trong nhiều ứng dụng bảo mật, và cũng được dùng phổ biến để kiểm tra
tính tồn vẹn của tập tin. Một bảng băm MD5 thường được diễn tả bằng một số hệ thập lục
phân 32 ký tự.

+ NTFS là hệ thống tập tin tiêu chuẩn của Windows NT. NTFS là hệ thống file tiên tiến hơn rất
nhiều so với FAT32. Nó có đầy đủ các đặc tính của hệ thống file hiện đại mà FAT32 khơng hề có

+ ISO (Tổ chức Tiêu chuẩn hóa Quốc tế) và ITU (Liên minh Viễn thơng Quốc tế) làm việc để
tiêu chuẩn hóa các loại dữ liệu điện tử

+ MFT ( Master File Table) đó là bảng phân bổ tệp chính của hệ thống tệp NTFS. MFT nhập bởi
một hoặc nhiều (tài liệu), mỗi mục MFT chiếm không gian 1024 byte. Mặt trước của hàng chục
byte cho mỗi mục MFT có một cấu trúc tiêu đề cố định được sử dụng để mô tả thông tin về các
mục MFT. Các byte sau để lưu trữ "thuộc tính." Mỗi tập tin và thư mục thơng tin được bao gồm

trong MFT, mỗi tập tin và thư mục trong bảng ít nhất là một mục MFT. Khu vực khởi động, hệ
thống hoạt động trước tiên phải truy cập MFT, mục MFT để tìm tệp trong mục MFT, MFT để tìm
nội dung dựa trên thơng tin trong hồ sơ và truy cập nó.

Tóm Tắt Chương
■ Tệp bằng chứng là thành phần cốt lõi trong điều tra Pháp Y bằng công cụ EnCase.
■ Mỗi tệp bằng chứng là một bản sao chính xác theo từng ngành của một đĩa mềm hoặc đĩa cứng
mà kỹ thuật viên điều tra.
■ EnCase tính tốn sử dụng hàm băm MD5 khi nó có được ổ đĩa vật lý hoặc ổ đĩa logic từ máy
tính người dùng.
■ EnCase cung cấp khả năng tìm kiếm mạnh mẽ, phân tích chính xác.
■ EnCase cho phép người điều tra đánh dấu các tệp, thư mục hoặc các phần của tệp để dễ dàng
tham khảo và lựa chọn dễ dàng cho người điều tra.
■ EnCase tìm kiếm các cụm chưa được phân bổ trong bảng tệp chính (MFT) để khơi phục các
tệp và thư mục.
■ EnCase có thể tạo giá trị băm (dấu vân tay kỹ thuật số) cho bất kỳ tệp nào trong một trường
hợp.


■ EnCase có thể lấy lại thơng tin được dấu đi hay đã bị mất ở trong thư mục.

/> />