HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA CÔNG NGHỆ THÔNG TIN

CƠ SỞ AN TỒN THƠNG TIN

Đề tài:

TÌM HIỂU VỀ ĐIỀU TRA SỐ
Sinh viên thực hiện:
NGUYỄN THANH LONG

AT150533

NGUYỄN TIẾN SỸ

AT131044

Nhóm

19

Giáo viên : NGUYỄN MẠNH THẮNG


Nội dung

1. Khái niệm điều tra số
Digital Forensics (điều tra số) là một nhánh của ngành khoa học điều tra đề cập đến việc
sử dụng các phương pháp, công cụ kỹ thuật khoa học đã được chứng minh để thu thập, bảo quản,
phân tích, lập báo cáo và trình bày lại những thông tin thực tế từ các nguồn dữ liệu số với mục

đích tạo điều kiện hoặc thúc đẩy việc tái hiện lại các sự kiện nhằm tìm ra hành vi phạm tợi hay
hỗ trợ cho việc dự đốn các hoạt động trái phép như cố ý xâm nhập, tấn cơng hoặc gây gián đoạn
q trình làm việc của hệ thống.
Mục đích quan trọng nhất của điều tra số là thu thập, phân tích và tìm ra chứng cứ thuyết
phục về một vấn đề cần sáng tỏ. Điều tra số có những ứng dụng quan trọng trong khoa học điều
tra cụ thể.
Về mặt kỹ thuật thì điều tra số giúp xác định những gì đang xảy ra làm ảnh hưởng tới hệ
thống đồng thời qua đó phát hiện các nguyên nhân hệ thống bị xâm nhập, các hành vi, nguồn gốc
của các vi phạm xảy ra đối với hệ thống. Về mặt pháp lý thì điều tra số giúp cho cơ quan điều tra
khi tố giác tội phạm công nghệ cao có được những chứng cứ số thuyết phục để áp dụng các chế
tài xử phạt với các hành vi phạm pháp.
Mục đích - Ứng dụng
Trong thời đại cơng nghệ phát triển mạnh như hiện nay. Song song với các ngành khoa
học khác, điều tra số đã có những đóng góp rất quan trọng trong việc ứng cứu nhanh các sự cố
xảy ra đối với máy tính, giúp các chuyên gia có thể phát hiện nhanh các dấu hiệu khi mợt hệ
thống có nguy cơ bị xâm nhập, cũng như việc xác định được các hành vi, nguồn gốc của các vi
phạm xảy ra đối với hệ thống.
Về mặt kỹ thuật thì điều tra số gồm: Điều tra mạng, điều tra bộ nhớ, điều tra các thiết bị
điện thoại có thể giúp cho tổ chức xác định nhanh những gì đang xảy ra làm ảnh hưởng tới hệ
thống, qua đó xác định được các điểm yếu để khắc phục, kiện tồn
Về mặt pháp lý thì điều tra số giúp cho cơ quan điều tra khi tố giác tội phạm cơng nghệ
cao có được những chứng cứ số thuyết phục để áp dụng các chế tài xử phạt với các hành vi phạm
pháp.
Một cuộc điều tra số thường bao gồm 3 giai đoạn: Tiếp nhận dữ liệu hoặc ảnh hóa tang
vật, sau đó tiến hành phân tích và cuối cùng là báo cáo lại kết quả điều tra được.
Việc tiếp nhận dữ liệu địi hỏi tạo ra mợt bản copy chính xác các sector hay cịn gọi là
nhân bản điều tra, của các phương tiện truyền thông, và để đảm bảo tính tồn vẹn của chứng cứ


thu được thì những gì có được phải được băm sử dụng SHA1 hoặc MD5, và khi điều tra thì cần

phải xác minh đợ chính xác của các bản sao thu được nhờ giá trị đã băm trước đó.
Trong giai đoạn phân tích, thì các chun gia sử dụng các phương pháp nghiệp vụ, các kỹ
thuật cũng như công cụ khác nhau để hỗ trợ điều tra. Sau khi thu thập được những chứng cứ có
giá trị và có tính thuyết phục thì tất cả phải được tài liệu hóa lại rõ ràng, chi tiếp và báo cáo lại
cho bộ phận có trách nhiệm xử lý chứng cứ thu được.

Khi nào thì thực sự cần thiết thực hiện một cuộc điều tra số?
•

Khi hệ thống bị tấn cơng mà chưa xác định được ngun nhân.

•

Khi cần thiết khơi phục dữ liệu trên thiết bị, hệ thống đã bị xóa đi

•

Hiểu rõ cách làm việc của hệ thống

•

Khi thực hiện điều tra tợi phạm có liên quan đến cơng nghệ cao

•

Điều tra sự gian lận trong tổ chức

•

Điều tra các hoạt đợng gián điệp cơng nghiệp


Cần điều tra những gì?


Physical Media, Media Management: Liên quan đến phần cứng, tổ chức phân vùng,
phục hồi dữ liệu khi bị xóa…



File System: Phân tích các file hệ thống, hệ điều hành windows, linux, android…



Application: Phân tích dữ liệu từ ứng dụng như các file Log, file cấu hình, reverse ứng
dụng…



Network: Phân tích gói tin mạng, sự bất thường trong mạng



Memory: Phân tích dữ liệu trên bộ nhớ, thường là dữ liệu lưu trên RAM được dump ra

2. Quy trình điều tra số trên máy tính
Có 3 giai đoạn:
 Giai đoạn trước khi điều tra số (Preparation)

Thiết lập mợt phịng thí nghiệm pháp y máy tính, xây dựng mợt trạm làm việc pháp y, phát
triển một bộ công cụ điều tra, thiết lập một quy trình điều tra, nhận được sự chấp thuận của cơ

quan có thẩm quyền liên quan, v.v.


Ngồi ra, thực hiện việc mơ tả lại thơng tin hệ thống, những gì đã xảy ra, các dấu hiệu, để xác
định phạm vi điều tra, mục đích cũng như các tài nguyên cần thiết sẽ sử dụng trong suốt q
trình điều tra.
•

Kiểm tra xác minh: Khi bắt đầu q trình điều tra thì đây là nhiệm vụ đầu tiên, Ở giai
đoạn này việc kiểm tra xác minh cung cấp mợt cái nhìn bao qt về các thơng tin liên
quan đến hệ thống bị tấn công, thông tin về hạ tầng mạng, các cơ chế bảo vệ thệ thống
đó, các ứng dụng ngăn chặn virus trên hệ thống, cũng như các thiết bị mạng (tường lửa,
IDS, router…) đang được triển khai.

•

Mơ tả hệ thống: Sau khi hồn thành nhiệm vụ kiểm tra xác minh chúng ta sẽ tiến hành
mô tả chi tiết các thông tin về hệ thống như thời gian hệ thống bị tấn công, đặc điểm phần
cứng, hệ điều hành đang sử dụng, phần mềm đang cài trên hệ thống, danh sách người
dùng và nhiều thông tin hữu ích khác liên quan tới hệ thống. Một phần của những dữ liệu
này sẽ được lấy ra khỏi hệ thống bằng việc sử dụng các phần mềm phục vụ cho q trình
điều tra, vì việc điều tra khơng thể thực hiện ngay trên hệ thống được xem là mục tiêu của
tấn cơng được, bởi vì hệ thống có thể đã được cài đặt các phần mềm độc hại…

 Giai đoạn điều tra số (Acquisition & Analysis)

Quá trình thu thập, bảo quản và phân tích chứng cứ để xác định nguồn gốc của tợi phạm và
thủ phạm đằng sau nó.
Acquisition: Đây là bước tạo ra mợt bản sao chính xác các sector hay còn gọi là nhân bản
điều tra các phương tiện truyền thông, xác định rõ các nguồn chứng cứ sau đó thu thập và bảo vệ

tính tồn vẹn của chứng cứ bằng việc sử dụng hàm băm mật mã.
•

Giai đoạn này rất quan trọng cho q trình phân tích, điều tra mợt hệ thống máy tính bị
tấn cơng. Tất các những thơng tin máy tính có sẵn phải được đưa vào mợt mơi trường
điều tra an tồn để thực hiện cơng việc điều tra, phân tích, đây là việc làm rất quan trọng
bởi vì nó phải đảm bảo được rằng những chứng cứ thu được ban đầu cần phải đảm bảo
được tính tồn vẹn.

•

Tất cả các dữ liệu thu được từ hệ thống (bợ nhớ, tiến trình, kết nối mạng, phân vùng
đĩa…) phải được ghi lại và ký mã bởi các thuật toán như MD5 hoặc SHA1 để đảm bảo
tính tồn vẹn chứng cứ, trước khi bắt đầu điều tra thì người thực hiện nhiệm vụ phân tích
điều tra sẽ kiểm tra độ tin cậy của chứng cứ dựa vào thông tin mà các chuỗi MD5 hay
SHA1 cung cấp. Nhằm tránh việc gian lận và cài đặt, làm giả các chứng cứ đánh lạc
hướng điều tra.

Analysis: Đây là giai đoạn các chuyên gia sử dụng các phương pháp nghiệp vụ, các kỹ thuật
cũng như công cụ khác nhau để trích xuất, thu thập và phân tích các bằng chứng thu được.
•

Thiết lập mốc thời gian và phân tích: Sau khi thu thập xong chứng cứ tất cả các dữ liệu
được cách ly trong một môi trường điều tra an tồn và nhiệm vụ tiếp theo của q trình
thực hiện phân tích là thiết lập tập tin thời gian. Việc thiết lập tập tin thời gian giúp người


thực hiện công việc điều tra theo dõi lại các hoạt động của hệ thống (hiển thị ra thời gian
cuối cùng mà một tập tin thực thi được chạy, các tập tin hoặc thư mục được tạo/xóa trong
thời gian qua và qua đó có thể giúp người điều tra hình dung, phỏng đoán được sự hiện

diện của các kịch bản hoạt đợng).
•

Phân tích phương tiện truyền dữ liệu của hệ điêu hành:Từ các kết quả thu được bởi việc
phân tích thời gian, chúng ta tiến hành bắt đầu phân tích phương tiện truyền thơng để tìm
kiếm các đầu mối phía sau một hệ thống bị thỏa hiêp. Bộ công cụ có sẵn để phục vụ cho
việc phân tích phụ tḥc vào một số nhân tố như:
-

Nền tảng phần mềm được sử dụng trong máy tính phục vụ điều tra.
Nền tảng phần mềm được sử dụng trong các hệ thống mục tiêu của việc phân tích.
Mơi trường phân tích.

•

Tìm kiếm chuỗi: Với những gì đã thu thập được, người phân tích có thể bắt đầu tìm kiếm
các chuỗi cụ thể chứa bên trong các tập tin để tìm kiếm những thơng tin hữu ích như địa
chỉ IP, địa chỉ Email… để từ đó truy tìm dấu vết tấn cơng.

•

Khơi phục dữ liệu: Sau khi thực hiện xong giai đoạn phân tích các phương tiện truyền
thơng, chun viên điều tra hồn tồn có thể tìm kiếm những dữ liệu từ chứng cứ đã được
ghi lại và trích xuất ra các dữ liệu chưa được phân bổ trong ngăn xếp, sau đó phục hồi lại
bất kỳ tập tin nào đã bị xóa. Tìm kiếm khơng gian trống (trong mơi trường windows)
hoặc tìm trong khơng gian chưa phân bố dữ liệu có thể khám phá ra nhiều tập tin phân
mảnh, đó có thể là đầu mối về các hành đợng xóa tập tin, thời gian được xóa… Việc nắm
bắt được thời gian tập tin bị xóa là mợt trong những thơng tin quan trọng liên quan đến
các hoạt động tấn công đã xảy ra trên hệ thống (ví dụ xóa các bản ghi liên quan đến quá
trình thâm nhập hệ thống).


 Giai đoạn sau điều tra số (Reporting)

Reporting: Sau khi thu thập được những chứng cứ có giá trị và có tính thuyết phục thì tất cả
phải được tài liệu hóa lại rõ ràng, chi tiết và báo cáo lại cho bợ phận có trách nhiệm xử lý chứng
cứ thu được, các chuyên gia phân tích phải đưa ra các kỹ thuật điều tra, các công nghệ, phương
thức được sử dụng, cũng như các chứng cứ thu được, tất cả phải được giải thích rõ ràng trong
báo cáo q trình điều tra.

Từ đó, ta có cái nhìn chi tiết về các bước cần làm của 1 nhà điều tra viên mỗi khi muốn
truy hồi bằng chứng từ máy tính:
- Kiểm sốt hệ thống máy tính để chắc chắn rằng thiết bị và dữ liệu được an tồn. Điều
này có nghĩa điều tra viên cần phải nắm quyền bảo mật để khơng có mợt cá nhân nào có thể truy
cập máy tính và thiết bị lưu trữ đang được kiểm tra. Nếu hệ thống máy tính có kết nối với
Internet, điều tra viên phải kiểm soát được kết nối này.


- Tìm kiếm tất cả các file có trong hệ thống máy tính, bao gồm các file đã được mã hóa,
được bảo vệ bằng mật khẩu, được ẩn hoặc bị xóa nhưng chưa bị ghi đè. Nhân viên điều tra nên
sao chép lại tất cả các file của hệ thống, bao gồm các file có trong ổ đĩa của máy tính hay file từ
các ổ cứng cắm ngồi. Bởi khi truy cập các file có thể thay đổi nó nên nhân viên điều tra chỉ nên
làm việc với các bản copy của các file khi tìm kiếm bằng chứng. Bản nguyên gốc cần được bảo
quản và không được động đến.
- Khơi phục lại càng nhiều thơng tin bị xóa càng tốt bằng cách sử dụng các ứng dụng có
thể tìm kiếm và truy hồi dữ liệu bị xóa.
- Tìm kiếm thông tin của tất cả các file ẩn.
- Giải mã và truy cập các file được bảo vệ.
- Phân tích các khu vực đặc biệt trên ổ đĩa máy tính, bao gồm các phần thường khó có thể
tiếp cận.
- Ghi lại tất cả các bước của quá trình. Điều này rất quan trọng đối với nhân viên điều tra

để cung cấp bằng chứng rằng công việc điều tra của họ thực hiện có bảo vệ thơng tin của hệ
thống máy tính mà khơng làm thay đổi hoặc làm hỏng chúng. Mợt vụ điều tra và vụ xử án có thể
mất tới hàng năm, nếu khơng có tài liệu xác thực, bằng chứng thậm chí cịn khơng được chấp
nhận. Robbins cho rằng những tài liệu xác thực này không chỉ bao gồm các file và dữ liệu được
khôi phục từ hệ thống mà còn bao gồm cả bản vẽ của hệ thống và nơi các file được mã hóa hoặc
được ẩn.
- Hãy chuẩn bị là nhân chứng trước tòa trong computer forensics. Thậm chí, khi q trình
điều tra hồn tất, cơng việc điều tra của họ vẫn chưa xong. Họ có thể vẫn phải chứng thực trước
tòa.

 Tất cả các bước này rất quan trọng, nhưng bước đầu tiên mới là quan trọng nhất. Nếu nhân
viên điều tra không thể kiểm sốt tồn bợ hệ thống máy tính, bằng chứng họ tìm được sẽ khơng
được cơng nhận. Đây cũng là việc rất khó. Trong thời gian đầu của máy tính, hệ thống chỉ bao
gồm một chiếc máy với một vài chiếc đĩa mềm. Ngày nay, nó bao gồm rất nhiều máy tính, ổ đĩa,
ổ cứng cắm ngồi, ….
 Mợt số kẻ xấu đã tìm cách gây khó khăn cho nhân viên điều tra để tìm thấy thơng tin trong hệ
thống của chúng. Chúng sử dụng các chương trình và ứng dụng có tên anti-forensic. Điều tra
viên sẽ phải dè chừng những chương trình này và tìm cách loại bỏ chúng nếu họ muốn truy cập
thông tin trong hệ thống.

3. Các loại điều tra số
Dựa vào những phạm vi hạ tầng, cũng như nền tảng hệ thống mà người ta chia ra các loại
điều tra sau:
•
•

Điều tra hệ điều hành (Operating System Forensics)
Điều tra mạng (Network Forensics)



•
•
•
•
•

Điều tra các cuộc tấn công vào Website (Investigating Web Attacks)
Điều tra database (Database Forensics)
Điều tra mã độc (Malware Forensics)
Điều tra Email (Email Forensics)
Điều tra các thiết bị di động (Mobile Forensics)

3.1. Operating System Forensics
Đây là quá trình truy xuất thơng tin hữu ích từ Hệ điều hành (OS) của máy tính hoặc thiết
bị di đợng. Mục đích của việc thu thập thơng tin này là để có được bằng chứng thực nghiệm
chống lại thủ phạm.
Hiểu rõ về hệ điều hành cũng như hệ thống tệp của nó là rất cần thiết – để khôi phục dữ
liệu cho các cuộc điều tra máy tính. Hệ thống tệp cung cấp mợt hệ điều hành với mợt lợ trình đến
dữ liệu trên đĩa cứng. Hệ thống tệp cũng xác định cách ổ cứng lưu trữ dữ liệu. Có nhiều hệ thống
tệp được giới thiệu cho các hệ điều hành khác nhau, chẳng hạn như FAT, exFAT và NTFS cho
Hệ điều hành Windows (OS) và Ext2fs hoặc Ext3fs cho Linux OS.
Các kỹ thuật khôi phục dữ liệu và tệp cho các hệ thống tệp này bao gồm data carving,
slack space, và data hiding. Mợt khía cạnh quan trọng khác của điều tra hệ điều hành là: điều
tra bộ nhớ, kết hợp bộ nhớ ảo, bộ nhớ Windows, bộ nhớ Linux, bộ nhớ Mac OS, trích xuất bợ
nhớ và hốn đổi khơng gian (swap).

3.1.1. Windows Forensics
Windows là một hệ điều hành được sử dụng rộng rãi. Các hệ thống tệp được Windows sử
dụng bao gồm FAT, exFAT, NTFS và ReFS. Các nhà điều tra có thể tìm kiếm bằng chứng bằng
cách phân tích các vị trí quan trọng sau đây của Windows:

Recycle Bin
Tại đây chứa các tệp đã bị người dùng loại bỏ. Khi người dùng xóa các tệp, mợt bản sao của
chúng sẽ được lưu trữ trong thùng rác. Quá trình này được gọi là "Xóa mềm". Khơi phục tệp từ
thùng rác có thể là một nguồn bằng chứng tốt.
Registry
Windows Registry chứa một cơ sở dữ liệu gồm các giá trị và khóa cung cấp các thơng tin hữu ích
cho các nhà phân tích pháp y. Ví dụ: hãy xem bảng bên dưới cung cấp các khóa đăng ký và các
tệp liên quan bao gồm các hoạt động của người dùng trên hệ thống.

Tệp Thumbs.db
Những tệp này có hình thu nhỏ của hình ảnh có thể cung cấp thơng tin liên quan.


Lịch sử duyệt website
Mọi trình duyệt web tạo tệp lịch sử chứa thơng tin quan trọng. Microsoft Windows Explorer là
trình duyệt web mặc định cho hệ điều hành Windows. Tuy nhiên, mợt số trình duyệt được hỗ trợ
khác là Opera, Mozilla Firefox, Google Chrome và Apple Safari.
Print Spooling
Quá trình này xảy ra khi máy tính in tệp trong mơi trường Windows. Khi người dùng gửi lệnh in
từ máy tính đến máy in, q trình đệm in sẽ tạo ra mợt “lệnh in” cho mợt số tệp vẫn cịn trong
hàng đợi trừ khi thao tác in hồn tất thành cơng. Hơn nữa, cấu hình máy in bắt ḅc phải được
đặt ở chế độ EMF hoặc chế độ RAW. Trong chế độ RAW, lệnh in chỉ cung cấp một kết xuất đồ
họa thẳng của chính nó, trong khi với chế đợ EMF, đồ họa được chuyển đổi thành định dạng ảnh
EMF (Microsoft Enhanced Metafile). Các tệp EMF này có thể khơng thể thiếu và có thể cung
cấp bằng chứng thực nghiệm cho các mục đích pháp y. Đường dẫn đến tệp EMF là: Đối với
Windows NT và 2000: Winntsystem32spoolprinters Đối với Windows XP / 2003 / Vista /
2008/7/7/8/10 :Windowssystem32spoolprinters Hệ điều hành cơng cụ pháp y có thể tự đợng phát
hiện đường dẫn; khơng cần phải xác định nó theo cách thủ công.

3.1.2. Linux Forensics

Linux là một hệ điều hành mã nguồn mở, giống Unix và được thiết kế trang nhã, tương
thích với máy tính cá nhân, siêu máy tính, máy chủ, thiết bị di đợng, netbook và máy tính xách
tay. Khơng giống như các hệ điều hành khác, Linux chứa nhiều hệ thống tệp thuộc họ ext, bao
gồm ext2, ext3 và ext4. Linux có thể cung cấp bằng chứng thực nghiệm nếu máy nhúng Linux
được khôi phục từ hiện trường vụ án. Trong trường hợp này, các nhà điều tra pháp y nên phân
tích các thư mục và thư mục sau.

/etc [%SystemRoot%/System32/config]
Điều này chứa thư mục cấu hình hệ thống chứa các tệp cấu hình riêng biệt cho từng ứng dụng.
/var/log
Thư mục này chứa nhật ký ứng dụng và nhật ký bảo mật. Chúng được giữ trong 4-5 tuần.
/home/$USER
Thư mục này chứa dữ liệu người dùng và thơng tin cấu hình.
/etc/passwd
Thư mục này có thơng tin tài khoản người dùng.


3.1.3. Onother OS Forensics
Mac OS X là hệ điều hành dựa trên UNIX có chứa kênh vi mạch Mach 3 và hệ thống con
dựa trên FreeBSD. Giao diện người dùng của nó giống Apple, trong khi kiến trúc bên dưới giống
UNIX.
Mac OS X cung cấp một kỹ thuật mới để tạo bản sao pháp y. Để làm như vậy, máy tính
của thủ phạm phải được đặt ở chế đợ “Target Disk Mode”. Sử dụng chế độ này, giám định viên
pháp y tạo một bản sao pháp y cho đĩa cứng của hung thủ với sự trợ giúp của kết nối cáp
Firewire giữa hai PC.
Apple iOS là hệ điều hành dựa trên UNIX được phát hành lần đầu tiên vào năm 2007.
Đây là hệ điều hành chung cho tất cả các thiết bị di động của Apple, chẳng hạn như iPhone, iPod
Touch và iPad. Một thiết bị nhúng iOS được truy xuất từ hiện trường vụ án có thể là mợt nguồn
bằng chứng thực nghiệm phong phú.
Android là một nền tảng mã nguồn mở của Google được thiết kế cho các thiết bị di đợng.

Nó được sử dụng rợng rãi làm hệ điều hành di động trong ngành thiết bị cầm tay. Hệ điều hành
Android chạy trên nhân dựa trên Linux, hỗ trợ các chức năng cốt lõi, chẳng hạn như quản lý
nguồn, cơ sở hạ tầng mạng và trình điều khiển thiết bị. Bộ phát triển phần mềm (SDK) của
Android chứa một công cụ rất quan trọng cho các mục đích chung và pháp y, đó là Android
Debug Bridge (ADB). ADB sử dụng kết nối USB giữa máy tính và thiết bị di động.

3.1.4. Phương pháp điều tra hệ điều hành
Có năm bước cơ bản cần thiết cho việc nghiên cứu pháp y Hệ điều hành . Năm bước sau
được liệt kê dưới đây:
•
•
•
•
•

Chính sách và Phát triển Thủ tục
Đánh giá bằng chứng
Thu thập bằng chứng
Kiểm tra bằng chứng
Lập hồ sơ và Báo cáo

Phương pháp thu thập dữ liệu
Có 4 phương pháp có thể được thực hiện trên cả Static Acquisition (thu thập tĩnh) và Live
Acquisition (thu thập trực tiếp). Các phương pháp này là:
•

Disk-to-image file: có thể tạo mợt hoặc nhiều bản sao của ổ đĩa thuộc hệ điều hành. Các
công cụ được sử dụng cho các phương pháp này là iLookIX, X-Ways, FTK, EnCase hoặc
ProDiscover.



•

Disk-to-disk copy: Tính năng này hoạt đợng tốt nhất khi khơng thể thực hiện phương
pháp từ đĩa sang hình ảnh. Các cơng cụ cho phương pháp này bao gồm SnapCopy,

•
•

EnCase hoặc SafeBack.
Disk-to-data file: Phương pháp này tạo tệp disk-to-data hoặc disk-to-disk.
The Sparse copy of a file: Đây là phương pháp thích hợp nếu thời gian có hạn và đĩa có
dung lượng lưu trữ dữ liệu lớn.

Phân tích dữ liệu
Thực hiện phân tích dữ liệu để xem xét các hiện vật do thủ phạm, tin tặc, vi rút và phần
mềm gián điệp để lại. Chúng qt các mục đã xóa, hốn đổi hoặc tệp trang, tệp c̣n và RAM
trong q trình này. Những hiện vật được thu thập này có thể cung cấp nhiều thông tin liên quan
đến cách các tác nhân độc hại cố gắng che giấu dấu vết của họ và những gì họ đang làm với mợt
hệ thống.

Cơng cụ nào hữu ích nhất khi tiến hành điều tra hệ điều hành?
•
•
•

Cuckoo Sandbox
Helix
X-Ways forensics


3.2. Network Forensics
Khơng giống các loại hình khác của điều tra số, điều tra mạng xử lý những thơng tin dễ
thay đổi và biến đợng, khó dự đoán. Lưu lượng mạng được truyền đi và sau đó bị mất, do đó việc
điều tra được diễn ra rất linh hoạt, chủ động. Các điều tra viên chỉ có thể dựa vào thơng tin từ các
thiết bị an tồn như bợ lọc gói, tường lửa, hệ thống phát hiện xâm nhập đã được triển khai để dự
đoán hành vi vi phạm.
Các kỹ năng, kỹ thuật cần thiết cho việc điều tra mạng phức tạp và chuyên sâu, sử dụng
thông tin được khai thác từ bộ nhớ đệm (cache) của web, proxy hay chặn bắt thụ động lưu lượng
truy cập mạng và xác định các hành vi bất thường.

3.2.1. Quy trình thực hiện điều tra mạng
Điều tra mạng được phát triển như một phản ứng tất yếu với xu hướng gia tăng tội phạm
mạng, để khám phá ra nguồn gốc của các c̣c tấn cơng mạng. Vì vậy, cần phải xây dựng mợt
quy trình cụ thể cho việc điều tra mạng. Quy trình chung cho việc phân tích điều tra mạng nhằm
xác định các bước thực hiện được xây dựng từ mơ hình điều tra số, được chia thành 9 giai đoạn
như sau:


Giai đoạn 1. Chuẩn bị và ủy quyền
Trước khi bắt đầu một cuộc điều tra mạng, cần tiến hành khảo sát cơ sở hạ tầng mạng nơi
xảy ra sự cố về an tồn. Điều tra mạng chỉ có thể áp dụng cho các mơi trường mà ở đó những
cơng cụ an toàn mạng như hệ thống phát hiện xâm nhập, hệ thống phân tích gói tin, tường lửa,
phần mềm đo đạc lưu lượng đã được triển khai tại những điểm chiến lược. Các hệ thống như
Honeynets, network telescope... cũng có thể được xây dựng để thu hút kẻ tấn công, nhằm nghiên
cứu các hành vi và tìm hiểu chiến thuật của chúng. Đội ngũ chuyên gia quản lý những công cụ và
hệ thống này cần phải được đào tạo, huấn luyện để có thể thu thập số bằng chứng tối đa và chất
lượng nhất, nhằm tạo điều kiện thuận lợi cho việc điều tra, quy kết hành vi phạm tội. Giai đoạn
này cịn địi hỏi mợt sự ủy quyền từ các bên liên quan nhằm hạn chế những vi phạm liên quan
đến quyền bảo mật thơng tin hay các chính sách an toàn của cá nhân hay tổ chức bên trong hệ
thống.


Giai đoạn 2. Phát hiện sự cố hoặc hành vi phạm tội
Sau khi có được sự ủy quyền, điều tra viên cần tiến hành nghiên cứu các cảnh báo được
tạo ra bởi các cơng cụ an tồn đã được triển khai. Thông thường, những cảnh báo này sẽ chỉ ra
các hành vi vi phạm chính sách an tồn được thiết lập bởi tổ chức. Mọi hành động bất thường
xuất hiện trong các cảnh báo đều sẽ được phân tích dựa trên những kiến thức về mạng máy tính
hay kinh nghiệm nhận dạng các tấn công mạng thường gặp của điều tra viên. Sự hiện diện và
tính chất của c̣c tấn công được xác định một cách sơ bộ dựa vào các thông số khác nhau như:
lưu lượng mạng, thời gian hay tần suất xuất hiện các dấu hiệu bất thường. Lúc này cần nhanh
chóng đưa ra nhận định về hình thức tấn cơng khả nghi. Đây là căn cứ cho việc quyết định tiếp
tục điều tra hay bỏ qua các cảnh báo (cảnh báo sai). Cần thực hiện các biện pháp đề phịng như:
sao lưu, ghi lại nợi dung cảnh báo để đảm bảo chứng cứ số không bị sửa đổi trong tồn bợ q
trình, có hai hướng để tiếp cận vụ việc là ứng phó với sự cố hoặc thu thập các dấu vết mạng.

Giai đoạn 3. Ứng phó sự cố
Việc ứng phó sẽ dựa trên các thơng tin được thu thập từ giai đoạn trước. Cần phải xây
dựng quy trình ứng phó sự cố nhằm ngăn chặn các cuộc tấn công trong tương lai và phục hồi các
tổn thất do tấn công gây ra. Trong cùng thời điểm ứng phó sự cố, điều tra viên cần quyết định
ngay việc có tiếp tục điều tra và thu thập thêm thông tin hay không. Việc này được áp dụng đối
với những trường hợp mà cuộc điều tra được triển khai trong khi tấn công đang xảy ra và vẫn
chưa có thơng tin về tợi phạm.

Giai đoạn 4. Thu thập các dấu vết mạng
Dữ liệu tiếp tục được thu thập từ những cơng cụ an tồn mạng được sử dụng bổ sung.
Các cơng cụ được sử dụng phải an tồn, có khả năng chịu lỗi, giới hạn quyền truy cập và phải có
khả năng tránh sự thỏa hiệp. Các cơng cụ phải đảm bảo thu thập được lượng chứng cứ tối đa mà


chỉ gây ra tác động tối thiểu đến nạn nhân. Mợt số cơng cụ có thể kể đến như Wireshark,
tcpdump, Snort, Tcpxtract, Foremost.... Hệ thống mạng cũng cần được giám sát để xác định các

tấn cơng trong tương lai. Tính toàn vẹn của dữ liệu được ghi lại và các bản ghi sự kiện mạng phải
được đảm bảo, vì dữ liệu mạng thay đổi mợt cách liên tục và ít có khả năng tạo ra cùng mợt dạng
dấu vết trong những lần sau. Không những vậy, số lượng dữ liệu lớn cần yêu cầu một không gian
bộ nhớ tương đương và hệ thống phải đủ khả năng để xử lý các định dạng khác nhau mợt cách
thích hợp.

Giai đoạn 5. Duy trì và bảo vệ
Các dữ liệu thu được từ giai đoạn trước sẽ được lưu trữ trên một thiết bị sao lưu. Việc
“băm” giá trị của dữ liệu thu được sẽ đảm bảo tính chính xác và đợ tin cậy trong q trình điều
tra. Mợt bản sao lưu khác của dữ liệu sẽ được sử dụng cho việc phân tích và lưu lượng mạng ban
đầu thu được cũng sẽ được bảo vệ. Giai đoạn này được thực hiện để đảm bảo q trình điều tra
có thể được chứng minh ngay trên dữ liệu gốc (đã được bảo vệ) để đáp ứng các yêu cầu pháp lý.

Giai đoạn 6. Kiểm tra
Các dấu vết thu được từ các công cụ an ninh sẽ được tổng hợp, sắp xếp và chuyển đổi
thành các dữ liệu theo thời gian. Điều này nhằm đảm bảo thông tin quan trọng không bị mất hoặc
lẫn lộn. Những vết tích ẩn hoặc ngụy trang của kẻ tấn cơng cần phải được khai phá. Các thơng
tin dự phịng và dữ liệu không liên quan bị loại bỏ nhằm tập trung phân tích các bằng chứng có
khả năng nhất.

Giai đoạn 7. Phân tích
Các vết tích sau khi được xác định sẽ được coi là chứng cứ số cơ sở và được tiếp tục phân
tích để khai thác những dấu hiệu đặc biệt của tợi phạm; Có thể sử dụng phương pháp thống kê và
khai phá dữ liệu để tìm kiếm những dữ liệu phù hợp với các mẫu tấn công nghi ngờ. Một vài
thông số quan trọng liên quan đến việc phân tích điều tra mạng như: sự thiết lập các kết nối
mạng, truy vấn DNS, phân mảnh gói tin, kỹ thuật in dấu giao thức và hệ điều hành, các tiến trình
giả mạo, phần mềm hay rootkit được cài đặt. Những công cụ được sử dụng trong giai đoạn này là
NetworkMiner, Splunk, OllyDbg, Scapy.... Các mẫu tấn công được xâu chuỗi với nhau và tấn
công sẽ được xây dựng và tái hiện lại giúp các điều tra viên nắm được ý định và phương thức
hành động của kẻ tấn công. Kết quả của giai đoạn này là sự xác nhận các hành động khả nghi.


Giai đoạn 8. Điều tra, quy kết trách nhiệm
Các thơng tin có từ giai đoạn Phân tích sẽ được dùng để xác định ai? Cái gì? Ở đâu? Khi
nào? Như thế nào? Tại sao gây ra sự cố? Việc này sẽ giúp cho việc xây dựng lại kịch bản tấn
công và quy kết trách nhiệm. Phần khó khăn nhất của việc phân tích điều tra mạng là xác định


danh tính kẻ tấn cơng. Có hai cách thức mà kẻ tấn cơng sử dụng để che giấu danh tính là giả mạo
IP và thực hiện tấn công bàn đạp.

Giai đoạn 9. Báo cáo tổng kết
Phần hồn tất q trình điều tra mạng là xây dựng báo cáo tổng kết. Nợi dung báo cáo
tổng kết trình bày cho người quản lý tổ chức và cán bộ pháp chế về các chứng cứ số thu thập
được trong quá trình điều tra và một số tài liệu hệ thống liên quan. Bên cạnh đó, mợt báo cáo
điều tra tồn diện của vụ việc sẽ được trình bày cùng các biện pháp được khuyến nghị để ngăn
ngừa những sự cố tương tự xảy ra trong tương lai. Các kết quả được tài liệu hóa để sử dụng trong
những c̣c điều tra sau này, cũng như cải thiện chất lượng các sản phẩm bảo mật.

3.2.2. Một số công cụ hỗ trợ điều tra mạng
Hỗ trợ cho q trình điều tra mạng là các cơng cụ phục vụ cho cơng tác điều tra, có khả
năng chặn bắt, sao lưu, trích xuất, khơi phục và phân tích các dữ liệu mạng. Những cơng cụ này
có thể giúp điều tra viên xác định thời gian, cách thức, nội dung mà dữ liệu được truyền đi hay
nhận về, cung cấp lượng chứng cứ số nhanh chóng, chính xác, tạo thuận lợi cho việc điều tra. Ba
công cụ được ứng dụng phổ biến như:
 Wireshark: là một công cụ phân tích mạng với tên gọi trước đây là Ethereal, có khả năng

chặn bắt các gói tin theo thời gian thực và hiển thị chúng dưới một định dạng dễ đọc,
được sử dụng trong việc thu thập các vết tích mạng. Wireshark bao gồm các bộ lọc, mã
màu và nhiều tính năng khác cho phép người sử dụng khai thác lưu lượng mạng và kiểm
tra các gói dữ liệu cá nhân và được cài đặt đa nền tảng. Wireshark cũng cung cấp khả

năng lựa chọn giao diện mạng để thực hiện việc chặn bắt, cho phép lưu, trích xuất các kết
quả và tìm kiếm các gói tin theo từng thơng số cụ thể.
 Snort: là một hệ thống phát hiện xâm nhập mạng (IDS) được sử dụng để giám sát dữ liệu
di chuyển trên mạng, có khả năng thực hiện phân tích giao thức và tìm kiếm, so sánh theo
nợi dung. Snort cịn được sử dụng để phát hiện mợt loạt các c̣c tấn cơng và thăm dị, ví
dụ như tràn bợ đệm, qt cổng, tấn cơng CGI, thăm dị SMB.... Snort sử dụng các luật
được lưu trữ trong các tập tin văn bản và có thể được chỉnh sửa bởi người quản trị. Tìm ra
các dấu hiệu và sử dụng chúng trong các luật đòi hỏi kinh nghiệm từ các nhà điều tra vì
càng sử dụng nhiều luật thì càng yêu cầu năng lực xử lý cao.
 Foremost: là mợt chương trình điều khiển (console) dùng để khơi phục tệp tin dựa vào
tiêu đề, phụ đề và các cấu trúc dữ liệu bên trong. Quá trình này thường được gọi là data
carving. Foremost có thể làm việc trên các tệp tin ảnh, chẳng hạn được tạo ra bởi dd,
Safeback, Encase,... hoặc trực tiếp từ trên ổ cứng. Các tiêu đề và phụ đề có thể được xác
định bởi mợt tệp tin cấu hình hoặc sử dụng bợ chuyển đổi dịng lệnh để xác định các dạng
tệp tin tích hợp. Các dạng tích hợp này sẽ tra cứu cấu trúc dữ liệu của định dạng tệp tin
được cung cấp giúp cho việc phục hồi trở nên nhanh và đáng tin cậy hơn.


3.3. Điều tra các cuộc tấn công vào Website (Web Application Forensics)
WAF liên quan đến việc thu thập và phân tích nhật ký và các hiện vật khác dọc theo
đường dẫn hồn chỉnh theo u cầu web. Nó bao gồm máy chủ web, máy chủ ứng dụng, máy
chủ cơ sở dữ liệu, các sự kiện hệ thống, v.v., để xác định nguyên nhân, bản chất và thủ phạm khai
thác web.
Ứng dụng web là các chương trình tồn tại trên mợt máy chủ trung tâm cho phép người
dùng truy cập một trang web qua Internet, gửi và truy xuất dữ liệu đến và từ cơ sở dữ liệu. Một
ứng dụng web thực hiện một yêu cầu thông qua một máy chủ web. Khi máy chủ phản hồi yêu
cầu, ứng dụng web sẽ tạo ra các tài liệu về phản hồi cho client/user.
Các tài liệu web được tạo bởi các ứng dụng web có định dạng chuẩn, tức là HTML,
XML, v.v., được hỗ trợ bởi tất cả các loại trình duyệt. Các ứng dụng web hoàn thành tác vụ được
yêu cầu bất kể hệ điều hành và trình duyệt được cài đặt.

Chúng có xu hướng trở thành mồi ngon cho những kẻ tấn cơng do mã hóa hoặc giám sát
bảo mật khơng đúng cách. Những kẻ tấn công cố gắng khai thác các lỗ hổng trong mã hóa và
giành quyền truy cập vào nợi dung cơ sở dữ liệu, do đó lấy được thông tin nhạy cảm, chẳng hạn
như thông tin xác thực người dùng, chi tiết tài khoản ngân hàng, v.v. Một số cuộc tấn công được
thực hiện trên các ứng dụng web bao gồm SQL injection, cross-site scripting, session hijacking,
thực thi mã từ xa, v.v.
Vì thế, WAF được đặt ra khi các loại tấn công như vậy xảy ra trên các ứng dụng web.
WAF liên quan đến việc kiểm tra pháp y các ứng dụng web và nội dung của nó (nhật ký, thư mục
và tệp cấu hình) để theo dõi cuộc tấn công, xác định nguồn gốc của cuộc tấn công, xác định cách
thức tấn công được lan truyền - cùng với các thiết bị được sử dụng (điện thoại di đợng và máy
tính) và những người liên quan để thực hiện vụ tấn công.
Các nhà điều tra kiểm tra nhật ký và tệp cấu hình – vì chúng liên kết với máy chủ web và
máy chủ ứng dụng. Tập lệnh phía máy chủ được ứng dụng web sử dụng, cịn logs thì liên quan
đến các ứng dụng phần mềm và hệ điều hành của bên thứ ba. Từ đó giúp ta có được cái nhìn chi
tiết về c̣c tấn công.

3.3.1. Các vấn đề về WAF
Khi một cuộc tấn công trang web xảy ra, các nhà điều tra cần thu thập các dấu vân tay kỹ
thuật số do kẻ tấn cơng để lại. Sau đó, họ cần thu thập các trường dữ liệu sau được liên kết với
mỗi yêu cầu HTTP được gửi đến trang web để có được cái nhìn sâu sắc về c̣c tấn cơng đã thực
hiện:
•
•
•
•
•

Ngày và giờ gửi yêu cầu
Địa chỉ IP từ nơi yêu cầu bắt đầu
Phương thức HTTP được sử dụng (GET / POST)

URI
Truy vấn HTTP


•
•
•
•

tập hợp đầy đủ các tiêu đề HTTP
Nội dung Yêu cầu HTTP đầy đủ
Nhật ký sự kiện (dữ liệu không thay đổi)
Danh sách tệp và dấu thời gian (dữ liệu không thay đổi)

Hầu hết các ứng dụng web hạn chế quyền truy cập vào thông tin HTTP, chẳng hạn như tập
hợp đầy đủ các tiêu đề HTTP và nội dung u cầu mà khơng có tất cả các tiêu đề HTTP sẽ giống
nhau. Điều này khiến các nhà điều tra không thể phân biệt các yêu cầu HTTP hợp lệ với các yêu
cầu độc hại.
Khi nào cần đến WAF?
-

Khách hàng không thể truy cập dịch vụ.
Các hoạt động đáng ngờ trong tài khoản người dung.
Rò rỉ dữ liệu nhạy cảm.
Sửa các URL chuyển hướng đến các trang web khơng chính xác.
Biểu tượng trang web.
Hiệu suất mạng chậm bất thường.
Thường xuyên khởi động lại máy chủ.
Bất thường trong tệp nhật ký.
Các thông báo lỗi như 500 errors, "internal server error" và "problem processing your

request".

Có những dấu hiệu khác nhau liên quan đến từng loại tấn cơng. Ví dụ, trong mợt c̣c tấn
công từ chối dịch vụ (DoS), khách hàng bị từ chối bất kỳ quyền truy cập nào vào thông tin hoặc
dịch vụ có trên trang web. Trong những trường hợp như vậy, khách hàng báo cáo sự không khả
dụng của các dịch vụ trực tuyến vì kẻ tấn cơng ngăn người dùng hợp pháp truy cập các trang
web, tài khoản email và các dịch vụ khác dựa vào máy tính của nạn nhân.
Các bất thường được tìm thấy trong các tệp nhật ký cũng là một dấu hiệu của các cuộc tấn
công web. Thay đổi mật khẩu và tạo tài khoản người dùng mới cũng cho thấy các nỗ lực tấn
cơng. Có thể có các dấu hiệu khác, chẳng hạn như sự trở lại của các thơng báo lỗi. Ví dụ: trang
thông báo lỗi HTTP 500 cho biết sự xuất hiện của mợt c̣c tấn cơng chèn SQL. Có các thông
báo lỗi khác, chẳng hạn như "lỗi máy chủ nội bộ" hoặc "sự cố khi xử lý yêu cầu của bạn" cho
thấy một cuộc tấn công web.

3.3.2. Cách thức điều tra tấn công trong Ứng dụng Web
Xác nhận Cuộc tấn cơng và Xác định Bản chất của nó
Đó là mợt cuộc tấn công từ chối dịch vụ (DDoS) phân tán hay mợt c̣c tấn cơng chỉ
nhắm vào bạn? Có ai đó đang cố gắng tắt hồn tồn mạng của bạn hoặc cố gắng xâm nhập vào
các máy riêng lẻ không? Kiểm tra Thông tin Bảo mật và Quản lý Sự kiện (SIEM), Syslog hoặc
nhật ký tập trung / từ xa để xác nhận cuộc tấn công.


Thu thập dữ liệu biến động
Thu thập dữ liệu dễ bay hơi, chẳng hạn như các quy trình, dịch vụ, cổng và kết nối mạng,
kết xuất bộ nhớ, người dùng có chân, v.v.
Taking snapshot hoặc tắt hệ thống
Trong mơi trường ảo hóa, hãy chụp nhanh hệ thống. Trong trường hợp hệ thống vật lý,
hãy tắt máy chủ. Bạn có thể di chuyển các dịch vụ sang các trang web thay thế dựa trên tính khả
dụng của các trang web khơi phục thảm họa (DR), sao lưu, nhân bản và các yêu cầu về tính liên
tục của doanh nghiệp.

Tạo Forensic Image / Snapshot Gắn kết
Tạo ảnh từng bit của đĩa cứng hệ thống hoặc gắn ảnh chụp nhanh hệ thống trên một cơ sở
hạ tầng ảo khác để bắt đầu điều tra.
Hiểu quy trình của một ứng dụng
Xem tài liệu ứng dụng và báo cáo thử nghiệm để hiểu ứng dụng hoạt đợng bình thường.
Phân tích tệp nhật ký
Kiểm tra nhật ký từ máy chủ web, máy chủ ứng dụng, máy chủ cơ sở dữ liệu, ứng dụng,
sự kiện hệ thống cục bợ, v.v. để tìm các mục đáng ngờ.
Bộ sưu tập ứng dụng và tệp cấu hình máy chủ
Tệp cấu hình ứng dụng và máy chủ cung cấp thơng tin ứng dụng quan trọng, chẳng hạn
như liên kết cơ sở dữ liệu, cấu hình máy chủ ứng dụng, v.v.
Xác định các hoạt động bất thường
Xác định dữ liệu độc hại từ máy khách, sự khác biệt trong truy cập web bình thường, liên
kết giới thiệu khơng phổ biến, thay đổi giữa phiên đối với giá trị cookie, v.v.
Corroboration với Firewall và IDS Logs
IDS và tường lửa có thể giám sát lưu lượng mạng và lưu trữ nhật ký của từng mục nhập.
Các nhật ký này có thể giúp xác định xem nguồn có phải là máy chủ bị xâm phạm trên mạng hay
bên thứ ba hay không.
Chặn cuộc tấn công
Khi bạn biết cách kẻ tấn công đã xâm nhập vào hệ thống, bạn có thể chặn cổng hoặc lỗ
hổng của IP cụ thể đó để ngăn chặn sự xâm nhập thêm. Nếu xác định được bất kỳ hệ thống nào
bị xâm phạm, hãy ngắt kết nối chúng khỏi mạng cho đến khi chúng có thể được khử trùng.
Truy tìm IP tấn công ngược
Truy xuất nguồn gốc IP tấn công để xác định thủ phạm của c̣c tấn cơng. Nói chung là
rất khó vì những kẻ tấn cơng thường sử dụng proxy và ẩn danh để che giấu danh tính của họ.


Tài liệu chứng minh đầy đủ
Ghi lại mọi bước của c̣c điều tra vì nó rất cần thiết cho bất kỳ thủ tục pháp lý nào.
Điều tra các cuộc tấn công web trong máy chủ

Chạy Event-Viewer để xem nhật ký:
C:\> eventvwr.msc
Kiểm tra xem các Suspicious Events sau đã xảy ra chưa:
- Dịch vụ nhật ký sự kiện kết thúc
- Windows File Protection không hoạt động trên hệ thống
- Dịch vụ MS Telnet đang chạy
Tìm xem hệ thống có đăng nhập khơng thành cơng hoặc tài khoản bị khóa khơng?
Xem lại các lượt chia sẻ tệp để đảm bảo mục đích của chúng:
C:\> net view <IP Address>
Xác minh người dùng bằng các phiên mở:
C:\> net session
Kiểm tra xem các phiên đã được mở bằng các hệ thống khác chưa:
C:\> net use
Phân tích tại NetBIOS về hoạt đợng TCP/IP:
C:\> nbtstat -s
Tìm xem các cổng TCP và UDP có lắng nghe bất thường hay không:
C:\> netstat –na

3.4. Điều tra database (Database Forensics)
Điều tra dữ liệu đề cập đến việc nghiên cứu hoặc điều tra dữ liệu kỹ thuật số và cách nó
được tạo ra và sử dụng. Điều tra dữ liệu là một thuật ngữ rợng, vì pháp y dữ liệu bao gồm việc
xác định, bảo quản, khơi phục, phân tích và trình bày các tḥc tính của thơng tin kỹ thuật số.
Liên quan đến khôi phục dữ liệu, việc kiểm tra dữ liệu có thể được tiến hành trên thiết bị di đợng,
máy tính, máy chủ và bất kỳ thiết bị lưu trữ nào khác.
Điều tra dữ liệu cũng có thể được sử dụng trong các trường hợp liên quan đến việc theo
dõi các cuộc gọi điện thoại, tin nhắn hoặc email di chuyển qua mạng. Các chuyên gia điều tra kỹ
thuật số có thể sử dụng giải mã, thiết kế ngược, tìm kiếm hệ thống nâng cao và phân tích cấp cao
khác trong quy trình pháp y dữ liệu của họ.



Hai loại dữ liệu thường được thu thập trong điều tra dữ liệu. Loại dữ liệu đầu tiên được
thu thập trong pháp y dữ liệu được gọi là dữ liệu liên tục. Dữ liệu liên tục là dữ liệu được lưu trữ
vĩnh viễn trên ổ đĩa, giúp bạn dễ dàng tìm thấy hơn. Loại dữ liệu khác được thu thập trong pháp
y dữ liệu được gọi là dữ liệu biến động. Dữ liệu biến động là dữ liệu vô thường khó nắm bắt,
khiến loại dữ liệu này khó khơi phục và phân tích hơn.

3.4.1. Quy trình điều tra Database
Quy trình điều tra dữ liệu có 4 giai đoạn: thu thập, kiểm tra, phân tích và báo cáo.
Ngồi ra cịn có các kỹ thuật khác nhau được sử dụng trong điều tra dữ liệu. Một trong
những kỹ thuật này là phân tích ổ đĩa chéo (cross-drive), liên kết thơng tin được tìm thấy trên
nhiều ổ đĩa cứng.
Mợt kỹ thuật thứ hai được sử dụng trong điều tra dữ liệu được gọi là phân tích trực tiếp
(live analysis). Phân tích trực tiếp kiểm tra hệ điều hành của máy tính bằng cách sử dụng pháp y
tùy chỉnh để trích xuất bằng chứng trong thời gian thực. Khơi phục các tệp đã xóa là kỹ thuật thứ
ba phổ biến đối với các cuộc điều tra pháp y về dữ liệu.

3.4.2. Công cụ điều tra dữ liệu
Có nhiều loại phần mềm pháp y dữ liệu khác nhau có sẵn cung cấp các cơng cụ kiểm tra
dữ liệu của riêng họ để khôi phục hoặc trích xuất dữ liệu đã xóa. Ngồi ra cịn có nhiều công cụ
pháp y dữ liệu thương mại và mã nguồn mở để điều tra dữ liệu pháp y. Phần mềm bảo mật như
phần mềm phát hiện và phản hồi điểm cuối và phần mềm ngăn chặn mất dữ liệu thường cung cấp
các công cụ giám sát và ghi nhật ký cho pháp y dữ liệu như một phần của giải pháp bảo mật dữ
liệu rộng hơn.


3.5. Điều tra mã độc (Malware Forensics)
Đây là một cách tìm kiếm, phân tích và điều tra các tḥc tính khác nhau của phần mềm
đợc hại để tìm ra thủ phạm và lý do của cuộc tấn công. phương pháp này cũng bao gồm các
nhiệm vụ như kiểm tra mã đợc, xác định sự xâm nhập của nó, phương pháp lan truyền, tác đợng
lên hệ thống, các cổng mà nó cố gắng sử dụng, v.v. Các nhà điều tra tiến hành điều tra pháp y

bằng các kỹ thuật và công cụ khác nhau.

Các loại phần mềm độc hại:
Danh mục phần mềm đợc hại được dự đốn dựa trên các thơng số khác nhau như cách nó ảnh
hưởng đến hệ thống, chức năng hoặc mục đích của chương trình, cơ chế lây lan và liệu chương
trình có u cầu sự cho phép hoặc đồng ý của người dùng trước khi thực hiện các hoạt động nhất
định hay không. một số phần mềm đợc hại thường gặp là:
•

Backdoor

•

Botnet

•

Downloader

•

Launcher

•

Rootkit

•

HackTool


•

Rogue application

•

Scareware

•

Worm or Virus

Sau đây là một số triệu chứng của một hệ thống bị nhiễm:
⋅
⋅
⋅
⋅
⋅

Hệ thống có thể khơng ổn định và phản hồi chậm vì phần mềm đợc hại có thể đang sử
dụng tài nguyên hệ thống.
Các tệp thực thi mới không xác định được tìm thấy trên hệ thống.
Lưu lượng truy cập mạng không mong đợi đến các trang web mà bạn đơn giản là khơng
mong đợi để đính kèm.
Đã thay đổi cài đặt hệ thống như trang chủ trình duyệt mà khơng có sự đồng ý của bạn.
Cửa sổ bật lên ngẫu nhiên được hiển thị dưới dạng quảng cáo.

Điều kiện tiên quyết để điều tra phần mềm độc hại:



Điều kiện tiên quyết để phân tích phần mềm đợc hại bao gồm hiểu phân loại phần mềm
độc hại, các khái niệm ngơn ngữ lập trình x86 cần thiết, các định dạng tệp như định dạng tệp
thực thi di động, API cửa sổ, chuyên môn trong việc sử dụng các cơng cụ giám sát, trình tháo gỡ
và trình gỡ lỗi.

3.5.1. Các loại điều tra phần mềm độc hại
Hai trong số các loại phân tích phần mềm đợc hại đã hỗ trợ phương pháp tiếp cận bao
gồm:
-

Phân tích phần mềm độc hại tĩnh: đó là mợt phân tích cơ bản về mã và hiểu phần mềm
đợc hại giải thích các chức năng của nó.
Phân tích phần mềm độc hại động: Nó liên quan đến việc thực thi phần mềm độc hại để
xem xét hành vi, hoạt đợng của nó và xác định các chữ ký kỹ thuật xác nhận mục đích
xấu.

Ngồi ra cịn có các dịch vụ điều tra mã đợc trực tuyến:
•

VirusTotal

•

Metascan Online

•

Malware Protection Center


•

Web Online Scanners

•

Payload Security

•

Jotti

•

Valkyrie, etc.

3.5.2. Các TOOL điều tra phần mềm độc hại
Hai trong số các loại phân tích phần mềm đợc hại đã hỗ trợ phương pháp tiếp cận bao
gồm:
IDA Pro, What’s Running, Process Explorer, Directory Monitor, RegScanner, Capsa Network
Analyzer, API Monitor.
Đó là mợt mối quan tâm to lớn để cung cấp sự an toàn cho hệ thống máy tính chống lại
phần mềm đợc hại. một ngày nhiều phần mềm độc hại đang được tạo ra và do đó điều tồi tệ hơn
là các phần mềm đợc hại mới rất tinh vi và rất khó phát hiện. Bởi vì các nhà phát triển phần mềm
đợc hại sử dụng các kỹ thuật nâng cao khác nhau để che đậy mã cụ thể hoặc hành vi của phần
mềm đợc hại. Do đó, việc nghiên cứu phần mềm đợc hại để lấy thơng tin hữu ích trở nên rất khó
khăn để tạo kiểu cho hệ thống phát hiện phần mềm đợc hại do kỹ thuật phân tích chống tĩnh và
chống đợng. Do đó, điều quan trọng đối với các nhà phân tích pháp y là phải có kiến thức vững
chắc về các chương trình phần mềm đợc hại khác nhau, hoạt động và lan truyền của chúng, vị trí



tác động cũng như các phương pháp phát hiện và phân tích và tiến bợ liên tục của mợt chương
trình tương đương.

3.6. Điều tra Email (Email Forensics)
E-mail là một trong những dịch vụ phổ biến nhất được sử dụng qua internet và đã trở
thành nguồn thơng tin liên lạc chính cho các tổ chức và công chúng. Việc sử dụng các dịch vụ
email trong các hoạt động kinh doanh như ngân hàng, nhắn tin và gửi các tệp đính kèm đã tăng
lên với tốc đợ chóng mặt. Phương tiện liên lạc này đã trở nên dễ bị tấn công bởi các loại tấn cơng
khác nhau. Tin tặc có thể giả mạo tiêu đề email và gửi email ẩn danh cho các mục đích xấu của
chúng. Tin tặc cũng có thể khai thác các máy chủ chuyển tiếp mở để thực hiện kỹ thuật xã hội
lớn.
Email là nguồn phổ biến nhất của các cuộc tấn công lừa đảo. Để giảm thiểu các cuộc tấn
công này và bắt những người chịu trách nhiệm, chúng tôi sử dụng kỹ thuật và pháp y email như
thực hiện phân tích tiêu đề, điều tra máy chủ, dấu vân tay của người gửi, v.v. Pháp y email là
phân tích nguồn và nợi dung của email, xác định người gửi và người nhận, ngày và giờ của email
và phân tích tất cả các thực thể liên quan. Pháp y email cũng cải cách pháp y của hệ thống máy
khách hoặc máy chủ bị nghi ngờ là giả mạo email.

3.6.1. Phân tích Email Header
Điều tra email bắt đầu với việc nghiên cứu tiêu đề email header vì nó chứa mợt lượng lớn
thơng tin về email. Phân tích này bao gồm cả nghiên cứu nội dung và tiêu đề email chứa thơng
tin về email đã cho. Phân tích tiêu đề email giúp xác định hầu hết các tội phạm liên quan đến
email như lừa đảo trực tuyến, gửi thư rác, giả mạo email, v.v.
Giả mạo (spoofing) là một kỹ thuật sử dụng mợt người có thể giả làm người khác và mợt
người dùng bình thường sẽ nghĩ trong giây lát rằng đó là bạn của mình hoặc mợt số người mà
anh ấy đã biết. Chỉ là ai đó đang gửi email từ địa chỉ email giả mạo của bạn bè họ, và không phải
tài khoản của họ bị hack.
Bằng cách phân tích tiêu đề email, người ta có thể biết liệu email mình nhận được là từ
địa chỉ email giả mạo hay là địa chỉ thật. Đây là cách tiêu đề email trông như thế nào:



3.6.2. Điều tra máy chủ mail
Trong loại điều tra này, các bản sao của thông điệp được truyền tải và nhật ký của nhân
viên được khám phá để phân biệt nguồn của email. Ngay cả khi khách hàng (người gửi hoặc
người thụ hưởng) xóa tin nhắn email của họ mà khơng thể khơi phục được, những tin nhắn này
có thể được máy chủ (Proxy hoặc Nhà cung cấp dịch vụ) ghi lại thành nhiều phần. Những proxy
này lưu trữ một bản sao của tất cả các thông điệp sau khi chúng được truyền tải.
Hơn nữa, nhật ký do nhân viên lưu giữ có thể được tập trung để theo dõi vị trí của máy
tính có thể trả lời được để thực hiện trao đổi email. Trong mọi trường hợp, Proxy hoặc ISP lưu
trữ các bản sao của nhật ký email và máy chủ chỉ trong một khoảng thời gian và mợt số có thể
khơng hợp tác với các nhà điều tra pháp y. Hơn nữa, các nhân viên SMTP lưu trữ thông tin như
số Visa và các thông tin khác liên quan đến chủ sở hữu hợp thư có thể được sử dụng để phân biệt
các cá nhân đằng sau một địa chỉ email.

3.6.3. Điều tra các thiết bị mạng trong hệ thống Mail
Các thiết bị mạng như tường lửa, bộ định tuyến, bộ chuyển mạch, modem, v.v. chứa nhật
ký có thể được sử dụng để theo dõi nguồn email. Trong loại điều tra này, các nhật ký này được
sử dụng để điều tra nguồn gốc của một email.
Đây là một loại điều tra rất phức tạp và hiếm khi được sử dụng. Nó thường được sử dụng
khi nhật ký của nhà cung cấp Proxy hoặc ISP không khả dụng vì mợt số lý do như thiếu bảo trì,
lười biếng hoặc thiếu hỗ trợ từ nhà cung cấp ISP.


3.6.4. Điều tra các tệp đính kèm trong Mail
Trong số các loại vi-rút và phần mềm độc hại, hầu hết chúng được gửi qua kết nối email.
Việc kiểm tra tệp đính kèm email là cấp thiết và quan trọng trong bất kỳ cuộc kiểm tra nào liên
quan đến email. Sự cố tràn dữ liệu cá nhân là một lĩnh vực quan trọng khác cần được kiểm tra.
Có những phần mềm và cơng cụ có thể truy cập để lấy lại thơng tin liên quan đến email, ví dụ,
tệp đính kèm từ ổ cứng của hệ thống máy tính.

Để kiểm tra các kết nối không rõ ràng, các nhà điều tra tải tệp đính kèm lên mợt hợp cát
trực tuyến, chẳng hạn như VirusTotal để kiểm tra xem tài liệu có phải là phần mềm độc hại hay
không. Tuy nhiên, điều quan trọng là phải quản lý ở đầu danh sách ưu tiên rằng bất kể mợt bản
ghi có trải qua đánh giá hay khơng, chẳng hạn như của VirusTotal, thì đây khơng phải là sự đảm
bảo rằng nó được bảo vệ hồn tồn. Nếu điều này xảy ra, đó là một suy nghĩ thông minh để
nghiên cứu thêm bản ghi trong mợt tình huống hợp cát, chẳng hạn như Cuckoo.

3.6.5. Các công cụ điều tra Email
EmailTrackerPro, Xtraxtor, Advik, Systools MailXaminer, Adcomplain.

3.7. Điều tra các thiết bị di động (Mobile Forensics)
Thiết bị di động đã trở thành một phần không thể thiếu trong cuộc sống hàng ngày của
mọi người, và do đó, chúng có xu hướng tạo điều kiện cho hoạt động tội phạm hoặc bị can dự
khi tội phạm xảy ra. Trong khi máy tính, máy tính xách tay, máy chủ và thiết bị chơi game có thể
có nhiều người dùng, trong phần lớn các trường hợp, thiết bị di động thường thuộc về một cá
nhân.
Mobile Forensics là một nhánh của điều tra kỹ thuật số và nó liên quan đến việc mua lại
và phân tích các thiết bị di động để khôi phục bằng chứng kỹ thuật số mà điều tra quan tâm.
Tất cả các giai đoạn, từ thu nhận đến phân tích điều tra của thiết bị di đợng, phải hồn
tồn tránh việc khơng thay đổi thiết bị được kiểm tra. Q trình này khơng hề dễ dàng chút nào,
đặc biệt là trên các thiết bị di động.

3.7.1. Các giai đoạn điều tra thiết bị di động
Giai đoạn 1 - thu giữ thiết bị
Giai đoạn này liên quan đến việc thu giữ thực tế thiết bị để nó nằm dưới sự kiểm soát và
giám sát của người điều tra / giám định. Cơ quan pháp luật cũng phải xem xét hoặc đồng ý bằng
văn bản để thu giữ, trích xuất và tìm kiếm dữ liệu này.
Tình trạng vật lý của thiết bị tại thời điểm thu giữ cần được lưu ý, lý tưởng nhất là thông qua tài
liệu ảnh kỹ thuật số và các ghi chú bằng văn bản, chẳng hạn như:
•


Thiết bị có bị hư hỏng khơng? Nếu, có, sau đó ghi lại loại thiệt hại.


•

Thiết bị đang bật hay tắt?

•

Ngày và giờ của thiết bị nếu thiết bị đang bật?

•

Nếu thiết bị đang bật, những ứng dụng nào đang chạy hoặc có thể quan sát được trên màn
hình thiết bị?

•

Nếu thiết bị đang bật, màn hình của thiết bị có thể truy cập được để kiểm tra mật mã và
cài đặt bảo mật không?

Giai đoạn 2 - thu thập dữ liệu
Giai đoạn này đề cập đến các phương pháp khác nhau để trích xuất dữ liệu từ thiết bị. Các
phương pháp trích xuất dữ liệu có thể được sử dụng chịu ảnh hưởng của những điều sau:
•

Loại thiết bị di đợng: Kiểu dáng, kiểu máy, phần cứng, phần mềm và cấu hình của nhà
cung cấp.


•

Sự sẵn có của mợt bợ đa dạng các cơng cụ trích xuất / phân tích phần cứng và phần mềm
theo ý của người giám định: Khơng có cơng cụ nào làm được tất cả; người giám định cần
có quyền truy cập vào mợt số cơng cụ có thể hỗ trợ việc trích xuất dữ liệu.

•

Tình trạng vật lý của thiết bị: Thiết bị có bị tiếp xúc với hư hỏng, chẳng hạn như chất
lỏng vật lý, nước hoặc sinh học như máu khơng? Thơng thường, loại thiệt hại có thể quy
định các biện pháp trích xuất dữ liệu được sử dụng trên thiết bị.

Giai đoạn 3 - phân tích dữ liệu
Giai đoạn này của pháp y thiết bị di đợng u cầu phân tích dữ liệu thu được từ thiết bị và
các thành phần của thiết bị (thẻ SIM và thẻ nhớ nếu có). Hầu hết các cơng cụ thu thập pháp y di
động lấy dữ liệu từ bộ nhớ thiết bị cũng có thể phân tích cú pháp dữ liệu được trích xuất và cung
cấp chức năng giám định trong cơng cụ để thực hiện phân tích. Điều này địi hỏi phải xem xét
mọi dữ liệu chưa xóa và đã xóa.

Khi xem xét dữ liệu chưa bị xóa, bạn cũng nên thực hiện xem xét thủ công thiết bị để
đảm bảo rằng dữ liệu được trích xuất và phân tích cú pháp khớp với những gì được hiển thị bởi
thiết bị. Do dung lượng lưu trữ của thiết bị di động đã tăng lên, nên xem xét một số lượng nhỏ
các bản ghi dữ liệu từ các khu vực liên quan. Vì vậy, ví dụ: nếu mợt thiết bị di đợng có hơn 200
bản ghi c̣c gọi, việc xem lại một số bản ghi cuộc gọi từ cuộc gọi nhỡ, c̣c gọi đến và c̣c gọi
đi có thể được kiểm tra trên thiết bị liên quan đến các bản ghi tương tự trong dữ liệu trích xuất.
Bằng cách thực hiện đánh giá thủ cơng này, sau đó có thể phát hiện ra bất kỳ sự khác biệt nào
trong dữ liệu được trích xuất.


Việc xem xét thiết bị thủ cơng chỉ có thể được hồn thành khi thiết bị vẫn cịn trong

quyền giám định của người giám định. Có những tình huống, sau khi hồn thành việc trích xuất
dữ liệu, thiết bị được trả lại cho người điều tra hoặc chủ sở hữu. Trong những tình huống như
vậy, giám định viên phải ghi lại rằng rất hạn chế hoặc không thể thực hiện xác minh thủ công do
những trường hợp này.

Cuối cùng, người đọc cần lưu ý rằng có thể sử dụng nhiều hơn mợt cơng cụ phân tích để
phân tích dữ liệu thu được. Nhiều cơng cụ phân tích nên được xem xét, đặc biệt khi một loại dữ
liệu cụ thể không thể được phân tích cú pháp bởi mợt cơng cụ này, nhưng có thể được phân tích
bởi mợt cơng cụ khác.