BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ

ĐỒ ÁN TỐT NGHIỆP

TÌM HIỂU VỀ LĨNH VỰC ĐIỀU TRA SỐ TRÊN ĐÁM MÂY
(CLOUD FORENSICS)

Ngành: An toàn thông tin
Mã s ố: 7.48.02.02

Sinh viên thực hiện:
Vương Đình Bắc
Lớp: AT12C


Giảng viên hướng dẫn:
ThS. Phạm Sỹ Nguyên
Đại học Kỹ thuật – Hậu cần CAND, Bộ Công An

Hà Nội - 2020

2

2


MỤC LỤC

3

DANH MỤC HÌNH ẢNH

4


DANH MỤC BẢNG BIỂU

5


DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT
Từ viết tắt
API

Từ tiếng anh
Application Programming Interface

CFTT

Computer Forensics Tool Testing

CMOS

Complementary Metal-Oxide-Semiconductor

CSP

Cloud Service Provider


DNS

Domain Name Servers

IP

Internet Protocol

LEA

Law Enforcement Agency

NIST

National Institute of Standards and Technology

PC

Personal Computer

RAM

Random Access Memory

SLAs

Service-level agreement

VOIP


Voice Over Internet Protocol

SSID

Service Set Identifier

MAC

Media Access Control

URL

Uniform Resource Locator

6


LỜI CẢM ƠN

Thời gian trôi qua thật nhanh, mới đó em đã có 5 năm th ật đ ẹp v ới
ngôi trường Học viện Kỹ thuật Mật mã cùng với các thầy cô và bạn bè. V ới
lòng biết ơn, em xin gửi lời cảm ơn chân thành đến các thầy cô tr ực thuộc
các khoa trong trường Học viện Kỹ thuật Mật mã v ới tâm huy ết và s ự g ắn
bó giúp đỡ, truyền đạt kiến thức quý giá cho chúng em. Đ ặc bi ệt em xin g ửi
lời cảm ơn sâu sắc đến ThS Phạm Sỹ Nguyên, tr ường đại h ọc Kỹ thu ật –
Hậu cần CAND, Bộ Công an đã trực tiếp hướng dẫn, tận tình ch ỉ bảo, giúp
đỡ em hoàn thành đồ án này.
Với trình độ còn nhiều hạn chế chắc chắn không th ể tránh kh ỏi
những sai sót, em mong nhận được sự góp ý của th ầy cô đ ể em đ ược hoàn
thiện hơn. Sau cùng em xin chúc thầy Phạm Sỹ Nguyên và các th ầy cô trong

trường luôn dồi sao sức khỏe, mang tâm huyết cao đẹp của nhà giáo đ ể
truyền lại cho các em mai sau.
Một lần nữa, em xin chân thành cảm ơn!

Hà Nội, ngày

tháng năm 2020

SINH VIÊN THỰC HIỆN

Vương Đình Bắc

7


LỜI CAM ĐOAN

Tôi Vương Đình Bắc xin cam đoan:
Đồ án "Tìm hiểu về lĩnh vực điều tra số trên đám mây (Cloud
forensics) " là một công trình nghiên cứu độc lập được s ự h ướng dẫn của
ThS Phạm Sỹ Nguyên.
Những phần sử dụng tài liệu tham khảo trong đồ án đã được nêu rõ
trong mục tài liệu tham khảo, ngoài ra không sử dụng bất c ứ tài li ệu li ệu
nào khác mà không được ghi.
Nếu sai tôi xin chịu hoàn toàn trách nhiệm và chịu mọi hình th ức kỷ
luật của học viện.

Hà Nội, ngày

tháng


năm 2020

SINH VIÊN THỰC HIỆN

Vương Đình Bắc

8


LỜI NÓI ĐẦU

Điện toán đám mây là mô hình máy tính mới cho phép s ử d ụng các
dịch vụ từ xa thông qua mạng Internet cung cấp tối đa tài nguyên v ới
nguồn lực tối thiểu để phục vụ cho việc sử dụng các nguồn lực khác nhau.
Hầu hết dữ liệu quan trọng được chuyển đến các nhà cung cấp dịch vụ
đám mây, một trong những mối quan tâm chính là xử lý các vấn đề bảo
mật. Điều tra số truyền thống liên quan đến việc thu thập phương tiện tại
hiện trường vụ án hoặc ít nhất là vị trí nơi ph ương tiện bị thu gi ữ, nh ững
nỗ lực để bảo quản phương tiện đó, và xác nhận, phân tích, giải thích, tài
liệu và trình bày tại tòa án về kết quả kiểm tra.
Đối với hầu hết các tình huống, ngoài điều tra nội bộ, m ọi b ằng
chứng có trong phương tiện truyền thông sẽ được kiểm soát bởi c ơ quan
thực thi pháp luật kể từ thời điểm bị bắt giữ. Giờ đây, trong kịch bản đám
mây, thông tin có thể ở bất kỳ đâu trên toàn cầu, thậm chí bên ngoài ranh
giới quốc gia, vậy nên vấn đề trở nên phức tạp hơn. Điều tra số trên đám
mây là một thành phần quan trọng để bảo mật đám mây và là s ự k ết h ợp
giữa điều tra máy tính và điều tra mạng. Nói một cách đ ơn gi ản, đi ều tra
số trên đám mây là chủ yếu tập trung vào việc thu th ập thông tin d ữ liệu
từ cơ sở hạ tầng đám mây. Điều này có nghĩa là làm việc với một bộ tài

nguyên máy tính, chẳng hạn như tài sản mạng, máy chủ (cả vật lý và ảo),
kho lưu trữ, ứng dụng và bất kỳ dịch vụ nào được cung cấp. Hiện nay, tình
hình nghiên cứu tìm hiểu lĩnh vực điều tra số đang phát triển mạnh mẽ,
tập trung vào điều tra máy tính, điều tra mạng, điều tra di đ ộng. Đ ối v ới
điều tra số trên đám mây là lĩnh vực mới đối với trong và ngoài n ước,
không nhiều đề tài nghiên cứu vì là một mô hình điện toán m ới n ổi nh ững
năm gần đây.
9


Mục tiêu của việc nghiên cứu thực hiện đồ án tốt nghiệp với đề tài
"Tìm hiểu về lĩnh vực điều tra số trên đám mây (Cloud forensics) "
nhằm đưa ra những hiểu biết chung về điều tra số, quy trình đi ều tra số
trên đám mây và giới thiệu công cụ, kỹ thuật điều tra số trên đám mây giúp
môi trường đám mây được an toàn, uy tín cũng như đảm bảo sự tin tưởng
đối với người sử dụng cần sử dụng đám mây.
Đồ án trình bày bao gồm 3 chương như sau:
Chương 1: Tổng quan về điều tra số: Trình bày các khái niệm, các
loại hình điều tra số, mục tiêu và ý nghĩa và quy trình điều tra s ố
Chương 2: Nền tảng kỹ thuật điều tra số trên đám mây: Ch ương này
trình bày tổng quan về điện toán đám mây, mô hình, quy trình điều tra trên
đám mây. Đưa ra các kỹ thuật, công cụ và một số khó khăn khi điều tra trên
đám mây.
Chương 3: Kịch bản mô phỏng điều tra số trên đám mây: Trình bày k ịch
bản mô phỏng điều tra số trên đám mây dựa vào điều tra Dropbox. T ừ đó
phân tích và đưa ra kết luận đã đạt được trong quá trình điều tra số trên
Dropbox.

10



CHƯƠNG 1. TỔNG QUAN VỀ ĐIỀU TRA SỐ
1.1.

Khái niệm về điều tra số
Trong lĩnh vực an toàn thông tin, Digital Forensics hay còn gọi là đi ều
tra số là công việc phát hiện, bảo vệ và phân tích thông tin đ ược l ưu tr ữ,
truyền tải hoặc được tạo ra bởi các thiết bị số (máy tính, đi ện tho ại, các
thiết bị thông minh,...) nhằm đưa ra các suy luận h ợp lý đ ể tìm nguyên
nhân, giải thích các hiện tượng trong quá trình điều tra.
Máy tính ngày càng trở nên mạnh mẽ, vì vậy, lĩnh v ực điều tra số
cũng phải có sự phát triển tương xứng. Trong những ngày đầu m ới có máy
tính, rất dễ để những nhân viên điều tra có thể tìm ra một file nào đó b ởi
dung lượng lưu trữ rất thấp. Ngày nay, với dung l ượng l ưu tr ữ c ủa ổ đĩa
lên tới gigabyte, thậm chí là terabyte dữ liệu, công việc lại càng khó khăn
hơn. Điều tra viên sẽ phải tìm ra những phương pháp khác nhau đ ể có th ể
tìm kiếm bằng chứng mà không phải dùng tới quá nhiều ngu ồn cho quá
trình điều tra, nâng cao tính hiệu quả cho quá trình điều tra.
Một cuộc điều tra số thông thường sẽ điều tra từ các d ữ liệu đ ược
lấy từ phần cứng máy tính hay các thiết bị lưu tr ữ khác, việc đi ều tra này
được thực hiện thành thủ tục và chính sách đã được tiêu chuẩn hóa nh ằm
xác định liệu các thiết bị mật có bị truy cập trái phép bay không. Việc điều
tra này được nhóm điều tra thực hiện sử dụng các ph ương pháp khác nhau
(như phân tích tĩnh hay động), các công cụ khác nhau. Để m ột cu ộc đi ều
tra thành công, nhóm điều tra phải có kiến thức chuyên môn về nhi ều lĩnh
vực khác nhau từ kiến thức về các kiểu hệ điều hành (Windows, Linux,
Mac OS), các dạng mã độc, cơ chế ghi nhận và quản lý log ở các thi ết b ị ,
các mẫu hoạt động bất thường ở góc độ bộ nhớ, mạng, … và thậm chí đến
mức có kiến thức về các điều luật cũng như các tổ chức pháp lý t ương ứng.
Lĩnh vực điều tra số vẫn còn khá mới mẻ. Nh ững ngày đ ầu c ủa máy

tính, tòa án coi bằng chứng từ máy tính không khác gì so v ới nh ững loại
bằng chứng khác. Khi máy tính ngày càng trở nên phát tri ển h ơn và ph ức
tạp hơn, suy nghĩ này đã thay đổi, tòa án biết được bằng ch ứng t ội ph ạm
rất dễ dàng có thể bị thay đổi, bị xóa hoặc bị phá hỏng. Điều tra viên nh ận
11


ra rằng cần thiết phải phát triển một công cụ nào đó có th ể giúp vi ệc đi ều
tra bằng chứng trong máy tính mà không làm ảnh h ưởng t ới thông tin. Đã
bắt tay làm việc với những nhà khoa học máy tính, lập trình viên đ ề bàn
luận về các phương pháp và công cụ phù hợp mà họ cần mỗi khi phải truy
hỏi thông tin từ một máy tính. Từ đó, họ đã phát triển ph ương pháp đ ể
hình thành nên lĩnh vực điều tra số.
1.2.

Các loại hình điều tra số

1.2.1.

Điều tra số trên các thiết bị máy tính
Điều tra số trên máy tính là một nhánh của khoa học điều tra số liên
quan đến việc phân tích các bằng chứng pháp lý được tìm th ấy trong máy
tính và các phương tiện lưu trữ kỹ thuật số. Mục đích của điều tra máy
tính là nhằm xác định, bảo quản, phục hồi, phân tích, trình bày l ại s ự việc
và ý kiến về các thông tin từ thiết bị kỹ thuật số và tiến hành đi ều tra các
thành phần như:
Điều tra bộ nhớ (Memory Forensics): là phương thức điều tra máy
tính bằng việc ghi lại bộ nhớ khả biến (bộ nhớ RAM) của hệ thống sau đó
tiến hành phân tích làm rõ các hành vi đã xảy ra trên hệ th ống. C ụ th ể h ơn,
đó là cố gắng sử dụng kiến trúc quản lý bộ nhớ trong máy tính đ ể ánh x ạ,

trích xuất các tập tin đang thực thi và cư trú trong bộ nh ớ. Nh ững t ập tin
thực thi có thể được sử dụng để chứng minh rằng hành vi của tội ph ạm đã
xảy ra hoặc để theo dõi nó đã diễn ra như thế nào. Công cụ sử dụng:
Dumpit, Strings, The Sleuth kit Win32dd, ForemostL, Volatility, Mandiant
Redline, DFF.

12


Hình 1.1. Sử dụng công cụ Dumpit để ghi lại bộ nhớ
Điều tra Registry: Đây là loại hình điều tra liên quan đến vi ệc trích
xuất thông tin và ngữ cảnh từ một nguồn dữ liệu chưa được khai thác qua
đó biết được những thay đổi (chỉnh sửa, thêm bớt...) d ữ liệu trong Registry.
Công cụ thường dùng: MuiCache View, Process Monitor, Regshot,
USBDcvikev...
Điều tra hệ hệ thống (File System Forensics): Đây là loại hình điều
tra liên quan đến các file hệ thống của hệ điều hành windows, linux.
Điều tra ứng dụng (Application Forensics): Là loại hình điều tra
phân tích các file log trong ứng dụng như Email, dữ liệu trình duy ệt Skype,
Yahoo… Qua đó trích xuất các bản ghi được lưu trữ trên các ứng dụng ph ục
vụ cho việc điều tra tìm kiếm chứng cứ. Công cụ th ường dùng:
ChromeCacheView,

MozillaCookiesView,

MyLastSearch,

PasswordFox,

SkypeLogView….


Hình 1.2 SkypeLogView xem dữ liệu được trao đổi qua đường truyền
Điều tra ổ đĩa (Disk Forensics): Là việc thu thập, phân tích d ữ liệu
được lưu trữ trong phương tiện lưu trữ vật tý, nhằm trích xuất dữ liệu ẩn,
khôi phục các tập tin bị xóa qua đó xác định ng ười đã t ạo ra nh ững thay
đổi dữ liệu trên thiết bị để phân tích. Các công c ụ th ường dùng : ADS
Locator, Disk Investigator, Disk Director, FTK,P Passware Encryption
Analyzer ….

13


Hình 1.3. Passware Encryption Analyzer xác định file được bảo vệ bởi mật khẩu
1.2.2.

Điều tra mạng
Điều tra mạng là một nhánh của khoa học điều tra số liên quan đến
việc giám sát và phân tích lưu lượng máy tính nhằm ph ục v ụ cho thu nh ập
thông tin, chứng cứ pháp lý hay là phát hiện các cuộc xâm nh ập vào h ệ
thống máy tính.
Điều tra mạng có thể thực hiện như một cuộc điều tra độc lập hoặc
kết hợp với điều tra máy tính, thường được sử dụng để phát hiện mối liên
kết giữa các thiết bị kỹ thuật số hay tái tạo lại quy trình phạm t ội.
Điều tra mạng bao gồm việc chặn bắt, ghi âm hoặc phân tích các s ự
kiện mạng để khám phá nguồn gốc của các cuộc tấn công hoặc s ự cố m ột
vấn đề nào đó. Không giống như các loại điều tra số khác, đi ều tra m ạng
xử lý những thông tin dễ thay đổi và biến động. Lưu lượng mạng đ ược
truyền đi và không được lưu lại, do đó, việc điều tra m ạng ph ải r ất linh
hoạt và chủ động.
Các công cụ sử dụng : WireShark, Tcpdump, Networkminer,

Wildpackets, Xplico, Snort, ….

14


1.2.3.

Hình 1.4. Sử dụng WireShark phân tích tấn công Teardrop
Điều tra trên thiết bị di động
Điều tra số trên thiết bị di động (Mobile Device Forensics): là m ột
nhánh khoa học điều tra số liên quan đến việc thu hồi bằng ch ứng kỹ
thuật số hoặc dữ liệu của các thiết bị di động. Thiết bị di đ ộng ở đây
không chỉ đề cập đến điện thoại di động mà còn là bất kỳ thiết bị kỹ thuật
số nào có bộ nhớ trong và khả năng giao tiếp, bao gồm các thi ết b ị PDA,
GPS và máy tính bảng.
Việc sử dụng điện thoại với mục đích phạm tội đã phát triển mạnh
trong những năm gần đây, nhưng việc nghiên cứu điều tra về thiết bị di
động là một lĩnh vực tương đối mới. Sư gia tăng các loại hình đi ện tho ại di
động trên thị trường đòi hỏi nhu cầu giám định về tính an toàn c ủa các
thiết bị này mà không thể đáp ứng bằng kỹ thuật điều tra máy tính hi ện
tại.
Công cụ thường dùng để điều tra số trên thiết bị di động: WP Device
Manager, Pwnagetool, Oxygen, Apktool, Iphone,WireShark,…

Hình 1.5. Sử dụng WP Device để trích xuất SMS
1.3.

Mục đích ứng dụng thực tiễn
15



 Mục tiêu điều tra số
Mục tiêu cốt lõi của điều tra số là phát hiện, bảo quản, khai thác, tài
liệu hóa và đưa ra kết luận về dữ liệu thu th ập đ ược. Dữ liệu thu đ ược
phải đảm bảo tính xác thực, tính toàn vẹn nếu không d ữ liệu lấy đ ược sẽ
không còn ý nghĩa.
Giả sử, A là quản trị viên của một website th ương m ại điện t ử, n ếu
một ngày website của A khôi phục lại website như lúc đầu đồng th ời ki ện
toàn hệ thống để tránh sự việc tấn công lại bị tái diễn, h ơn n ữa xác định ai
là kẻ đã tấn công. Đây là lúc A cần phải dựa vào nh ững bằng ch ứng t ừ
những tập tin nhật ký (log) và các bằng chứng khác thu th ập t ừ máy ch ủ
để xác định việc gì đang diễn ra với hệ thống của mình. Đây ch ỉ là m ột ví
dụ khá điển hình, ngoài ra còn những trường h ợp khác nh ư phát hi ện mã
độc trên máy tính, kiểm tra sự bất thường trong mạng, phát hi ện xâm
nhập,… Nói chung điều tra số giúp xác định được nguyên nhân s ự cố và
đưa ra các biện pháp giải quyết tiếp theo.
Điều tra số có những ứng dụng quan trọng trong khoa học điều tra
cụ thể.
•

Về mặt kỹ thuật: điều tra số giúp xác định những gì đang x ảy ra làm ảnh
hưởng tới hệ thống đồng thời qua đó phát hiện các nguyên nhân hệ th ống,
bị xâm nhập, các hành vi, nguồn gốc của các vi phạm xảy ra đối v ới h ệ

•

thống.
Về mặt pháp lý: điều tra số giúp cho cơ quan điều tra khi tố giác t ội ph ạm
công nghệ cao có được những chứng cứ số thuyết phục để áp dụng các
chế tài xử phạt với các hành vi vi phạm.


 Ý nghĩa điều tra số
Không có bất cứ sự đảm bảo nào cho hệ thống mạng máy tính đ ược
tuyệt đối an toàn trước những nguy cơ, rủi ro, tấn công ác ý của t ội ph ạm
mạng. Quy trình xử lý sự cố, phục hồi chứng cứ và truy tìm dấu vết tội
phạm cần phải được tiến hành một cách chuyên nghiệp nh ằm đem l ại
chứng cứ chính xác. Một cuộc điều tra số được tiến hành nhằm:
•

Xác định nguyên nhân hệ thống công nghệ thông tin bị tấn công, từ đó đưa ra
giải pháp khắc phục điểm yếu nhằm nâng cao hiện trạng an toàn của hệ
thống.
16


•

Xác định các hành vi tội phạm mạng máy tính đã, đang và sẽ làm đối với hệ
thống mạng máy tính. Trong thực tế, thiệt hại tiềm ẩn do những cuộc tấn
công gây rò rỉ thông tin, hay làm mất tính sẵn sàng của hệ thống là việc hệ
thống bị nắm quyền điều khiển, cài chương trình theo dõi, xóa bỏ thông tin,
biến hệ thống mạng máy tính thành công cụ tấn công các hệ thống khác,....
Việc tiến hành một cuộc điều tra số nhằm xác định chính xác những hoạt
động mà tội phạm mạng đã tác động vào hệ thống và ngăn ngừa các rủi ro

•

khác có thể xảy ra.
Khôi phục thiệt hại mà cuộc tấn công vào hệ thống mạng máy tính gây ra:
phục hồi dữ liệu, thông tin lưu trữ trên hệ thống đã bị phá hoại có ch ủ

đích.
Thực hiện điều tra tội phạm, tìm kiếm chứng cứ số nhằm vạch trần
tội phạm công nghệ cao, các hoạt động gian lận, gián đi ệp, vi ph ạm phép
luật

1.4.

Quy trình điều tra số
Điều tra số là một nhánh của điều tra pháp y do đó đòi hỏi vi ệc điều
tra phải tuân theo một quy trình một các chặt chẽ đ ể đảm b ảo quá trình
điều tra đạt hiệu quả tốt nhất. Quy trình điều tra số gồm có 5 b ước [5]:
Quan sát hiện trường, ghi và lập tài liệu hiện trường, bảo quản ch ứng c ứ,
phân tích, báo cáo.

17


Hình 1.6. Sơ đồ quy trình điều tra số
1.4.1.

Quan sát và bảo vệ hiện trường
Với một số tội phạm truyền thống, chẳng hạn như một v ụ c ướp
hoặc giết người, phạm vi thường được đánh dấu bởi băng c ảnh sát ho ặc
hàng rào cảnh sát. Nó xác định khu vực cần bảo đảm. Bảo vệ hiện tr ường
vụ án gồm một số bước. Trước hết phải loại bỏ cá nhân không cần thi ết
tại hiện trường. Quy tắc rất đơn giản: Ngoại trừ các nhân viên thực thi
pháp luật, những người không có nhiệm vụ ph ải được yêu cầu ra kh ỏi
hiện trường. Người không cần thiết tại hiện trường chỉ làm cho ch ứng c ứ
bị tổn hại. Tiếp theo cần đánh dấu khu vực này, cô lập hiện tr ường v ụ án,
và ngăn không cho người xâm nhập vào hiện trường. Mỗi người trong hi ện

trường có thể để lại chứng cứ như tóc, sợi quần áo, hoặc các ch ất gây ô
nhiễm khác. Chỉ cho phép nhân viên cần thiết vào hiện trường, h ọ chịu
trách nhiệm về những gì họ làm và đưa ra tài liệu cần thi ết b ổ sung vào
biên bản ban đầu. Cũng sẽ có nhân viên cảnh sát gi ữ nh ật ký c ủa nh ững
người đi vào, ra khỏi hiện trường. Các bản ghi là rất quan tr ọng. B ởi các
luật sư có thể bào chữa rằng trong hiện trường có những người không cần
thiết và chứng cứ không được xem trọng.

18


Quá trình này tương tự với tội phạm máy tính. Trước hết cần ph ải
đảm bảo hiện trường vụ án. Rõ ràng, việc đảm bảo tội ph ạm máy tính có
thể khác nhau với việc đảm bảo hiện trường một tội phạm truy ền th ống.
Hiện trường vụ án thường là các máy tính th ực tế, các bộ định tuy ến, và
các máy chủ có liên quan đến tội phạm. Để bảo đảm ch ứng c ứ ph ải tắt đi,
ngăn chặn người dùng truy cập vào. Nếu có một máy tính đang bị nghi ng ờ
là công cụ của tội phạm thì nó phải được bảo đảm.
Xác định khu vực của tội phạm máy tính khác với tội phạm truy ền
thống. Các máy khác nhau có thể bị cô lập về mặt địa lý, nh ưng quan trọng
là được bảo đảm và cô lập để kiểm tra. Sau đó cần h ạn chế s ố l ượng
người đã được tiếp cận với hiện trường vụ án và tất cả các tài li ệu tương
tác với hiện trường vụ án. Trong nhiều trường hợp, các hệ th ống liên quan
cần thiết cho hoạt động của nạn nhân cần tiếp tục đ ược theo dõi. Ví d ụ
nếu máy chủ cơ sở dữ liệu của công ty đã bị tấn công và d ữ li ệu bị đánh
cắp, họ sẽ vẫn cần máy chủ để tiếp tục hoạt động kinh doanh. Ph ương
pháp tiếp cận sau đó là sử dụng những máy chủ đã thoát tạm th ời, sao
chép ổ đĩa cứng cho máy chủ và sau đó đặt các ổ đĩa b ản sao tr ở l ại vào
dịch vụ, do đó việc giữ ổ đĩa gốc đảm bảo được làm bằng ch ứng.
1.4.2.


Ghi và lập tài liệu hiện trường
Không được chạm vào bất cứ gì cho đến khi bắt đầu thu th ập bằng
chứng. Một khi đã đi qua và quan sát hiện trường, bây giờ là lúc ghi lại
những gì đã quan sát được. Quay phim toàn bộ hiện trường là đi ều không
bắt buộc trong tài liệu chứng cứ. Nếu chọn quay video hiện tr ường v ụ án
thì nó phải là cái nhìn 360 độ của căn phòng. Video gi ống nh ư cái nhìn th ứ
hai của hiện trường, và nó cũng hữu ích cho hội đồng bồi th ẩm xem l ại
những gì đã thấy trong quá trình điều tra. Các điều tra viên ph ải luôn nêu
ở đầu video người đã làm đoạn băng và chắc ch ắn th ời gian là chính xác.
Trong đoạn video, nếu có gì đó nổi bật thì phải có nhận xét về nó, có th ể là
cách thức kết nối được gắn vào máy tính hoặc các thiết bị khác hoặc có
thể là mô tả của căn phòng. Trong mọi trường hợp, một băng video cho
phép bất cứ ai kể cả bồi thẩm xem. Do vậy cần cẩn thận nh ững gì nói
trong video, phải là một người chuyên nghiệp. Một bình luận tiêu c ực hay
19


tệ hơn có thể gây ra nghi ngờ về kỹ năng. Luật sư bào chữa sẽ nhận ra và
đặt câu hỏi về tính công bằng và kỹ thuật điều tra. Sau đó ph ải gi ải thích
tại sao những nhận xét đã được thực hiện cho các luật s ư bào ch ữa và bên
thẩm phán. Đây có thể là một cách mà luật sư bào chữa có th ể s ử dụng để
chống lại quá trình điều tra.
Sau khi làm video, chụp ảnh lại các cảnh điều tra. Các quy t ắc t ương
tự áp dụng trong chụp ảnh hiện trường như là quay video: trình bày chi
tiết. Máy ảnh có hiện thị ngày, thời gian, đảm bảo được thiết lập đúng. Sau
khi có được video và hình ảnh, cần tìm hiểu vê nó (hình 1.7). V ới hình ảnh
kỹ thuật số hoặc film 35mm, sử dụng một tài liệu để ghi lại hình ảnh

Hình 1.7. Tài liệu về hình ảnh

Một số bộ phận vẫn còn sử dụng film 35mm, do đó cần ghi lại cuộn
film để được xử lý. Vài năm trước đây, đã có r ất nhiều tranh cãi v ề b ằng
chứng hình ảnh kỹ thuật số được chập nhận tại tòa án. B ởi các b ức ảnh kỹ
thuật số có thể được thay đổi.
Ghi lại tất cả hạng mục của bằng chứng có thể mất thời gian, nh ưng
nó rất quan trọng. Chi tiết quá trình đó phụ thuộc vào từng tr ường h ợp tội
phạm máy tính cụ thể. Các tài liệu thu thập bằng ch ứng rất quan tr ọng
nhưng tốt nhất là ghi chính xác là đã thu thập các bằng ch ứng ngoài tài
liệu bằng chứng chính nó. Sẽ không được làm gì trên máy tính, router hoặc
thiết bị khác. Bất kỳ hành động nào cũng có th ể làm thay đ ổi d ữ li ệu và
làm bằng chứng thu được vô hiệu lực.
Các dây cáp gắn vào máy tính có thể cần phải tô màu đ ể tránh
nhầm lẫn. Sau khi có được các dây cáp đúng màu sắc đúng mã, bắt đầu ghi
20


lại các thiết bị gắn vào đó. Khi tài liệu hoàn tất, sau đó có th ể bắt đ ầu ng ắt
kết nối các thiết bị với nhau.
Ở đây đưa ra một tài liệu nghĩa là phải nhận ra m ột notepad và th ẻ
bằng chứng. Các phần khác nhau của bằng chứng ph ải đ ược ghi l ại và c ả
vị trí mà nó đã được lấy ra. Notepad sẽ giúp theo dõi điều này. M ỗi m ục
nắm bắt cũng nên có một thẻ bằng chứng. Thẻ sẽ ghi ngày, gi ờ, đ ịa đi ểm,
hành vi phạm tội, mặt hàng bị tịch thu, số lượng dịch vụ, nhân viên, ng ười
nhận hàng.
Trên mặt sau thẻ là nơi mà tài liệu đã xử lý bằng chứng và chuỗi
hành trình. Chuỗi hành trình là rất quan trọng. Theo viện SANS InstitteScore: “ chuỗi hành trình là một thuật ngữ pháp lý mô tả các b ộ s ưu t ập,
vận chuyển và lưu trữ bằng chứng để ngăn chặn mất mát, thiệt hại v ật
chất, hoặc tiêu hủy”.
Nếu không có đủ chuỗi tạm giữ tài liệu, luật sư bào chữa sẽ cố gắng
làm cho nó xuất hiện với những nghi ngờ tính toàn v ẹn c ủa t ập ch ứng c ứ

này. Toàn bộ mục tiêu của luật sư là phải đặt nghi ngờ trong th ẩm phán về
độ tin cậy của các bằng chứng. Quá trình này phải nhất quán trong mỗi
hiện trường vụ án mà có tài liệu.
1.4.3.

Bảo quản chứng cứ
Bảo quản chứng cứ cũng là một vấn đề rất quan trọng trong quá
trình điều tra. Một khi hoàn tất tài liệu trên tất cả bằng ch ứng, c ần đ ặt
từng hạng mục thu được vào túi chứng cứ cho thấy đã đánh d ấu đúng. C ần
đeo găng tay chống tĩnh trong khi thu thập và đưa vào túi bằng ch ứng. M ột
số vật chứng có thể được đặt trong túi giấy và luật s ư có th ể ph ản bi ện
rằng không dùng túi chống tĩnh thì vật chứng có th ể b ị thay đ ổi hoặc h ư
hỏng. Mỗi vật chứng đóng gói sẽ có một thẻ bằng ch ứng v ới nó. Túi cũng
sẽ lưu ý trên đó các thông tin phù hợp với các thẻ bằng ch ứng. Điều này sẽ
giúp theo dõi từng vật chứng. Một khi đã được bọc lại thì ph ải gi ữ b ằng
chứng tại hiện trường cho đến khi đã sẵn sàng mang nó đ ến khu v ực an
toàn của bộ phận điều tra. Không để nhân viên, điều tra viên khác đặt
bằng chứng trong xe của họ, họ có thể không nhận th ức được các y ếu t ố

21


có thể gây thiệt hại cho thiết bị và sẽ không thể gi ữ được quyền kiểm soát
vật chứng. Chuỗi hành trình là rất quan trọng.
Bước tiếp theo là đóng gói các bằng chứng và vận chuy ển đến khu
vực bảo đảm cho bộ phận điều tra. Dùng tủ khóa để bảo vệ các b ằng
chứng. Nếu lượng bằng chứng lớn cần đến một phòng để bảo vệ. Th ư ký
sẽ lấy các bằng chứng và đăng nhập đúng cách vào khu v ực l ưu tr ữ. Th ẻ
bằng chứng sẽ hiển thị các chuỗi hành trình của chứng cứ. Và bằng ch ứng
phải được bảo vệ an toàn, lưu ý về nơi đặt. Ví dụ không đặt máy tính bên

cạnh loa hộp lớn bởi các máy tính có thể bị ảnh hưởng bởi các nam châm
trong loa. Nếu dữ liệu bị thay đổi bằng bất kỳ cách nào, nó có th ể không
được chấp nhận tại tòa án.
Thủ tục pháp lý là tuyệt đối quan trọng. Thất bại trong bảo vệ hiện
trường và duy trì chuỗi bằng chứng có thể làm hỏng một cuộc đi ều tra.
Bước đầu tiên là phải đảm bảo hiện trường vụ án hoàn toàn an toàn. Sau
đó, phải đảm bảo được rằng các bằng chứng được thu thập theo đúng th ủ
tục pháp y. Với trường hợp này với một điều tra viên có tay ngh ề cao, h ọ sẽ
làm như sau: Bước đầu tiên là để đảm bảo cho các máy ch ủ đó. Nếu ai đó
đã xâm nhập vào máy chủ, cần phải đảm bảo máy chủ đó. Vì v ậy, các qu ản
trị mạng đã offline máy chủ, sao chép ổ cứng tới một nơi m ới, đặt các b ản
sao phục vụ, giữ ổ cứng ban đầu cho bằng chứng. Toàn bộ quá trình ph ải
được ghi lại. Rằng tài liệu hướng dẫn chi tiết ai đã tham gia và quá trình.
Sau đó ổ đĩa cứng sẽ được phân tích bất kỳ dữ liệu bản ghi ho ặc ngu ồn
khác có thể được kiểm tra bằng chứng. Bằng chứng sau đó sẽ đ ược ghi l ại.
Ví dụ, có thể ghi nhận rằng bản ghi truy cập cho thấy máy ch ủ đ ược truy
cập từ địa chỉ IP nhất định tại một thời điểm nhất định. Bước tiếp theo là
triệu tập các nhà cung cấp dịch vụ Internet nghi ngờ, do đó có th ể l ần l ại
địa chỉ IP mà kết nối đến máy chủ và xác định xem kết nối đã th ực s ự đến
từ thủ phạm. Cuối cùng, đảm bảo quyền truy cập vào máy tính th ủ phạm
và xử lý nó giống như cách đã làm với máy chủ, cẩn thận ghi lại t ừng b ước.
1.4.4.

Phân tích

22


Đây là giai đoạn các chuyên gia sử dụng các phương pháp nghiệp v ụ,
các kỹ thuật cũng như công cụ khác nhau để trích xuất, thu th ập và phân

tích các bằng chứng thu được.
Thiết lập mốc thời gian và phân tích: Sau khi thu thập xong chứng
cứ tất cả các dữ liệu được cách ly trong một môi trường đi ều tra an toàn
và nhiệm vụ tiếp theo của quá trình thực hiện phân tích là thiết lập t ập tin
thời gian. Việc thiết lập tập tin thời gian giúp người th ực hiện công vi ệc
điều tra theo dõi lại các hoạt động của hệ thống (hiển thị ra th ời gian cuối
cùng mà một tập tin thực thi được chạy, các tập tin hoặc th ư m ục đ ược
tạo/xóa trong thời gian qua và qua đó có thể giúp người điều tra hình
dung, phỏng đoán được sự hiện diện của các kịch bản hoạt đ ộng).
Phân tích phương tiện truyền dữ liệu của hệ điều hành:Từ các kết quả
thu được bởi việc phân tích thời gian, tiến hành bắt đầu phân tích phương
tiện truyền thông để tìm kiếm các đầu mối phía sau một hệ thống bị thỏa
hiệp. Bộ công cụ có sẵn để phục vụ cho việc phân tích phụ thuộc vào một số
nhân tố như:
•

Nền tảng phần mềm được sử dụng trong máy tính phục vụ điều tra.
Nền tảng phần mềm được sử dụng trong các hệ thống m ục tiêu của vi ệc

•

phân tích.
Môi trường phân tích.

•

Trong giai đoạn này, việc phân tích để kiểm tra kỹ các l ớp ph ương
tiện truyền thông (vật lý, dữ liệu, siêu dữ liệu, hệ thống tập tin và tên tập
tin…) để tìm kiếm bằng chứng về việc cài đặt các tập tin nghi ngờ, các th ư
mục được thêm vào/gỡ bỏ.

Tìm kiếm chuỗi: Với những gì đã thu th ập đ ược, ng ười phân tích
có thể bắt đầu tìm ki ếm các chu ỗi c ụ th ể ch ứa bên trong các t ập tin đ ể
tìm kiếm những thông tin h ữu ích nh ư đ ịa ch ỉ IP, đ ịa ch ỉ Email… đ ể t ừ đó
truy tìm dấu vết tấn công.
Khôi phục dữ liệu: Sau khi thực hiện xong giai đoạn phân tích các
phương tiện truyền thông, chuyên viên điều tra hoàn toàn có th ể tìm ki ếm
những dữ liệu từ chứng cứ đã được ghi lại và trích xuất ra các dữ liệu ch ưa
được phân bổ trong ngăn xếp, sau đó phục hồi lại bất kỳ tập tin nào đã b ị
xóa. Tìm kiếm không gian trống (trong môi tr ường windows) ho ặc tìm
23


trong không gian chưa phân bố dữ liệu có th ể khám phá ra nhi ều t ập tin
phân mảnh, đó có thể là đầu mối về các hành động xóa tập tin, th ời gian
được xóa… Việc nắm bắt được thời gian tập tin bị xóa là một trong nh ững
thông tin quan trọng liên quan đến các hoạt động tấn công đã x ảy ra trên
hệ thống (ví dụ xóa các bản ghi liên quan đến quá trình thâm nhập h ệ
thống).
1.4.5.

Lập báo cáo
Sau khi thu thập được những chứng cứ có giá trị và có tính thuy ết
phục thì tất cả phải được tài liệu hóa lại rõ ràng, chi tiết và báo cáo l ại cho
bộ phận có trách nhiệm xử lý chứng cứ thu được, các chuyên gia phân tích
phải đưa ra các kỹ thuật điều tra, các công nghệ, ph ương th ức đ ược s ử
dụng, cũng như các chứng cứ thu được, tất cả phải được giải thích rõ ràng
trong báo cáo quá trình điều tra.

1.5.


Kết luận chương 1

Trong chương 1, đồ án đã trình bày về tổng quan về điều tra số. Đó
là trình bày về khái niệm, ý nghĩa và mục đích điều tra số. Qua đó giúp
nắm vững lại kiến thức về điều tra số, hiểu được tầm quan trọng điều tra
số trong điều tra. Ngoài ra, còn trình bày quy trình điều tra s ố. Giúp quá
trình điều tra được thuận lợi và tuân thủ quy trình điều tra được pháp luật
công nhận. Chương 2 sẽ tìm hiểu về điện toán đám mây và sẽ đi chuyên
sâu và các vấn đề liên quan đến điều tra số trên đám mây.

24


CHƯƠNG 2. NỀN TẢNG KỸ THUẬT ĐIỀU TRA SỐ

TRÊN

ĐÁM MÂY
2.1.
2.1.1.

Tổng quan về điện toán đám mây
Khái niệm về điện toán đám mây
Điện toán đám mây (Thuật ngữ tiếng Anh: Cloud Computing, hay còn
biết đến với tên gọi “Điện toán máy chủ ảo”) là mô hình máy tính d ựa trên
nền tảng phát triển của Internet.
Điện toán đám mây là sự nâng cấp từ mô hình máy ch ủ mainframe
sang mô hình client-server. Cụ thể, người dùng sẽ không còn phái có các
kiến thức về chuyên môn để điều khiển các công nghệ, máy móc và cơ sở
hạ tầng, mà các chuyên gia trong “đám mây” của các hãng cung cấp sẽ giúp

thực hiện điều đó.
Thuật ngữ "đám mây" ở đây là lối nói ẩn dụ chỉ mạng Internet (d ựa
vào cách được bố trí của nó trong sơ đồ mạng máy tính) và nh ư m ột liên
tưởng về độ phức tạp của các cơ sở hạ tầng chứa trong nó. Ở mô hình đi ện
toán này, mọi khả năng liên quan đến công nghệ thông tin đ ều đ ược cung
cấp dưới dạng các "dịch vụ", cho phép người sử dụng truy cập các d ịch v ụ
công nghệ từ một nhà cung cấp nào đó "trong đám mây" mà không cần
phải có các kiến thức, kinh nghiệm về công nghệ đó, cũng nh ư không c ần
quan tâm đến các cơ sở hạ tầng phục vụ công nghệ đó.
Ví dụ, nếu một website được chứa trên một máy chủ, người dùng
phải lựa chọn hệ điều hành (Linux/Windows/Mac) để cài đặt, tiến hành
các thiết lập để máy chủ và website có thể hoạt động. Tuy nhiên, n ếu
trang web được chứa trên “đám mây”, người dùng sẽ không cần ph ải th ực
hiện thêm bất kỳ điều gì khác. Điều này cũng đảm bảo y ếu t ố đầu t ư v ề
phần cứng được giảm tải ở mức tối đa. Tài nguyên, dữ liệu, phần mềm và
các thông tin liên quan đều được chứa trên các server (chính là các “đám
mây”).

2.1.2.
2.1.2.1.

Kiến trúc và thành phần của điện toán đám mây
Kiến trúc điện toán đám mây

25