ĐẠI HỌC THÁI NGUYÊN
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

ĐINH THỊ THÚY HƯỜNG

NGHIÊN CỨU KĨ THUẬT ĐIỀU TRA SỐ
TRONG GIÁM SÁT AN TỒN MẠNG MÁY TÍNH
VÀ ỨNG DỤNG

Chuyên ngành: Khoa học máy tính
Mã số: 8 48 01 01

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

Giáo viên hướng dẫn: TS. Hồ Văn Hương


THÁI NGUYÊN - 2021


3

LỜI CẢM ƠN
Trong suốt quá trình học tập vừa qua, em đã được quý thầy cô cung cấp
và truyền đạt tất cả kiến thức chuyên môn cần thiết và quý giá nhất. Ngồi ra,
em cịn được rèn luyện một tinh thần học tập và làm việc độc lập và sáng tạo.
Đây là tính cách hết sức cần thiết để có thể thành công khi bắt tay vào nghề
nghiệp trong tương lai.
Đề tài luận văn thạc sĩ là cơ hội để em có thể áp dụng, tổng kết lại những
kiến thức mà mình đã học. Đồng thời, rút ra được những kinh nghiệm thực tế
và quý giá trong suốt quá trình thực hiện đề tài. Sau một thời gian em tập trung

cơng sức cho đề tài và làm việc tích cực, đặc biệt là nhờ sự chỉ đạo và hướng
dẫn tận tình của TS Hồ Văn Hương cùng với các thầy cô trong trường Đại
học Công nghệ thông tin & Truyền thơng - Đại học Thái Ngun, đã giúp cho
em hồn thành đề tài một cách thuận lợi và gặt hái được những kết quả mong
muốn. Bên cạnh những kết quả khiêm tốn mà em đạt được, chắc chắn không
tránh khỏi những thiếu sót khi thực hiện luận văn của mình, kính mong thầy cơ
thơng cảm. Sự phê bình, góp ý của quý thầy cô sẽ là những bài học kinh
nghiệm rất quý báu cho công việc thực tế của em sau này.
Em xin chân thành cảm ơn TS Hồ Văn Hương đã tận tình giúp đỡ em
hồn thành đề tài này.
Em xin chân thành cảm ơn!
Thái Nguyên, tháng 01 năm 2021
Học viên

Đinh Thị Thúy Hường


4

LỜI CAM ĐOAN
Em xin cam đoan nội dung luận văn này là do chính em thực hiện, các số
liệu thu thập và kết quả phân tích trong báo cáo là trung thực, không sao chép
từ bất cứ đề tài nghiên cứu khoa học nào. Nếu sai, em xin hoàn toàn chịu trách
nhiệm trước Nhà trường.
Thái Nguyên, tháng 01 năm 2021
Học viên

Đinh Thị Thúy Hường



MỤC LỤC


DANH MỤC CÁC TỪ VIẾT TẮT
Viết
Từ tiếng Anh

Từ tiếng Việt

SHA

Secure Hash Algorithm

Giải thuật băm an toàn

MD5

Message - Digest algorithm 5

Thuật toán hàm băm

PDA

Personal digital assistant

Thiết bị trợ giúp cá nhân

MDS

Maintenance Data System


Hệ thống dữ liệu bảo trì

FAT

File Allocation Table

Bảng định vị tập tin

NTFS

New Technology File System

Hệ thống tập tin công nghệ mới

DNS

Doman Name System

Hệ thống tên miền

Network Intrusion Detection

Hệ thống phát hiện xâm nhập

System

mạng

RAM


Random Access Memory

Bộ nhớ truy cập ngẫu nhiên

NFAT

Network Forensics Analysis Tool Cơng cụ phân tích mạng

ARP

Address Resolution Protocol

tắt

NIDS

Giao thức phân giải địa chỉ

DANH MỤC BẢNG


DANH MỤC HÌNH ẢNH


8

LỜI MỞ ĐẦU
1. Tính cấp thiết của đề tài
Hiện nay công nghệ thông tin ngày càng phát triển, không ngừng đem đến

nhiều lợi ích cho các lĩnh vực kinh tế, thương mại, dịch vụ. Bên cạnh đó, đây
cũng chính là môi trường thuận lợi để các loại tội phạm công nghệ cao thực
hiện hành vi phạm tội của mình như đánh cắp thông tin, phát tán mã độc hay
các hành vi chuộc lợi khác. Để xác định được hành vi của tội phạm cơng nghệ
cao thì cần phải dựa vào những bằng chứng mà chúng để lại.
Từ đó tiến hành bảo quản, thu thập, xác nhận, chứng thực, phân tích, giải
thích, lập báo cáo và trình bày lại những thơng tin thực tế từ các nguồn kỹ
thuật số với mục đích tạo điều kiện hoặc thúc đẩy việc tái hiện lại các sự kiện,
nhằm tìm ra hành vi phạm tội hay hỗ trợ cho việc dự đoán các hoạt động trái
phép gây gián đoạn quá trình làm việc của hệ thống. Tất cả những hành động
trên liên quan đến ngành khoa học điều tra số. Việc điều tra số này khơng chỉ
đơn thuần là yếu tố kĩ thuật, nó cịn địi hỏi người thực hiện có kinh nghiệm
nhận thức được những gì nên làm và khơng nên làm.
Tình hình an tồn thơng tin mạng trên Thế giới nói chung và Việt Nam
nói riêng ngày càng diễn biến phức tạp, tinh vi, khó dự đốn. Khơng nằm
ngồi xu thế chung trên tồn cầu cơng tác đảm bảo giám sát an tồn thông tin
mạng của UBND Tỉnh Quảng Ninh được đặt lên hàng đầu. Là cơ quan đầu não
của Tỉnh, vấn đề an tồn thơng tin của Tỉnh được đặt ở mức bảo vệ cao nên
nhiệm vụ quan trọng, thiết yếu được đặt ra là vấn đề đảm bảo giám sát an tồn
thơng tin cho mạng máy tính của Tỉnh.
Vì thế mục tiêu của luận văn là nghiên cứu quy trình điều tra số, bộ công
cụ và quy định pháp lý về giá trị bằng chứng số để áp dụng triển khai đảm bảo
an tồn thơng tin mạng máy tính của UBND Tỉnh Quảng Ninh.
2. Đối tượng và phạm vi nghiên cứu
+ Vấn đề an ninh, an tồn mạng máy tính


9

+ Các công cụ, giải pháp giải quyết vấn đề an ninh cho mạng máy tính:

Thâm nhập, truy cập trái phép, tấn công, phá hoại, lấy trộm dữ liệu...
+ Nghiên cứu một số công cụ để ứng dụng trong phát hiện các nguy cơ
mất an ninh trong mạng máy tính.
+ Triển khai thử nghiệm để giám sát an tồn thơng tin mạng máy tính của
UBND tỉnh Quảng Ninh.
3. Hướng nghiên cứu của đề tài
Điều tra CSDL máy tính: Thu thập những bằng chứng pháp lý được tìm
thấy trong máy tính và các phương tiện lưu trữ kĩ thuật số.
Điều tra mạng: Phân tích lưu lượng dữ liệu truyền qua mạng máy tính
nhằm phát hiện các xâm nhập khả nghi vào hệ thống.
Điều tra thiết bị di động: Thu thập những bằng chứng về tài nguyên kĩ
thuật hoặc dữ liệu từ các thiết bị di động.
Kết hợp phương pháp nghiên cứu tài liệu, phương pháp nghiên cứu điều
tra và phương pháp nghiên cứu thực nghiệm.
4. Những nội dung và bố cục của luận văn
Chương 1: Tổng quan về điều tra số
Chương này sẽ trình bày khái niệm về điều tra số, phân loại điều tra số,
đặc điểm của điều tra số và xác định hợp lệ của bộ công cụ điều tra số.
Chương 2: Quy trình điều tra số và các cơng cụ
Chương này sẽ trình bày quy trình điều tra số, những nội dung cần thiết
phải chuẩn bị, bảo vệ và giám định, lập tài liệu, thu thập bằng chứng, đánh
dấu, vận chuyển và lưu trữ, kiểm tra, phân tích, lập tài liệu và báo cáo.
Nghiên cứu tìm hiểu một số công cụ phần cứng và phần mềm được sử
dụng trong mỗi bước của quy trình, so sánh, phân tích, đánh giá một số công
cụ.
Chương 3: Áp dụng kĩ thuật điều tra số để giám sát an tồn mạng
máy tính UBND Tỉnh Quảng Ninh.
Chương này sẽ mô tả hệ thống giám sát an ninh mạng, mô tả các công



10

nghệ và việc áp dụng quy trình, kỹ thuật cũng như bộ cơng cụ để tiến hành
điều tra, tìm ra những manh mối nghi ngờ dựa trên những dữ liệu đã cung cấp.
5. Phương pháp nghiên cứu
Nghiên cứu, thu thập, đọc, tìm hiểu các tài liệu đã xuất bản, các bài báo
trên các tạp chí khoa học và các tài liệu trên mạng Internet có liên quan đến
vấn đề đang nghiên cứu của các tác giả trong và ngoài nước. Từ đó chọn lọc và
sắp xếp lại theo ý tưởng của mình.
Khai thác, thực hiện cài đặt triển khai một số giải pháp an toàn cụ thể.
Triển khai áp dụng quy trình điều tra số để giám sát an tồn mạng máy
tính UBND tỉnh Quảng Ninh.
6. Ý nghĩa khoa học của đề tài
Đề tài góp phần nghiên cứu, xác định nguyên nhân hệ thống công nghệ
thông tin bị tấn công, từ đó đưa ra giải pháp khắc phục điểm yếu nhằm nâng
cao hiện trạng an toàn của hệ thống.

Kết quả
toàn
mạng
nghiên
máy tính
cứu
của
tại
đềnghiên
Ủy
tài nhân
ban
cócứu

giá
dân
trị
Tỉnh
thực
Quảng
tiễnNinh
đảm và
bảo an
tham
khảo
trong
cơng
tác
các
mạng
khác.


CHƯƠNG 1: TỔNG QUAN VỀ ĐIỀU TRA SỐ
1.1.

Khái niệm về điều tra số

1.1.1.

Khái niệm

Theo [11] điều tra số (đôi khi còn gọi là Khoa học điều tra số) là một nhánh
của ngành Khoa học điều tra đề cập đến việc phục hồi và điều tra các tài liệu tìm

thấy trong các thiết bị kỹ thuật số, thường có liên quan đến tội phạm máy tính.
Thuật ngữ điều tra số ban đầu được sử dụng tương đương với điều tra máy tính
nhưng sau đó được mở rộng để bao qt tồn bộ việc điều tra của tất cả các thiết
bị có khả năng lưu trữ dữ liệu số.
Điều tra số có thể được định nghĩa là việc sử dụng các phương pháp, công
cụ kỹ thuật khoa học đã được chứng minh để bảo quản, thu thập, xác nhận,
chứng thực, phân tích, giải thích, lập báo cáo và trình bày lại những thông tin
thực tế từ các nguồn kỹ thuật số với mục đích tạo điều kiện hoặc thúc đẩy việc
tái hiện lại các sự kiện nhằm tìm ra hành vi phạm tội hay hỗ trợ cho việc dự đoán
các hoạt động trái phép gây gián đoạn quá trình làm việc của hệ thống.
1.1.2.

Mục đích của điều tra số

Theo [1] trong thời đại công nghệ phát triển mạnh như hiện nay. Song song
với các ngành khoa học khác, điều tra số đã có những đóng góp rất quan trọng
trong việc ứng cứu nhanh các sự cố xảy ra đối với máy tính, giúp các chuyên gia
có thể phát hiện nhanh các dấu hiệu khi một hệ thống có nguy cơ bị xâm nhập,
cũng như việc xác định được các hành vi, nguồn gốc của các vi phạm xảy ra đối
với hệ thống.
Về mặt kỹ thuật thì điều tra số như: Điều tra mạng, điều tra bộ nhớ, điều tra
các thiết bị điện thoại có thể giúp cho tổ chức xác định nhanh những gì đang xảy
ra làm ảnh hưởng tới hệ thống, qua đó xác định được các điểm yếu để khắc phục,
kiện tồn [2].
Về mặt pháp lý thì điều tra số giúp cho cơ quan điều tra khi tố giác tội
phạm cơng nghệ cao có được những chứng cứ số thuyết phục để áp dụng các chế


tài xử phạt với các hành vi phạm pháp.
Khơng có bất cứ sự đảm bảo nào cho hệ thống mạng máy tính được tuyệt

đối an tồn trước những nguy cơ, rủi ro tấn công ác ý của tội phạm mạng. Quá
trình xử lý sự cố, phục hồi chứng cứ và truy tìm dấu vết tội phạm cần phải được
tiến hành một cách chuyên nghiệp nhằm đem lại chứng cứ chính xác.
Một cuộc điều tra số được tiến hành nhằm [3]:
- Xác định nguyên nhân hệ thống công nghệ thông tin bị tấn cơng, từ đó đưa
ra các giải pháp khắc phục điểm yếu nhằm nâng cao hiện trạng an toàn của
hệ thống.
- Xác định các hành vi tội phạm mạng máy tính đã, đang và sẽ làm đối với
hệ thống mạng máy tính. Trong thực tế, thiệt hại tiềm ẩn do những cuộc
tấn cơng gây rị rỉ thơng tin, hay làm mất tính sẵn sàng của hệ thống là
việc hệ thống bị nắm quyền điều khiển, cài chương trình theo dõi, xóa bỏ
thơng tin, biến hệ thống mạng máy tính thành công cụ tấn công các hệ
thống khác,...Việc tiến hành một cuộc điều tra số nhằm xác định chính xác
những hoạt động mà tội phạm mạng đã tác động vào hệ thống và ngăn
ngừa các rủi ro khác có thể xảy ra.[10].
- Khôi phục thiệt hại mà cuộc tấn công vào hệ thống mạng máy tính gây ra:
phục hồi dữ liệu, thông tin lưu trữ trên hệ thống đã bị phá hoại có chủ
đích.
- Thực hiện điều tra tội phạm, tìm kiếm chứng cứ số nhằm vạch trần tội
phạm cơng nghệ cao, các hoạt động gian lận, gián điệp, vi phạm pháp luật.
1.1.3.

Các bước thực hiện điều tra

Một cuộc điều tra số thường bao gồm 4 gian đoạn: Chuẩn bị, tiếp nhận dữ
liệu hay cịn gọi là ảnh hóa tang vật, phân tích và lập báo cáo.


nh 1. Các bước thực hiện điều tra số


Chuẩn bị:
Bước này thực hiện việc mô tả lại thông tin hệ thống, những gì đã xảy ra,
các dấu hiệu, để xác định phạm vi điều tra, mục đích cũng như các tài nguyên
cần thiết sẽ sử dụng trong suốt quá trình điều tra.
-ĩ
rp • /V /V 1 • /V
Tiếp nhận dữ liệu:
Đây là bước tạo ra một bản sao chính xác các dữ liệu( chứng cứ số) hay còn
gọi là nhân bản điều tra các phương tiện truyền thông. Để đảm bảo tính tồn vẹn
của chứng cứ thu được thì những dữ liệu này phải sử dụng một kĩ thuật mật mã
là “băm” dữ liệu( sử dụng SHA 128) trong quá trình điều tra cần phải xác minh
độ chính xác của các bản sao thu được.
Phân tích:
Đây là giai đoạn các chuyên gia sử dụng các phương pháp nghiệp vụ, các
kỹ thuật cũng như cơng cụ khác nhau để trích xuất, thu thập và phân tích các
bằng chứng thu được.
Lập báo cáo:
Sau khi thu thập được những chứng cứ có giá trị và có tính thuyết phục thì
tất cả phải được tài liệu hóa lại rõ ràng, chi tiết và báo cáo lại cho bộ phận có
trách nhiệm xử lý chứng cứ thu được theo quy định.
1.1.4.

Một số loại h nh điều tra phổ biến

Với nhiều loại hình điều tra số như: Điều tra Internet, điều tra điện tử, điều
tra mạng, điều tra ứng dụng...có các cách phân chia khác nhau, nhưng về cơ bản
điều tra số được chia thành 3 loại hình chính là điều tra máy tính, điều tra mạng
và điều tra thiết bị di động [4].
Điều tra máy tính:
Điều tra máy tính (Computer Forensics) là một nhánh của khoa học điều tra

số liên quan đến việc phân tích các bằng chứng pháp lý được tìm thấy trong máy


tính và các phương tiện lưu trữ kỹ thuật số.


Điều tra Registry Forensics là loại hình điều tra liên quan đến việc trích
xuất thơng tin và ngữ cảnh từ một nguồn dữ liệu chưa được khai thác qua đó biết
được những thay đổi (chỉnh sửa, thêm bớt...) dữ liệu trong Register.
Công cụ thường dùng: MuiCacheView, ProcessMonitor, Regshot,
USBDeview.
A Mttt 1 2«« c«w>í ỉtattd ■ Mkj » Food Hut Maru..
t-ỊihM ĩ 3-C' 15* AX31

>'. ĩ Ã.' ĩ -9. ‘

M»AS-1-5-21 -447191307 15449944 75-lX3261906-1000\Sortw4r4\Moo^t\Wn6*<\Cvrr4n
nh 3.Passware Encryption Analyzer xỏc nh nhng file c bo vệ bởi mật
khẩu

1MKUnSOFTWARF>4cTO*o*\Wndowi NT\CurrtntV<rwc^«^t>'.009'.CoMMM-. 31 00 31 38 34 37 00 32 00 S3 79 73 74 65 60 00 34 00 40 65 60 6F 72 79 00 36 00 25 20 50 72 F 6C 20 46 61 75 6C
74 73 2F 73 65 63 òo 33 36 00 43 61 63 68 65 20 46 61 75 6C 74 73 2F 73 65 63 00 33 38 00 44 65 60 61 6£ 64 20 5A 65 72 6F 20 46 61 75 6C 74 73 V 74 65 60 20 43
6F
64
65
2054 6F 7461 6C 20 42 79 74 6573 00 3730 00 53 79 73 74 65 60 20
436f 64 65 2052 65 7369 64 656£ 74 2042 79 74 65 73 00 37 32 00 53 7
20 25 00 39 36
00 44 6174 61 20 4 0 61 70 20 50 69 6€ 73 2F 73 65

63 00 39 38 00 50 69 6€ 20 52 65 61 64 73 2F 73 65 63 00 31 30 K 00
53 79 6€ 63 20 50 69 6€ 20 52 6
4
20 52 65 61 64 73 2F 73 65 63 00 31 32 38 00 41 73 79 6E 63 20 46 61 73 74 20 52 65 61 64 73 2F 73 65 63 00 31 33 30 00 46 61 73 74 20 52 65 61 64 20 52 65 73 6F 75
4C 65 76 65 6C
20 32 2054 4C 42 2046 69 6C 6C 73 V n 65 63 00 31 35 36 00 45 6€ 75 60 65
72 61 74 69 6F 6€ 73 20 53 65 72 76 65 72
V 73 65 63 00 31 35 38 00 45 6
61 68 00 31 38
30 00 576F 72 68 69 6€ 67 20 53 65 74 00 31 38 32
00 50 61 67 65 20 46 69 6C65 20 42 79 74 65 73 20 50 65 61 68 00 31
38 34 00 50 61 67 65 20 46 69 6
5
61 64 73 2F 73 65 63 00 32 31 36 00 44 69 73 68 20 57 72 69 74 65 73 2F 73 65 63 00 32 31 38 00 44 69 73 68 20 42 79 74 65 73 2F 73 65 63 00 32 32 30 00 44 69 73 6« 49 6£ 74 65 72
72 75 70 74 73 2F 73 65 63 oo 32 34 38 oo 50 72 6F 63 65 73 73 65 73 00 32 35 30 oo 54 68 72 65 61 64 73 00 32 35 32 00 45 76 65 6€ 74 73 00 32 35 34 0
21 n XA 14 xc 1A 41 1A 14 XX 11 n* ÍA <1 «1 XA 4C <1 V Tí xc XI T» le 11 AA ÍT 11 XA 14 XK 1A Ai m 14 xc 11 in AC xc xc v\ XA x« XI XA xc <1 1C TT XX AI AA 11 1

nh 2. Sử dụng Regsshot quan sát sự thay đổi trong Registry.

Điều tra phương tiện lưu trữ(Disk Forensics) là việc thu thập, phân tích dữ
liệu được lưu trữ trên phương tiện lưu trữ vật lý, nhằm trích xuất dữ liệu ẩn, khơi
phục các tập tin bị xóa, qua đó xác định người đã tạo ra những thay đổi dữ liệu
trên thiết bị được phân tích.
Cơng cụ thường dùng: ADS Locator, Disk Investigator, Passware
Encryption Analyzer, Disk Detector, Sleuth Kit, FTK.


Điều tra bộ nhớ(Memory Forensics): là phương thức điều tra máy tính
bằng việc ghi lại bộ nhớ khả biến (bộ nhớ RAM) của hệ thống sau đó tiến hành
phân tích làm rõ các hành vi đã xảy ra trên hệ thống.

Cụ thể hơn, đó là cố gắng sử dụng kiến trúc quản lý bộ nhớ trong máy
tính để ánh xạ, trích xuất các tập tin đang thực thi và cư trú trong bộ nhớ.
Những tập tin thực thi có thể được sử dụng để chứng minh rằng hành vi của tội
phạm đã xảy ra hoặc để theo dõi nó đã diễn ra như thế nào.
Công cụ sử dụng: Dumpit, Strings, The Sleuthkit, Win32dd, Foremost,
Volatility, Mandiant Redline, DFF.

nh 4. Sử dụng Volatility liệt kê các tiến tr nh đang chạy trên hệ thống

Điều tra mạng
Điều tra mạng (Network Forensics) là một nhánh của khoa học điều tra
số liên quan đến việc giám sát và phân tích lưu lượng mạng máy tính nhằm
phục vụ cho việc thu thập thông tin, chứng cứ pháp lý hay phát hiện các xâm
nhập. Network Forensics cũng được hiểu như Digital Forensics trong môi
trường mạng.


Network Forensics là một lĩnh vực tương đối mới của khoa học pháp y.
Sự phát triển mỗi ngày của Internet đồng nghĩa với việc máy tính đã trở thành
mạng lưới trung tâm và dữ liệu bây giờ đã khả dụng trên các chứng cứ số nằm
trên đĩa. Network Forensics có thể được thực hiện như một cuộc điều tra độc
lập hoặc kết hợp với việc phân tích pháp y máy tính (computer forensics)
-thường được sử dụng để phát hiện mối liên kết giữa các thiết bị kỹ thuật số
No.

Time
0.000000
10.000279
20.000798
30.061149

30.069467
30.292923
30.612811
30.614993
30.615348
35.285494
36.285487
37.285485

Destination

cisco_7c:eb:3d
cisco_7c:eb:3d
cisco_7c:eb:3d
Cisco_7c:eb:3d

Protocol
LOOP
LOOP
LOOP
LOOP

Length Info

CDP/VTP/DTP PAgP CDP

10.1.1.1
10.1.1.1
AddtronT_d9:7c:fd
AddtronT_d9:7c:fd

AddtronT_d9:7c:fd

151.164.1.8
DNS
10.0.0.6
DNS
129.111.30.27 IPv4
129.111.30.27 UDP
Toshiba_cf:d9:cd ARP
Toshiba_cf:d9:cd ARP
Toshiba_cf:d9:cd ARP

60 Reply
60 Reply
60 Reply
60 Reply
333 Device ID: gramirez-isdn.tivoli.com Port ID: EthernetO
78 Standard query Ox7d9e A picard.uthscsa.edu
289 Standard query response 0x7d9e A 129.111.30.27 Fragmented IP protocol (proto70 UDP 17, off-O, ID-oof2) [Rea: source port: who has 10.0.
38 who has 10.0. who
31915
has 10.0.Destination port: 20197 [BAD UDP LENGTt Tell
42
0.254? 10.0.0.6
42
0.254? Tell 10.0.0.6
42
0.254? Tell 10.0.0.6

B L2 IPv4 Fragments (28 bytes): #8(36), #9(4)J B TFrame: 8,

payload: 0-35 (36 bytes)1

^■iIII Bl inrmTĩTt—

iFrame; 9. payload; 24-27 (4 byt£s)l
[Fragment count: 2]
[Reassembled IPv4 length: 28]
[Reassembled IPv4 data: 7cab4ee50024000000000000000000000000000000000000.■.]

HHHt POT®
source port: 31915 (31915) Destination port: 20197
(20197)

Length: 36 (bogus, payload length 28)

B [Expert Info (Error/Malformed): Bad length value 36 > IP payload length]
[Message: Bad length value 36 > IP payload length] [severity level:
Error]
[Group: Malformed]
I- Checksum: 0x0000 (none)

hay tái tạo lại quy trình phạm tội.
nh 5. Sử dụng Wireshark phân tích tấn cơng Teadrop

Application Forensics là loại hình điều tra phân tích các ứng dụng chạy
trên hệ thống như Email, dữ liệu trình duyệt, skype, yahoo. Qua đó trích xuất
các bản ghi được lưu trữ trên các ứng dụng phục vụ cho việc điều tra tìm kiếm
chứng cứ.
Cơng cụ thường dùng: Chrome Cache View, Mozilla Cookies View, My
Last Search, Password Fox, Skype Log View.

nh 6. Sử dụng skypelogview xem dữ liệu được trao đổi qua đường truyền


Điều tra thiết bị di động:
Điều tra thiết bị di động (Mobile device Forensics) là một nhánh của khoa học
điều tra số liên quan đến việc thu hồi bằng chứng kỹ thuật số hoặc dữ liệu từ các
thiết bị di động. Thiết bị di động ở đây không chỉ đề cập đến điện thoại di động mà
còn là bất kỳ thiết bị kỹ thuật số nào có bộ nhớ trong và khả năng giao tiếp, bao gồm
các thiết bị PDA, GPS và máy tính bảng.
Việc sử dụng điện thoại với mục đích phạm tội đã phát triển rộng rãi trong
những năm gần đây, nhưng các nghiên cứu điều tra về thiết bị di động là một lĩnh
vực tương đối mới, xuất hiện từ những năm 2000. Sự gia tăng các
loại hình điện thoại di động trên thị trường (đặc biệt là điện thoại thơng minh) địi
hỏi nhu cầu giám định các thiết bị này mà không thể đáp ứng bằng các kỹ
thuật điều tra máy tính hiện tại.
PmMíxvoi
AdNr.WL

nh 7. Sử dụng WPDeviceManager để trích xuất SMS

1.2.

Đặc điểm của điều tra số

1.2.1.

Tội phạm máy tính

Tội phạm máy tính là hành vi vi phạm pháp luật hình sự do người có năng lực
trách nhiệm hình sự sử dụng máy tính để thực hiện hành vi phạm tội, lưu trữ thông
tin phạm tội hoặc xâm phạm đến hoạt động bình thường và an tồn của máy tính, hệ
thống mạng máy tính.
Các loại tội phạm máy tính gồm có:
+ Đánh cắp định danh;
+ Truy cập bất hợp pháp vào hệ thống máy tính và dữ liệu nhạy cảm;
+ Lừa đảo trực tuyến;


+ Phát tán tin rác, mã độc;
Thứ nhất, về tội đánh cắp định danh là q trình thu thập thơng tin cá nhân để
thủ phạm giả danh người khác. Thường được thực hiện để được thẻ tín dụng của nạn
nhân, để cho nạn nhân một khoản nợ mà không hề hay biết. Ở Mỹ tội đánh cắp định
danh được xác định như sau: “Tội phạm trộm cắp và lừa đảo danh tính là thuật ngữ
dùng để chỉ các loại tội phạm ăn cắp, gian lận, lừa dối và sử dụng trái phép dữ liệu
các nhân của người khác”. Có 4 cách có thể thực hiện truy cập vào thơng tin cá
nhân: Giả mạo, tấn công, sử dụng phần mềm gián điệp, truy cập trái phép vào dữ
liệu.
Thứ hai, truy cập bất hợp pháp vào hệ thống máy tính và dữ liệu nhạy cảm là
mục đích khác hơn so với tội phạm đánh cắp định danh [11].
Ví dụ: Thủ phạm có thể muốn ăn cắp dữ liệu bí mật của cơng ty, tài liệu tài
chính nhạy cảm hoặc các dữ liệu khác. Thơng tin này có thể được sử dụng để thu hút
khách hàng từ đối thủ cạnh tranh, phát hành để làm hỏng cổ phiếu của công ty, hoặc
sử dụng để tống tiền.
Trong mọi trường hợp, các yếu tố phổ biến là thủ phạm hoặc là không được
cho phép truy cập dữ liệu hoặc không được phép sử dụng dữ liệu vậy mà cố tình sử
dụng nó. Các phương pháp tương tự như bất kể mục đích của các truy cập trái phép.
Nó có thể được thực hiện thơng qua hacking hoặc phần mềm gián điệp, các nhân
viên truy cập dữ liệu hoặc thông qua phương tiện truyền thông dữ liệu bị loại bỏ.

Đặc biệt, hành vi trộm cắp dữ liệu là một vấn đề quan trọng, lý do chính là khó
khăn để ngăn chặn nhân viên được phép truy cập đến dữ liệu. Đơi khi cũng rất khó
để phân biệt giữa các truy cập trái phép và được phép.
Thứ ba, là tội phạm lừa đảo, loại này khá phổ biến. Một trong số các hành vi
lừa đảo trực tuyến trên Internet bao gồm:
Lừa đảo đầu tư: là phần đầu tư, môi giới đầu tư không hợp pháp, đây không
phải là một trào lưu cũng không hẳn là một hoạt động phạm tội.
Lừa đảo giao dịch trực tuyến: Hiện nay giao dịch đấu giá trực tuyến khá phổ
biến. Người dùng hợp pháp có thể khó khăn xác định một mức giá tốt, hoặc loại bỏ


các mặt hàng khơng cịn nhu cầu, cũng như nhiều địa điểm kinh doanh hợp pháp.
Tuy nhiên, bọn tội phạm nỗ lực thao tác lừa đảo để ăn cắp từ các nạn nhân. Như
không giao hàng, giao hàng với giá trị thấp hơn, cung cấp hàng hóa khơng đúng hạn,
khơng tiết lộ thông tin liên quan đến sản phẩm.
Lừa đảo nhận/chuyển tiền: Một loạt các trò gian lận trên internet có liên quan
đến việc trao đổi một lệnh chuyển tiền giả hoặc ký séc tiền thật.
Vi phạm bản quyền: là hành vi trộm cắp tài sản trí tuệ. Bản quyền phần mềm,
bài hát, đoạn phim được trao đổi, mua bán khi chưa có sự đồng ý của tác giả. Thơng
thường các trường hợp này là vấn đề dân sự. Vụ kiện, vụ việc sẽ bị ngăn chặn và
giải quyết thiệt hại bằng một số tiền một cách đáng kể.
Thứ tư, phát tán tin rác, mã độc. Đây cũng là một hình thức phạm tội rất phổ
biến hiện nay. Tội phạm này chuyên thực hiện các hành vi phát tán tin rác, mã độc
hại. Phát tán tin rác là hành vi gửi các tin nhắn hoặc các email chưa nội dung quảng
cáo, marketing và được gửi một cách vô tội gây phiền tối cho người nhận. Đơi khi,
nó dẫn dụ người nhẹ dạ, tìm cách đọc số thẻ tín dụng và các tin tức cá nhân của họ.
Viết mã độc - phát tán mã độc là một trong những hình thức tấn công mới trên
mạng. Kẻ tấn công sử dụng các chương trình mã độc để lây nhiễm vào các hệ thống,
phần mềm nhằm mục đích phá hoại hệ thống hoặc đánh cắp các thông tin trái phép.
Để thực hiện phát tán mã độc, kẻ tấn công thường gửi một email có chứa mã độc tới

nạn nhân hoặc đính kèm trong một phần mềm phổ dụng; người dùng chỉ cần kích
hoạt chương trình là mã độc sẽ tự động lây nhiễm vào hệ thống. Như vậy, kẻ tấn
cơng có thể theo dõi toàn bộ hoạt động trên hệ thống lây nhiễm hoặc sử dụng hệ
thống bị lây nhiễm như một công cụ thực hiện tấn công tới các đối tượng khác.
1.2.2.

Bằng chứng số

Định nghĩa
Có rất nhiều định nghĩa khác nhau về bằng chứng số, mỗi định nghĩa phản ánh
một cách nhìn nhận khác nhau. Trong đó định nghĩa hiện nay đang được sử dụng đó


là “bằng chứng số hay còn gọi là bằng chứng điện tử là mọi thơng tin có giá trị pháp
lý được lưu trữ, được truyền dẫn dưới dạng thức số”. Những bằng chứng này có
được khi thơng tin và thiết bị vật lý được thu thập và lưu trữ trong q trình điều tra.
Vai trị
Vai trị của bằng chứng số tạo ra mối liên kết giữa kẻ tấn công, nạn nhân và
hiện trường vụ án.
Theo định nghĩa của Locard thì “bất cứ ai hoặc bất cứ thứ gì, mang đến hiện
trường vụ án thì cũng để lại dấu vết khi rời đi”.
Ví dụ: Tại thời điểm phạm tội, bất cứ thơng tin nào được lưu trên máy tính của
nạn nhân ở Sever hay chính hệ thống đó, thì trong khi điều tra có thể theo dõi thơng
tin bằng chứng kiểm tra log files, lịch sử trình duyệt.
Đặc điểm của bằng chứng số
Bằng chứng số phải có những đặc điểm sau thì mới được tịa cơng nhận trong
q trình xử án.
Được thừa nhận: Bằng chứng phải liên quan đến một sự việc đang được chứng
minh.
Xác thực: Bằng chứng phải có thật và liên quan đến sự việc được chứng minh.

Đáng tin: Bằng chứng phải rõ ràng, dễ hiểu và đáng tin đối với thẩm phán.
Tin tưởng: Thẩm phán phải tin tưởng vào tính xác thực của bằng chứng.
Hồn chỉnh: Bằng chứng phải chứng minh được hành động của kẻ tấn công có
tội hoặc vơ tội.
Bằng chứng số dễ bị hư hại như trong khi điều tra tại hiện trường vụ án máy
tính bị tắt nguồn thì các dữ liệu dễ biến động như RAM sẽ bị mất. Hay trong khi
máy tính đang được kết nối với Internet, nạn nhân chưa kịp ngắt kết nối thì kẻ tấn
cơng có thể xóa bằng chứng bằng cách xóa đi các tập tin logs.
Ngồi việc xóa dấu vết bằng chứng, tội phạm máy tính cịn sử dụng antiforensics để làm cản trở, gây khó khăn cho việc điều tra.
Ghi đè lên dữ liệu: phá hủy bất kỳ dữ liệu nghi ngờ nào bằng cách ghi đè nhiều
lần với bit 0.


Ẩn dữ liệu
Xáo trộn dữ liệu
1.2.3.

Vấn đề pháp lý

Vấn đề pháp lý rất quan trọng trong điều tra số, các quy định về việc chấp nhận
bằng chứng số trong vụ án. Điều tra pháp lý liên quan đến luật quy định trong nước,
luật pháp quốc tế, các tiêu chuẩn kỹ thuật được áp dụng.
Ngày nay, công nghệ thông tin phát triển và tội phạm về công nghệ thông tin
cũng bắt đầu tăng dần. Ngồi xã hội có loại tội phạm gì thì trên mạng thơng tin tồn
cầu có loại tội phạm đó, từ trộm cắp, lừa đảo, khủng bố đến giết người... Đây được
xem là nguồn chứng cứ quan trọng và đặc thù.
Điều đáng lưu ý là dữ liệu điện tử là những ký tự được lưu giữ trong thiết bị
điện tử như máy tính, máy ảnh, máy photo, mạng Internet... mà từ đó có thể cho ra
chữ viết, chữ số, hình ảnh, âm thanh... phản ánh sự kiện phạm tội. Những dữ liệu
điện tử này rất dễ bị tẩy xóa, sửa chữa, thay đổi, hủy bỏ do cố ý hoặc vô ý.

Để thu thu thập được dữ liệu điện tử này, cần sử dụng những thiết bị và phần
mềm phù hợp, để có thề phục hồi "dấu vết điện tử" đã bị xóa, bị ghi đè, dữ liệu tồn
tại dưới dạng ẩn, đã mã hóa...để có thể đọc, ghi lại, sử dụng làm bằng chứng trước
tòa. Đặc biệt, hiện chưa có quy định về thủ tục tố tụng hình sự đối với việc thu thập,
bảo quản, phục hồi và giám định chứng cứ là dữ liệu điện tử. [9].
1.2.4

Các loại bằng chứng số

1.2.4

1. Bằng chứng trên máy tính

Bằng chứng số trên máy tính được chia làm 02 loại: Tập tin được tạo bởi người
dùng và tập tin được máy tính sinh ra tự động.
Tập tin được tạo bởi người dùng
Tập tin được tạo ra bởi người dùng bao gồm văn bản(.docx), bảng tính (excel),
hình ảnh, audio, video. Những tập tin này chứa siêu dữ liệu, siêu dữ liệu này cung
cấp các thông tin sau: Tên người tạo tài liệu, chủ sở hữu máy tính ngày và giờ các tài
liệu này được tạo ra, thời gian tài liệu được lưu lại, bất kỳ sửa đổi nào được thực


hiện trên tài liệu, ngày tháng và thời gian tài liệu được chỉnh sửa lần cuối và truy
cập.
Các tập tin được tạo ra bởi máy tính
Các tập tin được tạo ra tự động bởi máy tính có thể rất có giá trị. Các tập tin có
thể hỗ trợ điều tra viên trong việc điều tra như: logs, lịch sử trình duyệt, cookies, tập
tin temp.
- Tập tin logs: Tự động ghi lại các sự kiện trong máy tính có thể được sử dụng
để theo dõi, hiểu, chẩn đoán các hoạt động và vấn đề trong hệ thống.

- Setup logs: Tập tin này cung cấp dữ liệu về các ứng dụng được cài đặt trên
máy tính
- System logs: Tập tin cung cấp thông tin về các thành phần hệ thống
- Aplication and services logs: Ghi lại các sự kiện mới
- Lịch sử trình duyệt: Thu thập dữ liệu từ các trang web người dùng sử dụng
Cookies là bản ghi được tạo ra và lưu lại trên trình duyệt khi người dùng truy
cập vào một trang web.
File Temporary là các tập tin được lưu tạm trong quá trình cài đặt chương trình
ứng dụng.
I.2.4.2. Các kiểu bằng chứng khác
Hệ thống điện toán đám mây: Cung cấp một mơ hình mới để xử lý phân tán
dữ liệu số. Việc lưu trữ trên đám mây các tài liệu, hình ảnh... cũng sẽ là một nguồn
tiềm năng chứa nhiều chứng cứ trong quá trình điều tra số.
Đối với thiết bị lưu trữ:
Ổ cứng là thiết bị lưu trữ điện tử, lưu trữ dữ liệu trên bề mặt các tấm đĩa trịn
phủ vật liệu từ tính. Ổ đĩa cứng là loại bộ nhớ “không thay đổi”, dữ liệu khơng bị
mất đi khi ngừng cung cấp điện. Có thể lưu các định dạng khác nhau như văn bản,
hình ảnh bằng chứng thu thập bằng cách kiểm tra văn bản, video, cơ sở dữ liệu và
các tập tin chương trình máy tính.


Thẻ nhớ: Đây là thiết bị lưu trữ di động, được sử dụng trong nhiều thiết bị như
máy ảnh, điện thoại, PDA. Dữ liệu trong thẻ nhớ không bị mất khi ngắt nguồn. Thu
thập bằng chứng bằng cách kiển tra logs, tập tin văn bản, tập tin hình ảnh.
USB flash: Đây là thiết bị lưu trữ di động với USB kết nối, đây là thiết bị nhỏ
và nhẹ. Có thể thu thập bằng chứng trong đây bằng cách kiểm tra văn bản, hình ảnh.
Ngồi ra cịn các thiết bị lưu trữ truyền thống như đĩa mềm, CD/DVD bất kỳ
dữ liệu nào được ghi trong đó đêu là bằng chứng.
Thiết bị ngoại vi
Máy in được kết nối với máy tính thơng qua cáp hoặc truy cập thông qua một

cổng hồng ngoại. Một vài máy in có chứa bộ nhớ đệm cho phép nhận và lưu giữ
nhiều loại tài liệu. Chứng cứ được tìm thơng qua logs, thơng tin thời gian, xác định
thông tin mạng, hộp mực sử dụng.
Máy scan là một thiết bị quang kết nối với máy tính, có thể chuyển đổi h ình
ảnh, văn bản chữ viết thành ảnh kỹ thuật số. Chứng cứ được tìm thầy bằng cách nhìn
vào các dấu vết trên mặt kính của máy scan.
Thiết bị RFDI (nhận dạng bằng sóng vơ tuyến) đây là thiết bị có thể thay thế
cho các mã vạch trong siêu thị được sử dụng trong lĩnh vực quản lý hàng hóa, làm
thẻ hộ chiếu. Những chứng cứ sẽ được thể hiện trên máy tính khi thiết bị này kết nối
với máy tính.
Thiết bị thơng minh: Loại điện thoại, điện thoại thơng minh, thiết bị GPS,
máy tính bảng. Đối với thiết bị điện thoại bằng chứng được tìm thấy thơng qua danh
bạ, số điện thoại, xác định thông tin người gọi, hay các bằng chứng khi truy cập
web, email thông qua logs. Đối với thiết bị GPS bằng chứng được tìm thấy thơng
qua các điềm truy cập, nhật kí truy cập.
Thiết bị mạng: Loại firewall, router, hub, switch, các thiết bị khác.
Router, hub, switch kết nối máy tính hoặc mạng khác nhau. Đối với router bằng
chứng được tìm thấy khi cấu hình file. Đối với hub và switch bằng chứng được tìm
thấy trong các thiết bị khác.
Server là một máy tính trung tâm trong đó cung cấp các dịch vụ cho phép máy