Tải bản đầy đủ (.pdf) (80 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Nông - Lâm - Ngư

Nghiên cứu kĩ thuật điều tra số trong giám sát an toàn mạng máy tính và ứng dụng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.56 MB, 80 trang )

ĐẠI HỌC THÁI NGUYÊN
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

ĐINH THỊ THÚY HƢỜNG

NGHIÊN CỨU KĨ THUẬT ĐIỀU TRA SỐ
TRONG GIÁM SÁT AN TỒN MẠNG MÁY TÍNH
VÀ ỨNG DỤNG

Chuyên ngành: Khoa học máy tính
Mã số: 8 48 01 01

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

Giáo viên hƣớng dẫn: TS. Hồ Văn Hƣơng

THÁI NGUYÊN - 2021


i
LỜI CẢM ƠN
Trong suốt quá trình học tập vừa qua, em đã đƣợc quý thầy cô cung cấp
và truyền đạt tất cả kiến thức chuyên môn cần thiết và quý giá nhất. Ngồi
ra, em cịn đƣợc rèn luyện một tinh thần học tập và làm việc độc lập và sáng
tạo. Đây là tính cách hết sức cần thiết để có thể thành công khi bắt tay vào
nghề nghiệp trong tƣơng lai.
Đề tài luận văn thạc sĩ là cơ hội để em có thể áp dụng, tổng kết lại những
kiến thức mà mình đã học. Đồng thời, rút ra đƣợc những kinh nghiệm thực tế
và quý giá trong suốt quá trình thực hiện đề tài. Sau một thời gian em tập
trung cơng sức cho đề tài và làm việc tích cực, đặc biệt là nhờ sự chỉ đạo và
hƣớng dẫn tận tình của TS Hồ Văn Hƣơng cùng với các thầy cô trong trƣờng


Đại học Công nghệ thông tin & Truyền thơng - Đại học Thái Ngun, đã giúp
cho em hồn thành đề tài một cách thuận lợi và gặt hái đƣợc những kết quả
mong muốn. Bên cạnh những kết quả khiêm tốn mà em đạt đƣợc, chắc chắn
không tránh khỏi những thiếu sót khi thực hiện luận văn của mình, kính mong
thầy cơ thơng cảm. Sự phê bình, góp ý của quý thầy cô sẽ là những bài học
kinh nghiệm rất quý báu cho công việc thực tế của em sau này.
Em xin chân thành cảm ơn TS Hồ Văn Hƣơng đã tận tình giúp đỡ em
hồn thành đề tài này.
Em xin chân thành cảm ơn!
Thái Nguyên, tháng 01 năm 2021
Học viên

Đinh Thị Thúy Hƣờng


ii
LỜI CAM ĐOAN
Em xin cam đoan nội dung luận văn này là do chính em thực hiện, các số
liệu thu thập và kết quả phân tích trong báo cáo là trung thực, không sao chép
từ bất cứ đề tài nghiên cứu khoa học nào. Nếu sai, em xin hoàn toàn chịu
trách nhiệm trƣớc Nhà trƣờng.
Thái Nguyên, tháng 01 năm 2021
Học viên

Đinh Thị Thúy Hƣờng


iii
MỤC LỤC
LỜI CẢM ƠN .................................................................................................... i

LỜI CAM ĐOAN ............................................................................................. ii
MỤC LỤC ........................................................................................................ iii
DANH MỤC CÁC TỪ VIẾT TẮT ................................................................. vi
DANH MỤC BẢNG ....................................................................................... vii
DANH MỤC HÌNH ẢNH ............................................................................. viii
LỜI MỞ ĐẦU .................................................................................................. 1
1. Tính cấp thiết của đề tài ................................................................................ 1
2. Đối tƣợng và phạm vi nghiên cứu ................................................................. 1
3. Hƣớng nghiên cứu của đề tài ........................................................................ 2
4. Những nội dung và bố cục của luận văn ....................................................... 2
5. Phƣơng pháp nghiên cứu............................................................................... 3
6. Ý nghĩa khoa học của đề tài .......................................................................... 3
CHƢƠNG 1: TỔNG QUAN VỀ ĐIỀU TRA SỐ ......................................... 4
1.1. Khái niệm về điều tra số............................................................................. 4
1.1.1. Khái niệm ................................................................................................ 4
1.1.2. Mục đích của điều tra số ......................................................................... 4
1.1.3. Các bước thực hiện điều tra .................................................................... 5
1.1.4. Một số loại hình điều tra phổ biến .......................................................... 6
1.2. Đặc điểm của điều tra số .......................................................................... 10
1.2.1. Tội phạm máy tính ................................................................................. 10
1.2.2. Bằng chứng số ....................................................................................... 13
1.2.3. Vấn đề pháp lý ....................................................................................... 14
1.2.4 Các loại bằng chứng số.......................................................................... 15
1.3. Kết luận chƣơng 1 .................................................................................... 17
CHƢƠNG 2: KĨ THUẬT ĐIỀU TRA SỐ .................................................. 18
2.1. Chuẩn bị ................................................................................................... 19


iv
2.2. Bảo vệ và giám định hiện trƣờng ............................................................. 22

2.3. Lập tài liệu hiện trƣờng ............................................................................ 24
2.4 Thu thập bằng chứng ................................................................................. 24
2.4.1 Thu thập dữ liệu ..................................................................................... 24
2.4.2 Xác nhận tính tồn vẹn của dữ liệu........................................................ 27
2.4.3 Nhân bản dữ liệu .................................................................................... 28
2.4.4 Công cụ sử dụng để thu thập.................................................................. 30
2.5. Đánh dấu, vận chuyển và lƣu trữ ............................................................. 34
2.6. Kiểm tra .................................................................................................... 34
2.7. Phân tích ................................................................................................... 35
2.8. Thuật tốn lọc gói tin ............................................................................... 36
2.9. Kết luận chƣơng 2 .................................................................................... 39
CHƢƠNG 3. ÁP DỤNG KĨ THUẬT ĐIỀU TRA SỐ ĐỂ GIÁM SÁT
AN TỒN MẠNG MÁY TÍNH UBND TỈNH QUẢNG NINH........ 40
3.1. Thực trạng và nhu cầu giám sát an tồn mạng máy tính tại UBND tỉnh
Quảng Ninh. ............................................................................................ 40
3.2. Mô tả hệ thống ......................................................................................... 41
3.2.1. Kiến trúc và thành phần hệ thống. ........................................................ 43
3.3. Mơ hình triển khai .................................................................................... 44
3.3.1. Triển khai chủ động .............................................................................. 45
3.3.2. Triển khai thụ động ............................................................................... 45
3.4. Thực hiện điều tra số dựa trên hệ thống đã mô tả .................................... 46
3.4.1. Thu thập và tập hợp dữ liệu .................................................................. 47
3.4.2. Sàng lọc, chuẩn hóa và tương quan dữ liệu ......................................... 47
3.4.3. Phân tích dữ liệu ................................................................................... 48
3.4.4. Cơng cụ phân tích gói tin Wireshark .................................................... 50
3.5. Thực nghiệm ............................................................................................ 55
3.5.1. Xác định địa chỉ IP của kẻ tấn công và của nạn nhân.......................... 56


v

3.5.2. Xác định số phiên TCP trong file dump. ............................................... 57
3.5.3. Xác định thời gian của cuộc tấn công................................................... 58
3.5.4. Xác định dịch vụ bị tấn công và lỗ hổng trên dịch vụ bị tấn công ....... 58
3.6. Giải mã thơng tin trong các gói tin bị mã hóa ......................................... 60
3.7. Mô phỏng lại cuộc tấn công của Hacker ................................................. 63
3.7.1. Quét cổng 445 để xem cổng này có mở khơng, điều này thể hiện qua
các gói tin SYN, SYN/ACK, ACK, FIN liên tục ....................................... 63
3.7.2. Thiết lập kết nối IPC và request đến SMB ............................................ 64
3.8. Đề xuất xử lý tự động q trình chặn bắt và phân tích gói tin ................. 64
3.9. Kết luận chƣơng 3 .................................................................................... 67
KẾT LUẬN VÀ ĐỀ NGHỊ ........................................................................... 68
TÀI LIỆU THAM KHẢO ............................................................................ 70


vi
DANH MỤC CÁC TỪ VIẾT TẮT

Viết

Từ tiếng Anh

tắt

Từ tiếng Việt

SHA

Secure Hash Algorithm

Giải thuật băm an toàn


MD5

Message – Digest algorithm 5

Thuật toán hàm băm

PDA

Personal digital assistant

Thiết bị trợ giúp cá nhân

MDS

Maintenance Data System

Hệ thống dữ liệu bảo trì

FAT

File Allocation Table

Bảng định vị tập tin

NTFS

New Technology File System

Hệ thống tập tin công nghệ mới


DNS

Doman Name System

Hệ thống tên miền

Network Intrusion Detection

Hệ thống phát hiện xâm nhập

System

mạng

Random Access Memory

Bộ nhớ truy cập ngẫu nhiên

NIDS
RAM

NFAT Network Forensics Analysis Tool Cơng cụ phân tích mạng
ARP

Address Resolution Protocol

Giao thức phân giải địa chỉ



vii
DANH MỤC BẢNG

Bảng 2.1: Thiết bị chống ghi phần cứng, phần mềm ...................................... 21
Bảng 2-2: Công cụ phần mềm giúp thu thập .................................................. 30
Bảng 2-3: Công cụ phần cứng giúp thu thập .................................................. 32


viii
DANH MỤC HÌNH ẢNH
Hình 1. Các bƣớc thực hiện điều tra số ............................................................. 6
Hình 2. Sử dụng Regsshot quan sát sự thay đổi trong Registry. ...................... 7
Hình 3.Passware Encryption Analyzer xác định những file đƣợc bảo vệ bởi
mật khẩu .............................................................................................. 7
Hình 4. Sử dụng Volatility liệt kê các tiến trình đang chạy trên hệ thống ....... 8
Hình 5. Sử dụng Wireshark phân tích tấn cơng Teadrop .................................. 9
Hình 6. Sử dụng skypelogview xem dữ liệu đƣợc trao đổi qua đƣờng truyền . 9
Hình 7. Sử dụng WPDeviceManager để trích xuất SMS................................ 10
Hình 8. Qui trình điều tra số............................................................................ 19
Hình 9: Mơ hình thu thập thơng tin................................................................. 27
Hình 10: Lƣu đồ thuật tốn lọc gói tin. ........................................................... 37
Hình 11: Hệ thống thu thập thơng tin ............................................................. 41
Hình 12: Triển khai chủ động. ........................................................................ 45
Hình 13: Quy trình phân tích gói tin. .............................................................. 49
Hình 14: Cơng cụ Filter................................................................................... 52
Hình 15: CTRL+F. .......................................................................................... 53
Hình 16. Mơ hình thực nghiệm ....................................................................... 55
Hình 17. Quy trình xác định nguồn gốc và nguyên nhân vụ tấn cơng ........... 56
Hình 18. Danh sách các gói tin truy cập đến máy nạn nhân. .......................... 57
Hình 19. Danh sách các IP bắt đƣợc. .............................................................. 57

Hình 20. Xem số phiên TCP hiện có. ............................................................. 57
Hình 21. Lọc packet theo info ......................................................................... 58
Hình 22. Một tập luật để phát hiện lỗi MS08-067 trong hệ thống của Suricata59
Hình 23. Xuất hiện chuỗi dữ liệu “C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88” 59
Hình 24. Xuất hiện chuỗi dữ liệu “00 2E 00 2E 00 5C 00 2E 00 2E 00 5C” . 60
Hình 25. Tìm các gói tin bị mã hóa bằng RSA. .............................................. 60


ix
Hình 26. Xuất thơng tin trong file .der sử dụng rsatool. ................................. 61
Hình 27. Xuất ra modulus n. ........................................................................... 61
Hình 28. Chuyển n về hệ thập phân. ............................................................... 62
Hình 29. Phân tích n thành tích của p và q. .................................................... 62
Hình 30. Tạo ra khóa riêng private key. ......................................................... 62
Hình 31. Nhập thơng tin địa chỉ IP của các gói tin cần giải mã và chọn khóa riêng. 63
Hình 32. Thơng tin đƣợc giải mã thành cơng. ................................................ 63
Hình 33. Q trình qt cơng 445. .................................................................. 63
Hình 34. Thiết lập kết nối IPC và request. ...................................................... 64
Hình 35. Sử dụng Tshark bắt gói tin. .............................................................. 65
Hình 36. Mã nguồn Lua. ................................................................................. 66
Hình 37. Mơ hình hoạt động của hệ thống phân tích tự động. ....................... 67


1
LỜI MỞ ĐẦU
1. Tính cấp thiết của đề tài
Hiện nay công nghệ thông tin ngày càng phát triển, không ngừng đem
đến nhiều lợi ích cho các lĩnh vực kinh tế, thƣơng mại, dịch vụ. Bên cạnh đó,
đây cũng chính là môi trƣờng thuận lợi để các loại tội phạm công nghệ cao
thực hiện hành vi phạm tội của mình nhƣ đánh cắp thông tin, phát tán mã độc

hay các hành vi chuộc lợi khác. Để xác định đƣợc hành vi của tội phạm cơng
nghệ cao thì cần phải dựa vào những bằng chứng mà chúng để lại.
Từ đó tiến hành bảo quản, thu thập, xác nhận, chứng thực, phân tích, giải
thích, lập báo cáo và trình bày lại những thơng tin thực tế từ các nguồn kỹ
thuật số với mục đích tạo điều kiện hoặc thúc đẩy việc tái hiện lại các sự kiện,
nhằm tìm ra hành vi phạm tội hay hỗ trợ cho việc dự đoán các hoạt động trái
phép gây gián đoạn quá trình làm việc của hệ thống. Tất cả những hành động
trên liên quan đến ngành khoa học điều tra số. Việc điều tra số này khơng chỉ
đơn thuần là yếu tố kĩ thuật, nó cịn địi hỏi ngƣời thực hiện có kinh nghiệm
nhận thức đƣợc những gì nên làm và khơng nên làm.
Tình hình an tồn thơng tin mạng trên Thế giới nói chung và Việt Nam
nói riêng ngày càng diễn biến phức tạp, tinh vi, khó dự đốn. Khơng nằm
ngồi xu thế chung trên tồn cầu cơng tác đảm bảo giám sát an tồn thông tin
mạng của UBND Tỉnh Quảng Ninh đƣợc đặt lên hàng đầu. Là cơ quan đầu
não của Tỉnh, vấn đề an tồn thơng tin của Tỉnh đƣợc đặt ở mức bảo vệ cao
nên nhiệm vụ quan trọng, thiết yếu đƣợc đặt ra là vấn đề đảm bảo giám sát an
toàn thơng tin cho mạng máy tính của Tỉnh.
Vì thế mục tiêu của luận văn là nghiên cứu quy trình điều tra số, bộ công
cụ và quy định pháp lý về giá trị bằng chứng số để áp dụng triển khai đảm bảo
an tồn thơng tin mạng máy tính của UBND Tỉnh Quảng Ninh.
2. Đối tƣợng và phạm vi nghiên cứu
+ Vấn đề an ninh, an tồn mạng máy tính


2
+ Các công cụ, giải pháp giải quyết vấn đề an ninh cho mạng máy tính:
Thâm nhập, truy cập trái phép, tấn công, phá hoại, lấy trộm dữ liệu…
+ Nghiên cứu một số công cụ để ứng dụng trong phát hiện các nguy cơ
mất an ninh trong mạng máy tính.
+ Triển khai thử nghiệm để giám sát an tồn thơng tin mạng máy tính

của UBND tỉnh Quảng Ninh.
3. Hƣớng nghiên cứu của đề tài
Điều tra CSDL máy tính: Thu thập những bằng chứng pháp lý đƣợc tìm
thấy trong máy tính và các phƣơng tiện lƣu trữ kĩ thuật số.
Điều tra mạng: Phân tích lƣu lƣợng dữ liệu truyền qua mạng máy tính
nhằm phát hiện các xâm nhập khả nghi vào hệ thống.
Điều tra thiết bị di động: Thu thập những bằng chứng về tài nguyên kĩ
thuật hoặc dữ liệu từ các thiết bị di động.
Kết hợp phƣơng pháp nghiên cứu tài liệu, phƣơng pháp nghiên cứu điều
tra và phƣơng pháp nghiên cứu thực nghiệm.
4. Những nội dung và bố cục của luận văn
Chương 1: Tổng quan về điều tra số
Chƣơng này sẽ trình bày khái niệm về điều tra số, phân loại điều tra số,
đặc điểm của điều tra số và xác định hợp lệ của bộ công cụ điều tra số.
Chương 2: Quy trình điều tra số và các cơng cụ
Chƣơng này sẽ trình bày quy trình điều tra số, những nội dung cần thiết
phải chuẩn bị, bảo vệ và giám định, lập tài liệu, thu thập bằng chứng, đánh
dấu, vận chuyển và lƣu trữ, kiểm tra, phân tích, lập tài liệu và báo cáo.
Nghiên cứu tìm hiểu một số công cụ phần cứng và phần mềm đƣợc sử dụng
trong mỗi bƣớc của quy trình, so sánh, phân tích, đánh giá một số công cụ.
Chương 3: Áp dụng kĩ thuật điều tra số để giám sát an toàn mạng
máy tính UBND Tỉnh Quảng Ninh.
Chƣơng này sẽ mơ tả hệ thống giám sát an ninh mạng, mô tả các
công nghệ và việc áp dụng quy trình, kỹ thuật cũng nhƣ bộ công cụ để


3
tiến hành điều tra, tìm ra những manh mối nghi ngờ dựa trên những dữ
liệu đã cung cấp.
5. Phƣơng pháp nghiên cứu

Nghiên cứu, thu thập, đọc, tìm hiểu các tài liệu đã xuất bản, các bài báo
trên các tạp chí khoa học và các tài liệu trên mạng Internet có liên quan đến
vấn đề đang nghiên cứu của các tác giả trong và ngồi nƣớc. Từ đó chọn lọc
và sắp xếp lại theo ý tƣởng của mình.
Khai thác, thực hiện cài đặt triển khai một số giải pháp an toàn cụ thể.
Triển khai áp dụng quy trình điều tra số để giám sát an tồn mạng máy
tính UBND tỉnh Quảng Ninh.
6. Ý nghĩa khoa học của đề tài
Đề tài góp phần nghiên cứu, xác định nguyên nhân hệ thống công nghệ
thơng tin bị tấn cơng, từ đó đƣa ra giải pháp khắc phục điểm yếu nhằm nâng
cao hiện trạng an toàn của hệ thống.
Kết quả nghiên cứu của đề tài có giá trị thực tiễn đảm bảo an tồn mạng
máy tính tại Ủy ban nhân dân Tỉnh Quảng Ninh và tham khảo trong công tác
nghiên cứu các mạng khác.


4
CHƢƠNG 1: TỔNG QUAN VỀ ĐIỀU TRA SỐ
1.1. Khái niệm về điều tra số
1.1.1. Khái niệm
Theo [11] điều tra số (đơi khi cịn gọi là Khoa học điều tra số) là một
nhánh của ngành Khoa học điều tra đề cập đến việc phục hồi và điều tra các
tài liệu tìm thấy trong các thiết bị kỹ thuật số, thƣờng có liên quan đến tội
phạm máy tính. Thuật ngữ điều tra số ban đầu đƣợc sử dụng tƣơng đƣơng với
điều tra máy tính nhƣng sau đó đƣợc mở rộng để bao quát toàn bộ việc điều
tra của tất cả các thiết bị có khả năng lƣu trữ dữ liệu số.
Điều tra số có thể đƣợc định nghĩa là việc sử dụng các phƣơng pháp,
công cụ kỹ thuật khoa học đã đƣợc chứng minh để bảo quản, thu thập, xác
nhận, chứng thực, phân tích, giải thích, lập báo cáo và trình bày lại những
thông tin thực tế từ các nguồn kỹ thuật số với mục đích tạo điều kiện hoặc

thúc đẩy việc tái hiện lại các sự kiện nhằm tìm ra hành vi phạm tội hay hỗ trợ
cho việc dự đoán các hoạt động trái phép gây gián đoạn quá trình làm việc
của hệ thống.
1.1.2. Mục đích của điều tra số
Theo [1] trong thời đại công nghệ phát triển mạnh nhƣ hiện nay. Song
song với các ngành khoa học khác, điều tra số đã có những đóng góp rất quan
trọng trong việc ứng cứu nhanh các sự cố xảy ra đối với máy tính, giúp các
chun gia có thể phát hiện nhanh các dấu hiệu khi một hệ thống có nguy cơ
bị xâm nhập, cũng nhƣ việc xác định đƣợc các hành vi, nguồn gốc của các vi
phạm xảy ra đối với hệ thống.
Về mặt kỹ thuật thì điều tra số nhƣ: Điều tra mạng, điều tra bộ nhớ, điều
tra các thiết bị điện thoại có thể giúp cho tổ chức xác định nhanh những gì
đang xảy ra làm ảnh hƣởng tới hệ thống, qua đó xác định đƣợc các điểm yếu
để khắc phục, kiện tồn [2].
Về mặt pháp lý thì điều tra số giúp cho cơ quan điều tra khi tố giác tội


5
phạm cơng nghệ cao có đƣợc những chứng cứ số thuyết phục để áp dụng các
chế tài xử phạt với các hành vi phạm pháp.
Khơng có bất cứ sự đảm bảo nào cho hệ thống mạng máy tính đƣợc
tuyệt đối an tồn trƣớc những nguy cơ, rủi ro tấn cơng ác ý của tội phạm
mạng. Quá trình xử lý sự cố, phục hồi chứng cứ và truy tìm dấu vết tội phạm
cần phải đƣợc tiến hành một cách chuyên nghiệp nhằm đem lại chứng cứ
chính xác.
Một cuộc điều tra số đƣợc tiến hành nhằm [3]:
- Xác định nguyên nhân hệ thống cơng nghệ thơng tin bị tấn cơng, từ đó
đƣa ra các giải pháp khắc phục điểm yếu nhằm nâng cao hiện trạng an toàn
của hệ thống.
- Xác định các hành vi tội phạm mạng máy tính đã, đang và sẽ làm đối

với hệ thống mạng máy tính. Trong thực tế, thiệt hại tiềm ẩn do những cuộc
tấn công gây rị rỉ thơng tin, hay làm mất tính sẵn sàng của hệ thống là việc hệ
thống bị nắm quyền điều khiển, cài chƣơng trình theo dõi, xóa bỏ thơng tin,
biến hệ thống mạng máy tính thành cơng cụ tấn cơng các hệ thống
khác,...Việc tiến hành một cuộc điều tra số nhằm xác định chính xác những
hoạt động mà tội phạm mạng đã tác động vào hệ thống và ngăn ngừa các rủi
ro khác có thể xảy ra.[10].
- Khơi phục thiệt hại mà cuộc tấn công vào hệ thống mạng máy tính
gây ra: phục hồi dữ liệu, thơng tin lƣu trữ trên hệ thống đã bị phá hoại có
chủ đích.
- Thực hiện điều tra tội phạm, tìm kiếm chứng cứ số nhằm vạch trần tội
phạm công nghệ cao, các hoạt động gian lận, gián điệp, vi phạm pháp luật.
1.1.3. Các bước thực hiện điều tra
Một cuộc điều tra số thƣờng bao gồm 4 gian đoạn: Chuẩn bị, tiếp nhận
dữ liệu hay cịn gọi là ảnh hóa tang vật, phân tích và lập báo cáo.


6

nh 1. Các bước thực hiện điều tra số

Chuẩn bị:
Bƣớc này thực hiện việc mô tả lại thông tin hệ thống, những gì đã xảy ra,
các dấu hiệu, để xác định phạm vi điều tra, mục đích cũng nhƣ các tài nguyên
cần thiết sẽ sử dụng trong suốt quá trình điều tra.
Tiếp nhận dữ liệu:
Đây là bƣớc tạo ra một bản sao chính xác các dữ liệu( chứng cứ số) hay
còn gọi là nhân bản điều tra các phƣơng tiện truyền thơng. Để đảm bảo tính
tồn vẹn của chứng cứ thu đƣợc thì những dữ liệu này phải sử dụng một kĩ
thuật mật mã là “băm” dữ liệu( sử dụng SHA 128) trong quá trình điều tra cần

phải xác minh độ chính xác của các bản sao thu đƣợc.
Phân tích:
Đây là giai đoạn các chuyên gia sử dụng các phƣơng pháp nghiệp vụ, các
kỹ thuật cũng nhƣ công cụ khác nhau để trích xuất, thu thập và phân tích các
bằng chứng thu đƣợc.
Lập báo cáo:
Sau khi thu thập đƣợc những chứng cứ có giá trị và có tính thuyết phục
thì tất cả phải đƣợc tài liệu hóa lại rõ ràng, chi tiết và báo cáo lại cho bộ phận
có trách nhiệm xử lý chứng cứ thu đƣợc theo quy định.
1.1.4. Một số loại h nh điều tra phổ biến
Với nhiều loại hình điều tra số nhƣ: Điều tra Internet, điều tra điện tử,
điều tra mạng, điều tra ứng dụng...có các cách phân chia khác nhau, nhƣng về
cơ bản điều tra số đƣợc chia thành 3 loại hình chính là điều tra máy tính, điều
tra mạng và điều tra thiết bị di động [4].
Điều tra máy tính:
Điều tra máy tính (Computer Forensics) là một nhánh của khoa học điều
tra số liên quan đến việc phân tích các bằng chứng pháp lý đƣợc tìm thấy
trong máy tính và các phƣơng tiện lƣu trữ kỹ thuật số.


7
Điều tra Registry Forensics là loại hình điều tra liên quan đến việc trích
xuất thơng tin và ngữ cảnh từ một nguồn dữ liệu chƣa đƣợc khai thác qua đó
biết đƣợc những thay đổi (chỉnh sửa, thêm bớt…) dữ liệu trong Register.
Công cụ thƣờng dùng: MuiCacheView, ProcessMonitor, Regshot,
USBDeview.

nh 2. Sử dụng Regsshot quan sát sự thay đổi trong Registry.

Điều tra phương tiện lưu trữ(Disk Forensics) là việc thu thập, phân tích

dữ liệu đƣợc lƣu trữ trên phƣơng tiện lƣu trữ vật lý, nhằm trích xuất dữ liệu
ẩn, khơi phục các tập tin bị xóa, qua đó xác định ngƣời đã tạo ra những thay
đổi dữ liệu trên thiết bị đƣợc phân tích.
Cơng cụ thƣờng dùng: ADS Locator, Disk Investigator, Passware
Encryption Analyzer, Disk Detector, Sleuth Kit, FTK.

nh 3.Passware Encryption Analyzer xác định những file được bảo vệ bởi mật khẩu


8
Điều tra bộ nhớ(Memory Forensics): là phƣơng thức điều tra máy tính
bằng việc ghi lại bộ nhớ khả biến (bộ nhớ RAM) của hệ thống sau đó tiến
hành phân tích làm rõ các hành vi đã xảy ra trên hệ thống.
Cụ thể hơn, đó là cố gắng sử dụng kiến trúc quản lý bộ nhớ trong máy
tính để ánh xạ, trích xuất các tập tin đang thực thi và cƣ trú trong bộ nhớ.
Những tập tin thực thi có thể đƣợc sử dụng để chứng minh rằng hành vi của
tội phạm đã xảy ra hoặc để theo dõi nó đã diễn ra nhƣ thế nào.
Công cụ sử dụng: Dumpit, Strings, The Sleuthkit, Win32dd, Foremost,
Volatility, Mandiant Redline, DFF.

nh 4. Sử dụng Volatility liệt kê các tiến tr nh đang chạy trên hệ thống

Điều tra mạng
Điều tra mạng (Network Forensics) là một nhánh của khoa học điều tra
số liên quan đến việc giám sát và phân tích lƣu lƣợng mạng máy tính nhằm
phục vụ cho việc thu thập thông tin, chứng cứ pháp lý hay phát hiện các xâm
nhập. Network Forensics cũng đƣợc hiểu nhƣ Digital Forensics trong môi
trƣờng mạng.
Network Forensics là một lĩnh vực tƣơng đối mới của khoa học pháp y.
Sự phát triển mỗi ngày của Internet đồng nghĩa với việc máy tính đã trở thành

mạng lƣới trung tâm và dữ liệu bây giờ đã khả dụng trên các chứng cứ số nằm
trên đĩa. Network Forensics có thể đƣợc thực hiện nhƣ một cuộc điều tra độc
lập hoặc kết hợp với việc phân tích pháp y máy tính (computer forensics) –


9
thƣờng đƣợc sử dụng để phát hiện mối liên kết giữa các thiết bị kỹ thuật số
hay tái tạo lại quy trình phạm tội.

nh 5. Sử dụng Wireshark phân tích tấn cơng Teadrop

Application Forensics là loại hình điều tra phân tích các ứng dụng chạy
trên hệ thống nhƣ Email, dữ liệu trình duyệt, skype, yahoo. Qua đó trích xuất
các bản ghi đƣợc lƣu trữ trên các ứng dụng phục vụ cho việc điều tra tìm kiếm
chứng cứ.
Cơng cụ thường dùng: Chrome Cache View, Mozilla Cookies View, My
Last Search, Password Fox, Skype Log View.

nh 6. Sử dụng skypelogview xem dữ liệu được trao đổi qua đường truyền


10
Điều tra thiết bị di động:
Điều tra thiết bị di động (Mobile device Forensics) là một nhánh của
khoa học điều tra số liên quan đến việc thu hồi bằng chứng kỹ thuật số hoặc
dữ liệu từ các thiết bị di động. Thiết bị di động ở đây không chỉ đề cập đến
điện thoại di động mà còn là bất kỳ thiết bị kỹ thuật số nào có bộ nhớ trong và
khả năng giao tiếp, bao gồm các thiết bị PDA, GPS và máy tính bảng.
Việc sử dụng điện thoại với mục đích phạm tội đã phát triển rộng rãi
trong những năm gần đây, nhƣng các nghiên cứu điều tra về thiết bị di động là

một lĩnh vực tƣơng đối mới, xuất hiện từ những năm 2000. Sự gia tăng các
loại hình điện thoại di động trên thị trƣờng (đặc biệt là điện thoại thơng minh)
địi hỏi nhu cầu giám định các thiết bị này mà không thể đáp ứng bằng các kỹ
thuật điều tra máy tính hiện tại.

nh 7. Sử dụng WPDeviceManager để trích xuất SMS

1.2. Đặc điểm của điều tra số
1.2.1. Tội phạm máy tính
Tội phạm máy tính là hành vi vi phạm pháp luật hình sự do ngƣời có
năng lực trách nhiệm hình sự sử dụng máy tính để thực hiện hành vi phạm tội,
lƣu trữ thông tin phạm tội hoặc xâm phạm đến hoạt động bình thƣờng và an
tồn của máy tính, hệ thống mạng máy tính.
Các loại tội phạm máy tính gồm có:
+ Đánh cắp định danh;
+ Truy cập bất hợp pháp vào hệ thống máy tính và dữ liệu nhạy cảm;


11
+ Lừa đảo trực tuyến;
+ Phát tán tin rác, mã độc;
Thứ nhất, về tội đánh cắp định danh là quá trình thu thập thơng tin cá
nhân để thủ phạm giả danh ngƣời khác. Thƣờng đƣợc thực hiện để đƣợc thẻ
tín dụng của nạn nhân, để cho nạn nhân một khoản nợ mà không hề hay biết.
Ở Mỹ tội đánh cắp định danh đƣợc xác định nhƣ sau: “Tội phạm trộm cắp và
lừa đảo danh tính là thuật ngữ dùng để chỉ các loại tội phạm ăn cắp, gian
lận, lừa dối và sử dụng trái phép dữ liệu các nhân của người khác”. Có 4
cách có thể thực hiện truy cập vào thông tin cá nhân: Giả mạo, tấn công, sử
dụng phần mềm gián điệp, truy cập trái phép vào dữ liệu.
Thứ hai, truy cập bất hợp pháp vào hệ thống máy tính và dữ liệu nhạy

cảm là mục đích khác hơn so với tội phạm đánh cắp định danh [11].
Ví dụ: Thủ phạm có thể muốn ăn cắp dữ liệu bí mật của cơng ty, tài liệu
tài chính nhạy cảm hoặc các dữ liệu khác. Thơng tin này có thể đƣợc sử dụng
để thu hút khách hàng từ đối thủ cạnh tranh, phát hành để làm hỏng cổ phiếu
của công ty, hoặc sử dụng để tống tiền.
Trong mọi trƣờng hợp, các yếu tố phổ biến là thủ phạm hoặc là không
đƣợc cho phép truy cập dữ liệu hoặc không đƣợc phép sử dụng dữ liệu vậy
mà cố tình sử dụng nó. Các phƣơng pháp tƣơng tự nhƣ bất kể mục đích của
các truy cập trái phép. Nó có thể đƣợc thực hiện thông qua hacking hoặc phần
mềm gián điệp, các nhân viên truy cập dữ liệu hoặc thông qua phƣơng tiện
truyền thông dữ liệu bị loại bỏ.
Đặc biệt, hành vi trộm cắp dữ liệu là một vấn đề quan trọng, lý do chính
là khó khăn để ngăn chặn nhân viên đƣợc phép truy cập đến dữ liệu. Đôi khi
cũng rất khó để phân biệt giữa các truy cập trái phép và đƣợc phép.
Thứ ba, là tội phạm lừa đảo, loại này khá phổ biến. Một trong số các
hành vi lừa đảo trực tuyến trên Internet bao gồm:
Lừa đảo đầu tư: là phần đầu tƣ, môi giới đầu tƣ không hợp pháp, đây
không phải là một trào lƣu cũng không hẳn là một hoạt động phạm tội.


12
Lừa đảo giao dịch trực tuyến: Hiện nay giao dịch đấu giá trực tuyến khá
phổ biến. Ngƣời dùng hợp pháp có thể khó khăn xác định một mức giá tốt,
hoặc loại bỏ các mặt hàng khơng cịn nhu cầu, cũng nhƣ nhiều địa điểm kinh
doanh hợp pháp. Tuy nhiên, bọn tội phạm nỗ lực thao tác lừa đảo để ăn cắp từ
các nạn nhân. Nhƣ không giao hàng, giao hàng với giá trị thấp hơn, cung cấp
hàng hóa khơng đúng hạn, không tiết lộ thông tin liên quan đến sản phẩm.
Lừa đảo nhận/chuyển tiền: Một loạt các trò gian lận trên internet có liên
quan đến việc trao đổi một lệnh chuyển tiền giả hoặc ký séc tiền thật.
Vi phạm bản quyền: là hành vi trộm cắp tài sản trí tuệ. Bản quyền phần

mềm, bài hát, đoạn phim đƣợc trao đổi, mua bán khi chƣa có sự đồng ý của
tác giả. Thông thƣờng các trƣờng hợp này là vấn đề dân sự. Vụ kiện, vụ việc
sẽ bị ngăn chặn và giải quyết thiệt hại bằng một số tiền một cách đáng kể.
Thứ tư, phát tán tin rác, mã độc. Đây cũng là một hình thức phạm tội rất
phổ biến hiện nay. Tội phạm này chuyên thực hiện các hành vi phát tán tin
rác, mã độc hại. Phát tán tin rác là hành vi gửi các tin nhắn hoặc các email
chƣa nội dung quảng cáo, marketing và đƣợc gửi một cách vô tội gây phiền
tối cho ngƣời nhận. Đơi khi, nó dẫn dụ ngƣời nhẹ dạ, tìm cách đọc số thẻ tín
dụng và các tin tức cá nhân của họ.
Viết mã độc – phát tán mã độc là một trong những hình thức tấn công
mới trên mạng. Kẻ tấn công sử dụng các chƣơng trình mã độc để lây nhiễm
vào các hệ thống, phần mềm nhằm mục đích phá hoại hệ thống hoặc đánh cắp
các thông tin trái phép. Để thực hiện phát tán mã độc, kẻ tấn công thƣờng gửi
một email có chứa mã độc tới nạn nhân hoặc đính kèm trong một phần mềm
phổ dụng; ngƣời dùng chỉ cần kích hoạt chƣơng trình là mã độc sẽ tự động lây
nhiễm vào hệ thống. Nhƣ vậy, kẻ tấn cơng có thể theo dõi toàn bộ hoạt động
trên hệ thống lây nhiễm hoặc sử dụng hệ thống bị lây nhiễm nhƣ một công cụ
thực hiện tấn công tới các đối tƣợng khác.


13
1.2.2. Bằng chứng số
Định nghĩa
Có rất nhiều định nghĩa khác nhau về bằng chứng số, mỗi định nghĩa
phản ánh một cách nhìn nhận khác nhau. Trong đó định nghĩa hiện nay đang
đƣợc sử dụng đó là “bằng chứng số hay cịn gọi là bằng chứng điện tử là mọi
thơng tin có giá trị pháp lý đƣợc lƣu trữ, đƣợc truyền dẫn dƣới dạng thức số”.
Những bằng chứng này có đƣợc khi thông tin và thiết bị vật lý đƣợc thu thập
và lƣu trữ trong q trình điều tra.
Vai trị

Vai trị của bằng chứng số tạo ra mối liên kết giữa kẻ tấn công, nạn nhân
và hiện trƣờng vụ án.
Theo định nghĩa của Locard thì “bất cứ ai hoặc bất cứ thứ gì, mang đến
hiện trƣờng vụ án thì cũng để lại dấu vết khi rời đi”.
Ví dụ: Tại thời điểm phạm tội, bất cứ thông tin nào đƣợc lƣu trên máy
tính của nạn nhân ở Sever hay chính hệ thống đó, thì trong khi điều tra có thể
theo dõi thơng tin bằng chứng kiểm tra log files, lịch sử trình duyệt.
Đặc điểm của bằng chứng số
Bằng chứng số phải có những đặc điểm sau thì mới đƣợc tịa cơng nhận
trong quá trình xử án.
Đƣợc thừa nhận: Bằng chứng phải liên quan đến một sự việc đang đƣợc
chứng minh.
Xác thực: Bằng chứng phải có thật và liên quan đến sự việc đƣợc
chứng minh.
Đáng tin: Bằng chứng phải rõ ràng, dễ hiểu và đáng tin đối với thẩm phán.
Tin tƣởng: Thẩm phán phải tin tƣởng vào tính xác thực của bằng chứng.
Hồn chỉnh: Bằng chứng phải chứng minh đƣợc hành động của kẻ tấn
cơng có tội hoặc vơ tội.
Bằng chứng số dễ bị hƣ hại nhƣ trong khi điều tra tại hiện trƣờng vụ án


14
máy tính bị tắt nguồn thì các dữ liệu dễ biến động nhƣ RAM sẽ bị mất. Hay
trong khi máy tính đang đƣợc kết nối với Internet, nạn nhân chƣa kịp ngắt kết
nối thì kẻ tấn cơng có thể xóa bằng chứng bằng cách xóa đi các tập tin logs.
Ngồi việc xóa dấu vết bằng chứng, tội phạm máy tính cịn sử dụng antiforensics để làm cản trở, gây khó khăn cho việc điều tra.
Ghi đè lên dữ liệu: phá hủy bất kỳ dữ liệu nghi ngờ nào bằng cách ghi đè
nhiều lần với bit 0.
Ẩn dữ liệu
Xáo trộn dữ liệu

1.2.3. Vấn đề pháp lý
Vấn đề pháp lý rất quan trọng trong điều tra số, các quy định về việc
chấp nhận bằng chứng số trong vụ án. Điều tra pháp lý liên quan đến luật quy
định trong nƣớc, luật pháp quốc tế, các tiêu chuẩn kỹ thuật đƣợc áp dụng.
Ngày nay, công nghệ thông tin phát triển và tội phạm về cơng nghệ
thơng tin cũng bắt đầu tăng dần. Ngồi xã hội có loại tội phạm gì thì trên
mạng thơng tin tồn cầu có loại tội phạm đó, từ trộm cắp, lừa đảo, khủng bố
đến giết ngƣời... Đây đƣợc xem là nguồn chứng cứ quan trọng và đặc thù.
Điều đáng lƣu ý là dữ liệu điện tử là những ký tự đƣợc lƣu giữ trong
thiết bị điện tử nhƣ máy tính, máy ảnh, máy photo, mạng Internet... mà từ đó
có thể cho ra chữ viết, chữ số, hình ảnh, âm thanh... phản ánh sự kiện phạm
tội. Những dữ liệu điện tử này rất dễ bị tẩy xóa, sửa chữa, thay đổi, hủy bỏ do
cố ý hoặc vô ý.
Để thu thu thập đƣợc dữ liệu điện tử này, cần sử dụng những thiết bị và
phần mềm phù hợp, để có thề phục hồi "dấu vết điện tử" đã bị xóa, bị ghi đè,
dữ liệu tồn tại dƣới dạng ẩn, đã mã hóa...để có thể đọc, ghi lại, sử dụng làm
bằng chứng trƣớc tịa. Đặc biệt, hiện chƣa có quy định về thủ tục tố tụng hình
sự đối với việc thu thập, bảo quản, phục hồi và giám định chứng cứ là dữ liệu
điện tử. [9].


15
1.2.4 Các loại bằng chứng số
1.2.4 1. Bằng chứng trên máy tính
Bằng chứng số trên máy tính đƣợc chia làm 02 loại: Tập tin đƣợc tạo bởi
ngƣời dùng và tập tin đƣợc máy tính sinh ra tự động.
Tập tin được tạo bởi người dùng
Tập tin đƣợc tạo ra bởi ngƣời dùng bao gồm văn bản(.docx), bảng tính
(excel), hình ảnh, audio, video. Những tập tin này chứa siêu dữ liệu, siêu dữ
liệu này cung cấp các thông tin sau: Tên ngƣời tạo tài liệu, chủ sở hữu máy

tính ngày và giờ các tài liệu này đƣợc tạo ra, thời gian tài liệu đƣợc lƣu lại,
bất kỳ sửa đổi nào đƣợc thực hiện trên tài liệu, ngày tháng và thời gian tài liệu
đƣợc chỉnh sửa lần cuối và truy cập.
Các tập tin được tạo ra bởi máy tính
Các tập tin đƣợc tạo ra tự động bởi máy tính có thể rất có giá trị. Các tập
tin có thể hỗ trợ điều tra viên trong việc điều tra nhƣ: logs, lịch sử trình duyệt,
cookies, tập tin temp.
- Tập tin logs: Tự động ghi lại các sự kiện trong máy tính có thể đƣợc sử
dụng để theo dõi, hiểu, chẩn đoán các hoạt động và vấn đề trong hệ thống.
- Setup logs: Tập tin này cung cấp dữ liệu về các ứng dụng đƣợc cài đặt
trên máy tính
- System logs: Tập tin cung cấp thông tin về các thành phần hệ thống
- Aplication and services logs: Ghi lại các sự kiện mới
- Lịch sử trình duyệt: Thu thập dữ liệu từ các trang web ngƣời dùng
sử dụng
Cookies là bản ghi đƣợc tạo ra và lƣu lại trên trình duyệt khi ngƣời dùng
truy cập vào một trang web.
File Temporary là các tập tin đƣợc lƣu tạm trong quá trình cài đặt
chƣơng trình ứng dụng.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×