TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP.HCM
KHOA CÔNG NGHỆ THƠNG TIN

🙣🙣🙣🙣🙣

ĐỒ ÁN
TÌM HIỂU VỀ BỘ CƠNG CỤ SLEUTH KIT VÀ
ỨNG DỤNG TRONG CÔNG TÁC ĐIỀU TRA SỐ

Giảng viên hướng dẫn : TS. VŨ ĐỨC THỊNH
Sinh viên thực hiện :
NGUYỄN THỊ LỆ QUYÊN

MSSV:2033172013

LỚP:08DHBM2

NGUYỄN KIM YẾN

MSSV:2033172078

LỚP:09DHBM3

TP. Hồ Chí Minh, 7/2021


LỜI CẢM ƠN

Em xin gửi lời cảm ơn chân thành đến thầy giáo, giáo viên hướng dẫn TS.
Vũ Đức Thịnh. Trong quá trình nghiên cứu đề tài, thầy đã tạo điều kiện về tài
liệu và kiến thức liên quan, tận tình hướng dẫn cũng như tạo mọi điều kiện thuận

lợi để chúng em hoàn thành tốt đề tài.
Tuy nhiên trong quá trình nghiên cứu đề tài, do kiến thức chuyên ngành
cịn hạn chế nên em vẫn cịn thiếu sót khi tìm hiểu, đánh giá và trình bày về đề
tài. Rất mong nhận được sự quan tâm, góp ý của các thầy/ cô để đè tài của em
được đày đủ và hoàn chỉnh hơn.
Em xin trân thành cảm ơn.


MỤC LỤC
Danh Mục Hình Ảnh
CHƯƠNG 1: ĐIỀU TRA SỐ ( DIGITAL FORENSICS)
1.1. Khái niệm.................................................................................................................1
1.2. Forensics..................................................................................................................1
1.3. Mục đích - Ứng dụng...............................................................................................1
1.4. Khi nào thì cần thực hiện điều tra số.......................................................................2
1.5. Một số loại hình diều tra số......................................................................................2
1.5.1. Điều tra máy tính (Computer Forensics ).........................................................2
1.5.2. Điều tra thiết bị di động ( Mobile Device Forensics )......................................3
1.5.3. Điều tra mạng xã hội ( Social Network Forensics ).........................................3
1.5.4. Điều tra mạng ( Network Forensics )...............................................................3
1.5.5. Điều tra cơ sở dữ liệu ( Database Forensics )..................................................3

CHƯƠNG 2: QUY TRÌNH ĐIỀU TRA PHÁP CHỨNG KỸ THUẬT SỐ
2.1. Quy trình điều tra pháp chứng kỹ thuật số..............................................................4
2.2.Các bước thực hiện..................................................................................................4
2.2.1. Evidence – Tập hợp chứng cứ..........................................................................4
2.2.2. Acquisition – Xem xét chứng cứ......................................................................4
2.2.3. Analysis – Phân tích chứng cứ.........................................................................4
2.2.4. Reporting – Lập báo cáo..................................................................................4
2.3. Chứng cứ.................................................................................................................4

2.3.1. Khái niệm.........................................................................................................4
2.3.2. Một số nguyên tắc khi thu thập chứng cứ........................................................4
2.4. Bằng chứng số.........................................................................................................4
2.4.1. Khái niệm.........................................................................................................4
2.4.2. Đặc tính của bằng chứng số.............................................................................6
2.4.3. Các phương pháp để tìm kiếm bằng chứng số..................................................7
2.4.4. Ví trí có thể tìm thấy bằng chứng số................................................................8


2.4.5. Bảo vệ tính pháp lý của bằng chứng số............................................................8
2.5. Các yêu cầu đối với nhân viên pháp chứng............................................................9
2.6. Nhiệm vụ của điều tra viên.....................................................................................9

CHƯƠNG 3: CÁC HÌNH THỨC PHẠM TỘI XÂM NHẬP QUA MÁY
TÍNH
3.1. Quy trình kiểm sốt phần cứng hệ thống máy tính..................................................11
3.2. Xác định thơng tin cần tìm kiếm..............................................................................11
3.3. Đánh giá nơi nào dấu dữ liệu...................................................................................11

CHƯƠNG 4. CẤU TRÚC VÀ THÀNH PHẦN CỦA HỆ THỐNG TẬP TIN
4.1. FileSystem là gì?.....................................................................................................12
4.2. Hệ điều hành Windown............................................................................................12
4.2.1. Cấu trúc Registry..............................................................................................12
4.2.2. Các nhánh chính trong Registry.......................................................................13
4.2.3. Các kiểu dữ liệu. ..............................................................................................13
4.2.4. Các chức năng chính........................................................................................15
4.2.5. Cấu trúc cây của Windown...............................................................................17
4.2.6. Các tập tin được hỗ trợ trong Windown...........................................................18
4.3. Hệ điều hành Linux..................................................................................................19
4.3.1. Tổ chức tập tin trên Linux................................................................................19

4.3.2. Những loại file system mà Linux hỗ trợ..........................................................22
4.3.3. Các thành phần của hệ thống tập tin................................................................24
4.3.4. Các loại tập tin.................................................................................................24

CHƯƠNG 5: BỘ CÔNG CỤ SLEUTH KIT
5.1. SleuthKit..................................................................................................................25
5.1.1. Khái niệm.........................................................................................................25
5.1.2. Dữ liệu đầu vào................................................................................................25
5.1.3. Kỹ thuật tìm kiếm.............................................................................................26
5.2. Sử dụng Autopsy trên hệ thống điều hành Windown...............................................27


5.2.1. Hướng dẫn cài đặt Autopsy..............................................................................27
5.2.2. Thực nghiệm.....................................................................................................32
5.3. Sử dụng Autopsy trong hệ điều hành Linux............................................................47


Danh Mục Hình Ảnh
Hình h.1.

Các bước thực hiện điều tra số

Hình h.2.

Các nhánh chính Registry

Hình h.3.

Kiểu dữ liệu trong Registry


Hình h.4.

Nhánh phân quyền: permissions for HKEY_CURENT_USER

Hình h.5.

Chức năng chính

Hình h.6.

Tìm kiếm, phân quyền trong Registry

Hình h.7.

Cấu trúc cây của Windown

Hình h.8.

Thành phần ổ đĩa

Hình h.9.

File

Hình h.10.

Thư mục

Hình h.11.


Sơ đồ tập tin trên Linux

Hình h.12.

Ý nghĩa của floder “/”

Hình h.13.

Quá trình file vào Journaling

Hình h.14.

Trang chủ Autopsy

Hình h.15.

Phần download Autopsy

Hình h.16.

Sau khi download Autopsy xong

Hình h.17.

Giao diện sau khi mở file

Hình h.18.

Sau khi file chạy xong


Hình h.19.

Giao diện của Autopsy

Hình h.20.

Giao diện khi đã thiết lập xong các tùy chọn

Hình h.21.

Kết quả thu được

Hình h.22.

Các file Zip, Raz, docx, hình ảnh,…

Hình h.23.

Thơng tin của image tìm được

Hình h.24.

Các file video tìm được

Hình h.25.

Các file âm thanh tìm đượch


Hình h.26.


Các email tìm được

Hình h.27.

Các IP Address tìm được

Hình h.28.

Duyệt web

Hình h.29.

Biểu đồ cột trong autopsy

Hình h.30.

Danh sách dịng thời gian hoạt động

Hình h.31.

Sau khi quét ở đĩa ta có thư mục deleted files

Hình h.32.

Kết quả

Hình h.33.

Q trình update và upgrade


Hình h.34.

Install Sleuthkit

Hình h.35.

Install autopsy

Hình h.36.

Sau khi install xong

Hình h.37.

Sau khi nhập URL // localhost: 9999 / autopsy

Hình h.38.

Giao diện tạo 1 case

Hình h.39.

Câu thơng báo sẽ được thêm máy chủ lưu trữ doan: kích vào
add host để được thêm thành cơng.

Hình h.40.

Thêm tên máy chủ, mơ tả, thời gian GMT trong trường hợp
đến từ quốc gia khác, (Cũng có thể thêm thời gian trễ đối

với máy tính và có cơ sở dữ liệu chứa băm các tệp độc hại đã
biết.)

Hình h.41.

Thêm máy chủ lưu trữ

Hình h.42.

Add image file để điều tra hình ảnh

Hình h.43.

Bắt đầu Add a new image


NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................

.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................
.........................................................................................................................


CHƯƠNG 1: ĐIỀU TRA SỐ ( DIGITAL FORENSICS)
1.1.

Khái niệm

Điều tra số ( hay còn gọi là Pháp chứng kỹ thuật số ) là một nhánh của
ngành Khoa học điều tra đề cập đến việc phục hồi và điều tra các tài liệu tìm
thấy trong các thiết bị kỹ thuật số, thường liên quan đến tội phạm máy tính.
Thuật ngữ điều tra số ban đầu được sử dụng tương đương với điều tra máy tính
nhưng sau đó được mở rộng để bao quát toàn bộ việc điều tra của tất cả các thiết
bị có khả năng lưu trữ dữ liệu số.
Điều tra số có thể hiểu là điều tra, tìm kiếm và phân tích thơng tin trên hệ
thống máy tính để tìm kiếm các bằng chứng số.
1.2. Forensics
Khái niệm Forensics(Forensics Science – khoa học pháp y) xuất phát từ
lĩnh vực y học từ thế kỷ 18 và liên quan đến điều tra pháp y. Ngày nay Forensics
đã được mở rộng ra rất nhiều lĩnh vực khác.

Foremsics được dùng để xác định nguyên nhân bị tấn công, phát hiện mã
dộc trên máy tính, kiểm tra sự bất thường trong mạng , phát hiện sự xâm nhập,…
Từ đó đưa ra các biện pháp để giải quyết.
Nói về Forensics thì khơng thể khơng nhắc đến một nguyên tắc kinh điển
của khoa học điều tra. Đó là nguyên tắc trao đổi Locard (Locard được lấy từ
Edmon Locard (1877-1966), ông là chuyên gia điều tra pháp y, sáng lập Viện
Hình sự học của trường Đại học Tổng hợp Lyon). Ông phát biểu một nguyên tắc
mà sau này trở thành kim chỉ nam của ngành khoa học điều tra. Ông ta cho rằng
bất cứ khi nào hai người tiếp xúc với nhau, một thứ gì đó từ một người sẽ được
trao đổi với người khác và ngược lại. Có thể là bụi, tế bào da, bùn đất, sợi, mạt
kim loại… Những việc trao đổi này có xảy ra vì thế chúng ta có thể bắt được
nghi phạm.
Với Computer Forensics, nguyên tắc này cũng hoàn toàn đúng. Khi bạn
làm việc với máy tính hay một hệ thống thơng tin, tất cả hành động của bạn đều
bị ghi vết lại ( mặc dù việc tìm ra thủ phạm trong trường hợp này khó khăn và
mất thời gian rất nhiều).

1


1.3.

Mục Đích - Ứng dụng

Trong thời đợi cơng nghệ phát triển như ngày nay, song song với các
ngành khoa học khác thì điều tra số cũng có những đóng góp quan trọng trong
việc ứng cứu nhanh các sự cố xảy ra đối với máy tính, giúp các chun gia có thể
phát hiện nhanh các dấu hiệu khi một hệ thống có nguy cơ bị xâm nhập, cũng
như việc xác định được các hành vi, nguồn gốc của các vi phạm xảy ra đối với
hệ thống.

Về mặt kỹ thuật thì Điều tra số như: điều tra mạng, điều tra bộ nhớ, điều
tra các thiết bị điện thoại có thể giúp cho tổ chức xác định nhanh những gì đang
xảy ra làm ảnh hưởng tới hệ thống, qua đó xác định được các điểm yếu để khắc
phục.
Về mặt pháp lý thì điều tra số giúp cho cơ quan điều tra khi tố giác tội
phạm cơng nghệ cao có được những chứng cứ số thuyết phục để áp dụng luật xử
phạt với các hành vi phạm pháp.
1.4.
-

Khi nào thì cần thực hiện một cuộc điều tra số?
Khi hệ thống bị tấn công mà chưa xác định được nguyên nhân.
Khi cần hiết khôi phục dữ liệu trên thiết bị, hệ thống đã xóa đi.
Hiểu rõ cách làm việc của hệ thống.
Khi thực hiện điều tra tội phảm có liên quan đến cơng nghệ cao.
Điều tra sự gian lận trong tổ chức.
Điều tra các hoạt động gián điệp cơng nghiệp.

1.5. Một số loại hình điều tra số
1.5.1. Điều tra máy tính ( Computer Forensics ):
Là một nhánh của Digital Forensics liên quan đến việc phân tích các
bằng chứng pháp lý được tìm thấy trong máy tính và các phương tiện lưu
trữ kỹ thuật số như:
+ Điều tra bản ghi (Registry forensics) : là loại hình điều tra liên quan
đến trích xuất thơng tin, ngữ cảnh từ một nguồn dữ liệu chưa được khai
thác. Công cụ thường dùng: MuiCache View, Process Monitor, Regshot.
+ Điều tra phương tiện lưu trữ ( Disk Forensics ) : là việc thu thập,
phân tích dữ liệu được lưu trữ trên phương tiện lưu trữ vật lý, nhằm trích

2



xuất dữ liệu ẩn, khôi phục các tập tin bị xóa, qua đó xác định người đã tạo
ra những thay đổi dữ liệu trên thiết bị được phân tích. Cơng cụ thường
dùng: Encase, Sleuth Kit, FTK.
+ Điều tra bộ nhớ ( Memory Forensics ) : là phương thức điều tra máy
tính bằng việc ghi lại bộ nhớ khả biến (bộ nhớ RAM) của hệ thống sau đó
tiến hành phân tích làm rõ các hành vi đã xảy ra trên hệ thống. Cụ thể hơn,
đó là cố gắng sử dụng kiến trúc quản lý bộ nhớ trong máy tính để ánh xạ,
trích xuất các tập tin đang thực thi và cư trú trong bộ nhớ. Công cụ thường
dùng:Dumpit, Strings, IDA Pro, Foremost, Volatility, Mandiant Redline.
1.5.2. Điều tra thiết bị di động (Mobile Device Forensics )
Là một nhánh của Digital Forensics liên quan đến việc thu hồi bằng
chứng số hoặc dữ liệu từ các thiết bị di động. Được thực hiện trên các thiết
bị di động, thiết bị PDA, GPS, máy tính bảng, nhằm thu thập dữ liệu, các
chứng cứ kỹ thuật số. Công cụ thường dùng: WPDeviceManager,
PwnageTool,OXYGEN, Apktool, IPhone Analyzer, wireshark.
1.5.3. Điều tra mạng xã hội ( Social Network Forensics )
Là một nhánh của Digital Forensics, liên quan đến việc sử dụng các
kỹ thuật để điều tra và thu thập thông tin từ cac nền tảng mạng xã hội
như : Facebook, Twitter, Friendster, MySpace, Linkedln,... Công cụ
thường dùng là: Facebook Forensics, Belkasoft Facebook Saver, Oxygen
Forensic, svProbe.
1.5.4. Điều tra mạng (Network Forensics) :

Là một nhánh của digital forensics liên quan đến việc theo dõi,
giám sát, phân tích lưu lượng mạng máy tính nhằm phục vụ cho việc thu
thập thông tin, sự kiện liên quan, tìm kiếm chứng cứ pháp lý, mục đích là
phát hiện sự bất thường, các dấu hiệu xâm nhập trên môi trường mạng.
Công cụ thường dùng: Wireshark, Tcpdump, Network Miner, Wildpackets,

Bro ids, Xplico, Snort
1.5.5. Điều tra cơ sở dữ liệu ( Database Forensics )
Là một nhánh của Digital Forensics, liên quan tới việc điều tra cơ sở
dữ liệu và siêu dữ liệu có liên quan. Cơng cụ thường được sử dụng là:
Xcase, DbVisualiser, Microsoft SQL, Idea Data Analysics, Arbutus
Analyzer, EventTracker.
3


CHƯƠNG 2: QUY TRÌNH ĐIỀU TRA PHÁP CHỨNG KỸ
THUẬT SỐ
2.1. Quy trình điều tra pháp chứng kỹ thuật số
Quy trình điều tra pháp chứng kỹ thuật số là một quá trình:
Bảo tồn, xác nhận, xác định, phân tích, giải thích, viết tài liệu và trình bày
của các bằng chứng kỹ thuật số có nguồn gốc từ các dữ liệu điện tử cho các mục
đích xây dựng lại các sự kiện để tìm ra tội phạm
Giúp đỡ để pháp chứng viên dự đốn các hành động trái phép của tội
phạm.
Quy trình điều tra pháp chứng kỹ thuật số bao gồm các thủ tục và kỹ thuật
được sử dụng sẽ được cho phép đưa kết quả ra trước tòa án.

2.2. Các bước thực hiện
Một cuộc điều tra số thường bao gồm 4 giai đoạn: Tập hợp chứng cứ
( Evidence ), Xem xét dữ liệu ( Acquisition), phân tích chứng cứ ( Analysis) và
lập báo cáo ( Reporting).

Hình h.1: Các bước thực hiện điều tra số

2.2.1. Evidence – Tập hợp chứng cứ
Bước này thực hiện việc mô tả lại thông tin hệ thống, những gì xảy

ra, các dấu hiệu, để xác định phạm vi điều tra, mục đích cũng như các tài
nguyên cần thiết sẽ sử dụng trong suốt quá trình điều tra.
2.2.2. Acquisition – Xem xét dữ liệu

4


Đây là bước tạo ra một bản sao chính xác các dữ liệu, xác định rõ
các nguồn chứng cứ sau đó thu thập và bảo vệ tính tồn vẹn của chứng cứ
bằng việc sử dụng hàm băm mật mã.
2.2.3. Analysis – Phân tích
Đây là giai đoạn các chuyên gia sử dụng các phương pháp nghiệp
vụ, các kỹ thuật cũng như cơng cụ khác nhau để trích xuất, thu thập và
phân tích các bằng chứng thu được.
2.2.4. Reporting – Lập báo cáo
Công việc viết báo cáo bao gồm thu thập dữ liệu, phân tích và đưa
ra những suy luận logic, thơng thường đây là bước cơ bản cho việc các cấp
công quyền đưa ra quyết định và hành động.
2.3.

Chứng cứ

2.3.1. Khái niệm
Chứng cứ là những gì mà người điều tra sẽ tìm kiếm. Chứng cứ là
bất cứ cái gì có thể dùng để chứng minh hoặc bác bỏ thực tế. Dữ liệu tìm
được có thể rất lớn cũng có thể rất nhỏ, chỉ cần phục hồi được 4 bytes dữ
liệu cũng có thể tìm được IP để sử dụng như một chứng cứ.
2.3.2. Một số nguyên tắc khi thu thập chứng cứ
Phải đảm bảo chứng cứ không bị thay đổi.
Thực hiện bit-image copy.

Khóa hoặc giới hạn truy cập đến cabinet.
Sử dụng Cryptographic hash để đảm bảo tính tồn vẹn giữa chứng
cứ gốc với bản được sao chép.
Giảm thiểu sự mất mát dữ liệu. Rất khó để tránh khỏi khơng ảnh
hưởng đến hệ thống, cần thực hiện nhiều bước để giảm thiểu sự mất mát
và thu thập tối đa dữ liệu.
Thực hiện việc ghi chép mọi thứ. Ghi nhận computer memory,
disks, swap space… bao gồm cả hành động của chính bạn.
2.4. Bằng chứng số
2.4.1. Khái niệm

5


Bằng chứng số (Digital Evidence), hay còn gọi là bằng chứng điện
tử (Electronic Evidence), là mọi thơng tin có giá trị pháp lý được lưu trữ,
được truyền dẫn trong dạng thức số và có giá trị pháp lý trước tịa. Trước
khi chấp nhận bằng chứng số, quan tòa phải xác định được là nó có liên
quan đến vụ án đang xem xét, cho dù tính xác thực của nó đã được kiểm
chứng.
Tại các nước pháp triển, tính pháp lý của bằng chứng số được pháp
luật công nhận như các loại bằng chứng cổ điển khác. Tính xác thực và
tính tồn vẹn của bằng chứng số được ACPO (Association of Chief Police
Officers – The United Kingdom) quy định (ver 5 – 10/2011) trong bộ
nguyên lý ACPO, gồm 4 nguyên lý. Từ nguyên lý ACPO, Adams xây
dựng bộ quy tắc, gồm 7 quy tắc, mà điều tra viên computer forensic phải
tuân thủ trong quá trình thao tác trên bằng chứng số. Mục tiêu lớn nhất là,
không làm thay đổi dữ liệu gốc và mọi thao tác liên quan phải được ghi lại
đầy đủ.
Có thể hiểu về bằng chứng số một cách ngắn gọn như sau: Bằng

chứng số là các bằng chứng ở dạng thức số, nó được khơi phục, hay được
tìm thấy, trong các thiết bị số – thường là các thiết bị liên quan với máy
tính.
Dữ liệu nhận được từ các ổ đĩa trên máy tính hoặc từ các thiết bị lưu
trữ khác chưa thể là bằng chứng (số). Để có được bằng chứng, nhân viên
điều tra phải thực hiện quá trình khảo sát và phân tích dữ liệu ban đầu.
Thơng thường, nếu tìm được dữ liệu họ phải “ráp” chúng lại với nhau để
đưa ra được bằng chứng.
Nhiệm vụ của tin học pháp y (Forensic Computing) là: Áp dụng sự
hiểu biết về khoa học và cơng nghệ để truy tìm – khơi phục, khảo sát và
phân tích – các bằng chứng có nguồn gốc số. Bằng chứng tìm được phải
có giá trị pháp lý trước tòa.
Điều tra viên thường sử dụng các chương trình, các cơng cụ, kỹ
thuật hoạt động dựa trên máy tính để tìm ra bằng chứng trong một khoảng
thời gian ngắn nhất nhưng với tính xác thực và độ tin cậy cao nhất.
Có thể nói, Forensic Computing là sự kết hợp mạnh mẽ và hiệu quả
giữa khoa học, tin học và phát luật. Nó là khơng thể thiếu trong cuộc chiến
chống tội phạm số ngày nay.

6


2.4.2. Đặc tính của bằng chứng số
Admissible (thừa nhận): Phải được quan tịa thừa nhận. Tức là, bằng
chứng có thể được sử dụng trước tòa và những nơi khác.
Authentic (xác thực): Phải đảm bảo tính xác thực. Tức là, bằng
chứng được đưa ra có quan hệ với các tình huống có liên quan.
Reliable (tin cậy): Làm cho quan tịa hồn tồn tin cậy vào tính xác
thực và tính chính xác của bằng chứng.
Believable (đáng tin): Bằng chứng phải rõ ràng, dễ hiểu và đáng tin

với quan tòa.
2.4.3. Các phương pháp để tìm kiếm bằng chứng số
Điều tra viên thường sử dụng các chương trình , các cơng cụ, kỹ
thuật hoạt động dựa trên máy tính để tìm ra bằng chứng trong một khoảng
thời gian ngắn nhất nhưng với tính chính xác thực và độ tin cậy cao nhất
Sử dụng các cơng cụ , chương trình và thiết bị computer forensic
Disk imaging software ghi lại cấu trúc và nội dung của một ổ cứng.
Với phần mềm này, rất dễ để có thể sao chép thơng tin của một ổ đĩa
và nó còn cung cấp cách thức các file được tổ chức và mối liên hệ giữa các
file với nhau.
Software hoặc hardware write tools sao chép và thiết lập lại một ổ
cứng từng bit một. Cả 2 loại công cụ này đều có thể tránh được việc thay
đổi thơng tin. Một số công cụ yêu cầu điều tra viên loại bỏ ổ cứng từ máy
tính của người bị tình nghi trước, sau đó mới được sao chép.
Hashing tools dùng để so sánh bản nguyên gốc trong ổ cứng với bản
sao chép. Công cụ sẽ phân tích dữ liệu và gán cho nó một con số riêng
biệt. Nếu con số này trên bản nguyên gốc và trên bản sao chép trùng nhau,
đây chính là bản sao y nguyên bản gốc.
Có một số chương trình được thiết kế để bảo vệ thơng tin được lưu
trữ trong RAM. Không giống như thông tin trên ổ đĩa, dữ liệu được lưu
trong RAM sẽ bị mất sau khi tắt máy. Nếu khơng có phần mềm thích hợp,
thơng tin này sẽ dễ dàng bị mất.
Phần mềm phân tích lọc tất cả thông tin trên một ổ đĩa để tìm
kiếm một thơng tin cụ thể nào đó. Bởi những máy tính hiện đại có thể lưu
trữ hàng gigabyte dữ liệu, rất khó và tốn thời gian để tìm kiếm file trên
7


máy tính bằng tay. Ví dụ, một số chương trình phân tích tìm kiếm và đánh
giá Internet cookies, giúp nhân viên điều tra tìm ra những hoạt động đáng

nghi trên Internet. Một số chương trình khác cho phép điều tra viên tìm
kiếm một thơng tin cụ thể, thuộc dạng nghi vấn trong hệ thống máy tính.
Chương trình giải mã và phần mềm bẻ khóa mật khẩu rất tiện ích
khi điều tra viên phải đối mặt với dữ liệu được bảo vệ.
Lưu ý: Những công cụ này chỉ thực sự hữu ích khi nhân viên điều tra thực
hiện đúng các thủ tục
2.4.4. Ví trí có thể tìm thấy bằng chứng số:
Internet History Files (trong các tập tin lịch sử truy cập internet)
Temporary Internet Files (trong các tập tin tạm sinh ra từ truy cập
internet)
Slack/Unallocated Space (tại không gian (đĩa) chưa cấp phát/thuộc
slack của tập tin)
File Settings, folder structure, file names (nơi lưu trữ các thiết lập
tập tin, cấu trúc thư mục, tên tập tin)
File Storage Dates (nơi lưu trữ ngày lưu trữ tập tin)
Software/Hardware added (ẩn/nhúng trong phần mềm/phần cứng
bổ sung)
Sharing Files (trong các tập tin chia sẻ)
E-mails (ẩn trong các e-mail)
2.4.5. Bảo vệ tính pháp lý của bằng chứng số
Trước khi tiến hành điều tra, thu thập chứng cứ, nhân viên điều tra
phải có lệnh của tịa án và có sự giám sát của phía cảnh sát
Điều tra viên phải kiểm sốt được tồn bộ hệ thống mấy tính để
chắc chắn rằng khơng có sự xâm nhập từ bên ngồi.
Chứng cứ sau khi được thu thập phải được bảo quản nguyên vẹn,
không để mất mát, lẫn lộn và hư hỏng.

8



Phân tích tất cả dữ liệu có được. Phải phân tích hệ thống để xác
nhận sự cố, nhưng khi gặp sự cố thật xảy ra thì bắt đầu thực hiện nhân bản
dữ liệu. Bắt đầu với các dữ liệu volatile trước (bởi vì khi tắt nguồn sẽ phá
hủy các dữ liệu volatile).
Báo cáo những gì đã tìm thấy. Report phải vắn tắt và rõ ràng, mơ tả
những gì mà bạn đã làm và cái cách mà bạn xác định trong thực tế.
2.5. Các yêu cầu đối với nhân viên pháp chứng
Điều tra viên kiểm sốt hệ thống máy tính để chắc chắn rằng thiết bị và dữ
liệu được an toàn.
Điều tra viên cần phải nắm quyền bảo mật để không có một có nhân nào
có thể truy cập máy tính và thiết bị lưu trữ đang được kiểm tra
Nếu hệ thống có kết nối với internet, điều tra viên phải kiểm soát được
việc kết nối này.
Chú ý: bản nguyên gốc cần được bảo quản và không được động đến .
2.6. Nhiệm vụ của các điều tra viên
Điều tra viên tìm kiếm tất cả các file có trong hệ thống máy tính , bao gồm
các file đã được mã hóa, được bảo vệ bằng mật khẩu, được ẩn hoặc bị xóa nhưng
có thể khơi phục.
Điều tra viên nên sao chép lại tất cả các file của hệ thống, bao gồm các file
có trong ổ đĩa của máy tính hay file từ các ổ cứng cắm ngoài.
Điều tra viên chỉ nên làm việc với bản copy của các file khi tìm kiếm bằng
chứng bởi khi truy cập các file có thể thay đổi.
Khơi phục càng nhiều thơng tin bị xóa càng tốt.
Rìm kiếm thông tin của các file ẩn
Giải mã và truy cập các file được bảo vệ
Phân tích các khu vực đặc biệt trên ổ đĩa máy tính, bao gồm các phần
thường khó có thể tiếp cận.
Lưu ý:

9



Phải đảm bảo tính tồn vẹn bằng cách ghi lại tất cả các bước của quá trình.
Điều này rất quan trọng đối với nhân viên điều tra để cung cấp bằng chứng rằng
công việc điều tra của họ thực hiện có bảo vệ thơng tin của hệ thống máy tính mà
không làm thay đổi hoặc làm hỏng chúng. Một vụ điều tra và vụ xử án có thể
mất tới hàng năm, nếu khơng có tài liệu xác thực, bằng chứng thậm chí cịn
khơng được chấp nhận. Robbins cho rằng những tài liệu xác thực này không chỉ
bao gồm các file và dữ liệu được khôi phục từ hệ thống mà còn bao gồm cả bản
vẽ của hệ thống và nơi các file được mã hóa hoặc được ẩn.
Hãy chuẩn bị là nhân chứng trước tịa trong computer forensics. Thậm chí,
khi q trình điều tra hồn tất, cơng việc điều tra của họ vẫn chưa xong. Họ có
thể vẫn phải chứng thực trước tòa.

10


CHƯƠNG 3: CÁC HÌNH THỨC PHẠM TỘI XÂM NHẬP QUA MÁY
TÍNH
3.1. Quy trình kiểm sốt phần cứng hệ thống máy tính
Kiểm sốt hệ thống máy tính để chắc chắn rằng hệ thống và dữ liệu được
an toán . đồng thời pháp chứng viên cần lập tài liệu về cấu hình phần cứng của
hệ thống.
Chuyển hệ thống máy tính đến vị trí mà pháp chứng viên nắm quyền bảo
mật để khơng có 1 cá nhân nào có thể truy cập máy tính và thiết bị dữ trữ đang
được kiểm tra .
Tạo backup của các ổ đĩa trên hệ thống bao gồm các tập tin có trong ở đĩa của
máy tính hay ổ cứng cấm ngoài theo dạng bit .Pháp chứng viên thực hiện điều tra
trên các dữ liệu backup.
3.2.


Xác định thông tin cần tìm kiếm

Kiểm tra dữ liệu trên tất cã các thiết bị lưu trữ bao gồm tất cã các tập tin có
trong hệ thống máy tính được ẩn hoặc xóa nhưng chưa bị ghi đè .
Kiểm tra các tập itn đã được mã hóa , được bảo về bằng mật khẩu .
Lập tài liệu về ngày và giờ hệ thống , ngày và giờ truy cập các tập tin.
Lập danh sách các key wrod cần tím kiếm liên quan đến dấu vết tội phạm.
3.3. Đánh giá nơi cịn có thể dấu dữu liệu
Phân tích các khu vực đặc biệt trên ổ đĩa máy tính ,bao gồm các phần
thường khó có thể tiếp cận .

Đánh giá tập tin swap của windows có thể chứa các thơng tin bộ nhớ đã sử
dụng
Thường trên cluster cuối cùng chứa tập tin sẽ không được sử dụng hết
.phần dư ra được gọi là file slack space.
Cần đánh giá Fiel slack space - đây là nơi có thể chứa các mã độc hoặc
thơng tin nhạy cảm .
Đánh giá các không gian đĩa chưa cấpphát và các tập tin bị xóa

11


CHƯƠNG 4. CẤU TRÚC VÀ THÀNH PHẦN CỦA HỆ THỐNG TẬP TIN

4.1.

FileSystem là gì?
FileSystem là thứ xác định các cách thức tổ chức, quản lý dữ liệu hay có
thể nói là quản lý cách thức cách dữ liệu được đọc và lưu trên thiết bị. File

system cho phép người dùng truy cập nhanh chóng và an tồn khi vào các tệp tin
thư mục khi cần thiết.
Những loại FileSystem được Linux hỗ trợ:
FileSystem cơ bản: ext2, ext3, ext4, XFS, Btrfs, JFS, NTFS v.v.
FileSystem dành cho dạng lưu trữ Flash (Thẻ nhớ các thứ..): ubifs, JFFS2,
YAFFS v.v.
FileSystem dành cho cơ sở dữ liệu.
Filesystem mục đích đặc biệt: procfs, sysfs, tmpfs, squashfs, debugfs,…
Một phân vùng là một vùng chứa trong đó có một filesystem được lưu trữ ,
trong một số trường hợp thì filesystem có thể mở rộng hơn một phân vùng nếu
filesystem sử dụng các liên kết.
4.2. Hệ điều hành WINDOWN
4.2.1. Cấu trúc registry
Registry là một database dùng để lưu trữ thông số kĩ thuật của
windown mà nó cho phép bạn làm 3 chức năng cơ bản :
thêm/xóa/sửa.Những thao tác đều ảnh hưởng đến windown. Trong
windown.
Registry có cấu trúc cây, giống cấu trúc cây thư mục trong cửa sổ
của Windows Explorer. Thông thường có 5 nhánh chính và nhìêu nhánh
con. Mỗi nhánh được giao nhiệm vụ lưu giữ những thông tin đặc trưng

riêng biệt

12


Hình h.2. Các nhánh chính của Registry Editor

4.2.2. Các nhánh chính của Registry
HKEY_CLASSES_ROOT: lưu những thơng tin dùng chung cho tồn bộ

hệ thống.
HKEY_CURENT_USER: lưu những thơng tin cho người dùng đang
Logon
HKEY_LOCAL_MACHINE: lưu những thông tin về hệ thống, phần
cứng, phần mềm.
HKEY_USERS: lưu những thông tin của tất cả các User, mỗi user là một
nhánh với tên là số ID của user đó.
HKEY_CURRENT_CONFIG: lưu thơng tin về phần cứng hiện tại đang
dùng.
4.2.3. Các kiểu dữ liệu
REG_BINARY: kiểu nhị phân
REG_DWORD: kiểu double wrod
RED_EXPAND_SZ: kiểu chuỗi mở rộng đặc biệt
REG-SZ: kiểu chuỗi chuẩn
REG_MULTI_SZ: Kiểu chuỗi đặc biệt

13


Hình h.3. Kiểu dữ liệu

14


Hình h.4. Nhánh cần phân quyền : permissions for HKEY_CURRENT_USERS

4.2.4.

Các chức năng chính:


File -> Import: dùng để import 1 khóa hay 1 nhóm các khóa registry với
dạng file có đi mở rộng xxx.reg.Ứng dụng trong trường hợp này là thực thi 1
file registry được viết sẵn thay vì đánh trực tiếp vafohay backup lại registry
File->Export: dùng để xuất ra 1 khóa hay 1 nhóm các khóa thường với 2
định dạng xxx.reg hoặc xxx.txt . Ứng dụng trong trường hợp này là để sao lưu
Registry khi cần thiết có thể backup trở lại

EX: Để sao lưu 1 nhánh Registry hoặc cả registry

15


Hình h.5. Chức năng chính

Edit-> Find: cho phép tìm kiếm.
Edit->Permissions :cho phép phân quyền theo nhóm hoặc user.

Hình h.6. Tìm kiếm, phân quyền trong Registry
16


4.2.5. Cấu Trúc Cây của windown

Hình h.7. Cấu trúc cây của windown

Ổ đĩa: C:/ , D:/ , E:/ ….

Hình h.8. Thành phần ổ đĩa

17