CHFI Tieng Viet PDF

CHFI
ĐIỀU TRA TỘI PHẠM MÁY TÍNH VÀ TRUY TÌM CHỨNG CỨ SỐ
1
Nội Dung Giáo Trình CHFI
2
CHƯƠNG 1
NGHIỆP VỤ ĐIỀU TRA MÁY TÍNH VÀ
TRUY TÌM CHỨNG CỨ SỐ
Thế Nào Là Computer Forensic ?
Điều Tra Máy Tính Và Những Nguyên Tắt Liên Quan
Lịch Sử Của Điều Tra Máy Tính
Hiểu Về Án Lệ
Chuẩn Bị Nguồn Lực Cho Điều Tra Máy Tính
Chuẩn Bị Cho Quá Trình Điều Tra Máy Tính

Hiểu Về Vấn Đề Thực Thi Pháp Luật Của Cơ Quan Điều Tra
Quy Trình Thực Hiện Hợp Lệ
Điều Tra Trong Khu Vực Doanh Nghiệp
Xây Dựng Chính Sách Trong Doanh Nghiệp
Sử Dụng Các Thông Điệp Cảnh Báo
Xác Định Authorized Requester
Tiến Hành Điều Tra An Ninh
Phân Biệt Tài Sản Cá Nhân Và Tài Sản Doanh Nghiệp
3
Duy Trì Ứng Xử Chuyên Nghiệp
Tổng Kết Chương
CHƯƠNG 2
TỔNG QUAN VỀ ĐIỀU TRA MÁY
TÍNH
Chuẩn Bị Cho Một Quá Trình Điều Tra Máy Tính

Tổng Quan Về Chứng Cứ Tội Phạm Trên Máy Tính
Những Vi Phạm Chính Sách Doanh Nghiệp
Tiếp Cận Theo Hệ Thống

Truy Cập Vào Vụ Án
Hoạch Định Cho Quá Trình Điều Tra
Bảo Vệ Chứng Cứ An Toàn
Thủ Tục Điều Tra Công Nghệ Cao Trong Môi Trường
Tổ Chức
Kết Thúc Hợp Đồng Lao Động
4
Điều Tra Về Vấn Đề Lạm Dụng Internet
Điều Tra Lạm Dụng E-Mail
Attorney-Client Privilege
Điều Tra Các Khe Hỡ Truyền Thông
Điều Tra Tình Báo Công Nghiệp
Phỏng Vấn Và Thẩm Vấn Trong Điều Tra Công Nghệ Cao
Máy Trạm Và Phần Mềm Phục Hồi Dữ Liệu

Thiết Lập Hệ Thống Máy Trạm Cho Quá Trình Computer
Forensic
Tiến Hành Điều Tra

Thu Thập Chứng Cứ
Thế Nào Là Bit-Stream Copy
Thu Thập Hình Ảnh Của Ổ Lưu Trữ Chứng Cứ
Sử Dụng ProDiscover Basic Để Tạo Ảnh Đĩa Cho Ổ USB
Phân Tích Chứng Cứ Số
Hoàn Thành Bản Án

Rút Kinh Nghiệm Từ Công Việc Điều Tra Đã Thực Hiện
5
CHƯƠNG 3
VĂN PHÒNG VÀ PHÒNG THÍ
NGHIỆM CỦA ĐIỀU TRA VIÊN
Yêu Cầu Chứng Nhận Đối Với Computer Forensic Lab

Nhiệm Vụ Của Giám Đốc Phòng Thí Nghiệm Và Nhân Viên
Hoạch Định Ngân Sách Cho Phòng Thí Nghiệm
Chứng Nhận Và Đào Tạo
Xác Định Các Yêu Cầu Vật Lý Cho Một Computer

Forensic Lab
Xác Định Nhu Cầu An Ninh Cho Hệ Thống Lab
Các Yêu Cầu Dành Cho Quá Trình Điều Tra Nguy Cơ Cao
Sử Dụng Hộp Đựng Bằng Chứng
Bảo Trì Cơ Sở Hạ Tầng
Xem Xét Các Nhu Cầu An Ninh Vật Lý
Kiểm Tra Các Máy Tính Trong Phòng Thí Nghiệm
Xác Định Kế Hoạch Hạ Tầng Cho Phòng Thí Nghiệm
Lựa Chọn Máy Trạm Cơ Bản Cho Phòng Thí
Lựa Chọn Máy Trạm Xử Lý Chứng Cứ Cho Cục Cảnh Sát
6
Lựa Chọn Máy Trạm Cho Các Phòng Thí Nghiệm Tư Nhân Và
Doanh Nghiệp
Yêu Cầu Đối Với Thiết Bị Ngoại Vi Phần Cứng
Duy Trì Hệ Điều Hành Và Kho Phần Mềm
Có Kế Hoạch Phục Hồi Thảm Họa
Lập Kế Hoạch Cho Nâng Cấp Thiết Bị
Sử Dụng Máy Tính Xách Tay Làm Máy Trạm Điều Tra Chứng Cứ
Xây Dựng Một Kế Hoạch Kinh Doanh Cho Computer

Forensic Lab
Lập Kế Hoạch Kinh Doanh Cho Phòng Thí Nghiệm Điều Tra
Máy Tính
CHƯƠNG 4
THU THẬP DỮ LIỆU
Các Định Dạng Lưu Trữ Của Bằng Chứng Kỹ Thuật Số
Định Dạng Thô (Raw Format)
Định Dạng Độc Quyền
Định Dạng Nâng Cao
7
Xác Định Phương Pháp Thu Thập Dữ Liệu Thích Hợp
Nhất
Kế Hoạch Dự Phòng Cho Việc Thu Ảnh Đĩa Chứng Cứ
Sử Dụng Công Cụ Thu Thập Dữ Liệu
Bật Chức Năng Chống Ghi Cho USB Trên Hệ Điều Hành
Windows
Thu Thập Dữ Liệu Với Các Đĩa Live CD/DVD Linux
Tạo Ảnh Đĩa Với ProDiscover Basic
Tạo Ảnh Đĩa Với AccessData FTK Imager
Xác Thực Tính Hợp Lệ Của Dữ Liệu
Phương Pháp Xác Thực Trên Hệ Thống Linux
Phương Pháp Xác Thực Trên Hệ Thống Windows
Thu Thập Thông Tin Trên Các Ổ Đĩa RAID

Các Loại RAID Cơ Bản
Thu Thập Dữ Liệu Chứng Cứ Trên Các Ổ Đĩa RAID
Sử Dụng Công Cụ Thu Thập Dữ Liệu Từ Xa

Thu Thập Dữ Liệu Từ Xa Với ProDiscover
Thu Thập Dữ Liệu Từ Xa Với EnCase Enterprise
Thu Thập Dữ Liệu Từ Xa Với R-Tools R-Studio
Thu Thập Dữ Liệu Từ Xa Với WetStone Livewire
8
Thu Thập Dữ Liệu Từ Xa Với F-Response
Thu Thập Dữ Liệu Từ Xa Với Runtime Software
Một Số Công Cụ Điều Tra Máy Tính Khác

Snapback DatArrest
NTI SafeBack
DIBS USA RAID
ILook Investigator Iximager
ASRData SMART
Công Cụ PyFlag Của Bộ Quốc Phòng Úc
CHƯƠNG 5
XỬ LÝ VỤ ÁN
Xác Định Bằng Chứng Kỹ Thuật Số
Hiểu Các Quy Tắt Của Chứng Cứ
Thu Thập Chứng Cứ Trong Khu Vực Tư Nhân

Xử Lý Hiện Trường Vụ Án
9
Hiểu Rõ Các Khái Niệm Và Điều Khoản Trong Lệnh Khám Xét
Chuẩn Bị Tìm Kiếm

Xác Định Bản Chất Của Vụ Án
Xác Định Hệ Thống Điện Toán
Xác Định Quyền Thu Giữ Máy Tính
Xác Định Thông Tin Chi Tiết Về Địa Điểm
Phân Công Công Việc
Hỗ Trợ Của Các Chuyên Gia Kỹ Thuật
Xác Định Các Công Cụ Cần Thiết
Chuẩn Bị Đội Điều Tra Đảm Bảo An Ninh Cho Hiện Trường
Tịch Thu Bằng Chứng Kỹ Thuật Số Tại Hiện Trường

Chuẩn Bị Cho Qua Trình Thu Thập Chứng Cứ Kỹ Thuật Số
Xử Lý Một Vụ Án
Xử Lý Các Trung Tâm Dữ Liệu Với Hệ Thống RAID
Sử Dụng Cố Vấn Kỹ Thuật
Lập Tài Liệu Chứng Cứ Trong Phòng Thí Nghiệm
Xử Lý Các Bằng Chứng Kỹ Thuật Số
Lưu Trữ Bằng Chứng Kỹ Thuật Số
Duy Trì Bằng Chứng Và Nhu Cầu Của Phương Tiện Lưu Trữ
Lập Tài Liệu Chứng Cứ

Xác Định Giá Trị Băm
10
Xem Lại Một Tình Huống
Một Tình Huống Điều Tra Dân Sự
Ví Dụ Về Điều tra Hình Sự
Đánh Giá Thông Tin Sơ Bộ Cho Một Vụ Án
Xác Định Các Yêu Cầu Của Vụ Án
Kế Hoạch Điều tra
Tiến Hành Điều Tra: Thu Thập Bằng Chứng Với Accessdata FTK
CHƯƠNG 6
LÀM VIỆC VỚI HỆ ĐIỀU HÀNH
WINDOWS VÀ MS-DOS
Tổng Quan Về Hệ Thống Tập Tin Hiểu Về Trình Tự
Khởi Động Của Hệ Thống Windows
Tìm Hiểu Về Đĩa ổ Đĩa
Khám Phá Cấu Trúc Tập Tin Của Hệ Điều Hành Windows
Phân Vùng Của Đĩa Cứng

Master Boot Record
Khảo Sát Ổ Đĩa FAT
11
Khảo Sát Ổ Đĩa NTFS
Hệ Thống Files NTFS

MFT Và Các Thuộc Tính Của Tập Tin
Cấu Trúc MFT Của Tập Tin Dữ Liệu
Luồng Dữ Liệu NTFS
Nén Các Tập Tin NTFS
EFS Recovery Key Agent
Xóa Tập Tin NTFS
Thách Thức Từ Vấn Đề Mã Hóa Toàn Bộ Ổ Đĩa

Microsoft BitLocker
Công Cụ Mã Hóa Đĩa Của Bên Thứ Ba
Tổng Quan Về Windows Registry

Tổ Chức Của Windows Registry
Khảo Sát Windows Registry
Tiến Trình Khởi Động Của Microsoft Windows

Tiến Trình Khởi Động Trong Windows NT Trở Về Sau
Tiến Trình Khởi Động Trong Windows 9x/Me
Tiến Trình Khởi Động Của Hệ Điều Hành MS-DOS

Những Hệ Điều Hành Khác
Công Nghệ Ảo Hóa Và Máy Ảo

Cài Đặt Máy Ảo
12
CHƯƠNG 7
CÁC CÔNG CỤ ĐIỀU TRA MÁY TÍNH
HIỆN NAY
Đánh Giá Về Nhu Cầu Các Công Cụ Điều Tra Chứng Cứ

Trên Máy Tính
Các Loại Công Cụ Điều Tra Máy Tính
Chức Năng Của Công Cụ Điều Tra Máy Tính
So Sánh Các Công Cụ
Các Công Cụ Khác
Những Công Cụ Điều Tra Máy Tính Dạng Phần Mềm
Công Cụ Điều Tra Máy Tính Dạng Command-Line
Công Cụ Điều Tra Máy Tính Chạy Trên UNIX / Linux Các Công
Cụ
Điều Tra Máy Tính Dạng Đồ Họa Khác
Công Cụ Phần Cứng Dùng Để Điều Tra Chứng Cứ Số
13
Các Máy Trạm Dùng Cho Điều Tra Chứng Cứ Số
Sử Dụng Một Thiết Bị Có Khả Năng Chống Ghi (Write-Blocker)
Khuyến Nghị Cho Một Máy Trạm Điều Tra Chứng Cứ Kỹ Thuật
Số
Kiểm Tra Và Xác Nhận Tính Hợp Lệ Của Phần Mềm

Điều Tra Máy Tính
Sử Dụng Công Cụ Của NIST (National Institute of Standards
and Technology)
Sử Dụng Giao Thức Xác Thực
CHƯƠNG 8
HỆ THỐNG TẬP TIN VÀ QUÁ TRÌNH
KHỞI ĐỘNG CỦA MACINTOSH
VÀ LINUX
Cấu Trúc Tập Tin Của Hệ Thống Macintosh Và Quá

Trình Khởi Động
Tổng Quan Về Hệ Thống Volume Của Mac OS 9
Tìm Hiểu Tiến Trình Khởi Động Của Macintosh
14
Sử Dụng Phần Mềm Điều Tra Chứng Cứ Trên Macintosh
Tìm Hiểu Cấu Trúc Đĩa Cứng UNIX / Linux Và Quá

Tổng Quan UNIX Và Linux
Tìm Hiểu Về Inode
Tìm Hiểu Về Quá Trình Khởi Động Của UNIX Và Linux

Tìm Hiểu Về Linux Loader Và GRUB
Tìm Hiểu Về Ổ Đĩa UNIX / Linux Và Sơ Đồ Phân Vùng
Khảo Sát Cấu Trúc Đĩa Cứng Của Hệ Điều Hành UNIX Và Linux
Tìm Hiểu Về Cấu Trúc Của Các Loại Đĩa Khác

Tổng Quan Về Đĩa CD / DVD
Tổng Quan Về Đĩa SCSI
Tổng Quan Về Thiết Bị IDE/EIDE Và SATA
15
CHƯƠNG 9
PHÂN TÍCH VÀ XÁC THỰC
CHỨNG CỨ SỐ
Xác Định Dữ Liệu Cần Thu Thập Và Phân Tích

Tiếp Cận Tình Huống Điều Tra Máy Tính
Sử Dụng Accessdata Forensic Toolkit Để Phân Tích Dữ Liệu Xác

Nhận Dữ Liệu Pháp Lý
Xác Nhận Tính Hợp Lệ Của Thông Tin

Xác Nhận Tính Hợp Lệ Với Chương Trình Biên Tập Thập Lục
Phân
Xác Nhận Tính Hợp Lệ Với Chương Trình Điều Tra Máy Tính
Các Kỹ Thuật Ẩn Dữ Liệu

Ẩn Phân Vùng
Đánh Dấu Bad Cluster
Bit-Shifting
Ẩn Dữ Liệu Với Steganography
Kiểm Tra Các Tập Tin Bị Mã Hóa
16
Phục Hồi Mật Khẩu
Thu Thập Dữ Liệu Từ Xa
CHƯƠNG 10
PHỤC HỒI TẬP TIN ĐỒ HỌA
Thế Nào Là Một Tập Tin Đồ Họa ?

Tìm Hiểu Về Hình Ảnh Đồ Họa Bitmap Và Raster
Tìm Hiểu Về Hình Ảnh Đồ Họa Vector
Tìm Hiểu Về Hình Ảnh Đồ Họa Metafile
Tìm Hiểu Về Định Dạng Tập Tin Đồ Họa
Tìm Hiểu Về Định Dạng Tập Tin Của Máy Ảnh Kỹ Thuật Số
Tổng Quan Về Nén Dữ Liệu

Cơ Chế Nén Lossless Và Lossy
Xác Định Và Phục Hồi Tập Tin Đồ Họa
17
Xác Định Các Phân Mảnh Của Tập Tin Đồ Họa
Sửa Chữa Tiêu Đề Bị Hỏng
Tìm Kiếm Và Phục Hồi Dữ Liệu Từ Vùng Không Cấp Phát Trên
Đĩa Cứng
Xây Dựng Lại Tiêu Đề Tập Tin
Xây Dựng Lại Các Tập Tin Bị Phân Mãnh
Xác Định Các Định Dạng Tập Tin Không Xác Định
Phân Tích Tiêu Đề Của Tập Tin Đồ Họa
Công Cụ Xem Ảnh
Tìm Hiểu Về Các Tập Tin Đồ Họa Steganography
Sử Dụng Công Cụ Phân Tích Steganalysis
Tìm Hiểu Về Vấn Đề Bản Quyền Của Tập Tin Đồ Họa

Chương 11
MÁY ẢO, ĐIỀU TRA PHÁP LÝ MẠNG
MÁY TÍNH VÀ THU THẬP DỮ LIỆU
TRỰC TIẾP
18
Tổng Quan Về Máy Ảo
Tổng Quan Về Điều Tra Pháp Lý Mạng Máy Tính
An Ninh Mạng
Thu Thập Dữ Liệu Trực Tiếp

Tiến Hành Thu Thập Dữ Liệu Trực Tiếp Trong Windows
Phát Triển Các Thủ Tục Chuẩn Cho Điều Tra Pháp Lý
Mạng
Rà Soát Các Tập Tin Nhật Kí Mạng
Sử Dụng Công Cụ Mạng
Sử Dụng Công Cụ UNIX / Linux
Sử Dụng Chương Trình Bắt Gói Tin
CHƯƠNG 12
ĐIỀU TRA EMAIL
19
Vai Trò Của Email Trong Điều Tra
Vai Trò Của Khách - Chủ Trong E-Mail
Điều Tra Sự Vi Phạm Và Tội Phạm E-Mail
Kiểm Tra Nội Dung Email
Xem Tiêu Đề E-Mail
Kiểm Tra Tiêu Đề E-mail
Kiểm Tra Bổ Sung Tập Tin E-Mail
Truy Tìm Một Thông Điệp E-Mail
Sử Dụng Tập Tin Nhật Kí Mạng Của Email
Tìm Hiểu Về Máy Chủ E-Mail
Kiểm Tra Nhật Kí Của Máy Chủ Email UNIX
Kiểm Tra Tập Tin Nhật Kí Của Máy Chủ EmailWINDOWS
Các Công Cụ Điều Tra Email Chuyên Dụng

Sử Dụng Accessdata FTK Để Phục Hồi E-Mail
Sử Dụng Trình Biên Tập Thập Lục Phân
Phục Hồi Tập Tin Outlook
20
CHƯƠNG 13
ĐIỆN THOẠI DI ĐỘNG VÀ ĐIỀU TRA
PHÁP LÝ TRÊN THIẾT BỊ DI ĐỘNG
Tổng Quan Về Điều Tra Pháp Lý Trên Thiết Bị Di

Động
Khái Niệm Cơ Bản Về Điện Thoại Di Động
Bên Trong Thiết Bị Di Động
Bên Trong Thiết Bị Cầm Tay PDA
Thủ Tục Thu Thập Thông Tin Cho Điện Thoại Và Thiết
Bị Di Động
Điều Tra Pháp Lý Cho Thiết Bị Di Động
CHƯƠNG 14
21
VIẾT BÁO CÁO CHO QUÁ TRÌNH
ĐIỀU TRA CÔNG NGHỆ CAO
Hiểu Rõ Tầm Quan Trọng Của Báo Cáo
Xác Định Các Chi Tiết Chính Của Bản Bán Cáo
Các Loại Các Báo Cáo
Hướng Dẫn Viết Báo Cáo

Báo Cáo Sơ Bộ Gồm Những Gì ?
Cấu Trúc Báo Cáo
Viết Báo Cáo Rõ Ràng
Bố Trí Và Trình Bày Các Báo Cáo
Tạo Báo Cáo Với Công Cụ Điều Tra Pháp Lý
Sử Dụng ProDiscover Basic Tạo Báo Cáo
Sử Dụng AccessData FTK Tạo Báo Cáo
22
Chương 15
CHUYÊN VIÊN CHỨNG NGÔN
TRONG ĐIỀU TRA KỸ THUẬT CAO
Chuẩn Bị Cho Việc Lấy Lời Khai

Cung Cấp Tư Liệu Và Chuẩn Bị Chứng Cứ
Xem Lại Vai Trò Chuyên Gia Tư Vấn Hoặc Nhân Chứng Chuyên
Môn Của Bạn
Tạo Và Duy Trì CV Của Bạn
Chuẩn Bị Các Định Nghĩa Kỹ Thuật
Chuẩn Bị Để Đối Phó Với Truyền Thông
Làm Chứng Tại Tòa Án

Tìm Hiểu Tiến Trình Xét Xử
Cung Cấp Chúng Nhận Cho Lời Khai Của Bạn
Hướng Dẫn Chung Về Làm Chứng
Làm Chứng Trong Quá Trình Kiểm Tra Trực Tiếp
Làm Chứng Trong Kiểm Tra Chéo
23
Chuẩn Bị Cho Việc Cung Cấp Lời Khai Bên Ngoài Tòa
Án
Hướng Dẫn Làm Chứng Trong Các Tình Huống Cung Cấp Lời
Khai Bên Ngoài Tòa Án
Hướng Dẫn Làm Chứng Tại Phiên Điều Trần
Chuẩn Bị Các Bằng Chứng Pháp Lý Cho Lời Khai
Giải Thích Phương Pháp Thu Thập Bằng Chứng Của Bạn
Chương 16
QUY TẮC ỨNG XỬ VÀ TRÁCH NHIỆM
NGHIỆP VỤ CỦA NHÂN CHỨNG
CHUYÊN MÔN
Ứng Dụng Các Nguyên Tắt Xử Thế Và Điều Luật Đối

Với Nhân Chứng Chuyên Gia
Vai Trò Của Người Giám Định Pháp Lý Khi Làm Chứng
Quan Tâm Đến Vấn Đề Bị Loại Bỏ
Những Cái Bẫy Đối Với Các Chuyên Gia Không Thận Trọng
24
Xác Định Khả Năng Được Chấp Nhận Của Chứng Cứ
Các Tổ Chức Và Quy Chế Hành Nghề

Hiệp Hội Quốc Tế Các Chuyên Gia Thẩm Định Máy Tính
(ISFCE)
Hiệp Hội Quốc Tế Về Điều Tra Tôi Phạm Công Nghệ Cao
(HTCIA)
Hiệp Hội Quốc Tế Các Chuyên Gia Điều Tra Máy Tính (IACIS)
American Bar Association
Hiệp Hội Y Khoa Hoa Kỳ - AMA
Hiệp Hội Tâm Lý Hoa Kỳ - APA
Những Khó Khăn Về Mặt Đạo Đức Của Nhân Chứng

Chuyên Môn
Những Trách Nhiệm Về Mặt Đạo Đức Đối Với Bạn
Các Công Cụ Pháp Lý Tiêu Chuẩn Và Công Cụ Cá Nhân
Bài Tập Phục Hồi Dữ Liệu Để Tìm Kiếm Thông Tin

Quan Trọng
Xác Định Giá Trị Thập Lục Phân Cho Chuỗi Kí Tự
Tìm Kiếm Dữ Liệu Unicode Trong Prodiscover Basic
Giải Thích Thuộc Tính 0x80 Của Dữ Liệu Thực Thi
Phục Hồi Data Run Cluster Theo Cách Thủ Công
25
26
CHƯƠNG 1
NGHIỆP VỤ ĐIỀU TRA MÁY TÍNH VÀ
TRUY TÌM CHỨNG CỨ SỐ
Sau Khi Hoàn Thành Chương Này Các Bạn Có Thể

• Định nghĩa thế nào là computer forensic
• Làm thế nào để chuẩn bị cho điều tra máy tính và giải thích sự khác biệt
giữa cơ quan thực thi pháp luật và công ty điều tra
• Giải thích tầm quan trọng của việc duy trì tính chuyên nghiệp
27
Thời gian gần đây, việc tìm kiếm bằng chứng số và điều tra tội phạm công
nghệ cao ngày càng nhận được nhiều sự quan tâm, chú ý của đông đảo người
dùng. Một ví dụ điển hình đó là khi tập đoàn năng lượng Enron sập đổ vào
tháng 12 năm 2001 khiến cho hàng trăm nhân viên bị mất việc trong khi một
số quan chức dường như hưởng lợi từ việc phá sản của công ty này. Quốc
hội Mỹ đã quyết định điều tra khi có nhiều tin đồn về sự làm ăn gian lận của
Enron. Và hầu hết công việc điều tra được một lực lượng đông đảo các
chuyên gia tìm kiếm bằng chứng công nghệ cao tiến hành dựa trên kỹ thuật
Computer Forensic & Investigation hay Nghiệp Vụ Điều Tra Máy Tính Và
Truy Tìm Chứng Cứ Số, tập trung vào các tập tin và dữ liệu máy tính của
hàng trăm nhân viên của Enron để tìm kiếm bằng chứng phạm tội.
Chương này sẽ giới thiệu với các bạn về lĩnh vực tìm kiếm bằng chứng số và
điều tra tội phạm công nghệ cao cùng với một số vấn đề liên quan.
Thế Nào Là Computer Forensic ?

Computer Forensic là quá trình thu thập và phân tích thông tin trên các máy
tính được sử dụng như là chứng cứ phục vụ cho việc điều tra tội phạm hay
dùng trong các công tác quản trị hệ thống thông tin. Từ trước năm 1970 các
điều luật liên quan đến tội phạm công nghệ được quản lý bởi tổ chức liên
bang FRE (Federal Rules of Evidence); sau đó vào khoảng năm 1970 đến
1985 mỗi bang có những điều luật riêng của mình trong state rule of
evidence cho nên các vấn đề luật định đối với những chứng cứ số tùy thuộc
vào quy định của mỗi bang. Đến năm 1984, sự bùng nổ của công nghệ thông
tin làm gia tăng số lượng tội phạm công nghệ cao cùng với mức thiệt hại của
chúng, nên một tổ chức chuyên trách cho việc điều tra và thu thập chứng cứ
số được thành lập gọi là FBI Computer Analysis and Response Team hay
còn gọi là CART, chúng ta có thể thấy trang chủ của FBI CART như Hình
1.1. Sau đó, vào cuối những năm 1990 CART phối hợp với Department of
Defense Computer Forensics Laboratory (DCFL) để tiến hành nghiên cứu và
đào tạo với phần lớn những chương trình giảng dạy được thực hiện bởi
DCFL.
28
Hình 1.1 – Trang chủ FBI CART với tùy chọn ngôn ngữ là tiếng Việt
Dữ liệu lưu trữ trên máy tính được bảo vệ bởi một số điều luật khác nhau tùy
thuộc vào trạng thái của chúng. Nhiều điều luật của các tiểu bang và liên
bang được phát triển và phân loại riêng cho các chứng cứ số. Ví dụ trong
bốn điều luật bổ sung quan trọng đối với U.S Constitution là Fourth
Amendment quy định mọi người có quyền bảo vệ bản thân, nơi cư ngụ và tài
sản khỏi sự tìm kiếm và chiếm đoạt trái phép. Các thay đổi và phát triển của
luật học đã xác định không có sự khác biệt giữa việc tìm kiếm các chứng cứ
số so với việc tìm kiếm những chứng cứ phạm tội thông thường theo lệnh
khám xét (search warrant) của tòa án, đó là cảnh sát có quyền thâm nhập
vào tài sản riêng tư để tìm kiếm chứng cứ phạm tội, bao gồm cả tài sản
thông tin. Vì vậy trong quá trình chuẩn bị cho việc điều tra chứng cứ phạm
tội các điều tra viên có thể tạm giữ các máy tính khả nghi và những thành
phần liên quan nhằm phục vụ cho quá trình điều tra được tốt hơn.
Điều Tra Máy Tính Và Những Nguyên Tắt Liên Quan

Theo một công ty hoạt động chuyên biệt trong lĩnh vực truy tìm bằng chứng
phạm tội công nghệ cao là DIBS USA, Inc (www.dibsusa.com) thì
computer forensic có nghĩa là khoa học về nghiên cứu và phân tích dữ liệu
từ các thiết bị lưu trữ trên máy tính được sử dụng như là chứng cứ trước
tòa. Như vậy chúng ta có thể xem computer forensic như là quá trình điều
29
tra pháp lý trên máy tính hay gọi tắt là điều tra máy tính. Chúng ta có thể
thấy một định nghĩa tương tự trên trang web của FBI (www.fbi.gov). Nói
một cách tổng quát thì quá trình điều tra máy tính bao gồm việc thu thập dữ
liệu máy tính và lưu giữ chúng một cách an toàn, tiến hành phân tích các dữ
liệu khả nghi nhằm xác định các thông tin gốc và nội dung của chúng, sau đó
trình bày các thông tin này trước tòa và áp dụng các điều luật đối với những
hành vi liên quan.
Như vậy, dữ liệu được truy tìm trong tiến trình điều tra máy tính có thể được
lấy từ máy tính hay các thiết bị lưu trữ, các thông tin này có thể sẳn có trên
đĩa cứng hay phải phục hồi bằng những công cụ chuyên dụng do bị xóa,
trong nhiều tình huống các điều tra viên cần phải tiến hành giải mã để xem
được nội dung của dữ liệu. Ngược lại với computer forensic là network
forensic hay điều tra pháp lý trên hệ thống mạng, là tiến trình truy tìm chứng
cứ phạm tội trên mạng để điều tra các kẻ tấn công hay xâm nhập hệ thống
trái phép.
Các điều tra viên trên hệ thống mạng thường sử dụng tập tin nhật kí để xác
định ngày, giờ kẻ xâm nhập trái phép hay thời gian mà cuộc tấn công hay
hành vi phá hoại diễn ra, tìm kiếm địa điểm của kẻ tấn công (hacker /
attacker) thông qua dãy địa chỉ IP của máy tính được dùng để phát động tấn
công hay xâm nhập. Trong chương 11 chúng ta sẽ thảo luận chi tiết về
những phương pháp điều tra hệ thống mạng thường được điều tra viên sử
dụng.
Ngoài ra, điều tra máy tính cũng khác với phục hồi dữ liệu, một tiến trình
phục hồi dữ liệu bị xóa do thao tác nhầm lẫn hay do các sự cố thiên nhiên,
môi trường gây ra. Trong quá trình phục hồi dự liệu chúng ta biết rõ thông
tin cần phục hồi, trong khi đó điều tra máy tính cũng bao gồm công đoạn
phục hồi dữ liệu do bị che dấu hay xóa bỏ nhưng với mục tiêu nhằm bảo
đảm tính hợp lệ của dữ liệu và có thể sử dụng làm bằng chứng trước tòa. Để
phục hồi các thông tin bị xóa có thể đơn giãn như lấy từ thùng rác khi dữ
liệu bị xóa tạm, hay phải dùng đến các công cụ chuyên dụng để lấy dữ liệu
chưa bị xóa hoàn toàn mà chỉ bị đánh dấu để có thể ghi đè bởi các thông tin
mới. Tuy nhiên, trong những trường hợp thiết bị lưu trữ bị hư hại hay bị phá
hủy nặng thì việc phục hồi sẽ tốn kém hơn nhiều thông qua các phòng thí
30
nghiệm hay những công cụ đặc biệt có chi phí từ 3000 USD đến 20.000
USD.
Cũng như các công ty hoạt động trong lĩnh vực phục hồi dữ liệu (data
recovery), những doanh nghiệp chuyên phục hồi thảm họa (disaster
recovery) sử dụng các kỹ thuật điều tra máy tính để cứu dữ liệu bị hư hỏng
do các sự cố thiên tai hay môi trường như bị hư hỏng đĩa cứng do biến đổi
điện áp đột ngột, hoặc bị hỏa hoạn hay tấn công khủng bố như sự cố ngày
11.9
Các điều tra viên thường hoạt động theo một nhóm gồm các chuyên gia có
kiến thức trong lĩnh vực an ninh mạng và máy tính nhằm bảo vệ chứng cứ an
toàn. Các nhóm này sẽ tiến hành công việc tùy theo chức năng và trình độ
chuyên môn bao gồm 3 công việc chính được mô tả như là tam giác điều tra
như Hình 1-2 nhằm đảm bảo an toàn thông tin, đó là các hoạt động :
- Đánh giá các điểm nhạy cảm và quản lý rũi ro.
- Dò tìm xâm phạm hệ thống mạng máy tính trái phép và phản ứng lại
các sự cố khẩn cấp.
- Quá trình điều tra máy tính.
31
Hình 1-2 : Ba yếu tố căn bản trong quá trình điều tra
Với mỗi cạnh tam giác được minh họa trong Hình 1-2 sẽ được thực hiện bởi
các thành viên nhằm đem đến kết quả cao nhất trong công tác truy tìm chứng
cứ và điều tra tội phạm công nghệ.
Nhóm thực hiện việc đánh giá các điểm yếu bảo mật và quản trị rũi ro
(tương ứng với cạnh Vulnerability trong Hình 1-2) sẽ tiến hành kiểm tra tính
toàn vẹn của hệ thống máy tính và mạng bao gồm các thiết bị vật lý hay hệ
điều hành, xác định các lỗ hổng bảo mật của hệ điều hành và ứng dụng như
việc thiếu cài đặt các bạn vá lỗi hay bản cập nhật hệ thống. Nhóm này cũng
tiến hành các công tác tấn công thử nghiệm để ước lượng những rũi ro và tác
hại do các điểm yếu này gây ra, quá trình này còn được gọi là penetration
test hay pentest, một trong những công đoạn quan trọng của công việc kiểm
định an toàn thông tin.
Các chuyên gia đánh giá điểm yếu và ước lượng những rũi ro cũng cần có kỹ
năng của nhóm instruction response, đây là các thành viên chịu trách nhiệm
dò tìm xâm nhập trái phép thông qua các thiết bị phần cứng hay phần mềm
như ứng dụng cảnh báo xâm phạm Snort, và đưa ra các hành động phản ứng
thích hợp khi có sự cố theo quy trình hợp lý nhằm hạn chế tối đa những thiệt
hại.
Cuối cùng, nhóm điều tra máy tính (investigation) sẽ phân tích các đánh giá
để đưa ra một bản tổng kết gồm những lỗ hổng bảo mật, các mối đe dọa tiềm
tàng và thiệt hại mà tội phạm công nghệ có thể gây ra. Đối với mỗi đe dọa
cần có một giải pháp thích hợp để khắc phục sự cố hay dò tìm những kẻ tấn
công.
Lịch Sử Của Điều Tra Máy Tính

Ngày nay, máy tính và công nghệ thông tin góp đóng vai trò quan trọng
trong bất kì hoạt động kinh tế và xã hội góp phần tạo nên một thế giới phẳng
mà trong đó khoảng cách địa lý không còn là một trở ngại. Nhưng hơn 30
năm trước ít ai Hình dung được tác động của máy tính vào đời sống thực bởi
vì máy tính ngày đó hầu hết là các thiết bị có kích thước to lớn chỉ được
32
dùng cho các doanh nghiệp hoạt động tronh lĩnh vực ngân hàng, hay phục vụ
cho mục đích quân sự … Tội phạm máy tính do đó cũng ít cho nên các điều
luật áp dụng cho lĩnh vực này hầu như là không có hoặc nếu có thì cũng chỉ
mang tính chất thử nghiệm. Các luật sư ngày đó chỉ được tham dự các khóa
đào tạo những điều luật về phục hồi dữ liệu số là Federal Law
Enforcement Training Center (FLETC).
Đến thập niên 1980 thì các máy chủ to lớn thường được gọi là mainframe
dần được thay thế bởi máy tính cá nhân PC với những hệ điều hành dễ sử
dụng, có chi phí rẽ hơn. Đi đầu trong cuộc cách mạng máy tính này là tập
đoàn Apple với hệ thống máy tính cá nhân Apple 2E được giới thiệu vào
năm 1983 và sau đó là Macintosh vào năm 1984. Hệ điều hành trên các máy
tính thời đó còn khá đơn giãn như MS-DOS với giao diện dòng lệnh khá đơn
điệu, và những công cụ dành cho vấn đề truy tìm bằng chứng hay phục hồi
dữ liệu đương nhiên cũng ít và chủ yếu được sử dụng bởi chính phủ như ứng
dụng Royal Canadian Mounted Police (RCMP) và U.S. Internal Revenue
Service (IRS), phần lớn các công cụ này được viết bằng C hay hợp ngữ nên
khả năng phổ biến trong môi trường công cộng rất thấp.
Mãi đến giữa thập niên 1980 một ứng dụng trong lĩnh vực điều tra máy tính
mới xuất hiện trên thị trường đó là Xtree Gold có khả năng nhận dạng và
phục hồi các tập tin bị thất lạc hay bị xóa. Tiếp theo đó là Norton DiskEdit
cũng được trình làng và trở thành một ứng dụng yêu thích trong vấn đề phục
hồi dữ liệu. Bạn có thể sử dụng chương trình này trên hầu hết các hệ thống
máy tính cá nhân và thời đó như những máy tính tương thích với nền tảng
IBM gồm ổ cứng dung lượng 10 MB kèm theo hai ổ đĩa mềm như Hình 1-3
33
Hình 1-3 : Máy tính 8088
Đến năm 1987 hãng Apple cho ra đời dòng máy Macintosh có ổ đĩa mở rộng
EasyDrive dung lượng 60 MB là MAC SE như Hình 1-4 và được xem là
một bước tiến quan trọng của công nghệ máy tính.
34
Hình 1-4 Một máy Mac SE với ở đĩa mềm và ở mở rộng EasyDrive
Đến những năm đầu thập niên 1990 các công cụ chuyên dụng cho tiến trình
điều tra máy tính đã ra đời như IACIS (International Association of
Computer Investigative Specialists) được xem như là một ứng dụng tiêu biểu
cho công việc điều tra và truy tìm chứng cứ số, bên cạnh đó IRS cũng tạo ra
các quy định cho lệnh khám xét dành cho truy tìm tội phạm công nghệ. Tuy
nhiên vẫn chưa có ứng dụng thương mại nào có giao diện đồ họa thân thiện
và dễ sử dụng (GUI) cho đến khi ASR Data tạo ra phần mềm Expert
Witness dành cho Macintosh ra đời. Phần mềm này có khả năng phục hồi
tập tin bị xóa và phân mãnh rất mạnh mẽ. Một trong những đối tác của ARS
Data sau này đã phát triển ứng dụng EnCase và được xem như là công cụ
phổ biến nhất trong vấn đề điều tra máy tính.
Và càng ngày thì công nghệ thông tin càng có những bước tiến vượt bậc, đặc
biệt là trong lĩnh vực lưu trữ khiến cho việc phát triển những ứng dụng điều
tra máy tính được quan tâm nhiều hơn. Tiếp theo là các chương trình như
ILook dùng để phân tích và đọc các tập tin đặc biệt, hay AccessData
Forensic Toolkit (FTK) trở thành ứng dụng thương mại thông dụng nhất cho
35
các tác vụ phục hồi dữ liệu bị mất và truy tìm chứng cứ được sử dụng bởi
các điều tra viên. Trong giáo trình này chúng ta sẽ đề cập đến một số công
cụ phổ biên và mang lại hiệu quả ở các chương sau, các bạn có thể tham
khảo thêm về chúng tại www.ctin.org (Computer Technology
Investigators Network) hay www.usdoj.gov (U.S. Depart-ment of
Justice).
Hiểu Về Án Lệ
Sự phát triển nhanh chóng của công nghệ máy tính và các thiết bị số khiến
cho các luật định dành cho tội phạm trong lĩnh vực này không thể theo kịp.
Chính vì vậy trong những tình huống điều tra tội phạm gặp phải các trở ngại
do thiết sót điều luật liên quan thì phương phá xử lý case law sẽ được áp
dụng. Với case law tòa án có thể sử dụng án lệ để xử lý những vấn đề liên
quan đã tường được giải quyết trong quá khứ cho dù hiện tại chưa có luật
dành cho những tội phạm này. Ví dụ khi tìm kiếm các thông tin trên máy
tính của nghi phạm các điều tra viên có thể thấy các ảnh khiêu dâm trẻ em,
và thay vì phải cho lệnh khám xét mới thì họ vẫn có thể giữ nguyên tiến
trình tìm kiếm để tiết kiệm thời gian, còn những chứng cứ liên quan đến
những Hình ảnh này sẽ được dành riêng ra. Để thực hiện theo case law hay
xử lý theo án lệ thì điều tra viên cần nắm vững các luật được ứng dụng trong
quá khứ để tránh những sai lầm khi thực hiện.
Chuẩn Bị Nguồn Lực Cho Điều Tra Máy Tính

Để quá trình điều tra thành công các điều tra viên cần được trang bị đầy đủ
kiến thức về hệ điều hành máy tính kể cả những hệ thống cũ như Windows
XP hay DOS vì có nhiều thao tác hay máy tính vẫn dùng những hệ thống
này. Bên cạnh đó một điều tra viên về tội phạm công nghệ cần phải nắm
vững về các dòng máy MAC hay hệ điều hành Linux, Windows Server 2008
cùng các dịch vụ lưu trữ kèm theo. Tuy nhiên, việc am hiểu tất cả những hệ
thống là một điều không thể cho nên cần có sự chia sẽ kỹ năng giữa các
thành viên trong nhóm, và các điều tra viên cần trau dồi những kiến thức về
36
hệ thống thông qua việc học hỏi và trao đổi trên các diễn đàn công nghệ,
đăng kí nhận bản tin để cập nhật các ứng dụng mới. Thường xuyên tham gia
các chương trình đào tạo nâng cao kiến thức về an toàn thông tin và cả
những kiến thức của một hacker.
Chuẩn Bị Cho Quá Trình Điều Tra Máy Tính

Điều tra máy tính và truy tìm chứng cứ số thường được chia làm hai loại là
điều tra trong môi trường công cộng và điều tra trong môi trường riêng tư
hay trong tổ chức, doanh nghiệp như Hình 1-5. Quá trình điều tra công cộng
bao gồm các công tác điều tra tội phạm và khởi tố của các cơ quan chính phủ
từ cấp địa phương đến trung ương, công việc này cần phải thực hiện theo
đúng quy trình và tuân thủ theo đúng pháp luật của mỗi vùng miền nhằm
không mắc những sai phạm trong tiến trình điều tra ví dụ như tuân theo
Article 8 trong Charter of Right của Canada, hay Criminal Procedures
Act của Cộng Hòa Namibia, theo các quy định của U.S. Fourth
Amendment trong các vấn đề truy tìm và tịch thu bằng chứng như Hình 1-6.
37
Hình 1-5 Điều tra công cộng và điều tra riêng tư
Luật pháp quy định về điều tra và bắt giữ bảo vệ quyền lợi cho mọi người kể
cả những nghi phạm do đó trong vai trò một điều tra viên máy tính chúng ta
cần phải tuân thủ theo đúng luật định. Ví dụ Department of Justice (DOJ)
cập nhật các thông tin liên quan đến vấn đề tìm kiếm bằng chúng và bắt giữ
trong điều tra máy tính tại địa chỉ www.usdoj.gov/criminal/cybercrime
Hình 1-6 : Fourth Amendment
Ngược lại với điều tra trong môi trường công cộng, đối với các vấn đề nội
bộ của công ty hay tổ chức khi áp dụng các quy tắt điều tra thì cá nhân các
điều tra viên không cần phải tuân thủ theo những quy định của luật pháp như
Fourth Amendment mà phụ thuộc vào chính sách nội bộ của tổ chức đó.
Điều tra trong môi trường riêng tư chủ yếu được áp dụng các điều luật dân
sự nhưng cũng có thể phát triển thành các tội danh mang tính chất Hình sự,
khi đó sẽ áp dụng các điều luật Hình sự trong quá trình điều tra và khởi tố.
38
Hiểu Về Vấn Đề Thực Thi Pháp Luật Của Cơ Quan Điều
Tra
Như đã nêu, trong quá trình tiến hành điều tra tội phạm máy tính trong môi
trường công cộng các điều tra viên cần tuân thủ theo đúng trình tự của pháp
luật quy định. Do mỗi vùng miền và quốc gia có những sự khác biệt về luật
pháp nên chúng ta cần nhận thức rõ những thay đổi này để khi tiến hành
công việc không mắc phải sai sót. Sau đây là một số câu hỏi mà điều tra viên
cần nêu lên khi điều tra tội phạm máy tính đó là : Những công cụ nào được
sử dụng trong quá trình phạm tội ? Đây là sự vi phạm nhẹ hay nặng ? Có
phải là một vụ trộm, cướp hay phá hoại ?
Máy tính và mạng là hai công cụ chính mà các tội phạm sử dụng để tiến
hành đánh cắp thông tin hay phá hoại dữ liệu, nhưng việc điều tra một nghi
phạm ăn trộm thông tin bằng cách truy cập máy tính trái phép và máy tính
này là tài sản ăn cắp từ một vụ trộm xe sẽ cần những điều luật bổ sung mà
khi điều tra các bạn cũng cần lưu ý. Ngoài ra, các thông tin lưu trữ trên máy
tính bị điều tra như Hình ảnh, văn hóa phẩm đồi trụy hay các chương trình
độc hại có thể sử dụng cho các cuộc tấn công cũng là những chứng cứ quan
trọng mà các điều tra viên cần chú ý cẩn thận và tiến hành thu giữ theo đúng
pháp luật để phục vụ cho quá trình truy tìm chứng cứ số và điều tra tội
phạm.
Quy Trình Thực Hiện Hợp Lệ

Quá trình điều tra theo luật Hình sự thông thường tuân theo ba bước như
Hình 1-7 là Complaint => Investigation => Prosecution bao gồm tiếp nhận
đơn kiện sau đó tiến hành điều tra nếu thấy có đầy đủ các yếu tố phạm tội sẽ
quyết định truy tố và nhận các Hình phạt thích đáng theo quyết định của tòa
án.
39
Hình 1-7 : Quy trình khởi tố một vụ án
Thông thường, quá trình điều tra có thể được tiến hành khi một bị hại hay
nguyên đơn trình báo sự việc với cơ quan công an về vụ việc và bộ phận tiếp
nhận sẽ ghi lại các báo cáo này. Công an hay cảnh sát sẽ tiến hành xử lý báo
cáo để quyết định xem có thể tiến hành điều tra hay không hay chỉ đơn giãn
là đưa vào hồ sơ lưu trữ. Do không phải cảnh sát viên nào cũng có kiến thức
đủ để nhận thức và xử lý các vấn đề vi phạm liên quan đến công nghệ thông
tin cho nên tổ chức phi lợi nhuận CTIN (Computer Technology
Investigators Network ) có đưa ra các chương trình huấn luyện theo ba cấp
độ khác nhau tùy thuộc vào những công đoạn trong quá trình thực thi pháp
luật là :
- Level 1 : Thu thập và tịch thu các chứng cứ số, thường được thực hiện
bởi công an hay cảnh sát.
- Level 2 : Quản lý quá trình điều tra công nghệ cao ví dụ như các điều
tra viên sẽ được hướng dẫn về những câu hỏi nên đặt ra, trang bị kiến
thức về máy tính hay những gì không thể thu thập thông qua chứng cứ
số. Các thám tử thường là người xử lý công đoạn này.
- Level 3 : Huấn luyện các kỹ năng chuyên sâu về phục hồi chứng cứ số
và thường được thực hiện bở các chuyên gia về lĩnh vực phục hồi dữ
liệu, điều tra máy tính hay chuyên viên điều tra tội phạm mạng. Các
chuyên gia đảm trách công việc này cần được đánh giá năng lực dựa
trên trình độ và kỹ năng của họ.
Như vậy, nếu bạn là một thành viên tham gia quá trình điều tra thì bạn cần
trang bị những kiến thức tương ứng với từng cấp độ công việc được giao.
Sau khi thu thập đầy đủ chứng cứ để cấu thành bản án thì việc tiếp theo là
truy tố và công việc của điều tra viên đến đây là kết thúc, tòa án sẽ đảm trách
phần còn lại của quy trình.
40
Theo bộ luật Hình sự nếu như có đủ chứng cứ và cần lệnh khám xét thì ta
cần cung cấp một bản tuyên thệ trước tòa gọi là affidavit, bản tuyên bố này
nhằm bảo đảm tính chân thực của sự việc cũng như trách nhiện của người
khởi kiện hay yêu cầu khám xét. Hình 1-8 minh họa một bản tuyên thệ
affidavit.
Hình 1-8 : Một bản affidavit
Sau khi thẩm phán phê duyệt và kí vào lệnh khám xét thì điều tra viên có thể
tiến hành công việc thu thập chứng cứ theo quy định cho phép. Sau khi thu
thập chứng cứ điều tra viên tiến hành xử lý và phân tích để xem có đủ yếu tố
khép tội hay không, nếu có thì can phạm sẽ bị truy tố trước tòa và chịu sự
xét xử theo quy định của pháp luật.
41
Điều Tra Trong Khu Vực Doanh Nghiệp
Khác với việc điều tra trong môi trường công cộng, các tiến trình điều tra ở
môi trường riêng tư chỉ diễn ra trong một tổ chức hay doanh nghiệp khi có
một sự tranh chấp hay kiện tụng giữa các nhân viên trong tổ chức. Do đặc
trưng của doanh nghiệp là kiếm lợi nhuận nên đa số rất e ngại đụng đến các
vấn đề pháp lý vì sợ tốn kém và ảnh hưởng đến công việc. Vì vậy khi tiến
hành điều tra trong môi trường riêng tư chúng ta cần phải bảo đảm tính liên
tục của công việc nhằm hạn chế tối đa sự gián đoạn trong việc kinh doanh
của họ.
Các tôi phạm máy tính trong môi trường doanh nghiệp thường là những kẻ
quấy rối bằng thư điện tử, giả mạo dữ liệu, phân biệt đối xử , có hành vi phá
hoại hay tham ổ, biển thủ công quỹ và đặc biệt là những tình huống đánh cắp
công nghệ để bán cho các công ty đối thủ. Việc lợi dụng tín nhiệm để chiếm
đoạt tài sản, rút tiền thường xảy ra trong các doanh nghiệp nhỏ và có cơ chế
kiểm soát không chặt chẽ, thường liên quan đến yếu tố con người nhiều hơn
so với việc đánh cắp dữ liệu, bí mật công nghệ thì các tội phạm hay hacker
hay sử dụng các thiết bị lưu trữ di động như USB hay các đường truyền
internet để di chuyển dữ liệu trái phép. Do đó, để hạn chế các thiệt hại doanh
nghiệp hay tổ chức cần có chính sách người dùng thích hợp và áp đặt chúng
cho toàn bộ người dùng dưới sự kiểm tra, giám sát chặt chẽ.
Xây Dựng Chính Sách Trong Doanh Nghiệp

Như đã trình bày, việc xây dựng một chính sách người dùng hiệu quả trong
tổ chức hay doanh nghiệp sẽ giảm thiểu tối đa các thiệt hại do hacker hay tội
phạm công nghệ gây ra. Có nhiều loại chính sách khác nhau trong qua trình
quản lý hệ thống thông tin như chính sách người sử dụng, chính sách về
tuyển dụng nhân sự hoặc các tiêu chuẩn về an toàn thông tin như ISO 27001
…Tuy nhiên, các chính sách này cần phải được áp dụng và kiểm soát chặt
chẽ mới đạt được hiểu quả. Các đối tượng áp dụng chính sách gồm hai loại
là những người trong nội bộ doanh nghiệp như các nhân viên làm việc toàn
thời gian và những người bên ngoài doanh nghiệp như khách ghé thăm,
khách hàng hay cả những nhân việc làm việc thời vụ, bán thời gian.
42
Việc áp đặt những chính sách này cũng cần tuân thủ theo các quy định pháp
luật sở tại và bảo đảm tính công bằng trong quá trình thực thi còn được gọi
bằng thuật ngữ due process để không gây tác dụng ngược khi vi phạm các
quyền riêng tư của người dùng. Có khá nhiều tình huống doanh nghiệp bị
chính nhân viên của mình khởi kiện vi phạm quyền riêng tư khi sử dụng các
chương trình giám sát tin nhắn, email của người sử dụng.
Sử Dụng Các Thông Điệp Cảnh Báo

Một trong những phương pháp rất hiệu quả có thể giảm thiểu sự vi phạm của
người dùng là thiết lập các thông điệp cảnh báo hay còn gọi là warning
banner. Với các cảnh báo này người dùng hay kẻ truy cập trái phép sẽ nhận
thức được những hành động mình đang thực hiện, những hành động nào
được phép và những gì không được phép mà chúng ta thường thấy trong
thực tế như biển hiệu “Không phận sự, miễn vào” hay “Khu vực nội bộ” như
trong Hình 1-9 là một thông điệp cảnh báo điển Hình.
Hình 1-9 : Ví dụ về thông điệp cảnh báo
Các thông điệp cảnh báo nên được chia làm hai loại áp dụng cho những
thành viên bên trong nội bộ và những thành viên bên ngoài, ví dụ các thông
báo sau đây có thể áp dụng cho các nhân viên của công ty :
- Hệ thống máy tính và mạng này không được phép truy cập.
- Các máy tính và tài nguyên này chỉ dùng cho công việc.
43
- Khu vực này có sự giám sát thường xuyên.
- Việc truy cập và sử dụng tài nguyên trái phép có thể chịu trách nhiệm
trước pháp luật.
Các quản trị mạng hay điều tra viên có thể tham khảo những ví dụ mẫu tại
trang web www.usdoj.gov/criminial/cybercrime/s&smanual2002.htm về
thông điệp cảnh báo.
Xác Định Authorized Requester

Thông qua các thông điệp cảnh báo tổ chức có thể đưa ra các quy định về
quyền hạn của người dùng đối với máy tính và thông tin do mình quản lý,
ngoài ra các thông điệp cảnh báo còn dùng để quy định những quyền hạn
của điều tra viên trong quá trình xử lý công việc nhằm tránh sự xung đột với
quyền lời của người dùng hay bị cản trở trong quá trình thực thì vì những lý
do khác nhau. Việc quy định những gì mà một người được phép thực hiện sẽ
tạo ra một định mức về quyền hạn và cho phép họ tiến hành công tác điều
tra, những người này được xem như là authorized requester, có nhiều thành
viên hay nhóm cần xác định quyền hạn này như :
- Nhóm kiểm định nội bộ.
- Nhóm điều tra an ninh nội bộ.
- Các nhân viên điều tra đã được cấp phép.
Tiến Hành Điều Tra An Ninh

Việc tiến hành điều tra tội phạm công nghệ thông tin trong môi trường công
cộng không có nhiều khác biệt với việc điều tra trong môi trường riêng tư.
Khi cuộc điều tra mang tính chất công cộng các điều tra viên sẽ tìm các
chứng cứ nhằm hỗ trợ cho quá trình điều tra tội phạm, còn trong môi trường
riêng tư của tổ chức hay doanh nghiệp thì công việc của các điều tra viên là
tìm kiếm những thông tin cần thiết nhằm xác định các tình huống vi phạm
44
chính sách sử dụng, đánh cắp thông hay tài sản công nghệ của tổ chức. Có
ba tình huống thường xảy ra trong môi trường tổ chức là :
- Lạm dụng hay sử dụng sai mục đích các tài sản máy tính
- Sử dụng email cho các mục đích không hợp lệ.
- Sử dụng internet không thích hợp với chính sách đề ra.
Trong ba tình huống trên thì phần lớn các cuộc điều tra máy tính để tìm kiếm
các bằng chứng cho thấy việc sử dụng sai hay lạm dụng các tài sản máy tính
của doanh nghiệp như đánh cắp dữ liệu, công nghệ mới hay thông tin bí mật
về sản phẩm, khách hàng.
Phân Biệt Tài Sản Cá Nhân Và Tài Sản Doanh Nghiệp

Các chính sách nội bộ đều phân biệt rõ ràng tài sản cá nhân và tài sản doanh
nghiệp, nhưng điều này không phải lúc nào cũng dễ dàng nếu như đó là các
tài sản như thiết bị cầm tay như PDA, điện thoại thông minh, máy tính xách
tay. Ví dụ như một nhân viên có mua một thiết PDA và cắm vào máy tính
trên công ty sau đó đồng bộ một số dữ liệu từ Microsoft Outlook sang thiết
bị này như vậy câu hỏi đặt ra là thông tin được sao chép qua PDA thuộc về
công ty hay của cá nhân trên.
Để có thể phân định rõ ràng vấn đề trên thì doanh nghiệp cần đưa ra một
chính sách người dùng hợp lý nhằm tránh các xung đột về lợi ích cá nhân,
cũng như ngăn ngừa sự mất mát thông tin. Dựa trên những quy định này
doanh nghiệp có thể xác định được các tài sản như trên sẽ thuộc quyền của
cá nhân hay tổ chức, giúp cho quá trình điều tra diễn ra thuận lợi hơn.
Duy Trì Ứng Xử Chuyên Nghiệp

Việc ứng xử chuyên nghiệp trong quá trình điều tra tội phạm máy tính và
phân tích chứng cứ số rất quan trọng bởi vì nó xác định trách nhiệm của điều
tra viên. Trong chương 15 và 16 chúng ta sẽ thảo luận chi tiết về vấn đề này
45
bao gồm các quy tắt hợp lệ, tiêu chuẩn đạo đức hay các chuẩn mực trong
ứng xử. Trong vai trò chuyên gia ta cần phải tuân thủ triệt để các quy tắt
nhằm bảo đảm tính hợp lệ của quá trình điều tra. Vì vậy, các điều tra viên
cần phải duy trì ứng xử chuyên nghiệp nhằm bảo đảm tính riêng tư và giữ
vững mục tiêu trong suốt tiến trình điều tra. Các kết quả điều tra cần phải
bảo đảm tính riêng tư và toàn vẹn để không bị lợi dụng gây ảnh hưởng xấu
đến công ty, tổ chức hay bị thay đổi kết quả làm sai lệch mục tiêu của quá
trình tìm kiếm.
46
 Computer Forensic là quá trình truy tìm chứng cứ và điều tra tội phạm
máy tính. Bao gồm các kỹ thuật điều tra thông thường kết hợp với
khoa học máy tính nhằm phục hồi dữ liệu, truy tìm chứng cứ số. Về
mục tiêu thì computer forensic khác với network forensic hay các
công việc phục hồi dữ liệu, khắc phục thảm họa thông thường. Tuy
nhiên, các điều tra viên có thể ứng dụng những kỹ thuật của các lĩnh
vực trên trong công việc của mình.
 Các điều luật liên quan đến chứng cố số được ban hành lần đầu tiên
vào năm 1970.
 Để thành công trong công việc điều tra chứng cứ số thì các điều tra
viên cần nắm vững nhiều nền tảng công nghệ, hệ điều hành khác
nhau. Điều này đòi hỏi có sự trau dồi kiến thức và học tập, chia sẽ
kinh nghiệm trên các diễn đàn hay nhóm tin.
 Việc điều tra trong môi trường công cộng và điều tra trong môi trường
riêng tư có nhiều khác biệt. Do đó điều tra viên cần phân biệt rõ và
tuân thủ đúng các quy tắt điều tra để tránh sự xung đột, và hạn chế
những khiếu nại do vi phạm nguyên tắt và quyền lợi của người dùng.
 Thông điệp cảnh báo là một trong những phương pháp hiệu quả nhằm
hạn chế thiệt hại do tội phạm máy tính gây ra. Ngoài ra, warning
banner còn được dùng để xác định quyền hạn của các điều tra viên.
 Trong quá trình điều tra nội bộ, doanh nghiệp hay tổ chức cần xác
định rõ quyền hạn của điều tra viên thông qua các biên bản authorized
requester.
 Trong quá trình điều tra máy tính các nhà điều tra cần phải ứng xử
chuyên nghiệp theo các quy tắc ứng xử hay trách nhiệm nghiệp vụ để
bảo đảm trách nhiệm của điều tra viên.
47
48
CHƯƠNG 2
TỔNG QUAN VỀ ĐIỀU TRA MÁY
TÍNH
Sau Khi Hoàn Thành Chương Này Các Bạn Có Thể:
• Giải thích các bước chuẩn bị cho một cuộc điều tra máy tính
• Áp dụng một phương pháp tiếp cận có hệ thống để tiến hành điều tra
• Mô tả thủ tục điều tra doanh nghiệp công nghệ cao
• Giải thích các yêu cầu cho máy trạm phục hồi dữ liệu và phần mềm
• Mô tả làm thế nào để tiến hành một cuộc điều tra
• Giải thích làm thế nào để hoàn thành và đánh giá một vụ án
49
Trong chương này chúng ta sẽ thảo luận về các bước chuẩn bị và triển khai
một quá trình điều tra máy tính nhằm tìm kiếm các chứng cứ số, bên cạnh
những thách thức mà một điều tra viên có thể gặp trong tiến trình điều tra thì
các bạn cũng tìm hiểu một công cụ chuyên dùng cho việc truy tìm chứng cứ
rất mạnh là ProDiscover Basic, có giao diện đồ họa thân thiện với người
dùng.
Đối với người sử dụng thông thường thì đa số những thao tác hay khắc phục
sự cố được triển khai trên những ứng dụng có giao diện dễ sử dụng, nhưng
trong vai trò một điều tra viên máy tính thì có nhiều tình huống các bạn phải
sử dụng các chương trình dạng dòng lệnh, do đó việc nắm vững những công
cụ truy tìm chứng cứ trên nền DOS là yêu cần cần thiết. Bên cạnh đó thì việc
lư trữ hay di chuyển chứng cứ từ máy tính này sang máy tính khác đòi hỏi
các điều tra viên phải có kiến thức về những cung cụ sao chép ảnh đĩa từ cơ
bản đến chuyên dụng để có thể sao lưu Hình ảnh hệ thống hay đĩa cứng lên
các ổ USB hay các ổ cứng dung lượng lớn.
Chuẩn Bị Cho Một Quá Trình Điều Tra Máy Tính

Nhiêm vụ của một chuyên gia điều tra máy tính là truy tìm các chứng cứ số
trên những máy tính khả nghi để tập hợp đầy đủ các thông tin và đưa ra bản
án trước tòa. Các chứng cứ được tìm thấy trên một máy tính sẽ được tập
trung trên một máy tính khác, vì vậy ngoài việc sao chép các chứng cứ số
một cách chính xác thì điều tra viên cần tiến hành công việc theo các mô
Hình hợp lý để tạo ra một chuỗi chứng cứ khoa học, hợp lệ gọi là chain of
custody.
Trong phần này chúng ta sẽ tham khảo hai tình huống mẫu dành cho việc
điều tra tội phạm trong môi trường công cộng và điều tra trong nội bộ các
công ty, tổ chức. Mỗi mô Hình sẽ trình bày các bước cần thực hiện của quá
trình truy tìm chứng cứ và điều tra tội phạm như tập trung thông tin, chứng
cứ, chuẩn bị bản cáo trạng và lưu trữ chứng cứ.
50
Tổng Quan Về Chứng Cứ Tội Phạm Trên Máy Tính
Các nhân viên thi hành luật pháp sẽ tìm kiếm bất kì thông tin nào lưu trữ
trên máy tính và những thiết bị liên quan để xác định các chứng cứ số. Các
thiết bị có thể dùng để lưu trữ thông tin như đĩa CD, DVD hay các ổ cứng di
động và thiết bị lưu trữ USB, thiết bị cầm tay PDA hay điện thoại thông
minh như Hình 2-1 là những thành phần cần được quan tâm. Các thiết bị này
sẽ được “bagged and tagged” nghĩa là được dán nhãn và cất vào các hộp lưu
trữ để phục vụ cho quá trình điều tra.
Hình 2-1 : Một quang cảnh điều tra chứng cứ trên máy tính
Ngoài việc đánh dấu các thiết bị và cả những tập tin khả nghi trên máy tính
và thiết bị lưu trữ theo các biểu mẫu thì người phụ trách tiến trình điều tra
cần tuân theo các hướng dẫn để ra nhằm bảo đảm ít sai sót nhất. Và quá trình
thực hiện công việc cũng cần thực hiện một cách tế nhị nhất là khi thực hiện
điều tra nội bộ để tránh gây ra những bức xúc đối với bộ phận người dùng.
Các bạn có thể tải một số biểu mẫu về quy cách thực hiện do U.S.
Department of Justice (DOJ) soạn thảo tại
51
www.usdoj.gov/criminal/cybercrime/s&smanual2002.htm. Trong trường
hợp liên kết này vô hiệu do website thay đổi các bạn có thể tìm kiếm tại
trang chủ của DOJ.
Một trong những khuyến nghị cho quá trình thực hiện như trước khi tắt máy
thì điều tra viên cần phải chụp lại Hình ảnh màn Hình máy tính, thậm chí cả
những thông tin được lưu trữ trong RAM cũng cần được quan tâm. Những
thao tác này sẽ được thảo luận trong Chương 11. Hoặc các tập tin chứa
thông tin nhạy cảm có khả năng bị nghi phạm xóa hay che dấu. Do đó điều
tra viên nên sử dụng những chương trình chuyên tìm kiếm tập tin ẩn hay
phục hồi tập tin bị xóa với ProDiscover. Ngoài ra, các máy tính đa số được
bảo vệ bằng mật khẩu, hay những tập tin sẽ bị mã hóa để che dấu thông tin.
Vì vậy các bạn cần nắm vững những công cụ bẻ khóa hay giải mã để sử
dụng trong những tình huống cần thiết.
Những Vi Phạm Chính Sách Doanh Nghiệp

Các doanh nghiệp hay tổ chức thường xây dựng các chính sách về người
dùng trên hệ thống mạng nhằm kiểm soát vấn đề sử dụng tài nguyên máy
tính, và qua đó gia tăng hiệu quả công việc. Các chính sách thường thấy là
cấm nhân viên không được tham gia hệ thống mạng xã hội hay tán gẫu qua
mạng trong giờ làm việc, không được chơi game hay tải về các chương trình
có chứa mã vi phạm bản quyền.
Một trong vấn đề vi phạm chính sách doanh nghiệp như nhân viên của một
công ty phần mềm đã gởi các bí mật về công nghệ hay thông tin về sản
phẩm mới cho các đối thủ, gây ảnh hưởng nghiệm trọng đến kế hoạch triển
khai và làm sụt giảm lợi nhuận. Khi phát hiện vấn đề này thông thường máy
tính của nhân viên trên sẽ bị “đóng băng” để các điều tra viên tiến hành khảo
sát toàn bộ dữ liệu lưu trên đĩa cứng nhằm ra các bằng chứng xác đáng cho
thấy sự vi phạm của nhân viên trên. Để thực hiện điều này ta cần thực hiện
một cách hệ thống.
52
Tiếp Cận Theo Hệ Thống
Để chuẩn bị cho quá trình điều tra các bạn nên ứng dụng các bước phân tích
theo những tiêu chuẩn đề ra như sau:
 Tạo một bản đánh giá ban đầu về tình huống cần điều tra – Để đánh
giá vấn đề cần xử lý các bạn nên đặt ra các câu hỏi cho các đối tượng
liên quan về những sự cố hay các vấn đề xâm phạm trái phép, vi phạm
quy tắt.
 Xác định hướng tiếp cận sơ bộ cho tiến trình điều tra – Phác thảo các
bước cần tiến hành, ví dụ nghi ngờ một nhân viên nào đó ta có thể yêu
cầu truy cập hệ thống của đối tượng, xác định xem có cần thiết tịch
thu máy tính của nghi phạm trong giờ làm việc hay chờ hết giờ hành
chính.
 Tạo một bản liệt kê các chi tiết – Dựa trên phác thảo ban đầu về các
bước cần thực hiện ta sẽ lọc ra những chi tiết chính và ước lượng thời
gian cần thực hiện của các bước này. Điều này sẽ giúp các bạn kiểm
soát được công việc điều tra cùng tiến độ thực hiện của nó.
 Xác định các tài nguyên mà bạn cần – Dựa trên hệ điều hành của các
máy tính đang sử dụng, hãy liệt kê những ứng dụng cần thiết phục vụ
cho quá trình điều tra.
 Thu thập chứng cứ và sao chép sang các ổ đĩa lưu trữ khác.
 Xác định các nguy cơ – Đánh giá các rũi ro mà ta có thể gặp trong quá
trình thực hiện như các dữ liệu có thể bị xóa hay mã hóa để che dấu
vết.
 Hạn chế rũi ro – Để hạn chế các rũi ro như mất mát thông tin, dữ liệu
chúng ta có thể sao chép chúng thành nhiều bản và lưu trữ an toàn.
 Kiểm tra lại các bước cần thực hiện.
 Phân tích và phục hồi các chứng cứ số.
53
 Tạo các bản báo cáo – Viết báo cáo chi tiết về các thông tin, chứng cứ
mà các bạn tìm thấy.
 Tự đánh giá công việc đã thực hiện – Sau khi hoàn tất chúng ta nên tự
đánh giá và kiểm điểm để nhìn nhận những sai sót hay các khiếm
khuyết cần khắc phục nhằm rút kinh nghiệm cho những lần sau.
Toàn bộ quá trình có nhiều bước với thời gian thực hiện khác nhau, do đó
các điều tra viên cần có cơ chế kiểm soát tiến độ công việc nhằm bảo đảm
mọi việc đang đi đúng hướng và thời gian đề ra. Bên cạnh đó là những sự cố
không mong đợi có thể diễn ra vào bất kì lúc nào, do đó chúng ta nên ước
lượng những mối đe dọa đối với quá trình điều tra để có những kế hoạch
phòng bị thích hợp, nhằm bảo đảm tính liên tục của công việc.
Truy Cập Vào Vụ Án

Truy cập vào vụ án là quá trình thực hiện công việc dựa trên những yêu cần
và đặc điểm chính của vấn đế. Để xác định các yêu cầu của vụ án chúng ta
cần phải lập bản phác thảo chúng một cách hệ thống dựa trên tình trạng tự
nhiên cùng với các kiểu chứng cứ và vị trí của chứng cứ. Ví dụ trong trường
hợp vi phạm chính sách doanh nghiệp, bạn đã phỏng vấn các nhân viên và
biết được rằng Steve Billing ở phòng tin học có những chứng cứ cho thấy
George Montgomery đã tiến hành những giao dịch cá nhân trên máy tính của
mình. Vì vậy ta sẽ tập trung vào nghi phạm thay vì chú ý đến các nhân viên
khác, sau đây là một số đặc điểm mà ta có thể tập trung khi tiến hành điều
tra :
 Tình huống – Tự đặt mình vào vị trí của một nhân viên vi phạm
chính sách để xem xét các vấn đề.
 Tình trạng của bản án – Các công việc kinh doanh bên ngoài doanh
nghiệp hay những giao dịch cá nhân trên máy tính của nhân viên.
 Các đặc điểm chính – Ví dụ, dựa trên báo cáo của nhân viên ta biết
được rằng anh ta tiến hành đăng kí một domain name và xây dựng
một trang web tại nhà cung cấp hosting tại địa phương, điều này khiến
54
cho công việc của cơ quan bị chậm trễ do anh ta dành qua nhiều thời
gian cho trang web của mình. Và nếu đúng như vậy thì nhân viên trên
đã vi phạm chính sách của công ty đã đề ra là không được sử dụng
những tài nguyên chung như máy tính, giờ hành chính để phục vụ
những mục tiêu cá nhân.
 Các loại chứng cứ – Như các ổ lưu trữ USB.
 Hệ điều hành – Như Windows XP hay Windows 7.
 Định dạng tập tin – Ví dụ FAT 32 hay NTFS
 Vị trí chứng cứ - Tìm thấy trên ổ USB của máy tính nhân viên.
Hoạch Định Cho Quá Trình Điều Tra

Sau khi xác định các yêu cầu cần thiết của bản án điều tra viên cần hoạch
định các bước thực hiện cho quá trình điều tra của mình. Việc hoạch định
luôn cần thiết cho bất cứ công việc nào, đặc biệt là trong quá trình truy tìm
chứng cứ số vì nó sẽ giúp cho việc điều tra đi đúng hướng và đạt được hiệu
quả trong công việc. Như trong trường hợp điều tra domain name và website
ở trên thì điều tra viên có thể tiến hành theo những bước sau, những thao tác
này sẽ được trình bày chi tiết trong các phần tiếp theo.
1. Tịch thu các ổ đĩa USB thông qua quản lý của George (nghi phạm).
2. Tổng hợp các chứng cứ để trình bày trước tòa.
3. Chuyển các chứng cứ này qua các máy tính sử dụng để điều tra.
4. Lưu trữ chứng cứ an toàn.
5. Chuẩn bị nơi làm việc.
6. Lấy các chứng cứ từ vị trí lưu trữ.
7. Tạo một bản sao chép (như lưu một bản sao trên USB, DVD ...)
8. Cất các chứng cứ gốc vào lại nơi lưu trữ an toàn.
55
9. Xử lý công việc và tiến hành điều tra với những công cụ chuyên dùng.
Trên đây là một số bước của quá trình xử lý những chứng cứ thu thập được,
tùy vào vị trí làm việc của các điều tra viên là tại văn phòng hay trong doanh
nghiệp cần điều tra mà các bạn có những sự chuẩn bị khác nhau để có được
điều kiện tốt nhất. Các chứng cứ cần được mô tả theo một biểu mẫu thích
hợp để có thể phục vụ cho quá trình xử lý của tòa hay trong các buổi họp
kiểm điểm của doanh nghiệp. Các điều tra viên có thể tạo ra các single-
evidence form (với các chứng cứ được mô tả trên các trang riêng) hay multi-
evidence form như Hình 2-2 tùy thuộc vào yêu cầu của công việc.
Hình 2-2 : Biểu mẫu multi-evidence khi điều tra trong doanh nghiệp
Một chứng cứ được ghi chép lại bao gồm những thông tin sau :
56
 Số hiệu của quá trình điều tra – Số thứ tự do tổ chứ đặt khi phát
động cuộc điều tra.
 Tên của tổ chức cần điều tra.
 Tên của điều tra viên.
 Mô tả tình huống – Mô tả vắn tắt về tình huống, sự việc. Ví dụ công

việc cần làm là “Tìm kiếm bằng chứng vi phạm nội quy doanh
nghiệp” hay “Phục hồi dữ liệu sau thảm họa”.
 Vị trí mà chứng cứ được thu thập – Vị trính chính xác mà chứng cứ

được tìm thấy, nếu sử dụng biểu mẫu multi-evidence nên tạo một
form mới cho mỗi vị trí.
 Mô tả chứng cứ – Ví dụ ‘đĩa cứng, dung lượng 200 GB” hay “một ổ

USB dung lượng 1 GB”, trên multi-evidence cần mô tả riêng cho từng
chứng cứ thu thập được.
 Tên nhà sản xuất, số hiệu của thiết bị – Ví dụ Maxtor, là tên nhà sản
xuất của đĩa cứng thu được và số serial của ổ đĩa.
 Tên của người thu thập được chứng cứ – Là người đã tìm được các
chứng cứ cũng như sẽ chịu trách nhiệm vận chuyển, lưu trữ chứng cứ
thích hợp.
 Ngày và thời gian chứng cứ được thu thập.
 Chứng cứ cần được lưu giữ vào nơi an toàn – Xác định vị trí hay
thiết bị để cất giữ chứng cứ một cách an toàn.
 Liệt kê số hiệu của chứng cứ, tên điều tra viên và thời gian thực
hiện.
 Đánh số trang – hồ sơ dùng để lưu trữ tất cả chứng cứ với những vị

trí khác nhau cần được đánh số trang cẩn thận.
57
Hình 2-3 là một ví dụ về biểu mẫu single-evidence lưu trữ mỗi chứng cứ trên
mỗi trang, điều này giúp cho việc theo dõi dễ dàng hơn và có nhiều không
gian để ghi chép, mô tả.
Hình 2-3 : Biểu mẫu single-evidence
Bảo Vệ Chứng Cứ An Toàn

Việc bảo vệ chứng cứ là một công tác rất quan trọng vì chúng sẽ dùng là
bằng chứng để truy tố trước toàn hay là cơ sở cho các quyết định kỹ luật,
kiểm điểm. Tùy thuộc vào kích thước của chứng cứ số mà chúng ta cần có
những thiết bị sao lưu thích hợp. Việc nhân bản, mã hóa và cất giữ vào các
vị trí an toàn, đề phòng những rũi ro do thiên tai hay môi trường cũng cần
được tính đến
58
Thủ Tục Điều Tra Công Nghệ Cao Trong Môi Trường Tổ
Chức
Là một điều tra viên chúng ta cần xây dựng các thủ tục chính cần tiến hành
trong quá trình điều tra công nghệ cao diễn ra chính xác. Bên cạnh đó là
những thao tác ngoại lệ nhăm bảo đảm những chứng cứ được thu giữ hợp lệ.
Phần tiếp theo của chương này chúng ta sẽ thảo luận về các thủ tục mẫu mà
các điều tra viên máy tính thường sử dụng khi tiến hành điều tra công nghệ
cao.
Kết Thúc Hợp Đồng Lao Động

Phần lớn các cuộc điều tra trong môi trường doanh nghiệp liên quan đến các
tình huống lạm dụng tài sản công ty để thu lợi bất hợp pháp. Hay những nghi
phạm có những hành động trái với nội quy doanh nghiệp như gởi mail nặc
danh quấy rối đồng sự, nói xấu cấp trên hay xem những phim ảnh đồi trụy
trên máy tính của mình. Trong các chủ đề tiếp theo sẽ mô tả những điểm
chính cho công việc điều tra để kỹ luật nhân viên hay kết thúc hợp đồng lao
động trước thời hạn. Công việc này cũng cần có sự thảo luận với bộ phận
quản lý nhân sự để xác định biện pháp đúng đắn nhất theo chính sách nội bộ
đã đề ra.
Điều Tra Về Vấn Đề Lạm Dụng Internet
59
Các thủ tục thuộc chủ đề này áp dụng cho một hệ thống mạng nội bộ của
doanh nghiệp chứ không phải dành cho các công ty kinh doanh dịch vụ
internet (ISP). Để tiến hành điều tra sự lạm dụng internet các bạn cần những
thông tin sau :
o Tập tin nhật kí của máy chủ proxy hay gateway khi truy cập internet.
o Địa chỉ IP của máy tính khả nghi được cung cấp bởi người quản trị hệ
thống mạng trong doanh nghiệp.
o Ổ đĩa trên máy tính của nghi phạm.
o Các công cụ chuyên dùng cho việc điều tra máy tính mà bạn nắm
vững như ProDiscover, Forensic Toolkit, Encase, X-Ways Forensic ...
Và các bước cần tiền hành cho quá trình điều tra sự lạm dụng internet :
1. Sử dụng các công cụ forensic theo những thủ tục trong tài liệu này để
kiểm tra các ổ đĩa chứa dữ liệu.
2. Sử dụng công cụ như DataLifter hay Forensic Toolkit để thu thập các
thông tin mà nghi phạm tìm kiếm, những trang web đã truy cập.
3. Liên hệ với quản trị hệ thống mạng để yêu cầu cung cấp tập tin nhật kí
của máy chủ firewall (hệ thống tường lữa kiểm soát sự truy cập vào và
ra trên hệ thống mạng nôi bộ như ISA Server Firewall 2006,
60
Checkpoint Firewall), các tập tin nhật kí còn gọi là tập tin log sẽ cho
biết thời gian và địa chỉ nguồn, đích của các máy tính đã truy cập
internet.
4. So sánh các dữ liệu phục hồi hay tìm thấy trên máy tính với thông tin
từ tập tin log để bảo đảm sự trùng khớp.
5. Nếu có sự trùng khớp trong quá trình so sánh ở bước 4 thì ta vẫn tiếp
tục phân tích các dữ liệu trên máy tính như các tập tin tải về hay trang
Web đã truy cập để làm những chứng cứ viện dẫn sau này. Nếu không
có sự trùng khớp của quá trình kiểm tra thì báo cáo không đủ căn cứ
để ghép tội.
Trước khi tiến hành điều tra vấn đề lạm dụng internet điều tra viên cần tìm
hiểu những vấn đề luật pháp của địa phương, nhằm bảo đảm không có sự
xung đột hay vi phạm quyền riêng tư khi truy cập vào các tập tin nhật kí hay
dữ liệu của người dùng. Có những tình huống lạm dụng internet nhưng
người sử dụng dùng máy tính xách tay (laptop) thì điều tra viên cần có sự
tham khảo chính sách sử dụng tài sản máy tính trong doanh nghiệp để có
hướng xử lý thích hợp.
Điều Tra Lạm Dụng E-Mail
61
Email hay thư điện tử là công cụ thường được các nhân viên lạm dụng để
gởi thư rác, thư quấy rối đồng nghiệp hay các thư nặc danh gây mất đoàn kết
nội bộ, trao đổi thông tin làm ảnh hưởng đến quyền lợi chính đáng của
doanh nghiệp. Do đó việc sử dụng email trong doanh nghiệp cần có sự kiểm
soát thông qua chính sách người dùng thích hợp hay nội quy của công ty.
Sau đây là những thông tin cần thiết cho việc tiến hành điều tra vi phạm lạm
dụng email :
o Tạo một bản sao chép các thư điện tử với sự hỗ trợ của người quản trị
hệ thống mạng, bao gồm nội dung thông điệp và thông tin như email
header.
o Nếu có thể hãy thu thập tập tin nhật kí của máy chủ email.
o Trong trường hợp doanh nghiệp có hệ thống xử lý email trung tâm

như email proxy, hãy truy cập vào máy chủ này với sự hỗ trợ kỹ thuật
của các nhân viên hệ thống.
o Thu thập và phục hồi email trên máy tính người dùng qua các tập tin
lưu trữ của công cụ POP3 / SMTP Client như Thuderbird, Outlook, ..
o Cần trang bị đầy đủ những công cụ chuyên dùng như Forensic Tool
hay ProDiscover.
Tiếp theo, các bạn nên tiến hành công việc theo các bước sau :
1. Sử dụng những công cụ điều tra và theo các bước hướng dẫn trong tài
liệu để khảo sát các tập tin dữ liệu email nằm trên máy tính.
2. Đối với dữ liệu email trên máy chủ hãy liên hệ với quản trị của máy
chủ email để thu thập các thông tin thư điện tử hay dữ liệu email của
đối tượng khả nghi.
3. Nếu trường hợp điều tra lạm dụng email sử dụng các hộp mail miễn
phí như Yahoo, Hotmail, Gmail hãy sử dụng tính năng tìm kiếm từ
khóa của công cụ Forensic Toolkit để thu thập những dữ liệu liên
quan đến hộp thư này.
62
4. Xem xét thông tin tiêu đề (header) của các thông điệp thư điện tử để
xác định các địa chỉ IP của máy chủ email và các nội dung kèm theo.
Attorney-Client Privilege
Điều tra viên cần phải cộng tác với luật sư trong quá trình điều tra để chia sẽ
các thông tin, chứng cứ số cần thiết. Và những thông tin này cần được bảo
đảm tính bí mật theo các quy tắt gọi là Attorney-Client Priviledge (ACP)
nhằm ngăn ngừa sự mất mát chứng cứ hay lọt vào tay kẻ xấu. Tuy nhiên, các
luật sư (attorney) không phải là những chuyên gia máy tính vì vậy các bạn
cần có những quy định và hướng dẫn sử dụng dành cho họ để đảm bảo sự an
toàn tuyệt đối. Sau đây là một số bước căn bản nhằm thiết lập một ACP bảo
đảm tính riêng tư cho chứng cứ :
1. Trước khi bắt đầu công việc, hãy yêu cầu luật sư xác nhận với điều tra
viên bằng một bản ghi nhớ với các thông tin về quyền hạn sử dụng,
trao đổi thông tin một cách an toàn.
2. Liệt kê những điểm quan trọng của tiến trình điều tra.
3. Sau khi nhận được bản ghi nhớ hãy xem xét và kiểm tra cẩn thận
nhằm tránh sai sót.
4. Đối với các ở cứng chứa dữ liệu hãy tạo hai ảnh đĩa với các công cụ
nhân bản và tạo ảnh đĩa khác nhau như ProDiscover và SafeBack.
5. Nếu có thể hãy tạo gái trị băm cho tất cả tập tin (hash value, tạo bởi
các thuật toán băm như MD5, SHA) và so sánh với các tập tin trên ổ
đĩa gốc để có thể nhận biết khi có sự thay đổi tính toàn vẹn của tập tin.
6. Hãy tiến hành xem xét toàn bộ ổ đĩa bao gồm những phân vùng đã cấp
phát hay chưa cấp phát một cách hệ thống.
7. Tiến hành tìm kiếm theo những từ khóa liên quan đến tình huống trên
toàn ổ đĩa, để xác định thêm những thông tin giá trị đối với việc điều
tra.
63
8. Nếu máy tính bị điều tra dùng hệ điều hành Windows hãy sử dụng
những chương trình như AccessData Registry Viewer để phân tích và
xem xét dữ liệu Registry (sẽ mô tả trong Chương 6).
9. Với các tập tin nhị phân như bản thiết kế CAD hãy xác định chương
trình thực hiện, có thể in các tập tin này để xem xét kỹ hơn.
10. Đối với phân vùng chưa cấp phát hãy xóa hay thay thế các tập tin
không thể in được bằng các chương trình như X-Ways Forensics
Specialist Gather Text.
11. Lưu trữ các dữ liệu được phục hồi trên những folder riêng rẽ.
Ngoài ra, một số quy tắt cần tuân thủ khi trao đổi với luật sư như :
 Hạn chế trao đổi bằng văn bản với luật sư, nên sử dụng điện thoại khi
cần hỏi hay cung cấp thông tin.
 Bất kì thông tin nào gởi cho luật sự cần đặt một thông điệp cảnh báo
như “Thông tin bí mật – Bảo đảm an ninh truyền thông” với những
quy tắt được thiết lập trước.
 Hỗ trợ luật sư và trợ lý của họ trong quá trình phân tích dữ liệu
Nếu có những vấn đề khó hiểu hay chưa rõ ràng trong bản ghi nhớ hãy liên
hệ với luật sư để giải quyết. Trong quá trình trao đổi bằng email nên sử dụng
các kênh an toàn hay ứng dụng thuật toán mã hóa PGP.
Điều Tra Các Khe Hỡ Truyền Thông

Việc kiểm soát các thông tin nhạy cảm trong môi trường doanh nghiệp là rất
khó, bởi vì các nhân viên có thể gởi những thông tin bí mật hay mang tính
chất riêng tư cho đối thủ, phóng viên và công bố rộng rãi trên mạng internet
gây ảnh hưởng lớn đến uy tín của doanh nghiệp. Do đó, điều tra thông tin bị
rò rĩ do đâu là công việc thường gặp trong thực tế. Sau đây là một số vấn đề
cần quan tâm khi điều tra các khe hỡ truyền thông trong môi trường doanh
nghiệp :
64
 Khảo sát thư điện tử, bao gồm địa chỉ email công ty trên máy chủ và
các hộp thư cá nhân như Hotmail, Yahoo, Gmail trên các máy tính của
người dùng trong doanh nghiệp.
 Tìm kiếm các thông tin của doanh nghiệp có khả năng bị công bố trên
các diễn đàn công cộng hay những trang web trên internet.
 Kiểm tra các tập tin nhật kí trên máy chủ proxy hay firewall.
 Thẩm tra những máy tính khả nghi với những công cụ forensic chuyên
dụng để tìm kiếm các dữ liệu liên quan.
Với những điểm đáng lưu ý trên, các bạn cần tuân theo những bước sau
trong quá trình điều tra :
1. Phỏng vấn các quản lý bộ phận để liệt kê danh sách nhân viên có liên
quan trực tiếp đến những thông tin nhạy cảm.
2. Xác định các thông tin bị công bố.
3. Xem lại danh sách các cuộc gọi của nhân viên trong công ty nhằm
xem xét các mối liên lạc bất thường.
4. Nhận định các yếu tố chính có mối liên quan đến khe hở truyền thông.
5. Tìm kiếm trên máy chủ email và proxy.
6. Tìm kiếm chứng cứ số và mối quan tâm của người dùng trên các đĩa
cứng lấy từ máy tính của những nhân viên có khả năng gây rò rĩ thông
tin.
7. Phân tích các liên lạc thư tín từ dữ liệu trên những đĩa cứng đã tịch thu
cho quá trình điều tra.
8. Mở rộng tìm kiếm trên các ổ đĩa khả nghia để tìm thêm các mối quan
tâm khác của người dùng.
9. Cô lập và xem lại định kì các kết quả để tìm xem có thêm những
thông tin liên hệ nào mới phát hiện hay không.
65
10. Báo cáo kiết quả tìm kiếm cho người quản lý và thảo luận về những
vấn đề cần quan tâm trong quá trình điều tra.
Điều Tra Tình Báo Công Nghiệp

Việc điều tra các hoạt động tình báo công nghiệp là công việc khá khó khăn
và tốn nhiều thời gian hơn cả. Không như các vấn đề vi phạm khác được
trình bày trong chương này, những hoạt động tìm kiếm tình báo công nghiệp
được xem như là điều tra tội phạm Hình sự. Sau đây là một số thành viên
trong nhóm điều tra mà các bạn cần sắp đặt trước khi tiến hành công việc :
 Trong quá trình điều tra tình báo công nghiệp thì những điều tra viên
máy tính là những người chịu trách nhiệm trong việc tìm kiếm chứng
cứ được lưu trên hệ thống đĩa cứng.
 Các chuyên gia công nghệ có kiến thức chuyên môn cao về những dữ
liệu bị xâm phạm.
 Những chuyên gia mạng có khả năng phân tích tập tin nhật kí của hệ
thống giám sát truyền thông.
 Chuyên gia đánh giá các mối đe dọa (thường là những luật sư), nhưng
người có kiến thức về luật pháp.
Ngoài ra, các bạn cần quan tâm thêm về những yếu tố :
 Xác định đây có phải là một vụ gián điệp công nghiệp hay không,
cũng như xem xét những khía cạnh pháp lý liên quan.
 Hỏi ý kiến luật sư cộng tác và các cấp quản lý để có thể tiến hành
cuộc điều tra một cách thận trọng, bí mật.
 Xác định các thông tin có khả năng bị đánh cắp.
 Liệt kê những tài nguyên cần điều tra.
 Xác định mục tiêu và phạm vi của cuộc điều tra, trao đổi với luật sư
và cấp trên để đưa ra phương án làm việc của bạn.
66
 Tiến hành điều tra ngay sau khi nhận được sự phê duyệt từ cấp trên,
định kì báo cáo kết quả.
Tiếp theo là một số công việc mà các điều tra viên cần hoạch định trước khi
điều tra :
 Khảo sát email của các nhân viên khả nghi, cả hộp thư cá nhân và hộp
thư doanh nghiệp.
 Tìm kiếm trên internet các bài viết hay thông tin bị xâm phạm
 Tiến hành giám sát vật lý các nhân viên và khách với hệ thống camera
an ninh.
 Nếu có thể hãy xem xét tất cả các tập tin nhật kí của camera giám sát
hay những ghi chép của bảo vệ cơ quan.
 Nếu nghi ngờ một thành viên nào đó, hãy tiến hành theo dõi các hoạt
động của anh ta / hay cô ta.
 Theo dõi và nhận xét các thói quen khả nghi.
 Thu thập các cuộc gọi điện thoại vào và ra cơ quan hay tổ chức.
Một khi đã chuẩn bị đầy đủ những yếu tố cần thiết, các điều tra viên có thể
tiền hanh công việc thoe các bước sau :
1. Tập trung tất cả thành viên trong nhóm điều tra và trình bày kế
hoạch thực hiện cũng như các vấn đề cần quan tâm.
2. Tập trung những tài nguyên cần thiết phục vụ cho công tác điều
tra.
3. Khởi động điều tra bằng việc đặc các hệ thống giám sát như
camera hay hệ thống giám sát mạng tại các điểm nhạy cảm.
4. Bí mật thu thập thêm các chứng cứ như ổ đĩa máy tính, tạo các
bản sao của ảnh đĩa để tiến hành khảo sát.
5. Thu thập các tập tin nhật kí của mạng máy tính, máy chủ email.
67
6. Thường xuyên báo cáo với cấp trên và luật sư cộng tác về
những thông tin được tìm thấy và tình trạng của công tác điều
tra.
7. Cùng các luật sư cộng sự và cấp trên xem xét lại phạm vi điều
tra để quyết định có cần mở rộng nhằm tìm kiếm thêm các tài
nguyên và chứng cứ hay không.
Phỏng Vấn Và Thẩm Vấn Trong Điều Tra Công Nghệ Cao
Để trở thành một điều tra viên có kỹ năng phỏng vấn và thẩm vấn tốt đòi hỏi
nhiều năm kinh nghiệm. Thông thường các chuyên gia công nghệ sẽ tiến
hành thu thập chứng cứ cho công tác điều tra. Một số tập đoàn hay công ty
có quy mô lớn sẽ có những nhân viên chuyên trách về nhiệm vụ điều tra các
vấn đề an ninh có kinh nghiệm và có kỹ năng thẩm vấn, vì vậy các điều tra
viên có thể yêu cầu sự trợ giúp từ những nhân viên này khi tiến hành công
việc của mình.
Cũng lưu ý việc phòng vấn và thẩm vấn hoàn toàn khác nhau, các điều tar
viên có thể hỏi hay phỏng vấn nhiều người để xác định đối tượng tình nghi,
còn quá trình thẩm vấn dành cho những đối tượng tình nghi hay nghi phạm.
Khi thực hiện nhưng công việc này có thể bạn sẽ bị đối tượng đặt các câu
hỏi ngược lại, do đó cần chuẩn bị sẳn những câu trả lời thích hợp cho tình
huống này :
 Bạn có biết rõ vấn đề đang thảo luận trong quá trình phỏng vấn hay
thẩm vấn ? Có cần tìm hiểu về những công nghệ liên quan đến việc
điều tra ?
 Có những câu hỏi mở rộng hay không ?
 Những câu hỏi nào mà bạn dự định đặt ra cho đối tượng ?
Phần lớn các lỗi trong những cuộc phỏng vấn hay thẩm vấn là do điều tra
viên không chuẩn bị đầy đủ cho công việc và thiếu các câu hỏi để có thể đào
sâu hơn những thông tin cần biết. Tránh đi lệch mục tiêu cũng như cần giữ
68
sự thân thiện để đối tượng cảm thấy tin tưởng khi khai báo hay trả lời các
câu hỏi.
Các yếu tố tạo nên sự thành công của một buổi phỏng vấn hay thẩm vấn
gồm :
- Hãy kiên nhẫn trong công việc.
- Hãy lập lại và nhấn mạnh những câu hỏi để tìm kiếm thông tin đối với
các nhân chứng miễn cưỡng hay các đối tượng khả nghi.
- Hãy ghi nhớ thật kỹ.
Máy Trạm Và Phần Mềm Phục Hồi Dữ Liệu

Bây giờ các bạn đã nắm những tình huống thông dụng của công tác điều tra
cũng như các biểu mẫu để lưu giữ chứng cứ. Trong Chương 3 chúng ta sẽ
tìm hiểu cách xây dựng một hệ thống lab hay phòng thí nghiệm để truy tìm
chứng cứ trên máy tính, nơi mà các bạn sẽ tiến hành công việc điều tra của
mình với những công cụ chuyên dụng đã được cài đặt cùng với các thiết bị
lưu trữ, cất giữ an toàn.
Lưu ý sự khác biệt giữa phục hồi dữ liệu (data recovery) và truy tìm chứng
cứ số để điều tra tội phạm (computer forensic). Vì mục tiêu của việc phục
hồi dữ liệu là lấy lại những thông tin quan trọng cho người dùng do bị xóa
nhầm, bị hư hỏng phần cứng hay do virus. Và ta không cần phải tạo các bản
sao lưu ảnh đĩa và cất giữ chúng vào những nơi lưu trữ an toàn như khi truy
tìm bằng chứng trên máy tính. Có thể nói phục hồi dữ liệu chỉ là một công
đoạn của quá trình điều tra máy tính.
Trong quá trình truy tìm chứng cứ số để điều tra tội phạm có thể điều tra
viên phải làm việc với nhiều hệ điều hành khác nhau, tùy thuộc vào nhu cầu
của cuộc điều tra mà các bạn phải thiết lập các hệ thống chạy trên nền tảng
của Microsoft như :
• MS-DOS 6.22
69
• Windows 95, 98, hay Me
• Windows NT 3.5 hay 4.0
• Windows 2000 hay 2003 / 2008
• Windows XP
• Windows Vista hay Windows 7
Khi khởi động hệ thống Windows sẽ có một số tiến trình làm thay đổi tính
toàn vẹn của tập tin như việc ghi dữ liệu vào Recycle Bin, điều này có khả
năng làm thay đổi chứng cứ. Vì vậy trong Chương 6 chúng ta sẽ thảo luận về
các dịch vụ chạy trong quá trình khởi động của các hệ điều hành Windows,
cũng như các thiết bị lưu trữ ngăn ngừa việc ghi đè với tính năng write-
blocker sẽ được trình bày trong Chương 4 như Technology Pathways
NoWrite FPU; Digital Intelligence Ultra-Kit, UltraBlock, FireFly, FireChief
800, và USB Write Blocker; WiebeTECH Forensic DriveDock; Guidance
Software FastBloc2; Paralan SCSI Write Blockers; và Intelligent Computer
Solutions (www.ics-iq.com) Image LinkMaSSter Forensics Hard Case ...
Ngoài ra, một số công cụ điều tra mạnh mẽ khác chạy trên hệ điều hành
Linux hoặc những ứng dụng trên nền DOS cũng rất hữu ích trong nhiều
trường hợp. Do đó các điều tra viên nên trang bị cho mình những kiến thức
đầy đủ về các hệ điều hành khác nhau để có thể tận dụng tối đa sức mạnh
của các công cụ forensic, vì một ứng dụng riêng kẽ không thể nào cung cấp
cho chúng ta kết quả đầy đủ nhất.
Thiết Lập Hệ Thống Máy Trạm Cho Quá Trình Computer

Forensic
70
Với đầy đủ thiết bị phần cứng và phần mềm, việc thiết lập một trạm làm việc
cho quá trình computer forensic khá đơn giãn, những yêu cầu cần thiết bao
gồm :
• Một hệ thống máy trạm chạy hệ điều hành Windows XP hay Windows 7,
cũng có thể chạy trên máy ảo khi công nghệ ảo hóa ngày càng phát triển.
• Thiết bị chống ghi đè write-blocker.
• Các công cụ thu thập thông tin cho quá trình điều tra máy tính.
• Các công cụ phân tích dữ liệu.
• Đĩa cứng dùng để sao chép dữ liệu từ các ổ đĩa ngih vấn.
• Hệ thống kết nối các thiết bị qua cổng PATA hay SATA.
Ngoài ra, nên có thêm :
• Card mạng (NIC)
• Bộ mở rộng cổng USB.
• SCSI card
• Công cụ Disk editor.
• Công cụ hiệu chỉnh văn bản, chương trình xem ảnh ...
71
Trong Chương 3 ta sẽ tiến hành thiết lập một hệ thống máy trạm dùng cho
việc truy tìm chứng cứ số và điều tra tội phạm công nghệ.
Tiến Hành Điều Tra
Bây giờ các bạn hãy quay trở lại với tình huống vi phạm chính sách doanh
nghiệp của nhân viên George Montgomery khi đã đăng kí Domain Name và
xây dựng trang web với mục tiêu kinh doanh cá nhân trên tài sản của tổ chức
đã trình bày trong phần trước. Chúng ta đã lên kế hoạch cho quá trình điều
tra, thiết lập máy trạm làm việc và cài đặt các chương trình cần thiết để khảo
sát chứng cứ. Các phần mềm có thể sử dụng như ProDiscover, EnCase,
FTK, hay X-Ways Forensics; bộ công cụ văn phòng thì dùng OpenOffice
hay Microsoft Office tùy vào kinh phí và kỹ năng của điều tra viên; và phần
mềm xem Hình ảnh hãy dùng IrfanView. Trước tiên, các bạn hãy sao chép
tất cả các chứng cứ về ổ đĩa lưu trữ của mình bằng nhiều phương pháp khác
nhau. Hãy tận dụng khả năng phục hồi, tìm kiếm thông tin và sao chép bằng
những ứng dụng mạnh mẽ nhất, không nên sử dụng chỉ một chương trình vì
không có ứng dụng nào có thể mang lại hiệu quả tối đa cho dù chương trình
đó được quảng cáo là tốt nhất. Để thu thập các tài nguyên theo kế hoạch đã
lập, các bạn cần chuẩn bị những thành phần sau :
72
 Ổ đĩa lưu trữ gốc.
 Biểu mẫu ghi chứng cứ.
 Các hộp lưu trữ các ổ đĩa hay thiết bị nghi vấn.
 Công cụ sao chép Hình ảnh theo cơ chế bit-stream như trong phần
thực hành của tài liệu này là ProDiscovery.
 Máy trạm tiến hành công việc.
 Các thiết bị lưu trữ chứng cứ với khả năng chống ghi...
Thu Thập Chứng Cứ

Tiếp theo, chúng ta sẽ tiến hành thu thập chứng cứ cho tình huống “Domain
Name” , nên cẩn thận chuẩn bị các hộp lưu trữ hay túi đựng chứng cứ an
toàn, có khả năng chống ẩm hay các tác hại tỉnh điện có khả năng gây hư
hỏng chứng cứ số. Để lấy được thiết bị lưu trữ của nhân viên George
Montgomery từ phòng IT hãy tiến hành theo các bước sau :
1. Gặp trưỡng bộ phận tin học (thường là IT Manager) và đề nghị lấy các
thiết bị lưu trữ của nhân viên bị tình nghi.
2. Sau đó hãy điền các thông tin của buổi trao đổi vào một biểu mẫu và
yêu cầu kí xác nhận của cả hai bên.
3. Cất các thiết bị này vào túi đựng chứng cứ và đem về nơi làm việc để
tiến hành khảo sát.
4. Chuyển các chứng cứ vào các hộp lưu trữ an toàn như các thiết bị có
chức năng chống ghi đè dữ liệu.
5. Hoàn tất biểu mẫu chứng cứ và ngăn ngừa bất kì sự thay đổi trái phép
nào.
6. Bảo vệ chứng cứ bằng cách khóa các hộp lưu trữ.
73
Thế Nào Là Bit-Stream Copy
Thông thường, khi các bạn copy hay sao chép dữ liệu thì chương trình chỉ
chép những tập tin mà chúng ta chọn, còn các tập tin đã bị xóa, hay được che
dấu thì phương pháp copy thông thường không có tác dụng. Trong trường
hợp sao chép chứng cứ từ đĩa gốc ta không thể bỏ sót bất kì thông tin nào
cho dù nó đã bị xóa đi, vì vậy phải sử dụng phương pháp sao chép đặc biệt
gọi là bit-stream copy, sẽ sao chép chính xác theo từng bit (bit-by-bit) hay
còn gọi là sector copy cho dù các thông tin ẩn hay bị xóa của thư mục cũng
được sao chép. Và khi chúng ta áp dụng phương pháp này cho toàn bộ dữ
liệu trên đĩa cứng sẽ tạo ra các ảnh đĩa hay bit-stream image mà một số nơi
còn gọi là forensic image như Hình 2-4. Có khá nhiều công cụ sao lưu ảnh
đĩa với giao diện thân thiện như Norton Ghost, Acronis True Image và trong
chương 4 chúng ta sẽ thảo luận về một trong số những công cụ trên.
Hình 2-4 : Quá trình tạo ảnh đĩa
Thu Thập Hình Ảnh Của Ổ Lưu Trữ Chứng Cứ

Sau khi tịch thu các ổ đĩa lưu trữ chứng cứ các bạn cần sao chép chúng sang
một thiết bị lưu trữ khác để tiến hành phân tích. Quy tắc đầu tiên là chúng ta
không trực tiếp làm việc trên chứng cứ gốc mà chỉ làm trên những bản sao
chép thông qua phương pháp bit-stream copy.
74
Sử Dụng ProDiscover Basic Để Tạo Ảnh Đĩa Cho Ổ USB
ProDiscover Basic của Technology Pathways là một công cụ phân tích
chứng cứ mạnh mẽ. Bạn có thể sử dụng nó để phân tích dữ liệu từ hệ thống
tập tin khác nhau, chẳng hạn như Microsoft FAT và NTFS, Linux Ext2,
Ext3, và các hệ thống tập tin khác của UNIX, hay các hệ thống sử dụng hệ
điều hành Windows XP và những hệ thống cũ hơn.
Để sử dụng ProDiscover Basic trong Windows Vista hay Windows 7, bạn

cần phải chạy nó trong chế độ Administrator.
Trước khi bắt đầu bài thực hành hãy tạo một thư mục làm việc trên máy tính
của bạn để lưu trữ dữ liệu được tạo ra bởi ProDiscover khi thu thập và phân
tích chứng cứ. Ta có thể sử dụng bất kỳ tên hay vị trí của thư thư mục nhưng
nên đặt theo các tên liên quan đến công việc đang thực hiện đễ dễ nhớ và dễ
quản lý ví dụ là C: \Work. Trong bài tập này các bạn hãy tạo thư mục
Work\Chap02\Chapter để lưu trữ dữ liệu. Các bước sau đây dùng để tạo
ảnh của một ổ đĩa USB, nhưng bạn có thể áp dụng chúng cho những phương
tiện lưu trữ khác chẳng hạn như ổ đĩa cứng và đĩa mềm. Để thực hiện việc
tạo ảnh đĩa cho một ổ USB với ProDiscover Basic hãy làm theo các bước
sau:
1. Trên ổ USB bật khóa chống ghi nhằm bảo vệ sự ghi đè lên dữ liệu gốc
và gắn chúng vào máy tính làm việc.
2. Để khởi động ProDiscover Basic, hãy click Start, chọn All Programs,
và trỏ đến ProDiscover, sau đó nhấn chuột vào ProDiscover Basic.
Nếu hộp thoại Launch mở ra (xem Hình 2-5), hãy nhấn Cancel.
75
Hình 2-5 : Giao diện của ProDiscover
3. Trên cữa sổ chính hãy chọn Action , Capture Image từ thanh Menu.
4. Trong hộp thoại Capture như Hình ảnh được hiển thị trong Hình 2-6,
hãy nhấp vào mũi tên để hiển thị danh sách Source Drive và chọn ổ
đĩa USB.
76
Hình 2-6 : Hộp thoại Capture Image
5. Nhấp vào nút >> bên cạnh hộp văn bản Destination. Khi hộp thoại
Save As mở ra, di chuyển đến thư mục công việc của bạn
(Work\Chap02\Chapter) và nhập tên của Hình ảnh sẽ tạo cho đĩa USB
ví dụ InChp-prac và nhấn Save để lưu lại.
6. Tiếp theo, trong hộp thoại Capture Image, gõ tên của bạn trong ô
Technician Name và InChp-prac-02 trong ô Image Number như Hình
2-7. Nhấp vào OK.
77
Hình 2-7 : Hộp thoại Capture Image sau khi đã nhập đầy đủ thông tin
Như vậy chúng ta đã hoàn tất bước đâu tiên của quá trình tạo Hình ảnh cho ổ
lưu trữ chứng cứ gốc. Tiếp theo các bạn sẽ được hướng dẫn cách phân tích
dữ liệu.
Phân Tích Chứng Cứ Số

Khi bạn phân tích bằng chứng kỹ thuật số, công việc của bạn cần làm là
phục hồi dữ liệu. Nếu người dùng đã xóa hoặc ghi đè các tập tin trên đĩa, thì
trên đĩa vẫn còn chứa tập tin đã xóa và những phân mảnh của tập tin gốc. Vì
khi một tập tin bị xóa đi chúng chỉ được đánh dấu là đã xóa để không gian
lưu trữ này có thể chứa những dữ liệu khác, đây là các dữ liệu ghi đè lên tập
tin cũ, vì vậy chúng vẫn có thể được phục hồi bằng những công cụ như
ProDiscovery nếu chưa bị ghi đè hoàn toàn.
78
Đầu tiên hãy tải các ảnh đĩa thu được vào ProDiscover Basic theo các bước
sau :
1. Khởi động ProDiscover Basic, như bạn đã làm trong phần trước.
2. Để tạo ra một tình huống mới, hãy nhấp vào File và chọn New Project từ
trình đơn.
3. Trong hộp thoại New Project, gõ InChp02 trong ô Project Number và gõ
tương tự trong ô Project File Name (xem Hình 2-8), sau đó nhấn OK.
4. Trong màn Hình hiển thị của cửa sổ chính (xem Hình 2-9), bấm vào để
mở rộng mục Add, và sau đó nhấp vào file Hình ảnh.
Hình 2-8 : Hộp thoại New Project
Hình 2-9 : Giao diện tree-view của ProDiscover
5.Trong hộp thoại Open, chuyển đến thư mục chứa các Hình ảnh, nhấp vào
tập tin
InChp02.eve , và nhấn Open. Tiếp theo nhấn Yes trong ô Auto Image
79
Checksum.
Bước tiếp theo là hiển thị các nội dung của các dữ liệu thu được. Hãy thực
hiện theo các bước sau đây:
1. Trong khung tree-view, bấm vào nút mở rộng Content

View, nếu cần thiết. Sau đó chọn Images và nhấp vào đường dẫn tên tập
tin C: \ Work \ InChp02.eve (thay thế đường dẫn bằng thư mục của bạn ví dụ
"Work", C:\Work\Chap02\Chapter), và sau đó bấm vào để mở rộng đường
dẫn.
2. Tiếp theo, nhấp vào All Files tại đường dẫn tên tập tin Hình ảnh. Khi hộp
thoại CAUTION mở ra, nhấn Yes. Tập tin InChp02.eve sau đó sẽ
được nạp trong cửa sổ chính, như trong Hình 2-10.
3. Trong khung phía trên bên phải (khu vực làm việc), nhấp vào tập
tin letter1 để xem nội dung trong khung dữ liệu (xem Hình 2-11).
4. Trong khung dữ liệu, bạn sẽ thấy nội dung của tập tin letter1. Hãy khảo
sát khung dữ liệu, kiểm tra các nội dung của các bằng chứng bị thu hồi. Các
bạn sẽ thấy nhiều tập tin bị xóa chưa bị được ghi đè. Hãy duy trì cữa sổ làm
việc của ProDiscover Basic cho các hoạt động tiếp theo.
80
Hình 2-10 : Nạp tập tin InChp02.eve
81
Hình 2-11 : Chọn tập tin trong Word Area và xem nội dung trong Data Area
Bước tiếp theo là phân tích dữ liệu và tìm kiếm thông tin liên quan đến
những khiếu nại. Phân tích dữ liệu là công đoạn tốn khá nhiều thời gian ngay
cả khi bạn biết chính xác những gì cần tiến hành để tìm bằng
chứng. Các phương pháp định vị, dò tìm chứng cứ có thể được áp dụng
để tìm kiếm giá trị dữ liệu cụ thể. Những giá trị dữ liệu này có thể chỉ là một
kí tự hay là những chuỗi không thể in ra, chẳng hạn như các mã thập lục
phân.
Những giá trị mẫu dùng để tìm kiếm dữ liệu được gọi là "từ khóa" tương tự
như các từ khóa chúng ta dùng để tìm kiếm trên internet với Google.
Với ProDiscover Basic, bạn có thể tìm kiếm theo các từ khóa liên quan, như
trong trường hợp này, ta sẽ tìm kiếm bất kỳ tài liệu nào có liên quan đến tên
George :
1. Trong khung tree-view hãy nhấn Search.
2. Trong hộp thoại Search, nhấp vào tab Content Search sau đó đánh dấu
chọn trong ô Select all matches, và ASCII, và Search for the pattern(s) nếu
như chưa được chọn sẳn.
3. Tiếp theo, trong hộp văn bản bên dưới Search for the pattern(s) hãy nhập
vào George như Hình 2-12.
82
Hình 2-12 : Nhập từ khóa tìm kiếm.
4. Tiếp theo hãy nhấp vào C:\Work\InChap02.eve (thay thế bằng đường
dẫn đến thư mục công việc của bạn), và sau đó nhấn OK để bắt đầu tìm
kiếm.
Khi hoàn tất quá trình tìm kiếm ProDiscover sẽ hiển thị các kết quả
trong cửa sổ làm việc tại khu vực Work Area như Hình minh họa 2-11. Lưu
ý tab có nhãn Search 1 trong Hình 2-13. Đối với mỗi trường hợp tìm kiếm
ProDiscover sẽ thêm một tab mới trên danh mục tìm kiếm của bạn.
83
Hình 2-13 : Kết quả tìm kiếm
Nhấn chuột vào từng tập tin trong cửa sổ kết quả tìm kiếm và kiểm tra nội
dung của nó trong khu vực dữ liệu. Nếu bạn muốn trích xuất các tập
tin, bạn có thể nhấn chuột phải vào nó và chọn Copy File.
Đối với ví dụ này, một bảng tính Excel có tên là Income.xls được hiển thị
trong cữa sổ kết quả tìm kiếm. Các thông tin trong khu vực dữ liệu cho
thấy đa số là không thể đọc. Để kiểm tra dữ liệu trên bạn hãy xuất chúng vào
một thư mục mà bạn đã chọn, và sau đó mở nó để tiến hành theo dõi,
kiểm tra và phân tích. Để xuất tập tin Income.xls hãy thực hiện các bước
sau:
1. Trong cửa sổ kết quả tìm kiếm, nhấp đúp vào tập tin Income.xls, và
chuyển sang khu vực làm việc Work Area.
2. Trong khu vực làm việc, nhấp chuột phải vào tập tin Income.xls và nhấp
vào File Copy.
3. Trong hộp thoại Save As, điều hướng đến thư mục mà bạn đã chọn, và
nhấn Save.
84
4. Bây giờ tập tin Income.xls đã được sao chép vào một thư mục của hệ điều
hành Windows, hãy chạy Excel (hoặc một chương trình bảng tính khác,
chẳng hạn như OpenOffice Calc) để kiểm tra nội dung của tập tin. Hình 2-
14 cho thấy các tập tin trích xuất được mở trong Open
Office Calc. Lặp lại quá trình này cho phần còn lại của tập tin trong cửa
sổ kết quả tìm kiếm. Sau đó, đóng tất cả cửa sổ, trừ ProDiscover Basic để
làm các bài tập tiếp theo.
Hình 2-14 : Nội dung trích xuất của tập tin Income.xls
Với tính năng Tìm kiếm của ProDiscover, bạn cũng có thể tìm kiếm theo tên
tập tin cụ thể. Để sử dụng chức năng này hãy nhấp vào “Search for files
named” trong hộp thoại tìm kiếm. Tính năng này rất hữu ích khi chúng ta
làm việc trên số lượng tập tin lớn hay trên các ổ đĩa có dung lượng cao, giúp
giảm thiểu lỗi của con người khi quan sát dữ liệu bằng mắt thường.
Sau khi hoàn thành việc kiểm tra và phân tích chi tiết, bạn có thể tạo ra một
báo cáo về hoạt động của mình. Các báo cáo này có thể là các bản ghi thông
thường như tập tin văn bản dạng Rich Text Format (RTF) hoặc HTML để có
thể dễ dàng xem xét trên bất kì máy tính nào.
85
Để tạo ra một báo cáo trong ProDiscover Basic, hãy thực hiện các bước sau
đây:
1. Trong chế độ xem tree-view, nhấp vào Report. Báo cáo này sau đó
được hiển thị trong khung bên phải, như thể hiện trong Hình 2-15.
Hình 2-15 : Báo cáo của ProDiscovery
2. Để in báo cáo, hãy chọn File và Print Report từ trình đơn.

3. Trong hộp thoại Print nhấn OK.
Nếu báo cáo cần phải được lưu vào một tập tin, bạn sử dụng tính năng
Export của ProDiscover Basic và chọn RTF hoặc plaintext cho các định
dạng tập tin. Để xuất báo cáo vào một tập tin, thực hiện như sau:
1. Trong chế độ xem tree-view, nhấp vào Report.

2. Click Action, Export từ trình đơn.
3. Trên hộp thoại Export , chọn RTF Format hoặc Text Format sau đó nhập
vào InChp02 trong ô File Name rồi nhấn OK.
4.Xem lại các báo sau đó nhấp vào File, Exit từ thanh trình đơn để thoát
ProDiscover Basic
86
Như vậy chúng ta đã hoàn thành quá trình phân tích dữ liệu trên ổ
đĩa USB.Trong phần tiếp theo, tiếp theo là các bước để hoàn thành bản
án. Trong những chương sau, ta sẽ tìm hiểu chuyên sâu hơn về kỹ thuật tìm
kiếm và phân tích dữ liệu của chứng cứ.
Hoàn Thành Bản Án

Sau khi phân tích đĩa, bạn có thể lấy các tập tin bị xóa, e-mail, và các dữ
liệu ẩn. Chúng ta sẽ thực hiện chi tiết các vấn đề này trong Chương9,
Chương, 10 và Chương 12. Các dữ liệu thu thập được trên ổ đĩa USB của
George cho biết rằng ông ta đã tiến hành một công việc kinh doanh cá nhân
trên máy tính tại công ty. Điều này trái với chính sách do doanh nghiệp quy
định.
Bây giờ bạn đã thu thập và phân tích các bằng chứng, trước khi viết báo cáo
ta hãy tìm ra câu trả lời cho các vấn đề sau :.
• Làm thế nào quản lý của George lấy được đĩa USB của anh ta?
• George thực hiện công việc trên một máy tính xách tay, đó là tài sản riêng
của anh ta? Nếu vậy, có khả năng anh ấy thực hiện các giao
dịch kinh doanh trong kỳ nghỉ hoặc trong giờ ăn trưa của mình?
• George sử dụng các tập tin không liên quan đến công việc vào thời gian
nào trong ngày ? Làm thế nào bạn lấy thông tin đó?
• Những chính sách nào được áp dụng trong công ty ?
• Có bất kỳ đối tượng nào khác cần phải được xem xét hay không ?
Khi bạn viết báo cáo, cần nêu rõ những gì bạn đã làm và những gì
bạn tìm thấy.
Rút Kinh Nghiệm Từ Công Việc Điều Tra Đã Thực Hiện

Sau khi bạn đóng các tình huống và báo cáo cuối cùng của bạn, bạn cần phải
họp với các bộ phận hoặc một nhóm các nhà điều tra viên và phê bình
về công việc đã thực hiện nhằm cải thiện công việc của bạn. Hãy tự đặt ra
những câu hỏi đánh giá như sau:
87
• Làm thế nào bạn có thể cải thiện hiệu suất của bạn trong tình huống này?
• Bạn có mong đợi những kết quả mà bạn tìm thấy? C1o hay không những
tình huống ngoài dự đoán của bạn ?
• Các tài liệu hướng dẫn có rõ ràng hay không ?
• Những thông tin phản hồi nhận được ?
• Bạn có phát hiện ra bất kỳ vấn đề nào mới? Nếu có thì những vấn đề đó là
gì ?
• Bạn có ứng dụng những kỹ thuật mới trong quá trình nghiên cứu để đạt
được kết quả tốt nhất chưa ?
Hãy ghi chú cẩn thận những kinh nghiệm trên cho riêng mình để áp dụng
cho các cuộc điều tra trong tương lai. Sau đó lưu trữ những ghi chép này ở
một nơi an toàn.
88
■ Luôn luôn sử dụng một cách tiếp cận có hệ thống cho tiến trình điều
tra của bạn. Thực hiện công việc theo những khuyến nghị trong chương này
đã nêu ra cho trường hợp của bạn.
■ Khi lập kế hoạch một tình huống hãy tập trung vào tính chất của vụ
việc, liệt kê các công cụ bổ sung hay những kiến thức chuyên môn mà bạn
còn thiếuvà làm thế nào bạn có được bằng chứng.
■ Các vụ án hình sự hay vi phạm chính sách doanh nghiệp cần được xử lý
theo cùng phương pháp để đảm bảo chất lượng của chứng cứ được trình
bày. Cả hai trường hợp hình sự và vi phạm chính sách của công ty đều có
thể ra tòa án.
■ Hãy tiên liệu cho những thách thức không lường trước được khi áp dụng
phương pháp tiếp cận có hệ thống cho quá trình điều tra của bạn. Đối với tất
cả các cuộc điều tra bạn cần lập kế hoạch cho dự phòng cho những rũi ro có
thể gặp phải.
■ Nên tạo ra một biểu mẫu chuẩn để ghi chú các bằng chứng. Có
hai loại mẫu : một biểu mẫu đa bằng chứng (multi-evidence form) và biểu
mẫu đơn bằng chứng single-evidence form) .
■ Điều tra lạm dụng Internet và rò rĩ thông tin đều yêu cầu kiểm tra dữ liệu
nhật kí trên máy chủ.
■ Đối với các trường hợp đặc quyền dành cho luật sư-khách hàng hay
attorney-client privilege, tất cả các thông tin liên lạc bằng văn bản nên được
dán nhãn nói rằng đó là thông tin bí mật.
■ Bạn nên sử dụng phương pháp nhân bản theo dạng sao chép dựa trên dòng
dữ liệu bit-by-bit khi phân tích chứng cứ.
■ Luôn luôn duy trì một bản ghi chép nhằm bảo đảm tính chính xác cho
công việc thực hiện.
■ Nên tự kiểm điểm, phê bình kết quả công việc đã tiền hành nhằm rút kinh
nghiệm cho những cuộc điều tra trong tương lai.
89
90
CHƯƠNG 3
VĂN PHÒNG VÀ PHÒNG THÍ NGHIỆM

CỦA ĐIỀU TRA VIÊN

• Mô tả các yêu cầu dành cho việc chứng nhận phòng thí nghiệm truy tìm
chứng cứ máy tính.
• Danh sách các yêu cầu vật lý cho một phòng thí nghiệm pháp truy tìm
chứng cứ máy tính
• Các tiêu chí để lựa chọn một máy trạm dành cho việc truy tìm chứng cứ.
• Mô tả các thành phần để phát triển một phòng thí nghiệm cho truy tìm
chứng cứ máy tính.
91
Chương này sẽ trình bày chi tiết các lựa chọn thiết bị phần cứng hay phần
mềm để xây dựng một phòng thí nghiệm (computer forensic lab) dùng cho
việc điều tra tội phạm công nghệ và truy tìm chứng cứ số, bên cạnh đó là
những nguyên tắt về quản lý, duy trì văn phòng. Phòng thí nghiệm cần được
đặt tại văn phòng riêng để các điều tra viên có thể yên tâm công tác và bảo
đảm an toàn cho chứng cứ, như không lo bị nghe lén dữ liệu khi truyền hoặc
lo lắng bị kẻ gian đột nhật lấy mất chứng cứ. Ngoài ra, khi xây dựng văn
phòng làm việc và phòng thí nghiệm điều tra chứng cứ chúng ta cần lưu ý
đến vấn đề kinh phí khi mua sắm thiết bị, kinh phí dành cho việc cập nhật,
nâng cấp hệ thống và những nhu cầu mở rộng trong tương lai.
Yêu Cầu Chứng Nhận Đối Với Computer Forensic

Lab
Computer forensic lab hay phòng thí nghiệm là nơi các điều tra viên lưu
trữ chứng cứ, khảo sát dữ liệu và làm hầu hết các công tác điều tra của mình.
Vì tầm quan trọng của lab chúng ta cần phải xây dựng các chính sách , quy
trình hoạt động và các thủ tục, hướng dẫn trong công việc theo những tiêu
chuẩn được xây dựng bởi các tổ chức chuyên môn.
Một trong các tổ chức uy tín có thể cung cấp cho chúng ta những định nghĩa
và hướng dẫn thực hành tốt là American Society of Crime Laboratory
Directors (ASCLD ; www.ascld.org), ASCLD cũng chứng nhận những
phòng lab đạt tiêu chuẩn trong điều tra chứng cứ số. Vì vậy trong những
phần tiếp theo chúng ta sẽ thảo luận về các hướng dẫn từ tổ chức này.
Nhiệm Vụ Của Giám Đốc Phòng Thí Nghiệm

Và Nhân Viên
ASCLD quy định mỗi lab cần có mục tiêu cụ thể được xác định bởi giám
đốc của phòng thí nghiệm. Người quản lý hệ thống lab hay giám đốc sẽ thiết
lập quy trình hoạt động và đánh giá thường xuyên. Bên cạnh việc thực hiện
nhiệm vụ quản lý chung, ví dụ như liên kết các thành viên, bảo đảm
tài chính cho lab hay thực thi các tiêu chuẩn đạo đức (được
nêu trong Chương 15 và 16) giữa các thành viên trong đội ngũ nhân viên,
92
người quản lý lab phải có kế hoạch cập nhật cho phòng thí nghiệm, chẳng
hạn như thay mới các thiết bị phần cứng và phần mềm.
Nhân viên trong phòng thí nghiệm cần được đào tạo đầy đủ để có thể hoàn
thành nhiệm vụ của mình. Kỹ năng cần thiết bao gồm kiến thức
về phần cứng và phần mềm, bao gồm cả hệ điều hành và các
loại tập tin, cách suy luận một vấn đề. Công việc của họ cần được xem xét
thường xuyên bởi người quản lý lab và các đồng nghiệp của họ để đảm bảo
chất lượng. Nhân viên cũng có trách nhiệm tự đào tạo nhằm nâng cao kỹ
năng, kiến thức bắt kịp sự phát triển của công nghệ. Trong trường hợp cần
thiết có thể cử người tham gia các khóa đào tạo chuyên ngành và thi lấy các
chứng chỉ chuyên môn do các tổ chức quốc tế triển khai và cấp phát.
Trên trang Web ASCLD có tóm tắt các yêu cầu quản lý một hệ thống phòng
thí nghiệm dùng cho điều tra bằng chứng trên máy tính, phương pháp xử lý
và bảo quản chứng cứ, thực hiện thủ tục đề ra trong phòng thí
nghiệm, thiết lập các yêu cầu đối với nhân viên hay khuyến khích họ phát
triển nghề nghiệp, trau đồi kỹ năng.
Hoạch Định Ngân Sách Cho Phòng Thí Nghiệm

Để tiến hành một cuộc điều tra máy tính chuyên nghiệp, bạn cần phải nắm rõ
chi phí hoạt động dành cho hệ thống lab. Những chi phí này gồm có chi
phí hoạt động hàng ngày, hàng quý, và hàng năm. Để có thể quản lý tốt các
nguồn chi phí chúng ta cần sử dụng các chương trình bảng tính như Excel
hay các ứng dụng spreadshhet của Google, bộ công cụ văn phòng Open
Office. Việc theo dõi các nguồn chi phí điều tra trong quá khứ còn giúp ta
phỏng đoán hay ước tính cho các cuộc điều tra sẽ được tiến hành trong
tương lai. Và cũng cần lưu ý, các chi phí này bao gồm cả chi phí cho phần
cứng máy tính và phần mềm, phí thuê văn phòng, mặt bằng hay phí đào tạo
nhân viên.
Hình 3-1 cho thấy một bảng thống kê từ một báo cáo của Uniform Crime
Report xác định số lượng của các loại đĩa cứng như IDE, SCSI, và hệ điều
hành được các tội phạm sử dụng. Báo cáo thường niên Uniform Crime
Report được tạo ra ở cấp liên bang, tiểu bang và địa phương để hiển thị các
loại tội phạm và tần suất thực hiện. Đối với báo cáo của liên bang các bạn có
93
thể tham khảo tại http://www.fbi.gov/UCR/ucr.htm, hay tại địa chỉ
http://ojp.usdoj.gov/bjs/dtd.htm.
Hình 3-1 : Một bản báo cáo Uniform Crime Report
Chứng Nhận Và Đào tạo

Bất cứ nghề nghiệp nào chúng ta cũng cần đào tạo để nâng cao trình độ và
thi lấy các chứng nhận cần thiết để hành nghề hay tạo niềm tin nơi đối tác,
khách hàng. Có một số tổ chức cấp phát các chứng chỉ cho chuyên viên điều
tra pháp lý hay truy tìm chứng cứ số khi tham gia và hoàn tất các chương
trình đào tạo của họ. Thông thường các tổ chức nay có những chương trình
đào tạo phi lợi nhuận được hỗ trợ từ những nhà cung cấp hay sản xuất các
thiết bị liên quan, nhưng họ sẽ tính phí thông qua việc cấp chứng nhận hay
94
thi cử. Gần đây, một số cơ quan chính phủ của tiểu bang và liên bang tại
Hoa Kỳ đã xây dựng các chương trình chứng nhận riêng của họ để cung cấp
các kỹ năng điều tra máy tính ở các cấp độ khác nhau.
Trước khi quyết định tham gia lấy một chứng chỉ chúng ta cần nghiên cứu
kỹ nội dung của chương trình đào tạo, uy tín của tổ chức và chi phí. Đa số
các chương chỉ yêu cầu ứng viên phải liên tục rèn luyện kỹ năng để nâng cao
trình độ, bắt kịp sự phát triển của công nghệ và cần phải renew (làm mới
chứng chỉ, cần phải trả phí) chứng chỉ của mình định kì.
Hiệp Hội Quốc Tế Các Chuyên Gia Điều Tra Máy

Tính (IACIS) - IACIS (International Association of Computer
Investigative Specialists ) Được thành lập bởi các nhân viên cảnh
sát, những người muốn chính thức hóa quy trình điều
tra máy tính, IACIS là một trong những tổ chức máy tính chuyên nghiệp và
lâu đời nhất. Nó hạn chế thành viên với những quy định nghiêm ngặt như
yêu cầu nhân viên phải tuyên thệ khi nhận chứng chỉ hoặc thành viên phải
nhân viên chính phủ làm việc trong lĩnh vực điều tra máy tính. Những quy
định hạn chế này có thể thay đổi, các bạn hãy truy cập vào
trang Web IACIS (www.iacis.com) để kiểm tra các yêu cầu.
Ngoài việc đáp ứng yêu cầu đề ra thì các chương trình đào tạo tiếp theo đòi
hỏi học viên phải tham gia các khóa học kéo dài ít nhất 1 năm, sau đó hoàn
thành các bài kiểm tra thực hành và một bài thi viết, nếu thành công sẽ được
cấp giấy chứng nhận IACIS. Bài thi thực hành có thể yêu cầu thí sinh phải
khảo sát và đánh giá nhiều phương tiện lưu trữ, truyền thông và thực hiện
các thao tác cần thiết trong quy trình phục hồi, nhân bản ổ lưu trữ chứng cứ.
Bên cạnh đó, IACIS còn tiến hành một khóa học định kì có thời gian
hai tuần cho các thành viên đủ điều kiện. Các học viên sẽ học cách diễn
dịch một thông điệp email và làm sao để truy dấu vết nguồn gốc của thư
điện tử, hướng dẫn về quy trình thu thập chứng cứ thích hợp, xác định hệ
điều hành, cách phục hồi dữ liệu, và lý thuyết về mã hóa... Học viên
phải vượt qua một kỳ thi viết trước khi học tiếp các cấp độ cao hơn để có thể
hoàn tất chương trình đào tạo và nhận chứng chỉ chuyên gia thu thập chứng
cứ điện tử CEECS (Certified Electronic Evidence Collection Specialist).
95
High-Tech Crime Network (HTCN) - HTCN là tổ chức cung cấp nhiều
cấp độ chứng nhận khác nhau. Nhưng không như IACIS, HTCN yêu cầu
một bản đánh giá về những chương đào tạo mà ứng viên đã tham gia và xem
xét quá trình làm việc của họ. Chứng nhận HTCN có tính chất mở cho bất
cứ ai đáp ứng được các tiêu chuẩn về nghiệp vụ điều tra máy tính. Các bạn
có thể tham khảo thêm tạo trang web HTCN ở địa chỉ www.htcn.org. Sau
đây là một số cấp độ chứng nhận điều tra viên tội phạm máy tính của HTCN
:
Certified Computer Crime Investigator, Basic Level
• Thí sinh phải có ba năm kinh nghiệm về điều tra về tội phạm máy tính.
• Các ứng cử viên đã hoàn thành 40 giờ đào tạo từ các trung tâm được chỉ
định.
• Các ứng viên phải cung cấp bài viết ít nhất 10 trường hợp thực tế về điều
tra tội phạm công nghệ cao mà họ đã tham gia.
Certified Computer Crime Investigator, Advanced Level
• Các ứng viên phải có năm năm kinh nghiệm về điều tra về tội phạm máy
tính.
• Các ứng cử phải hoàn thành 80 giờ đào tạo từ một trong các trung tâm ủy
quyền.
• Thí sinh đã làm việc trong vài trò điều tra viên chính trong ít nhất 20
trường hợp trong ba năm qua và đã tham gia vào ít nhất 40 trường hợp khác
trong vai trò phụ tá cho điều tra viên chính hoặc là người giám sát trong một
quá trình điều tra. Ứng cử viên phải tham gia ít nhất 60 cuộc điều tra trong
các vụ án trong vòng ba năm qua.
Certified Computer Forensic Technician, Basic
• Thí sinh phải có ba năm kinh nghiệm trong điều tra máy tính cho các cơ
quan thực thi luật pháp hay những doanh nghiệp chuyên về điều tra án.
• Thí sinh phải hoàn thành 40 giờ đào tạo computer forensic từ một trung
tâm đào tạo được ủy quyền.
• Các ứng viên phải cung cấp bài viết về ít nhất 10 tình huống điều tra máy
tính.
Certified Computer Forensic Technician, Advanced
96
• Thí sinh phải có năm kinh nghiệm trong điều tra máy tính cho các cơ quan
thực thi luật pháp hay những doanh nghiệp chuyên về điều tra án.
• Thí sinh phải hoàn thành 80 giờ đào tạo computer forensic từ một trung
tâm đào tạo được ủy quyền.
• Thí sinh đã làm việc trong vài trò điều tra viên trong ít nhất 20 trường
hợp trong ba năm qua và đã tham gia vào ít nhất 40 trường hợp khác trong
vai trò điều tra viên chính hoặc là người giám sát trong một quá trình điều
tra. Ứng cử viên phải tham gia ít nhất 60 cuộc điều tra trong các vụ án trong
vòng ba năm qua.
EnCase Certified Examiner (EnCE) Certification - Guidance Software,

sáng lập của EnCE là nhà tài trợ cho chứng chỉ này. Đây là chứng
nhận mở cho tất cả các ứng viên. Yêu cầu để đạt chứng chỉ này không phụ
thuộc vào các kiến thức sử dụng phần mềm của EnCase. Để nắm rõ hơn các
điều kiện để lấy chứng chỉ trên các bạn hãy tham khảo tại trang
web www.encase.com hoặc www.guidancesoftware.com.
AccessData Certified Examiner (ACE) - AccessData, tác giả củ bộ công

cụ Ultimate Toolkits là nhà tài trợ cho chứng nhận này. Cũng như EnCE,
ACE là chứng nhận mở cho cả các điều tra viên trong khu vực công cộng và
tư nhân (public sector và private sector), ứng viên phải nắm vững các kỹ
năng sử dụng AccessData Ultimate Toolkit.
Yêu cầu để tham dự kỳ thi ACE bao gồm hoàn thành khóa học
AccessData Bootcamp và truy tìm chứng cứ số trên hệ thống
Windows. Để biết thêm thông tin về chứng nhận này, hãy truy cập trang
web www.accessdata.com/acepreparation.html.
Các Tổ Chức Đào tạo và Hệ Thống Chứng Khác - Sau đây là danh sách
của các tổ chức đào tạo và chứng nhận trong lĩnh vực điều tra máy tính :
• Hiệp Hội Điều Tra Tội Phạm Công Nghệ Cao (HTCIA), www.htcia.org
• SysAdmin, Audit, Network, Security (SANS), www.sans.org
• Tổ Chức Các Nhà Điều Tra Công Nghệ Máy Tính Mạng (CTIN),
www.ctin.org.
• New Technologies, Inc (NTI), www.forensics-intl.com
• Southeast Cybercrime Institute at Kennesaw State University,
www.certifiedcomputerexaminer.com
• Federal Law Enforcement Training Center (FLETC), www.fletc.gov
97
• National White Collar Crime Center (NW3C), www.nw3c.org
Xác Định Các Yêu Cầu Vật Lý Cho Một Computer

Forensic Lab
Sau khi tham gia các chương trình đào tạo để trở thành một chuyên gia điều
tra máy tính bạn sẽ thực hiện hầu hết các công tác điều tra trong phòng thí
nghiệm của mình. Vì vậy, phần tiếp theo chúng ta sẽ xem xét các yêu cầu
vật lý để xây dựng một phòng thí nghiệm sao cho bảo đảm an toàn, hoạt
động hiệu quả và các tính năng khác.
Xác Định Nhu Cầu An Ninh Cho Hệ Thống Lab

Tất cả các máy tính trong phòng thí nghiệm cần được đặt trong một phòng
kín và an toàn. Bạn không nên sử dụng một căn phòng công cộng hay có
tính chất mở vì dễ bị lộ và thất thoát chứng cứ. Cần có hệ thống khóa an
ninh để bảo đảm sự nguyên vẹn cho các chứng cứ số và những thiết bị lưu
trữ. Đặc biệt, phòng thí nghiệm của bạn cần bảo đảm an toàn trong quá trình
phân tích dữ liệu ngay cả khi tiến trình này mất đến vài tuần hoặc hơn.
Sau đây là các yêu cầu tối thiểu cho một phòng thí nghiệm điều tra máy tính
:
• Phòng có kích thước vừa đủ với các bức tường chắc chắn từ nền đến trần.
• Hệ thống cửa vào có khóa để hạn chế người dùng có thẩm quyền.
• Có các thùng chưa an toàn ví dụ tủ sắt chống cháy hay các thiết bị chưa
tương tự dùng để lưu trữ ổ đĩa chứng cứ gốc.
• Lưu nhật kí tất cả khách truy cập.
Các Yêu Cầu Dành Cho Quá Trình Điều Tra Nguy Cơ Cao
Điều tra có nguy cơ cao là tiến trình điều tra những nghi phạm liên quan đến
an ninh quốc gia hoặc giết người, đòi hỏi yêu cầu bảo mật hơn so với phòng
thí nghiệm dành cho việc điều tra thông thường. Khi công nghệ thông tin
ngày càng phát triển với tốc độ chóng mặt và để lại nhiều lỗ hổng trong kỹ
98
thuật lẫn kiến thức người dùng, điều này tạo điều kiện cho các cuộc tấn công
máy tính trở nên dễ dàng hơn, và việc bảo vệ an toàn cho chứng cứ cũng khó
khăn hơn. Vì vậy, những thông tin điều tra tội phạm nguy cơ cao cần được
quan tâm đặc biệt để tránh bị đánh cắp thông qua truyền thông như nghe lén,
đánh chặn hay cài virus, trojan vào máy tính để lấy trộm thông tin.
Sử Dụng Hộp Đựng Bằng Chứng

Các hộp đựng chứng cứ hay bằng chứng còn được gọi là tủ khóa bằng
chứng, phải được bảo đảm an toàn để ngăn ngừa sự truy cập trái phép. Bạn
phải sử dụng ổ khóa chất lượng cao, chẳng hạn như khóa móc, khóa số hay
các thiết bị lưu trữ đặc biệt có khả năng chống cháy, chống trộm hay những
tác động do tĩnh điện. Ngoài ra, thường xuyên kiểm tra các hộp lưu trữ
chứng cứ để bảo đảm rằng không có sự mất mát hay hư hại nào.
Sau đây là những khuyến nghị để đảm bảo vệ hộp lưu trữ chứng cứ :
• Các hộp chứa hay tủ đựng bằng chứng nên được đặt trong một khu vực
giới hạn và chỉ người có thẩm quyền mới đước phép truy cập, như những
nhân viên của phòng thí nghiệm.
• Số người được ủy quyền để mở các thùng chứa bằng chứng nên được giữ ở
tối thiểu.
• Tất cả các hộp lưu trữ bằng chứng luôn được khóa ngay cả khi chúng được
giám sát hay bảo vệ trực tiếp bởi nhân viên có thẩm quyền.
Nếu một hệ thống kết hợp khóa (ví dụ như khóa bằng mật mã) được sử dụng
cho thùng chứa bằng chứng của bạn, hãy tiến hành kết hợp theo các hướng
dẫn sau :
• Lưu trữ các kết hợp khóa và mật mã trong một nơi đều an toàn.
• Hủy bất kỳ sự kết hợp nào trước đó sau khi thiết lập một sự kết hợp mới.
• Cho phép chỉ những người có thẩm quyền để thay đổi kết hợp khóa.
• Thay đổi sự kết hợp mỗi sáu tháng, hay khi bất kỳ người có thẩm quyền rời
khỏi tổ chức, và ngay lập tức sau khi phát hiện một hộp lưu trữ không có bảo
đảm, điều này cũng giống như chúng ta phải thay đổi mật khẩu cho hệ thống
máy chủ khi phát hiện có sự xung đột.
Nếu bạn đang sử dụng một ổ khóa khóa, hãy làm theo khuyến nghị sau :
99
• Bổ nhiệm người chịu trách nhiệm phân phối các khóa.
• Duy trì một danh sách đăng ký chính những người được uỷ quyền.
• Thực hiện kiểm toán hàng tháng để đảm bảo rằng không có người nào
đánh mất khóa.
• Lưu trữ các khóa không sử dụng trong kho
• Bảo vệ khóa an toàn.
• Duy trì cùng một mức độ an ninh cho các khóa và các hộp lưu trữ chứng
cứ.
• Thay đổi ổ khóa và chìa khóa định kì, nếu một chìa khóa bị thất lạc hay bị
đánh cắp.
• Không sử dụng một khóa chủ cho tất cả các ổ khóa số. Giống như các
khuyến nghị không nên dùng một mẫu khẩu cho tất cả các dịch vụ vậy
Bảo Trì Cơ Sở Hạ Tầng

Phòng thí nghiệm cần được bảo trì thích hợp để bảo đảm an toàn và sức
khỏe cho các nhân viên. Bất kỳ thiệt hại nào như sàn nhà bị hư, tường bị
thấm, trần nhà bị dột , hoặc đồ đạc hư hỏng cần được sửa chữa ngay lập
tức. Ngoài ra, nếu văn phòng của bạn có thuê các đơn vị bảo trì bên ngoài
như chăm sóc máy tính định kì thì cũng nên có sự giám sát khi họ làm việc.
Ngoài ra, tĩnh điện là một vấn đề lớn đối với thông tin số hóa và các thiết bị
vi tính, hãy xem xét đặt miếng đệm chống tĩnh điện xung quanh các thiết bị
nhạy cảm hay giữa các máy phát tĩnh điện và máy trạm. Và văn phòng phải
được làm sạch ít nhất một lần một tuần để giúp giảm thiểu bụi có
thể gây ra tĩnh điện.
Duy trì hai thùng rác riêng biệt, một lưu trữ thiết bị hay vật dụng không
liên quan đến điều tra, chẳng hạn như loại bỏ đĩa CD hoặc băng từ, và cái
còn lại dùng cho cho các tài liệu nhạy cảm đòi hỏi phải xử lý đặc
biệt để đảm bảo nó bị phá hủy, ví dụ các giấy tờ quan trọng cần có máy hủy
giấy. Nên sử dụng thùng rác riêng biệt duy trì sự toàn vẹn của các thông tin
trong quá trình điều tra tội phạm cũng như bảo vệ bí mật thương mại.
Xem Xét Các Nhu Cầu An Ninh Vật Lý
100
Trong thiết kế và xây dựng văn phòng hay phòng thí nghiệm cần bảo đảm sự
an toàn với các hệ thống giám sát, ngoài ra cần phải tăng cường an ninh
bằng cách thiết lập các chính sách bảo mật. Mức độ bảo mật vật lý tùy thuộc
vào tính chất phòng thí nghiệm của bạn hay mức độ công việc sẽ tiến hành,
đối với những vụ án lớn sẽ cần mức độ bảo mật cao hơn so với các vụ án
khác. Vấn đề bảo mật vật lý còn bao gồm việc phòng ngừa thảm họa, thiên
tai, động đất hay những tác động của môi trường. Vì vậy, trong vai trò quản
lý của phòng thí nghiệm điều tra máy tính các bạn cần dự đoán các mối nguy
hiểm mà phòng thí nghiệm có khả năng gặp phải để để ra những giải pháp
phòng ngừa thích hợp, tối thiểu những thiệt hại do các tác động tiêu cực gây
ra.
Kiểm Tra Các Máy Tính Trong Phòng Thí Nghiệm

Bên cạnh vấn đề an ninh vật lý các bạn cần quan tâm đặc biệt đến hệ thống
máy tính, đây là những công cụ làm việc chính của điều tra viên. Hãy tiến
hành các thao tác kiểm tra theo những khuyến nghị sau đây :
• Kiểm tra trần, sàn, mái nhà, và các bức tường bên ngoài của phòng thí
nghiệm ít nhất mỗi tháng một lần, tìm kiếm bất cứ điều gì bất thường hay
không.
• Kiểm tra cửa ra vào để đảm bảo rằng đã được đóng và khóa cẩn thận.
• Kiểm tra ổ khóa để xem liệu chúng có cần được thay thế hoặc thay đổi loại
khác đáp ứng tốt hơn nhu cầu an ninh của phòng thí nghiệm.
• Đánh giá khách truy cập để xem liệu họ đang sử dụng đúng cách.
• Vào cuối mỗi ngày làm việc, kiểm tra xem nếu có các bằng chứng chưa
được xử lý trên một máy trạm thì cất vào hộp lưu trữ cẩn thận.
Xác Định Kế Hoạch Hạ Tầng Cho Phòng Thí Nghiệm

Việc xây dựng cơ sở hạ tầng cho phòng thí nghiệm phụ thuộc vào tính chất
công việc mà các bạn phải xử lý và trên hết là ngân sách của bạn. Khi có
nhiều vụ án cần xử lý hàng tháng thì số lượng nhân viên sẽ tăng lên, điều đó
kéo theo số lượng máy trạm, không gian làm việc cũng phải đủ rộng để đảm
bảo sự tiện lợi trong công việc, và tính riêng tư cho dữ liệu chứng cứ của
mỗi điều tra viên. Để thực hiện điều này cần có sự tư vấn, hỗ trợ của những
kiến trúc sư hay các chuyên gia thiết kế nội thất.
101
Một cấu hình lý tưởng cho mỗi trạm làm việc là có một máy không kết nối
internet để xử lý chứng cứ, và một máy có kết nối để phục vụ nhu cầu trao
đổi thông tin, liên lạc hay nghiên cứu của người dùng. Trong điều kiện kinh
phí chưa cho phép thì có thể sử dụng các máy tính dùng chung để truy cập
internet, hạn chế tối đa việc kết nối internet trực tiếp trên các hệ thống máy
tính xử lý chứng cứ để loại bỏ nguy cơ mất mát dữ liệu do hacker, virus.
Đối với một phòng thí nghiệm nhỏ như phòng làm việc tại nhà bao gồm một
hoặc hai máy trạm xử lý chứng cứ, một máy tính dùng cho việc nghiên cứu
với kết nối Internet, một bàn làm việc (nếu không gian cho phép), và tủ lưu
trữ, như trong Hình 3-2.
Hình 3-2 : Mô Hình phòng thí nghiệm nhỏ
Đối với các phòng thí nghiệm cỡ trung trong một doanh nghiệp tư nhân,
sẽ có nhiều máy trạm. Vì lý do an toàn, phòng thí nghiệm nên có ít nhất hai
lối thoát hiểm, như thể hiện trong Hình 3-3. Nếu có thể, cần có buồng vệ
sinh và văn phòng làm việc tách biệt với các bộ phận khác với những sắp đặt
thích hợp.
102
Hình 3-3 : Phòng thí nghiệm cỡ trung.
Đối với cơ quan thực thi luật pháp của nhà nước hay các tổ chức lớn như
FBI sẽ sử dụng các phòng thí nghiệm quy mô lớn với hệ thống máy chủ
mạnh mẽ có khả năng xử lý khối lượng công việc lớn như trong Hình 3-
4, các phòng thí nghiệm có một căn phòng lưu trữ bằng chứng riêng biệt như
trong phòng điều tra của cảnh sát. Căn phòng này có thể sử dụng phương
pháp kiểm soát dựa trên công nghệ cao như nhận dạng vân tay, giọng nói
hoặc ủy nhiệm cho các thành viên quản lý và kiểm soát sự truy cập vào và ra
một cách kỹ lưỡng.
Như đã trình bày, phòng lưu trữ chứng cứ hay bằng chứng cần phải được
bảo đảm an toàn. Các phòng thí nghiệm cỡ lớn nên có ít nhất hai lối thoát
hiểm được kiểm soát và không có cửa sổ. Văn phòng riêng biệt, có đầy đủ
các tiện nghi cá nhân cho điều tar viên hư buồng vệ sinh, chỗ nghi tạm
thời.Hãy nhớ rằng các máy trạm kết nối với một mạng LAN cần tách biệt,
và chỉ một vài máy được kết nối với bên ngoài WAN hoặc mạng MAN.
103
Hình 3-4 : Mô Hình phòng thí nghiệm cỡ lớn dành cho cơ quan hành pháp.
Lựa Chọn Máy Trạm Cơ Bản Cho Phòng Thí

Việc lựa chọn máy tính sử dụng cho việc truy tìm chứng cứ phụ thuộc vào
ngân sách của bạn và nhu cầu cụ thể. Việc kết hợp nhiều máy trạm có cấu
hình mạnh mẽ có thể xử lý tốt các nhu cầu điều tra. Tuy nhiên, khi bạn bắt
đầu xử lý một tình huống hay vụ án thì ta thường sử dụng một máy tính
trong suốt quá trình công tác, vì vậy hãy chọn những máy tính có cấu hình
thấp hay vừa phải của phòng thí nghiệm (điều này mang tính chất tương đối,
vì nó phụ thuộc vào cấu hình trong phòng thí nghiệm) để xử lý những công
việc bình thường, như phục hồi dữ liệu trên các ổ cứng dung lượng thấp.
Trong trường hợp phải xử lý khối lượng công việc lớn trên các ổ cứng có
dung lượng cao nên dùng các máy tính mạnh mẽ nhất, có cấu hình CPU và
RAM mạnh mẽ, đa nhiệm để tiết kiệm thời gian.
Lựa Chọn Máy Trạm Xử Lý Chứng Cứ Cho Cục Cảnh Sát

Cục cảnh sát ở nhiều thành phố có thể có những nhu cầu đa dạng cho các
104
cuộc điều tra máy tính bởi vì họ phải phục vụ công tác truy tìm chứng cứ
trong một cộng đồng lớn, điều này đòi hỏi hệ thống máy tính cần có cấu
hình tốt nhất, nhưng cũng bảo đảm tính đa dạng vì không phải cư dân nào
cũng có máy tính với công nghệ mới, đôi khi họ dùng các hệ điều hành cũ
chạy trên nền tảng phần cứng lỗi thời và nhiều người sử dụng các hệ điều
hành Linux thay cho Windows, hoặc sử dụng các máy tính MAC cho nhu
cầu thiết kế... Do đó, đối với các cục cảnh sát có quy mô nhỏ nên sử một
hoặc hai máy trạm cơ bản.
Còn các văn phòng tại những thành phố lớn cần có những hệ thống máy tính
với những đặc trưng riêng cần có sự tư vấn hay tham khảo từ cộng đồng
internet. Các máy tính phục vụ công việc tại đây nên sử dụng các máy chủ
có cấu hình mạnh của những nhà cung cấp uy tín như IBM, HP, DELL ...
với đầy đủ tính năng dành cho một máy chủ chuyên dùng như khả năng tự
sao lưu, phục hồi, hệ thống mãng đĩa với các cơ chế hot-swap (tháo lắp
nóng).
Lựa Chọn Máy Trạm Cho Các Phòng Thí Nghiệm Tư Nhân
Và Doanh Nghiệp
Đối với khu vực tư nhân, chẳng hạn như một doanh nghiệp tiến hành điều
tra nội bộ hoặc một doanh nghiệp thương mại cung cấp dịch vụ điều tra máy
tính cho các bên tư nhân, nguồn tài nguyên thiết bị nói chung là dễ dàng xác
định hơn.
Đối với các doanh nghiệp thương mại cung cấp dịch vụ điều tra máy tính,
hay chỉ đơn giãn là cứu dữ liệu có thể chuyên trách một hoặc hai nền tảng,
chẳng hạn như một máy tính Intel chạy một hệ điều hành Microsoft. Họ
cũng có thể sử dụng một loạt các công cụ để đáp ứng một thị trường rộng
lớn hơn, và điều này phụ thuộc vào chuyên môn của họ. Và có thể chỉ cần
một máy trạm xử lý, điều tra chứng cứ là đủ.
Trong trường hợp công ty tư nhân muốn tiến hành điều tra máy tính nội bộ
có thể xác định loại của các máy trạm dựa trên các loại máy tính mà họ sử
dụng. Nếu một doanh nghiệp chỉ sử dụng máy tính Windows, các nhà điều
tra nội bộ không cần các thiết bị cho Linux hay MAC. Còn nếu như công ty
sử dụng nhiều loại máy tính, thì cần có nhiều hệ thống để đáp ứng các nhu
cầu khác nhau. Tuy nhiên, với sự phát triển mạnh mẽ của công nghệ ảo hóa
105
thì việc một cấu Hình phần cứng chung cho nhiều nền tảng khác nhau sẽ tiết
kiệm chi phí hay tài nguyên cho doanh nghiệ, đây cũng là một giải pháp cho
các nhu cầu điều tra ở khối tư nhân hay doanh nghiệp.
Với một số chương trình máy tính pháp lý, bạn có thể làm việc từ một máy
tính Windows và kiểm tra cả hai ổ đĩa Windows và Macintosh.
Yêu Cầu Đối Với Thiết Bị Ngoại Vi Phần Cứng

Ngoài ra cho các máy trạm và phần mềm, tất cả các phòng thí nghiệm nên có
các khe cắm thẻ mở rộng và phụ tùng dự phòng cho trường hợp hỏng hóc.
Sau đây là danh sách các thiết bị mà các bạn nên có cho phòng thí nghiệm
điều tra máy tính của mình :
• Loại cáp nối IDE 40-pin 18-inch và 36-inch, và ATA-33 hay ATA-100.
• Card mở rộng SCSI.
• Card đồ họa bao gồm hai loại Peripheral Component Interconnect (PCI) và
card tăng tốc Accelerated Graphics Port (AGP)
• Nguồn điện mở rộng.
• Một loạt các ổ đĩa cứng, phụ thuộc vào nhu cầu và khả năng của bạn.
• Dụng cụ cầm tay máy tính, chẳng hạn như tua vít và đèn pin nhỏ ...
Duy Trì Hệ Điều Hành Và Kho Phần Mềm

Hệ điều hành là thành phần thiết yếu của bất kì phòng thí nghiệm nào, vì vậy
các bạn nên duy trì những bản sao được cấp phép của hệ điều hành hay tập
tin sao lưu ảnh đĩa của các ứng dụng . Windows XP, Windows 7, Windows
Server 2003/2008 và cả DOS 6.22. Đối với dòng máy Mac nên có sẳn hệ
điều hành Mac OS X, 9.x. Còn hệ thống Linux OS có thể dự phòng các đĩa
cài đặt Fedora, Ubuntu, Slackware, và Debian.
Đối với các phần mềm dự trữ chúng ta nên có :
• Microsoft Office (bao gồm cả các phiên bản hiện tại và cũ)
• Quicken (nếu bạn xử lý nhiều điều tra tài chính)
• Trình biên dịch chẳng hạn như Visual Basic và Visual C + +
• Chương trình xem ảnh QuickView, ACDSee, ThumbsPlus, và IrfanView
106
• Bộ công cụ Corel Office Suite
• StarOffice / OpenOffice
• Ứng dụng kế toán ...
Có Kế Hoạch Phục Hồi Thảm Họa

Bên cạnh việc lập kế hoạch cho các nhu cầu thiết bị, bạn cần phải lập kế
hoạch cho các thảm họa, chẳng hạn như tai nạn đĩa cứng, sét đánh, và mất
điện. Một kế hoạch khôi phục thảm họa đảm bảo rằng bạn có thể khôi phục
dữ liệu của các máy trạm hay máy chủ lưu trữ dữ liệu, tập tin để hệ thống có
thể trở về trạng thái hoạt động ổn định một cách nhanh nhất khi có tai nạn
xảy ra.
Một kế hoạch khôi phục thảm họa chi tiết cần hướng dẫn cách khắc phục khi
bị hư hỏng dữ liệu trên ổ đĩa đang phân tích do virus. Bên cạnh đó, nên ứng
dụng những chương trình như Norton Ghost hay Acronis True Image để sao
lưu toàn bộ ổ đĩa và lưu trữ chúng an toàn, phòng chống sự ghi đe hay phá
hoại của hacker, virus. Các bản sao lưu hệ nên được cất giữ an toàn nhưng
cũng dễ dàng truy cập khi có sự cố xả ra. Bạn cần phải có ít nhất một bản
sao của bản sao lưu đặt tại một ví trí khác, có thể trên hệ thống lưu trữ đám
mây hay tại một nơi lưu trữ dự phòng. Kế hoạch sao lưu nên được thực hiện
theo đúng quy trình đặt re dựa trên nhu cầu của bạn, chẳng hạn như mỗi
ngày, mỗi tuần, hoặc hàng tháng.
Lập Kế Hoạch Cho Nâng Cấp Thiết Bị

Quản lý rủi ro còn bao gồm cả việc thay thế thiết bị. Cần theo dõi tình trạng
thiết bị của phòng thí nghiệm như phần cứng máy tính, hệ thống điện dự
phòng, máy lạnh ... để có thể thay thế trước khi chúng hỏng hóc gây ảnh
hưởng đến tiến trình công tác. Ví dụ, cần xem xét tập tin nhật kí để thay mới
hay thêm mới ổ cứng khi chúng gần bị đầy do phải xử lý hay lưu trữ nhiều
thông tin, cần nâng cấp RAM để gia tăng hiệu suất hoạt động. Tất cả những
điều này cần được lập kế hoạch chi tiết nhằm bảo đảm quá trình hoạt động
không bị gián đoạn bở các mối đe dọa thông thường.
107
Sử Dụng Máy Tính Xách Tay Làm Máy Trạm Điều Tra
Chứng Cứ
Sự phát triển của công nghệ đem đến cho chúng ta nhiều lựa chọn trong vấn
đề điều tra chứng cứ. Ngày nay các bạn có thể sử dụng máy tính xách tay có
cấu Hình mạnh mẽ để phục vụ công tác điều tra chứng cứ, với cấu hình phần
cứng còn cao hơn cả những máy chủ trước đây như dung lượng bộ nhớ
RAM lên đế 6 GB hay 8 GB, ổ cứng có dung lượng cả ngàn GB và CPU đa
nhiệm lên đến 8 nhân thì các điều tra viên hoàn toàn có khả năng sử dụng
máy tính xác tay để thực hiện công việc của mình. Lợi ích của thiết bị di
động này là quá rõ ràng, giúp cho điều tra viên có thể thực hiện công việc
mọi lúc, mọi nơi nhưng cũng để lại những rũi ro như bị nất mát dữ liệu hay
thậm chi bị đánh cắp cả máy tính khi di chuyển, vì vậy cần có chế độ bảo vệ
cẩn thận khi sử dụng máy tính xách tay trong công tác quan trọng này.
Xây Dựng Một Kế Hoạch Kinh Doanh Cho

Computer Forensic Lab
Trong vai trò của một nhân viên chuyên phát triển các dự án tiềm năng,
chúng ta có thể xây dựng một kế hoạch kinh doanh dựa trên việc phát triển
phòng thí nghiệm điều tra máy tính hay cấp cứu dữ liệu. Hoặc các bạn là
một điều tra viên cần công ty hay tổ chức trang bị một phòng thí nghiệm để
phục vụ công việc. Để làm điều này rõ ràng ta cần có sự hỗ trợ từ cấp quản
lý, và muốn đạt được sự chấp nhận của cấp trên cũng như sự đồng thuận từ
đa số người dùng chúng ta cần có một bản phác thảo về dự án bao gồm thị
trường tiềm năng, nhu cầu của xã hội, chi phí và thời gian thực hiện, kết quả
sẽ đạt được hay nói cách khác là thời gian hoàn vốn và lợi nhuận thu được.
Hãy trình bày các chi tiết này bằng những ứng dụng quản lý dự án như
Microsoft Project sau đó thuyết trình trước hội đồng quản trị hay ban quản lý
để yêu cầu sự phê duyệt, chấp thuận.
Lập Kế Hoạch Kinh Doanh Cho Phòng Thí Nghiệm Điều

Tra Máy Tính
Để chuẩn bị cho một công việc kinh doanh từ việc điều tra chứng cứ hay
108
phục hồi thảm họa, cấp cứu dữ liệu chúng ta phải lập kế hoạch chi tiết cho
vấn đề nguồn vốn, kinh phí vận hành và cả chi phí dành cho đào. Tuy nhiên,
phạm trù này không thuộc giáo trình của chúng ta nên chỉ được giới thiệu
như là một tình huống tham khảo. Để có thể tìm hiểu sâu hơn về cách thức
lập kế hoạch kinh doanh và vận hành doanh nghiệp chúng ta nên xem thêm
ở các tài liệu chuyên ngành kinh tế và quản trị. Còn trong nội dung của giao
trình, các bạn chỉ cần quan tâm đến việc xây dựng kế hoạch vận hành và
quản lý phòng thí nghiệm theo các hướng dẫn đã trình bày ở các phần trước.
109
■ Một phòng thí nghiệm cho việc điều tra máy tính hay truy tìm chứng cứ số
là nơi bạn tiến hành điều tra bằng chứng, lưu trữ, và làm hầu hết công việc
của bạn.
■ Để hành nghề trong lĩnh vực điều tra máy tính ta cần nâng cấp kỹ năng
của bạn thông qua đào tạo. Thi lấy những chứng chỉ chuyên ngành về điều
tra máy tính do các tổ chức uy tín xây dựng.
■ Phòng thí nghiệm cần phải bảo đảm được an toàn cho chứng cứ. Trong
mọi trường hợp.
■ Cơ quan cảnh sát ở thành phố lớn cần trang bị nhiều hệ thống máy tính
khác nhau để đáp ứng nhu cầu điều tra đa dạng.
■ Một máy trạm điều tra chứng cứ cần phải có đầy đủ bộ nhớ, lưu trữ, và các
thiết bị hỗ trợ như bộ mở rộng cổng USB, đầu cắm thẻ nhớ để có thể xử lý
hầu hết các tình huống lưu trữ và chuyển đổi thông tin.
■ Trước khi xây dựng phòng thí nghiệm điều tra máy tính ta cần nhận được
sự chấp thuận và hỗ trợ từ ban quản lý và các thành viên bằng cách xây dựng
bản thuyết trình chi tiết, đầy đủ và thuyết phục.
110
111
CHƯƠNG 4
THU THẬP DỮ LIỆU
Sau Khi Hoàn Tất Chương Này Các Bạn Có Thể:

• Lập danh các chứng cứ kỹ thuật số được lưu trữ theo định dạng của chúng
• Xác định phương pháp thu thập dữ liệu tốt nhất
• Mô tả kế hoạch dự phòng để thu thập dữ liệu
• Sử dụng công cụ
• Mô tả cách thức xác nhận dữ liệu được thu thập
• Mô tả các phương pháp thu thập dữ liệu RAID
• Giải thích cách dùng các công cụ thu thập dữ liệu từ xa
• Liệt kê các công cụ khả dụng khác cho quá trình thu thập dữ liệu.
112
Thu thập dữ liệu là quá trình sao chép dữ liệu. Đối với điều tra bằng chứng
trên máy tính đó là nhiệm vụ thu thập chứng cứ kỹ thuật số từ các phương
tiện lưu trữ thông tin. Có hai loại thu thập dữ liệu : là thu thập tĩnh và thu
thập động. Trong chương này, ta sẽ tìm hiểu phương pháp thu thập tĩnh các
dữ liệu chứng cứ số.
Tương lai của việc thu thập dữ liệu sẽ hướng tới việc thu thập động do các
hệ điều hành mới thường áp dụng cơ chế mã hóa đĩa cứng, ngoài ra việc thu
thập dữ liệu từ bộ nhớ RAM trên máy tính của nghi phạm đang ngày càng
trở nên quan trọng trong công tác điều tra kỹ thuật số. Các kỹ thuật thu thập
dữ liệu trực tiếp và các dữ liệu trong bộ nhớ RAM sẽ được đề cập trong
Chương 11.
Các Định Dạng Lưu Trữ Của Bằng Chứng Kỹ Thuật

Số
Chương 2 giới thiệu quá trình thu thập dữ liệu từ một ổ đĩa USB và lưu trữ
nó trong một tập tin . Công cụ thu thập mà ta đã sử dụng
là ProDiscover Basic thực hiện sao chép theo cơ chế để tạo bản sao của ổ
đĩa USB và lưu nó vào một tập tin ảnh, đây là bản sao chính xác của các
thiết bị nguồn (ổ đĩa USB ).
Các dữ liệu thu thập được lưu lại theo một trong ba loại định dạng. Trong
đó có hai loại định dạng mã nguồn mở và loại thứ thứ ba là sở hữu độc
quyền. Sau đây là phần trình bày tóm tắt của từng định dạng sẽ giúp các bạn
chọn loại nào thích hợp cho công tác của mình.
Định Dạng Thô (Raw Format)

Trước đây chỉ có một cách sao chép dữ liệu để mục đích bảo quản bằng
chứng và kiểm tra. Người dùng sẽ tiến hành sao chép bit-by-bit từ một đĩa
vào đĩa khác có cùng kích thước hoặc lớn hơn. Bên cạnh đó các hệ điều
hành như Linux / UNIX cung cấp các tiện ích dòng lệnh như dd có thể ghi
dữ liệu vào tập tin theo cơ chế bit-stream, với phương pháp này sẽ tạp ra
một bản sao là các tập tin có cấu trúc đơn giãn gồm các thông tin tuần tự
được gọi là định dạng thô. Định dạng này có ưu điểm, nhược điểm riêng cần
xem xét khi lựa chọn một phương án thu thập dữ liệu.
113
Lợi thế của định dạng thô là tốc độ chuyển dữ liệu nhanh và có thể bỏ dữ
liệu lỗi trên ổ đĩa nguồn. Ngoài ra, hầu hết các công cụ điều tra máy tính có
thể đọc các định dạng thô, khiến nó trở thành một định dạng phổ biến trong
hầu hết các ứng dụng thu thập dữ liệu.
Tuy nhiên, điểm bất lợi của định dạng thô là nó đòi hỏi không gian lưu trữ
như đĩa gốc hoặc có kích thước lớn hơn đĩa gốc. Những công cụ thương mại
có chức năng thu thập dữ liệu theo định dạng thô với chức năng kiểm tra
toàn vẹn dữ liệu bằng các thuật toán như Cyclic Redundancy Check (CRC-
32), Message Digest 5 (MD5), và hàm băm Secure Hash Algorithm (SHA-1
hoặc mới hơn)
Định Dạng Độc Quyền

Hầu hết các công cụ điều tra dữ liệu máy tính sử dụng định dạng riêng của
chúng để thu thập bằng chứng kỹ thuật số. Định dạng độc quyền cung cấp
một số tính năng bổ sung cho công cụ phân tích, chẳng hạn như sau:
• Có tùy chọn cho phép nén hay không nén các tập tin Hình ảnh của một ổ
đĩa khả nghi giúp do đó tiết kiệm không gian trên ổ đĩa mục tiêu
• Khả năng chia nhỏ một Hình ảnh thành các tập tin phân đoạn nhỏ hơn để
dễ dàng lưu trữ trên đĩa CD hoặc DVD, với khả năng kiểm tra tính toàn vẹn
dữ liệu trên từng phân đoạn.
• Co khả năng tích hợp các siêu dữ liệu vào tập tin Hình ảnh, chẳng hạn như
thông tin ngày và thời gian tiến hành thu thập dữ liệu, giá trị băm (được tạo
ra bởi các thuật toán băm dùng để xác thực) của đĩa gốc hoặc phương tiện
lưu trữ.
Định Dạng Nâng Cao

Tiến sĩ Simson L. Garfinkel của Basis Technology Corporation đã phát triển
một định dạng mã nguồn mở mới áp dụng cho việc thu thập thông tin là
Advanced Forensic Format (AFF) hay còn gọi là định dạng nâng
cao. Định dạng này có những mục tiêu sau :
• Tạo tập tin Hình ảnh nén hoặc không nén
114
• Không có hạn chế về kích thước khi tạo ra tập tin ảnh cho đĩa nguồn.
• Cung cấp không gian lưu trữ siêu dữ liệu trong các tập tin Hình ảnh hoặc
các tập tin phân đoạn.
• Thiết kế đơn giản với khả năng mở rộng
• Mã nguồn mở và khả dụng trên nhiều nền tảng máy tính và hệ điều hành.
• Cung cấp cơ chế kiểm tra dữ liệu đồng nhất để xác thực.
Tập tin lưu trữ theo định dạng này có hai phâ, với phần rộng tập tin .afd
dùng cho các tập tin Hình ảnh phân đoạn và .afm cho tập tin lưu trữ siêu dữ
liệu. Bởi vì AFF là nguồn mở nên các công cụ điều tra máy tính của các nhà
cung cấp sẽ không gặp phải hạn chế nào khi áp dụng định dạng này. Để biết
thêm thông tin về AFF, xem tại www.afflib.org và
www.basistech.com/digital-forensics/aff.html.
Xác Định Phương Pháp Thu Thập Dữ Liệu Thích

Hợp Nhất
Như đã đề cập, thu thập dữ liệu được chia thành hai loại: thu thập tĩnh và thu
thập động (hay còn gọi là thu thập trực tiếp). Thông thường, một việc thu
thập tĩnh được thực hiện trên một máy tính bị bắt giữ trong cuộc đột kích
của cảnh sát. Nếu máy tính có một ổ đĩa được mã hóa, hay bị đặt mật khẩu
thì phương pháp thu thập động sẽ được áp dụng. Thu thập tĩnh là phương
pháp thông dụng và được yêu thích trong việc thu thập bằng chứng số. Tuy
nhiên, phương pháp này bị hạn chế trong một số tình huống, chẳng hạn như
ổ đĩa gốc bị mã hóa và chỉ có thể đọc khi được cung cấp nguồn điện hay các
máy tính khả nghi cần truy cập qua mạng.
Đối với cả hai trường hợp thì dữ liệu có thể được thu thập theo bốn phương
pháp khác nhau nhu sau : tạo một tập tin ảnh đĩa disk-to-image, tạo bản sao
chép disk-to-disk, tạo tập tin logic theo dạng disk-to-disk hay disk-to-data và
hình thức sau cùng là sparse copy tạo các bản sao của tập tin hay thư
mục. Xác định phương thức thu thập tốt nhất phụ thuộc vào công tác điều tra
mà bạn đang tiến hành. Tuy nhiên, hình thức thông dụng nhất là tạo một bản
sao chép disk-to-image, với phương pháp này ta có thể tạo một hay nhiều
bản sao của ổ đĩa khả nghi với chất lượng tốt nhất. Và bản sao này có thể
115
đọc bằng nhiều công cụ điều tra chứng cứ số khác nhau như ProDiscover,
EnCase, FTK, SMART, Kit Sleuth, X-Ways Forensics, và iLook, để đọc các
loại phổ biến nhất của đĩa tập tin Hình ảnh bạn tạo ra.
Trong một số trường hợp ta không thể tạo được các ảnh đĩa theo dạng disk-
to-image do các ổ đĩa gốc quá cũ hay thiếu các trình điều khiển cần thiết.
Khi đó các bạn phải tạo các bản sao theo dạng disk-to-disk. Một số công cụ
tạo ảnh đĩa hay dữ liệu có thể sao chép dữ liệu một cách chính xác từ một ổ
đĩa cũ sang ổ đĩa mới. Các công cụ thực hiện điều này như EnCase và
SafeBack (www.forensics-intl.com/safeback.html).
Thu thập chứng cứ từ một ổ đĩa lớn có thể mất vài giờ. Nếu thời gian của
bạn là có hạn, hãy tính đến các tình huống tạo bản sao theo hình thức ánh xạ
logic hay phương pháp sao chép dữ liệu sparse copy. Hình thức sao chép
logic chỉ copy những tập tin mà chúng ta xác định, còn trường hợp spare
copy sẽ sao chép cả những phần chia chưa cấp phát và tập tin bị xóa mà
không cần phải làm việc với toànn bộ hệ thống đĩa.
Để xác định phương pháp thích hợp chúng ta cần xem xét kích thước của ổ
đĩa nguồn (ổ đĩa khả nghi có thể chứa các chứng cứ). Và những ổ đĩa này có
thể thu giữ lâu dài để điều tra hay chỉ là thu giữ tạm thời, cùng với thời gian
cho phép của cuộc khảo sát là những điểm mấu chốt để chúng ta quyết định
phương pháp thu thập dữ liệu đĩa đúng đắn nhất.
Kế Hoạch Dự Phòng Cho Việc Thu Ảnh Đĩa Chứng

Cứ
Do các chứng cứ mà chúng ta xử lý là những dữ liệu điện tử nên khả năng bị
tác động bởi các yêu tố bên ngoài rất cao, vì vậy bạn cần phải có biện pháp
phòng ngừa để bảo vệ bằng chứng kỹ thuật số của bạn. Ngoài ra, chúng ta
cũng nên lập kế hoạch dự phòng trong trường hợp phần mềm hoặc phần
cứng bị hỏng hóc hay tiến trình thu thập thông tin bị thất. Phương pháp phổ
biến và cũng tốn khá nhiều thời gian đó là tạo một bản sao kép cho các ảnh
đĩa chứng cứ.
116
Nhiều nhà điều tra máy tính bỏ qua bước tạo bản sao kép vì không đủ thiết
bị lưu trữ và cả thời gian, hoặc họ không có một kế hoăch dự phòng
đầy. Điều này sẽ gây ra những tác hại lớn khi bản sao thứ nhất không hoạt
động hay dữ liệu bị hư hại do các yêu tố khách quan. Do đó, các bạn nên có
ít nhất một bản sao lưu cho hình ảnh của các ổ đĩa chứa dữ liệu chứng cứ
quan trọng.
Như vậy, hãy tạo ít nhất hai hình ảnh cho ổ đĩa chứng cứ mà bạn thu thật
được. Điều này được xem như là một tiêu chuẩn thực tế dành cho các điều
tra viên. Trong trường hợp bạn có nhiều công cụ dùng cho công việc này
như ProDiscover, FTK, hay X-Ways Forensic thì hãy tạo một bản sao với
công cụ này và bản sao thứ hai với các công cụ khác.
Sử Dụng Công Cụ Thu Thập Dữ Liệu

Nhiều công ty sản xuất phần mềm đã tạo ra các công cụ thu thập thông tin,
dữ liệu chạy trên hệ thống Windows, giúp cho việc tạo các bản sao chứng cứ
trở nên thuận tiện và dễ dàng hơn. Đặc biệt, các ứng dụng trên còn có khả
năng làm việc với các thiết hot-swap chẳng hạn như USB-2, FireWire 1394a
và 1394b, hay các ổ đĩa SATA.
Tuy nhiên, như đã trình bày việc sử dụng các công cụ trên nền Windows
cũng có một vài hạn chế, do hệ thống này có thể gây ra những thay đổi trên
dữ liệu gốc trong quá trình hoạt động. Cho nên chúng ta cần sử dụng các
thiết bị phần cứng có khả năng chống ghi đè, trong Chương 7 chúng ta sẽ
thảo luận chi tiết về các vấn đề này. Một hạn chế khác là hệ thống Windows
có thể không truy cập được một số khu vực bảo vệ (được trình bày trong
Chương 8), hay một số địa phương có những lệnh cấm việc sử dụng các thiết
bị lưu trữ chống ghi , về vấn đề này các bạn hãy tham khảo thêm về luật
pháp của mỗi vùng.
Bật Chức Năng Chống Ghi Cho USB Trên Hệ Điều Hành
Windows
Kể từ hệ điều hành Windows XP với Service Pack 2 (SP2) trở về sau,
Microsoft đã cập nhập một tính năng mới nhằm bảo vệ việc ghi đè dữ liệu
117
lên USB thông qua Registry. Tính năng này cũng có sẳn trên hệ điều hành
Windows Vista hay Windows 7 cũng như các phiên bản Windows Server
2008. Như vậy chúng ta chỉ cần kết nối các ổ đĩa USB trực tiếp hay qua hệ
thống cáp (như Hình 4-1) sau khi đã bật chứng năng chông ghi lên USB để
tạo các ảnh đĩa của chúng. Điều này sẽ giúp các bạn tiết kiệm chi phí mua
sắm các thiết bị chống ghi đè mắt tiền, nhưng cũng co 1nhu7o75c điểm là
chúng ta phải kết nối ổ đĩa đích qua một cổng khác như IDE hay SATA vì
không thể tiếp tục gắn qua USB, vì như vậy thì ta không thể nào ghi dữ liệu
lên ổ đĩa này được.
Hình 4-1 : Một thiết bị chuyển USB - IDE/SATA tiết kiệm chi phí
Để cập nhật Registry với chức năng mới này các bạn cần phải sao lưu
Registry đề phòng ngừa sự cố sau đó chỉnh sửa Registry để thêm tính năng
bảo vệ ghi.
Thu Thập Dữ Liệu Với Các Đĩa Live CD/DVD Linux

Trong quá trình thu thập dữ liệu tĩnh trên hệ thống Windows chứng cứ có
118
khả năng bị thay đổi do các tiến trình tự động gây ra khi khởi động hệ thống.
Còn trên hệ điều hành Linux thì việc tương tác như vậy sẽ không xảy ra, cho
nên chúng ta có thể không cần sử dụng các thiết bị chống ghi.
Hệ thống Linux không những giúp tiết kiệm chi phí bản quyền mà còn có
nhiều tính năng chuyên dùng cho việc điều tra máy tính. Đặc biệt, các bạn có
thể khởi động trực tiếp một hệ điều hành Linux với các đĩa CD hay DVD mà
không cần phải cài đặt, và trên các thiết bị phần cứng tiên tiến ngày nay
chúng ta còn có thể khởi động từ một ổ USB chứa hệ điều hành Linux rất
thuận tiện. Hệ thống Live DVD Linux phổ biên ngày nay có thể dùng để
điều tra chứng cứ và thực hiện những công việc penetration (một thao tác tự
kiểm tra lổ hỗng bảo mật) là Back Track với phiên bản mới nhất khi biên
soạn tài liệu này là BackTrack 5 R2.
Tạo Ảnh Đĩa Với ProDiscover Basic

Trong chương 2, bạn đã được hướng dẫn cách tạo Hình ảnh của một ổ đĩa
USB.với ProDiscover Basic. Công cụ này tự động hóa các chức năng thu
thập dữ liệu giúp cho công tác điều tra trở nên dễ dàng hơn so với việc thực
hiện trên hệ điều hành Linux. Trong bài tập trước chúng ta thực hiện quá
trình tạo ảnh cho thiết bị USB có kích thước nhỏ, nếu ở đĩa chứng cứ có
dung lượng lớn các bạn có thể chia nhỏ chúng thành các phân đoạn để có thể
lưu trữ dễ dàng trên các đĩa CD hay DVD. Sau đây chúng ta sẽ sử dụng chức
năng Split của ProDiscover Basic chia nhỏ dữ liệu gốc thành các phân đoạn
có kích thước 650 MB để có thể được lưu trữ vào đĩa CD.
Trước tiên, các bạn hãy thực hiện một số thao tác cần thiết sau đây :
1. Lập tài liệu chuỗi các chứng cứ mà chúng ta dự định thu thập.
2. Thào các ổ đĩa từ máy tính của nghi phạm.
3. Cấu hình các jummper nếu cần thiết, chỉ áp dụng cho ổ đĩa IDE (Lưu ý:
Bước này không áp dụng cho ổ đĩa SATA.)
4. Kết nối ổ đĩa bị nghi ngờ với các thiết bị USB hoặc FireWire đã bật chức
năng chống ghi.
5. Tạo một thư mục lưu trữ trên ổ đĩa mục tiêu. Ví dụ trong trường hợp này
là C:\ Work\Chap04\Chapter, còn trong tình huống thực tế có thể chỉ đơn
giãn là thư mục C:\Evidence.
119
Sau đó sử dụng định dạng độc quyền của ProDiscover cho tiến trình thu thập
dữ liệu, các bạn hãy thực hiện theo 11 bước sau đây :
1. Khởi động ProDiscover Basic.
2. Trong cửa sổ ProDiscover Basic, nhấp vào Action, và Capture Image từ

thanh menu.
3. Trong hộp thoại Capture Image hãy nhấp danh sách Source Drive, và
chọn PhysicalDrive1.
4. Nhấn vào nút >> trong ô văn bản Destination. Tại hộp thoại Save As hãy
xác định thư mục mà bạn đã thiết lập trong phần trước và đặt tên tập tin là
InChp041 trong ô File name, sau đó nhấn Save .
5. Nhấn vào nút Split. Trên hộp thoại Split Image như Hình 4-2 hãy nhập
vào giá trị 650 trong ô Split into equal sized image rồi nhấn Split , sau đó
nhấ OK .
120
Hình 4-2 : Hộp thoại Split Image
6. Trên hộp thoại Capture Image hãy chọn mũi tên trên danh sách Image
Format và nhấn ProDiscover Format .
7. Nhập vào tên của bạn trong ô Technician Name và trong ô Image
Number hãy nhập vào InChp04. Có thể bổ sung thêm chi tiết trong ô
Description như Hình 4-3.
121
Hình 4-3 : Hộp thoại Capture Image
8. Để tiết kiệm không gian cho đĩa lưu trữ có thể chọn Yes trong phần
Compression.
9. Nếu muốn bảo vệ cho các tập tin dữ liệu thu thập các bạn có thể đặt mật
khẩu bằng cách nhấn vào Password sau đó đặt mật khẩu và xác nhận thêm
một lần nữa rồi nhấn OK .
10. Khi quá trình nhập thông tin trong ô Capture Image hoàn tất hãy nhấn
OK để bắt đầu quá trình thu thập dữ liệu. ProDiscover sẽ tạo các phân đoạn
dữ liệu với kích thước 650 MB và lưu trong thư mục làm việc mà bạn đã chỉ
định. Các bạn có thể kiểm tra tình trạng hoạt động của chương trình trên
thanh trạng thái ở góc phải bên dưới của ứng dụng.
122
11. Khi quá trình thu thập dữ liệu và kết xuất thành các phân đoạn hoàn tất
ProDiscover sẽ hiển thị thông điệp nhắc nhỡ chúng ta kiểm tra tập tin nhật kí
xem có lỗi xảy ra hay không. Các bạn có thể nhấn OK để hoàn tất công việc
và thoát khỏi ProDiscover Basic.
Tạo Ảnh Đĩa Với AccessData FTK Imager

FTK Imager là chương trình thu thập dữ liệu chạy trên Windows có trong bộ
công cụ AccessData Forensic Toolkit. Khi sử dụng FTK Imager cần có các
thiết bị USB đi kèm để lưu trữ dữ liệu, ứng dụng này có thể dùng để đọc các
chứng cứ và tạo ảnh disk-to-image theo định dạng độc quyền.
FTK Imager có thể đọc các tập tin ảnh được tạp bởi AccessData, Expert
Witness (EnCase), hay SMART. S01,và các tập tin định dạng thô. Ngoài ra
FTK Imager còn đọc được dữ liệu trên các đĩa CD hay DVD, các bạn có thể
tham khảo giao diện chương trình qua Hình 4-4
Hình 4- 4 : Giao diện của FTK Image
123
Cũng như ProDiscovery, FTK Imager cho phép chia nhỏ tập tin ảnh để lưu
trữ trên các thiết bị có dung lượng thấp, và tạo các Hình ảnh theo cơ chế
disk-to-image.
Sau đây là các bước tạo một tập tin ảnh với FTK Imager trên ổ đĩa USB (do
công cụ này chạy trên hệ điều hành Windows nên các bạn cần đặt chế độ
chống ghi đè để bảo vệ dữ liệu gốc).
1.Khởi động máy trạm điều tra chứng cứ dùng hệ điều hành Windows
2. Gắn ổ đĩa bằng chứng vào máy..
3. Kết nối ổ đĩa mục tiêu vào máy. Lưu ý, nếu các bạn sử dụng thiết bị lưu
trữ chứng cứ gốc bằng USB có chế độ chống ghi thì ta có thể gắn ổ mục tiêu
qua kết nối USB trên cổng khác. Còn nếu sử dụng chế độ chống ghi bằng
Registry thì phải gắn ổ đĩa mục tiêu qua cáp IDA ha SATA..
4. Để khởi động FTK Imager, hãy nhấn Start, chọn All Programs, trỏ chuột
đến AccessData, sau đó chọn FTK Imager , tiếp theo nhấn chuột phải
vào FTK Imager và nhấp vào Run as administrator.
5. Trên cửa sổ chính của FTK Imager, hãy nhấp vào File, và Create Disk
Image từ thanh menu.
6. Trong hộp thoại Select Source, bấm vào nút tùy chọn Physical Drive
(xem Hình 4-5), và sau đó kích Next.
124
Hình 4-5 : Hộp thoại Select Source
7. Trong hộp thoại Select Drive, bấm vào mũi tên lựa chọn Drive Selection
và xác định ổ đĩa khả nghi (là ổ đĩa chứa chứng cứ) và sau đó nhấn Finish.
8. Trong hộp thoại Create Image, nhấn chọn Verify image sau khi chúng
được tạo và sau đó nhấn Add. Trong hộp thoại Select Image Type như
Hình 4-6 hãy nhấn vào nút Raw (dd) và sau đó kích Next.
Hình 4-5 : Hộp thoại Select Image Type
9. Trong hộp thoại Select Image Destination như Hình 4-6, nhấn
Browse, tìm đến vị trí tập tin Hình ảnh (thư mục làm việc của
bạn), và sau đó nhấp OK.
125
Hình 4-6 : Chọn nơi để lưu các phân đoạn của tập tin ảnh
10. Trong ô Image filename (excluding extension) hãy nhập vào InChp04-
ftk, và sau đó nhấn Finish.
11. Tiếp theo, trong hộp thoại Create Image, nhấn Start để bắt đầu thu thập
dữ liệu.
12. Khi FTK Imager kết thúc công việc hãy nhấn Close trên hộp thoại
Drive/Image Verify Results và sau đó nhấn Close thêm lần nữa trên hộp
thoại Create Image (xem Hình 4-7).
Hình 4-7 : Hoàn tất lưu tập tin
126
13. Thoát khỏi FTK Imager bằng cách nhấn vào File, Exit từ thanh menu.
Xác Thực Tính Hợp Lệ Của Dữ Liệu

Có lẽ khía cạnh quan trọng nhất của điều tra máy tính là xác nhận các bằng
chứng kỹ thuật số. Vì điểm yếu nhất của bất kỳ công tác điều tra kỹ thuật số
nào là sự toàn vẹn của dữ liệu mà bạn thu thập, vì vậy xác nhận chúng là
điều cần thiết. Trong phần này, bạn sẽ tìm hiểu các phương pháp xác nhận
dữ liệu thu thập được có đúng là dữ liệu gốc hay không.
Quá trình này thường được tiến hành thông qua một thuật toán băm, bằng
việc áp dụng thuật toán này sẽ tạo ra một chuỗi giá trị tương ứng với giá trị
mẫu mà bảo đảm không có sự trùng lắp kết quả khi các mẫu khác nhau dù
chỉ là một bit dữ liệu. Khi chúng ta tải phần mềm từ các trang web, nhà cung
cấp uy tín thương đưa ra các giá trị băm để người dùng xác nhận, nhằm
tránh việc tải nhầm chương trình đã bị thay đổi bởi hacker gây nguy hiểm
đến hệ thống khi tiến hành cài đặt.
Những thuật toán băm thông dụng như MD5, SHA với nhiều phiên bản như
SHA-1, SHA-256, SHA-512 ... Hiện nay, một số công cụ miễn phí và
thương mại có thể xác nhận theo từng byte của tập tin. Những chường trình
như X-Ways Forensics, X -Ways WinHex, hay IDM Computing Solution
của hãng UltraCompare cũng có thể sử dụng cho việc so sánh và xác thực dữ
liệu. Phần tiếp theo sẽ trình bày về hai phương pháp xác thực trên hệ điều
hành Linux và Windows.
Phương Pháp Xác Thực Trên Hệ Thống Linux

Linux và UNIX là những hệ điều hành có hệ thống dòng lệnh phong
phú. Hai lệnh Linux thường được dùng trong công tác thu thập dữ liệu là dd
và dcfldd. Hiện tại các bản phân phối Linux sử dụng hai thuật toán băm để
xác nhận dữ liệu với công cụ tương ứng là md5sum và sha1sum. Cả hai tiện
ích này có thể tính toán giá trị băm (hay còn gọi là giá trị hash) của một tập
tin hay nhiều tập tin, của phân vùng ổ đĩa hoặc toàn bộ một ổ đĩa
127
Xác thực dữ liệu thu thập từ lệnh dd – Khi thu thập dữ liệu bằng lệnh dd
như lệnh sau đây
dd if = / dev / sdb | split-b 650 triệu - image_sdb
Các phân đoạn sẽ được lưu tại thư mục /dev/sdb, để có thể xác thực cho tất
cả các phân đoạn này bằng tiện ích md5sum ta tiến hành các thao tác sau :
1.Nếu cần thiết, hãy khởi động Linux, mở giao diện dòng lệnh và chuyển
đến thư mục lưu trữ các phân đoạn hình ảnh.. Để tính giá trị băm của ổ đĩa
gốc hãy nhập vào md5sum/ dev / sdb> md5_sdb.txt và nhấn Enter.
2. Để tính toán giá trị MD5 hash cho các phân đoạn và nối giá trị này vào tập
tin md5_sdb.txt, hãy chạy lệnh cat image_sdb. | md5sum >> md5_sdb.txt và
nhấn Enter.
3. Kiểm tra các tập tin md5_sdb.txt để kiểm tra sự trùng khớp bằng cách gõ
cat md5_sdb.txt và nhấn Enter. Nếu quá trình thu thập thành công ta sẽ xác
định được hai chuỗi giá trị băm giống hệ nhau, nếu không thì tiến trình thất
bại. Các bạn sẽ thấy các giá trị tương tự như :
34963884a4bc5810b130018b00da9de1 /dev/sdb
34963884a4bc5810b130018b00da9de1
4. Đóng cữa sổ lệnh bằng lệnh exit hay nhấn nút Close ở góc trên phải.
Trong trường hợp dữ liệu thu thập thông qua lệnh dcfldd việc xác thực sẽ dễ
dàng hơn, do lệnh này được tạo ra với mục tiêu truy tìm chứng cứ nên chức
năng xác nhận cũng được tích hợp vào dòng lệnh. Các bạn có thể sử dụng
tùy chọn để áp dụng thuật toán md5 hay sha1, sha256, sha384 hay sha512.
Ví dụ sau sẽ tạo ra giá trị băm với md5 :
dcfldd if=/dev/sda split=2M of=usbimg hash=md5

hashlog= usbhash.lo g
Kết quả của lệnh trên :
usbhash.logusbimg.004 usbimg.010 usbimg.016 usbimg.022 usbimg.028
128
usbseghash .l og us bi mg .005 u sb img.011 usbimg.017 us bi mg .023
usbimg.02 9
usbimg.000 usbimg.006 usbimg.012 usbimg.018 usbimg.024 usbimg.030
usbimg.001 usbimg.007 usbimg.013 usbimg.019 usbimg.025
usbimg.002 usbimg.008 usbimg.014 usbimg.020 usbimg.026
usbimg.003 usbimg.009 usbimg.015 usbimg .021 usbimg.027
Phương Pháp Xác Thực Trên Hệ Thống Windows

Không giống như Linux và UNIX, Windows không có sẳn các công cụ xác
thực dựa trên thuật toán băm cho công tác điều tra máy tính. Tuy nhiên có
nhiều công cụ do bên thứ ba (third party) cung cấp những chức năng này,
chẳng hạn như X-Ways, WinHex, Breakpoint Software Hex Workshop hay
các chương trình điều tra máy tính mà chúng ta đã đề cập cũng có những
chức năng này như ProDiscover, EnCase, và FTK. Trong Chương 9, các bạn
sẽ tìm hiểu những phương pháp để băm một tập tin nào đó bằng những tiện
ích biên tập thập lục phân hay xác nhận các nhóm dữ liệu mà không cần
những thông tin liên kết.
Các chương trình điều tra máy tính thương mại giải quyết vấn đề xác thực
theo những cách riêng. Ví dụ, các tập tin .eve của ProDiscover có chứa siêu
dữ liệu trong các tập tin phân đoạn của hình ảnh thu thập bao gồm cả giá trị
băm của các ổ đĩa hoặc những phân vùng khả nghi. Các giá trị băm này sẽ
được so sánh với giá trị băm của dữ liệu gốc, nếu có bất kì sự không trùng
khớp nào xảy ra thì chương trình sẽ thông báo cho chúng ta biết quá trình
thu thập dữ liệu thất bại. Tuy nhiên, các điều tra viên phải sử dụng định
dạng độc quyền, vì các định dạng thô (raw format) không có siêu dữ liệu
nên các bạn cần phải kiểm tra tính đồng nhất một cách tách biệt cho từng
phân đoạn.
Còn trong FTK Imager, khi ta chọn định dạng Expert Witness (.e01) hoặc
SMART (.s01) sẽ thấy một tùy chọn mở rộng dùng cho việc xác nhận dữ
liệu Các báo cáo xác nhận gồm những giá trị băm MD5 hay SHA-1. Giá trị
băm MD5 được thêm vào các Hình ảnh hay phân đoạn của Hình ảnh khi áp
dụng định dạng độc quyền. Khi hình ảnh này được nạp vào FTK, SMART,
hoặc X-Ways Forensics (công cụ này chỉ có thể đọc. e01 và các tập tin theo
129
định dạng thô), giá trị băm MD5 này sẽ được so sánh với thông tin tương
ứng của Hình ảnh gốc nhằm xác minh xem việc thu thập là chính xác.
Thu Thập Thông Tin Trên Các Ổ Đĩa RAID

Việc thu thập dữ liệu chứng cứ trên các ổ đĩa RAID thường gây khó khăn và
phiền phức cho các điều tra viên máy tính nhất vì các ổ đĩa RAID thường có
thiết kế riêng và đặc biệt là dung lượng dữ liệu rất lớn. Vì vậy các điều tra
viên cần có kiến thức về những hệ thống RAID thông dụng, đặc biệt là hai
cơ chế RAID cơ bản là RAID 0 và RAID 1.
Các Loại RAID Cơ Bản

RAID là chữ viết tắt của Redundant Array of Independent Disks, được gọi là
hệ thống mãng các đĩa dư độc lập . Ban đầu, RAID được sử dụng như một
giải pháp phòng hộ vì nó cho phép ghi dữ liệu lên nhiều đĩa cứng cùng lúc,
nếu có một đĩa bị hư hỏng thì các đĩa còn lại có khả năng phục hồi lại dữ
liệu bị mất từ các thuật toán liên quan. Về sau, RAID đã có nhiều biến thể
cho phép không chỉ đảm bảo an toàn dữ liệu mà còn giúp gia tăng đáng kể
tốc độ truy xuất dữ liệu từ đĩa cứng. RAID được chia thành 7 cấp độ (level),
mỗi cấp độ có các tính năng riêng, nhưng hầu hết chúng được xây dựng từ
hai cấp độ cơ bản là RAID 0 và RAID 1.
RAID 0 - RAID 0 là cấp độ cơ bản. Các dữ liệu cần chứa trên hệ thống
RAID 0 được phân tách thành hai phần để chứa trên tối thiểu hai ổ cứng
khác nhau như Hình 4-8.
Một cách đơn giản nhất, ta có thể hiểu theo ví dụ sau: Có hai ổ cứng: Ổ 0 và
ổ 1 (trong tin học thường đánh số thứ tự bắt đầu từ số 0 - điều này hơi khác
thường đối với tư duy của bạn, nhưng nếu như bạn muốn hiểu về nó thì hãy
chấp nhận như vậy), với dữ liệu mang nội dung A (có thể phân tách thành
hai phần dữ liệu bằng nhau là A1 và A2) sẽ được ghi lại ở cùng trên hai đĩa:
Đĩa 0 ký tự dữ liệu A1 và đĩa 1 chứa dữ liệu A2. Khi đọc dữ liệu A này thì
đồng thời cả hai ổ cứng đều hoạt động, cùng lấy ra dữ liệu A1 và A2 trên
mỗi ổ cứng. Hệ điều hành sẽ tiếp nhận được nguyên vẹn nội dung dữ liệu A
như nó được ghi vào.
130
Qua ví dụ trên có thể nhận thấy rằng tốc độ đọc và ghi dữ liệu của hệ thống
RAID 0 được tăng lên gấp đôi (cùng một thời điểm cùng đọc và cùng ghi
trên cả hai ổ cứng vật lý khác nhau). Do đó RAID 0 rất phù hợp với các hệ
thống máy chủ, hoặc các máy tính phục vụ việc đọc/ghi dữ liệu với băng
thông cao.
Hình 4-8 : Hệ thống RAID 0 (Striping)
RAID 1 - RAID 1 cũng là một cấp độ cơ bản. Từ các nguyên lý của RAID
0 và RAID 1 có thể giải thích về các cấp độ RAID khác. RAID 1 là sự kết
hợp của ít nhất hai ổ cứng trong đó dữ liệu được ghi đồng thời trên cả hai ổ
cứng đó. Lặp lại ví dụ trên: Nếu dữ liệu có nội dung A được phân tách thành
A1, A2 thì RAID 1 sẽ ghi nội dung A được ghi tại đồng thời cả hai ổ cứng 0
và ổ cứng 1 (xem Hình 4-9).
Hình 4-9 : RAID 1(Mirroring)
131
Thu Thập Dữ Liệu Chứng Cứ Trên Các Ổ Đĩa RAID
Không có phương pháp chung cho việc thu thập dữ liệu chứng cứ trên các ổ
đĩa RAID, khi gặp tình huống này các bạn cần trả lời một số câu hỏi sau đây
:
• Cần bao nhiêu không gian lưu trữ cho hình ảnh bằng chứng ?
• Hệ thống RAID được sử dụng trên ổ đĩa chứng cứ là gì ?
• Bạn có trang bị những công cụ thu thập chứng cứ đáp ứng được tình huống
này hay không, chẳng hạn như công cụ có đọc các hình ảnh sao chép của ổ
đĩa RAID, hay đọc các phân đoạn dữ liệu trên những ổ chứng cứ ? ..
Một số công cụ điều tra máy tính được trang bị tính năng phục hồi dữ liệu từ
các hệ thống RAID, các ứng dụng này thường tập trung vào một hay hai cơ
chế RAID thông dụng. Sau đây là một số nhà sản xuất phần mềm có cung
cấp chức năng trên cho bộ công cụ điều tra chứng cứ máy tính của mình :
• Technologies Pathways ProDiscover

• Guidance Software EnCase
• X-Ways Forensics
• Runtime Software
• R-Tools Technologies
ProDiscover có thể thu thập dữ liệu trên ổ đĩa RAID ở mức vật lý. Sau khi
tất cả các đĩa đã được xử lý chương trình sẽ tạo ra tập tin ProDiscover Group
(có phần mở rộng là .pdg) với những chỉ thị cần thiết cho chương trình có
thể nạp và xử lý các tập tin dữ liệu ảnh.
Các công cụ khác, chẳng hạn như Runtime Software (www.runtime.org) và

R-Tools Technologies (www.r-tt.com), thuộc lĩnh vực phục hồi dữ liệu. Mặc
dù không phải là một ứng dụng chuyên dùng cho việc điều tra máy tính
nhưng với khả năng phục hồi dữ liệu mạnh mẽ từ các hệ thống RAID bị lỗi
hay xử lý các định dạng thô, sữa chữa các hư hỏng cho hệ thống RAID 0,
RAID 5 ...Vì vậy chúng có thể hỗ trợ đắc lực cho công tác điều tra máy tính
trên các hệ thống lưu trữ ứng dụng công nghệ RAID.
Đôi khi có những hệ thống RAID quá lớn để có thể thu thập dữ liệu theo cơ
chế tĩnh. Khi đó hãy ứng dụng các phương pháp sao chép thông tin từng
132
phần theo cơ chế ánh xạ logic hay sparse copy. Ngoài ra, các điều tra viên
nên tìm kiếm thêm sự hỗ trợ kỹ thuật của các chuyên gia công nghệ trong
lĩnh vực RAID hay các kỹ thuật viên của các nhà cung cấp giải pháp máy
chủ tương ứng.
Sử Dụng Công Cụ Thu Thập Dữ Liệu Từ Xa

Các cải tiến gần đây trong công nghệ thu thập dữ liệu máy tính cho phép
chúng ta sao chép dữ liệu gốc qua hệ thống mạng. Với chức năng này các
bạn không cần phải đến trực tiếp các máy tính khả nghi mà có thể tương tác
với chúng qua mạng internet. Có nhiều dạng chương trình thu thập dữ liệu
từ xa khác nhau Một số yêu cầu sự hỗ trợ của người dùng trên các máy tính
nghi ngờ từ xa để bắt đầu sao chép dữ liệu, một số khác có thể can thiệp
bằng cách nạp những ứng dụng điều khiển lên các máy tính khả nghi vi dụ
công cụ điều khiển từ xa qua môi trường internet như Team Viewer có trang
bị chức năng truyền tập tin. Đa số, các Hình thức thu thập dữ liệu dạng này
là thu thập trực tiếp, và nó cũng có những nhược điểm cố hữu mà những ứng
dụng điều khiển hay truy cập từ xa hay gặp phải đó là vấn đề định tuyến trên
môi trường mạng có thể làm thất lạc những gói tin, như khi các chương trình
sử dụng giao thức vận chuyển thiếu tin cậy. Bên cạnh đó là các giới hạn của
băng thông sẽ gây ra vấn đề chậm trễ và đặc biệt là yếu tố an toàn trong việc
truyền dữ liệu.
Những mối quan tâm khác khi thu thập dữ liệu từ xa là sự ngăn chặn của
tường lữa đối với nhiều giao thức sẽ khiến cho kết nối đến máy tính nghi
phạm bị thất bại, hay các trở ngại đến từ các ứng dụng phòng chống virus,
trojan trên những máy tính này. Phần sau đây sẽ giới thiệu một số tình huống
thu thập dữ liệu từ xa cho điều tra máy tính.
Thu Thập Dữ Liệu Từ Xa Với ProDiscover

Hai phiên bản của ProDiscover có thể thực hiện thu thập dữ liệu từ xa là
ProDiscover Investigator và ProDiscover Incident Response. Khi kết nối với
133
một máy tính từ xa, cả hai công cụ sử dụng cùng một phương pháp thu thập
dữ liệu của ProDiscover thông qua hộp thoại Capture Image mà chúng ta đã
trình bày trong phần trước.
ProDiscover Investigator dùng bắt dữ liệu từ máy tính của một nghi phạm
trong khi người sử dụng vẫn đang hoạt động, đầy là một tiến trình thu thập
trực tiếp hay thu thập. Trong khi đó ProDiscover Incident Response tích hợp
chức năng đáp ứng sự cố xâm nhập mạng trái phép thông qua việc phân tích
các tiến trình đang chạy trên máy tính ở xa, giám sát các cổng đang mở hay
dịch vụ đang hoạt động, tìm kiếm xem có trojan đang chạy trên máy từ xa
hay không thông qua việc so sánh các chữ kí nhận dạng của chúng.
Thu Thập Dữ Liệu Từ Xa Với EnCase Enterprise

Guidance Software là nhà sản xuất phần mềm điều tra máy tính phát triển
công nghệ thu thập dữ liệu từ xa với công cụ EnCase Enterprise với một số
đặc điểm sau :
• Hỗ trợ thu thập từ xa các dữ liệu trên đĩa cứng và cả trên RAM.
• Tích hợp với hệ thống phát hiện xâm nhập (IDS) để sao chép các chứng cứ
xâm nhập trái phép.
• Có thể tạo Hình ảnh của dữ liệu từ một hoặc nhiều hệ thống
• Hỗ trợ nhiều định dạng hệ thống tập tin, như NTFS, FAT, ext2 / 3, Reiser,
Solaris UFS, AIX JFS hay LVM8, FFS, Palm, Macintosh HFS / HFS +,
CDFS, ISO 9660, UDF, DVD, ...
• Hỗ trợ thu thập dữ liệu từ xa trên các hệ thống mãng đĩa RAID cứng hoặc
mềm.
Thu Thập Dữ Liệu Từ Xa Với R-Tools R-Studio

Bộ công cụ R-Tools chuyên dùng cho vấn đề phục hồi dữ liệu. Trong đó, R-
Studio có chức năng truy cập các máy tính từ xa qua hệ thống và áp dụng
134
thuật toán mã hóa dữ liệu Triple Data Encryption Standard (3DES). Các dữ
liệu thu được sẽ lưu ở định dạng thô và ứng dụng R-Studio có thể phục hồi
thông tin từ : FAT12, FAT16, FAT32, NTFS, NTFS5, Ext2FS, Ext3FS,
UFS1, USF2. Để biết thêm thông tin về R-Studio các bạn hãy truy cập trang
web www.r-tt.com.
Thu Thập Dữ Liệu Từ Xa Với WetStone Livewire

Livewire được phát triển bởi WetStone, có khả năng kết nối đến một mạng
máy tính từ xa và tiến hành thu thập dữ liệu theo cơ chế trực tiếp trên tất cả
đĩa cứng có kết nối với máy tính khả nghi. Livewire có thể lấy những dữ liệu
nằm trong bộ nhớ RAM của hệ thống từ xa và lưu trữ tập tin dứi định dạng
thô. Các bạn có thể tìm thêm thông tin về Livewire tại địa chỉ
www.wetstonetech.com/cgi-bin/shop.cgi?view.
Thu Thập Dữ Liệu Từ Xa Với F-Response

F-Response (www.f-response.com) là một nhà cung cấp những chương trình
điều khiển từ xa rất mạnh mẽ, có thể liên kết với những ứng dụng điều tra
máy tính khác thông qua các kết nối an toàn. Với F-Response, người giám
định có thể truy cập vào ổ đĩa từ xa ở mức vật lý và xem các dữ liệu thô. Sau
khi kết nối được F-Response thiết lập, bất kỳ công cụ điều tra máy tính nào
cũng có thể sử dụng kênh này để thu thập chứng cứ số.

Runtime Software cung cấp một số chương trình chia sẽ nhỏ gọn dùng cho
việc phục hồi dữ liệu. Đối với công tác thu thập dữ liệu từ xa Runtime
Software cung cấp một số tiện ích sau :
• DiskExplorer for FAT
• DiskExplorer for NTFS
135
• HDHOST
Những công cụ này có thể tạo các tập tin Hình ảnh với định dạng thô và chia
nhỏ các tập tin này thành các phân đoạn hay nén chúng lại để dễ dàng lưu
trữ. Ngoài ra, chúng còn có thể truy cập các ổ đĩa mạng.
Một Số Công Cụ Điều Tra Máy Tính Khác

Ngoài ra ProDiscover, FTK Imager, hay X-Ways Forensics trên thị trường
còn có nhiều ứng dụng khác phục vụ cho nhu cầu điều tra máy tính, một số
là ứng dụng miễn phí, hoặc là chương trình thương mại và có thể được bán
với giá ưu đãi cho những nhân viên thực thi pháp luật.
Snapback DatArrest
Snapback DatArrest là chương trình do Columbia Data Product phát triển
(www.intersysroup.com/snapback/datarrest_overview.htm). Là một công cụ
điều tra máy tính khá lâu đời có thể chạy trên các ổ đĩa mềm MS-DOS.
NTI SafeBack
SafeBack là một ứng dụng nhỏ gọn khác có thể chạy trên một ổ đĩa mềm
MS-DOS. Chương trình này sử dụng thuật toán SHA-256 để xác thực tính
toàn vẹn của dữ liệu được sao chép, nhằm bảo đảm sự đồng nhất. Trong quá
trình thu thập, SafeBack tạo ra tập tin nhật kí lưu lại tất cả các hoạt động các
giao dịch thực hiện, kèm theo khu vực dành cho ghi chép và bình luận trong
quá trình điều tra.
DIBS USA RAID
136
DIBS USA đã phát triển Rapid Action Imaging Device (RAID) là ứng dụng
portable có thể chạy mà không cần cài đặt và tạo ra các ảnh dạng disk-to-
disk. Các đĩa được sao chép sau đó có thể gắn vào thiết bị chống ghi đè và
kết nối với máy trạm phân tích. Để biết thêm thông tin về RAID hãy truy
cập www.dibsusa.com/products/raid.asp.
ILook Investigator Iximager

IXimager chạy trên một đĩa mềm hoặc đĩa CD và có khả năng khởi động.
Công cụ này sử dụng một định dạng độc quyền và có thể thu thập dữ liệu từ
các ổ đĩa RAID, hỗ trợ IDE (PATA), SCSI, USB, và các thiết bị FireWire.
Định dạng độc quyền của IXimager có thể được chuyển đổi sang tập tin định
dạng thô để có thể đọc bằng các công cụ phân tích khác. IXimager có ba tùy
chọn định dạng:
• IDIF - Định dạng nén
• IRBF - Định dạng thô
• IEIF - Định dạng mã hóa để tăng cường bảo mật
Thông tin thêm về IXimager xem tai www.perlustro.com.
ASRData SMART
ASR Data SMART là một công cụ điều tra máy tính chạy trên Linux dùng
để tạo ảnh của một ổ đĩa nghi ngờ. SMART có thể tạo ra tập tin ảnh với định
dạng độc quyền hay định dạng thô với các tính năng sau :
• Đọc dữ liệu hiệu quả, ngay cả các bad sector
• Gắn các ổ đĩa khả nghi trong chế độ chống ghi
• Gắn các ổ đĩa mục tiêu bao gồm cả ổ đĩa NTFS trong chế độ read/write.
• Có khả năng nén các tập tin ảnh.
137
Để biết thêm thông tin về SMART các bạn hãy truy cập www.asrdata.com.
Công Cụ PyFlag Của Bộ Quốc Phòng Úc

Bộ Quốc Phòng Úc phát triển một công cụ là PyFlag dùng cho việc phân
tích và điều tra mạng máy tính. PyFlag có thể tạo ra các tập tin ảnh với định
dạng độc quyền Expert Witness và sử dụng các tiện ích sgzip và gzip trong
Linux. Để biết thêm thông tin về chương trình này hãy xem tại
www.pyflag.net.
138
■ Dữ liệu thu thập có thể lưu trữ dưới ba định dạng khác nhau : định dạng
thô, định dạng động quyền và định dạng nguồn mở AFF.
■ Các bốn phương pháp thu thập dữ liệu cho công tác điều tra máy tính disk-
to-image, sao chép disk-to-disk, ánh xạ logic disk-to-disk hay disk-to-data.
■ Một số hệ thống có khả năng dùng mãng đĩa dôi RAID, cần phải sử dụng
các ổ lưu trữ lơn cho quá trình thu thập dữ liệu từ các hệ thống này.
■ Các dữ liệu thu thập có thẻ được nén để tiết kiệm dung lượng.
■ Nếu thời gian hạn chế hoặc kích thước của dữ liệu khả nghi quá lớn hãy
dùng phương pháp thu thập theo cơ chế ánh xạ dữ liệu hoặc sparse copy
■ Bạn cần phải có một kế hoạch dự phòng cho các tập tin thu thập và dự
phòng cho tiến trình phục hồi dữ liệu.
■ Cần áp dụng chế độ chống ghi cho các ổ chứng cứ để bảo đảm tính
nguyên vẹn của bằng chứng.
■ Luôn xác nhận kết quả thu được với dữ liệu gốc nhằm bảo đảm sự đồng
nhất.
■ Có thể sử dụng những công cụ điều tra máy tính mà không cần cài đặt
thông qua các đĩa khởi động Linux Live CD / DVD như BackTrack.
■ Khi sử dụng tiện ích thu thập dữ liệu trên Linux nên chọn dcfldd thay cho
dd bởi vì nó được thiết kế cho mục đích điều tra máy tính.
■ Để thu thập thông tin từ các ổ đĩa RAID, bạn cần xác định loại RAID và
sau đó sử dụng những chương trình thích hợp.
■ Dữ liệu có thể thu thập từ xa và các bạn cần phải cài đặt các chương trình
điều khiển trên những máy tính khả nghi để tiến hành công việc thu thập
này. Vấn đề này cuần tuân thủ luật pháp và đề phòng sự ngăn cản từ các hệ
thống phòng vệ trên hệ thống mạng hay máy tính ở xa.
139
140
CHƯƠNG 5

• Giải thích các quy tắc của việc kiểm soát bằng chứng kỹ thuật số
• Mô tả phương pháp thu thập chứng cứ tại hiện trường trong khu vực tư
nhân
• Giải thích và hướng dẫn thi hành luật pháp trong quá trình xử lý tội phạm
• Liệt kê các bước chuẩn bị cho công tác tìm kiếm bằng chứng
• Mô tả cách an toàn máy tính bị xâm phạm hay các máy tính của tội phạm
• Giải thích và hướng dẫn cách tịch thu bằng chứng số tại hiện trường
• Các thủ tục lưu trữ bằng chứng kỹ thuật số
• Hướng dẫn cách lấy giá trị băm của chứng cứ số
• Xem xét một tình huống để xác định yêu cầu và lập kế hoạch điều tra của
bạn
141
Trong chương này, chúng ta sẽ tìm hiểu phương pháp để tiến hành điều tra
máy tính. Bởi vì chương này tập trung vào nhu cầu điều tra cho các hệ thống
máy tính, bạn nên bổ sung các kiến thức về pháp luật Hoa Kỳ trong việc
phục hồi chứng cứ. Nếu bạn đang ở trong một quốc gia khác, cần nắm vững
pháp luật liên quan đến sự riêng tư, tìm kiếm, và các quy tắc trong quá trình
thu thập bằng chứng để không phát sinh xung đột trong công tác điều tra.
Quy tắc bằng chứng rất quan trọng, cho dù ta đang xử lý một tình huống
thuộc doanh nghiệp hay đang điều tra tội phạm. Như bạn thấy, một vụ án
dân sự có thể nhanh chóng trở thành một vụ án hình sự, và một vụ án hình
sự có thể có ý nghĩa dân sự lớn hơn so với tính chất hình sự của nó. Chương
này xem xét các quy tắc bằng chứng tại Hoa Kỳ, nhưng các thủ tục tương tự
cũng được áp dụng trong hầu hết các tòa án trên toàn thế giới. Ngoài ra
chúng ta sẽ xem xét sự khác biệt trong quy trình xử lý sự cố hay tiến hành
công việc giữa một doanh nghiệp tư nhân và cơ quan thực thi pháp luật.
Nhân viên an ninh khu vực tư nhân thường bắt đầu điều tra tội phạm máy
tính của công ty và sau đó hợp tác với các cơ quan thi hành pháp luật để họ
hoàn tất công tác điều tra.
Xác Định Bằng Chứng Kỹ Thuật Số

Các bằng chứng hay chứng cứ kỹ thuật số có thể là bất kỳ thông tin được lưu
trữ hay truyền thông ở dạng kỹ thuật số. Bởi vì bạn không thể nhìn thấy hay
chạm vào các dữ liệu kỹ thuật số nên rất khó để giải thích và mô tả so với
các bằng chứng thông thường. Tòa án Hoa Kỳ chấp nhận bằng chứng kỹ
thuật số như là bằng chứng vật chất, có nghĩa là dữ liệu kỹ thuật số được coi
là một đối tượng hữu hình, chẳng hạn như vũ khí, tài liệu hay sự thương tổn
liên quan đến một vụ án hình sự hoặc dân sự. Tòa án ở các nước khác vẫn
đang cập nhật pháp luật của họ để đưa bằng chứng kỹ thuật số vào các bộ
luật. Một số nơi yêu cầu các bằng chứng kỹ thuật số phải được in ra để được
trình bày tại tòa án. Các tổ chức như Scientific Working Group on Digital
Evidence (SW GDE; www.swgde.org) và International Organization on
Computer Evidence (IOCE; www.ioce.org đặt ra các tiêu chuẩn quy định
cho việc khôi phục, bảo quản và kiểm tra bằng chứng kỹ thuật số.
Sau đây là các công tác điều tra thông dụng cần thực hiện khi làm việc với
bằng chứng kỹ thuật số:
142
• Xác định các thông tin kỹ thuật số hoặc hiện vật có thể được sử dụng như
bằng chứng.
• Thu thập, bảo quản, và lập tài liệu các chứng cứ.
• Phân tích, xác định và tổ chức bằng chứng.
• Xây dựng lại bằng chứng hoặc lặp lại một tình huống để xác minh rằng các
kết quả có được sao chép là đáng tin cậy.
Cần tiến hành thu giữ máy tính và xử lý một vụ vi phạm luật pháp hay xâm
phạm tráo phép phải được thực hiện có hệ thống. Để giảm thiểu nhầm lẫn và
các nguy cơ bị mất chứng cứ, và tránh những tác động gấy thiệt hại cho
chứng cứ, chỉ có một người tiến hành thu thập và lập danh mục các bằng
chứng số tại hiện trường vụ án hoặc phòng thí nghiệm, nếu thực tế cho phép.
Trong trường hợp có quá nhiều bằng chứng hoặc các hệ thống khiến cho một
người khó có thể thực hiện các nhiệm vụ, thì tất cả những nhân viên tiến
hành công việc cần phải tuân thủ theo các quy định vận hành và có một
người quản lý để kiểm soát quá trình thu thập dữ liệu và phân loại chứng cứ.
Bạn cũng nên sử dụng các hình thức đã được chuẩn hóa để theo dõi chứng
cứ nhằm bảo đảm các bằng chứng được xử lý một cách an toàn.
Hiểu Các Quy Tắt Của Chứng Cứ

Tiến hành công tác điều tra theo những quy trình thích hợp sẽ giúp cho việc
kiểm tra công việc được dễ dàng và tăng cường độ tin cậy, vì vậy bạn phải
xử lý tất cả các bằng chứng một cách nhất quán. Áp dụng cùng cơ chế bảo
mật và kiểm soát truy cập dữ liệu bằng chứng cho cả tình huống dân sự và
hình sự. Ngoài ra, hãy nhớ rằng bằng chứng được thừa nhận trong một vụ án
hình sự cũng có thể được sử dụng trong một vụ kiện dân sự, và ngược lại.
Trong Chương 2, các bạn đã được hướng dẫn phương pháp tạo ảnh đĩa trong
quá trình thu thập chứng cứ. Dữ liệu mà chúng ta thu thập và tìm kiếm được
thông qua các công cụ điều tra máy tính sẽ là những bằng chứng trước tòa.
Tuy nhiên, bằng chứng số không giống như các bằng chứ vật thể khác bởi vì
nó có thể được thay đổi dễ dàng hơn. Cách duy nhất để phát hiện những thay
đổi này là so sánh các dữ liệu ban đầu với một bản sao thông qua các thuật
toán băm được triển khai qua các công cụ thích hợp. Hơn nữa, việc phân biệt
hai bản sao từ một bản chính điện tử là rất khó khăn nên các bằng chứng kỹ
thuật số cần có sự theo dõi chặt chẽ về mặt pháp lý.
143
Trong quá trình đối chứng một luật sư đối lập có thể yêu cầu bạn mô tả cách
làm việc của những công cụ điều tra. Mặc dù ta không thể trình bày chi tiết
cách làm việc của thuật toán MD5 nhưng các bạn có thể trình bày quy trình
làm việc của công cụ AccessData Forensic Toolkit để tạo ra các giá trị băm
tin cậy và đã được công nhận trên toàn thế giới.
Mặc dù một số tập tin Word có thể không có họ, tên tác giả nhưng các
thông tin quan trọng về nguồn gốc thường được lưu trong phần siêu dữ liệu .
Sau đây là các hướng dẫn cách xác định tập tin siêu dữ liệu này với bản
dùng thử của công cụ AccessData Forensic Toolkit :
1.Khởi động Microsoft Word, và tạo một tài liệu mới, lưu nó trong thư mục
làm việc của bạn với tên InChp05-01.doc, và sau đó thoát khỏi Microsoft
Word.
2. Để chạy FTK, nhấn Start, trỏ đến All Programs, nhấn AccessData, và rê
chuột đến Forensic Toolkit, sau đó nhấn vào Forensic.
3. Hãy nhấn chuột vào khu vực làm việc của chương trình và sau đó kích
vào File, Add Evidence từ thanh menu.
4. Trong hộp thoại Add Evidence, hãy nhập tên của bạn là điều tra viên, và
sau đó nhấp vào Next. Trong hộp thoại Evidence Processing Options hãy giữ
các thiết lập mặc định, và sau đó nhấn Next.
5. Trong hộp thoại Add Evidence to Case nhấp vào nút Add Evidence . Ở
hộp thoại Add Evidence to Case tiếp theo nhấp vào nút tùy chọn File và
sau đó nhấp Continue.
6. Trong hộp thoại Browse for Folder, điều hướng đến thư mục công việc
của bạn, hãy nhấp vào tập tin InChp05-01.doc, nhấn Open, và sau đó nhấn
OK. Nhấn Next, và sau đó nhấn Finish.
7. Trên cửa sổ chính, nhấp vào tab Overview. Bên dưới tiêu đề File Category
hãy nhấp vào nút Documents, chọn tập tin InChp05-01.doc trong khung phía
dưới, nội dung của tập tin sau đó sẽ hiển thị trong cửa sổ phía trên bên phải
như Hình 5-1
144
Hình 5-1 : Chọn tài liệu
8.Trên thanh công cụ File List ở phía trên bên phải, nhấp vào View để xem
tập tin ở định dạng gốc.
9. Tiếp theo, bấm vào nút View theo dạng lọc văn bản. Các bạn sẽ thấy tên
và tổ chức được khia báo khi chúng ta cài công cụ văn phòng Word như
Hình 5-2.
10. Thoát khỏi FTK, nhấn No nếu được nhắc để sao lưu công việc của bạn.
145
Hình 5-2 : Xem thông tin siêu dữ liệu của tập tin (hay còn gọi là metadata)
Thu Thập Chứng Cứ Trong Khu Vực Tư Nhân

Các tổ chức thuộc khu vực tư nhân bao gồm các doanh nghiệp và các cơ
quan chính phủ không tham gia vào thực thi pháp luật. Tại Hoa Kỳ, các cơ
quan này phải thực hiện theo quy định với nhà nước theo các quy định pháp
luật công khai và đạo luật Freedom of Information Act (FOIA). Hình 5-3
là một trích đoạn pháp luật của bang Idaho được công bố công khai.
146
Hình 5-3 : Đạo luật công bố công khai của bang Idaho
Một khu vực đặc biệt của các doanh nghiệp là các nhà cung cấp dịch vụ
Internet và dịch vụ thông tin. Nhà cung cấp dịch vụ Internet có thể điều tra
sự lạm dụng máy tính theo những cam kết được thực hiện bởi nhân viên của
họ, nhưng không được thực hiện điều này đối với khách hàng. Nhà cung cấp
dịch vụ Internet cần phải giữ gìn sự riêng tư của khách hàng, đặc biệt là
những thông tin thư điện tử. Tuy nhiên, các quy định của liên bang (Hoa Kỳ)
liên quan Homeland Security Act and the Patriot Act of 2001 đã định
nghĩa lại các quy tắt lưu trữ và xử lý thông tin khách hàng. Vì vậy, các nhà
cung cấp dịch vụ Internet và các công ty truyền thông có thể điều tra các
hoạt động của khách hàng trong tình huống khẩn cấp. Một tình trạng khẩn
cấp theo đạo luật Patriot là tình huống có thể gây tử vong ngay lập tức hay
gây thương tích cá nhân, chẳng hạn như việc tìm kiếm một mối đe dọa đánh
147
bom trong email.
Điều tra và kiểm soát máy tính bị xâm phạm trong môi trường doanh nghiệp
dễ dàng hơn nhiều so với trong môi trường tội phạm. Trong khu vực tư
nhân, hiện trường là nơi làm việc, chẳng hạn như một văn phòng hoặc khu
vực sản xuất nơi xảy ra tinh huống vi phạm chính sách cần được điều tra.
Tất cả mọi thứ từ các máy tính sử dụng đến cơ sở xung quanh đều thuộc
quyền quản lý công ty. Và các doanh nghiệp thường có dữ liệu kiểm kê phần
cứng và phần mềm trên máy tính, tạo điều kiện thuận lợi cho điều tra viên
điều tra các hoạt động và ứng dụng trên những máy tính khả nghi.
Để điều tra các nhân viên bị nghi ngờ lạm dụng tài sản của công ty cho
những công việc riêng hay những hành vi vi phạm chính sách cần có một
tuyên bố chính thức của doanh nghiệp về việc sử dụng sai tài sản và cho
phép các nhà điều tra tiến hành công việc, có thể giám sát bí mật và khả
năng truy cập hệ thống máy chủ khi cần thiết. Điều này sẽ tạo điều kiện
thuận lợi cho các điều tra viên khi tiến hành công việc của mình. Còn trong
quá trình điều tra tôi phạm và thực thi theo pháp luật chúng ta không thể áp
dụng phương pháp này, do có nhiều xung đột và sự ràng buộc về mặt pháp
lý cũng như sự khác biệt trong quy định của luật pháp ở mỗi vùng, miền.
Tuy nhiên, nếu một doanh nghiệp không áp đặt những chính sách thích hợp
đối với người dùng hay nhân viên như đặt các banner cảnh báo, yêu cầu kí
kết vào bản nội quy doanh nghiệp thì việc điều tra sẽ khó khăn hơn. Do đó,
để ngăn ngừa những tình huống vi phạm, và có thể nhanh chóng khắc phục
khi xảy ra sự cố trong khu vực tư nhân cần có những chính sách đúng đắn
được áp dụng một cách đây đủ.
Nếu bạn phát hiện bằng chứng phạm tội trong một cuộc điều tra vi phạm
chính sách của công ty, thì trước tiên hãy xem sự vi phạm này có cấu thành
tội phạm hình sự hay không. Các điều tra viên có thể tham khảo ý kiến với
luật sư của công ty trong những tình huống này. Tiếp theo, các bạn cần
thông báo cho người quản lý của vụ việc, để xác định có mối quan tâm khác
nào khác của cấp quản lý hay không, chẳng hạn như cần phải bảo vệ bí mật
kinh doanh mà có thể bị đính kèm với các bằng chứng tội phạm. Trong
trường hợp này hãy phối hợp với quản lý và luật sư của công ty để xác định.
148
Sau khi phát hiện hoạt động bất hợp pháp, tiến hành ghi chép vào tài liệu và
báo cáo tội phạm, hãy ngưng công tác điều tra của bạn để tránh vi phạm các
hạn chế được bổ sung trong Fourth Amendment (hay các bộ luật liên quan
tại quốc gia sở tại) về thu thập bằng chứng. Nếu thông tin bạn cung cấp là đủ
để đáp ứng các tiêu chí cho một lệnh khám xét, cảnh sát sẽ có trách nhiệm
tiến hành khám xét để tìm kiếm những bằng chứng mới. Hãy cẩn thận trong
quy trình điều tra của mình để tránh những vi phạm pháp luật quy định về
bảo vệ quyền riêng tư hay những điều luật bổ sung dành cho mọi công dân.
Ngoài ra, bạn nên lưu giữ tất cả các chứng cứ thu thập được để tiếp tục điều
tra vi phạm chính sách nội bộ của công ty. Trong phần sau các bạn sẽ tìm
hiểu thêm về cách sử dụng chứng thư trong một cuộc điều tra nội bộ
Xử Lý Hiện Trường Vụ Án
Để xử lý hiện trường vụ án, các điều tra viên phải nắm các nguyên tắt Hình
sự trong vấn đề tìm kiếm và tịch thu chứng cứ. Bạn cũng nên hiểu quy trình
của một lệnh khám xét và cần phải làm gì khi bạn đảm nhiệm công việc này.
Đối với các cuộc điều tra hình sự ở Hoa Kỳ, những điều luật bổ sung trong
Fourth Amendment đưa ra những giới hạn khi chính phủ tìm kiếm và thu
giữ chứng cứ. Vì vậy, một nhân viên thực thi pháp luật chỉ được tìm kiếm và
tịch thu các bằng chứng tội phạm với lý do thích hợp.
Mặc dù một số tòa án mở rông phạm vi tìm kiếm và thu giữ máy tính chứa
chứng cứ, tạo điều kiện thuận lợi cho các cuộc điều tra nhưng các bạn nên
thu thập đủ thông tin để lệnh khám xét của mình càng rõ ràng càng tốt, nhằm
trách những thách thức từ các luật sư đối lập. Bên cạnh đó, các lệnh khám
xét có những quy định tổng quát hơn về vấn đề và tịch thu chứng cứ ví dụ
như các bạn được phép tịch thu một “máy tính” khả nghi chứ không phải
tịch thu một hệ thống Dell Optiplex GXA. Như trong Hình 5-4 là một ví dụ
về lệnh khám xét thuộc bang Maryland
149
Hình 5-4 : Lệnh khám xét đối với mô tả về máy tính chứng cứ.
Thông thường những sự bảo đảm bằng văn bản được ban hành một cách vội
vàng vì tính chất của cuộc điều tra, còn những cán bộ thực thi pháp luật thì
lại không có đủ thời gian nghiên cứu hay tìm hiểu rõ bản chất của sự việc
dẫn đến sự diễn đạt kém về các bằng chứng thu thập được. Điều này là một
trong những nguyên nhân làm cho chứng cứ bị các thẩm phán loại trừ. Do
đó, một sự chuẩn bị đầy đủ cùng với việc tham khảo ý kiến của các công tố
viên địa phương sẽ giúp cho công tác điều tra của các bạn thành công tốt
đẹp.
150
Hiểu Rõ Các Khái Niệm Và Điều Khoản Trong Lệnh
Khám Xét
Bạn cần nắm vững các thuật ngữ trong lệnh tìm kiếm (còn gọi là trát) được
sử dụng để quy định các chứng cứ có thể bị tịch thu. Nhiều cuộc điều tra
máy tính có rất nhiều dữ liệu vì vậy chúng ta phải sắp xếp lại để tìm kiếm
bằng chứng, ví dụ như trường hợp Enron các thông tin liên quan lên đếncả
terabyte thông tin.
Ngoài ra, có những thông tin không liên quan (hay còn gọi là thông tin vô
tội) đi kèm theo các chứng cứ trong quá trình thu thập hay phục hồi. Trong
quá trình điều tra các bạn cần phải đặt những thông tin này tách riêng với
các chứng cứ phạm tội chẳng hạn như hồ sơ cá nhân của những người vô tội
hoặc các bí mật kinh doanh. Những vấn đề này thường được các thẩm phán
ghi chú trong lệnh khám xét và liệt kê danh sách những thành phần có thể bị
tịch thu.
Khi tiến hành điều tra hiện trường vụ án, điều tra viên có thể thấy những
bằng chứng không liên quan đến tội ác, và không được xác định trong lệnh
khám xét nhưng có thể đây là chứng cứ liên quan đến một tội danh khác thì
các điều tra viên có thể áp dụng điều luật plain view để tịch thu chúng.
Điều Luật Plain View – những điều nhìn thấy trước mắt – cho phép điều tra
viên quyền thu thập bất kì bằng chứng nào có trong quá trình tìm kiếm. Nếu
điều tra viên trong ví dụ vừa rồi phát hiện ra bằng chứng trên màn hình máy
tính của người đang bị nghi vấn, nhân viên này có thể sử dụng máy tính này
để tìm kiếm bằng chứng mặc dù nó không được bao gồm trong lệnh khám.
Nếu máy tính để bàn này không được bật thì nhân viên điều tra không có
quyền kiểm tra nó.
Chuẩn Bị Tìm Kiếm

Chuẩn bị cho một quá trình tìm kiếm và thu giữ chứng cứ có lẽ là bước quan
trọng nhất trong việc điều tra máy tính. Nếu được chuẩn bị tốt công tác điều
151
tra của bạn sẽ diễn ra suôn sẽ hơn. Sau đây chúng ta sẽ thảo luận về các
nhiệm vụ bạn cần hoàn thành trước khi tiến hành tìm kiếm và điều tra chứng
cứ. Để thực hiện những nhiệm vụ này, bạn cần phỏng vấn các nạn nhân,
người khiếu nại hay những người cung cấp tin để tìm kiếm những câu trả lời
cho vấn đề cần quan tâm.
Xác Định Bản Chất Của Vụ Án

Ở Chương 2, khi bạn được giao một nhiệm vụ điều tra máy tính, bạn sẽ bắt
đầu bằng cách xác định bản chất của vụ án thuộc lĩnh vực công hay tư, nghĩa
là vụ án xảy ra ở môi trường công cộng hay trong khu vực tư nhân, thuộc
các công ty, xí nghiệp. Ví dụ, một cuộc điều tra của công ty có thể liên quan
đến việc lạm dụng Internet của nhân viên như web quá nhiều hoặc một nhân
viên xây dựng một trang web riêng cho mục đích kinh doanh cá nhân trong
thời gian làm việc. Dựa trên bản chất của vụ án sẽ xác định tiến trình công
việc ta cần thực hiện hay những loại tài sản hoặc các nguồn lực nào mà bạn
cần phải sử dụng trong quá trình điều tra (sẽ được thảo luận chi tiết hơn
trong phần "Xác Định Các Công Cụ Cần Thiết").
Xác Định Hệ Thống Điện Toán
Tiếp theo, chúng ta cần xác định hệ thống máy tính liên quan đến điều tra.
Do các quy định của pháp luật trong quá trình thực thi, bước này có thể khó
khăn vì hiện trường vụ án không được kiểm soát. Vì vậy bạn có thể không
biết những loại máy tính được sử dụng để phạm tội hoặc chúng đã sử dụng
các máy tính đó ở đâu và như thế nào. Trong trường hợp này, ta cần phải vận
dụng khả năng sáng tạo, những kinh nghiệm có được và cả số liệu thống kê
dựa trên các báo cáo về tội phạm như trình bày trong Chương 3 để đối phó
với các tình huống không xác định này.
Nếu như bạn có thể xác định hệ thống máy tính được sử dụng thì hãy ước
tính kích thước của đĩa cứng, số lượng máy tính tham gia tại hiện trường. Và
những thông tin như cấu trúc phần cứng, hệ điều hành chạy trên các máy
tính cũng cần được quan tâm, lưu ý.
152
Xác Định Quyền Thu Giữ Máy Tính
Trong trường hợp lý tưởng các điều tra viên sẽ được phép tịch thu các máy
tính và thiết bị liên quan đem về phòng thí nghiệm để thu thập dữ liệu, điều
tra chứng cứ. Nhưng vẫn có những vụ án mà chúng ta không được phép tháo
gỡ các máy tính tại hiện trường và đem đi nơi khác do những quy định của
pháp luật hay sẽ tác động đến hiệu suất công việc của doanh nghiệp. Trong
trường hợp đó các bạn cần quyết định xem có hay không những chứng cứ
được lưu trữ trên đĩa cứng, ước lượng dung lượng đĩa cứng khả nghi để đưa
ra phương án thu thập dữ liệu thích hợp theo những hướng dẫn trong
Chương 4. Lựa chọn những công cụ điều tra máy tính có khả năng nén dữ
liệu như EnCase để giảm dung lượng khi lưu trữ, vận chuyển…
Xác Định Thông Tin Chi Tiết Về Địa Điểm

Các bạn cần tìm kiếm thêm thông tin vị trí của một vụ án về tội phạm máy
tính để giúp cho quá trình điều tra đạt hiệu quả hơn. Các vấn đề môi trường
và tính an toàn là những mối quan tâm chính trong quá trình này. Trước khi
đến hiện trường nơi xảy ra sự cố hoặc một sự vi phạm cần xác định mối
nguy hiểm tiềm tàng đối với sự an toàn của bạn cũng như của các thành viên
khác.
Một số trường hợp điều tra máy tính liên quan đến các vật liệu nguy hiểm,
chẳng hạn như nguy cơ tấn công khủng bố sinh học, hóa học, hoặc các chất
gây nhiễm phóng xạ như vũ khí hạt nhân. Đối với các loại điều tra này, bạn
cần sự trợ giúp tư một đội nhận biết các vật liệu nguy hiểm (HAZMAT) để
phục hồi bằng chứng từ hiện trường. Quá trình phục hồi có thể bao gồm khử
trùng máy tính các thành phần cần thiết cho việc điều tra. Nếu thủ tục khử
nhiễm có thể phá hủy bằng chứng điện tử thí chúng ta cần hướng dẫn một
chuyên gia HAZMAT các phương pháp để kết nối các thiết bị ngoại vi với
máy tính, thu thập dữ liệu cần thiết để tránh bị mất mát chứng cứ quan trọng.
Phân Công Công Việc
153
Điều tra máy tính trong môi trường công ty thường chỉ yêu cầu một người
chịu trách nhiệm xử lý các tình huống vi phạm. Nhưng trong môi trường
công khai hay những công tác điều tra rộng lớn đòi hỏi có nhiều người cùng
xử lý công việc. Khi đó, chúng ta cần phải bổ nhiệm một người quản lý để
điều phối công việc, lập kế hoạch công tác và các thành viên khác phải hợp
tác chặt chẽ với trưởng nhóm hay người quản lý trong toàn bộ tiến trình điều
tra.
Hỗ Trợ Của Các Chuyên Gia Kỹ Thuật

Trong những tình huống điều tra máy tính phức tạp, đòi hỏi kiến thức
chuyên sâu về một hệ thống phần cứng hay phần mềm thì điều tra viên nên
yêu cầu sự hỗ trợ từ các chuyên gia ngoài ngành để bảo đảm việc thu thập
dữ liệu đạt kết quả tốt. Ví dụ khi thao tác trên các hệ thống máy chủ IBM
hoạt động trên nền UNIX với cơ chế RIAD phức tạp, sự hỗ trợ kỹ thuật từ
các chuyên gia của hãng sẽ giúp cho điều tra viên xử lý công việc nhanh và
chính xác.
Để sử dụng các chuyên gia bên ngoài một cách hiệu quả các bạn nên đào tạo
thêm kiến thức điều tra máy tính để việc phối hợp giữa hai bên được tốt hơn.
Xác Định Các Công Cụ Cần Thiết

Sau khi bạn đã tập hợp đầy đủ thông tin về hiện trường vụ án hay sự cố, hãy
tiến hành lập danh sách những thứ cần thiết cho công tác điều tra tại hiện
trường. Đó là những công cụ mà chúng ta cần phải có cho công việc như các
máy tính laptop để tính toán hay lập kế hoạch, theo dõi tiến độ công việc,
các công cụ điều tra máy tính hay công cụ chuyên xử lý sự cố mà các nhân
viên bảo trì hệ thống thường dùng, và máy ảnh, đèn pin hay bất kì vật dụng
nào mà bạn thấy cần thiết cho công tác điều tra của bạn. Trong Hình 5-5
minh họa một số thiết bị cần thiết đối với các điều tra viên máy tính.
154
Hình 5-5 : Các thiết bị cần thiết cho cuộc điều tra
Chuẩn Bị Đội Điều Tra

Trước khi bạn bắt đầu tìm kiếm và thu giữ các bằng chứng kỹ thuật số tại
hiện trường, các bạn và các thành viên trong đội điều tra cần phải xem xét
tất cả các sự kiện, kế hoạch, và mục tiêu cần đạt được. Mục tiêu là thu thập
thành công và đầy đủ bằng chứng kỹ thuật số. Với một sự chuẩn bị kỹ lưỡng
sẽ hạn chế những sự cố mà chúng ta có khả năng gặp phải trong suốt cuộc
điều tra, thu thập dữ liệu. Cần lưu ý các bằng chứng kỹ thuật số rất dễ bị hư
hỏng.
Hãy rèn luyện kỹ năng xử lý nhanh chóng trong việc đánh giá sự kiện, thực
hiện theo kế hoạch đề ra tập trung nguồn lực và thu thập dữ liệu từ hiện
155
trường. Vì trong một số cuộc điều tra máy tính do phản ứng chậm đã dẫn
đến mất mát các bằng chứng quan trọng.
Đảm Bảo An Ninh Cho Hiện Trường

Giữ an ninh hiện trường là công việc quan trọng nhằm bảo vệ các bằng
chứng và giữ bí mật cho các thông tin về sự cố hay vụ án. Việc thông tin bị
công bố rộng rãi trong môi trường công cộng hay trên các phương tiện
truyền thông có khả năng gây nguy hiểm cho việc điều tra. Nếu bạn là
người chịu trách nhiệm đảm bảo an ninh hiện trường cho một cuộc điều tra
tội phạm hãy sử dụng các rào cản màu vàng để ngăn chặn người qua đường
vô tình xâm nhập. Sử dụng các nhân viên cảnh sát hoặc nhân viên bảo vệ để
ngăn chặn người khác vào khu vực điều tra hay hiện trường vụ án.
Đối với vụ án lớn, các nhà điều tra máy tính thường không có nhiệm vụ giữ
an ninh cho hiện trường, công việc này có thể do các nhân viên an ninh
chuyên trách đảm nhiệm. Luôn luôn ghi nhớ rằng các sự thăm dò mang tính
chuyên nghiệp như các nhà báo chuyên mục hình sự có thể phá hủy những
chứng cứ bao gồm cả bằng chứng kỹ thuật số.
Tịch Thu Bằng Chứng Kỹ Thuật Số Tại Hiện Trường

Với lệnh khám xét thích hợp, nhân viên thực thi pháp luật có đủ thẩm quyền
để thu giữ các hệ thống máy tính và thiết bị ngoại vi. Trong công tác điều tra
ở khu vực tư nhân hay doanh nghiệp bạn cũng có thể có thẩm quyền tương
tự trên các máy tính bị tình nghi, nếu như việc thu giữ này không gây ảnh
hưởng đến công việc kinh doanh của công ty.
Khi thu giữ bằng chứng máy tính trong điều tra Hình sự, hãy tiến hành theo
quy định của Bộ Tư Pháp Hoa Kỳ (U.S. DOJ ) trong vấn đề thu giữ chứng
cứ kỹ thuật số (được mô tả sau trong chương này, hoặc xem tại trang web
(www.usdoj.gov/criminal/cybercrime/searching.html). Đối với điều tra dân
sự cũng vậy, hãy thực hiện theo các quy tắc tương tự về thu giữ bằng chứng
156
của điều tra hình sự. Trong trường hợp này các bạn có thể tìm kiếm trên một
bằng chứng cụ thể như một thư điện tử hay tập tin bảng tính. Còn đối với vụ
việc hình sự, các nhà điều tra thu có thể giữ toàn bộ ổ đĩa để bảo tồn càng
nhiều thông tin càng tốt và đảm bảo rằng không có bằng chứng nào bị bỏ
qua. Trong trường hợp các bạn có bất kỳ câu hỏi hay mối quan tâm nào khác
hãy tham khảo thêm ý kiến của luật sư để có các hướng dẫn thích hợp.
Chuẩn Bị Cho Qua Trình Thu Thập Chứng Cứ Kỹ Thuật

Số
Việc thu thập bằng chứng kỹ thuật số tại hiện trường phụ thuộc vào bản chất
của vụ án và thể loại tội phạm bị cáo buộc vi phạm. Chẳng hạn như, đối với
một vụ án hình sự liên quan đến máy tính của một kẻ buôn ma túy thì chúng
ta cần thu giữ máy tính, thiết bị ngoại vi và những thiết bị khác có liên quan
như điện thoại di động, các thiết bị USB, đĩa CD, DVD, máy in, máy ảnh và
máy quét.Còn nếu như các bạn đang điều tra hành vi sai trái của nhân viên,
thì việc thu giữ chỉ diễn ra đối với một vài thiết bị cụ thể.
Trước khi bạn thu thập bằng chứng kỹ thuật số, hãy đặt ra một vài câu hỏi
cho người giám sát của bạn như :
• Có cần phải khảo sát toàn bộ máy tính và tất cả các thiết bị ngoại vi và các
phương tiện truyền thông hay không ? Làm sao để bảo vệ các máy tính khi
vận chuyển đến phòng thí nghiệm ?
• Máy tính có đang bật nguồn điện khi bạn đến? (Câu hỏi này được thảo luận
chi tiết hơn trong mục "Xử Lý Một Vụ Án”)
• Có những nghi vấn nào khi bạn tiến hành điều tra các máy tính trong khu
vục vi phạm hay không ? Có mối lo ngại nào về sự hư hỏng hay mất mát dữ
liệu khi bạn tiến hành điều tra hay không ?
Các hướng dẫn sau đây sẽ cung cấp cho các bạn một số đề xuất về cách
thức để xử lý một vụ vi phạm hay tình huống phạm tội. Nếu như bạn là
157
người có những kinh nghiệm thực tế về xử lý vụ án thì có thể thêm hay
chỉnh sữa các hướng dẫn cho phù hợp với công việc của mình., xác định
những bước cần tiến hành khi xử lý một cuộc điều tra dân sự hoặc hình sự.
Đối với bất kỳ vấn đề khó khăn nào hãy tìm kiếm sự tư vấn pháp lý hoặc hỗ
trợ từ các chuyên gia kỹ thuật khác.
Hãy ghi chép những vấn đề quan trọng cẩn thận và ghi chép đầy đủ lịch
trình công việc của bạn. Bảo vệ hiện trường cẩn thận, hạn chế sự truy cập
của những người không có trách.
Hãy tiến hành quay video và ghi âm của khu vực xung quanh máy tính nghi
phạm, sau đó phác thảo hiện trường của vụ án hay tình huống vi phạm bao
gồm các ghi chú về kích thước và khoảng cách giữa các đối tượng trong khu
vực. Nếu bạn đang tiến hành một điều tra mạng máy tính Internet thì hãy
lưu giữ tối đa các thông tin đang chạy trên các ứng dụng cũng như ghi lại
thông tin về các cữa sổ ứng dụng đang mở hay đang hoạt động.
Không nhấn bất kì phím nào nếu không cần thiết.
Sau khi lưu lại tất cả các tập tin đang hoạt động trên máy tính khả nghi hãy
đóng những ứng dụng này. Nếu một ứng dụng yêu cầu lưu tập tin trước khi
đóng hãy bỏ qua bằng cách chọn “No”. Cuối cùng là shutdown hệ thống và
cất những chứng cứ vào hộp lưu trữ theo các bước sau :
1. Nếu có thể chỉ nên phân công một người thu thập các bằng chứng. Càng ít
người tham gia xử lý bằng chứng càng bảo đảm tính toàn vẹn của dữ liệu.
2. Đánh dâu tất cả các bằng chứng thu thập được với ngày, giờ hiện tại, số
serial và các đặc trưng riêng như kiểu dáng cùng với tên của người thu thập
nó.
3. Duy trì hai bản ghi riêng biệt của bằng chứng thu thập được để đối chiếu
sau này khi tiến hành kiểm toán.
4. Duy trì sự kiểm soát đối với các chứng cứ thu được và hiện trường.
158
Để hoàn thành bản phân tích và xử lý của bạn hãy thu thập tất cả các tài liệu
và các phương tiện truyền thông liên quan đến công tác điều tra, bao gồm
các tài liệu sau đây:
• Phần cứng, bao gồm các thiết bị ngoại vi

• Phần mềm, bao gồm hệ điều hành và các ứng dụng
• Tất cả các phương tiện truyền thông, như băng từ, ổ đĩa sao lưu
• Tất cả các tài liệu, hướng dẫn sử dụng, bản in, và ghi chú viết tay
Xử Lý Các Trung Tâm Dữ Liệu Với Hệ Thống RAID
Trong nhiều trường hợp các điều tra viên phải làm việc với các hệ thống
RAID, máy chủ hay trung tâm dữ liệu, các nhà cungc ấp dịch vụ internet hay
những công ty bảo hiểm, tài chính, ngân hàng. Nhưng nơi này thường có
các ổ cứng với kích thước cực lớn hay ứng dụng công nghệ RAID phức tạp.
Trong những trường hợp này hãy tham khảo các khuyến nghị trong Chương
4 về phương pháp thu thập dữ liệu trên các đĩa nguồn dung lượng lớn. như
sparse copy.
Một nhược điểm của kỹ thuật này là nó không phục hồi dữ liệu trong không
trống hoặc vùng dữ liệu phân mãnh. Vì vậy, nếu bạn có một công cụ điều tra
máy tính chuyên dùng cho việc truy cập các vùng chưa cấp phát trên các hệ
thống đĩa RAID thì hãy sử dụng chương trình này trước khi tiến hành sao
chép.
Sử Dụng Cố Vấn Kỹ Thuật
Khi làm việc với công nghệ tiên tiến, cần tuyển dụng một cố vấn kỹ thuật có
thể giúp bạn liệt kê các công cụ cần có để xử lý hiện trường. Tại các trung
tâm dữ liệu lớn, cố vấn kỹ thuật sẽ giúp bạn xác định vị trí dữ liệu và giải
nén các hồ sơ nhật kí hoặc những chứng cứ khác từ các máy chủ RAID lớn.
Trong trường hợp thực thi pháp luật, các cố vấn kỹ thuật có thể giúp điều tra
viên đề xuất các yêu cầu thích đáng nhằm thúc đẩy việc ban hành một lệnh
159
khám xét. Nếu bạn sử dụng một cố vấn kỹ thuật cho mục đích này, bạn nên
liệt kê tên của anh ta / cô ta trong trát.
Tại hiện trường, một cố vấn kỹ thuật có thể giúp các nhà điều tra để thu thập
chứng cứ một cách chính xác. Sau đây là những trách nhiệm của một cố vấn
kỹ thuật :
• Hiểu biết về hệ thống đang được thu giữ và tìm kiếm.

• Hỗ trợ các nhà điều tra trong việc xử lý các thông tin nhạy cảm và ngăn
ngừa sự thiệt hại.
• Trợ giúp đảm bảo an ninh hiện trường.
• Trợ giúp trong vấn đề lập kế hoạch và tài liệu cho việc tìm kiếm và thu giữ.
• Tiến hành đào tạo cấp tốc cho các nhà điều tra về các công nghệ và các hệ
thống
bị tịch thu và tìm kiếm.
• Lập tài liệu các hoạt động trong quá trình điều tra.
• Trợ giúp thực hiện việc tìm kiếm và thu giữ.
Lập Tài Liệu Chứng Cứ Trong Phòng Thí Nghiệm
Sau khi bạn thu thập bằng chứng kỹ thuật số tại hiện trường chúng ta sẽ vận
chuyển nó đến một phòng thí nghiệm điều tra máy tính, quá trình này cần
bảo đảm an ninh và giữ nguyên tính toàn vẹn của chứng cứ. Trong bất kỳ
công tác điều tra nào các bạn cũng phải ghi lại các hoạt động và những phát
hiện trong công việc. Làm như vậy chúng ta có thể duy trì một lịch trình
công việc và theo dõi tiến độ thực hiện được dễ dàng hơn. Với việc ghi chép
cẩn thận, khi một nhà điều tra khác tiếp quản công việc của bạn sẽ dễ dàng
nắm bắt toàn tiến trình đã thực hiện để có thể tiếp tục một cách nhanh chóng.
Xử Lý Các Bằng Chứng Kỹ Thuật Số

Bạn phải duy trì tính toàn vẹn của bằng chứng trong phòng thí nghiệm để
đồng nhất với dữ liệu gốc. Trước tiên, chúng ta phải bảo vệ các dữ liệu trên
160
đĩa cứng. Nếu có một máy tính khả nghi chưa được tạo bản sao hình ảnh thì
hãy tiến hành ngay theo các quy tắt đề ra trong Chương 4. Còn nếu như đĩa
đã được tạo bản sao thì hãy lưu giữ chúng cẩn thận, nếu cần có thể nén
chúng lại để dễ dàng lưu trữ và tiết kiệm đĩa cứng.
Lưu Trữ Bằng Chứng Kỹ Thuật Số

Với bằng chứng kỹ thuật số chúng ta cần phải xem xét những thiết bị thích
hợp để có thể lưu trữ và bảo vệ an toàn. Tùy thuộc vào thời gian lưu trữ
chứng cứ mà các bạn chọn những phương tiện thích hợp ví dụ như CD-R và
DVD là những phương tiện thông dụng trong thực tế, nhưng tuổi thọ của
chúng chỉ từ 2 đến 5 năm. Với các dữ liệu có kích thước lớn đòi hỏi phương
tiện lưu trữ phải có dung lượng lớn đủ để đáp ứng, ngày nay các ổ đĩa cứng
có dung lượng lên đến hàng ngàn GB cho phép các điều tra viên dễ dàng lựa
chọn phương tiện lưu trữ thích hợp.
Bạn cũng có thể sử dụng băng từ để bảo vệ dữ liệu và lưu trữ bằng chứng.
Ví dụ băng từ 4-mm DAT có khả năng lưu trữ từ 40 GB đến 72 GB dữ liệu
nhưng cũng như CD-R, những phương tiện lưu trữ này có tốc độ đọc và ghi
dữ liệu tương đối chậm. Hình 5-6 minh họa một ổ đĩa và băng từ 4-mm
DAT, và một chiếc ổ tape DLT.
Hình 5-5 : 4-mm DAT và ổ tape DLT
Tuy nhiên, không nên dựa trên một phương tiện lưu trữ duy nhất để lưu trữ
chứng cứ, nên tạo hai bản sao để gia tăng độ an toàn cho chứng cứ, cũng như
sử dụng những phương pháp khác nhau cho quá trình thu thập thông tin ví
161
dụ dùng lệnh dd của Linux để tạo ra hình ảnh đầu tiên và ProDiscover để tạo
ra Hình ảnh thứ hai.
Duy Trì Bằng Chứng Và Nhu Cầu Của Phương Tiện Lưu
Trữ
Để duy trì chuỗi chứng cứ tạm giữ của bằng chứng kỹ thuật số trước khi
trình bày và được chấp nhận tại tòa án các điều tra viên cần hạn chế truy cập
vào phòng thí nghiệm và khu vực lưu trữ bằng chứng. Trong trường hợp mở
cữa cho các hoạt động cần thiết cần phải có người giám sát liên tục. Khi
phòng thí nghiệm của bạn đóng cửa, phải có ít nhất hai nhân viên an ninh
bảo vệ tủ lưu trữ chứng cứ và các cơ sở phòng thí nghiệm. Nếu áp dụng ở
chế độ an ninh tốt nhất thì phòng thí nghiệm của bạn nên có một danh sách
đăng ký cho tất cả khách ghé thăm, có sổ nhật kí để ghi lại những hoạt động
truy cập hợp lệ như các tình huống bảo trì, bảo dưỡng hệ thống máy tính,
máy chủ. Các biểu mẫu lưu ký chứng cứ nên có một mục điền thông tin
dành cho người xử lý các bằng chứng (xem Hình 5-7).
Hình 5-7 : Một mẫu Log file (tập tin nhật kí)
162
Lập Tài Liệu Chứng Cứ
Để lập tài liệu chứng cứ hãy sử dụng hay tạo mới các biểu mẫu như trình
bày trong Chương 2. Hãy tạo ra một biểu mẫu tạm giữ chứng cứ cho phép sự
hiệu chỉnh, cập nhật để thích ứng với sự thay đổi của công nghệ khi cần
thiết. Một biểu mẫu tạm giữ bằng chứng cần đáp ứng các chức năng sau đây:
• Xác định các bằng chứng

• Xác định những ai đã xử lý các bằng chứng
• Danh sách ngày tháng và thời gian bằng chứng được xử lý
Xác Định Giá Trị Băm

Trong ba đặc tính của an toàn thông tin là tính riêng tư, tính khả dụng và
toàn vẹn dữ liệu thì đặc tính thứ ba là quan trọng nhất đối với chứng cứ số,
mặc dù hai đặc tính còn lại cũng chiếm vai trò qua trọng và không thể thiếu
nhưng sự toàn vẹn chứng cứ kỹ thuật số là điều kiện bảo đảm cho tính xác
thực và đáng tin của bằng chứng khi trình bày trước toà. Để xác nhận tính
toàn vẹn cho dữ liệu thu thập có nhiều phương pháp khác nhau, nhưng thông
dụng nhất là sử dụng các thuật toán băm như MD5 và SHA đã trình bày
trong chương 4 để tạo ra các giá trị băm. Các giá trị này đã được chứng minh
và công nhận trong việc kiểm chứng tính toàn vẹn của dữ liệu, mà theo đó
chỉ có một giá trị băm duy nhất cho mỗi dư liệu gốc, nếu như dữ liệu gốc
này bị thay đổi dù chỉ là một bit cũng sẽ tạo ra một giá trị băm khác. Mặc dù,
theo lý thuyết vẫn có sự xung đột trong thuật toán MD5 nhưng khả năng này
là rất ít, nhưng nếu cẩn thận hơn các bạn vẫn có thể áp dụng các thuật toán
SHA hay những giải thuật cao cấp hơn tùy thuộc vào công cụ sử dụng.
Các bạn có thể sử dụng chức năng MD5 ở FTK tạo chữ kí số của một tập tin
hoặc toàn bộ một ổ đĩa. Trong bài tập sau đây chúng ta sử dụng một ổ USB
và bạn tạo một tập tin thử nghiệm, sau đó tạo ra một giá trị băm MD5 cho
nó. Tiếp theo hãy thay đổi các tập tin và tạo một giá trị băm MD5 khác để
kiểm chứng :
163
1. Bật máy trạm điều tra chứng cứ của bạn và khởi động Windows.
2. Gắn một ổ đĩa USB vào máy tính của bạn (bảo đảm còn đủ dung lượng
trống cần thiết).
3. Sau đó mở Notepad vào tạo một tập tin mới.
4. Nhấn File, Save As từ thanh trình đơn. Trong hộp văn bản File name, hãy
nhập vào InChap05.txt và chọn Save để lưu tập tin này lên ổ đĩa USB.
5. Thoát khỏi Notepad.
Tiếp theo, chúng ta sẽ sử dụng FTK Imager để xác định các giá trị băm MD5
và SHA-1 của tập tin trên. Hãy tiến hành theo các bước sau :
1.Mở FTK Imager bằng cách nhấn Start, trỏ đến All Programs, trỏ đến
AccessData, rê chuột đến FTK Imager, và nhấp vào FTK Imager.
2. Nhấn vào File, Add Evidence Item từ trình đơn. Trong hộp thoại Select
Source, bấm
nút chọn ổ đĩa Logical Drive và sau đó kích Next.
3. Trong hộp thoại Select Drive, bấm vào mũi trong danh sách Drive
Selection và chọn ổ USB của bạn trong danh sách thả xuống, và sau đó nhấn
Finish.
4. Kích chuột phải vào ổ đĩa USB ở phía trên bên trái và nhấp vào Verify
Drive/Image. Quá trình hóa xác minh sẽ mất một vài phút. Khi hoàn tất ta sẽ
thấy một cửa sổ tương tự như Hình 5-8. Hãy sao chép giá trị băm MD5 và
SHA-1 vào một tập tin văn bản trong
Notepad, và sau đó nhấn Close. Lưu lại tập tin này với tên tùy ý và sau đó
thoát khỏi Notepad.
164
Hình 5-8 : Xác nhận giá trị băm với FTK Imager
5. Trong FTK Imager, hãy nhấp vào File, Remove Evidence Item từ thanh
trình đơn.
Để FTK Imager chạy và thực hiện các bước thay đổi trên tập tin :
1. Khởi động Notepad, và mở tập tin InChap05.txt.

2. Xóa một từ bất kì. Lưu tập tin với cùng tên và thoát khỏi Notepad.
3. Lặp lại các bước trước đó trong FTK Imager để tạo ra MD5 và giá trị hash
SHA-1.
Hãy kiểm tra các giá trị băm mới được tạo ra với giá trị cũ sẽ dễ dàng nhận
thấy sự khác biệt, điều này cho chúng ta biết các tập tin mới và không đồng
nhất về nội dung, hay nói cách khác tính toàn vẹn của tập tin đã bị mất. Đối
với các tập tin ảnh thật sự tác dụng cũng tương tự. Sau khi xác nhận hãy
thoát khỏi FTK Imager.
Xem Lại Một Tình Huống

Trong Chương 2 đã trình bày các thao tác lập kế hoạnh điều tra của bạn, với
các thao tác thông dụng thường xuất hiện trong bất kì vụ án nào :
165
• Xác định các yêu cầu vụ án.
• Lập kế hoạch điều.
• Tiến hành điều tra.
• Hoàn thành báo cáo công tác điều tra.
• Tự đánh giá quá trình công tác để rút kinh nghiệm.
Các phần sau đây cung cấp cho các bạn một vài ví dụ về điều tra dân sự và
hình sự, và sau đó bạn sẽ đưa ra một số giải pháp để tiến hành điều tra cho
những tình huống này.
Mợt Tình Huống Điều Tra Dân Sự

Hầu hết các trường hợp điều tra trong môi trường doanh nghiệp được coi là
điều tra ở mức độ thấp, hoặc trường hợp phi hình sự. Điều này không có
nghĩa là điều tra máy tính trong công ty ít quan trọng hơn, nhưng so với tiến
trình diều tra hình sự thì các điều tra viên sẽ ít tốn thời gian và công sức hơn.
Ví dụ của một cuộc điều tra dân sự ở mức độ thấp là tìm kiếm thông tin và
bằng chứng emailtrong một vụ kiện giữa hai doanh nghiệp. Tình huống này
các điều tra viên chỉ cần kiểm tra chỉ emailthay vì phải phân tích toàn bộ ổ
cứng.
Ông Jones tại Công ty A tuyên bố đã nhận được một đơn đặt hàng trị giá
200.000 USD ông Smith, là nhân viên quản lý mua hàng tại Công ty B.
Công ty A đã tiến hành sản xuất các vật dụng cần thiết và thông báo cho
Công ty B rằng họ đã sẵn sàng giao hàng. Nhưng ông Smith tại Công ty B
trả lời rằng họ không có đặt lô hang trên và sẽ không trả tiền cho Công ty A.
Công ty A đã trình bày emailyêu cầu các vật dụng nhận được từ ông Smith
và thông báo cho Công ty B về emailnày.
Tuy nhiên, Công ty B đã thông báo cho Công ty A là emailtrên không có

nguồn gốc từ máy chủ emailcủa họ, vì vậy họ sẽ không trả tiền cho các vật
dụng. Điều này dẫn đến sự tranh chấp và Công ty A đã tiến hành một vụ
kiện chống lại Công ty B dựa trên thư đặt hàng đã nhận được từ ông Smith.
Các luật sư cho Công ty A đã thảo luận với luật sư của Công ty B về công
tác điều tra theo đúng pháp luật. Luật sự đã yêu cầu điều tra chứng cứ trên
166
máy tính của ông Smith nhằm tìm kiếm nội dung của email đặt hàng. Đồng
thời, luật sư của Công ty B đã yêu cầu xác định có hay không một email giả
mạo đơn hãng trên máy tính của ông Jones.
Là một điều tra viên máy tính, bạn được yêu cầu thực hiện việc giám định
xem email trên máy tính của ông Jones có phải là một thông điệp giả mạo.
Bởi vì đây là một cuộc điều tra email, không phải là một tội phạm lớn liên
quan đến máy tính nên bạn sẽ được cử đến công ty A. Và nhận thấy máy
tính của ông Jones sử dụng Microsoft Outlook, như vậy các bạn chỉ cân khôi
phục tập tin .pst trong thư mục chưa dữ liệu email của Outlook, ngoài ra bạn
không được phép làm bất cứ điều gì khác. Bạn sẽ thực hiện theo các bước
sau đây :
1. Đóng chương trình Outlook trên máy tính của ông Jones.
2. Sử dụng Windows Explorer để xác định vị trí của tập tin Outlook. Pst có
chứa emailcông việc của ông Jones. Có thể sử dụng chức năng tìm kiếm của
Windows xác định vị trí tập tin tự động.
3. Xác định kích thước của tập tin. Pst để dùng các thiết bị lưu trữ thích hợp
chẳng hạn như dùng một ổ đĩa USB kết nối đến máy tính của ông Jones.
4. Sao chép các tập tin .pst vào ổ đĩa USB.
5. Điền vào mẫu bằng chứng của bạn, gồm vị trí và thời gian thu thập chứng
cứ là tập tin .pst.
6. Quay về phòng thí nghiệm và lưu giữ ổ đĩa USB tại vị trí an toàn.
Ví Dụ Về Điều tra Hình sự

Các tình huống phạm tội liên quan đến máy tính trong phạm vi từ gian lận,
giả mạo chứng cứ cho đến giết người thuộc phạm vi hình sự. Do các máy in
ngày nay có thể cho ra những bản in chất lượng cao nên việc gian lận thông
tin như làm giả giấy tờ, thẻ căn cước, giấy phép lái xe, thậm chi là in tiền giả
là những tình huống tội phạm hình sự liên quan đến máy tính phổ biến nhất.
Ở một tình huống khác, kẻ lừa đảo còn giả mạo tin nhắn để mượn tiền hay
yêu cầu nạp thẻ cào điện thoại mà các bạn hay thấy đề cập trên báo chí.
Trong một vụ án gần đây, cảnh sát nhận được một được tin báo có những
hoạt động giả mạo trong một tòa nhà chung cư. Sau khi thám tử liên lạc với
167
một người cung cấp tin đáng tin cậy, ông đã có đủ thông tin tin cho một lệnh
khám xét và yêu cầu bộ phận tuần tra hỗ trợ tìm kiếm chứng cứ. Khi các
thám tử vào căn hộ của nghi phạm và tiến hành tìm kiếm sơ bộ, ông đã tìm
thấy một mạng lưới sáu máy trạm cao cấp với các loại cáp kết nối với các
thiết bị trong căn hộ liền kề thông qua một lỗ hổng trên tường (xem Hình 5-
9). Thật không may, lệnh khám xét chỉ cho phép tìm kiếm trong một căn hộ.
Các thám tử đã liên lạc với phó công tố viên, cô ta đã hướng dẫn cách thức
bảo vệ ở cả hai căn hộ cho đến khi cô ấy yêu cầu một lệnh khám xét bổ sung
cho các căn hộ lân cận. Khi thám tử nhận được lệnh tìm kiếm thứ hai, các
thám tử bước vào căn hộ liền kề và tiếp tục công tác tìm kiếm của mình và
đã tìm thấy nhiều bằng chứng quan trọng như có nhiều máy tính hơn, cùng
với những máy in laser màu chất lượng cao, giấy phép lái xe bị đánh cắp ...
Kết quả của cuộc điều tra cho thấy thủ phạm là ba học sinh trung học đã làm
và bán các thẻ sinh viên giả.
Hình 5-9 : Một tình huống kiểm tra bị hạn chế.
Đánh Giá Thông Tin Sơ Bộ Cho Một Vụ Án
168
Công ty Superior Bicycles chuyên cung cấp các mẫu thiết kế mang tính
sáng tạo về xe đạp có trang web tại www.superiorbicycles.biz. Công ty có
hai nhân viên, Chris Murphy và Tjeriko Nau bị mất tích trong nhiều ngày.
Trên một ổ đĩa USB được thu hồi từ văn phòng của Chris có các bằng chứng
cho thấy rằng ông đã tiến hành một công việc kinh doanh khác trên máy tính
của công ty. Người quả lý là Steve đã nói chuyện với các nhân viên khác
nhưng không một ai biết lý do tại sao Chris và Nau không đi làm. Steve tìm
kiếm trên bàn làm việc của Nau và thấy một số mẫu quảng cáo du lịch Châu
Âu, còn trên bàn làm việc của Chris có các ghi chú về một nhà cung cấp tại
Thụy Sĩ có tên được dán trên một ổ đĩa USB. Steve nghi ngờ ổ đĩa USB có
chứa nhiều thông tin nhạy cảm và anh ta đã gọi cho bạn, là người phụ trách
công tác điều tra máy tính cho công ty. Ông ta đã mô tả sự vắng mặt của
Chris và Nau và yêu cầu bạn kiểm tra ổ đĩa USB để xem có thông tin nào
liên quan đến sự vắng mặt này hay không.
Xác Định Các Yêu Cầu Của Vụ Án

Trước khi tiến hành phân tích ổ đĩa USB, hãy trả lời các câu hỏi cơ bản sau
đây:
• Tính chất của vụ án là gì? – Có hai nhân viên bị mất tích hay vắng mặt trái
phép.
• Tên của các nhân viên vắng mặt trái phép là gì? – Chris Murphy và Nau
Tjeriko.
• Họ làm gì? – Chris làm việc tại phòng quản lý hành chính và Nau là y tá
làm việc tại công ty.
• Hệ điều hành của máy tính nghi phạm là gì? – Microsoft Windows XP.
• Những loại phương tiện truyền thông cần phải được kiểm tra? – Một ổ đĩa
USB.
• Cấu Hình của máy tính nghi ngờ, chẳng hạn như loại máy tính, tốc độ
CPU, kích thước ổ cứng? – Một bộ xử lý AMD dual-core, 3 GB RAM, HDD
200 GB Western.
Kế Hoạch Điều tra
169
Để tìm thông tin về nơi ở của Chris và Nau, hãy lập danh sách những gì giả
thiết của bạn về tình huống này, và cả những thông tin mà bạn xác định được
:
• Những vấn đề liên quan và không liên quan đến sự vắng mặt của Chris và
Nau.
• Máy tính của Chris có thể chứa thông tin liên quan đến sự vắng mặt của
anh ta.
• Có ai khác đã sử dụng máy tính của Chris kể từ khi ông vắng mặt hay
không.
Bạn cần phải tạo một ảnh đĩa cho ổ đĩa USB của Chris và thu thập các thông
tin phục vụ cho công tác điều tra vụ án. Phần sau đây sẽ hướng dẫn cách sử
dụng AccessData FTK để kiểm tra nội dung của ổ đĩa.
Tiến Hành Điều Tra: Thu Thập Bằng Chứng Với

Accessdata FTK
Hãy làm theo các bước sau:
1. Hãy khởi động máy tính của bạn và gắn ổ USB có chứa chứng cứ vào
máy tính.
2. Khởi động FTK, nhấn Start, trỏ đến All Programs, trỏ đến AccessData,
Forensic Toolkit, và nhấp vào Forensic Toolkit.
3. Trong hộp thoại Startup FTK AccessData, nhấp vào nút Start a new case,
và sau đó nhấn OK.
4. Trong hộp thoại New Case, nhập vào tên của bạn là điều tra viên, số hiệu
vụ án là InChp05 cùng tên thích hợp và sau đó kích Next.
5. Điền các thông tin cần thiết vào hộp thoại Forensic Examiner Information,
và sau đó nhấn Next cho đến khi thấy hộp thoại Evidence Processing
Options. Hãy chắc chắn rằng các ổ checkbox Data Carve không được đánh
dấu để tiết kiệm thời gian sau đó nhấn Next.
170
6. Trong hộp thoại Refine Case - Default nhấp vào nút All Items (xem Hình
5-10), và sau đó kích Next.
Hình 5-10 : Hộp thoại Refine Case – Default
7. Trong hộp thoại Refine Index – Default hãy chấp nhận các thiết lập mặc
định, và sau đó nhấp vào Next.
8. Trên hộp thoại Add Evidence to Case hãy nhấp vào nút Add Evidence.
9. Trên hộp thoại Add Evidence to Case tiếp theo hãy nhấp vào nút
Acquired Image of Drive và sau đó nhấp vào Continue.
10. Trong hộp thoại Open, điều hướng đến thư mục làm việc của bạn, và
click để chọn tập tin InChap05.001 sau đó nhấn Open. (lưu ý đây là tập tin
mà chúng ta thu thập được từ ổ USB của Christ).
171
11.Trong hộp thoại Evidence Information nhập các thông tin bổ sung như
Hình 5-11và sau đó nhấp vào Local Evidence Time Zone trên danh sách thả
xuống và sau đó nhấn OK.
Hình 5-11 : Hộp thoại Evidence Information
12.Trong hộp thoại Add Evidence to Case như trong Hình 5-12 hãy chấp
nhận các thiết lập mặc định, và sau đó kích Next.
172
Hình 5-12 : Hộp thoại Add Evidence to Case với tập tin ảnh đĩa được nạp.
13.Trong hộp thoại Case Summary (xem Hình 5-13), nhấn Finish để bắt đầu
phân tích. FTK sẽ thực hiện một số công việc trên tập tin Hình ảnh
InChap05.001 như trong Hình xem Hình 5-14. Quá trình lập chỉ mục sẽ tạo
ra một cơ sở dữ liệu của mỗi từ trong tập tin Hình ảnh với vị trí chính xác
của nó để bạn có thể dễ dàng tìm kiếm các từ khóa cần quan tâm trong công
tác điều tra của mình.
173
Hình 5-13 : Hộp thoại Case Summary
Hình 5-14 : Hộp thoại Processing Files
174
14. Khi FTK kết thúc quá trình lập danh bạ và chỉ mục sẽ xuất hiện tab
Overview. Để tiến hành phân tích một Hình ảnh với FTK, hãy nhấp vào tab
Explore. Trong cửa sổ phía trên bên trái (Hình cây), hãy mở rộng một thư
mục, và sau đánh dấu chọn vào ô List all descendants.
15. Hãy duyệt các tập tin trong khung bên dưới sẽ thấy cửa sổ phía trên bên
phải hiển thị những dữ liệu trong các tập tin. Ví dụ như Hình 5-15 cho thấy
các dữ liệu của tập tin PICT0032.jpg hiển thị trong khung bên dưới. Khảo
sát các dữ liệu này để xem có thông tin nào liên quan đến tình huống điều
tra.
Hình 5-15 : Các tập tin cần quan tâm
16.Khi bạn đã xác định được các tập tin có chứa thông tin bạn nghĩ là quan
trọng, hãy nhấp vào hộp kiểm tra bên cạnh tên tập tin trong khung bên dưới.
Tiếp tục tìm kiếm thêm thông tin, và chọn bất kỳ tập tin nào cần quan tâm.
17. Sau khi bạn đã chọn tất cả các tập tin cần quan tâm, hãy nhấp vào Tools ,
Create Bookmark từ thanh trình đơn. Trong hộp thoại Create New
175
Bookmark, nhập tên bookmark và những mô tả. Sau đó nhấp vào nút All
checked items, đánh dấu chọn vào ô Include in report and Export files như
Hình 5-16 và nhấn OK.
Hình 5-16 : Hộp thoại Create New Bookmark
18. Tiếp theo hãy nhấp vào File Report Wizard từ thanh trình đơn. Trong
hộp thoại Case Information nhấn để chọn ô Include Investigator Information
in report rồi chọn tên điều tra viên trong danh sách thả xuống, và sau đó
kích Next.
19. Trong cửa sổ Bookmarks hãy nhấn Next. Tiếp tục nhấn Next đến khi
mở cữa sổ Report Location và sau đó nhấn Finish.
20.Khi Report Wizard hiển thị một yêu cầu bạn có muốn xem báo cáo hay
không hãy nhấn Yes để xem báo cáo trong trình duyệt web mặc định của
bạn. Nhấp vào liên kết để xem nội dung của báo cáo, và sau đó đóng trình
duyệt của bạn. Khi bạn đã thực hiện xong, thoát khỏi FTK bằng cách nhấn
vào File, Exit từ thành trình đơn. Nếu được nhắc nhở để sao lưu các trường
hợp của bạn, nhấn No.
176
■ Các bằng chứng kỹ thuật số là bất cứ thông tin lưu trữ, hay được truyền
trên các phương tiện truyền thông, thông tin này rất dễ bị tác động, thay đổi.
■ Các công ty nên công bố các chính sách tuyên bố rằng họ có quyền kiểm
tra tài sản máy tính.
■ Vụ án Hình sự yêu cầu các lệnh khám xét và phải được thực hiện đúng
quy định.
■ Các điều luật plain view có thể áp dụng khi các nhà điều tra tìm thấy các
chứng cứ liên quan đến vụ án.
■ Khi chuẩn bị cho một cuộc điều tra hãy mô tả vắn tắt bản chất của vụ án,
xác định các loại hệ điều hành.
■ Khi giao dịch với một vật liệu nguy hiểm (HAZMAT) nên có sự hỗ trợ
của các chuyên gia tronh lĩnh vực vật liệu nguy hiểm.
■ Luôn luôn chụp ảnh hoặc sử dụng một máy quay video để ghi Hình ảnh
hiện trường.
■ Khi bạn thu thập bằng chứng kỹ thuật số, hãy bảo vệ chúng khỏi sự phá
hũy hay tác động
■ Lựa chọn một phương tiện cho lưu trữ bằng chứng kỹ thuật số phụ thuộc
vào thời gian lưu trữ bằng chứng. Các phương tiện lưu trữ lý tưởng là CD-R
hay DVD. Bạn cũng có thể sử dụng băng từ, chẳng hạn như DAT 4 mm và
băng từ DLT.
■ Xác định giá trị băm để kiểm tra tính toàn vẹn của chứng cứ.
■ Bạn phải xử lý tất cả các bằng chứng theo cùng một phương pháp để bảo
đảm tính nhất quán trong kết quả đạt được.
177
178
CHƯƠNG 6
LÀM VIỆC VỚI HỆ ĐIỀU HÀNH WINDOWS

VÀ MS-DOS
• Giải thích mục đích và cấu trúc của hệ thống tập tin
• Mô tả cấu trúc tập tin của hệ điều hành Windows
• Giải thích cấu trúc của hệ thống đĩa New Technology File System (NTFS)
• Liệt kê các tùy chọn mà hóa và giải mã toàn bộ đĩa cứng
• Giải thích cách hoạt động của Windows Registry
• Mô tả tiến trình khởi động của hệ điều hành Windows
• Mô tả tiến trình khởi động MS-DOS
• Giải thích mục đích của một máy ảo
179
Chương 6 và 8 cung cấp một cái nhìn tổng quan về dữ liệu máy tính và hệ
thống ổ đĩa. Trong chương này chúng ta sẽ tìm hiểu cách thức lưu trữ và
quản lý dữ liệu của hệ điều hành Windows. Để có thể thực hiện việc phục
hồi dữ liệu một cách thông thạo các bạn cần hiểu rõ về hệ thống tập tin của
các hệ thống Windows từ những phiên bản Windows XP, Windows 7 cho
đến các hệ điều hành dành cho máy chủ hay những hệ thống đời cũ nhưng
vẫn còn được ứng dụng trong nhiều tình huống như MS DOS.
Các bạn cũng sẽ tìm hiểu về những tiến trình khởi động của hệ thống
Windows để hạn chế những tác động vô ý vào dữ liệu chứng cứ. Bên cạnh
đó là những kiến thức về ảo hóa ngày càng được sử dụng rộng rãi trong thực
tế như Virtual PC.
Chương 8 tiếp tục thảo luận về hệ thống tập tin trên các hệ điều hành
Macintosh và Linux và các thiết bị phần cứng như đĩa CD, CD-RW, SCSI,
IDE và ổ đĩa SATA.
Tổng Quan Về Hệ Thống Tập Tin

Để điều tra các bằng chứng máy tính hiệu quả, các bạn cần hiểu cách lưu trữ
tập tin của các hệ điều hành thông dụng. Hệ thống tập tin cung cấp các ánh
xạ dữ liệu trên đĩa cứng, xác định cách thức lưu trữ của dữ liệu. Các điều tra
viên máy tính cần phải biết cách để truy cập và hiệu chỉnh hệ thống khi cần
thiết, điều này đỏi hỏi kiến thức và kỹ năng về hệ thống mục tiêu, do đó
trong chương này chương này chúng ta sẽ tìm hiểu chi tiết về hệ điều hành
Microsoft Windows và DOS
Hiểu Về Trình Tự Khởi Động Của Hệ Thống Windows

Trong công tác điều tra chứng cứ số các bạn cần biết cách truy cập CMOS
và Basic Input / Output System thường được gọi vắn tắt là BIOS để thay đổi
các thiết lập cần thiết như thay đổi thứ tự ổ đĩa khởi động, bật hoặc tắt các
chức năng phần cứng và nhiều tính năng khác. Một máy tính lưu trữ cấu
hình hệ thống, thông tin ngày tháng và thời gian trong CMOS, còn BIOS
chứa các chương trình thực hiện đầu vào và đầu ra ở cấp độ phần cứng.
180
Cách thông dụng nhất để truy cập vào CMOS/BIOS là nhấn phím Delete khi
máy tính mới khởi động. Mặc dù có một số khác biệt trên một vài dòng máy
như phải bấm phím F2 hay F10 tùy vào nhà sản xuất nhưng không quá khó
khăn để nhận biết điều này, chỉ cần chú ý dòng thông báo trên màn hình
trong quá trình tiền khởi động chúng ta sẽ dễ dàng biết được. Hình 6-1 cho
thấy một màn hình CMOS điển hình với các thiết lập về trình tự khởi động
theo thứ tự ổ cứng, ổ CD-ROM, rồi đến USB hay theo thứ tự mà ta chọn.
Khi thu thập dữ liệu từ đĩa khởi động CD ROM hay DVD thì chúng ta sẽ
thay đổi lại trình tự trên từ CD ROM / DVD trước.
Hình 6-1 : Màn Hình CMOS
Tìm Hiểu Về Đĩa ổ Đĩa

Ổ đĩa là nơi lưu trữ hầu hết những thông tin và dữ liệu của máy tính. Những
thành phần của ổ đĩa gồm có các thành phần như trong Hình 6-2:
• Geometry - là một cấu trúc đĩa của đĩa cứng với các platter, track và sector.
• Head – là thiết thiết bị đọc và ghi dữ liệu vào ổ đĩa. Mỗi platter sẽ có một
head.
• Track - là những vòng tròn đồng tâm dùng để lưu trữ dữ liệu trên một bề
mặt đĩa.
• Cylinder – là một cột gồm nhiều track trên hai hay nhiều bề mặt đĩa. Thông
thường,
mỗi platter có hai mặt: trên và dưới.
181
• Sector – là một khu vực trên track, thông thường có kích thước 512 byte.
Hình 6-2 : Các thành phần của đĩa cứng
Trong Hình 6-3 minh họa một mối liên hệ số học giữa các cylinder, head, và
sector (CHS), với một hệ thống đĩa cứng có 1024 cylinder, mỗi track có 63
sector và ổ đĩa trên có 32 head tương ứng với 32 track thì chúng ta sẽ có
tổng cộng 2.064.384 sector hay phân đoạn dữ liệu.
182
Hình 6-3 : CHS
Khám Phá Cấu Trúc Tập Tin Của Hệ Điều Hành

Windows
Phần lớn người dùng hiện nay sử dụng các sản phẩm của Microsoft, vì vậy
chúng ta cần nắm vững cấu trúc tập tin của hệ thống Windows và cả hệ điều
hành DOS. Các bạn cần hiểu rõ các thuật ngữ như cluster, File Allocation
Table (FAT) hay New Technology File System (NTFS).
Khi biết được cách mà một hệ điều hành lưu trữ tập tin các bạn cũng sẽ biết
được cách mà chúng che dấu thông tin, dữ liệu. Trong cấu trúc tập tin của
183
Microsoft Windows, cluster là nhóm của các sector với kích thước là 512,
1024, 2048, 4096 byte. Việc kết hợp các sector thành cluster sẽ tăng hiệu
suất đọc ghi lên đĩa cứng. Số lượng sector trong mỗi cluster tùy thuộc vào
kích thước của đĩa, ví dụ một đĩa mềm hai mặt sẽ có một secrtor trên mỗi
cluster, còn đối với đĩa cứng thì mỗi cluster có 4 sector hoặc nhiều hơn. Và
cluster được đánh số thứ tự từ 2 trở đi vì sector đầu tiên trên tất cả các đĩa
cứn được dùng để lưu trữ tập tin hệ thống, boot record.
Phân Vùng Của Đĩa Cứng

Các đĩa cứng thường được phân vùng hay chia thành nhiều phần để dễ lưu
trữ và tổ chức dữ liệu, các phần vùng này là những ổ đĩa logic mà chúng ta
thường thấy qua các kí tự ổ đĩa C/D/E trên máy tính. Ví dụ, một ổ đĩa cứng
có thể chứa bốn phân vùng hoặc ổ đĩa logic, trong đó phần vùng chứa các
tập tin khởi động gọi là primary partition.
Một số người muốn che dấu dữ liệu trên đĩa cứng bằng cách tạo ra các phân
vùng trống giữa primary partition và logic partition đầu tiên, khu vực này
được gọi là partition gap Khi gặp phải tình huống này các điều tra viên có
thể sử dụng công cụ disk editor để phá vỡ liên kết của phân vùng ẩn để đọc
dữ liệu. Những công cụ hiệu chỉnh ổ đĩa thông dụng có thể thao tác với cấu
trúc vật lý của ổ đĩa như Norton Disk Edit, WinHex, hay Hex Workshop.
Những công cụ này cho phép bạn xem header và những phần chi tiết của tập
tin tập tin như phân tích các mã hexa (thập lục phân) và bảo trì hệ thống tập
tin trong các trường hợp bị hỏng hóc như “bad sector”. Có nhiều mã thập lục
phân hay hexa code tương ứng với hệ thống tập tin trên phân vùng như trong
Bảng 6-1.
Bảng 6-1 : Mã hexa tương ứng với các hệ thống tập tin. Sau đây là danh sách
chi tiết về mã hexa tương ứng với các hệ thống tập tin :
184
00 NO-Partition empty partition
01 DOS 12-bit FAT
02 XENIX root file system
03 XENIX /usr file system
04 DOS 16-bit FAT
05 Extended DOS 3.3 và partition mở rộng
06 DOS 3.31+ Large File System (16-bit FAT, trên 32M)
07 Advanced Unix
07 QNX QNX
07 OS/2 HPFS
07 WindowsNT NTFS
08 OS/2 (v1.0-1.3)
08 AIX bootable partition, SplitDrive
08 Commodore DOS
08 DELL partition spanning multiple drive
09 Coherent Coherent filesystem
09 AIX data partition
0A OPUS
0A Coherent swap partition
0A OS/2 Boot Manager
0B Windows 95 với 32-bit FAT
185
0C Windows 95 with 32-bit FAT (sử dụng LBA-mode INT 13 extension)
0E VFAT logical-block-addressable VFAT
0F Extended LBA Extended partition
10 OPUS
11 FAT 12 OS/2 Boot Manager hidden 12-bit FAT partition
12 Compaq Diagnostics partition
14 FAT16 OS/2 Boot Manager hidden sub-32M 16-bit FAT partition
16 FAT16 OS/2 Boot Manager hidden over-32M 16-bit FAT partition
17 OS/2 OS/2 Boot Manager hidden HPFS partition
17 NTFS hidden NTFS partition
18 ASTSuspend AST special Windows swap file ("Zero-Volt Suspend"

partition)
19 Willowtech Photon CoS
1B Hidden Windows95 FAT32 partition
1C Hidden Windows95 FAT32 partition (LBA-mode)
1E Windows hidden LBA VFAT partition
20 Willowsoft Willowsoft Overture File System (OFS1)
21 [reserved] không sử dụng
21 FSo2
24 NEC MS-DOS 3.x
186
38 Theos
3C PowerQuest PartitionMagic recovery partition
40 VENIX 80286
41 Personal RISC Boot
41 PowerPC boot partition
42 SFS(Secure File System)
45 EUMEL/Elan
46 EUMEL/Elan
47 EUMEL/Elan
48 EUMEL/Elan
4F Oberon boot/data partition
50 OnTrack Disk Manager, read-only partition
51 OnTrack Disk Manager, read/write partition
51 NOVELL
52 CP/M
52 Microport System V/386
53 OnTrack Disk Manager
187
54 OnTrack Disk Manager (DDO)
55 EZ-Drive EZ-Drive (INT 13/AH=FFh"EZ-Drive")
56 GoldenBow VFeature
5C Priam EDISK
61 SpeedStor
63 Unix SysV/386, 386/ix
63 Mach Mach, MtXinu BSD 4.3 on Mach
63 GNU-HURD
64 Novell NetWare 286
64 SpeedStore
65 Novell NetWare (3.11)
67 Novell
68 Novell
69 Novell NSS Volume
70 DiskSecure Multi-Boot
75 PC/IX PC/IX
7E F.I.X.
188
80 Minix v1.1 - 1.4a
81 Minix v1.4b+
81 Linux
81 Mitac Advanced Disk Manager
82 Linux/Swap partition
82 Prime
82 Solaris (Unix)
83 Linux native file system (ext2fs/xiafs)
84 DOS OS/2-renumbered type 04h partition (hiding DOS C: drive)
85 Linux EXT
86 FAT16 volume/stripe set (Windows NT)
87 HPFS Fault-Tolerant mirrored partition
87 NTFS volume/stripe set
93 Amoeba file system
94 Amoeba bad block table
98 Datalight ROM-DOS SuperBoot
99 Mylex EISA SCSI
A0 Phoenix NoteBIOS Power Management "Save-to-Disk" partition
A1 [reserved] không sử dụng
189
A5 FreeBSD, BSD/386
A6 OpenBSD
A9 NetBSD (http://www.netbsd.org/)
B1 [reserved] không sử dụng
B6 Windows NT mirror set (master), FAT16 file system
B7 BSDI file system
B7 Windows NT mirrorset (master), NTFS file system
B8 BSDI swap partition (secondarily file system)
BE Solaris boot partition
C0 CTOS
C0 /DR-DOS/Novell DOS secured partition
C1 DR DOS 6.0 LOGIN.EXE-secured 12-bit FAT partition
C4 DR DOS 6.0 LOGIN.EXE-secured 16-bit FAT partition
C6 DR DOS 6.0 LOGIN.EXE-secured Huge partition
C6 corrupted FAT16 volume/stripe set (Windows NT)
C6 Windows NT mirror set (slave), FAT16 file system
C7 Syrinx Boot
C7 corrupted NTFS volume/stripe set
190
C7 Windows NT mirror set (slave), NTFS file system
CB DR-DOS/OpenDOS secured FAT32
CC DR-DOS secured FAT32 (LBA)
CE DR-DOS secured FAT16 (LBA)
D0 Multiuser DOS secured FAT12
D1 Old Multiuser DOS secured FAT12
D4 Old Multiuser DOS secured FAT16 (<= 32M)
D5 Old Multiuser DOS secured extended partition
D6 Old Multiuser DOS secured FAT16 (> 32M)
D8 CP/M-86
DB CP/M, Concurrent CP/M, Concurrent DOS
DB CTOS (Convergent Technologies OS)
E1 SpeedStor 12-bit FAT extended partition
E2 DOS read-only (Florian Painke's XFDISK 1.0.4)
E3 DOS read-only
E3 Storage Dimensions
E4 SpeedStor 16-bit FAT extended partition
E5 [reserved] không sử dụng
E6 [reserved] không sử dụng
EB BeOS BFS (BFS1)
F1 Storage Dimensions
191
F2 DOS 3.3+ secondary partition
F3 [reserved] không sử dụng
F4 SpeedStor
F4 Storage Dimensions
F5 Prologue
F6 [reserved] không sử dụng
FB vmware partition
FE LANstep
FE IBM PS/2 IML (Initial Microcode Load) partition
FF Xenix bad block table
FM VMware raw partition
Trong một số trường hợp, bạn có thể cần phải xác định hệ thống tập tin trên
một đĩa cứng không rõ nguồn gốc với các công cụ Norton DiskEdit,
WinHex, hoặc Hex Workshop. Sau đây là thao tác thực hiện với Hex
Workshop để xác định hệ điều hành :
1. Hãy download chương trình Hex Workshop từ trang web

www.hexworkshop.com và tiền hành cài đặt trên máy tính của bạn.
2. Gắn một ổ đĩa USB vào một cổng USB trên máy tính.
3. Khởi động chương trình Hex Workshop.
4. Trong Hex Workshop hãy nhấp vào Disk, Open Drive từ thanh trình đơn
ta sẽ thấy danh sách ổ đĩa logic. Tiếp theo hãy nhấn vào ổ C;\ hay ổ đĩa làm
việc của bạn và nhấn OK. Như Hình 6-4 sẽ minh họa một cấu trúc đĩa trong
Hex Workshop.
192
Các kí tự NTFS cho chúng ta biết hệ thống tập tin
Hình 6-4 : Dùng Hex Workshop để xác định hệ thống tập tin.
5.Nhấn lại vào Disk , Open Drive nhưng trong danh sách thả xuống Open
Drive hãy nhấp vào ổ đĩa USB của bạn, và sau đó nhấn OK. Hãy so sánh tên
hệ thống tập tin của ổ đĩa với thông tin mà ta xác định được trong bước 4.
Và khoan đóng Hex Workshop để thực hiện tiếp những thao tác tiếp theo.
Với các công cụ như Hex Workshop các bạn cũng có thể xác định tên với
phần mở rộng hoặc không. Trước khi thực hiện các bước sau đây trong Hex
Workshop các bạn hãy mở một tập tin ảnh nào đó trên máy tính của mình,
sau đó làm theo các bước sau:
1. Hãy mở một tập tin ảnh .bmp bất kì trên máy tính.
2. Như trong Hình 6-5, cửa sổ hiển thị của Hex Workshop sẽ cho ta thấy các
tập tin đồ họa, chẳng hạn như với tập tin bmp chương trình sẽ hiện thị
"BM6", "BM", hoặc "BMF. " kèm theo đó là mã hexa như "42 4D".
193
Hình 6-5 : Xác định tập tin ảnh BMP trong Hex Workshop
3. Tiếp theo hãy mở một tập tin văn bản Word. Như trong Hình 6-6, ở dòng
đầu tiên chứa một hàng số 0 theo sau "D0 CF 11 E0 A1 B1 1A E1, " sẽ xác
định các tập tin tài liệu Microsoft Office. Header này cũng giống với các tiêu
đề của tập tin Excel hay PowerPoint, ngoại trừ tập tin cơ sở dữ liệu Access.
4. Thoát khỏi Hex Workshop.
Hình 6-6 : Xác định tập tin Microsoft Office trong Hex Workshop
Master Boot Record
194
Trên hệ điều hành Windows và DOS ổ đĩa khởi động có chứa một tập tin gọi
là Master Boot Record (MBR) dùng để lưu giữ thông tin về phân vùng trên
đĩa như vị trí, kích thước cùng nhiều thông tin quan trọng khác. Một số phần
mềm có thể chỉnh sửa MBR, chẳng hạn như Partition Magic Boot Magic,
trong công tác điều tra các bạn có thể sử dụng kết hợp những chương trình
này với các tiện ích điều tra máy tính khác của mình.
Khảo Sát Ổ Đĩa FAT

File Allocation Table (FAT) là cấu trúc cơ sở dữ liệu tập tin mà Microsoft
thiết kế cho các ổ đĩa mềm. FAT được sử dụng trên hệ thống tập tin trước
khi Windows NT và 2000 ra đời. Có bốn loại hệ thống tập tin FAT là FAT
12 dùng cho hệ thống đĩa mềm, FAT 16 dùng cho các đĩa cứng dung lượng
dưới 2 GB chạy trên hệ điều hành như Windows 95, FAT 32 áp dụng cho
các ổ đĩa có dung lượng lớn hơn 2 GB (tối đa là 2 TB) sử dụng trên những
hệ điều hành Windows XP, Windows Vista hay Windows 7. Và sau cùng là
FATX dùng cho thiết bị Xbox.
Trong các định dạng trên thì FAT 32 đáng được quan tâm ho7nc ả, vì các
bạn có thể gặp nhiều trong thực tế. Trên hệ thống tập tin này, kích thước
cluster được xác định bởi hệ điều hành có thể dao động từ 1 sector bao gồm
512 byte đến 128 sector, mỗi sector gồm 64 KB.
Microsoft cấp phát không gian đĩa cho các tập tin bằng cluster, điều này có
khả năng tạo ra các khe hở dữ liệu hay file slack trên đĩa cứng, đây là
khoảng trống không được dùng đến của sector cuối cùng được cấp phát cho
một tập tin. Ví dụ, bạn tạo một tài liệu văn bản có 5.000 ký tự tương ứng
với 5000 byte dữ liệu. Nếu bạn lưu tập tin này trên một đĩa FAT16 có kích
thước 1.6GB. Đối với một đĩa 1,6 GB, hệ điều hành cấp phát khoảng 32.000
byte, hay 64 sector (512 byte trên mỗi sector) cho tập tin có kích thước 5000
byte của bạn, như vậy 27.000 byte còn lại sẽ không được dùng đến và cũng
không được cấp phát lại cho các tập tin khác, đây là một vùng trống hay khe
hỡ dữ liệu file slack như trong Hình 6-7.
195
Hình 6-7 : File slack
Khi kích thước tập tin tăng lên hệ thống sẽ cấp phát thêm cluster để lưu trữ
sẽ tạo thêm các slack trên đĩa cứng, thông thường chuỗi cluster sẽ liền lạc
với nhau (như Hình 6-8) giúp cho việc truy xuất dữ liệu thuận tiện hơn do
đầu đọc của đĩa cứng chỉ cần di chuyển theo một lộ trình liền lạc, nhưng khi
hệ thống hoạt động sẽ tạo ra các xáo trộng trong trật từ các cluster, làm cho
việc truy xuất dữ liệu bị giảm do đầu đọc phải di chuyển lui tới nhiều lần
trên bề mặt đĩa để đọc hết nội dung của tập tin, đây là sự phân mãnh và các
hệ điều hành hay xử lý vấn đề này bằng tiện ích Defragment.
Hình 6-8 : Chuỗi liên kết giữa sector và cluster
196
Xóa Tập Tin FAT - Khi một tập tin bị xóa trong Windows Explorer hoặc
với MS-DOS bằng lệnh delete, hệ điều hành sẽ chèn một kí tự hex là E5
(0xE5) vào đầu tập tin (một số chương trình hiệu chỉnh ổ đĩa sẽ hiện thi bằng
kí tự sigma). Điều này cho biết không gian đĩa cấp phát cho tập tin trên được
xem như là vùng trống hay vùng chưa cấp phát (unallocated disk space), và
có thể dùng để lưu trữ tập tin khác. Như vậy, chúng ta thấy dữ liệu vẫn chưa
mất đi nều vùng không gian này chưa được một tập tin nào khác sử dụng để
lưu trữ, hay gõi vắn tắt là chưa bị ghi.
Khảo Sát Ổ Đĩa NTFS

New Technology File System (NTFS) được Microsoft giới thiệu khi cho ra
đời sản phẩm Windows NT, đây cũng là hệ thống tập tin chính thức cho các
hệ điều hành sau này như Windows Vista, Windows 7 … Đây là một hệ
thống tập tin giúp tăng hiệu suất hoạt động của hệ điều hành và các ứng
dụng chạy trên nó, tăng dung lượng đĩa cứng và giảm thiểu nhưng không
gian không được sử dụng (slack).
Trên một ổ đĩa NTFS, tất cả dữ liệu ghi lên đĩa cứng đều được xem là tập
tin. Vùng dữ liệu đầu tiên là phân vùng khởi động Partition Boot Sector (hay
sector 0). Tiếp theo sau Partition Boot Sector là bảng Master File Table
(MFT). Đây là tập tin đầu tiên của đĩa cứng được cùng với lúc phân vùng
được tạo và định dạng là NTFS và thường chiếm khoảng 12,5% không gian
đĩa. Đây cũng là lý do mà chúng ta thấy một ổ đĩa không bao giờ tận dụng
được 100 % không gian lưu trữ của nó.
Một lợi thế quan trọng của NTFS hơn FAT là ít bị tình trạng slack do công
nghệ này quản lý các sector và cluster hiệu quả hơn giúp tiết kiệm không
gian lưu trữ tập tin.
Hệ Thống Files NTFS
197
Bởi vì tất cả mọi thứ trên một đĩa NTFS là một tập tin, với tập tin đầu tiên là
MFT chứa thông tin về tất cả các tập tin trên đĩa, bao gồm cả hệ thống tập
tin hệ điều hành sử dụng. Trong MFT, 15 record đầu tiên được dành riêng để
lưu trữ các tập tin hệ thống, các record trong MFT được xem như là các siêu
dữ liệu. Các bạn có thể tham khảo thông tin về siêu dữ liệu của MFT tại địa
chỉ http://goo.gl/5URQN.
MFT Và Các Thuộc Tính Của Tập Tin

Công nghệ lưu trữ trên hệ thống đã thay đổi rất nhiều với NTFS. Các thông
tin về tập tin và thư mục được lưu trữ trong các record tách biệt có kích
thước 1024, và được xem như là các thuộc tính của tập tin với mỗi vùng của
record là ID của thuộc tính. Để biết thêm chi tiết về cấu Hình của MFT hãy
tham khảo tại trang web http://technet.microsoft.com/en-
us/library/cc781134.aspx hay
http://sourceforge.net/project/showfiles.php?group_id=13956&package_
id=16543&release_id=244298.
Hình 6-9 là một bản ghi MFT record trình bày các thuộc tính của một tập tin
xem trong một trình soạn thảo thập lục phân.
A: Tất cả các MFT record bắt đầu với FILE0

B: Bắt đầu của thuộc tính 0x10
C: Chiều dài của thuộc tính 0x10 (giá trị 60)
D: Bắt đầu của thuộc tính 0x30
E: Chiều dài của thuộc tính 0x30 (giá trị 70)
F: Bắt đầu của thuộc tính 0x40
G: Chiều dài của thuộc tính 0x40 (giá trị 28)
H: Bắt đầu của thuộc tính 0x80
I: Chiều dài của thuộc tính 0x80 (giá trị 70)
J: Thuộc tính thường trú 0x80
K: Điểm bắt đầu của dữ liệu thường trú.
198
Hình 6-9 : Các thuộc tính của tập tin trình
Hình 6-10 : Thông tin của tập tin thường trú.
199
Hình 6-11 : Các MFT record của tập tin không thường trú.
A: Bắt đầu của thuộc tính không thường trú 0x80.

B: Chiều dài thuộc tính của 0x80
C: Cờ của thuộc tính không thường trú 0x80.
D: Bắt đầu của dữ liệu nạp.
E: Kết thúc của các record, đánh dấu “FF FF FF FF” cho các hồ sơ MFT
record.
Cấu Trúc MFT Của Tập Tin Dữ Liệu

Khi xem cấu trức của MFT record với một công cụ hexa editor như
WinHex, dữ liệu được hiển thị từ phải sang trái. Ví dụ, giá trị thập lục phân
400 được hiển thị như là 00 04 00 00, và số 0x40000 được hiển thị như 00
00 04 00. Phần đầu tiên của một MFT record là header xác định kích thước
và vị trí khởi đầu của thuộc tính đầu tiên. Tiếp theo sau header là các thuộc
tính cụ thể cho các loại tập tin, ví dụ như là một tập tin ứng dụng hay một
tập tin dữ liệu. Các MFT record dành cho thư mục và tập tin hệ thống có
200
những thuộc tính bổ sung mà không hiển thị trong một bản ghi MFT record.
Các bạn có thể tham khảo thêm về những thông tin này tại danh sách sau :
 0x10 Standard Attribute Header

 0x20 Non resident pointers
 0x30 File name
 0x50 Security descriptor
 0x60 Volume name
 0x80 Data run pointers and file size
 0xA0 Index allocation
 0xB0 Bitmap
 0xD0 EA information
 0xE0 EA
 0xF0 Property Set
Luồng Dữ Liệu NTFS

Khi thao tác trên các ổ đĩa NTFS các ba5nc ần lưu ý có thể một tập tin được
nối vào một tập tin khác làm cho chúng ta không thể nhận biết bằng mắt
thường, đây là kỹ thuật che dấu dữ liệu được gọi là luồng dữ liệu NTFS. Ví
dụ như lệnh sau sẽ tạo ra một luồng dữ liệu
C:\echo text _st ri ng > myf il e. txt :stream_name
Hay ta có thể lưu tập tin testfile.txt vào trong tập tin myfile.txt với lệnh :
C :\ type textfile.txt > myfile.txt:stream1
Bằng mắt thường các bạn không thể nhận biết được sự lồng ghép này hay
hiện diện của các tập tin được streaming, tuy nhiên khi khảo sát bằng những
chương trình chuyên dùng các bạn có thể nhận biết được sự có mặt của
chúng. Vì luông dữ liệu NTFS hỗ trợ việc streaming một tập tin exe vào một
tập tin txt nên có thể bị hacker lợi dụng chèn mã độc hay virus, do đó một số
chương trình diệt virus thông dụng có thể phát hiện ra các luông dữ liệu có
chứa tập tin thực thi.
Nén Các Tập Tin NTFS
201
Nén tập tin để giảm kích thước là thao tác quan trọng trong lưu trữ và bảo vệ
chứng cứ, với những tiện ích nén thông dụng như Winrar, Winzip các bạn có
thể giảm kích cỡ của chúng xuống nhiều lần. Nếu như chúng ta sử dụng các
tiện ích nén do bên thứ ba cung cấp thì phải sử dụng công cụ giải nén thích
hợp. Còn trong trường hợp các bạn sử dụng chức năng nén có sẳn trong hệ
thống tập tin NTFS thì không cần phải giải nén khi đọc dữ liệu, thao tác nén
và giải nén như vậy hay được gọi bằng thuật ngữ nén và giải nén hoàn toàn
“trong suốt”.
Tính Năng Mã Hóa EFS Trên Hệ Thống Tập Tin NTFS – Bên cạnh chức
năng nén thì hệ thống tập tin NTFS còn hỗ trợ việc mã hóa EFS (Encrypting
File System) để bảo vệ tính bí mật của dữ liệu. Cũng như việc nén tiến trình
mã hóa này hoàn toàn trong suốt đối với người dùng, và dữ liệu mã hóa khi
đọc bởi người có thẩm quyền sẽ giải nén hoàn tao2n tự động.
EFS Recovery Key Agent

EFS Recovery Key Agent có chứ năng phục hồi certificate hay còn gọi là
chứng chỉ số dùng cho việc xác thực và mã hóa trong mô Hình mã hóa khóa
công khai. Quá trình phục hồi này có thể được thực hiện theo hai cách :
thông qua chức năng phục hồi trên hệ thống Windows hoặc sử dụng lệnh
MS-DOS như lệnh Cipher, Copy, Efsrecvr. Hãy tham khảo trang giúp đỡ
(thông qua tùy chọn /?) trên mỗi lệnh để biết thêm chi tiết.
Do việc phục hồi này cần thực hiện bởi quản trị hệ thống nên người dùng
cần email hay sao chép tập tin bị mã hóa với EFS và yêu cầu quản trị hệ
thống giải mã. Để biết thêm thông tin về giải mã tập tin EFS hãy tham khảo
tài liệu Microsoft Windows Resource Kit tại địa chỉ
www.microsoft.com/windows/reskits/default.asp.
Xóa Tập Tin NTFS

Thông thường, khi ta xóa một tập tin trong Windows Explorer thì chúng sẽ
được chuyển đến “thùng rác” trên máy tính hay Recycle Bin. Tùy thuộc vào
kích thước của Recycle Bin mà dữ liệu có thể bị ghi đè hoặc bị xóa ngay lập
202
tức. Nếu dữ liệu được chuyển đến Recycle Bin chúng ta có thể phục hồi
chúng một cách dễ dàng. Tuy nhiên, trong một số trường hợp tập tin bị xóa
bằng những phương pháp khác như dùng lệnh xóa của MS DOS hay do kích
thước qua lớn không thể chuyển vào thùng rác, thì chúng ta phải phục hồi
bằng những công cụ điều tra máy tính chuyên ghiệp hay các ứng dụng phục
hồi dữ liệu mạnh mẽ như Get Data Back, Easy Recovery…
Thách Thức Từ Vấn Đề Mã Hóa Toàn Bộ Ổ Đĩa

Ngày càng có nhiều vụ tấn công liên quan đến định danh người dùng như
thông tin tài khoản ngân hàng, thẻ tín dụng và nhiều dữ liệu quan trọng khác
chứa đựng bí mật kinh doanh, thông tin công nghệ và thậm chí cả bí mật
quốc gia. Điều này dấy lên những mối lo ngại cho người dùng khi truyền
thông qua mạng internet hay lưu trữ dữ liệu trên đĩa cứng của mình. Vì lý do
đó Microsoft và cả những công ty sản xuất ứng dụng đã liên tục đổi mới
công nghệ để cho ra đời những giải pháp mã hóa mạnh mẽ, trong đó có
phương pháp mã hóa toànb ộ ổ cứng đã đem đến một thách thức rất lớn cho
những nhà điều tra máy tính.
Để thu thập dữ liệu trên các ổ đĩa được mã hóa chúng ta cần phải giải mã
trước, cần phải xác định được công cụ mã hóa đã áp dụng, thuật toán mã hóa
và cả chìa khóa để giải mã. Điều này sẽ gây khó khăn cho công tác điều tra
chưa kể đến những công cụ mã hóa cao cấp còn tiến hành khóa cả boot
sector ngăn không cho khởi động hệ thống. Trong những trường hợp này
phương pháp thu thập dữ liệu tĩnh sẽ không có tác dụng, thay vào đó là cơ
chế thu thập động sẽ được tiến hành.
Microsoft BitLocker
Microsoft cung cấp một tiện ích bảo vệ dữ liệu ổ đĩa là BitLocker, chỉ có sẵn
với Windows Vista / Windows 7 Enterprise và Ultimate hay trên các hệ
thống máy chủ. Các yêu cần phần cứng cũng như phần mềm để sử dụng
BitLocker như sau:
203
• Một máy tính chạy hệ điều hành Windows 7 / Windows Vista
• Sử dụng chip TPM, phiên bản 1.2 hoặc mới hơn
• BIOS máy tính tương thích với Trusted Computing Group (TCG)
• Có hai phân vùng NTFS dành cho hệ điều hành và cho hệ thống với ít nhất
1,5 GB không gian trống.
• Cấu Hình BIOS để khởi động ổ đĩa cứng trước khi kiểm tra đĩa CD / DVD
hay các thiết bị ngoại có khả năng khởi động khác.
Công Cụ Mã Hóa Đĩa Của Bên Thứ Ba

Bên thứ 3 hay third-party là những nhà sản xuất phần cứng hay phần mềm
máy tính khác có khả năng cung cấp những chương trình mã hóa mạnh mẽ,
và ít bị ràng buộc vào nền tảng công nghệ do hệ điều hành áp đặt. Ví dụ,
BitLocker chỉ có thể mã ổ đĩa NTFS. Nếu bạn muốn mã hóa một ổ đĩa FAT,
bạn cần một giải pháp của bên thứ ba. Sau đây là một số chương trình mã
hóa third-party thông dụng :
• PGP Whole Disk Encryption (www.pgp.com) có thể sử dụng trên máy tính
để bàn, máy tính xách tay, và các phương tiện truyền thông di động khá để
mã hóa toàn bộ đĩa.
• Voltage SecureDisk ( www.voltage.com/products/index.htm) được thiết kế
để chạy trên các dòng máy chủ.
• Utimaco SafeGuard Easy (http://americas.utimaco.com/safeguard_easy/)
cung cấp giải pháp mã hóa toàn bộ đĩa cho hệ thống tập tin NTFS và FAT.
• TrueCrypt (www.truecrypt.org) là ứng dụng mã hóa nguồn mở rất mạnh
mẽ và miễn phí, có thể mã hóa một thư mục, một partition hay toàn bộ ổ đĩa.
Dữ liệu được mã hóa và giải mã tự động trong thời gian thực.
Tổng Quan Về Windows Registry

Khi Microsoft cho ra đời Windows 95 họ đã tạo nên một cuộc cách mạng
trong việc quản lý phần cứng và phần mềm trên hệ thống, bằng cách hợp
nhất các tập tin khởi tạo (ini) vào Registry. Registry là một cơ sở dữ liệu lưu
trữ thông tin cấu Hình phần cứng và phần mềm, kết nối mạng, thông tin
204
người dùng bao gồm cả tên truy cập và mật khẩu và những thông tin cài đặt
khác. Registry đã được cập nhật và vẫn được sử dụng trong các hệ thống
Windows tiên tiến ngày nay như Windows 8 hay Windows Server 2008. Để
xem và hiệu chỉnh Registry, các bạn có thể sử dụng chương trình Regedit
(Registry Editor) cho Windows 9x và Regedt32 cho Windows 2000, XP, và
Windows 7.
Để biết thêm thông tin về cách sử dụng Regedit và Regedt32, hãy xem tài
liệu Microsoft Windows Resource Kit cho hệ điều hành. Bạn có thể tìm thấy
thông tin tại http://support.microsoft.com/kb/256986
Tổ Chức Của Windows Registry

Windows Registry được tổ chức theo cấu trúc cây và với mỗi phiên bản có
những khác biệt nhưng nói chung cấu trúc chung thì vẫn như nhau trên mọi
hệ điều hành Windows. Sau đây là một số thuật ngữ của Registry :
• Registry – Tập hợp các thông tin về phần cứng, phần mềm trên hệ thống.
• Registry Editor – Tiện ích dùng để xem và hiệu chỉnh Registry
• HKEY - Windows chia Registry thành các thư mục với tiền tố HKEY_.
• Key - Mỗi thư mục HKEY chứa các thư mục con liên qua gọi là registry
Key.
• Subkey – Một Registry key nằm trong một key khác.
• Giá trị của Key - tên và giá trị trong một registry.
Khi xem Registry với Registry Editor, bạn sẽ nhìn thấy HKEY và những
khóa liên quan như trong Hình Hình 6-12.
205
Hình 6-12 : Xem registry key với registry editor trên hệ thống Widows XP.
Khảo Sát Windows Registry

Trong nhiều tình huống điều tra các bạn cần phải khảo sát hệ thống
Windows Registry để xác định bằng chứng ví dụ như tìm kiếm danh sách
các trang web mà nghi phạm thường truy cập, xác định những phần mềm
được cài đặt và chạy tự động hay các địa chỉ email chứa trong tập tin
user.dat của người dùng.
Có nhiều công cụ khảo sát registry mạnh mẽ, và các ứng dụng chuyên dùng
cho điều tra máy tính như ProDiscover và FTK, có tích hợp cộng cụ xem
Registry hỗ trợ cho công tác điều tra thêm thuận lợi.
Tiến Trình Khởi Động Của Microsoft Windows

Hiểu rõ quá trình khởi động của hệ thống Windows là một điều bắt buộc đối
với những chuyên gia xử lý sự cố mày tính. Và đối với công tác điều tra điều
này cũng không là ngoại lệ, các bạn cần biết những gì đang diễn ra trên máy
tính khả nghi để hạn chế tối đa sự tác động làm hư hỏng chứng cứ kỹ thuật
số. Trong các phần sau đây, chúng ta sẽ tìm hiểu những tập tin nào sẽ được
thực thi và truy cập khi hệ thống Windows khởi động.
Tiến Trình Khởi Động Trong Windows NT Trở Về Sau
206
So với hệ thống Windows 95 / 98 thì Windows NT là một cuộc cách mạng
trong công nghệ máy tính cho lĩnh vực mạng và truyền thông. Ngoài những
tính năng hữu ích và giao diện thân thiện, hệ điều hành Windows NT còn
được trang bị những chức năng mạnh mẽ của một hệ điều hành mạng, vì lý
do đó mà khi Windows NT ra đời thì ngày càng vắng bóng hệ thống Novell
Netware trong lĩnh vực hệ điều hành dành cho mạng máy tính. Tuy nhiên,
những sự cải tiến sau này của hệ thống Windows có thể trang bị thêm nhiều
tính năng như về tiến trình khởi động hầu như gần như nhau trên các hệ điều
hành dựa trên công nghệ NT nh7 Windows NT / 2000/ XP/ Vista / Windows
7. Tất cả các máy tính NTFS đề thực hiện các bước sau đây có khi công tắt
nguồn được bật :
• Tiến trình tự kiểm tra Power-on self test (POST)

• Bắt đầu khởi động
• Nạp Boot loader
• Dò tìm phần cứng và thông tin cấu Hình
• Nạp nhân hay Kernel
• Đăng nhập người dùng
Tiến Trình Khởi Động Trong Windows 9x/Me

Giống như Windows XP, các tập tin hệ thống trong Windows 9x/Me có
chứa thông tin có giá trị có thể được thay đổi trong quá trình khởi động, điều
này có khả năng ảnh hưởng đến giá trị chứng cứ và tính toàn vẹn của chúng.
Windows 9x và Windows Me có tiến trình khởi động tương tự nhau.
Windows 9x có hai chế độ hoạt động: DOS protected-mode interface

(DPMI) và protected-mode GUI. Nhiều công cụ điều tra máy tính cũ sử
dụng chế độ DPMI và không có thể chạy tại chế độ dòng lệnh của Windows
vì các truy cập đĩa cứng của chúng tạo ra sự xung đột với giao diện đồ họa.
Là một điều tra viên, các bạn cần hiểu rõ về hệ thồng MS –DOS và những
dòng lệnh cơ bản sau đây :
• Dir- Hiển thi danh sách thư mục.

• Cd (Chdir) - Thay đổi vị trí thư mục.
• Cls - Xóa màn Hình.
207
• Date – Hiển thi thông tin ngày thiết lập trên CMOS.
• Copy - Sao chép một tập tin.
• Del (Erase) - Xoá bỏ một tập tin.
• Md (Mkdir) - Tạo một thư mục con.
• Path – Xác định đường dẫn để tìm các lệnh và các chương trình
khác.
• Rd (rmdir) - Xoá bỏ một thư mục.
• Set - Thiết lập hoặc loại bỏ các biến môi trường.
•Type - nội dung của một tập tin văn bản trên màn Hình.
• Ver – Hiển thị phiên bản MS-DOS mà bạn đang làm việc.
• Vol - Hiển thị nhãn của ổ đĩa.
Tiến Trình Khởi Động Của Hệ Điều Hành MS-DOS

MS-DOS sử dụng ba tập tin khởi động với tên giống như trong hệ điều hành
Windows 9x/Me là IO.SYS, MSDOS.SYS, và COMMAND.COM. Hai tập
tin khác được sử dụng để cấu Hình MS-DOS lúc khởi động là config.sys và
autoexec.bat. Mặc dù MS-DOS và Windows 9x sử dụng các tập tin có cùng
tên trong tiến trình khởi động nhưng có một số khác biệt quan trọng giữa các
tập tin trong các hệ điều hành này.
IO.SYS là tập tin đầu tiên được nạp sau khi bộ nạp ROM xác định được ổ
đĩa khởi động. IO.SYS sau đó cư trú trong bộ nhớ RAM và cung cấp các
dịch vụ nhập / xuất cơ bản cho tất cả các chức năng của MS-DOS.
MSDOS.SYS là chương trình thứ hai được tải vào bộ nhớ RAM ngay sau
khi IO.SYS nạp xong. Đây chính là hạt nhân của hệ điều hành hay còn gọi là
OS kernel và không phải là một tập tin văn bản như trong Windows 9x và
Me. Sau khi MSDOS.SYS hoàn tất việc thiết lập các dịch vụ cho MS-DOS
nó sẽ tìm kiếm tập tin config.sys để cấu Hình các trình điều khiển thiết bị và
các thiết lập khác.
Config.sys là một tập tin văn bản có chứa các lệnh chỉ chạy lúc khởi động hệ
thống để cấu Hình mở rộng cho máy tính chạy hệ điều hành MS-DOS. Tiếp
theo, MSDOS.SYS sẽ nạp COMMAND.COM, chứa các lệnh nội trú của hệ
208
thống. Khi quá trình nạp COMMAND.COM gần hoàn tất, MSDOS.SYS sẽ
tìm kiếm và thực thi tập tin autoexec.bat để chạy các chương trình tự động.
Sau đó MS-DOS sẽ thiết lập lại các thông tin ngày giờ của lần khởi động
cuối.
Những Hệ Điều Hành Khác

Ngoài các hệ thống điều hành thông dụng do Microsoft triển khai, trong thực
tế các bạn còn gặp những máy tính chạy hệ điều hành UNIX hay các bản
phân phối của Linux như Fedora, Ubuntu và nhiều hệ thống khác như MAC
OS, các hệ điều hành chuyên dùng cho thiết bị di động. Đối với những hệ
thống ít phổ biên, các bạn cần có sự tìm hiểu và đánh giá hiện trường thích
hợp để khi tiến hành công tác không gặp những sự cố do hạn chế về mặt
kiến thức. Bên cạnh tự nâng cao kiến thức và kỹ năng, các điều tra viên còn
có thể tìm kiếm các sự hỗ trợ khác từ những chuyên gia công nghệ, thậm chí
là một hacker mũ trắng cũng trợ giúp nhiều trong những vấn đề cần vượt qua
sự kiểm soát của hệ thống hay các trở ngại do vấn đề mã hóa gây ra.
Công Nghệ Ảo Hóa Và Máy Ảo

Có thể nói trong gia đoạn hiện nay công nghệ ảo hóa và máy ảo là một
trong những thành phần quan trọng nhất. Nhờ có ảo hóa mà doanh nghiệp
tiết kiệm được rất nhiều chi phí về phần cứng, phần mềm và nguồn lục quản
trị. Với một máy chủ có cấu Hình phần cứng mạnh mẽ chúng ta có thể cài
cùng lúc nhiều hệ điều hành khác nhau như Windows Server 2008 hay
Redhat để chạy các máy chủ email, máy chủ cơ sở dữ liệu.
Trên các máy tính cá nhân, người dùng cũng hay ứng dụng ảo hóa để cài đặt
các chương trình và lưu trữ dữ liệu, vì lý do đó điều tra viên trong lĩnh vực
máy tính cần có kiến thức về công nghệ ảo hóa, đặc biệt là những công nghệ
thông dụng như VMWARE (xem Hình 6-13 minh họa về một hệ thống
Windows XP Pro chạy trên nền VMWARE Server).
209
Hình 6-13 : Máy ảo Windows XP Professional
Các công nghệ ảo hóa thường được ứng dụng hiện nay như Virtual PC và
Hyper-V của Microsoft, Virtual Box của Oracle hay VMWARE. Để có thể
tận dụng được sức mạnh ảo hóa đòi hỏi cấu Hình phần cứng máy tính mạnh
mẽ, đặc biệt là CPU, RAM và đĩa cứng. Trong chương 11 chúng ta sẽ tìm
hiểu chi tiết về vấn đề điều tra máy tính trên các hệ thống ảo.
Cài Đặt Máy Ảo

Việc cài đặt một máy tính ảo không khác nhiều so với cài đặt một máy tính
thật, nhưng trước tiên các bạn cần phải cài đặt các chương trình ảo hóa thích
hợp và xác định cấu Hình phần cứng tương thích. Như các CPU phải hỗ trợ
ảo hóa và đa nhiệm, hoặc khi cài đặt máy ảo trên nên Hyper-V đòi hỏi thêm
nền tảng máy tính 64 bit.
Trong trường hợp máy tính khả nghi có chứa dữ liệu về các tập tin máy ảo,
các bạn cần xác địng chương trình máy ảo tương ứng để cài đặt trên máy
210
tính điều tra trong phòng thí nghiệm. Đối với các tập tin đặc biệt này đôi khi
cần phải có bản sao lưu riêng vì trong nó có khả năng chứa những dữ liệu và
chứng cứ quan trọng.
211
■ Khi khởi động máy tính của một nghi phạm, cần sử dụng các đĩa khởi
động chuyên dùng cho điều tra máy tính, cần tránh các tác động làm thay đổi
chứng cứ.
■ Bạn nên truy cập vào BIOS của máy tính nghi ngờ để cấu Hình khởi động
trước tiên từ CD/DVD hay USB.
■ Master Boot Record (MBR) lưu trữ thông tin về các phân vùng trên đĩa.
■ Microsoft sử dụng FAT12 và FAT16 trên các hệ thống điều hành cũ hơn,
chẳng hạn như MS-DOS, Windows 3.x và Windows 9x. Kích thước phân
vùng tối đa là 2 GB. Những hệ thống tiên tiến hơn sử dụng FAT32. Còn
FAT12 được sử dụng chủ yếu trên đĩa mềm và ổ đĩa USB nhỏ.
■ Sector được nhóm lại thành các Cluster.
■ Khi tập tin được xóa trong một hệ thống tập tin FAT, một kí tự sigma
trong bảng chữ cái Hy Lạp (0x05) sẽ thêm vào ký tự đầu tiên của tên tập tin.
■ New Technology File System (NTFS) sử dụng Master File Table (MFT)
để theo dõi thông tin tập tin.
■ Records trong MFT chứa ID thuộc tính lưu trữ siêu dữ liệu về các tập tin.
■ Trong NTFS, các luồng dữ liệu có thể làm ẩn những thông tin chứng cứ
quan trọng.
■ File slack hay Drive slack, bộ nhớ truy cập ngẫu nhiên có khả năng chứa
thông tin có giá trị, chẳng hạn như các tập tin tải về, các tập tin trao đổi,
mật khẩu, và ID đăng nhập.
■ NTFS có thể mã hóa dữ liệu với Encrypting File System (EFS) và
BitLocker.
■ Với một trình soạn thảo hệ thập lục phân, bạn có thể xác định những thông
tin như loại tập tin và hệ điều hành.
■ NTFS có thể nén các tập tin, thư mục hay toàn bộ volume. FAT16 chỉ có
thể nén toàn bộ volume.
■ Registry trong Windows giữ một bản ghi của phần cứng, thông tin người
sử dụng, kết nối mạng, và phần mềm được cài đặt.
■ Windows 9x/Me lưu trữ thông tin người dùng trong user.dat, còn
Windows 2000 lưu những thông tin này trong Ntuser.dat.
212
■ Công nghệ ảo hóa cho phép bạn chạy nhiều hệ điều hành khác nhau trên
một máy tính vật lý, các máy tính ứng dụng công nghệ ảo hóa như Virtual
PC, VMWARE … gọi là các máy ảo. Công nghệ ảo hóa là một sự tiến bộ
vượt bậc đem đến nhiều lợi ích cho người dùng, doanhnghie65p và cả những
điều tra viên máy tính. Các bạn có thể chạy một công cụ điều tra máy tính
như BackTrack 5 R2 trên máy ảo VMWARE Worksattion.
213
214
CHƯƠNG 7
Các Công Cụ Điều Tra Máy Tính Hiện Nay
Sau Khi Hoàn Thành Chương Này Các Bạn Có Thể :

• Giải thích yêu cầu của máy tính dùng cho công tác điều tra pháp lý
• Mô tả công cụ phần mềm pháp lý có sẳn trên máy tính
• Liệt kê một số mối quan tâm về các công cụ pháp lý và phần cứng máy
tính
• Mô tả phương pháp để phê chuẩn và thử nghiệm công cụ điều tra máy tính
215
Chương 3 đã trình bày phương pháp để thiết lập một máy tính phòng thí
nghiệm máy tính. Trong chương này các bạn sẽ tiếp tục tìm hiểu về những
phần mềm và các công cụ phần cứng được sử dụng trong quá trình điều tra
máy tính. Chúng ta sẽ không tập trung vào một sản phẩm cụ thể nào mà thay
vào đó để cập đến phương cách để chọn công cụ phục vụ cho nhu cầu điều
tra máy tính dựa trên các tiêu chí cụ thể.
Các công cụ này liên tục phát triển, cập nhật, vá lỗi, và sửa đổi. Do đó các
bạn cần thường xuyên kiểm tra các thay đổi này từ trang web của nhà cung
cấp hay từ các bản tin gởi qua email của họ. Những cải tiến này có thể giải
quyết những vấn đề khó khăn, thậm chí là nan giải mà công cụ hiện tại chưa
xử lý được trong quá trình điều tra của bạn.
Trước khi mua bất kỳ công cụ pháp lý, hãy xem xét tác dụng của chúng
trong vấn đề tiết kiệm thời gian và phải bảo đảm rằng những ứng dụng này
không ảnh hưởng đến dữ liệu chứng cứ. Ngoài ra, vấn đề tương thích với
cấu Hình phần cứng hiện tại của phòng thí nghiệm cũng cần được quan tâm
để tránh những thay đổi tốn kém không cần thiết, bên cạnh đó là yếu tố chi
phí cho sản phẩm và cả chi phí đào tạo, hướng dẫn sử dụng. Cuối cùng, khi
lập kế hoạch mua phần mềm và phần cứng mới cho phòng thí nghiệm điều
tra máy tính ta cần bảo đảm công cụ mới sẽ đáp ứng nhu cầu công việc tốt
hơn những sản phẩm mà bạn đang hiện có.
Đánh Giá Về Nhu Cầu Các Công Cụ Điều Tra Chứng

Cứ Trên Máy Tính
Khi tiến hành công tác điều tra máy tính chúng ta cần có một kế hoạch cụ
thể để có được kết quả tốt nhất. Trong việc mua sắm trang thiết bị cũng vậy,
chúng ta cần có một bản đánh giá về nhu cầu sử dụng và chức năng của ứng
dụng phần cứng cũng như phần mềm để sự đầu tư đạt được kết quả khả quan
nhất trong điều kiện cho phép. Để thực hiện điều này hãy đặt ra một số câu
hỏi sau đây :
• Các công cụ này chạy trên hệ điều hành nào?

• Có khả năng hoạt động trên nhiều nền tảng khác nhau hay không ?
• Co khả năng phân tích nhiều hệ thống tập tin như FAT, NTFS, Ext2FS hay
không?
• Công cụ có hỗ trợ các ngôn ngữ kịch bản hay các chứng năng tự động hóa
216
nhằm giảm công sức thự hiện, thời gian thực thi hay không ?
• Uy tín của nhà cung cấp sản phâm ở mức nào ?
Trong công tác điều tra, các bạn có thể có thêm những câu hỏi thích hợp của
mình và hãy bổ sung vào danh sách trên. Và lưu ý đến tính chất công việc
của bạn, nếu như bạn cần phục hồi dũ liệu và điều tra chứng cứ trên các tập
tin cơ sở dữ liệu như Microsoft Access hay trên các tập tin thư điện tử thì
hãy tập trung đến sản phẩm có những thế mạnh này.
Các Loại Công Cụ Điều Tra Máy Tính
Các công cụ dùng cho việc điều tra máy tính có hai loại là : phần cứng và
phần mềm. Mỗi loại có những điểm mạnh và yêu riêng tùy vào tình huống
của vụ án hay dữ liệu mà chúng ta cần thu thập. Trong phần sau đây chúng
ta sẽ tìm hiểu về những đặc trưng này.
Công Cụ Điều Tra Máy Tính Dạng Phần Cứng – Là những thiết bị phần
cứng đáp những chức năng bổ sung cho hệ thống máy tính và máy chủ như
ACARD AEC-7720WP Ultra Wide SCSI-to-IDE Bridge dùng để ngăn ngừa
việc ghi đè dự liệu lên một ổ cứng IDE kết nối qua cáp SCSI. Để xem thêm
các thông tin chi tiết về những thiết bị điều tra máy tính phần cứng các bạn
hãy truy cập trang web www.forensic-computers.com.
Công Cụ Điều Tra Máy Tính Dạng Phần Mềm – Các công cụ dạng phần
mềm được chia làm hai nhóm gồm các ứng dụng có giao diện đồ họa thân
thiện thường được gọi là GUI và nhóm các ứng dụng chạy theo dạng dòng
217
lệnh. Một số công cụ chỉ chuyên thực hiện một thao tác nào đó như
SafeBack – một ứng dụng dạng dòng lệnh chuyên thu thập dữ liệu. Những
chương trình khác thì có thể thực hiện nhiều nhiệm vụ khác nhau. Ví dụ các
chương trình dạng giao diện đồ họa như Technology Pathways ProDiscover,
X-Ways Forensics, Guidance Software EnCase, và AccessData có thể thực
hiện hầu hết các công tác cần thiết trong điều tra máy tính như thu thập dữ
liệu, tạo ảnh đĩa, tạo giá trị băm. Trong chương 4 chúng ta đã tìm hiểu một
số ứng dụng hàng đầu thuộc dạng này.
Chức Năng Của Công Cụ Điều Tra Máy Tính

Những công cụ phần cứng hay phần mềm trong lĩnh vực điều tra máy tính
đề có những chức năng cụ thể thuộc năm nhóm sau đây :
• Thu thập dữ liệu (Acquisition)

• Xác nhận và phân loại dữ liệu (Validation & Discrimination)
• Khai thác thông tin (Extraction)
• Tái thiết dữ liệu (Reconstruction)
• Tạo báo cáo (Reporting)
Trong phần tiếp theo các bạn sẽ tìm hiểu làm thế nào áp dụng các chức năng
trên trong công tác.
Acquisition – Thu thập dữ liệu là nhiệm vụ đầu tiên của quá trình điều tra
máy tính, mục tiêu là tạo ra các bản sao của dữ liệu chứng cứ gốc. Việc tạo
các nguyên bản của bằng chứng ngoài việc phục vụ cho công tác điều tra
còn có chức năng bảo lưu chứng cứ an toàn, ngăn ngừa bị hỏng hóc hay mất
mat như đã mô tả trong Chương 4. Trong Chương 5 các bạn đã nắm quy
trình xử lý các dữ liệu số này một cách chính xác và Chương 9 sẽ trình bày
thêm về các công cụ chuyên dùng cho thu thập dữ liệu.
Các chức năng con của chủ đề thu thập dữ liệu gồm :
• Tạo bản sao các dữ liệu vật lý
• Tạo bản sao các dữ liệu logic
• Định dạng dữ liệu thu thập được
• Thu thập dữ liệu từ các tiện ích dòng lệnh
• Thu thập dữ liệu từ các chương trình có giao diện đồ họa GUI
• Thu thập dữ liệu từ xa
218
• Xác minh
Những ứng dụng mạnh mẽ như AccessData FTK và EnCase cung cấp các
chức năng riêng biệt cho việc thu thập Hình ảnh của chứng cứ. Tuy nhiên,
nhiều nhà điều tra máy tính thích dùng các công cụ phần cứng như Talon
Logicube, VOOM HardCopy 3, hoặc ImageMASSter Solo III Forensic …,
các thiết bị này thường có phần mềm tích hợp để thu thập thông tin, dữ liệu.
Một số công cụ khác lại kết hợp giữa thiết bị phần cứng và chương trình
phần mềm để thu thập dữ liệu. Ví dụ như ứng dụng trên nền DOS là En.exe
của Guidance Software yêu cầu một máy tính chạy hệ điều hành MS-DOS, ổ
cứng 12-volt (Molex, SATA), và cáp dữ liệu IDE (PATA) , SATA, hoặc
cáp kết nối SCSI. Còn Windows EnCase yêu cầu một
một thiết bị chống ghi FastBloc để ngăn chặn Windows tự động truy cập và
làm hư ổ đĩa chứng cứ.
Có hai phương pháp sao chép dữ liệu được sử dụng trong quá trình thu thập
thông tin là sao chép toàn bổ ổ đĩa vật lý và sao chép toàn bộ một phân vùng
trên đĩa cứng. Hầu hết các công cụ trong lĩnh vực này đề có các tùy chọn tạo
ảnh toàn bộ một ổ đĩa vật lý hay chỉ là một phân vùng. Có những lý do khác
nhau để các bạn quyết định phương pháp sao chéo nào, chẳng hạn một trong
những lý do để sao chép một phân vùng là do ổ đĩa chứng cứ bị mã hóa, khi
đó chúng ta phải sử dụng cơ chế thu thập dữ liệu trực tiếp (được nêu tại
Chương 11) bởi vì lúc này bạn cần phải đăng nhập vào hệ thống.
Định dạng của dữ liệu cũng là một vấn đề quan tâm, nếu bạn lưu dưới định
dạng thô thì có thể đọc chúng bằng bất kì chương trình hiệu chỉnh hexa nào
như Hex Workshop hay WinHex như Hình 7-1.
219
Hình 7-1 : Xem dữ liệu trong một ứng dụng Hexa Editor
Xác Nhận Và Phân Loại - Đây là hai vấn đề rất quan trọng trong việc xử
lý các bằng chứng máy tính. Vấn đề đầu tiên là đảm bảo tính toàn vẹn của
dữ liệu được sao chép thông qua quá trình xác nhận. Vấn đề thứ hai là phân
loại dữ liệu thông qua các thao tác sắp xếp và tìm kiếm trên toàn bộ dữ liệu
điều tra. Nhiều công cụ điều tra máy tính cung cấp ba phương pháp để xác
nhận và phân loại dữ liệu là :
• Băm
• Lọc
• Phân tích các header của tập tin
Băm là phương pháp sử dụng các thuật toán băm như MD5 và SHA đã được
trình bày trong Chương 5 để tạo ra các giá trị băm duy nhất của một du64
220
liệu và khi dữ liệu bị thay đổi sẽ kéo theo sự thay đổi các giá trị băm, điều
này cho chúng ta biết một dữ liệu được sao chép có đồng nhất với dữ liệu
gốc hay không.
Khác với tình huống băm, việc lọc dữ liệu sẽ dựa trên các đặc điểm của tập
tin để sắp xếp hay tìm kiếm, ví dụ các điều tra viên có thể tìm kiếm tất cả
các tập tin chứa dữ liệu email của người dùng hay sắp xếp kết quả hiện thị
theo ứng dụng như Word, Excell hay Access …Với tính năng này các điều
tra viên sẽ dễ kiểm soát những dữ liệu chứng cứ hơn.
Mục đích chính của việc phân loại dữ liệu là tách các dữ liệu sạch khỏi các
thông tin đáng ngờ, dữ liệu sạch là các tập tin của hệ điều hành hay của các
ứng dụng phổ biến như Microsoft Word. Công cụ như National Software
Reference Library (NSRL) có chứa danh sách các tập tin thông dụng của hệ
thống, các ứng dụng, và Hình ảnh. Các bạn có thể tải ứng dụng trên từ trang
web www.nsrl.nist.gov/Downloads.htm (xem Hình 7-2). Chúng ta sẽ tìm
hiểu thêm về NSRL trong phần "Xác thực và kiểm thử Phần mềm Điều tra
máy tính" của chương này.
Hình 7-2 : Trang download ứng dụng National Software Reference Library
Một phương pháp khác có thể dùng để phân loại dữ liệu là phân tích và xác
minh giá trị tiêu đề của tập tin. Ví dụ như một số công cụ cho phép nhận biết
header của những tập tin thông dụng, điều này giúp cho chúng ta biết được
221
các tập tin có đúng với định dạng mà nó đang hiển thị hay không, điều này
sẽ giúp điều tra viên không bỏ sót các chứng cứ quan trọng bị nghi phạm che
dấu bằng cách thay đổi phần mở rộng. Như trong Hình 7-3 các bạn thấy các
chữ cái “JFIF” trong phần header của tập tin ForensicData.doc,
Hình 7-3 : Giá trị Header cho thấy đây là một tập tin Hình ảnh JPEG chứ
không ohai3 tập tin .DOC
Với kinh nghiệm làm việc các điều tra viên sẽ dễ dàng nhận biết giá trị
header của các tập tin thông dụng như tình huống trên thì JFIF là header của
tập tin .JPEG chứ không phải của tập tin dạng .DOC, do đó tập tin
ForensicData.doc là tập tin Hình ảnh .JPEG chứ không phải tài liệu MS
WORD, nên khi các bạn mở chúng bằng ứng dụng trên sẽ thấy thông báo lỗi
như Hình 7-4 :
Hình 7-4 : Thông báo lỗi khi mở tập tin Hình ảnh bằng Microsoft Word
Nếu ta chọn đúng chương trình để mở như Windows Picture and Fax Viewer
sẽ thấy Hình ảnh như Hình 7-5.
222
Hình 7-5 : Tập tin giả ForensicData.doc được mở bằng chương trình xem
Hình ảnh
Khai Thác Thông Tin - Chức năng khai thác hay trích xuất thông tin thuộc
công đoạn phục hồi dữ liệu trong điều tra máy tính, đây là một trong những
nhiệm vụ khó khăn nhất của tiến trình điều tra chứng cứ kỹ thuật số.. Trong
chương 2, chúng ta đã tìm hiểu về phương pháp phân tích hệ thống áp dụng
cho công tác điều tra. Tuy nhiên, để có thể phân tích thông tin thì điều đầu
tiên các điều tra viên cần phải thực hiện là phục hồi chúng. Sau đây là những
chức năng thuộc lĩnh vực khai thác và trích xuất thông tin :
• Xem dữ liệu
• Tìm kiếm theo từ khoá
• Giải nén
• Carving
• Giải mã
• Bookmarking
Đa số các công cụ điều tra máy tính đề trang bị cơ chế xem dữ liệu để tìm
kiếm bằng chứng kỹ thuật số. Cách dữ liệu được hiển thị sẽ tùy thuộc vào
công cụ. Các công cụ như ProDiscover, X-Ways Forensics, FTK, EnCase,
SMART, iLook, và nhiều chương trình khác cung cấp một số cách để xem
dữ liệu, bao gồm xem cấu trúc ổ đĩa logic như thư mục và tập tin. Những
223
công cụ này cũng hiển thị các tập tin dữ liệu thuộc vùng được cấp hay không
được cấp phát trên đĩa cứng (vì nhiều thông tin có thể được che đậy bằng
cách lưu trong vùng không cấp phát). Việc xem xét dữ liệu theo Hình thức
thông dụng này có thể giúp cho việc điều tra được thuận lợi hơn.
Một thao tác phổ biến khác trong điều tra máy tính là tìm kiếm và phục hồi
dữ liệu quan trọng chính. Chức năng tìm kiếm được các ứng dụng trang bị
đầy đủ, tuy nhiên kết quả của việc tìm kiếm phụ thuộc vào từ khóa mà các
bạn sử dụng để tìm kiếm, với một cụm từ khóa thích hợp có thể cho ra
những kết quả rõ ràng, nhanh chóng. Ngược lại, nếu từ khóa tìm kiếm quá
không mang tính đặc trừng hay quá tổng quá sẽ cho ra các kết quả không
như mong đợi. Ví dụ, với tính năng tìm kiếm chỉ mục theo chỉ mục (Index
Search) của FTK (xem Hình 7-6), bạn có thể tìm kiếm cho từ "Ben" trong
cụm từ có chứa từ "Franklin" bằng cách nhập vào "Ben w /1 Franklin" và
thu hẹp tìm kiếm bằng cách thê, thêm vào từ "Son" như một mục riêng trong
hộp tìm kiếm Search Term.
Hình 7-6 : Tính năng Indexed Search của công cụ FTK
Một công đoạn khá quan trọng khác của quá trình điều tra là tái thiết dữ liệu
từ các mãnh vỡ của tập tin đã bị xóa. Tại Bắc Mỹ, công đoạn này được gọi
bằng thuật ngữ "carving", ở châu Âu công việc này lại được gọi là
“salvaging” (trục vớt). Nhưng cho dù gọi bằng thuật ngữ nào thì công đoạn
224
này cũng phải mất nhiều công sức, và chúng ta sẽ thảo luận chi tiết hơn
trong Chương 10.
Các nhà điều tra đôi khi phải trích xuất dữ liệu từ các khu vực không được
cấp phát trên đĩa cứng. Hầu hết các công cụ điều tra máy tính có khả năng
tái thiết dữ liệu từ những khu vực không được cấp phát trên ổ đĩa gốc hay
trên các bản sao để sao chép chúng và khu vực tập tin mới. Có thể thực hiện
điều này với những ứng dụng dạng dòng lệnh nhưng nên thao tác với các
công cụ có giao diện đồ họa thận thiện và mạnh mẽ như X-Ways Forensics,
EnCase, FTK, và ProDiscover được hỗ trợ các tính năng built-in chuyên
dùng cho quá trình “carving hay “trục vớt” dữ liệu. Ví dụ Hình 7-7 cho
thấy một tùy chọn trong FTK cho phép xủ lý các tập tin bị xóa và phân mãnh
một cách tự động.
Hình 7-7 : Tùy chọn Data-carving trong FTK
Ngoài các chương trình trên, điều tra viên máy tính còn có thể lựa chọn
DataLifter và Davory là những ứng dụng chuyên cho việc trích xuất dữ liệu
từ khu vực không cấp phát trên ổ đĩa. Một số công cụ, chẳng hạn như
Một thách thức lớn khác trong điều tra máy tính là phân tích, phục hồi, và
giải mã dữ liệu từ các tập tin hoặc các hệ thống đĩa bị mã hóa. Những
chương trình như Microsoft Outlook hay bộ ứng dụng văn phòng Microsoft
Office cung cấp cho người dùng các chức năng mã hóa để tăng cường bảo
mật, điều này cũng gây khó khăn khi tiến hành điều tra. Hoặc nghi phạm có
225
thể sử dụng các tiện ích mã hóa khác như sử dụng chính chức năng của hệ
điều hành Windows là Windows File System (EFS), hay các chương trình
mã hóa nhà cung cấp bên thứ ba, chẳng hạn như Pretty Good Privacy (PGP)
và GnuPG.
Để xử lý những tình huống như vậy chúng ta cần những chương trình bẻ
khóa thích hợp như những chương trình chuyên bẻ khóa cho các ứng dụng
văn phòng theo cơ chế quét cạn hay dò từ điển. Trong một số công cụ điều
tra máy tính có tích hợp những chức năng chuyên cho dò từ điển để xác định
mật khẩu ví dụ như FTK có thể tạo một danh sách mật khẩu và nạp vào từ
điển AccessData Password Recovery Toolkit (PRTK).
Trong vấn đề này, các bạn phải nhìn nhận sự việc theo quan điểm của một
hacker để tiến hành các thao tác phục hồi hay tìm khóa cho những thông tin
bị mã hóa. Có thể thông tin sẽ được lưu trong các tập tin trên đĩa cứng hay
trong cache hoặc những tập tin văn bản nào đó, mật mã cũng có thể là thông
tin quan trọng của nghi phạm như ngày tháng năm sinh, trường trung cấp đã
theo học. Không loại trừ trường hợp sử dụng một mật khẩu cho tất cả các hệ
thống tập tin, Nói chung, các bạn hãy vận dụng tối đa kỹ năng của một
hacker mũ trắng, nếu không thì hãy nhờ tới sự trợ giúp của các chuyên gia
bảo mật để vượt qua trở ngại này.
Tái Thiết Dữ Liệu – Chức năng này trên các công cụ điều tra máy tính có
nhiệm vụ tái tạo lại cấu trúc của đĩa cứng tình nghi để có thể hiển thị những
thông tin về bằng chứng hay những dữ liệu liên quan. Ngoài ra, chức năng
này còn có tác dụng tạo ra các ảnh đĩa hay những bản sao đồng nhất của dữ
liệu chứng cứ hay các ổ đĩa bằng chứng. Sau đây là những chức năng con
của tái thiết dữ liệu :
• Sao chép Disk-to-disk

• Tạo bản sao Hình ảnh Image-to-disk
• Sao chép phân vùng Partition-to-partition
• Tạo bản sao Hình ảnh Image-to-partition
Có nhiều cách để tạo Hình ảnh của một ổ đĩa đã trình bày trong Chương 4.
Trong trường hợp lý tưởng nhất là sử dụng một ổ đĩa đích có cùng cấu trúc
phần cứng với ổ đĩa nguồn như kích thước, nhà sản xuất, thể loại sẽ giúp cho
việc sao chép diễn ra thuận lợi hơn.
Cách đơn giãn nhất là sử dụng công cụ tạo Hình ảnh trực tiếp disk-to-disk từ
ở đĩa nghi ngờ, hầu hết các công cụ thương mại đều có thể thực hiện điều
này, và tiện ích miễn phí là lệnh dd trên hệ điều hành Linux cũng có chức
226
năng trên. Điểm bất lợi là hai đĩa cứng phai giống nhau như có cùng cấu trúc
với nhau về cylinder, sector và số lượng track.
Đối với tình huống sao chép disk-to-disk có thể dùng công cụ phần cứng
hoặc phần mềm, với những ứng dụng thu thập thông tin theo kiểu nhân bản
ổ đĩa dạng phần cứng gồm có Logicube Talon, Logicube Forensic MD5, và
ImageMASSter Solo III Foren-sics Hard Drive Duplicator. Còn phần mềm
thì có thể chọn SnapBack, SafeBack, EnCase, và X-Ways Forensics. Về tốc
độ thì sao chép disk-to-disk bằng phần mềm sẽ chậm hơn khi dùng phần
cứng.
Đối với tình huống sao chép image-to-disk và image-to-partition thì tốc độ
chậm hơn so với các tình huống trên, những công cụ phần mềm có thể thực
hiện dạng sao chép này là :
• SafeBack
• SnapBack
• EnCase
• FTK Imager
• ProDiscover
• X-Ways Forensics
Tất cả những công cụ này sử dụng định dạng độc quyền nên khi đọc chúng
cần phải sử dụng đúng chương trình đã tạo ra các bản sao.Ví dụ, Hình ảnh
được tạo bởi ProDiscover có định dạng .eve và chỉ có thể đọc hay phục hồi
bằng cách sử dụng ProDiscover.
Khi bạn phải chứng minh tại tòa án các hoạt động phạm tội trên máy tính
của một nghi can, bạn cần tạo bóng của ổ đĩa nghi ngờ. Kỹ thuật này đòi hỏi
một thiết bị phần cứng như Voom Technologies Shadow Drive. Thiết bị này
kết nối ổ đĩa bị nghi ngờ đến một chỉ-đọc qua cổng IDE và ổ đĩa khác kết
nối với một cổng có thể đọc-ghi. Ổ đĩa kết nối qua công có khả năng đọc-ghi
được gọi là một ổ đĩa bóng hay “shadow driver ". Khi thiết bị VOOM làm
việc với các ổ đĩa được kết nối với một máy tính như trên, các bạn có thể
truy cập và chạy các ứng dụng trên ổ đĩa nghi ngờ. Tất cả các dữ liệu được
ghi vào ổ đĩa nghi ngờ sẽ chuyển hướng đến các ổ đĩa bóng.
Công cụ này giúp tiết kiệm thời gian và giúp giải quyết vấn đề khó khăn khi
tạo một bản sao làm việc của một ổ đĩa nghi ngờ.
227
Tạo Báo Cáo - Để hoàn thành tiến trình điều tra chứng cứ máy tính ta cần
tạo một bản báo cáo. Trước đây công đoạnnày thường được làm thủ công
dưới dạng tập tin word hay powerpoint, bảng tính nhưng có nhiều thông tin
các chương trên không đọc được làm cho công việc báo cáo gặp nhiều khó
khăn. Nhưng với sự phát triển của công nghệ phầm mềm, các ứng dụng điều
tra máy tính ngày nay giúp cho các điều tra viên thực hiện công tác này dễ
dàng hơn và các báo cáo có thể xuất ra dưới dạng HTML hay tập tin Acrobat
PDF, word … để có thể dễ dàng trình bày. Sau đây là những chức năng phụ
của chức năng báo cáo:
• Tạo nhật kí
• Tạo báo cáo
Trong quá trình xác nhận, thường bạn cần lập tài liệu các bước bạn đã thu
được dữ liệu từ một ổ đĩa nghi ngờ. Nhiều công cụ như FTK, iLook, X-ways
Forensics, có thể sản xuất một báo cáo dạng nhật kí để ghi lại các hoạt động
điều tra được thực hiện. Sau đó chức năng tạo báo cáo mới cho ra một kết
quả cuối cùng theo các định dạng dễ đọc và tham khảo. Sau đâylà những
công cụ có chức năng tạo báo cáo thương dược sử dụng trong thực tế:
• EnCase
• FTK
• iLook
• X-ways Forensics
• ProDiscover
Báo cáo đăng nhập có thể được bổ sung vào báo cáo cuối cùng của bạn là tài
liệu bổ sung của các bước mà bạn đã mất trong thời gian thi, có thể là hữu
ích nếu lặp đi lặp lại việc kiểm tra là neces-Sary. Đối với một trường hợp đòi
hỏi phải đánh giá ngang hàng, báo cáo đăng nhập xác nhận những hoạt động
được mỗi Hình thành và kết quả được tìm thấy trong phân tích ban đầu và
kiểm tra.
So Sánh Các Công Cụ

Để lựa chọn công cụ thích hợp cho công tác điều tra máy tính của mình, các
bạn hãy tham khảo bảng 7-1 so sánh các tính năng, chức năng phụ của các
228
công cụ phổ biến là ProDiscover Basic, ProDiscover Investigator,
AccessData Ultimate Toolkit và Guidance Software.
Bảng 7-1 : So sánh các tính năng của các công cụ
Những Mối Quan Tâm Khác Khi Lựa Chọn Công Cụ Điều Tra Máy Tính
Việc lựa chọn những công cụ thích hợp cũng là một phần quan trọng khi lập
kế hoạch triển khai phòng thí nghiệm. Những chương trình được lựa chọn
cần phải đáp ứng được các yêu cầu đề ra về mặt chi phí, chức năng , và
tương thích với hệ thống phần cứng, phần mềm như hệ điều hành hiện tại mà
hệ thống đang sử dụng.
229
Những Công Cụ Điều Tra Máy Tính Dạng Phần
Mềm
Cho dù bạn sử dụng một bộ công cụ hay chỉ một công cụ thực hiện chức
năng nào đó, chúng ta đề có những lựa chọn ứng dụng có giao diện đồ họa
hay sử dụng giao diện dòng lệnh. Trong phần sau đây chúng ta sẽ tìm hiểu
một số tùy chọn về ứng dụng dòng lee65nh hay đồ họa GUI trên nền hệ điều
hành Windows và Unix/Linux.
Công Cụ Điều Tra Máy Tính Dạng Command-Line

Trước khi MS-DOS ra đời trên thị trường đã có một vài hệ điều hành dành
cho máy tính, tuy nhiên khái niệm điều tra chứng cứ số vào thời đó không
được quan tâm hay nhắc đến. Chỉ đến khi máy tính trở nên phổ biến thì ngày
càng có nhiều người sử dụng chúng cho các mục đích phi pháp như trộm tài
khoản ngân hàng, đánh cắp bí mật doanh nghiệp.
Một trong những công cụ điều tra máy tính đầu tiên là Norton DiskEdit chạy
trên nền DOS. Tiếp theo đó là những ứng dụng khá được phát triển cho các
hệ thống Windows, Apple, Netware. Một trong số các chương trình thuộc
giai đoạn sơ khai của ngành điều tra máy tính này đã có khả năng trích xuất
dữ liệu từ các khu vực không được sử dụng như slack trên đĩa cứng hay
trong tập tin, một số khác có thể phục hồi những tập tin bị xóa. Còn các ứng
dụng ngày nay thì cung cấp nhiều chức năng hơn như tìm kiếm, tạo gia 1tri5
băm, xác nhận và loại trừ dữ liệu …
Một trong những lợi thế của việc sử dụng công cụ dòng lệnh khi tiến hành
điều tra máy tính trên các hệ thống có cấu Hình thấp, những thao tác đòi hỏi
chạy tự động hay tiến hành điều tra từ xa đòi hỏi thực hiện trên các ứng dụng
ít chiếm băng thông.. Những chương trình thông dụng dạng này chạy trên
Linux/UNIX như các lệnh dd va dcfldd đã trình bày trong Chương 4.
Ngoài ra, trên nền DOS/Windows cũng có nhiều tiện ích dòng lệnh phục vụ
điều tra của các hãng như NTI, Digital Intelligence, MaresWare, DataLifter,
và ByteBack. Ngoài ra, có một số lệnh trên hệ thống Windows XP,
Windows 7 lại bị chúng ta bỏ qua ví dụ lệnh DIR có thể cho biết chủ nhân
của các tập tin là ai thông qua những thao tác sau :
1. Trước tiên, mở một cửa sổ lệnh. Trong Windows 7, nhấn Start, gõ CMD
trong ô tìm kiếm. Còn trên Windows XP, kích Start, Run, gõ CMD và nhấn
230
OK.
2. Tại dấu nhắc lệnh, gõ cd \ và nhấn Enter để về thư mục gốc.
3. Gõ dir / q> C: \ Fileowner.txt và nhấn Enter.
4. Hãy mở Fileowner.txt bằng các chương trình soạn thảo văn bản như
notepad hay wordpad để xem kết quả.
Công Cụ Điều Tra Máy Tính Chạy Trên UNIX / Linux

Hệ điều hành trên nền tảng * Nix là một trong những hệ thống hoạt độngg
trên cơ chế dòng lệnh rất thịnh hành trên các máy chủ hay những ứng dụng
phía server. Tuy nhiên, ở phí client thì những hệ thống này ít được dùng so
với Windows vì giao diện dòng lệnh gây kho khăn cho người dùng phổ
thông. Nhưng ngày nay, với sự phát triển của các giao diện thận thiện và hỗ
trợ rộng rãi các thiết bị phần cứng nên các đại diện của *nix ngày càng xuất
hiện nhiều hơn trên máy tính của người dùng, với các đại diện tiêu biểu như
Ubuntu, Fedora.Trong chương 8, các bạn sẽ tìm hiểu thêm về hệ điều hành
Unix/Linix và một số công cụ để phân tích dữ liệu chứng cứ như SMART,
BackTrack, Autopsy with Sleuth Kit, and Knoppix-STD.
SMART - SMART được thiết kế để có thể chạy trên nhiều phiên bản Linux,
bao gồm Gentoo, Fedora, SUSE, Debian, Knoppix, Ubuntu, Slackware…
Bạn có thể phân tích một nhiều hệ thống tập tin với SMART, để xem danh
sách các hệ thống tập tin hoặc tải về tập tin ISO của SMART SMART Linux
tại địa chỉ www.asrdata2.com.
SMART được trang bị nhiều tiện ích dạng plug-in và với phương pháp tiếp
cận theo cấu trúc môđun này làm cho ứng dụng SMART có thể nâng cấp
một cách dễ dàng và nhanh chóng. SMART cũng có thể tận dụng các khả
năng đa luồng trong cấu trúc phần cứng, một tính năng mà nhiều ứng dụng
điều tra khác còn thiếu. Đây cũng là một trong số ít các công cụ có thể gắn
kết (mount) nhiều hệ thống tập tin khác nhau vào hệ điều hành.
Một trong các chức năng hữu ích trong SMART là xem thông tin dưới dạng
hex (giá trị thập lục phân có trình bày trong các chương trước). Các giá trị
Hex khi xem được tô màu giúp cho việc đọc các điểm khởi đầu và kết thúc
của tập tin dễ dàng hơn. SMART cũng cung cấp tính năng báo cáo và các
chức năng hữu ích khác cho truy tìm chứng cứ số.
231
Helix – Là một trong những công cụ dễ sử dụng nhất do có giao diện người
dùng thân thiện. Một trong những nét độc đáo của Helix là ứng dụng này có
thể nạp lên một hệ thống Windows đang chạy hay có thể khởi động như một
nền tảng Linux. Khi tiến hành điều tra trong môi trường công ty, đôi khi
chúng ta phải lấy dữ liệu từ bộ nhớ RAM hay các hồ sơ của người dùng khả
nghi từ một máy trạm hay máy chủ không thể tắt nguồn vì phải đáp ứng các
dịch vụ khác cho khách hàng hay người sử dụng trên mạng. Lúc này các bạn
phải tiến hành thu thập thông tin trực tiếp bằng cách đưa đĩa CD Helix vào
máy tính của nghi phạm. Sau khi nhấp vào I ACCEPT trong cửa sổ cấp giấy
phép bản quyền, ta sẽ thấy menu Helix thể hiện trong Hình 7-8
Hình 7-8 : Giao diện Helix
BackTrack - BackTrack là một Live DVD Linux được sử dụng bởi nhiều
chuyên gia bảo mật và các nhà điều máy tính. Nó chứa hơn 200 công cụ bảo
mật và phục hồi dữ liệu mạnh mẽ giúp cho các nhà điều tra hay chuyên gia
bảo mật hệ thống mạng tìm kiếm các hacker hay những hành vi khả nghi
khác trên mạng máy tính. Ngay cả chương trình đào tạo an ninh mạng nổi
tiếng hiện nay là CEH cũng cung cấp CEH như là một trong ứng dụng chính
thay thế cho công cụ Core Impact mắt tiền trước đây. BackTrack sử dụng
giao diện KDE, có thể chạy trực tiếp từ đĩa CD hay cài đặt trên máy tính,
hoặc chạy từ một ảnh ảo trên nền VMWARE. Các bạn có thể tải các tập tin
Hình ảnh ISO của BackTrack từ www.remote-exploit.org/backtrack.html.
Autopsy & Sleuth Kit - sẽ được thảo luận chi tiết hơn trong Chương 8
232
cùng với BackTrack cũng như Foremost (được nêu trong Chương 8), dcfldd,
Pasco, MemFetch, và MBoxGrep. Bạn cũng làm việc với một số công cụ
trong BackTrack ở chương 11.
Knoppix-STD - Knoppix Security Tools Distribution (STD) là một bộ các

công cụ được dùng cho mục đích an toàn thông tin trên các máy tính của
người dùng cuối và cả những máy chủ. Bạn có thể tải về tập tin ISO của ứng
dụng này tại www.knoppix-std.org và tạo ra một đĩa CD khởi động với nó.
Cơ chế hoạt động của Knoppix gần giống với BackTrack, bởi vì BackTrack
chính là sự kết hợp của Knoppix và bộ công cụ chuyên dùng cho kiểm định
bảo mật là Auditor. Hình 7-9 trình bày danh sách của một số công cụ có sẳn
trên Knoppix.
Hình 7-9 : Các công cụ trên Knoppix
Các Công Cụ Điều Tra Máy Tính Dạng Đồ Họa Khác

Bên cạnh các ứng dụng dạng dòng lệnh mà các bạn cần nắm thì trên thị
trường có nhiều ứng dụng dạng đồ họa khác, phần lớn những ứng dụng này
dễ tìm hiểu và sử dụng, ngay cả với những người mới làm quen với chúng vì
233
có sẳn những hướng dẫn thực hành và các thao tác trên giao diện GUI nên
rất dễ thực hiện. Các công cụ đồ họa này có thể kết hợp thành một bộ công
cụ điều tra mạnh với nhiều tính năng hỗ trợ lẫn nhau như những ứng dụng
của Technology Pathways, AccessData, và Guidance Software, do mỗi
chương trình có những điểm mạnh yếu riêng nên chúng ta tận dụng các điểm
mạnh của chương trình này để bổ trợ cho điểm yếu của chương trình khác,
nhằm đem đến kết quả điều tra tốt nhất.
Điểm thuận lợi của các ứng dụng điều tra chứng cứ dạng đồ họa là dễ sử
dụng, có thể chạy trên các nền 32 bit hay 64 bit, nhưng chúng cũng đòi hỏi
cấu Hình phần cứng mạnh mẽ hơn, đặc biệt là RAM, CPU và đương nhiên
chi phí cũng sẽ cao hơn.
Công Cụ Phần Cứng Dùng Để Điều Tra Chứng Cứ

Số
Phần này thảo luận về phần cứng máy tính được sử dụng cho công tác điều
tra chứng cứ số. Để bảo đảm cho hoạt động liên tục của phòng thí nghiệm
các bạn nên lập kế hoạch phần cứng cho các máy tính và thiết bị liên quan
cẩn thận, đặc biệt là khi chúng ta có kinh phí hạn chế. Bởi vì, cho dù là phần
cứng của chúng ta có bền bĩ như những hệ thống máy chủ hay chỉ là các
máy trạm bình thường thì việc hư hỏng phần cứng là điều không tránh khỏi,
nếu không có kế hoạch dự phòng và lường trước những rũi ro thì khi có sự
cố liên quan đến phần cứng sẽ gây ra tác hại lớn đến công tác điều tra.
Các Máy Trạm Dùng Cho Điều Tra Chứng Cứ Số
Nhiều nhà sản xuất thiết bị máy tính cung cấp một loạt các lựa chọn cho
máy trạm điều tra chứng cứ. Tùy theo nhu cầu công việc mà chúng ta lựa
chọn các thành phần phần cứng thích hợp. Lưu ý rằng, việc lựa chọn thích
hợp không liên quan đến việc phải chọn những sản phẩm tốt nhất hay mắt
nhất, mà điều quan trọng là phải đáp ứng được nhu cầu công việc, thích hợp
với nguồn ngân sách của công ty hay cá nhân các nhà điều tra. Một điểm cần
quan tâm là những máy tính dùng cho việc điều tra chứng cứ số cần có khả
234
năng kết nối đến nhiều thiết bị ngoại vi khác nhau như việc gắn kết nhiều ổ
cứng bên ngoài qua các cổng USB. Do đó, khi lựa chọn phần cứng chúng ta
nên chú ý tới nhu cầu này.
Nếu các điều tra viên quản lý những phòng thí nghiệm lớn như của sở cảnh
sát cần phải có một kho dự trữ các thiết bị để phòng ngừa bất trắc. Ngoài ra,
để xử lý các thiết bị tình nghi đa dạng, nhiều chủng loại đòi hỏi có hai hay
ba cấu Hình khác nhau của mỗi máy tính.
Xây Dựng Máy Trạm Điều Tra Chứng Cứ Số Của Bạn – Để thiết kế một
máy trạm phục vụ công tác điều, đầu tiên bạn hãy hỏi "Tôi phải trả bao
nhiêu tiền để có được nó ?”. Xây dựng một trạm làm việc trong môi trường
điều tra máy tính không quá khó khăn nhưng có thể sẽ quá tốn kém nếu như
chúng ta không cân nhắc cẩn thận. Nếu bạn có thời gian và kỹ năng để xây
dựng trạm làm việc của bạn, bạn có thể tinh chỉnh cho tho1ch hợp với nhu
cầu của mình và tiết kiệm chi phí, mặc dù bạn có thể gặp khó khăn trong
việc tìm kiếm các thiết bị tương thích để mở rộng hay nâng cấp hệ thống.
Nếu bạn quyết định xây dựng một trạm làm việc vượt ra ngoài kỹ năng hay
kinh nghiệm về phần cứng mà bạn có, thì hãy nhờ sự tư vấn của các chuyên
gia máy tính hay những nhà cung cấp máy trạm điều tra chứng cứ số chuyên
nghiệp ví dụ như bộ phận F.R.E.D của Digital Intelligence hay Dual Xeon
Workstation từ ForensicPC. Đây là các công ty tại Mỹ, ở Việt Nam thì
chúng ta có thể nhờ sự hỗ trợ từ phòng kỹ thuật của các công ty sản xuất
máy tính lớn như FPT, CMC
Sử Dụng Một Thiết Bị Có Khả Năng Chống Ghi (Write-

Blocker)
Vấn đề đầu tiên khi đọc hay thu thập dữ liệu là ngăn ngừa sự tác động đến
dữ liệu chứng cứ từ các chương trình hay những dịch vụ của hệ thống. Để
thực hiện điều này chúng ta cần có các phần mềm hay thiết bị hỗ trợ chống
ghi write-blocker. Những phần mềm như PDBlock của Digital Intelligence
chạy ở chế độ shell (ví dụ hệ điều hành DOS) và có khả năng thay đổi ngắt
13 (interrupt 13) để ngăn hệ thống ghi lên một thiết bị nào đó. PDBlock chỉ
235
có thể chạy trong một chế độ DOS thực sự, nhưng không chạy được trong
chế độ shell của Windows MS-DOS.
Đối với phần cứng write-blocker, các thiết bị này đóng vai trò cầu nối giữa ổ
cứng tình nghi với máy trạm làm việc của bạn, và chúng có nhiệm vụ hệ
điều hành Linux hay Windows tác động vào dữ liệu trên ổ chứng cứ. Thông
thường, các thiết bị phần cứng write-blocker sử dụng các chương trình điều
khiển dạng GUI chạy trên nền Windows.
Có nhiều nhà cung cấp thiết bị phần cứng write-blocker kết nối ở đĩa với
máy tính thông qua FireWire, USB 2.0, SATA, hay bộ điều khiển SCSI. Hầu
hết những thiết bị này cho phép gắn vào hay tháo ra mà không cần phải tắt
hay khởi động lại máy tính. Nếu các bạn cần tham khảo chi tiết hơn những
đặc tính kỹ thuật của những thiết bị write-blockerhãy xem tại trang web
www.cftt.nist.gov. Sau đây là trang chủ của những nhà cung cấp thiết bị trên
:
• www.digitalintelligence.com
• www.forensicpc.com
• www.guidancesoftware.com
• www.voomtech.com
• www.mykeytech.com
• www.lc-tech.com
• www.logicube.com
• www.forensic-computers.com
• www.wiebetech.com
• www.paraben-forensics.com
• www.usbgear.com / USB-FORENSIC.html
Khuyến Nghị Cho Một Máy Trạm Điều Tra Chứng Cứ Kỹ

Thuật Số
Trước khi bạn mua hoặc xây dựng một trạm làm việc cho công tác điều tra
236
máy tính hãy xác định vị trí tiến hành thu thập dữ liệu, nếu có thể hay bắt
buộc thu thập dữ liệu tại hiện trường thì cần phải tinh giản các công cụ bạn
sử dụng. Ví dụ với thiết bị chống ghi FireWire kiểu mới và chuẩn USB 2.0
ta có thể thu thập dữ liệu một cách dễ dàng thông qua Digital Intelligence
FireChief và một máy tính máy tính xách tay. Còn nếu các bạn muốn giảm
số lượng phần cứng phải đem theo hãy xem xét một sản phẩm như Forensic
Wiebe Tech Drive Dock với cầu nối Drive Dock FireWire Drive Dock hay
Logicube Talon.
Bên cạnh đó, khi chọn một máy tính điều tra có cấu Hình nhẹ thì nên trang
bị thêm các ổ chuyển đổi 2,5-inch để phân tích một ổ đĩa cứng của máy xách
tay trên một bộ điều khiển ổ cứng 3.5-inch IDE, và đương nhiên phải có cớ
chế bảo vệ chống ghi. Ngoài ra, nguồn cung cấp điện nên có công suất 400-
watt hoặc hơn, kèm thêm pin dự phòng và cáp dữ liệu, một card điều khiển
SCSI, cổng gắn ngoài FireWire và USB và thiết bị kết nối giữa ổ SATA và ổ
IDE (PATA), thêm vào đó là bàn phím và chuột, và một card đồ họa tốt với
màn Hình 17-inch. Nếu bạn đủ kinh phí và có kế hoạch thực hiện nhiều cuộc
điều tra hãy sắm một card đồ họa và màn Hình cao cấp.
Nhưng điều qua trọng nhất là các bạn hãy lựa chọn những thiết bị có thể đáp
ứng được yêu cầu của mình. Và phải biết chính xác yêu cầu công việc của
các bạn để có thể lên kế hoạch xây dựng trạm làm việc thích hợp. Và một hệ
thống tốt là hệ thống có thể nâng cấp, mở rộng dễ dàng.
Kiểm Tra Và Xác Nhận Tính Hợp Lệ Của Phần Mềm

Điều Tra Máy Tính
Bây giờ bạn đã chọn được một số công cụ để sử dụng cho công tác điều tra,
tiếp theo chúng ta cần phải chắc chắn rằng các bằng chứng được phục hồi và
phân tích có thể được thừa nhận tại tòa án. Để làm điều này, bạn phải kiểm
tra và xác nhận phần mềm mà bạn sử dụng. Phần sau sẽ thảo luận về các
công cụ xác nhận và làm thế nào để phát triển một giao thức xác nhận của
riêng bạn.
237
Sử Dụng Công Cụ Của NIST (National Institute of
Standards and Technology)
Viện Tiêu Chuẩn và Công nghệ Quốc Gia NIST đã xuất bản các tài liệu,
cung cấp công cụ và tạo ra các thủ tục kiểm tra và xác nhận phần mềm điều
tra máy tính. Phần mềm cần được xác nhận để bằng chứng có thể được chấp
nhận trong thủ tục tố tụng tại tòa án. NIST đã tài trợ dự án Computer
Forensics Tool Testing (CFTT) để quản lý các nghiên cứu về công cụ điều
tra trên máy tính. Để biết thêm thông tin về dự án này các bạn hãy xem tại
trang web www.cftt.nist.gov.
NIST tạo ra tiêu chuẩn để thử nghiệm các công cụ điều tra máy tính, được
trình bày trong tài liệu “General Test Methodology for Computer Forensic
Tools” (version 1.9, November 7,2001), tại địa chỉ
www.cftt.nist.gov/testdocs.html. Tài liệu đề cập đến sự thiếu các hướng dẫn
thực hành cho các công cụ điều tra và tầm quan trọng của việc đáp ứng các
yêu cầu pháp luật của những công cụ này. Các tiêu chuẩn được xây dựng
dựa trên phương pháp nghiệm ISO 17025. Phòng thí nghiệm dùng cho việc
kiểm tra cần phải đáp ứng các tiêu chí sau đây:
• Phân loại cho các công cụ điều tra máy tính – Nhóm các phần mềm điều
tra máy tính theo chức năng ví dụ như những ứng dụng được thiết kế để lấy
và theo dõi e-mail.
• Phân loại yêu cầu điều tra máy tính – Đối với mỗi thể loại, mô tả
tính năng kỹ thuật hoặc chức năng của từng công cụ.
• Xây dựng quy trình kiểm tra – Dựa trên các yêu cầu tạo ra các bài kiểm tra
để công nhận hay không công nhận các công cụ điều tra máy tính.
• Xác định vụ án để kiểm tra – Tạo ra các loại vụ án để điều tra thử nghiệm
với công cụ, và xác định các thông tin được lấy từ một ổ đĩa mẫu hoặc các
phương tiện truyền thông khác. Ví dụ, sử dụng ảnh đĩa của một hồ sơ vụ án
đã đóng (hồ sơ vụ án đã hoàn thành với một công cụ được kiểm chứng) để
thử nghiệm bằng công cụ mới cùng thể loại và kiểm tra có cho ra kết quả
tương tự hay không.
• Thiết lập một phương pháp thử nghiệm – Chú ý đến mục đích và thiết kế
238
của công cụ để xác định phương pháp kiểm tra..
• Báo cáo kết quả kiểm tra – Mô tả các kết quả kiểm nghiệm trong một báo
cáo phù hợp với tiêu chuẩn ISO 17025, yêu cầu báo cáo phải chính xác, rõ
ràng, không mơ hồ, và khách quan.
Ngoài ra có một tiêu chuẩn khác là ISO 5725 bảo đảm độ chính xác cho tất
cả cuộc thí nghiệm, ví dụ như khi tiến hành kiểm tra trên cùng một máy
trong một phòng thí nghiệ thì sẽ cho cùng một kết quả. Và ngay cả khi kiểm
tra trên một máy khác ở phòng thì nghiệm khác thì vẫn cho kết quả tương tự.
Sử Dụng Giao Thức Xác Thực

Sau khi thu thập và khảo sát dữ liệu bằng chứng với một công cụ, bạn nên
xác minh kết quả bằng cách thực hiện cùng nhiệm vụ cùng với một công cụ
điều tra máy tính tương tự. Ví dụ, sau khi bạn đã lấy dữ liệu đĩa bằng
ProDiscovery hãy sử dụng EnCase hay một công cụ nào bạn có để xem có
thu thập được kết quả tương tự hay không. Mặc dù bước này có vẻ không
cần thiết, nhưng trong thực tế bạn có thể sẽ được hỏi "Làm cách nào bạn xác
minh kết quả của bạn?" Để đáp ứng các nhu cầu để xác minh, bạn cần ít
nhất hai công cụ để xác nhận phần mềm hoặc phần cứng. Các công cụ bạn
sử dụng cần được kiểm tra và lập tài liệu cẩn thận.
Các nhà điều tra cần tin chắc vào các kết quả và sự phân tích của những ứng
dụng. Vì vậy cần hiểu được cách thức làm việc của những công cụ mà mình
sử dụng, nên kiểm tra lại kết quả phân tích trong định dạng thô của nó bằng
những chương trình biên tập dạng mã thập lục phân như Hex Workshop
hoặc WinHex. Với khả năng truy cập và xử lý thông tin đĩa ở cấp độ vật lý,
những công cụ biên tập đĩa này rất quan trọng trong công tác điều tra chứng
cứ số và cả quá trình kiểm tra những bằng chứng mà các bạn thu thập được.
phát hiện của bạn.
239
■ Xem xét kết hoạch kinh doanh hay công việc của bạn để có được phần
cứng và giải pháp phần mềm c tốt nhất cho nhu cầu điều tra máy tính .
■ 5 chức năng cần thiết cho các công cụ điều tra máy tính là thu thập, xác
nhận
và phân loại dữ liệu, khai thác, tái thiết dữ liệu, và báo cáo.
■ Nên có một kho lưu trữ các phần mềm cho những ứng dụng điều tra cũ
hay những hệ điều hành lạc hậu.
■ Các công cụ điều tra chứng cứ số có thể dạng dòng lệnh hay đồ họa, cũng
có thể là những công cụ phần cứng. Dối với phần cứng cần có chức năng
ngăn ngừa việc ghi đè thông tin làm ảnh hướng đến dữ liệu chứng cứ.
■ Các công cụ chạy trong Windows và các môi trường GUI dễ dàng sử dụng
và quá trình đào tạo cũng nhanh chóng hơn.
■ Trước khi nâng cấp lên một phiên bản mới của một công cụ điều tra máy
tính cần tiến hành kiểm tra hay thử nghiệm cẩn thận.Viện Tiêu chuẩn và
Công nghệ Quốc gia NIST có xây dựng các tiêu chuẩn và hướng dẫn cách
kiểm tra các công cụ này.
240
241
CHƯƠNG 8
Hệ Thống Tập Tin Và Quá Trình Khởi Động

Của Macintosh Và Linux
Sau Khi Hoàn Tất Chương Này Các Bạn Có Thể :

• Giải thích cấu trúc tập tin Macintosh và quá trình khởi động
• Giải thích cấu trúc đĩa của UNIX, Linux và các quá trình khởi động
• Mô tả các cấu trúc đĩa khác
242
Trong Chương 6 các bạn đã tìm hiểu về các hệ điều hành của Microsoft, bao
gồm cả hệ thống lâu đời DOS và Microsoft Windows cùng hệ thống tập tin
của chúng. Tuy nhiên, trong thực tế các điều tra viên không chỉ làm việc với
hệ điều hành của Microsoft mà còn phải thao tác trên các hệ thống Linux và
Macintosh, vi vậy trong chương này các bạn sẽ tìm hiểu về hệ thống tập tin
và quá trình khởi động của chúng. Bên cạnh đó chúng ta cũng sẽ thảo luận
về các loại đĩa như CD, DVD, IDE và SCSI, SATA và cách thức lưu trữ dữ
liệu trên các đĩa này. Tuy nhiên, các kiến thức về Macintosh hay Linux được
trình bày tính chất tổng quan, để có thể tìm hiểu chi tiết hơn các bạn nên
tham khảo thêm các tài liệu chuyên môn về những hệ thống này.
Cấu Trúc Tập Tin Của Hệ Thống Macintosh Và Quá

Hệ điều hành Macintosh hiện nay là Mac OS X phiên bản 10.5, được gọi là
Leopard. Mac OS X được xây dựng trên một lõi gọi là Darwin, trong đó bao
gồm tầng ứng dụng Berkeley Software Distribution (BSD) UNIX nằm trên
đỉnh của microkernel Mach. Hệ điều hành của Apple đã được phát triển từ
năm 1984 với Apple System 1 và tiếp tục phát triển đến System 7. Năm
1997, Apple giới thiệu Mac OS 8 và tiếp theo đó là Mac OS 9 trước khi
chuyển sang OS X.
Phần này tập trung chủ yếu vào hệ thống tập tin của Mac OS 9. Tiếp theo
chúng ta sẽ giới thiệu về hệ thống tập tin và tiến trình khởi động của hệ điều
hành UNIX/Linux. Hệ thống Macintosh trước đây được dùng phổ biến trong
các trường học và giới chuyên gia đồ họa nhưng những cải tiến gần đây giúp
cho Apple phổ biến hơn trong thị trường PC. Do hệ thống tập tin được dùng
rộng rãi trong các trường công cho nên những điều tra viên máy tính cần
thông thạo cấu trúc tập tin và đĩa cứng của hệ thống Macintosh.
Apple giữ cùng một giao diện, tiện ích, và ứng dụng trong các phiên bản hệ
điều hành chính, bao gồm cả OS X nên cấu trúc tập tin chỉ có những thay
đổi nhỏ trên mỗi phiên bản. Trong các hệ điều hành trước OS X sử dụng hệ
thống tập tin phân cấp Hierarchical File System (HFS), trong đó các tập tin
243
được lưu trữ trong thư mục, những thư mục này có thể chứa các thư mụ con
lồng vào nhau. Với Mac OS 8 0,1, Apple giới thiệu hệ thống tập tin mở rộng
Extended File Format (HFS +), như là một lựa chọn khác trong vấn đề định
dạng tập tin của Mac OS X. Sự khác biệt chính giữa HFS và HFS + là HFS
được giới hạn tối đa 65,536 khối (512 byte cho mỗi khối) cho mỗi volume,
còn HFS + tăng số lượng các khối lên hơn 4 tỉ. Do đó, HFS + hỗ trợ file có
kích thước nhỏ hơn trên các volume có dung lượng lớn hơn, điều này giúp
cho việc sử dụng đĩa cứng hiệu quả hơn. Ngoài ra, Mac OS X cũng hỗ trợ
các tập tin hệ thống Unix (UFS).
Trên hệ thống MAC thì tiện ích File Manager sẽ xử lý vấn đề đọc, viết, và
lưu trữ dữ liệu trên các phương tiện lưu trữ vật lý, cũng như thu thập thông
tin để duy trì cấu trúc HFS và thao tác trên các tập tin, thư mục và các thành
phần khác. Một tiện ích khác của Macintosh là Finder làm việc với hệ điều
hành để theo dõi các tập tin và duy trì môi trường Desktop của người sử
dụng.
Trong những hệ thống Mac OS cũ hơn một tập tin bao gồm hai phần: data
fork nơi dữ liệu lưu trữ và resource fork dùng để chứa tậ tin siêu dữ liệu và
thông tin ứng dụng (xem Hình 8-1).
244
Hình 8-1 : Resource fork và data fork trong một tập tin Mac OS
Cả hai nhánh này chứa các thông tin cần thiết cho mỗi tập tin như sau:
• Resource map – bản đồ tài nguyên
• Resource header của mỗi tập tin
• Vị trí của sổ
• Các biểu tượng
Data fork thường chứa dữ liệu người dùng tạo ra, chẳng hạn như văn bản
hoặc bảng tính. Các ứng dụng như Microsoft Word hoặc Excel, cũng có thể
đọc và viết lên data fork. Khi ta làm việc với một tập tin ứng dụng, các
resource fork sẽ chứa thông tin bổ sung như
trình đơn, hộp thoại, biểu tượng, mã thực thi, và các điều khiển. Trong hệ
điều hành Mac, các nguồn tài nguyên hoặc data fork có thể trống. Và trình
quản lý tập tin File Manager chịu trách nhiệm đọc và viết thông tin nên nó
có thể truy cập cả data fork và resource fork.
Tổng Quan Về Hệ Thống Volume Của Mac OS 9
245
Volume là thuật ngữ chỉ bất kì phương tiện lưu trữ nào được sử dụng để lưu
trữ các tập tin. Một volume có thể là tất cả hoặc một phần của các phương
tiện lưu trữ như đĩa cứng ngoại trừ nếu thiết bị lưu trữ là đĩa mềm thì volume
sẽ chưa toàn bộ đĩa mềm, còn trên các ổ đĩa lớn hơn dung lượng của volume
sẽ do người quản trị xác định giống như khi các bạn tạo những phần chia
trên đĩa cứng trong hệ điều hành Windows.
Các Volumes có các khối phân bổ và khối logic (allocation block và logical
block). Một logical block là một tập hợp các dữ liệu tối đa 512 byte. Khi bạn
lưu một tập tin, File Manager gán cho chúng một allocation block- là một
nhóm các logical block liên tiếp nhau. Hình 8-2 cho thấy mối quan hệ giữa
hai loại block này.
Hình 8-2 : Cấu trúc Logical block và allocation block
File Manager có thể truy cập tối đa là 65.535 allocation block trên mỗi
volume. Nếu một tập tin có chứa thông tin, nó luôn luôn chiếm một
allocation block. Ví dụ, nếu một data fork chỉ có có 11 byte dữ liệu, nó
chiếm một allocation block (512 byte) trên đĩa, như vậy sẽ có hơn 500 byte
trống không được dùng đến trong data fork.
246
Hai hệ thống tập tin HFS Macintosh và HFS + có hai loại mô tả cho kết
thúc của tập tin (EOF) là EOF logic và EOF vật lý. Với EOF logic là kích
thước thực tế của tập tin, như vậy nếu tập tin B có kích thước là 510 byte thì
byte thứ 510 là EOF logic. Còn EOF vật lý là số lượng các allocation block
cho tập tin đó, như thể hiện trong Hình 8-3, do đó trong tập tin B EOF vật lý
là byte thứ 1023.
Hình 8-3 EOF logic và EOF vật lý (hay logical EOF và physical EOF)
Macintosh làm giảm sự phân mảnh tập tin (defragment) bằng cách sử dụng
các khối clump, là nhóm của các allocation block liền kề nhau. Khi một tập
tin tăng kích thước, nó sẽ lấp đầy clump. Sư phân mảnh của các volume
được giữ ở mức tối thiểu bằng cách thêm nhiều clump vào các tập tin lớn.
Tìm Hiểu Tiến Trình Khởi Động Của Macintosh
Các hệ thống máy tính Macintosh đời cũ sử dụng phần mềm BIOS Firmware
khác với các loại máy tính thông dụng trên thị trường. Thay vào đó, chúng
sử dụng Open Firmware, một hệ thống khởi động độc lập (đây cũng là một
thành phần của boot ROM trên hầu hết các hệ thống Power PC Macintosh).
Open Firmware điều khiển bộ vi xử lý sau khi khởi tạo phần cứng và chẩn
đoán sự cố trước khi chuyển quyền kiểm soát cho OS. Chúng cũng có nhiệm
247
vụ xây dựng cây danh mục phần cứng, thăm dò các thiết bị nhập xuất, và tải
nhân hệ điều hành từ đĩa cứng.
Quá trình khởi động của OS 9 gồm có :
1. Bật công tác nguồn trên máy tính.

2. Tự kiểm tra phần cứng và chạy Open Firmware.
3. Khởi động Macintosh OS.
4. Định vị đĩa khởi động.
5. Mở các tập tin hệ thống.
6. nạp các thành phần mở rộng của hệ thống.
7. Khởi động OS 9 Finder.
Các hệ thống Macintosh đời mới có thể khởi động từ đĩa CD, DVD, hoặc ổ
đĩa FireWire. Để khởi động từ đĩa CD hoặc DVD, bấm và giữ phím C ngay
lập tức sau nguồn điện cho máy tính được vật sau đó chèn các đĩa khởi động
CD hoặc DVD vào ổ đọc. Để khởi động từ một ổ đĩa FireWire, kết nối nó
với máy tính Macintosh, bật nguồn điện trên máy tính sau đó nhấn và giữ
phím T. Để xác một hệ thống Macintosh đời cũ có thể khởi động từ một đĩa
FireWire hay không hãy xem tại
http://support.apple.com/kb/HT2699?viewlocale=en_US.
Đối với định dạng ổ đĩa HFS, hai logical block đầu tiên là 0 và 1 trên
voluem hay đĩa cứng dành cho các chỉ thị khởi động hệ thống. Một số mã
thực thi cho các tập tin hệ thống cũng có thể được đặt trong vùng này.
Những hệ thống Macintosh OS cũ sử dụng Directory Block Master (MDB)

cho HFS, còn được gọi là Block Volume Information (VIB) trên HFS +. Tất
cả thông tin về volume được lưu trữ trong MDB và được ghi vào MDB khi
volume được khởi tạo. Một bản sao khác của MDB cũng được ghi vào áp
chót nhằm hỗ trợ các tiện ích xử lý đĩa. Khi hệ điều hành gắn kết (mount)
một volume, một số thông tin từ MDB sẽ ghi vào Volume Control Block
(VCB), thông tin này lưu trữ trong bộ nhớ hệ thống và được sử dụng bởi File
Manager. Khi người dùng không còn sử dụng và unmount một volume thì
VCB sẽ được gỡ bỏ.
248
Bản sao của MDB được cập nhật khi mở rộng tập tin để lưu trữ những thông
tin không có trong MDB hay VCB, tập tin này được gọi là extent overflow
file. Chúng cũng có thể được cập nhật do catalog tăng kích thước (catalog là
danh mục các tập tin và thư mục trên volume được sử dụng để duy trì mối
liên hệ của những tập tin và thư mục này trên một volume).
Ngoài ra, một ứng dụng hệ thống gọi là Volume Bitmap theo dõi từng block
trên một volume để xác định block nào đã được dùng và block nào còn trống
để nhận dữ liệu. Volume Bitmap có thông tin về việc sử dụng các block.
Kích thước của Volume Bitmap phụ thuộc vào số lượng các block đã cấp
phát cho volume.
File Manager lưu trữ các thông tin file-mapping trong hai vị trí : là extent
overflow file và chỉ mục tập tin trên catalog. Mac OS 9 cũng sử dụng hệ
thống tập tin dạng cây * B-tree để tổ chức thư mục theo hệ thống phân cấp
và lập bản đồ tập tin cho File Manager. Trong hệ thống tập tin này, các tập
tin là các node chứa các dữ liệu tập tin. Mỗi node là 512 byte. Các node có
chứa các dữ liệu thực tế của tập tin được gọi là leaf node nằm dưới đáy của
cây * B-tree. *B-tree cũng có các node sau đây dùng cho việc xử lý thông tin
:
• Các header node lưu thông tin về *B-tree.

• Các index node liên kết thông tin với các node trước và sau.
• Các map node lưu một mô tả cho nod và thông tin bản đồ.
Sử Dụng Phần Mềm Điều Tra Chứng Cứ Trên Macintosh

Gần đây, các nhà sản xuất phần mềm đã nâng cấp ứng dụng hoặc tạo ra
những sản phẩm mới để tiến hành điều trên các hệ thống Macintosh. Trong
phần này chúng ta sẽ tìm hiểu về ứng dụng BlackBag Technologies
(www.blackbagtech.com/products/overview.htm), một công cụ truy tìm
chứng cứ phổ biến trên các máy tính MAC. Một sản phẩm tương tự là
SubRosaSoft MacForensicsLab (www.macforensicslab.com). Hay các nhà
cung cấp khác Guidance EnCase và X-ways Forensics, cũng bổ sung khả
năng phân tích hệ thống tập tin HFS, HFS +, UFS, UFS2 vào sản phẩm của
249
mình. Những ứng dụng khác cũng có thể khảo sát hệ thống tập tin UFS và
UFS2 là ProDiscover hay công cụ miễn phí được trình bày trong chương này
là Sleuth Kit (www.sleuthkit.org).
Phương Pháp Thu Thập Dữ Liệu Trên Macintosh - Để khảo sát một máy
tính Macintosh, bạn cần phải tạo hình ảnh của ổ đĩa, bằng cách sử dụng kỹ
thuật tương tự được mô tả trong Chương 4. Có một số trường hợp ngoại lệ
các bạn cần lưu ý về cấu trúc và kỹ thuật của Macintosh. Ví dụ như phương
pháp thu thập tĩnh hình ảnh của ổ nghi ngờ được sử dụng nhiều hơn so với
thu thập thực tế. Ngoài ra, việc tháo gỡ các ổ cứng khỏi thùng máy Mini
Macintosh khá khó khăn, nếu chúng ta không có kĩ năng có thể gây hư hỏng
máy tính. Chúng ta cần một đĩa CD điều tra máy tính có khả năng khởi động
trên Macintosh để tạo hình ảnh, sau đó ghi vào một ổ đĩa ngoài như ổ đĩa
FireWire hoặc USB. Đối với các hệ máy Macintosh lớn hơn thì cấu trúc gần
giống với PC nên việc tháo gỡ các thiết bị như ổ cứng dễ dàng hơn.
Hãng BlackBag Technologies chuyên cung các sản phẩm thu thập dữ liệu
cho OS 9 và các hệ điều hành trước đó cũng như OS X, và cung cấp một đĩa
CD khởi động cho công tác điều tra là MacQuisition có thể dùng để tạo ảnh
cho một đĩa cứng Macintosh. (Xem tại
www.blackbagtech.com/products/macquisition.htm). Có tài liệu hướng dẫn
về việc thu thập dữ liệu trên một ổ đĩa kết nối FireWire tại địa chỉ
http://goo.gl/Iasc2.
Lưu ý, trong trường hợp các trang web cập nhật thông tin làm thay đổi
các đường dẫn các bạn hãy dùng tiện ích tìm kiếm trang trang web để
tìm những tài liệu cần quan tâm.
Sau khi thu thập dữ liệu bước tiếp theo là kiểm tra các hình ảnh của hệ thống
tập tin với một công cụ điều tra máy tính. Công cụ sử dụng phụ thuộc vào
định dạng tập tin hình ảnh. Ví dụ, nếu bạn sử dụng EnCase, FTK, hoặc X-
ways Forensics để tạo ảnh Expert Witness (.e01) thì ta phải sử dụng một
trong những công cụ này để phân tích Hình ảnh bởi vì chúng có thể đọc các
dữ liệu định dạng Expert Witness hay hệ thống tập tin HFS +.
250
Trong trường hợp Hình ảnh sử dụng định dạng thô có thể sử dụng những sử
dụng bất kỳ công cụ nào sau đây:
• BlackBag Forensic Software Technologies Macintosh (chỉ dùng cho OS X)

• SubRosaSoft MacForensicsLab (chỉ dùng cho OS X)
• Guidance Software EnCase (Windows 2000/ 2003 hay mới hơn)
• X-Ways Forensics (Windows 2000/ 2003 hay mới hơn)
Trong số những công cụ này, BlackBag Technologies Macintosh Forensic

Software and SubRosaSoft MacForensicsLab có khả năng vô hiệu hóa Disk
Arbitration. Như vậy, ta có thể cấu hình máy Apple Mac mới chạy hệ điều
hành OS X (10.3 hoặc mới hơn) để chúng không tự động gắn kết (mount)
một ổ đĩa kết nối thông qua qua FireWire hoặc USB (xem
http://goo.gl/ou4Mq). Một khi chức năng mount tự động các ổ đĩa gắn rời
được tắt thì ta có các bạn có thể gắn một ổ tính cần điều tra vào máy tính
Macintosh mà không cần thiết bị write-blocker. Trong phần tiếp theo, các
bạn sẽ tìm hiểu cách dùng các công cụ điều tra máy tính trên Macintosh để
tạo một Hình ảnh của ổ đĩa OS 9.
Bài thực hành này giả sử rằng bạn có một máy tính Macintosh chạy hệ điều
hành OS X và đã cài đặt bản demo BlackBag (download tại trang chủ của
nhà sản xuất) hoặc phiên bản có bản quyền trên máy tính của bạn. Trước khi
bắt đầu BlackBag, tất cả các dữ liệu thu thập (tập tin Hình ảnh) phải được
cấu Hình với phần mở rộng của tập tin Disk Image. Nếu bạn đã thực hiện
một Hình ảnh của một ổ đĩa OS 9 với một công cụ khác, c như tiện ích dòng
lệnh dd hoặc ProDiscover Basic, bạn hãy đổi tên các tập tin Hình ảnh và các
tập tin phân đoạn của nó với phần mở rộng là .dmg. Những tập tin này sẽ
được gắn kết như là ổ đĩa ảo.
Phần mở rộng. dmg cho hệ điều hành OS X biết rằng đây là một Hình ảnh
đĩa. Nếu một tập tin ảnh có thêm các phân đoạn, mỗi phân đoạn phải có một
phần mở rộng là .dmgpart. Để giữ đúng trình tự của mỗi
phân đoạn, một số thứ tự sẽ được chèn vào giữa các tên tập tin và phần mở
rộng, như thể hiện trong Bảng 8-1.
251
Bảng 8-1 : Thay đổi tên các tập tin với .dmg
Tên tập tin gốc của Hình ảnh và phân Tập tin Macintosh Disk Image
đoạn.
GCFI-0S9.001 GCFI-0S9.dmg
GCFI-0S9.002 GCFI-0S9.002.dmgpart
Sau khi Hình ảnh và bất kỳ phân đoạn liên quan nào đã được đổi tên thì
chúng có thể được nạp như một Hình ảnh đĩa ảo. Trước khi gắn kết các Hình
ảnh ta cần thiết lập chế độ chống ghi đè bằng các thao tác sau đây (lưu ý
điều này không có tác dụng với các ở đĩa có định dạng FAT) :
1. Trong Finder, kích chuột phải vào Hình ảnh và mỗi tập tin phân đoạn có
liên quan và nhấn Get Info.
2. Trong hộp thoại Info, kích vào Ownership & Permissions từ danh sách
thả xuống và thay đổi tất cả các quyền truy cập thành Read Only.
3. Trong phần General, nhấp vào hộp kiểm tra Locked để hoàn tất việc bảo
vệ chống ghi đè cho hình ảnh và các phân đoạn có liên quan.
Để gắn kết tập tin. Dmg được liệt kê trong Bảng 8-1 hãy mở Finder, điều
hướng đến ổ đĩa và thư mục chứa các tập tin .dmg (xem Hình 8-4), và
double-click vào phân đoạn đầu tiên tập tin, ở đây là GCFI OS9.dmg để nạp
toàn bộ các phân đoạn của volume. (Lưu ý rằng trên hệ điều hành OS X,
Disk Image sẽ đọc và gắn kết tất cả các phân đoạn có liên quan với phần mở
rộng. dmgpart một cách tự động.)
OS X nạp và hiển thị một biểu tượng của ổ đĩa ảo được gắn kết trên desktop
với tên "untitle ". Chúng ta có thể đổi tên biểu tượng với tên của tình huống
252
hay vụ án đang xử lýchẳng hạn như GCFI-OS9 DISK để dễ xác định. Để
thực hiện hãy kích chuột phải vào biểu tượng nó và nhấn Get Info. Trong
hộp thoại Info, nhấp vào Name & Extension từ danh sách thả xuống và gõ
vào tên mới tương tự trong Hình 8-5.
Hình 8-4 : OS X Finder và các tập tin .dmg
Hình 8-5 : Thay đổi tên icon
253
Bây giờ dữ liệu đã sẳn sàng để đọc và khảo sát với BlackBag, hãy chạy
chương trình từ Finder và điều hướng đến thư mục Applications/BBT
Forensic Suite/ và double-click vào tập tin ứng dụng BBTFSToolBar_ nnn (
nnn là số phiên bản) như Hình 8-6
Hình 8-6 : Mở BlackBag từ Finder
Trong hộp thoại BlackBag About, nhấn OK để hiển thị các BlackBag
Forensic Suite ToolBar (xem Hình 8-7), nơi bạn có thể chọn một tiện ích để
tiến hành quá trình phân tích dữ liệu chứng cứ. BlackBag bao gồm nhiều
tiện ích để thực hiện một quá trình phân tích chứng cứ đầy đủ bao gồm :
PDISKInfo, PMAPInfo, DirectoryScan, FileSearch MacCarver, và FileSpy.
Nếu các bạn muốn kiểm tra các chức năng mới của ứng dụng hãy truy cập
vào trang web http://blackbagtech.com/support/documents.html.
254
Hình 8-7 The BlackBag Forensic Suite ToolBar
Trong bài hướng dẫn này chúng ta sử dụng tiện ích BlackBag DirectoryScan
liệt kê tất cả các thư mục và tập tin (ẩn hay không ẩn).
1. Khởi động BlackBag từ Finder, như được mô tả trong phần trước.
2. Trong lackBag Forensic Suite ToolBar, nhấp vào DirectoryScan. Khi hộp
thoại xác thực mở ra, gõ mật khẩu tài khoản root trên máy tính Macintosh
của bạn, và sau đó kích OK.
3. Trong cửa sổ DirectoryScan, bấm vào mũi tên trên danh sách Volume, và
sau đó chọn tập tin Hình ảnh .dmg.
4. Nhấp vào nút Select để bắt đầu các chức năng quét thư mục. Khi quá trình
quét được hoàn tất hãy nhấn OK trong hộp thoại can Complete!
5. Tiếp theo, khảo sát danh sách và nhấp vào hộp kiểm tra bên cạnh các tập
tin bạn quan tâm. Nếu muốn chọn tất cả để báo cáo hãy nhấn vào chữ X ở
góc trái của cữa sổ để chọn tất cả như Hình 8-8.
255
Hình 8-8 ; Chọn toàn bộ voulme GFI-OS9 trên cửa số DirectoryScan.
6. Click vào Save Selected hoặc ave Full Report để hoàn thành quá trình
quét.
7. Trong hộp thoại Save, điều hướng đến thư mục mà bạn muốn lưu kết quả
quét và
nhấn Save. Trong hộp tin nhắn thông báo, nhấp OK.
8. Để thoát khỏi tiện ích này, kích vào danh sách thả xuống xuống
DirectoryScan và nhấp vào Quit Directory Scan hoặc nhấn lệnh Command +
Q. Hãy mở BlackBag Forensic Suite ToolBar cho bài tập tiếp theo.
Trong bài tập tiếp theo bạn sẽ sử dụng tiện ích FileSearcher để xác định các
tập tin theo tên mở rộng của chúng:
1. Trong BlackBag Forensic Suite ToolBar hãy nhấn FileSearcher. Trên

hộp thoại xác thực mở ra, gõ mật khẩu root trên máy tính Macintosh của
bạn, và sau đó kích OK.
2. Trong hộp thoại FileSearcher, nhấp vào mũi tên trên danh sách Select
Volume, và sau đó nhấp vào GCFI-OS9 DISK.
3. Nhấn vào nút tùy chọn Name nếu chưa được chọn, tiếp tục nhấn vào nút
right arrow để liệt kê tất cả phần mở rộng và nhấn .pdf. Khi hộp thoại Search
Completet hiển thị hãy nhấn OK.
256
4. Tiếp theo, kiểm tra các tập tin được liệt kê trong kết quả tìm kiếm như
Hình 8-9. Nhấp vào hộp kiểm tra bên cạnh các tập tin a9-02.pdf và act4.pdf.
Hình 8-9 : Liệt kê các tập tin .pdf trong FileSearch
5. Nhấp vào nút Save Report. Trong hộp thoại Save, gõ tên của báo cáo
trong hộp văn bản Save As. Nhấp vào mũi tên danh sách Where và điều
hướng đến thư mục Document hay Desktop để lưu các báo cáo, và sau đó
nhấn Save.
6. Nhấn Quit FileSearcher từ trình đơn FileSearcher. Để thoát BlackBag
Forensic Suite
ToolBar, kích vào BBTFSToolBar và sau đó nhấn Quit BBTFSToolBar.
Tìm Hiểu Cấu Trúc Đĩa Cứng UNIX / Linux Và Quá

Bên cạnh hệ điều hành Windows và Macintosh các doanh nghiệp và người
dùng còn lựa chọn Linux hay Unix cho các máy tính để bàn và máy chủ của
257
mình. Có khá nhiều đánh giá và so sánh giữa Windows và Linux về những
mặt mạnh yếu của mỗi bên nhưng nói một cách công bằng thì người dùng
cuối vẫn yêu thích Windows hơn và cảm thấy thỏai mái hơn khi sử dụng
những tiện ích trên hệ thống này. Vì vậy nếu bỏ qua yếu tố về chi phí mà đặt
hiệu quả kinh doanh lên hàng đầu thì Windows vẫn là lựa chọn tối ưu cho
doanh nghiệp.
Đặc điểm đầu tiên, hệ điều hành Linux và các bản phân phối của nó cùng
những công cụ và ứng dụng có yêu cầu bản quyền GPL, vì vậy người dùng
và doanh nghiệp có thể sử dụng hoàn toàn miễn. Bên cạnh đó, với Linux
chúng ta có thể tương tác vào mã nguồn mở để thay đổi hoặc xây dựng
những sản phẩm thích hợp với nhu cầu của mình như tạo ra các giao diện
Việt hóa, hay xây dựng hệ thống bảo mật cách ly phi chuẩn (sản phẩm đạt
giải huy chương vàng Apita của sở khoa học công nghệ Đồng Nai). Bên
cạnh đó do thiết kết hợp lý nên các hệ điều hành *nix chạy rất ổn định, chính
vì lý do đó mà nhiều hệ thống máy chủ tin dùng Linux như máy chủ Web
Apache, cơ sở dữ liệu …
Do đó, các nhà điều tra máy tính bắt buộc phải trang bị cho mình kiến thức
về hệ thống Linux/Unix để có thể xử lý các dữ liệu chứng cứ trên các hệ
thống này. Để tìm thông tin về hệ thống Linux mà các bạn đang dùng hãy
thực hiện theo hướng dẫn sau :
1. Khởi động máy tính Linux của bạn và mở một cửa sổ dòng lệng. Nếu máy
tính của bạn sử dụng giao diện đồ họa như KDE, hãy nhấp vào biểu tượng
Fedora trên màn Hình desktop và trỏ chuột đến Terminal. Nếu bạn đang sử
dụng giai diện đồ họa GNOME, ki1ck vào menu thả xuống Applications và
trỏ chuột đến Accessoties và ki1ck Terminal.
2. Để tìm tên của máy tính và thông số hạt nhân hệ thống Linux đang dùng
hãy nhập vào lệnh uname –a và nhấn Enter.
3. Nhập vào lệnh ls-l và nhấn Enter để xem dánh sách các tập tin trong thư
mục hiện hành.
4. Nhập vào netstat-s và nhấn Enter để xem danh sách các giao thức máy
tính của bạn sử dụng để truyền thông.
5. Thoát khỏi cửa sổ dòng lệnh bằng cách nhập lệnh exit và nhấn Enter.
258
Hệ thống tập tin chuẩn trên Linux Second Extended File System (Ext2fs), có
khả năng hỗ trợ các đĩa cứng dung lượng lên đến 4 TB và các tập tin có dung
lượng lên đến 2 GB. Ngoài ra, hệ thống Linux còn có cấu trúc tập tin
Ext3FS giúp giảm thời gian phục hồi tập tin bị hỏng. Trong số các cấu trúc
tập tin mà chúng ta đã tìm hiểu thì hệ thống tập tin của Linux là chặt chẽ
nhất, cấu trúc này rất giống với hệ thống tập tin của Mac OS X vì cả hai đều
dùng hệ thống tập tin BSD. Cấu trúc tập tin Linux được tạo bởi các siêu dữ
liệu và dữ liệu. Siêu dữ liệu bao gồm các hạng mục như ID người dùng
(UID), ID nhóm (GID), kích thước, và cho phép cho mỗi tập tin.
Linux là hệ thống độc nhất sử dụng inode, thông tin về inode sẽ được trình
bày chi tiết trong phần "Tìm Hiểu Về Inode" trong phần tiếp theo. Các inode
chứa thông tin sửa đổi, ngày giờ truy cập, và khởi tạo tập tin (lưu ý là inode
không chứa tên tập tin). Để theo dõi các tập tin và dữ liệu, Linux gán cho
một số inode dùng để liên kết các tên tập tin trong một thư mục. Phần dữ
liệu trong cấu trúc tập tin Linux chứa nội dung của tập tin.
Ngoài siêu dữ liệu, mỗi inode có một con trỏ, còn được gọi là một số inode,
và các inode khác hoặc các khối dữ liệu nằm trên đĩa. Linux có thể sử dụng
các inodes để lưu trữ các tập tin trong một vị trí và tạo một con trỏ đến nó
nằm tại vị trí khác, chẳng hạn như ở thư mục khác. Ví dụ, giả sử bạn cần
phải truy cập vào tập tin MyDatabase khi bạn đang làm việc tại thư mục
“Clients, Accounting, and General_Documents” thì chỉ cần tạo các liên kết
mềm symbolic link trỏ đến tập tin MyDatabase trên những thư mục cần truy
cập thay vì phải tạo những bản sao của tập tin MyDatabase trong các thư
mục trên. Để xác định nội dung của inode hãy dùng lệnh UNIX/Linux ls -l,
còn muốn xác định con trỏ của inode ta dùng lệnh ls –i.
Tổng Quan UNIX Và Linux
Trong UNIX và Linux, tất cả mọi thứ đều là tập tin, bao gồm cả ổ đĩa, màn
Hình, card mạng hay bộ nhớ hệ thống, thư mục và tập tin thực tế. Tất cả tập
tin UNIX được định nghĩa là các đối tượng, điều này có nghĩa là một tập tin
259
sẽ có những thuộc tính như các đối tượng trong ngữ lập trình hướng đối
tượng và những phương pháp như hay hành động như soạn, xóa, và đọc).
UNIX bao gồm bốn thành phần để xác định hệ thống tập tin: boot block,
superblock, inode block, và data block..Với block hay khối là một vùng cấp
phát nhỏ trên đĩa cứng có kích thước 512 buyte hoặc hơn. Như trong các
phần trước có trình bày boot block hay khối khởi động gồm các chỉ thị dùng
cho tiến trình khởi động (bootstrap code). Một máy tính UNIX / Linux chỉ
có một khối khởi động, nằm trên đĩa cứng chính.
Superblock chứa thông tin quan trọng về hệ thống và được coi là một phần
của siêu dữ liệu. Supper block xác định cấu trúc Hình học của ổ đĩa, vị trí
của inode đầu tiên và theo dõi của tất cả các inode khác. Superblock cũng
quản lý các tập tin hệ thống UNIX / Linux, bao gồm cả thông tin cấu Hình,
chẳng hạn như kích thước khối cho ổ đĩa, tên tập tin hệ thống, hay các khối
dành cho inode, danh sách inode tự do... Vì supper block chứa thông tin cực
kì quan trọng đối với hệ thống tập tin trên Unix/Linux nên nhiều bản sao của
superblock được lưu giữ tại các địa điểm khác nhau để đề phòng bị mất hay
hư hỏng.
Inode block là khối dữ liệu đầu tiên sau superblock. Mỗi inode được gán một
đơn vị phân bổ tập tin. Khi các tập tin hoặc thư mục được tạo ra hoặc bị xóa,
inode cũng sẽ được tạo hay bị xóa đi. Các liên kết giữa inode với tập tin hay
thư mục sẽ kiểm soát sự truy cập vào các tập tin hoặc thư mục này.
Data block hay khối dữ liệu là các thư mục và tập tin được lưu trữ trên một ổ
đĩa. Vị trí này được liên kết trực tiếp với inode. Như trong hệ thống tập tin
của Microsoft, hệ thống tập tin Linux trên máy tính PC có 512-byte cho mỗi
sector. Một data block tương đương với một cluster gồm nhiều sector trên
volume FAT hay NTFS. Trên volume của hệ thống Linux chứa các block có
kích thước từ 1024 đến 4096 byte. Hình 8-10 cho thấy khi bạn lưu một tập
tin, các khối dữ liệu sẽ được gán cho một inode duy nhất.
260
Hình 8-10 : Cụm các data block được lưu trên Linux
Như với HĐH khác, kích thước của một khối dữ liệu liên quan đến sự lãng
phí không gian đĩa do khi lưu trữ tập tin sẽ không tận dụng hết vùng trống
đượ cấp phát. Ví dụ khối dữ liệu có kích thước càng lớn thì khả năng lãng
phí càng nhiều.
Hệ điều hành DOS và Windows không theo dõi các bad sector nhưng Linux
thực hiện điều này thông qua bac block inode khối xấu. Với inode gốc là
inode 2, và bad block inode là inode 1. Một số công cụ điều tra chứng cứ số
đã bỏ qua inode 1 nên đã không phục hồi những dữ liệu có giá trị. Vì vậy,
nhiều người đã đánh lừa điều tra viên bằng cách lưu dữ liệu trong một sector
tốt nhưng lại đánh dấu nó như là một bad sector.
Để tìm các bad sector trên máy tính Linux của bạn, bạn có thể sử dụng lệnh
badblocks, lưu ý bạn phải đăng nhập với tài khoản root để thực hiện dòng
lệnh này. Linux còn có hai lệnh khác cung cấp thông tin về bad sector là :
mke2fs và e2fsck. Lệnh badblocks có thể phá hủy dữ liệu có giá trị, nhưng
261
các lệnh như mke2fs và e2fsck có những biện pháp bảo vệ ngăn chặn việc
ghi đè lên thông tin quan trọng.
Trong bài thực hành sau đây ta sẽ tìm các bad block trên một đĩa mềm trong
hệ thống Linux. Các bước này giả sử bạn đang sử dụng giao diện đồ họa
KDE có sẵn trong hầu hết các bản phân phối Linux, ở đây chúng ta sử dụng
Fedora. Hãy đưa một đĩa mềm vào máy tính và đăng nhập hệ thống Linux
bằng tài khoản root :
1. Khởi động máy tính Linux vào giao diện đồ họa KDE, chèn vào một đĩa
mềm. Nếu hệ thống của bạn mount các ổ đĩa tự động thì hãy dismount (đĩa
mềm) bằng cách nhấn vào biểu tượng Fedora trên màn Hình Desktop và trỏ
chuột đến System sau đó nhấn vào Disk Management và chon ổ mềm sau đó
nhấn Unmount (ngoài ra có thể dùng lệnh unmount, lưu ý là các thao tác
thông qua giao diện đồ họa đều có thể thực hiện với dòng lệnh)
2. Để mở một cửa sổ dòng lệnh hãy bấm vào biểu tượng Fedora trên màn
Hình Desktop và nhấn Terminal
3. Nhập vào lệnh cd /sbin và nhấn Enter sau đó nhập vào lệnh mke2fs -c
/dev/fd0 và nhấn Enter. Các bạn hãy chụp lại kết quả hiển thi và tham khảo
kỹ. Tùy thuộc vào vị trí của bạn trên hệ thống có thể phải chạy lệnh ./mke2fs
-c /dev/fd0. Tuy nhiên vấn đề cú pháp này không quá quan trọng đối với
một điều tra viên máy tính, vì các bạn cần phải có kiến thức trên trung bình
về hệ thống Linux
4. Để so sánh kết quả của lệnh mke2fs và e2fsck hãy mount ổ đĩa mềm vào
hệ thống, nếu cần thiết có thể tạo thư mục tạm /mnt với lệnh mkdir
mnt/floppy và nhấn Enter, sau đó chạy lệnh mount /dev/fd0 /mnt/floppy
5. ( Lưu ý: Trước khi dùng lệnh e2fsck hãy dismount ổ mềm bằng lệnh
umount /mnt/floppy ), sau đó nhập vào e2fsck -c /dev/fd0 và nhấn
Enter, và nhấn y để tiến hành kiểm tra. Sau khi thực thi xong lệnh trên hệ
thống sẽ hiển thị thông tin đĩa cứng và các bad block.
262
6. Muốn tìm thông tin về lệnh badblocks hãy chạy lệnh man badblocks để
hiển thị trang hướng dẫn về dòng lệnh này bao gồm tất cả các tùy chọn liên
quan của nó. Đối với lệnh khác bạn cũng dùng cú pháp tương tư man
“tên_lệnh” và nhấn Enter.
7.Hãy Dismount hay tháo gỡ đĩa mềm bằng cách gõ umount / dev/fd0 và
nhấn Enter. Trên hệ thống Linux khi sử dụng các ổ mềm hay USB các bạn
nên chạy lệnh để tiến hành dismount cẩn thận nhằm tránh những sự cố đối
Bạn có thể hiển thị thông tin về các tập tin và thư mục bằng cách sử dụng
lệnh ls trên Linux (ls là viết tắt của list hay liệt kê) cùng với các tùy chọn để
xác định loại thông tin cần hiển thị. Hình 8-11 cho thấy một số thông tin
bạn có thể tìm thấy với lệnh ls-l.
Hình 8-11 : Tìm thông tin với lệnh ls
Tìm Hiểu Về Inode
Inode cung cấp một cơ chế để liên kết các dữ liệu lưu trữ trong các data
block. Kích thước của khối phụ thuộc vào các thông số khi khởi tạo đĩa
cứng. Hầu hết các bản phân phối Linux sử dụng 1024 byte cho mỗi khối.
Hệ thống tập tin Linux Ext2FS, Ext3FS được cải tiến từ hệ thống tập tin Ext
trong bản phát hành Linux đầu tiên. Một cải tiến lớn trong Ext3FS là cung
263
cấp thêm thông tin của một inode liên kết với các inodes khác trong chuỗi.
Do đó, nếu một inode bị hỏng, dữ liệu có thể được phục hồi dễ dàng hơn
trong Ext2FS.
Khi một tập tin hoặc thư mục được tạo ra trên hệ thống UNIX hay Linux,
một inode sẽ được gán cho tập tin và chứa các thông tin sau :
• Phương thức và loại tập tin hoặc thư mục

• Số lượng các liên kết đến một tập tin hoặc thư mục
• Số hiệu UID và GID của chủ sở hữu tập tin hoặc thư mục
• Số lượng byte trong tập tin hoặc thư mục
•Thời gian truy cập hay hiệu chỉnh tập tin lần cuối cùng
• Địa chỉ khối cho các tập tin dữ liệu
• Các địa chỉ khối liên kết của tập tin dữ liệu
• Tình trạng sử dụng hiện tại của inode
• Số lượng các khối thực tế được gán cho một tập tin
• Liên kết tiếp tục của inode
Inode được gán có 13 con trỏ liên kết đến các khối dữ liệu và những con trỏ
khác đến nơi các tập tin được lưu trữ. Con trỏ 1 đến 10 liên kết trực tiếp đến
khối lưu trữ dữ liệu trong data block của đĩa và có các địa chỉ khối xác định
nơi dữ liệu được lưu trữ trên đĩa. Những con trỏ này là con trỏ trực tiếp bởi
vì chúng có liên kết với một khối dữ liệu lưu trữ.
Khi một tập tin phát triển, hệ điều hành cung cấp ba lớp của con trỏ inode bổ
sung. Trong inode của tập tin, 10 con trỏ đầu tiên được gọi là con trỏ gián
tiếp hay indirect pointer. Các con trỏ trong lớp thứ hai được gọi là double-
indirect pointer, và các con trỏ trong lớp cuối cùng hoặc thứ ba được gọi là
triple-indirect pointer. Những thông tin về các con trỏ trong 3 lớp này cũng
được lưu trữ trong inode khi cấp phát cho tập tin trong quá trình khởi tạo.
Để mở rộng giao lưu trữ, hệ điều hành khởi tạo con trỏ inode gốc tại vị trí
thứ 11, và liên kết đến 128 con trỏ inode khác. Mỗi con trỏ liên kết trực tiếp
đến 128 khối nằm trong data block của ổ đĩa. Nếu tất cả 10 con trỏ trong
inode gốc được tập tin dùng hết thì con trỏ thứ 11 sẽ liên kết đến 128 con trỏ
khác. Và con trỏ đầu tiên trong nhóm indirect trỏ đến khối thứ 11. Còn khối
cuối cùng của 128 inode này là 138. Và khi nhu cầu lưu trữ tăng lên thì quá
264
trình liên kết này này sẽ tiếp tục với con trỏ thứ 12 của inode gốc liên kết
đến 128 con trỏ khác, và tiếp theo đó là con trỏ thứ 13 của inode gốc liên kết
đến 128 con trỏ khác. Dữ liệu tập tin được lưu trữ trong các khối dữ liệu này
sẽ có cấu trúc như Hình 8-12.
Hình 8-12 : Các inode pointer trong hệ thống tập tin Linux
Khi làm việc với hệ thống tập tin của Linux các lệnh shell thông dụng mà
các bạn cần dùng như :
- cat file hay more file : hiển thị nội dung của tập tin như lệnh type trên
MS-DOS.
- dd : sao chép ổ đĩa theo khối, tạo ra các ảnh đĩa.
265
- df : hiển thị thông tin phân vùng, trên HP-UX là lệnh bdf
- find L tìm tập tin theo các đặc điểm hay thuộc tính.
- ps : liệt kê các tiền trình của hệ thống
- uname : hiển thị tên của hệ thống
- netstat : hiển thị thông tin về các session hay những kết nối với hệ
thống khác
Là một điều tra viên máy tính, có thể bạn cần phải thu thập chứng cứ số trên
hệ thống UNIX / Linux mà không được shutdown máy tính như các máy chủ
web hay máy chủ tập tin, vì vậy bạn phải hiểu quá trình khởi động của
UNIX / Linux để xác định các vấn đề có thể xảy ra.
Khi nguồn điện trên một máy trạm UNIX được bật hệ thống sẽ nạp các chỉ
thị nằm trên phần mềm firmware của CPU vào. Firmware này được gọi là bộ
nhớ chứa mã thường trú vì chúng nằm trong ROM. Ngay sau khi mã bộ nhớ
thường trú được nạp vào RAM, các chỉ thị sẽ kiểm tra phần cứng. Thông
thường, các chỉ thị đầu tiên sẽ kiểm tra tất cả các thành phần, chẳng hạn như
chip RAM, để xác minh chúng có khả năng chạy hay không. Sau đó, các chỉ
thị tiếp tục thăm dò bus, tìm kiếm thiết bị có chứa chương trình khởi động,
chẳng hạn như một đĩa cứng, đĩa mềm hoặc đĩa CD. Khi nó định vị được
thiết bị khởi động, hệ thống bắt đầu đọc các chương trình khởi động vào bộ
nhớ. Và tiếp theo chương trình khởi động sẽ nạp hạt nhân vào bộ nhớ. Khi
hạt nhân được nạp, chương trình khởi động chuyển giao quyền kiểm soát
của quá trình khởi động cho hạt nhân hay kernel.
Nhiệm vụ đầu tiên của hạt nhân là xác định tất cả các thiết bị. Sau đó cấu
Hình các thiết bị được xác định và chạy hệ thống cùng những tiến trình liên
quan. Sau khi hạt nhân đã hoạt động, hệ thống thường được khởi động vào
chế độ Single-user mà chỉ có một người sử dụng có thể đăng nhập vào. Chế
độ Single-user thường là một tính năng tùy chọn cho phép người dùng truy
266
cập các chế độ khác khi bảo trì hệ thống. Nếu một người sử dụng bỏ qua chế
độ Single-user, hạt nhân sẽ chạy các kịch bản khởi động hệ thống và sau đó
chạy trong chế độ đa người dùng. Lúc này người dùng có thể đăng nhập vào
máy trạm để làm việc.
Khi hạt nhân kết thúc quá trình nạp nó sẽ xác định thư mục gốc, hệ thống
tập tin swap, và các tập tin dump. Nó cũng thiết lập tên máy tính và thời
gian, chạy tiến trình kiểm tra tính nhất quán trên các hệ thống tập tin, gắn kết
tất cả các phân vùng, khởi động các dịch vụ mạng, thiết lập các card mạng,
thiết lập người dùng cùng với hệ thống kiểm soát phân quyền và quản lý cấp
phát (quota).
Tìm Hiểu Về Linux Loader Và GRUB
Linux Loader (LILO) là một tiện ích lâu đời của Linux có chức năng khởi
tạo quá trình khởi động bắt đầu quá trình khởi động, thường được chạy từ
MBR của ổ đĩa. LILO là một trình quản lý khởi động cho phép bạn lựa chọn
khởi động từ hệ điều hành Linux hay các hệ điều hành khác bao gồm cả
Windows. Nói một cách dễ hiểu, khi bạn muốn cài nhiều hệ điều hành trên
một máy tính như một hệ thống Windows 7 và một hệ thống Linux Fedora
thì chúng ta sẽ đặt mỗi hệ thống trên một phân vùng khác nhau, và lựa chọn
phân vùng chưa hệ thống thích hợp để sử dụng. LILO sẽ quản lý việc cài đặt
và hiển thị danh sách lựa chọn hệ điều hành để khởi động.
LILO sử dụng một tập tin cấu Hình có tên là lilo.conf trong thư mục /etc.
Tập tin này là một kịch bản chứa vị trí của thiết bị khởi động, tập tin Hình
ảnh hạt nhân (chẳng hạn như vmlinuz), và thời gian chờ để bạn chọn hệ điều
hành bạn muốn sử dụng.
Grand Unified Boot Loader (GRUB) mạnh mẽ hơn so với LILO. GRUB
cũng nằm trong MBR và cho phép bạn tải nhiều hệ điều hành khác nhau
nhưng GRUB có thể tải bất kỳ hạt nhân nào vào phân vùng một cách dễ
dàng. Erich Boleyn tạo ra GRUB vào năm 1995 để xử lý các tiến trình
multiboot và sử dụng nhiều hệ điều hành khác nhau. GRUB hoạt động trên
267
cơ chế dòng lệnh nhưng có thể được điều khiển từ trình đơn. Để biết thêm
chi tiết về GRUB hãy xem tại http://www.gnu.org/software/grub/manual.
Tìm Hiểu Về Ổ Đĩa UNIX / Linux Và Sơ Đồ Phân Vùng

Ổ đĩa và phân vùng trong UNIX / Linux có nhiều điểm khác biệt so với MS-
DOS và Windows. Ví dụ trong Windows XP ổ đĩa primary master chứa
phân vùng khởi động đầu tiên được liệt kê như là ổ đĩa C. Trong khi đó trên
UNIX và Linux, ổ đĩa và phân vùng được dán nhãn theo đường dẫn, với mỗi
đường dẫn bắt đầu từ thư mục gốc (là kí tự / ) . Và một ổ đĩa IDE là primary
master sẽ được định nghĩa là /dev/hda. Phân vùng đầu tiên trên đĩa primary
master được định nghĩa là /dev/hda1, tương đương với ổ đĩa C trong
Windows hay MS-DOS.
Nếu phân vùng khác được đặt trên đĩa primary master thì giá trị số của
chúng sẽ tăng lên ví dụ phân vùng thứ hai trên đĩa primary master là
/dev/hda2. Nếu có thêm phần vùng thứ ba thì sẽ là /dev/hda3, và tương tự
cho các phân vùng tiếp theo.
Trong khi đó, một ổ đĩa kết nối với primary slave controller sẽ được định
nghĩa là /dev/hdb. Là /dev/hdc nếu ổ đĩa kết nối với secondary master
controller, và /dev/hdd nếu ổ đĩa kết nối với slave controller. Ví dụ, nếu một
ổ đĩa được gắn vào bộ điều khiển mở rộng thứ ba thì sẽ được liệt kê trên hệ
thống như là /de v/hde.
Trong trường hợp một bộ điều khiển SCSI được cài đặt trên một máy trạm
UNIX hay Linux, thì cũng tương tự như các ổ đĩa và phân vùng IDE. Các ổ
đĩa đầu tiên kết nối với bộ điều khiển SCSI được định nghĩa là /dev/sda và
phân vùng đầu tiên của nó như là /dev/sda1. Các phân vùng bổ sung được
tăng thêm một, ví dụ phân vùng thứ hai trên một ổ đĩa SCSI sẽ là /dev/sda2.
Linux xử lý ổ đĩa SATA, USB và thiết bị FireWire cùng một cách như các
thiết bị SCSI. Những thiết bị plug-and-play có cùng một lược đồ tên như ổ
đĩa SCSI là /dev/sdb hay /dev/sdc.
268
Khảo Sát Cấu Trúc Đĩa Cứng Của Hệ Điều Hành UNIX Và
Linux
Một số công cụ thương mại và phần mềm miễn phí có thể phân tích hệ thống
tập tin UNIX và Linux. Hầu hết các ứng dụng điều tra máy tính thương mại
như ASR SMART, X-Ways Forensics, Guidance Software EnCase,
AccessData FTK, và ProDiscover Forensic Edition đều có thể phân tích hệ
thống tập tin UNIX UFS / UFS2 và Linux Ext2, Ext3, ReiserFS
(ProDiscover Basic chỉ phân tích được các hệ thống tập tin FAT và NTFS).
Những công cụ phần mềm miễn phí thì có Sleuth Kit (www.sleuthkit.org)
hay Foremost (http://foremost.sourceforge.net) của Không Lực Hoa Kỳ có
thể đọc tập tin Hình ảnh với nhiều định dạng khác nhau như định dạng thô
hay và Expert Witness. Foremost sử dụng tập tin cấu Hình là foremost.conf
để liệt kê các header của tập tin hay cấu trúc của dữ liệu. Foremost.conf
thường là nằm trong thư mục /usr /local/etc.
Cài Đặt Sleuth Kit Và Autopsy - Để sử dụng Sleuth Kit và Autopsy bạn
cần phải cài đặt chúng trên một hệ thống UNIX, như Linux, FreeBSD, hoặc
Macintosh OS X. Hãy tải về các bản cập nhật mới nhất của công cụ này tại
www.sleuthkit.org/sleuthkit/download.php và Autopsy Browser tại
www.sleuthkit.org/autopsy/download.php.
Khi chạy Sleuth Kit và Autopsy Browser các bạn phải có quyền root. Hãy
khởi động Autopsy theo các bước sau:
1. Khởi động máy tính Linux của bạn và mở một cửa sổ dòng lệnh
(terminal).
2. Thay đổi vị trí mặc định đến Autopsy Browser. Ví dụ, nếu bạn
cài đặt Autopsy Browser trong /usr/local/autopsy-2.08, hãy gõ lệnh cd
usr/local/autopsy-2.08 và nhấn Enter.
3. Tại dấu nhắc lệnh gõ su và nhấn Enter. Hãy nhập mật khẩu root để
chuyển qua tài khoản quản trị cao nhất với lệnh su và nhấn Enter.
269
4. Để bắt đầu Autopsy hãy gõ ./autospy và nhấn Enter. Hình 8-13 cho thấy
kết quả của lệnh này.
Hình 8-13 : Chạy Autospy từ cửa sổ dòng lệnh Linux
5. Kích chuột phải vào URL http://localhost:9999/autopsy trên cửa sổ dòng

lệnh và chọn Copy.
6. Mở trình duyệt Web và dán dòng địa chỉ trên vào ổ Address sau đó nhấn
Enter. Hình 8-14 hiển thị cửa sổ chính của Autospy.
270
Hình 8-14 : Cửa sổ chính của Autospy
7. Để trình duyệt Web của bạn mở cho hoạt động tiếp theo.
Khảo Sát Một Tình Huống Điều Tra Với Kit Sleuth Và Autospy - Trong
phần này chúng ta sẽ sử dụng Sleuth Kit và Autospy Browser để phân tích
một hệ thống tập tin Linux Ext2 và Ext3. Trong bài tập này chúng ta sử
dụng các tập tin Hình ảnh đã được tạo là GCFI LX.00n (với n đại diện cho
số từ 1-5), hãy copy chúng vào thư mục lưu trữ dữ liệu chứng cứ của
Autospy. Các bạn có thể tải về các tập tin hình ảnh mẫu GCFI LX.00n tại
trang web www.security365.vn (hãy sử dụng chức năng tìm kiếm trên
website để tìm các tập tin).
Để bắt đầu xem xét một Hình ảnh thu được từ một đĩa Linux, hãy làm theo
các bước sau:
1. Trong cửa sổ chính của Autopsy nhấp vào nút New Case. Khi hộp thoại
Create A New
Case mở ra hãy nhập vào dữ liệu điều tra theo hướng dẫn trên Hình 8-15 và
sau đó nhấn nút New Case để tiếp tục.
271
Hình 8-15 : Hộp thoại Create A New Case
2. Trong hộp thoại Create A New Case hãy nhấp vào Add Host để tiếp tục.
3. Trong hộp thoại Add A New Host nhập vào thông tin của bạn, theo các
thông tin trong Hình 8-16 và sau đó nhấp vào Add Host.
Hình 8-16 : Hộp thoại Add A New Host
4. Trong hộp thoại Adding Host hãy nhấp vào Add Image để tiếp tục.
272
5. Trong hộp thoại Open Image, nhấn Add Image File.
6. Trong hộp thoại Add A New Image hãy gõ đường dẫn đầy đủ đến nơi lưu
trữ bằng chứng (là nơi lưu các tập tin GCFI LX.00n ) trong ô Location, tiếp
theo kích vào nút tùy chọn Partition và Move , và sau đó nhấn Next. (Lưu ý
lệnh UNIX / Linux phân biệt chữ hoa và chữ thường.)
7. Trong hộp thoại Split Image Confirmation, hãy kiểm tra tất cả các Hình
ảnh đã được nạo rồi nhấn Next. Nếu không, hãy nhấp vào Cancel và kiểm
tra lại đường dẫn.
8. Trong hộp thoại Image File và File System Detail hãy nhấp vào nút tùy
chọn Calculate the hash value for this image, và sau đó nhấn Add. Trong
hộp tin nhắn Calculating MD5 hãy nhấn OK.
9. Trong hộp thoại Select a volume to analyze or add a new image hãy nhấp
vào tab Keyword Search để bắt đầu một tìm kiếm các chứng cứ quan tâm
cho cuộc điều tra.
10. Trong hộp thoại Keyword Search hãy gõ tên Martha trong hộp văn bản,
như Hình 8-17, và sau đó nhấp vào Search.
Hình 8-17 : Hộp thoại Keyword Search
11. Khi quá trình tìm kiếm hoàn tất, Autopsy sẽ hiển thị một bản tóm tắt kết
273
quả tìm kiếm (xem Hình 8-18). Để xem chi tiết kết quả tìm kiếm, nhấp vào
liên kết link to results ở phía trên bên trái.
Hình 8-18 : Tóm tắt kết qỉa tìm kiếm
12. Kiểm tra các kết quả tìm kiếm bằng cách di chuyển thông qua các khung
cửa sổ bên trái, và sau đó nhấp vào liên kết Fragment 236019 "Ascii" để
xem thông tin chi tiết. Lặp lại kiểm tra này bằng cách nhấn vào các liên kết
ASCII và Hex khác trên danh sách còn lại. Khi bạn đã hoàn thành hãy đóng
hộp thoại Searching for ASCII và Searching for Unicode để quay trở lại hộp
thoại Select a volume to analyze or add a new image file và để nguyên
chương trình cho bài tập tiếp theo.
Tiếp theo, chúng ta sẽ tìm hiểu chức năng File Activity Time Lines để xác
định thời gian hoạt động của các tập tin. Chức năng này hiển thị thời gian
mà tập tin được truy cập hay bị hỏng để hỗ trợ thêm cho công tác điều tra.
Hãy thực hiện theo các bước sau đây :
1. Để phân tích dòng thời gian của bằng chứng, bạn cần quay trở lại hộp
274
thoại Select a volume to analyze or add a new image file như trong Hình
8-19.
Hình 8-19 : Hộp thoại Select a volume to analyze or add a new image file
2. Nhấp vào nút File Activity Time Lines.

3. Trong hộp thoại File Activity Time Lines hãy nhấp Create Data File.
Trong hộp thoại Create Data File hãy đánh dấu chọn vào ô /1/gcfi-lx.001-0-0
ext rồi nhập vào GCFI-LX-body cho tên của tập tin xuất và nhấn OK.
4. Trong hộp thoại Running fls and Running ils nhấn OK.
5. Trong hộp thoại tiếp theo, nhấp vào nút tùy chọn GCFI-LX-body. Nhập
ngày bắt đầu bằng cách nhấp vào nút tùy chọn Specify, và thay đổi Dec 1,
2006. và ngày kết thúc là Jan 23, 2007 (xem Hình 8-20). Sau đó nhấn OK.
275
Hình 8-20 : Nhập dòng thời gian
6. Khi hoàn tất hãy nhấn OK trong hộp thoại thông báo để hiển thị kết quả
dòng thời gian. Sau khi xem xét các kết quả, thoát khỏi Autopsy
Với Sleuth Kit và Autopsy, bạn có thể thực hiện những nghiên cứu bổ sung
và xuất các tập tin kết quả vào khu vực lưu trữ chứng cứ. Sau đó, bạn có thể
sử dụng những tập tin này trong báo cáo của mình như được trình bày trong
Chương 14.
Tìm Hiểu Về Cấu Trúc Của Các Loại Đĩa Khác
Tổng Quan Về Đĩa CD / DVD

Đĩa CD và DVD thường được sử dụng để lưu trữ một lượng lớn dữ liệu.
Nhiều người sử dụng ổ ghi CD và DVD để chuyển thông tin kỹ thuật số từ
đĩa cứng vào một đĩa CD hoặc DVD. Là một điều tra viên máy tính, bạn có
thể cần lấy bằng chứng từ đĩa CD và DVD, hay lưu trữ thông tin lên các ổ
đĩa này. Hình 8-21 cho thấy cấu trúc cơ bản của một đĩa CD.
276
Hình 8-21 : Cấu trúc vậy lý của đĩa CD
Tổ chức tiêu chuẩn quốc tế (ISO) đã thành lập tiêu chuẩn cho đĩa CD, bao
gồm ISO 9660 cho một đĩa CD, CD-R, và CD-RW và ISO 13346 cho DVD.
ISO 9660 có một tiêu chuẩn mở rộng được gọi là Joliet, cho phép một tên
tập tin dài trong Windows 9x, NT, 2000, XP... Trong tiêu chuẩn ISO 13346
cho DVD, chức năng Micro-UDF (M-UDF) đã được thêm vào để cho phép
tên tập tin dài.
Một đơn vị lưu trữ trên một đĩa CD được gọi là một frame, bao gồm một mô
Hình đồng bộ, bộ kiểm soát và hiển thị các ký hiệu, và tám ký hiệu dùng cho
việc sữa chữa sai sót. Mỗi frame gồm 24 ký hiệu 17-bit, và các frame được
nhóm thành block, các block chưa trong sector. Một block trên một đĩa có
kích thước là 2352 byte cho đĩa CD âm nhạc (còn gọi là CD-DA) hoặc 2048
byte cho đĩa CD dữ liệu.
Không giống như đĩa CD, cấu trúc tập tin của đĩa DVD sử dụng định dạng
đĩa phổ quát Universal Disk Format (UDF) còn được gọi là Micro-UDF (M-
UDF). Các DVD tích hợp ISO 9660 để hỗ trợ các hệ điều hành cũ hơn.
Tổng Quan Về Đĩa SCSI
Small Computer System Interface (SCSI) là một giao thức nhập / xuất tiêu
chuẩn cho phép một máy tính truy cập đến các thiết bị như ổ đĩa cứng, ổ đĩa
băng, máy quét, đĩa CD-ROM và máy in. Shugart Systems đã tạo ra SCSI
vào năm 1979 để cung cấp một phương tiện truyền thông chung cho tất cả
277
các nhà cung cấp máy tính. Và SCSI đã phát triển thành một tiêu chuẩn cho
máy tính cá nhân, Macintosh, và nhiều máy trạm làm việc UNIX.
Khi bạn kiểm tra bằng chứng trên một hệ thống máy tính, bạn cần phải kiểm
kê tất cả các thiết bị được kết nối để không bỏ sót bất kì dữ liệu nào. Trong
quá trình kiểm kê này, bạn nên xác định xem máy tính có sử dụng một thiết
bị SCSI hay không. Nếu có thì hãy xác định xem đó là một thiết bị SCSI nội
bộ, chẳng hạn như một ổ cứng, hoặc thiết bị gắn ngoài như một máy quét
hoặc ổ đĩa băng. Trong trường hợp là ổ đĩa gắn ngoài phải xác định xem đó
là ổ đĩa gì để tiến hành thu thập thông tin thích hợp.
Khi kết nối một thiết bị SCSI máy trạm điều tra chứng cứ có thể phải thay
đổi số cổng trên đĩa cứng để tránh sự xung đột do hai ổ đĩa cùng dùng chung
một cổng. Nếu bạn đang sử dụng một thẻ SCSI UltraWide như Adaptec
29160, cổng 7 thường được dành cho card SCSI. Việc kiểm tra các cổng
dùng cho thiết bị SCSI là một bước chuẩn bị cần thiết trước khi tiến hành
khảo sát một ổ đĩa SCSI.
Tổng Quan Về Thiết Bị IDE/EIDE Và SATA

Hầu hết các đĩa mà điều tra viên gặp phải trong quá trình điều tra là những ổ
đĩa EIDE và SATA. Tuy nhiên, bạn có thể gặp phải các loại ổ đĩa cũ hơn
như IDE hay các loại đĩa lỗi thời như MFM và RLL.
Việc thu thập dữ liệu từ một ổ đĩa cũ có thể là một thách thức với các nhà
điều tra do các công nghệ mới không hỗ trợ tương thích ngược, do đó khi
gặp hải tình huống này các bạn nên tìm kếm thông tin hỗ trợ trên internet về
cách xử lý với những hệ thống đĩa lạc hậu này thông qua các model number
của chúng.
Tất cả ổ đĩa Advanced Technology Attachment (ATA) từ ATA-33 đến

ATA-133 IDE và ổ đĩa EIDE sử dụng cáp 40-pin tiêu chuẩn hoặc cáp được
bảo vệ. ATA-66, ATA-100 và ATA-133 có thể sử dụng cáp 40-pin/80-wire
đời mới, cung cấp tốc độ truyền tải dữ liệu nhanh hơn rất nhiều. Trong khi
đó, nếu ổ đĩa chứng cứ sử dụng loại pre-ATA-33 IDE thì khó có thể kết nối
vào các máy tính hiện đại ngày nay, do vậy bạn cần sử dụng các hệ thống
278
máy tính cũ như Pentium I hoặc PC 486 và dựa vào các kỹ năng kỹ thuật của
bạn hay các chuyên gia khác để điều tra thông tin trên đĩa.
CMOS trên các máy tính hiện nay sử dụng địa chỉ khối logic (LBA) và cấu
Hình CHS (cylinder, head và sector) nâng cao. Nên khi bạn kết nối một ổ
đĩa ATA-33 hoặc mới hơn với máy tính, CMOS sẽ tự động xác định thiết lập
chính xác cho ổ đĩa, giúp cho việc gắn các ổ đĩa này vào máy trạm làm việc
dễ dàng. Tuy nhiên, tính năng này có thể gây ra vấn đề trong quá trình điều
tra khi chúng ta tạo bản sao của một ổ cứng cũ sẽ nảy sinh vấn đề không
tương đồng trong thông tin cấu Hình CHS. Để giải quyết vấn đề này cần sử
dụng một công cụ tạo ảnh đĩa như NTI Safe-Back hay Guidance Software
EnCase. những công cụ này áp đặ cấu Hình CHS thích hợp trên ổ đĩa đích
để có thể sao chép chứng cứ kỹ thuật số một cách chính xác.
Tổng Quan Về IDE Host Protected Area Năm 1998, T13 tạo ra một tiêu
chuẩn mới cho các ổ đĩa ATA (ATA hay ATAPI-5 AT; ATAPI là viết tắt
Attachment with Packet Interface-5). Tiêu chuẩn mới này cung cấp một khu
vực dành riêng và bảo vệ ổ đĩa IDE khỏi tác động của hệ điều hành. Tính
năng này được gọi Protected Area Run Time Interface Extension Service
(PARTIES). Nhiều nhà sản xuất đĩa đề cập đến nó như là khu vực máy chủ
được bảo vệ (HPA) trong tài liệu của họ.
Kỹ thuật viên dịch vụ sử dụng khu vực này để lưu trữ dữ liệu được tạo bởi
các chương trình chẩn đoán và phục hồi. Sử dụng HPA để hạn chế các chi
phí đĩa khôi phục thảm họa. Cần có mật khẩu để truy cập vào HPA và các
lệnh tương tác hoạt động tại cấp độ BISO nên những tiện ích sữa chữa đĩa
cứng như fdisk sẽ không thấy được vùng HPA của đĩa cứng, do fdisk hoạt
động tại cấp độ hệ điều hành. Do vậy, các nhà điều tra máy tính cần hiểu về
HPA để phòng trường hợp tội phạm máy tính dấu thông tin chứng cứ
trongkhu vực này
Một công cụ thương mại cho phép vào HPA là X-Ways Replica (xem tại
www.x-ways.net/replica.html ), đây là một một tiện ích DOS có thể chạy từ
một đĩa khởi động CD. Khi một máy tính khả nghi được khởi động và chạy
279
Replica thì ứng dụng sẽ tìm thấy các HPA và yêu cầu chúng ta vô hiệu hóa
chức năng này bằng cách tương tác vào BISO để tắt HPA. Sau đó hãy khởi
động lại máy và chúng ta có thể xem các thông tin bị đặt trong vùng bảo vệ
do chúng đã bị vô hiệu hóa
Khám Phá Phân Vùng Ẩn - Một số tội phạm máy tính có thể dùng những
công cụ như Norton DiskEdit để dấu một phân vùng là cho các ứng dụng
xem đĩa thông thường như Windows Explorer sẽ thấy phân vùng chưa kích
hoạt và không truy xuất được. Để ngăn ngừa điều này, chúng ta nền dùng
các công cụ điều tra máy tính có khả năng sao chép cả dữ liệu trong khu vực
chưa cấp phát , hoặc dùng một số công cụ phục hồi dữ liệu tiên tiến có khả
năng xem được những phần vùng ẩn (được trình bày trong chương 9).
280
■ Các hệ điều hành Macintosh sử dụng các tập tin phân cấp Hierarchical
File System (HFS.
■ Trong HFS, một tập tin bao gồm hai phần: data fork và resource.
■Volume là bất kỳ phương tiện lưu trữ được sử dụng để lưu trữ các tập tin.
Các Volumes có các allocation block và logical block.
■ Tập tin của HFS được gán cho các allocation block được tạo thành từ một
hay nhiều logical block có kích thước 512 byte.
■ Để khởi động một máy tính Macintosh từ một đĩa CD có khả năng khởi
động hãy bấm và giữ phím C khi bật nguồn máy tính. Để khởi động một
máy tính Macintosh tử ổ đĩa FireWire hãy bấm và giữ phím T khi bật nguồn
trên máy tính.
■ Disk Arbitration dùng để bật chứng năng chống ghi đè trên ổ dữ liệu
chứng cứ.
■ Hệ thống tập tin UNIX / Linux có bốn thành phần: boot block, superblock,
inode block,
và data block
■ Hệ thống tập tin Ext2FS sử dụng inode.
■ Ext3FS là một phiên bản mở rộng của Ext2FS làm giảm thời gian phục hồi
tập tin sau khi bị sự cố.
■ Đĩa CD và DVD là phương tiện truyền thông quang học được sử dụng để
lưu trữ một lượng lớn dữ liệu. Tuân theo các tiêu chuẩn ISO 9660 và ISO
13346.
■ Các thiết bị SCSI gắn ngoài là một trong những thách thức đối với điều tra
viên máy tính. Nhưng các thiết bị thường gặp là IDE/EIDE hay các ổ đĩa
đời cũ, vì vậy các bạn nền có sẳn các trình điều khiển của các hệ thống lưu
trữ cũ nhưng có thể gặp trong quá trình điều tra thực tế.
281
282
CHƯƠNG 9
PHÂN TÍCH VÀ XÁC THỰC CHỨNG CỨ SỐ

• Lập danh các chứng cứ kỹ thuật số được lưu trữ theo định dạng của chúng
• Xác định phương pháp thu thập dữ liệu tốt nhất
• Mô tả kế hoạch dự phòng để thu thập dữ liệu
• Sử dụng công cụ
• Mô tả cách thức xác nhận dữ liệu được thu thập
• Mô tả các phương pháp thu thập dữ liệu RAID
• Giải thích cách dùng các công cụ thu thập dữ liệu từ xa
• Liệt kê các công cụ khả dụng khác cho quá trình thu thập dữ liệu.
283
Chương này sẽ hướng dẫn các bạn áp dụng những kỹ năng và kỹ thuật điều
tra máy tính để thực hiện một công tác điều tra, truy tìm chứng cứ kỹ thuật
số. Một trong những chức năng quan trọng nhất của việc điều tra là xác thực
chứng cứ số trong quá trình phân tích. Ở Chương 4, bạn đã học cách thu
thập dữ liệu và xác nhận chúng trên hệ thống Windows. Trong Chương 5
chúng ta đã tìm hiểu về các thuật toán băm, và trong Chương 7 bạn đã học
về phương pháp chứng thực các công cụ điều tra chứng cứ số hay điều tra
máy tính. Trong chương này các bạn sẽ tìm hiểu thêm về cách sử dụng thuật
toán băm trong phân tích pháp lý để xác nhận dữ liệu. Bạn cũng tìm hiểu
làm thế nào để tinh chỉnh và sửa đổi một kế hoạch điều tra, sử dụng công cụ
phân tích dữ liệu vàxử lý các chứng cứ kỹ thuật số , xác định các kỹ thuật
che dấu dữ liệu được và tìm hiểu phương pháp thu thập dữ liệu từ xa.
Xác Định Dữ Liệu Cần Thu Thập Và Phân Tích

Kiểm tra và phân tích các bằng chứng kỹ thuật số phụ thuộc vào bản chất
của cuộc điều tra và số lượng dữ liệu cần xử lý. Trong điều tra Hình sự thì
các điều tra viên sẽ bị ràng buộc hay giới hạn việc tìm kiếm dữ liệu theo các
quy định trong ệnh khám xét, còn điều tra dân sự thường được giới hạn bởi
lệnh của tòa án khi cho khám phá, tìm kiếm thông tin. Các điều tra viên
trong môi trường công ty hay xí nghiệp cần tìm kiếm những xung đột trong
chính sách doanh nghiệp để yêu cầu khảo sát trên một đối tượng nào đó, ví
dụ như emial. Vì vậy, công tác điều tra thường liên quan đến việc xác định
và khôi phục một số thông tin cụ thể, giúp đơn giản hóa vấn đề và tăng tốc
độ xử lý.
Tuy nhiên trong môi trường doanh nghiệp và đặc biệt là nếu vụ việc có sự
tham gia của các luật sư, họ có thể yêu cầu các điều tra viên tìm kiếm càng
nhiều bằng chứng càng tốt điều này khiến cho khổi lượng công việc tăng lên
nhiều so với thời gian dự kiến. Hoặc dữ liệu mà chúng ta tìm được không
đúng với mong muốn của luật sư và họ yêu cầu mởi rộng diều tra hay tiến
hành thêm những công việc khác. Trong các tình huống đó, các điều tra viên
cần lập tài liệu cẩn thận và giải thích rõ nguyên nhân khiến cho quá trình
điều tra tốn nhiều thời gian hơn so với kế hoạch.
Tiếp Cận Tình Huống Điều Tra Máy Tính
284
Nhớ lại từ Chương 2 khi bạn bắt đầu một vụ án bằng cách xây dựng một kế
hoạch và xác định mục tiêu , phạm vi của cuộc điều tra, những tài liệu cần
thiết, và nhiệm vụ phải thực hiện. Mặc dù có một số nguyên tắc cơ bản áp
dụng cho hầu như tất cả các trường hợp điều tra máy tính, cách tiếp cận vấn
đề của bạn sẽ phụ thuộc phần lớn vào loại hình cụ thể của vụ án mà bạn
đanh xử lý.
Ví dụ, để thu thập chứng cứ cho một trường hợp quấy rối emailcó thể xem
trực tiếp trong Inbox của người dùng mà không phải kiểm tra các tập tin nhật
kí truy cập mạng hay khảo sát tập tin sao lưu của máy chủ email. Phương
pháp tiếp cận của chúng ta phụ thuộc vào vụ việc là một cuộc điều tra nội bộ
công ty hay là điều tra dân sự, hoặc điều tra hình sự được thực hiện bởi cơ
quan thực thi pháp luật. Trong một cuộc điều tra nội bộ, thu thập chứng cứ
dễ dàng hơn so với các tình huống khác vì điều tra viên dễ dàng tiếp cận hồ
sơ hay những thông tin cần thiết. Ngược lại, khi điều tra một vụ án hình sự
về tội phạm mạng ta cần liên hệ với các ISP và dịch vụ email. Và một số
công ty như AOL có một hệ thống được thiết lập để xử lý tình huống này,
nhưng nhiều nơi khác thì không. Hoặc nhiều công ty sẽ xóa các email sau 90
ngày, và một số chỉ có hai tuần. Những điều này sẽ khiến việc tiếp cận các
thông tin điều tra gặp nhiều khó khăn hơn
Một tình huống điều tra trong khu vực riêng là điều tra một nhân viên bị
nghi ngờ làm gián điệp công nghiệp có thể mất nhiều thời gian và công sức.
Vì ta cần phải thiết lập các hệ thống camera giám sát các hoạt động khả nghi
hay phải cài đặt các ứng dụng theo dõi như keylogger để biết được những
trao đổi của nghi phạm với bên ngoài,.. Trong tình huống này, bạn có thể
phải tiến hành thu thập dữ liệu của ổ đĩa từ xa, và sau đó sử dụng một công
cụ để xác định các thiết bị ngoại vi đã được truy cập. Sau đây là các tiêu
chuẩn trong thực hành điều tra máy tính:
1. Đối với các ổ đĩa đích, chỉ nên dùng các phương tiện lưu trữ đã được xóa
sạch hay đã được định dạng lại để phòng tránh virus. Ví dụ, sử dụng
ProDiscover Secure Wipe Disk, Digital Intelligence PDWipe hay
WhiteCanyon SecureClean để xóa tất cả dữ liệu trên.
2. Kiểm kê các phần cứng trên máy tính của nghi phạm và ghi chú cẩn thận
khi thu giữ máy tính. Lập tài liệu tất cả thành phần phần cứng của máy tính.
3. Đối với các vụ thu thập dữ liệu tĩnh, hãy gỡ các ổ đĩa gốc từ máy tính nếu
thực tế cho phép và sau đó kiểm tra ngày, giờ trong hệ thống CMOS.
4. Ghi lại phương pháp mà bạn lấy thông tin từ ổ đĩa nghi ngờ ví dụ như sử
dụng một công cụ để tạo hình ảnh bit-stream. Nên dùng các công cụ có khả
285
năng tạo giá trị băm MD5 hoặc SHA-1 để xác nhận hình ảnh.
5. Khi kiểm tra hình ảnh chứa nội dung của ổ đĩa cấn tiền hành một cách có
phương pháp và hợp lý.
6. Liệt kê tất cả các thư mục và tập tin trên Hình ảnh hoặc ổ đĩa.
7. Nếu có thể hãy kiểm tra các nội dung của tất cả các tập tin dữ liệu trong
tất cả các thư mục, bắt đầu từ thư mục gốc. Ngoại trừ trong vụ án dân sự
chúng ta chỉ tìm những thông tin cụ thể cho công tác điều tra.
8. Đối với các tập tin được bảo vệ bằng mật khẩu hãy sử dụng những
phương pháp tốt nhất mà bạn biết để tiến hành bẻ khóa hay reset mật khẩu.
Bạn có thể sử dụng các công cụ khôi phục mật khẩu cho mục đích này,
chẳng hạn như AccessData Password Recovery Toolkit (PRTK), NTI
Password Recovery, hay Passware Kit Enterprise.
9. Xác định chức năng của các tập tin thực thi (tập tin nhị phân hoặc .exe)
10. Duy trì kiểm soát của tất cả bằng chứng và thông tin được phát hiện, và
ghi tài liệu cẩn thận những gì bạn đã xử lý được.
Tinh Chỉnh Và Sửa Đổi Kế Hoạch Điều Tra - Trong vụ án dân sự và hình
sự, phạm vi thường được xác định trong lệnh khám xét hoặc giấy triệu tập,
trong đó chỉ rõ những dữ liệu bạn có thể phục hồi. Tuy nhiên, trường hợp
điều tra ở khu vực tư nhân chẳng hạn như điều tra tình trạng lạm dụng nhân
viên có thể không hạn chế trong việc khôi phục dữ liệu. Đối với các trường
hợp này, điều quan trọng là tinh chỉnh kế hoạch điều tra càng nhiều càng tốt
để xác định những thông tin mà vụ án yêu cầu. Nói chung, bạn cần được mở
rộng phạm vi điều tra để thu hoạch được nhiều kết quả chứng cứ nhất, nhưng
cũng không quá rộng để tránh lãng phí thời gian. Ngay cả khi kế hoạch của
bạn lập ra là tương đối hoàn chỉnh nhưng một khi nhận thấy công việc đang
di chệch hướng thì việc tinh chỉnh và sữa đổi là cần thiết để đưa mọi việc
vào đúng quỹ đạo của nó.
Giả sử một nhân viên bị cáo buộc điều hành một doanh nghiệp khác trên
Internet bằng cách sử dụng các nguồn lực công ty trong giờ làm việc. Như
vậy chúng ta sẽ sử dụng khung thời gian này để thu hẹp các dữ liệu cần tìm
kiếm, và bởi vì bạn đang tìm kiếm việc sử dụng Internet trái phép nên hãy
bạn tập trung tìm kiếm các tập tin tạm, lịch sử sử dụng Internet, và các thông
điệp email. Việc nhận thức rõ các loại dữ liệu mà ta cần tìm kiếm ngay từ
đầu sẽ giúp bạn thực hiện công việc một cách tốt nhất. Tuy nhiên, trong quá
trình xem xét các emailliên quan đến vụ án, bạn có thể tìm thấy tài liệu các
bảng tính hoặc tài liệu Word có chứa thông tin tài chính liên quan đến việc
kinh doanh trên. Trong trường hợp này, chúng ta có thể mở rộng phạm vi
của dữ liệu bạn đang tìm kiếm để tránh thất thoát các chứng cứ quan trọng.
286
Nói chung, cần lập ké hoạch rõ ràng nhưng cũng phải linh hoạt khi xử lý
những vấn đề phát sinh.
Sử Dụng Accessdata Forensic Toolkit Để Phân Tích Dữ

Liệu
Cho đến nay, bạn đã sử dụng một số tính năng khác nhau của FTK và trong
phần này ta sẽ đi vào chi tiết hơn về chức năng tìm kiếm và báo cáo. FTK
có thể thực hiện phân tích pháp lý trên những hệ thống tập tin sau đây:
• Microsoft FAT12, FAT16 và FAT32

• Microsoft NTFS (Windows NT, 2000/2003, XP, và Windows 7)
• Linux Ext2FS, Ext3FS
FTK có thể phân tích dữ liệu từ nhiều nguồn, bao gồm cả các tập tin Hình
ảnh từ các công cụ khác. Nó cũng có thể đọc toàn bộ ổ đĩa bằng chứng hoặc
các tập con của dữ liệu, cho phép bạn tổng hợp dữ liệu từ nhiều nguồn khi
tiến hành một cuộc điều tra máy tính. Với FTK ta có thể lưu trữ tất cả mọi
thứ từ các tập tin Hình ảnh cho dến những thư mục được phục hồi từ máy
chủ. FTK cũng tạo ra một tập tin nhật kí để bạn có thể duy trì một bản ghi
chi tiết tất cả các hoạt động trong quá trình kiểm tra của bạn, chẳng hạn như
từ khóa tìm kiếm và trích xuất dữ liệu. Bản ghi này cũng được dùng cho
thông báo đến AccessData.
FTK có hai lựa chọn để tìm kiếm các từ khoá. Một là một tìm theo chỉ mục
dựa trên danh mục tất cả các từ trên ổ đĩa bằng chứng để FTK có thể tìm một
cách nhanh chóng. Tùy chọn cho kết quả tìm kiếm nhanh chóng, mặc dù nó
có một số thiếu sót. Ví dụ, bạn không thể tìm kiếm các giá trị chuỗi thập lục
phân, hay những dữ liệu trên hệ thống không được sắp xếp theo danh mục
trên đĩa cứng. Nếu bạn sử dụng tính năng này hãy lưu ý việc lập chỉ mục
một tập tin ảnh có thể mất vài giờ, vì vậy tốt hất nên cho tiến trình này chạy
qua đếm khi xử lý các khối lượng dữ liệu lớn.
Tùy chọn khác là tìm kiếm trực tiếp (live search), có thể xác định vị trí các
hạng mục như văn bản ẩn trong khu vực chưa cấp phát trên đĩa cứng mà
phương pháp tìm chỉ mục không xác định được. Bạn cũng có thể tìm kiếm
các chữ và số và giá trị thập lục phân trên ổ đĩa bằng chứng và tìm kiếm theo
các hạng mục cụ thể chẳng hạn như số điện thoại, số thẻ tín dụng, và số an
287
sinh xã hội. Hình 9-1 trình bày kết quả tìm thấy trên Hình ảnh của máy tính
xách tay khả nghi. Bạn có thể kích chuột phải vào một kết quả để thêm nó
vào dấu trang của bạn để trình bày trong báo cáo cuối cùng.
Hình 9-1 : Xem kết quả tìm kiếm live search trong FTK
Trong tab Indexed Search ta có thể tìm các tập tin đã được truy cập hoặc
thay đổi trong một khoảng thời gian nào đó. Chỉ cần nhấp vào nút Options
để mở hộp thoại earch Options, và sử dụng các thiết lập như trong Hình 9-2.
288
Hình 9-2 : Lựa chọn Search Options trong FTK
Trong quá trình xử lý dữ liệu, FTK có thể mở các tập tin nén gồm như tập
tin .cab, thư mục emailcá nhân (.pst hoặc..ost.), Và các tập tin .zip. FTK lập
chỉ mục bất kỳ tập tin nén nào mà nó có thể mở.
Để tạo báo cáo với FTK Report Wizard, đầu tiên bạn cần đánh dấu các tập
tin trong quá trình kiểm tra. FTK và những công cụ điều tra máy tính khác
sử dụng các bookmark để đánh dấu tài liệu và chứng cứ kỹ thuật số. Thao
tác này thường gọi là tag được thực hiện như sau : hãy nhấn Tools, Add to
Bookmark từ trình đơn và nhập mô tả cho bookmark như Hình 9-3 và nhấn
OK.
289
Hình 9-3 : Tạo bookmark
Sau khi bạn đã đánh dấu dữ liệu trong một báo cáo, FTK tích hợp các thông
tin này vào một tài liệu HTML để có thể xem dể dàng vối các trình duyệt.
FTK có thể chèn các tập tin văn bản, bảng tính hay tập tin PDF vào báo cáo
với FTK Report Wizard. Và dĩ nhiên, chúng ta có thể in ra !
Xác Nhận Dữ Liệu Pháp Lý

Một trong những khía cạnh quan trọng nhất của điều tra máy tính là xác
nhận bằng chứng kỹ thuật số. Vì bảo đảm tính toàn vẹn của dữ liệu mà bạn
thu thập là điều cần thiết cho trình bày bằng chứng trước tòa. Chương 5 giới
thiệu các thuật toán băm và trong phần này các bạn sẽ tìm hiểu thêm về xác
nhận các Hình ảnh thu thập được trước khi tiến hành phân tích chúng.
Phần lớn các công cụ điều tra chứng cứ như ProDiscover, X-Ways
Forensics, FTK, và EnCase cung cấp chức năng tạo giá trị băm của các tập
tin Hình ảnh một cách tự động. Ví dụ, khi ProDiscover nạp một tập tin hình
ảnh nó sẽ tính một giá trị băm của tập tin và so sánh với giá trị băm ban đầu
khi các hình ảnh được thu thập lần đầu tiên. Tuy nhiên, chức năng tính giá
trị băm của những ứng dụng pháp lý này có một số hạn chế nên các điều tra
290
viên cần biết cách sử dụng nhựng chương trình biên tập thập lục phân nâng
cao để bảo đảm tính toàn vẹn cho dữ liệu.
Xác Nhận Tính Hợp Lệ Với Chương Trình Biên Tập Thập
Lục Phân
Các chương trình biên tập thập lục phân nâng cao cung cấp nhiều tính năng
mà các công cụ điều tra máy tính không có, chẳng hạn như băm một phần
của tập tin. Do đó các điều tra viên cần nắm cách sử dụng các ứng dụng này
để áp dụng vào công tác điều tra khi cần.
Với giá trị băm của một tập tin ta có thể dễ dàng biết được khi tập tin đó có
sự thay đổi dù chỉ là một bit dữ liệu. Trong chương trước, bạn đã sử dụng
các chức năng băm có sẵn trong FTK Imager. Ứng dụng Hex Workshop
cũng cung cấp một số thuật toán băm như MD5 và SHA-1. Đôi khi bạn cần
tính các giá trị băm của một phần tập tin hay các sector để xác nhận tính tòan
vẹn cho dữ liệu bị phân mãnh. Trong trường hợp này hãy thực hiện các thao
tác sau với Hex Workshop :
1. Mở Word và tạo một tài liệu mới sau đó nhập vào một đoạn text sau đó
lưu tập tin với tên test_hex.doc trong thư mục công việc của bạn. Khi bạn
hoàn tất hãy thoát khỏi Word.
2. Mở Hex Workshop. Nhấn chọn File, Open từ trình đơn. Trong hộp thoại
Open, điều hướng đến thư mục công việc của bạn, chọn tập tin test_hex.doc,
và nhấn Open. Hình 9-4 cho thấy các tập tin mở trong Hex Workshop.
291
Hình 9-4 : Mở một tập tin trong Hex Workshop
3. Để có được giá trị băm MD5 của tập tin này, nhấn Tools, Generate
Checksum từ trình đơn để mở hộp thoại Generate Checksum (xem Hình 9-
5).
Hình 9-5 : Hộp thoại Generate Checksum
4. Trong hộp danh sách Select Algorithms, di chuyển xuống và nhấn MD5,
292
và sau đó nhấp vào nút Generate để xem giá trị băm với MD5 trong cửa sổ
kết quả ở phía dưới bên phải (xem Hình 9-6).
Hình 9-6 : Hex Workshop hiển thi giá trị băm
5. Kích chuột phải vào giá trị băm và chọn Copy. Mở Notepad và dán giá trị
băm vào một tài liệu văn bản mới. Lưu tập tin là test_hex_hashvalue.txt
trong thư mục làm việc của bạn, và đóng Notepad.
Một tính năng của Hex Workshop là tạo ra giá trị băm của dữ liệu được chọn
trong một tập tin hoặc sector. Để xem tính năng này hoạt động như thế nào,
hãy làm theo các bước sau:
1. Trong Hex Workshop, mở tập tin Jefferson quotes.doc từ thư mục công
việc của bạn.
2. Đặt con trỏ chuột vào đầu của địa chỉ byte 00000000
3. Bây giờ rê chuột để chọn một sector (kích thước 512 byte). Để biết khi
nào bạn đã chọn đầu đủ một sector hãy xem bộ đếm Offset ở phía dưới bên
phải trên thanh trạng thái. Nó sẽ hiển thị "Sel: 00000200" khi bạn đã đánh
dấu toàn bộ sector.
4. Nhấp vào Tools, Generate Checksum từ trình đơn.
5. Trong hộp danh sách Select Algorithms, di chuyển xuống và nhấp vào
293
MD5, và sau đó nhấp vào Generate.
6. Kích chuột phải vào giá trị băm trong cửa sổ kết quả và chọn Copy. Mở
Notepad, và dán giá trị băm vào một tài liệu văn bản mới. Lưu tập tin thành
Quotes_hashvalue.txt trong thư mục làm việc của bạn, và sau đó thoát khỏi
Notepad và Hex Workshop.
Việc ghi lại giá trị băm để có thể dễ dàng kiểm tra khi có sự thay đổi diễn ra.
Bạn cũng có thể sử dụng phương pháp như trên để tính giá trị băm cho toàn
bộ tập tin.
Sử Dụng Giá Trị Băm Để Phân Loại Dữ Liệu - Trong Chương 7 chúng ta
đã thảo luận về cách sử dụng chức năng phân loại để phân biệt các tập tin
sạch và tập tin khả nghi. Chức năng này rất hữu ích vì nó giúp giảm số
lượng dữ liệu mà nhà điều tra phải xem xét, cho nên có nhiều công cụ điều
tra máy tính cung cấp chức năng này
Ví dụ, AccessData có một cơ sở dữ liệu riêng biệt là Known File Filter

(KFF) có sẳn trong công cụ FTK. KFF lọc các tập tin thông dụng như
MSWord.exe, và xác định các tập tin bất hợp pháp như Hình ảnh khiêu dâm
liên quan đến trẻ em. KFF so sánh giá trị băm của tập tin thông dụng với
Hình ảnh hay tập tin trên ổ đĩa chứng cứ để kiểm tra có dấu hiệu đáng ngờ
nào hay không. Dữ liệu nhận dạng này được AccessData cập nhật định kì và
sau đó cập nhật cho. Như đã đề cập trong Chương 7 National Software
Reference Library (NSRL; www.nsrl.nist.gov) cũng duy trì và cập nhật một
cơ sở dữ liệu quốc gia các giá trị băm của tập tin hệ thống, ứng dụng hay
Hình ảnh.cho các tập tin cập nhật một loạt các hành, ứng dụng, và Hình ảnh.
Những công cụ pháp lý như X-Ways Forensics, có thể tải cơ sở dữ liệu
NSRL để chạy và so sánh giá trị băm.
Xác Nhận Tính Hợp Lệ Với Chương Trình Điều Tra Máy
Tính
Các ứng dụng pháp lý thương mại đều được tích hợp chức năng xác nhận, ví
dụ các tập tin .eve của ProDiscoverchứa siêu dữ liệu gồm giá trị băm. Khi
một tập tin ảnh được nạp vào ProDiscover thì nó sẽ được băm và sau đó so
sánh với giá trị băm được lưu trữ trong siêu dữ liệu. Nếu giá trị băm không
phù hợp, ProDiscover sẽ thông báo cho bạn rằng quá trình thu thập thông tin
đã không thành công và chứng cứ thu thập được không đáng tin cậy. Tính
294
năng này được gọi là Auto Image Checksum Verification.
Tuy nhiên, chúng ta đã biết các tập tin ảnh với định dạng thô (có phần mở
rộng .dd) không có chứa siêu dữ liệu nên chúng ta phải tiến hành xác nhận
thủ công để đảm bảo tính toàn vẹn của dữ liệu.
Trong AccessData FTK Imager, khi bạn chọn định dạng Expert Witness
(.e01) hoặc SMART (.s01), sẽ có một tùy chọn bổ sung dùng cho việc xác
thực dữ liệu thu thập. Các giá trị băm này được tạo bởi thuật toán MD5 hay
SHA-1, và khi Hình ảnh này được nạp trên các công cụ khác như FTK,
SMART, hoặc X-Ways Forensics, giá trị băm MD5 hay SHA-1 sẽ được so
sánh với giá trị băm của tập tin gốc để xác minh xem các tập tin Hình ảnh có
chính xác hay không.
Sau đây là các thao tác sử dụng chức năng xác thực được tích hợp trong
công cụ ProDiscover :
1. Mở ProDiscover Basic với quyền quản trị và một dự án mới. Nhập ngày
hiện tại như là số của dự án và các thông tin :
Tên dự án - GCFI-Win98
Mô tả - Denise Robinson, Superior Bicycles - suspected of industrial
Và sau đó nhấn OK.
2. Trong màn Hình tree-view bấm đế mở rộng Add và nhấp vào Image File.
3. Điều hướng đến thư mục làm việc của bạn, hãy nhấp vào tập tin GCFI-
Win98.eve (trong bài hướng dẫn này chúng ta giả sử đã có sẳn một tập tin
ảnh đĩa của máy tính dùng Win98 được thu thập bằng ProDiscovery Basic,
các bạn có thể chọn một tập tin ảnh của mình để thử nghiệm), và nhấn Open.
4. Sau khi quá trình xác nhận tập tin ảnh hoàn tất hay nhấn vào nút Save trên
thanh công cụ. Lưu tập tin là GCFI-Win98.dft trong thư mục làm việc của
bạn.
5. Trong giao diện tree-view, bấm để mở rộng Content View và sau đó bấm
để mở rộng Images.
6. Tiếp theo, nhấp vào tập tin Hình ảnh GCFI-Win98, và sau đó bấm vào để
mở rộng nó. Bạn sẽ thấy các thư mục trên ổ đĩa được liệt kê.
7. Nhấn vào để mở rộng thư mục My Documents và thư mục New Folder, và
sau đó vào thư mục đầu tiên Temp. Chú ý rằng có một vài tập tin trong thư
mục này là các tập tin đồ họa. Nhấp vào View, Gallery View từ trình đơn
(xem Hình 9-7).
295
Hình 9-7 : ProDiscover Gallery View
8. Trong chế độ xem này bạn có thể nhấn chuột phải vào bất kỳ tập tin nào
và export để xem các số cluster so sánh tập tin với một cơ sở dữ liệu có
chứa giá trị băm của các tập tin thông dụng hay đánh dấu tập tin như là bằng
chứng. Sau cùng hãy thoát khỏi ProDiscover Basic.
Các Kỹ Thuật Ẩn Dữ Liệu

Kỹ thuật ẩn dữ liệu gồm có ẩn toàn bộ phân vùng, thay đổi phần mở rộng tập
tin, thiết lập các thuộc tính tập tin ẩn, bit-shifting, mã hóa, và đặt mật khẩu
bảo vệ. Trong phần này chúng ta sẽ thảo luận về một số kỹ thuật ẩn dữ liệu
này.
Ẩn Phân Vùng
Một cách để ẩn phân vùng là tạo ra một phân vùng và sau đó sử dụng một
trình soạn thảo đĩa như Norton DiskEdit xóa các tham chiếu đến nó . Để truy
cập vào phân vùng bị xóa, người dùng có thể chỉnh sửa các bảng phân vùng
để tái tạo các liên kết, và sau đó phân vùng ẩn sẽ xuất hiện khi máy tính
khởi động lại. Một cách khác để ẩn phân vùng là dùng tiện ích phân vùng
296
đĩa, chẳng hạn như GDisk, Partition Magic, System Commander, hoặc
Linux Grand Unified Bootloader (GRUB) để cung cấp một trình đơn khởi
động cho phép chọn một hệ điều hành. Hệ thống sau đó bỏ qua những phân
vùng có khả năng khởi động còn lại.
Để phá vỡ những kỹ thuật này trong quá trình xử lý chứng cứ, các bạn hãy
kiểm tra toàn bộ không gian đĩa bao gồm cả những không gian trống. Phân
tích các không gian đĩa bao gồm cả phần trống để xem liệu chúng có khả
năng chưa dữ liệu chứng cứ hay không. Ví dụ, trong đoạn mã sau đây (Code
9-1) Disk Manager nhận ra phân vùng mở rộng (có nhãn EXT DOS) có kích
thước 5381,1 MB. Phân vùng E đến F có nhãn LOG DOS chỉ ra rằng chúng
là các phân vùng logic tạo nên phân vùng mở rộng. Tuy nhiên, nếu bạn cộng
các kích thước của ổ đĩa E và F, kết quả là chỉ có 5271,3 MB, đây chính là
điểm cần quan tâm trong quá trình kiểm tra đĩa chặt chẽ hơn. Vậy 109,8 MB
còn lại có thể là một phân vùng đã bị xóa hoặc là phân vùng ẩn. Đối với ví
dụ này, thì phân vùng ẩn được biểu thị bằng kí tự "H".
Code 9-1 : Các phân vùng logic, phần vùng mở rộng và phân vùng ẩn
Windows tự động tạo ra một khoảng cách giữa các phân như bạn có thể thấy
kích thước của khoảng cách lớn hơn so thực tế. Ví dụ, trong Windows
2000/XP, khoảng cách phân vùng chỉ có 63 sector do đó 109,8 MB là quá
lớn so với khoảng cách của phân vùng tiêu chuẩn. Trong Windows Vista,
khoảng cách là khoảng 128 sector.
Trong Hình 9-8, bạn có thể thấy một phân vùng ẩn trong Disk Manager,
trong đó cho thấy nó như là một phân vùng không xác định (unknown
partition). Ngoài ra, các ký tự ổ đĩa trong các phân vùng có thể nhìn thấy
không liên tục (ổ I bị bỏ qua), điều này cho ta một nhận xét có khả năng có
phân vùng ẩn trên đĩa cứng. Hầu hết các người dùng có tay nghề cao sẽ đảm
bảo điều này là bất bình thường.
297
Hình 9-8 : Xem phân vùng ẩn trong Disk Manager
Trong ProDiscover, một phân vùng ẩn xuất hiện như là ký tự ổ đĩa cao nhất
trong BIOS. Hình 9-9 cho thấy bốn phân vùng tương tự như Hình 9-8 ngoại
trừ phân vùng ẩn hiển thị với kí tự ổ đĩa Z. Để lấy dữ liệu từ khoảng cách
phân vùng sau khi phục hồi hãy sử dụng công cụ máy tính pháp lý khác như
FTK hoặc WinHex.
Hình 9-9 : Xem phân vùng ẩn trong ProDiscover
Đánh Dấu Bad Cluster

Một kỹ thuật ẩn dữ liệu ẩn thường được dùng trên hệ thống tập tin FAT là
đặt các dữ liệu nhạy cảm trong trong không gian chùng (slack pace) của đĩa
cứng hay những khu vững tự do. Kỹ thuật này sử dụng một trình biên tập đĩa
như Norton DiskEdit để đánh dấu các good cluster (cụm tốt, có thể lưu dữ
liệu) như là bad cluster (cụm xấu, không thể lưu dữ liệu). Khi đó hệ điều
hành sẽ cho rằng các khu vực được đánh dấu bad cluster sẽ không sử dụng
được. Cách duy nhất để vùng bị đánh dấu này có thể truy cập là thay đổi nó
thành good cluster với trình biên tập đĩa. .
Để đánh dấu một cụm tốt thành xấu trong Norton DiskEdit hãy gõ chữ B
trong mục FAT tương ứng với cụm đó. Sau đó, bạn có thể sử dụng bất kỳ
trình soạn thảo đĩa trên DOS để ghi và đọc dữ liệu trong khu vực này và
298
thông tin sẽ không hiển thị khi xem với các ứng dụng xem đĩa thông thường
trên hệ điều hành.
Bit-Shifting
Một số chương trình hợp ngữ có khả năng mã hóa ở mức độ thấp trên hệ
thống làm thay đổi thứ tự của các dữ liệu nhị phân, dẫn đến các dữ liệu bị
thay đổi khi truy cập với một trình soạn thảo văn bản thông thường sẽ không
đọc được. Các chương trình này sắp xếp lại các bit cho mỗi byte trong một
tập tin. Để bảo đảm các thông tin nhạy cảm không bị phát hiện những người
sử dụng đã chạy một chương trình hợp ngữ (còn được gọi là một macro) trên
tập tin để hoán đổi các bit. Để truy cập các tập tin, họ sẽ chạy một chương
trình khác để phục hồi thứ tự của các bit về lại trạng thái ban đâu của chúng.
Một số chương trình dạng này vẫn được sử dụng gây khó khăn cho các nhà
phân tích dữ liệu trên một ổ đĩa khả nghi. Để đối phó với những tình huống
này các bạn nên nghiên cứu thêm về ngôn ngữ lập trình cấp thấp như hợp
ngữ hay các ngôn ngữ nâng cao như Visual Basic, Visual C + +, hoặc Perl.
Tương tự như việc thay đổi thứ tự bit ở trên, một kỹ thuật nổi tiếng khác
trong việc che dấu dữ liệu có tên gọi là Bit-shifting , kỹ thuật này thay đổi
giá trị byte của dữ liệu từ mã có thể đọc sang dạng mã thực thi nhị phân. Sau
đây là một bài tập dịch chuyển bit trong một tập tin văn bản với công cụ Hex
Workshop :
1. Mở Notepad, và nhập vào dòng TEST FILE. Test file is to see how
shifting bits will alter the data in a file.
2. Lưu tập tin thành Bit_shift.txt trong thư mục làm việc của bạn, và thoát
Notepad.
3. Mở H ex Workshop. Nhấn Fi le, Open từ menu. Chuyển đến thư mục làm
việc của bạn, và sau đó kích đúp vào tập tin Bit_shift.txt. Hình 9-10 cho thấy
tập tin này được mở trong Hex Workshop.
299
Hình 9-10 : Tập tin Bit_shift.txt trong Hex Workshop
4. Để thiết lập Hex Workshop cho bài tập bit-shifting này các bạn hãy nhấn
vào Options, Toolbars từ menu.
5. Trong hộp thoại Customize, nhấp vào ô đánh dấu Data Operations và sau
đó kích OK.
6. Nhấp nút Shift Left (biểu tượng <<) trên thanh công cụ Data Operations
sẽ thấy hộp thoại Shift Left Operation sẽ hiển thị như Hình 9-11, bạn có thể
dịch chuyển các bit cho một phần của nội dung hay toàn bộ tập tin qua hộp
thoại này.
Hình 9-11 : Hộp thoại Shift Left Operation
300
7. Nhấp OK để chấp nhận các thiết lập mặc định và dịch chuyển các bit
trong tập tin Bit_shift.txt sang bên trái.
8. Lưu tập tin như Bit_shift_left.txt trong thư mục làm việc của bạn. Hình 9-
12 cho thấy các tập tin trong Hex Workshop với các biểu tượng @ chỉ bit bị
dịch chuyển.
Hình 9-12 : Xem các bit dịch chuyển
9. Để trả lại các cấu Hình ban đầu của tập tin, các bạn sẽ dịch chuyển các bit
theo hướng ngược lại (về bên phải) bằng cách chọn nút Shift Right (biểu
tượng >>) trên thanh công cụ Data Operations. Nhấp OK để chấp nhận các
thiết lập mặc định trong hộp thoại Shift Right Operation. Tập tin sẽ hiển thị
trong định dạng gốc của nó.
10. Lưu tập tin như Bit_shift_right.txt trong thư mục làm việc của bạn, và để
Hex Workshop mở cho hoạt động tiếp theo.
Bây giờ ta sẽ sử dụng Hex Hội thảo để tìm các giá trị băm MD5 cho ba tập
tin trên và xác định xem Bit_shift.txt có khác Bit_shift_right.txt và
Bit_shift_left.txt hay không. (Bạn cũng có thể sử dụng FTK hoặc
ProDiscover để tìm các giá trị băm MD5). Để kiểm tra các giá trị MD5 trong
Hex Workshop, hãy làm theo các bước sau:
1. Mở Bit_shift_right.txt trong Hex Workshop, tiếp tục nhấp vào File, Open
301
để mở Bit_shift.txt, và lặp lại thao tác để mở Bit_shift_left.txt.
2. Nhấp vào tab Bit_shift.txt ở khung bên trên.
3. Nhấp vào Tools , Generate Checksum từ trình đơn để mở hộp thoại
Generate Checksum. Trong hộp danh sách Select Algorithms hãy chọn
MD5, và sau đó nhấp vào nút Generate. Sao chép các giá trị băm MD5 của
Bit_shift.txt và dán nó vào một tài liệu văn bản mới trong Notepad.
4. Lặp lại bước 2 và 3 cho Bit_shift_left.txt và Bit_shift_right.txt, dán giá trị
băm của chúng trong cùng tập tin văn bản Notepad.
5. So sánh các giá trị hash MD5 để xác định xem các tập tin khác nhau. Khi
bạn hoàn tất, thoát khỏi Notepad và Hex Workshop.
Phương pháp che dấu thông tin này cũng được các phần mềm độc hại sử
dụng để vượt qua sự kiểm soát của các chương trình antivirus.
Ẩn Dữ Liệu Với Steganography
Steganography xuất phát từ tiếng Hy Lạp có nghĩa là "ẩn văn bản". Dược
dùng để ẩn các thông điệp khi truyền để người nhận hợp lệ mới có thể xem
được. Nhiều công cụ steganography được tạo ra để bảo vệ các tài liệu có bản
quyền bằng cách chèn ảnh watermark vào tập tin. Các Hình watermark này
thường hiển thị thông tin bản quyền hay dùng để quảng cáo cho một trang
web nào đó. Trong trường hợp che dấu dữ liệu thì các ảnh watermark sử
dụng cho steganography sẽ không hiển thị khi xem bằng các ứng dụng thông
thường, ngay cả khi xem bằng các chương trình biên tập ổ đĩa cũng khá khó
khăn.
302
Một tập tin các đồ họa thông thường có cùng kích thước với tập tin đồ họa
steganographic khi bạn kiểm tra chúng với IrfanView. Nhưng nếu chạy một
tiện ích so sánh giá trị băm MD5 hay SHA-1 trên cả hai tập tin ta sẽ nhận
thấy sự khác biệt. Trong Chương 10 sẽ trình bày một vài công cụ
steganography, những ứng dụng này có thể chèn dữ liệu vào các tập tin đồ
họa nhưng kích thước tập tin ban đầu sẽ bị thay đổi.
Để phát hiện các bằng chứng được steganography, ta cần phải tìm hiểu các
thông tin thêm về vụ ánđang điều tra như khảo sát máy tính nghi phạm xem
họ sự dụng công cụ steganography gì, ví dụ S-Tools, DPEnvelope, jpgx, và
tte. Nếu tìm thấy các công cụ này trên máy hãy thử nghiệm chúng với các
tập tin Hình ảnh thu thập được, thậm chí những tập tin văn bản cũng có thể
bị che dấu bằng các công cụ. Để xác định các tập tin có bị che dấu bằng kỹ
thuật steganography hay không hãy tham khảo những gợi ý sau :
1. Xác định thời gian sữa đổi cuối cùng của tập tin và thời gian hoạt động
của công cụ steganography để xem có sự trùng khớp hay không.
2. Tìm các tập tin .bmp và. .jpg xem có dấu hiệu bất thường nào không, ví
dụ như kích thước không bình thường, hay có những kí tự lạ khi xem bằng
chương trình như Hex Workshop.
3. Lập danh sách của tất cả các tập tin và so sánh thời gian thay đổi của
chúng với thời gian hoạt động của ứng dụng steganography, và sau đó kiểm
tra mỗi tập tin trong danh sách để tìm kiếm các dấu hiệu bất thường.
Kiểm Tra Các Tập Tin Bị Mã Hóa Và Phục Hồi Mật Khẩu
Mã hóa là một torng những phương pháp che dấu dữ liệu thông dụng, những
chương trình như PGP hoặc BestCrypt thường được dùng để ngăn chặn truy
cập trái phép. Để giải mã một tập tin mã hóa phải có chìa khóa thích hợp,
chìa khó này có thể là chuỗi mật khẩu hay là một chứng chỉ điện tử… Nếu
không có chìa khóa thì việc khôi phục là rất khó khăn, vì nhiều thuật toán
mã hóa ngày này có thể được xem như là không thể bẻ khóa. Do đó khi xác
định có những tập tin bị mã hóa và nghi ngờ có chứ dữ liệu chứng cứ thì các
bạn hãy thử dùng các công cụ bẻ khóa hay phục hồi mật khẩu mạnh như LC,
John the Rippe để tiến hành quét cạn hay dò từ điển. Khi không phục hồi
được thì chúng ta cần tư duy như một hacker đó là dò tìm các mật khẩu khác
dễ bẻ hơn như mật khẩu hộp thư POP3/IMAP với các chương trình đọc dữ
liệu cache hay hiển thị kí tự mật khẩu ẩn với See Password. Nói chung, hãy
tận dụng tối đa kỹ năng phán đoán để dò tìm các thông tin nhạy cảm của
303
người dùng, vì đa số người sử dụng hay dùng chung mật khẩu, hoặc đặt mật
khẩu liên quan đến các thông tin quen thuộc của họ như số điện thoại, ngày
sinh, tên của người yêu. Nếu khóa là một tập tin như chứng chỉ điện tử thì có
thể lục tìm trên đĩa cứng hay các thiết bị lưu trữ liên quan, thậm chí chúng
có thể được lưu trong hộp thư điện tử hay tải lên máy chủ lưu trữ tập tin, ổ
đĩa mạng hay hệ thống lưu trữ đám mây.
Các nhà điều tra có thể sử dụng cá giải pháp bắt thông tin hay kí hiệu bàn
phím với keylogger như ứng dụng PowerSpy hay chương trình chặn thông
tin nhạy cảm trên môi trường Wifi như Commview for Wifi, một ứng dụng
rất được các nhà điều tra má tính yêu thích. Ngoài ra, cũng có thể phương
pháp mang tính chủ động hơn là thẩm vấn nghi phạm để xác định các thông
tin bí mật. Tuy nhiên, khi áp dụng phương pháp này cần có sự chấp thuận
của cấp quản lý nếu bạn điều tra trong môi trường doanh nghiệp, và những
vấn đề luật pháp liên quan để tránh sự xung đột với quyền của người dùng
trong luật định.
Sử Dụng Công Cụ Accessdata Với Tập Tin Bị Mã Hóa Hay Đặt Mật
Khẩu - AccessData cung cấp một công cụ gọi là Password Recovery Toolkit
(PRTK), được thiết kế để tạo ra danh sách mật khẩu từ nhiều nguồn sau đó
sử dụng chúng để giải mã các tập tin bị đặt mật khẩu. Bạn có thể tạo một
danh sách mật khẩu bằng nhiều cách, bao gồm cả việc tạo ra một danh sách
mật khẩu với FTK, như thể hiện trong Hình 9-13, hoặc tạo ra một tập tin văn
bản của mật khẩu bằng tay như thể hiện trong Hình 9-14.
304
Hình 9-13 : Dùng FTK để tạo danh sách mật khẩu
305
Hình 9-14 : Danh sách mật khẩu tạo thủ công
Để xem các dạng từ điển mật khẩu có sẵn trong PRTK hãy mở thư mục
AccessData được cài đặt trên hệ thống và tìm đến thư mục con Dictionaries,
như Hình 9-15.
Hình 9-15 : Các từ điển trong PRTK
FTK cũng có thể xác định những tập tin mã hóa phổ biến hay phát hiện tập
tinc ó bị mã hóa hay không. Ví dụ, một tập tin mã hóa đơn giản là một tập
tin Win Zip được bảo vệ bằng mật khẩu hoặc tập tin PGP. Trong
tab Overview của FTK, chỉ cần nhấp vào nút Encrypted Files dưới cột File
Status thì FTK sẽ liệt kê tất cả các tập tin được mã hóa. Đối với các tập tin
WinZip bị đặt mật khẩu hãy chọn chúng và trong cửa sổ phía dưới FTK sẽ
cho thấy các tập tin chứa trong các tập tin nén, và chúng có thể xuất ra để
phân tích như Hình 9-16.
306
Hình 9-16 : Hiển thị các tập tin mã hóa trong FTK
Bạn có thể xuất một nhóm các tập tin bằng cách kích chuột phải vào các tập
tin và nhấn vào Export Files. Trong hộp thoại Export Files hãy nút All
checked files như Hình 9-17. Ngoài ra, ta có thể nhập các tập tin vào PRTK
để crack chúng.
307
Hình 9-17 : Xuất các tập tin mã hóa
Thu Thập Dữ Liệu Từ Xa
Trong nhiều trường hợp chúng ta cần thu thập dữ liệu từ xa để tiết kiệm chi
phí hay vì những khó khăn trong di chuyển đế hiện trường. Có nhiều công
cụ thực hiện việc thu thập dữ liệu từ xa hiệu quả, trong phần này chúng ta sẽ
tìm hiểu chức năng này trong ứng dụng Runtime .

Runtime Software (www.runtime.org) cung cấp một số phần mềm chia sẻ có
khả năng thu thập dữ liệu từ xa như:
• DiskExplorer for FAT

• DiskExplorer for NTFS
• HDHOST
Chương 4 có giới thiệu sơ qua về những công cụ này, do ứng dụng như
DiskExplorer có các phiên bản khác nhau cho mỗi hệ thống tập tin nên ta
cần phải chọn đúng chương trình cho hệ thống tập tin cần tạo Hình ảnh hay
các phân đoạn Hình ảnh.
308
HDHOST là chương trình truy cập từ xa dùng để truyền thông giữa hai máy
tính, khi kết nối được thiết lập sẽ được sử dụng bởi chương trình thu thập dữ
liệu như DiskExplorer (FAT/NTFS). Trong phần sau sẽ trình bày cách lấy
dữ liệu trên đĩa cứng của máy tính khả nghi từ xa.
Chuẩn Bị Diskexplorer, HDHOST Cho Việc Thu Thập Dữ Liệu Từ Xa – Để

chuẩn bị cho truy cập từ xa đòi hỏi các thành phần : ứng dụng của Runtime
Software, một thiết bị lưu trữ di động như USB và hai máy tính nối mạng.
Sau khi cài đặt cả hai ứng dụng DiskExplorer và HDHOST trên máy trạm
thu thập chứng cứ hãy sao chép thư mục cài đặt HDHOST lên thiết bị lưu
trữ di động USB để dùng trên các máy khả nghi từ xa (Trong ví dụ này, một
ổ đĩa USB được sử dụng để chạy HDHOST trên máy tính của nghi phạm).
Tiến hành cài đặt DiskExplorer và HDHOST trên máy tính của bạn như sau
:
1. Hãy tải công cụ Runtime từ trang web của nhà cung cấp, cài đặt
DiskExplorer FAT, DiskExplorer for NTFS, và HDHOST trong các thư mục
mặc định.
2. Sau khi cài đặt những công cụ này, gắn ổ đĩa USB vào máy. Mở Windows
Explorer, chuyển đến thư mục C:\Program Files\Runtime Software và sao
chép thư mục HDHOST vào ổ đĩa USB.
3. Tháo ổ đĩa USB khỏi máy trạm theo đúng quy.
Máy trạm của bạn đã sẵn sàng để kết nối tới máy tính của một nghi can (máy
tính chứa thông tin cần điều tra). Tiếp theo chúng ta sẽ thiết lập trên máy
tính cần thu thập dữ liệu (máy tính của nghi phạm).
Tạo Một Kết Nối Từ Xa Với Diskexplorer –Sử dụng HDHOST và Disk
Explorer ta cần phải chạy HDHOST trên máy tính của nghi can. Để thiết lập
kết nối với HDHOST máy tính nghi phạm phải được kết nối vào mạng và
đăng nhập vào bất kỳ tài khoản người dùng nào có quyền cài đặt chương
trình.
HDHOST không thể chạy ở chế độ ẩn như ProDiscover hoặc EnCase

Enterprise (thuật ngữ thường dùng là steal mode trong các chương trình
keylogger hay công cụ giám sát). Sau đây là những thao tác trên máy tính
khả nghi sử dụng phân vùng NTFS.
1. Trên máy trạm thu thập dữ liệu của bạn, kết nối các ổ đĩa đích (có thể là ổ
309
USB hay FireWire để chứa Hình ảnh ổ đĩa khả nghi trên máy từ xa)
2. Trên máy tính từ xa các bạn gắn ổ USB vào máy và mở thư mục
HDHOST như Hình 9-18.
Hình 9-18 : Thư mục HDHOST trên ổ USB sau khi gắn vào máy nghi can
3. Kích đôi vào tập tin HDHOST.exe để chạy một kết nối từ xa. Khi
HDHOST chạy hãy nhấp vào nút tùy chọn TCP/IP (xem Hình 9-19).
310
Hình 9-19 : Chọn kiểu kết nối
4. Trên máy trạm hãy chạy chương trình DiskExplorer thích hợp (ví dụ mở
DiskExplorer for NTFS, nhấn Start, trỏ đến All Programs, trỏ chuột đến
Runtime Softwarevà sau đó nhấp vào DiskExplorer for NTFS để mở cửa sổ
hiển thị như Hình 9-20.
311
Hình 9-20 : DiskExplorer for NTFS
5. Trong cửa sổ DiskExplorer, nhấp vào File, Drive từ trình đơn.

6. Trong hộp thoại Select drive (xem Hình 9-21), kích Remote ở dưới cùng
của cửa sổ liệt kê các ổ đĩa.
Hình 9-21 : Hộp thoại Select driver
312
7. Trong hộp thoại Remote, nhấp vào nút tùy chọn LAN.
8. Xem và lưu đĩa chỉ IP của máy tính từ xa từ danh sách thả xuống
Connection trong cửa sổ HDHOST, sau đó nhấp vào nút Wait for connection
(Xem Hình 9-22).
Hình 9-22 : Cữa sổ kết nối của HDHOST
10. Trong hộp thoại Remote trên máy trạm của bạn hã gõ vào địa chỉ IP của
máy tính khả nghi từ xa trong ô IP of host (xem Hình 9-23), và sau đó nhấp
vào nút Connect.
313
Hình 9-23 : Kết nối đến máy tính ở xa
11. Khi kết nối thành công, trên hộp thoại Remote của máy trạm thu thập dữ
liệu sẽ hiển thị danh sách các ổ đĩa trên máy tính khả nghi từ xa (xem Hình
9-24). Hãy nhấp vào ổ đĩa đầu tiên (HD128) để truy cập vào phân vùng C,
và sau đó nhấp OK. Tiếp theo nhấn OK thêm lần nữa trong hộp thoại Select
driver.
Hình 9-24 : Chọn ổ đĩa truy cập
12. Nếu có thêm máy tính mới cần kết nối chỉ cần lặp lại các thao tác trên.
Các bạn hãy để DiskExplorer mở cho bài tập tiếp theo.
Tiến Hành Thu Thập Dữ Liệu Từ Xa Với Diskexplorer - Sau khi bạn đã thiết
lập một kết nối với DiskExplorer từ máy trạm thu thập dữ liệu, bạn có thể
duyệt hệ thống tập tin và thư mục trên ổ đĩa nghi ngờ hoặc tiến hành sao
chép dữ liệu. Trong bài tập tiếp theo chúng ta sẽ tiến hành thu thập dữ liệu
trên ổ đĩa cứng được chọn của máy tính khả nghi từ xa, hãy tiến hành các
bước sau :
1. Để bắt đầu thu thập dữ liệu từ xa, trong cửa sổ chính của DiskExplorer
hãy nhấp vào Tools , Create image file từ trình đơn.
2. Trong hộp thoại Create an Image File hãy nhấp vào nút Lookup (nút có
ba dấu chấm). Điều hướng đến ổ đĩa mục tiêu và thư mục làm việc, sau đó
nhập vào tên tập tin là InChp09RT.img và nhấp vào Save. Tiếp theo hãy
nhấn nút Start như thể hiện trong Hình 9-25.
314
Hình 9-25 : Hộp thoại Create an Image File
3. Theo dõi tiến độ sao chép dữ liệu. Khi tiến trình hoàn tất, nhấn Cancel
trong hộp thoại Create an Image File để trở lại cửa sổ chính của
DiskExplorer.
4. Nhấn vào File, Exit từ trình đơn để đóng chương trình trên máy trạm làm
việc của bạn.
5. Trên máy tính từ xa hãy nhấp vào File, Exit để đóng HDHOST.
Công cụ Runtime không tạo ra giá trị băm cho dữ liệu thu thập do đó bạn
cần sử dụng một công cụ khác như Hex Workshop hoặc FTK để xác định
giá trị băm dùng cho việc xác nhận. Trong chương 11, chúng ta sẽ tìm hiểu
về vấn đề thu thập dữ liệu trực tiếp.
315
■ Kiểm tra và phân tích các bằng chứng kỹ thuật số phụ thuộc vào bản chất
của cuộc điều tra và số lượng dữ liệu cần xử lý. Bạn bắt đầu một cuộc điều
tra tội phạm máy tính bằng cách tạo ra một bản kế hoạch điều tra xác định
mục tiêu và phạm vi, lập tài liệu quá trình điều tra và nhiệm vụ cần thực
hiện. Tùy thuộc vào bằng chứng được tìm thấy, chúng ta có thể thay đổi kế
hoạch điều tra tại một số thời điểm.
■ Đối với hầu hết các cuộc điều tra pháp lý trên máy tính, ta cần thực hiện
theo các thủ tục sau: Xóa sạch và chuẩn bị ổ đĩa mục tiêu, lập tài liệu tất cả
các thành phần phần cứng của máy tính tình nghi, kiểm tra các giá trị ngày
tháng và thời gian trong CMOS của máy tính nghi ngờ, hãy liệt kê tất cả các
thư mục và tập tin trên hệ thống nghi ngờ và kiểm tra nội dung của chúng,
cố gắng mở bất kỳ tập tin nào được bảo vệ bằng mật khẩu, xác định chức
năng các tập tin thực thi, và lập tài liệu tất cả các bước, đảm bảo tuân thủ các
thủ tục bảo quản chứng cứ.
■ Một trong những khía cạnh quan trọng nhất của điều tra tội phạm máy tính
là xác nhận bằng chứng kỹ thuật số nhằm đảm bảo tính toàn vẹn của dữ liệu
mà bạn thu thập được.
■ Ẩn dữ liệu là thao tác che dấu thông tin không cho nhìn bằng các ứng
dụng thông thường. Các kỹ thuật ẩn dữ liệu ẩn bao gồm đánh dấu các phân
vùng ẩn, thay đổi phần mở rộng tập tin, thiết lập thuộc tính ẩn cho tập tin,
chuyển đổi bit (bit-shifting), sử dụng steganography, mã hóa và đặt mật
khẩu bảo vệ.
■ Thu thập dữ liệu từ xa rất hữu ích khi máy tính khả nghi ở cách xa nơi làm
việc của bạn, điều này giúp tiết kiệm chi phí và ngăn ngừa phản ứng của
nghi can khi biết đang bị điều tra, theo dõi.
316
317
CHƯƠNG 10
PHỤC HỒI TẬP TIN ĐỒ HỌA

• Mô tả các định dạng tập tin đồ họa
• Giải thích các loại dữ liệu nén
• Giải thích làm thế nào để xác định vị trí và phục hồi tập tin đồ họa
• Mô tả làm thế nào để xác định các định dạng tập tin không rõ
• Giải thích vấn đề bản quyền với tập tin đồ họa
318
Nhiều dữ liệu chứng cứ trong các cuộc điều tra máy tính liên quan đến tập
tin đồ họa, đặc biệt là những thông tin tải về từ internet hay được gởi qua
email. Để kiểm tra và phục hồi các tập tin đồ họa ta cần phải hiểu những
điểm cơ bản của đồ họa máy tính bao gồm các đặc tính tập tin, định dạng tập
tin phổ biến, phương pháp nén để giảm kích thước tập tin. Vì vậy trong
chương này sẽ cung cấp một cái nhìn tổng quan về đồ họa máy tính, nén dữ
liệu và sau đó giải thích làm thế nào để xác định vị trí và phục hồi tập tin đồ
họa dựa trên thông tin được lưu trữ trong các tiêu đề tập tin (file header).
Bạn cũng sẽ tìm hiểu làm thế nào để xác định và xây dựng lại tin đồ họa từ
những phân mãnh, phân tích các tiêu đề tập tin đồ họa, và sửa chữa các tiêu
đề tập tin bị hư hỏng.
Thế Nào Là Một Tập Tin Đồ Họa ?

Tập tin đồ họa bao gồm các bức ảnh kỹ thuật số, hình ảnh ba chiều, và các
bản scan của hình ảnh hay tạp chí. Bạn có thể đã sử dụng một chương trình
đồ họa, chẳng hạn như Microsoft Paint, Adobe Photoshop, hoặc Gnome
GIMP để tạo hoặc chỉnh sửa hình ảnh. Một chương trình đồ họa tạo ra một
trong ba loại tập tin đồ họa là : vector, bitmap, và metafile.
Hình ảnh Bitmap là tập hợp các dấu chấm hoặc điểm ảnh trong một định
dạng lưới tạo nên một hình ảnh. Hình ảnh đồ họa vector được dựa trên
hướng dẫn toán học để xác định đường thẳng, đường cong, văn bản, hình
bầu dục, và các dạng hình học khác. Còn hình ảnh metafile là sự kết hợp của
hình ảnh bitmap và vector. Có hai loại chương trình làm việc với các tập tin
đồ họa: chương trình biên tập đồ họa để tạo, chỉnh sửa, và hình ảnh lưu
bitmap, vector, và đồ họa Metafile và chương trình xem hình ảnh.
Tìm Hiểu Về Hình Ảnh Đồ Họa Bitmap Và Raster

Hình ảnh đồ họa Bitmap lưu trữ thông tin đồ họa dưới dạng lưới các điểm
ảnh, còn hình ảnh Raster cũng là tập hợp của các điểm ảnh, nhưng các điểm
ảnh được lưu trữ theo hàng giúp cho việc in ảnh được dễ dàng hơn.
319
Chất lượng hình ảnh của một bitmap trên màn hình được điều chỉnh bởi độ
phân giải xác định số lượng chi tiết được hiển thị. Độ phân là mật độ điểm
ảnh trên màn hình và phụ thuộc vào cấu hình phần cứng cũng như phần
mềm xử lý. Màn hình có thể hiển thị nhiều độ phân giải khác nhau và độ
phân giải cao thì hình ảnh càng sắc nét hơn. Máy vi tính sử dụng một card
màn hình với số lượng bộ nhớ nhất định để hiển thị hình ảnh, và card càng
tốt với bộ nhớ lớn sẽ cho hình ảnh và video chất lượng hơn. Ví dụ màn hình
và card màn hình trên máy tính Windows của bạn hỗ trợ độ phân giải 1024
× 768, có nghĩa là hiển thị 1024 điểm ảnh theo chiều ngang và 768 điểm ảnh
theo chiều dọc. Phần mềm cũng ảnh hưởng đến chất lượng hình ảnh, có
những chương trình có khả năng đọc nhiều định dạng hình ảnh khác nhau
như IrfanView (www.irfanview.com) trong khi đó có những ứng dụng chỉ
có thể xem được một vài định dạng.
Một thiết lập khác có ảnh hưởng đến chất lượng hình ảnh là số lượng màu
mà màn hình có thể hiển thị. Các tập tin hình ảnh có thể có số màu khác
nhau cho mỗi điểm ảnh, và số lượng màu có liên quan đến số bit trên mỗi
điểm ảnh. Danh sách sau đây cho thấy số lượng các bit trên mỗi điểm ảnh :
• 1 bit = 2 màu
• 4 bit = 16 màu
• 8 bit = 256 màu
• 16 bit = 65.536 màu
• 24 bit = 16.777.216 màu
• 32 bit = 4294967296 màu
Tập tin hình ảnh bitmap và raster có thể tận dụng tối đa màu sắc trong có
trong bảng màu . Nhưng khi bạn lưu tập tin bitmap hoặc raster, độ phân giải
và màu sắc có thể thay đổi tùy thuộc vào màu sắc trong các tập tin ban đầu
và khả năng hỗ trợ màu sắc của định dạng tập tin.
Tìm Hiểu Về Hình Ảnh Đồ Họa Vector
Hình ảnh đồ họa vector không giống như hình ảnh bitmap và raster , và
chúng sử dụng dòng thay cho các điểm ảnh để tạo nên một hình ảnh. Một tập
320
tin vector chỉ lưu trữ các phép tính cho việc vẽ dòng và hình dạng và một
chương trình đồ họa sẽ chuyển các phép tính này thành hình ảnh. Bởi vì tập
tin hình ảnh vector chỉ lưu trữ các phép tính chứ không phải một hình ảnh
nên kích thước của chúng sẽ nhỏ hơn so với tập tin bitmap, do đó cũng tiết
kiệm không gian đĩa cứng hơn. Bạn cũng có thể phóng to một hình ảnh
vector mà không ảnh hưởng đến chất lượng của hình ảnh . Để phóng to một
hình ảnh vector thì các chương trình đồ họa vector như CorelDRAW, Adobe
Illustrator sẽ căn cứ trên những phép toán để tạo ra hình ảnh tương ứng.
Tìm Hiểu Về Hình Ảnh Đồ Họa Metafile
Hình ảnh đồ họa metafile là sự kết hợp giữa hình ảnh đồ họa vector và raster
và có các đặc tính của cả hai loại tập tin này. Ví dụ, nếu bạn quét một bức
ảnh (một hình ảnh bitmap) và sau đó thêm văn bản hoặc mũi tên (bản vẽ
vector) thì ta sẽ tạo ra một hình ảnh metafile.
Do một hình ảnh đồ họa metafile có các tính năng của cả hai tập tin bitmap
và vector nên chúng cũng chia sẻ những hạn chế của cả hai loại hình ảnh độ
họa này. Ví dụ, nếu bạn phóng to một hình ảnh metafile, khu vực tạo ra với
một bitmap sẽ mất một số độ phân giải, nhưng các khu vực định dạng vector
vẫn còn sắc nét và rõ ràng.
Tìm Hiểu Về Định Dạng Tập Tin Đồ Họa
Các tập tin đồ họa được tạo ra và lưu trong một trình soạn thảo đồ họa,
chẳng hạn như Microsoft Paint, Adobe Freehand MX, Adobe Photoshop,
hoặc Gnome GIMP. Một số chương trình biên tập đồ họa như Freehand MX,
chỉ làm việc với đồ họa vector còn một số chương trình khác như Photoshop,
làm việc được với cả hai.
Hầu hết các chương trình biên tập ảnh cho phép tạo và lưu các tập tin trong
một hoặc nhiều định dạng đồ họa chuẩn. Tiêu chuẩn định dạng tập tin
bitmap gồm có Graphics Interchange Format (.gif), Joint Photographic
Experts Group (.jpg hoặc .jpeg), Tagged Image File Format (.tif hoặc .tiff),
321
và Windows bitmap (.bmp). Tiêu chuẩn định dạng tập tin vector gồm
Hewlett Packard Graphics Language (.hpgl) và AutoCad (. dxf).
Định dạng tập tin đồ họa phi chuẩn ít phổ biến hơn, chẳng hạn như Targa
(.tga) và Raster Transfer Language (.rtl) hay các định dạng độc quyền như
Photoshop (.psd)., Illustrator (.ai) và Freehand (.fh10.); Ngoài ra còn có các
định dạng mới hơn như Scalable Vector Graphics (.svg.); Và các định dạng
cũ hoặc đã lỗi thời thì có Paintbrush (.pcx).
Đối với các tập tin đồ họa có định dạng tiêu chuẩn thì các điều tra viên dễ
xem hơn vì có khả năng mở bằng những chương trình xem ảnh hay biên tập
hình ảnh dễ dàng. Trong trường hợp bạn gặp phải các tập tin đồ họa trong
các định dạng phi chuẩn, bạn có thể cần dựa vào kỹ năng điều tra để xác
định các tập tin này có phải là một tập tin đồ họa hay không sau đó tìm các
công cụ thích hợp để xem hình ảnh. Cách tốt nhất là sử dụng công cụ tìm
kiếm như Google để tìm xem với định dạng liên quan (căn cứ trên phần mở
rộng của tập tin) cần phải mởi bằng chương trình gì.
Tìm Hiểu Về Định Dạng Tập Tin Của Máy Ảnh Kỹ Thuật
Số
Máy ảnh kỹ thuật số đóng góp nhiều cho công tác điều tra tội phạm máy tính
hay truy tìm chứng cứ số của các nhà điều tra, vì họ có thể dùng chúng để
chụp hình ảnh, hay lưu lại các chứng cứ quan trọng trong những tình huống
khẩn cấp. Là một điều tra tội phạm máy tính, bạn có thể phải kiểm tra một
bức ảnh kỹ thuật số được chụp bởi nhân chứng một vụ tai nạn. Hay các tội
ác như ấu dâm có thể liên quan đến hàng trăm bức ảnh kỹ thuật số dùng
làm bằng chứng buộc tôi. Vì vậy, các điều tra viên cần biết phân tích cấu
trúc dữ liệu của tập tin đồ họa để bổ sung bằng chứng cho một vụ án.
Hầu hết các hình chụp bởi máy ảnh kỹ thuật số có định dạng thô hoặc định
dạng EXIF sẽ được mô tả trong phần sau.
Tập Tin Hình Ảnh Định Dạng Thô (RFF - Raw File Format) – Định
dạng thô của hình ảnh thường được dùng trong nhiều máy ảnh kỹ thuật số
cao cấp. Ưu điểm của định dạng này là cho ra các hình ảnh có chất lượng tốt
322
nhất. Tuy nhiên, dưới góc độ điều tra thì định dạng hình ảnh như trên gây ra
một sự bất lợi lớn do nó thuộc dạng độc quyền, cho nên không phải chương
trình xem ảnh nào cũng có thể đọc được. Do đó, để xem các hình ảnh này
chúng ta cần biết loại máy ảnh để xác định chương trình xem và chuyển đổi
ảnh liên quan của nhà sản xuất. Mỗi nhà sản xuất máy ảnh kỹ thuật số có
những giải thuật riêng để chuyển các hình ảnh định dạng thô thành các tập
tin ảnh tiêu chuẩn như JPEG hoặc TIF. Quá trình chuyển đổi này được gọi là
demosaicing.
Tập Tin Hình Ảnh Có Định Dạng Trao Đổi (Exchangeable Image File
Format) - Hầu hết các máy ảnh kỹ thuật số sử dụng định dạng
Exchangeable Image File Format (EXIF) để lưu trữ hình ảnh kỹ thuật số.
Tiêu chuẩn này được phát triển bởi Japanese Electronic Industry
Development Association (JEIDA) để lưu trữ siêu dữ liệu trong các tập tin
Hình ảnh JPEG và TIF. Khi một Hình ảnh kỹ thuật số được chụp thì các
thông tin về máy ảnh, chẳng hạn như dòng máy, nhà sản xuất, số hiệu, và
các thiết lập hạn như độ dài tiêu cự, tốc độ, độ phân giải, ngày và giờ chụp
ảnh đểu được lưu trữ trong tập tin ảnh. Hầu hết các máy ảnh kỹ thuật số lưu
trữ các hình chụp như là các tập tin EXIF JPEG.
Bởi vì định dạng EXIF chứa siêu dữ liệu nên các nhà điều tra có thể tìm hiểu
thêm về các loại máy ảnh kỹ thuật số và môi trường mà hình ảnh được chụp.
Để xem siêu dữ liệu của tập tin EXIF JPEG cần các chương trình đặc biệt
như Exif Reader hoặc chức năng xem các tập tin EXIF được tích hợp trong
công cụ ProDiscover.
Ban đầu, định dạng JPEG và TIF được thiết kế chỉ để lưu trữ dữ liệu hình
ảnh kỹ thuật số. EXIF là sự mở rộng của các định dạng JPEG hoặc TIF để có
thể chèn thêm siêu dữ liệu vào tập tin ảnh. Trong những hình ảnh tương tự
như trong Hình 10-1, bên trái là một tập tin EXIF JPEG, và một bên phải là
một tập tin JPEG tiêu chuẩn.
323
Hình 10-1 : Các Hình ảnh giống nhau nhưng có định dạng khác nhau EXIF
JPEG và JEG
Hình 10-2 cho thấy sự khác biệt giữa các tiêu đề tập tin trong các ảnh EXIF
và ảnh tiêu chuẩn JPEG. Trong đó Sawtoothmt.jpg là một tập tin EXIF, và
Sawtoothmtn.jpg là một tập tin JPEG tiêu chuẩn.
Hình 10-2 : Sự khác nhau giữa tiêu đề tập tin (file header) của EXIF và
JPEG.
Tất cả các tập tin JPEG gồm cả EXIF bắt đầu từ offset 0 (byte đầu tiên của
một tập tin) với hệ thập lục phân là FFD8. Các tiêu đề tiêu chuẩn hiện hành
cho cá tập tin JPEG thông dụng là JPEG File Interchange Format
(JFIF) đó có có giá trị thập lục phân bắt đầu tại offset 2 là FFE0. Đối với các
tập tin EXIF JPEG, giá trị thập lục phân bắt đầu từ offset 2 là FFE1.Ngoài
ra, các giá trị thập lục phân tại offset 6 chỉ định tên nhãn (xem Hình 10-2).
Đối với tất cả các tập tin JPEG, đánh dấu kết thúc tập tin EOI trong hệ thập
lục phâncó giá trị là FFD9 (xem Hình 10-3).
324
Hình 10-3 : EOI marker FFD9 cho tất cả các tập tin JPEG
Với các công cụ như ProDiscover và Exif Reader, bạn có thể trích xuất siêu
dữ liệu như là bằng chứng cho vụ án.Như thể hiện trong Hình 10-4, máy ảnh
kỹ thuật số hiệu Minolta Dimage 2330 Zoom chụp ảnh trên vào ngày 12
tháng 8 năm 2002, vào lúc 9:16 pm.
325
Hình 10-4 : Siêu dữ liệu của tập tin EXIF JPEG hiển thị với Exif Reader
Bạn có thể thấy trong Hình 10-1 rằng rất nhiều là có ánh sáng mặt trời trong
các bức ảnh, nhưng siêu dữ liệu cho thấy thời gian khi chụp ảnh là sau 9 giờ
đêm vào tháng Tám. Chúng ta thấy việc xác định ngày và giờ chụp là rất
quan trọng trong bất kì cuộc điều tra máy tính nào. Khi phát hiện mối nghi
ngờ này chúng ta nên lưu vào tài liệu cẩn thận, nhưng cũng cần lưu ý những
tình huống mà nghi phạm cố tình thiết lập lại ngày giờ của máy ảnh khi chụp
vì những mục đích mờ ám nào đó.
Tổng Quan Về Nén Dữ Liệu

Hầu hết các định dạng tập tin ảnh, bao gồm GIF và JPEG đều nén dữ liệu để
tiết kiệm không gian đĩa và giảm thời gian truyền của tập tin. Các định dạng
khác như BMP ít khi nén dữ liệu có thể làm như vậy không hiệu quả. Trong
trường hợp này chúng ta có thể sử dụng các công cụ nén dữ liệu để giảm
kích thước tập tin.
Tập tin đồ họa và các công cụ nén đa số đều sử dụng một trong hai cơ chế
nén dữ liệu: lossless hay lossy. Bạn cần phải hiểu các cơ chế nén này để biết
ảnh bị thay đổi như thế nào
Cơ Chế Nén Lossless Và Lossy
Phần này sẽ mô tả cơ chế làm việc của các kiểu nén lossless và lossy, giải
thích các điểm mạnh và yếu của chúng và thảo luận về những vấn đề liên
quan đến điều tra máy tính.
Kỹ thuật nén làm giảm kích thước tập tin mà không cần loại bỏ dữ liệu. Khi
giải nén một tập tin được nén theo cơ chế lossless chúng ta sẽ khôi phục lại
tất cả các thông tin. Các tập tin ảnh dạng GIF và Portable Network Graphics
(PNG) sử dụng cơ chế nén lossless để làm giảm kích thước của tập tin thông
qua một công thức sắp xếp lại dữ liệu, công thức này dựa trên hai giải thuật
là Huffman và Lempel-Ziv-Welch (LZW), mỗi giải thuật sử dụng một mã
số để sắp xếp lại các bit dữ liệu dư thừa. Ví dụ, nếu một tập tin đồ họa có
326
chứa một khu vực lớn màu đỏ, thay vì phải lưu trữ 200 byte màu đỏ, các
thuật toán có thể thiết lập một byte màu đỏ và một byte để chỉ định 200 byte
đỏ. Vì vậy, chỉ có 2 byte được sử dụng.
Kỹ thuật nén Lossy khác với kỹ thuật nén lossless vì nó nén dữ liệu bằng
cách loại bỏ vĩnh viên các bit thông tin trong tập tin. Một số bit loại bỏ là bit
dư thừa, nhưng những bit khác thì không. Vì vậy khi chúng ta giải nén tập
tin đồ họa sử dụng kỹ thuật lossy sẽ bị mất thông tin. Mặc dù hầu hết mọi
người không nhận thấy sự khác biệt trừ khi họ in ảnh trên một máy in có độ
phân giải cao hoặc khi tăng kích thước ảnh. JPEG là một trong những định
dạng sử dụng nén lossy, nếu bạn mở một tập tin JPEG trong một chương
trình đồ họa và lưu nó như một tập tin JPEG với một tên khác, phương pháp
nén sẽ được lặp lại một cách tự động, và do đó làm giảm chất lượng Hình
ảnh. Nếu bạn chỉ cần đổi tên một tập tin bằng cách sử dụng Windows
Explorer hoặc dùng dòng lệnh thì các tập tin không bị mất dữ liệu nữa, đây
là điều mà các nhà điều tra chứng cứ kỹ thuật số cần lưu ý.
Một số tiện ích nén lossless phổ biến bao gồm WinZip, PKZip, StuffIt, và
FreeZip. Còn Lzip là một tiện ích nén lossy. Sự khác biệt chính giữa kỹ
thuật nén lossless và lossy là cách dữ liệu được trình bày lại sau khi giải nén.
Kiểu nén Lossless tạo ra một bản sao chính xác của các dữ liệu ban đầu sau
khi nó được giải nén, trong khi đó kiểu nén Lossy thường tạo ra một bản sao
của dữ liệu bị thay đổi sau khi giải nén.
Xác Định Và Phục Hồi Tập Tin Đồ Họa

Trong một vụ án liên quan đến các tập tin đồ họa ta cần xác định và phục hồi
tất cả các tập tin đồ họa trên ổ đĩa nghi ngờ và tìm kiếm những thông tin cần
thiết cho công tác điều tra của mình. Bởi vì ảnh không phải lúc nào cũng
được lưu trữ trong các định dạng tập tin đồ họa tiêu chuẩn, cho nên chúng ta
cần kiểm tra tất cả các tập tin mà những công cụ thu thập bằng chứng tìm
thấy ngay cả khi chúng không được xác định như là các tập tin đồ họa.
Như đã trình bày trong phần trên về định dạng ảnh Exchangeable Image File
327
Format, chúng ta có thể sử dụng các công cụ pháp lý để phân tích ảnh dựa
trên thông tin trong các tập tin đồ họa. Mỗi tập tin đồ họa có chứa một tiêu
đề với các chỉ thị hiển thị ảnh, thông tin tiêu đề này sẽ giúp bạn xác định các
định dạng tập tin. Ví dụ, nếu bạn tìm thấy một ảnh mà bạn nghi ngờ là một
tập tin JPEG, nhưng không thể hiển thị nó với một chương trình đồ họa
bitmap, thì hãy so sánh tiêu đề tập tin của nó với một tiêu đề tập tin JPEG đã
biết để xác định xem phần tiêu đề này có bị thay đổi hay không. Sau đó ta có
thể sử dụng thông tin trong phân tiêu đề của tập tin JPEG này để phục hồi
tập tin ảnh JPEG bị thay đổi. Có thể nói chúng ta sử dụng thông tin tiêu đề
của tập tin JPEG mẫu để tạo ra một phân tích cơ bản và ứng dụng chúng
cho việc phục hồi ảnh chứng cứ.
Xác Định Các Phân Mảnh Của Tập Tin Đồ Họa
Nếu một tập tin đồ họa bị phân mảnh thì điều đầu tiên cần làm là phải khôi
phục lại tất cả các phân mảnh để tái tạo tập tin. Phục hồi các phân mảnh tập
tin được gọi là carving hay salvaging. Để phục hồi dữ liệu của một tập tin
đồ họa từ tập tin không gian chùng của tập tin hay đĩa cứng các bạn cần biết
mô hình dữ liệu mẫu của các loại tập tin đồ họa thông dụng. Tiến trình này
có thể được thực hiện hoàn toàn tự động trong một số ứng dụng điều tra máy
tính như ProDiscover hoặc FTK. Sau khi chúng ta khôi phục phân mãnh của
một tập tin đồ họa, ta sẽ khôi phục tập tin để tiến hành kiểm tra. Trong phần
sau của chương các bạn sẽ sử dụng ProDiscover Basic và Hex Workshop để
sao chép mô hình dữ liệu mẫu đến các tập tin cần khôi phụcvà sau đó phục
hồi tập tin này để xem các Hình ảnh.
Sửa Chữa Tiêu Đề Bị Hỏng
Khi kiểm tra các phân mảnh của tập tin ta có thể tìm thấy dữ liệu của một
loại tập tin đồ họa phổ biến trong phần tiêu đề của chúng. Nếu phần tiêu đề
bị ghi đè thì ta phải tái thiết lại chúng để làm cho nó có thể đọc được bằng
cách so sánh giá trị thập lục phân của tiêu đề tập tin đồ họa đã biết phần tiêu
đề của tập tin đã tìm thấy.
328
Mỗi loại tập tin đồ họa có một giá trị tiêu đề duy nhất. Khi đã trở nên quen
thuộc với các giá trị tiêu đề các bạn có thể phát hiện ra chúng ngay cả khi bị
ghi đè trong các khu vục chùng của đĩa cứng hay tập tin. Như đã đề cập
trong phần trước chúng ta thấy tập tin JPEG có giá trị tiêu đề hệ thập lục
phân là FFD8, theo sau là nhãn JFIF đại diện cho tập tin JPEG hoặc EXIF tại
offset 6.
Giả sử bạn đang điều tra một hành vi trộm cắp tài sản trí tuệ có thể do một
nhân viên hợp đồng của công ty Exotic Mountain Tour Service (EMTS) gây
ra. EMTS vừa hoàn thành một chiến dịch tiếp thị tốn kém và phân tích dịch
vụ khách hàng với Superior Bicycles, LLC. Dựa trên phân tích này, EMTS
đã lên kế hoạch quảng cáo cho dịch vụ tour du lịch mới nhất của họ với đối
tác Superior Bicycles. Thật không may, EMTS nghi ngờ rằng một nhà tư
vấn du lịch hợp đồng là Bob Aspen có thể đã cung cấp thông tin tiếp thị
nhạy cảm cho một đối thủ sản xuất xe đạp khác. Trong khi đó hai công ty
EMTS và Superior Bicycles đã thỏa thuận không tiết lộ thông tin và phải
bảo vệ chiến dịch quảng cáo.
Một người quản lý EMTS tìm thấy một ổ đĩa USB trên bàn làm việc của
Bob Aspen. Và bây giờ nhiệm vụ của bạn là xác định xem ổ đĩa chứa thông
tin độc quyền của EMTS hay Superior Bicycles hay không. Quản lý EMTS
cũng cung cấp cho bạn một số thông tin thú vị mà ông thu thập được từ
người quản trị máy chủ Web. EMTS lọc tất cả các lưu lượng truy cập email
trên nền Web thông qua hệ thống mạng của công ty và phát hiện các tập
tinđính kèm đáng ngờ. Quản lý của EMTS cung cấp cho bạn hai ảnh chụp
màn Hình, thể hiện trong Hình 10-5 và 10-6 cùng với một phần emailbị chặn
bởi bộ lọc web khiến anh ta tin rằng Bob Aspen có thể đã tham gia vào các
hoạt động nghi vấn.
329
Hình 10-5 : Một phần email bị chặn.
Đối với tình huống này bạn cần phải tìm kiếm tất thông tin kể cả tập tin ẩn,
trong phần kế tiếp chúng ta sẽ sử dụng chức năng tìm kiếm cluster của
ProDiscover với chuỗi tìm kiếm thập lục phân để tìm dữ liệu theo mẫu.
Tìm Kiếm Và Phục Hồi Dữ Liệu Từ Vùng Không Cấp Phát

Trên Đĩa Cứng
Tại thời điểm này, bạn đã có một ít thông tin về những gì cần tìm trên ổ đĩa
USB của Bob Aspen. Bạn cần phải đặt ra một số câu hỏi cơ bản và hình
dung những tình huống giả định dựa trên dữ liệu có sẵn để tiến hành tìm
kiếm thông tin.
Trong thông điệp đầu tiên từ terrysadler@goowy.com, bạn thấy rằng nó có

địa chỉ baspen99@aol.com là tên nhân viên hợp đồng Bob Aspen. Tiếp theo,
bạn kiểm tra thời gian của thông điệp. Đầu tiên là ngày 04 Tháng 2 năm
2007 vào lúc 09:21, và lần thứ hai là một tiêu đề từ Jim Shu với thời gian là
ngày 05 Tháng Hai năm 2007 vào lúc 5:17 -08:00.
330
Như vậy, có vẻ như thông điệp gốc được gởi bởi Jim Shu sau đó chuyển tiếp
đến tài khoản terrysadler@goowy.com. Bởi vì thời gian xác định cho Jim
Shu là chậm hơn so với mốc thời gian của terrysadler@goowy.com, có thể
Terry Sadler ở khu vực có time zone khác với Jim Shu hay do sự khác biệt
về thiết lập thời gian của hai máy chủ e-mail. Trong chương 12, chúng ta sẽ
tìm hiểu thêm về thông tin tiêu đề của e-mail.
Hình 10-6 : Email thứ hai từ denisesuperbic@hotmail.com bị chặn
Tiếp tục với thông điệp đầu tiên, bạn lưu ý rằng Jim trao đổi với Terry là
Bob có thay đổi phần mở rộng tập tin .txt thành .jpg, và tập tin nói về một
loại xuồng kayak mới. Dòng cuối cùng trong email phản hồi trước từ
terrysadler@goowy.com có ý kiến rằng Bob (giả định đó là Bob Aspen) có
thể không nhận được thông điệp.
Tới thời điểm này bạn có các sự kiện sau đây:
• Jim Shu gởi thư đề cập đến các tập tin JPEG.
• Jim Shu đã đính kèm JPEG có phần mở rộng thay đổi từ .txt thành .jpg.
• Tập tin đính kèm của Jim Shu có thể là Hình ảnh của thuyền kayak mới.
• Các tài khoản emailtrong thông điệp này là terrysadler@goowy.com,
331
baspen99@aol.com, và jim_shu1@yahoo.com.
Bây giờ kiểm tra email thứ hai có các thông tin sau đây:
• Jim Shu đã có một tour du lịch của nhà máy sản xuất thuyền kayak mới.
• Một nhóm cần quan tâm có thể đang cạnh tranh trong việc sản xuất thuyền
kayak.
• Jim Shu đã sữa đổi Hình ảnh JPEG với một trình soạn thảo hệ thập lục
phân để nó không bị phát hiện bởi các bộ lọc Web hay email.
• Jim Shu cung cấp hướng dẫn cụ thể về việc thay đổi phần mở rộng trở về
.jpeg để có thể xem Hình ảnh.
• Jim Shu nghĩ Bob Aspen đang làm việc tại EMTS.
• Jim Shu đã gửi một bản sao (CC) đến nautjeriko@lycos.com.
Với những sự kiện thu thập và kiến thức của bạn về cấu trúc tập tin JPEG,
bạn có thể sử dụng các bước trong các phần sau đây để xác định xem những
cáo buộc có đúng sự thật.
Lập Kế Hoạch Kiểm Tra – Trong emailthứ hai từ Jim Shu gởi cho Terry
Sadler, Jim có đề cập "Vì vậy, để xem chúng, bạn phải chỉnh sửa lại tiêu đề
của tập tin JPEG của offset 0x FF D8 FF E0 và offset 6 của 4A ". Từ thông
tin này bạn có thể giả định rằng có Hình ảnh thuyền kayak trên ổ đĩa USB có
chứa các ký tự không xác định trong bốn byte đầu tiên và byte thứ 6. Bởi vì
đây là tất cả những gì Jim Shu đề cập đến tập tin JPEG nên bạn cần phải giả
định rằng các byte thứ 7, thứ tám,và chín có thông tin gốc của tập tin JPEG.
Trong phần trước khi tiến hành khảo sát định dạng Exchangeable Image File
Format ta đã thấy sự khác biệt giữa một tập tin tiêu chuẩn JFIF JPEG và một
tập tin tiêu chuẩn EXIF JPEG: trong đó, định dạng JFIF có giá trị 0x FFD8
FFE0 trong bốn byte đầu tiên còn của định dạng EXIF là 0x FFD8 FFE1. Ở
byte thứ sáu, nhãn JPEG được liệt kê như là JFIF hoặc EXIF. Trong
emailthứ hai, Jim Shu đề cập đến 0x FF D8 FF E0, đây là một định dạng
JFIF JPEG. Ông ta cũng nói hãy thay đổi byte thứ sáu thành 0x 4A, đó là ký
tự hoa "J" trong bảng mã ASCII.
332
Bởi vì các tập tin có thể được tải về ổ đĩa USB, Bob Aspen có thể thay đổi
hoặc xóa chúng, vì vậy bạn cần phải cẩn thận trong quá trình kiểm tra và
phân tích thông tin. Bạn cần phải tìm kiếm tất cả các sector của ổ đĩa chứa
tập tin đã xóa trên cả hai vùng không gian được phân bổ (trong trường hợp
Bob không sửa đổi các tập tin) và không gian chưa được phân bổ trên đĩa
cứng. Trong phần tiếp theo, bạn sẽ dùng ProDiscover để tìm kiếm và phục
hồi các tập tin JPEG này.
Tìm Kiếm Và Phục Hồi Chứng Cứ Ảnh Kỹ Thuật Số - Trong phần này, bạn
sẽ tìm hiểu cách sử dụng ProDiscover để tìm kiếm và trích xuất (phục hồi)
bằng chứng có thể có của các file JPEG từ ổ đĩa USB mà người quản lý
EMTS đưa cho bạn. Từ khóa tìm kiếm dùng cho cuộc kiểm tra này là "FIF"
vì đây là một phần của tên nhãn dành cho định dạng JFIF JPEG, cũng có thể
chúng ta sẽ tìm thấy một số kết quả không chính xác nếu ổ đĩa USB có nhiều
tập tin JPEG. Những tình huống sai này thường được gọi là false positive và
bạn cần phải kiểm tra chúng cẩn thận vì chúng có thể là bằng chứng thuyết
phục hay đó là những gì bạn đang tìm kiếm.
Trong bài hướng dẫn này giả định rằng các bạn đã có Hình ảnh của ở đĩa
USB và được lưu trong thư mục làm việc C:\Work\Chap10\.
Để bắt đầu việc kiểm tra, hãy làm theo các bước sau để tải các tập tin ảnh:
1. Khởi động ProDiscover Basic và nhấp vào nút New Project trên thanh
công cụ. Trong hộp thoại New Project, nhập vào C10InChp cho số dự án và
tên tập tin, và sau đó kích OK.
2. Nhấn Action từ trình đơn, trỏ chuột đến Add và nhấn vào Image file.
3. Trong hộp thoại Open, điều hướng đến thư mục làm việc của bạn và nhấp
vào C10InChp.eve sau đó nhấn Open. Nếu cần thiết, nhấn Yes trong hộp
thông báo Auto Image Checksum.
4. Để bắt đầu một cuộc tìm kiếm hãy nhấp vào nút Search trên thanh công cụ
hoặc nhấp vào Action, Search từ trình đơn để mở hộp thoại tìm kiếm.
5. Nhấp vào tab Cluster Search và sau đó nhấp vào ô đánh Case Sensitive.
Dưới khung Search for the pattern(s) hãy nhập vào từ khóa tìm kiếm FIF
(xem Hình 10-7). Sau đó bên dưới khung Select the Disk(s)/Image(s) you
want to search in : hãy nhập vào F:\Work\C10InChp.eve, và kích OK.
333
Hình 10-7 : Tìm kiếm cluster trong ProDiscover
6. Khi quá trình tìm kiếm hoàn tất hãy nhấp vào kết quả tìm kiếm đầu tiên là
4CA (1226) để hiển thị nội dung của cluster (xem Hình 10-8).
334
Hình 10-8 : Hoàn tất quá trình tìm kiếm theo từ khóa FIF
7. Kích đúp vào dòng được đánh dấu 4CA (1226) để xem cluster như trong
Hình 10-9
335
Hình 10-9 : Xem nội dung clsuter trong kết quả tìm kiếm 4CA(1226)
Hình 10-10 : Nội dùng của cluster 4CA(1226)
8. Tiếp theo, bạn cần phải xác định vị trí các tập tin. Kích chuột phải vào
cụm khối 4CA (1226) và nhấp vào Find File, và sau đó nhấn Yes trong
336
thông điệp cảnh báo.
9. Trong hộp thoại List of Clusters, nhấp vào Show File (xem Hình 10-11),
và sau đó nhấn Close.
Hình 10-11 : Xem tất cả cluster sử dụng bởi chương trình gametour2.exe
10. Trong khu vực làm việc, nhấp chuột phải vào tập tin gametour2.exe
(hiển thị lựa chọn trong Hình 10-12) và nhấp vào Copy File. Trong hộp thoại
Save As, xóa tên tập tin ban đầu và nhập vào Recover1.jpg sau đó nhấn Save
để lưu file này trong thư mục công việc của bạn.
337
Hình 10-12 : Tập tin có tên không chính xác
11. Nhấn vào File, Exit từ trình đơn và sau đó click Yes để lưu dự án này
trong thư mục làm việc của bạn.
Phần tiếp chúng ta sẽ xây dựng lại tiêu đề dữ liệu từ tập tin phục hồi bằng
cách sử dụng Hex Workshop.
Xây Dựng Lại Tiêu Đề Tập Tin
Trước khi chỉnh sửa một tập tin đồ họa được phục hồi các bạn hãy thử mở
nó với một chương trình xem ảnh ví dụ như công cụ mặc định của
Microsoft. Hãy kích đúp vào tập tin được phục hồi trong Windows Explorer.
Nếu bạn có thể mở và xem các ảnh, bạn đã phục hồi các tập tin đồ họa thành
công. Nếu ảnh không hiển thị, bạn phải kiểm tra và sửa các giá trị tiêu đề
một cách thủ công.
338
Nếu một số các dữ liệu thu hồi từ phần tiêu đề của tập tin đồ họa bị hỏng,
bạn có thể phải phục hồi nhiều mảnh của tập tin trước khi có thể xem ảnh.
Bởi vì tập tin bị xóa mà bạn đã phục hồi trong phần trước là Recover1.jpg
được thay một cách có chủ đích nên khi chúng ta thử mở tập tin này sẽ thấy
một thông báo lỗi tương tự như trong Hình 10-13.
Hình 10-13 : Thông báo lỗi do ảnh bị hỏng hay bị thay đổi
Các thao tác sau đây sẽ kiểm tra dữ liệu tiêu đề của tập tin xem có giống với
các tiêu đề trong một tập tin JPEG bình thường hay không. Nếu tiêu đề
không đúng các bạn phải chèn các giá trị thập lục phân chính xác bằng tay
với một trình biên tập hệ thập lục phân như trong ví dụ này là Hex
Workshop, hãy thực hiện theo các bước sau:
1. Mở Hex Workshop. Nhấn vào File, Open từ trình đơn. Điều hướng đến
thư mục làm việc của bạn, và sau đó kích đúp vào tập tin Recover1.jpg.
Hình 10-14 cho thấy tập tin này được mở trong Hex Workshop.
339
2. Ở phía trên của cửa sổ Hex Workshop hãy chú ý rằng các giá trị thập lục
phân tại vị trí byte đầu tiên (offset 0) là 7A 7A 7A 7A, và byte thứ sáu
(offset 6) cũng là 7A.
Hình 10-14 : Tập tin Recover1.jpg mở trong Hex Workshop
Như đã đề cập, một tập tin tiêu chuẩn JFIF JPEG có giá trị tiêu đề là FF D8
FF E0 tại offset 0 và tên nhãn JFIF bắt đầu tại offset 6. Sử dụng Hex
Workshop, bạn có thể sửa tập tin tiêu đề này bằng tay theo các bước sau:
1. Trong khung trung tâm, bấm vào bên trái của giá trị thập lục phân đầu tiên
7A. Sau đó gõ FF D8 FF E0, đây là những giá trị thập lục phân chính xác
cho 4 byte đầu tiên của một tập tin JPEG.
2. Trong cửa sổ bên phải, bấm vào bên trái của FIF và nhấn phím Backspace
để xóa kí tự và nhập vào kí tự J loại như minh họa trong Hình 10-15.
340
Hình 10-15 : Sữa giá trị thập lục phân cho tập tin JPEG
3. Nhấn vào File, Save As từ trình đơn. Trong hộp thoại Save As, điều
hướng đến thư mục làm việc của bạn và nhập vào tên tập tin là Fixed1.jpg
sau đó nhấn Save. Thoát khỏi Hex Workshop.
Mỗi cặp giá trị thập lục phân bạn đã nhập trong bước trước đó tương ứng với
một ký tự ASCII. Ví dụ, một chữ hoa "A" có giá trị thập lục phân là 41, và
một chữ thường "a" có giá trị thập lục phân là 61. Hầu hết các ứng dụng biên
tập đĩa có một biểu đồ tham khảo các giá trị thập lục phân tương ứng của ký
tự ASCII, chẳng hạn như Hex Workshop như trong Hình 10-16.
Hình 10-16 : Bảng tham chiếu kí tự ASCII và số thập lục phân tương ứng
341
Sau khi bạn sửa chữa tiêu đề tập tin đồ họa, bạn có thể kiểm tra các tập tin
cập nhật bằng cách mở nó trong một chương trình xem ảnh ví dụ như
Windows Photo Gallery, IrfanView, ThumbsPlus, Quick View, hoặc
ACDSee. Để kiểm tra các tập tin JPEG sửa chữa, làm theo các bước sau:
1. Trong Windows Explorer, điều hướng đến thư mục làm việc của bạn và
kích đúp vào tập tin Fixed1.jpg. Tập tin sẽ mở trong trình xem ảnh mặc định
của bạn, chẳng hạn như Windows Photo Gallery như Hình 10-17.
Hình 10-17 : Tập tin ảnh đã được sữa chữa Fixed1.jpg
2. Như vậy, bạn đã phục hồi các tập tin một cách chính xác, hãy thoát khỏi
trình xem ảnh.
Việc sữa chữa tiêu đề tập tin này có thể lập lại đối với nhiều tập tin ảnh khác
nhau, mặc dù đây là kỹ thuật sữa chữa đối với một tập tin JPEG nhưng cũng
có thể áp dụng cho các dạng tập tin khác như tài liệu Microsoft Word, Excel,
342
và PowerPoint hay các định dạng Hình ảnh khác. Vấn đề là bạn cần phải biết
định dạng tiêu đề chính xác của loại tập tin cần được sữa chữa.
Xây Dựng Lại Các Tập Tin Bị Phân Mãnh
Trong trường hợp tập tin cần phục hồi bị phân mãnh thì trước tiên chúng ta
cần xác định vị trí các cluster không liên tiếp từ một tập tin đã bị xóa. Những
công cụ điều tra và phục hồi chứng cứ số tiên tiến thường có thể lần theo các
liên kết giữa các cluster trong hệ thống tập tin FAT và NTFS. Tuy nhiên, đôi
khi thông tin con trỏ trong một FAT hoặc một tập tin NTFS MFT không liệt
kê thông tin này.
Bài hướng dẫn sau đây sẽ trình bày cách để khôi phục lại một tập tin đồ họa
trên ổ đĩa khả nghi với một tiêu đề bị phân mảnh. Để thực hiện nhiệm vụ này
các bạn cần phải xác định vị trí bắt đầu và kết thúc của cluster cho từng
nhóm phân mảnh của cluster trong tập tin bị hỏng. Dưới đây là một cái nhìn
tổng quan về các bước cần tiến hành:
1. Xác định vị trí và xuất tất cả các clsuter của tập tin bị phân mảnh.
2. Xác định số bắt đầu và kết thúc của cluster cho mỗi nhóm phân mảnh của
các cluster.
3. Sao chép từng nhóm phân mảnh của các cluster theo thứ tự chính xác của
chúng vào tập tin phục hồi.
4. Xây dựng lại tiêu đề của tập tin bị hỏng để có thể đọc được trong một
chương trình xem ảnh.
Sử dụng dự án mà bạn đã tạo trước đó là C10InChp để phân tích các phân

mảnh:
1. Mở ProDiscover Basicsau đó nhấn vào File , Open Project từ trình đơn,

điều hướng đến thư mục làm việc của bạn và nhấp vào tập tin C10InChp.dft,
tiếp theo nhấn Open.
2. Trong màn Hình tree-view hãy nhấp vào Cluster Search Results và trong
khu vực làm việc nhấp vào AE3 (2787), như trong Hình 10-18.
343
Hình 10-18 : Kết quả tìm kiếm cluster AE3(2787)
3. Kích chuột phải vào hàng cluster AE3 (2787) và nhấp vào Find File.
4. Trong hộp thoại List of Clusters, chọn Copy to Clipboard. Hãy mở
Notepad và dán cluster vào một tài liệu mới, và lưu các tập tin với tên AE3-
carve.txt trong thư mục làm việc của bạn. Để Notepad mở cho các bước tiếp
theo sau.
5. Trong hộp thoại ProDiscover ’s List of Clusters, bấm Close.
6. Trong mà Hình tree-view hãy nhấn để mở rộng Cluster View, và sau đó
nhấp vào tập tin Hình ảnh C10InChp.eve, như thể hiện trong Hình 10-19.
344
Hình 10-19 : Xem cluster của C10InChp.eve
7. Kiểm tra tập tin AE3 carve.txt trong Notepad để xác định các cluster được
nhóm lại với nhau như thế nào và phạm vi cho mỗi nhóm cluster. Ví dụ, xác
định vị trí của cluster đầu tiên AE3 và đếm xuống cho đến khi bạn xác định
vị trí của một cluster mà không theo thứ tự. Hãy lưu ý số cluster theo trình tự
cuối cùng để xác định nhóm cluster đầu tiên cho tập tin bị phân mảnh. Tiếp
tục duyệt danh sách số thứ tự của cluster để xác định tất cả các mảnh vỡ.
Danh sách sau đây cho thấy các nhóm cluster mà bạn nên tìm:
• Phạm vi phân mãnh 1 từ AE3 để B3F

• Phạm vi phân mãnh 2 từ 1F5 đến 248
• Phạm vi phân mãnh 3 từ 3EB đến 425
• Phạm vi phân mãnh 4 từ 16A để 1A1
• Phạm vi phân mãnh 5 từ 957 đến 98C
• Phạm vi phân mãnh 6 từ 25 đến 2C
8. Trong màn Hình tree-view của ProDiscover, hãy nhấn Cluster View,
Images và tập tin C10InChp.eve. Trong hộp văn bản Sector của khu vực làm
345
việc, nhập vào AE3 (xem Hình 10-20) và nhấp vào Go.
Hình 10-20 : Xem cluster của sector AE3
9. Trong khu vực làm việc, nhấn để chọn tất cả các block từ AE3 đến B3F
(xem Hình 10-21).
Hình 10-21 : Chọn các block từ sector AE3 đến B3F
10. Kích chuột phải vào các block được đánh dấu trong khu vực làm việc và
bấm Select. Trong hộp thoại Add Comment, nhấp vào ô đánh dấu Apply to
all items. Trong hộp văn bản Investigator
346
Comments hãy nhập vào Fragment 1 to recover, và sau đó kích OK.
11. Lặp lại bước 8 đến 10 để chọn các khối còn lại bị phân mảnh cho các
sector: 1F5 đến 248, 3EB đến 425, 16A đến 1A1, 957 đến 98C, và 25 đến
2C. Trong hộp thoại Add Comment, hãy tăng số thứ tự của phân mãnh lên 1
cho mỗi block : ví dụ Fragment 2 phục hồi, Fragment 3 phục hồi …
12. Sau khi tất cả các sector đã được chọn, bấm vào Tools , Copy Selected
Clusters từ trình đơn.
13. Trong hộp thoại Recover Clusters, hãy nhấp vào nút tùy chọn Recover
all clusters to a single file và đánh dấu vào ô Recover Binary (xem Hình
10-22). Tiếp theo nhấn Browse, tìm đến và nhấp vào thư mục làm việc của
bạn, và sau đó kích OK.
Hình 10-22 : Sao chép tất cả các cluster hay sector được chọn vào tập tin
14. Thoát khỏi ProDiscover Basic, lưu dự án này trong thư mục làm việc của
bạn. Thoát khỏi Notepad, lưu các tập tin nếu được nhắc nhỡ. Bước tiếp theo
ta sẽ xây dựng lại các tiêu đề của tập tin đã được phục hồi, như đã làm trong
bài hướng dẫn trước.
Khi bạn sao chép các dữ liệu được chọn với chức năng Recover Cluster của
ProDiscover một tập tin có tên C10InChp-0000-0353.txt sẽ được tạo ra.
ProDiscover tự động thêm phần mở rộng .txt trong tập tin xuất bởi Recover
Cluster của tất cả các sector hay cluster được sao chép.
347
Trong tập tin phục hồi sector AE3 có chứa "FIF" trước tiêu đề bị thay đổi
mà ta tìm thấy tại sector 4CA. Vì vậy để xem và xây dựng lại C10InChp-
0000-0353.txt các bạn hãy áp dụng kỹ thuật mô tả trước đây trong phần
“Xây Dựng Lại Tiêu Đề Tập Tin" ." Lưu ý lưu các dữ liệu thu hồi với phần
mở rộng jpg. Hình 10-23 cho thấy kết quả của tập tin được phục hồi.
Hình 10-23 : Phục hồi dữ liệu bắt đầu từ sector AE3 sau khi Hex Workshop
sữa chữa tiêu đề.
Ngoài việc xem xét các trạng thái tự nhiên của những phân mãnh của tập tin
như số thự tự không liền lạc của các cluster, chúng ta cần chú ý các tình
huống bất thường khác như người dùng có khả năng sử dụng các chương
trình biên tập đĩa cứng như Norton Disk Edit để truy cập FAT và đánh dấu
các clsuter là xấu (bad cluster) bằng cách gõ chữ "B" tại cluster. Sau khi bị
đánh dấu là xấu thì cluster sẽ hiển thị với một giá trị 0 trong chương trình
biên tập đĩa. Như Hình 10-24 cho thấy, cluster ở vị trí 156 có giá trị là 0, chỉ
ra rằng cluster này không liên kết với bất kỳ cluster nào khác trên đĩa. Hệ
điều hành sẽ bỏ qua các cluster được đánh dấu theo cách này và không sử
dụng chúng, làm ẩn dữ liệu được lưu trong các khu vực này khi xem bằng
các ứng dụng thông thường trên hệ thống như Windows Explorer,
348
Xác Định Các Định Dạng Tập Tin Không Xác Định
Với sự thay đổi liên tục trong công nghệ đồ họa và máy tính các nhà điều tra
sẽ gặp phải các tập tin với định dạng không xác định do ứng dụng kỹ thuật
mới, hoặc khi nghi phạm sử dụng hệ thống máy tính cũ với các chương trình
đã lỗi thời. Vì vậy, bạn phải nghiên cứu cả hai loại tập tin cũ và mới. Biết
mục đích của từng định dạng nó như thế nào và cách thức lưu trữ dữ liệu của
chúng để phục vụ công tác điều tra. Cách tốt nhất mà chúng tôi có đề cập là
sử dụng chương trình tìm kiếm trên internet như Google để xác định các
định dạng lạ, ví dụ như để tìm thông tin về tập tin đồ họa XIF hay tiến hành
như sau:
1. Mở trang web www.google.com với trình duyệt web của bạn.

2. Nhập vào XIF file format hay cụm từ khóa tiếng Việt (tuy nhiên với từ
khóa tiếng Anh sẽ cho nhiều kết quả chính xác hơn) trong ô tìm kiếm và
nhấn Enter.
3. Nhấp vào một số liên kết trong kết quả tìm kiếm để tìm hiểu thêm về định
dạng tập tin. Khi tìm thấy thông tin thích hợp hãy thoát khỏi trình duyệt
Web của bạn.
Trong ví dụ tìm kiếm trên chúng ta sẽ biết được Nuance PaperPort là một
chương trình quét Hình ảnh tạo ra các tập tin có định dạng XIF. Phiên bản
cũ của PaperPort có một tiện ích miễn phí cho người xem các tập tin XIF,
bạn cũng có thể sử dụng Windows 2000 Kodak Imaging for Windows để
xem. Để xem thêm thông tin về các tập tin XIF hãy tham khảo tại
www.scantips.com/pagis1.html.
Các trang web sau đây cung cấp thông tin giúp bạn phân tích các định dạng
tập tin. Hãy ghi nhớ rằng thông tin trên Web thay đổi thường xuyên, trong
trường hợp không thể truy cập các trang web hãy sử dụng các chương trình
tìm kiếm :
• www.digitek-asi.com/file_formats.html
• www.wotsit.org
• www.martinreddy.net/gfx/
349
Phân Tích Tiêu Đề Của Tập Tin Đồ Họa
Bạn nên phân tích các tiêu đề tập tin đồ họa với các ứng dụng như Hex
Workshop khi tìm thấy các loại tập tin mới mà những công cụ điều tra máy
tính không xác định. Sau đó ghi lại các giá trị thập lục phân của tiêu đề và sử
dụng chúng làm mẫu để xác định một loại tập tin.
Ví dụ, giả sử bạn gặp phải một tập tin XIF, do định dạng này quá cũ nên các
ứng dụng pháp lý không xác định được. Nếu muốn tìm kiếm các dữ liệu ẩn
hay tập tin XIF bị xóa ta cần tự xây dựng chuỗi tìm kiếm cho các tiêu đề
của tập tin theo dạng này bằng các ứng dụng như Hex Workshop hay những
chương trình tương tự.
Để thấy sự khác biệt giữa XIF và TIF cần xem và so sánh giá trị tiêu đề của
chúng. TIF một định dạng được dùng cho truyền fax và sử dụng trong các
ấn phẩm in. Tất cả các tập tin TIF bắt đầu ở offset 0 với giá trị hệ thập lục
phân là 49 49 2A, giá trị này chuyển sang mã ASCII là II.
Hình 10-25 cho thấy tập tin Sawtooth_050.tif được mở trong Hex
Workshop.
Hình 10-25 : Tập tin TIF mở với Hex Workshop
350
Ta thấy, 3 byte đầu tiên của tập tin XIF giống như của tập tin TIF, theo sau
đó là các giá trị thập lục phân khác phân biệt chúng với TIF như trong Hình
10-26. Các bạn có thể thấy tiêu để của tập tin XIF bắt đầu với giá trị thập lục
phần là 49 49 2A và một offset gồm 4 byte tiếp theo là 5C 01 00 00 20 65 58
74 65 6E 64 65 64 20 03 (như trong Hình 10-26.)
Với thông tin này, bạn có thể cấu Hình công cụ pháp lý trên máy tính của
mình để nhận dạng tiêu đề của một tập tin XIF.
Hình 10-26 : Tập tin XIF mở với Hex Workshop
Công Cụ Xem Ảnh
Trong suốt chương này chúng ta đã học về các định dạng tập tin, các kỹ
thuật nén, tận dụng thông tin tiêu đề, khôi phục tập tin đồ họa, và lưu các
thay đổi của bạn. Sau khi phục hồi một tập tin đồ họa, bạn có thể sử dụng
một trình xem ảnh để mở và xem nó. Có nhiều chương trình xem ảnh khác
nhau bao gồm phần mềm thương mại, miễn phí hay chia sẽ cho các bạn
nhiều lựa chọn như ThumbsPlus, ACDSee, Quick View, IrfanView.
Ngay cả các ứng dụng pháp lý trên máy tính mà chúng ta đã đề cập như
ProDiscover, EnCase đều trang bị chương trình xem ảnh nhưng chức năng
thường hạn chế, ví dụ khi xem các tập tin PCX thì sẽ không xem được do đó
351
các điều tra viên nên trang bị cho mình những công cụ xem ảnh chuyên
dụng, mạnh mẽ có thể xem được hầu hết các định dạng Hình ảnh khác nhau.
Tìm Hiểu Về Các Tập Tin Đồ Họa Steganography

Khi bạn mở một số tập tin đồ họa trong một trình xem ảnh có thể không xác
định được thông tin nào cho công tác điều tra nhưng có khả năng chúng bị
che dấu bằng kỹ thuật steganography (đã giới thiệu trong Chương 9).
Steganography đã được sử dụng từ thời cổ đại, khi đó các nhà cầm quyền Hy
Lạp đã sử dụng kỹ thuật này để gửi thông báo bí mật cho các nhà ngoại giao
hay quân đội thông qua tin nhắn. Để bảo vệ sự riêng tư của thông điệp các
tướng lĩnh hay nhà cầm quyền đã cạo đầu các sứ giả của họ và xăm nội dung
thông điệp hay Hình ảnh trên da đầu của họ. Sau khi tóc của sứ giả mọc đủ
để che các tin nhắn, các sứ giả sẽ mang tin nhắn đi và người nhận sẽ cạo trọc
đầu của sứ giả để có thể đọc tin nhắn. Phương pháp này là một cách thông
minh để gửi và lấy thông tin mã hóa, nhưng nó không hiệu quả vì các sứ giả
mất một thời gian dài để mọc tóc cũng như chỉ có một số lượng hạn chế của
không gian để viết tin nhắn, đó chính là da đầu ! Tuy nhiên, nó cho phép
người Hy Lạp để gửi thông tin bí mật cho đến khi kẻ thù của họ
phát hiện ra và chặn bắt các sứ giả. Và đây chính là Hình thức sơ khai của
steganography.
Hai Hình thức chính của steganography là chèn và thay thế. Phương pháp
chèn đặt dữ liệu của tập tin bí mật vào tập tin lưu trữ, khi xem các tập tin lưu
trữ với một chương trình thích hợp sẽ thấy nội dung của tập tin. Ví dụ một
trong các chương trình dạng này là công cụ steganosphy (tải về tại
www.security365.vn) cho phép đặt các thông tin vào một tập tin ảnh bitmap,
và khi truyền đến người nhận phải dùng chương trình tương ứng để thấy
được nội dung bên trong, nếu không chỉ thấy tập tin ảnh. Lúc này tập tin ảnh
chính là tập tin lưu trữ cho nội dung bí mật bên trong. Do kỹ thuật này
thường sử dụng Hình ảnh làm tập tin lưu trữ nên thuật ngữ steganography
còn được xem như là một kỹ thuât che dấu thông tin bằng Hình ảnh, và từng
được Alqueda sử dụng trong các truyền thông bí mật của họ.
352
Hình 10-26 : Các tập tin lưu trữ bằng Hình ảnh trước và sau khi chèn tập tin
bí mật.
Sử Dụng Công Cụ Phân Tích Steganalysis

Công cụ steganalysis còn gọi là "công cụ Steg" được dùng để phát hiện, giải
mã, và ghi lại dữ liệu ẩn ngay cả khi tập tin đã được đổi tên để che dấu nội
dung. Tuy nhiên, khi kỹ thuật trên được áp dụng đúng cách thì việc sử dũng
steg để dò tìm cũng khá khó khăn, chính vì lý do đó mà nhiều thông tin đã
nói tổ chức khủng bố ALQUEDA đã qua mặt FBI trong một thời gian dài
với phương pháp này. Trong những tình huống này các bạn cần so sánh các
tập tin bị thay đổi với bản gốc của chúng nếu có thể. Kiểm tra có sự thay đổi
nào trong kích thước, chất lượng Hình ảnh, hoặc các phần mở rộng của tập
tin hay không. Để minh chứng cho sự phức tạp của việc dò tìm
steganography, Niels Provos và Peter Honeyman tại Đại học Michigan
đã tiến hành một nghiên cứu trên hơn hai triệu Hình ảnh được sử dụng trong
đấu giá eBay để xem dữ liệu có thể giấu trong các bức ảnh này hay không
(xem tại www.citi.umich.edu/techreports/reports/citi-tr-01-11.pdf). Và họ
không thể để xác định được bất kỳ tập tin đồ họa nào có thông điệp ẩn.
Tìm Hiểu Về Vấn Đề Bản Quyền Của Tập Tin Đồ

Họa
Steganography cũng được sử dụng để bảo vệ bản quyền của tài liệu bằng
cách chèn các Hình ảnh watermark kỹ thuật số vào tập tin. Khi làm việc với
353
các tập tin đồ họa, các nhà điều tra máy tính cần nhận thức các quy định của
pháp luật về quyền tác giả, đặc biệt là trong môi trường doanh nghiệp, nơi
thường xuyên làm việc chặt chẽ với các bộ phận pháp lý để bảo vệ đối với
hành vi vi phạm bản quyền. Các nhà điều tra cũng có thể cần phải xác định
xem một bức ảnh có bản quyền từ nguồn phô biến hay không chẳng hạn như
là một Hình ảnh tin tức đăng trên các trang Web.
Luật bản quyền U.S. Copyright Office Website định nghĩa chính xác các luật
bản quyền liên quan đến đồ họa (các bạn có thể xem chi tiết tại
www.copyright.gov trong Đạo Luật Bản Quyền 1976 Copyright Act). Tuy
nhiên luật bản quyền liên quan đến Internet không được rõ ràng. Ví dụ, một
máy chủ trong một quốc gia khác có thể lưu trữ một trang web, như vậy luật
bản quyền tại quốc gia đó sẽ được áp. Nhưng mỗi nước có luật bản quyền
riêng của mình nên quá trình thực thi có thể là khó khăn, trong khi đó nhiều
người lại cho rằng không có luật bản quyền quốc tế.
Văn phòng bản quyền U.S. Copyright Office Web xác định những gì có thể
và không thể được bảo hộ theo quy định của pháp luật về quyền tác giả tại
Hoa Kỳ như sau :
Bản quyền bảo vệ tác phẩm gốc của tác giả "là cố định trong một
Hình thức hữu Hình”. Cố định nghĩa là không được sao chép, truyền
đạt với trợ giúp của một máy tính hoặc thiết bị.Công trình có bản
quyền bao gồm các loại sau:
1. Tác Phẩm Văn Học;

2. Tác Phẩm Âm Nhạc, Bao Gồm Bất Kỳ Từ Nào Đi Kèm;
3. Công Trình Ấn Tượng, Bao Gồm Âm Nhạc Đi Kèm;
4. Kịch Câm Và Tác Phẩm Múa;
5. Tranh Ảnh, Đồ Họa, Và Các Công Trình Điêu Khắc;
6. Hình Ảnh Chuyển Động Và Các Tác Phẩm Nghe Nhìn Khác;
7. Bản Ghi Âm;
8. Công Trình Kiến Trúc.
Các hạng mục này được xem theo nghĩa rộng. Ví dụ, các chương trình
máy tính và hầu hết các "cvấn đề liên quan" có thể được đăng ký là
354
"tác phẩm văn học", bản đồ và kế hoạch kiến trúc có thể được đăng kí
là "tác phẩm tranh ảnh, đồ họa, điêu khắc."
355
■ Một tập tin đồ họa có chứa một ảnh, chẳng hạn như một bức ảnh kỹ thuật
số, Hình ảnh ba chiều, hoặc bản quét của một ảnh in. Một chương trình đồ
họa tạo ra một trong ba loại tập tin đồ họa là : vector, bitmap, và metafile.
Hình ảnh bitmap là tập hợp các dấu chấm, hoặc điểm ảnh, hình thành nên
một ảnh. Đồ họa vector là các phép toán xác định đường thẳng, đường cong,
văn bản, và hình dạng hình học. Hình ảnh đồ họa metafile là sự kết hợp của
ảnh bitmap và vector.
■ Hầu hết các chương trình biên tập đồ họa cho phép bạn tạo ra các tập tin
trong một hoặc nhiều định dạng tiêu chuẩn như Graphic Interchange Format
(. gif), Joint Photographic Experts Group (.jpeg), windows bitmap (.bmp),
hoặc Encapsulated PostScript (. eps). Ngoài ra còn có các định dạng phi
chuẩn như Targa (. tga) và Raster Transfer Language (rtl) hay định dạng độc
quyền như Photoshop (psd).; định dạng mới hơn thì có Scalable Vector
Graphics (svg.) và các định dạng cũ hoặc lỗi thời như Paintbrush (PCX).
■ Hầu hết các đồ họa dạng tập tin, bao gồm cả gif và jpeg đều nén dữ liệu để
tiết kiệm không gian đĩa và giảm thời gian truyền. Trong khi đó những định
dạng như .bmp ít khi nén dữ liệu.
■ Hình ảnh của máy ảnh kỹ thuật số thông thường là định dạng thô và định
dạng EXIF JPEG.
■ Có một số tập tin đồ họa bị ẩn vì nghi can thay đổi tiêu đề của tập tin, vì
vậy các bạn cần phải sữa chữa tiêu đề của các tập tin được phục hồi về đúng
với nguyên gốc của nó mới có thể xem được. Phương pháp này cũng đúng
với các loại tập tin khác.
■ Khi cần tìm kiếm các thông tin hỗ trợ hay cần xác định các định dạng tập
tin lạ hãy sử dụng internet và công cụ tìm kiếm Google.
■ Steganography là một phương pháp ẩn dữ liệu bằng cách sử dụng một tập
tin lưu trữ nội dung của thông điệp bí mật, với hai kỹ thuật chính là chèn và
thay thế.
■ Công cụ Steganalysis có thể phát hiện các dữ liệu ẩn trong các tập tin đồ
họa, ngay cả trong các tập tin đã được đổi tên để bảo vệ nội dung của họ.
356
357
Chương 11
Máy Ảo, Điều Tra Pháp Lý Mạng Máy Tính

Và Thu Thập Dữ Liệu Trực Tiếp
Sau Khi Hoàn Tất Chương Này Bạn Có Thể :
• Mô tả các mối quan tâm chính trong tiến hành điều tra pháp lý trên các
máy ảo
• Mô tả tầm quan trọng của điều tra pháp lý mạng
• Giải thích các thủ tục tiêu chuẩn để thực hiện một quá trình thu thập dữ
liệu trực tiếp
• Giải thích các thủ tục tiêu chuẩn cho điều tra pháp lý mạng
• Mô tả việc sử dụng các công cụ mạng
358
Chương này cung cấp các kiến thức về hệ thống máy ảo, một công nghệ
ngày càng trở nên phổ biến trong môi trường kinh doanh. Chúng ta sẽ tìm
hiểu làm thế nào để phát hiện một máy ảo đã được cài đặt trên máy chủ và
phương pháp để lấy Hình ảnh của một máy ảo. Sau đó, các bạn sẽ tìm hiểu
tổng quan về truy tìm chứng cứ trên mạng máy tính mà ta sẽ gọi ngắn gọn là
pháp lý mạng.
Pháp lý mạng khác với an ninh mạng, vì nhiệm vụ chính của nó là truy tìm
và theo dõi nguồn gốc nguồn, kết quả của một sự xâm nhập hay một vụ tấn
công mạng, chứ không ngăn ngừa sự xâm nhập phòng chống tấn công như
lĩnh vực an ninh mạng. Trong chương 1 chúng ta đã đề cập một trong ba
thành phần của tam giác điều tra chứng cứ kỹ thuật số là dò tìm sự xâm nhập
trái phép bao gồm cả phương pháp xâm nhập và phản ứng lại sự cố.
Vấn đề tiếp theo mà chương này đề cập đến là phương pháp thu thập thông
tin trực tiếp. Điều này ngày càng trở nên phổ biến vì chúng cung cấp một cái
nhìn sâu sắc về việc làm thế nào kẻ tấn công có thể truy cập vào một hệ
thống mạng. Bạn sẽ tìm hiểu về các công cụ bổ sung mà cả các quản trị
mạng và kẻ tấn công có thể dùng để truy cập mạng máy tính. Cuối cùng, ta
sẽ tìm hiểu về các dự án Honeynet Project, một hệ thống mạng bẫy hacker
được tạo nên bởi các máy tính thu hút kẻ tấn công gọi là honeypot.
Tổng Quan Về Máy Ảo

Như đã đề cập trong Chương 6, công nghệ ảo hóa ngày càng phat triển
mạng mẽ, các máy ảo hiện nay đóng góp vai trò quan trọng trong nhiều
doanh nghiệp giu1o tiết kiệm chi phí tài nguyên, chi phí quản lý nhưng các
hệ thống ảo hóa này cũng được tận dụng bởi các tội phạm máy tính trong
quá trình phạm tội. Các nhà điều tra máy tính cần phải biết cách phân tích
các máy ảo và hình ảnh của chúng để truy tìm các phần mềm độc hại hay các
phần mềm bất thường.
Với công nghệ ảo hóa, một máy tính vật lý có thể chạy nhiều máy ảo trên
đó, tùy thuộc vào lượng RAM và không gian ổ đĩa cứng có sẵn, một mạng
vật lý 20 máy tính có thể có 100 máy ảo đang chạy.
Một máy ảo không khác gì so với máy tính thật tế, chúng có thể cung cấp
dịch vụ mạng, lưu trữ tập tin, chạy phần mềm máy chủ web hay thậm chí
359
dùng để tấn công các máy tính hay hệ thống mạng máy tính khác. Chính vì
sự giống nhau này mà một cuộc điều tra pháp lý trên máy ảo cũng giống như
khi các bạn điều tra trên máy thật.
Đầu tiên, chúng ta sẽ thu thập hình ảnh pháp lý của máy chủ. Ngay cả khi
bạn biết vị trí của máy ảo trên máy chủ, thì máy chủ có thể chứa các tập tin
chia sẻ hay dữ liệu cần được quan tâm. Vì vậy, cách tiếp cận tốt nhất là lấy
hình ảnh của máy chủ và sau đó trích xuất các tập tin liên quan đến máy ảo.
Đối với các nhà điều tra pháp lý trên máy tính thì một trong những thách
thức lớn nhất là làm sao được phát hiện có một máy ảo nào đã hoạt động
trên máy tính chủ hay chưa. Nếu máy chủ dùng hệ điều hành Windows thì
chúng ta tìm kiếm các tập tin của máy ảo dựa trên phần mở rộng của chúng
và tùy thuộc vào phần mềm ảo hóa được dùng mà có thể là .vnc hay .vmx …
Tiếp theo các bạn kiểm tra Registry để xác định các đầu mối cho biết các
máy ảo được cài đặt hoặc đã bị gỡ bỏ. Ví dụ, hãy tìm trong các khóa
Registry HKEY_CLASSES_ROOT để tìm các tập tin liên kết. Nếu một tập
tin có liên kết với một thiết bị ảo thì chúng ta có thể đoán rằng có khả năng
tồn tại một hệ thống ảo hóa. Hoặc khì một máy ảo được cài đặt sẽ tạo ra các
card mạng ảo, đầy cũng là một trong những đầu mối mà các bạn cần quan
tâm khi tìm kiếm các máy ảo trên một máy chủ hay một máy trạm vật lý. Để
xem tất cả các card mạng trên hệ thống các bạn dùng lệnh ipconfig (trong
Windows) hoặc Ifconfig (trên hệ điều hành Linux).
Để làm bài thực hành sau đây các bạn hãy tải về chương trình VMware
Server từ www.vmware.com/download/server và cài đặt trên máy tính. Bạn
nên tải về phiên bản mới nhất để có được sự hỗ trợ tốt nhất về trình điều
khiển thiết bị hay các chức năng khác. Bạn cũng cần FTK Imager và
AccessData Registry Viewer, những ứng dụng đã cài đặt trong các chương
trước. Sau đó tiến hành theo các bước sau để kiểm tra Registry xem có đầu
mối nào liên quan đến sự tồn tại của một máy tính ảo hóa hay không :
1. Mở FTK Imager
2. Nhấn vào File, Add Evidence Item từ trình đơn.
3. Trong hộp thoại Select Source, bấm vào nút tùy Logical Drive, và sau đó
kích Next.
4. Trong hộp thoại Select Drive, bấm vào mũi tên trên danh sách Drive
Selection, nhấp vào ổ đĩa mà bạn cài đặt VMware Server, và sau đó nhấn
Finish.
5. Trong cửa sổ phía trên bên trái, chuyển đến thư mục Windows\System32
360
(hoặc WINNT\ System32).
6. Kích chuột phải vào thư mục Config và nhấp vào Export Files.
7. Trong hộp thoại Browse For Folder, điều hướng đến thư mục làm việc của
bạn, và sau đó nhấp OK. Thoát khỏi FTK Imager.
8. Chạy Registry Viewer. Nhấp vào nút Open trên thanh công cụ, và điều
hướng đến thư mục con Config trong thư mục làm việc của bạn. Nhấp vào
tập tin Software, và sau đó nhấn Open.
9. Trong khung bên trái, mở rộng VMware, Inc. and VMware Server, và
nhấn thư mục License (xem Hình 11-1). Cửa sổ bên phải hiển thị chi tiết
thông tin giấy phép, bao gồm cả số serial (bị xóa trong Hình). Thoát khỏi
Registry Viewer.
Hình 11-1 : Xem thông tin giấy phép của Vmware trong Registry Viewer
Ngay cả khi phần mềm đã được gỡ bỏ cài đặt, hệ thống Windows thường
giữ lại các thông tin giấy phép trong Registry. Đây cũng là lý do tại soa khi
bản dùng thử của một ứng dụng nào đó bị hết hạn và các bạn cài lại bản mới
sẽ không thành công.
Sau khi xác định rằng một máy ảo vẫn tồn tại trên máy chủ, bước tiếp theo là
tìm kiếm chúng. Trong VMware, thông thường bạn nên tìm kiếm các tập tin
với phần mở rộng là .vmdk, .vmsd, hoặc phần mở rộng vmx hay Nvram
(RAM ảo). Ngoài ra, các tập tin DLL có thể vẫn còn sót lại trên hệ thống
ngay cả khi chương trình được gỡ bỏ cài đặt.
Bây giờ, chúng ta sẽ tìm kiếm các thông tin cần thiết để có được một Hình
ảnh của máy ảo. Trong phần hướng dẫn tiếp theo chúng ta cần một máy ảo
361
đã được cài đặt. Hãy thực hiện theo các bước sau để có được Hình ảnh của
một máy ảo:
1. Chạy FTK Imager

2. Nhấn vào File, Add Evidence Item từ trình đơn.
3. Trong hộp thoại Select Source, bấm vào nút tùy chọn Image File, và sau
đó kích Next.
4. Nhấp vào nút Browse, tìm đến thư mục Documents\Virtual Machines hay
My Documents\My Virtual Machines tùy vào hệ điều hành mà các bạn đang
dùng sau đó kích đúp vào tập tin .vmdk. Nhấp vào Finish.
5. Mở rộng cây ở bên trái. Thông thường, trong một bản cài đặt của hệ thống
Ubuntu sẽ có 3 phân vùng được liệt kê : phân vùng 1 chứa các phân vùng
gốc, phân vùng 5 có chứa các phân vùng trao đổi và không gian chưa phân
bổ (xem Hình 11-2). Trên các hệ thống Linux, phân vùng trao đổi có thể
được thiết lập để dùng như là bộ nhớ ảo.
Hình 11-2 : Phân vùng tráo đổi hay swap partition cy3a máy ảo mở trong
FTK Imager
6. Tiếp theo, ta sẽ thu thập Hình ảnh của máy ảo này. Hãy nhấn vào File ,
Create Disk Image từ trình đơn.
7. Trong hộp thoại Select Source, bấm vào nút tùy chọn Image File, và sau
362
đó kích Next.
8. Trong hộp thoại Select File, nhấn vào nút Browse, và sau đó tìm và nhấp
đúp vào tập tin .vmdk. Sau đó nhấp vào Finish.
9. Trong hộp thoại Create Image, nhấn vào nút Add trong phần Image
Destination.
10. Trong hộp thoại Select Image Type, xác nhận rằng Raw (dd) được lựa
chọn cho định dạng Hình ảnh, và sau đó kích Next.
11. Trong hộp thoại Evidence Item Information, hãy nhập vào vào ngày hôm
nay là số bằng chứng, nhập tên của bạn, và bất kỳ thông tin cần thiết nào,
sau đó kích Next
12. Trong hộp thoại Select Image Destination, nhấp vào nút Browse, tìm đến
và nhấp vào thư mục làm việc của bạn, và sau đó nhấp OK. Trong ô Image
hãy nhập vào C11InChap. Trong ô Image Fragment Size (MB), hãy nhập
vào số 0 để FTK Imager không để phá vỡ các tập tin Hình ảnh thành nhiều
phần nhỏ dùng cho việc lưu trên các đĩa CD.
13. Kích Finish, sau đó nhấn Start để bắt đầu việc thu thập Hình ảnh. Quá
trình này có thể mất một vài phút. Khi hoàn thành hãy thoát FTK Imager.
Sau đó, bạn có thể kiểm tra Hình ảnh với công cụ mà bạn yêu thích.
Một cách khác để có lấy Hình ảnh của một máy ảo là gắn kết máy ảo
như một ổ đĩa vật lý và sau đó thu thập Hình ảnh của máy ảo, cách này làm
cho các máy ảo giống như một máy tính vật lý. Phương pháp này có thể sẽ
trở nên phổ biến hơn trong tương lai khi các máy ảo ngày càng được sử dụng
rộng rãi hơn.
Tổng Quan Về Điều Tra Chứng Cứ Trên Mạng Máy Tính
Điều tra pháp lý mạng hay network forensic là quá trình thu thập và phân
tích các gói tin truyền trên mạng và theo dõi lưu lượng mạng một cách hệ
thống để xác định làm thế nào một cuộc tấn công được thực hiện hay các sự
kiện xảy ra trên mạng như thế nào. Bởi vì các cuộc tấn công mạng ngày
càng gia tăng, số lượng tội phạm mạng ngày càng nhiều đòi hỏi phải có
nhiều chuyên gia điều tra pháp lý mạng để hỗ trợ thực thi pháp luật hay truy
tìm bằng chứng phạm tội của các hacker.
Khi những hacker đột nhập vào mạng máy tính sẽ để lại các dấu vết phía
sau. Kỹ năng nhận biết các biến thể trong dữ liệu truyền thông trên mạng
máy tính có thể giúp bạn theo dõi sự xâm nhập, do đó các điều tra viên cần
có kiến thức về các mẫu nhận dạng hay signature (chữ kí) của các mối đe
dọa đối với sự an toàn của mạng máy tính. Ví dụ, một ISP chính ở
363
Windhoek, Namibia, có giờ cao điểm của việc sử dụng mạng là khoảng 6
giờ sáng đến 6 giờ chiều bởi vì hầu hết mọi người trong thành phố đó có thể
truy cập Internet tại nơi làm việc. Đây có thể xem là một mốc huẩn của hiệu
suất sử dụng đường truyền, vì vậy nếu như vào khoảng thời gian sau 6 giờ
chiều số lượng các gói tin tăng đột biến trên mốc chuẩn sẽ kích hoạt một
cảnh báo cho nhà quản trị mạng có một nguy cơ tấn công từ chối dịch vụ
đang diễn ra, hay có thể một loại virus mới đang lây lan làm nghẽn đường
truyền như virus conflicker trước đây.
Điều tra pháp lý mạng cũng có thể giúp bạn xác mạng máy tính có thực sự bị
tấn công hay nguyên nhân là một người sử dụng đã vô tình cài đặt một bản
vá lỗi chưa được kiểm tra. Việc xác định các lỗ hổng bảo mật hay các điểm
nhạy cảm trong những ứng dụng nguồn mở đòi hỏi nhiều thời gian và công
sức, cũng như kỹ năng của một nhà điều tra pháp lý.
Nhà điều tra trong lĩnh vực này cần phải thiết lập các thủ tục tiêu chuẩn để
làm thế nào để thu thập dữ liệu một cách nhanh chóng sau khi bị tấn công
hay xâm nhập. Thông thường, các quản trị viên hệ thống mạng muốn xác
định các máy bị xâm nhập và tiến hành sữa chữa trong thời gian nhanh nhất
để có thể đưa hệ thống trở về trạng thái ban đầu. Tuy nhiên, phản ứng lại các
sự cố cần tuân theo những thủ để tránh các sai sót và hạn chế thiệt hại ở mức
thấp nhất. Tiến trình này sẽ được thảo luận chi tiết hơn trong nội dung "Xây
Dựng Các Thủ Tục Tiêu Chuẩn Cho Điều Tra Pháp Lý Mạng."
364
An Ninh Mạng
Mục tiêu của quá trình điều tra pháp lý mạng là xác định làm thế nào một vi
phạm an ninh xảy ra; tuy nhiên việc “phòng cháy hơn chữa cháy” cho nên
chuyên gia bảo mật có nhiệm vụ gia cố hệ thống mạng máy tính của mình
cho vững chắc trước khi sự cố xảy ra. Trong vai trò điều tra viên trong lĩnh
vực tội phạm máy tính các bạn nên tư vấn và hỗ trợ nhằm xây dựn một hệ
thống mạng chắc chắn, bảo mật.
Quá trình gia cố hệ thống mạng hay kiện toàn bảo mật hệ thống bao gồm các
thao tác cập nhật các bản vá hệ thống, tắt những dịch vụ mạng không cần
thiết, xây dựng chính sách an ninh mạng, triển khai các thành phần bảo mật
hệ thống như Firewall, IDS, hay các chương trình diệt virus. Trong đó, vấn
đề quan trọng nhất là nâng cao nhận thức an toàn thông tin cho người sử
dụng và quá trình triển khai hệ thống an ninh cần tuân theo các quy tắt xây
dựng một hệ thống phòng thủ theo chiều sâu hay defense in depth (DiD).
DiD có cơ chế bảo vệ :
• Con người
• Công nghệ
• Hoạt động
Nếu một cơ chế bảo vệ không thành công thì các hệ thống còn lại sẽ ngăn
chặn các cuộc tấn công. Chế độ bảo vệ con người bao gồm các yếu tố như
365
đào tạo nâng cao nhận thức của người dùng, tuyển dụng các nhân viên có kỹ
năng, chuyên môn trong lĩnh vực an ninh mạng. Xây dựng các chính sách an
ninh, bảo vệ thông tin cá nhân và cả những thiết bị vật lý.
Chế độ công nghệ bao gồm việc lựa chọn một kiến trúc mạng mạnh mẽ và
sử dụng các công cụ thử nghiệm, kiểm soát mạng chẳng hạn như hệ thống
phát hiện xâm nhập (IDS) và tường lửa. Thường xuyên thâm nhập thử
nghiệm cùng với đánh giá rủi ro có thể giúp cải thiện an ninh mạng. Có hệ
thống phân tích nhanh chóng khi xảy ra vi phạm an ninh cũng là một phần
của chế độ bảo vệ công nghệ.
Cuối cùng, chế độ hoạt động giải quyết vấn đề vận hành của hệ thống bao
gồm cập nhật các bản vá lỗi bảo mật, phần mềm chống virus, và hệ điều
hành thuộc thể loại này. Ngoài ra trong chế độ này còn có các thủ tục giám
sát hay kế hoạch phục hồi thảm họa.
Thu Thập Dữ Liệu Trực Tiếp

Như bạn đã học trong Chương 4 việc thu thập dữ liệu trực tiếp đặc biệt hữu
ích khi bạn đang đối phó với sự xâm nhập hay tấn công mạng hoặc khi
chúng ta ghi ngờ có nhân viên đang truy cập vào khu vực mạng mà họ
không được phép. Thu thập thông tin trực tiếp được thực hiện khihe65 thống
đang hoạt động và điều này khá cần thiết vì nhiều cuộc tấn công chỉ để lại
một số dấu vết trong các tiến trình đang chạy hay bộ nhớ RAM; ví dụ như
một số phần mềm độc hại sẽ biến mất khi hệ thống khởi động lại. Như trong
thời gian hiện nay, trên thế giới có virus cực độc là Flame đang hoành hành
tại Trung Đông có khả năng tự hủy khi có chương trình tìm và diệt virus do
ra. Tuy nhiên, sau khi các bạn thu thập dữ liệu trực tiếp các thông tin bằng
chứng có thể bị thay đổi hay bị xóa do chúng ta tương tác vào bộ nhớ RAM
hay các tiến trình đang chạy. Do đó, việc thu thập dữ liệu trực tiếp sẽ không
tuân theo thủ tục pháp lý điển hình.
Vấn đề mà các nhà điều tra phải đối mặt đó là sự biến động của thông tin
(order of volatility - OOV ), có nghĩa là thời gian mà thông tin tồn tại trên hệ
thống là bao lâu, như thông tin trong bộ nhớ RAM và các tiến trình đang
chạy có thể chỉ tồn tại trong khoảnh khắc một phần nghìn dây trong khi các
dữ liệu khác như các tập tin được lưu trữ trên ổ đĩa cứng có thể kéo dài trong
366
nhiều năm. Các bước sau đây là thủ tục chung cho một tiến trình thu thập dữ
liệu trực tiếp :
1. Tạo hoặc tải về một đĩa CD/ DVD pháp lý có khả năng khởi động, hãy
thử nghiệm nó trước khi sử dụng trên một ổ đĩa nghi ngờ. Sau đó chèn đĩa
khởi động này vào hệ thống khả nghi.
2. Hãy lưu lại các hoạt động của bạn cẩn thận, việc lập tài liệu cho những
hành động của bạn là rất quan trọng trong bất kì công tác nào.
3. Trong trường hợp lý tưởng nên sử dụng một ổ đĩa mạng để gửi các thông
tin bạn thu thập. Nếu không hãy dùng ổ USB để lưu các dữ liệu thu thập
được từ hệ thống khả nghi.
4. Tiếp theo, hãy sao chép bộ nhớ vật lý (RAM). Microsoft có một công cụ
cho nhiệm vụ này, hoặc bạn có thể sử dụng các công cụ miễn phí như
memfetch (www.freshports.org/sysutils/memfetch) hay Backtrack (được
thảo luận trong phần sau).
5. Bước tiếp theo tùy thuộc vào sự cố mà bạn đang điều tra. Ví dụ với tình
huống xâm nhập ta có thể kiểm tra xem có tồn tại phần mềm rootkit nguy
hiểm trên hệ thống hay không với công cụ như Revealer rootkit
(http://goo.gl/6OvyQ). Bạn cũng có thể truy cập phần mềm firmware của hệ
thống để xem có bị thay đổi hay không. Sau đó tạo ra một Hình ảnh của ổ
đĩa qua mạng, hoặc tắt hệ thống và tiến hành thu thập dữ liệu tĩnh.
6. Luôn tạo các giá trị băm thích hợp để xác nhận tính toàn vẹn của dữ liệu
chứng cứ.
Tiến Hành Thu Thập Dữ Liệu Trực Tiếp Trong Windows

Thu thập dữ liệu trực tiếp đang ngày càng trở nên cần thiết, một số công cụ
có thể chụp bộ nhớ RAM như Mantech Memory DD
(www.mantech.com/msma/MDD.asp) có thể truy cập lên đến 4 GB RAM ở
định dạng tiêu chuẩn dd, hay một phần mềm miễn phí là Win32dd
(http://win32dd.msuiche.net) chạy từ dòng lệnh có thể dump bộ nhớ của hệ
thống Windows. Bên cạnh đó các công cụ thương mại như Guidance
Software Winen.exe cũng có chức năng tương tự.
Thời gian gần đây, xuất hiện một công cụ mới nhưng rất phổ biến là
Backtrack (www.remote-exploit.org/backtrack.html), là một bộ ứng dụng
với hơn 300 công cụ kết hợp từ White Hat Hackers và The Auditor (xem
Hình 11-3). Những chương trình có sẳn trên BackTrack bao gồm phần mềm
367
giám sát mạng, phần mềm bẻ khóa mật khẩu, nghe lén gói tin, cookie hay
các dịch vụ máy chủ như web, ftp …Do tính năng mạnh mẽ và hoàn toàn
miễn phí nên Backtrack được sử dụng rộng rãi với các chuyên gia kiểm định
mạng tại Collegiate Cyber Defense Competitions, hay tại bất kì đâu trên thế
giới. Và dĩ nhiên, đây là bộ công cụ không thể thiếu trong kho “vũ khí” của
hacker.
Hình 11-3 : Một số công cụ trong DVD Backtrack 5 (phiên bản mới nhất
hiện nay)
Với giao diện đồ họa dễ sử dụng, nhưng các bạn nên có kiến thức về hệ
thống lệnh của Linux để tận dụng tối đa sức mạnh của Backtrack. Trong
phần kế tiếp chúng ta sẽ tìm hiểu về một số lệnh này.
Phát Triển Các Thủ Tục Chuẩn Cho Điều Tra Pháp
Lý Mạng
Một thủ tục tiêu chuẩn thường được sử dụng trong điều tra pháp lý mạng
368
máy tính như sau:
1. Luôn luôn sử dụng một Hình ảnh cài đặt chuẩn cho các hệ thống trên
mạng. Hình ảnh chuẩn sẽ bao gồm tất cả những ứng dụng thiết yếu. Bạn
cũng nên có giá trị băm MD5 và SHA-1 của tất cả các ứng dụng và các tập
tin hệ điều hành.
2. Khi một sự cố xâm nhập trái phép xảy ra, hãy chắc chắn lỗ hổng này đã
được bít để ngăn chặn các cuộc tấn công khác lợi dụng sơ hở này.
3. Cố gắng lấy tất cả dữ liệu dễ bị tiêu hao như RAM và các tiến trình đang
chạy bằng cách thu thập dữ liệu trực tiếp trước khi tắt hệ thống.
4. Gom các ổ đĩa bị tổn hại và làm tạo một Hình ảnh pháp lý của nó.
5. So sánh các Hình ảnh pháp lý với Hình ảnh của hệ thống gốc. So sánh giá
trị băm của các tập tin phổ biến như DLL Win.exe hay các hàm thư viện
chuẩn (DLL), và kiểm tra xem có sự thay đổi nào hay không.
Trong điều tra pháp lý máy tính, bạn có thể làm việc trên các Hình ảnh thu
được để tìm thấy hầu hết các tập tin và phân vùng bị xóa hoặc ẩn. Còn trong
môi trường mạng, bạn phải khôi phục lại các ổ đĩa để xem kẻ tấn công đã cài
đặt chương trình nguy hiểm trên hệ thống như thế nào. Ví dụ, những kẻ xâm
nhập có thể đã truyền một chương trình Trojan cho phép họ truy cập vào hệ
thống và sau đó cài đặt một rootkit bao gồm các công cụ có thể thực hiện các
nhiệm vụ trinh sát mạng, bắt tín hiệu bàn phím...
Các nhà điều tra cần lưu ý những Hình ảnh thu thập có khả năng chưa nhiều
mã độc và chương trình nguy hiểm, do đó phải sao Hình ảnh cần khảo sát và
điều tra lên một hệ thống đươc cô lập, tách biệt với mạng hay bất kì máy
tính nào khác. Trong trường hợp cần thiết, các bạn có thể sử dụng một máy
ảo trên hệ thống máy tính cô lập để điều tra và truy tìm chứng cứ.
Rà Soát Các Tập Tin Nhật Kí Mạng

Các tập tin nhật kí mạng lưu giữ các dữ liệu vào và ra trên hệ thống. Một
cách thông thường để kiểm tra lưu lượng mạng đang truyền thông là sử dụng
chương trình Tcpdump (www.tcpdump.org), một ứng dụng mạnh mẽ trong
việc theo dõi luồng dữ liệu truyền, sau đây là một kết xuất mẫu của ứng
dụng :
TCP log from 20 10 -1 2- 16 :1 5: 06 :3 3 to 2 01 0- 12 -1 6: 15 :0 6: 34 .
369
Wed Dec 15 15 :0 6: 33 2 01 0; T CP ; eth0 ; 1296 bytes; from
20 4. 14 6. 11 4. 10 :1 91 6 t o 15 6. 26 .6 2. 20 1: 12 6
Wed Dec 15 15 :0 6: 33 2 01 0; TCP ; eth0 ; 625 bytes ; from
19 2. 16 8. 11 4. 30 :2 89 to 1 88 .2 26 .1 73 .1 22 :1 3
Wed Dec 15 15 :0 6: 33 2 01 0; TCP ; eth0 ; 2401 bytes; f rom
19 2. 16 8. 5. 41 :5 29 to 1 88 .2 26 .1 73 .1 22 :3 1
Wed D c 15 15 :0 6: 33 2 01 0; TCP ; eth0 ; 1296 byte s; f rom
20 6. 19 9. 79 .2 8: 12 80 to 1 0. 25 3. 17 0. 21 0: 16 8; first packet
END
Dòng đầu tiên chỉ đơn giản là các tiêu đề. Các dòng còn lại định dạng theo
thời gian, giao thức, giao diện, kích thước, địa chỉ nguồn và địa chỉ đích.
Hãy nhìn vào dòng thứ hai từ kết quả:
Wed Dec 1 5 15 :0 6: 33 2 01 0; TCP; eth0; 1296 bytes; from

204.146.114.10:1916 to 156.26.62.201:126
Dòng này chỉ ra dữ liệu được truyền vào Wednesday, December 15, 2010
lúc 15:06:33. Các gói tin TCP truyền qua giáo tiếp mạng Ethernet 0, tổng
cộng có 1296 byte dữ liệu truyền. Các packet được gởi từ địa chỉ IP
204.146.114.10:1916 đển địa chỉ IP 156.26.62.201:126 (số đằng sau dấu hai
chấm là cổng của dịch vụ).
Khi xem các nhật ký mạng, số hiệu cổng của dịch vụ cung cấp các manh mối
điều tra quan trọng. Ví dụ, bạn có thể nhận thấy một địa chỉ IP thường gởi
thông tin trên một cổng không khác thường, điều này có khả năng trojan lây
nhiễm trên máy tính truyền thông tin bí mật về máy chủ điều khiển.
Bằng cách sử dụng một công cụ phân tích mạng lưới chẳng hạn như Ethereal
hay WireShark bạn có thể tạo ra một danh sách của 10 trang Web mà người
sử dụng trong mạng của bạn hay truy cập như danh sách sau đây :
Top 10 External Sites Visited:
4897 188.226.173.122
2592 156.26.62.201
4897 110.150.70.190
4897 132.130.65.172
4897 192.22.192.204
4897 83.141.167.38
370
1296 167.253.170.210
1296 183.74.83.174
625 6.234.186.83
789 89.40.199.255
Trong tất cả các cuộc điều tra các bạn cần ghi nhớ các chứng cứ trong tâm trí
của mình để các mối liên hệ về những tình huống đã xử lý sẽ bật lên giúp
cho việc xử lý nhanh chóng, đôi khi tạo thành phản xạ. Điều này nói lên
kinh nghiệ, kỹ năng và trình độ của một nhà điều tra pháp lý mạng máy tính.
Sử Dụng Công Cụ Mạng

Có nhiều công cụ mạng hỗ trợ cho các nhà quản trị hệ thống trong công tác
quản lý và nâng cao an toàn hệ thống mạng của mình. Các bạn có thể tham
khảo danh sách của 125 công cụ bảo mật hàng đầu thế giới được các chuyên
gia bảo mật, quản trị mang và cả các hacker đánh giá tại địa chỉ
www.sectools.org. Những công cụ miễn phí hoạt động trên Linux và
Windows được trình bày trong chương này như bộ công cụ Sysinternals,
Knoppix-STD và Ethereal.
Sysinternals (www.microsoft.com/technet/sysinternals/) là một tập hợp các

công cụ miễn phí dùng để kiểm tra các sản phẩm của Windows. Sysinternal
được tạo ra bởi Mark Russinovich và Bryce Cogswell và sau đó được
Microsoft mua lại (xem Hình 11-4).
371
Hình 11-4 : Trang web của Windows Sysinternals
Như bạn có thể thấy trong Hình 11-4, bạn có thể lựa chọn các công cụ thuộc
nhiều lĩnh vực khác nhau như ứng dụng về tập tin và hệ thống, mạng, các
tiến trình, và các công cụ bảo mật. Danh sách sau đây mô tả một vài ứng
dụng trong bộ công cụ Sysinternals:
• RegMon - hiển thị tất cả dữ liệu Registry trong thời gian thực.
• Process Explorer - hiển thị các tập tin, các khóa Registry, và các thư viện
liên kết động (DLL) được nạp vào một thời điểm cụ thể.
• Handle - hiển thị các tập tin được mở và những tiến trình đang sử dụng
các tập tin này.
• Filemon – hiển thị hoạt động của tập tin hệ thống.
Một bộ công cụ đặc biệt trong danh sách trên có giá trị cho các nhà điều tra
máy tính là PsTools, bao gồm các công cụ sau đây:
• PsExec - Chạy tiến trình từ xa

• PsGetSid - Hiển thị số nhận dạng bảo mật (SID) của một máy tính hoặc
372
người sử dụng
• Pskill – tắt một tiến trình theo tên hoặc ID quá trình
• Pslist – Liệt ke danh sách thông tin chi tiết về tiến trình
• PsLoggedOn - Hiển thị những người đang đăng nhập cục bộ
• PsPasswd - Cho phép bạn thay đổi mật khẩu tài khoản
• PsService - Cho phép bạn xem và kiểm soát các dịch vụ
• PsShutdown - Tắt và khởi động lại một máy tính
• PsSuspend - Cho phép bạn tạm ngừng các tiến trình
Những công cụ này giúp bạn theo dõi mạng một cách hiệu quả và triệt để. Ví
dụ, bạn có thể tham khảo các báo cáo PsTools tạo ra để chứng minh rằng có
nhân viên chạy một chương trình trái phép. Bạn cũng có thể giám sát mạng
máy tính và máy tắt máy hoặc nhừng các tiến trình nguy hiểm.
Mặc dù những công cụ này hữu ích cho các quản trị mạng, hãy tưởng tượng
điều gì sẽ xảy ra nếu một kẻ tấn công (hoặc thậm chí là một người sử dụng
nội bộ) chiếm được quyền quản trị mạng và sử dụng những công cụ này. Ví
dụ như, trong một lớp đào tạo về mạng máy tính các học sinh phải cài đặt
máy chủ của họ và sau đó gia cố chứng. Một học sinh đã sử dụng
PsShutdown để đăng nhập vào máy chủ của học sinh khác và shutdown từ
xa do học sinh này sử dụng các mật khẩu người dùng mặc định.đóng cửa từ
xa bởi vì đó học sinh quên để tạo ra một mật khẩu cho tài khoản người dùng
mặc định.
Sử Dụng Công Cụ UNIX / Linux
Knoppix Security Tools Distribution (STD; http://s-t-d.org) là một đĩa CD

Linux có khả năng khởi động dành cho điều tra pháp lý máy tính và mạng.
Để sử dụng công cụ này, bạn phải điều chỉnh BIOS trên hệ thống để khởi
động từ đĩa CD. Knoppix-STD có một số công cụ rất phù hợp cho điều tra
pháp lý máy tính và mạng.Để biết thêm thông tin chi tiết, hãy truy cập
www.knoppix.net, Knoppix cung cấp nhiều thể loại công cụ bao gồm mã
hóa, xác thực, pháp lý, tường lửa, IDS, honeypot, tiện ích mạng, công cụ mật
khẩu, sniffer, quét lỗi bảo mật, và công cụ cho mạng không dây. Sayu đây là
một số công cụ trong Knoppix-STD :
373
• dcfldd- một phiên bản dành cho điều tra pháp lý của lệnh dd do Bộ Quốc
Phòng Mỹ triển khai.
• memfetch – dump bộ nhớ hệ thống

• photorec - lấy các tập tin từ một máy ảnh kỹ thuật số
• snort- ứng dụng IDS phổ biến có chức năng dò tìm và phát hiện xâm nhập
trái phép (www.snort.org).
• oinkmaster - giúp quản lý các quy tắc của snort.
• john - phiên bản mới nhất của chương trình bẻ khóa mật khẩu John the
Ripper.
• chntpw - cho phép bạn thiết lập lại mật khẩu trên một máy tính Windows,
bao gồm cả mật khẩu quản trị
• tcpdump và ethereal – chương trình giám sát mạng.
Với các công cụ của Knoppix-STD trên một đĩa CD bạn có thể kiểm tra hầu
như bất kỳ hệ thống mạng nào hay tạo ra một Hình ảnh từ xa, mà người
dùng không hề hay biết. Để xem thêm về cơ chế hoạt động của Knoppix hãy
truy cập trang web http://std.org và tải về tập tin ISO sau đó burn thành một
đĩa CD để thực hành. Hệ thống nghi ngờ của các bạn có thể là Windows
hoặc Linux và đang online trên mạng. Bây giời, các bạn hãy thực hành theo
các bước sau:
1. Thiết lập máy trạm làm việc của bạn khởi động từ CD / DVD-ROM (thay
đổi trong BISO).
2. Đưa đĩa CD Knoppix-STD nhưng để mở cửa ổ đĩa CD / DVD-ROM và
shutdown máy trạm của bạn. Sau đó khởi động lại máy trạm của bạn và
đóng cửa ổ đĩa.
3. Đĩa CD sẽ khởi động tự động (có thể nhấn Enter tại dấu nhắc khởi động
để tăng tốc độ). Knoppix thường phát hiện độ phân giải màn Hình của bạn tự
động, nhưng bạn có thể cần xác định nó. Nếu bạn nhận được một thông báo
lỗi, hãy thử gõ knoppix vga = 788 (để chọn chế độ hiển thị 800 x 600). Nếu
bạn có bất kỳ vấn đề khác, hãy vào phần FAQ của trang web Knoppix.
4. Khi các máy trạm khởi động xong các bạn sẽ thấy biểu tượng Knoppix-
STD ở giữa màn Hình (xem Hình 11-5).
374
Hình 11-5 : Logo Knoppix-STD
5. Kích chuột phải vào bất cứ nơi nào trên màn Hình. Khi trình đơn hiển thị,
trỏ chuột đến Xshells và sau đó nhấp vào Root Aterm.
6. Nhập vào cd / để truy cập vào thư mục gốc. Dấu nhắc sẽ thành
root@0[/]# .
7. Để truy cập vào ổ đĩa cứng, chạy lệnh mount-t vfat /dev/hda1 /mnt và
nhấn Enter. Nếu bạn dùng ổ đĩa NTFS, hãy gõ lệnh mount-t ntfs /dev/hda1
/mnt và nhấn Enter.
8. Để bắt đầu kiểm tra các tập tin trên ổ đĩa cứng, gõ cd /mnt, và nhấn Enter.
9. Nhập vào lệnh ls-l và nhấn Enter để có xem danh sách thư mục.
10. Thu nhỏ cửa sổ Aterm. Kích chuột phải vào bất kỳ vị trí nào trên màn
Hình, trỏ chuột đến Sniffers, và nhấp vào ethereal.
11. Khi cửa sổ Ethereal mở ra, nhấn Capture, Start từ trình đơn. Nếu hộp
thoại mở ra Capture, hãy nhấn OK để chấp nhận các mặc định. Bạn sẽ thấy
cửa sổ Ethereal và hộp thoại Capture như Hình 11-6. Hãy ping một máy
khác trên mạng để tạo ra lưu lượng, mở trình duyệt web và kết nối vào một
số trang web ví dụ như www.security365.vn.
375
Hình 11-6 : Bắt giữ frame với Ethereal
12. Sau một vài phút, nhấn vào Stop. Phải mất một vài giây đế ứng dụng
hiển thị kết quả. Khi tiến trình hoàn tất, bạn sẽ thấy một cửa sổ tương tự như
Hình 11-7. Nhấp vào một frame trong cửa sổ bên trên và xem chi tiết của nó
trong cửa sổ phía dưới
376
Hình 11-7 : Thông tin frame hiển thị trong Ethereal
13. Nhấn vào File, Quit từ trình đơn. Kích chuột phải vào bất kỳ vị trí nào
trên màn Hình, và nhấn Reboot. Hãy lấy đĩa CD ra và đóng ổ đĩa.
Ngoài Knopid-STD còn nhiều dự án khác như Auditor nay đã thay thế bởi
Backtrack chạy trên nền tảng Ubuntu và chứa hàng trăm công cụ chuyên
dùng cho bảo mật mạng, thử nghiệm tấn công và các ứng dụng hữu ích cho
điều tra pháp lý mạng và máy tính. Đây là ứng dụng rất dễ sử dụng do có
giao diện đẹp, thân thiện với người dùng, các bạn có thể tải các tập tin ISO
của Backtrack tại www.remote-exploit.org/backtrack_docs.html va2 ghi ra
đĩa DVD hay chạy từ máy ảo Vmware để thử nghiệm các tính năng của nó..
có thể tạo ra các báo cáo. Ngoài ra, nó có chứa danh sách từ nhiều ngôn ngữ
(hơn 64 triệu mục) mà bạn có thể sử dụng cho việc crack mật khẩu.
Sử Dụng Chương Trình Bắt Gói Tin
Các công cụ bắt gói tin hay Packet Sniffer là các ứng dụng đặt tại những vị
377
trí thích hợp trên mạng để theo dõi lưu lượng truy cập. Hầu hết các công
việc của quản trị mạng là sử dụng sniffer để tăng cường bảo mật và theo dõi
tình trạng tắt nghẽn mạng. Tuy nhiên, hacker có thể sử dụng chúng để đánh
cắp những thông tin nhạy cảm như mật khẩu, email ... Hầu hết các sniffer
hoạt động tại lớp 2 hoặc lớp 3 của mô Hình OSI.
Một số sniffers thực hiện bắt gói tin trên mạng, số khác có chức năng phân
tích lưu lượng, và những chương trình mạnh mẽ thì xử lý cả hai nhiệm vụ
trên. Tổ chức của bạn cần phải có chính sách thích hợp về sniifer trên mạng
để tránh vi phạm pháp luật của quốc gia sở tại trong vấn đề vi phạm quyền
riêng tư của người.
Các công cụ sniffer có thể chạy trên cả hệ thống Windows lẫn Linux và cả
Macintosh, ví dụ như Ethreal hay phiên bản mới hơn của nó là Wireshark để
có thể hoạt động tốt trên Linux và Windows.
Là một chuyên gia điều tra pháp lý máy tính và mạng bạn cần chọn công cụ
thích hợp nhất với mục đích của mình. Ví dụ, nếu hệ thống mạng đang bị tấn
công SYN flood (một dạng tấn công mà ác hacker làm cho máy chủ bị tràn
ngập bởi các yêu cầu đồng bộ hóa trong quá trình bắt tay ba bước khiến cho
các máy tính khác không thể khởi tạo session), và bạn muốn tìm các gói tin
với cờ SYN để xác định nguồn gốc cuộc tấn công trên và ứng dụng thích
hợp cho nhiệm vụ này là Tcpdump, Tethereal, và Snort có thể được lập trình
để kiểm tra tiêu đề của TCP để tìm cờ SYN. Hình 11-8 cho thấy một tiêu đề
TCP, khu vực Flags chứa các cờ, trong đó cờ SYN có ký hiệu là S.
Hình 11-8 : Tiêu đề của TCP hay TCP header.
378
Tổng Quan Về Dự Án Honeynet
Dự án Honeynet (www.honeynet.org) được phát triển và công bố rộng rãi

nhằm ngăn chặn kẻ tấn công mạng và Internet. Dự án có nhiều thành viên từ
khắp nơi trên thế với mục tiêu là nâng cao nhận thức, thông tin, và các công
cụ. Bước đầu tiên là làm cho người dân và các tổ chức nhận thức được các
mối đe dọa đến an toàn thông tin và họ có thể là mục tiêu. Tiếp theo là cung
cấp những thông tin và hướng dẫn về cách thức bảo vệ mình trước những
mối đe dọa trên. Và cuối cùng, đối với những người muốn tiến hành các
nghiên cứu của riêng mình thì Honeynet Project cung cấp những công cụ và
phương pháp hỗ trợ thích hợp. Hình 11-12 là trang giới thiệu về dự án.
Hình 11-12 :
Một trong những mối đe dọa được đề cập trên trang chủ của dự án là tấn
công từ chối dịch vụ phân tán DDOS hay distributed denial-of-service
(DDoS) attack. Trong mô Hình tấn công này hacker sẽ huy động một hệ
thống mạng máy tính lớn với nhiều máy con gọi là các zombie tạo thành một
hệ thống mạng gọi là botnet. Các zombie được điều khiển từ xa, và nhiều
máy tính trở thành zombie do nhiễm virus, trojan khi truy cập vài các trang
379
web nguy hiểm hay cài đặt các chương trình bẻ khóa, vi phạm bản quyền
hay không có nguồn gốc. Khi một cuộc tấn công DDoS diễn ra nó sẽ làm
cho mục tiêu bị tê liệt và không thể truy cập được, thường mục tiêu là các
web site của những tổ chức lớn ví dụ một số tạp chí mạng vừa qua đã bị
nhóm hacker nổi tiếng Anonymous tấn công theo Hình thức này.
Một cảnh báo nguy hiểm khác là các cuộc tấn công theo kiểu zero day, đây
là những lỗi đã được phát hiện nhưng chưa có bản vá chính thức. Điều này
làm cho hệ thống càng dễ bị tấn công hơn bao giờ hết do có nhiều người biết
được lỗi và thậm chí cả phương pháp tấn công. Khi gặp những lỗi bảo mật
dạng 0-day chúng ta nên thực hiện theo các khuyến nghị của những chuyên
gia bảo mật như tổ chức F-Secure, EEYE của nước ngoài hay tổ chức trong
nước như BKAV, SEECURITY365.
Dự án Honeynet được xây dựng như là một nguồn tài nguyên giúp cho các
quản trị hệ thống mạng đối phó với DDoS và các dạng tấn công khác. Dự án
cũng bao gồm việc cài đặt các honeypot và honeywalls tại các địa điểm khác
nhau trên thế giới. Trong đó Honeypot hay còn gọi là Decoy Server là một
máy tính thiết lập giống như bất kỳ máy tính nào khá trên mạng, với chức
năng thu hút kẻ tấn công nhưng máy tính không chứa thông tin có giá trị
thực. Còn Honeywall là máy tính được thiết lập để giám sát những gì đang
xảy ra trên mạng và theo dõi các hành động của hacker và qua đó có thể
nhận biết được khi nào bị tấn công cũng như phương pháp tấn công của
hacker. Tuy nhiên, tính hợp pháp của honeypot là một vấn đề được nhiều
người quan tâm, hiện tại các chứng cứ thu giữ bởi honeypot không được
chấp nhận tại toàn án, nhưng dự án này vẫn có thể được sử dụng để xác định
làm thế một hệ thống bị phá vỡ cũng như tạo ra các biện pháp bảo vệ tốt
hơn cho mạng máy tính.
Một trong những phần tốt nhất của Dự án Honeynet là Honeynet Challenges
(www.honeynet.org/challenges). Bạn có thể thử xác định những gì một kẻ
tấn công đã làm và sau đó gửi kết quả của bạn lên web. Sau khi được thông
qua, giải pháp sẽ được đăng tải cùng với ý kiến từ những người khác trong
dự án. Đó là một trong những cách nhanh nhất và hiệu quả để tìm hiểu
những gì đang xảy ra trong thế giới hacker. Có nhiều người đã tham gia và
đóng góp cho Honeynet Challenges , vì vậy chúng ta có thể tìm hiểu và học
380
hỏi cách thức xử lý mà những chuyên gia khuyên dùng để tăng cường an
ninh cho hệ thống mạng và bảo vệ tính riêng tư cho dữ liệu của chính mình
trong thế giới phẳng.
381
■ Máy ảo đóng vài trò quan trọng trong các mạng ngày nay, vì vậy các nhà
điều tra cần biết cách để phát hiện một máy ảo được cài đặt trên máy chủ,
cách thu thập một Hình ảnh của máy ảo, và sử dụng chúng để kiểm tra phần
mềm độc hại.
■ Điều tra pháp lý mạng là quá trình thu thập và phân tích dữ liệu mạng và
theo dõi lưu lượng truy cập để xác định cách thức một cuộc tấn công diễn ra.
■ Để bảo đảm an ninh mạng thì hệ thống cần được kiện toàn bảo mật và áp
dụng mô Hình phòng thủ theo chiều sâu.
■ Thu thập trực tiếp là cách hiệu quả nhất để lấy các dữ liệu dễ bị tổn hao
như thông tin trong RAM hay các tiến trình đang chạy.
■ Cần xây dựng một thủ tục tiêu chuẩn về các ứng phó đối với sự cố khẩn
cấp.
■ Hãy theo dõi các tập tin nhật kí hệ thống mạng, điều này sẽ nâng cao kỹ
năng và trình độ của một nhà điều tra pháp lý máy tính và mạng.
■ Công cụ mạng và bảo mật mạng có thể dùng cho công tác quản trị hệ
thống, tăng cường an ninh mạng nhưng cũng được dùng bởi các hacker để
tấn công mạng máy tính.
■ Các bộ công cụ CD/DVD có khả năng khởi động Knoppix-STD hay

Backtrack là hành trang không thể thiếu của các nhà điều tra chứng cứ kỹ
thuật số. Các ứng dụng này có sẳn các công cụ thích hợp cho điều tra tội
phạm máy tính và mạng.
■ Honeynet là dự án được xây dựng nhằm nâng cao nhận thức an toàn thông
tin, dò tìm và phát hiện các dạng tấn công mới, hỗ trợ cho việc nghiên cứu
và bảo mật thông tin.
382
383
CHƯƠNG 12
Điều Tra Email
Sau Khi Hoàn Thành Chương Này Các Bạn Sẽ Có Thể :

• Giải thích vai trò của thư điện tử trong điều tra
• Mô tả vai trò trong email client và email server
• Mô tả nhiệm vụ trong điều tra tội phạm và vi phạm e-mail
• Sử dụng các bản ghi nhật kí của máy chủ e-mail
• Mô tả một số công cụ pháp lý dùng để điều tra email
384
Chương này giải thích làm thế nào để theo dõi, phục hồi, và phân tích thông
điệp email bằng cách sử dụng các công cụ pháp lý được thiết kế để điều tra
giao dịch thư tín và công cụ có mục đích chung như chương trình biên tập
đĩa.
Trong thập kỷ vừa qua, email đã trở thành một phương tiện giao tiếp chính
và hầu hết người dùng máy tính đều có chương trình để gửi, nhận và quản lý
e-mail. Có nhiều loại chương trình quản lý email khác nhau như Microsoft
Outlook, ThunderBird, Eudora hay sử dụng các ứng dụng Web Mail …nên
các bạn cần phải hiểu rõ cơ chế hoạt động của thư điện tử để có hướng tiếp
cận thích hợp. Trong chương này các bạn cũng sẽ tìm hiểu cách tương tác
của các máy chủ email và ứng dụng phía người dùng (client).
Vai Trò Của Email Trong Điều Tra

Bằng chứng email đã trở thành một phần quan trọng của điều tra máy tính ,
vì vậy các bạn cần biết làm thế nào emailđược xử lý để thu thập bằng chứng
cần thiết này. Ngoài ra, với sự gia tăng của lừa đảo và giả mạo bằng email
thì các nhà điều tra cần nắm cách kiểm tra và giải thích những nội dung đặc
trưng của thư điện tử.
Một trong những dạng lừa đảo qua email thường gặp là phishing, khi đó
người dùng sẽ nhận được những thông điệp có chứa đường link đến các
website giả mạo để dụ dỗ truy cập hay mua hàng hoặc chuyển tiền ... Trong
vai trò điều tra viên, các bạn có thể được yêu cầu để lần theo dấu vết của
thông điệp này và xác định xem nguồn gốc của email có hợp lệ hay không,
các đường liên kết giả mạo đặt tại trang web nào nhằm kiểm tra tính chân
thực của chúng. Thông thường các email phishing hay dùng các định dạng
HTML để dễ chèn các liên kết giả mạo, vì vậy chúng ta cần phải kiểm tra
mã nguồn của thông điệp để tìm địa chỉ đích của các liên kết đính kèm. Để
biết thêm về phishing hãy xem tại www.wordspy.com/words/phishing.asp.
Một trong những email lừa đảo đáng chú ý nhất là 419 hay Nigeria Scam, có
nguồn gốc Nigeria, Châu Phi. 419 thông điệp này có thủ đoạn đặc trưng
cùng với một phong cách điển Hình. Nếu chú ý thì hầu hết trong chúng ta ai
385
cũng một lần nhận được một bức thư điện tử thuộc dạng này. Ví dụ như có
một người tự xưng là con cháu của một vị tướng lĩnh hay quan chức cấp cao
của Nigeria, và nay ông ta đã mất để lại cho người cháu trên một số tiền lơn
nhưng vì nhiều lý do mà anh ta không thể rút được tiền, cần có một tài
khoản khác để có thể chuyển số tiền trên, có lẽ lên đền hàng triệu đô la. Và
nếu như bạn đồng ý nhận số tiền trên qua tài khoản của mình sẽ được anh ta
trích một khoản tiền lớn xem như là trả công. Nếu bạn hồi đáp lại bức thư
này thì kẻ lừa đả sẽ tận tình hướng dẫn, cũng như không quên yêu cầu bạn
phải chuyển một khoản phí rất nhỏ so với khoản tiền mà bạn sẽ nhận được
để làm một thủ tục nào đó, nếu như cả tìn và đồng ý chuyển tiền thì xem như
các bạn đã là nạn nhân của một vụ lừa đảo email điển Hình.
Một ví dụ đáng chú ý của một vụ kiện liên quan đến giả mạo emailxảy ra
vào tháng Hai năm 2001 tại Tòa Thượng Thẩm bang Massachusetts: Suni
Munshani v tín hiệu Lake Venture Fund II, LP etal. Trong vụ án này Suni
Munshani tuyên bố ông đã nhận được một emailtừ các giám đốc điều hành
của Signal Lake Venture Fund hướng dẫn anh ta mua một gói sản phẩm tài
chính bảo đảm giá trị tổng cộng 25 triệu USD. Signal Lake Venture Fund đã
điều tra máy chủ emailvà không tìm thấy bất kì emailhồi đáp nào của
Munshani tuyên bố rằng ông ta đã nhận được thông điệp trên.
Trong quá trình chuẩn bị xét xử, Quỹ Signal Lake Venture Fund đã thực
hiện một cuộc điều tra trên tất cả email của Munshani. Bởi vì tính chất nhạy
cảm của thông tin trên máy chủ email nên tòa án chỉ định một công ty khách
quan để kiểm tra e-mail. Và họ phát hiện ra Munshani đã sử dụng một trình
soạn thảo văn bản để thay đổi một email đã gửi của các giám đốc điều hành
của Signal Lake Venture Fund. Manh mối của vụ giả mạo được phát hiện
nhờ vào sự trùng lắp số ESMTP (Enhanced Simple Mail Transfer Protocol)
trong tiêu đề của thông điệp (email mà Munshani tuyên bố đã nhận được từ
các CEO của Signal Lake Venture Fund), mà số này là duy nhất cho mỗi
thông điệp và máy chủ email đã gởi chúng. Điều này cho thấy email mà
Munshani tuyên bố đã nhận được là không hợp lệ và toà đã tuyến bố
Munshani gian lận. Để biết thêm thông tin về vụ án này các bạn xem tại
www.signallake.com/litigation/ma_order_munshani.pdf.
386
Vai Trò Của Khách - Chủ Trong E-Mail
Bạn có thể gửi và nhận email trong hai môi trường: thông qua Internet hoặc
mạng nội bộ. Trong cả hai môi trường e-mail, thông điệp được phân phối từ
một máy chủ trung tâm đến các máy khách, mô hình kết nối này được gọi là
cấu trúc client / server (hay khách/chủ). Trong mô hình này, email là một hệ
thống Microsoft Exchange Server, Novell GroupWise, hoặc UNIX Sendmail
cung cấp dịch vụ e-mail. Máy khách sử dụng các chương trình email client
như Novell Evolution hoặc Microsoft Outlook liên lạc với máy chủ e-mail,
và gửi hay nhận email (xem Hình 12-1).
Hình 12-1 : Cấu trúc email client / server
Để gởi và nhận mail thì người dùng cần có một tài khoản được tạo trên máy
chủ. Nếu sử dụng email trong môi trường intranet thì tài khoản sẽ được tạo
bởi email server của công ty hay doanh nghiệp theo các cơ chế đặt tên riêng
của doanh nghiệp đó ví dụ như ho.tên@company.com hay
ten.ho@company.com. Còn trong môi trường internet thì tài khoản email sẽ
được tạo khi người dùng đăng kí với nhà cung cấp dịch vụ như Gmail, và tài
khoản sẽ được tạo tùy ý miễn là tuân thủ chính sách của nhà cung cấp và
chứa có ai dùng tên này. Và các bạn có thể hình dung các email trong môi
trường intranet sẽ lưu trên các máy chủ email của doanh nghiệp và dù sao
387
cũng dễ tìm kiếm hơn khi cần. Trong khi đó, ở môi trường internet rộng lớn
khi cần truy tìm một thông điệp sẽ rất khó khăn, thường thì chúng ta phải
xác định chúng trong các thư mục lưu trữ mail phía client (trên máy tính của
người dùng).
Điều Tra Sự Vi Phạm Và Tội Phạm E-Mail

Điều tra tội phạm hoặc vi phạm chính sách liên quan đến emailtương tự như
điều tra các loại tội phạm và lạm dụng máy tính khác. Mục tiêu của bạn là
tìm ra ngih can phạm tội hay vi phạm chính sách, thu thập chứng cứ, và trình
bày phát hiện của mình để xây dựng một bản án trước tòa hay một vụ phân
xử.
Tội phạm và vi phạm về email phụ thuộc vào quốc gia, thành phố, tiểu bang,
hay nguồn gốc của email. Ví dụ, trong tiểu bang Washington, gửi
emailkhông được yêu cầu là bất hợp pháp. Nhưng trong các tiểu bang khác
điều này được coi là một tội phạm, và ở Việt Nam cũng vậy. Do đó các điều
tra viên cần tham khảo với một luật sư riêng của tổ chức hay dianh nghiệp
để xác định những gì có khả năng cấu thành một tội phạm hay vi phạm về e-
mail.
Kiểm Tra Nội Dung Email
Sau khi bạn đã xác định một tội phạm liên quan đến e-mail, trước tiên hãy
truy cập vào máy tính của nạn nhân để khôi phục các bằng chứng. Sử dụng
ứng dụng emailtrên máy tính nạn nhân để tìm và sao chép bất kỳ bằng chứng
tiềm năng nào. Nếu cần thiết, hãy đăng nhập vào dịch vụ emailvà truy cập
bất kỳ tập tin hoặc thư mục được bảo vệ hoặc mã hóa. Nếu bạn không thể
thao tác trực tiếp tại máy của bị hại thì hướng dẫn chi tiết cho nạn nhân cách
tìm kiếm và đọc thông tin tiêu đề của email, hoặc sử dụng chương trình như
Team Viewer để tiến hành khả sát từ.
Trong một số trường hợp chúng ta cần phải phục hồi emailsau khi một nghi
388
can đã xóa nó hay ẩn để che dấu vết. Trong phần "Sử dụng AccessData FTK
để phục hồi E-mail" trong phần sau sẽ trình bày những thao tác này. Bây
giờ, ta sẽ tiến hành thao tác đầu tiên trên máy tính của na5nnha6n để sao
chép nội dung của email.
Sao Chép Email- Trước khi bắt đầu một cuộc điều tra e-mail, bạn cần phải
sao chép và in các emailliên quan đến tội phạm hoặc vi phạm chính sách.
Bài hướng dẫn sau đây sẽ hướng dẫn cách sử dụng Outlook 2007 để sao
chép một tin nhắn emailvào một ổ đĩa USB. được cài đặt trên máy tính của
bạn, hãy làm theo các bước sau :
1. Chèn một ổ đĩa USB vào máy tính.

2. Mở Windows Explorer và di chuyển đến ổ đĩa USB.
3. Mở Outlook bằng cách nhấn Start, trỏ đến All Programs, rê chuột đến
Microsoft Office, và nhấn vào Microsoft Office Outlook 2007.
4. Trong khung Mail Folders (xem Hình 12-2), nhấp vào thư mục có chứa
các thông điệp cần sao chép (ví dụ thư mục Inbox). Nhấp vào thư hay thông
điệp mà bạn muốn sao chép trong danh sách thư.
389
Hình 12-2 : Chọn email để sao chép.
5. Thay đổi kích thước cửa sổ Outlook để bạn có thể nhìn thấy thông điệp
bạn muốn sao chép và biểu tượng ổ đĩa USB trong Windows Explorer hay
cửa sổ máy tính.
6. Kéo các tin nhắn từ cửa sổ Outlook đến biểu tượng ổ đĩa USB trong
Windows Explorer hay cửa sổ máy tính.
7. Nhấp vào File , Print từ trình đơn Outlook để mở hộp thoại Print. Sau khi
in emailđể kèm một bản sao email trong báo cáo hãy thoát khỏi Outlook.
Xem Tiêu Đề E-Mail
Sau khi bạn sao chép và in một email hãy dùng chương trình emailthích hợp
để xem tiêu đề của e-mail. Phần này bao gồm các hướng dẫn xem tiêu đề
của emailtrong ứng dụng email client trên Windows và một nhà cung cấp
dịch vụ Webmail thông dụng. Sau khi bạn mở tiêu đề của emailhãy sao chép
390
và dán chúng vào một tài liệu văn bản để có thể đọc với các ứng dụng như
Notepad hay Wordpad …
Mặc dù có khá nhiều chương trình email client khác nhau, tuy nhiên cấu trúc
của một email thì vẫn tuân theo một tiêu chuẩn định dạng duy nhất. Cho nên,
khi gặp phải các ứng dụng email client mà bạn chưa biết rõ thì hãy tham
khảo các nguồn tài nguyên trên internet. Tuy nhiên, các bạn nên ti1hc lũy và
trau dồi cho mình kiến thức về email client càng nhiều càng tốt nhằm phục
vụ công tác điều tra được thuận lợi hơn.
Để thu thập một tiêu đề emailtrên Outlook, hãy làm theo các bước sau:
1. Mở Outlook, và sau đó chọn email gốc mà ta đã sao chép trong phần
trước.
2. Kích chuột phải vào email và bấm vào Message Options để mở hộp thoại
Message Options. Trong khung Internet headers hiển thị tiêu đề của email
như trong Hình 12-3.
Hình 12-3 : Tiêu đề email trong Outlook
391
3. Chọn tất cả nội dung của tiêu đề email và sau đó nhấn Ctrl + C để sao
chép vào Clipboard.
4. Mở Notepad, và sau đó nhấn Ctrl + V để dán nội dung tiêu đề của email.
5. Lưu tập tin là Outlook Header.txt trong thư mục làm việc của bạn. Sau đó,
đóng tài liệu và Outlook.
Nếu email client trên máy nạn nhân là Outlook Express thì các bạn hãy
nhấn chuột phải vào email và chọn Properties để mở hộp thoại thông tin tổng
quát và sau đó nhấn vào tab Details để hiển thị tiêu đề của email như Hình
12-4.
Hình 12-4 : Tiêu đề email trong Outlook Express
Trong Hình 12-4, các bạn có thể nhấn vào nút Message Source để xem mã
nguồn HTML của email như Hình minh họa 12-5.
392
Hình 12-5 : Xem mã nguồn HTML của email trên Outlook Express
Trong trường hợp bị hại sử dụng web mail như Yahoo! thì các bạn xem tiêu
đề của email như sau :
1. Đăng nhập vào hộp thư Yahoo! và nhấp vào Inbox để xem danh sách
email.
2. Phía trên cửa sổ email hãy nhấp vào mũi tên Compact Header, và nhấp
vào Full Header (xem Hình 12-6).
393
Hình 12-6 : Thiết lập tùy chọn để xem tiêu đề email trong Yahoo!
3. Trong cửa sổ Full Headers, chọn tất cả các văn bản sau đó nhấn Ctrl + C
để sao chép và nhấp OK.
4. Mở Notepad, và nhấn Ctrl + V trong một cửa sổ tài liệu mới để nội dung
tiêu đề của email. Lưu tài liệu là Yahoo Header.txt trong thư mục làm việc
của bạn và thoát khỏi Yahoo!.
Các bạn có thể thấy với các chương trình khác nhau thì cách xem tiêu đề
email có thể khác biệt đôi chút nhưng tiêu đề của email thì hoàn toàn giống
nhau về mặt cấu trúc hay định dạng.
Kiểm Tra Tiêu Đề E-mail

Bước tiếp theo là kiểm tra các tiêu đề emailmà bạn đã lưu để thu thập thông
tin về emailvà theo dõi mối nghi ngờ về nguồn gốc của e-mail. Các thông tin
chính cần quan tâm là tên miền của emailvà địa chỉ IP gốc. Những thông tin
hữu ích khác mà các bạn cần lưu ý gồm ngày tháng và thời gian email được
394
gửi đi, tên của bất kì tập tin đính kèm, và mã số duy nhất của email trên máy
chủ.
Để mở và kiểm tra một tiêu đề emailđã lưu hãy làm theo các bước sau:
1. Mở cửa sổ Computer hoặc Windows Explorer và điều hướng đến thư mục
làm việc của bạn.
2. Kích đúp vào tập tin mà bạn đã lưu tiêu đề email trong bài trước chẳng
hạn như Outlook Header.txt trong Notepad.
Hình 12-7 hiển thị một tiêu đề emailtrong Outlook. (Địa chỉ emailkhông
phải là địa chỉ thực.) Số dòng đã được thêm vào để tham khảo.
Hình 12-7 : Một tiêu đề email với các dòng được thêm vào để dễ theo dõi.
Tiêu đề emailtrong Hình 12-7 cung cấp rất nhiều thông tin. Dòng 1 đến 5
hiển thị các máy chủ emailthông qua đó các thông điệp được gởi đi.
Dòng 1 cho thấy con đường trở lại (return path) , đó là một địa chỉ emailsử
dụng cho việc gửi trả lời, thường được chỉ định là " Reply to" trong một e-
mail. Tuy nhiên, không nên dựa vào return path để xác định tài khoản
emailgốc vì việc giả mạo tương đối dễ thực hiện.
Dòng 2 xác định địa chỉ emailcủa người nhận. Khi điều tra các bạn nên xác
nhận địa chỉ này với nhà cung cấp e-mail, kiểm tra các hóa đơn hay tập tin
lưu trữ để biết chắc chắn đây là tài khoản mà nạn nhân sử dụng.
Dòng 3 chỉ ra các loại dịch vụ emailđã gửi e-mail, chẳng hạn như qmail
(UNIX e-mail), và bao gồm một số ID là 12780 như trong Hình 12-7. Với số
ID này, bạn có thể kiểm tra các bản ghi từ máy chủ emailtruyền để xác định
395
xem tin nhắn có phải được gởi từ đó hay không. Nếu máy chủ emailtruyền
không có số ID duy nhất thì có khả năng đây là một emaillừa đảo.
Dòng 4 liệt kê các địa chỉ IP của máy chủ emailđã gửi thông điệp là
192.152.64.20.Trong ví dụ này tiêu đề eail cũng cung cấp cho ta biết tên của
máy chủ gửi email đó là smtp.superiorbicycles.biz.
Dòng 5 có chứa tên của máy chủ email(hoặc danh sách các máy chủ e-mail)
đã gửi hoặc chuyển tiếp email này đến máy chủ emailcủa nạn nhân.
Dòng 6 và 7 cung cấp thông tin quan trọng cho các nhà điều tra e-mail.
Dòng 6 cho thấy một số ID duy nhất mà máy chủ gởi emailgán cho e-mail.
Trong Hình 12-7 ID này là 20101212082330.40429. Bạn có thể sử dụng số
này để theo dõi các tin nhắn trên tin nhật kí của chúng. Dòng 7 cho thấy địa
chỉ IP của máy chủ gửi e-mail, danh sách ngày và thời gian emailđã được
gửi. Ví dụ, máy chủ gửi có địa chỉ IP là 10.187.241.199 , tên máy chủ là
web4009.mail0.myway.com, và Sun 12 Dec 2010 00:23:30 PST là
ngày email được gửi. Dòng 7 cũng có thể xác định emailđược gửi thông qua
một HTTP client giống như trong Hình 12-7.
Các tiêu đề emailtrong Hình 1 2-7 không có dòng 8, thường dùng để xác
định tập tin đính kèm. Một tập tin đính kèm có thể là bất kỳ loại tập tin, từ
một chương trình để một bức tranh. Trong quá trình điều tra hãy chú ý các
tập tin đính kèm có thể được lưu trên máy tính nạn nhân, cũng có thể đã bị
xóa đi do đó hãy phục hồi và lưu trữ chúng cẩn thận để kiểm tra, xem xét.
Nhiều manh mối có khả năng đến từ tập tin đính kèm.
Kiểm Tra Bổ Sung Tập Tin E-Mail

Chương trình Emaillưu các thông điệp trên máy tính của người dùng hoặc để
lại trên máy chủ tùy thuộc vào các thiết lập trên máy khách và máy chủ.
Trên máy tính của người dùng (client) ta có thể lưu tất cả email vào một thư
mục riêng mục đích ghi chép, lưu trữ. Ví dụ trong Outlook bạn có thể lưu
thư gửi đi, thư nhận, thư nháp hay đã bị bị xóa trong một tập tin .pst. Hoặc
bạn có thể lưu chúng offline trong tập tin .ost. Với những tập tin này người
dùng có thể truy cập để đọc ngay cả khi máy tính không kết nối với máy chủ
(offline).
396
Ngoài ra, trên các chương trình emailcòn có sổ địa chỉ (gọi là Contactstrong
Outlook), và lịch làm việc, danh sách công việc, và bản ghi nhớ. Những
thông tin này có thể cung cấp cho chúng ta nhiều đầu mối quan trọng cho
công tác điều tra, nhất là trên các máy tính của nghi can.
Trong trường hợp sử dụng webmail, các email được hiển thị và lưu lại trong
bộ nhớ cache, nhiều cung cấp dịch vụ Webmail còn cung kèm dịch vụ tin
nhắn tức thời (IM) và những tin nhắn này có thể lưu trữ trong hộp thư trên
Web, hoặc trên máy tính của người sử dụng hay các nghi can, và phải xem
bằng những ứng dụng của nhà cung cấp. Tuy nhiên, cũng có nhiều công cụ
cho phép đọc các tin nhắn lưu trữ này, ví dụ xem tin nhắn lưu trữ của
Yahoo! Messenger băng một tiện ích khác như Yahoo Message Archive
Decoder (www.ikitek.com) , không dùng chương trình IM Yahoo Messenger
hay phải đăng nhập vào hộp thư.
Truy Tìm Một Thông Điệp E-Mail

Là một phần của cuộc điều tra, bạn cần phải xác định nguồn gốc emailbằng
cách tiếp tục kiểm tra tiêu đề của chúng với những công cụ Internet miễn phí
khác. Việc truy tìm nguồn gốc tin nhắn được gọi là "tracing." Trong phần
này, bạn tìm hiểu về một số công cụ tra cứu Internet có thể được sử dụng để
theo dõi nguồn gốc của một e-mail.
Ví dụ, với các emailtrong Hình 12-7, bạn có thể truy cập vào
www.superiorbicycles.biz để tìm ra người quản lý tên miền. Có nhiều trang
web hỗ trợ cho việc truy tìm này như danh sách say đây :
• www.arin.net - Sử dụng American Registry for Internet Numbers (ARIN)

để xác định một địa chỉ IP tương ứng với tên miền.
• www.internic.com - Giống như www.arin.net.
• www.freeality.com - Trang web toàn diện này có các tùy chọn tìm kiếm kẻ
tình nghi bao gồm cả địa chỉ e-mail, số điện thoại, và tên.
• www.google.com - Sử dụng công cụ tìm kiếm này để tìm thêm thông tin
của nghi can đăng trên các diễn đàn thảo luận.
Với những công cụ này các bạn có thể tìm kiếm được nhiều thông tin quan
trọng về nghi can trên internet, tiến trình này cũng thường được các hacker
mũ đen / mũ trắng sử dụng và được gọi bằng thuật ngữ Footprinting hay “In
Dấu Ấn”.
397
Sử Dụng Tập Tin Nhật Kí Mạng Của Email
Quản trị mạng thường duy trì các bản ghi dữ liệu truyền thông vào và ra trên
hệ thống. Các router hay firewall có những tập quy tắc để kiểm soát vấn đề
này dựa trên địa chỉ IP, giao thức hay nội dung của gói tin. Và hầu hết các
thiết bị này đề có một dữ liệu nhật kí các hoạt động của mình, hãy kiểm tra
chúng để xác định tuyến đường mà email đã đi qua hay các giá trị ID duy
nhất như trong Dòng 3 của Hình 12-7.
Đối với tường lữa, có nhiều loại như WatchGuard, Cisco Pix, và Check
Point hay ISA Server duy trì các tập tin nhật kí và dễ dàng xem chúng bằng
các chương trình đọc văn bản như Notepad trên Windows hay vi trên Unix
(các bạn lưu ý việc dễ dàng đọc nghĩa là có thể đọc bằng bất kì ứng dụng
xem văn bản nào, còn việc dò tìm từng dòng trong log file luôn là công việc
nhàm chán và tốn thời gian mà nhiều người ví von như là “ác mộng”). Hình
12-8 cho thấy một tập tin nhật kí điển Hình của tường lữa WatchGuard
Firebox II.
Hình 12-8 : Tập tin nhật kí của firewall (tường lữa)
Tìm Hiểu Về Máy Chủ E-Mail

Là một nhà điều tra pháp lý về máy tính và mạng bạn không cần thiết phải
am hiểu tất cả chi tiết kỹ thuật của máy chủ e-mail. Nhưng chúng ta cần biết
cơ chế hoạt động của chúng để có thể thu thập những thông tin quan trọng
398
về email phục vụ cho công tác điều tra. Thông thường, các bạn phải cộng tác
chặt chẽ hay yêu cầu sự hỗ trợ từ quản trị hệ thống mạng hay quản trị máy
chủ email để họ giúp tìm kiếm những thông tin bạn cần, thậm chi họ có thể
cung cấp những gợi ý mở ra một hướng tìm kiếm mới bổ sung cho dữ liệu
quan tâm.
Để điều tra vấn đề lạm dụng e-mail, bạn nên biết cách mà một chủ lưu trữ
và xử lý emailmà nó nhận được. Một số máy chủ emailsử dụng cơ sở dữ liệu
để lưu trữ emailcủa người sử dụng và hầu hết máy chủ emailcó duy trì một
nhật ký của các emailđược xử lý. Việc cấu Hình cách lưu nhật kí tùy thuộc
vào nhà quản trị, một số sử dụng cơ chế mặc định nhưng nhiều nhà quản lý
hệ thống có kinh nghiệm thường tạo các bản sao lưu để phục hồi thảm họa,
nhưng trong tình huống xấu có thể trên hệ thống không có sử dụng có chế
sao lưu cũng như ghi nhật kí nào cả do gặp phải một quản trị viên hệ thống
mạng tồi.
Sau khi bạn đã xác định được nguồn gốc của emailhãy liên lạc với quản trị
mạng hoặc quản lý máy chủ của emailkhả nghi càng sớm càng tốt do nhiều
nhà cung cấp e-mail, đặc biệt là Internet / Web emailkhông giữ các bản ghi
trong một thời gian dài, trong khi các bản ghi của họ có thể chứa thông tin
quan trọng đối với cuộc điều tra của bạn.
Ngoài ra, các máy chủ emailcòn duy trì bản sao của các email đã gởi và
nhận ngay cả khi người dùng đã xoá các thư từ hộp thư đến của họ. Ngay cả
khi emial bị xóa đi thì chúng vẫn có thể được phục hồi theo chức năng của
phần mềm quản trị mail mà không cần phải sử dụng các kỹ thuật phức tạp
khác hay phải phục hồi toàn hệ thống. Trong trường hợp cần thiết, các bạn
có thể áp dụng các kỹ thuật phục hồ tập tin bị xóa hay bị đánh dấu ẩn như
trong phần trước đã trình bày.
Kiểm Tra Nhật Kí Của Máy Chủ Email UNIX
Phần này tập trung vào các tập tin nhật kí và cấu Hình máy chủ emailtrên hệ
thống UNIX là Sendmail. Các hệ thống máy chủ email hoạt động trên nền
399
tảng *NIX cũng tạo và lưu trữ các tập tin nhật kí tại theo phương pháp và
lưu tại các vị trí tương tự.
Những tập tin cung cấp thông tin hữu ích là các tập tin nhật kí và các tập tin
cấu Hình. Sendmail tạo ra một số các tập tin trên máy chủ để theo dõi và duy
trì các dịch vụ e-mail. Một trong những tập tin cần kiểm tra là
/etc/sendmail.cf, trong đó có chứa thông tin cấu Hình Sendmail, vì vậy bạn
có thể xác định nơi các tập tin nhật kí được lưu trữ. Sendmail sử dụng các
chỉ thị trong tập tin sendmail.cf để biết được cách xử lý với những email mà
chúng nhận được. Ví dụ, nếu máy chủ nhận được một emailtừ một trang web
không mong muốn, một dòng trong tập tin sendmail.cf có thể yêu cầu các
máy chủ Sendmail loại bỏ nó.
Tương tự như các tập tin sendmail.cf, tập tin syslogd (trong /etc/syslog.conf
) cũng rất quan trọng, nó cho biết cấu hình được thiết lập trong Sendmail để
lưu nhật kí các sự kiện emailhay những sự kiện khác. Trong syslog.conf có
ba mẫu thông tin cho ta biết những gì đã xảy ra đối với một emaillà : tên sự
kiện, mức độ ưu tiên quan tâm, và hành động thực hiện khi email đã đăng
nhập. Theo mặc định, Sendmail có thể hiển thị một thông báo sự kiện, ghi
các sự kiện vào một tập tin nhật kí hoặc gửi một thông báo đến một máy
chủ từ xa. Hình 12-9 cho thấy một tập tin syslog.conf điển Hình. Lưu ý rằng
các dòng bắt đầu với kí tự # là các dòng mô tả.
Hình 12-9 : Tập tin syslog.conf
Tập tin syslog.conf chỉ đơn giản là xác định nơi để lưu các loại tập tin nhật
kí của email. Đầu tiên là /var/log/maillog, thường chứa một bản ghi của giao
thức truyền thông giữa các máy chủ Simple Mail Transfer Protocol (SMTP)
như Hình 12-10.
400
Hình 12-10 : Tập tin maillog với thông tin SMTP
Trong Hình 12-10, các địa chỉ IP (10.0.1.1), dấu ngày tháng và thời gian (21
tháng năm 10:10:34) là những thông tin quan trọng trong đối với công tác
điều tra e-mail. Bạn có thể so sánh thông tin này với tiêu đề emailmà nạn
nhân nhận được để xác nhận người gửi. Các tập tin nhất ki của email còn
chứa thông tin về giao thức vận chuyển mail thông dụng là Post Office
Protocol version 3 (POP3). Hình 12-11 cho thấy hai dòng đầu tiên của một
sự kiện trong POP3. Thông tin này có chứa địa chỉ IP, dấu ngày tháng và
thời gian mà bạn có thể so sánh với các emailcủa nạn nhân nhận được.
Hình 12-11 : Tập tin maillog với thông tin POP3
Thông thường, các hệ thống UNIX lưu trữ các tập tin nhật kí trong thư mục
/var/log. Tuy nhiên, một quản trị viên có thể thay đổi vị trí này, đặc biệt là
khi một dịch vụ emailxác định một vị trí khác. Do đó, nếu bạn đang kiểm tra
một máy tính UNIX và không tìm thấy các bản ghi của emailtrong thư mục
/var /log hãy sử dụng các lệnh tìm kiếm để truy tìm chúng. Ví dụ, gõ lệnh
“locate .log” tại dấu nhắc lệnh UNIX.
Kiểm Tra Tập Tin Nhật Kí Của Máy Chủ

EmailWINDOWS
Mặc dù trên hệ thống Windows có nhiều phần mềm máy chủ email khác
nhau như Mdaemon nhưng trong chương này chúng ta sẽ tìm hiểu về hệ
thống tập tin nhật kí của hệ thống Exchange Server, một giải pháp cho trao
đổi thông điệp điện tử mạnh mẽ và phổ biến trên các hệ thống Microsoft
401
Windows. Exchange Server sử dụng một cơ sở dữ liệu và được dựa trên
Microsoft Extensible Storage Engine (ESE) để cung cấp dịch vụ e-mail.
Trong đó có các tập tin hữu ích cho công tác điều tra là tập tin cơ sở dữ liệu
.edb và .stm, các tập tin trạm kiểm soát, và tập tin tạm thời.
Exchange lưu trữ tất cả các thông tin vào trong cơ sở dữ liệu transaction log.
Để ngăn ngừa mất dữ liệu từ các tập tin sao lưu mới nhất, một tập tin kiểm
tra điểm hay đánh dấu được chèn vào trong transaction log để đánh dấu điểm
cuối cùng mà cơ sở dữ liệu được ghi vào đĩa. Với những tập tin này, người
quản trị hệ thống emailcó thể phục hồi các email bị mất hoặc bị xóa trong
trường hợp xảy ra thảm họa chẳng hạn như mất điện. Exchaneg Server cũng
tạo ra các tập tin tạm .tmp các tập tin để hạn chế mất mát trong quá trình
chuyển đổi dữ liệu nhị phân sang dạng văn bản có thể đọc được.
Giống như máy chủ emailUNIX, Exchange Server cũng duy trì các bản ghi
để theo dõi e-mail. Nếu kích thước dành cho tập tin nhật kí bị tràn thì dữ liệu
được ghi vào các tập tin dự trữ hạn như res1.log và res2.log. Chúng được sử
dụng để đảm bảo rằng cơ sở dữ liệu luôn cập nhật với sự thay đổi của môi
trường mà không làm mất dữ liệu. Để biết thêm thông tin về ván đề này hãy
xem tại http://goo.gl/5w6h2, http://goo.gl/WFxXo, và http://goo.gl/qULVX.
Một tập tin nhật kí khác dùng để theo dõi các thông điệp trên Exchaneg
Server là Tracking.log. Nếu tính năng Message Tracking được kích hoạt và
người quản trị lựa chọn lưu nhật kí dạng chi tiết. Như Hình 12-12, bạn có
thể thấy ngày và thời gian, địa chỉ IP của máy tính gửi đi, và nội dung e-
mail. Ngoại trừ những công cụ chuyên dùng cho điều tra email thì tracking
log (tracking.log) cung cấp nhiều thông tin nhất về việc gởi và nhận mail
trong Exchange Server.
402
Hình 12-12 : Tracking log
Sau cùng, các bạn cần lưu ý dến dữ liệu nhật kí dùng cho vấn đề xử lý sự cố
hiển thị thông qua tiện Event Viewer, thể hiện trong Hình 12-13. Mỗi sự
kiện được lưu sẽ có một số ID với một mức độ nghiêm trọng tương ứng.
403
Hình 12-13 : Xem nhật kí trong Eveent Viewer
Để kiểm tra chi tiết của một sự kiện e-mail, kích đúp vào các sự kiện để mở
hộp thoại Properties (xem Hình 12-14). Hộp thoại này cung cấp thông tin
ngày tháng và thời gian của sự kiện cũng có thể hữu ích khi xác định xem
máy chủ email có bị giả mạo hay thay đổi hay không.
404
Hình 12-14 : Hộp thoại Event Properties
Các Công Cụ Điều Tra Email Chuyên Dụng

Trong các môi trường phức tạp như hệ thống máy chủ email được tùy biến
hay các nhà quản trị không hợp tác thì các bạn cần sử dụng đến những công
cụ điều tra email chuyên dụng như ProDiscover Basic và AccessData FTK.
Ngoài ra, còn có những ứng dụng khác với khả năng phục hồi email và cả
những tập tin đính kèm bị xóa như :
• DataNumen for Outlook & Outlook Express

(www.datanumen.com/products.htm)
• FINALeMAIL for Outlook Express & Eudora
(www.finaldata.us/products/products_finalemail.php)
• AccessData FTK for Outlook & Outlook Express (www.accessdata.com)
• Ontrack Easy Recovery EmailRepair for Outlook & Outlook Express
(Www.ontrackdatarecovery.com/email-recovery-software/)
• R-Tools R-Mail for Outlook và Outlook Express (www.outlook-mail-
405
recovery.com)
• OfficeRecovery’s MailRecovery for Outlook, Outlook Express, Exchange,
Exchange Server, IBM LotusNotes Server, IBM LotusNotes
(www.officerecovery.com)
Khi sử dụng một công cụ của bên thứ ba để tìm kiếm một tập tin .db ta có
thể tìm thấy nơi mà quản trị viên lưu trữ các tập tin .db cho máy chủ e-mail.
Để tìm kiếm các tập tin nhật kí hãy dùng lệnh tìm kiếm các tập tin liên quan
như .log. Ví dụ FTK, EnCase, và các công cụ pháp lý khác cho phép bạn tìm
tập tin cơ sở dữ liệu e-mail, emailtập tin cá nhân, các tập tin lưu trữ offline,
và các tập tin đăng nhập. Lợi thế của việc ứng dụng các công cụ phục hồi dữ
liệu chuyên nghiệp là bạn không có kiến thức chuyên sâu về cơ chế vận
hành của các hệ thống email mà vẫn có thể trích xuất các thông tin bằng
chứng tương đối dễ dàng.
Sau khi bạn so sánh các bản ghi emailvới các thông báo, bạn nên kiểm tra tài
khoản e-mail, số ID, địa chỉ IP, và dấu thời gian để xác định xem có đủ bằng
chứng cho một lệnh khám xét. Sau đó chúng ta sẽ lấy lệnh khám xét trên các
máy tính của nghi can và tiến hành theo quy tắc xử lý và kiểm soát bằng
chứng như mô tả trong các chương trước.
Sử Dụng Accessdata FTK Để Phục Hồi E-Mail
406
Các bạn có thể sử dụng AccessData FTK để phục emailtừ Outlook và
Outlook Express. Trong bài thực hành sau đâychúng ta đang tìm kiếm một
emailtừ Terry Sadler trong tập tin .pst của Jim_shu. Bởi vì câu trả lời của
Jim không thõa đáng nến giám đốc điều hành (CEO) của hãng Superior là
Martha Dax đã nghi ngờ Jim có thể đã thu được thông tin nhạy cảm về mô
Hình kinh doanh của công ty và chuyển cho một đối thủ cạnh tranh. Martha
yêu cầu giám đốc thông tin (CIO) của mình là Bob Swartz chỉ đạo cho nhân
viên phòng tin học lấy một bản sao của tập tin Outlook. pst từ máy tính cũ
của Jim Shu vào một ổ đĩa USB. Cô ta đã mang đến cho bạn một bản in của
thông điệp từ Terry Sadler (xem Hình 12-15) cùng với ổ đĩa USB.
407
Hình 12-15 : Thông điệp từ Terry Sadler gởi cho Martha Dax
Để tiến hành điều tra bạn cần phải kiểm tra nội dung tập tin .pst của Jim_shu
nhằm xác định vị trí các email và trích xuất chúng để phân tích thêm các tiêu
đề nhằm tìm kiếm các dấu hiệu khả nghi. Hãy thực hiện theo các bước sau:
1. Mở AccessData FTK bằng cách kích chuột phải vào biểu tượng
AccessData FTK trên màn Hình desktop và nhấn vào Run as administrator
và kích Continue trong hộp thông báo UAC (nếu bạn đang sử dụng Vista
hay Windows 7). Nếu bạn được nhắc nhở với một thông điệp cảnh báo hoặc
thông báo như Hình 12-16, hãy nhấn OK để tiếp tục. Nếu được hỏi có muốn
lưu vụ án (Hình trường hợp) mặc định hãy nhấn Yes.
408
Hình 12-16 : Cảnh báo của KFF
2. Khi hộp thoại AccessData FTK Startup mở ra hãy nhấn Start a new case
và sau đó nhấn OK.
3. Trong hộp thoại New Case hãy gõ tên của bạn và nhập vào InChp12-pst
cho tên và số của tình huống điều tra rồi nhấn vào Browse, tìm và nhấp vào
thư mục công việc của bạn, nhấn OK, và sau đó kích Next.
4. Trong hộp thoại Case Information hãy nhập thông tin điều tra của bạn, và
sau đó kích Next.
5. Nhấn Next cho đến khi mở hộp thoại Refine Case - Default như trong
Hình 12-17 sau đó chọn nút Email Emphasis và sau đó kích Next.
409
Hình 12-17 : Hộp thoại Refine Case - Default
6. Nhấn Next cho đến khi mở hộp thoại Add Evidence to Case và sau đó
nhấp vào nút Add Evidence.
7. Trong hộp thoại Add Evidence to Case hãy nhấp vào nút tùy chọn
Individual File (xem Hình 12-18), và sau đó nhấp vào Continue.
410
Hình 12-18 : Xác định tùy chọn
8. Trong hộp thoại Select File, tìm đến thư mục làm việc của bạn, hãy nhấp
vào tập tin Jim_shu’s.pst và sau đó nhấn Open.
9. Trong hộp thoại Evidence Information nhấn OK.
10. Khi hộp thoại Add Evidence to Case mở ra, nhấn Next. Trong hộp thoại
Case summary, nhấn Finish.
11. Khi FTK hoàn tất quá trình xử lý tập tin, trong cửa sổ chính của FTK,
nhấp nút EmailMessages, và sau đó nhấp vào cột có tiêu đề Full Path để sắp
xếp các hồ sơ (xem Hình 12-19).
Hình 12-19 : Sắ xếp các dòng thông tin theo đường dẫn đầy đủ
411
12. Nhấp vào tab E-Mail. Trong giao diện tree-view hãy bấm để mở rộng tất
cả các thư mục, và sau đó nhấp vào thư mục Inbox.
13. Trong cửa sổ File List ở phía trên bên phải, nhấp vào Message0010 (xem
Hình 12-20), hãy xem trong cửa sổ ở phía dưới, ta thấy email này đến từ
terrysadler và được gửi tới martha.dax @ superiorbicycles.biz.
Hình 12-20 : tab Emailhiển thị tất cả các thông điệp
14. Kích chuột phải vào Message0010 trong cửa sổ File List và nhấp vào
Export File. Trong hộp thoại Export File
15. Nhấn vào File, Exit từ menu, và sau đó nhấn No trong hộp thoại FTK
Exit Backup Confirmation.
412
Khi bạn bắt đầu xử lý một tình huống trong FTK một thư mục con được tạo
ra trong thư mục tình huống này để lưu trữ dữ liệu. Như ví dụ trước, FTK sẽ
tạo một thư mục con tên là InChap12-pst. Còn khi bạn trích xuất một tập tin
FTK tạo ra thư mục con Export trong InChap12-pst để lưu tập tin xuất. FTK
lưu các tập tin này trong định dạng HTML và nhưng không có phần mở rộng
nên để xem chúng hãy thực hiện theo các bước sau:
1. Mở Windows Explorer và điều hướng đến thư mục InChap12-pst\Export.

2. Kích chuột phải vào tập tin Message0010 và chọn Rename. Nhập vào
Message0010.html và nhấn Enter.
3. Nhấn đúp vào Message0010.html để xem nó trong một trình duyệt Web
trên máy của bạn.
4. In trang web này và lưu nó để phân tích thêm. Thoát khỏi trình duyệt Web
và Windows Explorer.
Với những thông tin bạn đã tìm thấy, bạn có thể phân tích nội dung tiêu đề
của emial để so sánh với những email khác. Trong phần tiếp theo chúng ta sẽ
tìm hiểu phương pháp trích xuất các tin nhắn emailtừ các emailclient khác
mà FTK không thể đọc.
Sử Dụng Trình Biên Tập Hexadecimal Để Phục Hồi Email
Rất ít nhà cung cấp sản phẩm phần mềm dùng phân tích emailtrong các hệ
thống khác Microsoft như Apple Mail hoặc Novell Evolution.. Trong phần
này, các bạn sẽ tìm hiểu về một phương pháp để thu thập thư mục chứ email
của Evolution và giải nén Hex Workshop. Kỹ thuật này cũng có thể áp dụng
cho các hệ thống emaildùng hệ thống tập tin plaintext phẳng như việc lứu trữ
email dưới định dạng mbox. Tuy nhiên, các trình biên tập hệ thập lục phân
thường gặp khó khăn khi các hệ thống quản lý email dùng định dạng
Multipurpose Internet Mail Extensions (MIME).
Để phục hồi email với Evolution các bạn cần phải sao chép thư mục
.evolution, các thư mục con của chúng và vận chuyển đến các máy trạm điều
tra của bạn.
413
Trong tình huống này chúng ta sao chép thư mục .evolution từ máy tính
Linux của Martha Dax để tìm xem có hay không các email giống như email
được tìm thấy trong tập tin .pst của Jim_shu. Sau đó, bạn so sánh các tiêu đề
của emailđể phát hiện bất kỳ sự khác biệt hay những thông tin hữu ích nào
khác hay không. Hãy thực theo các bước sau:
1. Đăng nhập vào máy tính Linux của bạn và mở một cữa sổ dòng lệnh, nhập
vào lệnh su và nhấn Enter,và sau đó gõ mật khẩu của tài khoản root và nhấn
Enter.
2. Kết nối một ổ đĩa USB vào máy tính của bạn.
3. Điều hướng đến thư mục gốc của người dùng. Đối với ví dụ này, bạn gõ
vào cd /home/Martha và nhấn Enter.
4. Để xác định có thư mục .evolution hay không hãy nhấn ls-a và nhấn Enter
và kiểm tra đầu ra. Nếu bạn không tìm thấy hãy gõ ls -aR để liệt kê tất cả
các thư mục con. Khi xác địng được thư mục .evolution , hãy chạy lệnh cd
để điều hướng đến thư mục cha của .elovution và sao chép thư mục này
cùng các thư mục con của nó.
5. Nhập vào tar cf martha-evolution.tar .evolution và nhấn Enter.
6. Sử dụng File Manager hoặc một tiện ích GUI để sao chép tập tin martha-
evolution.tar vào ổ đĩa USB, và sau đó gỡ bỏ ở USB theo đúng quy trình.
7. Nhập exit và nhấn Enter, và sau đó log off khỏi máy tính Linux của bạn.
Tất cả các thông điệp theo định dạng mbox đều bắt đầu với từ "From" và
theo sau là khoảng trắng (kí tự 0x20). Để phục hồi emailtừ martha-
evolution.tar (mà bạn đã sao chép từ đĩa DVD vào thư mục làm việc của bạn
trước đó), hãy làm theo các bước sau:
1. Mở Hex Workshop và nhấn vào File, Open từ trình đơn, điều hướng đến
thư mục làm việc của bạn, nhấp vào martha-evolution.tar, và sau đó nhấn
Open.
2. Để xác định các emailtừ Terry Sadler, nhấp vào Edit, Find từ trình đơn.
Trong hộp thoại Find, bấm vào Text String trong danh sách thả xuống Type.
3. Gõ vào terrysadler trong hộp văn bản Value, bảo đảm rằng tùy chọn
ASCII String được chọn trong phần Options, và sau đó nhấn OK.
4. Di chuyển lên trên và đặt con trỏ chuột trước chữ "F" trong từ "From"
414
trong khung bên phải (xem Hình 12-21). Chú ý offset 000710EF ở phía
dưới.
Hình 12-21 : Hex Workshop hiển thị phần đầu của email từ Terry Sadler
5. Click vào offset 000710EF và drag chuột xuống cho đến phần kết thúc
của email, như thể hiện trong Hình 12-22.
415
Hình 12-22 : Hex Workshop hiển thi phần kết thúc của email từ Terry
Sadler.
6. Kích chuột phải vào văn bản đánh dấu và nhấn Copy, và sau đó nhấp vào
File, New từ trình đơn.
7. Trong cửa sổ mới của Hex Workshop hãy nhấp vào Edit, Paste từ tri2h
đơn và sau đó nhấn Yes trong hộp cảnh báo. Tiếp tục nhấn vào File, Save As
từ trình đơn và lưu tập tin là terrysadler-martha-inbox.txt trong thư mục làm
việc của bạn, và thoát khỏi Hex Workshop.
8. Mở Notepad và mở tập tin terrysadler-martha-inbox.txt và sau đó thoát
khỏi Notepad khi bạn đã đọc xong nội dung.
Sau khi phục hồi một emailtừ tập tin tarball (là tập tin đóng gói .tar trên
416
Linux hay UNIX) của tập tin .evolution bạn có một tập tin plaintext trên một
dòng liên tục. Sử dụng chế độ wrap của Notepad có thể làm cho việc tìm
kiếm khó khăn hơn, hãy xem Hình 12-23.
Hình 12-23 : Phục hồi email và dán trong Notepad
Để làm cho tiêu đề và nội dung của tập tin này có thể đọc được, bạn cần phải
nhập ngắt dòng tại các điểm hợp lý, như trong Hình 12-24. Trong Hình 12-
24 chúng ta có thể các địa chỉ emailterrysadler@goowy.com và martha.dax
@ superiorbicycles.biz. Cũng với email này khi phục hồi tập tin .pst của
Jim_shu như Hình 12-20 nhưng chúng ta không thấy địa chỉ emailcủa Jim
hiển thị trong Hình 12-20, 12-23, 12-24. Bằng cách so sánh hai email từ tập
tin .pst của Jim_shu và thư mục .evolution của Martha Dax, có vẻ như Terry
Sadler đồng chuyển tiếp (Bcc) email này cho Jim Shu. Thông tin này có thể
Martha Dax rất quan tâm vì nó cho thấy rằng Jim Shu và Terry Sadler có
một số quan hệ liên quan đến một đề nghị kinh doanh. Hãy kiểm tar thêm về
các hộp thư khác hay các đầu mối liên quan để tìm hiểu xem mối quan hệ
này là gì và liệu nó có nên được quan tâm sâu sắc hay không.
417
Hình 12-24 : Sau khi định dạng lại email cho dễ đọc trong Notepad.
Phục Hồi Tập Tin Outlook - Trong quá trình điều tra đôi khi các bạn phải
phục hồi email từ Outlook, các bạn cần phải tái thiết lại tập tin .pst khi
chúng bị xóa với những công cụ như X-Ways Forensics, AccessData FTK,
hay Guidance Software EnCase theo các hướng dẫn đã trình bày trong
những chương trước. Thông thường, những nỗ lực tìm kiếm bổ sung như tái
tạo lại các tập tin bị xóa, bị che dấu luôn là điều cần thực hiện trong quá
trình điều tra email.
Với công cụ phục hồi Scanpst.exe đi kèm với bộ Microsoft Office có thể sửa
chữa tập tin .ost cũng như .pst. Bạn có thể chạy công cụ này từ Windows
Explorer hoặc từ dấu nhắc lệnh và sử dụng nó với bất kỳ dữ liệu trông giống
như một tập tin .pst hay .ost. Công cụ Scanpst.exe sẽ xử lý dữ liệu và xây
dựng lại nó như một tập tin .pst để có thể đọc được bằng Outlook hoặc các
công cụ được liệt kê trong chương này. Guidance Software có phát triển một
kỹ thuật phục hồi tiên tiến EnCase để tìm kiếm một khu vực đĩa cứng không
418
cấp phát có chứa dữ liệu Outlook (.pst). Với kỹ thuật này, EnCase có thể xác
định dữ liệu trong không gian đĩa chưa được phân bổ đó có thể là phân mảnh
vỡ hoặc nguyên tập tin. pst đã bị xóa. Sau đó, bạn có thể trích xuất và tái tạo
lại dữ liệu .pst nhằm khôi phục nội dung của email.
Một số công cụ khác cũng được thiết kế dành riêng cho việc phục hồi email
của Outlook và những định dạng khác, ví dụ như ứng dụng đã được kiểm
chứng Advanced Outlook Repair của DataNumen, (www.repair-
outlook.com.
419
■ Các kỹ thuật lừa đảo qua email thông dụng là phissing và scam. Với các
kỹ thuật này kẻ lừa đảo sẽ chèn các liên kết giả mạo vào bức thư để dụ dỗ
nạn nhân truy cập, hay các lời mời chào hấp dẫn nhưng giả tạo khác.
■ Mô hình hoạt động của email là tuân theo cấu trúc client / server.
■ Điều tra tội phạm hoặc vi phạm chính sách liên quan đến emailtương tự
như để điều tra các loại tội phạm và lạm dụng máy tính khác. Mục tiêu của
bạn là tìm ra những người đứng phía sau các hành động vi phạm và tiến
hành thu thập chứng cứ, và thành lập một bản án.
■ Khi điều tra emailcác bạn nên tập trung vào nội dung của email, tiêu đề
của chúng hay các thông tin về số ID duy nhất trên các máy chủ, dấu thời
gian và các địa chỉ nguồn và đích mà email được gởi. Các bạn cần nắm cơ
chế hoạt động của các hệ thống email thông dụng để có thể xác định và sao
chép những thư mục liên quan một cách nhanh chóng và chính xác.
■ Một vài công cụ pháp lý có thể phục hồi email bị xóa trong Outlook và
Outlook Express như AccessData FTK. Đối với các ứng dụng emailkhác sử
dụng định dạng mbox, hãy sử dụng một trình soạn thảo hệ thập lục phân như
Hex Workshop để phục hồi thông điệp theo cách thủ công. Kỹ thuật này đòi
hỏi sự kiên trì bởi vì nó tẻ nhạt và tốn thời gian nhưng trong nhiều trường
hợp đây là giải pháp hiệu quả và bắt buộc.
■ Công cụ Scanpst.exe có sẳn trong bộ công cụ MicrosoftOffice có thể phục
hồi email bị xóa trong Outlook. Hoặc ứng Advanced Outlook Recovery của
DataNumen cũng có tính năng tương tự.
420
421
CHƯƠNG 13
Điện Thoại Di Động Và Điều Tra Pháp Lý Trên

Thiết Bị Di Động
Sau Khi Hoàn Thành Chương Này Các Bạn Sẽ Có Thể :

• Giải thích các khái niệm cơ bản của pháp lý thiết bị di động
• Mô tả thủ tục để có được dữ liệu từ điện thoại di động và điện thoại di
động thiết bị
422
Chương này giải thích làm thế nào để lấy thông tin từ một điện thoại di động
hoặc thiết bị di động. Để thực hiện thao tác này các bạn có thể ứng dụng các
công cụ miễn phí, tuy nhiên trong chương này chúng ta thảo luận về một số
ứng dụng thương mại và các bạn có thể sử dụng các bản trial của chúng để
thử nghiệm.
Điều tra pháp lý đối với điện thoại và thiết bị di động là một lĩnh vực có tốc
độ thay đổi nhanh chóng, điều này đặt ra những thách thức trong nổ lực thu
thập thông tin cho công tác điều tra. Không giống như những gì bạn có thể
thấy trong các chương trình truyền Hình hay phim ảnh chỉ đơn giãn với vài
thao tác là có thể lấy được những bằng chứng quan trọng, trong thực tế
chúng ta cần phải tiến hành theo những thủ tục hợp lý được mô tả trong
chương này để có được nhũng kết quả cần thiết.
Tổng Quan Về Điều Tra Pháp Lý Trên Thiết Bị Di

Động
Điện thoại di động lưu trữ nhiều thông tin giá trị hơn các bạn nghĩ, đặc biệt
khi công nghệ ngày càng phát triển làm cho điện thoại di động trở nên thông
minh hơn như các dòng máy smart phone thì những thông tin lưu trữ trên
chúng càng trở nên quan trọng. Chúng có thể chưa danh bạ khách hàng, các
tin nhăn và cuộc gọi hay được dùng để thanh toán trực tuyến và thậm chí
tiền từ máy ATM. Vì vậy, việc bị mất các thiết bị này sẽ rất tác hại đến đờn
sống hay những công việc thường ngày. Thế nhưng, ít người dùng nào chịu
sao lưu danh bạ điện thoại, hay đề phòng mất cắp thông tin trên chúng một
cách cẩn thận như đối với máy tính xách tay hay máy tính để bàn của họ.
Tùy thuộc vào loại điện thoại mà bạn đang dùng, các thành phần sau đây có
thể được lưu trong bộ nhớ của thiết bị :
• Các cuộc gọi đến, gọi đi, và cuộc gọi nhỡ.

• Văn bản và nội dung tin nhắn (SMS)
• Emailvà nhật kí tin nhắn tức thời (IM)
• Các trang web, Hình ảnh
• Lịch cá nhân , danh sách địa chỉ, tập tin nhạc, ghi âm
423
Nhiều người lưu trữ nhiều thông tin quan trọng trên điện thoại di động của
họ hơn là lưu tr6en máy tính máy tính và với nhiều thông tin khác nhau có
thể ráp nối thành những nhân tố tạo nên một vụ án. Mặc dù các bạn có thể
tìm thấy nhiều thông tin hữu ích trên thiết bị di động nhưng việc điều tra
chứng cứ số từ chúng luôn là một công việc khó khăn, bởi vì không có một
tiêu chuẩn duy nhất quy định về việc lưu trữ các tin nhắn điện thoại di động,
hay các thiết bị di động thường thay đổi nhanh về cấu trúc hay Hình dáng để
hấp dẫn hơn đối với khách hàng, nhưng rất ít khi hỗ trợ sự tương thích
ngược. Vì vậy, các dây cáp và phụ kiện mà bạn có có thể trở nên lỗi thời
trong một thời gian ngắn. Ngoài ra, điện thoại di động thường được kết hợp
với PDA, có thể làm cho công tác điều tra chứng cứ trở nên phức tạp hơn.
Khái Niệm Cơ Bản Về Điện Thoại Di Động

Từ những năm 1970, khi Motorola giới thiệu điện thoại di động thì công
nghệ điện thoại di động đã có nhiều thay đổi và trở nên phổ biến và phổ
thông hơn và vượt xa những gì các nhà phát minh có thể tưởng tượng.
Tính đến cuối năm 2008 đã có ba thế hệ điện thoại di động: analog, dịch vụ
truyền thông kỹ thuật số cá nhân (PCS), và thế hệ thứ ba (3G).
Vào năm 2009 Sprint Nextel đã giới thiệu mạng thế hệ thứ tư (4G) trong mà
các hãng truyền thông lớn hạn như AT&T dự kiến đến năm 2012 sẽ đáp ứng
đầy đủ 4G. Một số công nghệ có thể sử dụng mạng 4G sẽ thảo luận sau
trong chương này.
Nhiều mạng kỹ thuật số được sử dụng trong các ngành công nghiệp điện
thoại di động như Code Division Multiple Access (CDMA), Global System
for Mobile Communications (GSM), Time Division Multiple Access
(TDMA) hay Integrated Digital Enhanced Network (iDEN), Enhanced Data
GSM Environment (EDGE), Digital Advanced Mobile Phone Service (D-
AMPS) và Orthogonal Frequency Division Multiplexing (OFDM. Các bạn
có thể tham khảo chi tiết hơn về những công nghệ này trong tài liệu của
NIST về “Hướng Dẫn Điều Tar Pháp Lý Trên Điện Thoại Di Động”, các
bạn có thể download tại địa chỉ http://goo.gl/BHTF2.
Hầu hết mạng CDMA tuân thủ tiêu chuẩn IS-95 được tạo ra bởi Hiệp hội
Công nghiệp Viễn Thông –TIA (Telecommunications Industry Association).
424
Các hệ thống này được gọi là cdmaOne, đến khi phát triển lên dịch vụ 3G
chúng trở thành CDMA2000.
Hệ thống toàn cầu cho điện thoại di động – GSM (Global System for Mobile
Communications) sử dụng kỹ thuật TDMA (Time Division Multiple
Access) mànhiều điện thoại sẽ lần lượt chia sẻ cùng một kênh, giống như cơ
chế hoạt động của mạng token ring. TDMA sử dụng tiêu chuẩn IS-136 với
tính năng được giới thiệu là chế độ ngủ để nâng cao tuổi thọ pin. TDMA có
thể hoạt động trong điện thoại di động ( từ tần số 800-1000 MHz) hoặc PCS
(tần số1900 MHz) nên nó tương thích với nhiều mạng điện thoại di động.
Các tiêu chuẩn 3G được phát triển bởi Liên minh Viễn thông quốc tế ITU –
(International Telecommunication Union) thuộc Liên Hợp Quốc. Nó tương
thích với CDMA, GSM và TDMA. Và 3G có một tiêu chuẩn được thiết kế
dành riêng cho nó là EDGE (Enhanced Data GSM Environment)
Còn mạng 4G có thể sử dụng các công nghệ sau đây:
• Orthogonal Frequency Division Multiplexing (OFDM) – công nghệ này sử

dụng sóng vô tuyến phát trên các tần số khác nhau, sử dụng năng lượng hiệu
quả hơn, và có khả năng chống nhiễu. (Các bạn quan tâm về công nghệ 4G
có thể tham khảo tài liệu "Những gì bạn cần biết về 4G," tại địa chỉ
http://goo.gl/lPZOM.
• Mobile WiMAX - Công nghệ này sử dụng các tiêu chuẩn IEEE 802.16e và
cơ chế truy cập phân chia theo tần số trực giao (OFDMA - Orthogonal
Frequency Division Multiple Access) với tham vọng hỗ trợ tốc độ truyền
thông lên đến 12Mbps. Sprint đã chọn công nghệ này cho mạng 4G của
mình.
• Ultra Mobile Broadband (UTMS) - Còn được gọi là CDMA2000 EV-DO,

công nghệ này dự kiến sẽ được sử dụng bởi các nhà cung cấp mạng CDMA
để chuyển sang 4G và hỗ trợ tốc độ đường truyền 100 Mbps.
• Multiple Input Multiple Output (MIMO) - Công nghệ này được phát triển
bởi Airgo và bị Qualcomm mua lại, dự kiến sẽ hỗ trợ tốc độ truyền tải 312
Mbps.
• Long Term Evolution (LTE)- Đây là công nghệ này được thiết kế dành cho
GSM và UMTS dự kiến sẽ hỗ trợ tốc độ truyền tải 45 Mbps đến 144 Mbps.
Phần nhiều trong số các công nghệ này vẫn còn trong giai đoạn và những sự
phát triển xa hơn của chúng nhằm tăng cường cho hệ thống mạng 3. Là một
425
điều tra viên bạn nên nghiên cứu cập nhật kiến thức về công nghệ. Hiện thế
giới đang tồn tại 2 chuẩn công nghệ lõi của mạng 4G là WiMax và Long
Term Evolution (LTE). WiMax là chuẩn kết nối không dây được phát triển
bởi IEEE (Institute of Electrical and Electronics Engineers) còn LTE là
chuẩn do 3GPP, một bộ phận của liên minh các nhà mạng sử dụng công
nghệ GSM. Cả WiMax và LTE đều sử dụng các công nghệ thu phát tiên tiến
để nâng cao khả năng bắt sóng và hoạt động của thiết bị, mạng lưới. Tuy
nhiên, mỗi công nghệ đều sử dụng một dải băng tần khác nhau.
Mặc dù các mạng kỹ thuật số sử dụng các công nghệ khác nhau nhưng
chúng hoạt động trên các nguyên tắt như nhau. Về cơ bản, các khu vực địa
lý được chia thành các tế bào giống như tổ ong. Như mô tả trong NIST SP
800-101 với ba thành phần chính được sử dụng để giao tiếp với các tế bào là
:
• Trạm thu phát BTS (Base transceiver station) - Thành phần này được tạo
bởi các thiết bị thu phát vô tuyến được định nghĩa là các tế bào và giao tiếp
với điện thoại di động, đôi khi còn được gọi là một tháp điện thoại di động,
mặc dù tháp chỉ là một phần của các thiết bị BTS.
• Bộ điều khiển trạm gốc BSC (Base station controller) - Đây là sự kết hợp
của phần cứng và phần mềm quản lý các trạm phát sóng BTS và được chỉ
định kênh thông qua việc kết nối đến trung tâm chuyển mạch di động.
• Trung tâm chuyển mạch di động MSC (Mobile switching center ) -Thành
phần này kết nối các cuộc gọi bằng cách định tuyến các gói tin kỹ thuật số
cho mạng và dựa trên một cơ sở dữ liệu để hỗ trợ các thuê bao. Cơ sở dữ
liệu trung tâm này chứa các dữ liệu tài khoản, dữ liệu vị trí, và các thông tin
quan trọng khác rất cần thiết trong một cuộc điều tra. Nếu bạn có để lấy
thông tin từ cơ sở dữ liệu trung tâm của một nhà cung cấp dịch vụ, bạn
thường cần một lệnh khám xet hay hay trát của tòa án.
Bên Trong Thiết Bị Di Động

Thiết bị di động có thể là điện thoại cho đến các thiết bị máy tính nhỏ còn
gọi là điện thoại thông minh hay smart phone. Phần cứng của chúng bao
gồm một bộ vi xử lý, bộ nhớ ROM và RAM, một bộ xử lý tín hiệu kỹ thuật
số, mô đun thu phát sóng, micro, loa và giao diện phần cứng (như bàn phím,
máy ảnh, và các thiết bị GPS), cùng với một màn Hình LCD. Ngoài ra, một
426
số người còn trang bị thẻ nhớ di động hay các thiết bị hỗ trợ Bluetooth và
Wi-Fi.
Hầu hết các điện thoại cơ bản có một hệ điều hành sở hữu độc quyền, mặc
dù điện thoại thông minh sử dụng hệ điều hành giống như máy tính cá nhân
(hoặc phiên bản rút gọn của chúng). Các hệ điều hành này gồm có Linux,
Windows Mobile, RIM OS, Palm OS, hệ điều hành Symbian, và với sự ra
đời iPhone của Apple sử dụng một phiên bản của Mac OS X đã xuất hiện
thêm nhiều dòng điện thoại sử dụng hệ điều hành Android. Thông thường,
điện thoại lưu trữ dữ liệu trong bộ nhớ điện tử có khả năng xóa nhưng được
lập trình chỉ đọc gọi tắt là EEPROM (electronically erasable programmable
read-only memory), cho phép các nhà cung cấp dịch vụ tái lập trình điện
thoại mà không phải truy cập vào chip bộ nhớ vật lý. Nhiều người dùng tận
dụng khả năng này và tái lập trình điện thoại của họ để thêm tính năng hoặc
chuyển sang nhà cung cấp dịch vụ khác mà chúng ta thường thấy khi sử
dụng điện thoại iPhone “hàng xách tay”. Mặc dù điều này không được hỗ trợ
chính thức bởi các nhà cung cấp dịch vụ nhưng các hướng dẫn về về chúng
thì có đầy trên mạng Internet.
Các hệ điều hành được lưu trữ trong ROM và khi điện thoại bị mất nguồn thì
chúng không thể hoạt động. Để thu thập dữ liệu từ ROM các bạn có thể
tham khảo trong phần sau "Thủ Tục Thu Thập Dữ Liệu Cho Điện Thoại Di
Động Và Các Thiết Bị Di Động."
SIM Card (Subscriber identity module card) – là thành phần phổ biến nhất
trong các thiết bị GSM và bao gồm bộ vi xử lý với bộ nhớ EEPRM có kích
thước từ 16 KB đến 4 MB. Ngoài ra còn có các thẻ với dung lượng cao, siêu
SIM hay mega SIM với bộ nhớ EEPROM cao nhất lên đến1 GB. SIM card
tự như thẻ nhớ tiêu chuẩn, ngoại trừ có kết nối được liên kết khác nhau. Để
tìm các thẻ SIM hãy mở khung bảo vệ điện thoại thường nằm ở mặt sau, bên
dưới pin.
GSM đề cập đến điện thoại di động là "trạm di động" và chia một trạm thành
hai phần: các thẻ SIM và thiết bị điện thoại di động (ME), là phần còn lại
của điện thoại. Các thẻ SIM là cần thiết cho ME để làm việc và phục vụ các
mục đích bổ sung:
• Xác định các thuê bao mạng

• hành lưu trữ thông tin cá nhân
427
• Cửa sổ địa chỉ và tin nhắn
• Cửa hàng dịch vụ thông tin liên quan
Thẻ SIM có hai kích cỡ, nhưng phổ biến nhất là kích thước của một chiếc
tem thư của Mỹ và dày khoảng 0.75 mm. Chỉ cần gắn thẻ SIM vào một điện
thoại di động tương thích người dùng có thể di chuyển thông tin việc một
điện thoại di động này sang điện thoại di động khác một cách tự động tự
động mà không cần phải thông báo cho các nhà cung cấp dịch vụ. Ví dụ, nếu
bạn đi du lịch giữa các nước láng giềng thường, bạn có thể mua một chiếc
điện thoại GSM và hai thẻ SIM. Khi bạn đi đến một nước khác, bạn chỉ cần
chuyển sang thẻ SIM khác. Một thực tế phổ biến cho việc dùng nhiều thẻ
SIM là chế độ khuyến mãi khá hấp dẫn của nhà cung cấp như Mobiphone
hay Viettel dành cho các đăng kí mới, tuy nhiên điều này đang ngày càng
được siết chặt do spammer đã lợi dụng để gởi quá nhiều tin nhắn rác
Bên Trong Thiết Bị Cầm Tay PDA
Thiết bị cầm tay PDA còn được gọi là “trợ lý cá nhân kỹ thuật số” (Personal
digital assistants - PDA) được một số người dùng thay cho một máy tính
xách tay để theo dõi các cuộc hẹn, thời hạn, sổ địa chỉ vv. Các thiết bị PDA
phổ biến xuất hiện trên thị trường vào những năm của thập kỉ 1990 là Palm
Pilot and Microsoft Pocket PC. Tuy nhiên, do PDA không có chức năng hội
thoại trong khi smartphone ngày nay có thể đảm nhiệm bất kì công việc nào
mà PDA có thể thực hiện, và thậm chí còn làm tốt hơn cho nên hiện nay
PDA rất ít khi xuất hiện trên tày người dùng. Về mặt cấu trúc thì PDA tương
tự như điện thoại thông minh với một bộ vi xử lý, bộ nhớ flash ROM, RAM,
và các thành phần phần cứng khác nhau. Như điện thoại thông minh, thông
tin lưu trên một thiết bị PDA tùy thuộc vào mô Hình. Thông thường, bạn có
thể thu thập thông tin lịch làm việc, sổ địa chỉ, trang Web đã và một số thông
tin khác. Sau đây là một số thẻ nhớ ngoại có thể sử dụng với PDA:
• Compact Flash (CF) – Thẻ CF được sử dụng cho việc lưu trữ mở rộng và
có cơ chế hoạt động giống như thẻ PCMCIA.
• MultiMedia Card (MMC) - Thẻ MMC được thiết kế cho điện thoại di
động, nhưng chúng có thể được sử dụng với PDA để mở rộng khả năng lưu
trữ.
• Secure Digital (SD) – Thẻ SD tương tự như MMC, nhưng có thêm tính
năng bảo mật để bảo vệ dữ liệu.
428
Hầu hết các PDA được thiết kế để có thể đồng bộ hóa dữ liệu với máy tính,
qua kết nối cáp hoặc đồng bộ hóa không dây. Tầm quan trọng của tính năng
này sẽ được thảo luận trong phần sau.
Thủ Tục Thu Thập Thông Tin Cho Điện Thoại Và

Thiết Bị Di Động
Thủ tục tìm kiếm và thu giữ điện thoại và thiết bị di động cũng quan trọng
như thủ tục dành này cho máy tính. Các mối quan tâm chính đối với thiết bị
di động là yếu tố mất nguồn và tính năng đồng bộ hóa dữ liệu của chúng với
máy vi tính.
Tất cả các thiết bị di động có bộ nhớ dễ bị ảnh hưởng bởi nguồn cung cấp
do đó cần đảm bảo có đủ pin hay nguồn hoạt động trước khi ta có thể thu
thập dữ liệu từ RAM. Tại hiện trường điều tra hãy xác định xem các thiết bị
này đang mở hay tắt. Nếu đã tắt hãy tìm bộ sạc và nạp nguồn cho thiết bị
càng sớm càng tốt. Ghi chú bước này trong nhật ký của bạn nếu bạn không
thể xác định xem thiết bị đã được sạc hay chưa tại thời điểm bắt giữ. Nếu
thiết bị đang bật hãy kiểm tra màn Hình hiển thị LCD cho mức năng lượng
hiện hành của pin.
Bởi vì các thiết bị di động thường được thiết kế để đồng bộ hóa với các ứng
dụng trên máy tính của người dùng cho nên nếu thiết bị đang kết nối với
máy tính thì hãy ngắt kết nối ngay lập tức. Để phòng ngừa tiến trình đồng bộ
hóa gi đè lên dữ liệu hiện có lên thiết bị. Ngoài ra nhà điều tra cần thu thập
các máy tính và bất kỳ thiết bị ngoại vi để xác định xem ổ cứng có chứa bất
kỳ thông tin nào liên quan đến các thiết bị di động hay không.
Tùy thuộc vào các lệnh khám xét hoặc trát hầu tòa, thời gian tạm giữ có thể
có liên quan. Ngoài ra, các thông điệp có thể nhận được trên các thiết bị di
động trong thời gian thu giữ có thể có hoặc không thể được chấp nhận tại tòa
án. Nếu bạn xác định rằng thiết bị này nên được tắt để bảo tồn năng lượng
pin hoặc ngăn ngừa khả năng bị tấn công thì hãy ghi chú thời gian mà bạn
thực hiện bước này. Bạn cũng nên cô lập thiết bị khỏi các tín hiệu đầu vào
với những lựa chọn sau đây:
• Đặt thiết bị hộp lưu trữ có khả năn ngăn chặn sóng, hoặc thiết bị được sơn
cản sóng.
429
• Sử dụng túi Paraben Wireless StrongHold Bag ( www.paraben-
forensics.com/catalog).
• Sử dụng tám lớp túi chống tĩnh điện (ví dụ, túi bọc ổ đĩa cứng khi mới mua
về) để chặn các tín hiệu.
Khi quay trở lại phòng thí nghiệm pháp lý của mình, bạn hãy đánh giá
những thành phần nào cần được lấy ra để kiểm tra thông tin. Sau đây là bốn
lĩnh vực nên kiểm tra:
• Các bộ nhớ nội bộ

• Thẻ SIM
• Bất kì thẻ nhớ có thể tháo rời hoặc gắn ngoài
• Các hệ thống máy chủ
Bởi vì luật chống nghe trộm điện thoại cho nên nếu bạn muốn kiểm tra hộp
thư thoại hay kiểm tra hệ thống máy chủ cần phải có một lệnh tìm kiếm hoặc
trát của tòa. Bạn cũng có thể cần thông tin từ các nhà cung cấp dịch vụ để
xác định nghi phạm hay nạn nhân tại thời điểm của một cuộc gọi, truy cập
các bản sao lưu sổ địa chỉ...Ngoài ra, bộ nhớ lưu trữ trên một thiết bị di động
thường gồm bộ nhớ dễ bị tác động và bộ nhớ ít bị tác động. Đối với bộ nhớ
dễ bị tác động cần có nguồn điện hay pin để duy trì nội dung của nó gồm có
dữ liệu thay đổi thường xuyên như các cuộc gọi nhỡ, tin nhắn văn bản, và
đôi khi có cả tập tin người dùng. Còn đối với bộ nhớ không bị ảnh hưởng bở
yếu tố nguồn thì chứa các tập tin hệ điều hành và lưu trữ dữ liệu người dùng,
chẳng hạn như một chương trình quản lý thông tin cá nhân (PIM)
và các tập tin sao lưu.
Như đã đề cập, bộ nhớ lưu trữ có thể là trên điện thoại hoặc trên thẻ SIM.
Thẻ Sim có hệ thống tập tin là một cấu trúc phân cấp như Hình 13-1. Cấu
trúc tập tin này bắt đầu với thư mục gốc (MF). Các cấp độ tiếp theo bao gồm
các tập tin thư mục (DF) và dưới chúng là các tập tin chứa dữ liệu sơ cấp
(EF). Trong Hình 13-1, các EF dưới DF GSM và DF DCS1800 chứa dữ liệu
mạng trên các dải tần số khác nhau còn EF dưới DF Telecom chứa dữ liệu
liên quan đến dịch vụ.
430
Hình 13-1 : cấu trúc tập tin của thẻ SIM
Bạn có thể lấy một số bit dữ liệu từ thẻ SIM. Các thông tin có thể lấy được
gồm có:
• Dịch vụ liên quan đến dữ liệu, chẳng hạn như nhận dạng của thẻ SIM và
thuê bao
• Dữ liệu cuộc gọi như số cuộc gọi
• Thông tin tin nhắn
• Thông tin vị trí
Nếu thiết bị hay điện thoại bị mất nguồn bạn cần có mã PIN hoặc mã truy
cập để xem các tập tin trên thẻ SIM. Thông thường, người sử dụng giữ số
PIN ban đầu khi nhận thẻ SIM do đó khi thu thập chứng cứ tại hiện trường,
hãy tìm kiếm hướng dẫn sử dụng người dùng và tài liệu khác có thể giúp bạn
truy cập vào thẻ SIM. Với hầu hết các thẻ SIM, bạn có ba lần đăng nhập vào
trước khi điện thoại bị khóa, sau đó phải nhờ nhà cung cấp dịch vụ hoặc chờ
đợi một thời gian nhất định trước khi thử lại giống như khi chúng ta nhập sai
mật khẩu trên máy tính và bị tạm khóa trong một thồi gian vậy. Các mã số
thông dụng để thử truy cập là là 1-1-1-1 hoặc 1-2-3-4.
Điều Tra Pháp Lý Cho Thiết Bị Di Động

Điều tra pháp lý cho điện thoại và thiết bị di động là một khoa học mới với
thách thức lớn nhất dành cho các nhà điều tra là đối phó với sự thay đổi liên
tục của điện thoại di động. Những kỹ năng mà bạn có được trên mô Hình
431
điện thoại hiện tại có thể trở nên vô dụng khi các nhà sản xuất ra các dòng
sản phẩm mới mẽ. Trong phần này sẽ cung cấp cho các bạn một cái nhìn
tổng quan về thủ tục làm việc với các phần mềm pháp lý điện thoại di động.
Trong quá trình thu thập bằng chứng có hai hành động chính mà chúng ta
thực hiện : một là đọc dữ liệu từ thẻ SIM và hai là đồng bộ hóa dữ liệu từ
thiết bị với máy tính.
Bước đầu tiên là xác định các thiết bị di động thông qua các nguồn tham
khảo trực tuyến như www.cellphoneshop.com, www.phonescoop.com, và
www.mobileforensicscentral.com.
Đầu tiên, bạn nên cài đặt đầy đủ phần mềm pháp lý dành cho điện thoại di
động trên máy trạm điều tra của mình nếu có thể. Bởi vì không phải tất cả
các cơ sở được trang bị các phần mềm cần thiết do chí phí cao hoặc chức
năng của chúng khá hạn chế trong khi sự thay đổi lại diễn ra liên tục, điều
này làm cho việc trang bị đầy đủ các công cụ tương đối khó khăn, nhưng nếu
như nhu cầu công việc đòi hỏi thì các phòng thí nghiệm cũng nên đầu tư
kinh phí cho những ứng dụng điều tra thích hợp với khả năng và tính chất
công việc.
Bước tiếp theo là sạc nguồn cho điện thoại và thiết bị di động với các bộ
nguồn tương thích. Để có thể đáp ứng cho nhiều loại thiết bị khác nhau
chúng ta cần dự trữ sẳn nhiều hệ thống nguồn hay các thiết bị sạc đa năng
phòng khi gặp các thiết bị hay độn thoại di động lạ.
Đầu Đọc Thẻ SIM - Với các điện thoại GSM và các mô Hình mới hơn thì
bước tiếp theo của các nhà điều tra là là truy cập vào thẻ SIM bằng các đầu
đọc thẻ SIM thích hợp. bạn có thể làm bằng cách sử dụng một sự kết hợp
phần cứng / phần mềm thiết bị được gọi là một đầu đọc thẻ SIM. Để sử dụng
thiết bị này, bạn phải ở trong một phòng thí nghiệm pháp y được trang bị với
các thiết bị chống tĩnh điện. Ngoài ra, các tác nhân sinh học như dấu vân tay
có thể lưu lại trên những thiết bị di động cũng là những đầu mối cần lưu ý, vì
vậy bạn nên tham khảo ý kiến của trưởng nhóm điều tra viên để tiến hành
bước này. Các thủ tục chung gồm có :
1. Tháo nắp đậy của thiết bị, thường là lớp bảo vệ phía sau thân máy.
2. Tháo pin.
3. Tháo thẻ SIM nằm bên dưới pin.
4. Lắp thẻ SIM vào đầu đọc thẻ được kết nối với máy tính qua cổng USB.
Có nhiều loại đầu đọc thẻ SIM trên thị trường. Một số chuyên dùng cho các
432
cuộc điều tra pháp lý vì vậy các bạn nên tham khảo cẩn thận các tính năng
của chúng để chọn mua những thiết bị đọc thích hợp nhất. Một vấn đề khác
đối với các đầu đọc thẻ SIM là vấn đề xử lý những tin nhắn SMS hay văn
bản chưa được đọc, vì khi những thông tin này được đọc bởi thiết bị thì hệ
thống sẽ đánh dấu như là đã đọc, điều này có vẽ bình thường nhưng đối với
môi trường điều tra sẽ có những ý nghĩa nhất định. Do đó các bạn hãy chú ý
đặc điểm này và nếu cần thiết hãy tìm cách chụp lại màn Hình của thiết bị
hay điện thoại di động nhằm cung cấp các tài liệu bổ sung.
Điều Tra Pháp Lý Đối Với iPhone - Bởi vì iPhone ngày nay rất phổ biến
nếu như không muốn nói là rất “hot” trên thị trường di động, ngoài các chức
năng hữu ích và có thiết kế thẩm mỹ thì iPhone còn làm cho người sở hữu có
vẽ sành điệu hơn, chính vì lý do đó mà ngày càng có nhiều thiết bị sao chép
kiểu dàng và cả tính năng của thiết bị cao cấp này. Với khả năng lưu trữ
thông tin mạnh mẽ và kết cấu liền khối khiến cho công tác điều tra trên
iPhone gặp nhiều khó khăn ngay từ thao tác tháo gỡ back panel (khung bảo
vệ) nếu như không có tay nghề và thiết bị chuyên dụng.
Phương pháp tốt nhất cho công tác điều tra trên iPhone là th utha65p được
một bản sao Hình ảnh của chúng để có thể truy cập cả những tin nhắn hay
thông tin bị xóa. Một bài hướng dẫn gần đây về thủ tục thu thập thông tin
trên iPhone phục vụ công tác điều tra được công bố tại
http://chicagoediscovery.com có thể hỗ trợ cho các nhà điều tra khi tiến hành
công tác của mình. Để có được một Hình ảnh pháp lý báo cáo này khuyên
dùng các công cụ sau cho iPhone hoặc hệ điều hành Mac OS:
• MacLockPick II (http://goo.gl/4V1TD) - Công cụ này dùng để sao lưu các

tập tin lưu trữ của iPhone như MDBackup. Tuy nhiên ứng dụng này không
thể thể phục hồi các tập tin bị xóa.
• MDBackUp Extract (www.blackbagtech.com) - Công cụ này được phát
triển bởi Black Bag Technologies, một nhà cung cấp công cụ pháp lý trên
Macintosh hàng đầu với khả năng phân tích thư mục sao lưu đồng bộ của
iTunes.
Công Cụ Điều Tra Pháp Lý Dành Cho Điện Thoại Di Động – Paraben
Software (www.paraben.com) là hãng cung cấp phần mềm điều tra pháp lý
hàng đầu đối với điện thoại di động với những công cụ như : Device Seizure
được sử dụng để thu thập dữ liệu từ nhiều loại điện thoại đ động khác nhau.
Paraben cũng cung cấp bộ công cụ Device Seizure Toolbox gồm các loại
dây cáp, một đầu đọc thẻ SIM, và các thiết bị khác để điều tra thiết bị di
động. Hoặc hãng DataPilot (www.datapilot.com) có cung cấp một bộ cáp có
433
thể giao tiếp với nhiều loại điện thoại di động khác nhau như Nokia,
Motorola, Ericsson, Samsung, Audiovox, Sanyo...
Cellebrite UFED Forensic System ( www.cellebrite.com/UFED-Standard-

Kit.html) hoạt động với điện thoại di động và PDA. Bộ ứng dụng này đi kèm
với một số dây cáp và thiết bị hỗ trợ đa ngôn ngữ.
MOBILedit! (Www.mobiledit.com) là một phần mềm có tích hợp chức năng

chống ghi đè, có khả năng kết nối trực tiếp đến điện thoại thông qua
Bluetooth, hồng ngoại, hoặc dây cáp và có thể đọc thẻ SIM bằng cách sử
dụng một đầu đọc SIM. Cần chú ý đây là ưng dụng khá thân thiện với người
dùng.
Một công cụ khác là SIMCon (www.simcon.no), sử dụng để tạo Hình ảnh

của một SIM GSM/3G hoặc thẻ USIM. Các tính năng của SIMCon gồm có:
• Đọc các tập tin trên thẻ SIM

• Phân tích nội dung tập tin, bao gồm cả tin nhắn văn bản và số đươc lưu trữ.
• Khôi phục tin nhắn văn bản đã xoá
• Quản lý mã số PIN
• Tạo ra các báo cáo có thể được sử dụng như bằng chứng
• Lưu trữ các tập tin với giá trị băm MD5 và SHA-1
• Trích xuất dữ liệu vào các tập tin có thể được sử dụng trong các chương
trình bảng tính
• Hỗ trợ bộ ký tự quốc tế
Trong tình huống của công ty Superior Bicycles được nêu trong phần trước,
Sebastian Mwangonde và Nau Tjeriko được biết là những người bạn thân.
Nau là một y tá chuyên cung cấp các chi tiết thiết kế sao cho tạo được sự
thoải mái, an toàn, hiệu quả và đạt năng suất cho người sử dụng sản phẩm
của Superior Bicycles còn Sebastian là một nhân viên của công ty, cả hai
đều bị nghi ngờ kinh doanh dược phẩm. Ngoài các bằng chứng thu thập
được trên máy tính thu thập của họ thì nhà điều tra còn được phép tịch thu
điện thoại di động để truy tìm thêm chứng cứ. Hãy sử dụng SIMCon để xem
cấu trúc tập tin của thẻ SIM trên điện thoại của Sebastian (xem Hình 13-2).
434
Hình 13-2 : Cáu trúc tập tin của thẻ SIM xem trong SIMCon
Và Hình 13-3 cho thấy các tin nhắn SMS mà Nau đã gửi cho Sebastian.
435
Hình 13-3 : Tin nhắn SMS xem trong SIMCOn
Với những công cụ khác nhau có thể hiển thi thông tin theo nhiều góc độ. Ví
dụ như Hình 13-4 cho thấy thông tin từ cùng một điện thoại sử dụng trong
Hình 13-3, nhưng được xem trong một công cụ phần mềm khác là Sim Card
Reader. Có vẽ như thông tin được hiển thị ít hơn SIMCon, vì vậy chương
trình này nên dùng để kiểm tra các tập tin được cập nhật hơn là phục hồi dữ
liệu.
436
Hình 13-4 : Thông tin hiển thị trong đầu đọc thẻ SIM
Nói chung, có nhiều công cụ hữu ích cho vấn đề đọc hay hiệu chỉnh dữ liệu
trên các thiết bị di động nhưng có thể chúng không phải là các công cụ dùng
cho điều tra pháp, mặc dù chúng có giao diện thân thiện và dễ sử dụng. Vì
vậy các bạn cần lưu ý sử dụng đúng chức năng của chương trình để bảo dảm
bằng chứng được công nhận trước tòa.
Mỗi chương trình thường có những đặc tính riêng, và các nhà điều tra cần
ghi chú các đặc điểm của chúng cẩn thận nhằm hỗ trợ cho sự thiếu sót của
một ứng dụng khác này bằng một công cụ khác mạnh mẽ hơn.
437
■ Người dùng lưu trữ nhiều thông tin quan trọng trên điện thoại hay thiết bị
di động của mình như các cuộc gọi, Hình ảnh, tin nhắn văn bản và các tập
tin nhạc, sổ địa chỉ... Những tập tin này có thể cung cấp cho bạn rất nhiều
thông tin trong công tác điều tra.
■ Đện thoại di động đã trải qua ba thế hệ: analog, kỹ thuật số cá nhân và thế
hệ thứ ba (3G). Công nghệ 4G là thế hệ kế tiếp của điện thoại di động.
■ Các thiết bị di gồm nhiều loại từ cơ bản, điện thoại rẻ tiền được sử dụng
chủ yếu cho các cuộc gọi điện thoại đến điện thoại thông minh hay máy
ảnh, máy nghe nhạc. Dữ liệu có thể được lấy từ nhiều vị trí khác nhau trong
điện thoại bao gồm cả bộ nhớ, thẻ SIM hay các loại thẻ kỹ thuật số khác như
Secure Digital, MultiMedia Card, Compact Flash.
■ Cần tuân thủ đúng quy trình và thủ tục khi tiến hành thu thập dữ liệu trên
điện thoại và thiết bị di động như với các máy tính.
■ Để chống nhiễu hay tác động của từ trường, tĩnh điệnnên đặt thiết bị di
động hay điện thoại vào trong một hộp lưu trữ có được bao phủ bằng một
lớp sơn đặc biệt hay các loại túi túi chống tĩnh điện.
■ Thẻ SIM lưu trữ dữ liệu theo một cấu trúc tập tin phân cấp.
438
439
CHƯƠNG 14
Viết Báo Cáo Cho Quá Trình Điều Tra Công

Nghệ Cao
Sau Hoàn Thành Chương Này Các Bạn Có Thể :

• Giải thích tầm quan trọng của báo cáo
• Mô tả hướng dẫn bằng văn bản báo cáo
• Giải thích làm thế nào để sử dụng các công cụ pháp lý để tạo ra các báo
cáo
440
Chương này hướng dẫn cho các bạn cách viết báo cáo về những phát hiện
của bạn trong quá trình điều tra trên máy tính của nghi can. Chúng ta sẽ tìm
hiểu các loại báo cáo khác nhau và những thành phần căn bản trong một bản
báo cáo. Bạn cũng xem xét làm thế nào để tạo ra các kết quả báo cáo bằng
nhưng công cụ pháp lý.
Hiểu Rõ Tầm Quan Trọng Của Báo Cáo

Sau khi thu thập chứng cứ và tìm kiếm được các bằng chứng quan trọng, các
điều tra viên cần phải viết một báo cáo bằng văn bản để trình bày về các kết
quả của mình. Đây là quy định của tòa án tại nhiều nước trên thế giới về việc
trình bày các chứng cứ trong qua trình điều tra pháp lý máy tính và mạng.
Một bản báo cũng có thể dùng trong một buổi điều trần hay như một bản
khai có tuyên thệ (affidavit) dùng để hỗ trợ phát lệnh bắt giữ hoặc đảm bảo
cho kết quả tìm kiếm.
Những vấn đề mà bạn trình bày có khả năng được kiểm tra chéo hay bị luật
sư đối lập phản đối cho dù các thông tin do chính bạn tìm thấy hay trích xuất
từ một nguồn tin cậy khác. Và các bạn phải nhận thức rõ trách nhiệm của
mình với những vấn đề được nêu trong bản báo cáo.
Ngoài các nhận định và tang vật của vụ án, bản báo cáo cần ghi rõ lệ phí
thanh toán cho các chuyên gia dịch vụ và danh sách tất cả các vụ án dân sự
hoặc Hình sự khác mà những chuyên gia này đã tham gia hay làm chứng.
Sau đây là một số thông tin mà các điều tra viên cần chú ý khi viết báo cáo
của mình :
• Thẩm quyền
• Kiểu của vụ án (định dạng được dùng cho các tài liệu chính thức của tòa án
ví dụ sử dụng một tiêu đề như John Smith, Nguyên đơn v. Paul Jones, Bị
Cáo)
• Ngày và địa điểm mà bằng chứng được cung cấp.
• Tên của người làm .
Không cần phải nêu chi tiết các lời khai trong một báo cáo, nhưng bạn cần
tóm tắt các điểm chính của chúng để tham khảo trong tương lai.
441
Xác Định Các Chi Tiết Chính Của Bản Bán Cáo
Khách hàng (có thể là một luật sư, thám tử hay một điều tra viên) là những
người xác định mục tiêu hay nhiệm vụ của công tác điều tra mà bạn tiến
hành. Do đó, tất cả các báo cáo gởi cho khách hàng nên bắt đầu bằng cách
nêu rõ nhiệm vụ hay mục tiêu như “Phục Hồi Các Tập Tin, Tài Liệu Quan
Trọng”. Xác định rõ các mục tiêu giúp các bạn tiết kiện chi phí và thời gian
cho công tác điều tra.
Trước khi viết báo cáo hãy xác định đối tượng sẽ xem chúng và mục đích
của báo cáo để tập trung vào các chi tiết cụ thể. Hãy nhớ rằng nếu người đọc
hay nghe báo cáo không có nhiều kiến thức về mặt kỹ thuật, bạn có thể phải
dành một phần của công việc báo cáo để trình bày về các vấn đề này.
Các Loại Các Báo Cáo

Trong quá trình điều tra pháp lý trên máy tính. các giám khảo yêu cầu nhà
điều tra phải tạo ra các loại báo cáo khác nhau, chẳng hạn như một báo cáo
chính thức (formal report) bao gồm các sự kiện từ phát hiện của bạn, một
báo cáo bằng văn bản hoặc bằng lời nói sơ bộ (verbal report) cho luật sư của
bạn, và một kế hoạch kiểm tra (examination plan) được dùng bởi các luật sư.
Kế hoạch kiểm tra (examination plan) là một tài liệu hướng dẫn gồm những
câu hỏi mà bạn có thể đối mặt khi làm chứng (xem Hình 14-1). Luật sư của
bạn sử dụng kế hoạch kiểm tra để hướng dẫn bạn khi trả lời các câu hỏi (lời
khai của bạn). Bạn có thể đề xuất các thay đổi để làm rõ hoặc đề xuất những
nội dung mà luật sư có thể đã bỏ qua. Kế hoạch kiểm tra cũng được dùng để
giúp luật sư của bạn tìm hiểu thuật ngữ và chức năng được dùng trong điều
tra pháp lý máy tính.
442
Hình 14-1 : Một kế hoạch kiểm tra mẫu
Một báo cáo bằng lời nói (verbal report) không yêu cầu cấu trúc chặt chẽ
như báo cáo bằng văn bản. Thông thường, nó diễn ra trong một văn phòng
luật sư khi họ yêu cầu báo cáo tư vấn của bạn. Loại báo cáo này thường
được áp dụng khi bạn được thuê để tư vấn tạm thời. Hãy nhớ rằng những
người khác không thể ép buộc luật sư của bạn để lặp lại những gì bạn đã nói
với anh ta hoặc cô ta trong một báo cáo bằng lời nói. Một báo cáo bằng lời
nói thường là một báo cáo sơ bộ và xác định những khu vực mà công tác
điều tra chưa hoàn tất chẳng hạn như :
• Các kiểm tra chưa hoàn tất

• Thẩm vấn luật sư bên đối lập
443
• Xác định những người cung cấp bằng chứng.
Một báo cáo bằng văn bản (preliminary report) thường là một bản tuyên thệ
hoặc tuyên bố. Bởi vì tính nghiêm trọng của loại Hình báo cáo này (ví dụ khi
bạn khai man và có tuyên thệ về những điều mình nói thì phải chịu trách
nhiệm về hành động này trước pháp luật) nên cần phải chú ý đến chi tiết,
cẩn thận và hạn chế những gì bạn viết. Phần tiếp theo sẽ trình bày các hướng
dẫn để viết báo cáo.
Hướng Dẫn Viết Báo Cáo

Trong phần sau đây chúng ta sẽ thảo luận về cách viết các loại báo cáo.
Báo Cáo Sơ Bộ Gồm Những Gì ?

Một báo cáo sơ bộ (preliminary report) bao gồm các thông tin mà bạn cung
cấp trong một báo cáo chính thức bằng lời nói (verbal report). Đầu tiên, trình
bày lại nhiệm vụ để xác nhận với khách hàng công việc mà bạn đã làm hoàn
toàn chính xác theo yêu cầu đề ra. Tiếp theo, tóm tắt những gì đã được thực
hiện. Xác định hệ thống bạn đã xem xét, những công cụ được sử dụng và
những gì bạn đã thấy. Ngoài ra, cần nêu các quá trình bảo vệ bằng chứng mà
bạn đã sử dụng. (Xem Chương 5 và 9 để biết thêm thông tin về các quá trình
này.) Sau đây là các mục bổ sung trong báo cáo của bạn:
• Tóm tắt các khoản thanh toán theo ngày và chi phí ước tính để hoàn thành
công việc.
• Xác định các kết luận dự kiến (khác với kết luận sơ bộ).
• Xác định các khu vực để điều tra thêm.
Cấu Trúc Báo Cáo
Một báo cáo thường bao gồm các phần được hiển thị trong danh sách sau
đây, mặc dù thứ tự khác nhau tùy thuộc vào nguyên tắt của tổ chức hoặc yêu
cầu của vụ án:
444
• Tóm tắt
• Mục lục
• Nội dung báo cáo
• Kết luận
• Tài liệu tham khảo
• Thuật ngữ
• Lời cảm ơn
• Phụ lục
Mỗi phần nên có một tiêu đề xác định những gì bạn trình bày. Ví dụ, phần
nội dung của báo cáo có thể có tiêu đề như sau "Kết Quả Điều Tra Cho
ABC Bicycle, Inc V/V : Đánh Cắp Sở Hữu Trí Tuệ "
Tóm Tắt - Nếu báo cáo dài và phức tạp, bạn nên cung cấp một bản tóm tắt.
Có nhiều người đọc tóm tắt hơn so với toàn bộ báo cáo do đó viết một bản
tóm tắt cho báo cáo là rất quan trọng. Tóm tắt và mục lục cung cấp cho độc
giả một cái nhìn tổng quan về báo cáo và các ý chính của nó để họ có thể
quyết định những gì cần phải xem xét. Phần tóm tắt nên gồm một hoặc hai
đoạn văn với tổng cộng khoảng 150 đến 200 từ. Lưu ý phần tóm tắt nên mô
tả quá trình kiểm tra hay điều tra và trình bày các ý chính của báo cáo theo
Hình thức ngăn gọn. Thông tin tóm tắt không nên trùng lặp với tài liệu tham
khảo hoặc các kết quả và thông thường phần tóm tắt nền đặt sau cùng như
các “Tổng Kết Chương” trong mỗi chương của tài liệu này.
Nội Dung Báo Cáo - Nội dung bao gồm các phần giới thiệu và thảo luận.
Việc giới thiệu cần nêu rõ mục đích của báo cáo và cho thấy rằng bạn nhận
thức rõ các điều khoản và tham chiếu của nó. Bạn cũng cần nêu rõ bất kỳ
phương pháp được sử dụng hay bất kỳ hạn chế nào và trình bày cấu trúc của
báo cáo. Để giải thích lý do tại sao bạn viết báo cáo hãy trả lời cho câu hỏi
"Vấn đề là gì?" .Khi trình bày vấn đề nên đi từ các vấn đề tổng quát đến cụ
thể, kết thúc việc trình bày với mục tiêu chính của báo cáo. Cần sắp xếp các
vấn đề được trình bày một cách hợp lý và. Hãy tham khảo các sự kiện có
liên quan, hay những ý tưởng và lý thuyết cũng như nghiên cứu của các tác
giả khác có liên quan.
445
Kết Luận Và Tài Liệu Hỗ Trợ - Hai phần chính yếu khác là kết luận và tài
liệu hỗ trợ (gồm tài liệu tham khảo và phụ lục). Kết luận bắt đầu bằng cách
đề cập đến mục đích của báo cáo, nêu rõ những điểm chính, rút ra kết luận,
và có thể đưa ra nhận định. Tài liệu tham khảo và phụ lục liệt kê các tài liệu
hỗ trợ cho công việc mà bạn đề cập. Các phụ lục cung cấp tài liệu bổ sung
không được trình bày trong nội dung của báo cáo.
Viết Báo Cáo Rõ Ràng

Để báo cáo rõ ràng, ngắn gọn nhưng súc tích bạn nên tự đánh giá chất lượng
báo cáo của mình theo những tiêu chí:
• Chất Lượng Về Mặt Truyền Đạt – Báo cáo có dễ đọc hay không ? Hãy đặt
mình vào vị trí của người đọc và suy nghĩ xem làm cách nào để báo cáo hấp
dẫn họ.
• Ý Tưởng Và Tổ Chức - Các thông tin có rõ ràng và được tổ chức tốt ?
• Ngữ Pháp Và Từ Vựng - Ngôn ngữ đơn giản và dễ hiểu, tránh sự lặp đi lặp
lại trong cách hành văn gây mất thiện cảm nơi người đọc. Các thuật ngữ kỹ
thuật nên được sử dụng nhất quán, không nên dùng nhiều biến thể của chúng
sẽ làm cho người đọc đặt ra những nghi vấn và câu hỏi không cần thiết.
• Dấu Chấm Câu Và Chính Tả - Cần phải chính xác và nhất quán.
Quan Tâm Đến Văn Phong - Văn phong có nghĩa là các giai điệu của ngôn
ngữ mà bạn sử dụng để giải quyết vấn đề người đọc. Khi viết một báo cáo
nên sử dụng một phong cách ngôn ngữ tự nhiên giúp cho độc giả quan tâm
đến những gì bạn phải nói. Tự nhiên, nhưng bạn cũng nên làm theo hướng
dẫn và phải chú ý đến việc sử dụng từ, ngữ pháp, chính tả.
Tránh ngôn ngữ mơ hồ và chung chung như "Có một vấn đề." Thay vào đó,
bạn hãy nêu rõ các vấn đề cụ thể và mô tả những gì bạn hoặc người khác đã
làm để giải quyết nó. Hãy cẩn thận về sự lặp lại, chỉ lặp lại những gì cần
thiết, chẳng hạn như từ khóa hoặc thuật ngữ kỹ thuật.
446
Tránh trình bày quá nhiều chi tiết hay các quan điểm cá nhân. Và cuối cùng,
cần bảo đảm tính khách quan.
Bao Gồm Các Biển Chỉ Dẫn – Các biển chỉ dẫn thu hút sự chú ý của người
đọc vào một điểm quan trọng và cho thấy trình tự của một quá trình. Biển
chỉ dẫn giúp người đọc lướt qua văn bản một cách nhanh chóng bằng cách
dựa trên những điểm chính được làm cho nổi bật và sự phát triển hợp lý của
thông tin. Ví dụ, nội dung phần đầu tiên của báo cáo của bạn có thể bắt đầu
với "Đây là báo cáo về kết quả giám định pháp lý của máy tính SN 123456."
Và sau đó trong phần trình bày về thủ tục là “Bước đầu tiên trong quá trình
này là, " và "Bước thứ hai …" Và như vậy. "Đầu tiên" và "Thứ hai" là biển
chỉ dẫn cho thấy trình tự của thông tin hoặc nhiệm vụ. Khi muốn đánh giá
một vấn đề nào đó bạn có thể bao gồm một biển chỉ dẫn như "Vấn đề ở đây
là ..." Để chứng tỏ rằng bạn đang đưa ra một kết luận và trình bày các nhận
định của mình với "Điều này có nghĩa là ..." hoặc "Kết quả cho thấy ..."
Bố Trí Và Trình Bày Các Báo Cáo

Bố trí và trình bày báo cáo liên quan đến nhiều yếu tố, bao gồm cả việc sử
dụng tiêu đề rõ ràng và đề mục của chủ đề. Một hệ thống đánh số cũng là
một phần của bố cục. Thông thường, người viết báo cáo sử dụng một trong
hai hệ thống số: số thập phân hoặc số tuần tự pháp lý. Sau khi bạn chọn một
hệ thống thì phải giữ nguyên trong báo cáo.
Một báo cáo sử dụng hệ thống số thập phân chia tài liệu thành các phần và
khởi động lại số với mỗi phần chính, như trong ví dụ sau đây. Với hệ thống
này, độc giả có thể quét các tiêu đề và hiểu được mối liên quan của phần này
với phần khác trong báo cáo.
I. Tóm tắt
1.1. Báo cáo này bao gồm xem xét lại các dữ liệu được tìm thấy trên ổ đĩa
cứng trên máy tính A và máy tính B. Cả hai là các máy tính để bàn hiệu
Dell...
447
II. Phân tích chi tiết
Máy tính A
2.1. Các ổ đĩa cứng của máy tính A được chỉ định ổ đĩa C và ổ D.
2.2. Cả hai ổ đĩa cứng là 100 GB Maxtor.
2.3. Không gian trống trên hai ổ đĩa cứng là ít hơn 20%.
Máy tính B
2.4 Các ổ đĩa cứng của máy tính B được chỉ định ổ đĩa C và ổ D.
2.5. Cả hai ổ đĩa cứng là 80 GB Seagate .
2.6. Cả hai ổ đĩa có hơn 90% không gian trống.
Hệ thống số tuần tự pháp lý thường được sử dụng trong biện hộ pháp lý.
Mỗi chữ số La Mã đại diện cho một khía cạnh chính của báo cáo, và mỗi
chữ số Ả Rập là một phần quan trọng của thông tin hỗ trợ, như trong ví dụ
sau đây. Hệ thống này có ý nghĩa đối với luật sư nhưng có thể không có hiệu
quả với người bình thường vì số tuần tự pháp lý không xác định một hệ
thống phân cấp để nêu lên tầm quan trọng tương đối của thông tin trong báo
cáo.
I. Tóm tắt
1. Báo cáo này bao gồm xem xét lại các dữ liệu được tìm thấy trên ổ đĩa
cứng trên máy tính A và máy tính B. Cả hai hệ thống là máy tính để bàn
Dell. ..
II. Phân tích chi tiết

Máy tính A
2. Các ổ đĩa cứng của máy tính A được chỉ định ổ đĩa C và ổ D.
3. Cả hai ổ đĩa cứng là 100 GB Maxtor.
4. Cả hai ổ đĩa cứng là ít hơn 20%.
Máy tính B
5. Các ổ đĩa cứng của máy tính B được chỉ định ổ đĩa C và ổ D.
6. Cả hai ổ đĩa cứng là 80 GB Seagate.
7. Cả hai ổ đĩa có hơn 90% không gian trống.
448
Cung Cấp Vật Liệu Hỗ Trợ - Ví dụ các Hình ảnh hay bảng mô tả trong tài
liệu này, chúng ta nên đánh số theo loại vật liệu vì dụ Hình 1-1, Hình 1-2
hay Bảng 1-1 … Đi kèm theo là thông tin mô tả vắn tắt để người đọc có thể
hiểu được Hình minh họa cho tình huống nào, hay của công cụ điều tra pháp
lý nào đó. Có thể cung cấp các vật liệu hỗ trợ này bên dưới thông tin liên
quan và cung cấp thêm trong phần phục lục.
Định Dạng Nhất Quán - Báo cáo phải tuân theo một định dạng nhất quán
như font chữ và cỡ chữ của tiêu đều, của nội dung phải đồng nhất với nhau.
Các chữ in nghiêng phải dùng cho các nội dung có cùng tính chất hay thể
loại, cần chú ý các đoạn thụt vào hay cách đánh số thứ tự và các số, kí hiệu
…
Giải Thích Quá Trình Kiểm Tra Và Phương Pháp Thu Thập Dữ Liệu -
Giải thích làm thế nào bạn nghiên cứu vấn đề và nên tiến hành theo một
cách hợp lý với mục đích của báo cáo. Tùy thuộc vào loại dữ liệu, phần này
có thể chứa các phần phụ về thủ tục kiểm tra, vật liệu, thiết bị, dữ liệu thu
thập và các nguồn, cùng với kỹ thuật phân tích thống kê.
Bao Gồm Các Tính Toán - Trong hầu hết trường hợp, thuật toán băm được
sử dụng để tính các giá trị băm nhằm so sánh sự đồng nhất và kiểm tra tính
toàn vẹn của dữ liệu. Chúng ta cần cung cấp cơ chế tính toán giá trị băm đã
áp dụng như MD5 hay SHA-1.
Cung Cấp Những Thông Tin Không Chắc Chắn Và Phân Tích Lỗi –
Trong điều tra pháp lý đối với máy tính, có nhiều vấn đề bạn không biết
chắc do những giới hạn của kiến thức hay công nghệ cần được cung cấp rõ
ràng. Ví dụ nếu bạn đang sử dụng dấu thời gian cho một tập tin trên hệ điều
hành Windows để cho biết rằng tập tin được tạo ra tại một thời gian nhất
định, bạn cần phải thừa nhận rằng đồng hồ máy tính có thể được thiết lập lại
một cách dễ dàng. Ngoài ra, bạn nên ghi rõ là không đảm bảo tuyệt đối rằng
dấu thời gian của một tập tin là một sự phản ánh thời gian mà nó được tạo
ra, nhưng có thể có các chỉ số liên quan khác đáng tin cậy như dấu thời gian
của các tập tin khác và của các thư mục khi chúng được tạo ra.
449
Giải Thích Kết Quả Và Kết Luận - Giải thích những phát hiện của bạn, sử
dụng phân nhóm để phân chia các cuộc thảo luận vào các mục hợp lý. Mô tả
những gì bạn thực sự tìm thấy, không phải những gì bạn hy vọng tìm thấy.
Bao gồm các cuộc thảo luận sẽ làm tăng tính rõ ràng của tài liệu và dễ hiểu
hơn đối với người đọc. Hãy tóm tắt lại những nội dung tổng quan trong phần
kết luận của báo cáo. Các kết luận cần phải xác định lại các mục tiêu, cùng
những phát hiện của bạn với báo cáo rõ ràng, súc tích. Giữ kết luận ngắn gọn
và có trọng tâm.
Cung Cấp Tài Liệu Tham Khảo - Khi viết một báo cáo bạn phải trích dẫn
các tài liệu tham khảo cho tất các tài liệu mà bạn đã sử dụng làm nguồn cho
nội dung công việc của bạn. Những thông tin này được đặt ở bất cứ nơi nào
bạn trích dẫn, diễn giải, tóm tắt ý kiến người khác. Tài liệu tham khảo có thể
bao gồm sách, tạp chí, báo chí, các trang web, biên bản hội nghị...
Bao Gồm Cả Các Phụ Lục Nếu cần thiết, bạn có thể bao gồm các phụ lục
có chứa vật liệu như dữ liệu thô, số liệu không được sử dụng trong cơ thể
của báo cáo, và các cuộc triển lãm dự kiến.
Sắp xếp chúng theo thứ tự được đề cập trong báo cáo. Họ được coi là tài liệu
bổ sung và có thể không được kiểm tra bởi các độc giả. Một số phần của phụ
lục có thể được xem xét tùy chọn, nhưng những người khác được yêu cầu.
Ví dụ, các cuộc triển lãm được yêu cầu theo FRCP, Quy tắc 26, cũng như sơ
yếu lý lịch của bạn (trừ khi fides bona được tích hợp vào báo cáo).
Tạo Báo Cáo Với Công Cụ Điều Tra Pháp Lý

Với rất nhiều phần mềm điều tra pháp lý cho máy tính như ProDiscover, X-
Ways Forensics, FTK, iLook và EnCase đề có khả năng tạo tập tin nhật kí và
báo cáo để điều tra viên phân tích. Mặc dù những công cụ báo cáo những gì
đã được tìm thấy và ở đâu thì các bạn mới là những người chịu trách nhiệm
chính trong việc giải thích ý nghĩa của các bằng chứng được khôi phục, và
các giới hạn cũng như những vấn đề không chắc chắn trong phát hiện của
450
bạn. Các báo cáo này và các bản ghi tập tin nhật kí thường dưới dạng văn
bản hoặc định dạng HTML. Trong phần này chúng ta sẽ cách tích hợp một
báo cáo được tạo bởi phần mềm pháp lý vào một bản báo cáo chính thức mà
ta có thể trình bày với luật sư hoặc khách hàng của mình.
Trong tình huống này, Ileen Johnson đã yêu cầu bạn tìm kiếm những thông
tin về nhân viên Denise Robinson của Superior Bicycles. Cụ thể, Ileen muốn
biết những thông điệp Denise đã nhận được từ Terry Sadler và kiểm tra trên
máy tính của cô ta xem có các thông tin quan trọng nào như dữ liệu kế toán,
bảng tính trên máy tính ta hay không. Ileen cũng thông báo cho bạn rằng cô
ấy không biết địa chỉ emailđầy đủ của ông Sadler, chỉ biết là là nó bắt đầu
với "terrysadler.". Ngoài ra Denise ở trong một thàn phố khác nên Ileen có
nhờ một chuyên gia bên ngoài chụp các dữ liệu từ máy tính của Denise và
lưu trên một đĩa CD. Bây giờ bạn đã có đĩa CD với Hình ảnh thu thập được
là GCFI-Win98.eve từ máy tính của Denise và Ileen cũng xác nhận rằng
Denise sử dụng chương trình bộ công cụ văn phòng OpenOffice.
Sử Dụng ProDiscover Basic Tạo Báo Cáo
Bạn cần phải tìm thông tin bảng tính kế toán có thể đã được tạo bởi
OpenOffice Calc và các emailtương ứng trong Outlook Express. Đối với
OpenOffice Calc, hãy tìm kiếm cho các tập tin với .ods và .sxc. Đối với
Outlook Express, hãy tìm các tập tin có phần mở rộng là .dbx. Khi bạn đã
xác định được các tập tin có phần mở rộng thích hợp hãy đánh dấu chúng và
tạo một báo cáo trong ProDiscover. Sau đó, bạn trích xuất các tập tin để
kiểm tra thêm với FTK Demo. Để tiến hành bài tập này hãy làm theo các
bước sau:
1. Sao chép tập tin GCFI-Win98.eve vào thứ mục làm việc.
2. Mở ProDiscover Basic với quyền quản trị.
3. Nhấn vào File, New Project từ trình đơn. Trong hộp thoại New Project, gõ
InChap14 cho số dự án và tên tập tin, và sau đó kích OK. Lưu dự án trong
thư mục làm việc của bạn.
4. Trong màn Hình tree-view, bấm để mở rộng Add và sau đó nhấp vào
Image File.
451
5. Trong hộp thoại Open, điều hướng đến thư mục làm việc của bạn, nhấp
vào tập tin GCFI-Win98.eve và nhấn Open. Nếu hộp thông báo Auto Image
Checksum xuất hiện hãy nhấn Yes.
6. Nhấp vào để mở Images bên dưới Content View, và sau đó mở rộng
đường dẫn tập tin GCFI-Win98.eve để bạn có thể thấy các thư mục và tập
tin trong khu vực làm việc.
7. Nhấp vào nút Search trên thanh công cụ. Trong hộp thoại Search, nhấp
vào nút tùy chọn Search for files named, và trong hộp văn bản bên dưới, gõ
phần mở rộng sau đây .ods, sxc, và dbx trên các dòng khác nhau như Hình
14-2.
Hình 14-2 : Tìm kiếm theo tên mở rộng của tập tin
8. Dưới khung elect the Disk(s)/Image(s) you want to search in chọn tập tin
Hình ảnh GCFI-Win98.eve, và sau đó kích OK.
9. Trong các kết quả tìm kiếm, nhấp vào ổ đánh dấu bên cạnh tập tin
Inbox.dbx. Trong hộp thoại Add Comment, nhập vào Files for case report
InChap14 trong khu vực bình luận của điều tra viên, tiếp theo nhấn vào ổ
452
đánh dấu Apply to all items và sau đó nhấn OK.
10. Trong các kết quả tìm kiếm, nhấp vào hộp kiểm bên Sent Items.dbx ,
Speedy Financials2.sxc , Speedy Financials 1.sxc, Speedy Financials.sxc , và
Speedy Financials3.sxc như thể hiện trong Hình 14-3.
Hình 14-3 : Chọn các tập tin trong kết quả tìm kiếm
11. Nhấp vào nút Add to Report, và sau đó kích đúp vào tập tin Inbox.dbx để
quay trở lại khu vực làm việc.
12. Trong khu vực làm việc nhấp chuột phải vào tập tin Inbox.dbx, sau đó
chọn Copy All Selected Files.
13. Trong hộp thoại Choose Destination, nhấp vào nút Browse, duyệt đến
thư mục làm việc của bạn, nhấn OK, và sau đó nhấn OK lần nữa.
14. Trong màn Hình tree-view nhấp vào Report, và sau đó nhấp vào Action ,
Export từ trình đơn để mở hộp thoại Export.
15. Trong ô văn bản File Name hãy nhập vào InChp14-prodiscover. Nhấn
vào Browse, tìm đến và kích đúp vào thư mục làm việc của bạn, hãy nhấp
vào Save, và sau đó nhấn OK để lưu các báo cáo.
16. Thoát khỏi ProDiscover. Nếu bạn được nhắc nhở để lưu dự án hãy nhấn
Yes.
Trong phần sau đây chúng ta sẽ tích hợp báo cáo của ProDiscover vào một
báo cáo FTK để có thể sử dụng chúng như là một phần của kết quả điều tra.
Sử Dụng AccessData FTK Tạo Báo Cáo
453
AccessData FTK có một số tính năng độc đáo mà không có trong
ProDiscover Basix. Các bước sau sẽ tiến hành phân tích sâu hơn tập tin .dbx
của Outlook Express mà bạn đã trích xuất với ProDiscover. Đầu tiên hãy nạp
dữ liệu để xử lý bằng cách thực hiện các bước sau:
1. Mở FTK với quyền quản trị.

2. Trong hộp thoại AccessData FTK Startup, nhấp vào nút tùy chọn Start a
new case, và sau đó nhấp OK.
3. Trong hộp thoại New Case, hãy nhập tên của bạn trong ô tên của điều tra
viên của hộp văn bản tên và nhập vào InChp14 trong ô số và tên của vụ án
hay tình huống. Tiếp theo nhấn Browse trong khung văn bạn Case Path và
tìm đến thư mục làm việc của bạn nơi đã trích xuất các tập tin dữ liệu, tiếp
theo nhấn vào OK, và sau đó kích Next.
4. Trong hộp thoại Case Information, nhập vào tên trường học hoặc tên
nhóm của bạn trong ô văn bản Agency/Company và tên của bạn trong ô
Examiner ’s Name, và sau đó kích Next.
5. Nhấn Next cho đến khi bạn mở hộp thoại Refine Case - Default. Nhấp
vào nút Email Emphasis, sau đó kích Next. Trong hộp Refine Index Default
hãy nhấp vào Next lần nữa.
6. Trong hộp thoại Add Evidence, nhấp vào Add Evidence và trong hộp
thoại Add Evidence to Case nhấp vào nút tùy chọn Contents of a Folder, sau
đó chọn Continue. Trong hộp thoại Browse for Folder, điều hướng đến thư
mục mà bạn đã trích xuất tập tin .dbx ví dụ Work\Chap14\Chapter\GCFI-
Win98.eve\Windows như Hình 14-4), sau đó kích OK.
454
Hình 14-4 : Chọn thư mục để trích xuất tập tin email.
7. Trong hộp thoại Evidence Information hãy nhấn OK và trong hộp thoại
Add Evidence, kích Next.
8. Để bắt đầu việc xử lý, nhấn Finish trong hộp thoại Case Summary. Để
FTK chạy bài tập tiếp theo.
Tiếp theo, bạn tìm các emailcó thông tin về Terry Sadler. Thực hiện theo các
bước sau để tìm kiếm theo từ khóa tham khảo "terrysadler" và đánh dấu
chúng cho báo cáo của bạn:
1. Trong cửa sổ chính FTP hay nhấp vào tab Search, và sau đó chọn tab
Indexed Search. Trong ô văn bản Search Term hãy nhập vào terrysadler,
nhấp Add, và sau đó nhấp vào nút View Cumulative Results.
2. Trong hộp thoại Filter Search Hits, nhấn OK. Trong cửa sổ phía trên bên
phải của cửa sổ FTK chính, mở rộng danh sách các kết quả như thể hiện
trong Hình 14-5.
455
Hình 14-5 : Kết quả tìm kiếm với tên terrysadler
3. Tiếp theo, bạn cần phải chọn tất cả các thông điệp với tên terrysadler.
Trong khung File List ở phía dưới, nhấp vào hộp kiểm bên cạnh mỗi tin
nhắn (xem Hình 14-6).
Hình 14-6 : Các tập tin được chọn để đánh dấu
4. Nhấp vào Tools , Create Bookmark từ trình đơn. Trong hộp thoại Create
New Bookmark hay nhập vào Terry Sadler Emailtrong ô Bookmark name và
nhấp vào nút All checked items. Tiếp theo đánh dấu kiểm vào ô Include in
report và Export files như Hình 14-7 sau đó kích OK.
456
Hình 14-7 : Hộp thoại Create New Bookmark
5. Để tạo ra báo cáo, hãy nhấp vào File , Report Wizard từ trình đơn. Nếu
thông báo FTK Friendly Reminder mở ra hãy nhấn OK.
6. Trong hộp thoại Case Information, cập nhật thêm các thông tin nếu cần
thiết, và sau đó kích Next.
7. Trong hộp thoại Bookmarks, nhấn Yes, include all bookmarks và Yes,
export all bookmarked files sau đó kích Next.
8. Tiếp tục nhấn Next cho đến khi mở hộp thoại Supplementary Files, hãy
nhấp vào Add Files. Trong hộp thoại Open, điều hướng đến thư mục lưu báo
cáo của ProDiscover và nhấp vào InChp14-prodiscover.rtf, sau đó nhấn
Open, và kích Next.
9. Trong hộp thoại Report Location, nhấn Finish. Khi nhìn thấy hộp tin nhắn
Report Wizard hãy nhấn Yes. FTK sẽ mở báo cáo trong trình duyệt Web của
bạn (xem Hình 14-8).
457
Hình 14-8 : Báo cáo hoàn tất
10. Thoát khỏi FTK bằng cách nhấn vào File, Exit từ trình đơn. Trong hộp
thoại FTK Backup Confirmation hãy nhấn No.
458
■ Hầu hết các tòa án tại Mỹ và nhiều quốc gia khác yêu cầu các nhân chứng
báo cáo bằng văn bản.
■ Luật sư thường sử dụng các dữ liệu ngân hàng lời khai để nghiên cứu lời
khai của nhân chứng.
■ Báo cáo cần trả lời các câu hỏi mà bạn được hỏi trước đó.
■ Một cấu trúc báo cáo tốt giúp cho người đọc dễ hiểu nội dung mà bạn
muốn trình bày. Hãy tuân theo cấu trúc được hướng dẫn.
■ Báo cáo cần được viết rõ ràng, súc tích để đạt được thành công. Hãy lưu ý
chèn các biển chỉ dẫn để cung cấp cho độc giả những đầu mối về trình tự của
thông tin, và tránh những từ ngữ mơ hồ, thuật ngữ và tiếng lóng.
■ Báo cáo cần khách quan.
459
460
Chương 15
Chuyên Viên Chứng Ngôn

Trong Điều Tra Kỹ Thuật Cao
Sau Hoàn Thành Chương Này Các Bạn Có Thể :

• Giải thích hướng dẫn cung cấp lời khai
• Mô tả các hướng dẫn để làm chứng tại tòa án
• Hướng dẫn cho chứng thực trong lời khai và điều trần
• Mô tả các thủ tục chuẩn bị bằng chứng pháp lý cho lời khai
461
Chương này giải thích các quy tắc của chứng cứ và thủ tục lấy lời khai của
nhân chứng. Bạn sẽ tìm hiểu về các loại làm chứng gồm : tại tòa án (trial),
lời khai bên ngoài tòa án có tuyên thệ (deposition) hay tại một phiên điều
trần (hearing) và sự khác biệt giữa các nhân chứng kỹ thuật và nhân chứng
chuyên. Ngoài ra, chúng ta cũng tìm hiểu làm thế nào để tránh một số vấn đề
thường gặp của lời khai và tìm hiểu một số kỹ thuật mà bạn có thể sử dụng
để tăng giá trị của lời khai của bạn. Và cung cấp một ví dụ làm thế nào để
chuẩn bị bằng chứng pháp lý cho lời khai.
Chuẩn Bị Cho Việc Lấy Lời Khai
Một người giám định pháp lý có thể đóng một trong hai vai trò trước tòa án
là :
(i) Technical/scientific witness – lúc này bạn được gọi là một nhân chứng kỹ
thuật hay khoa học. Là một nhân chứng kỹ thuật / khoa học, bạn chỉ cung
cấp các sự kiện mà bạn đã tìm thấy trong bất kỳ bằng chứng điều tra của bạn
và giải thích nó là gì và làm thế nào có được. Bạn không cung cấp kết luận,
mà chỉ có các sự kiện.
(ii) Expert witness - là một nhân chứng chuyên gia, bạn nêu ý kiến về những
gì bạn đã tìm thấy hoặc quan sát mà không cần phải là một nhân chứng cho
liên quan đến các vụ kiện hoặc vụ án Hình sự. Những ý kiến có được từ kinh
nghiệm và suy luận dựa trên những sự kiện được tìm thấy trong quá trình
điều tra hay kinh nghiệm của bạn. Các chuyên gia thường được trả tiền hậu
hĩnh cho dịch vụ của họ và có thể được yêu cầu của phe đối lập số tiền mà
họ nhận được công việc của họ về vụ việc. Trong hầu hết các nước, cả hai
bên phải trao đổi tên và địa chỉ của các chuyên gia đề xuất cho phép các lời
khai trước khi xét xử.
Đối với một trong hai loại chứng trong một vụ án pháp lý về máy tính, bạn
cần chuẩn bị kỹ lưỡng. Hãy xem lại các câu hỏi sau đây khi chuẩn bị lời khai
của bạn:
462
• Các sự kiện chính liên quan đến lời khai của tôi là gì?
• Những gì tôi có thể nói với sự tự tin?
• Ý kiến tổng thể của khách hàng là gì ?
• Làm thế nào để quan điểm của tôi hỗ trợ cho vụ án?
• Phạm vi của vụ án là gì? Tôi đã đi quá xa?
• Tôi đã xác định được nhu cầu của khách hàng để làm cho chứng ngôn của
mình phù hợp với vụ án ?
Cung Cấp Tư Liệu Và Chuẩn Bị Chứng Cứ
Như đã nhấn mạnh trong chương trước, cần phải ghi lại các bước của bạn
trong việc thu thập và bảo quản chứng cứ để làm tư liệu. Nếu phát hiện của
bạn không thể thực hiện lại, chúng sẽ không được xem là bằng chứng. Ngoài
ra, xác nhận công cụ của bạn và xác minh chứng cứ với các thuật toán băm
để đảm bảo tính toàn vẹn của nó. (Tham khảo Chương 5 hướng dẫn về cách
sử dụng thuật toán băm). Các hướng dẫn sau đây cũng rất hữu ích trong việc
bảo đảm tính toàn vẹn cho bằng chứng của bạn:
• Nếu bạn cần một danh sách kiểm tra để phân tích bằng chứng thì phải tạo
riêng cho từng trường hợp cụ thể. Không sử dụng một danh sách kiểm tra
cho tất cả các tình huống của bạn, và hãy bao gồm một danh sách kiểm tra
trong báo cáo của.
• Thu thập chứng cứ và ghi lại các công cụ mà bạn sử dụng để tạo ra các thư
mục lưu trữ hay hộp chứa chứng cứ. Phương pháp này giúp tổ chức chứng
cứ và các công cụ của bạn.
• Hãy nhớ rằng chuỗi lưu ký chứng cứ hỗ trợ tính toàn vẹn của bằng chứng
của bạn, hãy ngăn ngừa bất kì tác động nào có thể gây ảnh hưởng lên chứng
cứ.
• Khi thu thập chứng cứ, phải cẩn thận không để có được thông tin quá ít
hoặc quá nhiều.
• Luôn chú ý đến ngày và giờ trên của máy trạm pháp lý khi bắt đầu quá
trình phân tích của bạn. Có thể sử dụng một đồng hồ Internet như
www.time.gov để đồng bộ hóa thời gian nhằm bảo đảm tính chính xác
463
• Chỉ giữ lại các kết quả phân tích thành công.
• Khi tìm kiếm theo từ khoá, hãy chạy lại quá trình tìm kiếm với các từ khóa
được chỉ định và không tìm trên một lĩnh vực rộng để giảm sai sót.
• Khi ghi chép các kết quả của hãy giữ cho chúng đơn giản và cụ thể.
• Khi viết báo cáo của bạn, chỉ liệt kê những bằng chứng liên quan đến vụ
án; không bao gồm các kết quả không liên quan.
• Xác định bất kỳ thủ tục nào mà bạn sử dụng để tiến hành.
Xem Lại Vai Trò Chuyên Gia Tư Vấn Hoặc Nhân Chứng
Chuyên Môn Của Bạn
Tùy thuộc vào nhu cầu của luật sư của bạn, bạn có thể chỉ cung các tư vấn
chuyên môn cho anh ta hoặc cô ta thay vì làm chứng tại tòa án, vai trò này
được gọi là một chuyên gia tư vấn. Nếu sau đó bạn thay đổi vai trò từ
chuyên gia tư vấn sang nhân chứng chuyên môn thì công việc trước đây của
bạn như một chuyên gia tư vấn có khả năng bị luật sư đối lập khai thác. Vì
lý do này, không ghi lại bất kì cuộc hội thoại hoặc các cuộc gọi điện thoại
nào. Khi trình bày bản thân trước một tòa án có thể bạn phải cung cấp những
thông tin sau đây:
• Các vụ án khác mà bạn đã làm chứng như một chuyên gia tại phiên toà
hoặc cung cấp lời khai bên ngoài trong bốn năm trước đó.
• Các tác phẩm mà bạn đã xuất bản trong vòng 10 năm.
• Những khoản thanh toán mà bạn nhận được khi cung cấp lời khai.
Ngoài ra, tòa án có thể chỉ định các nhân chứng chuyên môn riêng của mình.
Cho nên, hãy trao đổi với luật sư của bạn về những vấn đề đã phát hiện
nhằm giúp họ đối phó với các chứng từ được đưa ra bởi các chuyên gia do
tòa án chỉ định cung cấp.
Tạo Và Duy Trì CV Của Bạn

Sơ yếu lý lịch (CV) của bạn liệt kê những kinh nghiệm chuyên môn của bạn
và được sử dụng để kiểm tra tư cách làm chứng của bạn. Đối với các chuyên
464
gia pháp lý việc lưu giữ tài liệu này và cập nhật đầy đủ là rất quan trọng để
cho thấy rằng bạn đang liên tục tăng cường kỹ năng thông qua đào tạo, giảng
dạy, và tích lũy kinh nghiệm.
Chuẩn Bị Các Định Nghĩa Kỹ Thuật

Trước khi bạn làm chứng tại tòa án hãy chuẩn bị kỹ càng các định nghĩa của
khái niệm kỹ thuật mà bạn có thể sử dụng khi bị đặt câu hỏi bởi luật sư của
bạn cũng như luật sư đối lập. Không cần phải đi sâu vào chi tiết mà chỉ đơn
giản là giải thích ý nghĩa chung của các thuật ngữ. Sau đây là ví dụ về các
thuật ngữ mà bạn cần chuẩn bị khi cung cấp lời khai:
• Máy tính pháp lý

• CRC-32, MD5, và thuật toán băm SHA-1
• Phần cứng ; Phần mềm ; Hệ điều hành …
Chuẩn Bị Để Đối Phó Với Truyền Thông

Một số hành động pháp lý được thực hiện do ảnh hưởng từ các phương tiện
truyền thông, nhưng bạn nên tránh tiếp xúc với chúng đặc biệt là trong một
vụ án vì những lý do sau đây:
• Ý kiến của bạn có thể gây tổn hại cho các vụ án và có thể được sử dụng
chống lại bạn.
• Bạn không thể kiểm soát thông tin sẽ được công bố như thê 1na2o, khi mà
các báo mạng ngày càng nhiều.
• Bạn không thể tin tưởng vào lời hứa bảo đảm tính bí mật thông tin từ các
nhà báo. Ngay cả khi vụ việc được giải quyết cũng tránh thảo luận chi tiết
với báo chí.
Nếu bạn không thể tránh khỏi một nhà báo, tham khảo ý kiến với luật sư của
bạn để đưa ra giải pháp xử lý tốt nhất. Nên ghi lại quá trình phỏng vấn để có
thể đối chiếu khi báo chí đưa tin không đúng sự thật, hay các tin giật gân
nhằm câu khách . (Lưu ý luật pháp của các quốc gia có thể khác nhau về vấn
đề ghi âm, nên tham khảo ý kiến của luật sư.)
465
Làm Chứng Tại Tòa Án
Trước khi được gọi làm chứng tại tòa án, bạn nên quen thuộc với các thủ tục
thông thường trong quá trình xét xử. Đầu tiên, luật sư của bạn kiểm tra về
trình độ của bạn để chứng mình với tòa án rằng bạn có thẩm quyền là một
nhân chứng chuyên môn kỹ thuật. Luật sư đối lập có thể sau đó qua kiểm tra
về trình độ của bạn (có lẽ trong một nỗ lực làm mất uy tín). Tiếp theo, luật
sư của bạn sẽ chỉ dẫn để thông suốt các bằng chứng, và sau đó luật sư đối
lập sẽ thẩm vấn bạn. Sau khi cung cấp lời khai bạn có thể được gọi trở lại để
cập nhật lời khai hoặc bạn có thể xem như là một nhân chứng bác bỏ.
Tìm Hiểu Tiến Trình Xét Xử

Trình tự điển Hình của thủ tục xét xử dù là dân sự hay Hình sự gồm các
bước như sau:
• Motion in limine - Chuyển động trước khi xét xử để loại trừ bằng chứng
có khả năng làm phương hại đến bồi thẩm đoàn. Ví dụ như báo cáo được
thực hiện mà không có những lời cảnh báo Miranda sẽ được hủy bỏ theo luật
pháp của Hoa Kỳ (đây là lời cảnh báo trước khi thực hiện một cuộc bắt giữ
mà cảnh sát thường đọc cho nghi phạm, như trong các phim có lời thoại
“bạn có quyền giữ im lặng …” là cảnh sát đang đọc cảnh báo Miranda)
• Thành lập bồi thẩm đoàn - Quá trình này bao gồm đặt câu hỏi các thành
viên bồi thẩm đoàn tiềm năng để xem liệu họ có đủ tư cách trình độ, từ chối
bồi thẩm tiềm năng, và sắp đạt thành viên bồi thẩm đoàn.
• Mở báo cáo - Cả hai luật sư cung cấp một cái nhìn tổng quan của vụ án.
• Nguyên đơn - Nguyên đơn trình bày các trường hợp.
• Bị cáo - Bị cáo trình bày các trường hợp.
• Bác bỏ - Bác bỏ nguyên đơn và bị đơn là một giai đoạn tùy chọn của quá
trình xét xử.
• Kết thúc tranh luận - Tuyên bố các bằng chứng là hợp lệ.
• Jury instruction - Sau khi các luật sư đã trình bày tất cả các bằng chứng
và lập luận cuối cùng sẽ yêu cầu bồi thẩm đoàn về việc làm thế nào để xem
xét bằng chứng, và sau đó thẩm phán chấp thuận hoặc không chấp thuận,
466
nếu được phê duyệt, thẩm phán đọc cho bồi thẩm đoàn và bắt đầu thảo luận.
Cung Cấp Chúng Nhận Cho Lời Khai Của Bạn
Trong giai đoạn chứng nhận các lời khai luật sư sẽ đặt câu hỏi để cho mọi
người thấy trình độ chuyên môn của bạn nhằm xác thực vai trò nhân chứng
chuyên môn. Giai đoạn này được gọi là voir dire. Thông thường, luật sư sẽ
dẫn dắt thông qua CV của bạn. Số lượng chi tiết trong quá trình này phụ
thuộc vào nhiều yếu tố, nhưng tất cả đều liên quan đến những điểm mạnh
của bạn mà luật sư nhìn thấy. Sau khi luật sư của bạn hoàn thành giai đoạn
này, họ yêu cầu tòa án chấp nhận bạn như một chuyên gia về điều tra chứng
cứ trên máy tính. Tuy nhiên, luật sư đối lập có thể phản đối và được phép
kiểm tra bạn, việc thẩm vấn chỉ diễn ra nếu luật sư đối lập cho rằng có thể
thu thập được những thông tin nào đó.
Hướng Dẫn Chung Về Làm Chứng

Danh sách dưới đây cung cấp một số hướng dẫn chung trong quá trình làm
chứng trước tòa :
• Luôn thừa nhận và hướng về bồi thẩm đoàn, giọng điệu chân thành để giữ
cho các ban giám khảo quan tâm đến những gì bạn phải nói. Nói rõ và to
ràng để bồi thẩm đoàn có thể nghe và hiểu bạn. Sử dụng ngôn ngữ đơn giản,
trực tiếp để giúp bồi thẩm đoàn dễ hiểu.
• Ăn mặc chỉnh tề, tác phong đứng đăn và tránh hài hước.
• Lập lại hiện trường và giải thích, mô tả cho ban giám khảo.
• Nếu bạn đang sử dụng thuật ngữ kỹ thuật cần mô tả rõ ràng cho bồi thẩm
đoàn. Liệt kê các yếu tố kỹ thuật quan trọng, cho thấy làm thế nào bạn kiểm
tra và xác nhận mỗi yếu tố.
• Khi đưa ra một ý kiến, trích dẫn các nguồn gốc và nguyên nhân tạo nên ý
kiến của bạn. Sau đó, bày tỏ ý kiến của bạn và giải thích phương pháp của
bạn, làm thế nào bạn đến ý kiến của bạn.
467
Đối với các luật sư đã thuê bạn hãy chuẩn bị cho những câu hỏi sau:
• Dữ liệu (bằng chứng) được lưu trữ trên ổ đĩa cứng như thế nào?
• Một Hình ảnh hoặc bản sao bit-stream là gì?
• Làm thế nào xóa dữ liệu thu hồi từ một ổ đĩa?
• Tập tin tạm thời trên hệ thống là gì Windows và chúng có liên quan gì với
dữ liệu hoặc chứng cứ?
• Tập tin nhật kí mạng va hệ thống là gì ?
Làm Chứng Trong Quá Trình Kiểm Tra Trực Tiếp
Kiểm tra trực tiếp là khi bạn trả lời câu hỏi của luật sư đã thuê bạn. Quá trình
kiểm tra này là phần quan trọng nhất của lời khai tại phiên tòa. Còn quá trình
truy vấn hay kiểm tra chéo thực ra không quan trọng bằng, ngay cả khi luật
sư đối lập đang cố gắng làm mất uy tín nhân chứng.
Khi chuẩn bị lời khai của bạn cho quá trình kiểm tra trực tiếp nên ghi nhớ
một số hướng dẫn và kỹ thuật trong tâm trí. Bạn nên làm việc với luật sư của
mình để thông điệp của bạn truyền tãi đến bồi thẩm đoàn có hiệu quả. Bạn
không nên tình nguyện cung cấp thêm bất kỳ thông tin hoặc là quá thân thiện
hay thù địch với luật sư đối lập.
Luật sư của bạn thường đặt các câu hỏi mở và để bạn xử lý trong lời khai
của mình. Khi gặp những câu trả lời về trình độ chuyên môn các bạn cần có
câu trả lời cho thấy kiến thức của một chuyên gia và có khả năng làm chứng.
Tránh sự mơ hồ trong các lựa chọn từ ngữ của bạn. Ví dụ, không sử dụng
các cụm từ như "rất lớn" hoặc "một thời gian dài." Nên sử dụng con số chính
xác và đơn vị đo lường.
Làm Chứng Trong Kiểm Tra Chéo
Kiểm tra chéo hay truy vấn là khi bạn trả lời câu hỏi của luật sư đối lập. Hãy
ghi nhớ một số từ có ý nghĩa bổ sung mà một luật sư đối lập có thể khai
thác. Trong quá trình kiểm tra chéo, luật sư đối lập đôi khi sử dụng các thủ
468
thuật ngắt lời khi bạn đang trả lời một câu hỏi. Trong một phiên tòa thẩm
phán thường không cho phép thủ thuật này, nhưng khi đặt câu hỏi bên ngoài
thì khác, vì không có một ai đóng vai trò trọng tài cho bạn. Hãy nhận biết
các câu hỏi trọng tâm của luật sư đối lập.
Một câu hỏi mơ hồ như "có phải các chuyên gia pháp lý luôn hủy các ghi
chú viết tay của họ?" là một nỗ lực để dẫn bạn nói điều gì đó gây xung đột
với những câu trả lời trước vì vậy câu trả lời nên là “tôi không biết ". Các
câu hỏi với đáp án là “có hoặc không” thường được gọi là "câu hỏi thiết lập
" và có thể gây tổn hại cho vụ án của khách hàng. Những câu hỏi này thường
có cấu trúc phức tạp nhằm hạn chế quyền tự do của bạn trong trả lời. Nếu
luật sư đối lập hỏi "Bạn có sử dụng nhiều hơn một công cụ để xác minh
bằng chứng?" Họ đang kiểm tra để xem bạn có xác nhận những phát hiện từ
công cụ này (ví dụ FTK) bằng cách sử dụng một công cụ khác (như
ProDiscovery). Sau đây là một số câu hỏi mà luật sư đối lập thường hỏi
trong quá trỉnh kiểm tra chéo:
• Các công cụ mà bạn sử dụng là gì những điểm yếu của chúng là gì?
• Các công cụ mà bạn sử dụng có đáng tin cậy? Chúng có cho ra những kết
quả đồng nhất?
• Các chuyên gia khác giống như bạn sử dụng các công cụ này như thế nào?
• Bạn có theo kịp với các công nghệ mới nhất áp dụng cho điều tra pháp lý
trên máy tính, chẳng hạn như bằng cách đọc báo?
Trong quá trình kiểm tra, luật sư không được hỏi một câu hỏi khác cho đến
khi bạn đã hoàn tất trả lời các câu hỏi hiện tại. Nếu luật sư đối lập tuyên bố
rằng bạn không trả lời các câu hỏi, có lẽ ông ta đang cố gắng để có bạn thay
đổi lời khai trong phiên tòa. Vì vậy hãy cẩn thận khi gặp tình huống này.
Ngoài ra, luật sư đối lập đôi khi yêu cầu một câu hỏi bên trong một câu hỏi,
thực hành này được gọi là một câu hỏi phức hợp, và luật sư của bạn nên
phản đối nó. Nếu luật sư của bạn không phản đối, bạn có thể trả lời bằng
cách nói rằng "Ông có thể phá vỡ câu hỏi cuối cùng bằng các câu hỏi riêng
biệt?". Bạn không có nghĩa vụ đáp ứng cho các báo cáo của các luật sư đối
lập.
469
Có nhiều yếu tố làm cho bạn cảm thấy căng thẳng bao gồm cả thẩm phán,
luật sư, bồi thẩm đoàn, và cảm giác mất kiểm soát. Đừng nghĩ rằng bạn đang
chịu trách nhiệm về kết quả. Nếu bạn mắc một sai lầm hãy sửa chữa nó, và
quay trở lại với lời khai đúng của bạn. Hãy tránh sự mất kiểm soát do tranh
cải do các thủ thuật của luật sư đối lập hay nói quá nhiều hoặc nói quá nhanh
khi trả lời các câu hỏi hay các hành động bất thường và thiếu sự chuẩn bị.
Chìa khóa thành công trong quá trình kiểm tra chéo là hãy tiếp là chính bạn,
với những gì bạn thực sự nhận biết và được yêu cầu làm chứng, không quá
bị ảnh hưởng bởi những cố gắng làm giảm uy tín của bạn từ phía luật sự đối.
Chuẩn Bị Cho Việc Cung Cấp Lời Khai Bên Ngoài

Tòa Án
Depostion testimony (lấy lời khai bên ngoài tòa án) khác với trial testimony
(lấy lời khai tại tòa) vì ở đó không bồi thẩm đoàn hoặc thẩm phán. Lúc này
cả hai luật sư đều có mặt và đặt câu hỏi. Mục đích của việc lấy lời khai này
là các luật sư đối lập muốn xem trước lời khai của bạn trước khi chúng được
cung cấp tại toàn. Các luật sư yêu cầu lấy lời khai bên ngoài tòa án thường
sắp đạt vị trí của nó, mà có thể là trong văn phòng của họ hoặc phòng thí
nghiệm pháp y của bạn.
Có hai loại lấy lời khai bên ngoài tòa án là : discovery deposition và
testimony preservation deposition. Tình huống lấy lời khai bên ngoài tòa án
theo Hình thức discovery deposition là một phần của quá trình xét xử. Các
luật sư đối lập thường xuyên tiến hành thao tác này thông qua việc kiểm tra
trực tiếp hay kiểm tra. Còn luật sư của bạn thường chỉ đặt những câu hỏi cần
thiết để làm rõ một điểm nào đó có thể bị hiểu sai trong lời khai trực tiếp của
bạn.
Còn tình huống lấy lời khai bên ngoài tòa án theo Hình thức testimony
preservation deposition thường được thực hiện theo yêu cầu của khách hàng
của bạn nhằm bảo quản chứng cứ trong các tình huống xung độ hay gặp phải
vấn đề về sức khỏe. Những lời khai được ghi Hình để bổ sung cho các ghi
chép bằng văn bản để có thể trình bày trước tòa. Trong một số trường hợp
470
bạn có thể chọn vị trí cho việc cung cấp lời khai tại phòng thí nghiệm của
mình hoặc có cơ sở phòng thí nghiệm có sẵn để có thể dễ dàng minh họa hay
làm cho lời khai của mình rõ ràng, chính xác hơn.
Hướng Dẫn Làm Chứng Trong Các Tình Huống Cung Cấp
Lời Khai Bên Ngoài Tòa Án
Thường thì luật sư cần phải “chiến đấu” nhiều hơn trong quá trình tìm kiếm
thông tin hay những lời ki cũng sẽ căng thẳng hơn trong giai đoạn này so với
việc trình bày trước tòa. Cần tập trung, cố gắng giữ bình tĩnh trong mọi tình
huống và xuất hiện với phong thái thoải mái, tự tin trong quá trình cung cấp
lời khai bên ngoài tòa án hay trong giao doạn depostion.
Hãy ghi nhớ kỹ những hướng dẫn kỹ thuật cho quá trình deposition, nếu cần
thiết bạn có thể tập luyện trước và quay video lại để đánh giá. Dưới đây là
một số quy tắc chung cần chú ý :
• Hãy là chuyên nghiệp và lịch sự.

• Sử dụng thực tế khi mô tả ý kiến của bạn.
• Cần hiểu việc bị lật đổ hay thất bại trong deposition là một quá trình không
tự nhiên, vì nó được thực hiện với mục đích làm cho các bạn mắc những sai
lầm.
Nếu bạn chuẩn bị một báo cáo bằng văn bản, các luật sư đối lập có thể cố
gắng sử dụng nó nhằm chống lại bạn bằng cách dẫn dũ bạn làm chứng hay
cung cấp lời khai trái với những gì bạn đã viết trước đó. Nếu luật sư che giấu
các báo cáo hoặc bất kỳ tài liệu nào khác khỏi tầm mắt của bạn thì hãy hỏi
để xem tài liệu. Khi các luật sư đối lập yêu cầu bạn trình bày hay giải thích
về một vấn đề nào đó trong báo cáo bằng văn bản của bạn thì hãy hãy yêu
cầu họ cho biết số trang đã dẫn chứng. Nếu bạn không có báo cáo trong tay
của bạn, bạn có thể yêu cầu xem xét nó.
Nếu luật sư của bạn chú ý vào một câu hỏi của bên đối lập hãy tạm dừng
trong giây lá để suy nghĩ và đoán xem luật sư của bạn muốn bạn trả lời theo
cách nào nhằm có lợi nhất. Giữ câu trả lời của bạn ngắn và đơn giản. Cố
471
gắng giữ một thái độ thoải mái, thân thiện, đặc biệt là nếu bạn đang được ghi
Hình. Để kiểm soát thời gian bạn hãy yêu cầu luật sư đối lập làm rõ hơn câu
hỏi của họ hay yêu cầu họ lập lại câu hỏi. Hãy chuẩn bị sẵn sàng khi kết thúc
buổi thẩm vấn như cung cấp cho phóng viên tòa án danh sách các thuật ngữ
kỹ thuật hoặc khoa học mà bạn sử dụng thường xuyên, bao gồm cả định
nghĩa và cách phát âm chính xác, nếu cần có thể đánh vần lại cho rõ ràng.
Hướng Dẫn Làm Chứng Tại Phiên Điều Trần
Một phiên điều trần thường dùng để chỉ các phiên họp ngắn gọn liên quan
đến một câu hỏi cụ thể tại thời gian trước khi thử nghiệm. Trong luật Hình
sự, một "phiên điều trần sơ bộ" được tổ chức trước khi một thẩm phán xác
định xem công tố viên đã trình bày đầy đủ bằng chứng rằng bị cáo đã phạm
một tội phạm để giữ anh ta / cô ấy dành cho phiên toàn. Việc làm chứng tại
phiên điều trần thường dùng để đối chiếu với việc chứng tại phiên tòa, do đó
hãy làm theo những hướng dẫn trong phần trước về việc làm chứng hay
cung cấp lời khai tại phòng xử án.
Chuẩn Bị Các Bằng Chứng Pháp Lý Cho Lời Khai
Trong phần này, bạn tìm hiểu các bước cho việc trích xuất thông tin để trình
bày với tòa án. Bạn cũng tìm hiểu làm thế nào để chuẩn bị để làm chứng cho
các chứng kỹ thuật số mà bạn đã thu thập. Bạn phải sẵn sàng để trả lời các
câu hỏi cụ thể từ luật sư của bạn cũng như luật sư chống đối.
Trong ví dụ sau đây, Ileen Johnson của Superior Bicycles đã yêu cầu bạn thu
thập địa chỉ tất cả emailtừ máy tính của nhân viên Chris Murphy. Ngoài ra,
Johnson cũng cần nội dung emailcho nhân viên vấn pháp lý của mình xem
xét và tất cả các emailtừ tập tin Hình ảnh máy tính của Murphy với địa chỉ
email không có nguồn gốc từ mà không phải là từ Superior Bicycles.
Johnson cũng khuyên bạn cần phải làm chứng về dữ liệu mà bạn trích xuất
để trình bày các chuỗi tạm giữ trong phát hiện của mình.
472
Lưu ý trong tài liệu này chúng ta hay dùng thuật ngữ Hình ảnh của một máy
tính hay đĩa cứng, đây được xem là một bản sao đầy đủ được tạo bởi các
công cụ chứ không phải là những Hình ảnh đồ họa).
Để thực hiện nhiệm vụ này, bạn sử dụng ProDiscover Basic để giải nén thư
mục emailvà FTK Demo để trích xuất và phân tích siêu dữ liệu và nội dung
e-mail. Hãy thực hiện theo các bước sau:
1. Mở ProDiscover Basic với quyền quản trị và nhấp vào nút New Project
trên thanh công cụ sau đó nhập vào C15InChp cho số dự án và tên tập tin,
và nhấn OK.
2. Nhấn Action từ trình đơn, trỏ chuột đến Add, và bấm vào Image File.
3. Trong hộp thoại Open, điều hướng đến thư mục làm việc của bạn, nhấp
vào GCFI-NTFS.pds, và sau đó nhấn Open. Nếu cần thiết, nhấn Yes trong
hông báo Auto Image Checksum.
4. Để bắt đầu một cuộc tìm kiếm cho thư mục Outlook và Outlook Express,
nhấn vào nút Search trên thanh công cụ hoặc nhấp vào Action , Search từ
trình đơn để mở hộp thoại tìm kiếm.
5. Chọn tab Content Search, và sau đó nhấp vào nút tùy chọn Search for files
named. Bên dưới khung Search for the pattern(s) nhập vào .dbx và .pst trên
các hàng khác nhau. Bên dưới khung Select the Disk(s)/Image(s) you want
to search in hãy chọn tập tin GCFI-NTFS.eve, và sau đó kích OK.
6. Trên khung kết quả hãy nhấn nút Selection và sau đó chọn Select All. Khi
hộp thoại Add Comment mở ra, đánh dấu chọn vào Apply to all items, sau
đó nhập vào bình luận Extracted Outlook folders và nhấp OK.
7. Ở phía trên cùng của kết quả tìm kiếm, nhấp vào nút Add to Report, và
sau đó kích đúp vào tập tin Inbox.dbx để quay trở lại khu vực làm việc.
8. Nhấp chuột phải Inbox.dbx và nhấp vào Copy All Selected Files.
9. Trong hộp thoại Choose Destination, nhấp vào nút Browse, duyệt đến thư
mục công việc của bạn, nhấn OK, và sau đó nhấn OK lần nữa.
10. Chọn File, Save Project từ trình đơn. Trong hộp thoại Save As, tìm đến
và nhấp vào thư mục làm việc của bạn, và sau đó nhấn Save. Thoát khỏi
ProDiscover Basic.
Đối với phần tiếp theo của việc chuẩn bị lời khai, bạn sử dụng FTK Demo.
473
Hãy thực hiện theo các bước sau để xác định địa chỉ emailvà siêu dữ liệu để
sao chép vào một bảng tính:
1. Mở FTK với quyền quản trị.

2. Nhấp vào Start a new case, và sau đó kích OK. Trong hộp thoại New
Case, hãy nhập tên của bạn trong ô điều tra viên và InChp15 trong ô Case
Number và Case Name. Tiếp theo trong khung Case Path hãy nhấn Browse,
tìm đến và nhấp vào thư mục làm việc của bạn, nhấn OK, và sau đó kích
Next.
3. Trong hộp thoại Case Information nhập tên trường học của bạn hoặc tên
nhóm trong ô Agency/Company, nhập tên của bạn trong ô Examiner’s
Name, và sau đó kích Next.
4. Nhấn Next cho đến khi mở hộp thoại Refine Case - Default. Nhấp vào nút
Email Emphasis, sau đó kích Next.
5. Nhấn Next cho đến khi mở hộp thoại Add Evidence to Case, và sau đó
nhấp vào nút Add Evidence. Trong hộp thoại Add Evidence to Case, nhấn
vào nút Contents of a Folder và sau đó nhấp vào Continue.
6. Trong hộp thoại Browse for Folder, điều hướng đến và nhấp vào thư mục
làm việc của bạn, và sau đó nhấp OK. Trong hộp thoại Evidence Information
nhấn OK, và nhấn Next trên hộp thoại Add Evidence to Case.
7. Để bắt đầu xử lý, nhấn Finish trong hộp thoại Case summary.
Tiếp theo, bạn xác định tất cả email non-Superior Bicycles và giải nén chúng
vào tập tin HTML. Các emailcủa Superior Bicycles có phần mở rộng .biz, vì
vậy bạn không nên tìm kiếm phần mở rộng này. Thay vào đó, tìm kiếm các
emailcó phần mở rộng tiêu chuẩn như .com, .net, và .org.
1. Nhấp vào Tools , Internet Keyword Search từ trình đơn FTK. Trong hộp
thoại Internet Keyword Search Options, bấm vào để xóa tất cả dấu kiểm
URL Searches còn các dấu kiểm trong EmailAddress Searches hãy để mặc
định và sau đó nhấp OK.
2. Trong hộp thoại Internet Address Search Results như Hình 15-1, nhấn
vào cột Internet Address để sắp xếp tất cả các địa chỉ bằng thông điệp.
474
Hình 15-1 : Hộp thoại Internet Address Search Results
3. Để tạo ra một danh sách của tất cả các địa chỉ, nhấp vào nút Add List to
Evidence ở phía dưới. Khi thông báo Evidence Added Successfully mở ra
hãy bấm OK.
4. Nhấp vào địa chỉ emailđầu tiên là "Sam" <5amspade@myway.com>
trong cột Internet Address liên kết với Message0020 trong cột File Name, và
sau đó nhấp vào nút Create bookmark ở phía dưới. Nếu bạn không thấy
“Sam"<5amspade@myway.com ở đầu trang thì hãy di chuyển xuống dưới
danh sách để tìm thấy nó.
5. Trong hộp thoại Create New Bookmark, nhập vào spade0020 trong hộp
Bookmark và đánh dấu chọn vào ô Include in report và Export files và sau
đó kích OK.
6. Lặp lại bước 4 và 5 cho địa chỉ 5amspade@myway.com liên kết với
Message0042, và sử dụng spade0042 cho tên bookmark.
7. Tìm sự xuất hiện tiếp theo của <5amspade@myway.com> liên kết với
Message0008, và lặp lại bước 4 và 5, sử dụng spade0008 cho tên bookmark.
475
8. Tiếp tục di chuyển và đánh dấu các email :
<baspen99@aol.com>, <jim_shu1@yahoo.com>,
<Jim_shu@comcast.net>, <terrysadler@goowy.com>, và
murphy10@hotmail.com. Chọn địa chỉ e-mail
liên kết với thông điệp và bỏ qua tên tập tin được liệt kê như là nội dung
đính kèm.
9. Khi bạn hoàn tất hãy bấm Close trong hộp thoại Internet Address Search
Results.
10. Trong cửa sổ FTK chính, nhấp vào tab Overview. Nhấp vào nút
Uncheck all files in the current list trên thanh công cụ File List, và sau đó
nhấn Yes trong hộp thông báo xác nhận.
11. Nhấp vào nút Bookmarked Items bên dưới tiêu đề File Status. Trên
thanh công cụ File List hãy nhấp vào nút Check all files in the current list
(xem Hình 15-2), và sau đó nhấn Yes trong hộp thông báo xác nhận.
Hình 15-2 : Thanh công cụ FTK File List
12. Trong khung File List hãy kích chuột phải vào tập tin đầu tiên là
Message0001, và nhấp vào Export File. Trong hộp thoại Export Files chọn
All checked files và hãy chắc chắn Include email attachments with email
messages và Append appropriate extension to file name if bad/absent
được chọn, và sau đó nhấn OK. Nhấn OK lần nữa trong hộp thoại Export
Files.
13. Tiếp theo, nhấp vào File , Report Wizard từ trình đơn của FTK. Trong
hộp Case Information hãy gõ tên trường học của bạn trong hộp văn bản
Agency/Company và tên của bạn trong ô điều tra viên và sau đó kích Next.
14. Trong hộp thoại Bookmarks - A hãy nhấn Yes, include all bookmarks và
sau đó kích Next.
15. Trong hộp thoại Bookmarks - B, nhấn vào Add/Remove File Properties.
Trên hộp thoại Detailed List - Data Items to Include nhấp vào Unselect all.
Sau đó nhấn chọn Subject , Email Date , From , To, CC rồi nhấn OK.
16. Click Next cho đến khi mở hộp thoại Report Location và sau đó nhấn
Finish.
17. Trong hộp thoại Report Wizard nhấn Yes để xem báo cáo dạng HTML.
476
18. Kiểm tra báo cáo, và sau đó thoát khỏi trình duyệt Web của bạn.
19. In báo cáo FTK và tất cả các tập tin HTML được tạo ra với các chức
năng Internet Address Search Results. Lưu ý rằng các tập tin HTML lưu
trong thư mục con InChp15\Attach của thư mục làm việc của bạn. Các
emailđược lưu dưới dạng HTML trong thư mục con InChp15\Export. Khi
bạn hoàn tất hãy thoát khỏi FTK và lưu dự án của bạn nếu được nhắc.
Giải Thích Phương Pháp Thu Thập Bằng Chứng Của Bạn
Để chuẩn bị cho lời khai trước tòa bạn nên chuẩn bị câu trả lời về phương
pháp đã tiến hành để thu thập chứng cứ như việc trích xuất siêu dữ liệu của
emailtừ Hình ảnh của máy tính Chris Murphy. Bạn cũng có thể được yêu cầu
giải thích các tính năng cụ thể của máy tính, hệ điều hành, và các ứng dụng
như Outlook và giải thích về cơ chế làm việc của các ứng dụng pháp lý. Ví
dụ trong tình huống này Johnson lập kết hoạch một số câu hỏi để bạn chuẩn
bị cho quá trình làm chứng. Hãy chuẩn bị câu trả lời của mình để có thể đối
đáp một cách tự và chuyên nghiệp.
Câu hỏi 1: Làm thế nào bạn xác định vị trí các emailtừ Hình ảnh máy tính
của Murphy?
Trả lời 1: Tôi sử dụng công cụ Technology Pathways ProDiscover Basic để
truy cập và tìm kiếm trên tập tin Hình ảnh máy tính GCFI NTFS của
Murphy.
Câu hỏi 2: Bạn tìm kiếm các emailnào trên máy tính của ông Murphy?
Trả lời 2: Tôi tìm kiếm tất cả các tập tin của Microsoft Outlook và Outlook
Express với phần mở rộng. pst và .dbx.
Câu hỏi 3: Bạn có thể vui lòng giải thích những tập tin pst và dbx là gi?
Trả lời 3: Chương trình emailMicrosoft duy trì các tập tin email cho mỗi cá
nhân emailtrogn tập tin có phần mở rộng của .pst cho Outlook. và dbx cho
Outlook Express. Những tập tin này có định dạng đặc biệt dùng để lưu trữ
emailvà tập tin đính kèm.
Câu hỏi 4: Bạn đã sử dụng ProDiscover Basic để kiểm tra các e-mail?
Trả lời 4: Không, tôi sử dụng một công cụ khác là AccessData FTK.
Câu hỏi 5: FTK là gì?
477
Trả lời 5: FTK là bộ công cụ điều tra pháp lý trên máy tính.
…
478
■ Khi vụ án ra tòa bạn có thể nhận một trong hai vai trò: nhân chứng kỹ
thuật hoặc nhân chứng chuyên gia. Là một nhân chứng kỹ thuật bạn sẽ cung
cấp các sự kiện đã phát hiện trong cuộc điều tra của mình. Tuy nhiên, là một
nhân chứng chuyên gia, bạn có thể có ý kiến về những gì bạn đã quan sát
thấy.
■ Nếu bạn được yêu cầu làm nhân chứng kỹ thuật hay chuyên gia thì cũng
cần chuẩn bị kỹ lưỡng.
■ Khi bạn được gọi là để làm chứng tại tòa án, luật sư của bạn sẽ kiểm tra tư
cách năng lực chuyên gia của bạn. Còn luật sư đối lập có thể cố gắng làm
mất uy tín bạn dựa trên những gì bạn đã làm trong quá khứ.
■ Giữ bình tĩnh và tự tin cũng như chuyên nghiệp trong hành vi và sự xuất
hiện của bạn, vì bạn là một chuyên gia.
■ Trong luật học , thuật ngữ deposition khác với trial vì không có bồi thẩm
đoàn hoặc thẩm phán.
■ Các phiên điều trần có thể là phiên điều trần hành chính hoặc các phiên
điều trần xét xử.
■ Hãy chắc chắn rằng bạn đã chuẩn bị đầy đủ các câu trả lời cho những câu
hỏi về phương pháp thu thập chứng cứ và phân tích chứng cứ hay các câu
hỏi về những gì các công cụ bạn sử dụng và cách chúng làm việc.
479
480
Chương 16
Quy Tắc Ứng Xử Và Trách Nhiệm Nghiệp Vụ

Của Nhân Chứng Chuyên Môn

• Giải thích các quy tắt ứng xử và trách nhiệm nghiệp vụ áp dụng cho các
nhân chứng chuyên môn
• Giải thích các bộ luật đạo dức của các tổ chức khác có thể áp dụng cho
nhân chứng chuyên gia.
• Mô tả các khó khăn về mặt đạo đức trong lời khai của chuyên gia
• Giải thích quá trình phục hồi dữ liệu một cách thủ công.
481
Đối với các chuyên gia truy tìm bằng chứng pháp lý trên máy tính thì việc
duy trì ở mức cao nhất các hành vi đạo đức trong công việc của họ là điều
cần thiết. Trong chương này, bạn sẽ tìm hiểu làm thế nào mà các nhà điều tra
pháp lý trong lĩnh vực máy tính cũng như các lĩnh vực kháp áp dụng các quy
tắt đạo đức và quy tắt ứng xử trong công việc của họ hay khi làm chứng
trước tòa.
Việc đáp ứng các tiêu chuẩn cao nhất khi tiến hành kiểm tra, lập báo cáo hay
làm chứng nhằm đảm bảo các chứng cứng được tìm thấy là hoàn toàn chính
xác, đáng tin cậy, và vô tư. Ngoài ra, bạn cần biết khi nào nên rút lui khỏi
một cuộc điều tra, hay nhận thức được những gì nên tìm kiếm để tránh các
sự cố liên quan đến vấn đề đạo đức.
Ứng Dụng Các Nguyên Tắt Xử Thế Và Điều Luật

Đối Với Nhân Chứng Chuyên Gia
Nguyên tắt xử thế là những quy tắc mà bạn tiếp thu và sử dụng để đo lường
hiệu suất của bạn. Nhiều ngành nghề gọi các nguyên tắt này là quy tắt ứng
xử hay chịu trách nhiệm. Cả hai khái niệm này của nguyên tắt ứng xử sẽ
được đề cập trong chương này.
Vậy tại sao chúng ta cần có quy tắt ứng xử ? Mọi người cần các quy tắt ứng
xử để duy trì sự cân bằng của họ, đặc biệt là trong những tình huống khó
khăn hay tranh cãi, và để được hướng dẫn cách hành xử dựa trên các giá trị
hay vai trò của mình. Quy tắt ứng xử cũng giúp bạn duy trì lòng tự trọng và
tôn trọng nghề nghiệp của bạn. Tránh những hành động vi phạm do trái với
các tiêu chuẩn hay luật định, chẳng hạn như hành vi thu thập chứng cứ bằng
cách nghe lén hay ghi âm cần phải tuân thủ theo các quy tắt ứng xử thích
hợp với luật định về quyền bảo vệ sự riêng tư của mỗi người.
482
Là một nhân chứng chuyên môn bạn cần phải đưa ra những bằng chứng
khách quan thuộc chuyên ngành của mình cho bồi thẩm đoàn. Tuy nhiên,
trong quá trình làm chứng có thể gặp những sự công kích từ các luật sư đối
thủ dẫn đến việc mất kiểm soát, lúc này hãy áp dụng những nguyên tắt ứng
xử thích hợp để giữ bình tĩnh và kiểm soát những thành kiến hay định kiến
của bạn. Tuy nhiên tại Việt Nam, Hoa Kỳ và nhiều quốc gia khác vẫn chưa
có cơ quan cấp phép cho các chuyên gia giám định pháp lý trong lĩnh vực
máy tính. Vì vậy, các tiêu chuẩn đạo đức đối với hành vi của bạn trong lĩnh
vực này chủ yếu dựa trên những bộ quy tắt ứng xử của các hiệp hội chuyên
nghiệp mà bạn trực thuộc.
Vai Trò Của Người Giám Định Pháp Lý Khi Làm Chứng
Như bạn đã tìm hiểu về vấn đề làm chứng trong Chương 15 thì một người
giám định pháp lý có thể đóng một trong hai vai trò nhân chứng kỹ thuật và
nhân chứng chuyên môn.
Nếu bạn là người giám định pháp lý trong lĩnh vực máy tính rất có thể bạn sẽ
được mời làm một nhân chứng chuyên môn trong các vụ kiện, ngay cả khi
bạn không có mặt khi sự kiện xảy ra hoặc không xử lý các thiết bị lưu trữ dữ
liệu cá nhân nào.
Các luật sư thường xuyên tìm kiếm các chuyên gia hàng đầu nhằm hỗ trợ
cho những vụ án của họ, và lệ phí phải trả cho các chuyên gia chỉ là một
xem xét thứ cấp mà cái chính là kỹ năng, kinh nghiệm của các bạn. Những
lời chỉ trích của các nhân chứng chuyên môn sẽ phổ biến rộng rãi trong cộng
đồng pháp lý cho nên tính công bằng của các nhân chứng chuyên môn đã trở
thành mối quan tâm hàng đầu. Khi một nhân chứng chuyên môn mất uy tín,
nó có thể ảnh hưởng đến uy tín của luật sư và ngược lại.
Quan Tâm Đến Vấn Đề Bị Loại Bỏ
483
Một trong những ảnh hưởng của việc vi phạm quy tắc của tòa án hoặc pháp
luật là nhân chứng sẽ bị loại bỏ do không đủ tư cách. Điều này có thể không
phải là một Hình phạt nhưng nó sẽ làm giảm uy tín của bạn, các luật sư sẽ
cân nhắc nên tiếp tục giữ bạn cho vụ án của mình hay không vá những tác
động khác về mặt nghề nghiệp.
Hãy nhớ rằng các luật sư đối lập luôn chứ ý đến những độ lệch trong lời khai
của bạn trong vụ án hay trong những vụ án trước mà bạn đã tham gia (bằng
cách tham khảo ngân hàng dữ liệu về nhân chứng chuyên môn) nhằm lật đổ
hay loại bỏ bán khỏ tư cách nhân chứng trong một phiên tòa. Do đó, nếu có
bất kì sự thay đổi nào trong lời khai thì phải giải thích cặn kẽ và hợp lý cho
sự thay đổi này, cho dù đó là những thay đổi về mặt công nghệ, làm cho
chứng cứ được tìm thấy có độ tin cậy cao hơn. Các yếu tố mà tòa án sử dụng
để cân nhắc trong việc loại bỏ một nhân chứng chuyên bao gồm những điều
sau đây:
• Các thảo luận giữa luật sư và nhân chứng có được giữ bí mật hay không ?
• Các tài liệu mà những chuyên gia xem xét có được đánh dấu bảo mật hay
không ?
• Nhân chứng chuyên gia có được yêu cầu ký một thỏa thuận giữ bí mật
• Số lượng của các cuộc thảo luận được tổ chức trong một khoảng thời gian,
hay thời gian của một cuộc thảo luận.
• Các loại tài liệu được xem xét (là dữ liệu công khai hay bí mật)
• Các chuyên gia có cung cấp những thông tin mật cho luật sư hay không ?
Những Cái Bẫy Đối Với Các Chuyên Gia Không Thận
Trọng
Nhân chứng chuyên môn nên thận trọng về những cái bẫy tiềm năng sau
đây, ngay cả khi chúng không được sắp đặt một cách cố ý :
• Những sự khác biệt giữa động cơ của một luật sư và trách nhiệm của
chuyên gia là gì ? Điều này có thể ảnh hưởng đến các hành vi của nhân
chứng chuyên môn trong công tác điều tra hoặc những thao tác được dự kiến
sẽ hành động
484
• Chức năng của các nhân chứng chuyên môn có xung đột với quy tắt điều
tra hay những quy tắt ứng xử chuyên ngành?
• Các luật sư sẽ căn cứ trên những điều luật hay nguyên tắt ứng xử được quy
định bởi các tổ chức mà nhân chứng là thành viên. Và các luật sư đối lập
cũng quan tâm đến điều này.
Ngoài ra, tránh các lỗi về mặt đạo đức theo những khuyến cáo sau đây :
• Không được trình bày dữ liệu giả hoặc thay đổi dữ liệu.
• Không được báo cáo công việc mà bạn không làm hay chưa hoàn thành.
• Không bỏ qua các dữ liệu mâu thuẫn.
• Không làm công việc ngoài chuyên môn hoặc thẩm quyền của bạn.
• Không cho phép các luật sư giữ lại bạn bản ý kiến của bạn một cách không
hợp lệ.
• Không chấp nhận chuyển nhượng nếu nó không được thực hiện hợp lý
trong thời gian cho phép.
• Không đưa ra kết luận trước khi hoàn tất quá trình tìm kiếm, khảo sát.
• không báo cáo các cuộc xung đột có thể được quan tâm.
Xác Định Khả Năng Được Chấp Nhận Của Chứng Cứ
Những câu hỏi giả định trong quá trình kiểm tra sẽ không còn cần thiết tại
tòa án, nhưng các câu hỏi này có thể cung cấp các cấu trúc thực tế nhằm hỗ
trợ và bảo vệ ý kiến của bạn trước tòa. Khách hàng cần một sự hiểu biết đầy
đủ về các sự kiện liên quan đến ý kiến hay nhận của bạn, vì vậy các bạn nên
yêu cầu anh ta hoặc cô ta đưa ta những câu hỏi liên quan đến những sự vật
mà chúng ta đã dùng làm căn cứ cho nhận định của mình.
Mặc dù các ý kiến chuyên gia có thể được trình bày mà không cần dựa trên
một thực tế cơ bản, nhưng lời khai có thể không được chấp nhận nếu các dữ
kiện không đầy đủ, mơ hồ hoặc không có đủ bằng chứng để cho phép nêu rõ
một ý kiến hợp pháp.
Các luật sư đối lập sẽ tìm hiểu các sự kiện cơ bản thông qua kiểm tra chéo
với mục đích làm cho bằng chứng được cung cấp không được toà chấp nhận.
485
Tuy nhiên, những giải thích của các chuyên gia về các sự kiện mà từ đó họ
rút ra kết luận còn quan trọng và có tính thuyết phục hơn đối với một thẩm
phán hay bồi thẩm đoàn.
Các Tổ Chức Và Quy Chế Hành Nghề

Do không có một tổ chức duy nhất nào lập ra các quy tắt đạo đức (code of
ethic hay quy chế hành nghề) cho nhân chứng chuyên môn, vì vậy bạn phải
xây dựng các tiêu chuẩn của riêng mình dựa trên các tiêu chuẩn từ những tổ
chức khác nhau. Trong phần này sẽ giới thiệu về một số tổ chức với những
bộ quy chế hành nghề có ảnh hưởng đến nhân chứng chuyên môn.
Hiệp Hội Quốc Tế Các Chuyên Gia Thẩm Định Máy Tính
(ISFCE)
ISFCE là viết tắt của từ International Society of Forensic Computer

Examiners hay Hiệp Hội Quốc Tế Các Chuyên Gia Thẩm Định Máy Tính
xây dựng một bộ quy tắt đạo đức và trách nhiệm nghiệp vụ với các hướng
dẫn cho thành viên về nhiệm vụ của họ trong công tác thẩm định máy tính.
Những hướng dẫn này bao gồm các chỉ thị cụ thể về việc duy trì tư cách
chuyên gia (như việc cập nhật kiến thức) và xác định những gì các thành
viên phải làm và không được làm trong công tác khảo sát pháp lý trên máy
tính. Ví dụ sau đây là một số nguyên tắt trong quy chế hành nghề của ISFCE
:
• Duy trì tính khách quan tối đa trong tất cả các công tác kiểm tra pháp lý và
trình bày kết quả chính xác.
• Tiến hành kiểm tra dựa trên các mục tiêu đã xác nhận.
• Làm chứng trung thực trong mọi vấn đề trước các hội đồng hay tòa án...
• Tránh bất kỳ hành động nào gây xung đột.
• Không xuyên tạc chương trình đào tạo, hoặc các thành viên khác trong
hiệp hội.
486
Ngoài ra, các thành viên còn có trách nhiệm thông báo về những người vi
phạm quy tắt hành nghề do tổ chức đưa ra.
Hiệp Hội Quốc Tế Về Điều Tra Tôi Phạm Công Nghệ Cao
HTCIA
HTCIA là viết tắt của cụm từ International High Technology Crime

Investigation Association, trong nội quy của HTCIA có cung cấp chi tiết về
các Quy Tắt Hành Nghề Và Trách Nhiệm Nghiệp Vụ cho các thành viên của
mình. HTCIA có bao gồm các yêu cầu liên quan đến vấn đề nhân chứng như
sau :
• HTCIA coi trọng Sự Thật được phát hiện ra trong thông tin kỹ thuật số
được sử dụng tìm ra Sự Thật khác mà không có ai bị oan sai.
• HTCIA coi trọng tính toàn vẹn của các thành viên và của các bằng chứng
được tìm thấy thông qua điều tra pháp lý trên máy tính.
Hiệp Hội Quốc Tế Các Chuyên Gia Điều Tra Máy Tính
IACIS
IACIS là viết tắt của International Association of Computer Investigative

Specialists cung cấp các hướng dẫn đơn giãn nhưng rành mạch về hành vi
của chuyên gia giám định pháp lý trên máy tính. Những tiêu chuẩn này được
dùng làm cơ sở cho việc xây dựng các mục tiêu của nhiều tổ chức khác trong
công tác điều tra và làm chứng, gồm có :
• Duy trì mức cao nhất của tính khách quan trong tất cả các quá trình kiểm
tra pháp lý và trình bày chính xác các sự kiện liên quan.
• Kiểm tra và phân tích kỹ lưỡng các bằng chứng.
• Tiến hành kiểm tra dựa các mục tiêu đã xác nhận.
• Render ý kiến có cơ sở đó là demonstratively hợp lý.
• Không giữ lại bất cứ kết quả có thể bóp méo các sự kiện của vụ .
487
American Bar Association
American Bar Association (ABA) được thành lập 21 tháng 8 1878, là một
hội các luật sư tự nguyện với hoạt động quan trọng như thiết lập các tiêu
chuẩn học tập cho các trường học của pháp luật, và xây dựng quy tắt hành
nghề liên quan đến nghề luật sư.
Là một chuyên gia giám định pháp lý cho máy tính, bạn sẽ giao dịch với luật
sư, vì vậy bạn cần phải nhận thức các quy tắc cơ bản được quy định bởi
ABA mà những luật sư buộc phải tuân theo. Đầu tiên, luật sư không được
cho phép các nhân chứng chuyên gia làm chứng trong một lĩnh vực không
được xem là khoa học hợp lệ. Thứ hai, luật sư phải được yêu cầu các chuyên
gia cho ý kiến vượt ra ngoài tầm hiểu biết hay kiến thức chuyên môn của họ.
Sự dũ dỗ sẽ làm cho lời khai không đáng tin cậy bởi vì các chuyên gia sẽ bị
các luật sư đối lập chứng minh anh ta hay cô ta không có chuyên môn trong
lĩnh vực mà họ đang làm chứng.
Hiệp Hội Y Khoa Hoa Kỳ - AMA

Nhân chứng chuyên môn đầu tiên tại Hoa Kỳ là một kỹ sư dân sự làm chứng
trong một vụ án vào năm 1782, tuy nhiên các chuyên gia y tế mới là những
nhân chứng chuyên môn thường xuyên nhất. Hầu hết các trường hợp liên
quan đến chấn thương đòi hỏi một báo cáo hoặc chứng từ bác sĩ điều trị và
chuyên viên giám định y tế độc lập từ luật sư đối lập. Do đó, nghiệp vụ y tế
đã phát triển những quy tắc chi tiết về để làm một nhân chứng bên cạnh các
quy tắt đạo đức trong lời thề Hippocratic. Hiệp hội Y Khoa Hoa Kỳ (AMA)
đã xây dựng các chính sách về lời khai của nhân chứng chuyên môn gồm
năm kiến nghị:
• Bác sĩ là một chuyên gia được đào tạo đặc biệt và có nghĩa vụ về mặt đạo
đức nhằm hỗ trợ thực thi công lý.
• Các bác sĩ không được là một người ủng hộ cho một bên nào đó trong quá
trình tiến hành tố tụng.
• Nhân chứng y khóa cần làm chứng trung thực và phải chuẩn bị đầy đủ.
• Các bác sĩ không thể nhận một khoản lệ phí dự phòng.
488
Hiệp Hội Tâm Lý Hoa Kỳ - APA
Đối với các nhà tâm lý học những quy tắc ứng xử (thường được gọi là Bộ
Luật Đạo Đức – Ethic Code) được chấp nhận rộng rãi là các tiêu chuẩn của
Hiệp Hội Tâm Lý Hoa. Những hướng dẫn này cung cấp các quy định toàn
diện nhất cho bất kỳ tổ chức chuyên nghiệp nào và cống hiến trọn vẹn một
chủ đề cho các hoạt động pháp lý. Thông tin về bộ luật đạo đức này có tại
www.apa.org/ethics/code2002.html . Một số tiêu chuẩn trong luật đạo đức
của APA áp dụng cho các lời khai của chuyên gia tâm lý học và được hỗ trợ
bởi quyết định của tòa án ở Daubert v. Merrill Dow. Khi các nhà tâm lý làm
chứng trước tòa họ phải dựa vào khoa học và kiến thức chuyên môn của
mình, và phải xem xét những câu hỏi mà họ đang giải quyết để nghiên cứu
trước và áp dụng các kỹ thuật hay công cụ một cách chính xác. Các nhà tâm
lý học cũng được hướng dẫn ngăn chặn việc sử dụng sai hoặc lạm dụng các
kỹ thuật đánh giá và các công cụ.
Bộ Luật Đạo Đức cũng cảnh báo các nhà tâm lý học về những hạn chế của
công cụ đánh giá. Việc thừa nhận những hạn chế này là đặc biệt quan trọng
đối với lời khai của nhân chứng chuyên môn. Ngoài ra, các nhà tâm lý học
cũng bị cấm sử dụng các bài kiểm tra lỗi thời hoặc kết quả đã lỗi thời làm
cơ sở cho việc đánh giá và đưa ra ý kiến của họ. Ngăn cấm này sẽ giúp bảo
vệ tính hợp lệ và độ tin cậy của kết quả kiểm tra và lời khai của các chuyên
gia tâm lý.
Những Khó Khăn Về Mặt Đạo Đức Của Nhân Chứng

Chuyên Môn
Mặc dù có các hướng dẫn nghiệp vụ như mô tả trong phần trước, vẫn có
những vấn đề trong lời khai nhân chứng chuyên gia. Đó là những xung đột
giữa các mục tiêu của luật sư và mục tiêu của các nhà khoa học hoặc kỹ
thuật (chuyên gia). Ngoài ra, thực thi các nguyên tắc đạo đức của bất kỳ tổ
chức chuyên nghiệp nào cũng đều khó khăn.
489
Những Trách Nhiệm Về Mặt Đạo Đức Đối Với Bạn
Ở đây chúng ta muốn nói đến các trách nhiệm về mặt đạo đức mà các luật sư
của bạn, luật sư đối lập, và của tòa án đối với các nhân chứng chuyên môn.
Luật sư cần cung cấp cho nhân chứng chuyên môn của mình một cam kết
công bằng của các vụ án hay tình huống, cho bạn có đủ thời gian để xem xét
bằng chứng và chuẩn bị báo cáo, và tạo điều kiện để kiểm tra số liệu, tiến
hành kiểm tra và điều tra sự việc trước khi Hình thành một ý kiến. Ngoài ra
các luật sư thuê bạn cần phải bảo đảm thanh toán các khoản chi phí một cách
đây đủ và đúng hẹn.
Ngoài ra, một số luật sư đối lập có thể tiến hành các hoạt động deposition
(lấy lời khai bên ngoài tòa án) trong những điều kiện không được thoải mái,
tiện nghi làm cho bạn thấy không được thoải mái như phòng quá nóng, bị
chói bởi ánh sáng mặt trời … thi các bạn có thể đề xuất để thay đổi điều kiện
thích hợp hơn, nhưng cũng không nên quá lạm dụng để đưa ra những yêu
cầu quá đáng trên mức cần thiết. Một khi bạn đã lưu các vấn đề vào hồ sơ,
bạn có thể từ chối tiếp tục các cuộc thẩm vấn, tuy nhiên những tình huống
này rất hiếm khi xảy ra, và để hành động hợp lý bạn nên tham khảo ý kiến
luật sư của mình.
Như một biện pháp bảo vệ, bạn có thể yêu cầu có luật sư cá nhân của bạn
tham dự cuộc thẩm vấn, luật sư này không thể phản đối câu hỏi nhưng có thể
tư vấn cho các luật sư của bạn hoặc tư vấn cho bạn trong thời gian nghỉ. Ở
hầu hết các quốc gia thì người tham dự được cho phép ghi lại lời khai, nên
bạn cũng có thể chuẩn bị sẳn một máy ghi âm để có thể tham khảo lại thảo
luật sau với luật sư của mình.
Các Công Cụ Pháp Lý Tiêu Chuẩn Và Công Cụ Cá Nhân
Các công cụ mà bạn sử dụng để phục hồi, kiểm soát, và theo dõi bằng chứng
490
có thể được xem xét bởi các bên. Nếu tòa xét thấy chúng không đáng tin cậy
thì bằng chứng phục hồi với những công cụ này có thể không được thừa
nhận hoặc được thừa nhận với một hướng dẫn hạn chế. Nếu bạn sử dụng các
công cụ tiêu chuẩn (những ứng dụng thông dụng hay các công cụ thương
mại mà chúng ta đã đề cập trong các chương trước) thì quá trình phê chuẩn
chúng sẽ đơn giãn hơn.
Nếu những ứng dụng được tạo ra bởi cá nhân, và nếu những ứng dụng này
được thiết kế để đáp ứng các mục tiêu cụ thể, đã được kiểm chứng thích hợp
để xác nhận tính chính xác có thể có những lợi thế nhưng cần chứng minh
cho một thẩm phán để xem bằng chứng thu thập có được chấp nhận hay
không. Ví dụ, một công cụ mà bạn đã tạo ra có thể là nhỏ gọn hơn, chạy hiệu
quả hơn so với các công cụ khác. Bạn vẫn phải xác nhận những công cụ này,
và có thể phải chia sẻ mã nguồn của chúng để phân tích. Hãy nhớ rằng việc
"mượn" mã nguồn từ các sản phẩm khác hoặc vi phạm bản quyền với một
công cụ liên quan (ví dụ chương trình được bạn viết bởi một ứng dụng vi
phạm bản quyền) có thể xem là một vi phạm quyền tác giả và được coi là
hành vi trộm cắp. Điều này sẽ gây mất uy tín nghiêm trọng và gây ảnh
hưởng đến luật sư đã thuê bạn.
Bài Tập Phục Hồi Dữ Liệu Để Tìm Kiếm Thông Tin

Quan Trọng
Trong chương cuối cùng này, bạn nhận được một Hình ảnh pháp lý mà Ileen
Johnson lấy từ một người ẩn danh. Nó được gửi không có địa chỉ trả về và
có một ghi chú đính kèm là Superior Bicycles quan tâm trong các tập tin thư
từ và bảng tính với tên tập tin làJimShu và Baidar có khả năng ở trong Hình
ảnh trên. Nhiệm vụ của bạn là phân tích tất cả dữ liệu giá trị trong Hình ảnh
này và báo cáo phát hiện của bạn với Ileen Johnson, cố vấn của Superior
Bicycles.
Xác Định Giá Trị Thập Lục Phân Cho Chuỗi Kí Tự
491
Để kiểm tra Hình ảnh đĩa vô danh trên hãy xác định giá trị hệ thập lục phân
cho các chuỗi kí tự "JimShu" và "Baidar." Thực hiện theo các bước sau để
chuyển đổi các kí tự sang các giá trị thập lục phân:
1. Mở WinHex Demo. Nhấn vào File, New từ trình đơn và nhập vào giá trị
200 ô Desired file size sau đó nhấn OK.
2. Di chuyển con trỏ đến khu vực nhập giá trị đầu vào ở bên phải, và nhập
vào J i m S h u và B a i d a r trên các dòng riêng biệt như thể hiện trong
Hình 16-1. Hãy chắc chắn rằng bạn chèn một khoảng trắng (0x00) null giữa
các kí tự.
Hình 16-1 : Xác định giá trị thập lục phân
3. Ghi lại các giá trị thập lục phân: 4A 00 69 00 6D 00 53 00 68 00 75 00

cho JimShu và 42 00 61 00 69 00 64 00 61 00 72 00 cho Baidar.
4. Lưu tập tin là InChp16-unicode.txt trong thư mục làm việc của bạn, và
thoát khỏi WinHex.
Tìm Kiếm Dữ Liệu Unicode Trong Prodiscover Basic

Với thông tin thu thập từ bước trên, bây giờ là lúc để kiểm tra Hình ảnh đĩa
vô danh mà bạn đã nhận được:
1. Mở ProDiscover Basic với quyền quản trị và bắt đầu một dự án mới với
C16InChp01 cho số dự án và tên tập tin.
492
2. Nhấn Action từ trình đơn, trỏ đến Add, và bấm vào Image File.
3. Trong hộp thoại Open, điều hướng đến và nhấp vào tập tin Hình ảnh
C16InChp.dd, và sau đó nhấn Open.
4. Click Action, Search từ trình đơn. Trong hộp thoại Search, nhấp vào tab
Content Search, và sau đó nhấp vào nút tùy chọn Hex. Chọn Search for the
pattern(s) và trong hộp văn bản Search hãy gõ giá trị thập lục phân cho
Baidar mà bạn đã lưu trong bài tập trước. Bên dưới khung Select the
Disk(s)/Image(s) chọn tập tin Hình ảnh, và sau đó nhấn OK.
5. Trong các kết quả tìm kiếm, nhấp pagefile.sys, trên tập tin đầu tiên được
liệt kê như Hình 16-2 hãy kiểm tra nội dung của nó theo tiêu chí tìm kiếm.
Hình 16-2 : Xem kết quả tìm kiếm
6. Tiếp theo, kích đúp vào Pagefile.sys để xem các tập tin trong cửa sổ
ProDiscover chính. Sau đó kích chuột phải vào tập tin pagefile.sys và nhấp
vào Copy File để sao chép nó vào thư mục làm việc của bạn.
7. Thoát khỏi ProDiscover cơ bản, hãy lưu kết quả khi được nhắc.
Giải Thích Thuộc Tính 0x80 Của Dữ Liệu Thực Thi
493
Nhiệm vụ tiếp theo là kiểm tra chi tiết của Pagefile.sys trong WinHex Demo.
Bạn sẽ tìm hiểu làm thế nào để diễn giải dữ liệu chạy từ phân mảnh của tập
tin MFT được tìm thấy trong tập tin Pagefile.sys.
Điều hướng thông qua một MFT Record - Đối với thao tác, bạn cần WinHex
Demo và một chương trình bảng tính, chẳng hạn như Microsoft Excel hoặc
OpenOffice Calc. Để kiểm tra Tập tin Pagefile.sys với WinHex Demo, hãy
làm theo các bước sau:
1. Mở WinHex Demo. Nhấn vào File, Open từ trình đơn, điều hướng và
nhấn vào tập tin Pagefile.sys, và sau đó nhấn Open.
2. Nhấp vào Search , Find Text từ trình đơn. Trong hộp thoại Find Text,
nhập vào chuỗi BAIDAR trong hộp văn bản ở đầu trang. Đánh dấu vào ô
Match case, và chọn Unicode trong danh sách bên dưới như trong Hình Hình
16-3, và sau đó nhấp OK.
Hình 16-3 : Hộp thoại Find Text
494
3. Trong cửa sổ chính, đặt con trỏ được trong khung bên phải ở vị trí bắt đầu
của chuỗi Unicode Baidar. Từ vị trí này, di chuyển lên phía trên cho đến khi
bạn thấy FILE0.
4. Để vị trí con trỏ vào đầu của thuộc tính tiếp theo, đặt con trỏ ở giữa
khung nơi bắt đầu của FILE0 và kéo xuống byte thập lục phân 0x38 như
minh họa trong Hình Hình 16-4.
Hình 16-4 : Tiêu đề của MFT record
5. Đặt con trỏ tại vị trí bắt đầu của thuộc tính 0x10 và kéo (drag chuột)
xuống giá trị 0x60 cho đến khi bạn đến thuộc tính tiếp theo là 0x30 (xem
Hình 16-5).
Hình 16-5 : Xem thuộc tính 0x10
6. Hai phần tiếp theo của tập tin là thuộc tính tên tập tin ngắn và dài (0x30).
Hình 16-6 cho thấy thuộc tính tên tập tin ngắn. Cả hai đều có độ dài theo hệ
thập lục phân là 0x78 byte. Lặp lại bước trước đó cho đến khi bạn đến thuộc
tính 0x80.
7. Từ vị trí bắt đầu của thuộc tính 0x80, đếm 0x40 byte theo hệ thập lục
phân đến điểm bắt đầu của dữ liệu thực thi như thể hiện trong Hình 16-7. Để
WinHex Demo mở cho các hoạt động tiếp theo.
495
Hình 16-7 : Thuộc tính 0x80, điểm khởi đầu của dữ liệu thực thi
Bây giờ bạn đã định vị được vị trí bắt đầu của dữ liệu thực thi, nhiệm vụ tiếp
theo là tính toán vị trí bắt đầu và kết thúc của cluster cho mỗi fragment của
dữ liệu thực thi.
Cấu Hình Cửa Sổ Data Interpreter Trong WinHex - Thông thường, khi khởi
động WinHex cửa sổ thông dịch dữ liệu Data Interpreter sẽ mở để bạn có thể
chuyển đổi định dạng dữ liệu cho dễ đọc, chẳng hạn như chuyển đổi giá trị
thập lục phân thành các giá trị thập phân. Đối với bài tập sau bạn sẽ cấu
Hình cửa sổ Data Interpreter để tính toán dữ liệu thực thi.Hãy thực hiện theo
các bước sau:
1. Khởi động WinHex Demo. Nếu cửa sổ thông dịch dữ liệu Data Interpreter
không mở hãy nhấn vào View từ trình đơn, trỏ chuột đến Show và đánh dấu
chọn vào ô kế bên Data Interpreter.
2. Bấm vào Options , Data Interpreter từ trình đơn để mở hộp thoại Data
Interpreter Options. Nhấp vào ô đánh dấu 8 bit , signed, 16 bit, signed , và
24 bit , signed sau đó chọn Win32 FILETIME (64 bit) (bỏ chọn tất cả các
tùy chọn khác) như thể hiện trong Hình 16-8, và sau đó nhấp OK.
496
Hình 16-8 : Hộp thoại Data Interpreter Options
Để WinHex Demo mở cho hoạt động tiếp theo.
Tính Toán Dữ Liệu Thực Thi - Tiếp theo, bạn xác định số cluster bắt đầu và
kết thúc của dữ liệu thực thi cho MFT record. Chiều dài của MFT record này
là ít hơn 512 byte (0x200 hệ thập lục phân), vì vậy dữ liệu chạy sẽ không có
giá trị cập nhật mảng tuần tự như mô tả trong chương 6. Để tính toán dữ liệu
thực thi cho ví dụ này, hãy làm theo các bước sau:
1. Để xác định số của cluster cho dữ liệu thực thi đầu tiên hãy đặt con trỏ tại
vị trí 31 như thể hiện trong Hình 16-9. Bởi vì nó chỉ có dài 1 byte, và giá trí
0x14 chuyển đổi sang thập phân là 20 (như thể hiện trong cửa sổ Data
Interpreter) chứng tỏ rằng có 20 cluster cho dữ liệu thực thi đầu tiên.
497
Hình 16-9 : Số cluster trong dữ liệu thực thi đầu tiên
2. Để xác định vị trí cluster bắt đầu logic (LCN) cho dữ liệu thực thi này hãy
đặt con trỏ bên trái của kí tữ "C" trong chuỗi CB 01 01. Lưu ý rằng vị trí địa
chỉ này là 3 byte, hoặc 24 bit, như thể hiện trong Hình 16-10. Vì vậy, LCN
cho dữ liệu thực thi đầu tiên là 65.995, như được hiển thị trong cửa sổ thông
dịch dữ liệu Data Interpreter.
Hình 16-10 : Vị trí khởi đầu LCN cho dữ liệu thực thi đầu tiên
3. Tiếp theo, di chuyển con trỏ đến vị trí cluster của dữ liệu thực thi tiếp theo
có giá trị hệ thập lục phân là 0x04 , chuyển đổi sang thập phân là 4. Trong 3
byte (24 bit) kế tiếp hiển thị số cluster ảo (VCN) 52 6C 02, chuyển đổi sang
hệ thập phân là 158802.
4. Lặp lại bước 1 đến bước 3 để tìm các cụm còn lại cho mỗi fragment và giá
trị VCN như thể hiện trong Hình 16-11.
Hình 16-11 : Dữ liệu thực thi của tập tin Baidarka-.xls
5. Để đơn giản hóa các tính toán, nhập giá trị LCN và VCN trong một bảng
tính như trong Hình 16-12. Khi bạn hoàn tất, thoát khỏi WinHex Demo.
498
Hình 16-12 : Chuyển các giá trị sang bảng tính để dễ tính toán.
Phục Hồi Data Run Cluster Theo Cách Thủ Công

Bây giờ bạn đã tính toán vị trí cluster bắt đầu và kết thúc cho các tập tin
Baidarka-.xls, bây giờ là lúc phục hồi các phân mãnh của tập tin với
ProDiscover Baisc. Để bắt đầu phục hồi dữ liệu, hãy làm theo các bước sau:
1. Mở ProDiscover Basic, và nhấp vào biểu tượng Open Project trên thanh
công cụ. Trong hộp thoại Open tìm và nhấp vào dự án C16Inchp01.dft, và
sau đó nhấn Open.
2. Trong màn Hình tree-view, bấm để mở rộng Cluster View , Images và sau
đó nhấp vào C16InChp.dd.
3. Trên bảng tính mà bạn tạo ra trong hoạt động trước hãy xác định vị trí
cluster (65.995) trong ô C3, và sau đó xác định vị trí số cluster trên một phân
mãnh (20) trong ô D3.
4. Trong khu vực làm việc của ProDiscover, nhấp vào hộp kiểm tra Decimal
dưới ô Cluster, sau đó gõ giá trị thập phân 65995 vào hộp văn bản, rồi nhấn
Go.
5. Nhấn vào cluster ở vị trí 65995, giữ phím Shift xuống và bấm phím mũi
499
tên xuống một lần để đánh dấu cluster bổ sung. Sau đó nhấn phím mũi tên
bên trái cho đến khi giá trị 66014 hiển thị trong ô văn bản Cluster như Hình
16-13.
Hình 16-3 : Các cluster được chọn cho phân mãnh đầu tiên
6. Trong khu vực làm việc, nhấp chuột phải vào các khối cluster được đánh
dấu và nhấp vào Recover.
7. Trong hộp thoại Recover Clusters, hãy nhấp vào nút tùy chọn Recover all
clusters to a single file và sau đó chọn Recover Binary như Hình 16-14.
Nhấn vào Browse, tìm và nhấp vào thư mục làm việc của bạn, và sau đó
nhấn OK hai lần.
500
Hình 16-4 : Hộp thoại Recover Clusters
Để ProDiscover Basic mở.
Quay trở lại bảng tính và xác định vị trí cluster bắt đầu cho các phân mãnh
thứ hai, thứ ba, thứ tư và thứ năm. Thực hiện theo các bước sau cho mỗi
phân mãnh còn lại của dữ liệu thực thi :
1. Nhập vị trí cluster bắt đầu trong ô Cluster, và nhấp Go.

2. Nhấn vào vị trí bắt đầu của cluster này, giữ phím Shift, và nhấn vào phím
mũi tên xuống cho đến khi đến vị trí cluster kết thúc như Hình 16-15.
501
Hình 16-15 : Đánh dấu các cluster
3. Trong khu vực làm việc, nhấp chuột phải vào các cluster được đánh dấu
và chọn Recover.
4. Trong hộp thoại Recover Clusters, hãy nhấp vào nú Recover all clusters to
a single file và chọn Recover Binary . Sau đó nhấn Browse, tìm
và bấm vào thư mục làm việc của bạn, và nhấn OK hai lần.
5. Hãy tham khảo bảng tính của bạn cho các phân mãnh của dữ liệu thực thi
còn lại và lặp lại bước 1 đến 4 để khôi phục lại chúng.
Khi bạn đã hoàn thành việc phục hồi dữ liệu thực thị bị phân mảnh, các bước
tiếp theo là ráp chúng lại thành tập tin. Để kết hợp tất cả các phân mảnh cần
phải sắp chúng theo đúng thứ tự, nếu không sẽ không phục hồi được. Hãy
thực hiện theo các bước sau:
1. Trong Windows 7 hay Windows Vista, nhấn Start, gõ cmd trong ô Start
Search và nhấn Enter. (Trong Windows XP, kích Start, All Programs, chọn
Accessories, và chọn Command Prompt.)
2. Trong cửa sổ dòng lệnh DOS hãy chuyển đến thư mục làm việc của bạn
với lệnh cd. Hãy dùng lệnh dir C16InChp-* để xem các phân mãnh đã phục
hồi.
3. Để nối các phân mãnh thành tập tin gốc hãy dụng lệnh type như sau (lưu ý
nhấn Enter cho mỗi dòng lệnh) :
502
type C16InChp -65995-66014.txt > Baidarka-.xls
type C16InChp -224797-224800>> Baidarka-.xls
type C16InChp-224785-224788.txt >> Baidarka-.xls
type C16InChp-223721-223724.txt >> Baidarka-.xls
type C16InChp-223255-223256.txt >> aidarka-.xls
4. Thoát khỏi cửa sổ lệnh DOS, và kiểm tra công việc của bạn bằng cách mở
tập tin Baidarka.xls từ Windows Explorer. Nếu nó không mở được trong
chương trình bảng tính của bạn, hãy kiểm tra các bước đã thực hiện để chắc
chắn rằng bạn thu thập các cluster chính xác và nối chúng theo thứ tự đúng.
Như vậy, ta đã hoàn thành các thủ tục phục hồi dữ liệu với ProDiscover
Basic và WinHex.
503
■ Các chuẩn mực đạo đức có thể được xem như là những nguyên tắc mà bạn
tiếp thu và sử dụng để đo lường hiệu suất của bạn, hoặc là các tiêu chuẩn mà
bắt buộc phải tuân thủ như nội quy của cơ quan (gồm các quy tắc ứng xử
hay trách nhiệm nghiệp vụ).
■ Tại Hoa Kỳ và nhiều nước khác trên thế giớ hầu như chưa có giấy phép
dành về giám định pháp lý trên máy tính. Vì vậy, nguồn tiêu chuẩn đạo đức
hay quy tắt hành nghề là những tiêu chuẩn nội bộ của các chuyên ngành như
tâm lý học, y tế học …
■ Hãy nhận thức các hàng động lật đổ bạn khỏi tư cách chuyên gia từ các
luật sư đối lập.
■ Hãy nhận biết các lỗi rõ ràng về mặt đạo đức hay trách nhiệm nghiệp vụ
như việc bỏ qua dữ liệu mâu thuẫn, hay thực hiện công việc vượt quá
chuyên môn hoặc thẩm quyền của bạn…
■ Nên nhớ rằng các luật sư đã thuê bạn, luật sư đối lập, và cả tòa án cũng
phải có những trách nhiệm về mặt đạo đức đối với bạn.
■ Các công cụ bạn sử dụng để khôi phục, kiểm soát và theo dõi bằng chứng
có thể được xem xét kỹ lưỡng để có thể chống lại lời khai của bạn. Nếu tòa
xét thấy chún không đáng tin cậy, bằng chứng phục hồi với những công cụ
này có thể không được thừa nhận hoặc được thừa nhận với một hướng dẫn
hạn chế. Nếu bạn tạo ra một công cụ để sử dụng riêng bạn vẫn phải đệ trình
để xem xét và xác nhận.
■ Sau khi thu thập và phục hồi dữ liệu, hãy tiến hành phân tích càng nhiều
thông tin càng tốt.
504

CHFI Tieng Viet PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

CHFI Tieng Viet PDF

Uploaded by

Copyright:

Available Formats

CHFI

ĐIỀU TRA TỘI PHẠM MÁY TÍNH VÀ TRUY TÌM CHỨNG CỨ SỐ

Điều Tra Máy Tính Và Những Nguyên Tắt Liên Quan

Lịch Sử Của Điều Tra Máy Tính

Chuẩn Bị Nguồn Lực Cho Điều Tra Máy Tính

Chuẩn Bị Cho Quá Trình Điều Tra Máy Tính

Quy Trình Thực Hiện Hợp Lệ

Điều Tra Trong Khu Vực Doanh Nghiệp

Xây Dựng Chính Sách Trong Doanh Nghiệp

Sử Dụng Các Thông Điệp Cảnh Báo

Xác Định Authorized Requester

Tiến Hành Điều Tra An Ninh

Phân Biệt Tài Sản Cá Nhân Và Tài Sản Doanh Nghiệp

Tổng Kết Chương

Chuẩn Bị Cho Một Quá Trình Điều Tra Máy Tính

Những Vi Phạm Chính Sách Doanh Nghiệp

Tiếp Cận Theo Hệ Thống

Hoạch Định Cho Quá Trình Điều Tra

Bảo Vệ Chứng Cứ An Toàn

Điều Tra Lạm Dụng E-Mail

Điều Tra Các Khe Hỡ Truyền Thông

Điều Tra Tình Báo Công Nghiệp

Máy Trạm Và Phần Mềm Phục Hồi Dữ Liệu

Tiến Hành Điều Tra

Thế Nào Là Bit-Stream Copy

Thu Thập Hình Ảnh Của Ổ Lưu Trữ Chứng Cứ

Sử Dụng ProDiscover Basic Để Tạo Ảnh Đĩa Cho Ổ USB

Phân Tích Chứng Cứ Số

Hoàn Thành Bản Án

Tổng Kết Chương

Yêu Cầu Chứng Nhận Đối Với Computer Forensic Lab

Xác Định Các Yêu Cầu Vật Lý Cho Một Computer

Xác Định Nhu Cầu An Ninh Cho Hệ Thống Lab

Sử Dụng Hộp Đựng Bằng Chứng

Bảo Trì Cơ Sở Hạ Tầng

Xem Xét Các Nhu Cầu An Ninh Vật Lý

Kiểm Tra Các Máy Tính Trong Phòng Thí Nghiệm

Xác Định Kế Hoạch Hạ Tầng Cho Phòng Thí Nghiệm

Lựa Chọn Máy Trạm Cơ Bản Cho Phòng Thí

Lựa Chọn Máy Trạm Xử Lý Chứng Cứ Cho Cục Cảnh Sát

Yêu Cầu Đối Với Thiết Bị Ngoại Vi Phần Cứng

Duy Trì Hệ Điều Hành Và Kho Phần Mềm

Có Kế Hoạch Phục Hồi Thảm Họa

Lập Kế Hoạch Cho Nâng Cấp Thiết Bị

Xây Dựng Một Kế Hoạch Kinh Doanh Cho Computer

Tổng Kết Chương

Định Dạng Độc Quyền

Định Dạng Nâng Cao

Sử Dụng Công Cụ Thu Thập Dữ Liệu

Thu Thập Dữ Liệu Với Các Đĩa Live CD/DVD Linux

Tạo Ảnh Đĩa Với ProDiscover Basic

Tạo Ảnh Đĩa Với AccessData FTK Imager

Xác Thực Tính Hợp Lệ Của Dữ Liệu

Phương Pháp Xác Thực Trên Hệ Thống Linux

Phương Pháp Xác Thực Trên Hệ Thống Windows

Thu Thập Thông Tin Trên Các Ổ Đĩa RAID

Thu Thập Dữ Liệu Chứng Cứ Trên Các Ổ Đĩa RAID

Sử Dụng Công Cụ Thu Thập Dữ Liệu Từ Xa

Thu Thập Dữ Liệu Từ Xa Với EnCase Enterprise

Thu Thập Dữ Liệu Từ Xa Với R-Tools R-Studio

Thu Thập Dữ Liệu Từ Xa Với WetStone Livewire

Thu Thập Dữ Liệu Từ Xa Với Runtime Software

Một Số Công Cụ Điều Tra Máy Tính Khác