HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO MÔN HỌC

THU THẬP VÀ PHÂN TÍCH
THÔNG TIN AN NINH MẠNG
ĐỀ TÀI:
NGHIÊN CỨU KỸ THUẬT THU THẬP VÀ PHÂN TÍCH
DỮ LIỆU TỪ Ổ CỨNG
Sinh viên thực hiện: TRỊNH THỊ DUNG AT150209
NGUYỄN THÙY DƯƠNG AT150211
NGUYỄN MINH HẰNG AT150216
ĐỖ DUY HƯNG AT150225
Nhóm 02
Giảng viên hướng dẫn: GV. LÊ HẢI VIỆT

Hà Nội, 05-2022
 LỜI MỞ ĐẦU

Ngày nay, trong thời đại số, tầm quan trọng của an toàn thông tin ngày càng
lớn. Hầu hết các nước, các tổ chức đều đề ra quy định, pháp luật để bảo vệ bảo vệ
dữ liệu và an toàn thông tin của mình. Với sự gia tăng đáng kể của tội phạm mạng
thì vai trò của điều tra số ngày càng lớn.
Điều tra thông tin số, điều tra an ninh mạng hay điều tra số là quá trình xác
định và thu thập bằng chứng số từ bất kỳ môi trường nào, đồng thời bảo vệ tính toàn
vẹn của chứng cứ phục vụ quá trình kiểm tra và báo cáo. Bằng chứng số có thể
được định nghĩa là sự kết hợp giữa các yếu tố của pháp luật và khoa học máy tính
để thu thập và phân tích dữ liệu từ các hệ thống máy tính, mạng, truyền thông
không dây và các thiết bị lưu trữ…
Để có thể điều tra, thu thập và phục hồi dữ liệu thì đó là một kỹ thuật khó,
đòi hỏi điều tra viên phải có kiến thức sâu rộng về các tập tin hệ thống, hoạt động
của ổ đĩa cứng , thu thập và phân tích điều tra số. Nhận thấy đây là một vấn đề cấp
thiết và quan trọng nên nhóm em đã chọn đề tài nghiên cứu về module: “Thu thập
và phân tích chứng cứ từ ổ cứng”.

SINH VIÊN THỰC HIỆN

Hoàng Văn Thuyết
Ngô Quốc Hưng
Vũ Đình Tùng
Nguyễn Hồng Quân
Hoàng Quang Vinh
 MỤC LỤC

DANH MỤC HÌNH.....................................................................................................2

CHƯƠNG I. Tổng quan về ổ Đĩa cứng......................................................................3
I.1. Khái niệm............................................................................................................3
I.2. Phân loại ổ đĩa.....................................................................................................3
I.2.1. Hard Disk Driver (HDD)..............................................................................4
I.2.2. Solid State Driver (SSD)..............................................................................4
I.3. Cấu trúc vật lý và logic của ổ đĩa cứng................................................................5
I.3.1. Cấu trúc vật lý của ổ cứng............................................................................6
I.3.2. Cấu trúc logic của đĩa cứng..........................................................................7
I.4. Giao diện kết nối.................................................................................................7
I.4.1. ATA/PATA (IDE/EIDE)..............................................................................8
I.4.2. Serial ATA...................................................................................................9
I.4.3. SCSI.............................................................................................................9
I.4.4. Serial Attached SCSI (SAS).......................................................................10
I.4.5. USB............................................................................................................10
I.5. Mật độ dữ liệu, dung lượng và hiệu suất của ổ đĩa............................................11
I.5.1. Mật độ dữ liệu.............................................................................................11
I.5.2. Dung lượng và hiệu suất của ổ đĩa..............................................................11
CHƯƠNG II. Phân vùng ổ cứng và hệ thống tập tin..............................................12
II.1. Phân vùng ổ cứng.............................................................................................12
II.1.1. Hệ thống tập tin Window (Windows file systems)....................................13
II.1.2. Hệ thống tập tin MAC OS X.....................................................................14
II.1.3. Hierarchical FileSystem (HFS).................................................................14
II.1.4. Hierarchical File System Plus (HFS+)......................................................15
II.2. Hệ thống lưu trữ RAID.....................................................................................16
II.2.1. Khái niệm..................................................................................................16
II.2.2. Phương thức ghi RAID..............................................................................17
II.3. Định dạng một số tập tin..................................................................................17
II.3.1. JPEG File Format......................................................................................17
II.3.2. BMP File Format.......................................................................................18
II.3.3. GIF File Format.........................................................................................18
II.3.4. PNG File Format.......................................................................................18
CHƯƠNG III. Phân tích hệ thống tệp tin................................................................19
III.1. Tổng quan hệ thống........................................................................................19
III.2. Mô hình điều tra..............................................................................................19
III.3. Mô hình triển khai...........................................................................................20

1
 CHƯƠNG I. TỔNG QUAN VỀ Ổ ĐĨA CỨNG

I.1. Khái niệm

Đĩa cứng hay gọi đúng hơn là ổ đĩa cứng (tiếng Anh: Hard Disk Drive, viết tắt
là HDD) là thiết bị dùng để lưu trữ dữ liệu trên bề mặt các tấm đĩa hình tròn phủ vật
liệu từ tính.
Ổ đĩa cứng (hay ổ cứng) thường được biết đến như là một bộ phận rất quan
trọng của máy tính với việc lưu trữ dữ liệu trong suốt quá trình sử dụng của người
dùng: Các thao tác từ việc truy xuất đọc tài liệu office, tải file, thiết kế hình ảnh, các
bản vẽ, biên tập video, cài đặt phần mềm, game… là các thao tác đọc/ghi trên ổ đĩa
cứng và những dữ liệu này được lưu trên đó.
Đĩa cứng là loại bộ nhớ “không thay đổi”, có nghĩa là chúng không bị mất dữ
liệu khi ngừng cung cấp nguồn điện cho chúng.
Đĩa cứng là nguồn thông tin quan trọng cho người điều tra. Do đó, một nhà điều
tra nên biết cấu trúc và hoạt động của đĩa cứng. Điều tra viên nên xác định vị trí và bảo
vệ dữ liệu thu thập được từ đĩa cứng làm bằng chứng. Do đó, người điều tra cần biết
tất cả các thông tin cần thiết về nguyên lý hoạt động của đĩa cứng. Hệ thống tập tin
cũng rất quan trọng vì việc lưu trữ và phân phối dữ liệu trong đĩa cứng phụ thuộc vào
hệ thống tập tin được sử dụng.

I.2. Phân loại ổ đĩa

Ổ đĩa cứng là một thiết bị lưu trữ dữ liệu kỹ thuật số sử dụng các cơ chế lưu trữ
khác nhau như cơ học, điện tử, từ tính và quang học để lưu trữ dữ liệu. Nó có thể được
định địa chỉ và ghi lại để hỗ trợ các thay đổi và sửa đổi dữ liệu. Tùy thuộc vào loại
phương tiện và cơ chế đọc và ghi dữ liệu, các loại ổ đĩa khác nhau được phân loại như
sau:
– Thiết bị lưu trữ từ tính (Magnetic Storage Devices): Thiết bị lưu trữ từ tính
lưu trữ dữ liệu bằng cách sử dụng nam châm để đọc và ghi dữ liệu bằng cách điều
khiển từ trường trên phương tiện lưu trữ. Đây là những thiết bị cơ học với các thành
phần di chuyển để lưu trữ hoặc đọc dữ liệu. Ví dụ: đĩa mềm, băng từ, …
Trong các loại đĩa cứng này, các đĩa bên trong vật liệu quay với tốc độ cao và
hướng vào ổ đĩa đọc và ghi dữ liệu.
– Thiết bị lưu trữ quang học (Optical Storage Devices): Thiết bị lưu trữ
quang học là phương tiện lưu trữ điện tử, nó lưu trữ và đọc dữ liệu dưới dạng các giá
trị nhị phân bằng cách sử dụng chùm tia laze. Các thiết bị sử dụng đèn có mật độ khác

2
nhau để lưu trữ và đọc dữ liệu. Ví dụ về các thiết bị lưu trữ quang bao gồm đĩa Blue-
Ray, CD và DVD.
– Thiết bị bộ nhớ flash (Flash Memory Devices): Bộ nhớ flash có khả năng
lưu giữ dữ liệu ngay cả khi không có điện. Nó là một loại bộ nhớ chỉ đọc lập trình có
thể xóa bằng điện tử (Electronocally erasable programmable read only memory -
EEPROM). Các thiết bị này rẻ và hiệu quả hơn so với các thiết bị lưu trữ khác. Các
thiết bị sử dụng bộ nhớ flash để lưu trữ dữ liệu là ổ đĩa flash USB, máy nghe nhạc
MP3, máy ảnh kỹ thuật số, SSD, ....
Một số ví dụ về bộ nhớ flash là:
• Chip BIOS trong máy tính
• Compact Flash (thường thấy trong máy ảnh kỹ thuật số)
• Smart Media (thường thấy trong máy ảnh kỹ thuật số)
• Thẻ nhớ (thường thấy trong máy ảnh kỹ thuật số)
• Thẻ nhớ PCMCIA Loại I và Loại II được tìm thấy trong máy tính xách tay
• Thẻ nhớ cho console trò chơi điện tử.
I.2.1. Hard Disk Driver (HDD)
Ổ đĩa cứng là thiết bị lưu trữ dữ liệu kỹ thuật số truy cập ngẫu nhiên, giữ được
dữ liệu kể cả khi không có điện và được sử dụng trong bất kỳ hệ thống máy tính nào.
Đĩa cứng lưu trữ dữ liệu theo một phương thức tương tự như phương thức của một tủ
tập tin. Người dùng khi cần có thể truy cập dữ liệu và chương trình. Khi máy tính cần
chương trình hoặc dữ liệu được lưu trữ, hệ thống sẽ đưa nó đến vị trí tạm thời từ vị trí
cố định. Khi người dùng hoặc hệ thống thực hiện các thay đổi đối với tập tin, máy tính
sẽ lưu tập tin bằng cách thay thế tập tin cũ hơn bằng tập tin mới. HDD ghi dữ liệu từ
tính lên đĩa cứng.
Các đĩa cứng khác nhau từ các phép đo khác nhau như:
– Dung lượng của đĩa cứng
– Giao diện được sử dụng
– Tốc độ quay mỗi phút
– Tìm kiếm thời gian
– Thời gian truy cập
– Thời gian chuyển
I.2.2. Solid State Driver (SSD)
Ổ cứng thể rắn (SSD) là một thiết bị lưu trữ dữ liệu điện tử sử dụng công nghệ
bộ nhớ thể rắn để lưu trữ dữ liệu tương tự như ổ đĩa cứng. Trạng thái rắn là một thuật

3
ngữ điện dùng để chỉ một mạch điện tử được chế tạo hoàn toàn bằng chất bán dẫn.
Nó sử dụng 2 loại chip nhớ:
NAND-based SSDs: Những SSD này sử dụng vi mạch NAND trong bộ nhớ
trạng thái rắn để lưu trữ dữ liệu. Dữ liệu trong các vi mạch này ở trạng thái không bay
hơi có nghĩa là vẫn lưu trữ dữ liệu kể cả khi không có điện và không cần bất kỳ bộ
phận chuyển động nào. Bộ nhớ NAND có bản chất là không thay đổi và giữ được bộ
nhớ ngay cả khi không có điện.
Volatile RAM-based SSDs: SSD dựa trên RAM dễ bay hơi như DRAM, được
sử dụng khi các ứng dụng yêu cầu truy cập dữ liệu nhanh hơn. Những SSD này bao
gồm pin sạc bên trong hoặc bộ chuyển đổi AC/DC bên ngoài và một bộ lưu trữ dự
phòng. Dữ liệu nằm trong DRAM trong quá trình truy cập dữ liệu và được lưu trữ
trong bộ lưu trữ dự phòng trong trường hợp mất điện.

I.3. Cấu trúc vật lý và logic của ổ đĩa cứng

Hình 1.

Các thành phần chính của ổ đĩa cứng là:

Platters: Đây là những cấu trúc giống như đĩa có trên đĩa cứng, được xếp chồng
lên nhau và lưu trữ dữ liệu.
Head: Là một thiết bị nằm trên tay ổ cứng để đọc hoặc ghi dữ liệu trên đĩa từ,

4
được gắn trên bề mặt của ổ đĩa.
Spindle: Là trục quay, trên đó giữ các đĩa ở vị trí cố định sao cho các tay
đọc/ghi có thể lấy dữ liệu trên đĩa.
Actuator: Nó là một thiết bị, bao gồm đầu đọc-ghi di chuyển trên ổ đĩa cứng để
lưu hoặc truy xuất thông tin
Cylinder: Đây là những track tròn hiện diện trên các platter của ổ đĩa ở khoảng
cách bằng nhau tính từ tâm.
I.3.1. Cấu trúc vật lý của ổ cứng

Hình 2

Đĩa cứng chứa một chồng đĩa (platter), đĩa kim loại hình tròn được gắn bên
trong ổ đĩa cứng và được phủ bằng vật liệu từ tính, được niêm phong trong một hộp
hoặc bộ phận kim loại. Cố định ở vị trí ngang hoặc dọc, đĩa cứng có các đầu đọc hoặc
ghi điện từ phía trên và bên dưới đĩa cứng. Bề mặt của đĩa bao gồm một số vòng đồng
tâm được gọi là tracks; mỗi track có các phân vùng nhỏ hơn được gọi là disk blocks.
Kích thước của mỗi disk block là 512 bytes (0,5 KB). Đánh số track bắt đầu bằng 0.
Khi đĩa quay, các đầu ghi dữ liệu theo các tracks. Một đĩa cứng 3,5 inches có thể chứa
khoảng hàng nghìn tracks.
Trục chính giữ các đĩa (The spindle holds the platters) ở một vị trí cố định sao
cho các nhánh đọc/ghi để lấy dữ liệu trên đĩa. Các đĩa này quay với tốc độ không đổi
trong khi đầu ổ đĩa, được đặt gần tâm đĩa, đọc dữ liệu chậm từ bề mặt đĩa so với các
cạnh bên ngoài của đĩa. Để duy trì tính toàn vẹn của dữ liệu, phần đầu đọc tại một
khoảng thời gian cụ thể từ bất kỳ vị trí đầu ổ đĩa nào. Các track ở rìa ngoài của đĩa có

5
các sector ít dân cư hơn so với các track gần tâm đĩa.
Đĩa lấp đầy không gian dựa trên một kế hoạch tiêu chuẩn. Một mặt của đĩa đầu
tiên chứa không gian, dành riêng cho thông tin track-positioning phần cứng không có
sẵn cho hệ điều hành. Bộ điều khiển đĩa sử dụng thông tin track-positioning để đặt các
đầu ổ đĩa vào đúng vị trí sector.
Đĩa cứng ghi dữ liệu bằng kỹ thuật ghi bit khoanh vùng, còn được gọi là ghi
nhiều vùng. Phương pháp này kết hợp các vùng trên đĩa cứng với nhau thành các vùng,
tùy thuộc vào khoảng cách từ tâm đĩa. Một vùng chứa một số sector nhất định trên mỗi
track.
Tính toán mật độ dữ liệu của ổ đĩa được thực hiện theo các điều kiện sau:
Track density: Đề cập đến số lượng track trong đĩa cứng
Area density: Mật độ vùng là dung lượng lưu trữ của đĩa cứng tính bằng bit/inch2
Bit density: Là số bit trên một đơn vị độ dài của tracks.
I.3.2. Cấu trúc logic của đĩa cứng
Cấu trúc logic của đĩa cứng chủ yếu phụ thuộc vào hệ thống tập tin được sử
dụng và phần mềm xác định quá trình truy cập dữ liệu từ đĩa. Hệ điều hành sử dụng
các loại hệ thống tập tin khác nhau và các hệ thống tập tin đó sử dụng nhiều loại cơ
chế kiểm soát và truy cập khác nhau đối với dữ liệu trên đĩa cứng. Hệ điều hành tổ
chức cùng một đĩa cứng theo nhiều cách khác nhau.
Cấu trúc logic của đĩa cứng ảnh hưởng trực tiếp đến tính nhất quán, hiệu suất,
khả năng tương thích và khả năng mở rộng của các hệ thống con lưu trữ của đĩa cứng.
Cấu trúc logic phụ thuộc vào loại hệ điều hành và hệ thống tập tin được sử dụng, bởi
vì các yếu tố này tổ chức và kiểm soát việc truy cập dữ liệu trên đĩa cứng.
Các hệ thống tập tin máy tính phổ biến nhất là:
- FAT
- FAT32
- NTFS
- EXT
- EXT2 và 3
- EFS

I.4. Giao diện kết nối

6
Hình 3

I.4.1. ATA/PATA (IDE/EIDE)

IDE (Integrated Drive Eectronics) là một giao diện điện tử tiêu chuẩn được sử
dụng giữa đường dẫn dữ liệu hoặc bus của bo mạch chủ máy tính và các thiết bị lưu
trữ đĩa của máy tính, chẳng hạn như ổ cứng và ổ CD-ROM/DVD. Chuẩn bus 16-bit
của IBM PC Industry Standard Architecture (ISA) là cơ sở cho giao diện IDE, giao
diện này cung cấp kết nối trong các máy tính sử dụng các chuẩn bus khác. ATA
(Advanced Technology Attachment) là tên chính thức của Viện Tiêu chuẩn Quốc gia
Hoa Kỳ (American National Standards Institute’s ANSI) của Điện tử Truyền động
Tích hợp (Integrated Drive Electronics IDE).
Parallel ATA
PATA dựa trên công nghệ truyền tín hiệu song song, cung cấp một bộ điều
khiển trên chính ổ đĩa và do đó loại bỏ sự cần thiết của một thẻ điều hợp riêng.
Tiêu chuẩn Parallel ATA chỉ cho phép chiều dài cáp lên đến 46 cm (18 inch).
Các tính năng của PATA:
Tương đối rẻ
Dễ dàng cấu hình
Cho phép look-ahead caching
Enhanced Integrated Drive Electronics (EIDE)
Hầu hết các máy tính được bán ngày nay đều sử dụng phiên bản nâng cao của
IDE được gọi là Điện tử ổ đĩa tích hợp nâng cao (Enhanced Integrated Drive

7
Electronics EIDE). Ổ IDE kết nối với PC, sử dụng thẻ bộ điều hợp máy chủ IDE. Bộ
điều khiển IDE trong các máy tính hiện đại là một tính năng được tích hợp sẵn trên
chính bo mạch chủ. IDE nâng cao là một phần mở rộng cho giao diện IDE hỗ trợ các
tiêu chuẩn ATA-2 và ATARI.
Hai loại ổ cắm IDE nâng cao có trên bo mạch chủ. Một ổ cắm kết nối hai ổ đĩa,
cụ thể là cáp 80 dây cho ổ cứng nhanh và cáp ribbon 40-pin cho CD-ROM/DVD-
ROM.
IDE nâng cao hoặc mở rộng là một giao diện điện tử tiêu chuẩn, kết nối bo
mạch chủ của máy tính với ổ lưu trữ của nó. EIDE có thể xử lý ổ cứng lớn hơn 528
Mbyte và cho phép truy cập nhanh vào ổ cứng cũng như cung cấp hỗ trợ Truy cập Bộ
nhớ Trực tiếp (Direct Memory Access DMA) và các ổ đĩa bổ sung như thiết bị băng,
CD-ROM, ... Trong khi cập nhật hệ thống máy tính với ổ cứng lớn hơn, lắp bộ điều
khiển EIDE vào khe cắm hệ thống.
EIDE có thể truy cập các ổ đĩa lớn hơn 528 Mbyte bằng cách sử dụng Địa chỉ
khối logic 28-bit (Logical Block Address LBA) để chỉ ra vị trí actual head, sector và
cylinder của dữ liệu đĩa. Địa chỉ khối logic 28-bit cung cấp thông tin, đủ để biểu thị
các sector duy nhất cho thiết bị 8,4 GB.
I.4.2. Serial ATA
Serial ATA (SATA) cung cấp một kênh điểm-điểm giữa bo mạch chủ và ổ đĩa.
Các cáp trong SATA có chiều dài ngắn hơn so với PATA. Nó sử dụng cáp được bảo
vệ bốn dây có thể dài tối đa một mét. Cáp SATA linh hoạt hơn, mỏng hơn và ít khối
lượng hơn so với cáp ribbon, được yêu cầu cho các ổ cứng PATA thông thường.
- Các tính năng của SATA:
- Hoạt động với tốc độ tuyệt vời
- Dễ dàng kết nối với các thiết bị lưu trữ
- Dễ dàng cấu hình
- Truyền dữ liệu với tốc độ 1,5 Gbps (SATA bản 1.0) và 6 Gbps (SATA bản
3)
Kết nối ổ đĩa và bo mạch chủ thông qua kênh điểm-điểm SATA dựa trên công
nghệ truyền tín hiệu nối tiếp. Công nghệ này cho phép truyền dữ liệu khoảng 1,5 Gbps
ở chế độ kênh bán song công.
I.4.3. SCSI
SCSI là một tập hợp các giao diện điện tử tiêu chuẩn ANSI cho phép máy tính
cá nhân giao tiếp với phần cứng ngoại vi như ổ đĩa cứng, ổ đĩa băng, ổ CD-ROM, máy
in và máy scan. Được phát triển bởi Apple Computer và vẫn được sử dụng trong
Macintosh, bộ SCSI hiện tại là giao diện song song. Cổng SCSI tiếp tục trở thành tính
năng tích hợp trong các máy tính cá nhân khác nhau ngày nay và thu thập hỗ trợ từ tất
cả các hệ điều hành chính.

8
 Ngoài tốc độ dữ liệu nhanh hơn, SCSI còn linh hoạt hơn các giao diện truyền
dữ liệu song song trước đó. SCSI cho phép tối đa 7 hoặc 15 thiết bị (tùy thuộc vào
băng thông bus) được kết nối với một cổng SCSI duy nhất theo kiểu daisy-chain. Điều
này cho phép một bảng mạch hoặc thẻ chứa tất cả các thiết bị ngoại vi, thay vì có thẻ
riêng cho từng thiết bị, làm cho nó trở thành giao diện lý tưởng để sử dụng với máy
tính xách tay, notebook. Một bộ điều hợp máy chủ duy nhất, ở dạng thẻ PC, có thể
đóng vai trò như giao diện SCSI cho máy tính xách tay, giải phóng các cổng song song
và nối tiếp để sử dụng với modem và máy in bên ngoài đồng thời cho phép sử dụng
các thiết bị khác.
I.4.4. Serial Attached SCSI (SAS)
Serial Attached SCSI (SAS) là một giao thức nối tiếp điểm-điểm để xử lý luồng
dữ liệu giữa các thiết bị lưu trữ của máy tính như ổ cứng và ổ băng. Nó là sự kế thừa
của Parallel SCSI và sử dụng bộ lệnh SCSI tiêu chuẩn. SAS được chọn thay vì SCSI vì
tính linh hoạt của nó và các tính năng có lợi khác như được đưa ra dưới đây:
– Mặc dù tiêu chuẩn SCSI song song mới nhất chỉ có thể hỗ trợ tối đa 16 thiết
bị, SAS sử dụng các bộ thoát và có thể hỗ trợ lên đến 65.535 thiết bị.
– SAS không có các vấn đề như kết thúc và lệch đồng hồ.
– SAS là một công nghệ điểm-điểm, có nghĩa là các vấn đề tranh chấp tài
nguyên, vốn phổ biến trong SCSI song song, không ảnh hưởng đến nó.
– Ổ đĩa SAS cung cấp hiệu suất, khả năng mở rộng và độ tin cậy tốt hơn trong
các ứng dụng lưu trữ và cũng có thể hoạt động trong môi trường mà SCSI
không thể.
I.4.5. USB
USB là giao diện “plug-and-play” (Viết tắt là PnP, có nghĩa là cắm và chạy, đây
là một tính năng thông minh, giúp máy tính tự động nhận diện thiết bị và nạp driver
cho bạn sử dụng ngay), cho phép người dùng thêm thiết bị mà không cần thẻ điều hợp
và không cần khởi động lại máy tính. Universal Serial Bus (USB), được phát triển bởi
Intel, được phát hành lần đầu tiên vào năm 1995 với tốc độ tối đa hỗ trợ 12 Mbps.
USB hiện có hỗ trợ tốc độ truyền dữ liệu lên đến 5 Gbps. USB cho phép các thiết bị
ngoại vi bên ngoài như đĩa, modem, máy in, … kết nối với máy tính.
Kiến trúc thiết kế USB không đối xứng bao gồm một máy chủ lưu trữ, nhiều
cổng USB và nhiều thiết bị ngoại vi. Giao tiếp thông qua thiết bị USB chủ yếu thông
qua các đường ống hoặc các kênh logic, là các kết nối giữa bộ điều khiển máy chủ và
một thực thể logic được gọi là điểm cuối. Chiều dài cáp USB từ khoảng 3 feet đến hơn
16 feet. Chiều dài tối đa là 16 feet 5 inch đối với thiết bị tốc độ cao và 9 feet 10 inch
đối với thiết bị tốc độ thấp.
Các tính năng của USB:
– Dễ sử dụng
– Cung cấp khả năng mở rộng
– Cung cấp tốc độ cho người dùng cuối
9
 – Có hiệu suất cao và phổ biến
– Cho phép kết nối dễ dàng các thiết bị ngoại vi bên ngoài PC
– Hầu hết các hệ điều hành đều tự động cấu hình các thiết bị hỗ trợ USB
– Hữu ích trong điện thoại PC và hội nghị truyền hình

I.5. Mật độ dữ liệu, dung lượng và hiệu suất của ổ đĩa

I.5.1. Mật độ dữ liệu

Đĩa cứng lưu trữ dữ liệu bằng phương pháp ghi bit khoanh vùng, còn được gọi
là ghi nhiều vùng. Trong kỹ thuật này, các track tạo thành một tập hợp các vùng tùy
thuộc vào khoảng cách của chúng từ tâm đĩa và các track bên ngoài có nhiều sector
trên chúng hơn các track bên trong. Điều này cho phép ổ đĩa lưu trữ nhiều bit hơn ở
mỗi track bên ngoài so với vùng trong cùng và giúp đạt được tổng dung lượng dữ liệu
cao hơn.
- Mật độ track (Track Density): Nó đề cập đến không gian mà một số track cụ
thể được yêu cầu trên đĩa. Các đĩa có mật độ track lớn hơn có thể lưu trữ
nhiều thông tin hơn cũng như mang lại hiệu suất tốt hơn.
- Mật độ Areal (Areal Density): Nó đề cập đến số bit/inch2 trên đĩa và nó đại
diện cho lượng dữ liệu mà một đĩa cứng có thể chứa.
- Mật độ bit (Bit Density): Nó là số lượng bit mà một đơn vị độ dài của track
có thể chứa được.
I.5.2. Dung lượng và hiệu suất của ổ đĩa
Đĩa cứng trong hệ thống máy tính điển hình có dung lượng lưu trữ. Dữ liệu
được lưu trữ trên đĩa cứng dưới dạng tập tin (file). Một tập tin không gì khác hơn là
một tập hợp các byte. Các byte có thể là:
- Mã ASCII
- Hướng dẫn chương trình phần mềm để hệ thống máy tính thực thi
- Bản ghi của cơ sở dữ liệu
- Màu pixel cho ảnh GIF
Việc đo hiệu suất tốt của ổ đĩa cứng bao gồm tính toán hai đặc điểm đó là thời
gian truy cập (access time) và tốc độ truyền dữ liệu (data transfer rate).

Hình 4
Dữ liệu được lưu trữ trên đĩa cứng dưới dạng tập tin (file)
Khi chương trình đang chạy yêu cầu tập tin, đĩa cứng khôi phục nội dung byte
của tập tin và gửi chúng đến CPU từng lần một để xử lý thêm
Hiệu suất của đĩa cứng được đo bằng các yếu tố sau:
10
- Data rate: Là tỷ lệ giữa số byte trên giây mà đĩa cứng gửi đến CPU
- Seek time: Là khoảng thời gian cần thiết để gửi byte đầu tiên của tập tin đến
CPU, khi nó yêu cầu tập tin.

11
 CHƯƠNG II. PHÂN VÙNG Ổ CỨNG VÀ HỆ THỐNG TẬP TIN

II.1. Phân vùng ổ cứng

Phân vùng đề cập đến việc tạo ra các ổ đĩa logic để quản lý bộ nhớ hiệu quả và
một phân vùng là ổ đĩa logic để lưu trữ dữ liệu. Phân vùng ẩn được tạo trên ổ đĩa có
thể ẩn dữ liệu
Có 2 loại phân vùng:
Phân vùng chính (Primary partition)
Là ổ chứa thông tin liên quan đến hệ điều hành, vùng hệ thống và các thông tin
khác cần thiết để khởi động. Trong MS-DOS và các phiên bản trước đó của hệ thống
Microsoft Windows, phân vùng đầu tiên (C :) phải là “phân vùng chính”.
Phân vùng mở rộng (Extended partition)
Là ổ đĩa logic chứa thông tin liênquan đến dữ liệu và tệp được lưu trữ trong đĩa.
Có nhiều công cụ khác nhau để kiểm tra phân vùng đĩa. Một số công cụ chỉnh sửa đĩa
là Disk Edit, WinHex và Hex Workshop. Những công cụ này có thể giúp người dùng
xem header file và thông tin quan trọng về file. Cả hai đều yêu cầu phân tích các mã
thập lục phân mà hệ điều hành xác định và sử dụng để duy trì hệ thống file.
Hệ thống tập tin
Máy tính không chỉ tính toán dữ liệu mà còn lưu trữ dữ liệu. Vấn đề cấu trúc
tập tin và lưu trữ dữ liệu được quan tâm hàng đầu. Để giải quyết vấn đề này, các nhà
sản xuất sử dụng một cách lưu trữ và tổ chức hiệu quả dữ liệu trên máy tính được gọi
là hệ thống tập tin. Hệ thống tập tin giúp bạn dễ dàng tìm kiếm và truy cập dữ liệu.
Các thiết bị lưu trữ dữ liệu như ổ đĩa cứng hoặc CD-ROM có thể sử dụng hệ thống tập
tin để lưu trữ dữ liệu. Hệ thống tập tin chia tập tin thành các phần nhỏ hơn và sau đó
lưu trữ chúng vào ổ đĩa cứng hoặc bộ nhớ flash theo các cluster.
• Hệ thống tập tin là một tập hợp các kiểu dữ liệu được sử dụng cho:
• Lưu trữ (Storage)
• Phân loại theo thứ bậc (Hierarchical categorization)
• Quản lý (Management)
• Điều hướng (Navigation)
• Truy cập (Access)
• Khôi phục dữ liệu (Recovering the data)
Các hệ thống tập tin chính bao gồm FAT, NTFS, HFS, Ext2, Ext3, ... Người
dùng có thể truy cập tập tin bằng giao diện đồ họa hoặc dòng lệnh. Hệ thống tập tin tổ

12
chức dữ liệu dưới dạng các thư mục có cấu trúc hình cây. Đây thường là các tủ tài liệu
và thư mục. Các thư mục yêu cầu quyền được cấp phép để truy cập.
Sau đây là các loại hệ thống tập tin khác nhau:
Disk file system: Là một kỹ thuật được thiết kế để lưu trữ và khôi phục tập tin
tin trên thiết bị lưu trữ, thường là đĩa cứng, được kết nối trực tiếp hoặc gián tiếp với
máy tính. Một vài ví dụ về disk file system là FAT, NTFS, ext2, ISO 9660, ODS-5 và
UDF.
Network file system: Là một loại hệ thống tập tin, giúp người dùng truy cập
tập tin trên các máy tính khác được kết nối qua mạng. Hệ thống tập tin là minh bạch
đối với người dùng. Một vài ví dụ về network file system là NFS, CIFS và GFS.
Database file system: Đây là một phương pháp mới để lưu trữ dữ liệu trên máy
tính và quản lý hiệu quả hệ thống tập tin. Các hệ thống tập tin trước đây đã sử dụng
quản lý có cấu trúc phân cấp, nhưng hệ thống tập tin cơ sở dữ liệu xác định các tập tin
theo đặc điểm của chúng, chẳng hạn như tên tập tin, loại tập tin, chủ đề, tác giả hoặc
metadata tương tự. Do đó, người dùng có thể tìm kiếm tập tin bằng cách lập công thức
truy vấn SQL hoặc bằng giọng nói tự nhiên. Ví dụ, nếu người dùng cần tìm các tài liệu
được viết, thì truy vấn “tài liệu được viết bởi ABC” sẽ hiển thị kết quả.
Flash file systems: Hệ thống này lưu trữ các tập tin hoặc dữ liệu trong các thiết
bị bộ nhớ flash. Trong thế giới ngày nay, các hệ thống tập tin này đang trở nên phổ
biến với số lượng thiết bị di động ngày càng tăng. Với các hệ thống tập tin này, chi phí
cho mỗi kích thước bộ nhớ giảm và dung lượng của bộ nhớ flash sẽ tăng lên.
II.1.1. Hệ thống tập tin Window (Windows file systems)
File Systems là đơn vị lưu trữ cơ bản của bất kỳ thiết bị nào và hệ điều hành
Windows cung cấp năng lượng cho hầu hết các thiết bị máy tính trên toàn cầu. Do đó,
các nhà điều tra có trách nhiệm xem xét các hệ thống khác nhau chạy trên Windows
trong khi điều tra sự cố bảo mật và cần có kiến thức hợp lý về cách hệ điều hành lưu
trữ tập tin. Phần này sẽ trình bày các phương pháp, Hệ điều hành Windows sử dụng,
để lưu trữ các tập tin nhằm giúp các nhà điều tra trích xuất và phân tích chúng.
FAT (File Allocation Table) là một hệ thống tập tin, được thiết kế vào năm
1976, dành cho nhiều hệ điều hành như DOS, Windows, OpenDOS, ... Được thiết kế
cho các đĩa cứng nhỏ và cấu trúc thư mục đơn giản, hệ thống tập tin FAT có tên theo
cách nó tổ chức các thư mục và bảng cấp phát tập tin tin. Bảng cấp phát tập tin tin lưu
trữ tất cả các tập tin và nằm ở phần đầu của tập.
Nó tạo ra hai bản sao của bảng cấp phát tập tin tin để bảo vệ ổ đĩa khỏi bị hư
hỏng.Một số thiết bị triển khai FAT bao gồm bộ nhớ flash, máy ảnh kỹ thuật số và các
thiết bị di động khác. Gần như hầu hết các hệ điều hành được cài đặt trên máy tính cá
nhân đều triển khai hệ thống tập tin FAT.

13
 FAT32 là phiên bản của FAT thay thế hệ thống tập tin FAT16 và có sẵn trong
Windows 95 OSR 2 và Windows 98. FAT32 sử dụng các cluster nhỏ hơn với nhiều bit
địa chỉ hơn để hỗ trợ các đĩa lớn hơn cũng như cung cấp khả năng lưu trữ tốt hơn. Nó
luôn tạo một bản sao lưu của FAT (file allocation table) thay vì bản sao mặc định.
Tính năng của FAT32:
• Sử dụng không gian hiệu quả hơn, khoảng 10% - 15%, do sử dụng các cluster
nhỏ hơn.
• Rất mạnh mẽ vì nó có thể thay đổi đích của thư mục gốc và sử dụng bản sao
lưu của bảng cấp phát tập tin.
• Gồm boot record mở rộng để kết hợp bản sao dự phòng của cấu trúc thông tin
cơ bản.
• Có tỷ lệ lỗi thấp hơn so với ổ FAT16.
• Thích nghi hơn.
• Có sẵn ở bất kỳ đâu trên ổ đĩa vì trình tổ chức gốc trên ổ đĩa FAT32 là một
chuỗi cluster tiêu chuẩn.
• Không có giới hạn về số lượng root folder entry.
• Cho phép người dùng vô hiệu hóa việc lặp lại file allocation table
II.1.2. Hệ thống tập tin MAC OS X
Mac OS X của Apple sử dụng một cách tiếp cận khác trong việc lưu trữ dữ liệu,
khi so sánh với Windows và Linux. Phần này sẽ giúp người điều tra biết về hệ thống
tập tin mà các phiên bản hệ điều hành Mac khác nhau sử dụng.
II.1.3. Hierarchical FileSystem (HFS)
Apple đã thiết kế Hierarchical File System (HFS) vào năm 1985 cho hệ điều
hành Mac. Nó cho phép người dùng lưu trữ các tập tin theo cách phân cấp. Nó nhóm
các tập tin thành các thư mục và mỗi thư mục cùng nhóm với các thư mục khác. Nó
hiển thị các ổ đĩa, thư mục và tập tin theo nhóm. Nó chia một khối lượng logic thành
các khối logic 512 bytes. Hệ thống tập tin sau đó nhóm các khối này thành một khối
cấp phát. HFS sử dụng giá trị 16 bits để giải quyết các khối cấp phát.

14
Hình 5

Khối lượng logic 0 và 1 là khối boot blocks, chứa thông tin khởi động hệ thống.
Ví dụ: tên hệ thống và tập tin shell được tải khi khởi động.
Khối logic 2 có Master Directory Block (MDB) xác định dữ liệu về volume như
dấu ngày và thời gian của việc tạo volume, vị trí của cấu trúc volume, bitmap volume
và kích thước của cấu trúc logic. Alternate Master Directory Block (Alternate MDB) là
một bản sao của MDB nằm ở phần cuối đối diện của tập và khối logic thứ hai đến cuối
cùng. Các tiện ích đĩa chủ yếu sử dụng alternate Master Directory Block và chỉ cập
nhật nó khi tập tin tin tràn phần mở rộng (extents overflow file) hoặc tập tin danh mục
(catalog file) có kích thước lớn.
Khối logic 3 là khối đầu tiên của volume bitmap. Nó theo dõi các khối cấp phát
đang sử dụng cũng như các khối free.
Hierarchical File System cho phép người dùng:
Hierarchically organize files (Sắp xếp tập tin theo thứ bậc)
Use longer file names that include embedded spaces (Sử dụng tên tập tin dài
hơn bao gồm không gian nhúng)
Use as many levels of directories and subdirectories as needed (Sử dụng nhiều
mức thư mục và thư mục con nếu cần)
Use a CICS transaction to observe and maintain HFS files (Sử dụng giao dịch
CICS để quan sát và duy trì các tập tin HFS)
II.1.4. Hierarchical File System Plus (HFS+)
15
Hình 6

HFS Plus (HFS +) là sự kế thừa của HFS và là hệ thống tập tin chính trong
Macintosh. Nó hỗ trợ các tập tin lớn và sử dụng Unicode để đặt tên cho các mục (tập
tin và thư mục).
Một số tính năng được thêm vào HFS Plus là:
HFS Plus sử dụng B-tree để lưu trữ dữ liệu
Nó hỗ trợ các tập tin có độ dài 64 bits
Nó cho phép tên tập tin có độ dài 255 ký tự
Nó sử dụng bảng phân bổ 32 bits cho bảng ánh xạ, không giống như 16 bits
trong HFS
HFS Plus cho phép người dùng:
Sử dụng hiệu quả dung lượng ổ cứng.
Chỉ sử dụng các tên tập tin thân thiện với quốc tế.
Dễ dàng khởi động trên hệ điều hành không phải Mac OS.
Còn được gọi là Mac OS Extended (HFS Extended), nó cũng là hệ thống tập tin
của một số iPod của Apple.

II.2. Hệ thống lưu trữ RAID

16
II.2.1. Khái niệm
Redundant Array of Independent Disks (RAID) là công nghệ sử dụng đồng thời
nhiều đĩa nhỏ hơn, hoạt động như một ổ đĩa lớn. Nó cung cấp một phương pháp cụ thể
để truy cập một hoặc nhiều đĩa cứng riêng biệt, do đó giảm nguy cơ mất tất cả dữ liệu
nếu đĩa cứng bị lỗi hoặc dễ bị hỏng, đồng thời nó cũng giúp cải thiện thời gian truy
cập, gia tăng tốc độ đọc/ghi dữ liệu và tăng thêm sự an toàn của dữ liệu chứa trên hệ
thống đĩa hoặc kết hợp cả hai yếu tố trên.
Công nghệ RAID giúp người dùng:
Duy trì một lượng lớn dữ liệu lưu trữ.
Đạt được mức hiệu suất đầu vào/đầu ra cao hơn.
Đạt được độ tin cậy cao hơn nhờ dự phòng dữ liệu.
Hệ thống RAID cho phép truy cập đồng thời nhiều tập tin khác nhau trên các
đĩa cứng khác nhau, giúp giảm thời gian cần thiết để tìm dữ liệu trên đĩa cứng. Truyền
dữ liệu tăng đáng kể trên hệ thống RAID qua một đĩa cứng.
II.2.2. Phương thức ghi RAID
Parity: Phương thức ghi chẵn lẻ được sử dụng như là một mã vùng đơn giản
trong quá trình phát hiện và khôi phục lại dữ liệu đã lưu trữ, nghĩa là nó sẽ tự động sao
chép lại nội dung đã mất trước đó khi có một đĩa hỏng.
Stripe: Là phương thức chia sẻ dữ liệu ngẫu nhiên sang nhiều đĩa khác nhau, có
nghĩa là không có ổ đĩa nào chứa đầy đủ dữ liệu.
Mirroring: Sử dụng cho RAID 1 và RAID 10, là phương thức ghi dữ liệu sao
chép, nghĩa là tất cả các ổ đĩa đều ghi dữ liệu giống nhau.
Hot Pare: Là một ổ đĩa dùng trong máy chủ, nó có thể tự động thay thế các ổ
đĩa bị hỏng. Nếu có một ổ đĩa bất kỳ nào bị hỏng trong hệ thống, nó sẽ tự động khởi
động và tự động rebuild lại dữ liệu.
Chunks: Là kích thước của dữ liệu, tối thiểu là 4KB trở lên, bằng cách xác
định kích thước chunk chúng ta có thể tăng hiệu suất I/O.

II.3. Định dạng một số tập tin

II.3.1. JPEG File Format

JPEG là tên viết tắt của Joint Photographic Experts Group, ủy ban đã tạo ra tiêu
chuẩn JPEG và JPED là thuật ngữ được sử dụng để đại diện cho bất kỳ tập tin hình
ảnh đồ họa nào được tạo ra bằng cách sử dụng tiêu chuẩn JPEG.
Đây là một phương pháp nén mất dữ liệu cho hình ảnh kỹ thuật số và cho phép
người dùng điều chỉnh mức độ nén, có tác động có thể lựa chọn đến kích thước lưu trữ
và chất lượng hình ảnh. Các tập tin JPEG cho phép tỷ lệ nén là 90%, bằng một phần

17
mười kích thước của dữ liệu.
II.3.2. BMP File Format
BMP file format, còn được gọi là bitmap image file hoặc device independent
bitmap (DIB) file format, là một định dạng tập tin hình đồ họa tiêu chuẩn được sử
dụng để lưu trữ hình ảnh trên hệ điều hành Windows. Microsoft đã phát triển định
dạng này để Windows có thể hiển thị hình ảnh trên mọi loại màn hình. Hình ảnh
bitmap có thể bao gồm hình ảnh động. Kích thước và màu sắc của những hình ảnh này
có thể thay đổi từ 1-bit trên mỗi pixel (đen trắng) đến 24-bit màu (16,7 triệu màu).
II.3.3. GIF File Format
GIF là một định dạng tập tin chứa 8-bit trên mỗi pixel và hiển thị 256 màu trên
mỗi khung hình. CompuServe tạo ra định dạng GIF vào năm 1987. GIF sử dụng kỹ
thuật nén dữ liệu không mất dữ liệu để duy trì chất lượng hình ảnh.
II.3.4. PNG File Format
PNG, viết tắt của Portable Network Graphics, là một định dạng hình ảnh không
mất dữ liệu nhằm thay thế các định dạng GIF và TIFF. PNG cải thiện định dạng tập tin
GIF và thay thế bằng định dạng tập tin hình ảnh. Nó là bản quyền và giấy phép miễn
phí. Định dạng tập tin PNG hỗ trợ màu trung thực 24 bit, độ trong suốt ở cả kênh bình
thường và kênh alpha cũng như hình ảnh được lập chỉ mục/dựa trên bảng màu của màu
RGBA 24-bit hoặc 32-bit RGBA và hình ảnh thang độ xám.

18
 CHƯƠNG III. PHÂN TÍCH HỆ THỐNG TỆP TIN

III.1. Tổng quan hệ thống

Phần này thực hiện điều tra kỹ thuật số của hệ thống tệp NTFS để khôi phục
cáctệp bị xóa, xác định và trích xuất dữ liệu ẩn.
Như các bạn đã biết thì khi bạn xóa một dữ liệu nào đó nhưng miễn là bạn còn
giữ chúng trong RecycleBin thì vẫn có thể khôi phục lại được. Tuy nhiên, nếu
bạn xóa hẳn hoặc Shift+Delete thì bạn sẽ không thể nào lấy lại
được những dữ liệu đã mất.
Thế nhưng, hiện nay có rất nhiều ứng dụng bên thứ 3 có khả năng khôi phục lại
dữ liệu mặc dù bạn đã xóa nó vĩnh viễn, và điều này khiến cho bạn suy nghĩrằng liệu
dữ liệu bị xóa có thật sự biến mất.
Khi bạn làm trống Recycle Bin không nghĩa là những dữ liệu mà bạn đã xóa sẽ
bị mất vĩnh viễn. Thứ bị xóa vĩnh viễn thật chất chỉ là những bảng phân bố file chính
(Master file table) của những dữ liệu đó mà thôi. Nếu như bạn chưa biết thì bảng phân
bố file chính của một file có chức năng đơn thuần là chỉ cho hệ thống biết vị trí của file
đó nằm ở đâu. Điều đó có nghĩa là về bản chất thì bạn không thực sự xóa dữ liệu mà
bạn chỉ đang xóa “tấm bản đồ” dẫn đường đến dữ liệu đó mà thôi. Đồng thời, việc
“xóa” vĩnh viễn này cũng cấp cho hệ thống quyền để ghi đè một dữ liệu khác lên đúng
vị trí đó trong ổ cứng.

III.2. Mô hình điều tra

- Nhận dạng: Điều này nhận biết sự cố từ thiết bị kỹ thuật số và xác định loại
của nó.
- Chuẩn bị: Bao gồm việc chuẩn bị các công cụ, kỹ thuật và ủy quyền giám
sát
- Tiến hàng: Mở Ổ đĩa vật lý với Quyền đọc.
- Collection: Thu thập bản ghi lại hiện trường và nhân bản bằng chứng số
bằng cách tạo disk image
- Kiểm tra:
- Tìm mục nhập phân vùng chứa phân vùng NTFS.
- Điều hướng đến phần đầu của MFT.
- Tính cấp phát chỉ mục của nó.
- Xử lý lần lượt các bản ghi INDX được tìm thấy trong dữ liệu thuộc tính cấp
phát chỉ mục một cách đệ quy cho đến khi bạn tìm thấy tệp phù hợp với tệp
bạn đang tìm kiếm.
- Trong mục nhập chỉ mục , tìm số bản ghi MFT và di chuyển đến vị trí bản
ghi đó trong MFT.

19
 - Ghi lại mục nhập MFT và xử lý từng tiêu đề thuộc tính chuẩn của nó cho
đến khi gặp thuộc tính dữ liệu.
- Sử dụng quy trình trích xuất dữ liệu thuộc tính để truy xuất thuộc tính dữ
liệu có chứa nội dung của tệp đang được truy cập.
- Báo cáo: Sau khi hoàn thành điều tra, điều tra viên có thể trình bày dữ liệu
hoặc thông tin của mình, thường dưới dạng báo cáo bằng văn bản.

III.3. Mô hình triển khai

- Mô hình bao gồm hai giai đoạn: Trích xuất tệp và Phân tích tệp như trong
hình dưới.
- Trong giai đoạn trích xuất tệp, hình ảnh đĩa sẽ được tạo hoặc có thể được
nhập trực tiếp từ thiết bị đính kèm. Boot sector sẽ được đọc để xác định vị
trí bắt đầu của MFT, thư mục gốc là các thuộc tính chính được sử dụng để
khôi phục các tệp đã xóa.
- Phân tích chi tiết sẽ được thực hiện trong giai đoạn phân tích tệp. Các thuộc
tính thu được trong giai đoạn trích xuất tệp được sử dụng để khôi phục các
tệp đã xóa. Có thể xác định MAC time để phân tích.
- Mô-đun phân tích bằng chứng ẩn có nhiệm vụ tìm các bằng chứng từ các tệp
đã bị xóa, free spaces (file slack). Và tải vào cơ sở dữ liệu.
- Trong mô-đun Hoạt động điều tra của tệp giám sát, lớp FileSystemWatcher
giám sát hoạt động điều tra của tệp như ai đã xóa, truy cập, thay đổi tệp.
- Cơ sở dữ liệu lưu trữ dữ liệu liên quan đến tệp như tên tệp, loại tệp, thời
gian tạo, thời gian sửa đổi và thời gian xóa, thời gian truy cập lần cuối.
- Mô-đun tạo báo cáo, tạo báo cáo cho từng bằng chứng thu thập được từ hệ
thống tập tin phân tích hệ thống con từng thiết bị số như ảnh đĩa của ổ đĩa.

20