Quy trình của người phản hồi đầu tiên

Tình huống

Sam, một quản trị viên hệ thống, đã bị bất ngờ khi thấy trong office
server của mình các tệp quan trọng bị thiếu. Anh ấy nghi rằng server
đã bị xâm nhập nên đã thực hiện điều tra hệ thống.
Sam báo cáo sự việc cho Bob, một nhân viên An ninh Thông tin làm
việc cùng công ty. Bob ghi lại báo cáo từ Sam. Là một CHFI, Sam
nắm bắt được tình hình và làm theo các thủ tục cơ bản để kiểm tra
hệ thống
Anh ta kiểm tra tập tin hình ảnh của đĩa cứng của server thì thấy sự
xuất diện của rootkit trong những thư mục của server.
Khi điều tra thì Sam có nhớ lại là đã tải xuống một công cụ quản lý
từ một bên thứ ba trên Internet. Anh ấy nhận ra rằng rootkit đó có thể
đã được đóng gói cùng với công cụ quản lý đó.
 Chống tội phạm trong thời đại thông tin

Ngày nay khi công nghệ phát triển, cách tấn công của tội phạm cũng vậy. Để thành
công trong thời đại thông tin này, cơ quan thực thi pháp luật phải nắm bắt được
công nghệ để chống lại tội phạm thế kỷ 21. Franklin County Sherif Ewell Hunt cho
biết: “Chúng tôi liên tục bổ sung vào kho công cụ công nghệ của mình”. "Các cuộc
điều tra ngày nay rất khác so với 30 năm trước, vì vậy chúng ta phải điều chỉnh các
phương pháp của mình cho phù hợp với tội phạm thế kỷ 21."
“Ví dụ như điện thoại di động hiện tham gia ít nhất 90% trong các cuộc điều tra tội
phạm của chúng tôi” Hunt cho biết. “Chúng chứa một lượng lớn thông tin mà chúng
tôi có thể sử dụng để thiết lập dòng thời gian, liên lạc và địa chỉ hữu ích cho cuộc
điều tra của chúng tôi."
Vào tháng 2, Văn phòng Cảnh sát trưởng Quận Franklin mua phần cứng, phần
mềm và đào tạo để lấy bằng chứng pháp y từ điện thoại di động.
“Chúng tôi không giám sát việc sử dụng điện thoại di động”,Trung sĩ Eric Ingram
nói. "Chúng tôi truy xuất thông tin từ điện thoại có được một cách hợp pháp trong
quá trình điều tra tội phạm” . Ingram, Trung úy Steve McGuire và Điều tra viên
Sandra Ingram đã được đào tạo để truy xuất dữ liệu trong khi bảo quản bằng chứng
pháp lý để đảm bảo thông tin được chấp nhận trước tòa.
 Mục tiêu của Module

• Phỏng vấn sơ bộ
• Bằng chứng điện tử
• Ghi lại hiện trường tội phạm điện tử
• Người phản hồi đầu tiên
• Thu thập và bảo quản bằng chứng
• Thiết bị điện tử: các loại, thu thập
điện tử
bằng chứng
• Đóng gói và vận chuyển bằng chứng
• Bộ công cụ
điện tử
• Kiến thức cơ bản
• Báo cáo hiện trường vụ án
• Phản hồi của nhân viên pháp y
• Ghi chú danh sách kiểm tra
• Bảo mật và đánh giá hiện trường
• Những sai lầm phổ biến
LUỒNG
MOUDLETHỰC THI
FLOW

Người Bộ công cụ Phản hồi cơ

phản hồi phản hồi bản đầu
đầu tiên đầu tiên tiên

Bảo mật và Thực hiện

Ghi lại hiện
đánh giá hiện các cuộc
trường vụ án
trường vụ án phỏng vấn
điện tử
điện tử sơ bộ
Thu thập và Đóng gói và
Lập báo cáo
bảo quản vận chuyển
hiện trường
chứng cứ bằng chứng
vụ án
điện tử điện tử
 Bằng chứng điện tử

“Bằng chứng điện tử là dữ liệu có giá trị điều tra được lưu trữ trên thiết bị
điện tử hoặc truyền đi"

Nó được che giấu, tương tự

như dấu vân tay hay DNA

Các đặc tính

Nó sẽ hết hạn trong Nó có thể bị phá hủy bởi
thời gian quy định tác động bên ngoài
 Là người đầu tiên đến hiện
trường và truy cập máy tính
nận nhân ngay sau tai nạn

Là người có thể làm

Là người chịu trách, bảo
quản trị mạng, người
quản nhiệm bảo vệ bằng
thi hành luật hoặc
chứng từ hiện trường
thanh tra
 Các bước tiến hành

1. Xác định hiện trường .

2. Bảo vệ hiện trường .

3. Lưu giữ bằng chứng tạm thời.

4. Thu thập đầy đủ thông tin đủ về vụ việc.

5. Ghi lại tất cả các phát hiện.

6. Đóng gói và vận chuyển bằng chứng điện tử.

 Thiết bị điện tử: Các loại và Thu Thập bằng chứng tiềm
năng
Hệ thống máy tính
Bằng chứng được tìm thấy trong tài liệu được lưu trữ trên máy,
bộ nhớ, thẻ, đĩa cứng, thiết bị lưu trữ có thể tháo rời và
phương tiện như đĩa mềm, CD, DVD.

Các cá nhân trợ lý phần kỹ

Ổ cứng 
thuật
Để thu thập bằng chứng, hãy kiểm tra các tệp văn
Bằng chứng được tìm thấy
bản, hình ảnh, video, đa phương tiện, dữ liệu và
trong sổ địa chỉ, lịch hẹn hoặc
chương trình.
thông tin, tài liệu và emall

Máy nhắn tin Ổ cứng flash

Để thu thập bằng chứng, Để thu thập bằng chứng, hãy kiểm tra các
hãy kiểm tra thông tin địa trang văn bản, đồ họa, pháp sư và hình ảnh
chỉ, tin nhắn, emal và số
điện thoại
Thẻ nhớ
Để thu thập bằng chứng, hãy kiểm tra nhật
Máy ảnh kĩ thuật số ký sự kiện, nhật ký trò chuyện, văn bản, tệp
Bằng chứng được tìm thấy trong hình ảnh, tệp ảnh và lịch sử duyệt Intemet
hình ảnh, video, âm thanh, thời
gian và ngày tháng
Thẻ thông minh, Dongle, và Máy quét sinh trắc học
Máy trả lời Bằng chứng được tìm thấy bằng cách nhận ra hoặc xác
Bằng chứng được tìm thấy trong các bản ghi minh thông tin của thẻ với người dùng, cấp độ truy
âm giọng nói như tin nhắn đã xóa, số gần đây cập, cấu hình, quyền và trong chính thiết bị của đó.
nhất được gọi, bản ghi nhớ và số điện thoại.
 Thiết bị điện tử: Các loại và Thu Thập bằng chứng
tiềm năng
Máy in
Máy fax Bằng chứng được tìm được ở lịch sử sử dụng, thông tin thời
Bằng chứng được tìm qua tài liệu, gian, ngày tháng, và thông tin về mạng
số fax, lịch sử gửi
Các đĩa mềm bị bỏ đi
Đồng hồ số
Bằng chứng được tìm ở bên trong
Bằng chứng được tìm ở địa chỉ các
chúng
điểm đặt chỗ, giấy nhớ, lịch hẹn, số
điện thoại, email
Điện thoại bàn
Bằng chứng được thấy thông tên, số
Thẻ credit điện thoại, thông tin định danh người
Bằng chứng được tìm ở ngày hết gọi, thông tin cuộc gọi
hạn, địa chỉ chủ thẻ, số thẻ, tên
chủ thẻ Modem
Bằng chứng được tìm ở bên trong chúng

Máy in
Bằng chứng được tìm ở bên trong các Máy quét
tài liệu, lịch sử dung, thời gian và ngày Bằng chứng được thấy thông tên, số điện thoại,
dùng thông tin định danh người gọi, thông tin cuộc gọi
 Cơ bản
Người trả Bộ về phản
lời đầu công hồi đầu
tiên cụ tiên

Bảo mật và Lập biên bản

đánh giá Phỏng
hiện trường
hiện trường vấn sơ
tội phạm
tội phạm bộ
điện tử
điện tử

Thu thập và Đóng gói và Báo cáo

lữu trữ vận chuyển hiện trường
bằng chứng bằng chứng vụ án
điện tử điện tử
Bộ công cụ

• Bộ công cụ giúp thu thập bằng chứng

xác thực và có thể thực hiện được

• Nó giúp hiểu được những hạn chế và khả

năng của bằng chứng điện tử tại thời điểm
thu thập

• Phải chọn công cụ pháp y máy tính

đáng tin cậy cung cấp thông tin đầu
ra cụ thể
Tạo bộ công cụ
Tạo một pháp y đáng tin cậy máy tính Tài liệu chi tiết về pháp y máy vi tính
• Chọn hệ điều hành liên quan  
• Hoàn thiện hoàn toàn máy tính pháp y  • Phiên bản, tên và loại điều hành hệ
• Cài đặt hệ điều hành và phần mềm cần thiết
• Cập nhật và vá lỗi máy tính pháp y
thống
• Cài đặt trình giám sát tính toàn vẹn của tệp • Tên và các loại phần mềm khác nhau
để kiểm tra tính toàn vẹn của hệ thống tệp • Tên và các loại phần cứng được cài đặt

Ghi lại bản tóm tắt các công cụ được thu thập
 
Kiểm tra các công cụ
• Nó giúp người phản hồi đầu tiên hiểu cách hoạt  
động của một công cụ • Kiểm tra các công cụ được thu thập
• Tóm tắt bao gồm: trên máy tính pháp y và kiểm tra hiệu
1. Sự mua lại sau đó quá suất và đầu ra
2. Miêu tả cụ thể sau đó dụng cụ
3. Làm việc của quá • Kiểm tra ảnh hưởng của công cụ trên
4. Sự phụ thuộc của công cụ và các hiệu ứng hệ máy tính pháp y
thống
 Công cụ hỗ trợ thu thập
bằng chứng
Những người tham gia điều tra cần được trang bị công cụ xử lý tội phạm
chung (như máy ảnh, sổ, giấy nhớ, mẫu bằng chứng, …

Công cụ văn phòng Công cụ thực thi

• Thẻ, tag • Tua vít loại lưỡi phẳng
• Tip giữ nguyên bằng chứng
• Nhãn giấy • Kìm và máy cắt dây tiêu
chuẩn
• Tua vít chuyên dụng
• Kìm mũi kim
• Nhíp nhỏ
Công cụ hỗ trợ thu thập
bằng chứng
Công cụ đóng gói và hỗ trợ Các công cụ khác

• Bọc chống tĩnh điện • Găng tay

• Dây buộc cáp cáp • Xe
• Túi chứng cứ
• Kính lúp
• Băng bằng chứng
• Nhãn • Giấy in
• Vật liệu đóng gói và băng keo • Đĩa mềm không sử dụng
• Hộp cứng có nhiều kích cỡ • Đèn pin nhỏ
Công cụ hỗ trợ thu thập
bằng chứng
Thiết bị máy tính Công cụ phần mềm Công cụ phần cứng
• Phần mềm bản
quyền • Máy pháp y
• CD paraben
• Thiết bị phần • Phần cứng kỹ thuật
cứng số pháp y tình báo
• Cáp kết nối • Bộ tăng tốc phần
cứng Tableau
• Các máy pháp y
Wiebetech
• Máy Logicube pháp
y
 Cơ bản
Người trả Bộ về phản
lời đầu công hồi đầu
tiên cụ tiên

Bảo mật và Lập biên bản

đánh giá Phỏng
hiện trường
hiện trường vấn sơ
tội phạm
tội phạm bộ
điện tử
điện tử

Thu thập và Đóng gói và Báo cáo

lữu trữ vận chuyển hiện trường
bằng chứng bằng chứng vụ án
điện tử điện tử
Quy Tắc Phản Hồi Đầu Tiên

Trong bất kỳ trường hợp nào ngoại trừ nhân viên

pháp y máy tính có trình độ, không được thực hiện
bất kỳ nỗ lực nào để khôi phục hoặc khôi phục thông
tin từ hệ thống máy tính hoắcj thiết bị thông tin điện
tử

Cần tránh mọi nỗ lực truy xuất dữ liệu của những

cá nhân không đủ điều kiện những nỗ lực này có
thể làm tổn hại đến tính toàn vẹn của tệp hoặc dẫn
đến việc tệp không được chấp nhận trong các thủ
tục pháp lý hoặc hành chính
 Ứng phó sự cố: các tình huống khác nhau
Phản ứng đầu tiên đối với một sự cố có thể liên quan đến ba nhóm người
khác nhau và mỗi nhóm sẽ có các kỹ năng khác nhau và cần thực hiện các
nhiệm vụ khác nhau dựa trên sự cố

Quản trị hệ thống

Các nhóm
Nhân viên pháp y khác nhau
phòng thí nghiệm Người quản lý địa
phương hoặc nhân
viên không thuộc pháp
y khác
 Phản hồi đầu tiên dành cho quản trị
viên hệ thống

Các hành động được sau đó quản trị viên hệ

sau khi sự cố được phát
thực hiện bởi quản trị thống không được chạm
hiện bởi quản trị viên hệ
viên hệ thống sau khi vào hệ thống trừ khi
thống, họ phải báo cáo các
phát hiện ra một vi phạm được chỉ đạo bởi người
sự cố đó theo các quy trình
máy tính tiềm ẩn sẽ đóng quản lý sự cố hoặc nhiệm
báo cáo sự cố hiện hành
vai trò quan trọng trong vụ hoặc một trong
của tổ chức
cuộc điều tra những nhà phân tích
pháp y được chỉ định cho
vụ việc
Phản hồi đầu tiên của nhân viên không thuộc phòng
thí nghiệm

bảo mật hiện trường và đảm bảo rằng nó được duy

Bảo vệ
trì ở trạng thái an toàn cho đến khi đội pháp y
cảnh
thông báo

ghi chú hiện trường mà cuối cùng sẽ được giao

Ghi chú cho đội pháp y

toàn bộ khu vực chứ không phải mỗi máy tính là

nơi xảy ra sự cố
Cảnh sự cố
Phản hồi đầu tiên của nhân viên phòng thí
nghiệm ( tiếp theo)
Phản ứng đầu tiên của nhân viên pháp y phòng thí nghiệm
bao gồm 6 giai đoạn

1. bảo mật và đánh giá tội

phạm điện tử 2. thực hiện phỏng
vấn sơ bộ 3. ghi lại hiện
+ lệnh khám xét để khám
+ hỏi câu hỏi trường tội phạm
xét và thu giữ
+ kiểm tra các vấn đề điện tử
+ lập kế hoặc tìm kiếm và
về sự đồng ý + chụp lại bối cảnh
thu giữ
+ chữ ký của nhân + phác thảo bối
+tiến hành khám xét hiện
chứng cảnh
trường ban đầu
+ các vấn đề về sức khỏe + phỏng vấn ban đầu
và an toàn
Phản hồi đầu tiên của nhân viên pháp y
phòng thí nghiệm

4. Thu thập và lưu trữ 5. Đóng gói bằng 6. Vận chuyển bằng
bằng chứng điện tử chứng điện tử chứng điện tử
+ thu thập bằng + điền vào bảng ở mặt + xử lý và vận chuyển
chứng trước của túi bằng tới phòng thí nghiệm
+ đánh số triển lãm chứng với các chi tiết pháp y
+ xử lý các máy tính thích hợp + đảm bảo quy trình
tắt bật được cấp + tránh gấp vào làm giám sát nguồn gốc
nguồn tại thời điểm xước thiết bị lưu trữ được tuân thủ
thu giữ + dán nhãn các thùng nghiêm ngặt
+ thu giữ máy tính chứa bằng chứng theo
sách tay cách thích hợp
 Luồng module

kiến thức
người trả bộ công cụ
cơ bản về
lời đầu tiên phản hòi
phản hồi
đầu tiên
đầu tiên
bảo mật và ghi lại hiện
đánh giá thực hiện trường tội
hiện trường phỏng vấn phạm điện
tội phạm sơ bộ tử
điện tử

thu thập và đóng gói và báo cáo

lữu trữ vận chuyển hiện trường
bằng chứng bằng chứng vụ án
điện tử điện tử
Bảo mật và đánh giá hiện trường tội phạm điện tử :
Danh sách kiểm tra( tiếp theo)

+ tuân thủ các chính sách của cơ quan pháp luật để bảo
vệ hiện trường vụ án
+ xác minh loại sự cố
+ đảm bảo rằng hiện trường an toàn cho bạn những
người phản hồi khác
+ cách ly những người khác có mặt tại hiện trường
+ xác định vị trí và giúp đỡ nạn nhân
+ xác minh dữ liệu liên quan đến người phạm tội
+ truyền tin nhắn nhanh bổ xung đến các đơn vị phản hồi
khác
+ yêu cầu trợ giúp thêm ở hiện trường nếu cần
Bảo mật và đánh giá hiện trAường tội phạm
điện tử: danh sách kiểm tra
Thiết lập một vành đai an ninh để
xác định xem liệu những kẻ phạm
tội có ở trong khu vực hiện
trường vụ an hay không
Bảo vệ dữ liệu dễ hỏng ( ví dụ:
máy nhắn tin và hộp ID người gọi)
về mặt vật lý và điện tử
Nhận dạng các đường dây điện
thoại được kết nối với các thiết bị
như modem và hộp ID người gọi
Quan sát tình hình tại hiện trường
và ghi lại những nhận xét đó
Bảo vệ và giữ gìn các bằng
chứng có nguy cơ bị mất
Đảm bảo rằng các thiết bị chứa
dữ liệu dễ hỏng được bảo mật,
ghi lại và / hoặc chụp
Ghi lại tài liệu , ngắt kết nối và
dán nhãn các đường dây điện
thoại hoặc cáp mạng
Bảo vệ bằng chứng vật lý hoặc
dấu vân tay ẩn được tìm thấy trên
bàn phím, chuột, đĩa và CD
Bảo mật hiện trường vụ án
Bảo đảm cho việc tìm kiếm và thu giữ

lệnh khám xét cho phép người trả lời đầu tiên thực hiện việc khám
xét và thu giữ bằng chứng điện tử được đề cập trong lệnh khám xét
lệnh tìm kiếm cho các thiết bị điện tử về cơ bản tập trung vào những điều sau

Bảo đảm tìm kiếm thiết

bị lưu trữ điện tử
Lệnh khám xét thiết bị lưu
trữ điện tử cho phép người
phản ứng đầu tiên tìm kiếm
cà thu giữ các thành phần Bảo đảm tìm kiếm của
máy tính của nạn nhà cung cấp dịch vụ
nhân(chẳng hạn như: phần
Lệnh khám xét nhà cung cấp
cứng, phần mềm, thiết bị
dịch vụ cho phép người phản
lữu trữ và tài liệu)
hồi đầu tiên lấy thông tin máy
tính của nạn nhân (chẳng hạn
như : hồ sơ dịch vụ, hồ sơ
thanh toán, thông tin thuê
bao) từ nhà cung cấp dịch vụ
Lập kế hoạch tìm kiếm và thu giữ (tiếp theo)
Một kế hoạch tìm kiếm và thu giữ 6. Vị trí của thiết bị được thu
bao gồm các chi tiết sau giữ
+ Loại và kích thước của cấu
1. Mô tả sự cố
trúc
2. Người quản lý sự cố đang
+ Các máy tính được đặt ở
chạy
đâu(tất cả ở một nơi, trải khắp
3. Tên trường hợp/ chức danh
tòa nhà hoặc các tầng)
cho sự cố
+ Ai có mặt tại sự việc
4. Vị trí xảy ra sự cố
+ Có bầu không khí thân thiện
5. Quyền hạn áp dụng và pháp
tại địa điểm không?
luật liên quan
 Lập kế hoạch tìm kiếm và thu giữ
7. Chi tiết về những gì sẽ bị thu giữ 8. Kiểu khám xét và thu
(chế tạo, kiểu máy, vị trí, v.v) giữ (công khai/bí mật)
+ Loại thiết bị và số sẽ bị thu giữ 9. Sự tham gia của
+ Máy tính đang chạy hay đã tắt quản lý địa phương
khi bị thu giữ
+ Chúng có được kết nối mạng
không. Nếu vậy, loại mạng nào, dữ
liệu được lưu trữ ở đâu, nơi lưu
trữ các bản sao lưu, quản trị viên
hệ thống là một người “thân
thiện”, có cần thiết phải gỡ máy
chủ xuống không và tác động kinh
doanh của hành động này là gì
Tìm kiếm hiện trường ban đầu

Cô lập hệ thống máy tính(máy trạm, máy chủ độc lập

hoặc mạng) và các thiết bị truyền thông khác có thể
Hệ thống máy chứa bằng chứng kỹ thuật số
tính cô lập
Bao gồm nhật ký tìm kiếm và thu giữ bằng chứng, trong đó
có các mô tả ngắn gọn về tất cả các máy tính, thiết bị hoặc
Bao gồm nhật ký
phương tiện được đặt trong quá trình tìm kiếm bằng chứng
bằng chứng

Làm một bản lưu Ghi lại các vị trí trên bản phác thảo hiện trường vụ án
ý
Chụp ảnh và phác thảo hiện trường vụ án, cùng
với tính toán chi tiết của tất cả các bằng chứng
Chụp ảnh hiện trường máy tính
vụ án
 Các vấn đề về sức khỏe và an toàn.

Điều quan trọng là phải xem

Điều này vừa để bảo vệ
nhân viên vừa bảo vệ
mọi dấu vân tay có thể
cần được khôi phục vào
một ngày sau đó.
xét các yếu tố sức khỏe và an
toàn trong công việc được
thực hiện ở tất cả các giai
đoạn của quy trình pháp y do
các nhà phân tích pháp y tiến
hành.

Tất cả các đội pháp y nên đeo

găng tay cao su bảo hộ để
tìm kiếm và nắm bắt các hoạt
động tại chỗ
Luồng module

kiến thức
bộ công cụ
người trả cơ bản về
phản hòi
lời đầu tiên phản hồi
đầu tiên
đầu tiên
bảo mật và ghi lại hiện
đánh giá thực hiện trường tội
hiện trường phỏng vấn phạm điện
tội phạm sơ bộ tử
điện tử

thu thập và đóng gói và báo cáo

lữu trữ vận chuyển hiện trường
bằng chứng bằng chứng vụ án
điện tử điện tử
Xử lý bằng nguồn điện trên máy tính (Cont’d)

Nếu máy tính được bật và màn hình có thể xem được:
Ghi lại các chương trình đang chạy trên màn hình
Chụp ảnh màn hình

Nếu máy tính đang bật và màn hình hiển thị một số hình ảnh hoặc
trình bảo vệ màn hình:
Di chuyển chuột chậm mà không nhấn bất kỳ nút chuột nào
Chụp ảnh màn hình và ghi lại thông tin hiển thị

Nếu màn hình được bật nguồn và màn hình trống:

Di chuyển chuột chậm mà không nhấn bất kỳ nút chuột nào
Chụp ảnh
 Xử lý với máy tính bị tắt nguồn

1 Nếu máy tính bị tắt - hãy tắt nó đi

Nếu chỉ tắt màn hình và màn hình trống:

Bật màn hình, di chuyển chuột nhẹ, quan sát các thay đổi từ màn hình trống sang màn
2 hình khác và ghi nhận các thay đổi
Chụp ảnh màn hình

Nếu chỉ tắt màn hình và màn hình trống:

Bật màn hình, di chuyển chuột nhẹ
3 Nếu màn hình không thay đổi, không thực hiện bất kỳ thao tác gõ phím nào khác
Chụp ảnh màn hình
 Xử lý với máy tính nối mạng

Nếu máy tính đang

Nếu máy tính đang bật và màn hình
Rút cáp mạng khỏi tắt, hãy tắt nó đi và trống, hãy di chuyển
bộ định tuyến và nếu đang bật, hãy chuột từ từ và chụp
modem chụp ảnh màn hình ảnh màn hình

Dán nhãn tất cả thiết

Rút tất cả các dây và
bị và dây kết nối để
thiết bị kết nối với
nhận dạng sau này
máy tính
 Đối phó với tệp mở và tệp khởi động
• Các cuộc tấn công của phần mềm độc hại vào hệ thống máy tính tạo một
số tệp trong thư mục khởi động để chạy chương trình phần mềm độc hại

1. Mở tài liệu vừa tạo từ thư mục khởi

động hoặc system32 cho Window và tệp 2. Ghi lại ngày và giờ của các tệp
rc.local cho Linux

Thủ tục tìm

bằng chứng

4. Tìm kiếm thời gian MAC bất thường

trên các thư mục quan trọng và tệp khởi 3. Kiểm tra tệp đang mở để tìm dữ liệu
động nhạy cảm như mật khẩu, hình ảnh,…
 Quy trình tắt hệ điều hành
• Điều quan trọng là phải tắt hệ điều hành đúng cách để không làm hỏng tính toàn vẹn của tệp
• Các hệ điều hành khác nhau có các quy tắc khác nhau

Windows 7, Window XP, Windows Vista,

Mac OS X Operating System
Windows Server 2008, Windows Server
2003

• Chụp ảnh màn hình

• Ghi lại thời gian từ thanh menu
• Nếu bất kỳ chương trình nào đang
• Nhấp Special -> Shutdown
chạy hãy mô tả ngắn gọn
• Rút dây nguồn khỏi ổ cắm
• Rút dây nguồn khỏi ổ cắm
 Quy trình tắt hệ điều hành

Hệ điều hành UNIX/LINUX

1. Nhấp chuột phải vào Menu > nhấp console
2. Nếu lời nhắc của người dung root được đặt ở
chế độ #sign
 Nhập mật khẩu nếu có và gõ sync;sync;halt để
tắt hệ thống
 Nếu không có mật khẩu hãy rút dây nguồn khỏi ổ
cắm
> 3. Nếu nó được đặt ở chế độ console #sign:
 Nhập ID người dùng và nhấn Enter
 Nếu ID của người dùng là root, gõ sync; sync;halt
để tắt hệ thống
 Nếu ID của người dùng không phải root, hãy rút
dây nguồn khỏi ổ cắm
 Máy tính và máy chủ
Chụp ảnh máy tính và thiết bị phụ trợ ( được kết nối )

Chụp ảnh các đầu nối phía sau máy tính và dán nhãn riêng cho chúng

Ghi lại các loại cáp và các cổng tương ứng mà chúng được kết nối

Niêm phong ổ cắm điện bằng bang dính để tránh sử dụng vô ý

Ngắt kết nối màn hình, bàn phím, chuột và CPU

 Bảo quản bằng chứng điện tử
1 2

Ghi lại các hành động và thay đổi mà

bạn quan sát thấy trong màn hình, máy Chụp ảnh màn hình để máy tính ở trạng
tính, máy in hoặc trong các thiết bị ngoại thái “ bật “
vi khác

Chụp ảnh các kết nối của máy tính và các Nếu có bất kỳ thiết bị điện tử nào như
loại cáp tương ứng, dán nhãn chúng PDA, điện thoại di động, hãy chụp ảnh,
riêng lẻ dán nhãn thiết bị và thu thập tất cả các
dây cáp và vận chuyển cùng thiết bị

3 4
 Thu thập máy tính di động

Chụp ảnh các đầu nối

Chụp ảnh thiết bị di ở mặt sau của máy
động và phụ trợ tính xách tay và dán
được kết nối nhãn riêng cho chúng

Ghi lại loại cáp nào

được kết nối với cổng Tháo pin
nào trong máy tính
xách tay
 Chuyển sang thiết bị di động

Các thiết bị di động khi bật nguồn phải

Ngày và giờ khi thiết bị di động “ thức
được xử lí giống như cách cấp nguồn
dậy” phải được ghi lại
trên PC

Nếu không thể tháo pin, nhấn công tắc

Trước khi cấp nguồn trên thiết bị di
bật/tắt nguồn trong 30s hoặc hơn để tắt
động pin phải được tháo ra
nguồn
Thu thập và lưu trữ
bằng chứng số
Module Flow

Kiến thức
Bộ công
Người cơ bản về
cụ đáp
đáp ứng người đáp
ứng đầu
đầu tiên ứng đầu
tiên
tiên

Bảo mật
Thực hiện Ghi lại
và đánh
điều tra hiện
giá tội
sơ bộ trường số
phạm số

Đóng gói
Thu thập Báo cáo
và vận
và lưu giữ hiện
chuyển
bằng trường vụ
bằng
chứng số án số
chứng số
Danh sách nội dung của “Túi Vật Chứng”
Bảng điều khiển ở mặt trước của túi vật chứng ít
nhất phải được điền đầy đủ các chi tiết sau:
 Ngày và giờ thu giữ
 Người bị bắt giữ
 Số tang vật
 Bị thu giữ từ nơi nào Chi tiết về nội dung của túi vật
chứng
 Đóng gói bằng chứng điện tử

 Đảm bảo rằng bằng chứng số thu thập

được phải được ghi chép, dán nhãn và
liệt kê thích hợp trước khi đóng gói
 Tập trung vào bằng chứng ẩn hoặc dấu
vết và thực hiện các hành động cần thiết
để bảo quản nó
 Đóng gói phương tiện có từ tính trong
bao bì chống tĩnh điện
 Tránh gấp và làm trầy xước các thiết bị
lưu trữ như đĩa, CD -ROMS và ổ băng
 Đảm bảo rằng tất cả các vật chứa đựng
bằng chứng đều được dán nhãn thích
hợp
Đánh số cho tang vật

Tất cả bằng chứng thu thập được phải được đánh dấu
là tang vật sử dụng định dạng này:
Aaa/ddmmyy/nnnn/zz
Trong đó:
 aaa là tên viết tắt của Chuyên viên phân tích pháp
y hoặc Cán bộ thực thi pháp luật thu giữ thiết bị
 ddmmyy là ngày bắt giữ
 nnnn là số thứ tự của tang vật được bắt bởi aaa-
bắt đầu bằng 001 và chuyển đến uuuu
 zz là số thứ tự cho các bộ phận của cùng một vật
trưng bày (ví dụ: 'A - có thể là CPU,' B là Màn hình,
C- bàn phím, v.v.)
Vận chuyển vật chứng số

Giữ
Giữ bằng
bằng chứng
chứng điện
điện tử
tử tránh
tránh xa
xa các
các nguồn
nguồn từ
từ tính
tính trong
trong khi
khi vận
vận chuyển
chuyển

Lưu
Lưu trữ
trữ bằng
bằng chứng
chứng ở
ở khu
khu vực
vực an
an toàn
toàn tránh
tránh nhiệt
nhiệt độ
độ và
và độ
độ ẩm
ẩm cao
cao

Tránh
Tránh lưu
lưu trữ
trữ bằng
bằng chứng
chứng điện
điện tử
tử trong
trong xe
xe quá
quá lâu
lâu

Đảm
Đảm bảo
bảo rằng
rằng máy
máy tính
tính và
và các
các thành
thành phần
phần điện
điện tử
tử khác
khác không
không được
được đóng
đóng
gói trong thùng chứa
gói trong thùng chứa

Bảo quản dây chuyền tạm giữ đối với bằng chứng sẽ được vận chuyển
XỬ LÝ VÀ VẬN CHUYỂN ĐẾN PHÒNG THÍ NGHIỆM ĐIỀU
TRA

Tránh để máy tính ngược hoặc nằm nghiêng trong quá trình vận
chuyển

Khi tiến hành vận chuyển máy tính hoặc bất kì thiết bị máy tính nào
khác, không nên đặt chúng trên ô tô, cốp xe hoặc bất kì vị trí nào có
thể gây ra sự thay đổi nhiệt độ hay độ ẩm lớn

Vị trí đặt lý tưởng ở ghế sau của xe, đặt một cách cẩn thận cho máy
tính không để chúng bị rơi ngay cả khi xe phanh gấp hay tăng tốc
nhanh chóng

Tất cả bằng chứng điều tra được cần tránh nguồn từ tính hay các nguồn
điện tương tự có thể ảnh hưởng đến tính toàn vẹn của các bằng chứng
điện tử
 LƯU TRỮ BẰNG CHỨNG ĐIỆN TỬ

Đảm bảo rằng các bằng

chứng điện tử được liệt kê
theo từng chính sách bộ phận

Bảo vệ bằng chứng điện tử khỏi từ

Lưu trữ bằng chứng điện tử ở nơi an trường, khói bụi, tránh rung lắc cũng
toàn và ở môi trường có thể kiểm soát như các yếu tố khác có thể phá hủy tính
được toàn vẹn của chúng
 CHUỖI HÀNH TRÌNH
Tài liệu chuỗi hành trình bao
• “Chuỗi hành trình” đề cập đến một tài liệu gồm đầy đủ các thông tin về
được viết bởi các cá nhân có quyền giữ vật bằng chứng có được:
chất duy nhất đối với bằng chứng từ khi nó bị  Số trường hợp
thu giữ cho đến khi kết thúc vụ án  Tên và chức danh của người
• Bằng cách trở thành một mắt xích trong nhận
chuỗi hành trình và sở hữu một mảnh bằng  Địa chỉ và số điện thoại
chứng, một cá nhân có trách nhiệm bảo mật  Địa điểm thu thập bằng
nó và chịu sự giám sát của pháp luật trong chứng
trường hợp có khiếu nại về việc giả mạo bằng  Ngày/giờ thu thập bằng
chứng chứng
 Số lượng/mô tả
CẤU TRÚC ĐƠN GIẢN CỦA TÀI LIỆU CHUỖI HÀNH TRÌNH

Tài liệu chuỗi hành trình

Tên phòng thí nghiệm/cơ quan Số trường hợp:

Người nhận (Tên và tiêu đề) Địa chỉ và số điện thoại

Địa điểm có được bằng chứng Lý do có được Ngày và giờ có

bằng chứng được bằng chứng

Số hàng Số lượng Mô tả
CÁC MẪU CHUỖI HÀNH TRÌNH (CÒN TIẾP)

Bảng tính hệ thống máy tính

CÁC MẪU CHUỖI HÀNH TRÌNH (CÒNTIẾP)

Thiết bị ngoại vi và các kết nối

CÁC MẪU CHUỖI HÀNH TRÌNH

Mẫu chuỗi hành trình

CHUỖI HÀNH TRÌNH ĐẶT TRONG PHONG BÌ/TÚI BẰNG
CHỨNG VÀ MẪU ĐĂNG XUẤT
LUỒNG
MOUDLETHỰC
FLOW
THI

Người Bộ công cụ Phản hồi cơ

phản hồi phản hồi bản đầu tiên
đầu tiên đầu tiên

Bảo mật và Thực hiện

Ghi lại hiện
đánh giá hiện các cuộc
trường vụ án
trường vụ án phỏng vấn
điện tử
điện tử sơ bộ
Thu thập và Đóng gói và
Lập báo cáo
bảo quản vận chuyển
hiện trường
chứng cứ bằng chứng
vụ án
điện tử điện tử
 LẬP BÁO CÁO HIỆN TRƯỜNG VỤ ÁN

 Sau khi hoàn thành quá trình điều tra, người phản hồi đầu tiên cần tạo bản báo cáo
cuối cùng bao gồm đầy đủ các thông tin về quá trình điều tra
 Bản báo cáo bao gồm:
• Thời gian và địa điểm của vụ án • Kết quả của quá trình quét virus
• Mô hình, kích thước và phân vùng ổ • Phần mềm hiện có trên máy tính của nạn
cứng để phát hiện dữ liệu bị mất hoặc bị nhân
ẩn • Danh sách tập tin được lưu trữ trên máy
• Tên và phiên bản hệ điều hành đang tính nạn nhân gắn với thời gian tạo và
chạy trên máy tính của nạn nhân sửa đổi
• Kết quả của một chương trình như DOS • Tên và phiên bản của hệ điều hành được
ScanDisk hoặc DOC ChkDisk để phát sử dụng trong quá trình thu thập
hiện chính xác bất kỳ dữ liệu nào được • Tên của người được phỏng vấn và quan
tìm thấy điểm của người này
 DANH MỤC GHI CHÚ(CÒN TIẾP)

Danh mục kiểm tra hiện trường vụ án Danh mục kiểm tra hiện trường vụ án

 Ngày/giờ  Các thông tin khác tại hiện trường

 Tên - Nhật ký hiện trường vụ án
 Số lượng - Nhân viên y tế tại hiện trường
 Loại sự cố - Giám định y khoa tại hiện trường
 Ngày/giờ đến - Phương tiện truyền thông tại hiện
 Vị trí vật lý/địa chỉ trường
 Loại vị trí  Bên chịu trách nhiệm về nạn nhân
 Các điều kiện thời tiết - Tên
 Các điều kiện ánh sáng - Ngày sinh
- Tự nhiên - Địa chỉ
- Nhân tạo  Nhân chứng
 Thông tin liên hệ tại hiện trường - Tên
- Tên, chức danh, số seri - Ngày sinh
- Địa chỉ
 DANH MỤC GHI CHÚ

Danh mục kiểm tra hiện trường vụ án Danh mục kiểm tra hiện trường vụ án
- Các bản in tiềm ẩn
 Phương tiện giao thông tại hiện trường
Vị trí, định hướng
- Hình dáng/Mô hình/Màu sắc/Biển số xe
Mẫu đã biết
- Vị trí
Loại và vị trí
- Tổn thất
- Khác
 Công cụ tìm /ghi lại bằng chứng
Vị trí, định hướng
 Lệnh khám xét
Mẫu đã biết
 Bằng chứng/bên ngoài
Loại và vị trí
- Vị trí, chủng loại, điều kiện
- Khác
- Mô tả, vị trí, hướng di chuyển
Mô tả, loại, vị trí
- Vật chứng trong trường hợp có sử dụng
 Hình ảnh
Mô tả
- Ảnh nhật ký
Hình dáng
- Quan điểm/Vị trí ảnh
Vị trí
- Chủ đề
- Các vết máu
- Ảnh tổng quan/mở rộng, trung gian,cận cảnh
Loại, vị trí, phương hướng
- Quy mô
 CÁC LỖI THƯỜNG GẶP CỦA NGƯỜI PHẢN HỒI
ĐẦU TIÊN
Lỗi thường gặp của người phản hồi
• Hầu hết, quản trị mạng và hệ
đầu tiên
thống làm việc như một người
• Tắt hoặc khởi động máy tính
phản hồi đầu tiên tại hiện
nạn nhân
trường vụ án
• Giả sử rằng một số thành phần
• Họ không thể xử lý các sự cố
của máy tính nạn nhân có thể
an ninh một cách phù hợp do
đáng tin cậy và có thể dùng
họ không biết rõ quy trình
được
• Không có quyền truy cập vào tài
liệu cơ sở về máy tính nạn nhân
• Không ghi lại quá trình thu thập
dữ liệu
 TỔNG KẾT

 Bằng chứng điện tử là thông tin và dữ liệu có giá trị điều tra được lưu trữ hoặc truyền qua
các thiết bị điện tử
 Đôi khi người dùng hiện có cần phải có sự đồng ý của người dùng phần cứng được yêu cầu
và đồng thời sự đồng ý được đưa ra
 Tài liệu vụ án tạo ra một hồ sơ lịch sử không thay đổi
 “Chuỗi hành trình” đề cập đến một tài liệu được viết bởi những cá nhân có quyền giữ vật
chất duy nhất đối với bằng chứng từ khi nó bị thu giữ cho đến khi kết thúc vụ án