Professional Documents
Culture Documents
Tình huống
Sam, một quản trị viên hệ thống, đã bị bất ngờ khi thấy trong office
server của mình các tệp quan trọng bị thiếu. Anh ấy nghi rằng server
đã bị xâm nhập nên đã thực hiện điều tra hệ thống.
Sam báo cáo sự việc cho Bob, một nhân viên An ninh Thông tin làm
việc cùng công ty. Bob ghi lại báo cáo từ Sam. Là một CHFI, Sam
nắm bắt được tình hình và làm theo các thủ tục cơ bản để kiểm tra
hệ thống
Anh ta kiểm tra tập tin hình ảnh của đĩa cứng của server thì thấy sự
xuất diện của rootkit trong những thư mục của server.
Khi điều tra thì Sam có nhớ lại là đã tải xuống một công cụ quản lý
từ một bên thứ ba trên Internet. Anh ấy nhận ra rằng rootkit đó có thể
đã được đóng gói cùng với công cụ quản lý đó.
Chống tội phạm trong thời đại thông tin
Ngày nay khi công nghệ phát triển, cách tấn công của tội phạm cũng vậy. Để thành
công trong thời đại thông tin này, cơ quan thực thi pháp luật phải nắm bắt được
công nghệ để chống lại tội phạm thế kỷ 21. Franklin County Sherif Ewell Hunt cho
biết: “Chúng tôi liên tục bổ sung vào kho công cụ công nghệ của mình”. "Các cuộc
điều tra ngày nay rất khác so với 30 năm trước, vì vậy chúng ta phải điều chỉnh các
phương pháp của mình cho phù hợp với tội phạm thế kỷ 21."
“Ví dụ như điện thoại di động hiện tham gia ít nhất 90% trong các cuộc điều tra tội
phạm của chúng tôi” Hunt cho biết. “Chúng chứa một lượng lớn thông tin mà chúng
tôi có thể sử dụng để thiết lập dòng thời gian, liên lạc và địa chỉ hữu ích cho cuộc
điều tra của chúng tôi."
Vào tháng 2, Văn phòng Cảnh sát trưởng Quận Franklin mua phần cứng, phần
mềm và đào tạo để lấy bằng chứng pháp y từ điện thoại di động.
“Chúng tôi không giám sát việc sử dụng điện thoại di động”,Trung sĩ Eric Ingram
nói. "Chúng tôi truy xuất thông tin từ điện thoại có được một cách hợp pháp trong
quá trình điều tra tội phạm” . Ingram, Trung úy Steve McGuire và Điều tra viên
Sandra Ingram đã được đào tạo để truy xuất dữ liệu trong khi bảo quản bằng chứng
pháp lý để đảm bảo thông tin được chấp nhận trước tòa.
Mục tiêu của Module
• Phỏng vấn sơ bộ
• Bằng chứng điện tử
• Ghi lại hiện trường tội phạm điện tử
• Người phản hồi đầu tiên
• Thu thập và bảo quản bằng chứng
• Thiết bị điện tử: các loại, thu thập
điện tử
bằng chứng
• Đóng gói và vận chuyển bằng chứng
• Bộ công cụ
điện tử
• Kiến thức cơ bản
• Báo cáo hiện trường vụ án
• Phản hồi của nhân viên pháp y
• Ghi chú danh sách kiểm tra
• Bảo mật và đánh giá hiện trường
• Những sai lầm phổ biến
LUỒNG
MOUDLETHỰC THI
FLOW
“Bằng chứng điện tử là dữ liệu có giá trị điều tra được lưu trữ trên thiết bị
điện tử hoặc truyền đi"
Máy in
Bằng chứng được tìm ở bên trong các Máy quét
tài liệu, lịch sử dung, thời gian và ngày Bằng chứng được thấy thông tên, số điện thoại,
dùng thông tin định danh người gọi, thông tin cuộc gọi
Cơ bản
Người trả Bộ về phản
lời đầu công hồi đầu
tiên cụ tiên
Ghi lại bản tóm tắt các công cụ được thu thập
Kiểm tra các công cụ
• Nó giúp người phản hồi đầu tiên hiểu cách hoạt
động của một công cụ • Kiểm tra các công cụ được thu thập
• Tóm tắt bao gồm: trên máy tính pháp y và kiểm tra hiệu
1. Sự mua lại sau đó quá suất và đầu ra
2. Miêu tả cụ thể sau đó dụng cụ
3. Làm việc của quá • Kiểm tra ảnh hưởng của công cụ trên
4. Sự phụ thuộc của công cụ và các hiệu ứng hệ máy tính pháp y
thống
Công cụ hỗ trợ thu thập
bằng chứng
Những người tham gia điều tra cần được trang bị công cụ xử lý tội phạm
chung (như máy ảnh, sổ, giấy nhớ, mẫu bằng chứng, …
Các nhóm
Nhân viên pháp y khác nhau
phòng thí nghiệm Người quản lý địa
phương hoặc nhân
viên không thuộc pháp
y khác
Phản hồi đầu tiên dành cho quản trị
viên hệ thống
4. Thu thập và lưu trữ 5. Đóng gói bằng 6. Vận chuyển bằng
bằng chứng điện tử chứng điện tử chứng điện tử
+ thu thập bằng + điền vào bảng ở mặt + xử lý và vận chuyển
chứng trước của túi bằng tới phòng thí nghiệm
+ đánh số triển lãm chứng với các chi tiết pháp y
+ xử lý các máy tính thích hợp + đảm bảo quy trình
tắt bật được cấp + tránh gấp vào làm giám sát nguồn gốc
nguồn tại thời điểm xước thiết bị lưu trữ được tuân thủ
thu giữ + dán nhãn các thùng nghiêm ngặt
+ thu giữ máy tính chứa bằng chứng theo
sách tay cách thích hợp
Luồng module
kiến thức
người trả bộ công cụ
cơ bản về
lời đầu tiên phản hòi
phản hồi
đầu tiên
đầu tiên
bảo mật và ghi lại hiện
đánh giá thực hiện trường tội
hiện trường phỏng vấn phạm điện
tội phạm sơ bộ tử
điện tử
+ tuân thủ các chính sách của cơ quan pháp luật để bảo
vệ hiện trường vụ án
+ xác minh loại sự cố
+ đảm bảo rằng hiện trường an toàn cho bạn những
người phản hồi khác
+ cách ly những người khác có mặt tại hiện trường
+ xác định vị trí và giúp đỡ nạn nhân
+ xác minh dữ liệu liên quan đến người phạm tội
+ truyền tin nhắn nhanh bổ xung đến các đơn vị phản hồi
khác
+ yêu cầu trợ giúp thêm ở hiện trường nếu cần
Bảo mật và đánh giá hiện trAường tội phạm
điện tử: danh sách kiểm tra
Thiết lập một vành đai an ninh để
xác định xem liệu những kẻ phạm Bảo vệ và giữ gìn các bằng
tội có ở trong khu vực hiện chứng có nguy cơ bị mất
trường vụ an hay không
Quan sát tình hình tại hiện trường Bảo vệ bằng chứng vật lý hoặc
và ghi lại những nhận xét đó dấu vân tay ẩn được tìm thấy trên
bàn phím, chuột, đĩa và CD
Bảo mật hiện trường vụ án
Bảo đảm cho việc tìm kiếm và thu giữ
lệnh khám xét cho phép người trả lời đầu tiên thực hiện việc khám
xét và thu giữ bằng chứng điện tử được đề cập trong lệnh khám xét
lệnh tìm kiếm cho các thiết bị điện tử về cơ bản tập trung vào những điều sau
Làm một bản lưu Ghi lại các vị trí trên bản phác thảo hiện trường vụ án
ý
Chụp ảnh và phác thảo hiện trường vụ án, cùng
với tính toán chi tiết của tất cả các bằng chứng
Chụp ảnh hiện trường máy tính
vụ án
Các vấn đề về sức khỏe và an toàn.
kiến thức
bộ công cụ
người trả cơ bản về
phản hòi
lời đầu tiên phản hồi
đầu tiên
đầu tiên
bảo mật và ghi lại hiện
đánh giá thực hiện trường tội
hiện trường phỏng vấn phạm điện
tội phạm sơ bộ tử
điện tử
Nếu máy tính được bật và màn hình có thể xem được:
Ghi lại các chương trình đang chạy trên màn hình
Chụp ảnh màn hình
Nếu máy tính đang bật và màn hình hiển thị một số hình ảnh hoặc
trình bảo vệ màn hình:
Di chuyển chuột chậm mà không nhấn bất kỳ nút chuột nào
Chụp ảnh màn hình và ghi lại thông tin hiển thị
Chụp ảnh các đầu nối phía sau máy tính và dán nhãn riêng cho chúng
Ghi lại các loại cáp và các cổng tương ứng mà chúng được kết nối
Chụp ảnh các kết nối của máy tính và các Nếu có bất kỳ thiết bị điện tử nào như
loại cáp tương ứng, dán nhãn chúng PDA, điện thoại di động, hãy chụp ảnh,
riêng lẻ dán nhãn thiết bị và thu thập tất cả các
dây cáp và vận chuyển cùng thiết bị
3 4
Thu thập máy tính di động
Kiến thức
Bộ công
Người cơ bản về
cụ đáp
đáp ứng người đáp
ứng đầu
đầu tiên ứng đầu
tiên
tiên
Bảo mật
Thực hiện Ghi lại
và đánh
điều tra hiện
giá tội
sơ bộ trường số
phạm số
Đóng gói
Thu thập Báo cáo
và vận
và lưu giữ hiện
chuyển
bằng trường vụ
bằng
chứng số án số
chứng số
Danh sách nội dung của “Túi Vật Chứng”
Bảng điều khiển ở mặt trước của túi vật chứng ít
nhất phải được điền đầy đủ các chi tiết sau:
Ngày và giờ thu giữ
Người bị bắt giữ
Số tang vật
Bị thu giữ từ nơi nào Chi tiết về nội dung của túi vật
chứng
Đóng gói bằng chứng điện tử
Tất cả bằng chứng thu thập được phải được đánh dấu
là tang vật sử dụng định dạng này:
Aaa/ddmmyy/nnnn/zz
Trong đó:
aaa là tên viết tắt của Chuyên viên phân tích pháp
y hoặc Cán bộ thực thi pháp luật thu giữ thiết bị
ddmmyy là ngày bắt giữ
nnnn là số thứ tự của tang vật được bắt bởi aaa-
bắt đầu bằng 001 và chuyển đến uuuu
zz là số thứ tự cho các bộ phận của cùng một vật
trưng bày (ví dụ: 'A - có thể là CPU,' B là Màn hình,
C- bàn phím, v.v.)
Vận chuyển vật chứng số
Giữ
Giữ bằng
bằng chứng
chứng điện
điện tử
tử tránh
tránh xa
xa các
các nguồn
nguồn từ
từ tính
tính trong
trong khi
khi vận
vận chuyển
chuyển
Lưu
Lưu trữ
trữ bằng
bằng chứng
chứng ở
ở khu
khu vực
vực an
an toàn
toàn tránh
tránh nhiệt
nhiệt độ
độ và
và độ
độ ẩm
ẩm cao
cao
Tránh
Tránh lưu
lưu trữ
trữ bằng
bằng chứng
chứng điện
điện tử
tử trong
trong xe
xe quá
quá lâu
lâu
Đảm
Đảm bảo
bảo rằng
rằng máy
máy tính
tính và
và các
các thành
thành phần
phần điện
điện tử
tử khác
khác không
không được
được đóng
đóng
gói trong thùng chứa
gói trong thùng chứa
Bảo quản dây chuyền tạm giữ đối với bằng chứng sẽ được vận chuyển
XỬ LÝ VÀ VẬN CHUYỂN ĐẾN PHÒNG THÍ NGHIỆM ĐIỀU
TRA
Tránh để máy tính ngược hoặc nằm nghiêng trong quá trình vận
chuyển
Khi tiến hành vận chuyển máy tính hoặc bất kì thiết bị máy tính nào
khác, không nên đặt chúng trên ô tô, cốp xe hoặc bất kì vị trí nào có
thể gây ra sự thay đổi nhiệt độ hay độ ẩm lớn
Vị trí đặt lý tưởng ở ghế sau của xe, đặt một cách cẩn thận cho máy
tính không để chúng bị rơi ngay cả khi xe phanh gấp hay tăng tốc
nhanh chóng
Tất cả bằng chứng điều tra được cần tránh nguồn từ tính hay các nguồn
điện tương tự có thể ảnh hưởng đến tính toàn vẹn của các bằng chứng
điện tử
LƯU TRỮ BẰNG CHỨNG ĐIỆN TỬ
Số hàng Số lượng Mô tả
CÁC MẪU CHUỖI HÀNH TRÌNH (CÒN TIẾP)
Sau khi hoàn thành quá trình điều tra, người phản hồi đầu tiên cần tạo bản báo cáo
cuối cùng bao gồm đầy đủ các thông tin về quá trình điều tra
Bản báo cáo bao gồm:
• Thời gian và địa điểm của vụ án • Kết quả của quá trình quét virus
• Mô hình, kích thước và phân vùng ổ • Phần mềm hiện có trên máy tính của nạn
cứng để phát hiện dữ liệu bị mất hoặc bị nhân
ẩn • Danh sách tập tin được lưu trữ trên máy
• Tên và phiên bản hệ điều hành đang tính nạn nhân gắn với thời gian tạo và
chạy trên máy tính của nạn nhân sửa đổi
• Kết quả của một chương trình như DOS • Tên và phiên bản của hệ điều hành được
ScanDisk hoặc DOC ChkDisk để phát sử dụng trong quá trình thu thập
hiện chính xác bất kỳ dữ liệu nào được • Tên của người được phỏng vấn và quan
tìm thấy điểm của người này
DANH MỤC GHI CHÚ(CÒN TIẾP)
Danh mục kiểm tra hiện trường vụ án Danh mục kiểm tra hiện trường vụ án
Danh mục kiểm tra hiện trường vụ án Danh mục kiểm tra hiện trường vụ án
- Các bản in tiềm ẩn
Phương tiện giao thông tại hiện trường
Vị trí, định hướng
- Hình dáng/Mô hình/Màu sắc/Biển số xe
Mẫu đã biết
- Vị trí
Loại và vị trí
- Tổn thất
- Khác
Công cụ tìm /ghi lại bằng chứng
Vị trí, định hướng
Lệnh khám xét
Mẫu đã biết
Bằng chứng/bên ngoài
Loại và vị trí
- Vị trí, chủng loại, điều kiện
- Khác
- Mô tả, vị trí, hướng di chuyển
Mô tả, loại, vị trí
- Vật chứng trong trường hợp có sử dụng
Hình ảnh
Mô tả
- Ảnh nhật ký
Hình dáng
- Quan điểm/Vị trí ảnh
Vị trí
- Chủ đề
- Các vết máu
- Ảnh tổng quan/mở rộng, trung gian,cận cảnh
Loại, vị trí, phương hướng
- Quy mô
CÁC LỖI THƯỜNG GẶP CỦA NGƯỜI PHẢN HỒI
ĐẦU TIÊN
Lỗi thường gặp của người phản hồi
• Hầu hết, quản trị mạng và hệ
đầu tiên
thống làm việc như một người
• Tắt hoặc khởi động máy tính
phản hồi đầu tiên tại hiện
nạn nhân
trường vụ án
• Giả sử rằng một số thành phần
• Họ không thể xử lý các sự cố
của máy tính nạn nhân có thể
an ninh một cách phù hợp do
đáng tin cậy và có thể dùng
họ không biết rõ quy trình
được
• Không có quyền truy cập vào tài
liệu cơ sở về máy tính nạn nhân
• Không ghi lại quá trình thu thập
dữ liệu
TỔNG KẾT
Bằng chứng điện tử là thông tin và dữ liệu có giá trị điều tra được lưu trữ hoặc truyền qua
các thiết bị điện tử
Đôi khi người dùng hiện có cần phải có sự đồng ý của người dùng phần cứng được yêu cầu
và đồng thời sự đồng ý được đưa ra
Tài liệu vụ án tạo ra một hồ sơ lịch sử không thay đổi
“Chuỗi hành trình” đề cập đến một tài liệu được viết bởi những cá nhân có quyền giữ vật
chất duy nhất đối với bằng chứng từ khi nó bị thu giữ cho đến khi kết thúc vụ án