Forensic là gì và cách thức hoạt động
Forensic ho t đ ng nh th nàoạ ộ ư ế
Khi t p đoàn năng l ng Enron tuyên b phá s n vào tháng 12 năm ậ ượ ố ả
2001, hàng trăm nhân viên m t vi c, trong khi m t s quan ch c ấ ệ ộ ố ứ
d ng nh có l i t s s p đ này c a công ty. Qu c h i M quy t ườ ư ợ ừ ự ụ ổ ủ ố ộ ỹ ế
đ nh đi u tra sau khi có l i đ n v vi c công ty này đã làm ăn gian l n.ị ề ờ ồ ề ệ ậ
H u h t cu c đi u tra c a Qu c h i M t p trung vào nh ng file máyầ ế ộ ề ủ ố ộ ỹ ậ ữ
tính đ tìm ki m b ng ch ng. M t l c l ng chuyên nghi p b t đ u ể ế ằ ứ ộ ự ượ ệ ắ ầ
tìm ki m thông qua hàng trăm máy tính c a nhân viên Enron v i ế ủ ớ
computer forensic – tìm b ng ch ng ph m t i công ngh cao.ằ ứ ạ ộ ệ
M c đích s d ng c a k thu t computer forensics là tìm ki m, duy trì và ụ ử ụ ủ ỹ ậ ế
phân tích thông tin trên h th ng máy tính đ tìm ki m b ng ch ng ph m ệ ố ể ế ằ ứ ạ
t i cho m t v án. R t nhi u ph ng pháp đi u tra có s d ng trong vi c ộ ộ ụ ấ ề ươ ề ử ụ ệ
đi u tra t i ph m đ u có s k t h p v i k thu t s , tuy nhiên cũng có ề ộ ạ ề ự ế ợ ớ ỹ ậ ố
m t s tr ng h p đ c bi t s d ng đi u tra máy tính.ộ ố ườ ợ ặ ệ ử ụ ề
Ví d , ch c n m m t file trong máy và thay đ i nó, máy tính s ghi l i ụ ỉ ầ ở ộ ổ ẽ ạ
th i gian và ngày nó truy c p file. N u nhân viên có máy tính r i b t đ u ờ ậ ế ồ ắ ầ
m các file, không ai có th ch c ch n h không thay đ i đi u gì. T đó, ở ể ắ ắ ọ ổ ề ừ
lu t s có th l p lu n v giá tr pháp lý c a nh ng b ng ch ng này n u ậ ự ể ậ ậ ề ị ủ ữ ằ ứ ế
v vi c đ c đ a ra tòa.ụ ệ ượ ư
M t s ng i cho r ng vi c s d ng thông tin k thu t s là b ng ch ng ộ ố ườ ằ ệ ử ụ ỹ ậ ố ằ ứ
là m t ý t ng t i. n u có th thay đ i d li u máy tính d dàng, làm sao ộ ưở ồ ế ể ổ ữ ệ ễ
có th s d ng nó là b ng ch ng đáng tin c y? R t nhi u qu c gia cho ể ử ụ ằ ứ ậ ấ ề ố
phép s d ng b ng ch ng máy tính trong các phiên tòa, nh ng đi u này ử ụ ằ ứ ư ề
cũng có th b thay đ i n u b ng ch ng k thu t s đ c ch ng minh là ể ị ổ ế ằ ứ ỹ ậ ố ượ ứ
nh ng b ng ch ng không đáng tin c y.ữ ằ ứ ậ
Máy tính ngày càng tr nên m nh m , vì v y, lĩnh v c computer forensics ở ạ ẽ ậ ự
cũng ph i có s phát tri n t ng x ng. Trong nh ng ngày đ u m i có máy ả ự ể ươ ứ ữ ầ ớ
tính, r t d đ nh ng nhân viên đi u tra có th tìm ra m t file nào đó b i ấ ễ ể ữ ề ể ộ ở
dung l ng l u tr r t th p. Ngày nay, v i dung l ng l u tr c a đĩa ượ ư ữ ấ ấ ớ ượ ư ữ ủ ổ
lên t i gigabyte, th m chí là terabyte d li u, công vi c l i càng khó khăn ớ ậ ữ ệ ệ ạ
h n. Đi u tra viên s ph i tìm ra nh ng ph ng pháp khác nhau đ có th ơ ề ẽ ả ữ ươ ể ể
tìm ki m b ng ch ng mà không ph i dùng t i quá nhi u ngu n cho quá ế ằ ứ ả ớ ề ồ
trình đi u tra, nâng tính hi u qu cho quá trình.ề ệ ả
V y, nh ng đi u căn b n c a computer forensic – tìm b ng ch ng t i ậ ữ ề ả ủ ằ ứ ộ
ph m công ngh cao là gì? Nh ng đi u tra viên tìm ki m đi u gì? H tìm ạ ệ ữ ề ế ề ọ
ki m đâu?ế ở
Nh ng đi u c b n c a Computer Forensicữ ề ơ ả ủ
Lĩnh v c computer forensic v n còn khá m i m .ự ẫ ớ ẻ
Nh ng ngày đ u c a máy tính, tòa án coi b ngữ ầ ủ ằ
ch ng t máy tính không khác gì so v i nh ngứ ừ ớ ữ
lo i b ng ch ng khác. Khi máy tính ngày càng trạ ằ ứ ở
nên phát tri n h n và ph c t p h n, suy nghĩ nàyể ơ ứ ạ ơ
đã thay đ i – tòa án bi t đ c b ng ch ng t iổ ế ượ ằ ứ ộ
ph m r t d dàng có th b thay đ i, b xóa ho cạ ấ ễ ể ị ổ ị ặ
b phá h ng.ị ỏ
Đi u tra viên nh n ra r ng c n thi t ph i phátề ậ ằ ầ ế ả
tri n m t công c nào đó có th giúp vi c đi u traể ộ ụ ể ệ ề
b ng ch ng trong máy tính mà không làm nhằ ứ ả
h ng t i thông tin. H đã b t tay làm vi c v i nh ng nhà khoa h c máy ưở ớ ọ ắ ệ ớ ữ ọ
tính, l p tình viên đ bàn lu n v các ph ng pháp và công c phù h p mà ậ ể ậ ề ươ ụ ợ
h c n m i khi ph i truy h i thông tin t m t máy tính. T đó, h đã phát ọ ầ ỗ ả ồ ừ ộ ừ ọ
tri n ph ng pháp đ hình thành nên lĩnh v c computer forensic.ể ươ ể ự
Thông th ng, nhân viên đi u tra ph i có l nh c a tòa m i đ c tìm ki m ườ ề ả ệ ủ ớ ượ ế
thông tin trên m t máy tính tình nghi. L nh này s bao g m n i đi u tra ộ ệ ẽ ồ ơ ề
viên đ c phép tìm ki m và lo i b ng ch ng mà h có th tìm. Nói theo ượ ế ạ ằ ứ ọ ể
cách khác, đi u tra viên ch đ c làm theo l nh và tìm ki m nh ng gì mà ề ỉ ượ ệ ế ữ
h cho r ng đáng nghi ng . Thêm vào đó, các đi u trong l nh không đ c ọ ằ ờ ề ệ ượ
quá chung chung. H u h t các tòa án đ u yêu c u r t c th các đi u khi ầ ế ề ầ ấ ụ ể ề
đ a ra m t l nh cho các đi u tra viên.ư ộ ệ ề
Vì lý do này, đi u tra viên s ph i tìm ki m càng nhi u ngu n tình nghi ề ẽ ả ế ề ồ
tr c khi yêu c u l nh c a tòa án càng t t. Ví d : m t đi u tra viên có ướ ầ ệ ủ ố ụ ộ ề
l nh đi u tra m t máy tính xách tay thu c di n tình nghi. Ng i này đ n ệ ề ộ ộ ệ ườ ế
nhà c a ng i b nghi ng đ khám theo l nh. Khi đ n n i, đi u tra viên ủ ườ ị ờ ể ệ ế ơ ề
th y m t chi c máy tính đ bàn. Nhân viên đi u tra này không th tìm ấ ộ ế ể ề ể
ki m b ng ch ng trên chi c máy tính này b i nó không đ c bao g m ế ằ ứ ế ở ượ ồ
trong các đi u kho n c a l nh khám.ề ả ủ ệ
M i cu c đi u tra trên máy có s ỗ ộ ề ự
khác bi t riêng. M t s cu c đi u tra ệ ộ ố ộ ề
có th m t m t tu n đ có k t qu , ể ấ ộ ầ ể ế ả
nh ng s khác có th di n ra hàng ư ố ể ễ
tháng đ hoàn thành. D i đây là m tể ướ ộ
s đi u có th nh h ng t i th i ố ề ể ả ưở ớ ờ
gian c a m t v đi u tra:ủ ộ ụ ề
• Trình đ chuyên môn c a đi u tra ộ ủ ề
viên
• S l ng máy tính c n ki m traố ượ ầ ể
• Toàn b dung l ng mà nhân viên ộ ượ
đi u tra c n ki m tra ( c ng, đĩa ề ầ ể ổ ứ
CD, đĩa DVD và các thi t b l u tr ế ị ư ữ
c m ngoài)ắ
• Li u ng i b tình nghi có xóa hay ệ ườ ị
gi u thông tinấ
• X lý các file đ c mã hóa ho c các file đ c b o v b ng m t kh u.ử ượ ặ ượ ả ệ ằ ậ ẩ
Các giai đo n c a vi c đi u tra Computer Forensicạ ủ ệ ề
Plain View
Đi u lu t plain view – nh ng đi u ề ậ ữ ề
nhìn th y tr c m t – cho phép ấ ướ ắ
đi u tra viên quy n thu th p b t kì ề ề ậ ấ
b ng ch ng nào có trong quá trình ằ ứ
tìm ki m. N u đi u tra viên trong ế ế ề
ví d v a r i phát hi n ra b ng ụ ừ ồ ệ ằ
ch ng trên màn hình máy tính c a ứ ủ
ng i đang b nghi v n, nhân viên ườ ị ấ
này có th s d ng máy tính này ể ử ụ
đ tìm ki m b ng ch ng m c dù ể ế ằ ứ ặ
nó không đ c bao g m trong l nhượ ồ ệ
khám. N u máy tính đ bàn này ế ể
không đ c b t thì nhân viên đi u ượ ậ ề
tra không có quy n ki m tra nó.ề ể
Judd Robbins, m t chuyên gia máy tính và cũng là ng i đi đ u trong ộ ườ ầ
computer forensic đã li t kê m t s b c mà nh ng đi u tra viên c n làm ệ ộ ố ướ ữ ề ầ
m i khi mu n truy h i b ng ch ng t máy tính:ỗ ố ồ ằ ứ ừ
1. Ki m soát h th ng máy tính đ ch c ch n r ng thi t b và d li u ể ệ ố ể ắ ắ ằ ế ị ữ ệ
đ c an toàn. Đi u này có nghĩa đi u tra viên c n ph i n m quy n b o ượ ề ề ầ ả ắ ề ả
m t đ không có m t cá nhân nào có th truy c p máy tính và thi t b l u ậ ể ộ ể ậ ế ị ư
tr đang đ c ki m tra. N u h th ng máy tính có k t n i v i Internet, ữ ượ ể ế ệ ố ế ố ớ
đi u tra viên ph i ki m soát đ c k t n i này.ề ả ể ượ ế ố
2. Tìm ki m t t c các file có trong h th ng máy tính, bao g m các file đã ế ấ ả ệ ố ồ
đ c mã hóa, đ c b o v b ng m t kh u, đ c n ho c b xóa nh ng ượ ượ ả ệ ằ ậ ẩ ượ ẩ ặ ị ư
ch a b ghi đè. Nhân viên đi u tra nên sao chép l i t t c các file c a h ư ị ề ạ ấ ả ủ ệ
th ng, bao g m các fiel có trong đĩa c a máy tính hay file t các c ng ố ồ ổ ủ ừ ổ ứ
c m ngoài. B i khi truy c p các file có th thay đ i nó nên nhân viên đi u ắ ở ậ ể ổ ề
tra ch nên làm vi c v i các b n copy c a các file khi tìm ki m b ng ỉ ệ ớ ả ủ ế ằ
ch ng. B n nguyên g c c n đ c b o qu n và không đ c đ ng đ n.ứ ả ố ầ ượ ả ả ượ ộ ế
3. Khôi ph c l i càng nhi u thông tin b xóa càng t t b ng cách s d ng ụ ạ ề ị ố ằ ử ụ
các ng d ng có th tìm ki m và truy h i d li u b xóa.ứ ụ ể ế ồ ữ ệ ị
4. Tìm ki m thông tin c a t t c các file nế ủ ấ ả ẩ
5. Gi i mã và truy c p các file đ c b o vả ậ ượ ả ệ
6. Phân tích các khu v c đ c bi t trên đĩa máy tính, bao g m các ph n ự ặ ệ ổ ồ ầ
th ng khó có th ti p c n.ườ ể ế ậ
7. Ghi l i t t c các b c c a quá trình. Đi u này r t quan tr ng đ i v i ạ ấ ả ướ ủ ề ấ ọ ố ớ
nhân viên đi u tra đ cung c p b ng ch ng r ng công vi c đi u tra c a h ề ể ấ ằ ứ ằ ệ ề ủ ọ
th c hi n có b o v thông tin c a h th ng máy tính mà không làm thya ự ệ ả ệ ủ ệ ố
đ i ho c làm h ng chúng. M t v đi u tra và v x án có th m t t i hàngổ ặ ỏ ộ ụ ề ụ ử ể ấ ớ
năm, n u không có tài li u xác th c, b ng ch ng th m chí còn không đ c ế ệ ự ằ ứ ậ ượ
ch p nh n. Robbins cho r ng nh ng tài li u xác th c này không ch bao ấ ậ ằ ữ ệ ự ỉ
g m các file và d li u đ c khôi ph c t h th ng mà còn bao g m c ồ ữ ệ ượ ụ ừ ệ ố ồ ả
b n v c a h th ng và n i các file đ c mã hóa ho c đ c n.ả ẽ ủ ệ ố ơ ượ ặ ượ ẩ
8. Hãy chu n b là nhân ch ng tr cẩ ị ứ ướ
tòa trong computer forensics. Th mậ
chí, khi quá trình đi u tra hoàn t t,ề ấ
công vi c đi u tra c a h v n ch aệ ề ủ ọ ẫ ư
xong. H có th v n ph i ch ngọ ể ẫ ả ứ
th c tr c tòa.ự ướ
T t c các b c này r t quan tr ng,ấ ả ướ ấ ọ
nh ng b c đ u tiên m i là quanư ướ ầ ớ
tr ng nh t. N u nhân viên đi u traọ ấ ế ề
không th ki m soát toàn b hể ể ộ ệ
th ng máy tính, b ng ch ng h tìmố ằ ứ ọ
đ c s không đ c công nh n. Đâyượ ẽ ượ ậ
cũng là vi c r t khó. Trong th i gianệ ấ ờ
đ u c a máy tính, h th ng ch baoầ ủ ệ ố ỉ
g m m t chi c máy v i m t vài chi c đĩa m m. Ngày nay, nó bao g m r t ồ ộ ế ớ ộ ế ề ồ ấ
nhi u máy tính, đĩa, c ng c m ngoài, ….ề ổ ổ ứ ắ
M t s k x u đã tìm cách gây khó khăn cho nhân viên đi u tra đ tìm th yộ ố ẻ ấ ề ể ấ
thông tin trong h th ng c a chúng. Chúng s d ng các ch ng trình và ệ ố ủ ử ụ ươ
ng d ng có tên anti-forensic. Đi u tra viên s ph i dè ch ng nh ng ứ ụ ề ẽ ả ừ ữ
ch ng trình này và tìm cách lo i b chúng n u h mu n truy c p thông tinươ ạ ỏ ế ọ ố ậ
trong h th ng.ệ ố
V y, anti-forensic là gì? M c đích c a chúng là nh th nào?ậ ụ ủ ư ế
Anti-Forensic
Anti-forensic có th là ác m ng đ i v i nh ng ng i đi u tra máy tính. ể ộ ố ớ ữ ườ ề
L p trình viên thi t k công c anti-forensic đ khi n công vi c truy h i ậ ế ế ụ ể ế ệ ồ
thông tin trong quá trình đi u tra tr nên khó khăn h n ho c th m chí là ề ở ơ ặ ậ
không th th c hi n đ c. V b n ch t, anti-forensic dùng đ ch b t kì ể ự ệ ượ ề ả ấ ể ỉ ấ
m t ph ng pháp, d ng c hay ph n m m nào đó đ c thi t k đ gây ộ ươ ụ ụ ầ ề ượ ế ế ể
khó khăn cho vi c đi u tra máy tính.ệ ề
Không xóa file nh b n nghĩư ạ
M i khi xóa m t file nào đó, máy ỗ ộ
tính c a b n s chuy n file này ủ ạ ẽ ể
sang m t danh b m i. Khi làm ộ ạ ớ
tr ng thùng rác, máy tính s thông ố ẽ
báo r ng dung l ng đ c s ằ ượ ượ ử
d ng cho file đó đã đ c tr ng. ụ ượ ố
File v n đ c gi đó tr phi máyẫ ượ ữ ở ừ
tính ghi m t d li u m i lên ph n ộ ữ ệ ớ ầ
đó c a đĩa. V i các ph n m m ủ ổ ớ ầ ề
thích h p, b n có th truy h i các ợ ạ ể ồ
file đã b xóa n u chúng v n ch a ị ế ẫ ư
b ghi đè.ị
Có r t nhi u cách khác nhau đ m i ng i có th gi u thông tin. M t s ấ ề ể ọ ườ ể ấ ộ ố
ch ng trình có th đánh l a máy tính b ng cách thay đ i thông tin trong ươ ể ừ ằ ổ
header c a file. M t header th ng đ c n v i m i ng i nh ng nó th c ủ ộ ườ ượ ẩ ớ ọ ườ ư ự
s quan tr ng khi nó thông báo cho máy tính lo i file mà nó đang đ c g n ự ọ ạ ượ ắ
v i. N u b n v a thay đ i tên c a m t file mp3 thành file “.gif”, máy tính ớ ế ạ ừ ổ ủ ộ
v n bi t đó là file mp3 b i thông tin trong header. M t s ch ng trình cho ẫ ế ở ộ ố ươ
phép b n thay đ i thông tin trong header đ máy tính nh n d ng đó là m t ạ ổ ể ậ ạ ộ
file khác. Đi u tra viên đang tìm ki m m t đ nh d ng file c th có th b ề ế ộ ị ạ ụ ể ể ỏ
qua thông tin quan tr ng b i nó trông không liên quan t i thông tin c n tìm ọ ở ớ ầ
ki m.ế
Các ch ng trình khác có th chia các file ra thành các m c nh khác nhau ươ ể ụ ỏ
và gi u m i m c m t file khác nhau. Nh ng file không s d ng đ n ấ ỗ ụ ở ộ ữ ử ụ ế
dung l ng đ c g i là slack space. V i ch ng trình phù h p, b n có th ượ ượ ọ ớ ươ ợ ạ ể
gi u nh ng file này b ng cách s d ng slack space. Đi u này gây khó khăn ấ ữ ằ ử ụ ề
r t l n cho vi c truy h i và t p h p nh ng thông tin b n.ấ ớ ệ ồ ậ ợ ữ ị ẩ
Ngoài ra, cũng có th gi u m t file bên trong file khác. Executable files – là ể ấ ộ
nh ng file máy tính nh n d ng là m t ch ng trình cũng có th gây ữ ậ ạ ộ ươ ể
khoskhawn. Nh ng ch ng trình đ c g i là packer có th l ng các ữ ươ ượ ọ ể ồ
executable file vào các file các lo i file khác, trong khi các công c binder cóạ ụ
th g n k t r t nhi u executable file l i v i nhau.ể ắ ế ấ ề ạ ớ
có thể bạn quan tâm
Nghiên cứu những vấn đề liên quan đến các hoạt động về tổ chức quản lý...
120
993
403
Thạc sĩ cao học
120
(New)
Tiểu luận: Thực trạng hoạt động và giải pháp thúc đầy hoạt động đầu tư...
59
1.431
387
Kinh tế quản lý
59
(New)
Phân tích thực trạng hoạt động của ngân hàng Phát triển nhà đồng bằng...
100
883
346
Thạc sĩ cao học
100
(New)
Tìm hiểu cách thức hoạt động của Phishing
10
2.176
319
An ninh, bảo mật
10
(New)
Tìm hiểu về File DLL và cách thức hoạt động của nó
4
1.806
340
Tài liệu CNTT khác
4
(New)
Tìm hiểu cách thức hoạt động của Hacker
10
899
285
Tài liệu CNTT khác
10
(New)
Cách thức hoạt động của Troll internet
11
681
296
An ninh, bảo mật
11
(New)
Cách thức hoạt động của Internet Censorship
10
726
227
Tài liệu CNTT khác
10
(New)
thông tin tài liệu
Tìm hiểu về Forensic
Mở rộng để xem thêm
tài liệu mới trong mục này
tài liệu hot trong mục này
tài liệu giúp tôi
Nếu bạn không tìm thấy tài liệu mình cần có thể gửi yêu cầu ở đây để chúng tôi tìm giúp bạn!
×
