CHI TIẾT BÀI VIẾT

ĐIỀU TRA MÁY TÍNH (COMPUTER FORENSICS)

16/12/2019 5:49:27 PM | Xem: lần


"Computer forensic là quá trình xác định (identifying), lưu trữ (preserving), phân tích (analyzing) và trình bày (presenting) các bằng chứng số theo cách mà nó có thể chấp nhận về mặt pháp lý”.

Như vậy, đặc tính của computer forensic là: Identifying, Preserving, Analyzing và Presenting.
Bằng chứng số thường được tìm thấy trong các ổ đĩa của máy tính, trong các thiết bị lưu trữ và trên các phương tiện truyền dẫn khác nhau. Nhiệm vụ của điều tra viên computer forensic thực hiện theo một tập các thủ tục chuẩn để tìm ra các bằng chứng số:
  • Bước đầu tiên cô lập về mặt vật lý các thiết bị nghi vấn, để đảm bảo nó không thể tiếp tục bị "lây nhiễm”.
  • Bước tiếp theo tạo bản copy của các thiết bị liên quan, sau đó "khóa” chúng lại để đảm bảo an toàn và làm đối chứng sau này.
  • Bước cuối, thực hiện các thao tác điều tra trên bản copy.
Các điều tra viên sử dụng các kỹ thuật, các công cụ computer forensic khác nhau để khảo sát bản copy để tìm kiếm các thông tin khả nghi từ tập tin ẩn, các thư mục ẩn, các không gian đĩa chưa cấp phát, các tập tin bị xóa, bị mã hóa, bị hỏng,…
Bất kỳ thông tin nào được tìm thấy ở đây đều được ghi lại một cách cẩn thận trong báo cáo cuối cùng và sẽ được đối chứng với bản gốc để khẳng định tính pháp lý của nó. Từ những thông tin này, điều tra viên sẽ đưa ra được bằng chứng pháp lý trước tòa.

Các bước của quy trình computer forensic:
  1. Shutdown máy tính
  2. Lập tài liệu về cấu hình phần cứng của hệ thống
  3. Chuyển hệ thống máy tính đến vị trí an toàn
  4. Tạo backup – theo bít – của các ổ đĩa trên máy tính
  5. Kiểm tra dữ liệu trên tất cả các thiết bị lưu trữ
  6. Lập tài liệu về ngày và giờ hệ thống
  7. Lập danh sách các từ khóa tìm kiếm chính
  8. Xem xét tập tin swap của Windows
  9. Xem xét không gian slack của các tập tin
  10. Xem xét các không gian đĩa chưa cấp phát và các tập tin bị xóa
  11. Tìm các tập tin, không gian slack của tập tin và không gian chưa cấp phát theo các word chính
  12. Lập tài liệu về tên, ngày và giờ liên quan đến các tập tin
  13. Xác định tập tin, chương trình và thiết bị lưu trữ bất thường
  14. Xem xét các chương trình không bản quyền
  15. Lập tài liệu về các phát hiện ban đầu

Yêu cầu kỹ năng của điều tra viên computer forensic:
  1. Lập trình được trên nhiều ngôn ngữ. Đặc biệt là các ngôn ngữ cấp thấp, ngôn ngữ script: Assembly, C/C++, Rube, Pert, Python, Php,…
  2. Được trang bị đầy đủ kiến thức nền tảng về khoa học máy tính. Có nhiều kinh nghiệm trong các lĩnh vực liên quan đến máy tính
  3. Hiểu biết chuyên sâu về hệ điều hành và các ứng dụng khai thác hệ thống
  4. Có khả năng phân tích dữ liệu và quản trị hệ thống
  5. Sử dụng thành thạo các tool xâm nhập, phát hiện xâm nhập mới nhất
  6. Hiểu biết căn bản về mã hóa/giải mã. Sử dụng thành thạo các tool liên quan
  7. Am hiểu về các quy tắc liên quan đến bằng chứng số và có khả năng xử lý chúng
  8. Sẵn sàng làm nhân chứng về chuyên môn trước tòa