ĐIỀU TRA MÁY TÍNH (COMPUTER FORENSICS)

CHI TIẾT BÀI VIẾT

ĐIỀU TRA MÁY TÍNH (COMPUTER FORENSICS)

16/12/2019 5:49:27 PM | Xem: lần

"Computer forensic là quá trình xác định (identifying), lưu trữ (preserving), phân tích (analyzing) và trình bày (presenting) các bằng chứng số theo cách mà nó có thể chấp nhận về mặt pháp lý”.

Như vậy, đặc tính của computer forensic là: Identifying, Preserving, Analyzing và Presenting.

Bằng chứng số thường được tìm thấy trong các ổ đĩa của máy tính, trong các thiết bị lưu trữ và trên các phương tiện truyền dẫn khác nhau. Nhiệm vụ của điều tra viên computer forensic thực hiện theo một tập các thủ tục chuẩn để tìm ra các bằng chứng số:

Bước đầu tiên cô lập về mặt vật lý các thiết bị nghi vấn, để đảm bảo nó không thể tiếp tục bị "lây nhiễm”.
Bước tiếp theo tạo bản copy của các thiết bị liên quan, sau đó "khóa” chúng lại để đảm bảo an toàn và làm đối chứng sau này.
Bước cuối, thực hiện các thao tác điều tra trên bản copy.

Các điều tra viên sử dụng các kỹ thuật, các công cụ computer forensic khác nhau để khảo sát bản copy để tìm kiếm các thông tin khả nghi từ tập tin ẩn, các thư mục ẩn, các không gian đĩa chưa cấp phát, các tập tin bị xóa, bị mã hóa, bị hỏng,…

Bất kỳ thông tin nào được tìm thấy ở đây đều được ghi lại một cách cẩn thận trong báo cáo cuối cùng và sẽ được đối chứng với bản gốc để khẳng định tính pháp lý của nó. Từ những thông tin này, điều tra viên sẽ đưa ra được bằng chứng pháp lý trước tòa.

Các bước của quy trình computer forensic:

Shutdown máy tính
Lập tài liệu về cấu hình phần cứng của hệ thống
Chuyển hệ thống máy tính đến vị trí an toàn
Tạo backup – theo bít – của các ổ đĩa trên máy tính
Kiểm tra dữ liệu trên tất cả các thiết bị lưu trữ
Lập tài liệu về ngày và giờ hệ thống
Lập danh sách các từ khóa tìm kiếm chính
Xem xét tập tin swap của Windows
Xem xét không gian slack của các tập tin
Xem xét các không gian đĩa chưa cấp phát và các tập tin bị xóa
Tìm các tập tin, không gian slack của tập tin và không gian chưa cấp phát theo các word chính
Lập tài liệu về tên, ngày và giờ liên quan đến các tập tin
Xác định tập tin, chương trình và thiết bị lưu trữ bất thường
Xem xét các chương trình không bản quyền
Lập tài liệu về các phát hiện ban đầu

Yêu cầu kỹ năng của điều tra viên computer forensic:

Lập trình được trên nhiều ngôn ngữ. Đặc biệt là các ngôn ngữ cấp thấp, ngôn ngữ script: Assembly, C/C++, Rube, Pert, Python, Php,…
Được trang bị đầy đủ kiến thức nền tảng về khoa học máy tính. Có nhiều kinh nghiệm trong các lĩnh vực liên quan đến máy tính
Hiểu biết chuyên sâu về hệ điều hành và các ứng dụng khai thác hệ thống
Có khả năng phân tích dữ liệu và quản trị hệ thống
Sử dụng thành thạo các tool xâm nhập, phát hiện xâm nhập mới nhất
Hiểu biết căn bản về mã hóa/giải mã. Sử dụng thành thạo các tool liên quan
Am hiểu về các quy tắc liên quan đến bằng chứng số và có khả năng xử lý chúng
Sẵn sàng làm nhân chứng về chuyên môn trước tòa

CHI TIẾT BÀI VIẾT

ĐIỀU TRA MÁY TÍNH (COMPUTER FORENSICS)

DANH MỤC BÀI VIẾT

BÀI VIẾT XEM NHIỀU NHẤT