Bài giảng Pháp chứng kỹ thuật số: Bài 2 - TS. Đàm Hồng Hải

Chia sẻ: Vvvvv Vvvvv | Ngày: | Loại File: PPTX | Số trang:48

Thêm vào BST

Báo xấu

71
lượt xem 9
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng "Pháp chứng kỹ thuật số - Bài 2: Pháp chứng máy tính" cung cấp cho người học các kiến thức: Pháp chứng máy tính, máy tính là công cụ của tội phạm, tội phạm máy tính, nơi có thể tìm bằng chứng số,... Mời các bạn cùng tham khảo nội dung chi tiết.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bài giảng Pháp chứng kỹ thuật số: Bài 2 - TS. Đàm Hồng Hải

PHÁP CHỨNG KỸ THUẬT SỐ Bài 2: Pháp chứng máy tính Giảng viên: TS. Đàm Quang Hồng Hải
Pháp chứng máy tính • Pháp chứng máy tính là một bộ phận của pháp chứng kỹ thuật số về tìm kiếm, duy trì và phân tích thông tin trên các hệ thống máy tính hoặc các thiết bị lưu trữ để tìm kiếm các bằng chứng số. • Máy vi tính đã có ở khắp mọi nơi và được sử dụng trong hầu như mọi người với vô số các ứng dụng. • Việc sử dụng máy tính và các thiết bị lưu trữ dữ liệu điện tử khác để lại những dấu vết và những đường mòn dữ liệu của người dùng máy tính.
Pháp chứng máy tính và pháp chứng số
Pháp chứng máy tính ngày nay • Trong thế giới công nghệ ngày nay, hiện có nhiều thiết bị có khả năng lưu trữ dữ liệu và do đó có thể được chia thành các lĩnh vực pháp chứng máy tính. • Vai trò của dữ liệu điện tử trong công việc điều tra đã có sự tăng trưởng theo cấp số nhân trong thập kỷ qua. • Máy tính có phần cứng và phần mềm và người Pháp chứng viên cần có đủ kiến thức để khai thác.
Tại sao cần Pháp chứng máy tính
Máy tính là công cụ của tội phạm • Loại tội phạm “truyền thống” sử dụng máy tính như một công cụ để gây án, để lưu giữ thông tin tội phạm, như: • Tội lừa đảo chiếm đoạt tài sản, trộm cắp tài sản, tội tham ô, tội rửa tiền, • Buôn bán ma túy, mại dâm, tội xâm phạm quyền sở hữu trí tuệ,... • Rửa tiền: chuyển tiền từ tài khoản trộm cắp được sang tài khoản emoney tại egold, epassport..., chuyển tiền qua Western Union và tài khoản của đối tượng tại các ngân hàng tại Việt Nam
Tội phạm xâm nhập qua máy tính • Tấn công cơ sở dữ liệu, Tạo ra, lan truyền, phát tán các chương trình virus, • Đột nhập trái phép cơ sở dữ liệu máy tính, ăn cắp dữ liệu, thông tin, sử dụng trái phép dữ liệu, • Dùng thủ đoạn Phishing, trojan horse, spyware, keylogger, adware để lấy cắp địa chỉ email, thông tin thẻ tín dụng và thông tin cá nhân như tên, địa chỉ, số điện thoại, số thẻ an ninh xã hội, thông tin giấy phép lái xe…
Tội phạm máy tính
Nhiệm vụ của Pháp chứng viên • Quản lý và khai thác dữ liệu trên hệ thống máy tính, hiểu biết khai thác các phương pháp lưu trữ thông tin trên máy tính và thiết bị số. • Phân tích các dữ liệu tìm được trên hệ thống máy tính để tìm ra các thông tin chi tiết liên quan như là nguồn gốc, nội dung; • Đánh giá các thông tin tìm được và tập hợp thành bằng chứng số. • Đưa bằng chứng số trước tòa và bảo vệ các bằng chứng số đó.
Thế nào là bằng chứng số • Bằng chứng số chỉ bao gồm chuỗi các bit • Bằng chứng số là hữu hạn trong cả không gian và thời gian • Bằng chứng số là chứng cứ dấu vết. • Bằng chứng số thì tiềm ẩn trong tự nhiên. • Độ phức tạp của tính toán làm giới hạn việc phân tích Pháp chứng số. • Luận thuyết cơ bản của Pháp chứng số là “Cái gì chưa rõ ràng, nhất quán thì không phải là thật”.(“What is inconsistent is not true”) Báo cáo môn Pháp chứng số 11
Nơi có thể tìm bằng chứng số • Trong các tập tin ghi lịch sử truy cập internet • Trong các tập tin Cach sinh ra khi truy cập internet • Tại các vùng đĩa chưa cấp phát hoặc file slack • Lưu trữ các tập tin, thư mục, tên tập tin • Thông tin ngày lưu trữ tập tin • Ẩn/nhúng trong phần mềm • Trong các tập tin chia sẻ • Trong các email
Các tác vụ của Pháp chứng máy tính • Kiểm soát phần cứng hệ thống • Kiểm tra và xử lý dữ liệu có trên hệ thống • Xác định thông tin cần tìm kiếm • Đánh giá các nơi còn có thể dấu dữ liệu • Thực hiện tìm kiếm thông tin trên các dữ liệu backup • Ghi nhận các thông tin, dữ liệu tìm được
Kiểm soát phần cứng hệ thống • Kiểm soát hệ thống máy tính để chắc chắn rằng thiết bị và dữ liệu được an toàn, đồng thời Pháp chứng viên cần lập tài liệu về cấu hình phần cứng của hệ thống • Chuyển hệ thống máy tính đến vị trí mà Pháp chứng viên nắm quyền bảo mật để không có một cá nhân nào có thể truy cập máy tính và thiết bị lưu trữ đang được kiểm tra. • Tạo backup của các ổ đĩa trên hệ thống bao gồm các tập tin có trong ổ đĩa của máy tính hay các ổ cứng cắm ngoài theo dạng bit, Pháp chứng viên thực hiện việc điều tra trên các dữ liệu backup.
Chép (Clone) đĩa cứng theo dạng bit
Xác định thông tin cần tìm kiếm • Kiểm tra dữ liệu trên tất cả các thiết bị lưu trữ bao gồm tất cả các tập tin có trong hệ thống máy tính được ẩn hoặc bị xóa nhưng chưa bị ghi đè, • Kiểm tra các tập tin đã được mã hóa, được bảo vệ bằng mật khẩu, • Lập tài liệu về ngày và giờ hệ thống, ngày và giờ truy cập các tập tin . • Lập danh sách các key word cần tìm kiếm liên quan dấu vết tội phạm.
Đánh giá các nơi còn có thể dấu dữ liệu • Phân tích các khu vực đặc biệt trên ổ đĩa máy tính, bao gồm các phần thường khó có thể tiếp cận • Đánh giá tập tin swap của Windows có thể chứa các thông tin bộ nhớ đã sử dụng. • Thường trên cluster cuối cùng chứa tập tin sẽ không được sử dụng hết. Phần dư ra này được gọi là File slack space. Cần đánh giá File slack space – đây là nơi có thể chứa các mã độc hoặc thông tin nhậy cảm: • Đánh giá các không gian đĩa chưa cấp phát và các tập tin bị xóa
Thực hiện tìm kiếm thông tin đã backup • Khôi phục lại càng nhiều thông tin bị xóa càng tốt bằng cách sử dụng các ứng dụng có thể tìm kiếm và truy hồi dữ liệu bị xóa. • Tìm trên các tập tin, không gian slack của tập tin và không gian chưa cấp phát theo các key word • Lập tài liệu về tên, ngày và giờ liên quan đến các tập tin • Xác định tập tin, chương trình và thiết bị lưu trữ bất thường
Tìm kiếm thông tin