Bài giảng Pháp chứng kỹ thuật số: Bài 4 - TS. Đàm Hồng Hải

Ậ Ố

Ứ

Ỹ

PHÁP CH NG K  THU T S

ậ

ủ ấ ỹ Bài 4: Các k  thu t che gi u và tiêu h y ữ ệ            d  li u trên máy tính

ả ồ ả Gi ng viên: TS. Đàm Quang H ng H i

ậ ố

ề

ố

ỹ

Ch ng đi u tra k  thu t s

• Anti Forensics – ch ng đi u tra k  thu t s   là các

ậ ố ỹ

ề ể ố ố ậ ượ ử ụ ể ệ

ứ ố ưở

ng và ch t l ườ ệ i hi n tr ể ề ứ ặ

ỹ c s  d ng đ  đ i phó đ  vi c tìm  k  thu t đ ề ứ ậ ế ki m và thu th p các ch ng c  s  trong đi u tra. ế ự ồ ả ỹ ậ ử ụ • S  d ng các k  thu t làm  nh h ng đ n s  t n  ứ ố ứ ủ ấ ượ ạ ố ượ ng c a ch ng c  s  thu  i, s  l t ệ ụ ượ ạ c t ng v  án, đi u này làm cho vi c  đ ặ ứ phân tích và ki m tra ch ng c  g p khó khăn ho c  ệ ượ ể ự không th  th c hi n đ c.

ụ

ủ

M c đích c a Anti forensics

ụ

ặ ơ

ậ ể ự

ệ ượ Các công c  Anti  ế Forensic khi n công  ứ ồ ệ vi c truy h i ch ng  ứ c  trong quá trình  ở ề đi u tra tr  nên khó  khăn h n ho c th m  chí là không th  th c  c. hi n đ

ủ ạ

ề

ố

ỹ

ậ ố Các th  đo n ch ng đi u tra k  thu t s

• Ng

ề ố ỹ i ta chia các th  đo n ch ng đi u tra k

ườ ậ ố ủ ạ ư

ấ ứ

ạ thu t s  ra các lo i nh  sau: • Che gi u các d  li u có ch ng c  s    ứ ố ữ ệ • Xóa các ch ng c  s   ứ ố ứ • Làm sai l c các d u v t  ế ấ ạ • Dùng ph n m m ch ng các quy trình và các  ố ầ ụ ề ậ ố ỹ ề công c  đi u tra k  thu t s

•

ứ ấ ớ ữ ệ Che gi u các d  li u có ch ng c

ữ ệ

ữ

ớ ứ ườ ạ i l ủ ể i ch  đ  còn s  d ng trong

Ẩ ấ ữ ớ Ẩ n các d  li u có ch ng c  là quá trình làm cho d   ễ ớ ệ  trong khi cũng gi li u khó tìm v i ng  nó d   ử ụ ườ ế ậ ti p c n v i ng ươ ng lai.  t • Mã hóa d  li u ữ ệ • K  thu t gi u d  li u ỹ ấ ữ ệ ậ • ữ ệ n gi u các file d  li u

ấ ữ ệ ườ

ữ ệ Mã hóa d  li u ộ • Mã hóa (Cryptography ) là m t cách gi u d  li u  ữ ệ ượ c mã hóa, ng ứ ạ

ể

ụ ể ử ụ ệ ể ọ ượ

ượ i ta có  thông d ng. Khi d  li u đ ế ữ ậ th  s  d ng các thu t toán ph c t p đ  khi n d   c.  li u khó có th  đ c đ • Mã hóa có hai quá trình ng

ự ộ ả ề c chi u nhau là mã  i mã (Decrypt) d a vào m t

ậ hóa (Encrypt) và gi chìa khóa bí m t (key).

• Các thu t toán mã hóa càng ph c t p, càng m t

ậ ấ

ờ ả ậ ứ ạ i mã nó mà không có mã s . Các thu t

ố ả ố ư ề

ờ th i gian gi ể ị toán mã hóa có th  b  phá nh ng ph i t n nhi u  ứ th i gian và công s c.

ả

Mã hóa và gi

ữ ệ i mã d  li u

ậ

ỹ

ữ ệ K  thu t mã hóa d  li u

ậ ườ ế ậ i ta thi t l p m t

ườ ậ ệ

ư ụ ẽ ượ

ằ ẩ ng khi mã hóa, ng ư ụ ặ kh u cho t p tin ho c th  m c, đây là cách an toàn  ệ ữ ệ ả ậ nh t cho vi c mã hóa và b o v  d  li u. T p tin  ể ở c mã hóa và ch  có th  m   ho c th  m c s  đ ho c s  d ng b ng cách khai báo m t kh u.

ầ i ta hay dùng mã hóa các file b ng các ph n

ẩ

ậ ứ ẽ

• Thông th ẩ ấ ặ ặ ử ụ ườ • Ng ề ế ụ ẻ

ụ ể ỉ ậ ằ m m nén file (zip) có dùng m t kh u. ả ử ố • N u không có mã s , Pháp ch ng viên s  ph i s   ể ươ ng trình chuyên d ng đ  có th

ế d ng đ n các ch b  khóa.

Mã hóa khi nén file zip

ộ ổ

ạ

T o m t

đĩa logic mã hóa

• Ng

ườ ặ

ể ạ ổ ộ ộ ổ ả ượ c mã hóa ho c  ồ ủ đĩa  o đ  đĩa logic c a mình (bao g m

cài đ t Windows).

ổ i ta có th  t o  mã hóa toàn b  m t  ặ ả ổ c   ữ ệ ượ ư • D  li u đ ữ c l u tr  trên

c mã hóa  c n u

ấ ượ  đĩa đã đ ể ọ ượ ế (encryption volume) không th  đ c đ ng i dùng không cung c p đúng khóa mã

ả

ượ ượ ặ c mã hóa ho c

ữ ệ ượ ạ ườ ủ ệ ườ ữ ệ ự ộ ượ • D  li u t  đ ng đ c mã hóa ho c gi i mã ngay  ổ ố ặ khi đ  đĩa đã đ c ghi xu ng  ấ ỳ c n p lên mà không có b t k   ngay khi d  li u đ ự s  can thi p nào c a ng i dùng.

ớ

Mã hóa phân vùng v i TrueCrypt

ậ

ỹ

ấ ữ ệ K  thu t gi u d  li u

• Steganography ­ vi c vi

ế t và chuy n t

ệ ậ

ộ ườ i nh n, không ai bi

ế ế ự ồ ạ ủ ủ ả ậ ệ

ườ ệ ể ả i các thông  ệ ạ ừ ườ ử đi p m t cách bí m t, sao cho ngo i tr  ng i g i  t đ n s  t n t và ng i c a  ư ậ ộ ạ các thông đi p này, là m t d ng c a b o m t nh   là che gi u file ch a d  li u. ậ ẩ • Trong k  thu t  n gi u thông th ng, thông đi p

ấ ỹ ệ ướ ứ ữ ệ ấ ộ ạ

i m t d ng khác trong quá trình  ệ ẩ ặ i: hình  nh, bài báo ho c thông đi p  n

ự c vi

ả ế ằ t b ng m c vô hình gi a các  ư ữ ườ ộ ấ xu t hi n d ề ả truy n t ể ượ có th  đ ố ả kho ng tr ng trong m t lá th  bình th ng.

ậ ố

ầ

ỹ

ề ấ ữ ệ Yêu c u v  gi u d  li u k  thu t s

• Vi

ể ả ế ậ ộ i các thông đi p m t cách bí m t

ng, sao cho ngo i tr  ng t đ n s  t n t ệ ạ ừ ườ ử i g i  ế ế ự ồ ạ ủ i c a i nh n, không ai bi

t và chuy n t ộ ố ượ trên m t đ i t ậ ườ và ng thông đi p.ệ

ẽ ả ượ c

• Steganography cũng s  x y ra hai quá trình ng i mã (Decode)  ả

ả

ượ c thu t toán s  l y đ

ệ ể ậ ẽ ấ ượ c thông tin bí m t. ậ ng ch a thông đi p bí m t có th  là hình

nhau là mã hóa (Encode) và gi ầ ư nh ng không c n thông qua chìa khóa nào c , ai  ậ ắ n m đ ứ ố ượ • Đ i t ả nh, audio, video,…

ấ ữ ệ

ả

Gi u d  li u trong file hình  nh

ẻ ườ ả • Nh ng file hình  nh có v  bình th

ướ ể ẩ ư ư ứ ng (nh  b c  ứ i) nh ng bên trong nó có th   n ch a

ữ nh d ữ ả ậ nh ng thông tin hoàn toàn bí m t

ề

ầ

ấ ữ ệ Các ph n m m gi u d  li u

ư

ề

ề

ầ

• Có nhi u ph n m m nh : QuickStego, Steganography,

•

OpenPuff

ề

ầ

Ph n m m QuickStego

ầ

ề

ườ

• Website http://www.quickcrypto.com • Ph n m m QuickStego cho phép ng ỉ ả ể ấ

ẩ ữ ọ

ủ ậ ẩ

i ta  n các văn  ườ ư ậ ả b n trong hình  nh nh  v y mà ch  có nh ng ng i  dùng khác c a QuickStego có th  l y và đ c các tin  nh n bí m t  n.  ả ượ • M t khi văn b n đ ộ ư ẫ

ả ố

ấ ả ấ

ệ

ả

ắ ộ ộ c gi u trong m t hình  nh hình  ư ẽ ả ả nh l u v n là m t "hình  nh", nó s  t i gi ng nh   ư ấ ỳ b t k  hình  nh khác và xu t hi n nh  nó đã làm  ướ c.  tr

ả

ả • Các hình  nh có th  đ

i, g i qua email, t

i

ệ

ể ượ ư ạ c l u l ự c đây, s  khác bi

ử ấ t duy nh t là nó có

ứ

ư ướ lên web, nh  tr ả ẩ ch a văn b n  n.

Ẩ

ấ ữ ệ

n gi u d  li u trong file

ỹ

ậ ẩ

ổ ữ ệ ủ

ấ ữ ệ K  thu t  n gi u d  li u trong File hình  nh ả• Thay đ i các bit d  li u c a hình  nh b ng các bit

ậ ệ ả ắ

ậ ự ả

ậ ấ

ơ ả ộ ể ẩ ả

ằ

ộ ậ ủ ủ ổ ứ ả

ằ ườ ủ c a thông đi p bí m t sao cho m t th ng khó  ệ ứ ổ nh n ra s  thay đ i trên hình  nh ch a thông đi p. • Thu t toán c  b n nh t là LSB (Least Significant  ệ Bit) đ   n m t thông đi p vào m t t p tin  nh  ố ị b ng cách thay đ i Bit cu i cùng c a các giá tr   ệ ằ màu RGB trong b c  nh b ng Bit c a thông đi p  bí m t.ậ

ậ

Thu t toán LSB

ề

ằ

Đi u tra b ng Histogram

ữ ả

ả

ố

ấ

So sánh Histogram gi a  nh g c và  nh có  gi u tin

ậ

ứ ế t file có ch a message ệ

ng trình phát hi n message (Hiderman,

ầ ầ Ph n m m nh n bi ươ StegSpy­ch JPHideand Seek, Masker, JPegX…)

ậ

ỹ

ấ ữ ệ K  thu t gi u d  li u

ỹ ấ

• K  thu t che gi u còn đ ả

ầ ượ ề

ấ ả

ạ ề

ề ả

ả ,  ố ạ

ượ ấ ầ ậ c dùng trong công  ậ ư ộ ỹ ệ nghi p gi i trí và ph n m m nh  m t k  thu t  đánh d u (watermarking) trên các hình  nh, âm  ể ầ nh c hay ph n m m đ : • B o v  b n quy n tác gi ệ ả • Ngăn ch n m o nh n, ch ng sao chép,  ậ ặ • Xác th c n i dung,  ự ộ • Cho phép giám sát hay l n ng ế c d u v t các

ả ấ ợ b n sao b t h p pháp.

Ẩ

ữ ệ

ấ

n gi u các file d  li u trên đĩa

ầ ề

• Dùng ph n m m chia file ch a d  li u ra thành  ụ ở ộ  m t

ứ ữ ệ ấ ỗ ỏ

ụ các m c nh  khác nhau và gi u m i m c  file khác nhau.

• Nh ng ph n đĩa d  do các file không s  d ng h t

ư ử ụ

ượ ọ ầ ng đ

ượ ấ ầ ử ụ ằ

ấ

ế ữ c g i là slack space. Dùng ph n  dung l ứ ữ ệ ề m m gi u file ch a d  li u  b ng cách s  d ng  slack space.  ậ ẩ ồ ấ ớ ị ẩ ữ ậ

ỹ • K  thu t  n gi u các file gây khó khăn r t l n cho  ợ ệ vi c truy h i và t p h p nh ng thông tin b   n  gi u.ấ

ứ

ấ

ủ C u trúc c a đĩa c ng

• A. Track • B. Geometric Sector • C. Track Sector • D. Cluster

ấ ữ ệ

Gi u d  li u trong slack space

ớ

Tìm thông tin trên slack space v i EnCase

ấ

Gi u file trong các file

ể ấ ộ

• Có th  gi u m t file bên trong file khác.  ữ • Executable files –là nh ng file máy tính ch y đ

ạ ượ c

ươ ng trình đ ể ấ ữ • Nh ng ch ể c g i là packer có th

ạ ế ấ ể ắ ề

ạ ớ có th  gi u trong các file khác ượ ọ ồ l ng các executable file vào các file lo i khác, trong  ụ khi các công c  binder có th  g n k t r t nhi u  executable file l i v i nhau.

ứ ố ứ Xóa các ch ng c  s

ầ ử ụ ề ạ

• S  d ng các ph n m m xóa s ch ch ng c  s  qua  ạ ỏ đó lo i b  vĩnh vi n các t p tin c  th  ho c toàn  b  File system.

ứ ụ ể ứ ố ặ ễ ậ

ộ ệ ứ ố ệ

ể ượ ề ầ ự c th c hi n  ư

ậ

ầ ầ

ạ ổ ứ • Vi c xóa các ch ng c  s  có th  đ ệ ử ụ thông qua vi c s  d ng các ph n m m nh :  • Ph n m m xóa s ch t p tin  ề ạ • Ph n m m làm s ch đĩa,  ạ ề • Công ngh  kh  t ệ ử ừ , xóa s ch đĩa.

ề

ậ

ạ

ầ

Ph n m m xóa s ch t p tin

ề ạ

•

ể ậ ậ ầ • File wiping utilities – Ph n m m xóa s ch t p tin  ừ ộ  m t  c s  d ng đ  xóa các t p tin cá nhân t

ủ ề ạ ậ

ệ ượ ử ụ đ ệ ề h  đi u hành.  ể ầ Ư ể u đi m c a Ph n m m xóa s ch t p tin có th   hoàn thành công vi c nhanh chóng.

• M t s  ph n m m: BCWipe, R­Wipe & Clean,  Eraser, Aevita Wipe & Delete, PrivacySuite.

ộ ố ề ầ

ủ

ề

ầ

Ph n m m Privacy Suite c a Cyberscrub

ề

ạ

ầ

Ph n m m làm s ch đĩa

ầ ử • Disk cleaning utilities ­ Ph n m m làm s ch đĩa s

ạ ữ ệ ươ ề ể ề ng pháp đ  ghi đè lên d  li u

d ng nhi u ph hi n có trên đĩa. ề ụ ệ ầ ẽ ạ ạ

• Ph n m m làm s ch đĩa s  vĩnh vi n xóa s ch các  i các thông

ễ ể ọ ạ ả ị

ả file b  xóa và đ m b o không th  đ c l tin

• M t s  ph n m m thông d ng: TuneUp Disk

ộ ố ụ ề ầ

Cleaner, DBAN (Darik's Boot and Nuke), BCWipe,  KillDisk, PC Inspector, cyberCide.

TuneUp Disk Cleaner

ệ ử ừ

ạ ổ

Công ngh  kh  t

, xóa s ch

đĩa

ế ấ ạ Làm sai l c các d u v t

ấ ủ

ụ ầ ể ạ • M c đích c a làm sai l c các d u v t là đ  gây  ng quá

ấ ế ể ướ ờ ẫ nh m l n, nghi ng  và làm chuy n h ố ề trình đi u tra s .  ạ ạ ồ

ậ ộ ổ

ạ

ề ổ ị

ế

ị c đính kèm v i file. N u Metadata đã b   ằ ứ ứ ở

ế ỹ • Làm sai l c các d u v t bao g m m t lo t các k   ụ ư thu t và các công c  nh  làm thay đ i thông tin  ả ạ ậ ạ đăng nh p, làm gi  m o và t o thông tin sai l c. ầ ữ • Dùng ph n m m thay đ i Metadata (lý l ch d   ượ ớ ệ li u) đ ệ ạ ủ h y ho i, vi c ch ng minh b ng ch ng tr  nên  khó khăn h n.ơ

ủ

ề

ầ

ổ Ph n m m thay đ i Header c a file

• Dùng ph n m m đánh l a b ng cách thay đ i

ổ ầ

ừ ằ ủ

ượ ẩ ườ ườ ọ ớ c  n v i m i ng

• Header th ự ự ạ

ề thông tin trong header c a file.  ng đ ọ

ớ

ứ ư i nh ng nó  th c s  quan tr ng khi nó thông báo cho máy tính  ượ ắ lo i file mà nó đang đ c g n v i. ế • Pháp ch ng viên đang tìm ki m m t đ nh d ng file

ể ỏ ộ ị ọ ạ ở

ủ ư ổ ị

ế ụ ể c  th  có th  b  qua thông tin quan tr ng b i  Header c a file đã b  thay đ i nh  không liên quan  ớ t

ề ầ i thông tin c n tìm ki m. ầ • Ph n m m: Transmogrify

File Header

ủ

Metadata c a file

ộ

ượ ạ ư ổ ượ ố ố • Metadata bao g m thông tin gi ng nh  khi m t file  c thay đ i cu i cùng. ồ ặ ầ c t o ra ho c l n file đ đ

ầ

ạ ể ủ

ả ầ

ệ ệ ố ề ụ ề

ữ ệ

ề ử ụ S  d ng các ph n m m b o v  h  th ng • Nghi ph m có th  d ng ph n m m cài trên máy  ỹ ố ch ng các quy trình và các công c  đi u tra k   ậ ố thu t s   ử ụ ứ ườ

• S  d ng  ng d ng t i không đ

ự ộ  đ ng xóa d  li u khi có  ề ụ ượ ệ ố ậ c quy n truy c p h  th ng

ng vào.

ề

ầ

ự

ữ ệ

Ph n m m t

xóa d  li u

• Các ph n m m giúp ng

ề ườ i ch  máy tính, Laptop

ủ ể ủ ữ ệ

ữ .

ự ủ

ầ ị ộ ế ị t b  di đ ng có th  h y d  li u khi máy b   hay thi ặ ị ấ m t ho c b  thu gi ứ • Ch c năng t ầ ề ứ ộ  xóa có th  là m t ch c năng c a các  ế ị ố ph m m m ch ng m t c p thi t b .

ề ầ ể ấ ắ ể • Các ph n m m có th  dùng: Prey, LaptopLock,

LoJack, McAfee Anti­Theft, Adeona...

ấ ắ

ề

ầ

ố Ph n m m ch ng m t c p thi

ế ị t b

ế

H t bài 4