để thu thập và phân tích dữ liệu từ các hệ thống máy tính, mạng, truyền thôngkhông dây và các thiết bị lưu trữ… Để có thể điều tra, thu thập và phục hồi dữ liệu thì đó là một kỹ thuật kh
Trang 1HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA CÔNG NGHỆ THÔNG TIN
BÁO CÁO MÔN HỌC
ĐỖ DUY HƯNG AT150225
Nhóm 02
Giảng viên hướng dẫn: GV LÊ HẢI VIỆT
Hà Nội, 05-2022
Trang 2để thu thập và phân tích dữ liệu từ các hệ thống máy tính, mạng, truyền thôngkhông dây và các thiết bị lưu trữ…
Để có thể điều tra, thu thập và phục hồi dữ liệu thì đó là một kỹ thuật khó,đòi hỏi điều tra viên phải có kiến thức sâu rộng về các tập tin hệ thống, hoạt độngcủa ổ đĩa cứng , thu thập và phân tích điều tra số Nhận thấy đây là một vấn đề cấp
thiết và quan trọng nên nhóm em đã chọn đề tài nghiên cứu về module: “Thu thập
và phân tích chứng cứ từ ổ cứng”.
SINH VIÊN THỰC HIỆNHoàng Văn ThuyếtNgô Quốc Hưng
Vũ Đình TùngNguyễn Hồng QuânHoàng Quang Vinh
Trang 3MỤC LỤC
DANH MỤC HÌNH 2
CHƯƠNG I Tổng quan về ổ Đĩa cứng 3
I.1 Khái niệm 3
I.2 Phân loại ổ đĩa 3
I.2.1 Hard Disk Driver (HDD) 4
I.2.2 Solid State Driver (SSD) 4
I.3 Cấu trúc vật lý và logic của ổ đĩa cứng 5
I.3.1 Cấu trúc vật lý của ổ cứng 6
I.3.2 Cấu trúc logic của đĩa cứng 7
I.4 Giao diện kết nối 7
I.4.1 ATA/PATA (IDE/EIDE) 8
I.4.2 Serial ATA 9
I.4.3 SCSI 9
I.4.4 Serial Attached SCSI (SAS) 10
I.4.5 USB 10
I.5 Mật độ dữ liệu, dung lượng và hiệu suất của ổ đĩa 11
I.5.1 Mật độ dữ liệu 11
I.5.2 Dung lượng và hiệu suất của ổ đĩa 11
CHƯƠNG II Phân vùng ổ cứng và hệ thống tập tin 12
II.1 Phân vùng ổ cứng 12
II.1.1 Hệ thống tập tin Window (Windows file systems) 13
II.1.2 Hệ thống tập tin MAC OS X 14
II.1.3 Hierarchical FileSystem (HFS) 14
II.1.4 Hierarchical File System Plus (HFS+) 15
II.2 Hệ thống lưu trữ RAID 16
II.2.1 Khái niệm 16
II.2.2 Phương thức ghi RAID 17
II.3 Định dạng một số tập tin 17
II.3.1 JPEG File Format 17
II.3.2 BMP File Format 18
II.3.3 GIF File Format 18
II.3.4 PNG File Format 18
CHƯƠNG III Phân tích hệ thống tệp tin 19
III.1 Tổng quan hệ thống 19
III.2 Mô hình điều tra 19
III.3 Mô hình triển khai 20
Trang 4CHƯƠNG I TỔNG QUAN VỀ Ổ ĐĨA CỨNG
I.1 Khái niệm
Đĩa cứng hay gọi đúng hơn là ổ đĩa cứng (tiếng Anh: Hard Disk Drive, viết tắt
là HDD) là thiết bị dùng để lưu trữ dữ liệu trên bề mặt các tấm đĩa hình tròn phủ vậtliệu từ tính
Ổ đĩa cứng (hay ổ cứng) thường được biết đến như là một bộ phận rất quantrọng của máy tính với việc lưu trữ dữ liệu trong suốt quá trình sử dụng của ngườidùng: Các thao tác từ việc truy xuất đọc tài liệu office, tải file, thiết kế hình ảnh, cácbản vẽ, biên tập video, cài đặt phần mềm, game… là các thao tác đọc/ghi trên ổ đĩacứng và những dữ liệu này được lưu trên đó
Đĩa cứng là loại bộ nhớ “không thay đổi”, có nghĩa là chúng không bị mất dữliệu khi ngừng cung cấp nguồn điện cho chúng
Đĩa cứng là nguồn thông tin quan trọng cho người điều tra Do đó, một nhà điềutra nên biết cấu trúc và hoạt động của đĩa cứng Điều tra viên nên xác định vị trí và bảo
vệ dữ liệu thu thập được từ đĩa cứng làm bằng chứng Do đó, người điều tra cần biếttất cả các thông tin cần thiết về nguyên lý hoạt động của đĩa cứng Hệ thống tập tincũng rất quan trọng vì việc lưu trữ và phân phối dữ liệu trong đĩa cứng phụ thuộc vào
hệ thống tập tin được sử dụng
I.2 Phân loại ổ đĩa
Ổ đĩa cứng là một thiết bị lưu trữ dữ liệu kỹ thuật số sử dụng các cơ chế lưu trữkhác nhau như cơ học, điện tử, từ tính và quang học để lưu trữ dữ liệu Nó có thể đượcđịnh địa chỉ và ghi lại để hỗ trợ các thay đổi và sửa đổi dữ liệu Tùy thuộc vào loạiphương tiện và cơ chế đọc và ghi dữ liệu, các loại ổ đĩa khác nhau được phân loại nhưsau:
– Thiết bị lưu trữ từ tính (Magnetic Storage Devices): Thiết bị lưu trữ từ tính
lưu trữ dữ liệu bằng cách sử dụng nam châm để đọc và ghi dữ liệu bằng cách điềukhiển từ trường trên phương tiện lưu trữ Đây là những thiết bị cơ học với các thànhphần di chuyển để lưu trữ hoặc đọc dữ liệu Ví dụ: đĩa mềm, băng từ, …
Trong các loại đĩa cứng này, các đĩa bên trong vật liệu quay với tốc độ cao vàhướng vào ổ đĩa đọc và ghi dữ liệu
– Thiết bị lưu trữ quang học (Optical Storage Devices): Thiết bị lưu trữ
quang học là phương tiện lưu trữ điện tử, nó lưu trữ và đọc dữ liệu dưới dạng các giátrị nhị phân bằng cách sử dụng chùm tia laze Các thiết bị sử dụng đèn có mật độ khác
Trang 5nhau để lưu trữ và đọc dữ liệu Ví dụ về các thiết bị lưu trữ quang bao gồm đĩa Ray, CD và DVD.
Blue-– Thiết bị bộ nhớ flash (Flash Memory Devices): Bộ nhớ flash có khả năng
lưu giữ dữ liệu ngay cả khi không có điện Nó là một loại bộ nhớ chỉ đọc lập trình cóthể xóa bằng điện tử (Electronocally erasable programmable read only memory -EEPROM) Các thiết bị này rẻ và hiệu quả hơn so với các thiết bị lưu trữ khác Cácthiết bị sử dụng bộ nhớ flash để lưu trữ dữ liệu là ổ đĩa flash USB, máy nghe nhạcMP3, máy ảnh kỹ thuật số, SSD,
Một số ví dụ về bộ nhớ flash là:
• Chip BIOS trong máy tính
• Compact Flash (thường thấy trong máy ảnh kỹ thuật số)
• Smart Media (thường thấy trong máy ảnh kỹ thuật số)
• Thẻ nhớ (thường thấy trong máy ảnh kỹ thuật số)
• Thẻ nhớ PCMCIA Loại I và Loại II được tìm thấy trong máy tính xách tay
• Thẻ nhớ cho console trò chơi điện tử
I.2.1 Hard Disk Driver (HDD)
Ổ đĩa cứng là thiết bị lưu trữ dữ liệu kỹ thuật số truy cập ngẫu nhiên, giữ được
dữ liệu kể cả khi không có điện và được sử dụng trong bất kỳ hệ thống máy tính nào.Đĩa cứng lưu trữ dữ liệu theo một phương thức tương tự như phương thức của một tủtập tin Người dùng khi cần có thể truy cập dữ liệu và chương trình Khi máy tính cầnchương trình hoặc dữ liệu được lưu trữ, hệ thống sẽ đưa nó đến vị trí tạm thời từ vị trí
cố định Khi người dùng hoặc hệ thống thực hiện các thay đổi đối với tập tin, máy tính
sẽ lưu tập tin bằng cách thay thế tập tin cũ hơn bằng tập tin mới HDD ghi dữ liệu từtính lên đĩa cứng
Các đĩa cứng khác nhau từ các phép đo khác nhau như:
– Dung lượng của đĩa cứng
– Giao diện được sử dụng
– Tốc độ quay mỗi phút
– Tìm kiếm thời gian
– Thời gian truy cập
– Thời gian chuyển
I.2.2 Solid State Driver (SSD)
Ổ cứng thể rắn (SSD) là một thiết bị lưu trữ dữ liệu điện tử sử dụng công nghệ
bộ nhớ thể rắn để lưu trữ dữ liệu tương tự như ổ đĩa cứng Trạng thái rắn là một thuật
Trang 6ngữ điện dùng để chỉ một mạch điện tử được chế tạo hoàn toàn bằng chất bán dẫn.
Nó sử dụng 2 loại chip nhớ:
NAND-based SSDs: Những SSD này sử dụng vi mạch NAND trong bộ nhớ
trạng thái rắn để lưu trữ dữ liệu Dữ liệu trong các vi mạch này ở trạng thái không bayhơi có nghĩa là vẫn lưu trữ dữ liệu kể cả khi không có điện và không cần bất kỳ bộphận chuyển động nào Bộ nhớ NAND có bản chất là không thay đổi và giữ được bộnhớ ngay cả khi không có điện
Volatile RAM-based SSDs: SSD dựa trên RAM dễ bay hơi như DRAM, được
sử dụng khi các ứng dụng yêu cầu truy cập dữ liệu nhanh hơn Những SSD này baogồm pin sạc bên trong hoặc bộ chuyển đổi AC/DC bên ngoài và một bộ lưu trữ dựphòng Dữ liệu nằm trong DRAM trong quá trình truy cập dữ liệu và được lưu trữtrong bộ lưu trữ dự phòng trong trường hợp mất điện
I.3 Cấu trúc vật lý và logic của ổ đĩa cứng
Trang 7được gắn trên bề mặt của ổ đĩa.
Spindle: Là trục quay, trên đó giữ các đĩa ở vị trí cố định sao cho các tayđọc/ghi có thể lấy dữ liệu trên đĩa
Actuator: Nó là một thiết bị, bao gồm đầu đọc-ghi di chuyển trên ổ đĩa cứng đểlưu hoặc truy xuất thông tin
Cylinder: Đây là những track tròn hiện diện trên các platter của ổ đĩa ở khoảngcách bằng nhau tính từ tâm
I.3.1 Cấu trúc vật lý của ổ cứng
Hình 2
Đĩa cứng chứa một chồng đĩa (platter), đĩa kim loại hình tròn được gắn bêntrong ổ đĩa cứng và được phủ bằng vật liệu từ tính, được niêm phong trong một hộphoặc bộ phận kim loại Cố định ở vị trí ngang hoặc dọc, đĩa cứng có các đầu đọc hoặcghi điện từ phía trên và bên dưới đĩa cứng Bề mặt của đĩa bao gồm một số vòng đồngtâm được gọi là tracks; mỗi track có các phân vùng nhỏ hơn được gọi là disk blocks.Kích thước của mỗi disk block là 512 bytes (0,5 KB) Đánh số track bắt đầu bằng 0.Khi đĩa quay, các đầu ghi dữ liệu theo các tracks Một đĩa cứng 3,5 inches có thể chứakhoảng hàng nghìn tracks
Trục chính giữ các đĩa (The spindle holds the platters) ở một vị trí cố định saocho các nhánh đọc/ghi để lấy dữ liệu trên đĩa Các đĩa này quay với tốc độ không đổitrong khi đầu ổ đĩa, được đặt gần tâm đĩa, đọc dữ liệu chậm từ bề mặt đĩa so với cáccạnh bên ngoài của đĩa Để duy trì tính toàn vẹn của dữ liệu, phần đầu đọc tại mộtkhoảng thời gian cụ thể từ bất kỳ vị trí đầu ổ đĩa nào Các track ở rìa ngoài của đĩa có
Trang 8các sector ít dân cư hơn so với các track gần tâm đĩa.
Đĩa lấp đầy không gian dựa trên một kế hoạch tiêu chuẩn Một mặt của đĩa đầutiên chứa không gian, dành riêng cho thông tin track-positioning phần cứng không cósẵn cho hệ điều hành Bộ điều khiển đĩa sử dụng thông tin track-positioning để đặt cácđầu ổ đĩa vào đúng vị trí sector
Đĩa cứng ghi dữ liệu bằng kỹ thuật ghi bit khoanh vùng, còn được gọi là ghinhiều vùng Phương pháp này kết hợp các vùng trên đĩa cứng với nhau thành các vùng,tùy thuộc vào khoảng cách từ tâm đĩa Một vùng chứa một số sector nhất định trên mỗitrack
Tính toán mật độ dữ liệu của ổ đĩa được thực hiện theo các điều kiện sau:
Track density: Đề cập đến số lượng track trong đĩa cứng
Area density: Mật độ vùng là dung lượng lưu trữ của đĩa cứng tính bằng bit/inch2 Bit density: Là số bit trên một đơn vị độ dài của tracks
I.3.2 Cấu trúc logic của đĩa cứng
Cấu trúc logic của đĩa cứng chủ yếu phụ thuộc vào hệ thống tập tin được sửdụng và phần mềm xác định quá trình truy cập dữ liệu từ đĩa Hệ điều hành sử dụngcác loại hệ thống tập tin khác nhau và các hệ thống tập tin đó sử dụng nhiều loại cơchế kiểm soát và truy cập khác nhau đối với dữ liệu trên đĩa cứng Hệ điều hành tổchức cùng một đĩa cứng theo nhiều cách khác nhau
Cấu trúc logic của đĩa cứng ảnh hưởng trực tiếp đến tính nhất quán, hiệu suất,khả năng tương thích và khả năng mở rộng của các hệ thống con lưu trữ của đĩa cứng.Cấu trúc logic phụ thuộc vào loại hệ điều hành và hệ thống tập tin được sử dụng, bởi
vì các yếu tố này tổ chức và kiểm soát việc truy cập dữ liệu trên đĩa cứng
Các hệ thống tập tin máy tính phổ biến nhất là:
Trang 9Hình 3
I.4.1 ATA/PATA (IDE/EIDE)
IDE (Integrated Drive Eectronics) là một giao diện điện tử tiêu chuẩn được sửdụng giữa đường dẫn dữ liệu hoặc bus của bo mạch chủ máy tính và các thiết bị lưutrữ đĩa của máy tính, chẳng hạn như ổ cứng và ổ CD-ROM/DVD Chuẩn bus 16-bitcủa IBM PC Industry Standard Architecture (ISA) là cơ sở cho giao diện IDE, giaodiện này cung cấp kết nối trong các máy tính sử dụng các chuẩn bus khác ATA(Advanced Technology Attachment) là tên chính thức của Viện Tiêu chuẩn Quốc giaHoa Kỳ (American National Standards Institute’s ANSI) của Điện tử Truyền độngTích hợp (Integrated Drive Electronics IDE)
Cho phép look-ahead caching
Enhanced Integrated Drive Electronics (EIDE)
Hầu hết các máy tính được bán ngày nay đều sử dụng phiên bản nâng cao củaIDE được gọi là Điện tử ổ đĩa tích hợp nâng cao (Enhanced Integrated Drive
Trang 10Electronics EIDE) Ổ IDE kết nối với PC, sử dụng thẻ bộ điều hợp máy chủ IDE Bộđiều khiển IDE trong các máy tính hiện đại là một tính năng được tích hợp sẵn trênchính bo mạch chủ IDE nâng cao là một phần mở rộng cho giao diện IDE hỗ trợ cáctiêu chuẩn ATA-2 và ATARI.
Hai loại ổ cắm IDE nâng cao có trên bo mạch chủ Một ổ cắm kết nối hai ổ đĩa,
cụ thể là cáp 80 dây cho ổ cứng nhanh và cáp ribbon 40-pin cho ROM
CD-ROM/DVD-IDE nâng cao hoặc mở rộng là một giao diện điện tử tiêu chuẩn, kết nối bomạch chủ của máy tính với ổ lưu trữ của nó EIDE có thể xử lý ổ cứng lớn hơn 528Mbyte và cho phép truy cập nhanh vào ổ cứng cũng như cung cấp hỗ trợ Truy cập Bộnhớ Trực tiếp (Direct Memory Access DMA) và các ổ đĩa bổ sung như thiết bị băng,CD-ROM, Trong khi cập nhật hệ thống máy tính với ổ cứng lớn hơn, lắp bộ điềukhiển EIDE vào khe cắm hệ thống
EIDE có thể truy cập các ổ đĩa lớn hơn 528 Mbyte bằng cách sử dụng Địa chỉkhối logic 28-bit (Logical Block Address LBA) để chỉ ra vị trí actual head, sector vàcylinder của dữ liệu đĩa Địa chỉ khối logic 28-bit cung cấp thông tin, đủ để biểu thịcác sector duy nhất cho thiết bị 8,4 GB
I.4.2 Serial ATA
Serial ATA (SATA) cung cấp một kênh điểm-điểm giữa bo mạch chủ và ổ đĩa.Các cáp trong SATA có chiều dài ngắn hơn so với PATA Nó sử dụng cáp được bảo
vệ bốn dây có thể dài tối đa một mét Cáp SATA linh hoạt hơn, mỏng hơn và ít khốilượng hơn so với cáp ribbon, được yêu cầu cho các ổ cứng PATA thông thường
- Các tính năng của SATA:
- Hoạt động với tốc độ tuyệt vời
- Dễ dàng kết nối với các thiết bị lưu trữ
SCSI là một tập hợp các giao diện điện tử tiêu chuẩn ANSI cho phép máy tính
cá nhân giao tiếp với phần cứng ngoại vi như ổ đĩa cứng, ổ đĩa băng, ổ CD-ROM, máy
in và máy scan Được phát triển bởi Apple Computer và vẫn được sử dụng trongMacintosh, bộ SCSI hiện tại là giao diện song song Cổng SCSI tiếp tục trở thành tínhnăng tích hợp trong các máy tính cá nhân khác nhau ngày nay và thu thập hỗ trợ từ tất
cả các hệ điều hành chính
Trang 11Ngoài tốc độ dữ liệu nhanh hơn, SCSI còn linh hoạt hơn các giao diện truyền
dữ liệu song song trước đó SCSI cho phép tối đa 7 hoặc 15 thiết bị (tùy thuộc vàobăng thông bus) được kết nối với một cổng SCSI duy nhất theo kiểu daisy-chain Điềunày cho phép một bảng mạch hoặc thẻ chứa tất cả các thiết bị ngoại vi, thay vì có thẻriêng cho từng thiết bị, làm cho nó trở thành giao diện lý tưởng để sử dụng với máytính xách tay, notebook Một bộ điều hợp máy chủ duy nhất, ở dạng thẻ PC, có thểđóng vai trò như giao diện SCSI cho máy tính xách tay, giải phóng các cổng song song
và nối tiếp để sử dụng với modem và máy in bên ngoài đồng thời cho phép sử dụngcác thiết bị khác
I.4.4 Serial Attached SCSI (SAS)
Serial Attached SCSI (SAS) là một giao thức nối tiếp điểm-điểm để xử lý luồng
dữ liệu giữa các thiết bị lưu trữ của máy tính như ổ cứng và ổ băng Nó là sự kế thừacủa Parallel SCSI và sử dụng bộ lệnh SCSI tiêu chuẩn SAS được chọn thay vì SCSI vìtính linh hoạt của nó và các tính năng có lợi khác như được đưa ra dưới đây:
– Mặc dù tiêu chuẩn SCSI song song mới nhất chỉ có thể hỗ trợ tối đa 16 thiết
bị, SAS sử dụng các bộ thoát và có thể hỗ trợ lên đến 65.535 thiết bị
– SAS không có các vấn đề như kết thúc và lệch đồng hồ
– SAS là một công nghệ điểm-điểm, có nghĩa là các vấn đề tranh chấp tàinguyên, vốn phổ biến trong SCSI song song, không ảnh hưởng đến nó
– Ổ đĩa SAS cung cấp hiệu suất, khả năng mở rộng và độ tin cậy tốt hơn trongcác ứng dụng lưu trữ và cũng có thể hoạt động trong môi trường mà SCSIkhông thể
I.4.5 USB
USB là giao diện “plug-and-play” (Viết tắt là PnP, có nghĩa là cắm và chạy, đây
là một tính năng thông minh, giúp máy tính tự động nhận diện thiết bị và nạp drivercho bạn sử dụng ngay), cho phép người dùng thêm thiết bị mà không cần thẻ điều hợp
và không cần khởi động lại máy tính Universal Serial Bus (USB), được phát triển bởiIntel, được phát hành lần đầu tiên vào năm 1995 với tốc độ tối đa hỗ trợ 12 Mbps.USB hiện có hỗ trợ tốc độ truyền dữ liệu lên đến 5 Gbps USB cho phép các thiết bịngoại vi bên ngoài như đĩa, modem, máy in, … kết nối với máy tính
Kiến trúc thiết kế USB không đối xứng bao gồm một máy chủ lưu trữ, nhiềucổng USB và nhiều thiết bị ngoại vi Giao tiếp thông qua thiết bị USB chủ yếu thôngqua các đường ống hoặc các kênh logic, là các kết nối giữa bộ điều khiển máy chủ vàmột thực thể logic được gọi là điểm cuối Chiều dài cáp USB từ khoảng 3 feet đến hơn
16 feet Chiều dài tối đa là 16 feet 5 inch đối với thiết bị tốc độ cao và 9 feet 10 inchđối với thiết bị tốc độ thấp
Các tính năng của USB:
– Dễ sử dụng
– Cung cấp khả năng mở rộng
– Cung cấp tốc độ cho người dùng cuối
