Thu thập và phân tích bằng chứng từ ổ cứng

Thuật ngữ điềutra số ban đầu được sử dụng tương đương với điều tra máy tính nhưng sau đóđược mở rộng để bao quát toàn bộ việc điều tra của tất cả các thiết bị có khảnăng lưu trữ d

MỤC LỤC

MỤC LỤC 1

1.4.3 Điều tra thiết bị di động - Mobile Device Forensics 9

1.4.4 Điều tra Registry - Registry Forensics 10

1.4.6 Điều tra ứng dụng - Application Forensics 11

CHƯƠNG II: THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ Ổ CỨNG 13

2.5.1 Quy trình của thu thập và phân tích chứng cứ từ ổ cứng 27

DANH MỤC HÌNH ẢNH

Hình ảnh 2: Sử dụng Wireshark phân tích tấn công Teadtop 9Hình ảnh 3: Sử dụng WPDeviceManager để trích xuất SMS 10Hình ảnh 4: Sử dụng Regsshot quan sát sự thay đổi trong Registry 10Hình ảnh 5: Passware Encryption Analyzer xác định những file được bảo vệ bởi

LỜI NÓI ĐẦU

Hiện nay ở Việt Nam đã xuất hiện nhiều loại tội phạm mới, như tấn công hạtầng thông tin quốc gia, cơ sở dữ liệu của cơ quan nhà nước, ngân hàng, doanhnghiệp, trộm cắp thông tin bí mật quốc gia, phát tán thông tin gây kích động, thùhằn, phá hoại đoàn kết dân tộc, lừa đảo qua mạng, tấn công từ chối dịch vụ Cuộcđấu tranh chống các loại tội phạm trong lĩnh vực công nghệ thông tin, viễn thông thường rất khó khăn và phức tạp vì các đối tượng không chỉ sử dụng các côngnghệ mới nhất vào việc tấn công, gây án, mà còn triệt để lợi dụng để xóa dấu vếttruy cập, dấu vết cài đặt mã độc, dấu vết lấy cắp dữ liệu, tải dữ liệu, mã hóa dữliệu, dùng ngôn ngữ đặc biệt để lập trình mã độc, chống phát hiện và dịch ngược

mã độc Tin tặc thường sử dụng máy tính, điện thoại di động, các thiết bị lưu trữ

và kỹ thuật mã hóa dữ liệu, để lưu trữ, giấu dữ liệu Khi nghi ngờ bị điều tra, theodõi, chúng rất cảnh giác, lập tức xóa hết dấu vết, dữ liệu có liên quan, thậm chíformat thiết bị lưu trữ dữ liệu

Ổ cứng là một thành phần quan trọng trong bộ nhớ máy tính, bởi vì thiết bịnày chứa toàn bộ dữ liệu người dùng như hệ điều hành windows hay các tệp cánhân Đồng thời quyết định tốc độ xử lý (ví dụ như tốc độ truyền dữ liệu sang ổcứng di động khác hay USB) của máy, tính bảo mật của dữ liệu hay điện năng tiêuthụ và nhiệt độ của CPU Việc mất dữ liệu trên ổ cứng xảy ra khá thường xuyênxảy ra do nhiều nguyên nhân Thông thường đây đều là những dữ liệu quan trọngphục vụ cho công việc nên việc lấy lại dữ liệu là vô cùng cần thiết Với mục đíchtìm hiểu về ổ cứng và việc điều tra trên nó, nhóm em chọn đề tài “Thu thập vàphân tích chứng cứ từ ổ cứng” Với đề tài này, bài báo cáo nhóm em gồm 3chương:

Chương I: Tổng quan về điều tra số

Chương II: Thu thập và phân tích chứng cứ từ ổ cứng

Chương III: Demo

Trong quá trình thực hiện đề tài này, mặc dù nhóm em đã rất cố gắng, xong sẽ không tránh khỏi thiếu sót Rất mong nhận được sự góp ý, chỉ dẫn của thầy cô và các bạn sinh viên

CHƯƠNG I: TỔNG QUAN VỀ ĐIỀU TRA SỐ

1.1 Khái niệm

Điều tra số (còn gọi là Khoa học điều tra số) là một nhánh của ngành Khoahọc điều tra đề cập đến việc phục hồi và điều tra các tài liệu tìm thấy trong cácthiết bị kỹ thuật số, thường có liên quan đến tội phạm máy tính Thuật ngữ điềutra số ban đầu được sử dụng tương đương với điều tra máy tính nhưng sau đóđược mở rộng để bao quát toàn bộ việc điều tra của tất cả các thiết bị có khảnăng lưu trữ dữ liệu số

Điều tra số có thể được định nghĩa là việc sử dụng các phương pháp, công

cụ kỹ thuật khoa học đã được chứng minh để bảo quản, thu thập, xác nhận,chứng thực, phân tích, giải thích, lập báo cáo và trình bày lại những thông tinthực tế từ các nguồn kỹ thuật số với mục đích tạo điều kiện hoặc thúc đẩy việctái hiện lại các sự kiện nhằm tìm ra hành vi phạm tội hay hỗ trợ cho việc dựđoán các hoạt động trái phép gây gián đoạn quá trình làm việc của hệ thống

1.2 Mục đích – Ứng dụng

Trong thời đại công nghệ phát triển mạnh như hiện nay Song song vớicác ngành khoa học khác, điều tra số đã có những đóng góp rất quan trọng trongviệc ứng cứu nhanh các sự cố xảy ra đối với máy tính, giúp các chuyên gia có thểphát hiện nhanh các dấu hiệu khi một hệ thống có nguy cơ bị xâm nhập, cũngnhư việc xác định được các hành vi, nguồn gốc của các vi phạm xảy ra đối với

hệ thống

Về mặt kỹ thuật thì điều tra số như: Điều tra mạng, điều tra bộ nhớ, điềutra các thiết bị điện thoại có thể giúp cho tổ chức xác định nhanh những gì đangxảy ra làm ảnh hưởng tới hệ thống, qua đó xác định được các điểm yếu để khắcphục, kiện toàn

Về mặt pháp lý thì điều tra số giúp cho cơ quan điều tra khi tố giác tộiphạm công nghệ cao có được những chứng cứ số thuyết phục để áp dụng các chếtài xử phạt với các hành vi phạm pháp

Một cuộc điều tra số thường bao gồm 3 giai đoạn: Tiếp nhận dữ liệuhoặc ảnh hóa tang vật, sau đó tiến hành phân tích và cuối cùng là báo cáo lại kếtquả điều tra được

Việc tiếp nhận dữ liệu đòi hỏi tạo ra một bản copy chính xác các sectorhay còn gọi là nhân bản điều tra, của các phương tiện truyền thông, và để đảm bảotính toàn vẹn của chứng cứ thu được thì những gì có được phải được băm sử dụngSHA1 hoặc MD5, và khi điều tra thì cần phải xác minh độ chính xác của các bảnsao thu được nhờ giá trị đã băm trước đó

Trong giai đoạn phân tích, thì các chuyên gia sử dụng các phương phápnghiệp vụ, các kỹ thuật cũng như công cụ khác nhau để hỗ trợ điều tra, những kỹthuật này sẽ được đề cập chi tiết ở chương 3 của đồ án

Sau khi thu thập được những chứng cứ có giá trị và có tính thuyết phụcthì tất cả phải được tài liệu hóa lại rõ ràng, chi tiếp và báo cáo lại cho bộ phận cótrách nhiệm xử lý chứng cứ thu được

1.3 Các bước thực hiện điều tra

Một cuộc điều tra số thường bao gồm 4 giai đoạn: Chuẩn bị(Preparation), tiếp nhận dữ liệu hay còn gọi là ảnh hóa tang vật (Acquisition),phân tích (analysis) và lập báo cáo (Reporting)

Hình ảnh 1 : Các giai đoạn điều tra số

- Chuẩn bị: Bước này thực hiện việc mô tả lại thông tin hệ thống, những gì đã

xảy ra, các dấu hiệu, để xác định phạm vi điều tra, mục đích cũng như cáctài nguyên cần thiết sẽ sử dụng trong suốt quá trình điều tra

- Tiếp nhận dữ liệu: Đây là bước tạo ra một bản sao chính xác các sector hay

còn gọi là nhân bản điều tra các phương tiện truyền thông, xác định rõ cácnguồn chứng cứ sau đó thu thập và bảo vệ tính toàn vẹn của chứng cứ bằngviệc sử dụng hàm băm mật mã

- Phân tích: Đây là giai đoạn các chuyên gia sử dụng các phương pháp nghiệp

vụ, các kỹ thuật cũng như công cụ khác nhau để trích xuất, thu thập và phântích các bằng chứng thu được

- Lập báo cáo: Sau khi thu thập được những chứng cứ có giá trị và có tính

thuyết phục thì tất cả phải được tài liệu hóa lại rõ ràng, chi tiết và báo cáo lạicho bộ phận có trách nhiệm xử lý chứng cứ thu được

1.4 Một số loại hình điều tra phổ biến

1.4.1 Điều tra máy tính - Computer Forensics

Điều tra máy tính (Computer Forensics) là một nhánh của khoa học

điều tra số liên quan đến việc phân tích các bằng chứng pháp lý được tìm thấytrong máy tính và các phương tiện lưu trữ kỹ thuật số Mục đích của điều tramáy tính là nhằm xác định, bảo quản, phục hồi, phân tích, trình bày lại sự việc

và ý kiến về các thông tin thu được từ thiết bị kỹ thuật số

Mặc dù thường được kết hợp với việc điều tra một loạt các tội phạmmáy tính, điều tra máy tính cũng có thể được sử dụng trong tố tụng dân sự.Bằng chứng thu được từ các cuộc điều tra máy tính thường phải tuân theonhững nguyên tắc và thông lệ như những bằng chứng kỹ thuật số khác Nó đãđược sử dụng trong một số trường hợp có hồ sơ cao cấp và đang được chấpnhận rộng rãi trong các hệ thống tòa án Mỹ và Châu Âu

1.4.2 Điều tra mạng - Network Forensics

Điều tra mạng (Network Forensics) là một nhánh của khoa học điều

tra số liên quan đến việc giám sát và phân tích lưu lượng mạng máy tính nhằmphục vụ cho việc thu thập thông tin, chứng cứ pháp lý hay phát hiện các xâm

nhập Network Forensics cũng được hiểu như Digital Forensics trong trường-mạng.

môi-Network Forensics là một lĩnh vực tương đối mới của khoa học pháp

y Sự phát triển mỗi ngày của Internet đồng nghĩa với việc máy tính đã trởthành mạng lưới trung tâm và dữ liệu bây giờ đã khả dụng trên các chứng cứ sốnằm trên đĩa Network Forensics có thể được thực hiện như một cuộc điều tra

độc lập hoặc kết hợp với việc phân tích pháp y máy tính (computer forensics) –

thường được sử dụng để phát hiện mối liên kết giữa các thiết bị kỹ thuật số haytái tạo lại quy trình phạm tội

Hình ảnh 2: Sử dụng Wireshark phân tích tấn công Teadtop

1.4.3 Điều tra thiết bị di động - Mobile Device Forensics

Điều tra thiết bị di động (Mobile device Forensics) là một nhánh của

khoa học điều tra số liên quan đến việc thu hồi bằng chứng kỹ thuật số hoặc dữliệu từ các thiết bị di động Thiết bị di động ở đây không chỉ đề cập đến điệnthoại di động mà còn là bất kỳ thiết bị kỹ thuật số nào có bộ nhớ trong và khảnăng giao tiếp, bao gồm các thiết bị PDA, GPS và máy tính bảng

Việc sử dụng điện thoại với mục đích phạm tội đã phát triển rộng rãitrong những năm gần đây, nhưng các nghiên cứu điều tra về thiết bị di động làmột lĩnh vực tương đối mới, có niên đại từ những năm 2000 Sự gia tăng cácloại hình điện thoại di động trên thị trường (đặc biệt là điện thoại thông minh)đòi hỏi nhu cầu giám định các thiết bị này mà không thể đáp ứng bằng các kỹthuật điều tra máy tính hiện tại

Hình ảnh 3: Sử dụng WPDeviceManager để trích xuất SMS

1.4.4 Điều tra Registry - Registry Forensics

Registry Forensics là loại hình điều tra liên quan đến việc trích xuất thông

tin và ngữ cảnh từ một nguồn dữ liệu chưa được khai thác qua đó biết đượcnhững thay đổi (chỉnh sửa, thêm bớt…) dữ liệu trong Registry

Công cụ thường dùng: MuiCache View, Process Monitor, Regshot,USBDeview…

Hình ảnh 4: Sử dụng Regsshot quan sát sự thay đổi trong Registry

1.4.5 Điều tra ổ đĩa - Disk Forensics

Disk Forensics là việc thu thập, phân tích dữ liệu được lưu trữ trên phương

tiện lưu trữ vật lý, nhằm trích xuất dữ liệu ẩn, khôi phục các tập tin bị xóa, qua đó xác định người đã tạo ra những thay đổi dữ liệu trên thiết bị được phân tích

Công cụ thường dùng: ADS Locator, Disk Investigator, Passware

Encryption Analyzer, Disk Detector, Sleuth Kit, FTK…

Hình ảnh 5: Passware Encryption Analyzer xác định những file được bảo vệ bởi

mật khẩu

1.4.6 Điều tra ứng dụng - Application Forensics

Application Forensics là loại hình điều tra phân tích các ứng dụng chạy trên

hệ thống như Email, dữ liệu trình duyệt, skype, yahoo… Qua đó trích xuất các bảnghi được lưu trữ trên các ứng dụng phục vụ cho việc điều tra tìm kiếm chứng cứ

Công cụ thường dùng: Chrome Cache View, Mozilla Cookies View, MyLast Search, Passwordfox, Skypelogview…

Hình ảnh 6: Sử dụng skypelogview xem dữ liệu được trao đổi qua đường truyền

1.4.7 Điều tra bộ nhớ - Memory Forensics

Memory Forensics là phương thức điều tra máy tính bằng việc ghi lại bộ nhớ

khả biến (bộ nhớ RAM) của hệ thống sau đó tiến hành phân tích làm rõ các hành vi

đã xảy ra trên hệ thống

Cụ thể hơn, đó là cố gắng sử dụng kiến trúc quản lý bộ nhớ trong máy tính

để ánh xạ, trích xuất các tập tin đang thực thi và cư trú trong bộ nhớ Những tập tinthực thi có thể được sử dụng để chứng minh rằng hành vi của tội phạm đã xảy rahoặc để theo dõi nó đã diễn ra như thế nào

Công cụ sử dụng: Dumpit, Strings, The Sleuthkit, Win32dd, Foremost,Volatility, Mandiant Redline, DFF

Hình ảnh 7: Sử dụng Volatility liệt kê các tiến trình đang chạy trên hệ thống

CHƯƠNG II: THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ Ổ

CỨNG

1 2.1 Giới thiệu về ổ cứng

2.1.1 Khái niệm

Ổ đĩa cứng, hay còn gọi là ổ cứng (tiếng Anh: Hard Disk Drive, viết

tắt: HDD) là thiết bị dùng để lưu trữ dữ liệu trên bề mặt các tấm đĩa hình tròn phủ vật liệu từ tính Ổ đĩa cứng là loại bộ nhớ "không thay đổi" (non-volatile), có nghĩa

là chúng không bị mất dữ liệu khi ngừng cung cấp nguồn điện cho chúng

Ổ đĩa cứng là một thiết bị rất quan trọng trong hệ thống bởi chúng chứa dữ liệu thành quả của một quá trình làm việc của những người sử dụng máy tính Những sự hư hỏng của các thiết bị khác trong hệ thống máy tính có thể sửa chữa hoặc thay thế được, nhưng dữ liệu bị mất do yếu tố hư hỏng phần cứng của ổ đĩa cứng thường rất khó lấy lại được

Ổ đĩa cứng là một khối duy nhất, các đĩa cứng được lắp ráp cố định trong ổ ngay từ khi sản xuất nên không thể thay thế được các "đĩa cứng" như với cách hiểunhư đối với ổ đĩa mềm hoặc ổ đĩa quang

2.1.2 Cấu tạo

Ổ đĩa cứng gồm các thành phần, bộ phận có thể liệt kê cơ bản và giải thích

sơ bộ như sau:

- Cụm đĩa: Bao gồm toàn bộ các đĩa, trục quay và động cơ.

● Đĩa từ:

Đĩa từ (platter): Đĩa thường cấu tạo bằng nhôm hoặc thuỷ tinh, trên bề mặtđược phủ một lớp vật liệu từ tính là nơi chứa dữ liệu Tuỳ theo hãng sản xuất màcác đĩa này được sử dụng một hoặc cả hai mặt trên và dưới Số lượng đĩa có thểnhiều hơn một, phụ thuộc vào dung lượng và công nghệ của mỗi hãng sản xuất

nhau thành dạng xoắn trôn ốc như đĩa nhựa Track trên ổ đĩa cứng không cố định

từ khi sản xuất, chúng có thể thay đổi vị trí khi định dạng cấp thấp ổ đĩa (lowformat )

Khi một ổ đĩa cứng đã hoạt động quá nhiều năm liên tục, khi kết quả kiểmtra bằng các phần mềm cho thấy xuất hiện nhiều khối hư hỏng (bad block) thì cónghĩa là phần cơ của nó đã rơ rão và làm việc không chính xác như khi mới sảnxuất, lúc này thích hợp nhất là format cấp thấp cho nó để tương thích hơn với chế

độ làm việc của phần cơ

Hình ảnh 8: Cấu tạo ổ đĩa cứng

- Sector

Trên track chia thành những phần nhỏ bằng các đoạn hướng tâm thànhcác sector Các sector là phần nhỏ cuối cùng được chia ra để chứa dữ liệu Theochuẩn thông thường thì một sector chứa dung lượng 512 byte

Số sector trên các track là khác nhau từ phần rìa đĩa vào đến vùng tâm đĩa, các ổđĩa cứng đều chia ra hơn 10 vùng mà trong mỗi vùng có số sector/track bằng nhau

- Cylinder

Tập hợp các track cùng bán kính (cùng số hiệu trên) ở các mặt đĩa khác nhauthành các cylinder Nói một cách chính xác hơn thì: khi đầu đọc/ghi đầu tiên làm việc tại một track nào thì tập hợp toàn bộ các track trên các bề mặt đĩa còn lại mà các đầu đọc còn lại đang làm việc tại đó gọi là cylinder (cách giải thích này chính

xác hơn bởi có thể xảy ra trường hợp các đầu đọc khác nhau có khoảng cách đến tâm quay của đĩa khác nhau do quá trình chế tạo).

Trên một ổ đĩa cứng có nhiều cylinder bởi có nhiều track trên mỗi mặt đĩa từ

● Trục quay: truyền chuyển động của đĩa từ.

Trục quay là trục để gắn các đĩa từ lên nó, chúng được nối trực tiếp với động

cơ quay đĩa cứng Trục quay có nhiệm vụ truyền chuyển động quay từ động cơ đếncác đĩa từ

Trục quay thường chế tạo bằng các vật liệu nhẹ (như hợp kim nhôm) vàđược chế tạo tuyệt đối chính xác để đảm bảo trọng tâm của chúng không được sailệch - bởi chỉ một sự sai lệch nhỏ có thể gây nên sự rung lắc của toàn bộ đĩa cứngkhi làm việc ở tốc độ cao, dẫn đến quá trình đọc/ghi không chính xác

● Động cơ: Được gắn đồng trục với trục quay và các đĩa.

- Cụm đầu đọc

● Đầu đọc (head): Đầu đọc/ghi dữ liệu

Đầu đọc đơn giản được cấu tạo gồm lõi ferit (trước đây là lõi sắt) và cuộndây (giống như nam châm điện) Gần đây các công nghệ mới hơn giúp cho ổ đĩacứng hoạt động với mật độ xít chặt hơn như: chuyển các hạt từ sắp xếp theophương vuông góc với bề mặt đĩa nên các đầu đọc được thiết kế nhỏ gọn và pháttriển theo các ứng dụng công nghệ mới

Đầu đọc trong đĩa cứng có công dụng đọc dữ liệu dưới dạng từ hoá trên bềmặt đĩa từ hoặc từ hoá lên các mặt đĩa khi ghi dữ liệu

Số đầu đọc ghi luôn bằng số mặt hoạt động được của các đĩa cứng, có nghĩachúng nhỏ hơn hoặc bằng hai lần số đĩa (nhỏ hơn trong trường hợp ví dụ hai đĩanhưng chỉ sử dụng 3 mặt)

● Cần di chuyển đầu đọc (head arm hoặc actuator arm)

Cần di chuyển đầu đọc/ghi là các thiết bị mà đầu đọc/ghi gắn vào nó Cần cónhiệm vụ di chuyển theo phương song song với các đĩa từ ở một khoảng cách nhấtđịnh, dịch chuyển và định vị chính xác đầu đọc tại các vị trí từ mép đĩa đến vùngphía trong của đĩa (phía trục quay)

Các cần di chuyển đầu đọc được di chuyển đồng thời với nhau do chúngđược gắn chung trên một trục quay (đồng trục), có nghĩa rằng khi việc đọc/ghi dữliệu trên bề mặt (trên và dưới nếu là loại hai mặt) ở một vị trí nào thì chúng cũnghoạt động cùng vị trí tương ứng ở các bề mặt đĩa còn lại

Sự di chuyển cần có thể thực hiện theo hai phương thức:

● Sử dụng động cơ bước để truyền chuyển động

● Sử dụng cuộn cảm để di chuyển cần bằng lực từ

- Cụm mạch điện

● Mạch điều khiển: có nhiệm vụ điều khiển động cơ đồng trục, điều khiển

sự di chuyển của cần di chuyển đầu đọc để đảm bảo đến đúng vị trí trên

bề mặt đĩa

● Mạch xử lý dữ liệu: dùng để xử lý những dữ liệu đọc/ghi của ổ đĩa cứng

● Bộ nhớ đệm (cache hoặc buffer): là nơi tạm lưu dữ liệu trong quá trìnhđọc/ghi dữ liệu Dữ liệu trên bộ nhớ đệm sẽ mất đi khi ổ đĩa cứng ngừngđược cấp điện

● Đầu cắm nguồn cung cấp điện cho ổ đĩa cứng

● Đầu kết nối giao tiếp với máy tính

● Các cầu đấu thiết đặt (tạm dịch từ jumper) thiết đặt chế độ làm việc của ổđĩa cứng: Lựa chọn chế độ làm việc của ổ đĩa cứng (SATA 150 hoặcSATA 300) hay thứ tự trên các kênh trong giao tiếp IDE (master hayslave hoặc tự lựa chọn), lựa chọn các thông số làm việc khác

là không khí có độ sạch cao, để đảm bảo áp suất cân bằng giữa môi trườngbên trong và bên ngoài, trên vỏ bảo vệ có các hệ lỗ thoáng đảm bảo cản bụi

và cân bằng áp suất

2 2.2 Phân vùng ổ cứng

Phân vùng (partition): là tập hợp các vùng ghi nhớ dữ liệu trên các cylinder gần nhau với dung lượng theo thiết đặt của người sử dụng để sử dụng cho các mục

đích sử dụng khác nhau.

Sự phân chia phân vùng giúp cho ổ đĩa cứng có thể định dạng các loại tập tinkhác nhau để có thể cài đặt nhiều hệ điều hành đồng thời trên cùng một ổ đĩa cứng

Ví dụ trong một ổ đĩa cứng có thể thiết lập một phân vùng có định dạng

FAT/FAT32 cho hệ điều hành Windows 9X/Me và một vài phân vùng NTFS cho

hệ điều hành Windows NT/2000/XP/Vista với lợi thế về bảo mật trong định dạng loại này (mặc dù các hệ điều hành này có thể sử dụng các định dạng cũ hơn)

Phân chia phân vùng không phải là điều bắt buộc đối với các ổ đĩa cứng để

nó làm việc (một vài hãng sản xuất máy tính cá nhân nguyên chiếc chỉ thiết đặtmột phân vùng duy nhất khi cài sẵn các hệ điều hành vào máy tính khi bán ra),chúng chỉ giúp cho người sử dụng có thể cài đặt đồng thời nhiều hệ điều hành trêncùng một máy tính hoặc giúp việc quản lý các nội dung, lưu trữ, phân loại dữliệu được thuận tiện và tối ưu hơn, tránh sự phân mảnh của các tập tin

- Phân vùng chứa hệ điều hành chính: Thường nên thiết lập phân vùng

chứa hệ điều hành tại các vùng chứa phía ngoài rìa của đĩa từ (outer zone)bởi vùng này có tốc độ đọc/ghi cao hơn, dẫn đến sự khởi động hệ điềuhành và các phần mềm khởi động và làm việc được nhanh hơn Phân vùng

này thường được gán tên là C

Phân vùng chứa hệ điều hành không nên chứa các dữ liệu quan trọng bởichúng dễ bị virus tấn công (hơn các phân vùng khác), việc sửa chữa khắcphục sự cố nếu không thận trọng có thể làm mất toàn bộ dữ liệu tại phânvùng này

- Phân vùng chứa dữ liệu thường xuyên truy cập hoặc thay đổi: Những tập

tin đa phương tiện (multimedia) nếu thường xuyên được truy cập hoặc cácdữ liệu làm việc khác nên đặt tại phân vùng thứ hai ngay sau phân vùngchứa hệ điều hành Sau khi quy hoạch, nên thường xuyên thực thi tác vụchống phân mảnh tập tin trên phân vùng này

- Phân vùng chứa dữ liệu ít truy cập hoặc ít bị sửa đổi: Nên đặt riêng một

phân vùng chứa các dữ liệu ít truy cập hoặc bị thay đổi như các bộ càiđặt phần mềm Phân vùng này nên đặt sau cùng, tương ứng với vị trí của nóở gần khu vực tâm của đĩa (inner zone)

3 2.3 Hệ thống tập tin

Lựa chọn định dạng các phân vùng là hành động tiếp sau khi quy hoạchphân vùng ổ đĩa cứng Tuỳ thuộc vào các hệ điều hành sử dụng mà cần lựa chọncác kiểu định dạng sử dụng trên ổ đĩa cứng

2.3.1 Windows

- FAT(File Allocation Table) là bảng định vị File trên đĩa , bảng này liệt kê

tuần tự số thứ tự của các cluster dành cho file lưu trú trên đĩa Cluster là mộtnhóm các sector liền kề nhau (còn gọi là liên cung) Số lượng sector có trongmột Cluster là do hệ điều hành áp đặt cho từng loại đĩa có dung lượng thíchhợp Đĩa mềm thường được nhóm 2 sector thành một cluster Với đĩa cứng,

số sector trong một cluster có thể là 4 , 8,16, 32 Khi FAT đã chỉ địnhCluster nào dành cho file thì toàn bộ các sector trong cluster đó bị file chiếmgiữ kể cả khi trong thực tế file chỉ nằm trên một vài sector đầu của Cluster,còn các sector sau bỏ trống Rõ ràng ta thấy số sector trong một cluster càngnhiều thì tình trạng lãng phí các sector bỏ trống mà file chiếm sẽ càng lớn

Hệ điều hành Windows có 3 loại FAT đó là FAT12 dành cho đĩa mềm hoặcđĩa cứng có dung lượng rất bé FAT 16 dành cho đĩa cứng có dung lượng từ1GB trở xuống FAT 32 dành cho các đĩa cứng có dung lượng từ vài GB trởlên

- NTFS (Viết tắt của từ New Technology File System) Tiếng Việt: "Hệ thống

tập tin công nghệ mới" NTFS là hệ thống tập tin tiêu chuẩn của Windows

NT, bao gồm cả các phiên bản sau này của Windows như Windows NT4.0, Windows 2000, Windows XP, Windows Server 2003, WindowsVista, Windows Server 2008, Windows 7, Windows Server 2012, Windows

8 và Windows 8.1, Windows 10 và Windows Server 2016 NTFS thay thế hệthống tập tin FAT vốn là hệ thống tập tin ưa thích cho các hệ điều hànhWindows của Microsoft NTFS có nhiều cải tiến hơn FAT và HPFS (HighPerformance File System - Hệ thống tập tin hiệu năng cao) như hỗ trợ cảitiến cho các siêu dữ liệu và sử dụng các cấu trúc dữ liệu tiên tiến để cải thiệnhiệu suất, độ tin cậy, và sử dụng không gian ổ đĩa, cộng thêm phần mở rộngnhư các danh sách kiểm soát truy cập bảo mật (access control list-ACL) vàbản ghi hệ thống tập tin Tất cả các phiên bản Windows bắt đầu từ phiênbản Windows Vista trở đi đều bắt buộc phải cài đặt Windows trên phânvùng NTFS và không thể cài đặt được trên phân vùng FAT

- exFAT là chữ viết tắt tiếng Anh của "Extended File Allocation Table", dịch

là "Bảng cấp phát tập tin mở rộng", là tên của hệ thống tập tin được thiết kếđặc biệt cho các ổ flash USB, được công ty Microsoft phát triển, nó được hỗtrợ trên các phiên bản hệ điều hành Windows Embedded CE 6.0, WindowsVista with Service Pack 1, Windows Server 2008, Windows 7, WindowsServer 2008 R2 (ngoại trừ Windows Server 2008 Server Core) Có hỗtrợ Windows XP và Windows Server 2003 với gói cập nhật KB955704[3].Trên Mac OS X Snow Leopard bắt đầu từ phiên bản 10.6.5[4], và OS X Lion

a) EXT ( Extended file system )

Là định dạng file hệ thống đầu tiên được thiết kế dành riêng cho Linux Cótổng cộng 4 phiên bản và mỗi phiên bản lại có 1 tính năng nổi bật Phiên bản đầutiên của Ext là phần nâng cấp từ file hệ thống Minix được sử dụng tại thời điểm đó,nhưng lại không đáp ứng được nhiều tính năng phổ biến ngày nay Và tại thời điểmnày, chúng ta không nên sử dụng Ext vì có nhiều hạn chế, không còn được hỗ trợtrên nhiều distribution

Ext2 thực chất không phải là file hệ thống journaling, được phát triển để kế thừa các thuộc tính của file hệ thống cũ, đồng thời hỗ trợ dung lượng ổ cứng lên tới

2 TB Ext2 không sử dụng journal cho nên sẽ có ít dữ liệu được ghi vào ổ đĩa hơn

Do lượng yêu cầu viết và xóa dữ liệu khá thấp, cho nên rất phù hợp với những thiết

bị lưu trữ bên ngoài như thẻ nhớ, ổ USB… Còn đối với những ổ SSD ngày nay đãđược tăng tuổi thọ vòng đời cũng như khả năng hỗ trợ đa dạng hơn, và chúng hoàntoàn có thể không sử dụng file hệ thống không theo chuẩn journaling

Ext3về căn bản chỉ là Ext2 đi kèm với journaling Mục đích chính của Ext3

là tương thích ngược với Ext2, và do vậy những ổ đĩa, phân vùng có thể dễ dàngđược chuyển đổi giữa 2 chế độ mà không cần phải format như trước kia Tuynhiên, vấn đề vẫn còn tồn tại ở đây là những giới hạn của Ext2 vẫn còn nguyêntrong Ext3, và ưu điểm của Ext3 là hoạt động nhanh, ổn định hơn rất nhiều Khôngthực sự phù hợp để làm file hệ thống dành cho máy chủ bởi vì không hỗ trợ tínhnăng tạo disk snapshot và file được khôi phục sẽ rất khó để xóa bỏ sau này

Ext4: cũng giống như Ext3, lưu giữ được những ưu điểm và tính tương thíchngược với phiên bản trước đó Như vậy, chúng ta có thể dễ dàng kết hợp các phânvùng định dạng Ext2, Ext3 và Ext4 trong cùng 1 ổ đĩa trong Ubuntu để tăng hiệusuất hoạt động Trên thực tế, Ext4 có thể giảm bớt hiện tượng phân mảnh dữ liệutrong ổ cứng, hỗ trợ các file và phân vùng có dung lượng lớn… Thích hợp với ổSSD so với Ext3, tốc độ hoạt động nhanh hơn so với 2 phiên bản Ext trước đó,cũng khá phù hợp để hoạt động trên server, nhưng lại không bằng Ext3

b) BtrFS

Hiện tại vẫn đang trong giai đoạn phát triển bởi Oracle và có nhiều tính nănggiống với ReiserFS Đại diện cho B-Tree File System, hỗ trợ tính năng pool trên ổcứng, tạo và lưu trữ snapshot, nén dữ liệu ở mức độ cao, chống phân mảnh dữ liệu

nhanh chóng… được thiết kế riêng biệt dành cho các doanh nghiệp có quy môlớn.Mặc dù BtrFS không hoạt động ổn định trên 1 số nền tảng distro nhất định,nhưng cuối cùng thì nó vẫn là sự thay thế mặc định của Ext4 và cung cấp chế độchuyển đổi định dạng nhanh chóng từ Ext3/4 Do vậy, BtrFS rất phù hợp để hoạtđộng với server dựa vào hiệu suất làm việc cao, khả năng tạo snapshot nhanhchóng cũng như hỗ trợ nhiều tính năng đa dạng khác.

Bên cạnh đó, Oracle cũng đang cố gắng phát triển 1 nền tảng công nghệnhằm thay thế cho NFS và CIFS gọi là CRFS với nhiều cải tiến đáng kể về mặthiệu suất và tính năng hỗ trợ Những cuộc kiểm tra trên thực tế đã chỉ ra BtrFSđứng sau Ext4 khi áp dụng với các thiết bị sử dụng bộ nhớ Flash như SSD, serverdatabase…

Chọn Reiserfs để lưu trữ và truy cập các file nhỏ là tối ưu, với tốc độ truycập file tăng từ 8-15 lần và dung lượng tiết kiệm được khoảng trên 5% so với hệthống ext2 với các loại file có kích thước dưới 1 KB Reiserfs hỗ trợ thực hiệnjournaling trên chỉ mục dữ liệu (journaling of metadata only) Muốn sử dụngReiserfs trên Linux ta phải đưa các module này vào kernel và dùng các công cụReiserfs để định dạng partition

Có thể coi là 1 trong những bước tiến lớn nhất của file hệ thống Linux, lầnđầu được công bố vào năm 2001 với nhiều tính năng mới mà file hệ thống Ext khó

có thể đạt được Nhưng đến năm 2004, ReiserFS đã được thay thế bởi Reiser4 vớinhiều cải tiến hơn nữa Tuy nhiên, quá trình nghiên cứu, phát triển của Reiser4 khá

“chậm chạp” và vẫn không hỗ trợ đầy đủ hệ thống kernel của Linux Đạt hiệu suấthoạt động rất cao đối với những file nhỏ như file log, phù hợp với database vàserver email

d) XFS

Được phát triển bởi Silicon Graphics từ năm 1994 để hoạt động với hệ điềuhành riêng biệt của họ, và sau đó chuyển sang Linux trong năm 2001 Khá tươngđồng với Ext4 về một số mặt nào đó, chẳng hạn như hạn chế được tình trạng phânmảnh dữ liệu, không cho phép các snapshot tự động kết hợp với nhau, hỗ trợ nhiềufile dung lượng lớn, có thể thay đổi kích thước file dữ liệu… nhưng không thểshrink –chia nhỏ phân vùng XFS

XFS là hệ thống file 64 bit, nó có thể quản lý được file có kích thước là 264-1 byte

= 9 Exabyte (do sử dụng số nguyên có dấu nên 1 bit dùng để biểu thị dấu), có kèmtheo công cụ Volume Manager cho phép quản lý lên tới 128 Volume, mỗi Volume

có thể được ghép lên tới 100 partition đĩa cứng vật lý, hỗ trợ chức năng journalingđối với dữ liệu

Một đặc tính quan trọng của XFS đó là khả năng bảo đảm tốc độ truy cập dữliệu cho các ứng dụng (Guaranteed Rate I/O), cho phép các ứng dụng duy trì đượctốc độ truy xuất dữ liệu trên đĩa, rất quan trọng đối với các hệ thống phân phối dịch

vụ video có độ phân giải cao hoặc các ứng dụng xử lý thông tin vệ tinh đòi hỏi duytrì ổn định tốc độ thao tác dữ liệu

Với những đặc điểm như vậy thì XFS khá phù hợp với việc áp dụng vào môhình server media vì khả năng truyền tải file video rất tốt Tuy nhiên, nhiều phiênbản distributor yêu cầu phân vùng /boot riêng biệt, hiệu suất hoạt động với các filedung lượng nhỏ không bằng được khi so với các định dạng file hệ thống khác, dovậy sẽ không thể áp dụng với mô hình database, email và một vài loại server cónhiều file log Nếu dùng với máy tính cá nhân, thì đây cũng không phải là sự lựachọn tốt nên so sánh với Ext, vì hiệu suất hoạt động không khả thi, ngoài ra cũngkhông có gì nổi trội về hiệu năng, quản lý so với Ext3/4

đó mà không cần phải đọc lại hết journal log, giúp cho quá trình phục hồi đượcnhanh hơn

JFS hỗ trợ tính năng Logical Volumes cho phép nối các partition vật lý thành cácpartition logic với dung lượng cao Ngoài ra nó còn cho phép người dùng tuỳ biếncấp phát các khối từ 512, 1.024, 2.048 và 4.096 byte cho lưu trữ dữ liệu trên đĩa

f) ZFS

Hiện tại vẫn đang trong giai đoạn phát triển bởi Oracle với nhiều tính năngtương tự như Btrfs và ReiserFS Mới xuất hiện trong những năm gần đây vì có tinđồn rằng Apple sẽ dùng nó làm file hệ thống mặc định Phụ thuộc vào thỏa thuậnđiều khoản sử dụng, Sun CDDL thì ZFS không tương thích với hệ thống nhân