1. Trang chủ
  2. » Tất cả

Thu thập và phân tích chứng cứ điện tử từ điện thoại di động

35 1 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Thu Thập Và Phân Tích Chứng Cứ Điện Tử Từ Điện Thoại Di Động
Người hướng dẫn Nguyễn Mạnh Thắng
Trường học Học Viện Kỹ Thuật Mật Mã
Chuyên ngành An Toàn Thông Tin
Thể loại Đề tài
Định dạng
Số trang 35
Dung lượng 1,37 MB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Cấu trúc

  • CHƯƠNG 1: TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN TỬ, ĐIỀU TRA SỐ (6)
    • 1.1. Đôi nét về lịch sử ra đời (6)
    • 1.2. Phân tích về chứng cứ điện tử (8)
      • 1.2.1. Quan điểm của các quốc gia trên thế giới (8)
      • 1.2.2. Quan điểm của Việt Nam (9)
    • 1.3. Sự cần thiết phải quy định về chứng cử điện tử (11)
    • 1.4. Điều tra số (12)
    • 1.5. Tổng quan về việc thu thập và phân tích chứng cứ điện tử từ thiết bị di động 1.6. Kết chương (17)
  • CHƯƠNG 2: CÁC QUY TRÌNH KỸ THUẬT, THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ ĐIỆN TỬ TỪ THIẾT BỊ DI ĐỘNG (20)
    • 2.1. Hệ thống thông tin di động (20)
      • 2.1.1. Code Division Multiple Access – CDMA (20)
      • 2.1.2. Global System for Mobile – GSM (22)
    • 2.2. Thiết bị di động (24)
      • 2.2.1. Các bước thực hiện điều tra thiết bị di động (25)
    • 2.3. Các thông tin lưu trữ trên điện thoại di động (27)
      • 2.3.1. Thông tin lưu trữ trên SIM (27)
      • 2.3.2. Thông tin lưu trữ trên bộ nhớ trong (28)
      • 2.3.3. Các thông tin lưu trư trên thẻ nhớ ngoài (29)
    • 2.4. Kỹ thuật khai thác dữ liệu bộ nhớ trong (29)
      • 2.4.1. Kỹ thuật khai thác dữ liệu qua giao diện sủ dụng (29)
      • 2.4.2. Kỹ thuật khai thác vật lý (30)
      • 2.4.3. Kỹ thuật khai thác lo-gic (30)
    • 2.5. Kỹ thuật khai thác dữ liệu trên SIM (32)
    • 2.6. Kỹ thuật khai thác dữ liệu trên thẻ nhớ (33)
    • 2.7. Một số công cụ phục vụ trong điều tra thiết bị di động (33)

Nội dung

HỌC VIỆN KỸ THUẬT MẬT MÃKHOA AN TOÀN THÔNG TIN ĐỒ ÁN MÔN HỌC PHÒNG CHỐNG VÀ ĐIỀU TRA TỘI PHẠM MẠNG MÁY TÍNH Giảng viên hướng dẫn: Nguyễn Mạnh Thắng Đề tài: THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ

TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN TỬ, ĐIỀU TRA SỐ

Đôi nét về lịch sử ra đời

Khái niệm chứng cứ điện tử ra đời bắt nguồn từ sự phát triển của các loại tội phạm máy tính, xuất hiện và biến đổi qua các thời kỳ Tội phạm máy tính không chỉ tồn tại trong lĩnh vực công nghệ thông tin mà còn ảnh hưởng đến tất cả các lĩnh vực sử dụng tin học, với đa dạng loại hình và phương thức thủ đoạn Những loại tội phạm này ngày càng gây tác động mạnh mẽ đến đời sống kinh tế và xã hội.

Trong giai đoạn sơ khai của tội phạm máy tính, các đối tượng thường thực hiện các hành vi tấn công vật lý nhằm phá hủy hệ thống máy tính hoặc đường truyền viễn thông Năm 1969, một nhóm sinh viên Canada đã tấn công cảnh sát, phá cửa nhà hiệu bộ và gây ra đám cháy làm hỏng hệ thống máy tính cùng trung tâm dữ liệu, gây thiệt hại lên tới 2 tỷ đô la và khiến 97 người bị bắt giữ Đến thế kỷ XX, các cá nhân vẫn còn thích phá hoại cơ sở hạ tầng mạng, đặc biệt là các trung tâm dữ liệu, bằng các phương pháp thủ công Rõ ràng, để đánh sập một mạng máy tính nhanh chóng và hiệu quả, phá hoại vật lý vẫn là phương án tối ưu nhất.

Trong năm 1970, Jerry Neal Scheilder, một tên tội phạm tuổi teen nổi tiếng, đã lợi dụng kiến thức thu thập từ việc lục lọi rác thải và tham quan nhà kho, nhà máy của công ty thiết bị viễn thông PT&T tại Los Angeles để mạo danh công ty này, chiếm đoạt hàng triệu đô la từ các hoạt động nhập thiết bị Sau khi bị bắt do bị tố cáo bởi chính các nhân viên, y đã thi hành án và sau đó thành lập công ty về an ninh máy tính Thẻ tín dụng, ra đời từ những năm 1920, trở nên phổ biến tại các nước phương Tây nhờ tính tiện dụng, nhưng cũng kéo theo các vụ phạm tội liên quan đến thẻ, đặc biệt vào cuối thế kỷ XX khi tình trạng này trở nên nghiêm trọng Theo FBI, vào năm 1980, số tiền bị đánh cắp từ các thẻ VISA, MasterCard của ngân hàng toàn cầu đã lên tới 110 triệu đô la, và con số này đã tăng vọt lên 1.65 tỉ đô la vào năm 1995.

Trong giai đoạn đầu, hành vi giả số điện thoại gọi đến chủ yếu do các tổ chức có khả năng truy cập vào các đường dây PRI (Primary Rate Interface) cao cấp do các nhà mạng cung cấp Công nghệ này chủ yếu được sử dụng để hiển thị số điện thoại chính của doanh nghiệp trên mọi cuộc gọi đi, từ đó giúp nâng cao uy tín và tạo niềm tin cho khách hàng.

Từ đầu những năm 2000, các “phone phreak” bắt đầu sử dụng công nghệ Orange boxing để giả số điện thoại Phương pháp này sử dụng một thiết bị hoặc phần mềm trên máy tính gửi các tín hiệu đa tần (tone) trong những giây đầu tiên của cuộc gọi nhằm giả mạo tín hiệu báo số gọi đến của điện thoại.

Trong những năm 1990, khoảng 300.000 bản ghi thông tin thẻ tín dụng của khách hàng đã bị mất cắp từ website CD Universe bởi hacker Kẻ tấn công sau đó đã yêu cầu tiền chuộc để trả lại dữ liệu quan trọng này, gây thiệt hại lớn cho cá nhân và tổ chức liên quan Các vụ tấn công như vậy nhấn mạnh tầm quan trọng của việc bảo vệ dữ liệu và nâng cao các biện pháp bảo mật mạng để chống lại các hacker đòi tiền chuộc.

"Maxus", một thanh niên 19 tuổi người Nga, đã thực hiện hành vi đánh cắp và gửi đi lời nhắn đòi 100.000 đô la để xóa lỗi website và quên đi việc mua sắm trực tuyến Tuy nhiên, CD Universe đã từ chối yêu cầu này, dẫn đến việc 25.000 thông tin thẻ tín dụng của khách hàng bị công khai Sự việc này nhấn mạnh tầm quan trọng của việc bảo vệ dữ liệu cá nhân trên các trang thương mại điện tử.

- Hình thành các hành lang pháp lý

Với sự gia tăng của tội phạm máy tính và mức độ ngày càng nghiêm trọng, việc ban hành các quy định pháp lý trở nên cấp thiết Năm 1978, "Florida Computer Crimes Act" ra đời và xác định lần đầu tiên tội phạm máy tính, nhấn mạnh các quy định chống lại hành vi thay đổi hoặc xóa dữ liệu của hệ thống máy tính Sau đó, nhiều quốc gia trên thế giới đã lần lượt ban hành các đạo luật nhằm ngăn chặn loại tội phạm này, thúc đẩy việc xây dựng khung pháp lý vững chắc để bảo vệ an ninh mạng.

Năm 1983, Canada trở thành quốc gia đầu tiên thiết lập các quy định pháp chế liên quan đến lĩnh vực này, mở đường cho các quốc gia khác như Mỹ vào năm 1986, Australia sửa đổi bổ sung vào năm 1989, và Anh năm 1990.

Phân tích về chứng cứ điện tử

Phân tích khái niệm “Chúng cử điện tử”

Việc ban hành các văn bản hướng dẫn thi hành sau khi ban hành các quy phạm pháp luật đóng vai trò quan trọng trong việc đảm bảo thực thi hiệu quả Phân tích rõ khái niệm và đặc điểm của "Chứng cứ điện tử" giúp làm rõ bản chất của loại chứng cứ này Điều này góp phần nâng cao hiệu quả trong quá trình phát hiện và thu thập chứng cứ của cơ quan điều tra, thúc đẩy công tác xử lý các vụ việc liên quan đến chứng cứ điện tử một cách chính xác và nhanh chóng.

1.2.1 Quan điểm của các quốc gia trên thế giới

Tại Mỹ, nơi sớm xuất hiện các loại tội phạm máy tính, Cục Điều tra Liên bang (FBI) đã công bố các khái niệm liên quan đến chứng cứ điện tử dựa trên tài liệu của SWGDE/IOCE Quy trình thu thập chứng cứ điện tử bắt đầu từ việc thu thập thông tin hoặc thiết bị vật lý được lưu trữ với mục đích điều tra và chỉ trở thành chứng cứ khi được tòa án công nhận, tuân thủ các quy định pháp luật về chứng cứ Các đối tượng dữ liệu và thiết bị số chỉ có giá trị làm bằng chứng khi do nhân viên thực thi pháp luật hoặc người được chỉ định thực hiện thu thập Đối tượng dữ liệu là những thông tin hoặc thiết bị có giá trị chứng minh tội phạm liên quan đến thiết bị vật lý và có thể tồn tại ở nhiều định dạng khác nhau mà không làm thay đổi dữ liệu gốc Chứng cứ điện tử (Electronic Evidence) là các thông tin có giá trị chứng minh tội phạm, được lưu trữ và truyền tải dưới dạng dữ liệu số.

- Thiết bị số: Những thiết bị lưu trữ và truyền tải các đối tượng dữ liệu

- Dữ liệu gốc: Những dữ liệu nằm trên thiết bị số tại thời điểm thu thập

- Nhân bản chứng cứ điện tử: Là sự nhân bản dữ liệu gốc một cách đúng đắn.

- Bản sao: Là sự nhân bản thông tin lưu trữ trên thiết bị gốc mà không phụ thuộc vào thiết bị đó

Tại Úc, Hiệp hội Phòng chống tội phạm điện tử (Digital Forensic) xác định chứng cứ điện tử là thông tin có giá trị điều tra liên quan đến các thiết bị số và dữ liệu ở dạng số Các loại dữ liệu này gồm có hệ thống nhật ký (system logs), nhật ký kiểm tra (audit logs), nhật ký ứng dụng (application logs), log mạng (network logs) và các tệp hệ thống Ngoài ra, các tệp do người dùng tạo ra cũng mang ý nghĩa chứng minh hoạt động của tội phạm, trong đó siêu dữ liệu thể hiện rõ quá trình tạo và sửa đổi nội dung của từng tệp đó.

Theo tổ chức ACPO (Association of Chief Police Officers) tại Anh quốc, chứng cứ điện tử bao gồm các bản ảnh vật lý và logic của thiết bị, trong đó bản ảnh logic chứa toàn bộ hoặc một phần dữ liệu được chụp khi tiến trình đang diễn ra Điều tra viên cần sử dụng các công cụ chụp bản ảnh được pháp luật công nhận để đảm bảo tính hợp lệ của chứng cứ Khi dữ liệu không nằm tại chỗ, mà ở xa, việc thu thập phải do người có thẩm quyền thực hiện và gửi cho tòa án xác nhận trước khi cơ quan điều tra truy cập Quá trình phát hiện, thu thập, điều tra và bảo quản chứng cứ điện tử phải tuân thủ nghiêm ngặt các quy định pháp luật và nhận được sự công nhận của tòa án để đảm bảo tính khách quan và hợp pháp của chứng cứ.

Khi một bên thứ ba lặp lại đúng quy trình và đạt được kết quả giống nhau, việc đánh giá mức độ rủi ro cần dựa trên các yếu tố kỹ thuật và phi kỹ thuật để đảm bảo tính khách quan Các yếu tố này bao gồm các chứng cứ tiềm năng có thể được lưu trữ trên thiết bị đặc biệt hoặc lịch sử các cuộc tấn công trước đây của kẻ bị tình nghi Việc phân tích đầy đủ giúp xác định chính xác mức độ nguy hiểm và đề xuất các biện pháp phòng ngừa phù hợp.

1.2.2 Quan điểm của Việt Nam

Các hành vi phạm tội của tội phạm công nghệ cao luôn để lại dấu vết điện tử, là những dữ liệu dưới dạng tín hiệu kỹ thuật số được tạo ra tự động và khách quan trong bộ nhớ các thiết bị điện tử Theo Bộ luật Tố tụng hình sự năm 2015, Điều 99 quy định về dữ liệu điện tử, nhấn mạnh vai trò quan trọng của việc lưu giữ và xử lý các dữ liệu này trong công tác điều tra, truy tố và xét xử các vụ án công nghệ cao.

Dữ liệu điện tử gồm các ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự, được tạo ra, lưu trữ, truyền đi hoặc nhận thông qua các phương tiện điện tử Thông tin này đóng vai trò quan trọng trong các hoạt động số hóa và quản lý dữ liệu hiện nay Việc hiểu rõ về dữ liệu điện tử giúp nâng cao hiệu quả trong việc bảo vệ, lưu trữ và truyền tải dữ liệu an toàn, đồng thời tối ưu hóa các quy trình ứng dụng công nghệ thông tin.

- Dữ liệu điện tử được thu thập từ phương tiện điện tử, mạng máy tính, mạng viễn thông, trên đường truyền và các nguồn điện tử khác

Giá trị chứng cứ của dữ liệu điện tử được xác định dựa trên cách thức khởi tạo, lưu trữ và truyền gửi dữ liệu, cùng với việc đảm bảo và duy trì tính toàn vẹn của dữ liệu đó Dữ liệu điện tử bao gồm thông tin dưới dạng ký hiệu, chữ viết, hình ảnh, âm thanh hoặc dạng tương tự, hoạt động trên các phương tiện điện tử dựa trên công nghệ điện, điện tử, kỹ thuật số, từ tính, truyền dẫn không dây, quang học và điện từ Trao đổi dữ liệu điện tử (EDI) là quá trình chuyển thông tin giữa các máy tính qua phương tiện điện tử theo tiêu chuẩn đã được thống nhất về cấu trúc dữ liệu Thông điệp dữ liệu là thông tin được tạo, gửi đi, nhận và lưu trữ qua phương tiện điện tử, có giá trị pháp lý như văn bản nếu nội dung có thể truy cập và sử dụng khi cần thiết, đồng thời đảm bảo toàn vẹn không bị thay đổi Giá trị chứng cứ của thông điệp dữ liệu phụ thuộc vào mức độ tin cậy của phương pháp khởi tạo, lưu trữ và truyền gửi, cùng các yếu tố đảm bảo tính toàn vẹn và xác định chính xác người khởi tạo.

Dữ liệu điện tử có giá trị pháp lý như chứng từ, hồ sơ truyền thống khi đáp ứng các yêu cầu của pháp luật tố tụng hình sự và luật giao dịch điện tử Theo các quy định của pháp luật, dữ liệu điện tử được công nhận là chứng cứ hợp lệ trong các giao dịch và vụ án hình sự Đảm bảo tuân thủ các quy định pháp luật về lưu trữ và chứng minh dữ liệu điện tử là yếu tố then chốt để đảm bảo tính hợp pháp và giá trị pháp lý của dữ liệu này.

Chứng cứ điện tử là các bằng chứng được lưu giữ dưới dạng tín hiệu điện tử trong máy tính hoặc các thiết bị có bộ nhớ kỹ thuật số liên quan đến vụ án hình sự Những chứng cứ này có thể được thu thập để chứng minh hành vi phạm tội, góp phần quan trọng trong quá trình điều tra và xác minh vụ án Việc sử dụng chứng cứ điện tử ngày càng trở nên phổ biến và đóng vai trò then chốt trong pháp luật hình sự hiện đại.

- Những chứng cứ điện tử do máy tính tự động tạo ra như: “cookies”, “URL”,Email logs, web server logs.

Những thông tin điện tử do con người tạo ra được lưu giữ trong máy tính và các thiết bị điện tử khác dưới dạng tín hiệu điện tử, như văn bản, bảng biểu, hình ảnh Để khám phá và phục hồi các dữ liệu này, cần sử dụng công nghệ, kỹ thuật máy tính và phần mềm phù hợp nhằm truy tìm các “dấu vết điện tử” đã bị xóa, ghi đè hoặc ẩn dưới dạng mã hóa Công nghệ phục hồi dữ liệu còn có khả năng đọc các phần mềm, mã nguồn được cài đặt bí mật, biến thông tin ẩn thành dạng có thể đọc, sử dụng làm bằng chứng pháp lý trong quá trình xét xử tại tòa án.

Sự cần thiết phải quy định về chứng cử điện tử

Trong thời đại công nghệ thông tin và truyền thông ngày càng phát triển, máy tính và mạng máy tính đóng vai trò trung tâm không thể thiếu đối với cá nhân, tổ chức và doanh nghiệp Việc tích hợp công nghệ số giúp nâng cao hiệu quả làm việc, khả năng kết nối và cạnh tranh trên thị trường toàn cầu Do đó, không một ai có thể tách rời khỏi sự phổ biến của máy tính và mạng máy tính trong cuộc sống và công việc hàng ngày.

Hoạt động phạm tội của các đối tượng sử dụng công nghệ cao ngày càng phổ biến, với thủ đoạn ngày càng tinh vi Việc công nhận chứng cứ từ dữ liệu điện tử là một bước tiến quan trọng trong tố tụng hình sự của Việt Nam, giúp nâng cao hiệu quả điều tra và chứng minh các vụ án Trong lĩnh vực an ninh quốc gia, các thế lực thù địch lợi dụng công nghệ thông tin và mạng viễn thông để xuyên tạc, vu khống và chống phá Nhà nước, gây tác động tiêu cực đến an ninh quốc gia.

Trong lĩnh vực trật tự, an toàn xã hội và an ninh mạng, tình hình tại Việt Nam diễn biến phức tạp với nhiều vụ tấn công, phá hoại, lây nhiễm virus, phần mềm gián điệp và mã độc hại tấn công hệ thống mạng của cả cơ quan nhà nước và doanh nghiệp tư nhân, với mức độ ngày càng nghiêm trọng Các hoạt động này gây rối loạn hoạt động của hệ thống thông tin điện tử, đồng thời các thủ phạm thường để lại rất ít dấu vết, chủ yếu là dữ liệu điện tử như logfile, địa chỉ IP, mã độc, domain điều khiển, thời gian, nội dung email, nickname và thông tin trong các cuộc trò chuyện, cũng như các công cụ tấn công và dữ liệu trao đổi của tội phạm Ngoài ra, tình hình lừa đảo trong lĩnh vực thương mại điện tử và thanh toán điện tử cũng gia tăng, ảnh hưởng tiêu cực đến hoạt động kinh doanh và an ninh quốc gia.

Dữ liệu điện tử thu thập từ các vụ tấn công của tội phạm sử dụng công nghệ thông tin và mạng viễn thông đã trở thành công cụ đắc lực trong công tác trinh sát, điều tra, truy tố và xét xử tội phạm Những nguồn chứng cứ này không chỉ giúp chứng minh hành vi phạm tội một cách gián tiếp mà còn có vai trò quyết định thành công trong hoạt động tố tụng hình sự Trong nhiều vụ án, dữ liệu điện tử được xem là chứng cứ chủ đạo, góp phần quan trọng vào quá trình xử lý vụ việc và kết quả của quá trình tố tụng.

Điều tra số

Digital Forensics là lĩnh vực chuyên điều tra số, sử dụng các phương pháp và công cụ khoa học đã được chứng minh để thu thập, bảo quản, phân tích và trình bày dữ liệu số nhằm tái hiện các sự kiện nhằm phát hiện hành vi phạm tội hoặc dự đoán các hoạt động trái phép Công nghệ này giúp xác định các hành vi xâm nhập trái phép, tấn công hệ thống hoặc gây gián đoạn hoạt động của hệ thống máy tính và mạng Digital Forensics đóng vai trò quan trọng trong việc hỗ trợ điều tra tội phạm công nghệ cao và đảm bảo an ninh mạng hiệu quả.

Điều tra số đóng vai trò thiết yếu trong việc thu thập, phân tích và xác minh các bằng chứng quan trọng để làm rõ một vấn đề cần sáng tỏ Ứng dụng của điều tra số rất quan trọng trong lĩnh vực khoa học điều tra, giúp cung cấp các chứng cứ thuyết phục và đạt hiệu quả cao trong quá trình giải quyết các vụ việc phức tạp.

Điều tra số giúp xác định chính xác các sự cố đang diễn ra ảnh hưởng đến hệ thống, từ đó phát hiện nguyên nhân gây ra các vi phạm và xâm nhập Các kỹ thuật điều tra số còn giúp phân tích hành vi, nguồn gốc của các vi phạm, đảm bảo việc xử lý và phòng ngừa hiệu quả Việc này là bước quan trọng trong bảo vệ hệ thống từ các mối đe dọa mạng ngày càng tinh vi.

Một số loại hình điều tra số phổ biến:

Điều tra máy tính (Computer Forensics) là nhánh của khoa học điều tra số, chuyên phân tích các bằng chứng pháp lý trong máy tính và thiết bị lưu trữ kỹ thuật số Mục tiêu của điều tra máy tính là xác định, bảo quản, phục hồi và phân tích thông tin để phục vụ công tác điều tra Công việc này còn bao gồm trình bày lại các bằng chứng một cách rõ ràng và chính xác để hỗ trợ các quá trình pháp lý.

Điều tra máy tính không chỉ liên quan đến việc truy quét các tội phạm mạng mà còn có vai trò quan trọng trong các vụ án dân sự Bằng chứng từ các cuộc điều tra này cần tuân thủ các nguyên tắc và quy chuẩn như các loại chứng cứ kỹ thuật số khác, đảm bảo tính hợp lệ và đáng tin cậy Phương pháp này đã được sử dụng trong nhiều vụ án cao cấp và hiện đang được chấp nhận rộng rãi trong hệ thống tòa án tại Mỹ và châu Âu, góp phần nâng cao hiệu quả giải quyết các tranh chấp pháp lý liên quan đến công nghệ số.

- Điều tra Registry - Registry Forensics

Registry Forensics là phương pháp điều tra nhằm trích xuất thông tin và ngữ cảnh từ dữ liệu registry chưa được khai thác, giúp xác định các thay đổi như chỉnh sửa, thêm hoặc bớt dữ liệu trong hệ thống registry của máy tính.

Công cụ thường dùng: MuiCache View, Process Monitor, Regshot, USBDeview…

Hình 1 1:Sử dụng Regsshot quan sát sự thay đổi trong Registry

- Điều tra ổ đĩa - Disk Forensics

Disk Forensics là quá trình thu thập và phân tích dữ liệu trên các phương tiện lưu trữ vật lý để phát hiện dữ liệu ẩn, khôi phục các tập tin đã bị xóa và xác định người đã thực hiện các thay đổi dữ liệu trên thiết bị Công việc này giúp các chuyên gia truy tìm bằng chứng số quan trọng trong các hoạt động điều tra và bảo mật Phân tích dữ liệu này đóng vai trò then chốt trong việc làm rõ các hành vi và hành động trên hệ thống lưu trữ.

Công cụ thường dùng: ADS Locator, Disk Investigator, PasswareEncryption Analyzer, Disk Detector, Sleuth Kit, FTK…

Hình 1 2;Passware Encryption Analyzer xác định những file được bảo vệ bởi mật khẩu

Điều tra thiết bị di động, hay còn gọi là Mobile Device Forensics, là một lĩnh vực thuộc khoa học điều tra số tập trung vào việc thu thập và phân tích bằng chứng kỹ thuật số từ các thiết bị di động Các thiết bị này không chỉ bao gồm điện thoại di động mà còn bao gồm các thiết bị kỹ thuật số khác như PDA, GPS và máy tính bảng có bộ nhớ trong và khả năng giao tiếp Công nghệ này giúp các nhà điều tra phục vụ mục đích khám phá dữ liệu hữu ích trong các vụ án hình sự và án dân sự.

Việc sử dụng điện thoại để phục vụ các hành vi phạm tội đã trở nên phổ biến trong những năm gần đây, tuy nhiên, nghiên cứu về điều tra thiết bị di động vẫn còn mới mẻ bắt đầu từ những năm 2000 Sự phát triển nhanh chóng của các loại điện thoại di động, đặc biệt là điện thoại thông minh, đặt ra nhu cầu cấp thiết về các phương pháp giám định thiết bị hiện đại, vượt ra ngoài các kỹ thuật điều tra máy tính truyền thống để đáp ứng yêu cầu phân tích và truy vết hiệu quả.

Hình 1 3:Sử dụng WPDeviceManager để trích xuất SMS

- Điều tra ứng dụng - Application Forensics

502 Bad GatewayUnable to reach the origin service The service may be down or it may not be responding to traffic from cloudflared

Công cụ thường dùng: Chrome Cache View, Mozilla Cookies View, My Last Search, Password Fox, Skype Log View…

Hình 1 4:Sử dụng skypelogview xem dữ liệu được trao đổi qua đường truyền

502 Bad GatewayUnable to reach the origin service The service may be down or it may not be responding to traffic from cloudflared

502 Bad GatewayUnable to reach the origin service The service may be down or it may not be responding to traffic from cloudflared

Hình 1 5:Sử dụng Wireshark phân tích tấn công Teadrop

- Điều tra bộ nhớ - Memory Forensics

Memory Forensics là phương pháp điều tra máy tính tập trung vào việc ghi lại bộ nhớ RAM của hệ thống để phân tích các hành vi đã xảy ra Đây là kỹ thuật quan trọng trong ngành an ninh mạng nhằm phát hiện các hoạt động đáng ngờ, mã độc hoặc truy cập trái phép Nhờ vào việc phân tích bộ nhớ khả biến, các chuyên gia có thể thu thập bằng chứng kỹ thuật số chính xác và chi tiết về quá trình hoạt động của hệ thống Memory Forensics giúp xác định các cuộc tấn công hoặc xâm nhập hệ thống một cách hiệu quả, hỗ trợ công tác điều tra tội phạm mạng.

Trong quá trình điều tra, việc sử dụng kiến trúc quản lý bộ nhớ của máy tính giúp ánh xạ và trích xuất các tập tin đang hoạt động trong bộ nhớ Các tập tin thực thi này không chỉ giúp xác định hành vi của tội phạm mà còn là bằng chứng để chứng minh hành vi đó đã diễn ra hoặc theo dõi quá trình diễn ra của chúng.

Công cụ sử dụng: Dumpit, Strings, The Sleuthkit, Win32dd, Foremost, Volatility,Mandiant Redline, DFF.

Hình 1 6:Sử dụng Volatility liệt kê các tiến trình đang chạy trên hệ thống

Tổng quan về việc thu thập và phân tích chứng cứ điện tử từ thiết bị di động 1.6 Kết chương

Để che giấu hành vi phạm pháp, đối tượng thường hủy hoại hoặc làm hỏng thiết bị điện tử di động khi bị phát hiện hoặc ngay sau khi sử dụng nhằm phá hỏng chứng cứ Hành động này gây khó khăn cho công tác thu thập chứng cứ của cảnh sát Tuy nhiên, một số lực lượng cảnh sát đã phát triển các công cụ phục hồi dữ liệu điện tử từ các thiết bị đã bị hư hỏng nặng, giúp xử lý các vụ việc phạm pháp một cách hiệu quả hơn.

Thiết bị điện tử di động thường lưu trữ nhiều loại dữ liệu như thông tin liên lạc, ảnh, lịch, ghi chú, tin nhắn và điện thoại thông minh còn có khả năng lưu trữ thư điện tử, video, thông tin vị trí và truy cập Internet Việc sử dụng các thiết bị nhỏ gọn, di động với dung lượng lưu trữ lớn và khả năng truyền tải dễ dàng qua mạng 3G, 4G mang lại nhiều tiện ích cho người dùng Tuy nhiên, những thiết bị này cũng trở thành phương tiện cho tội phạm lợi dụng hoạt động phạm tội xuyên quốc gia và mang tính toàn cầu.

Các tội phạm lợi dụng thiết bị điện tử di động để thực hiện các hành vi phạm pháp nghiêm trọng như khủng bố, buôn bán người, buôn bán vũ khí, giết người, tham nhũng và hoạt động gián điệp đang gia tăng, đòi hỏi kỹ thuật hình sự hiện đại phải đáp ứng các yêu cầu ngày càng cao Chứng cứ từ thiết bị di động có thể đến từ nhiều nguồn như ổ cứng, thẻ SIM, thẻ nhớ ngoài, trong đó việc khôi phục dữ liệu truyền thống như tin nhắn, lịch sử cuộc gọi, danh sách liên lạc, mã IMEI vẫn còn quan trọng Tuy nhiên, với sự phát triển của kỹ thuật số, các kỹ thuật hình sự hiện đại còn yêu cầu phân tích dữ liệu phức tạp hơn như lịch sử truy cập Internet, cài đặt mạng không dây, dữ liệu định vị, thư điện tử và hoạt động trên mạng xã hội để phục vụ công tác điều tra hiệu quả hơn.

Các kỹ thuật viên hình sự ngày nay có khả năng xác định chính xác thời điểm ghi hình của ảnh hoặc video nhờ các phương pháp và công nghệ tiên tiến Họ cũng có thể khôi phục ảnh gốc, ngay cả khi các tấm ảnh kỹ thuật số đã qua chỉnh sửa biến dạng một số đặc điểm Các kỹ thuật này giúp nâng cao hiệu quả trong công tác điều tra, đảm bảo chính xác và tin cậy của các bằng chứng kỹ thuật số.

Một số quốc gia bắt buộc người dùng thiết bị điện tử di động phải chấp nhận các quy định về an ninh trật tự và phòng chống tội phạm Liên minh châu Âu yêu cầu các nước thành viên duy trì hệ thống cơ sở dữ liệu thông tin liên lạc để phục vụ điều tra hình sự, bao gồm dữ liệu tất cả các cuộc gọi đi và đến Vị trí của thiết bị điện tử di động cũng phải được xác định và lưu giữ dữ liệu này để nâng cao hiệu quả công tác phòng chống tội phạm và đảm bảo an ninh quốc gia.

Tại Mỹ, các bang quy định thời gian lưu trữ dữ liệu tin nhắn từ 1-2 tuần và lịch sử cuộc gọi từ vài tuần đến vài tháng, đồng thời các nhà cung cấp dịch vụ mạng phải cung cấp dữ liệu theo yêu cầu của cơ quan pháp luật, nếu cố tình không tuân thủ sẽ bị phạt nặng hoặc rút giấy phép hoạt động Để phòng chống tội phạm tài chính, nhiều quốc gia yêu cầu các phần mềm tài chính kế toán không thể xóa dữ liệu sau khi nhập và phải lưu trữ vĩnh viễn để hỗ trợ điều tra khi có yêu cầu chính thức từ tòa án Công nghệ hình sự hiện đại sử dụng phần mềm như AccessData, Sleuthkit, EnCase để trích xuất dữ liệu từ thiết bị điện tử, giúp xác định thời gian, địa điểm và nội dung liên lạc Các thiết bị định vị và phần mềm kiểm soát dữ liệu còn cho phép cảnh sát khảo sát Internet, phát hiện dữ liệu gửi đi và ngăn chặn xóa hoặc tẩu tán dữ liệu Ngoài ra, phần mềm xác định chủ sở hữu thiết bị bằng giọng nói hoặc vân tay giúp xác thực người dùng, hạn chế việc lợi dụng, sử dụng thiết bị phạm pháp hoặc bị mượn trái phép.

Đối tượng thường sử dụng hành vi phá hoại hoặc làm hỏng thiết bị điện tử di động để che giấu hành vi phạm pháp hoặc sau khi thực hiện hành vi phạm tội, nhằm gây khó khăn cho công tác thu thập chứng cứ của cảnh sát Để đối phó với những thủ đoạn này, cảnh sát của một số quốc gia đã triển khai các công cụ phục hồi dữ liệu điện tử mạnh mẽ, có khả năng khôi phục chứng cứ từ các thiết bị đã bị hư hỏng nặng.

Chương I đã giới thiệu tổng quan về chứng cứ điện tử và phương pháp thu thập, phân tích chứng cứ từ thiết bị di động Các cơ quan cảnh sát trên thế giới nhận thức rõ tầm quan trọng của việc xây dựng hành lang pháp lý và phát triển công cụ phần mềm để hỗ trợ truy tìm, điều tra hình sự từ chứng cứ điện tử Tổ chức Interpol đã tích cực điều phối hợp tác quốc tế và chia sẻ kinh nghiệm nhằm nâng cao hiệu quả trong lĩnh vực này Tuy nhiên, với sự phát triển nhanh chóng của các thiết bị điện tử di động, những thách thức của kỹ thuật hình sự ngày càng gia tăng, đặt ra bài toán khó khăn cho lực lượng cảnh sát trong việc hạn chế khả năng lợi dụng của tội phạm và thu thập tối đa chứng cứ điện tử để phục vụ phòng, chống tội phạm.

CÁC QUY TRÌNH KỸ THUẬT, THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ ĐIỆN TỬ TỪ THIẾT BỊ DI ĐỘNG

Hệ thống thông tin di động

Hệ thống mạng di động gồm các cột thu phát sóng, thiết bị chuyển tiếp và công nghệ giúp truyền tải dữ liệu hiệu quả Hai công nghệ chủ đạo chi phối phần lớn các mạng di động hiện nay là công nghệ truy cập chia sẻ mã (Code Division Multiple Access - CDMA) và hệ thống toàn cầu GSM (Global System for Mobile) Các công nghệ này đóng vai trò then chốt trong việc cung cấp dịch vụ liên lạc di động ổn định, nhanh chóng và phổ biến trên toàn thế giới.

2.1.1 Code Division Multiple Access – CDMA

CDMA sử dụng công nghệ trải phổ (Spread spectrum) để tối ưu hóa việc sử dụng băng thông và nâng cao hiệu suất truyền tải dữ liệu Đa truy cập là phương pháp cho phép nhiều thiết bị truyền dữ liệu qua cùng một kênh giao tiếp chung một cách hiệu quả Có ba phương pháp chính để thực hiện đa quyền truy cập trong hệ thống CDMA, gồm các kỹ thuật tiên tiến nhằm đảm bảo sự phân chia tài nguyên truyền dẫn một cách tối ưu và ổn định.

- Đa truy nhập phân chia theo tần số (FDMA): Nhiều người dùng sẵn sàng truyền được cung cấp các dải tần khác nhau để đạt được truyền đồng thời.

Trong hệ thống truyền thông, Đa truy cập phân chia theo thời gian (TDMA) cho phép nhiều người dùng truy cập cùng một kênh băng thông chung bằng cách phân chia các khe thời gian khác nhau Phương pháp này giúp tối ưu hóa việc sử dụng tài nguyên mạng và giảm thiểu xung đột truy cập Nhờ đó, hệ thống có thể duy trì hiệu suất cao và đảm bảo quyền truy cập công bằng cho tất cả người dùng trong mạng.

Trong công nghệ đa truy nhập phân chia theo mã (CDMA), mỗi người dùng được cung cấp một mã duy nhất để đảm bảo truyền dữ liệu đồng thời trên cùng một kênh Phương pháp này cho phép mã hóa dữ liệu riêng biệt, giúp nhiều người dùng có thể truyền dữ liệu cùng lúc mà không gây nhiễu lẫn nhau Nhờ đó, kỹ thuật CDMA tối ưu hóa việc sử dụng băng thông kênh, nâng cao hiệu suất của hệ thống truyền thông không dây.

Trong mạng truy cập đa mã, các khe thời gian và tần số không nhất thiết phải được phân chia theo từng người dùng như trong TDMA và FDMA Thay vào đó, mỗi người dùng được gán mã riêng biệt duy nhất, giúp dữ liệu truyền qua kênh được kết hợp và gửi chung Ở phía nhận, các trạm thu sử dụng các mã tương ứng để tách biệt và lấy tín hiệu thực của từng trạm truyền, đảm bảo hiệu quả truyền tải dữ liệu trong hệ thống đa truy cập mã.

Hình 2 1: Minh họa về CDMA

Trong công nghệ CDMA, việc sử dụng các mã trải rộng duy nhất cho phép nhiều người dùng truyền tín hiệu đồng thời qua cùng một băng thông RF, tối ưu hóa khả năng truy cập Các mã này cần được lựa chọn sao cho có ít mối tương quan nhất có thể để giảm nhiễu và tăng cường hiệu suất truyền tải dữ liệu Điều này giúp hệ thống CDMA hoạt động hiệu quả và ổn định, đáp ứng nhu cầu truyền thông đa người dùng trên cùng một kênh sóng vô tuyến.

Có hai cách mà CDMA được triển khai, đó là,

- Trình tự trực tiếp / Trình tự sắp xếp

Trong kỹ thuật radio, trải phổ chuỗi trực tiếp sử dụng mã trải rộng tốc độ cao nhằm mở rộng băng thông, giúp truyền dữ liệu với tốc độ cao hơn Ngược lại, kỹ thuật nhảy tần số sóng mang thực hiện bằng cách dịch chuyển tần số sóng mang nhằm đạt được hiệu quả tương tự Cả hai phương pháp này đều nhằm mở rộng khả năng truyền tải thông tin, nhưng mỗi phương pháp có cách tiếp cận và ứng dụng riêng biệt trong các hệ thống truyền thông không dây.

2.1.2 Global System for Mobile – GSM

GSM technology utilizes Wedge Spectrum, a narrowband technology, to deliver carrier signals effectively It employs both Time Division Multiple Access (TDMA) and Frequency Division Multiple Access (FDMA) methods to optimize spectrum efficiency and enhance network capacity These techniques enable GSM to support multiple users simultaneously by dividing channels either by time slots or frequency bands.

Trong mạng GSM, các nhà mạng cung cấp môđun định danh SIM (Subscriber Identity Module) để xác định người dùng Chức năng chính của SIM là xác thực người dùng khi truy cập vào mạng để sử dụng các dịch vụ đăng ký Ngoài ra, SIM còn lưu trữ thông tin cá nhân như danh bạ điện thoại, tin nhắn văn bản và các dịch vụ liên quan Mặc dù công nghệ của các mạng di động có thể khác nhau, nhưng cách tổ chức và chức năng của các mạng này tương tự nhau, đảm bảo sự nhất quán trong hoạt động.

* Ưu điểm của GSM so với Hệ thống Analog

- Giảm công suất truyền RF và tuổi thọ pin dài hơn

- Khả năng chuyển vùng quốc tế

- Bảo mật tốt hơn chống lại gian lận (thông qua xác thực thiết bị đầu cuối và xác thực người dùng)

- Khả năng mã hóa để bảo mật thông tin và quyền riêng tư

- Khả năng tương thích với ISDN, dẫn đến phạm vi dịch vụ rộng hơn

* Thông số kỹ thuật GSM

+ Di động đến BTS (đường lên): 890-915 Mhz

+ BTS đến Di động (đường xuống): 935-960 Mhz

+ Di động đến BTS (đường lên): 1710-1785 Mhz

+ BTS đến Di động (đường xuống): 1805-1880 Mhz

+ Tần số duy nhất được sử dụng ở Hoa Kỳ và Canada cho GSM

* Kiến trúc hệ thống GSM

- Hệ thống con chuyển mạch mạng (NSS) - Các thành phần chính của nó bao gồm: + Trung tâm chuyển mạch di động (MSC)

+ Đăng ký vị trí nhà (HLR)

+ Đăng ký Vị trí của Khách truy cập (VLR)

+ Trung tâm xác thực (AUC)

+ Đăng ký nhận dạng thiết bị (EIR)

- Hệ thống con trạm gốc (BSS) - Các thành phần chính của nó bao gồm:

+ Trạm thu phát gốc (BTS)

+ Bộ điều khiển Trạm gốc (BSC)

- Trạm di động (MS) - Các thành phần chính của nó bao gồm:

+ Thiết bị di động (ME)

+ Mô-đun nhận dạng thuê bao (SIM)

- Hệ thống con hoạt động (OSS) - Các thành phần chính của nó bao gồm:

+ Trung tâm Điều hành và Bảo trì (OMC)

+ Trung tâm quản lý mạng (NMC)

+ Trung tâm Hành chính (ADC)

Hình 2 2: Kiến trúc hệ thống GSM

Thiết bị di động

Thiết bị di động được hiểu là các thiết bị kỹ thuật số có khả năng giao tiếp và bộ nhớ trong, bao gồm PDA, GPS, và máy tính bảng Chúng có đầy đủ thành phần như một máy tính cá nhân, bao gồm bộ vi xử lý, ROM, RAM, bộ xử lý tín hiệu kỹ thuật số và màn hình Các thiết bị di động cơ bản và nâng cao thường chạy trên các hệ điều hành độc quyền như Palm, Windows Phone, RIM, Symbian, hoặc Linux, nhằm tối ưu hóa hiệu suất và trải nghiệm người dùng.

Việc nắm rõ đặc điểm, cấu trúc của thiết bị di động sẽ giúp xác định được chính xác phương thức tiến hành điều tra số.

2.2.1 Các bước thực hiện điều tra thiết bị di động

Khai thác dữ liệu trên điện thoại di động là một lĩnh vực mới trong điều tra tội phạm nhưng đã chứng minh rõ vai trò trong việc phá án Việc này giúp các nhà điều tra thu thập nhiều chứng cứ quan trọng mà phương pháp truyền thống khó có thể đạt được Mục đích chính của khai thác dữ liệu di động là phát hiện, xác minh các bằng chứng liên quan đến vụ án, từ đó nâng cao khả năng thành công của quá trình điều tra.

- Trích xuất toàn bộ và không làm thay đổi các thông tin trên điện thoại di động

- Phân tích các thông tin đã trích xuất và tìm ra các chứng cứ liên quan tới vụ án.

- Cung cấp cho điều tra viên những thông tin có độ tin cậy cao có thể được sử dụng để làm bằng chứng tại tòa án

Khai thác dữ liệu trên điện thoại di động là một thách thức khá mới mẻ đòi hỏi cán bộ điều tra phải có kiến thức vững về thiết bị và công cụ khai thác phù hợp cho từng loại thiết bị Việc áp dụng phương pháp khai thác hiệu quả nhất giúp đảm bảo dữ liệu không bị mất và duy trì giá trị pháp lý của dữ liệu thu thập được Quá trình khai thác phải tuân thủ nghiêm ngặt các quy trình để đảm bảo tính chính xác và hợp pháp của dữ liệu trong điều tra.

Theo tài liệu của Viện Tiêu chuẩn và Kỹ thuật Quốc gia Hoa Kỳ (NIST), quá trình điều tra thiết bị di động gồm năm giai đoạn chính: chuẩn bị, thu thập dữ liệu, kiểm tra, phân tích và lập báo cáo Các bước này đảm bảo quá trình điều tra được thực hiện đầy đủ, chính xác và có hệ thống Trong giai đoạn chuẩn bị, các chuyên gia thiết lập kế hoạch và chuẩn bị công cụ phù hợp để thu thập dữ liệu Quá trình thu thập dữ liệu diễn ra cẩn thận nhằm đảm bảo tính toàn vẹn của thông tin Tiếp theo là giai đoạn kiểm tra, nơi các dữ liệu được xác minh và kiểm định Phần phân tích tập trung vào việc xử lý dữ liệu để rút ra thông tin quan trọng Cuối cùng, việc lập báo cáo giúp tổng hợp kết quả, cung cấp bằng chứng và đề xuất hướng tiếp theo cho cuộc điều tra thiết bị di động.

Hình 2 3: Các giai đoạn của 1 quá trình điều tra thiết bị di động

Trong giai đoạn này, các bước chính bao gồm trao đổi thông tin ban đầu, xây dựng kế hoạch và chuẩn bị cho quá trình điều tra Trước khi tiến hành điều tra, việc có sự đồng thuận và ký kết hợp đồng chính thức từ các bên liên quan là bắt buộc để đảm bảo cơ sở pháp lý vững chắc, bảo vệ thông tin quan trọng khỏi bị rò rỉ Việc mô tả hệ thống, các hành vi đã xảy ra, dấu hiệu xác định phạm vi điều tra, mục đích và các tài nguyên cần thiết sẽ góp phần định hướng rõ ràng cho toàn bộ quá trình điều tra.

* Giai đoạn 2: Thu thập dữ liệu

Việc tiếp xúc trực tiếp với thiết bị giúp tăng khả năng thu thập dữ liệu và chứng cứ Đối với các thiết bị không yêu cầu mật khẩu hoặc truy cập kỹ thuật, người điều khiển có thể dễ dàng truy cập dữ liệu người dùng từ nhiều vùng nhớ khác nhau, thực hiện quá trình điều hướng dữ liệu dễ dàng hơn Tuy nhiên, khi thiết bị yêu cầu xác thực bằng mật khẩu hoặc kỹ thuật, người kiểm tra phải vượt qua cơ chế xác thực này; nếu không thành công, khả năng mất toàn bộ dữ liệu và việc khôi phục thông tin sẽ gặp nhiều khó khăn Trong trường hợp này, người dùng có thể cần sử dụng phần mềm chuyên dụng hoặc can thiệp vào nền tảng phần cứng để vượt qua lớp xác thực của thiết bị Sau khi truy cập dữ liệu thành công, bước tiếp theo là nhận dạng và kiểm tra động thiết bị để xác minh đúng quá trình thu thập dữ liệu, đảm bảo tính toàn vẹn và chính xác của thông tin.

Để nhận dạng thiết bị di động, cần kiểm tra đặc điểm của thiết bị, phụ kiện, nhãn hiệu và nhà cung cấp thông tin, nhà cung cấp dịch vụ mạng Mỗi thiết bị di động thường lưu trữ các mã duy nhất như IMEI, Model, ESN, SIM thẻ để dễ dàng tra cứu các thông tin kỹ thuật, tính năng, loại và nhà sản xuất điện thoại Quá trình này giúp xác định chính xác và phân loại thiết bị di động một cách hiệu quả.

To gather comprehensive evidence from a mobile device, it is essential to thoroughly examine all its memory components This process typically involves checking two common types of memory: internal storage and external memory Performing a complete memory check ensures that crucial data and digital evidence are not overlooked, facilitating effective digital forensics investigations.

Bộ nhớ điện thoại là nơi lưu trữ hệ điều hành, bao gồm nhân, bộ điều khiển và thư viện chức năng hệ thống giúp thực thi các ứng dụng và quá trình vận hành của hệ điều hành Ngoài ra, bộ nhớ còn dùng để lưu trữ các ứng dụng của người dùng cùng với dữ liệu cá nhân như văn bản, hình ảnh, âm thanh và video, đảm bảo trải nghiệm sử dụng linh hoạt và đa dạng hơn.

SIM memory lưu trữ các dữ liệu quan trọng như dịch vụ, định danh duy nhất của SIM, số thuê bao, cùng với danh sách và thông tin các liên lạc đã thực hiện Đây là phần cốt lõi giúp quản lý các hoạt động viễn thông và đảm bảo kết nối liên tục cho người dùng Việc lưu trữ dữ liệu trong bộ nhớ SIM đóng vai trò quan trọng trong việc duy trì danh bạ và các dịch vụ cá nhân trên thiết bị di động.

* Giai đoạn 3, 4: Kiểm tra và phân tích

Trong quá trình kiểm tra và phân tích thường diễn ra song song để đảm bảo hiệu quả cao nhất Kiểm tra nhằm phát hiện và truy tìm các bằng chứng số bị ẩn hoặc bị che khuất, giúp hiển thị đầy đủ nội dung và trạng thái dữ liệu cùng nguồn thông tin và ý nghĩa tiềm ẩn Dựa trên kết quả kiểm tra, quá trình phân tích sẽ xác định các thông tin có ý nghĩa trực tiếp cho từng vụ việc điều tra Kết quả cuối cùng của giai đoạn này bao gồm các bằng chứng tiềm năng và hồ sơ thuê bao, hỗ trợ quá trình giải quyết vụ việc một cách chính xác và hiệu quả.

Giai đoạn 5: Báo cáo là bước chuẩn bị một bản báo cáo chi tiết về tất cả các hoạt động đã thực hiện và các kết luận đạt được trong quá trình điều tra một vụ việc cụ thể Báo cáo kết quả điều tra cần đảm bảo tính khách quan và phản ánh trung thực các tình tiết liên quan trực tiếp hoặc gián tiếp tới vụ việc, đồng thời tuân thủ quy định pháp luật Nội dung báo cáo phải cung cấp đầy đủ các thông tin cần thiết để xác định nguồn gốc, các chứng cứ số thu thập được trong quá trình điều tra, góp phần làm rõ thủ phạm và hành vi vi phạm.

Các thông tin lưu trữ trên điện thoại di động

Điện thoại di động có thể lưu trữ các thông tin ở nhiều nơi khác nhau:

- Thẻ nhớ ngoài (đối với những loại máy có khe cắm thẻ nhớ)

Ngoài ra, một số thông tin về thuê bao và chi tiết các cuộc gọi còn được lưu lại bởi nhà cung cấp dịch vụ

2.3.1 Thông tin lưu trữ trên SIM

Thẻ SIM là loại thẻ thông minh dùng trong các thiết bị sử dụng mạng GSM, giúp kết nối và xác định tính duy nhất của thuê bao trong mạng Thẻ SIM chứa các thông tin quan trọng như thông tin thuê bao di động và dữ liệu cá nhân khác, đảm bảo sự xác thực và bảo mật khi sử dụng dịch vụ truyền thông.

- Các tin nhắn SMS đã nhận và đã gửi (thông thường SIM có thể lưu được khoảng 2030 tin nhắn

Nhật ký điện thoại là nơi lưu trữ các thông tin về các cuộc gọi đến, đi và nhỡ Tùy thuộc vào từng hãng sản xuất điện thoại, SIM có thể hoặc không chứa dữ liệu về nhật ký cuộc gọi, ảnh hưởng đến khả năng truy xuất lịch sử liên lạc của người dùng Việc quản lý nhật ký điện thoại giúp người dùng dễ dàng theo dõi và kiểm soát các cuộc gọi trong quá trình sử dụng thiết bị.

- Danh bạ điện thoại: Tuỳ thuộc vào từng loại SIM, thông thường một SIM có thể cho phép lưu được từ 250 đến 500 số điện thoại

- Số Seri: Xác định nhà sản xuất, phiên bản hệ điều hành, số của SIM

- Thông tin về trạng thái của SIM: Cho biết SIM bị chặn hay không bị chặn

- Số nhận dạng thuê bao di động quốc tế IMSI, đảm bảo mỗi thuê bao là duy nhất.

- Mã dịch vụ (cho mạng GSM)

- Các thuật toán nhận thức và bảo mật A#, A8, A5.

- Khóa nhận thực thuê bao riêng Ki

- Số điện thoại di động quốc tế MSISDN.

- Các khóa cho quá trình cá nhân hóa SIM

- Thông tin về vị trí hiện tạ(hoặc tại thời điểm gần nhất) của điện thoại,

- Mã số nhận dạng cá nhân PIN.

- Mã số mở khóa cá nhân PUK.

2.3.2 Thông tin lưu trữ trên bộ nhớ trong

Từ cuối những năm 1990, các nhà sản xuất đã tích hợp bộ nhớ vào trong điện thoại di động để nâng cao khả năng lưu trữ dữ liệu Ngoài việc lưu trữ trên SIM, dữ liệu còn được lưu trữ trực tiếp trong bộ nhớ trong của điện thoại, phù hợp với dung lượng của bộ nhớ Thông thường, bộ nhớ trong của điện thoại lưu trữ các thông tin quan trọng như danh bạ, tin nhắn, hình ảnh và các ứng dụng Việc mở rộng dung lượng bộ nhớ giúp người dùng có thể lưu trữ nhiều dữ liệu hơn, nâng cao trải nghiệm sử dụng điện thoại di động.

- Chế độ cài đăt điện thoại

- Các file hệ thống hệ điều hành

Khi sim đã chứa đầy tin nhắn SMS, các tin nhắn mới sẽ được tự động lưu vào bộ nhớ của điện thoại, giúp người dùng dễ dàng quản lý và truy cập Tùy theo cài đặt của người dùng, toàn bộ tin nhắn SMS và MMS có thể được lưu trực tiếp trên điện thoại để tiện theo dõi và lưu trữ lâu dài Việc lưu trữ tin nhắn không chỉ giúp bảo vệ dữ liệu quan trọng mà còn đảm bảo quá trình sử dụng diễn ra thuận tiện và linh hoạt hơn.

- Nhật kí điện thoại: Chứa các thông tin về các cuộc liên lạc

- Lịch và ghi nhớ các cuộc hện

- Thời gian: ngày và giờ

- Các file âm thanh, hình ảnh (thông thường những file này được lưu trên thẻ nhớ ngoài)

Các chương trình ứng dụng có thể được cài đặt tùy theo loại máy và hệ điều hành, giúp người dùng linh hoạt chọn lựa giữa bộ nhớ trong của thiết bị hoặc thẻ nhớ ngoài để mở rộng dung lượng lưu trữ.

2.3.3 Các thông tin lưu trư trên thẻ nhớ ngoài

Vì nhu cầu sử dụng điện thoại ngày càng cao, khả năng lưu trữ dữ liệu của điện thoại cũng được mở rộng để đáp ứng yêu cầu của người dùng Nhiều loại điện thoại hiện nay hỗ trợ thẻ nhớ ngoài với dung lượng lên tới vài GB, giúp tăng khả năng lưu trữ dữ liệu một cách linh hoạt Các dữ liệu quan trọng có thể được lưu trữ trên bộ nhớ trong hoặc thẻ nhớ ngoài, phù hợp với nhu cầu sử dụng cá nhân Thẻ nhớ ngoài hoạt động như một phần mở rộng của bộ nhớ trong, lưu trữ các thông tin tương tự như bộ nhớ trong điện thoại.

- Các chương trình ứng dụng được lưu trên điện thoại

- Các file âm thanh hình ảnh

- Các chương trình ứng dụng

Thẻ nhớ ngoài giúp mở rộng khả năng lưu trữ trên điện thoại, cho phép người dùng lưu trữ nhiều dữ liệu hơn so với bộ nhớ tích hợp sẵn Đây là thiết bị lưu trữ cố định, đảm bảo dữ liệu vẫn được giữ an toàn ngay cả khi tháo ra khỏi thiết bị Sử dụng thẻ nhớ ngoài không only tăng dung lượng lưu trữ mà còn giúp người dùng dễ dàng quản lý và chuyển dữ liệu giữa các thiết bị một cách tiện lợi.

Kỹ thuật khai thác dữ liệu bộ nhớ trong

2.4.1 Kỹ thuật khai thác dữ liệu qua giao diện sủ dụng

Kỹ thuật khai thác dữ liệu qua giao diện người dùng cho phép truy cập vào nội dung bộ nhớ của điện thoại bằng cách chụp ảnh màn hình Phương pháp này có ưu điểm nổi bật là không cần sử dụng các công cụ hoặc thiết bị chuyên dụng để khai thác dữ liệu Thường được áp dụng trên các thiết bị như điện thoại di động, PDA và hệ thống cố định Ngoài ra, kỹ thuật này giúp đảm bảo tính toàn vẹn của dữ liệu và thiết bị trước khi tiến hành các phương pháp khai thác phức tạp hơn, góp phần bảo vệ thiết bị trong quá trình điều tra.

Nhược điểm của phương pháp này là chỉ có thể khai thác được dữ liệu hiển thị, đồng thời tất cả dữ liệu thu thập đều dưới dạng hình ảnh, làm hạn chế khả năng xử lý dữ liệu và đòi hỏi quá trình thực hiện kỹ thuật này tốn nhiều thời gian.

2.4.2 Kỹ thuật khai thác vật lý

Hiện nay, các công cụ khai thác dữ liệu thương mại ngày càng phát triển, đổi mới và mở rộng, giúp tăng khả năng phục hồi dữ liệu trên điện thoại Tuy nhiên, với số lượng lớn thiết bị cần khai thác dữ liệu phục vụ điều tra vụ án, các nhà sản xuất đối mặt với thách thức tạo ra công cụ giám định phù hợp, thay thế cho các thiết bị khai thác dữ liệu truyền thống Để đáp ứng yêu cầu này, kỹ thuật khai thác dữ liệu bit-by-bit từ các công cụ thương mại ngày càng phổ biến, đặc biệt trong các trường hợp khó khăn như thiết bị hư hỏng hoặc bị khóa, vượt quá khả năng của các công cụ hiện tại Chính vì vậy, kỹ thuật khai thác vật lý - đọc trực tiếp bộ nhớ thiết bị - là giải pháp hiệu quả, giúp đảm bảo quá trình khai thác dữ liệu trong những tình huống đặc biệt này Kỹ thuật khai thác vật lý mang lại ưu điểm nổi bật trong việc tiếp cận dữ liệu đã bị khóa hoặc không truy cập được bằng các phương pháp truyền thống.

- Toàn bộ dữ liệu được khai thác

- Áp dụng phương pháp này cho trường hợp điệ thoại bị hỏng hoặc thiết bị không có giao diện

- Khó thực hiện, rất khó phân tích dữ liệu

- Phần mèm khai thác dữ liệu đắt, cần thiết bị phần cứng riêng biệt để khai thác dữ liệu

Phương pháp này không đảm bảo an toàn cho dữ liệu đang hoạt động và có thể gây tổn thương đáng kể nếu thực hiện sai kỹ thuật Thành công của quá trình phụ thuộc vào kinh nghiệm của điều tra viên, vì một thao tác sai có thể phá hủy toàn bộ thiết bị cũng như dữ liệu lưu trữ trên thiết bị di động.

Trong kỹ thuật khai thác vật lý gồm 3 phương pháp:

- Phương pháp khai thác qua dữ liệu JTAG

- Phương pháp khai thác qua chip nhớ

- Phương pháp khai thác dữ liệu qua bộ nạp khởi động

2.4.3 Kỹ thuật khai thác lo-gic

Phương pháp logic là quá trình sao chép từng bit một trên các đối tượng lưu trữ logic như thư mục và file nằm trong bộ nhớ logic, chẳng hạn như phân vùng hệ thống file Ưu điểm của phương pháp này là đảm bảo sao chép chính xác từng phần dữ liệu, giúp duy trì tính toàn vẹn và nhất quán của dữ liệu gốc khi thực hiện sao chép hoặc phục hồi.

- Dễ dàng thực hiện, dễ phân tích, an toàn với dữ liệu đang hoạt động.

- Phần mềm sử dụng khai thác dữ liệu giá cả phải chăng, không cần đến thiết bị phần cứng chuyên dụng.

- Việc thiết lập kết nối dữ liệu có thể làm thay đổi dữ liệu

- Một số dữ liệu được khai thác, những dữ liệu đã bị xóa vẫn còn trong hệ thống, có thể bị xóa không thể khôi phục được

Một số trường hợp không thể áp dụng phương pháp này bao gồm khi điện thoại hỏng không thể sửa chữa hoặc khi các thiết bị không có giao diện phù hợp.

Khai thác dữ liệu của thiết bị là kỹ thuật phổ biến trong các công cụ giám định, yêu cầu thiết bị còn hoạt động để đảm bảo tính chính xác Việc này đòi hỏi điều tra viên phải có kiến thức về thiết bị và tuân thủ đúng quy trình, đặc biệt là trong việc lấy thông tin ngày tháng và thời gian – hai thông số quan trọng để xác định chính xác thời điểm các chứng cứ được thu thập Thời gian trên điện thoại có thể được thiết lập thủ công hoặc lấy từ mạng, song nghi phạm có thể thiết lập lại thời gian để làm giả chứng cứ như cuộc gọi ngoại phạm Khi thu thập dữ liệu, nếu thời gian trên thiết bị khác thời gian tham chiếu đã ghi lại, cần xác nhận lại để đảm bảo tính hợp lệ của chứng cứ Ngoài ra, việc tắt nguồn thiết bị hoặc tháo pin trong quá trình khai thác cũng có thể ảnh hưởng đến giá trị thời gian và tính xác thực của dữ liệu.

Khác với máy tính để bàn hoặc máy chủ, chỉ một số điện thoại thông minh sử dụng bộ nhớ bán dẫn thay vì ổ cứng truyền thống Phần mềm chuyên dụng được sử dụng để khai thác dữ liệu PIM, tạo ra hình ảnh vật lý của nội dung điện thoại Tuy nhiên, nội dung trên điện thoại thường biến đổi liên tục, dẫn đến việc khai thác dữ liệu liên tiếp có thể cung cấp kết quả khác nhau dù sử dụng cùng một công cụ khai thác.

Dữ liệu từ điện thoại di động được khai thác thông qua các giao thức truyền thông phổ biến như AT, OBEX, SyncML, và các giao thức khác phù hợp với các thiết bị khác nhau Mỗi điện thoại có thể hỗ trợ nhiều giao thức, và các công cụ khai thác thường hỗ trợ đa dạng giao thức để tối ưu quá trình thu thập dữ liệu Các hãng sản xuất cũng chú trọng vào việc tuân thủ các chuẩn giao tiếp giữa điện thoại và máy tính, như sử dụng các thiết bị kết nối như cáp DKU-2, DKU-5 qua cổng USB để dễ dàng chỉnh sửa, tùy chỉnh thiết bị phù hợp với người dùng Nhờ các thiết bị này và phần mềm hỗ trợ, chúng ta có thể khai thác các thông tin lưu trữ trong điện thoại một cách hiệu quả Việc kết hợp các công cụ khai thác này giúp thu thập dữ liệu cần thiết, phục vụ công tác điều tra các vụ án liên quan đến tội phạm công nghệ cao một cách chính xác và nhanh chóng.

Có ba cách cho phép điện thoại di động có thể dễ dàng kết nối với máy tính Đó là:

- Kết nối qua cổng hồng ngoại

- Kết nối thông qua cáp dữ liệu

Kỹ thuật khai thác dữ liệu trên SIM

SIM điện thoại thường chứa các thông tin quan trọng như tin nhắn SMS và danh bạ Mặc dù có thể truy xuất dữ liệu trực tiếp trên điện thoại, nhưng phương pháp này thường không hiệu quả và không khôi phục được dữ liệu đã bị xóa Để khai thác toàn bộ dữ liệu trên SIM, cần kết nối SIM trực tiếp với máy tính bằng đầu đọc thẻ SIM chuyên dụng.

- Lắp SIM vào khe cắm SIM trên thiết bị

- Gắn thiết bị vào máy tính qua cổng USB

- Chạy phần mềm nhận dạng thiết bị đã cài đặt trên máy tính để kiểm tra kết nối

- Nhập mã PIN (nếu SIM được bảo vệ bằng mã PIN)

- Nhấn Connect để kết nối SIM với máy tính

Phương pháp chụp ảnh dữ liệu trên SIM có thể bị hạn chế do các cơ chế bảo mật tích hợp trong các modul Thay vào đó, các công cụ giám định sử dụng lệnh gọi là APDUs để truy cập dữ liệu từ các file hệ thống, giúp khai thác dữ liệu logic trên SIM Giao thức APDUs cho phép trao đổi các lệnh và đáp ứng đơn, trong đó từng phần tử của hệ thống tệp tin được định nghĩa theo chuẩn GSM để phục vụ việc đọc dữ liệu liên quan đến điều tra Công cụ giám định có thể lựa chọn khai thác trạng thái mã PIN hoặc khôi phục dữ liệu liên quan đến vụ án Tuy nhiên, sự khác biệt giữa các công cụ nằm ở khả năng khôi phục dữ liệu: có thể chỉ lấy một phần liên quan hoặc phục hồi toàn bộ dữ liệu, mặc dù chỉ một số dữ liệu nhất định phù hợp với mục đích điều tra.

Kỹ thuật khai thác dữ liệu trên thẻ nhớ

Các điện thoại di động sử dụng nhiều loại thẻ nhớ khác nhau, từ dung lượng 8MB đến 512GB hoặc hơn, giúp lưu trữ dữ liệu di động mà không cần nguồn điện Thẻ nhớ ngày càng nhỏ gọn với dung lượng lưu trữ lớn hơn, dễ dàng phát hiện và khai thác dữ liệu qua các công cụ giám định chuyên dụng Tuy nhiên, dữ liệu đã bị xóa khó có thể phục hồi nếu sử dụng kỹ thuật khai thác dữ liệu logic, do đó, việc xử lý thẻ nhớ như một ổ đĩa cứng di động để chụp ảnh và phân tích là phương pháp tối ưu, kết hợp với các công cụ giám định và đầu lọc thẻ ngoài để đảm bảo an toàn và chính xác trong quá trình phục hồi dữ liệu.

Một số công cụ phục vụ trong điều tra thiết bị di động

Các công cụ hỗ trợ điều tra thiết bị di động ngày càng phong phú, được phát triển bởi các hãng nổi tiếng hoặc các chuyên gia lập trình chuyên sâu Để thu thập chứng cứ số một cách hiệu quả, cần linh hoạt sử dụng và kết hợp nhiều công cụ khác nhau như Network Connections, WPDeviceManager, PwnageTool, OXYGEN, Apktool, iPhone Analyzer và Wireshark Việc hiểu rõ các công cụ này giúp nâng cao khả năng điều tra, bảo vệ bằng chứng số và đảm bảo độ chính xác của quá trình phân tích.

Network Connection là ứng dụng miễn phí cho thiết bị Android giúp người dùng theo dõi các tiến trình hoạt động và luồng dữ liệu trên các kết nối mạng của thiết bị Công cụ này có khả năng phát hiện các ứng dụng gián điệp đang âm thầm chạy và lấy cắp dữ liệu cá nhân Đặc biệt, Network Connection hoạt động nhẹ nhàng, không gây tốn bộ nhớ hay ảnh hưởng đến hiệu suất hệ thống, và không yêu cầu root máy để sử dụng.

WireShark là phần mềm hỗ trợ xử lý các sự cố mạng, giám sát và phân tích các kết nối mạng, với khả năng chặn bắt gói tin hiệu quả Được phát hành lần đầu tiên năm 1998 dưới tên gọi Ethereal, WireShark đã trải qua nhiều phát triển và trở thành công cụ phổ biến trong lĩnh vực an ninh mạng Phần mềm này hoạt động trên nhiều hệ điều hành, hỗ trợ tới 850 giao thức khác nhau, đồng thời cung cấp giao diện thân thiện, dễ sử dụng WireShark còn có các phiên bản thương mại và miễn phí, giúp người dùng tùy chỉnh phù hợp với nhu cầu của mình.

Apktool là bộ công cụ quan trọng để dịch ngược các ứng dụng chạy trên Android, giúp các nhà phát triển và nghiên cứu phân tích mã nguồn của ứng dụng Các file apk là dạng file đóng gói, có thể dễ dàng giải nén để lấy ra các tệp đã được dịch, nhưng không thể đọc trực tiếp mã nguồn của ứng dụng Với Apktool, người dùng có thể chuyển đổi file apk thành các định dạng như smali hoặc dex, từ đó dễ dàng phân tích hoạt động cốt lõi của phần mềm Đây là công cụ không thể thiếu trong quá trình điều tra bảo mật và nghiên cứu ứng dụng Android.

Windows Phone Device Manager là công cụ đồng bộ hóa dữ liệu giữa thiết bị di động và máy tính, phù hợp cho hệ điều hành Windows Phone Phần mềm này giúp can thiệp vào hệ thống để điều chỉnh, quản lý và kiểm tra các thay đổi của ứng dụng trước và sau khi cài đặt trên thiết bị Ngoài ra, Windows Phone Device Manager cho phép người dùng dễ dàng truy cập các chức năng nhắn tin, email trực tiếp trên máy tính, đồng thời hỗ trợ chia sẻ dữ liệu giữa hai thiết bị một cách tiện lợi và tăng cường hiệu suất phần cứng.

Ngày đăng: 26/02/2023, 16:33

TRÍCH ĐOẠN

Hệ thống thông tin di động

Kỹ thuật khai thác dữ liệu bộ nhớ trong

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm

w