• Từ năm 1940 trở đi, George Stiblitz của Phòng thí nghiệm Bell Atlantic đã phát triển một số máy tính bao gồm cả Model 5 và trình diễn một máy tính chuyển tiếp • Sau đó, vào năm 1941,
Trang 1GV hướng dẫn: Ths Nguyễn Đức Toàn
THUẬT SỐ
Môn: An toàn và bảo mật thông tin
Trang 2• Vũ Trọng Nhân - 20198252
• Nguyễn Anh Tuấn – 20198268
• Nguyễn Huy Hoàng - 20198227
Trang 3• Vào đầu những năm 1800, Jacquard đã phát triển ý tưởng của Falcon và Vaucanson (những người có thể đã bị ảnh hưởng bởi máy dệt của Trung Quốc vào thế kỉ thứ hai ) để tạo ra một máy dệt tự động
• Sau đó vào những năm 1800, Augusta Ada đề xuất một sử dụng hệ thống hệ nhị phân thay vì hệ thập phân và George Boole đã phát triển logic Boolean.
• Từ năm 1940 trở đi, George Stiblitz của Phòng thí nghiệm Bell Atlantic đã phát triển một
số máy tính bao gồm cả Model 5 và trình diễn một máy tính chuyển tiếp
• Sau đó, vào năm 1941, một kỹ sư người Đức tên là Konrad Zuse dường như đã tạo ra một máy tính nhị phân điện tử có tên là Z3 sử dụng phim cũ để lưu trữ các chương trình và dữ liệu của mình.
• Máy tính cá nhân trở nên khả thi vào năm 1974 khi một công ty nhỏ có tên là Intel bắt đầu bán chip máy tính rẻ tiền được gọi là bộ vi xử lý 8080 Một bộ vi xử lý 8080 duy nhất chứa tất cả các mạch điện tử cần thiết để tạo một máy tính có thể lập trình được
Trang 4Các hoạt động cơ bản của
máy tính
Trung tâm xử lý (CPU)
Mỗi lần bật máy tính, máy tính phải tự làm quen với nội bộ ,các
thành phần của nó và thế giới ngoại vi Quá trình khởi động này
được gọi là boot process Các quá trình khởi động có ba giai đoạn
cơ bản: đặt lại đơn vị xử lý trung tâm (CPU), tự kiểm tra khi bật
nguồn (POST) và khởi động đĩa.
Trang 5Hệ thống đầu vào và
đầu ra
BIOS xử lý chuyển động cơ bản của dữ liệu xung quanh máy
tính Mọi chương trình chạy trên máy tính sử dụng BIOS để giao
tiếp với CPU Một số chương trình BIOS cho phép một cá nhân
đặt mật khẩu, cho đến khi mật khẩu được nhập vào, BIOS sẽ
không chạy và máy tính sẽ không chạy.
Trang 6• Máy tính sử dụng chip RAM CMOS để lưu lại ngày, giờ, ổ cứng thông số và các chi tiết
cấu hình khác trong khi nguồn chính của máy tính tắt Một nguồn Pin nhỏ cung cấp năng lượng cho chip CMOS — các máy tính cũ hơn có thể không khởi động được ngay cả khi nguồn chính được bật vì pin CMOS này đã hết, khiến máy tính "quên" cài đặt phần cứng của nó
• Sử dụng công cụ cấu hình CMOS, có thể xác định hệ thống thời gian, xác định xem
trước tiên máy tính sẽ cố gắng tìm hệ điều hành trên ổ cứng chính hay ổ đĩa khác và
thay đổi cài đặt máy tính cơ bản như cần thiết Khi thu thập bằng chứng kỹ thuật số từ máy tính, thường cần làm gián đoạn quá trình khởi động và kiểm tra cài đặt CMOS
chẳng hạn như hệ thống ngày giờ, cấu hình ổ cứng và trình tự khởi động
Trang 7• Hệ điều hành mở rộng các chức năng của BIOS và hoạt động như một giao diện giữa máy tính và thế giới bên ngoài Nếu không có hệ điều hành, sẽ rất khó để tương tác với máy tính — các lệnh cơ bản sẽ không khả dụng, dữ liệu sẽ không được sắp xếp trong các tệp và thư mục và phần mềm sẽ không chạy trên máy.
• Hầu hết các máy tính đều mong đợi một hệ điều hành được cung cấp trên đĩa mềm, đĩa cứng, hoặc đĩa nén Máy tính tải hệ điều hành đầu tiên mà nó tìm thấy
Sự thật này cho phép bất kỳ ai cũng có thể thay thế hệ điều hành chính của máy bằng cách cung cấp một hệ điều hành thay thế trên một đĩa khác Ví dụ, một đĩa mềm có chứa hệ điều hành có thể được chèn vào vào một máy tính dựa trên Intel
để ngăn hệ điều hành trên đĩa cứng tải lên
• Khả năng ngăn máy tính sử dụng hệ điều hành trên đĩa cứng này rất quan trọng khi đĩa chứa bằng chứng Các nhà điều tra kỹ thuật số không nên cố gắng thực hiện các hành động như vậy trên một máy tính chứa bằng chứng trừ khi họ đã quen thuộc với loại hệ thống cụ thể
Trang 8Biểu diễn dữ liệu
• Tất cả dữ liệu kỹ thuật số về cơ bản là sự kết hợp của số một và số không, thường được gọi là bit Các nhà điều tra
kỹ thuật số thường cần xử lý dữ liệu ở cấp độ bit, đòi hỏi sự hiểu biết về cách các hệ thống khác nhau biểu diễn dữ liệu.
• Cho dù dữ liệu kiểu đầu to hay đầu nhỏ , thì biểu diễn dữ liệu nhị phân này (những số một và số không) là khá cồng kềnh Thay vào đó, các nhà điều tra kỹ thuật số thường xem cách biểu diễn dữ liệu theo hệ thập lục phân Một cách biểu diễn dữ liệu thường được sử dụng khác là ASCII Tiêu chuẩn ASCII quy định rằng tổ hợp của số một và số không đại diện cho các chữ cái và số nhất định.
• Về mặt khái niệm, các chương trình hiển thị từng byte dữ liệu trong hệ thập lục phân và định dạng ASCII giống như kính hiển vi, cho phép các nhà điều tra kỹ thuật số xem các đặc điểm thường không nhìn thấy được
Trang 9Biểu diễn dữ
liệu
Trang 10Định dạng tệp
• Nhiều loại tệp có cấu trúc đặc biệt được thiết kế bởi các nhà phát triển phần mềm hoặc cơ quan tiêu chuẩn và có thể hữu ích cho việc phân loại và khôi phục các đoạn dữ liệu .
• Ví dụ: một định dạng tệp đồ họa như JPEG có cấu trúc hoàn toàn khác với tài liệu Microsoft Word, bắt đầu bằng một vài byte đầu tiên ở đầu tệp (“tiêu đề”), tiếp tục đến các vị trí lưu trữ dữ liệu trong phần chính của tệp và kết thúc bằng một vài byte đặc biệt ở cuối tệp (“footer”)
Trang 11Định dạng tệp
Trang 12Định dạng tệp • Các tiêu đề phổ biến trong tệp hình ảnh JPEG, tài
liệu Word và các loại tệp khác thường được gọi là chữ ký tệp và có thể được sử dụng để định vị và phục hồi các phần của tệp đã xóa
• Quá trình tìm kiếm một chữ ký tệp và cố gắng trích xuất dữ liệu liên quan được gọi là "khắc" vì về mặt khái niệm, nó liên quan đến việc cắt một phần dữ liệu cụ thể ra khỏi một tập dữ liệu lớn hơn
• Khắc trong bối cảnh pháp y kỹ thuật số sử dụng các đặc điểm của một lớp tệp nhất định để định vị các tệp đó trong luồng dữ liệu thô, chẳng hạn như các cụm chưa được phân bổ trên ổ cứng Ví dụ: phần đầu và phần cuối của trang Web (HTML) được đánh dấu lần lượt bằng “<html>” và “</html>”
Trang 13• Để làm cho quá trình này hiệu quả hơn, các công cụ đã được phát triển để tự động hóa quá trình khắc cho các loại tệp khác nhau Những công cụ này có thể hữu ích để khôi phục các phân đoạn video
kỹ thuật số được tạo bằng Webcam, thường ở định dạng AVI, MPEG hoặc Quicktime và có thể bị xóa thường xuyên Kỹ thuật khắc này cũng hoạt động để trích xuất các tệp từ bộ nhớ vật lý của thiết bị di động và từ lưu lượng mạng thô Ngoài ra, thiết bị di động có thể chứa
dữ liệu đã xóa có thể khôi phục được bằng các công cụ chuyên dụng
• Có một số hạn chế đối với cách tiếp cận này để lấy dữ liệu từ phương tiện lưu trữ:
o Đầu tiên, tên tệp và dấu ngày-giờ được liên kết với tệp khi nó được hệ thống tệp tham chiếu không được phục hồi cùng với dữ liệu
o Thứ hai, kích thước của tệp gốc có thể không được biết, do đó cần phải đoán xem cần khắc bao nhiêu dữ liệu
o Thứ ba, khi tệp gốc bị phân mảnh, một quy trình khắc đơn giản giả định rằng tất cả các phần của tệp được lưu trữ liền kề trên đĩa
sẽ không thành công, việc trục vớt các đoạn của nhiều tệp và kết hợp chúng thành một vùng chứa không chính xác
Định dạng tệp
(tiếp)
Trang 14LƯU TRỮ VÀ CHE GIẤU DỮ LIỆU
• Mặc dù phương tiện lưu trữ có nhiều dạng, nhưng đĩa cứng là nguồn cung cấp bằng chứng kỹ thuật số phong phú nhất trên máy tính
• Có một số công nghệ ổ cứng phổ biến Ổ đĩa Điện tử Tích hợp (IDE) — còn gọi là ổ Đính kèm Công nghệ Tiên tiến (ATA) — đơn giản hơn, ít tốn kém hơn và do đó phổ biến hơn ổ SCSI hiệu suất cao hơn
• Điều này đúng đối với các phiên bản mới hơn của những công nghệ này: Ổ đĩa SATA phổ biến hơn ổ SCSI Đính kèm Nối tiếp hiệu suất cao hơn Firewire là sự điều chỉnh của tiêu chuẩn SCSI cung cấp quyền truy cập tốc độ cao vào một chuỗi các thiết bị mà không có nhiều nhược điểm của SCSI như không ổn định và chi phí.
• Bất kể công nghệ nào được sử dụng, các loại của ổ cứng chứa các đĩa quay được làm bằng vật liệu nhẹ, cứng như nhôm, gốm hoặc thủy tinh
Trang 15Ví dụ, Hình 5 cho thấy một đĩa có 64 cung trên mỗi cụm, dẫn đến 32 kbyte trên mỗi cụm (64 cung x 512 byte / sector ÷ 1024 byte)
Trang 16Ẩn / Làm mờ dữ liệu
• Có một số sắc thái đối với ổ cứng cho phép một cá nhân khôn ngoan che giấu
sự hiện diện của một lượng lớn dữ liệu trên chúng.
• Hình trụ đầu tiên trên đĩa (còn gọi là rãnh bảo trì) được sử dụng để lưu trữ thông tin về ổ đĩa như hình dạng của nó và vị trí của các thành phần xấu Bằng cách cố ý đánh dấu các phần của đĩa là xấu, một cá nhân có thể che giấu dữ liệu trong các khu vực này khỏi hệ điều hành
• Trong một số tình huống, sự cố xảy ra khi sử dụng các công cụ pháp y để thu thập dữ liệu từ phương tiện lưu trữ khiến một số khu vực bị bỏ sót Các ví dụ phổ biến nhất về vấn đề này là lớp phủ cấu hình ổ đĩa (DCO) và vùng được bảo
vệ trên máy chủ (HPA), giúp ẩn hiệu quả các phần của ổ cứng khỏi BIOS và hệ điều hành (Gupta, Hoeschele, & Rogers, 2006).
Trang 17Ẩn / Làm mờ dữ liệu
• Trên thực tế, sự hiện diện của DCO hoặc HPA không nhất thiết chỉ ra việc ẩn dữ liệu vì những khu vực này được các nhà sản xuất máy tính sử dụng cho các mục đích khác nhau Các cách tiếp cận đơn giản hơn, phổ biến hơn để ẩn dữ liệu trên phương tiện lưu trữ là phân vùng ẩn và đĩa mã hóa
• Mã hóa phương tiện lưu trữ là một trong những phương pháp che giấu hiệu quả nhất vì nội dung chỉ có thể được truy cập bằng khóa giải mã thích hợp như được thảo luận ở phần sau của chương này.
Trang 18• Các hệ thống tập tin như FAT16, FAT32, NTFS, HFS( hệ thống file nhị phân Macintosh), HFS+, Exts2(Linux) và UFS(Solaris) theo dõi vị trí của dữ liệu trên một ổ cứng, cung cấp những file và tệp có cấu trúc tương tự.
• Trước khi một hệ thống file được hình thành, một phân vùng phải được hình thành để định rõ phần ổ cứng mà nó sẽ chiếm lĩnh Sector đầu tiên của một ổ cứng chứa bản ghi khởi động chính (MBR) lưu trữ một bảng phân vùng ổ cứng để thông báo với hệ điều hành ổ cứng được chia thành các phần nào.
HỆ THỐNG
TẬP TIN VÀ
LƯU TRỮ DỮ
LIỆU
Trang 19Mô tả đơn giản về cấu
trúc đĩa với hai phân
vùng, mỗi phân vùng
chứa một ổ đĩa được
định dạng FAT.
Trang 20thông tin về phân vùng đó.
Ví dụ sau đây biểu diễn đầu ra của lệnh
Linux fdisk chạy trên một máy tính Dell với
hai ổ cứng Việc không nhận ra hệ thống
này có hai ổ cứng có thể để lại kết quả là
mất mát bằng chứng số.
Trang 22KIEN.THUC.co.ban.ve.may.TINH.CHO.NHA.dieu.TRA.ky.THUAT.soKIEN.THUC.co.ban.ve.may.TINH.CHO.NHA.dieu.TRA.ky.THUAT.soKIEN.THUC.co.ban.ve.may.TINH.CHO.NHA.dieu.TRA.ky.THUAT.soKIEN.THUC.co.ban.ve.may.TINH.CHO.NHA.dieu.TRA.ky.THUAT.soKIEN.THUC.co.ban.ve.may.TINH.CHO.NHA.dieu.TRA.ky.THUAT.soKIEN.THUC.co.ban.ve.may.TINH.CHO.NHA.dieu.TRA.ky.THUAT.soKIEN.THUC.co.ban.ve.may.TINH.CHO.NHA.dieu.TRA.ky.THUAT.soKIEN.THUC.co.ban.ve.may.TINH.CHO.NHA.dieu.TRA.ky.THUAT.so
Trang 23• Khi một phân vùng được tạo ra, nó có thể được format với bất kì hệ thống tập tin nào Ví dụ, một hệ thống tập tin FAT có thể được tạo ra bằng lệnh format trên windows Phần diện tích vận hành bởi hệ thống tập tin được gọi là ổ đĩa, ấn định bằng một chữ cái như C: bởi hệ điều hành.
• Format một ổ đĩa cũng như tiêu hủy quyển danh mục trong thư viện nhưng vẫn
để sách lên trên kệ Ta vẫn có thể tìm được quyển sách mình cần chỉ là nó tốn thời gian hơn Mô hình 15.7 thể hiện một ổ NTFS đã được format lại theo cấu trúc của tệp trước đó sử dụng EnCase.
•
Trang 24• Sector đầu tiên của mỗi ổ đĩa gọi là boot sector, bao gồm những thông tin quan trọng về hệ thống tập tin Ví dụ, hình 15.8 thể hiện boot sector của máy Windows 95 Nó chỉ ra rằng 2 bản sao của bản phân phối tập tin (FAT) đang sẵn
có – bảng này tương đương với quyển danh mục của thư viện mà một bản sao
sự phòng trong trường hợp bản chỉnh bị hỏng hoặc tiêu hủy Hình trên cũng chỉ
ra rằng từng cụm dữ liệu trên đĩa cũng khá lớn (64 sector/ cụm x 512b/ sector = 32kb).
Trang 25• Có một vài chức năng của hệ thống tập tin hữu dụng trong việc khôi phục dữ liệu Khi một tập tin chiếm không hết không gian của 1 cụm, những tập tin khác
sẽ không sử dụng phần không gian thừa đó Nói ngắn gọn hơn, nếu một cụm chứa dữ liệu, cả cụm đó là đã được đặt trước.
• Nếu một chiếc máy tính có nhét thêm dữ liệu vào phần không gian không được
sử dụng ấy, những dữ liệu mới có thể chen vào những dữ liệu cũ Những sector thừa ra trong một cụm gọi là không gian khe hở tập tin.
Trang 27Cơ bản của mã hóa
• Mã hóa là một quá trình mà một đối tượng số có thể đọc được chuyển đổi vào một đối tượng số không đọc được (ciphertext) sử dụng một toán học hàm Các sơ đồ mã hóa mạnh dùng một mật khẩu, được gọi là chìa khóa.
• Ví dụ, rot13 là một mã đơn giản để thay thế mỗi chữ cái trong thông điệp plaintext với chữ cái là 13 chữ cái xa hơn trong bảng chữ cái (a là z) Vậy,
a trở thành n, b trở thành o, v v.
• ROT13 thường được sử dụng trong các nhóm tin tức để làm xáo trộn các thông báo có khả năng bị phản đối, cho phép người đọc quyết định xem có nên giải mã thông báo đó hay không Thông báo Usenet sau thể hiện ứng dụng này của ROT13:
Trang 28
Newsgroups: soc.religion.christian
Date: 2000-10-02 20:58:37 PST
[This posting asks advice on a sexually explicit topic My first reaction is
that it’s a troll, but perhaps I’m just narrow-minded To avoid offending
people, the body of the posting has been translated using rot13.]
Uv,
Sbetvir zr sbe orvat irel senax urer Zl jvsr naq V unir n ceboyrz V
nz cerggl “bhg gurer” jura vg pbzrf gb zl frkhny cersreraprf Zl jvsr,
ubjrire, vf n irel pbafreingvir fznyy-gbja tvey jura vg pbzrf gb gung
Fcrpvsvpnyyl, V nz irel ghearq ba zl fcnaxvat, jurernf zl jvsr frrf ab cynpr
sbe vg ng nyy va gur orqebbz
V xabj gung gurer ner thlf nebhaq jub tvir cevingr fcnaxvatf Ab frkhny
pbagnpg; whfg gur tengvsvpngvba vaurerag gurerva Vs V pbhyq qb
guvf, vg jbhyq zrrg zl arrq, naq rnfr zl sehfgengvba Bayl ceboyrzf ner:
zl jvsr rdhngrf vg gb purngvat, ba gur tebhaqf gung vg vaibyirf obqvyl
pbagnpg sbe frkhny tengvsvpngvba, naq V unir qbhogf nobhg jurgure
vg’f ernyyl BX sbe n Tbq-srnevat Puevfgvna gb qb gung V jnag gb
yvir va chevgl orsber Tbq, ohg V nyfb unir guvf fgebat hetr naq qrfver
Nalbar unq nal fvzvyne rkcrevraprf be pna bssre nal uryc?
Gunaxf
N.O
Frag ivn Qrwn.pbz uggc://jjj.qrwn.pbz/
Orsber lbh ohl
Trang 29Mã Hóa Khóa Riêng
Mã hóa khóa cá nhân (còn gọi là mã hóa khóa đối
xứng) về mặt khái niệm rất đơn giản — khóa tương
tự được sử dụng để mã hóa một tin nhắn cũng được
sử dụng để giải mã nó
Một số thuật toán mã hóa khóa đối xứng
thường được sử dụng là DES, IDEA và
Blowfish
Trang 30Mã Khóa Công Khai
• Hai thuật toán khóa công khai thường được sử
dụng là RSA và DSA.
• Một cá nhân phổ biến một phần thông tin được
gọi là khóa công khai mà bất kỳ ai cũng có thể
sử dụng để mã hóa một thông điệp và chỉ người
nhận dự định sở hữu khóa cá nhân tương ứng
mới có thể giải mã thông điệp
• Bạn có thể tạo hàng nghìn ổ khóa giống hệt nhau
và phân phối chúng trên khắp thế giới để bất kỳ
ai muốn gửi tin nhắn riêng tư cho bạn đều có thể
lấy một trong các ổ khóa của bạn và sử dụng nó
để bảo mật tin nhắn riêng tư.
Trang 31Mã Hóa Email
Một trong những cách sử dụng phổ biến nhất của mã hóa là với mail Khi mail được truyền trên Internet, các thông điệp phải đi qua các máy tính trung gian trên Internet.
e- Ngoài ra, bất kỳ ai cũng có thể thay đổi một tin nhắn trên đường đi, làm ảnh hưởng đến tính toàn vẹn của nó.
Các chương trình mã hóa như PGP cho phép các cá nhân mã hóa và ký tin nhắn, bảo vệ nội dung đang chuyển tiếp và cung cấp một số đảm bảo rằng tin nhắn đó
là từ một cá nhân cụ thể và không đã được thay đổi kể từ khi nó được tạo bởi người gửi