Phân tích và điều tra số một số ứng dụng mạng xã hội trên thiết bị di động

Cấu trúc luận văn chia thành ba chương: Chương 1. Tổng quan điều tra thiết bị di động và ứng dụng mạng xã hội: Giới thiệu về điều tra số, chứng cứ số, tìm hiểu thiết bị động, hệ điều hành thiết bi di động. Giới thiệu điều tra chứng cứ số trên thiết bị di động, chứng cứ số liên quan các hoạt động người dùng trên các ứng dụng mạng xã hội, vị trí các chứng cứ này được lưu trữ trong bộ nhớ thiết bị di động. Tìm hiểu quy trình điều tra số, những thách thức phải đối mặt khi thực hiện điều tra số trên thiết bị di động. So sánh sự khác nhau cơ bản giữa điều tra số thiết bị di động với điều tra số trên máy tính. Chương 2. Kỹ thuật phân tích và điều tra số trên thiết bị di động: Tìm hiểu những dữ liệu lưu trữ trên thiết bị di động có thể khai thác để thu thập thông tin phục vụ điều tra. Nghiên cứu quy trình điều tra số trên thiết bị di động do NIST đề xuất. Áp dụng quy trình này vào phân tích và điều tra số trên thiết bị di động iPhone. Chương 3. Phân tích và điều tra số một số ứng dụng mạng xã hội trên thiết bị di động: Áp dụng quy trình điều tra số trên thiết bị di động để thu thập, phân tích và điều tra chứng cứ số liên quan đến hoạt động người dùng trên ứng dụng mạng xã hội phổ biến Facebook, WhatsApp, và không phổ biến Line.

LỜI CẢM ƠN ERROR! BOOKMARK NOT DEFINED.

LỜI CAM ĐOAN ERROR! BOOKMARK NOT DEFINED.

MỤC LỤC I

DANH MỤC TỪ VIẾT TẮT V

DANH MỤC BẢNG BIỂU VI

DANH MỤC HÌNH VII

MỞ ĐẦU 1

1 LÝ DO CHỌN ĐỀ TÀI 1

2 MỤC TIÊU NGHIÊN CỨU 2

3 PHƯƠNG PHÁP NGHIÊN CỨU 2

4 GIỚI HẠN VÀ PHẠM VI NGHIÊN CỨU 3

5 TỔNG QUAN NGHIÊN CỨU 3

6 CẤU TRÚC LUẬN VĂN 4

CHƯƠNG 1 5

TỔNG QUAN ĐI ỀU TRA SỐ THIẾT BỊ DI ĐỘNG 5

VÀ ỨNG DỤNG MẠNG XÃ HỘI 5

1.1 TỔNG QUAN VỀ ĐIỀU TRA SỐ 5

1.1.1 Giới thiệu về điều tra số 5

1.1.2 Chứng cứ số 5

1.1.3 Quy trình điều tra số 6

1.2 ĐIỀU TRA SỐ TRÊN THIẾT BỊ DI ĐỘNG 7

1.2.1 Sự cần thiết điều tra số trên thiết bị di động 8

1.2.2 So sánh điều tra số thiết bị di động với điều tra số máy tính 9

1.2.3 Những thách thức điều tra số trên thiết bị di động 10

1.3 GIỚI THIỆU ĐIỀU TRA SỐ ỨNG DỤNG MẠNG XÃ HỘI 12

1.3.1 Sơ lược mạng xã hội 12

1.3.3 Điều tra số ứng dụng mạng xã hội 15

1.4 CÔNG NGHỆ THIẾT BỊ DI ĐỘNG 16

1.4.1 Thiết bị di động 16

1.4.2 Bộ nhớ thiết bị di động 17

1.4.3 Thẻ SIM 18

1.4.4 Hệ điều hành thiết bị thông minh 20

KẾT LUẬN CHƯƠNG 1 24

CHƯƠNG 2 25

KỸ THUẬT PHÂN TÍCH VÀ ĐI ỀU TRA SỐ TRÊN THIẾT BỊ DI ĐỘNG 25

2.1 CHỨNG CỨ SỐ TRÊN THIẾT BỊ DI ĐỘNG 25

2.2 QUY TRÌNH ĐIỀU TRA SỐ TRÊN THIẾT BỊ DI ĐỘNG 26

2.2.1 Chuẩn bị 26

2.2.2 Thu thập dữ liệu 27

2.2.2.1 Các phương pháp thu thập dữ liệu 28

2.2.3 Phân tích và điều tra 31

2.2.4 Báo cáo 33

2.3 ĐIỀU TRA SỐ THẺ SIM 34

2.4 ĐIỀU TRA CƠ SỞ DỮ LIỆU SQLITE 35

2.5 ĐIỀU TRA DỮ LIỆU ĐÁM MÂY ICLOUD 37

2.6 MỘT SỐ CÔNG CỤ PHÂN TÍCH ĐIỀU TRA SỐ THIẾT BỊ DI ĐỘNG PHỔ BIẾN HIỆN NAY 37

2.6.1 Phần mềm Oxygen Forensics Detective 38

2.6.2 Phần mềm Magnet AXIOM 39

2.6.3 Phần mềm MOBILedit Forensic Express 40

2.6.4 Phần mềm UFED Physical Analyzer 41

2.6.5 Phần mềm Elcomsoft iOS Toolkit 42

2.7 CÔNG NGHỆ THIẾT BỊ IPHONE 42

2.7.1 Chuẩn định dạng hệ thống 42

2.7.2 Phân vùng thiết bị iPhone 43

2.7.3 Cấu trúc thư mục và tệp tin trong hệ điều hành iOS 43

2.7.3.2 Loại tệp tin trong hệ điều hành iOS 45

2.7.4 Bảo mật trong thiết bị iPhone 48

2.7.4.1 Bảo mật phần cứng 49

2.7.4.2 Bảo vệ dữ liệu 49

2.7.4.3 Chuỗi khoá Keychain 49

2.7.4.4 Hộp cát (Sandbox) 50

2.7.4.5 Bảo mật người dùng 50

2.7.4.6 Kỹ thuật jailbreak hệ điều hành iOS 51

2.8 PHÂN TÍCH ĐIỀU TRA CHỨNG CỨ SỐ TRÊN THIẾT BỊ IPHONE 51

2.8.1 Thu thập dữ liệu số thiết bị iPhone 51

2.8.1.1 Thu thập dữ liệu số với ứng dụng iTune 52

2.8.1.2 Thu thập dữ liệu số thiết bị iPhone với phần mềm MOBILedit Forensic 57

2.8.2 Phân tích và điều tra số trên thiết bị iPhone 58

2.8.3 Báo cáo kết quả phân tích và điều tra số trên thiết bị iPhone 64

KẾT LUẬN CHƯƠNG 2 66

CHƯƠNG 3 67

PHÂN TÍCH VÀ ĐIỀU TRA SỐ MỘT SỐ ỨNG DỤNG MẠNG XÃ HỘI TRÊN THIẾT BỊ DI ĐỘNG 67

3.1 CÔNG CỤ VÀ PHƯƠNG THỨC THỰC HIỆN ĐIỀU TRA SỐ MỘT SỐ ỨNG DỤNG MẠNG XÃ HỘI 67

3.1.1 Công cụ thực hiện điều tra số một số ứng dụng mạng xã hội 67

3.1.2 Kịch bản thực hiện điều tra số một số ứng dụng mạng xã hội 68

3.2 THU THẬP DỮ LIỆU SỐ CÁC ỨNG DỤNG MẠNG XÃ HỘI FACEBOOK, WHATSAPP, LINE 70

3.3 PHÂN TÍCH VÀ ĐIỀU TRA CHỨNG CỨ SỐ ỨNG DỤNG MẠNG XÃ HỘI FACEBOOK, WHATSAPP, LINE 72

3.3.1 Phân tích và điều tra chứng cứ số ứng dụng mạng xã hội Facebook 72

3.3.2 Phân tích và điều tra chứng cứ số ứng dụng mạng xã hội WhatsApp 79

3.3.3 Phân tích và điều tra chứng cứ số ứng dụng mạng xã hội Line 84

FACEBOOK, WHATSAPP, LINE 90

KẾT LUẬN VÀ HƯ ỚNG PHÁT TRIỂN 96

1 KẾT LUẬN 96

2 HƯỚNG PHÁT TRIỂN 96

DANH MỤC TÀI LIỆU THAM KHẢO 1

JTAG Joint Test Action Group

SIM Subscriber Identity Module Mô đun nhận dạng chủ thuê

bao ICCID Integrated Circuit Card Identifier Mạch tích hợp nhận dạng thẻ

SIM PDA Personal Digital Assistant Thiết bị số hỗ trợ cá nhân GPS Global Positioning System Hệ thống định vị toàn cầu GPRS General Packet Radio Service Dịch vụ vô tuyến gói tổng hợp CDMA Code Division Multiple Access Đa truy cập phân chia theo mã GSM Global System for Mobile

Communications

Hệ thống thông tin di động toàn cầu

HFS Hierarchical File System Hệ thống tập tin phân cấp

PIN Personal Identification Number Mã số cá nhân

SMS Short Message Service Dịch vụ tin nhắn ngắn

IC Integrated Circuits Mạch điện tử tích hợp

ASCII American Standard Code for

Information Interchange

Chuẩn mã trao đổi thông tin Hoa Kỳ

SHA1 Secure Hash Algorithm 1 Thuật toán bảo mật hàm băm AES Advanced Encryption Standard Tiêu chuẩn mã hóa tiên tiến

Bảng 1.1 Chuẩn định dạng SIM cards 19

Bảng 1.2 Một số hệ điều hành thiết bị di động phổ biến 21

Bảng 2.1 Loại chứng cứ số trên thiết bị di động 25

Bảng 2.2 Lệnh truy vấn SQL trong điều tra số thiết bị di động 36

Bảng 2.3 Vị trí tệp tin sao lưu trên máy tính bởi iTune 53

Bảng 2.4 Dữ liệu số trên thiết bị iPhone 60

Bảng 3.1 Một số công cụ phục vụ điều tra số một số ứng dụng mạng xã hội 67

Bảng 3.2 Một số hoạt động người dùng trên các ứng dụng mạng xã hội 68

Bảng 3.3 Thư mục lưu dữ liệu ứng dụng Facebook 73

Bảng 3.4 Tên miền ứng dụng Facebook và Facebook Messenger 73

Bảng 3.5 Thông tin tài khoản Facebook 73

Bảng 3.6 Miền ứng dụng WhatsApp trên hệ điều hành iOS 79

Bảng 3.7 Dữ liệu ứng dụng Line 84

Bảng 3.8 Miền cài đặt ứng dụng Line trong hệ điều hành iOS 84

Hình 1.1 Quy trình điều tra số do viện tiêu chuẩn NIST đề xuất 7

Hình 1.3 Gia tăng thiết bị thông minh từ năm 2009 đến năm 2019 9 Hình 1.4 Biểu đồ thống kê số lượng tài khoản đăng ký mạng xã hội 13

Hình 2.1 Các phương pháp thu thập dữ liệu từ thiết bị di động 29

Hình 2.6 Phần mềm điều tra số Oxygen Forensics Detective 39

Hình 2.14 Sao lưu dữ liệu iPhone bằng phần mềm iTune 52 Hình 2.15 Thư mục sao lưu dữ liệu thiết bị iPhone với phần mềm iTune 53 Hình 2.16 Dữ liệu sao lưu của thiết bị iPhone với phần mềm iTune 54 Hình 2.17 Tệp tin sao lưu thiết bị iPhone với phần mềm iTune 55

Hình 2.26 Dữ liệu phân tích điều tra bởi phần mềm Oxygen Detective Forensic 61

Hình 2.28 Chi tiết thông tin thiết bị được trích xuất 62

Hình 2.32 Thông tin mật khẩu lưu trong tệp keychain-backup.plist 64 Hình 2.33 Xuất báo cáo điều tra số từ phần mềm Oxygen Forensic Detective 65 Hình 3.1 Các bước thực hiện điều tra số một số ứng dụng mạng xã hội 69 Hình 3.2 Thu thập dữ liệu một số ứng dụng mạng xã hội với phần mềm iTune 71

Hình 3.4 Xử lý dữ liệu thô bằng phần mềm Oxygen Forensic Detective 72 Kết quả sau khi xử lý, thu được số lượng thông tin liên quan đến hoạt động người dùng trên ứng dụng mạng xã hội Facebook, WhatsApp, Line như hình dưới đây: 72 Hình 3.5 Số lượng thông tin người dùng tạo ra trên ba ứng dụng mạng xã hội 72 Hình 3.6 Thông tin tài khoản người dùng ứng dụng Facebook 74 Hình 3.7 Thông tin tài khoản Facebook trong tệp keychain-backup.plist 74 Hình 3.8 Thông tin tài khoản Facebook trong tệp Facebook.plist 75 Hình 3.9 Danh bạ liên hệ tài khoản Facebook và Facebook Messenger 76 Hình 3.10 Nội dung trao đổi tin nhắn trong ứng dụng Facebook Messenger 76 Hình 3.11 Thông tin nhóm người dùng trong ứng dụng Facebook Messenger 77 Hình 3.12 Hoạt động trao đổi tin nhắn nhóm của ứng dụng Facebook Messenger 77 Hình 3.13 Nhật ký gọi thoại trên ứng dụng Facebook Messenger 78 Hình 3.14 Dữ liệu truy cập website trong ứng dụng Facebook 78 Hình 3.15 Điều tra chứng cứ theo dòng thời gian trên ứng dụng Facebook 79

Hình 3.18 Thông tin tài khoản người dùng trên WhatsApp 80 Hình 3.19 Cơ sở dữ liệu danh sách liên lạc trên ứng dụng WhatsApp 81

Hình 3.23 Tin nhắn đa phương tiện 83 Hình 3.24 Dòng thời gian hoạt động người dùng trong WhatsApp 83 Hình 3.25 Cấu trúc thư mục ứng dụng Line trong hệ điều hành iOS 84 Hình 3.26 Thông tin tài khoản người dùng trên ứng dụng Line 85

Hình 3.28 Danh bạ liên lạc người dùng trong ứng dụng Line 86 Hình 3.29 Bảng cơ sở dữ liệu đồng bộ danh bạ điện thoại với tài khoản ứng dụng Line 87

Hình 3.31 Tin nhắn đa phương tiện trong ứng dụng Line 88

Hình 3.33 Dòng thời gian hoạt động người dùng trong ứng dụng Line 89 Hình 3.34 Bảng đồ mối quan hệ các tài khoản mạng xã hội Line 90 Hình 3.35 Chứng cứ người dùng liên quan ứng dụng mạng xã hội 90 Hình 3.36 Chứng cứ số trong ba ứng dụng mạng xã hội sau điều tra 91 Hình 3.37 Chứng cứ số hoạt động trao đổi tin nhắn trên ứng dụng Facebook Messenger

92 Hình 3.38 Chứng cứ số hoạt động trao gọi thoại trên ứng dụng Facebook Messenger 92 Hình 3.39 Chứng cứ số hoạt động trao đổi tin nhắn trên ứng dụng WhatsApp 93 Hình 3.40 Chứng cứ số hoạt động gọi thoại trên ứng dụng WhatsApp 93 Hình 3.41 Chứng cứ số hoạt động trao đổi tin nhắn trên ứng dụng Line 94

MỞ ĐẦU

1 Lý do chọn đề tài

Điều tra số thiết bị di động thuộc lĩnh vực điều tra chứng cứ số, không chỉ giới hạn trong thiết bị di động mà bao gồm cả thiết bị GPS, máy tính bảng, thiết bị PDA và điện thoại thông minh Mục tiêu chính trong điều tra số thiết bị di động là khôi phục, thu thập, trích xuất dữ liệu từ bộ nhớ trong, bộ nhớ ngoài, thẻ SIM, dữ liệu lưu trữ đám mây,… mà không làm thay đổi dữ liệu hay gây hư hỏng phần cứng thiết

bị di động

Trong những năm gần đây với sự gia tăng của thiết bị di động (bao gồm PDA, điện thoại thông minh, thiết bị GPS, máy tính bảng,…) và được người dùng sử dụng rộng rãi [1] Dữ liệu người dùng tạo ra được lưu trữ trên thiết bị, giao tiếp dữ liệu giữa các thiết bị di động rất lớn, đây là nguồn dữ liệu phong phú để khai thác nhiều thông tin liên quan đến vụ án tội phạm Điều tra số thiết bị di động cho phép người điều tra thu thập dữ liệu liên quan về một đối tượng dựa trên hoạt động truyền thông bằng thiết bị di động [2]

Chúng ta đã chứng kiến sự phát triển nhanh chóng của hình thức giao tiếp trực tuyến còn gọi là mạng xã hội Bằng cách tham gia vào các trang web, các dịch

vụ của nhà cung cấp dịch vụ truyền thông, người dùng đã tham gia vào mạng xã hội Đối với hầu hết mọi người đều sử dụng các ứng dụng mạng xã hội để trao đổi thông tin và nhắn tin Điều đó làm cho cuộc sống của chúng ta rất thuận tiện Việc sử dụng ứng dụng mạng xã hội trên điện thoại thông minh ngày càng tăng, khoảng 91% người dùng điện thoại thông minh truy cập mạng xã hội Mạng xã hội ẩn chứa nhiều nguy

cơ tìm ẩn, công cụ mạnh mẽ cho các hoạt động tội phạm Do đó, hiểu biết về các loại chứng cứ liên quan hoạt động của người dùng mạng xã hội trên thiết bị di động rất quan trọng, các chứng cứ này được dùng làm bằng chứng hiệu quả để chứng minh có hoặc không có hoạt động tội phạm [3, 4] Những chứng cứ liên quan đến hoạt động người dùng mạng xã hội như: Tên và mật khẩu đăng nhập ứng dụng, thông tin người dùng, bài viết, tin nhắn đa phương tiện, tin nhắn văn bản, lịch sử truy cập của người dùng, vị trí địa lý, mốc thời gian, dữ liệu người dùng xoá,…[5] Những thông tin người dùng liên quan đến ứng dụng mạng xã hội trên thiết bị di động ngày càng quan trọng trong việc điều tra tội phạm [6]

Vì vậy phân tích và điều tra chứng cứ số trên các ứng dụng mạng xã hội rất cần thiết, giúp các nhà điều tra có chứng cứ liên quan đến hoạt động người dùng mạng

xã hội để bổ sung vào hồ sơ điều tra, làm bằng chứng tại toà án

Nghiên cứu này tác giả tập trung phân tích điều tra chứng cứ số của ba ứng dụng mạng xã hội phổ biến hiện nay Facebook, WhatsApp, Line Các ứng dụng này được cài đặt trên điện thoại Apple iPhone chạy hệ điều hành iOS phiên bản 10.3

2 Mục tiêu nghiên cứu

Tìm ra những chứng cứ số quan trọng liên quan đến hoạt động người dùng trên ba ứng dụng mạng xã hội Facebook, WhatsApp, Line, các chứng cứ đó có thể là thông tin tên và mật khẩu đăng nhập ứng dụng, thông tin người dùng, các bài viết, tin nhắn đa phương tiện, tin nhắn văn bản, lịch sử truy cập của người dùng, vị trí địa lý, mốc thời gian, dữ liệu người dùng xoá,…

Để thực hiện được vấn đề trên tác giả đã áp dụng Quy trình điều tra số thiết

bị di động của Viện Tiêu chuẩn và Công nghệ Hoa Kỳ (NIST) vào hoạt động phân tích điều tra số trên thiết bị di động, nhằm thu thập, phân tích và điều tra, xây dựng báo cáo chi tiết kết quả điều tra số trên ba ứng dụng mạng xã hội Facebook, WhatsApp, Line Kết quả của nghiên cứu này hỗ trợ cho cơ quan thực thi luật pháp trong việc xác định tất cả chứng cứ số liên quan đến mạng xã hội Cơ sở triển khai điều tra số trên những thiết bị di động và các ứng dụng mạng xã hội khác

3 Phương pháp nghiên cứu

Sử dụng quy trình phân tích điều tra số trên thiết bị di động của NIST vào hoạt động điều tra để đảm bảo chất lượng, phương pháp thực nghiệm và kết quả tin cậy

Thực nghiệm điều tra trên ba ứng dụng mạng xã hội phổ biến Facebook, WhatsApp, Line, dữ liệu được thu thập, trích xuất từ điện thoại iPhone cài hệ điều hành iOS phiên bản 10.3 Sử dụng các công cụ điều tra số thiết bị di động chuyên dụng phổ biến hiện nay như Oxygen Forensic Detective, Magnet IEF, Magnet AXIOM, MOBILedit Forensic Express, Elcomsoft Phone Breaker, để thực nghiệm điều tra số

Nghiên cứu được thực hiện từ dữ liệu các hoạt động thực tế người dùng trên

ba ứng dụng mạng xã hội nói trên, mô phỏng điều tra như hoạt động điều tra số trong thực tế

4 Giới hạn và phạm vi nghiên cứu

Nghiên cứu này thực hiện điều tra số đối với ba ứng dụng mạng xã hội phổ biến và không phổ biến hiện nay Facebook, WhatsApp, Line

Điều tra được thực hiện trên điện thoại di động Apple iPhone, cài đặt hệ điều hành iOS

Trong điều kiện giới hạn về công cụ bao gồm phần mềm, thiết bị phần cứng

hỗ trợ và kỹ thuật điều tra, nghiên cứu này tác giả chỉ thực hiện điều tra số đối với thiết bị iPhone đã mở mật khẩu bảo mật người dùng

5 Tổng quan nghiên cứu

Số vụ án liên quan đến mạng xã hội ngày càng tăng, những nhà điều tra tội phạm đã tìm ra một số phương pháp điều tra giúp thu thập được nhiều chứng cứ liên quan đến mạng xã hội Các nghiên cứu gần đây thuộc lĩnh vực này như:

Bader và Baggili thực hiện điều tra thông tin liên quan đến bạn bè trên ứng dụng mạng xã hội Facebook Lessard và Kessler thực nghiệm điều tra số trên điện thoại HTC Hero, đã tìm thấy thông tin hồ sơ người dùng, giải mã mật khẩu và các thông tin liên quan đến ứng dụng mạng xã hội Twitter và Facebook Vào năm 2012, Mutawa và cộng sự tiến hành phân tích, điều tra ba ứng dụng mạng xã hội Facebook, Twitter, MySpace, thực nghiệm trên ba thiết bị di động BlackBerry, iPhone và thiết

bị di động chạy hệ điều hành Android Zhang và Wang đã nghiên cứu tìm những chứng cứ liên quan đến ứng dụng mạng xã hội QQ, WeChat, Sina Weibo, Skype và các ứng dụng mạng xã hội phổ biến tại Trung Quốc (Zhang và Wang, 2013) Hai-Cheng Chu, Szu-Wei Yang, Ching-Hsien Hsu, Jong Hyuk Park đã điều tra hoạt động của người dùng trên ứng dụng Facebook cài đặt trên điện thoại thông minh [1] Công trình điều tra các ứng dụng mạng xã hội phổ biến Facebook, Twitter, LinkedIn và Google+ được cài đặt trên thiết bị thông minh chạy hệ điều hành iOS, Android đã khai thác các chứng cứ liên quan của hoạt động người dùng trên mạng xã hội như: thông tin hồ sơ người dùng, hoạt động thêm, xoá bài viết, cập nhật hình ảnh,…của các tác giả Farhood Norouzizadeh Dezfouli, Ali Dehghantanha, Brett Eterovic-Sori,

Kim-Kwang, Raymond Choo [5] Trong bài luận văn của Masoud H Al Tawqi, ông

đã thiết kế quy trình điều tra số thiết bị di động [7] Meanwhile, Tso và cộng sự sử dụng iTune để sao lưu dữ liệu điện thoại iPhone 4 cài đặt hệ điều hành iOS phiên bản 4.3.5, họ tiến hành phân tích điều tra các ứng dụng mạng xã hội Facebook, Skype, Viber và một số ứng dụng khác, trong nghiên cứu này đã đưa ra từng tên và vị trí các tệp chứa dữ liệu các ứng dụng mạng xã hội [8, 9] Jung Hyun Ryu và cộng sự đã áp dụng quy trình điều tra của NIST tiến hành điều tra mạng xã hội Instagram, nghiên cứu của ông tiến hành trên điện thoại iPhone 6S, áp dụng phương pháp thu thập dữ liệu cục bộ, sử dụng các phần mềm miễn phí để thực hiện điều tra [8] Và nhiều công trình nghiên cứu khác liên quan đến việc khai thác chứng cứ số các ứng dụng mạng

xã hội trên thiết bị di động

6 Cấu trúc luận văn

Cấu trúc luận văn chia thành ba chương:

Chương 1 Tổng quan điều tra thiết bị di động và ứng dụng mạng xã hội: Giới thiệu về điều tra số, chứng cứ số, tìm hiểu thiết bị động, hệ điều hành thiết bi di động Giới thiệu điều tra chứng cứ số trên thiết bị di động, chứng cứ số liên quan các hoạt động người dùng trên các ứng dụng mạng xã hội, vị trí các chứng cứ này được lưu trữ trong bộ nhớ thiết bị di động Tìm hiểu quy trình điều tra số, những thách thức phải đối mặt khi thực hiện điều tra số trên thiết bị di động So sánh sự khác nhau cơ bản giữa điều tra số thiết bị di động với điều tra số trên máy tính

Chương 2 Kỹ thuật phân tích và điều tra số trên thiết bị di động:

Tìm hiểu những dữ liệu lưu trữ trên thiết bị di động có thể khai thác để thu thập thông tin phục vụ điều tra Nghiên cứu quy trình điều tra số trên thiết bị di động

do NIST đề xuất Áp dụng quy trình này vào phân tích và điều tra số trên thiết bị di động iPhone

Chương 3 Phân tích và điều tra số một số ứng dụng mạng xã hội trên thiết

bị di động:

Áp dụng quy trình điều tra số trên thiết bị di động để thu thập, phân tích và điều tra chứng cứ số liên quan đến hoạt động người dùng trên ứng dụng mạng xã hội phổ biến Facebook, WhatsApp, và không phổ biến Line

CHƯƠNG 1 TỔNG QUAN ĐIỀU TRA SỐ THIẾT BỊ DI ĐỘNG

VÀ ỨNG DỤNG MẠNG XÃ HỘI

1.1 Tổng quan về điều tra số

1.1.1 Giới thiệu về điều tra số

Điều tra số (Digital Forensics) là một nhánh của ngành khoa học điều tra,

đề cập đến việc sử dụng các phương pháp, công cụ kỹ thuật khoa học đã được thẩm định để thu thập, bảo quản, phân tích, lập báo cáo và trình bày những thông tin thực tế từ các nguồn dữ liệu số với mục đích tạo điều kiện hoặc thúc đẩy việc tái hiện lại các sự kiện nhằm tìm ra hành vi phạm tội hay hỗ trợ cho việc dự đoán các hoạt động trái phép như cố ý xâm nhập, tấn công hoặc gây gián đoạn quá trình làm việc của hệ thống [10]

Theo tổ chức DFRWS (Digital Forensics Research Work Shop) định nghĩa

về điều tra số “Mục tiêu của điều tra số là khôi phục, trích xuất và phân tích điều tra

dữ liệu thô được lưu trữ trên thiết bị điện tử và thiết bị số mà không làm thay đổi dữ liệu hiện có trên thiết bị” Trong những năm qua, điều tra số đã phát triển, cùng với

sự phát triển nhanh chóng của máy tính và các thiết bị số khác, xuất hiện nhiều nhánh điều tra số khác nhau dựa trên loại thiết bị số có liên quan, điều tra số bao gồm điều tra máy tính, điều tra mạng máy tính, điều tra thiết bị di động, điều tra thiết bị IoT, điều tra số đám mây, điều tra mạng xã hội [11]

1.1.2 Chứng cứ số

Thời gian qua có nhiều định nghĩa khác nhau từ các đơn vị, tổ chức về lĩnh vực điều tra chứng cứ số, đa phần họ tập trung ở khía cạnh bằng chứng được công nhận tại toà án, đơn cử như đề xuất của tổ chức Tiêu chuẩn về bằng chứng kỹ thuật

Trong khi các định nghĩa trước đây đều tập trung vào những bằng chứng chứng minh hành vi tội phạm, vào năm 2006, Carrier đã mở rộng định nghĩa về bằng chứng kỹ thuật số như sau:

“Dữ liệu số hỗ trợ hoặc bác bỏ giả thuyết về các sự kiện kỹ thuật số hoặc trạng thái của dữ liệu số” [12]

Xuất phát từ quan điểm tiêu chuẩn hoá, ngoài những hướng cho điều tra số trên thiết bị cầm tay như ấn phẩm hướng dẫn của tổ chức NIST, còn có tiêu chuẩn từ ISO/IEC phát hành năm 2012, hướng dẫn ISO 27037 về nhận dạng, thu thập và bảo quản chứng cứ số được chấp nhận tại toà án ở nhiều quốc gia khác nhau Nó không chỉ dành riêng cho thiết bị máy tính hay thiết bị di động, mà dành cho bằng chứng kỹ thuật số nói chung Các tiêu chuẩn này hướng đến áp dụng trên phạm vi toàn cầu, vì tội phạm liên quan kỹ thuật số không có phạm vi biên giới [12]

1.1.3 Quy trình điều tra số

Trong cộng đồng khoa học điều tra số, Reith (2002) mô tả lĩnh vực điều tra

có thể sử dụng để phát hiện và ngăn chặn tội phạm trong bất kỳ tranh chấp nào Điều tra số máy tính tuân theo quy trình tương tự như các lĩnh vực điều tra khác

và đối mặt với những thách thức” [13]

Kent, Chevalier, Grance, và Dang làm việc tại NIST đã đề xuất quy trình điều tra số với bốn giai đoạn: Thu thập, Điều tra, Phân tích, Báo cáo [11, 14, 15] Đây là quy trình chuẩn cơ bản cho kỹ thuật điều tra số thường hay áp dụng trong các cuộc điều tra

Hình 1.1 Quy trình điều tra số do viện tiêu chuẩn NIST đề xuất

Thu thập: Đây là bước xác định, dán nhãn, ghi nhận và thu thập dữ liệu từ

các nguồn dữ liệu có liên quan, nhưng vẫn đảm bảo tính nguyên vẹn của dữ liệu

Điều tra: Xử lý dữ liệu dữ liệu được thu thập bằng cách sử dụng kết hợp các

phương pháp tự động và thủ công, đồng thời đánh giá và trích xuất dữ liệu cụ thể có liên quan đến vấn đề cần điều tra, trong khi vẫn giữ được tính toàn vẹn của dữ liệu

Phân tích: Phân tích kết quả điều tra bằng cách sử dụng các phương pháp

và kỹ thuật hợp pháp để có được thông tin hữu ích nhằm giải quyết các câu hỏi cho việc thực hiện thu thập điều tra

Báo cáo: Báo cáo kết quả phân tích được bao gồm các hoạt động trong quá

trình điều tra, công cụ, quy trình được sử dụng để điều tra, nguồn dữ liệu để điều tra, nguồn dữ liệu bổ sung để điều tra, và các kiến nghị,…

1.2 Điều tra số trên thiết bị di động

Điều tra số trên thiết bị di động thuộc lĩnh vực của điều tra số, tập hợp các phương pháp khoa học với mục tiêu trích xuất bằng chứng số phù hợp với luật pháp Trích xuất bằng chứng số bao gồm khôi phục và phân tích dữ liệu lưu trữ trong bộ nhớ thiết bị di động [16] Theo tài liệu hướng dẫn “Guidelines on Mobile Device Forensics” của NIST, điều tra số trên thiết bị di động thuộc lĩnh vực khoa học khôi phục chứng cứ số từ thiết bị di động bằng điều kiện và phương thức có thể chấp nhận [15]

Hình 1.2 Các lĩnh vực điều tra số

Bằng chứng số trên thiết bị di động được định nghĩa là thông tin và dữ liệu

số được lưu trữ, truyền hoặc nhận bởi một thiết bị di động được sử dụng để điều tra

Nó có thể được sử dụng làm bằng chứng trong điều tra

Nguyên tắc chính điều tra số thiết bị di động là dữ liệu giữ nguyên gốc không bị sửa đổi, điều này vô cùng khó, một số công cụ điều tra yêu cầu phải kết nối với thiết bị di động, một số phương thức thu thập dữ liệu yêu cầu gỡ một vài phần cứng, hay cài bộ nạp khởi động trước khi trích xuất dữ liệu điều tra Tuân theo phương pháp và hướng dẫn thích hợp là rất quan trọng đối với điều tra các thiết bị

di động, nó mang lại dữ liệu có giá trị cao nhất Như với bất kỳ sự thu thập bằng chứng nào, không tuân thủ quy trình thích hợp trong quá điều tra có thể dẫn đến mất

dữ liệu, thay đổi bằng chứng hoặc khiến nó không thể chấp nhận bởi các nhà chức trách thực thi luật pháp [15]

1.2.1 Sự cần thiết điều tra số trên thiết bị di động

Theo báo cáo của Statista, số người dùng điện thoại di động trên thế giới sẽ đạt 5 tỷ vào năm 2019 Thế giới đang chứng kiến sự thay đổi công nghệ, người dùng đang chuyển dần từ máy tính sang thiết bị di động Biểu đồ dưới đây cho thấy sự tăng trưởng thực tế của điện thoại thông minh từ năm 2009 đến năm 2019 [16]:

Hình 1.3 Gia tăng thiết bị thông minh từ năm 2009 đến năm 2019

of-smartphones-since-2009/)

(Nguồn:https://www.statista.com/statistics/271491/worldwide-shipments-Theo Gartner Inc báo cáo rằng lưu lượng dữ liệu di động toàn cầu đạt 52 triệu terabytes trong năm 2015, tăng 52% so với năm 2014, và ước tính đạt 173 triệu terabyte vào năm 2018

Điện thoại di động được sử dụng cho các nhiệm vụ giao tiếp, truyền thông như nhắn tin, gửi email, chat, chụp hình, quay phim, lưu trữ dữ liệu, truy cập mạng internet,…Cùng với sự thông dụng của điện thoại di động, thì hoạt động tội phạm liên quan đến thiết bị di động ngày càng tăng Dữ liệu thu được từ điện thoại trở thành nguồn bằng chứng vô giá cho các cuộc điều tra liên quan đến vụ án hình sự, dân sự, chính trị, quân sự Vì vậy, điều tra số trên thiết bị di động quan trọng trong thời kỷ nguyên thiết bị di động phát triển

1.2.2 So sánh điều tra số thiết bị di động với điều tra số máy tính

Sự khác biệt chính giữa điều tra số thiết bị di động so với điều tra số máy tính

là các nhà điều tra phải thực hiện điều tra trên nhiều loại thiết bị phần cứng thiết bị di động, và phần mềm được nhúng vào phần cứng của thiết bị Mỗi loại thiết bị được sản xuất ở các công ty khác nhau, với phần cứng và phần mềm độc quyền, không theo một chuẩn phổ quát nào Mỗi thiết bị di động được nhà sản xuất trang bị tính năng bảo mật khác nhau Thời gian phát hành các phiên bản thiết bị di động rất ngắn Mục

đích của các công cụ điều tra thiết bị di động là trích xuất dữ liệu từ thiết bị di động

mà không làm thay đổi dữ liệu, với sự thay đổi nhanh chóng về phần cứng phần mềm của thiết bị di động, nên không có một công cụ điều tra nào có thể cập nhật đầy đủ và kịp thời [2]

1.2.3 Những thách thức điều tra số trên thiết bị di động

Khi điều tra thiết bị di động các nhà điều tra phải đối mặt những thách thức như kỹ thuật truy cập thiết bị để trích xuất dữ liệu, lưu trữ, và đồng bộ dữ liệu trên nhiều thiết bị, thiết bị bị hư hỏng, dữ liệu bị xóa [17] Điều tra số trên thiết bị di động

có những điểm khác với điều tra số trên máy tính, dưới đây là những khó khăn trong lĩnh vực này:

• Sự khác nhau về phần cứng: Trên thị trường tràn ngập các loại điện thoại khác nhau từ nhiều nhà sản xuất, vòng đời phát triển ngắn Chúng thường khác nhau về kích thước, chủng loại, phần cứng, hệ điều hành Trong bối cảnh thiết bị di dộng phát triển mỗi ngày, điều quan trọng các nhà điều tra thiết bị di động phải thích ứng với sự thay đổi và luôn cập nhật kỹ thuật điều tra trên lĩnh vực này [17]

• Hệ điều hành thiết bị di động: Không giống như máy tính cá nhân, sử hệ điều hành Windows phổ biến trong thời gian dài Nhiều hãng sản xuất thiết

bị di động sử dụng nền tảng hệ điều hành riêng cho sản phẩm của hãng, iOS của Apple, Android của Google, RIM của BlackBerry, Windows Phone của Microsoft, webOS của hãng HP, Ubuntu OS cho thiết bị di động,… Hơn nữa các phiên bản hệ điều hành thiết bị di động luôn được cập nhật phiên bản hằng năm, tạo thêm nhiều khó khăn cho các nhà điều tra [17]

• Bảo mật trên các nền tảng hệ điều hành di động: Nền tảng thiết bị di động hiện đại đều trang bị tính năng bảo vệ dữ liệu và thông tin người dùng Những tính năng hoạt động như một rào cản trong việc thu thập và điều tra Ví như, mã hoá dữ liệu từ lớp phần mềm đến lớp phần cứng, như vậy muốn trích xuất dữ liệu bắt buộc phải giải mã Rào cản mã hoá trên thiết

bị iPhone của Apple đã ngăn chặn các nhà điều tra an ninh Mỹ FBI bẻ khoá thiết bị iPhone của kẻ tấn công tại San Bernardino [16]

• Thiếu tài nguyên: Ngày càng tăng số lượng điện thoại di động, các công

cụ hỗ trợ điều tra cũng sẽ tăng lên Các phụ kiện thu thập dữ liệu, chẳng hạn như cáp USB, pin và bộ sạc cho các điện thoại di động khác nhau, phải được trang bị đầy đủ

• Đảm bảo dữ liệu nguyên gốc: Một trong những quy tắc cơ bản trong điều tra số là đảm bảo dữ liệu trên thiết bị thay đổi Nói cách khác, mọi nỗ lực trích xuất dữ liệu từ thiết bị sẽ không làm thay đổi dữ liệu có trên thiết bị

đó Nhưng điều này là không thể đối với thiết bị di động bởi vì chỉ cần thay đổi chức năng trên thiết bị thì dữ liệu sẽ thay đổi Ngay cả khi thiết

bị ở trạng thái tắt máy, nhưng các ứng dụng nền vẫn hoạt động Ví dụ, trong hầu hết các điện thoại di động, đồng hồ báo thức vẫn hoạt động ngay

cả khi điện thoại bị tắt Việc chuyển đổi đột ngột từ trạng thái này sang trạng thái khác có thể dẫn đến việc mất hoặc sửa đổi dữ liệu

• Kỹ thuật ngăn chặn điều tra: Kỹ thuật ẩn dữ liệu, xóa dữ liệu, giả mạo dữ liệu, che giấu mã nguồn, làm cho việc điều tra khó khăn

• Đặt lại thiết bị di động: Việc đặt lại chế độ điện thoại về trạng thái ban đầu của nhà sản xuất sẽ làm dữ liệu người dùng trước đó bị xóa hết

• Khôi phục mật khẩu: Nếu thiết bị được bảo vệ bằng mật mã, điều tra viên muốn truy cập vào thiết bị, thì buộc phải bẻ khoá thiết bị, nếu không thành công, dữ liệu trên thiết bị có thể tự huỷ với nghệ tự bảo vệ dữ liệu Với công nghệ thiết bị phần cứng và phần mềm trên thiết bị di động thông minh hiện nay, nhà sản xuất đã áp dụng nhiều phương thức xác thực chính chủ của thiết bị như truy cập thiết bị bằng mật mã từ 4 đến 6 ký tự, nhận dạng vân tay, nhận dạng mống mắt, nhận dạng khuôn mặt, xác thực hai bước, Đây là cản trở lớn nhất cho các điều tra viên

• Thiếu các công cụ điều tra: Có nhiều loại thiết bị di động, một công cụ duy nhất có thể không hỗ trợ tất cả thiết bị hoặc thực hiện tất cả các chức năng cần thiết, vì vậy kết hợp các công cụ cần phải được sử dụng, bao gồm công

cụ phần cứng và phần mềm Chọn đúng công cụ cho một điện thoại cụ thể

có thể khó khăn

• Chương trình độc hại: Thiết bị có thể chứa phần mềm độc hại, chẳng hạn như virut hoặc Trojan Các chương trình độc hại như vậy có thể lan truyền trên các thiết bị khác qua kết nối có dây hoặc không dây

• Thiết bị không người lái: Thiết bị không người lái ngày càng nhiều và thông minh, phục vụ cho nhiều mục đích khác nhau Điều tra số các thiết

bị này không hề đơn giản Thu thập dữ liệu những thiết bị này chủ yếu lấy

dữ liệu từ thẻ nhớ mở rộng Việc truy cập vào hệ thống thông thường bằng

kỹ thuật thu thập vật lý Bên cạnh đó khi tiếp nhận điều tra các thiết bị này thường trong tình trạng không hoạt động, hoặc không nguyên vẹn do nhiều nguyên nhân khác nhau

• Vấn đề pháp lý: Thiết bị di động có thể được là công cụ sử dụng để thực hiện hành vi tội phạm, tội phạm có thể sử dụng ở những nơi khác nhau, vượt qua ranh giới địa lý Điều tra viên nên nhận thức được bản chất của tội phạm và luật từng địa phương

1.3 Giới thiệu điều tra số ứng dụng mạng xã hội

1.3.1 Sơ lược mạng xã hội

Giáo sư J A Barnes đã giới thiệu thuật ngữ mạng xã hội vào năm 1967 để

mô tả sự tập hợp những cá nhân có mối liên hệ với nhau về công việc, gia đình, cùng

sở thích, quan điểm, [18] Các mạng này có thể hoạt động ở nhiều cấp độ, từ cấp độ gia đình đến cấp quốc gia và đóng vai trò quan trọng trong giao tiếp giữa các cá nhân,

tổ chức và thậm chí cả các quốc gia Trong hình thức đơn giản nhất của nó, mạng xã hội là một bản đồ của các mối quan hệ có liên quan giữa các cá nhân, tổ chức, quốc gia,…Phân loại theo nền tảng mạng xã hội, được chia thành các hai loại sau [18]:

❖ Mạng xã hội trực tuyến:

Với sự phát triển của thời đại kỹ thuật số, internet phổ biến rộng toàn cầu, tạo điều kiện xây dựng các mạng xã hội trực tuyến Mạng xã hội trực tuyến có phạm vi phủ sóng rộng, các thành viên trong mạng dễ dàng kết nối và chia sẻ tài nguyên

Những mạng xã hội trực tuyến đầu tiên được gọi là nhóm tin tức

(www.usenet.com) được thiết kế và xây dựng vào năm 1979 bởi các sinh viên Tom

Truscott và Jim Ellis tốt nghiệp Trường Đại học Duke [18] Từ đó, mạng xã hội trực

tuyến tăng trưởng liên tục về kích thước và số lượng Vào tháng 2 năm 2010, mạng

xã hội trực tuyến khổng lồ Facebook vượt qua con số 370 triệu người đăng ký

❖ Mạng xã hội di động

Mạng xã hội di động là mạng xã hội nơi các cá nhân có cùng sở thích và trò chuyện với nhau thông qua điện thoại di động hoặc máy tính bảng của họ Giống như mạng xã hội dựa trên nền tảng web, mạng xã hội di động diễn ra trong cộng đồng ảo

Nhiều trang web mạng xã hội dựa trên nền tảng web, chẳng hạn như Facebook

và Twitter,… đã tạo ra các ứng dụng di động để cung cấp cho người dùng quyền truy cập tức thì và thời gian thực từ bất kỳ nơi nào có kết nối internet

1.3.2 Một số ứng dụng mạng xã hội phổ biến hiện nay

Theo số liệu thống kê trên trang web https://www.statista.com, cung cấp

thông tin về các mạng xã hội phổ biến nhất từ tháng 7 năm 2019 dựa trên số lượng tài khoản đang hoạt động, Facebook dẫn đầu (2,3 tỷ tài khoản), mạng xã hội video Youtube (2 tỷ tài khoản) đứng vị trí thứ hai, thứ ba là WhatsApp (1,6 tỷ tài khoản), thứ tư thuộc về Facebook Messenger (1,3 tỷ tài khoản) [19]

Hình 1.4 Biểu đồ thống kê số lượng tài khoản đăng ký mạng xã hội

(Nguồn: by-number-of-users/)

https://www.statista.com/statistics/272014/global-social-networks-ranked-a Ứng dụng mạng xã hội Facebook

Mark Zuckerberg lập trang Facebook ngày 4 tháng 2 năm 2004 cùng với các bạn sinh viên Đại học Harvard và bạn cùng phòng như Eduardo Saverin, Andrew McCollum, Dustin Moskovitz, Chris Hughes

Facebook là một trang web cung cấp dịch vụ mạng xã hội, được điều hành bởi công ty Facebook Incorporation Mục tiêu của nó cung cấp cho mọi người sức mạnh để chia sẻ, làm cho thế giới mở và kết nối hơn [20]

Facebook có thể truy cập được từ hầu như mọi thiết bị có khả năng kết nối internet, từ máy tính để bàn, máy tính xách tay, máy tính bảng cho đến điện thoại thông minh Sau khi đăng ký tài khoản trên Facebook, người dùng có thể tạo ra một

hồ sơ tùy chỉnh cho biết tên, nghề nghiệp, trường học ,có thể thêm bạn bè, trao đổi tin nhắn, đăng thông tin trạng thái, chia sẻ ảnh, video và liên kết, cũng như nhận thông báo về hoạt động của những người khác Ngoài ra, người dùng cũng có thể tham gia vào các nhóm cộng đồng giữa những người cùng có một sở thích chung nào đó (được gọi là Fanpage) giúp họ có thể tương tác với những người dùng khác dễ hơn Người dùng cũng có thể phân loại bạn bè của họ, báo cáo hoặc chặn những người gây khó chịu [21]

Facebook Messenger là ứng dụng phần mềm tin nhắn tức thời được phát triển bởi công ty Facebook, được tích hợp trên ứng dụng trò chuyện của Facebook và được xây dựng trên giao thức truyền thông điệp MQTT (Message Queue Telemetry Transport) Facebook Messenger cho phép người dùng Facebook trò chuyện với bạn

bè bằng ứng dụng cài đặt trên thiết bị di động và trang web chính

b Ứng dụng mạng xã hội WhatsApp

WhatsApp là một ứng dụng mạng xã hội dành cho máy tính và thiết bị di động thuộc sở hữu của công ty Facebook Theo số liệu thống kê từ trang web

https://www.statista.com, đến tháng 8 năm 2018 WhatsApp có 1,5 tỷ người dùng, xếp

vị trí thứ ba trong danh sách các ứng dụng mạng xã hội được nhiều người dùng nhất thế giới, đứng sau mạng xã hội Facebook, mạng xã hội Youtube

WhatsApp cung cấp những chức năng chính sau:

• Tin nhắn văn bản, tin nhắn đa phương tiện

• Gọi thoại, gọi video với bạn bè và với nhóm liên lạc

• Chia sẽ tệp tin dạng pdf, word, excel, hình ảnh, video,…có kích thước tối

Những tính năng chính ứng dụng Line cung cấp cho người dùng:

• Tin nhắn hình ảnh, video và tin nhắn thoại

• Gọi thoại và gọi video

• Chức năng tin nhắn, gọi thoại nhóm

• Chia sẻ thông tin, trạng thái với bạn bè bằng ứng dụng Timeline

• Lưu tin nhắn, ảnh và video yêu thích vào ứng dụng Keep

• Chia sẻ video trực truyến

• Kết nối với bạn bè xung quanh bằng cách lắc điện thoại cùng nhau hoặc trao đổi ID, mã QR với nhau

1.3.3 Điều tra số ứng dụng mạng xã hội

Trong những năm gần đây cùng với sự ra đời nhiều ứng dụng mạng xã hội,

số lượng người sử dụng mạng xã hội ngày càng tăng Mạng xã hội dùng để kết nối nhóm người có cùng quan điểm, sở thích lại với nhau, dùng chia sẻ thông tin, hình ảnh Mạng xã hội mang lại nhiều lợi ích to lớn trong đời sống hàng ngày, cũng như hoạt động của các doanh nghiệp Bên cạnh đó, có hàng loạt mối đe doạ tìm ẩn cho người sử dụng mạng xã hội Tội phạm có thể lợi dụng mạng xã hội để thực hiện các

hành vi phạm tội, như lừa đảo, đánh cắp thông tin, tội phạm liên quan đến chính trị, tôn giáo [3]

Bằng chứng liên quan đến mạng xã hội đã được sử dụng trong một số trường hợp như năm 2009, khi Daniel Knight Hyden trở thành người đầu tiên bị truy tố vì các bài viết của mình trên Twitter, các trường hợp gần đây hơn, chẳng hạn khi một cặp vợ chồng bị bắt tại Ohio, họ bị cáo buộc cướp ngân hàng với bằng chứng đăng hình ảnh tiền vừa cướp được trên mạng xã hội Facebook,

Điều tra số mạng xã hội áp dụng kỹ thuật phân tích và điều tra máy tính, thực hiện thu thập thông tin từ các ứng dụng mạng xã hội trực tuyến (ví dụ: Facebook, Twitter, LinkedIn và bất kỳ mạng xã hội khác) sau đó lưu trữ, phân tích và điều tra, báo cáo kết quả làm bằng chứng tại tòa án Đối với lĩnh vực điều tra mạng xã hội, thường có rất nhiều dữ liệu để thu thập, nhưng kết quả tuỳ thuộc vào kiến thức, kinh nghiệm cũng như công cụ hỗ trợ điều tra Điều tra số các ứng dụng mạng xã hội không chỉ giới hạn trong các ứng dụng mạng xã hội truyền thông lớn mà còn có thể điều tra các dịch vụ trực tuyến, blog, hoặc trang web cá nhân, diễn đàn và thậm chí cả các trang web của chính phủ có thể kết nối với mạng xã hội hoặc cung cấp các chức năng tương tự Về cơ bản, theo quan điểm của điều tra viên, điều tra mạng xã hội là tìm kiếm bằng chứng nằm ở đâu và thu thập nó theo phương thức nào mà không vi phạm bất kỳ quy định luật pháp [22]

Điều tra số ứng dụng mạng xã hội trên thiết bị di động, thực hiện bằng cách

áp dụng kỹ thuật điều tra số trên thiết bị di động, nhằm thu thập dữ liệu liên quan hoạt động người dùng trên các ứng dụng mạng xã hội, tiến hành điều tra và phân tích dữ liệu thu thập được, lập báo cáo kết quả điều tra [22]

Android Việc nắm rõ đặc điểm, cấu trúc của thiết bị di động sẽ giúp xác định được chính xác phương thức tiến hành điều tra số trên các thiết bị này

1.4.2 Bộ nhớ thiết bị di động

Thiết bị di động thông thường được tích hợp hai loại bộ nhớ: Bộ nhớ tạm (RAM) dùng lưu trữ dữ liệu tạm trong quá trình thiết bị hoạt động và bị mất khi nguồn điện tắt Bộ nhớ thiết bị dùng cài đặt hệ điều hành và lưu dữ liệu người dùng, được chia thành hai loại, bộ nhớ trong và bộ nhớ ngoài

• Bộ nhớ trong thông thường những con chip (IC) lưu trữ dữ liệu số, là một phần của thiết bị di động, được hàn gắn vào bo mạch của thiết bị và không thể tháo rời

• Bộ nhớ ngoài thiết bị di động: Những thiết bị lưu trữ dữ liệu số, bao gồm thẻ microSD và thẻ SD

Hình 1.5 Thẻ nhớ microSD

Từ cuối những năm 1990, các nhà sản xuất đã tích hợp thêm bộ nhớ vào trong điện thoại di động để chúng có thể lưu trữ được nhiều dữ liệu hơn Ngoài việc lưu trữ trên SIM, dữ liệu còn được lưu trữ vào bộ nhớ trong của điện thoại di động Tùy thuộc vào dung lượng bộ nhớ mà có thể lưu được nhiều hay ít dữ liệu Thông thường bộ nhớ của điện thoại lưu những dữ liệu sau đây:

• Dữ liệu thẻ SIM đăng ký, số nhận dạng thiết bị

• Thông tin ngày, giờ, ngôn ngữ

• Danh bạ, thông tin liên hệ

• Thông tin lịch

• Tin nhắn văn bản

• Nhật ký cuộc gọi

• Thư điện tử

• Hình ảnh

• Bản ghi âm thanh, video

• Tin nhắn đa phương tiện

• Hoạt động duyệt web

• Tài liệu điện tử

• Dữ liệu liên quan truyền thông trên mạng xã hội

• Dữ liệu liên quan đến ứng dụng

• Thông tin địa điểm

• Dữ liệu vị trí địa lý

• Dữ liệu người dùng xoá

Tùy thuộc vào kiểu máy và hệ điều hành cài đặt trên điện thoại mà người sử dụng có thể lựa chọn cài đặt ứng dụng trong bộ nhớ của máy hoặc thẻ nhớ mở rộng Thẻ nhớ ngoài giúp mở rộng khả năng lưu trữ trên điện thoại, nó cho phép người sử dụng có thể lưu được nhiều thông tin hơn so với khả năng của bộ nhớ được tích hợp trong điện thoại Thẻ nhớ là một thiết bị lưu trữ vĩnh viễn, dữ liệu không bị mất khi tháo thẻ nhớ ra khỏi thiết bị

1.4.3 Thẻ SIM

SIM (Subscriber Identity Module) mô-đun nhận dạng chủ thuê bao, phần cốt lỗi trong điện thoại GSM, CDMA cho dịch vụ mạng 4G hoặc LTE [23] Thẻ SIM sử dụng chip tích hợp để lưu trữ những thông tin như số điện thoại, mã số mạng di động,

số PIN, số điện thoại cá nhân và các thông tin cần thiết khác khi sử dụng điện thoại Thế hệ SIM đầu tiên 1FF được sản xuất và đưa vào sử dụng vào năm 1991, thế hệ 2FF ra đời năm 1996, thế hệ micro 3FF ra đời năm 2003, thế hệ nano 4FF ra đời đầu năm 2012

Bảng 1.1 Chuẩn định dạng SIM cards

Chiều rộng (mm)

Độ dày (mm) Full-size

• Danh bạ điện thoại: Tùy thuộc vào từng loại SIM, thông thường một SIM

có thể cho phép lưu 250 – 1000 số điện thoại, các dòng điện thoại thông minh hỗ trợ lưu số trong bộ nhớ điện thoại nên số lượng danh bạ phụ thuộc vào dung lượng bộ nhớ điện thoại

• Số Seri: Dùng để xác định nhà sản xuất, phiên bản hệ điều hành, số của SIM

• Thông tin về trạng thái của SIM: Thông tin cho biết SIM bị chặn hay không

bị chặn bởi nhà cung cấp dịch vụ thuê bao

• Số nhận dạng thuê bao di động quốc tế IMSI, đảm bảo mỗi thuê bao là duy nhất trong mạng GSM trên toàn thế giới

• Mã dịch vụ (dành cho mạng GSM)

• Các thuật toán xác thực và bảo mật A3, A5, A8

• Khoá xác thực thuê bao riêng

• Số điện thoại di động quốc tế MSISDN

• Các khoá cho quá trình cá nhân hoá SIM

• Thông tin về vị trí hiện tại (hoặc tại thời điểm gần nhất) của điện thoại

• Mã số nhận dạng cá nhân PIN

• Mã số mở khóa cá nhân PUK

Hình 1.6 Chuẩn SIM điện thoại di động

1.4.4 Hệ điều hành thiết bị thông minh

Hệ điều hành thiết bị di động được xác định với những chức năng có độ tin cậy, đa nhiệm, khả năng quản lý bộ nhớ tốt Các nhà phát triển phần mềm có thể phát triển các ứng dụng và cài đặt chúng trên nền tảng hệ điều hành di động Cung cấp khả năng bảo vệ dữ liệu tốt hơn, ngay cả khi thiết bị không có nguồn điện duy trì, hay người dùng “đặt lại” thiết bị, hệ điều hành thiết bị được lưu trữ trong bộ nhớ trong NAND hoặc NOR, một loại công nghệ lưu trữ dữ liệu không mất đi khi không có nguồn điện duy trì

Công nghệ Sandbox là một trong những thành phần quan trọng nhất của bảo mật Nó hỗ trợ bảo mật như một thành phần tích hợp trong một giải pháp bảo mật

Có ba hệ điều hành thiết bị di động thông minh phổ biến nhất hiện nay: iOS

do công ty Apple phát triển, Adroid của Google, Windows phone của Microsoft Bảng dưới đây mô tả sơ lược các hệ điều hành điện thoại thông minh:

Bảng 1.2 Một số hệ điều hành thiết bị di động phổ biến

Hệ điều hành Bada Symbian Windows BlackBerry Android iOS Nhà phát triển Samsung Nokia Microsoft RIM Google Apple Ngôn ngữ lập

C, C++, Java(UI)

C, C++, Objective-

C

Họ hệ điều

hành Posix RTOS MS Mobile Mobile OS Unix-like

Unix- like/BSD

quyền Đóng

a Hệ điều hành Android

Hệ điều hành Android được phát triển trên nhân Linux - nền tảng mã nguồn

mở dành cho thiết bị di động của Google Hệ điều hành Android được sử dụng nhiều nhất cho điện thoại thông minh, hệ điều hành mã nguồn mở và miễn phí cho những nhà sản xuất thiết bị phần cứng Android không chỉ dành cho điện thoại thông minh

mà còn cho các thiết bị chơi game, máy tính bảng, tivi thông minh, thiết bị IoT khác,

Hệ điều hành Android mang đến các tính năng linh hoạt, ứng dụng hỗ trợ rộng và tích hợp với phần cứng và dịch vụ khác nhau đó là những tính năng chính của hệ điều hành này

Google sử dụng CH Play để phân phối các ứng dụng cài đặt cho các thiết bị chạy hệ điều hành Android Những nhà phát triển ứng dụng có thể đưa các ứng dụng của họ vào đây để phân phối đến người dùng, các ứng dụng cập nhật trên CH Play ít được phân tích bảo mật, đảm bảo an toàn trước khi phân phối đến người dùng cuối

Hệ điều hành Android đã trải qua nhiều phiên bản chính, với phiên bản hiện tại là 9.0 " Pie", được phát hành vào tháng 08 năm 2018

Hình 1.7 Kiến trúc hệ điều hành Android

b Hệ điều hành Apple iOS

Hệ điều hành iOS được phát triển bởi hãng Apple, hệ thống này dành cho các thiết bị iPhone, iPod touch và iPad, Apple TV Chức năng của hệ điều hành dùng để quản lý phần cứng của thiết và chạy các ứng dụng như trình duyệt web Safari, mail, danh bạ điện thoại, các ứng dụng mạng xã hội, ứng dụng tin nhắn,…Apple sử dụng App store để phân phối các ứng dụng cài đặt cho các thiết bị của hãng, các ứng dụng cập nhật trên App store được phân tích bảo mật, đảm bảo an toàn trước khi phân phối đến người dùng cuối

Thiết bị di động thông minh của Apple khác với các thiết bị thông minh khác,

nó không có bộ nhớ mở rộng như thẻ SD Card, cổng USB Apple trang bị hai phân vùng cho thiết bị, phân vùng hệ thống chứa hệ điều hành và phân vùng để lưu trữ dữ liệu người dùng Phân vùng chứa dữ liệu người dùng là nơi lưu trữ thông tin người dùng, nên có nhiều chứng cứ tiềm năng cho điều tra số thiết bị di dộng [24]

c Hệ điều hành Windows Phone

Windows Phone là một hệ điều hành di động, độc quyền được phát triển bởi Microsoft, ra mắt như một sự kế thừa cho hệ điều hành Windows Mobile, nhưng không cung cấp khả năng tương thích ngược với nền tảng trước đó Windows Phone

được ra mắt vào tháng 10 năm 2010 với phiên bản Windows Phone 7, phiên bản mới nhất hiện tại là Windows 10 Mobile

Mặc dù thực tế Microsoft tuyên bố ngừng phát triển hệ điều hành di động này, ngoại trừ các bản vá bảo mật cho đến tháng 12 năm 2019, nhưng người dùng vẫn còn sử dụng, vậy nên yêu cầu người điều tra cũng phải tiếp cận và điều tra trên thiết bị chạy hệ điều hành này

Tương tự như các nền tảng di động khác, Windows Phone cho phép cài đặt các ứng dụng của bên thứ ba Các ứng dụng này có thể được tải xuống từ Windows Phone Marketplace, được quản lý bởi Microsoft

Hệ thống tệp của Windows Phone ít nhiều giống với các hệ thống tệp trong

hệ điều hành Windows 7, Windows 8 và Windows 10 dành cho máy tính Từ thư mục gốc, có thể tiếp cận các tệp và thư mục khác nhau có sẵn trên thiết bị này:

Application data: Thư mục này chứa dữ liệu của các ứng dụng được cài đặt sẵn trên điện thoại, chẳng hạn như Outlook, Bản đồ và Internet Explorer

Applications: Thư mục này chứa các ứng dụng được cài đặt bởi người dùng

My Documents: Thư mục này chứa các tài liệu định dạng khác nhau, chẳng hạn như các tệp Word, Excel hoặc PowerPoint Thư mục này cũng lưu trữ các tệp cấu hình và các tệp tin đa phương tiện

Windows: Thư mục này chứa các tệp tin liên quan đến hệ điều hành Windows Phone

KẾT LUẬN CHƯƠNG 1

Trong chương này tác giả đã giới thiệu tổng quan về điều số tra số, tìm hiểu

về quy trình điều tra số chuẩn từ NIST, đưa ra quan điểm về sự cần thiết phải tiến hành tiến hành điều tra số trên thiết bị di động Sơ lược về mạng xã hội, tìm hiểu một

số ứng dụng mạng xã hội phổ biến cũng như giới thiệu khái quát về công nghệ thiết

bị di động Trong chương tiếp theo tác giả tiếp tục nghiên cứu quy trình điều tra số dành cho điều tra thiết bị di động của NIST, nghiên cứu các công cụ điều tra số dành cho thiết bị di động, áp dụng quy trình và công cụ này vào thực nghiệm điều tra số trên thiết bị iPhone

cứ số và vị trí lưu trữ của chúng [15, 16]:

Bảng 2.1 Loại chứng cứ số trên thiết bị di động

Thông tin nhà cung cấp dịch vụ Lưu trong bộ nhớ SIM

Thông tin số điện thoại đăng ký Lưu trong bộ nhớ SIM

Thông tin hồ sơ người dùng Lưu trữ trên bộ nhớ thiết bị

Mã nhận dạng người đăng ký di động quốc tế

(IMSI)

Lưu trong bộ nhớ SIM và trong bộ nhớ thiết bị

Mã nhận dạng tích hợp trên thẻ (ICCID) hay còn

Mã nhận dạng thiết bị di động quốc tế (IMEI) Lưu trong bộ nhớ thiết bị và

in trên điện thoại

Dữ liệu liên quan đến các ứng dụng Lưu trong bộ nhớ thiết bị

Dữ liệu liên quan đến mạng xã hội như: Facebook,

Twitter, LinkedIn, Google+, WhatsApp,… Lưu trong bộ nhớ thiết bị

2.2 Quy trình điều tra số trên thiết bị di động

Trước khi thực hiệu điều tra số trên bất cứ thiết bị di động nào, điều tra viên phải tuân thủ các thủ tục thích hợp để xử lý chứng cứ số Khi thiết bị được thu giữ, cần dán nhãn đánh dấu và bảo quản chúng Theo NIST khuyến nghị, các nhà điều tra cần chuẩn bị kỹ lưỡng bằng cách thiết lập các mục tiêu:

• Thu thập thông của đối tượng nào (who)

• Xác định các sự kiện xảy ra (what)

• Tiến trình (diễn biến) các sự kiện xảy ra (when)

• Vì sao các sự kiện xảy ra? (why)

• Công cụ được sử dụng để thực hiện các sự kiện (how)

Hiện nay, có nhiều tài liệu hướng dẫn quy trình điều tra chứng cứ số thiết bị

di động từ nhiều tổ chức thuộc lĩnh vực điều tra số Trong nghiên cứu này, tác giả áp dụng quy trình điều tra số trên thiết bị di động do Viện tiêu chuẩn và công nghệ NIST

đề xuất, quy trình thực hiện qua bốn giai đoạn chính: Chuẩn bị (Preparation), Thu thập dữ liệu (Acquisition), Phân tích (Analysis) và Điều tra (Examination), Lập báo cáo (Reporting) [15]

Giai đoạn này liên quan đến việc thu giữ thiết bị, nằm dưới sự kiểm soát và giám sát của điều tra viên Tình trạng của thiết bị tại thời điểm tịch thu cần phải được ghi chú lại, có thể bằng hình chụp hoặc bằng văn bản:

• Thiết bị có bị hư hỏng không, nếu có thì ghi chú dạng hư hỏng của thiết

bị

• Thiết bị đang bật hay tắt nguồn

• Nếu thiết bị đang bật, xem xét ứng dụng nào đang chạy trên thiết bị, ghi chú kết quả quan sát được trên màn hình Có thể truy cập kiểm tra mật khẩu và cài đặt bảo mật

Các vấn đề khác điều tra viên cần lưu ý khi thu giữ thiết bị, vì nó ảnh hưởng đến việc trích xuất dữ liệu sau khi thu giữ thiết bị như: Cách ly thiết bị với sóng vô tuyến, thiết bị có thể bị điều khiển xoá dữ liệu từ xa, thiết bị cài đặt chế độ ngăn chặn điều tra, phải tắt nguồn nếu thiết bị đang bật,…

Người điều tra viên phải đảm bảo chắc chắn các nguồn chứng cứ tiềm năng không bị phá huỷ do virut hay bất cứ lý do gì Bộ nhớ lưu trong RAM dễ bị mất do thiết bị di động bị tắt nguồn hoặc không còn nguồn điện duy trì Để duy trì thiết bị luôn có nguồn điện dự trữ, và không bị tắt nguồn, cần cắm sạc Nếu thiết bị kết nối mạng, kẻ tấn công có thể kết nối thiết bị từ xa và xoá dữ liệu Để ngăn chặn việc này, điều tra viên cần đặt thiết bị ở chế độ máy bay “airplane”, hoặc đặt thiết bị vào túi bảo vệ Faraday bag Tất cả các thay đổi thiết bị, điều tra viên phải ghi chép lại rõ ràng

ở những vùng nhớ khác nhau từ đó thực hiện truy xuất dữ liệu Nhưng với các thiết

bị yêu cầu mật khẩu và các kỹ thuật xác thực người dùng, thì người điều tra cần phải vượt qua cơ chế xác thực Nếu việc này không thành công thì dễ dẫn đến hiện tượng

bị mất hoàn toàn dữ liệu và việc khôi phục dữ liệu sẽ rất khó khăn Khi đó, người điều tra cần phải sử dụng phần mềm khác hoặc can thiệp tới nền tảng phần cứng để vượt qua lớp xác thực trên thiết bị Sau khi tiếp cận được dữ liệu, cần tiến hành thực hiện nhận dạng và kiểm tra bộ nhớ thiết bị di động

Nhận dạng thiết bị di động: Để nhận dạng được thiết bị di động, cần tiến

hành thực hiện việc kiểm tra đặc điểm của thiết bị, đặc điểm của phụ kiện thiết bị, nhãn hiệu thiết bị và thông tin nhà sản xuất, nhà mạng để xác định vị trí thiết bị Trên

mỗi thiết bị di động thường có chứa các thông số định danh duy nhất của thiết trên toàn cầu, có thể dễ nhận thấy trên bản thân thiết bị hoặc các phụ kiện đi kèm như: dãy

số nhận dạng thiết bị di động (IMEI), Model sản phẩm, ESN, thông tin thẻ SIM,… từ

đó thực hiện tra cứu các thông tin về thông số kỹ thuật, tính năng, loại và nhà sản xuất của thiết bị cần điều tra

Kiểm tra bộ nhớ thiết bị: Cần phải tiến hành kiểm tra toàn bộ các bộ nhớ

của thiết bị di động nhằm thu được nhiều chứng cứ số Việc kiểm tra có thể được tiến hành trên hai bộ nhớ phổ biến như bộ nhớ hệ thống và bộ nhớ mở rộng Bộ nhớ hệ thống dùng để lưu trữ hệ điều hành, bao gồm: Trình điều khiển và hệ thống thư viện hàm dùng để thực thi ứng dụng, hệ điều hành Bộ nhớ mở rộng được dùng để lưu trữ ứng dụng của người dùng cài đặt và các dữ liệu của người dùng tạo ra như văn bản, hình ảnh, âm thanh, video

Bộ nhớ SIM: Gồm các dữ liệu về nhà cung cấp dịch vụ, định danh duy nhất cho SIM, số thuê bao, danh bạ và thông tin về lịch sử gọi thoại, tin nhắn

2.2.2.1 Các phương pháp thu thập dữ liệu

Thu thập dữ liệu hoặc trích xuất dữ liệu là quá trình truy xuất dữ liệu từ thiết

bị di động để sao lưu vào máy tính trạm, thiết bị chuyên dụng, hoặc ghi nhận trực quan những thông tin từ thiết bị di động Kết quả thu thập dữ liệu là dữ liệu thô, thông tin những sự kiện đang diễn ra trên thiết bị di động

Có ba phương pháp thu thập dữ liệu chính như sau: Thu thập dữ liệu thủ công; Thu thập dữ liệu cục bộ; Thu thập dữ liệu vật lý: bao gồm kỹ thuật Hex Dumping/JTAG, Chip-Off, Micro Read Mỗi phương pháp thu thập dữ liệu có mức

độ phức tạp và cho ra kết quả thu thập dữ liệu khác nhau Hình dưới đây thể hiện các mức độ thu thập dữ liệu từ đơn giản đến phức tạp, được sắp xếp từ dưới lên trên theo hình dáng kim tự tháp [15, 25]

Hình 2.1 Các phương pháp thu thập dữ liệu từ thiết bị di động

a Thu thập dữ liệu thủ công (manual acquition)

Đây là phương pháp thu thập dữ liệu đơn giản không cần hỗ trợ của phần mềm, hoặc người có kỹ thuật, bằng cách thông qua giao diện người dùng của thiết bị

di động, các nhà điều tra có thể thu thập thông tin bằng mắt thường, bằng cách duyệt qua tất cả các chức năng, quan sát những gì hiển thị trên màn hình, chụp lại nội dung trong thẻ nhớ Phương pháp này thu thập dữ liệu trực quan nên tất cả dữ liệu thu thập được dưới dạng hình ảnh, và không thể thực hiện việc thu thập khi dữ liệu trên thiết

bị di động bị xoá hoặc thiết bị không hoạt động Nếu ngôn ngữ sử dụng trên thiết bị khác với ngôn ngữ mà điều tra viên sử dụng hay ngôn ngữ phổ biến (tiếng Anh) thì người điều tra không thể đọc được nội dung hiển thị trên màn hình thiết bị [15, 16,

22, 25]

b Thu thập dữ liệu cục bộ (logical acquition)

Đây là phương pháp được dùng phổ biến Bằng cách kết nối thiết bị di động với máy tính hoặc thiết bị điều tra chuyên dụng có cài đặt phần mềm thu thập dữ liệu

Có thể kết nối máy tính với thiết bị di động thông qua wifi, cổng USB, bluetooth, cổng mạng RJ-45 Điều tra viên tiến hành sao lưu dữ liệu từ thiết bị di động vào máy tính thông qua giao diện phần mềm hoặc các dòng lệnh sao lưu Dữ liệu thu được bao gồm các thư mục hệ thống và các tệp, bao gồm dữ liệu bị xoá Thu thập dữ liệu cục

bộ dễ thực hiện hơn phương pháp thu thập vật lý, có nhiều công cụ hỗ trợ thu thập như iTune, Samsung Kies, BlackBerry Desktop Suite, Magnet AXIOM, Oxygen Detective Forensic,…

❖ Ưu điểm

• Dễ thực hiện, người điều tra không cần kinh nghiệm nhiều

• Phần mềm hỗ trợ nhiều, bao gồm phần mềm miễn phí và có phí

• Không làm thay đổi dữ liệu trong thiết bị

• Thu thập được những dữ liệu bị xoá

❖ Nhược điểm

Dữ liệu thu thập không đầy đủ hoàn toàn như phương pháp thu thập dữ liệu vật lý, một số loại dữ liệu bị xoá không thể thu thập được

c Thu thập dữ liệu vật lý (Physical acquition)

Thu thập dữ liệu vật lý là phương pháp truy cập trực tiếp bộ nhớ bằng các công cụ điều tra được gọi là bit – by – bit nhằm sao lưu toàn bộ dữ liệu từ thiết bị di động vào máy tính Phương pháp này có thể tạo bản sao lưu đầy đủ dữ liệu của thiết

bị di động bao gồm dữ liệu bị xoá, ngay cả trong trường hợp thiết bị di động bị hư hỏng nặng, hay thiết bị bị khoá mật bảo mật màn hình truy cập (mật khẩu truy cập thiết bị) Thiết bị di động được kết nối qua một thiết bị phần cứng và phần mền đặc biệt Các kỹ thuật phần cứng được áp dụng như Micro read, Hex dumping/chip-Off, JTAG [16, 25]

Kỹ thuật Hex dumping được sử dụng rộng rãi trong phương pháp thu thập dữ liệu vật lý Thiết bị sau kết nối với máy tính bằng wifi, hoặc cáp, bộ nạp khởi động đặc biệt sẽ can thiệp vào quá trình khởi động của thiết bị di động nhằm ngăn chặn bước kiểm tra bảo mật do nhà sản xuất tạo ra Lúc này giữa thiết bị di động với phần mềm thu thập dữ liệu sẽ được kết nối Dữ liệu thu thập được bằng định dạng dữ liệu thô (raw) Kỹ thuật JTAG được đặt tên theo tiêu chuẩn ngành công nghiệp (Joint Test Action Group), đó là chuẩn kiểm tra bo mạch điện tử Sử dụng giao diện JTAG, không chỉ kiểm tra bo mạch hệ thống mà còn có thể tạo kết xuất vật lý của chip bộ nhớ Phương pháp này không làm hỏng thiết bị Thách thức của kỹ thuật này là phải tìm

ra cổng kết nối và đúng chip nhớ, cải thiện phương thức đọc bộ nhớ, và áp dụng đúng hiệu điện thế cung cấp để kích hoạt chip nhớ, thông thường nhà sản xuất thường áp dụng chuẩn điện thế 1.8 v, 3.3 v Kỹ thuật này khó hơn Hex dumping và có thể áp dụng hiệu quả cho thiết bị di động bị khoá [15, 16, 25, 26]

Kỹ thuật Chip-Off là phương pháp thu thập dữ liệu thô từ chip nhớ (hay còn gọi là IC nhớ) Chip nhớ được lấy ra khỏi thiết bị di động, sau đó đưa vào các thiết bị đọc dữ liệu chip, dữ liệu thô được trích xuất bằng phần mềm kèm theo với thiết bị đọc dữ liệu Đối với mỗi họ chip nhớ sẽ có những thiết bị đọc dữ liệu phù hợp Phương pháp này được áp dụng trong trường hợp thiết bị di động bị hư hỏng, hay bị vỡ Yêu cầu chuyên gia có kinh nghiệm trong lĩnh vực điện tử mới thực hiện được Nguy cơ rủi ro đối với kỹ thuật này rất cao, do phải thực hiện kỹ thuật gỡ chip ra khỏi mạch điện của thiết bị di động, và gắn chip vào thiết bị đọc chip Ví dụ như trong quá trình thao tác, nếu nhiệt độ dùng để nung chảy thiếc hàn quá cao cũng có thể làm hỏng chip,… [15, 16, 25]

Micro read kỹ thuật thu thập dữ liệu bằng cách đọc các giá trị nhị phân 0 và

1 chứa trong chip nhớ bằng bộ vi xử lý Các giá trị nhị phân này sau đó được biên dịch thành các mã ASCII trong bước xử lý tiếp theo Phương pháp này yêu cầu kỹ thuật cao và tốn kém, chỉ áp dụng cho việc điều tra tội phạm quốc gia, tội phạm khủng

bố Không có công cụ thương mại hoàn chỉnh nào cho kỹ thuật thu thập này [15, 25]

• Phần mềm và phần cứng sử dụng thu thập dữ liệu giá rất đắt

• Không an toàn cho dữ liệu Thành công của phương pháp này phụ thuộc vào kinh nghiệm của điều tra viên, một thao tác kỹ thuật không chính xác trong điều tra có thể phá hủy toàn bộ thiết bị và dữ liệu trong thiết bị điện thoại di động

2.2.3 Phân tích và điều tra

Quá trình phân tích và điều tra chứng cứ số diễn ra sau bước thu thập dữ liệu

số, một bản sao của dữ liệu được tạo ra, việc phân tích điều tra sẽ thực hiện trên bản sao này Quá trình điều tra thực hiện bằng cách dùng các công cụ phần mềm kết hợp