Nghiên cứu, xây dựng giải pháp thu thập chứng cứ hỗ trợ xử lý sự cố an toàn thông tin

Với những lý do trên chúng tôi quyết định chọn đề tài “Nghiên cứu, xây dựng giải pháp thu thập chứng cứ hỗ trợ xử lý sự cố an toàn thông tin” để giúp cho các doanh nghiệp và cá nhân có t

Trang 2

ĐẠI HỌC QUỐC GIA HÀ NỘI

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

HƯỚNG DẪN KHOA HỌC: PGS.TS NGUYỄN NGỌC HÓA

Hà Nội, tháng 11 /2019

Trang 3

LỜI CẢM ƠN

Sau hai năm học tập và rèn luyện tại Trường Đại học Quốc gia Hà Nội, bằng sự biết ơn

và kính trọng, tác giả xin chân thành cảm ơn Ban Giám hiệu, các phòng, khoa thuộcTrường Đại học Quốc gia Hà Nội và các Giáo sư, Phó Giáo sư, Tiến sĩ đã nhiệt tình giảngdạy và tạo điều kiện thuận lợi giúp đỡ tác giả trong quá trình học tập và làm Luận văn.Đặc biệt, tác giả xin bày tỏ lòng biết ơn và lời cảm ơn sâu sắc tới Thầy giáo hướng dẫnPGS.TS Nguyễn Ngọc Hóa đã tận tình, chu đáo hướng dẫn tôi thực hiện luận văn này.Nhờ có sự giúp đỡ hướng dẫn nhiệt tình của thầy mà tôi đã có được những kiến thức quýbáu trong quá trình nghiên cứu, từ đó tôi có thể hoàn thành tốt luận văn thạc sĩ của mình.Mặc dù có rất nhiều cố gắng nhưng do còn hạn chế thời gian và trình độ, nên luận văncủa tôi không tránh khỏi những thiếu sót Tôi rất mong được sự chỉ bảo, đóng góp của cácthầy cô giáo trong khoa Công nghệ Thông tin để luận văn thạc sĩ của tôi hoàn thiện hơn

Tôi xin chân thành cảm ơn!

Hà Nội, ngày 01 tháng 11 năm 2019

Trang 4

Mục lục

MỤC LỤC

LỜI CẢM ƠN I MỤC LỤC II DANH MỤC BẢNG BIỂU V DANH MỤC HÌNH VẼ VIII

MỞ ĐẦU 1

CHƯƠNG 1: QUY TRÌNH XỬ LÝ SỰ CỐ MẤT ATTT VÀ PHƯƠNG PHÁP THU THẬP CHỨNG CỨ 3

1.1 Quy trình điều tra số 3

1.2 Thu thập chứng cứ 5

1.2.1 Khó khăn trong thu thập chứng cứ 5

1.2.2 Tại sao thu thập chứng cứ? 5

1.2.3 Lựa chọn phương pháp thu thập 6

1.2.4 Các loại chứng cứ 6

1.2.5 Các quy tắc thu thập chứng cứ 7

1.2.6 Chứng cứ khả biến 9

1.2.7 Quy trình thu thập chứng cứ 10

1.2.8 Thu thập chứng cớ và lưu trữ 10

1.2.9 Phương pháp thu thập chứng cứ 11

1.2.10.Dữ liệu thu thập 13

1.2.11.Kiểm soát và bảo vệ dữ liệu 14

CHƯƠNG 2: GIẢI PHÁP THU THẬP CHỨNG CỨ BẰNG USB CHUYÊN DỤNG 16 2.1 Bài toán đặt ra 16

2.2 Phương pháp giải quyết bài toán 17

2.2.1 Hướng đi cho bài toán 17

2.2.2 Xây dựng USB thu thập chứng cứ để giải quyết bài toán 18

2.3 Các bản phân phối của hệ điều hành Linux hỗ trợ thu thập chứng cứ 20

2.3.1 DEFT Linux 20

2.3.2 CAINE Linux 21

2.3.3 Kali Linux 23

Trang 5

2.4 Công cụ thu thập chứng cứ trên Windows và Kali Linux 26

2.4.1 Công cụ thu thập chứng cứ trên Windows 26

2.4.1.1 Giới thiệu công cụ thu thập chứng cứ Ir-Rescue 26

2.4.1.2 Cấu trúc và cách sử dụng công cụ thu thập chứng cứ Ir-Rescue 27

2.4.2 Công cụ thu thập chứng cứ trên Kali Linux 31

2.4.2.1 Công cụ thu thập chứng cứ Dc3dd 31

2.4.2.2 Công cụ thu thập chứng cứ Ir-Rescue 33

2.5 Một số phương pháp bảo mật phân vùng USB 34

2.5.1 BitLocker 34

2.5.1.1 Giới thiệu về BitLocker 34

2.5.1.2 Chức năng chính của BitLocker 35

2.5.1.3 Kiến trúc BitLocker 35

2.5.1.4 Quản lý khóa BitLocker 36

2.5.2 Vera Crypt 44

2.5.2.1 Giới thiệu về Vera Crypt 44

2.5.2.2 Thuật toán 44

2.5.2.3 Cơ chế hoạt động 44

2.5.3 Lựa chọn công cụ bảo mật cho USB thu thập chứng cứ 45

CHƯƠNG 3: XÂY DỰNG USB THU THẬP CHỨNG CỨ VÀ KIỂM THỬ 47

3.1 Giới thiệu 47

3.2 Chia các phân vùng cho USB thu thập chứng cứ 47

3.2.1 Tổng quan 47

3.2.2 Chuẩn bị USB thu thập chứng cứ 48

3.2.3 Thực hiện chia các phân vùng cho USB thu thập chứng cứ 48

3.3 Tùy biến hệ điều hành Kali Linux trên phân vùng thứ nhất 51

3.3.1 Giới thiệu 51

3.3.2 Cài đặt hệ điều hành Kali Linux lên phân vùng thứ nhất 51

3.3.3 Tùy biến hệ điều hành Kali Linux 57

3.3.3.1 Tối ưu hệ điều hành Kali Linux 57

3.3.3.2 Cài đặt công cụ thu thập chứng cứ trên hệ điều hành Kali Linux 60

3.4 Công cụ thu thập chứng cứ phân vùng 2 62

3.5 Thiết lập cơ chế bảo mật cho các phân vùng USB 63

3.5.1 Cài đặt cơ chế bảo mật cho phân vùng thứ nhất 64

3.5.2 Cài đặt cơ chế bảo mật cho phân vùng 2 và 3 67

Trang 6

Mục lục

3.6 Kiểm thử USB thu thập chứng cứ 72

3.6.1 Đánh giá khả năng bảo mật của USB thu thập chứng cứ theo các kịch bản 72

3.6.1.1 Kịch bản thử nghiệm bảo mật của USB thu thập chứng cứ trên Windows 72

3.6.1.2 Kịch bản kiểm thử bảo mật USB thu thập chứng cứ trên Kali Linux 74

3.6.2 Kiểm thử khả năng thu thập chứng cứ 77

3.6.2.1 Kịch bản thử nghiệm khả năng thu thập chứng cứ trên Windows 77

3.6.2.2 Kịch bản thử nghiệm thu thập chứng cứ trên Linux 79

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ĐỀ TÀI 84

TÀI LIỆU THAM KHẢO 86

Trang 7

DANH MỤC BẢNG BIỂU

Bảng 2 1 - Một số cách để mã hóa VMK

Bảng 2 2- Bảng tham chiếu các quy trình tạo mã khóa

Bảng 2 3- Nhập mã khóa và đầu ra

Bảng 2 4– Bộ nhớ khóa

Bảng 3 1- So sánh các định dạng ổ đĩa trong Windows

Trang 8

Danh mục hình vẽ

DANH MỤC HÌNH VẼ

Hình 1 1 - Các lớp quy trình điều tra số 3

Hình 2 1 – Cấu trúc USB thu thập chứng cứ 19

Hình 2 2 - Mô hình kiến trúc hệ thống hỗ trợ xử lý sự cố ATTT 19

Hình 2 3 - Giao diện khởi động của DEFT 20

Hình 2 4 - Giao diện desktop DEFT 21

Hình 2 5 - Giao diện khởi động của CAINE 22

Hình 2 6 - Giao diện desktop của CAINE 22

Hình 2 7 - Các ứng dụng trên hệ điều hành CAINE 23

Hình 2 8 - Giao diện khởi động của Kali Linux 24

Hình 2 9 - Giao diện desktop của Kali Linux 25

Hình 2 10 - Các ứng dụng Forensics trên Kali Linux 25

Hình 2 11 - Chế độ khác trong giao diện Kali Linux 26

Hình 2 12 - Nội dung hiển thị câu lệnh dc3dd help 31

Hình 2 13 - Tệp img được tách thành nhiều tệp nhỏ khác nhau 33

Hình 2 14 - Kiến trúc BitLocker 36

Hình 2 15 - Các kiến trúc quản lý khóa của BitLocker 38

Hình 2 16 - Lưu đồ quản lý khóa 39

Hình 3 1 - USB chuyên dụng dùng cho thu thập chứng cứ 48

Hình 3 2 - Phân chia ổ USB bằng BOOTICE 49

Hình 3 3 - Thiết lập định dạng cho các phân vùng 49

Hình 3 4 - Phân chia phân vùng 50

Hình 3 5 - Các bản Linux Distribution 52

Hình 3 6 - Lựa chọn đường dẫn chứa bộ cài Kali Linux iso 52

Hình 3 7 - Chọn phân vùng và định dạng phân vùng cài Kali Linux 53

Hình 3 8 - Hoàn thành tiến trình cài đặt Kali Linux lên phân vùng 1 53

Hình 3 9 - Giao diện khởi động Boot Kali Linux 55

Hình 3 10 - Tạo ổ Persistency để lưu trữ bộ cài trên Kali Linux 55

Hình 3 11 - Kết quả sau khi tạo Persistency 56

Hình 3 12 - Giao diện chính của HĐH Kali Linux 58

Hình 3 13 - Nhóm công cụ tích hợp sẵn trong Kali Linux 58

Hình 3 14 - Danh sách các ứng dụng đã được tích hợp sẵn trên Kali Linux 59

Hình 3 15 - Tiến trình xóa các ứng dụng cài sẵn trên Kali Linux 59

Trang 9

Hình 3 16 - Hệ điều hành Kali Linux đã được tối ưu sau khi gỡ bỏ các ứng dụng 60

Hình 3 17 - Tiến trình chạy câu lệnh cài đặt DC3DD 61

Hình 3 18 - Công cụ DC3DD sau khi hoàn tất cài đặt 61

Hình 3 19 - Folder chứa công cụ Ir-Rescue trên Windows 62

Hình 3 20 - Chương trình chạy Ir-Rescue 62

Hình 3 21 - Chạy chương trình Ir-Rescue 62

Hình 3 22 - Các lỗi khi chạy Ir-Rescue 63

Hình 3 23 - Test bảo mật trên phân vùng 1 65

Hình 3 24 - Chọn Properties 65

Hình 3 25 - Chọn Advanced 65

Hình 3 26 - Chọn Remove để bỏ quyền truy cập User 66

Hình 3 27 - Chỉnh sửa quyền truy cập 66

Hình 3 28 - Chọn quyền cấm truy cập và chỉnh sửa 66

Hình 3 29 - Các bước thiết lập chế độ Read-only 67

Hình 3 30 - Kiểm tra chip TPM hỗ trợ trên máy tính 67

Hình 3 31 - BitLocker trong System and Security 68

Hình 3 32 - Kiểm tra trạng thái của BitLocker 68

Hình 3 33 - Thiết lập mã khóa cho BitLocker 69

Hình 3 34 - Lưu mã khóa BitLocker 69

Hình 3 35 – Lựa chọn phương thức mã hóa ổ đĩa 70

Hình 3 36 - Lựa chọn loại mã khóa mới nhất 70

Hình 3 37 - Bắt đầu mã hóa 71

Hình 3 38 - Kiểm tra lại trạng thái ổ đĩa sau khi mã hóa 71

Hình 3 39 - Các phân vùng đã được thiết lập Read-only và BitLocker 72

Hình 3 40 - Kiểm tra trạng thái phân vùng trên Disk management 73

Hình 3 41 - Bảng thông báo hiện lên 73

Hình 3 42 - Mở khóa BitLocker 74

Hình 3 43 - Thư mục BitLocker sau khi được mở khóa 74

Hình 3 44 - Báo lỗi ―không thể mount ổ đĩa‖ 75

Hình 3 45 - Cảnh báo Virus 78

Hình 3 46 - Chương trình Ir-Rescue bắt đầu thu thập dữ liệu 78

Hình 3 47 - Kết quả sau khi hoàn thành thu thập dữ liệu 79

Hình 3 48 - Tiến trình thu thập và mã hóa dữ liệu của dc3dd 81

Hình 3 49 - Kết quả sau khi tiến trình chạy công cụ dc3dd hoàn tất 81

Hình 3 50 - Tiến trình phân tách dữ liệu thu thập thành các tệp nhỏ bằng dc3dd 81

Hình 3 51 - Kết quả sau khi phân tách 82

Hình 3 52 - Chạy chương trình Ir-Rescue 82

Hình 3 53 - Thư mục data được khởi tạo khi chương trình Ir-Rescue bắt đầu chạy 82

Hình 3 54 - Thông báo hoàn thành thu thập của công cụ Ir-Rescue 83

Trang 10

Mở đầu

MỞ ĐẦU

Hiện nay việc phát triển vượt bậc của công nghệ Mạng và Internet giúp thúc đẩy mọilĩnh vực của cuộc sống khiến cho nhu cầu triển khai các hệ thống ứng dụng trong lĩnh vựcmạng máy tính và truyền thông tăng lên nhanh chóng Tuy nhiên cùng với phát triển củamạng Internet, tình hình mất an ninh mạng đang diễn biến phức tạp dẫn đến xuất hiệnnhiều nguy cơ đe dọa nghiêm trọng đến việc ứng dụng công nghệ thông tin phục vụ kinh

tế xã hội và quốc phòng, an ninh Số vụ tấn công trên mạng và các vụ xâm nhập hệ thốngcông nghệ thông tin nhằm do thám, trục lợi, phá hoại dữ liệu, tài sản, cạnh tranh khônglành mạnh đang gia tăng ở mức báo động về số lượng, đa dạng về hình thức, tinh vi vềcông nghệ Rất nhiều nguy cơ mất an toàn thông tin (ATTT) có thể gặp phải theo nhiềucách khác nhau như bị hacker khai thác lỗ hổng bảo mật chưa kịp vá, bị mất tài khoản do

vô ý dùng mật khẩu thông dụng, không tuân theo quy trình an ninh, của tổ chức,… Khicác nguy cơ trở thành hiện thực, chúng ta phải đối mặt với những sự cố mất ATTT Khi sự

cố xảy ra thì bằng chứng sự cố sẽ là yếu tố quan trọng, làm cơ sở cho việc xử lý sự cố.Tuy nhiên, nếu bằng chứng về một sự cố không được xử lý đúng cách, nó sẽ không đượcchấp nhận làm bằng chứng và nếu không có bằng chứng thì không có cơ sở để xử lý vàkhắc phục hiệu quả một cách đúng đắn kể về mặt kỹ thuật và pháp lý

Để quản lý sự cố hiệu quả, cần phải có những biện pháp thu thập, điều tra, phát hiệnnguyên nhân sự cố; từ đó mới có thể giảm thiểu tác động bất lợi thông qua việc khắc phụcnhanh sự cố, cập nhật lại những lỗ hổng còn chưa vá, cập nhật quy trình pháp lý, Tronghoàn cảnh này việc xây dựng một công cụ hỗ trợ công tác thu thập chứng cứ sau khi xảy

ra sự cố ATTT vô cùng cần thiết Với những lý do trên chúng tôi quyết định chọn đề tài

“Nghiên cứu, xây dựng giải pháp thu thập chứng cứ hỗ trợ xử lý sự cố an toàn thông tin” để giúp cho các doanh nghiệp và cá nhân có thể ứng dụng trong việc đảm bảo ATTT

trong công tác vận hành khai thác trên máy tính

Mục tiêu của đề tài luận văn hướng đến việc đề xuất và xây dựng giải pháp thu thậpchứng cứ trên các máy tính có sự cố mất an toàn thông tin thông qua việc sử dụng USBchuyên dụng Chúng tôi xây dựng một USB thông thường thành một USB chuyên dụngbằng cách được chia thành các phân vùng độc lập và bảo mật, đồng thời tích hợp các công

để thu thập và lưu trữ chứng cứ của máy tính mất ATTT trong trạng thái Online hoặcOffline Việc xây dựng công cụ thu thập trên nhiều môi trường tính toán khác nhau cũngnhư công tác phân tích chứng cứ, hỗ trợ xử lý sự cố nằm ngoài phạm vi nghiên cứu củaluận văn này

Trang 11

Cấu trúc luận văn gồm 3 phần cụ thể như sau:

Chương 1: Quy trình xử lý sự cố mất ATTT và phương pháp thu thập chứng cứ.

Tổng quan về các phương pháp điều tra số và quy trình điều tra số theo tiêu chuẩnISO/IEC 27035:2011 về Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý sự cố antoàn thông tin, ngoài ra sẽ giới thiệu các phương pháp thu thập chứng cứ và cách thức thuthập chứng cử đảm bảo đúng quy trình

Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng

Nêu ra yêu cầu bài toán về việc xây dựng công cụ USB chuyên dụng thu thập chứng cứ

hỗ trợ công tác xử lý sự cố mất ATTT Từ đó đưa ra phương pháp quyết bài toán bằngcách xây dựng USB chuyên dụng với ba phân vùng độc lập và bảo mật, trong đó phânvùng thứ 1 được sử dụng để cài hệ điều hành Linux và hệ điều hành sẽ được tùy biến chomục đích thu thập dữ liệu bất biến và khả biến ở chế độ máy tính Offline, phân vùng thứ 2thu thập chứng cứ trên Windows khi máy tính trong chế độ Online, phân vùng 3 sử dụng

để lưu trữ dữ liệu thu thập Trong phần này cũng sẽ giới thiệu qua về một vài bản phânphối Linux và một số công cụ bảo mật cũng như thu thập chứng cứ

Chương 3: Xây dựng USB thu thập chứng cứ và kiểm thử.

Dựa trên nội dung trong Chương 2, trong Chương 3 sẽ trình bày cụ thể các bước để xâydựng một USB thu thập chứng cứ chuyên dụng đảm bảo được yêu cầu của bài toán đặt ra.Ngoài ra, chúng tôi còn đánh giá về chức năng nhiệm vụ của từng phân vùng, khả năngbảo mật cũng như khả năng thu thập chứng cứ thông qua việc kiểm thử thiết bị

Hoàn thành luận văn này giúp tôi hiểu rõ hơn về quy trình và phương pháp thu thậpchứng cứ trong điều tra số, dựa trên những kiến thức lí thuyết thu được cộng với tài liệutham khảo và sự hướng dẫn của thầy mà tôi đã xây dựng được USB chuyên dụng dànhcho công tác thu thập chứng cứ phục vụ các cuộc điều tra số Do thời gian có hạn và trình

độ còn hạn chế, nên luận văn của em không tránh khỏi những thiếu sót Tôi rất mongđược sự chỉ bảo, đóng góp của các thầy, cô giáo để luận văn thạc sĩ của tôi hoàn thiện hơn

Trang 12

Chương 1: Quy trình xử lý sự cố mất ATTT và phương pháp thu thập chứng cứ

CHƯƠNG 1: QUY TRÌNH XỬ LÝ SỰ CỐ MẤT ATTT VÀ PHƯƠNG PHÁP

THU THẬP CHỨNG CỨ

1.1 Quy trình điều tra số

- Tổng quan về quy trình điều tra số

Quy trình điều tra số được trình bày ở mức độ tổng quan để có thể được sử dụng chocác kiểu điều tra số và chứng cứ khác nhau Việc sử dụng phương pháp luận này nhằm hỗtrợ việc thiết kế và phát triển các quy trình ở mức cao với mục đích phân tách chúngthành các quy trình không thể phân chia được (xem ISO/IEC 27041) Ngoài ra, mục đíchcủa quy trình này là toàn diện vì chúng đại diện cho sự phù hợp của tất cả các quy trình sốđược công bố vào thời để điểm viết tiêu chuẩn này Quy trình điều tra số được tổ chứcmột cách ngắn gọn nhưng vẫn đảm bảo tuân thủ đúng quy trình [1]

- Các lớp quy trình điều tra số

Quy trình điều tra số tạo thành một danh sách Để quy trình điều tra số tổng quát ở mức

độ cao hơn chúng có thể được phân loại thành các lớp quy trình điều tra hình 1.1

Trang 13

Quy trình chuẩn bị sẵn sàng: Lớp quy trình xử lý các quy trình điều tra trước khi

xảy ra sự cố Lớp này đề cập đến các chiến lược xác định có thể được sử dụng đểđảm bảo hệ thống được đưa ra và nhân viên tham gia vào quy trình điều tra đượcđào tạo kỹ lưỡng trước khi xử lý một sự việc xảy ra Quy trình chuẩn bị sẵn sàng làtùy chọn cho phần còn lại của quy trình điều tra số Lý do cho điều này được giảithích chi tiết trong hình 1.1 Quy trình chuẩn bị sẵn sàng gồm có: Xác định kịch bản;Xác định nguồn chứng cứ tiềm năng; Lập kế hoạch thu thập trước sự cố; Lưu trữ và

xử lý dữ liệu đại diện cho chứng cứ tiềm năng; Lập kế hoạch phân tích dữ liệu đạidiện cho chứng cứ tiềm năng trước khi xảy ra sự cố; Lập kế hoạch phát hiện sự cố;Xác định kiến trúc hệ thống; Thực hiện kiến trúc hệ thống; Thực hiện việc thu thập,lưu trữ và xử lý dữ liệu đại diện cho chứng cứ tiềm năng; Thực hiện phân tích dữliệu đại diện cho chứng cứ tiềm năng trước khi xảy ra sự cố; Thực hiện phát hiện sựcố; Đánh giá việc thực hiện; Thực hiện đánh giá kết quả

Quy trình khởi tạo: Lớp các quy trình xử lý cho việc khởi tạo cuộc điều tra số Quy

trình khởi tạo bao gồm: Phát hiện sự cố; Phản ứng; Lập kế hoạch; Chuẩn bị

Quy trình tiếp nhận: Lớp các quy trình xử lý đối với việc điều tra vật lý trong một

trường hợp xác định và xử lý chứng cứ tiềm năng Quy trình tiếp nhận bao gồm: Xácđịnh chứng cứ tiền năng; Thu thập chứng cứ tiềm năng; Vận chuyển chứng cứ tiềmnăng; Lưu trữ chứng cứ tiềm năng

Quy trình điều tra: Lớp các quy trình xử lý để phát hiện ra chứng cứ tiềm năng.

Quy trình điều tra bao gồm: Kiểm tra và phân tích chứng cứ tiềm năng; Giải thíchchứng cứ; Báo cáo; Trình bày; Kết thúc điều tra

Quy trình đồng thời: Lớp các quy trình xảy ra đồng thời cùng với các quy trình khác.

Lớp các quy trình này khác với lớp quy trình trước nó xảy ra song song với các quy trìnhkhác thay vì nối tiếp Thứ tự cụ thể trong quy trình đồng thời thực hiện là không liên quannhư trái với các quy trình không đồng thời khác Mục đích của quy trình này cho phép cácquy trình trên được thực hiện như các quy trình đang diễn ra Lý do để có quy trình đồngthời nhằm đảm bảo sự chấp nhận chứng cứ trong hệ thống pháp luật vì trong trường hợpkhông có các quy trình như vậy bất kỳ cuộc điều tra nào cũng có thể gây nguy cơ chứng

cứ tiềm năng đã được thừa nhận có thể không phù hợp với vụ việc do xử lý không đúngcách và việc tài liệu hóa chứng cứ tiềm năng Những nguyên tắc của quy trình đồng thờinày cần được theo dõi trong suốt quy trình điều tra số cùng với các lớp khác của quytrình Quy trình đồng thời bao gồm: Được ủy quyền; Tài liệu hóa; Quản lý luồng thôngtin; Bảo quản chuỗi giám sát; Bảo quản chứng cứ; Tương tác với điều tra vật lý [3]

Trang 14

1.2 Thu thập chứng cứ

Một trong những thứ khiến các điều tra viên gặp rắc rối trong việc thu thập chứng cứ làrất khó lựa chọn thời điểm tốt nhất để thu thập Chứng cứ không có sự tồn tại lâu dàigiống như những loại chứng cứ thông thường, và hơn nữa chúng rất khó để có thể tạođược sự liên kết liền mạch Mục đích của chương này là chỉ ra những khó khăn và đưa racác phương pháp để giải quyết các vấn đề trong thu thập chứng cứ Đây chỉ là nhữngphương pháp điển hình do đó chúng chỉ được sử dụng như là một hướng dẫn chung.Phần này không hướng đến những chuyên gia phân tích chứng cứ, vì hầu hết nhữngkiến thức này đã quá rõ với họ Ngoài ra những kiến thức của chương này đem lại cũng sẽkhông xử lý được toàn bộ các cuộc điều tra trên hệ thống máy tính bởi vì bản chất không

có hai cuộc điều tra nào giống nhau, do đó nó chỉ mang tính chất tham khảo [1]

1.2.1 Khó khăn trong thu thập chứng cứ

Tội phạm công nghệ cao rất khó để điều tra và truy tố Các nhà điều tra phải dựng lạihiện trường dựa trên các dữ liệu thu thập được sau khi một cuộc tấn công xảy ra Các giaodịch trên máy tính diễn ra rất nhanh, chúng có thể được thực hiện từ bất kì đâu và từ bất

kỳ thời điểm nào, có thể được mã hóa hoặc ẩn danh và không có các tính năng nhận dạngnhư chữ viết tay và chữ ký để xác định những người chịu trách nhiệm Bất kỳ truy vếttrang của bản ghi trên máy tính nạn nhân có thể dễ dàng sửa đổi hoặc phá hủy, hoặc cóthể chỉ tồn tại tạm thời Tệ hơn nữa, các chương trình kiểm tra có thể tự động hủy các bảnghi khi giao dịch máy tính kết thúc Ngay cả khi các giao dịch được khôi phục thông quaứng dụng, rất khó để đưa ra kết luận kẻ tình nghi thông qua giao dịch, do không xác địnhđược thông tin như mật khẩu hoặc số PIN (hoặc bất kỳ số nhận dạng điện tử nào khác)nên sẽ không ai chịu trách nhiệm cho giao dịch Dẫn tới, các thông tin thu thập được từcác giao dịch cũng không chỉ cho ta biết được đã có một ai đó đã đột nhập vào hệ thống.Mặc dù, công nghệ không ngừng phát triển, việc điều tra tội phạm công nghệ cao luôngặp nhiều khó khăn vì dễ thay đổi dữ liệu và thực tế là các giao dịch hầu hết được thựchiện ẩn danh Điều tốt nhất chúng ta có thể làm là tuân theo các quy tắc thu thập chứng cứ

để ngăn chặn kẻ tấn công [1]

1.2.2 Tại sao thu thập chứng cứ?

Thu thập chứng cứ có thể rất tốn kém, do nó phải tuân theo các quy trình rất nghiêmngặt và phải khảo sát toàn diện, ngoài ra các hệ thống bị ảnh hưởng không phải lúc nàocũng sẵn sàng để phục vụ cho việc thu thập chứng cứ và phân tích dữ liệu trong một thờigian dài Vì vậy, tại sao phải thu thập chứng cứ? Có 2 lý do đơn giản: Trách nhiệm vàphòng ngừa cho tương lai [1]

Trang 15

- Phòng ngừa cho tương lai

Sẽ không biết chuyện gì sẽ xảy ra tiếp theo nếu như chúng ta không ngăn ngừa sau khimột cuộc tấn công xảy ra, nó giống như việc chúng ta không thay khóa cửa nhà sau khi bịmột ai đó đột nhập Mặc dù, chi phí bỏ ra cho ra cho việc thu thập chứng cứ, phân tích,xây dựng giải pháp không hề nhỏ nhưng nó sẽ giúp ngăn ngừa các cuộc tấn công về saugây thiệt hại lớn hơn như: Hình ảnh công ty, mất an ninh về bảo mật thông tin… [1]

1.2.3 Lựa chọn phương pháp thu thập

Khi một cuộc tấn công bị phát hiện, chúng ta có hai lựa chọn sau: Ngắt kết nối mạng rakhỏi hệ thống (Offline) và bắt đầu thu thập chứng cứ hoặc để nó trực tuyến (Online) và cốgắng giám sát kẻ xâm nhập

₋ Trong trường hợp để hệ thống trực tuyến và giám sát kẻ xâm nhập chúng ta phải vô cùng cẩnthận, bởi vì nếu để kẻ tấn công bị phát hiện họ sẽ hủy chứng cứ ngay lập tức khiến chúng takhông thể truy vết Hoặc nếu kẻ tấn công không xóa hoàn toàn chứng cứ nhưng nếu bị pháthiện trong lần tấn công tấn công tiếp theo chúng ta sẽ rất khó dự đoán hành vi để ngăn chặn

₋ Trong trường hợp ngắt hệ thống ra khỏi mạng, chúng ta phải xem xét kỹ lưỡng thờiđiểm để ngắt, bởi vì nếu chúng ta ngắt quá sớm sẽ không đủ lượng thông tin chứng cứquan trọng để phục vụ cho công tác điều tra sau này, nếu ngắt quá muộn có thể khiếncho chúng ta mất các thông tin quan trọng vào tay của kẻ tấn công Tệ hại hơn là kẻ tấncông để lại mã độc khiến chúng ta dù có chọn đúng thời điểm để ngắt kết nối mạng rakhỏi hệ thống thì kẻ tấn công cũng sẽ xóa sạch mọi dữ liệu [1]

1.2.4 Các loại chứng cứ

Trước khi bắt đầu thu thập chứng cứ, một trong những điều quan trọng nhất chúng taphải biết là loại chứng cứ chúng ta thu thập thuộc loại nào Bởi vì nếu không xác địnhđúng kiểu dữ liệu thu thập sẽ dẫn tới mất thời gian, tiền bạc để lấy một dữ liệu vô ích,thậm chí việc thu thập sai nên dẫn tới việc làm loãng thông tin điều tra gây sai lệch kếtquả Do vậy, để phân tích chứng cứ một cách hiệu quả chúng ta cần thu thập đúng loạichứng cứ Dưới đây mô tả các loại chứng cứ được dùng tham khảo trước khi thu thập

Trang 16

- Chứng cứ dùng để chứng thực

Chứng cứ dùng để chứng thực là bất kỳ chứng cứ nào được cung cấp bởi một nhânchứng Loại chứng cứ này tùy thuộc vào độ tin cậy cảm nhận của nhân chứng, nhưngmiễn là nhân chứng có thể được coi là đáng tin cậy, chứng cứ dùng để chứng thực có thể

độ tin cậy cao như chứng cứ thực Các tài liệu xử lý văn bản được viết bởi một nhânchứng có thể được coi là lời chứng thực miễn là tác giả sẵn sàng tuyên bố rằng họ làngười cung cấp chúng

- Tin đồn

Tin đồn, đây là loại chứng cứ được đưa ra bởi một người không phải nhân chứng trựctiếp Dữ liệu được cung cấp không phải từ một người liên quan trực tiếp tới vụ việc Tin đồn không được chấp nhận để chứng thực, do đó nên tránh sử dụng những thông tin này

- Tính xác thực

Nếu chúng ta không thể tự xác thực được các chứng cứ của chính mình thì chúng tacũng sẽ không thể sử dụng nó để chứng minh bất cứ điều gì Do đó chúng ta phải chứngminh rằng chứng cứ phải có liên quan đến vụ việc và thông tin phải chính xác, ta gọi nó làtính xác thực

- Tính toàn vẹn

Nếu không đủ chứng cứ thu thập chúng ta sẽ không thể tái hiện lại toàn bộ hiện trường

vụ việc Ngoài ra việc không đủ chứng cứ dẫn đến việc buộc tội sai kẻ tình nghi Ví dụ, cómột người đăng nhập vào hệ thống và ngay thời điểm đó cũng có một kẻ đang tấn công vìvậy nếu không thu thập đủ chứng cứ dẫn đến kết luận sai kẻ tình nghi

- Tính tin cậy

Trong quá trình thu thập chúng ta lựa chọn các chứng cứ đáng tin cậy, có nguồn gốc rõràng và có liên quan tới cuộc tấn công

Trang 17

Giảm thiểu sai lệch dữ liệu gốc: Sau khi đã tạo ra một bản sao của dữ liệu gốc thì

đừng nên có bất kỳ tác động nào vào bản dữ liệu gốc Luôn phải xử lý dữ liệu trêncác bản sao thứ cấp, mọi thay đổi được thực hiện trên bản gốc sẽ ảnh hưởng tới kếtquả của phân tích của các bản sao khác sau đó Do đó không nên chạy các chươngtrình sửa đổi thời gian truy cập các tệp (ví dụ như Tar hoặc Xcopy)

Lưu lại nhật ký tác động: Đôi khi thay đổi chứng cứ là không thể tránh khỏi.

Trong trường hợp này phải ghi lại toàn quá trình thay đổi trong nhật ký Bất kỳ thayđổi nào cũng cần được tính đến vì không chỉ thay đổi dữ liệu gốc phần mềm mà cònthay đổi liên quan đến dữ liệu gốc trong phần cứng

Tuân thủ năm quy tắc thu thập chứng cứ: Việc tuân thủ năm quy tắc trong thu

thập chứng cứ sẽ giúp chúng ta tiết kiệm thời gian, tiền bạc và đồng thời cũng giúpchúng ta đảm bảo thu thập đúng loại chứng cứ cần thiết cho công việc điều tra số

Đừng làm gì vượt quá hiểu biết của bản thân: Nếu không hiểu những gì mình

đang làm, không có đủ kiến thức để tính toán trước ảnh hưởng sau khi thay đổi dữliệu Tốt nhất nên tìm hiểu thêm các kiến thức liên quan trước hoặc tìm một ngườinào đó hiểu rõ và nền tảng kiến thức sâu rộng để dẫn dắt Không nên cố gắng thử bất

cứ điều gì khi chưa trang bị đủ kiến thức

Thực hiện theo chính sách bảo mật của tổ chức: Nếu không tuân thủ chính sách

bảo mật của công ty, dẫn đến gặp một số rắc rối như: Kỷ luật, bị phạt hoặc sa thải

Do đó trước khi tiến hành thu thập chứng cứ hãy trao đổi trước với người phụ trách

về vấn đề an ninh mạng của tổ chức

Thu giữ dữ liệu hệ thống càng chính xác càng tốt: Thu giữ chính xác dữ liệu có

liên quan đến vụ việc trên hệ thống để giảm thiểu thời gian xử lý sau này hoặc gâyảnh hưởng tới dữ liệu gốc

Chuẩn bị nhân chứng: Sẵn sàng làm chứng cho các chứng cứ đã thu thập Nếu

không có bên thứ ba xác nhận thì các chứng cứ được thu thập coi là vô căn cứ và nó

sẽ trở thành dạng chứng cứ tin đồn Hãy nhớ rằng chúng ta cần phải bên thứ ba làmchứng đối với các chứng cứ đó bởi vì sẽ không ai tin chúng ta nếu họ cũng có thể tựtạo ra chứng cứ để đạt được kết quả tương tự

Trang 18

Thu thập chứng cứ nhanh: Thu thập chứng cứ càng nhanh càng tốt, bởi vì như vậy

dữ liệu sẽ ít bị thay đổi Chứng cứ rất dễ bay hơi và có thể biến mất hoàn toàn nếukhông thu thập kịp thời Điều này không có nghĩa là phải vội vàng mà phải giữ bìnhtĩnh để thu thập dữ liệu một cách chính xác nhất Nếu có nhiều người tham gia thuthập chứng cứ và làm việc song song là tốt nhất, nhưng điều quan trọng nhất tất cả

họ đều phải tuân thủ theo nguyên tắc Ngoài ra còn có thể áp dụng chương trình tựđộng khác hỗ trợ để đẩy nhanh tiến độ thu thập chứng cứ

Tiến hành thu thập từ chứng cứ khả biến và các chứng cứ bất biến: Một số

chứng cứ rất dễ biến mất do đó luôn phải cố gắng thu thập các chứng cứ khả biếntrước tiên sau đó mới đến các chứng cứ bất biến tồn tại lâu dài trên máy tính

Đừng tắt máy tính trước khi hoàn thành thu thập chứng cứ: Chúng ta không

bao giờ được tắt hệ thống máy tính trước khi hoàn thành thu thập chứng cứ Vì làmnhư vậy không những chúng ta làm bốc hơi các chứng cứ khả biến mà còn đánhđộng đến kẻ tấn công, gây khó khăn trong việc điều tra và phòng tránh các cuộc tấncông khác Nguyên tắc chung là không được phép tắt máy tính sau một cuộc tấncông và không dùng ổ đĩa đang bị tấn công làm ổ đĩa khởi động

Không chạy bất kỳ chương trình nào trên máy tính nạn nhân: Vì kẻ tấn công có

thể để lại các chương trình và thư viện Trojan trên hệ thống, chúng ta có thể vô tìnhkích hoạt thứ gì đó có thể thay đổi hoặc phá hủy các chứng cứ chúng ta đang tìmkiếm Bất kỳ chương trình nào chúng ta sử dụng phải ở dạng chỉ đọc(Read-only) ví

dụ đĩa CD-ROM hoặc USB đã được cài phần mềm chống ghi ngược và phải đượcliên kết tĩnh

1.2.6 Chứng cứ khả biến

Mỗi loại chứng cứ đòi hỏi kỹ thuật tìm kiếm và thu thập khác nhau, các chứng cứ trên

hệ thống máy tính có thể bất biến hoặc khả biến, tuy nhiên chúng ta nên cố gắng tiến hànhthu thập các chứng cứ khả biến trước vì chúng rất dễ bay hơi sau đó mới đến các chứng

cứ bất biến vì chúng tồn tại trong thời gian dài trên hệ thống máy tính Tất nhiên chúng takhông nên áp dụng quy tắc này một cách cứng nhắc Ngoài ra chúng ta cũng không nênlãng phí thời gian để trích xuất các thông tin không quan trọng hoặc không bị ảnh hưởngbởi cuộc tấn công

Để xác định chứng cứ nào cần thu thập trước, chúng ta nên lập một danh sách cácchứng cứ khả biến và sắp xếp chúng theo mức độ quan trọng Dưới đây sắp xếp theo thứ

tự quan trọng của từng loại chứng cứ khả biến thường có trong hệ thống máy tính

₋ Thanh ghi và bộ nhớ đệm (Register and cache)

Trang 19

₋ Bộ đệm Arp (Arp cache).

₋ Bảng quy trình (Process table).

₋ Thống kê Kernel và Mô đun (Kernal statistics and Modules).

₋ Bộ nhớ chính (Main memory).

₋ Hệ thống tập tin tạm thời (Temporary file systems).

₋ Bộ nhớ thứ cấp (Secondary memory).

₋ Cấu hình bộ định tuyến (Router configuration).

₋ Cấu trúc liên kết mạng (Network topology).

₋ Bước 3: Phân tích chứng cứ

Phân tích các chứng cứ để trích xuất thông tin liên quan và tạo lại chuỗi sự kiện Phântích đòi hỏi kiến thức chuyên sâu về những gì chúng ta đang tìm kiếm và làm thế nào đểtrích xuất thông tin hữu ích Luôn chắc chắn rằng người hoặc những người đang phân tíchchứng cứ có đủ điều kiện thuận lợi để làm điều đó

₋ Bước 4: Trình bày chứng cứ

Truyền đạt ý nghĩa của chứng cứ vô cùng quan trọng nếu không dẫn đến việc điều tratrở nên kém hiệu quả Ngoài ra tăng tính tin cậy chúng ta nên chọn một người am hiểu vấn đề dẫn dắt chúng ta trình bày các chứng cứ

1.2.8 Thu thập chứng cớ và lưu trữ

Khi đã hoàn thành lập kế hoạch và xác định cụ thể các chứng cứ mà chúng ta phải thu thập, hãy bắt tay ngay vào công việc điều tra Lưu trữ dữ liệu cũng vô cùng quan trọng

Trang 20

- Logs và Logging

Nên chạy các tính năng ghi lại hoạt động của hệ thống Điều quan trọng là làm thế nào

để giữ cho các bản ghi này an toàn và sao lưu chúng định kỳ, vì trong các bản ghi thường

tự động lưu lại các mốc thời gian Hãy lưu ý rằng các bản ghi này được lưu trữ cục bộtrên máy tính bị xâm nhập, chúng dễ bị thay đổi hoặc bị xóa bởi kẻ tấn công Nếu chúng

ta có một máy chủ từ xa để lưu lại các bản ghi hệ thống sẽ làm giảm thiểu rủi ro khi mộtcuộc tấn công xảy ra mặc dù kẻ tấn công có thể tạo thêm các mục giải mã hoặc các mụcrác làm ảnh hưởng tới bản ghi gốc

Việc kiểm tra thường xuyên bản ghi hệ thống rất hữu ích bởi vì không chỉ phát hiện ranhững kẻ xâm nhập mà còn là cách để tạo ra thêm chứng cứ Tin nhắn, bản ghi từ cácchương trình có thể được sử dụng để cho thấy thiệt hại mà kẻ tấn công đã gây ra Tấtnhiên, chúng ta cần phải bắt nhanh được các bản ghi này trước khi chúng biến mất hoặc

bị thay đổi

- Giám sát

Theo dõi lưu lượng truy cập mạng rất hữu ích để có thể thu thập số liệu thống kê, coichừng hoạt động bất thường để có thể ngăn chặn sự xâm nhập trước khi nó xảy ra và đồngthời theo dõi kẻ tấn công đến từ đâu và anh ta đang làm gì Theo dõi bản ghi nhật ký khichúng được tạo, nó có thể hiển thị cho chúng ta thông tin quan trọng mà chúng ta có thể

đã bỏ lỡ Điều này không có nghĩa là phải bỏ qua các bản ghi sau này, bởi nó có thể là thứ

mà thiếu trong các bản ghi đáng ngờ

Thông tin được thu thập trong khi giám sát lưu lượng mạng có thể được tổng hợp thành

số liệu thống kê để xác định hành vi bình thường cho hệ thống Những thống kê này cóthể được sử dụng như một cảnh báo sớm về các hành động của kẻ tấn công Chúng cũng

có thể theo dõi hành động của người dùng, điều này tạo ra như một hệ thống cảnh báosớm Hoạt động bất thường hoặc sự xuất hiện đột ngột của người dùng không xác địnhnên được coi là nguyên nhân rõ ràng để kiểm tra chặt chẽ hơn Nói chung, nên giới hạnphạm vi giám sát lưu lượng truy cập hoặc thông tin người dùng tránh lãng phí thời gian vàcũng nên tạo nội dung bản cam kết để người dùng có thể tùy ý lựa chọn giữa việc đồng ý

bị giám sát hoặc từ chối khi người dùng đăng nhập, bởi vì sau này tránh được vấn đề liênquan đến pháp lý [7]

1.2.9 Phương pháp thu thập chứng cứ

Có hai hình thức thu thập cơ bản: Đóng băng hiện trường (Freezing the scene) và Mắtong (Honeypottting) Có thể sử dụng linh hoạt một trong hai cách này hoặc dùng cả haicách cùng lúc tùy vào trường hợp cụ thể

Trang 21

Đóng băng hiện trường: Là một hình thức sao lưu dữ liệu tạm thời sử dụng cho nhiềumục đích Trước khi bắt đầu thu thập chúng ta nên thông báo trước cho các cơ quan, tổchức liên quan đến vụ việc như cảnh sát và đội phản ứng sự cố và đội pháp lý Sau đó mớibắt đầu thu thập dữ liệu và phân loại dữ quan trọng và chúng phải được lưu trữ trong mộtđịnh dạng tiêu chuẩn Đảm bảo rằng các chương trình và tiện ích được sử dụng để thuthập dữ liệu cũng được thu thập trên cùng phương tiện Tất cả dữ liệu sau khi thu thậpphải tạo một bản tóm tắt thông điệp mật mã và những bản tóm tắt đó phải được so sánhvới bản gốc để xác minh tính toàn vẹn.

Honeypotting là một hệ thống tài nguyên thông tin được xây dựng với mục đích giảdạng, đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ý, ngănkhông cho chúng tiếp xúc với hệ thống thật Honeypotting có thể giả dạng bất cứ loại máychủ tài nguyên nào như Mail Server, Domain Name Server, Web Server Honeypotting

sẽ trực tiếp tương tác với tin tặc và tìm cách khai thác thông tin về tin tặc như hình thứctấn công, công cụ tấn công hay cách thức tiến hành tấn công Honeypotting gồm hai loạichính:

₋ Honeypotting tương tác thấp: Mô phỏng giả các dịch vụ, ứng dụng, và hệ điều hành Mức độ rủi ro thấp, dễ triển khai và bảo dưỡng nhưng bị giới hạn về dịch vụ.

₋ Honeypotting tương tác cao: Là các dịch vụ, ứng dụng và hệ điều hành thực Mức độ thông tin thu thập được cao Nhưng rủi ro cao và tốn thời gian để vận hành và bảo dưỡng Các Honeypotting tương tác thấp bao gồm:

+ Back Officer Friendly (BOF): Là một loại hình Honeypotting rất dễ vận hành và cấuhình của nó có thể hoạt động trên bất kỳ phiên bản nào của Windows và Unix,nhưng nhược điểm của nó là chỉ tương tác được với một số dịch vụ đơn giản nhưFTP, Telnet, SMTP

+ Specter: Đây cũng là loại hình Honeypotting tương tác thấp nhưng có khả năngtương tác tốt hơn so với Back Officer, loại Honeypotting này có thể giả lập trên 14cổng (Port), và có thể cảnh báo, quản lý từ xa Tuy nhiên, cũng giống như BackOfficer thì Specter có nhược điểm là bị giới hạn số dịch vụ và không linh hoạt.+ Honeyd: Loại Honeypotting này có thể ―lắng nghe‖ trên tất cả các cổng TCP vàUDP, những dịch vụ mô phỏng được thiết kế với mục đích ngăn chặn và ghi lạinhững cuộc tấn công, tương tác với kẻ tấn công trong vai trò là một hệ thống nạnnhân Hiện nay, Honeyd có nhiều phiên bản và có thể mô phỏng được khoảng 473

hệ điều hành Honeyd là loại hình Honeypotting tương tác thấp có nhiều ưu điểm,tuy nhiên nó có nhược điểm là không thể cung cấp một hệ điều hành thật để tương

Trang 22

tác với tin tặc và không có cơ chế cảnh báo khi phát hiện hệ thống bị xâm nhập hoặcgặp phải nguy hiểm

+ Honeypotting tương tác cao: Là các dịch vụ, ứng dụng và hệ điều hành thực Mức

độ thông tin thu thập được cao nhưng rủi ro cao và tốn thời gian để vận hành và bảodưỡng Honeynet là hình thức honeypotting tương tác cao [2]

1.2.10 Dữ liệu thu thập

Bất cứ khi nào một hệ thống bị xâm nhập, hầu như luôn có thứ gì đó bị kẻ tấn công bỏlại, đó là các đoạn mã, chương trình trojan, quy trình đang chạy hoặc tệp nhật ký Sniffer,chúng được gọi là hiện vật Chúng là một trong những thứ quan trọng chúng ta nên thuthập, nhưng chúng ta phải cẩn thận Không nên cố gắng phân tích một vật phẩm trên hệthống bị xâm nhập Hiện vật để lại hiện trường có khả năng cho chúng ta biết thêm nhiềuthông tin hữu ích, và chúng ta muốn chắc chắn rằng hiệu ứng của chúng được kiểm soát

Có một số hiện vật rất khó để có thể tìm thấy bởi vì các Trojan có thể tạo ra cácchương trình giống hệt bản gốc (kích thước tệp, kiểm soát truy cập trung bình [MAC] lần,v.v.) Vì vậy chúng ta tổng kiểm tra ―Checksum‖ tệp tin gốc để xác định được rằng hiệnvật nào là do Trojan tạo ra Phân tích các hiện vật giúp chúng ta tìm kiếm truy ngược lạicác hệ thống, công cụ của kẻ tấn công sử dụng

Từ các thông tin ở trên, bây giờ bây giờ sẽ xây dựng từng bước thu thập chứng cứ.Nhắc lại một lần nữa rằng đây chỉ là một hướng dẫn do đó nó tùy tình huống cụ thể để sửdụng một cách hiệu quả Dưới đây các bước thu thập chứng cứ:

- Bước 1: Tìm kiếm chứng cứ

Xác định nơi chứng cứ đang tìm kiếm được lưu trữ, phải có một danh sách kiểm tra, nókhông chỉ giúp xác định được đúng loại chứng cứ để thu thập mà còn để kiểm soát không

bỏ sót mọi khu vực ổ đĩa lữu trữ có chứa các chứng cứ

- Bước 2: Tìm dữ liệu liên quan

Sau khi tìm thấy chứng cứ, chúng ta phải tìm ra phần nào trong đó có liên quan đến vụ

án Nói chung không nên thu thập tất cả các dữ liệu nhìn thấy mặc dù phải làm việc này rất nhanh

- Bước 3: Tạo phân bậc mức độ quan trọng cho các dữ liệu khả biến.

Bây giờ chúng ta đã biết chính xác những dữ liệu nào cần thu thập, dựa trên kiến thứccủa bản thân để sắp xếp dữ liệu khả biến theo mức độ ưu tiên để thu thập nó Lưu ý rằng chúng ta nên ưu tiên thu thập các dữ liệu khả biến dễ biến mất trong thời gian ngắn

Trang 23

- Bước 4: Ngăn chặn sự thay đổi dữ liệu từ bên ngoài

Điều cần thiết là nên tránh để dữ liệu gốc bị thay đổi hay nói cách khác phòng bệnhluôn tốt hơn chữa bệnh Ngăn chặn bất cứ ai can thiệp vào chứng cứ nhằm tạo ra một dữliệu chính xác nhất có thể Tuy nhiên, phải cẩn thận, kẻ tấn công có để lại bẫy để thay đổi

dữ liệu khi bị phát hiện trước khi dời đi Cuối cùng, phải cố gắng ngăn chặn những thayđổi dữ liệu từ bên ngoài

Bước 6: Xây dựng tài liệu

Các thủ tục thu thập dữ liệu phải được lưu lại để dùng trong công việc điều tra sau này

Do đó sau khi lưu lại dấu thời gian, lịch sử, chữ ký số, các bước thu thập Đừng xóa bất

cứ thứ gì

1.2.11 Kiểm soát và bảo vệ dữ liệu

Một khi dữ liệu đã được thu thập, nó phải được bảo vệ khỏi sự lây nhiễm Không baogiờ sử dụng bản dữ liệu gốc trong điều tra số Điều này không chỉ đảm bảo rằng dữ liệugốc vẫn sạch, không bị lây nhiễm mà còn hạn chế các khả năng làm hỏng dữ liệu Tấtnhiên, bất kỳ thử nghiệm nào cũng phải được thực hiện trên một máy chủ sạch và bị côlập Để kiểm soát và bảo vệ dữ liệu an toàn nhất, đảm bảo những yêu cầu dưới đây:

₋ Phân tích

Khi dữ liệu đã được thu thập thành công, nó phải được phân tích để trích xuất chứng cứ

mà mình muốn trình bày và xây dựng lại hiện trường Phải chắc chắn rằng đã ghi chépđầy đủ mọi thứ mà mình làm Mục tiêu công việc là phải phân tích chứng cứ nhằm đưa rakết luận cuối cùng để phục vụ cho cuộc điều tra số

₋ Thời gian

Để dựng lại các sự kiện dẫn đến việc hệ thống bị hỏng, do đó phải có thể tạo một dòngthời gian để liên kết các sự kiện lại với nhau Tuy nhiên, để làm được điều này thì khôngbao giờ được phép thay đổi thời gian trên hệ thống bị ảnh hưởng Cần phải lưu ý rằng đôilúc có những dữ liệu thiếu đồng bộ thời gian (lệch nhau múi giờ hoặc lệch thời điểm) do

đó phải cẩn thận trong việc sắp xếp thời gian cho đúng trình tự các sự kiện Các tệp nhật

ký thường sử dụng dấu thời gian để cho biết khi nào một mục nhập được thêm vào và

Trang 24

chúng phải được đồng bộ hóa để dữ liệu mới liên kết chặt với dữ liệu khác, cũng nên sửdụng dấu thời gian, không những tái cấu trúc các sự kiện mà còn xây dựng các chuỗi sựkiện đi đúng hướng, tốt nhất là phải sử dụng múi giờ GMT khi tạo dấu thời gian chuẩn

₋ Sao lưu kết quả phân tích cuộc điều tra số

Cần phải có một máy chủ lưu trữ dành riêng cho công việc sao lưu kết quả phân tíchcuộc điều tra số Máy chủ kiểm tra này phải được bảo mật, sạch sẽ (cài một hệ điều hànhmới và đóng băng nó để cách ly với bất kỳ mạng khác) Khi hệ thống này có sẵn, bạn cóthể bắt đầu phân tích các bản sao lưu Làm sai ở thời điểm này không nên là một vấn đề.Bạn chỉ có thể khôi phục lại các bản sao lưu nếu cần Hãy nhớ câu thần chú: Tài liệu mọithứ bạn làm Đảm bảo rằng những gì bạn làm là lặp lại và có khả năng luôn cho kết quảtương tự [7]

Trang 25

CHƯƠNG 2: GIẢI PHÁP THU THẬP CHỨNG CỨ BẰNG USB CHUYÊN DỤNG

Hình 2.1 Cấu trúc USB thu thập chứng cứ

Trang 26

Ngoài ra, yêu cầu hoạt động của USB chuyên dụng phải đảm bảo được tính bảo mậttrên từng phân vùng, tính toàn vẹn dữ liệu khi được thu thập khi được lưu trữ các dữ liệunày trên USB Hơn nữa do các đặc trưng việc hỗ trợ xử lý sự cố mất ATTT, USB phải đápứng được thu thập chứng cứ ngay cả khi máy tính Online lẫn khi máy tính Offline

Trong các phần tiếp theo chúng tôi trình bày phương pháp giải quyết bài toán và cáccông cụ có thể dùng để xây dựng USB chuyên dụng

2.2 Phương pháp giải quyết bài toán

2.2.1 Hướng đi cho bài toán

Để thu thập chứng cứ, các công cụ hỗ trợ cho pháp lý số nói chung sẽ được tập hợp lạitrong một USB chuyên dụng, có hệ điều hành Linux được tuỳ biến, cho phép thu thậpnhật ký hoạt động của máy tính có nghi ngờ hoặc đã xảy ra sự cố mất ATTT USB này sẽphải có khả năng tự đảm bảo tính toàn vẹn của toàn bộ công cụ trong USB, chống ghingược lại từ các máy tính bị lây nhiễm Malwares và có thêm công cụ để thu thập đượcnhững tệp dữ liệu, thông tin có nguy cơ cao gây ra sự cố cũng như bị ảnh hưởng bởi sự

cố Các công cụ trong USB chuyên dụng này sẽ phải cho phép thu thập được cả dữ liệuchứng cứ trên các hệ thống máy tính Online lẫn các máy tính Offline tức là không sửdụng hệ điều hành của máy tính bị sự cố Cụ thể, các dữ liệu cần phải thu thập sẽ bao gồmtối thiểu các loại dữ liệu sau:

₋ Dữ liệu khả biến trong máy tính bị sự cố:

+ Trạng thái mạng, các cổng được mở, bảng định tuyến, dữ liệu được trao đổi qua các cổng được mở…

+ Thông tin về các tiến trình đang hoạt động

+ Thông tin về người dùng đã đăng nhập, về máy tính

₋ Dữ liệu bất biến trong máy tính bị sự cố

+ Thông tin cấu hình mạng, cấu hình hệ thống

+ Các tệp hệ thống của Windows

+ Dữ liệu Registry

+ Các vết truy cập của người dùng (các tệp sử dụng gần đây, lịch sử các trình

duyệt…)

+ Caches của trình duyệt

Sau khi sử dụng USB để thu thập được dữ liệu từ các máy tính nghi ngờ, chuyên viên

hỗ trợ xử lý sự cố sẽ tiến hành phân tích dữ liệu đó thông qua hệ thống phần mềm trungtâm Tại đây, phần mềm trung tâm sẽ hỗ trợ các chuyên gia phân tích, kết hợp công cụ đểxác định nguyên nhân sự cố ATTT, từ đó đưa ra được những khuyến nghị, phương án xử

Trang 27

lý sự cố tương ứng hoặc từ đó có thể hỗ trợ công tác hiệu chỉnh lại quy trình đảm bảoATTT nói chung trong cơ quan.

Từ giải pháp tổng thể đã nêu, chúng tôi sẽ tiến hành xây dựng hệ thống phần mềm hỗtrợ công tác xử lý sự cố ATTT Hệ thống này sẽ bao gồm hai sản phẩm tương ứng với haigiai đoạn chính trong công tác ứng cứu, xử lý sự cố ATTT:

₋ Xây dựng USB chuyên dụng kèm phần mềm công cụ phục vụ công tác thu thập chứng cứ sự cố ATTT

₋ Xây dựng hệ thống phần mềm trung tâm để quản lý sự cố, chứng cứ sự cố, phân tích chứng cứ, từ đó đề xuất phương án hỗ trợ xử lý sự cố.

2.2.2 Xây dựng USB thu thập chứng cứ để giải quyết bài toán

₋ Như đã trình bày trong phần luận giải, dữ liệu chứng cứ chúng tôi dự kiến thu thập được phân làm hai loại:

+ Dữ liệu chứng cứ thu thập từ bộ nhớ chính (RAM, kiểu khả biến): Bao gồm thôngtin trạng thái mạng, các cổng được mở, bảng định tuyến, dữ liệu trao đổi qua cáccổng mạng được mở, dữ liệu các tiến trình đang hoạt động, dữ liệu các tệp tin đượcthao tác từ xa; thông tin người dùng và máy tính

+ Dữ liệu chứng cứ thu thập từ thiết bị lưu trữ (Kiểu bất biến): Bao gồm các dữ liệunhư Registry, Windows logs, cấu hình hệ thống, lịch sử người dùng, caches trìnhduyệt, các tệp hệ thống quan trọng của Windows

₋ Ý tưởng chính của chúng tôi trong công tác thu thập chứng dữ liệu chứng cứ là sẽ sử dụng USB chuyên dụng, có định dạng dữ liệu chuyên biệt chống nguy cơ lây nhiễm ngược, được tổ chức thành ba phân vùng như sau:

+ Phân vùng 1: Chứa hệ điều hành tùy biến từ Linux và các phần mềm hỗ trợ thu thập

dữ liệu chứng cứ trong thiết bị lưu trữ của máy tính có sự cố ATTT Phần mềm này

hỗ trợ thu thập dữ liệu chứng cứ kiểu bất biến và khả biến theo phương pháp: Sửdụng USB chuyên dụng để khởi động từ hệ điều hành Linux chuyên dụng, sử dụngcông cụ phần mềm này để thu thập dữ liệu chứng cứ

Chú thích: Phân vùng này phải được cài đặt cơ chế chống ghi từ các máy tính thông

thường; chỉ có thể được cập nhật từ phía phần mềm trung tâm

+ Phân vùng 2: Dùng để chứa phần mềm trên Windows, được xây dựng trong đề tài,

để hỗ trợ thu thập dữ liệu chứng cứ khả biến của máy tính có sự cố ATTT Phầnmềm này thu thập dữ liệu chứng cứ theo phương pháp: Sử dụng USB chuyên dụngtrong máy tính đã xảy ra sự cố ATTT hoặc đang nghi nghờ, sử dụng công cụ phầnmềm này để tiến hành thu thập dữ liệu chứng cứ

Trang 28

Chú thích: Phân vùng này cũng phải được cài đặt cơ chế bảo mật chuyên dụng,

phần mềm này cũng chỉ có thể được cập nhật từ phía phần mềm trung tâm

+ Phân vùng 3: Đây là phân vùng được dùng để lưu tạm thời dữ liệu chứng cứ đã thu

thập được theo cả hai phương pháp nêu trên Phân vùng này chỉ được phép ghithông qua công cụ phần mềm thu thập chứng cứ của đề tài; có cơ chế đảm bảo tínhtoàn vẹn của toàn bộ dữ liệu chứng cứ thu thập được

₋ Tại trung tâm hỗ trợ xử lý sự cố (Có thể đặt tại đơn vị chuyên trách về CNTT trong cơ quan nhà nước), chúng tôi sẽ xây dựng phần mềm trung tâm với các phân hệ:

+ Phân hệ quản lý quy trình hỗ trợ xử lý sự cố ATTT

+ Phân hệ quản lý dữ liệu chứng cứ sự cố ATTT

+ Phân hệ phân tích, xác định nguyên nhân và hỗ trợ công tác xử lý sự cố ATTT.+ Phân hệ quản trị toàn bộ hệ thống

₋ Do các phần mềm công cụ phục vụ cho việc quản trị dữ liệu chứng cứ, phân tích chứng

cứ để phát hiện bất thường, nguyên nhân sự cố ATTT cần phải sử dụng máy chủ cóhiệu năng tính toán cao Đây cũng là lý do chúng tôi cần phải được trang bị thêm máychủ hiệu năng cao để phục vụ cho cả quá trình xây dựng, phát triển hệ thống hỗ trợ xử

lý sự cố ATTT lẫn thử nghiệm cục bộ Các chức năng chính của hệ thống hỗ trợ xử lý

sự cố ATTT được minh hoạ thông qua hình vẽ dưới đây:

Hình 2 2 - Mô hình kiến trúc hệ thống hỗ trợ xử lý sự cố ATTT

Trang 29

2.3 Các bản phân phối của hệ điều hành Linux hỗ trợ thu thập chứng cứ

Hiện nay trên thế giới có rất nhiều các hệ điều hành mã nguồn mở và các công cụ dànhcho các nhà điều tra số nghiệp dư lẫn chuyên nghiệp Các nhà điều tra số thông thườngkết hợp các công cụ khác nhau dùng để thu thập chứng cứ sau mỗi cuộc tấn công và cáccông cụ này được xây dựng để sử nhiều hệ điều hành khác nhau (Linux Distribution,Windows, Mac OS, ) Tuy nhiên hệ điều hành của Linux Distribution vẫn được dùngphổ biến nhất Dưới đây chúng ta sẽ liệt kê một số Linux Distribution:

2.3.1 DEFT Linux

DEFT (viết tắt của Digital Evidence & Forensics Toolkit) là một bản phân phối đượctạo ra cho pháp y máy tính, với mục đích chạy trực tiếp trên các hệ thống mà không làmxáo trộn hoặc làm hỏng các thiết bị (đĩa cứng, USB, v.v.) được kết nối với PC

DEEF sẽ có hai phiên bản bao gồm phiên bản đầy đủ các tính năng và phiên bản rútgọn chỉ phục vụ điều tra số nó sẽ không hỗ trợ bẻ khóa và tạo mật khẩu

Trang chủ : http://www.deftLinux.net/about/

Nền tảng : Ubuntu Desktop

Chức năng: Điều tra số và xử lý sự cố

Tùy thuộc vào phiên bản DEFT chúng ta chọn mà cài đặt của chúng ta sẽ thay đổi.Trên phiên bản tiêu chuẩn, quy trình khá đơn giản Hệ thống được cài đặt thông qua mộttrình hướng dẫn tiêu chuẩn (tham khảo hình dưới đây) nơi người dùng phải trả lời một vàicâu hỏi Hoạt động đòi hỏi nhiều phân vùng bộ nhớ chung để lưu trữ hệ thống Yêu cầucấu hình tối thiểu để chạy được DEFT là CPU X86 200MHz và RAM 128 MB Đối vớiphiên bản rút gọn DEFT Zero dựa trên LubFi có một cách tiếp cận khác vì đây là phiênbản Live MODE Tất cả chúng ta phải làm là khởi động và bắt đầu sử dụng:

Hình 2 3 - Giao diện khởi động của DEFT

Trang 30

Khi khởi động từ DEFT Linux DVD, USB hoặc phương tiện khác, người dùng sẽ đượccung cấp các tùy chọn khác nhau, bao gồm các tùy chọn để cài đặt DEFT Linux trực tiếp

và đĩa cứng như hình dưới đây:

Hình 2 4 - Giao diện desktop DEFTTrong ảnh chụp màn hình trước đó, có thể thấy rằng có một số công cụ pháp y trongDEFT Linux 8 như Antimalware, Data Recovery, Hashing, Imaging, Mobile Forensics vàNetwork Forensics, mật khẩu phục hồi và công cụ báo cáo Trong mỗi danh mục tồn tạimột số công cụ được tạo bởi các nhà phát triển khác nhau, cung cấp cho nhà điều tra khánhiều loại để lựa chọn

Để tải danh sách đầy đủ các tính năng và gói được bao gồm trong hệ điều hành Linuxcho DEFT truy cập liên kết sau: http://www.deftLinux.net/package-list/ [4]

2.3.2 CAINE Linux

CAIN viết tắt của từ Computer Aided Investigative Environment Nó được tạo rachuyên trách cho nhiệm vụ điều tra số CAINE đi kèm với một loạt các công cụ khácđược phát triển cho mục đích điều tra số và phân tích hệ thống

Trang chủ : http://www.caine-live.net/

Nền tảng : GNU Linux.

Chức năng: Điều tra số và xử lý sự cố

CAIN nhiều tùy chọn khởi động khác nhau như: Boost live safe graphics mode, BootLive in TEXT mode, Boot Live in RAM, Boot Live in debug mode, như hình dưới dây:

Trang 31

Hình 2 5 - Giao diện khởi động của CAINEMột trong những tính năng đáng chú ý nhất của CAINE sau khi chọn cách khởi động

nó sẽ hiện tính năng chặn ghi, được xem và gắn nhãn là biểu tượng chặn On/Off, nhưtrong ảnh dưới đây Kích hoạt tính năng này ngăn việc ghi dữ liệu của CAINE OS vàomáy hoặc ổ đĩa chứng cứ:

Hình 2 6 - Giao diện desktop của CAINEForensic Tools là menu đầu tiên được liệt kê trong CAINE Giống như DEFT Linux,

có một công cụ trong menu này, như được thấy trong ảnh dưới đây là các công cụ của mãnguồn mở Linux đang được sử dụng phổ biến hiện nay Ngoài ra, còn các công cụ khác

Trang 32

chúng ta có thể dễ dàng tìm thấy trên trang web chính thức của CAIN Tham khảo liên kết

―http://www.caine-live.net/page11/page11.html‖ để tải đầy đủ các tính năng và gói đượcbao gồm trong CAINE [4]

Hình 2 7 - Các ứng dụng trên hệ điều hành CAINE

2.3.3 Kali Linux

Cuối cùng, chúng ta cùng tìm hiểu một trong những công cụ đang được sử dụng phổbiến nhất hiện nay Kali Linux là một hệ điều hành mạnh mẽ được thiết kế đặc biệt dànhcho kiểm thử bảo mật - Pentest Kali Linux được phát triển bởi Offensive Security trênnền tảng WhoppiX đến WHAX, BackTrack và đến phiên bản cuối cùng sử dụngFramework Debian GNU/Linux vì đây là mã nguồn mở phổ biến nhất thế giới Hầu hếtcác tính năng và công cụ của nó được tạo ra cho các nhà nghiên cứu bảo mật và nhữngchuyên gia kiểm thử bảo mật Pentesters nhưng ngoài ra nó có một kho công cụ pháp ymáy tính riêng biệt cho các nhà điều tra số

Trang chủ: https://www.Kali.org/

Nền tảng : Debian

Chức năng: Kiểm thử bảo mật và điều tra số

Kali Linux là một trong những hệ điều hành được lựa chọn hàng đầu cho những ngườikiểm thử thâm nhập và những người đam mê bảo mật trên toàn thế giới Nó được sử dụngtrong CEI (Certified EC-Council Instructor) cho khóa học Hacker để chứng nhận (CEH).Kali luôn được coi là ngôi sao trong lĩnh vực bảo mật và an toàn thông tin do có nhiều

Trang 33

chương trình bảo mật đi kèm từ các công cụ quét và trinh sát đến các công cụ khai tháctiên tiến và công cụ báo cáo.

Giống như các công cụ được đề cập ở trên, Kali Linux có thể được sử dụng như mộtcông cụ phục vụ cho công việc điều tra số, vì nó chứa nhiều công cụ cần thiết cho cáccuộc điều tra toàn diện Tuy nhiên, Kali cũng có thể được sử dụng như một hệ điều hànhhoàn chỉnh, vì nó có thể được cài đặt hoàn toàn vào đĩa cứng hoặc ổ đĩa Flash và cũngchứa một số công cụ cho năng suất và giải trí Nó đi kèm với nhiều trình điều khiển cầnthiết để sử dụng được trên phần cứng, đồ họa và mạng và cũng chạy trơn tru trên cả hệthống 32bit và 64bit với tài nguyên tối thiểu, nó cũng có thể được cài đặt trên một số thiết

bị di động, chẳng hạn như điện thoại và máy tính bảng Nexus và OnePlus Ngoài ra, Nó

có thể khởi động từ đĩa CD / DVD trực tiếp hoặc ổ đĩa flash nhờ đó điều tra viên có một

số tùy chọn, bao gồm Live (chế độ pháp y), giữ nguyên ổ đĩa chứng cứ và không giả mạo

nó bằng cách vô hiệu hóa các chương trình tự động ghi đè lên các ổ đĩa flash và phươngtiện lưu trữ khác, cung cấp tính toàn vẹn của chứng cứ ban đầu trong suốt quá trình điềutra

Khi khởi động Kali Linux từ ổ đĩa DVD hoặc flash, trước tiên người dùng sẽ đượccung cấp các tùy chọn cài đặt đi kèm Chọn tùy chọn thứ ba ở danh sách sẽ đưa chúng tavào Live (chế độ pháp y) phục vụ điều tra số như được thấy trong ảnh dưới đây:

Hình 2 8 - Giao diện khởi động của Kali LinuxKhi Kali Live (chế độ pháp y) đã khởi động, điều tra viên thấy một màn hình chínhhiện lên như trong ảnh dưới dây:

Trang 34

Hình 2 9- Giao diện desktop của Kali LinuxMenu Kali có thể được tìm thấy ở góc trên cùng bên trái bằng cách nhấp vàoApplication, danh sách các mục hiện ra, danh mục pháp y ở thứ tự số 11 – Forensics nhưtrong ảnh ở dưới đây:

Hình 2 10 - Các ứng dụng Forensics trên Kali Linux

Trang 35

Cần lưu ý rằng các công cụ được liệt kê trong mục 11- Forensics không phải là công cụduy nhất có sẵn trong Kali, còn một số công cụ khác có thể được tải thông qua TerminalĐiều đáng chú ý là, khi ở chế độ pháp y Kali không can thiệp vào ổ đĩa chứng cứ banđầu mà còn không ghi dữ liệu vào tệp hoán đổi, nơi dữ liệu quan trọng được truy cập vàlưu trữ gần đây trong bộ nhớ có thể nằm Ảnh chụp màn hình sau đây cho thấy một chế

độ xem khác khi truy cập menu Frorensics bằng biểu tượng chín chấm trong hình vuông ởcuối cùng trong danh sách menu thanh bên trái màn hình chính:

Hình 2 11 - Chế độ khác trong giao diện Kali LinuxTham khảo liên kết ―https://tools.Kali.org/tools-listing‖ để tải đầy đủ các tính năng

và gói được bao gồm trong Kali Linux [4]

2.4 Công cụ thu thập chứng cứ trên Windows và Kali Linux

2.4.1 Công cụ thu thập chứng cứ trên Windows

2.4.1.1 Giới thiệu công cụ thu thập chứng cứ Ir-Rescue

Ir-Rescue là một tập lệnh Windows Batch thu thập dữ liệu số từ các tệp hệ thốngWindows 32bit và 64bit Nó được thiết kế để sử dụng phản ứng sự cố ở các giai đoạnkhác nhau trong quá trình phân tích và điều tra Nó có thể được thiết lập để thực hiện thuthập dữ liệu toàn diện cho mục đích phân loại, cũng như thu thập tùy chỉnh các loại dữliệu cụ thể Công cụ này có độ tin cậy cao để sử dụng làm giải pháp thu thập chứng cứ,

Trang 36

bất kể nhu cầu điều tra và ít phụ thuộc vào hỗ trợ tại chỗ khi không có quyền truy cập từ

xa hoặc phân tích trực tiếp

Ir-Rescue sử dụng các lệnh Windows tích hợp và các tiện ích bên thứ ba nổi tiếng từSysiternals và NirSoft, ví dụ, một số là nguồn mở Nó được thiết kế để nhóm các bộ tệptheo loại dữ liệu Ví dụ: Tất cả dữ liệu liên quan đến kết nối mạng, như chia sẻ tệp mở vàkết nối TCP, được nhóm lại với nhau, trong khi chạy các quy trình, dịch vụ và tác vụ đượcthu thập dưới phần mềm độc hại Công cụ này cũng được thiết kế nhằm mục đích không

sử dụng PowerShell và WMI để làm cho nó tương thích theo chiều ngang Việc thu thậpcác loại dữ liệu và các tùy chọn chung khác được chỉ định trong một tệp cấu hình đơngiản Cần lưu ý rằng công cụ khởi chạy một số lượng lớn các lệnh và công cụ, do đó đểlại một dấu vết đáng kể trên hệ thống Thời gian chạy khác nhau tùy thuộc vào công suấttính toán và cấu hình được đặt, mặc dù nó thường kết thúc trong vòng tối đa một giờ nếuđược định cấu hình để chạy hoàn toàn

Ir-Rescue được viết để ứng phó sự cố và được dùng các nhà phân tích pháp y, cũng nhưcho các nhà thực hành bảo mật, nó đã được sử dụng trong các công ty như Cisco,PepsiCo, SaskTel, Praetorian và Counteractive Security Nó nỗ lực hợp lý hóa việc thuthập dữ liệu máy chủ, bất kể nhu cầu điều tra và ít phụ thuộc vào hỗ trợ tại chỗ khi không

có quyền truy cập từ xa hoặc phân tích trực tiếp Do đó, nó có thể được sử dụng để tậndụng các công cụ và lệnh đã được gói trong các hoạt động pháp y [7]

2.4.1.2 Cấu trúc và cách sử dụng công cụ thu thập chứng cứ Ir-Rescue

- Cấu trúc của công cụ Ir-Rescue

Ir-Rescue phụ thuộc vào một số tiện ích của bên thứ ba để thu thập dữ liệu cụ thể từmáy chủ lưu trữ Các phiên bản của các công cụ được liệt kê trong phần cuối cùng vàđược cung cấp với gói như hiện tại, do giấy phép và thỏa thuận người dùng của chúngphải được chấp nhận trước khi chạy Ir-Rescue Lưu ý rằng các tiện ích Sysiternals khôngthể được phân phối lại cho người khác sao chép theo điều khoản cấp phép phần mềm củaSysiternals Do đó, Ir-Rescue không còn được xuất bản cùng với các tiện ích Sysiternals,

và vì vậy tất cả các mục được liệt kê trong phần danh sách và tài liệu tham khảo của bênthứ ba phải được tải xuống từ kho lưu trữ trực tuyến của Sysiternals và chuyển vào cácthư mục phù hợp của chúng để tập lệnh chạy

Các mô tả và tổ chức của bộ công cụ được đưa ra dưới đây, với cả phiên bản 32bit và64bit của các công cụ Windows được bao gồm một cách ngẫu nhiên, nếu có:

+ tools-win\: Thư mục chứa công cụ bên thứ ba ir-rescue-win:

o activ\: Công cụ phân tích cú pháp người dùng

 exiftool.exe: Phân tích tệp liên kết (LNK)

Trang 37

 JLECmd.exe: Phân tích danh sách nhảy đích tự động và tùy chỉnh;

 LastActivityView.exe: Hiển thị mini-timeline về hoạt động của người dùng và

hệ thống như đăng nhập và đăng xuất;

 rifiuti-vista[64].exe: Phân tích cú pháp tái chế các tập tin bin;

 USBDeview[64].exe: Lists previously and currently connected USB devices;

o ascii\: Text ASCII art files in *.txt format;

o cfg\: Tệp cấu hình:

 ir-rescue-win.conf: Tệp cấu hình chính ir-rescue-win;

 nonrecursive-(acl|iconsext|md5deep).txt: accesschk[64].exe, iconsext.exe and md5deep[64].exe non-recursive locations;

 nonrecursive.txt: Non-recursive locations cho nhiều công cụ;

 recursive-(acl|iconsext|md5deep).txt: accesschk[64].exe, iconsext.exe

and md5deep[64].exe Fecursive locations;

 recursive.txt: Fecursive locations cho nhiều công cụ;

o cygwin\: Công cụ Cygwin và Dynamic Linked Libraries (DLLs):

 tr.exe: Được sử dụng để cắt các ký tự không in được;

 grep.exe: Được sử dụng để lọc ngày với các biểu thức thông thường;

o disk\: Công cụ ổ đĩa:

 EDD.exe: Kiểm tra phần mềm mã hóa đĩa;

o evt\: Công cụ hiển thị Windows events:

 psloglist.exe: Trích xuất Windows event logs;

o fs\: Công cụ tệp system:

 tsk\: The Sleuth Kit (TSK) tools và DLLs:

• fls.exe: Đi theo bảng tập tin chính (MFT);

• mcat.exe: Xuất nội dung của một phân vùng;

• mmls.exe: Hiển thị thông tin về các bảng phân vùng đĩa (DOS, GPT);

 AlternateStreamView[64].exe: Liệt kê các luồng dữ liệu thay thế (ADSs);

 ExtractUsnJrnl[64].exe: Chiết xuất C:\$Extend\$UsnJrnl (NTFS journal) tệp không chữa sparsed zeroes;

 md5deep[64].exe: Computes Message Digest 5 (MD5) giá trị hàm băm;

 ntfsinfo[64].exe: Hiển thị thông tin về NTFS;

 RawCopy[64].exe: Mở data trên NTFS level;

o mal\: công cụ Malware:

 autoruns[64].exe: Chuyển các vị trí autorun sang định dạng nhị phân Autorun;

 autorunsc[64].exe: Liệt kê vị trí Autorun;

Trang 38

 BrowserAddonsView[64].exe: Liệt kê plugins and add-ons từ nhiều multiplebrowser;

 densityscout[64].exe: Tính toán một biện pháp dựa trên Entropy để phát hiện các nhà đóng gói và mã hóa;

 DriverView[64].exe: Liệt kê các trình điều khiển Kernel đã tải;

 handle[64].exe: Danh sách Object xử lý;

 iconsext.exe: Trích xuất các biểu tượng từ Portable Executables (PEs);

 Listdlls[64].exe: Liệt kê các DLL được tải;

 OfficeIns[64].exe: Danh sách bổ trợ Microsoft Office đã cài đặt;

 pslist[64].exe: Danh sách running Processes;

 PsService[64].exe: Danh sách Services;

 sigcheck[64].exe: Kiểm tra chữ ký số trong PEs;

 WinPrefetchView[64].exe: Hiển thị nội dung của tập tin tìm nạp trước;

o mem\: Công cụ Memory:

 winpmem_1.6.2.exe: Bỏ bộ

nhớ; o net\: Công cụ Network:

 psfile[64].exe: Danh sách các tệp opened remotely;

 tcpvcon.exe: Dach sách kết nối TCP, ports và UDP ports;

o sys\: Công cụ hệ thống:

 accesschk[64].exe: Liệt kê quyền của người dùng của các vị trí được chỉ định;

 logonsessions[64].exe: Liệt kê các phiên đăng nhập hiện đang hoạt động;

 PsGetsid[64].exe: Liệt kê các phiên đăng nhập hiện đang hoạt động;

 Psinfo[64].exe: Hiển thị thông tin phần mềm và phần cứng hệ thống;

 psloggedon[64].exe: Danh sách đăng nhập cục bộ trên người dùng có hồ sơcủa họ trong sổ đăng ký;

o web\: web tools:

 BrowsingHistoryView[64].exe: Liệt kê lịch sử duyệt web từ nhiều trình duyệt;

 ChromeCacheView.exe: Hiển thị bộ đệm Google Chrome;

 IECacheView.exe: Hiển thị bộ đệm Internet Explorer;

 MozillaCacheView.exe: Hiển thị bộ đệm Mozilla Firefox;

o yara\: YARA Công cụ và chữ ký:

 rules\: *.yar thư mục quy tắc;

 yara(32|64).exe: YARA thực thi chính;

 yarac(32|64).exe: YARA trình biên dịch quy tắc;

o 7za.exe: Nén tệp tin và thư mục;

Trang 39

o nircmdc[64].exe: Tính năng mở rộng, trong đó chụp ảnh màn hình;

o sdelete(32|64).exe: Xóa an toàn các tệp tin và thư mục;

+ data\: Thư mục dữ liệu được tạo trong thời gian chạy với dữ liệu được thu thập:

o <HOSTNAME>-<DATE>\: <DATE> theo mẫu YYYYMMDD:

 ir-rescue-win: Thư mục cho ir-rescue-win liên quan đến dữ liệu:

• ir-rescue-win.log: Tệp nhật ký verbose của thông điệp trạng thái;

• ir-rescue-win-global.log: Tệp global log với ir-rescue-win các lệnh chạy

trong quá khứ;

• screenshot-#: Ảnh chụp màn hình được đánh số ir-rescue-win only;

 Thư mục được đặt tên theo loại dữ liệu được đặt cho bộ sưu tập [7]

- Cách sử dụng Ir-Rescue

Ir-Rescue cần được chạy trong bảng điều khiển dòng lệnh với quyền quản trị viên trongkhi Ir-Rescue cần được chạy dưới cửa sổ dòng lệnh với quyền root Cả hai đều không yêucầu đối số và sử dụng tệp cấu hình tương ứng để đặt các tùy chọn mong muốn Như vậy,việc thực thi các tập lệnh chỉ cần chạy tệp như sau:

o ir-rescue-win-v1.w.x.ba

Một số công cụ thực hiện tìm kiếm đệ quy hoặc quét chỉ được đặt để lặp lại trên cácthư mục cụ thể Điều này làm cho việc thu thập dữ liệu được nhắm mục tiêu nhiều hơntrong khi tính đến hiệu suất thời gian chạy vì các thư mục được chỉ định là các vị trí cókhả năng phân tích do sử dụng rộng rãi bởi phần mềm độc hại Các vị trí cho tìm kiếm đệquy và tìm kiếm không đệ quy cho các hệ thống Windows và Unix có thể được thay đổitheo ý muốn trong các tệp văn bản tương ứng trong các thư mục cấu hình Một số công cụ

có các tệp chuyên dụng với các vị trí cụ thể để và không tái diễn Chúng được đặt tên đệquy- <tool> txt và Nonrecursive- <tool> txt, với <tool> được đổi thành tên công cụ Mỗitệp phải có một vị trí là đường dẫn đầy đủ trên mỗi dòng mà không có dấu gạch chéongược hoặc dấu gạch chéo về phía trước

Trong thời gian chạy, tất cả các ký tự được in ra các kênh Standard Output (STDOUT) vàStandard Error (STDERR) được ghi vào các tệp văn bản được mã hóa UTF-8 Điều này cónghĩa là đầu ra của các công cụ được lưu trữ trong các thư mục và tệp văn bản tương ứng.Các thông báo ASCII trạng thái vẫn được in ra bàn điều khiển để kiểm tra tiến trình thựchiện Một thư mục tạm thời được tạo trong% TEMP% \ Ir-Rescue-win hoặc / tmp / Ir-Rescue-nix được sử dụng để lưu trữ dữ liệu thời gian chạy (ví dụ: trình điều khiển kết xuất bộnhớ và liên kết đến các bản sao VSS) và bị xóa sau khi hoàn thành Thư mục dữ liệu được tạodưới dạng giữ chỗ cho dữ liệu trong quá trình khởi tạo Sau khi thu thập,

Trang 40

các thư mục trống có thể bị xóa nếu không có dữ liệu nào được thu thập (ví dụ: bộ đệmcủa trình duyệt trống) Cuối cùng, dữ liệu được nén vào một kho lưu trữ được bảo vệ bằngmật khẩu và sau đó sẽ bị xóa, nếu được đặt để làm như vậy [7]

2.4.2 Công cụ thu thập chứng cứ trên Kali Linux.

2.4.2.1 Công cụ thu thập chứng cứ Dc3dd

- Giới thiệu công cụ dc3dd

DC3DD (Department of Defense Cyber Crime Center) DC3DD là một gói của công

cụ DD (Data Dump), nó được sử dụng để thu thập chứng cứ phục vụ cho điều tra số.Một số các tính năng của Data Dump (DD) như sau:

+ Bitstream (raw) disk acquisition and cloning

+ Copying disk Phân vùng

+ Copying folders and files

+ Hard disk drive error checking

+ Forensic wiping of all data on hard disk drive

- Các tính năng trên công cụ dc3dd

Mở terminal sau đó sử dụng lệnh dc3dd - - help, liệt kê các tham số khả dụng được sử

dụng với dc3dd

Hình 2 12 - Nội dung hiển thị câu lệnh dc3dd help

Định dạng
Số trang	99
Dung lượng	7,54 MB

Nghiên cứu, xây dựng giải pháp thu thập chứng cứ hỗ trợ xử lý sự cố an toàn thông tin​

Nghiên cứu, xây dựng giải pháp thu thập chứng cứ hỗ trợ xử lý sự cố an toàn thông tin