Thu thập và phân tích chứng cứ từ ổ cứng

Thu thập và phân tích chứng cứ từ ổ cứng: Là việc thu thập, phân tích dữ

liệu được lưu trữ trên phương tiện lưu trữ vật lý, từ đó trích xuất các dữ liệu ẩn, khôi phục các tập tin bị xóa, qua đó xác định người đã tạo ra những thay đổi dữ

liệu trên thiết bị được phân tích, cũng như tìm kiếm những bằng chứng liên quan đến hoạt động xâm nhập, gian lận…

Hard Drives Forensics trích xuất thông tin có thể kiện từ bộ nhớ máy tính để đưa ra làm bằng chứng trong tố tụng hình sự. Quá trình này thường đòi hỏi việc tìm nạp thông tin đã bị xóa hoặc bị hỏng và sau đó, sẽ tái tạo lại như cũ.

2.5.1 Quy trình của thu thập và phân tích chứng cứ từ ổ cứng

Ba giai đoạn để thực hiện thu thập và phân tích chứng cứ từ ổ cứng một cách toàn diện:

Giai đoạn 1 Thu thập dữ liệu trên ổ cứng

Bước đầu tiên trong quy trình điều tra này là thu thập bằng chứng. Tuy nhiên, mục đích là thu được một bản sao chính xác của dữ liệu mà không làm ảnh hưởng đến tính toàn vẹn của nó vì các hệ thống máy tính có thể chứa dữ liệu dễ bay hơi trong RAM nên quá trình thu thập là một quá trình động. Sẽ chỉ quan tâm đến các tệp được biết là đã được tạo và lưu trữ trên ổ cứng của nghi phạm tội phạm.

Giai đoạn 2 Xác thực bằng chứng

Trong giai đoạn này, điều tra viên phải tìm kiếm và xác thực bằng chứng. Mục đích là để xác minh tính toàn vẹn của bằng chứng kỹ thuật số. Nói cách khác, thủ tục này là cần thiết để chứng minh rằng dữ liệu chính xác là bản sao như bản gốc được tạo ra tại thời điểm đó và dấu ngày của dữ liệu thu được khớp với dữ liệu gốc.

Giai đoạn 3 Phân tích bằng chứng

Trong giai đoạn phân tích của cuộc điều tra, EnCase cho phép người điều tra tạo một giá trị băm cho bất kỳ tệp nào. Vì giá trị băm được xác định bởi các tệp nội dung nên bất kỳ thay đổi nào đối với tệp hoặc dấu thời gian sẽ dẫn đến sự không khớp với bất kỳ giá trị băm MD5 nào trong tương lai. Giá trị băm không khớp hoàn toàn ngụ ý rằng tệp đã được sửa đổi một cách cố ý hoặc vô ý. Điều quan trọng cần lưu ý là không thể tạo giá trị băm trên một tệp một phần, do đó nếu tệp bị

xóa đã bị ghi đè một phần thì giá trị băm MD5 cho tệp chưa hoàn chỉnh đó sẽ không khả dụng.

2.5.2 Phân tích hệ thống tập tin

Phần này thực hiện điều tra pháp y kỹ thuật số của hệ thống tệp NTFS để khôi phục các tệp đã xóa để xác định và trích xuất dữ liệu ẩn. Khắc tệp là một phương pháp khôi phục tệp ở không gian chưa được phân bổ mà không có bất kỳ thông tin tệp nào và được sử dụng để khôi phục dữ liệu. Nói chung, việc khắc tệp phục hồi tệp bằng cách sử dụng đầu trang và chân trang vốn có trong tệp hoặc toàn bộ kích thước tệp được xác định trong tiêu đề tệp. Phương pháp được đề xuất để khôi phục tệp đã xóa khỏi hệ thống tệp NTFS bao gồm ba bước:

- Thu thập: Nó liên quan đến việc mua ảnh đĩa cứng có hệ thống tệp NTFS.

- Phân tích: Giai đoạn này liên quan đến việc phân tích hình ảnh đĩa cứng để khôi phục dữ liệu đã xóa khỏi hệ thống tệp NTFS

- Báo cáo: Nó liên quan đến việc tạo một báo cáo về bằng chứng kỹ thuật số được xác định về các tệp đã xóa và những tệp được khôi phục.

Mô hình quy trình cơ bản cho điều tra pháp y kỹ thuật số của hệ thống tệp NTFS như sau:

1. Nhận dạng: Tính năng này nhận dạng sự cố từ các thiết bị kỹ thuật số và xác định loại của nó.

2. Chuẩn bị: các kỹ thuật dụng cụ pháp y và giám sát cho phép.

3. Bảo quản: Mở Ổ đĩa vật lý với Quyền đọc.

4. Bộ sưu tập: Nó thu thập bản ghi lại hiện trường và nhân bản bằng chứng kỹ thuật số bằng cách tạo ảnh đĩa

5. Kiểm tra:

- Tìm mục nhập phân vùng chứa phân vùng NTFS.

- Điều hướng đến phần đầu của Bảng Tệp Chính.

- Tìm mục nhập metafile thư mục gốc trong MFT và trích xuất dữ liệu thuộc tính cấp phát chỉ mục của nó.

- Xử lý lần lượt các bản ghi INDEX được tìm thấy trong dữ liệu thuộc tính phân bổ chỉ mục một cách đệ quy cho đến khi bạn tìm thấy tệp phù hợp với tệp bạn đang tìm kiếm.

- Trong mục nhập chỉ mục đã khớp, hãy tìm số bản ghi MFT và di chuyển đến vị trí bản ghi đó trong MFT.

- Ghi lại mục nhập MFT và xử lý từng tiêu đề thuộc tính chuẩn của nó cho đến khi gặp thuộc tính dữ liệu.

- Sử dụng quy trình trích xuất dữ liệu thuộc tính để truy xuất thuộc tính dữ

liệu có chứa nội dung của tệp đang được truy cập.

6. Báo cáo: Sau khi hoàn thành cuộc điều tra, điều tra viên có thể trình bày dữ liệu hoặc thông tin của mình thường dưới dạng một báo cáo bằng văn bản.