Đang tải... (xem toàn văn)
Thời gian gần đây, tìm kiếm bằng chứng số và điều tra tội phạm công nghệ cao ngày càng nhận được nhiều sự quan tâm, chú ý của đông đảo người dùng. Một ví dụ điển hình đó là khi tập đoàn năng lượng Enron sập đổ vào tháng 12 năm 2001 khiến cho hàng trăm nhân viên bị mất việc trong khi một số quan chức dường như hưởng lợi từ việc phá sản của công ty này. Quốc hội Mỹ đã quyết định điều tra khi có nhiều tin đồn về sự làm ăn gian lận của Enron. Và hầu hết công việc điều tra được một lực lượng đông đảo các chuyên gia tìm kiếm bằng chứng công nghệ cao tiến hành dựa trên kỹ thuật Computer Forensic Investigation hay Nghiệp Vụ Điều Tra Máy Tính Và Truy Tìm Chứng Cứ Số , tập trung vào các tập tin và dữ liệu máy tính của hàng trăm nhân viên của Enron để tìm kiếm bằng chứng phạm tội. Chương này sẽ giới thiệu với các bạn về lĩnh vực tìm kiếm bằng chứng số và điều tra tội phạm công nghệ cao cùng với một số vấn đề liên quan. Thế Nào Là Computer Forensic ?
CHFI - Computer Hacking Forensic Investigator ( ĐIỀU TRA CHỨNG CỨ SỐ ) Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long) MỤC LỤC CHFI – CHƯƠNG NGHIỆP VỤ ĐIỀU TRA MÁY TÍNH VÀ TRUY TÌM CHỨNG CỨ SỐ CHFI Chương TỔNG QUAN VỀ ĐIỀU TRA MÁY TÍNH P.1 .18 CHFI Chương TỔNG QUAN VỀ ĐIỀU TRA MÁY TÍNH P.2 .30 CHFI Chương Điện thoại di động Điều Tra Chứng Cứ Trên Thiết Bị Di Động 41 CHFI Chương THU THẬP DỮ LIỆU P.1 .48 CHFI Chương Xử Lý Vụ Án P.1 64 CHFI Chương Xử Lý Vụ Án P.2 74 CHFI Chương Xử Lý Vụ Án P.3 85 CHFI Chương LÀM VIỆC VỚI HỆ ĐIỀU HÀNH WINDOWS VÀ MS-DOS P.1 91 CHFI Chương Các Công Cụ Điều Tra Máy Tính Hiện Nay P.1 111 CHFI Chương Hệ Thống Tập Tin Và Quá Trình Khởi Động Của Macintosh Và Linux P.1132 CHFI Chương Hệ Thống Tập Tin Và Quá Trình Khởi Động Của Macintosh Và Linux P2144 CHFI Chương PHÂN TÍCH VÀ XÁC THỰC CHỨNG CỨ SỐ P.1 162 CHFI Chương PHÂN TÍCH VÀ XÁC THỰC CHỨNG CỨ SỐ P2 169 CHFI Chương PHÂN TÍCH VÀ XÁC THỰC CHỨNG CỨ SỐ P3 178 CHFI Chương PHÂN TÍCH VÀ XÁC THỰC CHỨNG CỨ SỐ P4 184 CHFI Chương PHÂN TÍCH VÀ XÁC THỰC CHỨNG CỨ SỐ P5 190 Chương 10 PHỤC HỒI TẬP TIN ĐỒ HỌA P.1 .202 CHFI Chương 10 PHỤC HỒI TẬP TIN ĐỒ HỌA P.2 206 Chương 10 PHỤC HỒI TẬP TIN ĐỒ HỌA P.3 .210 Chương 10 PHỤC HỒI TẬP TIN ĐỒ HỌA P.4 .219 Chương 10 PHỤC HỒI TẬP TIN ĐỒ HỌA P.5 .225 Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long) CHFI – CHƯƠNG NGHIỆP VỤ ĐIỀU TRA MÁY TÍNH VÀ TRUY TÌM CHỨNG CỨ SỐ Thời gian gần đây, tìm kiếm chứng số điều tra tội phạm công nghệ cao ngày nhận nhiều quan tâm, ý đông đảo người dùng Một ví dụ điển hình tập đoàn lượng Enron sập đổ vào tháng 12 năm 2001 khiến cho hàng trăm nhân viên bị việc số quan chức dường hưởng lợi từ việc phá sản công ty Quốc hội Mỹ định điều tra có nhiều tin đồn làm ăn gian lận Enron Và hầu hết công việc điều tra lực lượng đông đảo chuyên gia tìm kiếm chứng công nghệ cao tiến hành dựa kỹ thuật Computer Forensic & Investigation hay Nghiệp Vụ Điều Tra Máy Tính Và Truy Tìm Chứng Cứ Số, tập trung vào tập tin liệu máy tính hàng trăm nhân viên Enron để tìm kiếm chứng phạm tội Chương giới thiệu với bạn lĩnh vực tìm kiếm chứng số điều tra tội phạm công nghệ cao với số vấn đề liên quan Thế Nào Là Computer Forensic ? Computer Forensic trình thu thập phân tích thông tin máy tính sử dụng chứng phục vụ cho việc điều tra tội phạm hay dùng công tác quản trị hệ thống thông tin Từ trước năm 1970 điều luật liên quan đến tội phạm công nghệ quản lý tổ chức liên bang FRE (Federal Rules of Evidence); sau vào khoảng năm 1970 đến 1985 bang Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long) có điều luật riêng state rule of evidence vấn đề luật định chứng số tùy thuộc vào quy định bang Đến năm 1984, bùng nổ công nghệ thông tin làm gia tăng số lượng tội phạm công nghệ cao với mức thiệt hại chúng, nên tổ chức chuyên trách cho việc điều tra thu thập chứng số thành lập gọi FBI Computer Analysis and Response Team hay gọi CART, thấy trang chủ FBI CART Hình 1.1 Sau đó, vào cuối năm 1990 CART phối hợp với Department of Defense Computer Forensics Laboratory (DCFL) để tiến hành nghiên cứu đào tạo với phần lớn chương trình giảng dạy thực DCFL Hình 1.1 – Trang chủ FBI CART với tùy chọn ngôn ngữ tiếng Việt Dữ liệu lưu trữ máy tính bảo vệ số điều luật khác tùy thuộc vào trạng thái chúng Nhiều điều luật tiểu bang liên bang phát triển phân loại riêng cho chứng số Ví dụ bốn điều luật bổ sung quan trọng U.S Constitution Fourth Amendment quy định người có quyền bảo vệ thân, nơi cư ngụ tài sản khỏi tìm kiếm chiếm đoạt trái phép Các thay đổi phát triển luật học xác định khác biệt việc tìm kiếm chứng số so với việc tìm kiếm chứng phạm tội thông thường theo lệnh khám xét (search warrant) tòa án, cảnh sát có quyền thâm nhập vào tài sản riêng tư để tìm kiếm chứng phạm tội, bao gồm tài sản thông tin Vì trình chuẩn bị cho việc điều tra chứng phạm tội điều tra viên tạm giữ máy tính khả nghi thành phần liên quan nhằm phục vụ cho trình điều tra tốt Điều Tra Máy Tính Và Những Nguyên Tắt Liên Quan Theo công ty hoạt động chuyên biệt lĩnh vực truy tìm chứng phạm tội công nghệ cao DIBS USA, Inc (www.dibsusa.com) computer forensic có nghĩa khoa học nghiên cứu phân tích liệu từ thiết bị lưu trữ máy tính sử dụng chứng trước tòa Như xem computer forensic trình điều tra pháp lý máy tính hay gọi tắt điều tra máy tính Chúng ta thấy định nghĩa tương tự trang web FBI (www.fbi.gov) Nói cách tổng quát trình điều Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long) tra máy tính bao gồm việc thu thập liệu máy tính lưu giữ chúng cách an toàn, tiến hành phân tích liệu khả nghi nhằm xác định thông tin gốc nội dung chúng, sau trình bày thông tin trước tòa áp dụng điều luật hành vi liên quan Như vậy, liệu truy tìm tiến trình điều tra máy tính lấy từ máy tính hay thiết bị lưu trữ, thông tin sẳn có đĩa cứng hay phải phục hồi công cụ chuyên dụng bị xóa, nhiều tình điều tra viên cần phải tiến hành giải mã để xem nội dung liệu Ngược lại với computer forensic network forensic hay điều tra pháp lý hệ thống mạng, tiến trình truy tìm chứng phạm tội mạng để điều tra kẻ công hay xâm nhập hệ thống trái phép Các điều tra viên hệ thống mạng thường sử dụng tập tin nhật kí để xác định ngày, kẻ xâm nhập trái phép hay thời gian mà công hay hành vi phá hoại diễn ra, tìm kiếm địa điểm kẻ công (hacker / attacker) thông qua dãy địa IP máy tính dùng để phát động công hay xâm nhập Trong chương 11 thảo luận chi tiết phương pháp điều tra hệ thống mạng thường điều tra viên sử dụng Ngoài ra, điều tra máy tính khác với phục hồi liệu, tiến trình phục hồi liệu bị xóa thao tác nhầm lẫn hay cố thiên nhiên, môi trường gây Trong trình phục hồi dự liệu biết rõ thông tin cần phục hồi, điều tra máy tính bao gồm công đoạn phục hồi liệu bị che dấu hay xóa bỏ với mục tiêu nhằm bảo đảm tính hợp lệ liệu sử dụng làm chứng trước tòa Để phục hồi thông tin bị xóa đơn giãn lấy từ thùng rác liệu bị xóa tạm, hay phải dùng đến công cụ chuyên dụng để lấy liệu chưa bị xóa hoàn toàn mà bị đánh dấu để ghi đè thông tin Tuy nhiên, trường hợp thiết bị lưu trữ bị hư hại hay bị phá hủy nặng việc phục hồi tốn nhiều thông qua phòng thí nghiệm hay công cụ đặc biệt có chi phí từ 3000 USD đến 20.000 USD Cũng công ty hoạt động lĩnh vực phục hồi liệu (data recovery), doanh nghiệp chuyên phục hồi thảm họa (disaster recovery) sử dụng kỹ thuật điều tra máy tính để cứu liệu bị hư hỏng cố thiên tai hay môi trường bị hư hỏng đĩa cứng biến đổi điện áp đột ngột, bị hỏa hoạn hay công khủng bố cố ngày 11.9 Các điều tra viên thường hoạt động theo nhóm gồm chuyên gia có kiến thức lĩnh vực an ninh mạng máy tính nhằm bảo vệ chứng an toàn Các nhóm tiến hành công việc tùy theo chức trình độ chuyên môn bao gồm công việc mô tả tam giác điều tra hình 1-2 nhằm đảm bảo an toàn thông tin, hoạt động : Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long) - Đánh giá điểm nhạy cảm quản lý rũi ro Dò tìm xâm phạm hệ thống mạng máy tính trái phép phản ứng lại cố khẩn cấp - Quá trình điều tra máy tính Hình 1-2 : Ba yếu tố trình điều tra Với cạnh tam giác minh họa hình 1-2 thực thành viên nhằm đem đến kết cao công tác truy tìm chứng điều tra tội phạm công nghệ Nhóm thực việc đánh giá điểm yếu bảo mật quản trị rũi ro (tương ứng với cạnh Vulnerability hình 1-2) tiến hành kiểm tra tính toàn vẹn hệ thống máy tính mạng bao gồm thiết bị vật lý hay hệ điều hành, xác định lỗ hổng bảo mật hệ điều hành ứng dụng việc thiếu cài đặt bạn vá lỗi hay cập nhật hệ thống Nhóm tiến hành công tác công thử nghiệm để ước lượng rũi ro tác hại điểm yếu gây ra, trình gọi penetration test hay pentest, công đoạn quan trọng công việc kiểm định an toàn thông tin Các chuyên gia đánh giá điểm yếu ước lượng rũi ro cần có kỹ nhóm instruction response, thành viên chịu trách nhiệm dò tìm xâm nhập trái phép thông qua thiết bị phần cứng hay phần mềm ứng dụng cảnh báo xâm phạm Snort, đưa hành động phản ứng thích hợp có cố theo quy trình hợp lý nhằm hạn chế tối đa thiệt hại Cuối cùng, nhóm điều tra máy tính (investigation) phân tích đánh giá để đưa tổng kết gồm lỗ hổng bảo mật, mối đe dọa tiềm tàng thiệt hại mà tội phạm công nghệ gây Đối với đe dọa cần có giải pháp thích hợp để khắc phục cố hay dò tìm kẻ công Lịch Sử Của Điều Tra Máy Tính Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long) Ngày nay, máy tính công nghệ thông tin góp đóng vai trò quan trọng hoạt động kinh tế xã hội góp phần tạo nên giới phẳng mà khoảng cách địa lý không trở ngại Nhưng 30 năm trước hình dung tác động máy tính vào đời sống thực máy tính ngày hầu hết thiết bị có kích thước to lớn dùng cho doanh nghiệp hoạt động tronh lĩnh vực ngân hàng, hay phục vụ cho mục đích quân … Tội phạm máy tính điều luật áp dụng cho lĩnh vực có mang tính chất thử nghiệm Các luật sư ngày tham dự khóa đào tạo điều luật phục hồi liệu số Federal Law Enforcement Training Center (FLETC) Đến thập niên 1980 máy chủ to lớn thường gọi mainframe dần thay máy tính cá nhân PC với hệ điều hành dễ sử dụng, có chi phí rẽ Đi đầu cách mạng máy tính tập đoàn Apple với hệ thống máy tính cá nhân Apple 2E giới thiệu vào năm 1983 sau Macintosh vào năm 1984 Hệ điều hành máy tính thời đơn giãn MS-DOS với giao diện dòng lệnh đơn điệu, công cụ dành cho vấn đề truy tìm chứng hay phục hồi liệu đương nhiên chủ yếu sử dụng phủ ứng dụng Royal Canadian Mounted Police (RCMP) U.S Internal Revenue Service (IRS), phần lớn công cụ viết C hay hợp ngữ nên khả phổ biến môi trường công cộng thấp Mãi đến thập niên 1980 ứng dụng lĩnh vực điều tra máy tính xuất thị trường Xtree Gold có khả nhận dạng phục hồi tập tin bị thất lạc hay bị xóa Tiếp theo Norton DiskEdit trình làng trở thành ứng dụng yêu thích vấn đề phục hồi liệu Bạn sử dụng chương trình hầu hết hệ thống máy tính cá nhân thời máy tính tương thích với tảng IBM gồm ổ cứng dung lượng 10 MB kèm theo hai ổ đĩa mềm Hình 1-3 Hình 1-3 : Máy tính 8088 Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long) Đến năm 1987 hãng Apple cho đời dòng máy Macintosh có ổ đĩa mở rộng EasyDrive dung lượng 60 MB MAC SE Hình 1-4 xem bước tiến quan trọng công nghệ máy tính Hình 1-4 Một máy Mac SE với đĩa mềm mở rộng EasyDrive Đến năm đầu thập niên 1990 công cụ chuyên dụng cho tiến trình điều tra máy tính đời IACIS (International Association of Computer Investigative Specialists) xem ứng dụng tiêu biểu cho công việc điều tra truy tìm chứng số, bên cạnh IRS tạo quy định cho lệnh khám xét dành cho truy tìm tội phạm công nghệ Tuy nhiên chưa có ứng dụng thương mại có giao diện đồ họa thân thiện dễ sử dụng (GUI) ASR Data tạo phần mềm Expert Witness dành cho Macintosh đời Phần mềm có khả phục hồi tập tin bị xóa phân mãnh mạnh mẽ Một đối tác ARS Data sau phát triển ứng dụng EnCase xem công cụ phổ biến vấn đề điều tra máy tính Và ngày công nghệ thông tin có bước tiến vượt bậc, đặc biệt lĩnh vực lưu trữ khiến cho việc phát triển ứng dụng điều tra máy tính quan tâm nhiều Tiếp theo chương trình ILook dùng để phân tích đọc tập tin đặc biệt, hay AccessData Forensic Toolkit (FTK) trở thành ứng dụng thương mại thông dụng cho tác vụ phục hồi liệu bị truy tìm chứng sử dụng điều tra viên Trong giáo trình đề cập đến số công cụ phổ biên mang lại hiệu chương sau, bạn tham khảo thêm chúng www.ctin.org(Computer Technology Investigators Network) hay www.usdoj.gov (U.S Depart-ment of Justice) Hiểu Về Án Lệ Sự phát triển nhanh chóng công nghệ máy tính thiết bị số khiến cho luật định dành cho tội phạm lĩnh vực theo kịp Chính Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long) tình điều tra tội phạm gặp phải trở ngại thiết sót điều luật liên quan phương phá xử lý case law áp dụng Với case law tòa án sử dụng án lệ để xử lý vấn đề liên quan tường giải khứ cho dù chưa có luật dành cho tội phạm Ví dụ tìm kiếm thông tin máy tính nghi phạm điều tra viên thấy ảnh khiêu dâm trẻ em, thay phải cho lệnh khám xét họ giữ nguyên tiến trình tìm kiếm để tiết kiệm thời gian, chứng liên quan đến hình ảnh dành riêng Để thực theo case law hay xử lý theo án lệ điều tra viên cần nắm vững luật ứng dụng khứ để tránh sai lầm thực Chuẩn Bị Nguồn Lực Cho Điều Tra Máy Tính Để trình điều tra thành công điều tra viên cần trang bị đầy đủ kiến thức hệ điều hành máy tính kể hệ thống cũ Windows XP hay DOS có nhiều thao tác hay máy tính dùng hệ thống Bên cạnh điều tra viên tội phạm công nghệ cần phải nắm vững dòng máy MAC hay hệ điều hành Linux, Windows Server 2008 dịch vụ lưu trữ kèm theo Tuy nhiên, việc am hiểu tất hệ thống điều cần có chia kỹ thành viên nhóm, điều tra viên cần trau dồi kiến thức hệ thống thông qua việc học hỏi trao đổi diễn đàn công nghệ, đăng kí nhận tin để cập nhật ứng dụng Thường xuyên tham gia chương trình đào tạo nâng cao kiến thức an toàn thông tin kiến thức hacker Chuẩn Bị Cho Quá Trình Điều Tra Máy Tính Điều tra máy tính truy tìm chứng số thường chia làm hai loại điều tra môi trường công cộng điều tra môi trường riêng tư hay tổ chức, doanh nghiệp Hình 1-5 Quá trình điều tra công cộng bao gồm công tác điều tra tội phạm khởi tố quan phủ từ cấp địa phương đến trung ương, công việc cần phải thực theo quy trình tuân thủ theo pháp luật vùng miền nhằm không mắc sai phạm tiến trình điều tra ví dụ tuân theo Article Charter of Right Canada, hay Criminal Procedures Act Cộng Hòa Namibia, theo quy định U.S Fourth Amendment vấn đề truy tìm tịch thu chứng Hình 1-6 Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long) Hình 1-5 Điều tra công cộng điều tra riêng tư Luật pháp quy định điều tra bắt giữ bảo vệ quyền lợi cho người kể nghi phạm vai trò điều tra viên máy tính cần phải tuân thủ theo luật định Ví dụ Department of Justice (DOJ) cập nhật thông tin liên quan đến vấn đề tìm kiếm chúng bắt giữ điều tra máy tính địa www.usdoj.gov/criminal/cybercrime Hình 1-6 : Fourth Amendment Ngược lại với điều tra môi trường công cộng, vấn đề nội công ty hay tổ chức áp dụng quy tắt điều tra cá nhân điều tra viên không cần phải tuân thủ theo quy định luật pháp Fourth Amendment mà phụ thuộc vào sách nội tổ chức Điều tra môi trường riêng tư chủ yếu áp dụng điều luật dân phát triển thành tội danh mang tính chất hình sự, áp dụng điều luật hình trình điều tra khởi tố Hiểu Về Vấn Đề Thực Thi Pháp Luật Của Cơ Quan Điều Tra Như nêu, trình tiến hành điều tra tội phạm máy tính môi trường công cộng điều tra viên cần tuân thủ theo trình tự pháp luật quy định Do vùng miền quốc gia có khác biệt luật pháp nên 10 Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long) Xây Dựng Lại Tiêu Đề Tập TinTrước chỉnh sửa tập tin đồ họa phục hồi bạn thử mở với chương trình xem hình ảnh ví dụ công cụ mặc định Microsoft Hãy kích đúp vào tập tin phục hồi Windows Explorer Nếu bạn mở xem hình ảnh, bạn phục hồi tập tin đồ họa thành công Nếu hình ảnh không hiển thị, bạn phải kiểm tra sửa giá trị tiêu đề cách thủ công Nếu số liệu thu hồi từ phần tiêu đề tập tin đồ họa bị hỏng, bạn phải phục hồi nhiều mảnh tập tin trước xem hình ảnh Bởi tập tin bị xóa mà bạn phục hồi phần trước Recover1.jpgđược thay cách có chủ đích nên thử mở tập tin thấy thông báo lỗi tương tự hình 10-13 Hình 10-13 : Thông báo lỗi hình ảnh bị hỏng hay bị thay đổiCác thao tác sau kiểm tra liệu tiêu đề tập tin xem có giống với tiêu đề tập tin JPEG bình thường hay không Nếu tiêu đề không bạn phải 215 Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long) chèn giá trị thập lục phân xác tay với trình biên tập hệ thập lục phân ví dụ Hex Workshop, thực theo bước sau: Mở Hex Workshop Nhấn vào File, Open từ trình đơn Điều hướng đến thư mục làm việc bạn, sau kích đúp vào tập tin Recover1.jpg Hình 10-14 cho thấy tập tin mở Hex Workshop Ở phía cửa sổ Hex Workshop ý giá trị thập lục phân vị trí byte (offset 0) 7A 7A 7A 7A, byte thứ sáu (offset 6) 7A Hình 10-14 : Tập tin Recover1.jpg mở Hex Workshop Như đề cập, tập tin tiêu chuẩn JFIF JPEG có giá trị tiêu đề FF D8 FF E0 offset tên nhãn JFIF bắt đầu offset Sử dụng Hex Workshop, bạn sửa tập tin tiêu đề tay theo bước sau: Trong khung trung tâm, bấm vào bên trái giá trị thập lục phân 7A Sau gõ FF D8 FF E0, giá trị thập lục phân xác cho byte tập tin JPEG Trong cửa sổ bên phải, bấm vào bên trái FIF nhấn phím Backspace để xóa kí tự nhập vào kí tự J loại minh họa hình 10-15 Hình 10-15 : Sữa giá trị thập lục phân cho tập tin JPEG Nhấn vào File, Save As từ trình đơn Trong hộp thoại Save As, điều hướng đến thư mục làm việc bạn nhập vào tên tập tin Fixed1.jpg sau nhấn Save Thoát khỏi HexWorkshop 216 Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long) Mỗi cặp giá trị thập lục phân bạn nhập bước trước tương ứng với ký tự ASCII Ví dụ, chữ hoa “A” có giá trị thập lục phân 41, chữ thường“a” có giá trị thập lục phân 61 Hầu hết ứng dụng biên tập đĩa có biểu đồ tham khảo giá trị thập lục phân tương ứng ký tự ASCII, chẳng hạn Hex Workshop hình 10-16 Hình 10-16 : Bảng tham chiếu kí tự ASCII số thập lục phân tương ứng Sau bạn sửa chữa tiêu đề tập tin đồ họa, bạn kiểm tra tập tin cập nhật cách mở chương trình xem ảnh ví dụ Windows Photo Gallery, IrfanView, ThumbsPlus, Quick View, ACDSee Để kiểm tra tập tin JPEG sửa chữa, làm theo bước sau: Trong Windows Explorer, điều hướng đến thư mục làm việc bạn kích đúp vào tập tin Fixed1.jpg Tập tin mở trình xem ảnh mặc định bạn, chẳng hạn Windows Photo Gallery hình 10-17 Hình 10-17 : Tập tin hình ảnh sữa chữa Fixed1.jpg Như vậy, bạn phục hồi tập tin cách xác, thoát khỏi trình xem hình ảnh Việc sữa chữa tiêu đề tập tin lập lại nhiều tập tin hình ảnh khác nhau, kỹ thuật sữa chữa tập tin JPEG cu4ngc ó thể áp dụng cho dạng tập tin khác tài liệu Microsoft Word, 217 Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long) Excel, PowerPoint hay định dạng hình ảnh khác Vấn đề bạn cần phải biết định dạng tiêu đề xác loại tập tin cần sữa chữa Xây Dựng Lại Các Tập Tin Bị Phân Mãnh Trong trường hợp tập tin cần phục hồi bị phân mãnh trước tiên cần xác định vị trí cluster không liên tiếp từ tập tin bị xóa Những công cụ điều tra phục hồi chứng số tiên tiến thường lần theo liên kết cluster hệ thống tập tin FAT NTFS Tuy nhiên, thông tin trỏ FAT tập tin NTFS MFT không liệt kê thông tin Bài hướng dẫn sau trình bày cách để khôi phục lại tập tin đồ họa ổ đĩa khả nghi với tiêu đề bị phân mảnh Để thực nhiệm vụ bạn cần phải xác định vị tríbắt đầu kết thúc cluster cho nhóm phân mảnh cluster tập tin bị hỏng.Dưới nhìn tổng quan bước cần tiến hành: Xác định vị trí xuất tất clsuter tập tin bị phân mảnh Xác định số bắt đầu kết thúc cluster cho nhóm phân mảnh cluster Sao chép nhóm phân mảnh cluster theo thứ tự xác chúng vào tập tin phục hồi Xây dựng lại tiêu đề tập tin bị hỏng để đọc chương trình xem ảnh Sử dụng dự án mà bạn tạo trước C10InChpđể phân tích phân mảnh: Mở ProDiscover Basicsau nhấn vào File , Open Projecttừ trình đơn, điều hướng đến thư mục làm việc bạn nhấp vào tập tin C10InChp.dft, nhấn Open Trong hình tree-view nhấp vào Cluster Search Resultsvà khu vực làm việcnhấp vào AE3 (2787), hình 10-18 218 Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long) Hình 10-18 : Kết tìm kiếm cluster AE3(2787) Kích chuột phải vào hàng cluster AE3 (2787) nhấp vào Find File Trong hộp thoại List of Clusters, chọn Copy to Clipboard Hãy mở Notepad dán cluster vào tài liệu mới, lưu tập tin với tên AE3-carve.txt thư mục làm việc bạn.Để Notepad mở cho bước sau Trong hộp thoại ProDiscover ’s List of Clusters, bấm Close Trong mà hình tree-view nhấn để mở rộng Cluster View, sau nhấp vào tập tin hình ảnh C10InChp.eve, thể hình 10-19 Hình 10-19 : Xem cluster C10InChp.eve 219 Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long) Chương 10 PHỤC HỒI TẬP TIN ĐỒ HỌA P.5 Kiểm tra tập tin AE3 carve.txt Notepad để xác định cluster nhóm lại với phạm vi cho nhóm cluster Ví dụ, xác định vị trí cluster AE3 đếm xuống bạn xác định vị trí cluster mà không theo thứ tự Hãy lưu ý số cluster theo trình tự cuối để xác định nhóm cluster cho tập tin bị phân mảnh Tiếp tục duyệt danh sách số thứ tự cluster để xác định tất mảnh vỡ Danh sách sau cho thấy nhóm clustermà bạn nên tìm: • Phạm vi phân mãnh từ AE3 để B3F • Phạm vi phân mãnh2từ 1F5 đến 248 • Phạm vi phân mãnh3từ 3EB đến 425 • Phạm vi phân mãnh4từ 16A để 1A1 • Phạm vi phân mãnh5 từ 957 đến 98C • Phạm vi phân mãnh6 từ 25 đến 2C Trong hình tree-view ProDiscover, nhấn Cluster View, Images tập tin C10InChp.eve Trong hộp văn Sector khu vực làm việc, nhập vào AE3 (xem hình 10-20) nhấp vào Go 220 Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long) Hình 10-20 : Xem cluster sector AE3 Trong khu vực làm việc, nhấn để chọn tất block từ AE3 đến B3F (xem hình 10-21) Hình 10-21 : Chọn block từ sector AE3 đến B3F 10 Kích chuột phải vào block đánh dấu khu vực làm việc bấm Select Trong hộp thoại Add Comment, nhấp vào ô đánh dấu Apply to all items Trong hộp văn Investigator Comments nhập vàoFragment to recover, sau kích OK 11 Lặp lại bước đến 10 để chọn khối lại bị phân mảnh cho sector: 1F5 đến 248, 3EB đến 425, 16A đến 1A1, 957 đến 98C, 25 đến 2C Trong 221 Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long) hộp thoại Add Comment, tăng số thứ tự phân mãnh lên cho block : ví dụ Fragment phục hồi, Fragment phục hồi … 12 Sau tất sector chọn, bấm vào Tools , Copy Selected Clusters từ trình đơn 13 Trong hộp thoại Recover Clusters, nhấp vào nút tùy chọnRecover all clusters to a single filevà đánh dấu vào ô Recover Binary (xem hình 10-22) Tiếp theo nhấn Browse, tìm đến nhấp vào thư mục làm việc bạn, sau kích OK Hình 10-22 : Sao chép tất cluster hay sector chọn vào tập tin 14 Thoát khỏi ProDiscover Basic, lưu dự án thư mục làm việc bạn Thoát khỏi Notepad, lưu tập tin nhắc nhỡ Bước ta xây dựng lại tiêu đề tập tin đãđược phục hồi, làm hướng dẫn trước Khi bạn chép liệu chọn với chức năngRecover Cluster ProDiscovermột tập tin có tên C10InChp-0000-0353.txt tạo ProDiscover tự động thêm phần mở rộng txt tập tin xuất Recover Cluster tất cácsector hay cluster chép Trong tập tin phục hồi sector AE3 có chứa “FIF” trước tiêu đề bị thay đổi mà ta tìm thấy sector 4CA Vì để xem xây dựng lại C10InChp-00000353.txt bạn áp dụng kỹ thuậtmô tả trước phần “Xây Dựng Lại Tiêu Đề Tập Tin“.” Lưu ý lưu liệu thu hồi với phần mở rộng jpg Hình 10-23 cho thấy kết tập tin phục hồi 222 Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long) Hình 10-23 : Phục hồi liệu sector AE3 sau Hex Workshop sữa chữa tiêu đề Ngoài việc xem xét trạng thái tự nhiên phân mãnh tập tin số thự tự không liền lạc cluster, cần ý tình bất thường khác người dùng có khả sử dụng chương trình biên tập đĩa cứng NortonDiskEdit để truy cập FAT đánh dấu clsuter xấu (bad cluster) cách gõ chữ “B” cluster Sau bị đánh dấu xấu cluster hiển thị với giá trị chương trình biên tập đĩa NhưHình 10-24 cho thấy, cluster vị trí 156 có giá trị 0, cluster không liên kết với cluster khác đĩa Hệ điều hành bỏ qua cluster đánh dấu theo cách vàkhông sử dụng chúng, làm ẩn liệu lưu khu vực xem ứng dụng thông thường hệ thống Windows Explorer, Xác Định Các Định Dạng Tập Tin Không Xác Định Với thay đổi liên tục công nghệ đồ họa máy tínhcác nhà điều tra gặp phải tập tin với định dạng không xác định ứng dụng kỹ thuật mới, nghi phạm sử dụng hệ thống máy tính cũ với chương trình lỗi thời Vì vậy, bạnphải nghiên cứu hai loại tập tin cũ Biết mục đích định dạng nàovà cách thức lưu trữ liệu chúng để phục vụ công tác điều tra Cách tốt mà có đề cập sử dụng chương trình tìm kiếm internet Google để xác định định dạng lạ, ví dụ để tìm thông tin tập tin đồ họa XIF hay tiến hành sau: Mở trang webwww.google.com với trình duyệt web bạn Nhập vàoXIF file format hay cụm từ khóa tiếng Việt (tuy nhiên với từ khóa tiếng Anh cho nhiều kết xác hơn) ô tìm kiếm nhấn Enter Nhấp vào số liên kết kết tìm kiếm để tìm hiểu thêm định dạng tập tin Khi tìm thấy thông tin thích hợp thoát khỏi trình duyệt Web bạn 223 Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long) Trong ví dụ tìm kiếm biết Nuance PaperPort chương trình quét hình ảnh tạo tập tin có định dạng XIF Phiên cũ PaperPort có tiện ích miễn phí cho người xemcác tập tinXIF, bạn sử dụng Windows 2000 Kodak Imaging for Windows để xem Để xem thêm thông tin tập tin XIF tham khảo www.scantips.com/pagis1.html Các trang web sau cung cấp thông tin giúp bạn phân tích định dạng tập tin Hãy ghi nhớ rằngthông tin Web thay đổi thường xuyên, trường hợp truy cập trang web sử dụng chương trình tìm kiếm : • www.digitek-asi.com/file_formats.html • www.wotsit.org • www.martinreddy.net/gfx/ Phân Tích Tiêu Đề Của Tập Tin Đồ Họa Bạn nên phân tích tiêu đề tập tin đồ họa với ứng dụng Hex Workshop tìm thấy loại tập tin mớimà công cụ điều tra máy tính không xác định Sau đóghi lại giá trị thập lục phâncủa tiêu đề sử dụng chúng làm mẫu để xác định loại tập tin Ví dụ, giả sử bạn gặp phải tập tin XIF, định dạng cũ nên ứng dụng pháp lý không xác định Nếu muốn tìm kiếm liệu ẩn hay tập tin XIF bị xóa ta cần tự xây dựng chuỗi tìm kiếm cho tiêu đề tập tin theo dạng ứng dụng HexWorkshop hay chương trình tương tự Để thấy khác biệtgiữa XIF TIFcần xem so sánh giá trị tiêu đề chúng.TIF định dạng dùng cho truyền fax sử dụng ấn phẩm in.Tất tập tin TIF bắt đầu offset với giá trị hệ thập lục phân 49 49 2A, giá trị chuyển sang mã ASCII II Hình 10-25 cho thấy tập tin Sawtooth_050.tif mở Hex Workshop Hình 10-25 : Tập tin TIF mở với Hex Workshop Ta thấy, byte tập tin XIF giống tập tin TIF, theo sau giá trị thập lục phân khác phân biệt chúng với TIF hình 10-26 Các bạn thấy tiêu để tập tin XIF bắt đầu với giá trị thập lục phần 49 224 Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long) 49 2A offset gồm byte 5C 01 00 00 20 65 58 74 65 6E 64 65 64 20 03 (như hình 10-26.) Với thông tin này, bạn cấu hình công cụ pháp lý máy tính để nhận dạng tiêu đề tập tin XIF Hình 10-26 : Tập tin XIF mở với Hex Workshop Công Cụ Xem Hình ảnh Trong suốt chương học định dạng tập tin, kỹ thuật nén, tận dụng thông tin tiêu đề, khôi phục tập tin đồ họa, lưu thay đổi bạn Sau phục hồi tập tin đồ họa, bạn sử dụng trình xem ảnh để mở vàxem Có nhiều chương trình xem ảnh khác bao gồm phần mềm thương mại, miễn phí hay chia cho bạn nhiều lựa chọn ThumbsPlus,ACDSee, Quick View, IrfanView Ngay ứng dụng pháp lý máy tính mà đề cập ProDiscover, EnCase trang bị chương trình xem ảnh chức thường hạn chế, ví dụ xem tập tin PCX không xem điều tra viên nên trang bị cho công cụ xem ảnh chuyên dụng, mạnh mẽ xem hầu hết định dạng hình ảnh khác Hiểu Về Các Tập Tin Đồ Họa Steganography Khi bạn mở số tập tin đồ họa trình xem ảnhcó thể không xác định thông tin cho công tác điều tra có khả chúng bị che dấu kỹ thuật steganography (đã giới thiệu Chương 9) Steganography sử dụng từ thời cổ đại, nhà cầm quyền Hy Lạp sử dụng kỹ thuật để gửithông báo bí mật cho nhà ngoại giao hay quân đội thông qua tin nhắn Để bảo vệ riêng tư thông điệp tướng lĩnh hay nhà cầm quyền cạo đầu sứ giả họ xăm nội dung thông điệp hay hình ảnh da đầu họ Sau tóc sứ giả mọc đủ để che tin nhắn, sứ giả mang tin nhắn người nhận cạo trọc đầu sứ giả để đọc tin nhắn Phương pháp cách thông minhđể gửi lấy thông tin mã hóa, không hiệu sứ giả thời gian dài để mọc tóc có số lượng hạn chế không gian để viết tin nhắn, da đầu ! Tuy nhiên, cho phép người 225 Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long) Hy Lạp để gửi thông tin bí mật kẻ thù họ phát chặn bắt sứ giả Và hình thức sơ khai steganography Hai hình thức steganography chèn thay Phương pháp chèn đặt liệu tập tin bí mật vào tập tin lưu trữ, xem tập tin lưu trữ với chương trình thích hợp thấy nội dung tập tin Ví dụ chương trình dạng công cụ steganosphy (tải www.security365.vn) cho phép đặt thông tin vào tập tin ảnh bitmap, truyền đến người nhận phải dùng chương trình tương ứng để thấy nội dung bên trong, không thấy tập tin ảnh Lúc tập tin ảnh tập tin lưu trữ cho nội dung bí mật bên Do kỹ thuật thường sử dụng hình ảnh làm tập tin lưu trữ nên thuật ngữ steganography xem kỹ thuât che dấu thông tin hình ảnh, Alqueda sử dụng truyền thông bí mật họ Hình 10-26 : Các tập tin lưu trữ hình ảnh trước sau chèn tập tin bí mật Sử Dụng Công Cụ Phân Tích Steganalysis Công cụ steganalysis gọi “công cụ Steg” dùng để phát hiện, giải mã,và ghi lại liệu ẩn tập tin đổi tên để che dấu nội dung Tuy nhiên, kỹ thuật áp dụng cách việc sử dũng steg để dò tìm khó khăn, lý mà nhiều thông tin nói tổ chức khủng bố ALQUEDA qua mặt FBI thời gian dài với phương pháp 226 Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long) Trong tình bạn cần so sánh tập tin bị thay đổi với gốc chúng Kiểm tra có thay đổi kích thước, chất lượng hình ảnh, phần mở rộng tập tin hay không Để minh chứng cho phức tạp việc dò tìm steganography, Niels Provos Peter Honeyman Đại học Michigan tiến hành nghiên cứu hai triệu hình ảnh sử dụng đấu giá eBay để xem liệu giấutrong ảnhnày hay không (xem www.citi.umich.edu/techreports/reports/citi-tr-01-11.pdf).Và họ để xác định tập tin đồ họa có thông điệp ẩn Hiểu Về Vấn Đề Bản Quyền Của Tập Tin Đồ Họa Steganography sử dụng để bảo vệ quyền củatài liệu cách chèn hình ảnh watermark kỹ thuật số vào tập tin Khi làm việc với tập tin đồ họa, nhà điều tra máy tính cần nhận thức quy định pháp luậtvề quyền tác giả, đặc biệt môi trường doanh nghiệp, nơi thường xuyên làm việc chặt chẽ vớicác phận pháp lý để bảo vệ hành vi vi phạm quyền Các nhà điều tra cần phải xác định xem ảnh có quyền từ nguồn phô biến hay không chẳng hạn hình ảnh tin tức đăng trang Web Luật quyền tU.S Copyright Office Website định nghĩa xác luật quyền liên quan đến đồ họa(các bạn xem chi tiết www.copyright.gov Đạo luật Bản quyền 1976 Copyright Act) Tuy nhiên luật quyền liên quan đến Internetkhông rõ ràng Ví dụ, máy chủ quốc gia kháccó thể lưu trữ trang web, luật quyền quốc gia áp Nhưng nước có luật quyền riêng nên trình thực thi khó khăn, nhiều người lại cho luật quyền quốc tế Văn phòng quyền U.S Copyright Office Web xác định bảo hộ theo quy định pháp luậtvề quyền tác giả Hoa Kỳ sau : Bản quyền bảo vệ tác phẩm gốc tác giả “là cố định hình thức hữu hình” Cố định nghĩa không chép, truyền đạt vớitrợ giúp máy tính thiết bị.Công trình có quyền bao gồm loại sau: Tác Phẩm Văn Học; Tác Phẩm Âm Nhạc, Bao Gồm Bất Kỳ Từ Nào Đi Kèm; Công Trình Ấn Tượng, Bao Gồm Âm Nhạc Đi Kèm; Kịch Câm Và Tác Phẩm Múa; Tranh Ảnh, Đồ Họa, Và Các Công Trình Điêu Khắc; Hình Ảnh Chuyển Động Và Các Tác Phẩm Nghe Nhìn Khác; 227 Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long) Bản Ghi Âm; Công Trình Kiến Trúc Các hạng mục xem theo nghĩa rộng Ví dụ, chương trình máy tính hầu hết “cvấn đề liên quan” đăng ký “tác phẩm văn học”, đồ kế hoạch kiến trúc đăng kí “tác phẩm tranh ảnh, đồ họa, điêu khắc.” Tổng Kết Chương ■ Một tập tin đồ họa có chứa hình ảnh, chẳng hạn ảnh kỹ thuật số, hình ảnh ba chiều, quét hình ảnh in Một chương trình đồ họa tạo ba loại tập tin đồ họa : vector, bitmap, metafile Hình ảnh bitmap tập hợp dấu chấm, điểm ảnh, hình thành nên hình ảnh Đồ họa vector phép toán xác định đường thẳng, đường cong, văn bản, hình dạng hình học Hình ảnh đồ họa metafile kết hợp hình ảnh bitmap vector ■ Hầu hết chương trình biên tập đồ họa cho phép bạn tạo tập tin nhiều định dạng tiêu chuẩnnhư Graphic Interchange Format ( gif), Joint PhotographicExperts Group (.jpeg), windows bitmap (.bmp), Encapsulated PostScript ( eps).Ngoài có định dạng phi chuẩn Targa ( tga)và Raster Transfer Language (rtl)hay định dạng độc quyền Photoshop (psd).;định dạng có Scalable Vector Graphics (svg.) định dạng cũ lỗi thờinhư Paintbrush (PCX) ■ Hầu hết đồ họa dạng tập tin, bao gồm gif jpegđều nén liệu để tiết kiệm không gian đĩavà giảm thời gian truyền Trong định dạng bmp nén liệu ■ Hình ảnh máy ảnh kỹ thuật số thông thường định dạng thô định dạng EXIF JPEG ■ Có số tập tin đồ họa bị ẩn nghi can thay đổi tiêu đề tập tin, bạn cần phải sữa chữa tiêu đề tập tin phục hồi với nguyên gốc xem Phương pháp với loại tập tin khác ■ Khi cần tìm kiếm thông tin hỗ trợ hay cần xác định định dạng tập tin lạ sử dụng internet công cụ tìm kiếm Google ■ Steganography phương pháp ẩn liệu cách sử dụng tập tin lưu trữ nội dung thông điệp bí mật, với hai kỹ thuật chèn thay ■ Công cụ Steganalysis phát liệu ẩn tập tin đồ họa, tập tin đượcđổi tên để bảo vệ nội dung họ 228 Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long) Kết thúc phần I 229 Kiến tiền đam mê hacking Website hỗ trợ: TEAMHACLONG.BLOGSPOT.COM ĐT:094 99 44 513 (Long)