Computer Forensics – Bài 1: Giới thiệu

computer forensics bai 1 gioi thieu

Pháp ý và pháp y số:

Theo Wikipedia: “Pháp y (Forensic) – hay Giám định pháp y – là một ngành khoa học, nó sử dụng những thành tựu khoa học trong lĩnh vực y học, sinh học, hoá học, vật lí học, tin học… để đáp ứng những yêu cầu của pháp luật trong hoạt động tố tụng hình sự và dân sự thông qua hoạt động giám định khi được các cơ quan trưng cầu. Người làm công tác giám định này được gọi là giám định viên pháp y (hay điều tra viên: Investigator)”.

Có thể hiểu một cách ngắn gọn về nghề giám định pháp y là: Truy tìm bằng chứng phạm tội của một vụ án nào đó. Các bằng chứng này phải có thể được đưa ra trước tòa để giúp quan tòa có cơ sở luận tội một tội phạm nào đó.

Pháp y số (Digital fonrensics) là một nhánh của khoa học pháp y, nó truy tìm và phân tích các tài liệu chứa trong các thiết bị số, thường gọi là: tài liệu số, để tìm ra các bằng chứng số (Digital Evidence). Rõ ràng, digital forensics liên quan đến tội phạm máy tính (Computer crime).

Forencis3

Digital forensics bao gồm nhiều lĩnh vực: Computer forensics, Network forensics, Data analytical forensics (Disk forensics) và mobile device forensics.

Pháp y máy tính (Computer Forensics) là gì?

Có nhiều định nghĩa khác nhau về computer forensic. Sau đây là định nghĩa của Rodney Mckemmish – 1999: “Computer forensic là quá trình xác định (identifying), lưu trữ (preserving), phân tích (analyzing) và trình bày (presenting) các bằng chứng số trong cách mà nó có thể chấp nhận về mặt pháp lý”.

Như vậy, đặc tính của computer forensic là: Identifying, preserving, analyzing và presenting

Bằng chứng số thường được tìm thấy trong các ổ đĩa của máy tính, trong các thiết bị lưu trữ và trên các phương tiện truyền dẫn khác nhau. Tất cả chúng phải được trình bày trước tòa trong một dạng thức thống nhất và có ý nghĩa về mặt pháp lý.

Nhiệm vụ của điều tra viên computer forensic là: Phải đưa ra được các bằng chứng trước tòa, bằng chứng phải có tính pháp lý và có khả năng dẫn ra hành vi phạm tội của tôi phạm; Phải đảm bảo tính toàn vẹn của hệ thống máy tính; Phải tập trung vào việc ứng phó với các hành vi phạm tội công nghệ cao.

Nhân viên điều tra computer forensic thường thực hiện theo một tập các thủ tục chuẩn để tìm ra các bằng chứng số: Bước đầu tiên, cô lập một cách vật lý các thiết bị nghi vấn, để đảm bảo nó không thể tiếp tục bị “lây nhiễm”. Bước tiếp theo, tạo bản copy của các thiết bị liên quan, sau đó “khóa” chúng lại để đảm bảo an toàn và làm đối chứng sau này. Bước cuối, thực hiện các thao tác điều tra trên bản copy.

Các điều tra viên sử dụng các kỹ thuật, các công cụ computer forensic khác nhau để khảo sát bản copy để tìm kiếm các thông tin khả nghi từ tập tin ẩn, các thư mục ẩn, các không gian đĩa chưa cấp phát, các tập tin bị xóa, bị mã hóa, bị hỏng,… Bất kỳ thông tin nào được tìm thấy ở đây đều được ghi lại một cách cẩn thận trong báo cáo cuối cùng và sẽ được đối chứng với bản gốc để khảng định tính pháp lý của nó. Từ những thông tin này, điều tra viên sẽ đưa ra được bằng chứng pháp lý trước tòa.

hacker1

Các bước của quy trình computer forensic:

  1. Shut Down the Computer (shutdown máy tính).
  2. Document the Hardware Configuration of The System (lập tài liệu về cấu hình phần cứng của hệ thống).
  3. Transport the Computer System to A Secure Location (chuyển hệ thống máy tính đến vị trí an toàn).
  4. Make Bit Stream Backups of Hard Disks and Floppy Disks (tạo backup – theo bít – của các ổ đĩa trên máy tính).
  5. Verify Data on All Storage Devices (kiểm tra dữ liệu trên tất cả các thiết bị lưu trữ).
  6. Document the System Date and Time (lập tài liệu về ngày và giờ hệ thống).
  7. Make a List of Key Search Words (lập danh sách các word tìm kiếm chính).
  8. Evaluate the Windows Swap File (xem xét tập tin swap của Windows).
  9. Evaluate File Slack (xem xét không gian slack của các tập tin).
  10. Evaluate Unallocated Space and Erased Files (xem xét các không gian (đĩa) chưa cấp phát và các tập tin bị xóa).
  11. Search Files, File Slack and Unallocated Space for Key Words (tìm các tập tin, không gian slack của tập tin và không gian chưa cấp phát theo các word chính).
  12. Document File Names, Dates and Times (lập tài liệu về tên, ngày và giờ liên quan đến các tập tin).
  13. Identify File, Program and Storage Anomalies (xác định tập tin, chương trình và thiết bị lưu trữ bất thường).
  14. Evaluate Program Functionality (xem xét các chương trình không bản quyền).
  15. Document Your Findings (lập tài liệu về các phát hiện ban đầu).

Yêu cầu kỹ năng của điều tra viên computer forensic:

  1. Lập trình được trên nhiều ngôn ngữ. Đặc biệt là các ngôn ngữ cấp thấp, ngôn ngữ script: Assembly, C/C++, Rube, Pert, Python, Php,…
  2. Được trang bị đầy đủ kiến thức nền tảng về khoa học máy tính. Có nhiều kinh nghiệm trong các lĩnh vực liên quan đến máy tính.
  3. Hiểu biết chuyên sâu về hệ điều hành và các ứng dụng khai thác hệ thống.
  4. Có khả năng phân tích dữ liệu và quản trị hệ thống.
  5. Sử dụng thành thạo các tool xâm nhập, phát hiện xâm nhập mới nhất.
  6. Hiểu biết căn bản về mã hóa/giải mã. Sử dụng thành thạo các tool liên quan.
  7. Am hiểu về các quy tắc liên quan đến bằng chứng số và có khả năng xử lý chúng.
  8. Sẵn sàng làm nhân chứng về chuyên môn trước tòa.
trojan222
Digital forensics

Tóm lại:

Mục tiêu chính của các chuyên gia computer forensic không chỉ là tìm ra tội phạm mà còn tìm ra các bằng chứng và trình bày các bằng chứng đó trong cách mà có thể dẫn ra hành động pháp lý của tội phạm.

0 0 Bình chọn
Đánh giá bài viết
Đăng ký
Nhận thông báo cho
guest
0 Góp ý
Phản hồi nội tuyến
Xem tất cả bình luận