Computer Forensics – Bài 5: Phân tích File System

computer forensics bai 5

Phân tích File System (hệ thống tệp tin) là một phần không thể thiếu trong điều tra số học (Computer Forensics). Quá trình này liên quan đến việc thu thập, phân tích và phục hồi dữ liệu từ các hệ thống file khác nhau để tìm kiếm và lưu trữ bằng chứng số học. Việc hiểu rõ cách hệ thống file tổ chức và quản lý dữ liệu giúp các nhà điều tra phát hiện ra những thông tin quan trọng trong các vụ án.

computer forensics bai 5

Tổng quan về File System

File System là một thành phần quan trọng của hệ điều hành, chịu trách nhiệm tổ chức và quản lý lưu trữ dữ liệu trên các thiết bị lưu trữ như ổ cứng, SSD, USB và các phương tiện lưu trữ khác. Một số hệ thống file phổ biến bao gồm:

  • FAT32 (File Allocation Table 32-bit): Thường được sử dụng trên các ổ đĩa nhỏ và các thiết bị lưu trữ di động. Ưu điểm của FAT32 là tính tương thích cao với nhiều hệ điều hành.
  • NTFS (New Technology File System): Là hệ thống file mặc định của Windows với nhiều tính năng bảo mật và phục hồi dữ liệu, hỗ trợ các tệp tin và ổ đĩa lớn.
  • ext (Extended File System): Hệ thống file phổ biến trên các hệ điều hành Linux, với các phiên bản như ext2, ext3, ext4, mỗi phiên bản đều có những cải tiến về hiệu suất và độ tin cậy.
  • HFS+ (Hierarchical File System Plus): Hệ thống file của macOS, hỗ trợ các tính năng quản lý file và bảo mật của Apple.

Quy trình phân tích File System

Thu thập dữ liệu

Quá trình này bắt đầu bằng việc thu thập dữ liệu từ các thiết bị lưu trữ liên quan. Điều này bao gồm việc sao chép chính xác dữ liệu gốc để đảm bảo tính toàn vẹn và tránh gây thay đổi dữ liệu. Các công cụ như FTK Imager hoặc dd trên Linux thường được sử dụng để tạo ảnh đĩa (disk image) của thiết bị lưu trữ.

Phân tích cấu trúc hệ thống file

Phân tích cấu trúc hệ thống file bao gồm việc xác định và hiểu cách hệ thống file tổ chức và lưu trữ dữ liệu. Quá trình này giúp các nhà điều tra xác định các khu vực lưu trữ tiềm năng chứa thông tin hữu ích. Các công cụ như Autopsy và The Sleuth Kit hỗ trợ phân tích chi tiết cấu trúc hệ thống file.

Phục hồi dữ liệu bị xóa

Một phần quan trọng của phân tích hệ thống file là khả năng phục hồi dữ liệu đã bị xóa. Dữ liệu bị xóa thường không bị xóa hoàn toàn khỏi thiết bị lưu trữ mà chỉ được đánh dấu là không sử dụng và có thể bị ghi đè. Các công cụ như PhotoRec hoặc R-Studio có thể giúp phục hồi các tệp tin này.

Phân tích metadata

Metadata là thông tin về các tệp tin và thư mục, chẳng hạn như thời gian tạo, thời gian sửa đổi và quyền truy cập. Phân tích metadata giúp các nhà điều tra hiểu rõ hơn về hoạt động và hành vi của người dùng. Metadata cũng có thể chứa các thông tin ẩn quan trọng cho cuộc điều tra.

computer forensics bai 5 3
Chuyên gia điều tra số học sử dụng Autopsy để phân tích hệ thống tệp tin. (Ảnh minh họa AI)

Công cụ phân tích File System

Có nhiều công cụ hỗ trợ phân tích hệ thống file trong Computer Forensics, bao gồm:

  • Autopsy: Một giao diện đồ họa cho bộ công cụ Sleuth Kit, cung cấp các tính năng phân tích mạnh mẽ cho nhiều loại hệ thống file khác nhau.
  • FTK Imager: Công cụ miễn phí của AccessData để tạo ảnh đĩa và xem xét nội dung của ảnh đĩa. FTK Imager hỗ trợ nhiều định dạng hệ thống file và cho phép xem trước dữ liệu mà không làm thay đổi dữ liệu gốc.
  • EnCase: Một công cụ điều tra số học mạnh mẽ với nhiều tính năng phân tích và phục hồi dữ liệu. EnCase hỗ trợ nhiều định dạng hệ thống file và cung cấp các tính năng phân tích chi tiết và tự động hóa quá trình điều tra.

Ngoài ra, các kỹ thuật phân tích hệ thống tập tin cũng liên tục phát triển, chẳng hạn như:

  • Phân tích hệ thống tập tin bị mã hóa: Sử dụng các kỹ thuật giải mã hoặc tìm kiếm các khóa mã hóa để truy cập vào dữ liệu được bảo vệ.
  • Phân tích hệ thống tập tin bị hư hỏng: Áp dụng các kỹ thuật sửa chữa hoặc phục hồi dữ liệu từ các thiết bị lưu trữ bị hỏng.
computer forensics bai 5 2
Nhà điều tra số học sử dụng FTK Imager để tạo ảnh đĩa từ thiết bị lưu trữ (Ảnh minh họa AI)

Các bước thực hiện phân tích File System

  1. Chuẩn bị môi trường phân tích: Đảm bảo rằng môi trường phân tích không bị nhiễm bẩn và không làm thay đổi dữ liệu gốc. Điều này bao gồm việc sử dụng các thiết bị và phần mềm được kiểm soát và bảo vệ an toàn.
  2. Tạo ảnh đĩa: Tạo một bản sao chính xác của thiết bị lưu trữ để làm việc trên bản sao thay vì dữ liệu gốc. Việc này giúp bảo vệ dữ liệu gốc khỏi bị thay đổi và cho phép phân tích lặp lại nếu cần.
  3. Phân tích cấu trúc hệ thống file: Sử dụng các công cụ phân tích để hiểu cấu trúc và tổ chức của hệ thống file. Điều này bao gồm việc xác định các phân vùng, hệ thống file và các tệp tin quan trọng.
  4. Phục hồi dữ liệu: Sử dụng các công cụ và kỹ thuật phục hồi dữ liệu để khôi phục các tệp tin đã bị xóa hoặc bị mất. Việc này có thể bao gồm việc tìm kiếm các tệp tin ẩn, tệp tin tạm thời và các phần của tệp tin bị phân mảnh.
  5. Phân tích metadata: Xem xét metadata để tìm hiểu thêm về hành vi của người dùng và các hoạt động liên quan. Metadata có thể chứa thông tin về thời gian truy cập, sửa đổi, tạo tệp tin, và thậm chí là thông tin về người dùng và thiết bị đã tạo ra hoặc chỉnh sửa tệp tin.
computer forensics bai 5 4
Nhà điều tra số học khôi phục các tệp tin đã xóa bằng công cụ như PhotoRec (Ảnh minh họa AI)

Kết luận

Phân tích File System là một kỹ thuật quan trọng trong Computer Forensics, giúp các nhà điều tra thu thập và phân tích dữ liệu từ các hệ thống file để tìm kiếm bằng chứng số học. Việc sử dụng các công cụ và phương pháp phù hợp có thể giúp khôi phục dữ liệu bị xóa và cung cấp thông tin chi tiết về hành vi của người dùng, từ đó hỗ trợ quá trình điều tra và giải quyết các vụ án.

Bài viết cùng chuyên mục:

0 0 Bình chọn
Đánh giá bài viết
Đăng ký
Nhận thông báo cho
guest
0 Góp ý
Phản hồi nội tuyến
Xem tất cả bình luận