Tìm bằng chứng phạm tội trong ổ cứng máy tính

[crazykid]

Kid Thấy các bạn ở Việt Nam hiện tại hơi lạ lẫm với Computer Forensic và Công cụ hỗ trợ Computer Forensic Nên hôm nay mình mượn 1 bài báo để giới thiệu đến các bạn công cụ EnCase. Đây là 1 trong những công cụ Forensic nổi tiếng được sử dụng ở rất nhiều đội Forensic trên nhiều quốc gia. Bài viết sau mình sẽ nói rõ hơn về nó cũng như các công cụ, kỹ thuật Forensic khác.

Tìm bằng chứng phạm tội trong ổ cứng máy tính

Để đối phó với các nhóm tội phạm công nghệ cao, cảnh sát Anh quốc đã áp dụng mọi biện pháp, trong đó một biện pháp khá hữu hiệu là tìm ra những bằng chứng phạm tội của kẻ bị tình nghi từ những chiếc ổ cứng máy tính.
Tại Anh, đã sớm hình thành một đội cảnh sát phòng chống tội phạm riêng trong lĩnh vực công nghệ cao gọi tắt là NHTCU. Đội đặc nhiệm này có nhiệm vụ đấu tranh chống lại các loại tội phạm trực tuyến như hacker, lừa đảo, gieo rắc khiêu dâm trẻ em và bất cứ hành vi phạm tội nào có liên quan đến máy tính.

Một trong những công cụ quan trọng mà các chuyên gia máy tính của NHTCU sử dụng là phần mềm EnCase. Hiện EnCase đang được hơn 2.000 cơ quan an ninh trên toàn thế giới sử dụng. Phần mềm này giúp cho các điều tra viên truy tìm các manh mối trong những chiếc ổ cứng mà họ tịch thu được của bọn tội phạm trong quá trình điều tra.

Đầu tiên, các điều tra viên sẽ nối ổ cứng với một máy tính có chứa phần mềm EnCase. Phần mềm này sẽ tạo ra một ổ đĩa ánh xạ hoàn toàn ổ đĩa nói trên, dùng để làm bằng chứng trước tòa án, đồng thời gài thêm một số tính năng bảo mật để đảm bảo rằng dữ liệu trong ổ đĩa không hề bị sửa đổi. Sau đó, EnCase sẽ đọc các file để tìm kiếm bằng chứng về hành vi phạm pháp của kẻ sở hữu chiếc ổ cứng. Phần mềm EnCase sẽ tìm kiếm ở dưới cấp độ hệ điều hành để có thể khảo sát tất cả các file, kể cả không gian trống, không gian chưa được định vị, và các file đã xóa khỏi Windows.

Để đối phó với các loại tội phạm máy tính một cách hiệu quả hơn, NHTCU còn hợp tác với một số cơ quan và hãng nghiên cứu. Một trong số đó là DataSec. Hãng này chuyên tìm kiếm và thu thập các bằng chứng về hoạt động của những kẻ gieo rắc khiêu dâm trẻ em. DataSec sẽ phối hợp với cảnh sát và các nhà cung cấp dịch vụ Internet lần theo dấu vết kẻ tình nghi. Sau khi cảnh sát tịch thu được máy tính mà kẻ tình nghi sử dụng, nhiệm vụ của DataSec là tìm ra những bằng chứng từ chiếc máy tính đó.

Với cách làm này, các điều tra viên đã khám phá được nhiều vụ án liên quan đến công nghệ cao, đưa những kẻ phạm tội ra trước vành móng ngựa.

(Đăng Khoa VASC, Theo BBC News )
​

 

Re: Tìm bằng chứng phạm tội trong ổ cứng máy tính

Kid Thấy các bạn ở Việt Nam hiện tại hơi lạ lẫm với Nên hôm nay mình mượn 1 bài báo để giới thiệu đến các bạn công cụ EnCase. Đây là 1 trong những công cụ Forensic nổi tiếng được sử dụng ở rất nhiều đội Forensic trên nhiều quốc gia. Bài viết sau mình sẽ nói rõ hơn về nó cũng như các công cụ, kỹ thuật Forensic khác.

Sao bạn biết các bạn ở Việt Nam hơi lạ lẫm với Computer Forensic và Công cụ hỗ trợ Computer Forensic.

Mỗi cuộc điều tra trên máy có sự khác biệt riêng. Một số cuộc điều tra có thể mất một tuần để có kết quả, nhưng số khác có thể diễn ra hàng tháng để hoàn thành. Dưới đây là một số điều có thể ảnh hưởng tới thời gian của một vụ điều tra:

• Trình độ chuyên môn của điều tra viên
• Số lượng máy tính cần kiểm tra
• Toàn bộ dung lượng mà nhân viên điều tra cần kiểm tra (ổ cứng, đĩa CD, đĩa DVD và các thiết bị lưu trữ cắm ngoài)
• Liệu người bị tình nghi có xóa hay giấu thông tin
• Xử lý các file được mã hóa hoặc các file được bảo vệ bằng mật khẩu.

 

Re: Tìm bằng chứng phạm tội trong ổ cứng máy tính

Sao bạn biết các bạn ở Việt Nam hơi lạ lẫm với Computer Forensic và Công cụ hỗ trợ Computer Forensic.

Mỗi cuộc điều tra trên máy có sự khác biệt riêng. Một số cuộc điều tra có thể mất một tuần để có kết quả, nhưng số khác có thể diễn ra hàng tháng để hoàn thành. Dưới đây là một số điều có thể ảnh hưởng tới thời gian của một vụ điều tra:

• Trình độ chuyên môn của điều tra viên
• Số lượng máy tính cần kiểm tra
• Toàn bộ dung lượng mà nhân viên điều tra cần kiểm tra (ổ cứng, đĩa CD, đĩa DVD và các thiết bị lưu trữ cắm ngoài)
• Liệu người bị tình nghi có xóa hay giấu thông tin
• Xử lý các file được mã hóa hoặc các file được bảo vệ bằng mật khẩu.

Mình biết ở Việt Nam lạ lẫm với nó và nói như vậy bởi vì:
- đối với những người không am hiểu CNTT ở việt nam bạn hãy hỏi họ biết gì về Forensic bạn nghĩ bao nhiêu phần trăm hình dung được Frensic là làm gì
- Ngoài các cơ quan chức năng ra ở Việt Nam chưa thấy 1 tổ chức nào khác chuyên về Frensic hay 1 mảng nào đó của Forensic Không phải bạn cứ tham gia xử lí hiện trường, thu thập chứng cứ công nghệ cao và làm toàn bộ những công đoạn mới là forensic, đôi khi bạn là 1 cá nhân có trình độ bạn tham gia thu thập và phân tích malware hoặc 1 tổ chức chuyên về malware analysic, Hardware analysic,... thì đã gọi là họ đang làm forensic rồi
- Hãy làm một cuộc trắc nghiệm nho nhỏ xem bao nhiêu sinh viên Việt nam đang học chuyên ngành CNTT việt nam hiện nay biết về forensic, biết quy trình forcen, Từng nghe hay đọc về các công cụ forensic
Và còn nhiều yếu tố nữa khiến mình kết luận như thế

Các yếu tố bạn nên trên mình xin góp ý: theo ý kiến mình thì những yếu tố quan trọng nhất ảnh hưởng đến thời gian 1 vụ điều tra nói chung lại là: Trình độ người điều tra và tội phạm , Thiết bị, kinh nghiệm, Các quy trình từ cấp trên

 

Re: Tìm bằng chứng phạm tội trong ổ cứng máy tính

Trước hết xin nói rằng mình không có học về CNTT, mình chỉ học về lĩnh vực Văn hóa nên có thể suy nghĩ của mình không giống bạn.

Mình biết ở Việt Nam lạ lẫm với nó và nói như vậy bởi vì:
- đối với những người không am hiểu CNTT ở việt nam bạn hãy hỏi họ biết gì về Forensic bạn nghĩ bao nhiêu phần trăm hình dung được Frensic là làm gì

--> Nếu họ không am hiểu CNTT thì họ không cần biết về Forensic là điều tất nhiên.

Hãy làm một cuộc trắc nghiệm nho nhỏ xem bao nhiêu sinh viên Việt nam đang học chuyên ngành CNTT việt nam hiện nay biết về forensic, biết quy trình forcen, Từng nghe hay đọc về các công cụ forensic

--> Đồng tình với bạn về điều này.

Các yếu tố bạn nên trên mình xin góp ý: theo ý kiến mình thì những yếu tố quan trọng nhất ảnh hưởng đến thời gian 1 vụ điều tra nói chung lại là: Trình độ người điều tra và tội phạm , Thiết bị, kinh nghiệm, Các quy trình từ cấp trên

--> Các giai đoạn của việc điều tra Computer Forensic

1. Kiểm soát hệ thống máy tính để chắc chắn rằng thiết bị và dữ liệu được an toàn. Điều này có nghĩa điều tra viên cần phải nắm quyền bảo mật để không có một cá nhân nào có thể truy cập máy tính và thiết bị lưu trữ đang được kiểm tra. Nếu hệ thống máy tính có kết nối với Internet, điều tra viên phải kiểm soát được kết nối này.


2. Tìm kiếm tất cả các file có trong hệ thống máy tính, bao gồm các file đã được mã hóa, được bảo vệ bằng mật khẩu, được ẩn hoặc bị xóa nhưng chưa bị ghi đè. Nhân viên điều tra nên sao chép lại tất cả các file của hệ thống, bao gồm các fiel có trong ổ đĩa của máy tính hay file từ các ổ cứng cắm ngoài. Bởi khi truy cập các file có thể thay đổi nó nên nhân viên điều tra chỉ nên làm việc với các bản copy của các file khi tìm kiếm bằng chứng. Bản nguyên gốc cần được bảo quản và không được động đến.


3. Khôi phục lại càng nhiều thông tin bị xóa càng tốt bằng cách sử dụng các ứng dụng có thể tìm kiếm và truy hồi dữ liệu bị xóa.


4. Tìm kiếm thông tin của tất cả các file ẩn


5. Giải mã và truy cập các file được bảo vệ


6. Phân tích các khu vực đặc biệt trên ổ đĩa máy tính, bao gồm các phần thường khó có thể tiếp cận.


7. Ghi lại tất cả các bước của quá trình. Điều này rất quan trọng đối với nhân viên điều tra để cung cấp bằng chứng rằng công việc điều tra của họ thực hiện có bảo vệ thông tin của hệ thống máy tính mà không làm thya đổi hoặc làm hỏng chúng. Một vụ điều tra và vụ xử án có thể mất tới hàng năm, nếu không có tài liệu xác thực, bằng chứng thậm chí còn không được chấp nhận.

Tất cả các bước này rất quan trọng, nhưng bước đầu tiên mới là quan trọng nhất. Nếu nhân viên điều tra không thể kiểm soát toàn bộ hệ thống máy tính, bằng chứng họ tìm được sẽ không được công nhận. Đây cũng là việc rất khó. Trong thời gian đầu của máy tính, hệ thống chỉ bao gồm một chiếc máy với một vài chiếc đĩa mềm. Ngày nay, nó bao gồm rất nhiều máy tính, ổ đĩa, ổ cứng cắm ngoài, ….Đó là chưa nói đến bọn chúng sử dụng các chương trình và ứng dụng có tên anti-forensic. Điều tra viên sẽ phải dè chừng những chương trình này và tìm cách loại bỏ chúng nếu họ muốn truy cập thông tin trong hệ thống.

 

Computer Forensíc

Chào mọi người,

Link sau đây có một bài viết rất ngắn gon và hay về Computer Forensics, mọi người xem thử nhé:

Bài 1: Giới thiệu về Computer Forensics

http://tuhocanninhmang.com/kien-thu...cs-bai-1-gioi-thieu-ve-computer-forensics.htm

Chúc mọi người vui.

 

Re: Tìm bằng chứng phạm tội trong ổ cứng máy tính

Bên C50 có máy đọc ổ cứng ấy. Đút ổ cứng vào như đút đĩa DVD.
Cách qua mặt tất cả ... TrueCrypt !

 

Re: Computer Forensíc

Chào mọi người,

Link sau đây có một bài viết rất ngắn gon và hay về Computer Forensics, mọi người xem thử nhé:

Bài 1: Giới thiệu về Computer Forensics

http://tuhocanninhmang.com/kien-thu...cs-bai-1-gioi-thieu-ve-computer-forensics.htm

Chúc mọi người vui.

Bài 2: Digital Evidence

http://tuhocanninhmang.com/kien-thu...ng/computer-forensics-bai-2-bang-chung-so.htm

Mời mọi người đọc và cho ý kiến.

 

Re: Computer Forensíc

Bài 2: Digital Evidence

http://tuhocanninhmang.com/kien-thu...ng/computer-forensics-bai-2-bang-chung-so.htm

Mời mọi người đọc và cho ý kiến.

Bài 3: Chi tiết về quy trình điều tra computer forensics

http://tuhocanninhmang.com/kien-thu...t-ve-quy-trinh-dieu-tra-computer-forensic.htm

Mời mọi người đọc.

 

Re: Computer Forensíc

Bài 3: Chi tiết về quy trình điều tra computer forensics

http://tuhocanninhmang.com/kien-thu...t-ve-quy-trinh-dieu-tra-computer-forensic.htm

Mời mọi người đọc.

Bài 4:

http://tuhocanninhmang.com/kien-thu...4-computer-forensics-va-network-forensics.htm

Mời mọi người đọc tiếp.

 

Re: Tìm bằng chứng phạm tội trong ổ cứng máy tính

toàn các bạn chém gió như thần, bản thân các bạn cũng có bik gì về nó đâu mà cứ chém....Chỉ toàn giỏi lý thuyết, có ai dám bỏ tiền ra mua phần mềm và thiết bị encase thì chụp cái ảnh rồi post lên tớ mới tin, còn ông chủ thớt chắc cũng chỉ đọc tài liệu rồi chém lung tung thui, anh hùng bàn phím quá

 

Re: Tìm bằng chứng phạm tội trong ổ cứng máy tính

toàn các bạn chém gió như thần, bản thân các bạn cũng có bik gì về nó đâu mà cứ chém....Chỉ toàn giỏi lý thuyết, có ai dám bỏ tiền ra mua phần mềm và thiết bị encase thì chụp cái ảnh rồi post lên tớ mới tin, còn ông chủ thớt chắc cũng chỉ đọc tài liệu rồi chém lung tung thui, anh hùng bàn phím quá

Bạn không đóng góp đươc gì cho diễn đàn thì coi mà học hỏi chứ ở đó nói người ta chém gió.Rõ ràng anh Kid nói là dịch từ 1 bài báo kìa-bạn không đọc à

 

Re: Tìm bằng chứng phạm tội trong ổ cứng máy tính

Nếu dịch thì ko nên có đánh giá kèm theo dạng chê bai trình đôj Việt Nam mình, tơ la ng doc mòn các loại PM trên, nhưng chỉ là đọc thôi, mua rất đắt, ngoài ra PM đi kèm thiết bị khoá key, ko co PM ko chạy đươc

 

Re: Tìm bằng chứng phạm tội trong ổ cứng máy tính

Nếu dịch thì ko nên có đánh giá kèm theo dạng chê bai trình đôj Việt Nam mình, tơ la ng doc mòn các loại PM trên, nhưng chỉ là đọc thôi, mua rất đắt, ngoài ra PM đi kèm thiết bị khoá key, ko co PM ko chạy đươc

đề nghị cho thằng này bấm nút , ô uế diễn đàn quá, đệt đóng góp đc gì mà cứ ngồi phán này phán nọ như thằng trẻ lần đầu được chạm vào máy tính !

 

Re: Tìm bằng chứng phạm tội trong ổ cứng máy tính

toàn các bạn chém gió như thần, bản thân các bạn cũng có bik gì về nó đâu mà cứ chém....Chỉ toàn giỏi lý thuyết, có ai dám bỏ tiền ra mua phần mềm và thiết bị encase thì chụp cái ảnh rồi post lên tớ mới tin, còn ông chủ thớt chắc cũng chỉ đọc tài liệu rồi chém lung tung thui, anh hùng bàn phím quá

con trai, thế tao hỏi mày, mày có dám mua không ? mày không mua thì lặn cho nước nó trong !
mà mày có mua về mày cũng chả đệt làm gì được đâu, sao tao thấy trình mày nó khoai khoai thế nào ấy !

 

Re: Tìm bằng chứng phạm tội trong ổ cứng máy tính

các bạn nên tham gia với tinh thần tranh luận + quan điểm không nên cay cú để làm mất đi tính trong sáng của mũ màu trắng.
diễn đàn đang hay đừng phá nhé, làm người viết bài sẽ bị nhụt chí sẽ ko có nhiều bài tốt cho các bạn xem, nếu cảm thấy bài viết chưa tốt có thể chọn cách chia sẻ quan điểm cá nhân, hoặc im lặng.

Chúc cả nhà 1 ngày đầu tuần sung sức. ^^