[Tham khảo] PHÁT TRIỂN QUY TRÌNH TÌM KIẾM CHỨNG CỨ ĐIỆN TỬ CHO THIẾT BỊ DI ĐỘNG
Trong nhiều năm qua, công tác giám định số đã thấy một sự gia tăng
đáng chú ý trong các yêu cầu kiểm tra dữ liệu từ điện thoại di động và
các thiết bị di động khác. Yêu cầu kiểm tra và trích xuất dữ liệu từ các
thiết bị di động đặt gặp phải nhiều khó khăn và thách thức. Khi kiểm
tra và trích xuất dữ liệu từ các loại thiết bị này, cá nhân nhận thấy có
những khó khăn sau:
– Có rất nhiều loại thiết bị di động thông minh được bán phổ biến trên thị trường, bên cạnh đó còn một số lượng không nhỏ những thiết bị đi động độc quyền với hệ điều hành và các thiết bị ngoại vi khác nhau. Mỗi thiết bị có thể chỉ được hỗ trợ duy nhất bằng các công cụ và phần mềm hoặc có thể không được hỗ trợ. Ngoài ra, còn có một khoảng thời gian trễ khi các thiết bị mới ra đời cần thời gian để hoàn thiện công cụ hỗ trợ.
– Các loại dữ liệu chứa trong thiết bị di động thì luôn luôn gia tăng cùng với thời gian mà người dùng sử dụng thiết bị. Thiết bị di động ngày nay được hiểu đến như một chiếc máy tính có hệ điều hành cá nhân. Dữ liệu không chỉ là tin nhắn, lịch sử cuộc gọi, ghi chú…. mà đó còn là các dữ liệu xuất hiện từ chính việc sử dụng các phần mềm tiện ích. Chính vì vậy kĩ năng tìm kiếm, phân tích kĩ thuật số ngày càng trở nên quan trọng.
– Điện thoại di động và các thiết bị di động khác được thiết kế để giao tiếp với di động và các mạng thông qua nhà mạng, Bluetooth, hồng ngoại và mạng không dây. Để bảo vệ tốt nhất các dữ liệu trên điện thoại, việc cần thiết là phải cô lập điện thoại từ các mạng xung quanh. Điều này không phải lúc nào cũng có thể thực hiện được và các phương pháp cô lập có thể bị thất bại.
– Thiết bị di động sử dụng nhiều bộ phận, có thể tháo rời và có khả năng lưu trữ dữ liệu trực tuyến. Trong nhiều trường hợp, đó là nguyên nhân cần thiết để sử dụng nhiều hơn một công cụ để trích xuất dữ liệu mong muốn từ các thiết bị di động. Trong một số trường hợp, các công cụ được sử dụng để xử lý điện thoại di động có thể báo cáo mâu thuẫn nhau hoặc thông tin sai lệch. Do đó, việc quan trọng là cần xác minh tính chính xác của dữ liệu thu được từ các thiết bị di động.
– Thông tin trên thiết bị di động là vô cùng lớn, tuy nhiên không phải dữ liệu nào cũng là quan trọng cho quá trình điều tra. Vì vậy, việc cần thiết phải có những kĩ năng chọn lọc dữ liệu trong quá trình phân tích dữ liệu là rất quan trọng.
Những yếu tố này dẫn đến yêu cầu tất yêu cần phát triển quy trình cho việc khai thác, trích xuất dữ liệu từ thiết bị di động, Những quy trình này phải được định kỳ xem xét và kiểm tra vì công nghệ luôn luôn thay đổi và phát triển một cách chóng mặt. Sau đây là tổng quan về quá trình xem xét cho khai thác và tài liệu hướng dẫn của dữ liệu từ các thiết bị di động.
QUY TRÌNH TRÍCH XUẤT DỮ LIỆU Ở THIẾT BỊ DI DỘNG
Giai đoạn này tiếp nhận thiết bị để chuẩn bị trích xuất và phân tích dữ liệu. Những thiết bị được tiếp nhận ở giai đoạn này cần phải đảm bảo các yêu cầu về hình thức, biên bản, thông tin về chủ sở hữu, những vụ, việc liên quan đã xảy ra và yêu cầu về mặt thông tin cần xử lý.
Yêu cầu quan trọng trong giai đoạn này là phát triển mục tiêu cụ thể cho từng quá trình kiểm tra, phân tích và thu thập. Điều này không chỉ phục vụ để làm rõ mục tiêu giám định mà còn hỗ trợ trong việc phân loại, báo cáo sau này.
2. Giai đoạn xác định
Đối với mỗi bước kiểm tra của một thiết bị di động, kỹ thuật viên nên xác định các việc sau đây:
Kỹ thuật viên cần phải xác định rõ thẩm quyền của mình cho việc tìm kiếm dữ liệu trên thiết bị. Trước khi làm bất cứ thao tác nào với thiết bị di động được yêu cầu kiểm tra, cần phải xem xét cẩn trọng các văn bản quy phạm pháp luật để đảm bảo thực hiện đúng trình tự tố tụng.
– Mục tiêu của kiểm tra:
Quá trình kiểm tra các thiết bị di động cần phù hợp với từng loại, mục tiêu của quá trình kiểm tra có thể khác nhau. Không phải phòng kiểm tra thiết bị di động nào cũng có đầy đủ các thiết bị và công cụ phương tiện để kiểm tra các dữ liệu và thu thập đầy đủ các chứng cứ. Vì lý do này, mục tiêu của việc kiểm tra sẽ xác định mức độ kiểm tra nào là thích hợp cho bất kỳ cho điện thoại di động.
Mục tiêu của những lần kiểm tra dữ liệu là khôi phục những dữ liệu đã bị xóa khỏi bộ nhớ điện thoại. Điều này có thể thực hiện được nếu sử dụng những một công cụ có sẵn để trích xuất dữ liệu. Một công cụ tốt có sẽ có thể phân tích, khôi phục dữ liệu, giải mã hex, kiểm tra cơ sử dữ liệu SQL; Tuy nhiên, với mức độ kiểm tra chuyên sâu thì việc làm này sẽ tốn rất nhiều thời gian đòi hỏi mức độ kĩ thuật chuyên môn cao.
Bằng những công cụ và kĩ thuật khác nhau, quá trình phân tích sẽ tạo nên sự khác biệt đáng kể khi kiểm tra các thiết bị di động. Việc xác định trước mục tiêu của những lần kiểm tra sẽ làm tăng năng hiệu quả của quá trình này. Những vấn đề thực tiễn nên được đề cập cụ thể trong quá trình kiểm tra này và việc xác định, phân loại quá trình kiểm tra cần dựa trên hoàn cảnh thực tiễn và yêu cầu thực tiễn đặt ra.
– Xác định thông tin, loại thiết bị di động
Tuỳ thuộc vào công nghệ di động khác nhau, có một số loại thiết bị di động như:
+ Điện thoại di động CDMA:
Số seri điện tử (ESN) được viết ở dưới cục pin của điện thoại di động. Đây là một dãy số 32 bit duy nhất được gán cho mỗi điện thoại di động trên mạng. ESN có thể được liệt kê trong số thập phân (10 chữ số) hoặc hệ thập lục phân (16 chữ số). Người kiểm tra phải nhận thức được đâu và dãy số thập phân, đâu là dãy số thập lục phân.
Mã số các thiết bị di động (MEID) cũng tìm thấy dưới nắp pin, là một số 56 bit được thay thế ESN do số lượng hạn chế của 32 bit của ESN. Các MEID được liệt kê trong mã hex, nơi mà các byte đầu tiên là mã khu vực, ba byte tiếp theo là mã số nhà sản xuất, và còn lại ba byte là mã số xuất xưởng.
Điện thoại CDMA thường không chứa một Subscriber Identity Module (SIM), nhưng một số điện thoại mới lại có cả CDMA và GSM và có thể được sử dụng trên cả mạng CDMA hay mạng GSM. Bên trong các điện thoại này thường có một khe cắm thẻ SIM nằm dưới pin. Xác định thông tin dưới pin của các điện thoại này có thể liệt kê một số IMEI ngoài các số ESN / MEID.
Điện thoại CDMA còn có 2 đặc điểm nhận dạng khác, cụ thể là Mobile Identification Number (MIN) và Mobile Directory Number (MDN). MIN là số của một nhà mạng cấp phát cho điện thoại, số này là một dãy 24 bit (10 số) là số điện thoại. Khi một cuộc gọi được thiết lập, điện thoại sẽ gửi ESN và MIN cho nhà mạng cung cấp. MDN là số điện thoại toàn cầu duy nhất của điện thoại. Hiện nay mã Min và MDN có thể coi như nhau và được giữ nguyên kể cả khi khách hàng thay đổi nhà mạng.
+ Điện thoại di động GSM
(IMEI) là một dãy số 15 chữ số duy nhất mà nhà mạng dùng để xác định một thiết bị di động GSM trên mạng lưới của mình. Con số này là thường tìm thấy dưới pin của điện thoại di động. 8 chữ số đầu tiên là một loại phân bổ mã (TAC), 6 chữ số tiếp theo là các thiết bị số sêri (DSN). Các con số cuối cùng là số kiểm tra, thường được thiết lập là 0. Trên một điện thoại GSM, sẽ có ít nhất một Identity Module (SIM) khe cắm thẻ nhớ cũng là thường nằm dưới pin. Thẻ Sim mang những đặc điểm của từng nhà mạng, với mỗi thẻ sim có một dãy con số (ICCID),đó là một từ 18 đến 20 chữ số (10 byte) xác định duy nhất mỗi thẻ SIM. Số ICCID được gắn với các thuê bao di động quốc tế Identity (IMSI) thường là một số 15 chữ số(56 bit) bao gồm ba phần là mã di động quốc gia (MCC, 3 chữ số), mã mạng di động (MNC, 3 chữ số ở Mỹ và Canada, và 2 chữ số ở nơi khác), và mã số cuả từng thuê bao do nhà mạng cấp (MSIN; 9 chữ số ở Mỹ và Canada, và 10 hoặc 11 chữ số nơi khác) được lưu trữ điện tử trong SIM. IMSI có thể được thu được thông qua phân tích SIM hoặc thông qua nhà mạng.
+ Điện thoại di động iDen.
Mặc dù ít phổ biến trong những năm gần đây, điện thoại iDEN đem lại khả năng cho phép người dùng giao tiếp trực tiếp cho một hoặc nhiều điện thoại iDEN khác bằng vô tuyến. Điện thoại di động iDEN bao gồm một điện thoại di động quốc tế. Thiết bị nhận dạng (IMEI) xác định một điện thoại di động iDEN trong mạng của mình. Con số này là thường được tìm thấy dưới pin của di động điện thoại. Điện thoại di động iDEN cũng chứa thẻ SIM, với các thông tin nhận dạng mô tả ở trên dù chúng được dựa trên công nghệ khác nhau so với thẻ SIM GSM và không tương thích với điện thoại di động GSM. Sự độc đáo của điện thoại di động iDEN là kết nối trực tiếp với số (DCN) mà còn được gọi là MOTOTalk ID, ID radio cá nhân hoặc số iDEN. Các DCN là số được sử dụng để xác định giao tiếp trực tiếp thiết bị đến thiết bị khác với điện thoại di động iDEN. Con số này gồm có một dãy số định dạng như ### * ### * ##### nơi ba chữ số đầu là ID trong khu vực (khu vực hãng của nhà mạng), ba chữ số tiếp theo là ID mạng (mạng iDEN cụ thể) và cuối cùng năm chữ số là một số nhận dạng thuê bao đôi lúc tương ứng với 5 số cuối của số điện thoại di động.
– Thiết bị lưu trữ dữ liệu gắn ngoài:
Nhiều điện thoại di động hiện nay trên thị trường bao gồm các khả năng lưu trữ dữ liệu cho một thiết bị lưu trữ ngoài ví dụ như một thẻ mở rộng bộ nhớ (Micro SD). Trong trường hợp một thẻ nhớ được cài đặt trong điện thoại di động có nghĩa là nó cũng phải nộp để kiểm tra. Thẻ nhớ nên tháo bỏ bởi kỹ thuật viên và xử lý bằng kỹ thuật truyền thống như giám định kỹ thuật. Việc xử lý thẻ nhớ điện thoại di động gắn ngoài khác với phần dữ liệu trong thiết bị di động có thể dẫn đến việc thay đổi ngày và thời gian đóng dấu dữ liệu cho các tập tin nằm trên các thẻ dữ liệu.
Ngoài ra, hiện nay các thiết bị di động có thể lưu trữ dữ liệu trên các dịch vụ internet ví dụ như tài khoản iCloud cho các thiết bị iOS hoặc tài khoản Google với các thiết bị Android. Việc kiểm tra các dữ liệu này có thể dẫn đến các yêu cầu pháp lý phức tạp so với việc kiểm tra trên điện thoại di động. Tuy nhiên việc kiểm tra này nên được thực hiện bằng việc sử dụng tài khoản của chính quản trị viên. Nhiều điện thoại có tích hợp chức năng riêng và điện thoại thông minh cũng được thiết kế để đồng bộ với máy tính của người sử dụng tạo thuận lợi truy cập và chuyển dữ liệu đến và đi từ điện thoại di động. Đầy đủ hay sao lưu một phần của dữ liệu từ một chiếc điện thoại có thể được tìm thấy trên máy tính của chủ sở hữu điện thoại hoặc máy tính bất kỳ đã được đồng bộ hóa với điện thoại. Những khu vực có khả năng lưu trữ dữ liệu di động cần phải được đánh giá một cách tỉ mỉ và cẩn thận.
– Những yếu tố khác
Điện thoại di động có thể là chứa DNA, dấu vân tay hoặc các bằng chứng sinh học. Việc thu thập DNA và các dấu vết sinh học trên điện thoại nên được thực hiện trước khi kiểm tra điện thoại di động.
3. Giai đoạn chuẩn bị
– Lựa chọn công cụ phù hợp
Các công cụ thích hợp cho việc kiểm tra một thiết bị di động sẽ được xác định bởi các yếu tố như: mục đích kiểm tra, nguồn lực sẵn có, các loại điện thoại di động để được kiểm tra và các thiết bị lưu trữ bên ngoài. Một bảng danh sách, chẳng hạn như ví dụ dưới đây, các công cụ có sẵn cho người giám định, và những gì công nghệ chung của điện thoại (GSM, CDMA, iDEN, thẻ SIM) họ có tương thích với một kiểm tra cũng có thể hữu ích.
Đáng chú ý là không có bất cứ một công cụ nào trên thị trường có khả năng xử lý tất cả các thiết bị điện thoại di động có sẵn và người kiểm tra có nhiều tình huống phải xử lý. Ngược lại có nhiều điện thoại di động trên thị trường chỉ cần làm theo hướng dẫn là có thể thao tác một cách dễ dàng với các công cụ sẵn có. Các công cụ khác nhau trên thị trường thì có khả năng phân tích dữ liệu khác nhau điều này dẫn đến sự đa dạng trong kết quả phân tích. Ngoài ra còn có một số khác biệt trong ngữ nghĩa trong cách dữ liệu khai thác từ điện thoại được xác định từ nhà cung cấp phần. Vì vậy, điều quan trọng là biết làm thế nào để nhà cung cấp phần mềm cung cấp định nghĩa liên quan đến khả năng của một công cụ cụ thể. Các thuật ngữ sau đây thường được sử dụng trong việc trích xuất, phân tích dữ liệu:
+ Object Extraction or Container Extraction:
Các thuật ngữ “Object Extraction” or “Container Extraction” thường đề cập đến việc khai thác một kiểu dữ liệu cụ thể hoặc các loại từ một điện thoại di động như tin nhắn văn bản, lịch sử cuộc gọi, hình ảnh, video, nhạc chuông, lịch, v.v…Một công cụ có thể hỗ trợ việc khai thác một hay nhiều hơn một thiết bị chứa dữ liệu từ bất kỳ cho thực hiện hoặc model của điện thoại. Nó có chức năng khai thác hợp lý trong đó phần mềm được truy cập dữ liệu được lưu trữ trong một khu vực cụ thể của hệ thống tập tin của điện thoại.
+ Logical Extraction or Logical Acquisition (trích xuất vật lý và thu hồi vật lý)
Là thuật ngữ mô tả việc khai thác một các đầy đủ hệ thống tập tin từ thiết bị di động. Nghĩa hẹp hơn đó là việc xác định khả năng có được dữ liệu (tin nhắn văn bản, lịch sử cuộc gọi, hình ảnh, video, nhạc chuông, lịch, vv …) từ điện thoại.
+ File System Extraction (trích xuất tệp tin hệ thống)
Là thuật ngữ dùng để mô tả việc khai thác và trích xuất các tệp tin hệ thống trong và ngoài thẻ nhớ di động của các thiết bị di động.
+ Physical Extraction, Physical Acquisition or Physical Memory Dump: (Trích xuất vật lý, thu hồi vật lý, Dump bộ nhớ):
Các thuật ngữ "Trích xuất vật lý", "thu hồi vật lý" hay "Dump bộ nhớ vật lý" sử dụng để nói tới việc khai thác đầy đủ nội dung của một hoặc nhiều chip nhớ flash hay chip trên điện thoại di động.
+ Device Profile (Hồ sơ thiết bị):
Mô tả việc khả năng thực hiện các chức năng của các thiết bị phân tích hay của các công cụ đi kèm liên quan đến các model điện thoại khác nhau.
+ Cellular Phone Tool Leveling System (Công cụ cân bằng hệ thống điện thoại di động)
Khi xác định các công cụ thích hợp để phân tích các điện thoại di động, một mô hình hữu ích là công cụ cân bằng hệ thống điện thoại di động (Brothers, 2009). Công cụ cân bằng hệ thống được thiết kế để phân loại điện thoại di động và công cụ phân tích GPS dựa trên độ sâu mà họ có khả năng truy cập dữ liệu trên một thiết bị nhất định.
4. Giai đoạn cô lập
Điện thoại di động và các thiết bị di động khác là do thiết kế nhằm mục đích giao tiếp qua mạng di động bằng các giao thức như: Bluetooth, Wifi, hồng ngoại. Vì lý do này, cô lập thiết bị từ các nguồn thông tin liên lạc là quan trọng trước khi kiểm tra. Cô lập của điện thoại ngăn chặn việc bổ sung các dữ liệu mới vào điện thoại thông qua các cuộc gọi đến và tin nhắn văn bản cũng như tiềm năng phá hủy các dữ liệu thông qua truy cập từ xa hoặc xóa sạch từ xa.
Cô lập điện thoại di động là còn đảm bảo tính pháp lý và khách quan của việc phân tích. Cô lập một điện thoại di động có thể được thực hiện thông qua việc sử dụng các túi Faraday hoặc các loại khăn chắn tần số vô tuyến được thiết kế đặc biệt cho mục đích này. Trong một số trường hợp, với một thiết bị phá song phù hợp cũng có thể cô lập điện thoại. Một lựa chọn khác với điện thoại thông minh là đưa điện thoại về chế độ máy bay, điều này sẽ ngăn điện thoại nhận tín hiệu từ bất cứ nguồn nào từ bên ngoài. Ngoài ra, đối với điện thoại di động, cô lập có thể được thực hiện bằng cách tạo ra và sử dụng một SIM ID Clone (còn được gọi là một Forensic SIM Clone). Một Clone SIM ID không phải là một bản sao đầy đủ của SIM Card điện thoại di động, nhưng thay vì tạo một bản sao một thẻ SIM, nhân viên pháp ý số tạo ra thẻ sim chứa ICCID và IMSI từ SIM gốc. Điều này cho phép kiểm tra các nội dung của điện thoại di động mà không cho phép điện thoại để kết nối với hoặc được kết nối bởi các mạng di động xung quanh. Có rất nhiều công cụ thương mại có sẵn để tạo ra SIM bản sao ID bao gồm Cellebrite UFED, XRY / XACT, và Forensic SIM Cloner.
Trong thực tế hiện nay, không phải điện thoại di động nào cũng có chế độ bay hoặc chế độ nào đó tương ứng. Ngày nay, có một số thiết bị phần mềm có khả năng cô lập thiết bị di động nhằm thu thập ngày, giờ và cô lập dữ liệu. Tuy nhiên, việc làm này có thể tạo ra những sai lầm nhất định. Ngay cả khi điện thoại di động đã được cô lập thành công khỏi tất cả các mạng, dữ liệu người dùng vẫn có thể bị ảnh hưởng nếu những chức năng thiết lập tự động có sẵn trong điện thoại hoạt động, chẳng hạn như báo thức hoặc thông báo cuộc hẹn.
5. Giai đoạn xử lý
Khi thiết bị di động được cô lập thành công, nhân viên pháp y số có thể bắt đầu công việc thu thập, phục hồi và phân tích dữ liệu. Công cụ được sử dụng trong việc phân tích đã được đề cập tới trước đó, nhân viên pháp y số có thể chọn công cụ phù hợp với mục đích yêu cầu. Việc kiểm tra thẻ nhớ điện thoai di động nên được kiểm tra riêng biệt, kiểm tra điện thoại di động có thể làm thay đổi các thông tin dữ liệu trên thẻ nhớ. Bất kỳ thẻ lưu trữ dữ liệu nào cũng cần phải được tháo khỏi điện thoại trước khi bắt đầu công việc và cần được xử lý một cách riêng biệt như đối với các thiết bị di động khác. Điều này sẽ giúp chúng ta xác định được các mốc thời gian về thời điểm khởi tạo, thời điểm chỉnh sửa và những thông tin cần thiết khác. Những tình huống đặc biệt có thể xảy ra trong quá trình kiểm tra thẻ nhớ là thẻ nhớ bị khóa, đặt mật khẩu, bị mã hóa không thể bị truy cập nếu không truy cập từ điện thoại. Trong những tình huống này, việc giải mã, phá mật khẩu cần phải được thực hiện một cách đặc biệt cẩn trọng. Cần xem xét đến thứ tự của các phần mềm và các công cụ phần cứng được sử dụng trong việc kiểm tra của điện thoại di động. Việc này sẽ giúp nhà phân tích sẽ nhớ được thứ tự sử dụng phân tích sau đó. Thứ tự sử dụng công cụ còn tùy thuộc vào mục đích của việc kiểm tra. Ví dụ, nếu mục tiêu là để trích xuất thông tin đã bị xóa từ bộ nhớ vật lý của điện thoại, bắt đầu từ việc kiểm tra với một vùng chứa vật lý của bộ nhớ (nếu công cụ này chức năng có sẵn) sẽ có ý nghĩa hơn là việc giải nén tập tin cá nhân hoặc hệ thống tập tin của điện thoại.
6. Giai đoạn xác minh (phân tích)
Sau khi xử lý thiết bị di động, công việc sẽ bước vào giai đoạn xác minh. Đây là điều cần thiết vì không phải phần mềm, công cụ nào cũng đưa ra kết quả đầy đủ và chính xác. Việc xác minh lại có thể thực hiện bằng nhiều cách.
– So sánh giữa dữ liệu trích xuất với dữ liệu trên thiết bị cầm tay
So sánh các trích xuất dữ liệu đến thiết bị cầm tay đơn giản có nghĩa là kiểm tra để đảm bảo các dữ liệu được trích xuất từ thiết bị di động phù hợp với dữ liệu hiển thị bởi các thiết bị chính nó. Đây là cách có thẩm quyền duy nhất để đảm bảo rằng các công cụ báo cáo thông tin điện thoại một cách chính xác.
– Kiểm tra Header
Kiểm tra một cách thủ công dựa vào mã hex và giải mã dữ liệu đảm bảo rằng các kết quả này phù hợp với những gì đang được báo cáo của công cụ. Phương pháp này sử dụng kỹ thuật giám định pháp y số truyền thống để kiểm tra dữ liệu, nhưng đòi hỏi cao hơn về trình độ chuyên môn và kinh nghiệm. Có một lượng lớn định dạng tập tin và các phương pháp mã hóa được sử dụng trong nhiều thiết bị di động là một thách thức khi sử dụng phương pháp này.
– Sử dụng nhiều hơn một công cụ, so sánh kết quả
Một cách khác để đảm bảo tính chính xác của dữ liệu khai thác là sử dụng nhiều hơn một công cụ để trích xuất dữ liệu từ di động điện thoại và qua xác minh các kết quả bằng cách so sánh các dữ liệu báo cáo từ công cụ để công cụ. Nếu có mâu thuẫn, việc giám định nên sử dụng các phương tiện khác để xác minh tính chính xác của việc trích xuất dữ liệu từ điện thoại. Ngay cả khi hai công cụ báo cáo thông tin nhất quán, xác minh qua hướng kiểm tra thiết bị cầm tay vẫn cần được ưu tiên vì có thể xảy ra trường hợp cả hai công cụ trích xuất sai lầm
– Sử dụng các giá trị băm (Hash)
Nếu việc trích xuất dữ liệu được sử dụng bằng phương pháp truyền thống, kỹ thuật viên có thể trích xuất các tập tin hệ thống điện thoại di động và sau đó băm trích xuất các tập tin. Bất kỳ tập tin trích xuất riêng lẻ sau đó có thể được băm và kiểm tra đối với bản gốc để xác minh tính toàn vẹn của tập tin cá nhân. Ngoài ra, kỹ thuật viên có thể trích xuất các tập tin hệ thống của điện thoại di động ban đầu, thực hiện việc kiểm tra, sau đó giải nén tập tin hệ thống của điện thoại lần thứ hai.
Trường hợp bắt buộc can thiệp vào tính toàn vẹn của dữ liệu dẫn đến sai lệch mã hash, cần phải lập biên bản, giải thích chi tiết quá trình can thiệp và đánh giá mức độ tác động vào tính toán vẹn của dữ liệu.
7. Tài liệu báo cáo
Các ghi chép giám định và các tài liệu có thể bao gồm các thông tin như:
8. Giai đoạn trình bày
Các điều tra viên cũng có thể muốn cung cấp tài liệu tham khảo thông tin về nguồn gốc thời gian thông tin, dữ liệu EXIF trích xuất từ hình ảnh hoặc dữ liệu khác để người nhận các dữ liệu có thể tốt hơn để hiểu thông tin. Hình ảnh hoặc video của dữ liệu khi nó tồn tại trên điện thoại di động có thể có ích hay thuyết phục như tang vật. Tin nhắn văn bản trích xuất có thể là bằng chứng, nhưng hình ảnh của các tin nhắn văn bản cùng có thể quen thuộc và trực quan hơn. Nó rất hữu ích để trình bày một loạt các hình ảnh của văn bản tin nhắn và nhật ký cuộc gọi trong thứ tự thời gian thông qua một chương trình như PowerPoint hoặc có chức năng tương tự.
9. Giai đoạn lưu trữ
Qúa trình bảo quản dữ liệu được trích xuất và tài liệu từ điện thoại di động là một phần quan trọng của toàn quá trình. Đó là việc cần thiết để giữ lại dữ liệu cho quá trình điều tra vụ án, sử dụng làm tài liệu tham khảo trong tương lai, và cho các yêu cầu lưu trữ hồ sơ.
KẾT LUẬN
Đối với yêu cầu ngày càng tăng của việc kiểm tra, thu thập, phân
tích dữ liệu trên thiết bị di động nói chung và điện thoại di động nói
riêng, việc phát triển các công cụ, quy trình cho lĩnh vực này là vô
cùng quan trọng. Thông tin chi tiết của việc kiểm tra của mỗi loại thiết
bị có thể khác nhau thì việc áp dụng các quy trình kiểm tra phù hợp sẽ
hỗ trợ cho cơ quan điều tra trong việc đảm bảo các bằng chức trích xuất
từ thiết bị di động được chứng minh rõ ràng và có thể được sử dụng làm
bằng chứng tại toàn án.
Nguồn: https://tathanh.net
– Có rất nhiều loại thiết bị di động thông minh được bán phổ biến trên thị trường, bên cạnh đó còn một số lượng không nhỏ những thiết bị đi động độc quyền với hệ điều hành và các thiết bị ngoại vi khác nhau. Mỗi thiết bị có thể chỉ được hỗ trợ duy nhất bằng các công cụ và phần mềm hoặc có thể không được hỗ trợ. Ngoài ra, còn có một khoảng thời gian trễ khi các thiết bị mới ra đời cần thời gian để hoàn thiện công cụ hỗ trợ.
– Các loại dữ liệu chứa trong thiết bị di động thì luôn luôn gia tăng cùng với thời gian mà người dùng sử dụng thiết bị. Thiết bị di động ngày nay được hiểu đến như một chiếc máy tính có hệ điều hành cá nhân. Dữ liệu không chỉ là tin nhắn, lịch sử cuộc gọi, ghi chú…. mà đó còn là các dữ liệu xuất hiện từ chính việc sử dụng các phần mềm tiện ích. Chính vì vậy kĩ năng tìm kiếm, phân tích kĩ thuật số ngày càng trở nên quan trọng.
– Điện thoại di động và các thiết bị di động khác được thiết kế để giao tiếp với di động và các mạng thông qua nhà mạng, Bluetooth, hồng ngoại và mạng không dây. Để bảo vệ tốt nhất các dữ liệu trên điện thoại, việc cần thiết là phải cô lập điện thoại từ các mạng xung quanh. Điều này không phải lúc nào cũng có thể thực hiện được và các phương pháp cô lập có thể bị thất bại.
– Thiết bị di động sử dụng nhiều bộ phận, có thể tháo rời và có khả năng lưu trữ dữ liệu trực tuyến. Trong nhiều trường hợp, đó là nguyên nhân cần thiết để sử dụng nhiều hơn một công cụ để trích xuất dữ liệu mong muốn từ các thiết bị di động. Trong một số trường hợp, các công cụ được sử dụng để xử lý điện thoại di động có thể báo cáo mâu thuẫn nhau hoặc thông tin sai lệch. Do đó, việc quan trọng là cần xác minh tính chính xác của dữ liệu thu được từ các thiết bị di động.
– Thông tin trên thiết bị di động là vô cùng lớn, tuy nhiên không phải dữ liệu nào cũng là quan trọng cho quá trình điều tra. Vì vậy, việc cần thiết phải có những kĩ năng chọn lọc dữ liệu trong quá trình phân tích dữ liệu là rất quan trọng.
Những yếu tố này dẫn đến yêu cầu tất yêu cần phát triển quy trình cho việc khai thác, trích xuất dữ liệu từ thiết bị di động, Những quy trình này phải được định kỳ xem xét và kiểm tra vì công nghệ luôn luôn thay đổi và phát triển một cách chóng mặt. Sau đây là tổng quan về quá trình xem xét cho khai thác và tài liệu hướng dẫn của dữ liệu từ các thiết bị di động.
QUY TRÌNH TRÍCH XUẤT DỮ LIỆU Ở THIẾT BỊ DI DỘNG
Hình 1: Quy trình trích xuất dữ liệu ở thiết bị di động
1. Giai đoạn tiếp nhận thiết bị
Giai đoạn này tiếp nhận thiết bị để chuẩn bị trích xuất và phân tích dữ liệu. Những thiết bị được tiếp nhận ở giai đoạn này cần phải đảm bảo các yêu cầu về hình thức, biên bản, thông tin về chủ sở hữu, những vụ, việc liên quan đã xảy ra và yêu cầu về mặt thông tin cần xử lý.
Yêu cầu quan trọng trong giai đoạn này là phát triển mục tiêu cụ thể cho từng quá trình kiểm tra, phân tích và thu thập. Điều này không chỉ phục vụ để làm rõ mục tiêu giám định mà còn hỗ trợ trong việc phân loại, báo cáo sau này.
2. Giai đoạn xác định
Đối với mỗi bước kiểm tra của một thiết bị di động, kỹ thuật viên nên xác định các việc sau đây:
- Cơ sở pháp lý để kiểm tra các thiết bị;
- Mục tiêu của việc kiểm tra;
- Xác định thông tin về chủng loại thiết bị;
- Các thiết bị lưu trữ dữ liệu đi kèm thiết bị đi động;
- Các yếu tố khác.
Kỹ thuật viên cần phải xác định rõ thẩm quyền của mình cho việc tìm kiếm dữ liệu trên thiết bị. Trước khi làm bất cứ thao tác nào với thiết bị di động được yêu cầu kiểm tra, cần phải xem xét cẩn trọng các văn bản quy phạm pháp luật để đảm bảo thực hiện đúng trình tự tố tụng.
– Mục tiêu của kiểm tra:
Quá trình kiểm tra các thiết bị di động cần phù hợp với từng loại, mục tiêu của quá trình kiểm tra có thể khác nhau. Không phải phòng kiểm tra thiết bị di động nào cũng có đầy đủ các thiết bị và công cụ phương tiện để kiểm tra các dữ liệu và thu thập đầy đủ các chứng cứ. Vì lý do này, mục tiêu của việc kiểm tra sẽ xác định mức độ kiểm tra nào là thích hợp cho bất kỳ cho điện thoại di động.
Mục tiêu của những lần kiểm tra dữ liệu là khôi phục những dữ liệu đã bị xóa khỏi bộ nhớ điện thoại. Điều này có thể thực hiện được nếu sử dụng những một công cụ có sẵn để trích xuất dữ liệu. Một công cụ tốt có sẽ có thể phân tích, khôi phục dữ liệu, giải mã hex, kiểm tra cơ sử dữ liệu SQL; Tuy nhiên, với mức độ kiểm tra chuyên sâu thì việc làm này sẽ tốn rất nhiều thời gian đòi hỏi mức độ kĩ thuật chuyên môn cao.
Bằng những công cụ và kĩ thuật khác nhau, quá trình phân tích sẽ tạo nên sự khác biệt đáng kể khi kiểm tra các thiết bị di động. Việc xác định trước mục tiêu của những lần kiểm tra sẽ làm tăng năng hiệu quả của quá trình này. Những vấn đề thực tiễn nên được đề cập cụ thể trong quá trình kiểm tra này và việc xác định, phân loại quá trình kiểm tra cần dựa trên hoàn cảnh thực tiễn và yêu cầu thực tiễn đặt ra.
– Xác định thông tin, loại thiết bị di động
Tuỳ thuộc vào công nghệ di động khác nhau, có một số loại thiết bị di động như:
+ Điện thoại di động CDMA:
Số seri điện tử (ESN) được viết ở dưới cục pin của điện thoại di động. Đây là một dãy số 32 bit duy nhất được gán cho mỗi điện thoại di động trên mạng. ESN có thể được liệt kê trong số thập phân (10 chữ số) hoặc hệ thập lục phân (16 chữ số). Người kiểm tra phải nhận thức được đâu và dãy số thập phân, đâu là dãy số thập lục phân.
Mã số các thiết bị di động (MEID) cũng tìm thấy dưới nắp pin, là một số 56 bit được thay thế ESN do số lượng hạn chế của 32 bit của ESN. Các MEID được liệt kê trong mã hex, nơi mà các byte đầu tiên là mã khu vực, ba byte tiếp theo là mã số nhà sản xuất, và còn lại ba byte là mã số xuất xưởng.
Điện thoại CDMA thường không chứa một Subscriber Identity Module (SIM), nhưng một số điện thoại mới lại có cả CDMA và GSM và có thể được sử dụng trên cả mạng CDMA hay mạng GSM. Bên trong các điện thoại này thường có một khe cắm thẻ SIM nằm dưới pin. Xác định thông tin dưới pin của các điện thoại này có thể liệt kê một số IMEI ngoài các số ESN / MEID.
Điện thoại CDMA còn có 2 đặc điểm nhận dạng khác, cụ thể là Mobile Identification Number (MIN) và Mobile Directory Number (MDN). MIN là số của một nhà mạng cấp phát cho điện thoại, số này là một dãy 24 bit (10 số) là số điện thoại. Khi một cuộc gọi được thiết lập, điện thoại sẽ gửi ESN và MIN cho nhà mạng cung cấp. MDN là số điện thoại toàn cầu duy nhất của điện thoại. Hiện nay mã Min và MDN có thể coi như nhau và được giữ nguyên kể cả khi khách hàng thay đổi nhà mạng.
+ Điện thoại di động GSM
(IMEI) là một dãy số 15 chữ số duy nhất mà nhà mạng dùng để xác định một thiết bị di động GSM trên mạng lưới của mình. Con số này là thường tìm thấy dưới pin của điện thoại di động. 8 chữ số đầu tiên là một loại phân bổ mã (TAC), 6 chữ số tiếp theo là các thiết bị số sêri (DSN). Các con số cuối cùng là số kiểm tra, thường được thiết lập là 0. Trên một điện thoại GSM, sẽ có ít nhất một Identity Module (SIM) khe cắm thẻ nhớ cũng là thường nằm dưới pin. Thẻ Sim mang những đặc điểm của từng nhà mạng, với mỗi thẻ sim có một dãy con số (ICCID),đó là một từ 18 đến 20 chữ số (10 byte) xác định duy nhất mỗi thẻ SIM. Số ICCID được gắn với các thuê bao di động quốc tế Identity (IMSI) thường là một số 15 chữ số(56 bit) bao gồm ba phần là mã di động quốc gia (MCC, 3 chữ số), mã mạng di động (MNC, 3 chữ số ở Mỹ và Canada, và 2 chữ số ở nơi khác), và mã số cuả từng thuê bao do nhà mạng cấp (MSIN; 9 chữ số ở Mỹ và Canada, và 10 hoặc 11 chữ số nơi khác) được lưu trữ điện tử trong SIM. IMSI có thể được thu được thông qua phân tích SIM hoặc thông qua nhà mạng.
+ Điện thoại di động iDen.
Mặc dù ít phổ biến trong những năm gần đây, điện thoại iDEN đem lại khả năng cho phép người dùng giao tiếp trực tiếp cho một hoặc nhiều điện thoại iDEN khác bằng vô tuyến. Điện thoại di động iDEN bao gồm một điện thoại di động quốc tế. Thiết bị nhận dạng (IMEI) xác định một điện thoại di động iDEN trong mạng của mình. Con số này là thường được tìm thấy dưới pin của di động điện thoại. Điện thoại di động iDEN cũng chứa thẻ SIM, với các thông tin nhận dạng mô tả ở trên dù chúng được dựa trên công nghệ khác nhau so với thẻ SIM GSM và không tương thích với điện thoại di động GSM. Sự độc đáo của điện thoại di động iDEN là kết nối trực tiếp với số (DCN) mà còn được gọi là MOTOTalk ID, ID radio cá nhân hoặc số iDEN. Các DCN là số được sử dụng để xác định giao tiếp trực tiếp thiết bị đến thiết bị khác với điện thoại di động iDEN. Con số này gồm có một dãy số định dạng như ### * ### * ##### nơi ba chữ số đầu là ID trong khu vực (khu vực hãng của nhà mạng), ba chữ số tiếp theo là ID mạng (mạng iDEN cụ thể) và cuối cùng năm chữ số là một số nhận dạng thuê bao đôi lúc tương ứng với 5 số cuối của số điện thoại di động.
– Thiết bị lưu trữ dữ liệu gắn ngoài:
Nhiều điện thoại di động hiện nay trên thị trường bao gồm các khả năng lưu trữ dữ liệu cho một thiết bị lưu trữ ngoài ví dụ như một thẻ mở rộng bộ nhớ (Micro SD). Trong trường hợp một thẻ nhớ được cài đặt trong điện thoại di động có nghĩa là nó cũng phải nộp để kiểm tra. Thẻ nhớ nên tháo bỏ bởi kỹ thuật viên và xử lý bằng kỹ thuật truyền thống như giám định kỹ thuật. Việc xử lý thẻ nhớ điện thoại di động gắn ngoài khác với phần dữ liệu trong thiết bị di động có thể dẫn đến việc thay đổi ngày và thời gian đóng dấu dữ liệu cho các tập tin nằm trên các thẻ dữ liệu.
Ngoài ra, hiện nay các thiết bị di động có thể lưu trữ dữ liệu trên các dịch vụ internet ví dụ như tài khoản iCloud cho các thiết bị iOS hoặc tài khoản Google với các thiết bị Android. Việc kiểm tra các dữ liệu này có thể dẫn đến các yêu cầu pháp lý phức tạp so với việc kiểm tra trên điện thoại di động. Tuy nhiên việc kiểm tra này nên được thực hiện bằng việc sử dụng tài khoản của chính quản trị viên. Nhiều điện thoại có tích hợp chức năng riêng và điện thoại thông minh cũng được thiết kế để đồng bộ với máy tính của người sử dụng tạo thuận lợi truy cập và chuyển dữ liệu đến và đi từ điện thoại di động. Đầy đủ hay sao lưu một phần của dữ liệu từ một chiếc điện thoại có thể được tìm thấy trên máy tính của chủ sở hữu điện thoại hoặc máy tính bất kỳ đã được đồng bộ hóa với điện thoại. Những khu vực có khả năng lưu trữ dữ liệu di động cần phải được đánh giá một cách tỉ mỉ và cẩn thận.
– Những yếu tố khác
Điện thoại di động có thể là chứa DNA, dấu vân tay hoặc các bằng chứng sinh học. Việc thu thập DNA và các dấu vết sinh học trên điện thoại nên được thực hiện trước khi kiểm tra điện thoại di động.
3. Giai đoạn chuẩn bị
– Lựa chọn công cụ phù hợp
Các công cụ thích hợp cho việc kiểm tra một thiết bị di động sẽ được xác định bởi các yếu tố như: mục đích kiểm tra, nguồn lực sẵn có, các loại điện thoại di động để được kiểm tra và các thiết bị lưu trữ bên ngoài. Một bảng danh sách, chẳng hạn như ví dụ dưới đây, các công cụ có sẵn cho người giám định, và những gì công nghệ chung của điện thoại (GSM, CDMA, iDEN, thẻ SIM) họ có tương thích với một kiểm tra cũng có thể hữu ích.
Hình 3: Danh sách các công cụ
– Khả năng của các công cụ:
Đáng chú ý là không có bất cứ một công cụ nào trên thị trường có khả năng xử lý tất cả các thiết bị điện thoại di động có sẵn và người kiểm tra có nhiều tình huống phải xử lý. Ngược lại có nhiều điện thoại di động trên thị trường chỉ cần làm theo hướng dẫn là có thể thao tác một cách dễ dàng với các công cụ sẵn có. Các công cụ khác nhau trên thị trường thì có khả năng phân tích dữ liệu khác nhau điều này dẫn đến sự đa dạng trong kết quả phân tích. Ngoài ra còn có một số khác biệt trong ngữ nghĩa trong cách dữ liệu khai thác từ điện thoại được xác định từ nhà cung cấp phần. Vì vậy, điều quan trọng là biết làm thế nào để nhà cung cấp phần mềm cung cấp định nghĩa liên quan đến khả năng của một công cụ cụ thể. Các thuật ngữ sau đây thường được sử dụng trong việc trích xuất, phân tích dữ liệu:
+ Object Extraction or Container Extraction:
Các thuật ngữ “Object Extraction” or “Container Extraction” thường đề cập đến việc khai thác một kiểu dữ liệu cụ thể hoặc các loại từ một điện thoại di động như tin nhắn văn bản, lịch sử cuộc gọi, hình ảnh, video, nhạc chuông, lịch, v.v…Một công cụ có thể hỗ trợ việc khai thác một hay nhiều hơn một thiết bị chứa dữ liệu từ bất kỳ cho thực hiện hoặc model của điện thoại. Nó có chức năng khai thác hợp lý trong đó phần mềm được truy cập dữ liệu được lưu trữ trong một khu vực cụ thể của hệ thống tập tin của điện thoại.
+ Logical Extraction or Logical Acquisition (trích xuất vật lý và thu hồi vật lý)
Là thuật ngữ mô tả việc khai thác một các đầy đủ hệ thống tập tin từ thiết bị di động. Nghĩa hẹp hơn đó là việc xác định khả năng có được dữ liệu (tin nhắn văn bản, lịch sử cuộc gọi, hình ảnh, video, nhạc chuông, lịch, vv …) từ điện thoại.
+ File System Extraction (trích xuất tệp tin hệ thống)
Là thuật ngữ dùng để mô tả việc khai thác và trích xuất các tệp tin hệ thống trong và ngoài thẻ nhớ di động của các thiết bị di động.
+ Physical Extraction, Physical Acquisition or Physical Memory Dump: (Trích xuất vật lý, thu hồi vật lý, Dump bộ nhớ):
Các thuật ngữ "Trích xuất vật lý", "thu hồi vật lý" hay "Dump bộ nhớ vật lý" sử dụng để nói tới việc khai thác đầy đủ nội dung của một hoặc nhiều chip nhớ flash hay chip trên điện thoại di động.
+ Device Profile (Hồ sơ thiết bị):
Mô tả việc khả năng thực hiện các chức năng của các thiết bị phân tích hay của các công cụ đi kèm liên quan đến các model điện thoại khác nhau.
+ Cellular Phone Tool Leveling System (Công cụ cân bằng hệ thống điện thoại di động)
Khi xác định các công cụ thích hợp để phân tích các điện thoại di động, một mô hình hữu ích là công cụ cân bằng hệ thống điện thoại di động (Brothers, 2009). Công cụ cân bằng hệ thống được thiết kế để phân loại điện thoại di động và công cụ phân tích GPS dựa trên độ sâu mà họ có khả năng truy cập dữ liệu trên một thiết bị nhất định.
4. Giai đoạn cô lập
Điện thoại di động và các thiết bị di động khác là do thiết kế nhằm mục đích giao tiếp qua mạng di động bằng các giao thức như: Bluetooth, Wifi, hồng ngoại. Vì lý do này, cô lập thiết bị từ các nguồn thông tin liên lạc là quan trọng trước khi kiểm tra. Cô lập của điện thoại ngăn chặn việc bổ sung các dữ liệu mới vào điện thoại thông qua các cuộc gọi đến và tin nhắn văn bản cũng như tiềm năng phá hủy các dữ liệu thông qua truy cập từ xa hoặc xóa sạch từ xa.
Cô lập điện thoại di động là còn đảm bảo tính pháp lý và khách quan của việc phân tích. Cô lập một điện thoại di động có thể được thực hiện thông qua việc sử dụng các túi Faraday hoặc các loại khăn chắn tần số vô tuyến được thiết kế đặc biệt cho mục đích này. Trong một số trường hợp, với một thiết bị phá song phù hợp cũng có thể cô lập điện thoại. Một lựa chọn khác với điện thoại thông minh là đưa điện thoại về chế độ máy bay, điều này sẽ ngăn điện thoại nhận tín hiệu từ bất cứ nguồn nào từ bên ngoài. Ngoài ra, đối với điện thoại di động, cô lập có thể được thực hiện bằng cách tạo ra và sử dụng một SIM ID Clone (còn được gọi là một Forensic SIM Clone). Một Clone SIM ID không phải là một bản sao đầy đủ của SIM Card điện thoại di động, nhưng thay vì tạo một bản sao một thẻ SIM, nhân viên pháp ý số tạo ra thẻ sim chứa ICCID và IMSI từ SIM gốc. Điều này cho phép kiểm tra các nội dung của điện thoại di động mà không cho phép điện thoại để kết nối với hoặc được kết nối bởi các mạng di động xung quanh. Có rất nhiều công cụ thương mại có sẵn để tạo ra SIM bản sao ID bao gồm Cellebrite UFED, XRY / XACT, và Forensic SIM Cloner.
Trong thực tế hiện nay, không phải điện thoại di động nào cũng có chế độ bay hoặc chế độ nào đó tương ứng. Ngày nay, có một số thiết bị phần mềm có khả năng cô lập thiết bị di động nhằm thu thập ngày, giờ và cô lập dữ liệu. Tuy nhiên, việc làm này có thể tạo ra những sai lầm nhất định. Ngay cả khi điện thoại di động đã được cô lập thành công khỏi tất cả các mạng, dữ liệu người dùng vẫn có thể bị ảnh hưởng nếu những chức năng thiết lập tự động có sẵn trong điện thoại hoạt động, chẳng hạn như báo thức hoặc thông báo cuộc hẹn.
5. Giai đoạn xử lý
Khi thiết bị di động được cô lập thành công, nhân viên pháp y số có thể bắt đầu công việc thu thập, phục hồi và phân tích dữ liệu. Công cụ được sử dụng trong việc phân tích đã được đề cập tới trước đó, nhân viên pháp y số có thể chọn công cụ phù hợp với mục đích yêu cầu. Việc kiểm tra thẻ nhớ điện thoai di động nên được kiểm tra riêng biệt, kiểm tra điện thoại di động có thể làm thay đổi các thông tin dữ liệu trên thẻ nhớ. Bất kỳ thẻ lưu trữ dữ liệu nào cũng cần phải được tháo khỏi điện thoại trước khi bắt đầu công việc và cần được xử lý một cách riêng biệt như đối với các thiết bị di động khác. Điều này sẽ giúp chúng ta xác định được các mốc thời gian về thời điểm khởi tạo, thời điểm chỉnh sửa và những thông tin cần thiết khác. Những tình huống đặc biệt có thể xảy ra trong quá trình kiểm tra thẻ nhớ là thẻ nhớ bị khóa, đặt mật khẩu, bị mã hóa không thể bị truy cập nếu không truy cập từ điện thoại. Trong những tình huống này, việc giải mã, phá mật khẩu cần phải được thực hiện một cách đặc biệt cẩn trọng. Cần xem xét đến thứ tự của các phần mềm và các công cụ phần cứng được sử dụng trong việc kiểm tra của điện thoại di động. Việc này sẽ giúp nhà phân tích sẽ nhớ được thứ tự sử dụng phân tích sau đó. Thứ tự sử dụng công cụ còn tùy thuộc vào mục đích của việc kiểm tra. Ví dụ, nếu mục tiêu là để trích xuất thông tin đã bị xóa từ bộ nhớ vật lý của điện thoại, bắt đầu từ việc kiểm tra với một vùng chứa vật lý của bộ nhớ (nếu công cụ này chức năng có sẵn) sẽ có ý nghĩa hơn là việc giải nén tập tin cá nhân hoặc hệ thống tập tin của điện thoại.
6. Giai đoạn xác minh (phân tích)
Sau khi xử lý thiết bị di động, công việc sẽ bước vào giai đoạn xác minh. Đây là điều cần thiết vì không phải phần mềm, công cụ nào cũng đưa ra kết quả đầy đủ và chính xác. Việc xác minh lại có thể thực hiện bằng nhiều cách.
– So sánh giữa dữ liệu trích xuất với dữ liệu trên thiết bị cầm tay
So sánh các trích xuất dữ liệu đến thiết bị cầm tay đơn giản có nghĩa là kiểm tra để đảm bảo các dữ liệu được trích xuất từ thiết bị di động phù hợp với dữ liệu hiển thị bởi các thiết bị chính nó. Đây là cách có thẩm quyền duy nhất để đảm bảo rằng các công cụ báo cáo thông tin điện thoại một cách chính xác.
– Kiểm tra Header
Kiểm tra một cách thủ công dựa vào mã hex và giải mã dữ liệu đảm bảo rằng các kết quả này phù hợp với những gì đang được báo cáo của công cụ. Phương pháp này sử dụng kỹ thuật giám định pháp y số truyền thống để kiểm tra dữ liệu, nhưng đòi hỏi cao hơn về trình độ chuyên môn và kinh nghiệm. Có một lượng lớn định dạng tập tin và các phương pháp mã hóa được sử dụng trong nhiều thiết bị di động là một thách thức khi sử dụng phương pháp này.
– Sử dụng nhiều hơn một công cụ, so sánh kết quả
Một cách khác để đảm bảo tính chính xác của dữ liệu khai thác là sử dụng nhiều hơn một công cụ để trích xuất dữ liệu từ di động điện thoại và qua xác minh các kết quả bằng cách so sánh các dữ liệu báo cáo từ công cụ để công cụ. Nếu có mâu thuẫn, việc giám định nên sử dụng các phương tiện khác để xác minh tính chính xác của việc trích xuất dữ liệu từ điện thoại. Ngay cả khi hai công cụ báo cáo thông tin nhất quán, xác minh qua hướng kiểm tra thiết bị cầm tay vẫn cần được ưu tiên vì có thể xảy ra trường hợp cả hai công cụ trích xuất sai lầm
– Sử dụng các giá trị băm (Hash)
Nếu việc trích xuất dữ liệu được sử dụng bằng phương pháp truyền thống, kỹ thuật viên có thể trích xuất các tập tin hệ thống điện thoại di động và sau đó băm trích xuất các tập tin. Bất kỳ tập tin trích xuất riêng lẻ sau đó có thể được băm và kiểm tra đối với bản gốc để xác minh tính toàn vẹn của tập tin cá nhân. Ngoài ra, kỹ thuật viên có thể trích xuất các tập tin hệ thống của điện thoại di động ban đầu, thực hiện việc kiểm tra, sau đó giải nén tập tin hệ thống của điện thoại lần thứ hai.
Trường hợp bắt buộc can thiệp vào tính toàn vẹn của dữ liệu dẫn đến sai lệch mã hash, cần phải lập biên bản, giải thích chi tiết quá trình can thiệp và đánh giá mức độ tác động vào tính toán vẹn của dữ liệu.
7. Tài liệu báo cáo
Các ghi chép giám định và các tài liệu có thể bao gồm các thông tin như:
- Ngày và thời gian kiểm tra được bắt đầu
- Điều kiện vật lý của điện thoại
- Hình ảnh của điện thoại và linh kiện riêng (ví dụ, thẻ SIM và thẻ nhớ mở rộng) và nhãn với thông tin nhận dạng
- Tình trạng của điện thoại khi nhận được (tắt, bật, còn hoạt động hay không)
- Mẫu, và thông tin nhận dạng
- Công cụ được sử dụng trong thời gian kiểm tra
- Dữ liệu gì được ghi trong kiểm tra
8. Giai đoạn trình bày
Các điều tra viên cũng có thể muốn cung cấp tài liệu tham khảo thông tin về nguồn gốc thời gian thông tin, dữ liệu EXIF trích xuất từ hình ảnh hoặc dữ liệu khác để người nhận các dữ liệu có thể tốt hơn để hiểu thông tin. Hình ảnh hoặc video của dữ liệu khi nó tồn tại trên điện thoại di động có thể có ích hay thuyết phục như tang vật. Tin nhắn văn bản trích xuất có thể là bằng chứng, nhưng hình ảnh của các tin nhắn văn bản cùng có thể quen thuộc và trực quan hơn. Nó rất hữu ích để trình bày một loạt các hình ảnh của văn bản tin nhắn và nhật ký cuộc gọi trong thứ tự thời gian thông qua một chương trình như PowerPoint hoặc có chức năng tương tự.
9. Giai đoạn lưu trữ
Qúa trình bảo quản dữ liệu được trích xuất và tài liệu từ điện thoại di động là một phần quan trọng của toàn quá trình. Đó là việc cần thiết để giữ lại dữ liệu cho quá trình điều tra vụ án, sử dụng làm tài liệu tham khảo trong tương lai, và cho các yêu cầu lưu trữ hồ sơ.
KẾT LUẬN
Đối với yêu cầu ngày càng tăng của việc kiểm tra, thu thập, phân
tích dữ liệu trên thiết bị di động nói chung và điện thoại di động nói
riêng, việc phát triển các công cụ, quy trình cho lĩnh vực này là vô
cùng quan trọng. Thông tin chi tiết của việc kiểm tra của mỗi loại thiết
bị có thể khác nhau thì việc áp dụng các quy trình kiểm tra phù hợp sẽ
hỗ trợ cho cơ quan điều tra trong việc đảm bảo các bằng chức trích xuất
từ thiết bị di động được chứng minh rõ ràng và có thể được sử dụng làm
bằng chứng tại toàn án.Nguồn: https://tathanh.net
Comments
Post a Comment
Để lại góp ý của bạn để blog của mình hoàn thiện hơn :))