1
Tổng quan
1.1
Điều tra số
1.1.1 Điều tra số là gì?
Điều tra số (hay
Khoa học điều tra số, Pháp y kĩ thuật số, Pháp chứng kĩ thuật số, digital
forensics) là một nhánh của ngành Khoa học điều tra, tập trung vào việc:
– Phục hồi
– Điều tra
– Kiểm tra
– Và phân tích các
thông tin, dữ liệu trong hệ thống các thiết bị số
Để đưa ra các suy
luận hợp lý, nhằm tìm ra nguyên nhân, giải thích các hiện tượng, củng cố cho
các kết luận.
Cụ thể hơn, điều
tra số giúp chúng ta:
– Xác định được
nguyên nhân của một sự cố trong hệ thống
– Phát hiện mã độc
trên hệ thống
– Phát hiện sự bất
thường trong hệ thống
– Phát hiện sự
xâm nhập vào hệ thống
– Ngăn ngừa các sự
cố
Áp dụng nguyên tắc
trao đổi Locard (do chuyên gia pháp y Edmon Locard đưa ra) vào lĩnh vực điều
tra số: Khi bạn làm việc với máy tính hay một hệ thống thông tin, tất cả hành động
của bạn đều được ghi vết lại.
Hệ thống các thiết
bị số gồm:
– Máy tính
– Thiết bị mạng
– Thiết bị di động
– Thiết bị lưu trữ
dữ liệu
– Các thiết bị số
khác
Các bước thực hiện điều tra
số
Một cuộc điều tra
số thường gồm 4 giai đoạn: chuẩn bị, tiếp nhận dữ liệu, phân tích và lập báo
cáo. Xem hình minh họa.
– Chuẩn bị: mô tả
thông tin hệ thống; ghi nhận sự kiện, dấu hiệu đã xảy ra; xác định phạm vi,
công cụ, phương pháp và mục tiêu của cuộc điều tra.
– Tiếp nhận dữ liệu: tạo bản sao dữ liệu
– Phân tích:
sử dụng công cụ, quy trình, các phương pháp để trích xuất, thu thập, và phân
tích thông tin
– Lập báo cáo:
đưa ra kết luận, lập luận, dựa trên các kết quả của quá trình phân tích.
1.1.2 Nghề điều tra số
Để có thể làm việc
trong lĩnh vực điều tra số, chúng ta cần có những hiểu biết về hoạt động của:
– Máy tính
– Thiết bị mạng
– Thiết bị di động
– Thiết bị lưu trữ
dữ liệu
– Công nghệ mạng
– Công nghệ lưu
trữ
– Hệ thống phần mềm
Một số việc cụ thể:
– Phục hồi dữ liệu
đã bị xóa, bị hủy trên các thiết bị lưu trữ
– Phân tích hệ thống
quản lý tập tin của các họ hệ điều hành Windows, Unix, Linux, Android. Ví dụ:
FAT32, NTFS, ext2, ext3.
– Phân tích dữ liệu
trên các ứng dụng, tập tin nhật ký (log), tập tin cấu hình; dịch ngược ứng
dụng
– Phân tích gói
tin trên mạng, thống kê để tìm ra sự bất thường
– Kết xuất (dump
RAM) và phân tích bộ nhớ chính
Ngoài kiến thức,
kĩ năng công nghệ; một người làm về Điều tra số cần thêm các kĩ năng sau:
– Suy nghĩ logic,
dựa trên bằng chứng
– Xâu chuỗi, kết
nối các sự kiện, khái niệm
– Viết, trình
bày, truyền thông
1.1.3 Làm việc ở đâu?
Nếu bạn có kiến
thức và kĩ năng về Điều tra số, bạn có thể làm việc trong các lĩnh vực, tổ chức
sau:
– An ninh, quân đội, tòa án
– Tư vấn, luật, ngân hàng, phóng viên
– Tổ chức phi chính phủ, tập đoàn lớn
– Kĩ thuật viên máy tính, quản trị hệ thống mạng
1.1.4 Tài liệu, tài nguyên
Sách
– Operating system concepts (http://library.lol/main/7312960D0FB110104EA01347F30CC98A)
– Linux Leo Beginner’s Guide (https://www.linuxleo.com/)
– Learn Computer Forensics (http://libgen.rs/book/index.php?md5=3904FC8073496869C074A8E5A514FD82)
Ngôn ngữ lập trình nên biết (không bắt buộc)
– Linux bash
– Python/HTML, CSS, JS
Tài nguyên khác
– Tìm kiếm theo từ khóa “Digital Forensics Challenge” để học
thêm
– Tham gia các nhóm làm nghề, các diễn đàn liên quan
– Học từ các khóa học online
1.1.5 Xem và đọc thêm
– [1] https://en.wikipedia.org/wiki/Digital_forensics
– [2] Introduction to Digital Forensics : https://www.youtube.com/watch?v=giv0DQDSsjQ&list=PLJu2iQtpGvv-2LtysuTTka7dHt9GKUbxD
– [3] Lộ trình theo nghề Digital Forensics: https://www.forensicnotes.com/how-to-become-a-digital-forensics-professional/
– [4] https://giaiphapmangh3t.com/dieu-tra-so-la-gi/
– [5] https://m.antoanthongtin.vn/gp-attm/dieu-tra-so-hanh-trinh-truy-tim-dau-vet-101016
1.1.6 Bài tập và thực hành
Bài tập 1. Đọc phần mục lục của 3 cuốn ebook: Operating
system concepts, Linux Leo Beginner’s Guide, Learn Computer Forensics; liệt kê
các chủ đề cần học để làm Điều tra số (theo bảng sau):
|
STT |
Tên chủ đề tiếng Anh |
Dịch ra tiếng Việt (nếu được) |
|
Operating system concepts |
||
|
1 |
|
|
|
2 |
|
|
|
Linux Leo
Beginner’s Guide |
||
|
1 |
|
|
|
2 |
|
|
|
Learn Computer
Forensics |
||
|
1 |
|
|
|
2 |
|
|
|
… |
|
|
Bài tập 2. Tìm kiếm và tham gia ít nhất 2 diễn đàn (nhóm)
liên quan đến Điều tra số.
1.1.7 Câu hỏi ôn tập
Câu 1. Các công
việc chính của Điều tra số trên các hệ thống số gồm:
A. Lập trình, điều
tra, kiểm tra, phân tích
B. Phục hồi, điều
tra, kiểm tra, phân tích
C. Phục hồi, kiểm
thử chương trình, phân tích, điều tra
D. Triển khai phần
mềm, phục hồi, điều tra, phân tích
Câu 2. Các thiết
bị số được quan tâm trong Điều tra số gồm:
A. Điện thoại,
tivi, máy tính, phần mềm
B. Camera, điện
thoại, thiết bị mạng, hệ điều hành
C. Đồng hồ thông
minh, máy tính, điện thoại, trình duyệt
D. Máy tính, thiết bị mạng, điện thoại
Câu 3. Thứ tự các bước của một cuộc điều tra số:
A. tiếp nhận dữ liệu, chuẩn bị, phân tích và lập báo cáo
B. phân tích, chuẩn bị, tiếp nhận dữ liệu, và lập báo cáo
C. chuẩn bị, tiếp nhận dữ liệu, phân tích và lập báo cáo
D. lập báo cáo, chuẩn bị, tiếp nhận dữ liệu, và phân tích
-----
[Gợi ý làm bài tập]
Bài tập 1. Đọc phần mục lục của 3 cuốn ebook: Operating system
concepts, Linux Leo Beginner’s Guide, Learn Computer Forensics; liệt kê các chủ
đề cần học để làm Điều tra số (theo bảng sau):
|
STT |
Tên chủ đề tiếng Anh |
Dịch ra tiếng Việt (nếu được) |
|
Operating system concepts |
||
|
1 |
Overview |
Tổng quan về Hệ
điều hành |
|
2 |
Process
management |
Quản lý tiến
trình |
|
3 |
Process
synchronization |
Đồng bộ tiến
trình |
|
4 |
Memory
management |
Quản lý bộ nhớ |
|
5 |
Storage
management |
Quản lý lưu trữ |
|
6 |
File system |
Hệ thống tập
tin |
|
7 |
Security and
protection |
Bảo vệ và bảo mật |
|
8 |
Virtual machine |
Máy ảo |
|
9 |
Networks and
distributed systems |
Mạng và hệ thống
phân tán |
|
10 |
Linux and
Windows |
Hệ điều hành Linux, Windows |
|
Linux Leo
Beginner’s Guide |
||
|
1 |
Installation |
Cài đặt |
|
2 |
Disks, partitions, and the file system |
Đĩa, phân vùng, hệ thống tập tin |
|
3 |
Basic linux commands |
Tập lệnh cơ bản của Linux |
|
4 |
Editing with Vi |
Sử dụng Vi |
|
5 |
The linux boot sequence |
Quá trình khởi động của Linux |
|
6 |
Linux network basics |
Làm việc với hệ thống mạng trên Linux |
|
7 |
Configuring a forensic workstation |
Cấu hình máy làm điều tra số |
|
8 |
Linux and evidence handling |
Xử lý bằng chứng (chứng cớ) |
|
9 |
Basic Analysis |
Phân tích cơ bản |
|
10 |
Advanced (beginner) forensics |
Điều tra chuyên sâu |
|
11 |
Advanced analysis tools |
Các công cụ phân tích chuyên sâu |
|
12 |
Basic network investigation tools |
Các công cụ điều tra mạng |
|
Learn Computer
Forensics |
||
|
1 |
Types of computer-based investigations |
Các loại điều tra trên máy tính |
|
2 |
The forensic analysis process |
Quá trình phân tích |
|
3 |
Acquisition of evidence |
Thu thập chứng cớ |
|
4 |
Computer systems |
Hệ thống máy tính |
|
5 |
Computer investigation process |
Quy trình điều tra trên máy tính |
|
6 |
Windows artifact analysis |
Phân tích hiện vật trên Windows |
|
7 |
RAM memory forensic analysis |
Điều tra bộ nhớ RAM |
|
8 |
Email forensics |
Điều tra email |
|
9 |
Internet artifacts |
Hiện vật trên Internet |
|
10 |
Reporting |
Lập báo cáo |
Bài tập 2. Tìm kiếm và tham gia ít nhất 2 diễn đàn (nhóm)
liên quan đến Điều tra số.
1. Trung
tâm Giám sát an toàn không gian mạng quốc gia (NCSC) https://www.facebook.com/govSOC
2. https://www.bleepingcomputer.com/
-----
Cập nhật: 7/9/2023