L06 Sự hiểu biết về hệ thống lưu trữ

Các hệ thống lưu trữ như là Mảng dự phòng của 1 đĩa đơn (RAID) và
chỉ 1 nhóm ổ đĩa (JBOD) kết nối nhiều ổ cứng (HDD) nhằm tăng dung
lượng lưu trữ của hệ thống.
Phần này giải thích các loại cấp độ lưu trữ RAID khác nhau, cũng như
JBOD. Vùng lưu trữ mạng (SAN) và thiết bị lưu trữ gắn mạng (NAS).

RAID storage
system

RAID

storage

Sy
st
e
m

RAID storage system

Mảng lưu trữ đĩa đơn (RAID) là một công nghệ đồng thời sử dụng đồng
thời nhiều đĩa nhỏ, với chức năng như là một khối lớn duy nhất.
RAID cung cấp phương thức truy cập 1 hay nhiều đĩa cứng riêng biệt,
bằng cách giảm nguy cơ mất tất cả dữ liệu nếu như ổ cứng bị lỗi hoặc là
dễ bị hỏng. Hơn nữa, RAID giúp nâng cao thời gian truy cập.
Công nghệ RAID hỗ trợ nhưng việc sau:
 Duy trì một lượng lớn dung lượng lưu trữ
 Đạt hiệu suất cao đầu ra / đầu vào
 Đạt độ tin cậy cao thông qua dữ liệu dự phòng
Ý tưởng cơ bản của RAID hệ thống lưu trữ là nhóm nhiều đĩa cứng nhỏ
và rẻ tiền trong một mảng đĩa cứng cung cấp hiệu suất cao hơn là một
đĩa cứng lớn độc lập.RAID hệ thống lưu trữ là một tập hợp các đĩa cứng
hoạt động như một đĩa có dung lượng lớn chuyển tới người dùng. Lợi
ích chính của RAID hệ thống lưu trữ nếu bất cứ một đĩa nào trong RAID
bị lỗi hoặc dễ hỏng, thì hệ thống vẫn tiếp tục hoạt động và không bị mất
dữ liệu. Điều này là khả thi bởi dữ liệu của mỗi đĩa cứng được lưu trữ
trên đia khác nhau trong cùng một mảng.
Hệ thống RAID cho phép trùy cập đồng thời nhiều thư mục khác nhau
trên nhiều đĩa cứng khác nhau, giảm thời yêu cầu tìm dữ liệu trên 1 đĩa
cứng. Hệ thống RAID có tỉ lệ truyền dữ liệu cao hơn 1 đĩa cứng duy
nhất.
Các cấp độ của hệ thống lưu trữ RAID
RAID 0: Tách đĩa
Nó là cấp độ RAID cơ bản nhất và không có bất kỳ sự dư thừa nào. Đầu
tiên, nó phân mảnh các tập tin thành một mảng có kích thước do người
dùng xác định. Sau đó, nó gửi các dải tới mọi đĩa trong mảng. Vì RAID
0 không có dự phòng. Cấp độ này mang lại hiệu suất tốt nhất trong các
cấp độ RAID.
Một số đặc trưng cuẩ RAID 0:
 Nó chia dữ liệu thành một khối và ghi đều trên mọi ổ cứng
 Nếu bất kì ổ đĩa nào bị lỗi, thì khôi phục dữ liệu là không thể
 Nó không cung cấp dữ liệu dự phòng
 Nó cần tối thiểu 2 ổ đĩa để thiết lập
 Lợi ích chính của việc này là hiệu suất đầu ra / đầu vào, vì nó mở
rộng đầu vào / đầu ra qua nhiều kênh và nhiều ổ cứng
 Tỉ lệ truyền dữ liệu nhanh và hiệu quả
RAID 1: Gương đĩa
RAID 1 thường thực hiện việc sao chép bằng cách nhân đôi, hoặc sao
chép dữ liệu ổ đĩa trên hai ổ đĩa khác nhau sử dụng bộ điều khiển RAID
phần cứng hoặc phần mềm. Nếu một ổ đĩa hỏng, thì đĩa khác có chức
năng như là một đĩa đơn độc lập cho đến khi người dùng thay thế đĩa
hỏng đó bằng một đĩa mới.
Một số đặc trưng cuẩ RAID 1:
 Nó ghi nhiều bản sao của dữ liệu đồng thời trên nhiều ổ đĩa
 Nó cung cấp dữ liệu dự phòng bằng cách sao chép hoàn toàn dữ
liệu trên nhiều ổ đĩa
 Nếu 1 ổ đĩa bị hỏng, việc khôi phục là khả thi
 Nó yêu cầu tối thiểu 2 ổ đĩa để thiết lập
  So sánh với ổ đĩa đơn, cấp độ này đọc dữ liệu nhanh hơn và chậm
hơn trong quá trình ghi dữ liệu bởi dữ liệu được phân phối giữa
nhiều ổ cứng
 Cấp độ này cung cấp khả năng bảo vệ dữ liệu tốt nhất
 Bất lợi ở cấp này là tốc độ truy cập chậm
 Nó cung cấp cấp tính nhất quán dữ liệu cao và tính sẵn có của dữ
liệu liên tục trong trường hợp có xảy ra sự cố ổ cứng (HDD)
 Nó cung cấp 100% dữ liệu dự phòng và không yêu cầu bất cư thời
gian làm lại
RAID 2
RAID 2 là cấp độ duy nhất trong tất cả RAID cấp độ không triển khai
ngày cả 1 trong các kỹ thuật tiêu chuẩn, cụ thể là tính chẵn lẻ (parity),
phản chiếu và phân chia. Nó sử dụng một kĩ thuật tương tự như phân dải
(striping) với chẵn lẻ (parity). Nó phân chia dữ liệu ở mức bit và phân
phối dữ liệu tới nhiều đĩa dữ liệu và đĩa dự phòng.

Mã Hamming, một dạng mã sửa lỗi (ECC), giúp tính toán các bit dự
phòng này. Khi người dùng ghi dữ liệu vào một mảng, hệ thống tính
toán các mã này và ghi chúng cùng với dữ liệu vào các ổ đĩa ECC
chuyên dụng.
RAID 3
AID 3 sử dụng phương pháp phân dải (stripping) dữ liệu ở mức byte với
một ổ đĩa parity chuyên dụng, nơi lưu trữ các tổng kiểm tra. Nó cũng hỗ
trợ một bộ xử lý đặc biệt để tính toán các mã parity. Mức RAID này
không thể xử lý đồng thời nhiều yêu cầu dữ liệu. Nếu xảy ra lỗi, nó cho
phép khôi phục dữ liệu bằng cách tính toán các byte parity và các byte
còn lại có liên quan.
RAID 5
RAID 5 sử dụng phương pháp phân dải dữ liệu ở mức byte qua nhiều ổ
đĩa và phân phối thông tin parity trên tất cả các ổ đĩa thành viên. Quá
trình ghi dữ liệu diễn ra chậm. Ngoài ra, nó yêu cầu tối thiểu ba ổ đĩa để
thiết lập. RAID 5 phân dải và phân phối mã phát hiện và sửa lỗi hoặc mã
dữ liệu và parity trên ba hoặc nhiều ổ đĩa.
RAID 10
RAID 10, còn được gọi là RAID 1+0, là sự kết hợp của RAID 0 (phân
dải khối lượng dữ liệu) và RAID 1 (gương đĩa) để bảo vệ dữ liệu. Nó
yêu cầu ít nhất bốn ổ đĩa để triển khai. Nó có khả năng chịu lỗi tương tự
như RAID cấp 1 và có chi phí tương tự RAID 1. Nó cho phép sao gương
các ổ đĩa thành cặp để đảm bảo dự phòng và cải thiện hiệu suất, sau đó
phân dải dữ liệu qua nhiều ổ đĩa để đạt hiệu suất tối đa. Người dùng có
thể truy xuất dữ liệu từ RAID nếu một ổ đĩa trong mỗi cặp sao gương
hoạt động; tuy nhiên, nếu hai ổ đĩa trong cùng một cặp sao gương bị
hỏng, dữ liệu sẽ không thể truy xuất được.
RAID 6
RAID 6 là phiên bản nâng cấp của RAID 5 trong đó tính chẵn lẻ được
phân phối trên mỗi RAID 5 có khả năng chịu lỗi cao và khả năng chịu
lỗi ổ đĩa. Từ đó , nó có thể chịu được 2 đĩa lỗi. Tuy nhiên, nó có hai bộ
dữ liệu chẵn lẻ của mỗi quá trình ghi, kết quả là giảm hiệu suất ghi và
chi phi hiệu suất hoạt động của máy chủ. RAID 6 cấu hình yêu cầu tối
thiểu là 4 ổ đĩa và tối đa là 16 đĩa để hoạt động.
Nó phù hợp nhất với môi trường mạng nơi mà rất nhiều giao dịch đầu ra/
đầu vào được thực hiện cùng lúc.
RAID 1E (Striped Mirroring)
RAID 1E là sự kết hợp của RAID 1 (data mirroring) và RAID 0 (dải dữ
liệu). Trong RAID 1E, dữ liệu đã ghi trong dải trên 1 đĩa sẽ được phản
chiếu thành 1 dải trên ổ đĩa tiếp theo trong mảng. Nó yêu cầu tối thiểu 3
ổ đĩa để thực hiện. Ưu điểm của RAID 1E hơn RAID 1 là mảng của
RAID 1E có thể thực hiện khi chỉ cần dùng 1 số đĩa lẻ và hỗ trợ lỗi 1 đĩa
thay vì lỗi nhiều đĩa.
RAID 5E
Nó giống với RAID 5 nhưng bao gồm 1 đĩa dụ phòng mở rộng, có thể
dùng cho việc vận hành đầu ra / đầu vào và cung cấp hiệu suất tốt hơn
RAID 5. Đĩa dự phòng mở rộng tạo ra trong RAID 5E có thể sử dụng
với cùng mảng giống nhau. Nó yêu cầu tối thiểu 4 ổ đĩa và tối đa là 16 ổ
đĩa trong 1 mảng đơn để hoạt động.
RAID 5EE
Nó giống với cấp độ RAID 5E và bao gồm thêm một đĩa dự phòng nóng
bổ sung trong mảng RAID 5 có thể dùng cho đầu ra/ đầu vào. Nó yêu
cầu tối thiểu 4 ổ đĩa và tối đa 16 ổ đĩa trong mảng. Vùng dự phòng được
phân bố ở cuối các thành phần đĩa trong RAID 5E, trong khi nó phân bố
tiếp tới dải chẵn lẻ trong RAID 5EE. Ổ đĩa dự phòng nóng bổ sung mặc
định là trống và có thể dùng để sao chép dữ liệu từ ổ đĩa lỗi
RAID 50 (phân dải với chăn lẻ)
Nó là sự kết hợp của RAID 5 (striping with parity) và RAID 0 (đĩa phân
dải). Cấu hình yêu cầu tối thiểu là 6 ổ đĩa. Nó cung cấp mức độ chịu lỗi
cao vì một ổ đĩa trong mỗi mảng con có thể bị lỗi mà không bị mất dữ
liệu.
RAID 60
RAID 60 là sự kết hợp giữa RAID 6 (phân phối chẵn lẻ) và RAID 0 (đĩa
phân dải). Nó hỗ trợ hai khối chẵn lẻ độc lập trên mỗi dải. Cấu hình yêu
cầu tối thiểu là 6 ổ đĩa. Nó cung cấp mức độ chịu lỗi cao vì mỗi bộ
RAID 60 có thể hoạt động khi xẩy ra lỗi đĩa đôi mà không mất bất kỳ dữ
liệu nào.
Trang 321
Just a Bunch of Drives/ Disks (JOBS)
 JOBS là một loại lưu trữ dữ liệu cấu hình cho nhiều đĩa cứng
không hỗ trợ RAID
 Nó là sự kết hợp của nhiều đĩa cứng có dung lượng lớn và thông số
kĩ thuật vào một một ổ đĩa locgic lớn duy nhất . Sự tích hợp này
được gọi là “Spanning”
 Mỗi ổ đĩa riêng lẻ trong JOBD có thể được truy cập dưới dạng một
ổ đĩa riêng biệt bởi máy chủ
 Nó không hỗ trợ dự phòng, kiểm tra chẵn lẻ, hay phân dải, không
giống như cấu hình RAID
 Trong trường hợp một đĩa bị lỗi, toàn bộ hệ thống không bị lỗi và
dữ liệu có sẵn trên các đĩa khác vẫn còn nguyên vẹn.

Vùng bảo vệ máy chủ (HPA) and Lớp phủ cấu hình thiết bị (DCO)
Ổ cứng và phương tiện lưu trữ khác có thể có 1 vùng ẩn được giấu như
là 1 vùng bảo vệ máy chủ (HPAs) và lớp phủ cho cấu hình thiết bị
(DCOs)
HPA
Được giới thiệu lần đầu tiên trong tiêu chuẩn ATA-4, HPA là một vùng
kín đáo trong HDD hoặc SSD khó thấy trong hệ điều hành (Operating
System). Không giản này lưu trữ dữ liệu người dùng, BIOS, hoặc OS
của hệ thống không thể thay thế, biến đổi hoặc truy cập. Nó có thể lưu
trữ thông tin bao gồm tiện ích HDD, công cụ chuẩn đoán, mã khu vực
khởi động,vv.
Dưới đây là 3 lệnh ATA có thể giúp người dùng tạo và sử dụng HPA:
 INDENTIFY DEVICE
 SET MAX ADDRESS
  READ NATIVE MAX ADDRESS
DCO
Được giới thiệu lần đầu trong tiêu chuẩn ATA-6, DCO là vùng ẩn được
thêm có sẵn trong mẫu ổ cứng, cho phép nhà cung cấp hệ thống mua
HDD thay đổi kích cỡ từ các nhà sản xuất khác nhau và cấu hình cho tất
cả chúng có cùng số lượng như nhau. DCO là một vùng ẩn của hệ thống,
BIOS, và người dùng. Nó có thể giúp người dùng bật/tắt tính năng trên
HDD. Để xắc định kích thước thực và tính năng của đĩa ,câu lệnh
DEVICE_CONFIGURATION_IDENTIFY.
Những khu vực này có thể gây khó khăn cho người dùng vì thủ phảm có
thể ẩn dữ liệu trong đó mà không cần kiến thức của điều tra viên. Những
kẻ xâm nhập sử dụng một số công cụ nhất định để sửa đổi và ghi vào
HPA và DCO trên một ổ cứng. Các nhà điều tra có thể sử dụng các công
cụ như EnCase, TAFT (một công cụ pháp y ATA (IDE), TSK,v.v. để phát
hiện và ghi lại hình ảnh HPA và/hoặc DCO.

Network-Attached Storage (NAS)

Bộ lưu trữ gắn mạng(NAS) là một thiết bị lưu trữ tập trung trong đó một
hoặc nhiều máy chủ bao gồm nhiều đĩa cứng chuyên dụng trong cấu
hình RAID để dự phòng. Nó lưu trữ và chia sẻ dữ liệu giữa các khách
hàng khác nhau trên một mạng chia sẻ. Nó có mặt trên mạng cục bộ
(LAN) dưới dạng một nút mạng độc lập, có thể truy cập các thiết bị lưu
trữ dùng chung thông qua kết nối Ethernet tiêu chuẩn và được xác định
bởi địa chỉ IP duy nhất của chính nó.
Khi làm việc theo nhóm, NAS cho phép chia sẻ dữ liệu hiệu quả giữa
các khách hàng khác nhau ở từ xa hoặc ở các múi giờ khác nhau. NAS
kết nối với bộ định tuyến hoặc bộ chuyển mạch không dây, giúp việc
này trở nên dễ dàng để khách hàng truy cập các tệp hoặc thư mục từ bất
kỳ thiết bị nào được kết nối với mạng.
Dựa trên số lượng ổ đĩa, khả năng hỗ trợ ổ đĩa, dung lượng ổ đĩa và khả
năng mở rộng, các thiết bị NAS được được phân thành ba loại sau đây:
 High-end or enterprise NAS: NAS doanh nghiệp được thúc đẩy
bởi các doanh nghiệp lưu trữ số lượng lớn dữ liệu tệp, bao gồm cả
hình ảnh máy ảo. Nó cũng cung cấp khả năng phân cụm NAS.
 Mid-market NAS: Loại NAS này phù hợp với các doanh nghiệp
yêu cầu nhiều trăm terabyte dữ liệu. Các thiết bị không thể được
nhóm lại.
 Low-end or desktop NAS: Các thiết bị trong loại NAS này được
sử dụng trong các doanh nghiệp nhỏ yêu cầu bộ nhớ chia sẻ cục bộ

Storage Area Network (SAN)

Vùng lưu trữ mạng (SAN) là mạng tốc độ cao chuyên dụng cung cấp
quyền truy cập vào lưu trữ cấp khối hợp nhất. SAN tự nó là một mạng
và không bị ảnh hưởng bởi lưu lượng mạng chẳng hạn như tắc nghẽn
trong mạng LAN. Kiến trúc của nó làm cho mạng lưới các thiết bị lưu
trữ có thể truy cập được nhiều máy chủ dưới dạng một ổ đĩa đính kèm.
Máy chủ truy cập dữ liệu được chia sẻ giữa một số mảng đĩa như thế nó
là một ổ cứng cục bộ.
SAN bao gồm các thành phần như máy chủ được kết nối với nhau, nhiều
thiết bị chuyển mạch và thiết bị lưu trữ có thể được kết nối bằng công
nghệ kênh sợi quang (FC), hỗ trợ tốc độ dữ liệu cao và truy cập dữ liệu
không bị gián đoạn. Vì FC SAN đắt tiền và khó xử lý nên dựa trên
Ethernet Giao diện hệ thống máy tính nhỏ trên Internet (iSCSI), một giải
pháp thay thế rẻ hơn cho FC, được sử dụng trong các doanh nghiệp vừa
và nhỏ.
iSCSI dựa trên Ethernet giảm thiểu những thách thức của công nghệ FC
bằng cách đóng gói các lệnh SCSI vào các gói IP không yêu cầu kết nối
FC.
 Lợi ích của FC SAN:
 Nó có khả năng mở rộng cao vì có thể bổ sung thêm dung lượng
lưu trữ khi cần thiết
 Nó hỗ trợ tốc độ dữ liệu cao nhưng đắt tiền khi sử dụng. Do đó,
các công ty lớn thích FC SAN hơn.
 Ưu điểm chính của nó bao gồm sao lưu không cần máy chủ, trong
đó hệ thống cho phép thiết bị lưu trữ để sao chép dữ liệu trực tiếp
vào thiết bị sao lưu mà không cần bất kỳ sự can thiệp nào từ máy
chủ
 SAN cung cấp khả năng bảo vệ lỗi động, cung cấp khả năng vận
hành mạng không bị gián đoạn dữ liệu vẫn có thể được truy cập
bằng thiết bị khác khi bất ký thành phần nào bị hỏng hoặc máy chủ
ngoại tuyến để bảo trì

Sự khác nhau giữa SAN và NAS

SAN NAS
SAN xử lý cấu trúc dữ liệu như là NAS xử lý dữ liệu phi cấu trúc như
CSDL là thử mục âm thành và hình ảnh,
web, tài liệu MS Office văn bản
Nó lưu trữ dữ liệu dưới cấp độ dạng Nó truy cập dữ liệu dưới dạng tệp tin
khối
SAN là phát minh tiêu biểu của 1 bộ NAS đơn giản là một máy chủ lưu
thiết bị mạng máy chủ,switches và bộ trữ dữ liệu ở cấp độ tệp tin
phận lưu trữ
Nó cung cấp khả năng bảo vệ lỗi động, Nếu bất kỳ thành phần nào bị lỗi thì
có nghĩa là dữ liệu đó thậm chí có thể các thiết bị khác không thể tiếp cận
được truy cập bởi các thiết bị khác khi thông tin
một thành phần bị hỏng
LO#07: Hiểu các tiêu chuẩn mã hóa và trình soạn thảo Hex
Máy tính xem dữ liệu ở định dạng nhị phân hoặc một chuỗi số 0 và số 1.
Vì vậy, các kí tự có trong dữ liệu như tài liệu văn bản phải được biểu
diễn dưới dạng mã số. Để thực hiện nhiệm vụ này, dữ liệu được lưu
trong một tiêu chuẩn mã hóa.Các tiêu chuẩn mã hóa phổ biến bao gồm
ASCII và Unicode. Trình soạn thảo hex được thiết kế để xem hoặc chỉnh
sửa tập tin nhị phân.
Character Encoding Standard: ASCII
Được phát triển từ mã điện báo, ASCII là chuẩn mã hóa ký tự được sử
dụng trong các thiết bị số chẳng hạn như máy tính. Tiêu chuẩn có 128 ký
tự được chỉ định được mã hóa thành số nguyên 7 bit. Các mã nguồn của
chương trình, batch files, macro, scripts, Ngôn ngữ đánh dấu siêu văn
bản (HTML) tài liệu và tài liệu Ngôn ngữ đánh dấu mở rộng (XML)
cũng là các tệp ASCII.
Các kí tự được mã hóa như sau:
 Số từ 0 -> 9
 Chữ thường từ a-z
 Chữ hòa từ A-Z
 Dấu câu
 Mã điều khiển có nguồn gốc từ máy teletype
 Khoảng trắng
ASCII là ngôn ngữ máy có thể đọc được, được sử dụng trong các hoạt
động kỹ thuật số chính như gửi và nhận email. Bảng ASCII có 3 phần,
đó là phần không in được (mã hệ thống nằm trong khoảng từ 0 và 31),
ASCII thấp hơn (mã từ 32 đến 127) và ASCII cao hơn (mã từ 128 đến
255).Các tệp và tài liệu đồ họa sử dụng các ký tự không phải ASCII
được tạo trong trình xử lý văn bản, bảng tính chương trình hoặc chương
trình cơ sở dữ liệu và được gửi dưới dạng tệp đính kèm email.
Character Encoding Standard: UNICODE (Tiêu chuẩn mã hóa ký
tự: UNICODE)
Unicode là một tiêu chuẩn điện toán được phát triển cùng với Bộ ký tự
mã hóa phổ quát (UCS) tiêu chuẩn về mã hóa, trình bày và quản lý văn
bản mà hầu hết các nước trên thế giới sử dụng hệ thống chữ viết.
Nó cung cấp một số duy nhất cho mỗi ký tự, không phân biệt nền tảng,
chương trình và ngôn ngữ.
Unicode chứa hơn 128.000 ký tự từ khoảng 135 chữ viết hiện đại và lịch
sử.Các công nghệ như hệ điều hành hiện đại, XML, Java và
Microsoft .NET Framework đã được áp dụng chuẩn Unicode.
OFFSET(Phần bù)
 Trong điện toán, phần bù thường đề cập đến phần bắt đầu của tệp
hoặc phần bắt đầu của địa chỉ bộ nhớ
 Đó là giá trị được thêm vào địa chỉ cơ sở để lấy địa chỉ của một
phần tử cụ thể trong cùng một địa chỉ đối tượng/tập dữ liệu
 Ví dụ: Nếu “A” biểu thị địa chỉ 80 thì biểu thức A+20 ngụ ý địa chỉ
100, trong đó 20 trong biểu thức là phần bù
Hiểu biết thêm trình soạn thảo Hex (Understanding Hex Editors)
Trình soạn thảo hex là chương trình cho phép người dùng sửa đổi dữ liệu
nhị phân cơ bản của tệp. Qua bằng cách sử dụng trình soạn thảo hex,
người dùng có thể xem hoặc chỉnh sửa nội dung của tệp.
Trình soạn thảo hex có ba vùng hiển thị: vùng địa chỉ, vùng thập lục
phân và vùng ký tự.
Mồi khu vực hiển thị các giá trị khác nhau:
 Address area: nằm ở bên trái và hiển thị địa chỉ byte đầu tiên của
mỗi dòng, thường ở định dạng thập lục phân
 Hexadecimal area: nằm ở giữa và liệt kê từng byte của tệp trong
một bảng, thường là với 16 byte mỗi dòng
  Character area: nằm ở bên phải và hiển thị biểu diễn ASCII của
từng ký tự byte trong vùng thập lục phân
Trong các cuộc điều tra pháp y kỹ thuật số, trình soạn thảo hex cho phép
các nhà điều tra xem bất kỳ dữ liệu nào được lưu trữ trong một đĩa và
tìm kiếm phần còn lại của các tập tin đã bị xóa. Trình soạn thảo hex hiển
thị nội dung vật lý của một đĩa, bao gồm các tập tin, thư mục và phân
vùng.
Các chức năng khác của trình soạn thảo hex bao gồm bẻ khóa phần mềm
chống sao chép, nghiên cứu cách virus máy tính hoạt động, nhận dạng
và truy xuất những thông tin ẩn giấu.

Hexadecimal area
Address area
Character area
Hiểu ký hiệu thập lục phân (Understanding Hexadecimal Notation)
Hệ đếm thập lục phân hay còn gọi là hex là hệ đếm có cơ số 16. Trong
ký hiệu thập lục phân, 0-9 biểu thị các giá trị từ 0 đến 9 và bảng chữ cái
tiếng Anh A, B, C, D, E và F đại diện cho các giá trị từ mười đến mười
lăm.
Ví dụ: 2BA trong hệ thập lục phân giống như 0010 1011 1010 trong hệ
nhị phân.
Ký hiệu thập lục phân cho phép dễ dàng sử dụng lũy thừa của 2, thay vì
viết toàn bộ giá trị bằng nhị phân.
LO#08: Phân tích các định dạng tệp phổ biến bằng trình soạn thảo
Hex
Trình soạn thảo hex được thiết kế để phân tích và chỉnh sửa tệp, bộ nhớ
chính, ảnh đĩa và cấu trúc của chúng,v.v. Phần này thảo luận về việc
kiểm tra các định dạng tệp khác nhau như jpg, png, bmp, pdf,zip và docx
bằng trình soạn thảo hex.

Phân tích tệp hình ảnh: JPEG (Image File Analysis: JPEG)
Nhóm các chuyên gia nhiếp ảnh (The Joint Photographic Experts Group)
(JPEG), tổ chức tạo ra tiêu chuẩn JPEG và định dạng tệp, là thuật ngữ
được sử dụng để thể hiện bất kỳ tệp hình ảnh đồ họa nào được tạo bằng
JPEG tiêu chuẩn.
Đây là phương pháp nén ảnh có gây tổn hại đôi với ảnh kỹ thuật số và
cho phép người dùng điều chỉnh nén theo ý muốn của mình. Có thể lựa
chọn tác động vào kích thước lưu trữ và chất lượng ảnh. JPEG cho phép
tỉ lệ nén là 90%, đó là 1/10 kích thước của dữ liệu.
Kết cấu tệp (File Structure)
Luồng JPEG chứa 1 chuỗi các khối dữ liệu. Mỗi đoạn bắt đầu bằng 1 giá
trị đánh dấu, với mỗi đánh dấu là 16-bit giá trị nguyên và nó lưu trữ ở
định dạng byte lớn. Các bit quan trọng nhất của điểm đánh dấu được đặt
thành 0xff. byte thấp hơn của điểm đánh dấu xác định loại của điểm
đánh dấu.
Các bit đầu tiên của tệp biểu thị loại tệp và tệp JPEG bắt đầu bằng giá trị
nhị phân 0xffd8 (bắt đầu của hình ảnh; SOI) và kết thúc bằng giá trị nhị
phân 0xffd9 (cuối hình ảnh; EOI). Do đó, ffd8 (0xđược ngụ ý) ở đầu
biểu thị tệp JPEG khi được xem bằng trình chỉnh sửa hex. Một JPEG
Dòng bit chứa một chuỗi các khối dữ liệu hoặc các phân đoạn và mỗi
khối dữ liệu đều bắt đầu bằng một điểm đánh dấu giá trị. Định dạng cơ
bản của một phân đoạn là giá trị số nguyên 16 bit xác định kích thước
tệp. Các byte quan trọng nhất của điểm đánh dấu (bit ngoài cùng bên
trái) là 0xff. Byte thấp hơn của điểm đánh dấu xác định loại điểm đánh
dấu.
Định dạng cơ bản của một phân đoạn như sau: dữ liệu số đánh dấu 0xff
(1 byte); kích thước (2 byte); và dữ liệu (n byte). Ví dụ: đối với điểm
đánh dấu FF E1 00 0E, điểm đánh dấu (0xFF E1) có 0x000E (bằng 14)
byte dữ liệu. Tuy nhiên, kích thước 14 byte bao gồm bộ mô tả kích
thước (2 byte); do đó, chỉ có 12 byte dữ liệu theo sau 0x000E.

Phân tích tệp hình ảnh: BMP (Image File Analysis: BMP)
“The bitmap image file” (BMP) format, “device-independent bitmap”
(DIB) hoặc đơn giản BMP là định dạng tệp hình ảnh đồ họa tiêu chuẩn
được sử dụng để lưu trữ hình ảnh trên hệ điều hành Windows. Microsoft
đã phát triển định dạng này để Windows có thể hiển thị hình ảnh trên bất
kỳ loại màn hình nào. Bản đồ bit hình ảnh có thể bao gồm hình ảnh
động. Kích thước và màu sắc của những hình ảnh này có thể thay đổi từ
1 bit cho mỗi pixel (đen trắng) sang màu 24-bit (16,7 triệu màu).
Cấu trúc tệp (File Structure)
 File header: Phần đầu tiên của tệp bitmap là tiêu đề, bao gồm dữ
liệu về loại, kích thước và bố cục của tệp
 Information header: Nó là thành phần tiêu đề chứa các kích
thước, nén loại và định dạng màu của bitmap
 RGBQUAD array: Đây là một bảng màu bao gồm mảng các phần
tử bằng màu sắc hiện diện trong bitmap; bảng màu này không hỗ
trợ bitmap với màu 24 bit, vì mỗi pixel được biểu thị bằng các giá
trị RGB 24 bit trong bitmap thực tế
 Image data: Đó là một mảng byte chứa dữ liệu hình ảnh bitmap;
dữ liệu hình ảnh bao gồm thông tin về màu sắc và độ bóng cho
từng pixel
Tệp bitmap luôn có 42 4D là ký tự đầu tiên trong biểu diễn thập lục
phân. Những cái này các ký tự dịch sang BM trong mã ASCII.
Chế độ xem Hex của các định dạng tệp hình ảnh phổ biến (Hex View
of Popular Image File Formats)
Định dạng tệp GIF
GIF là định dạng tệp chứa 8 bit trên mỗi pixel và hiển thị 256 màu trên
mỗi khung hình. Định dạng được CompuServe phát triển vào năm 1987.
GIF sử dụng kỹ thuật nén dữ liệu không mất dữ liệu, duy trì chất lượng
hình ảnh của hình ảnh. Hiện tại có hai phiên bản GIF
 GIF 87a: Được phát triển vào năm 1987, đây là phiên bản GIF đầu
tiên sử dụng Lempel–Ziv–Welch (LZW) kỹ thuật nén file và hỗ trợ
các tính năng như xen kẽ, 256 màu bảng màu và lưu trữ nhiều hình
ảnh .
 GIF 89a: Được tạo vào năm 1989, phiên bản này hỗ trợ các tính
năng như độ trong suốt của nền, thời gian trễ và các thông số thay
thế hình ảnh. Những tính năng này rất hữu ích cho việc lưu trữ
nhiều hình ảnh dưới dạng hình ảnh động.
Cấu trúc tệp GIF bao gồm tiêu đề, dữ liệu hình ảnh, siêu dữ liệu tùy
chọn và chân trang. Lục giác Giá trị Hex tệp hình ảnh GIF bắt đầu bằng
các giá trị 47 49 46, đại diện cho tên tệp GIF.
Định dạng tệp PNG
Đồ họa mạng di động (PNG) là định dạng hình ảnh không mất dữ liệu
nhằm thay thế GIF và TIFF các định dạng. PNG cải thiện định dạng tệp
GIF và thay thế nó bằng định dạng tệp hình ảnh. Đó là bản quyền và
giấy phép miễn phí.
Định dạng tệp PNG hỗ trợ màu sắc trung thực 24 bit, độ trong suốt ở cả
dạng thông thường và các kênh alpha, cũng như hình ảnh dựa trên chỉ
mục/bảng màu của màu RGBA 24-bit hoặc RGBA 32-bit và hình ảnh
thang độ xám.
Chữ ký tệp PNG bao gồm lời nhắc về tệp có một hình ảnh PNG. Những
bức ảnh này bao gồm một loạt các đoạn, bắt đầu bằng đoạn IHDR và kết
thúc bằng đoạn IEND. Các giá trị hex của tệp PNG, như được hiển thị
trong ảnh chụp màn hình bên dưới, bắt đầu bằng 89 50 4e, là giá trị giá
trị hex cho GIF.

Phân tích tệp PDF

Adobe Inc. đã phát triển Định dạng Tài liệu Di động (PDF) vào năm
1992. Nó giúp người dùng dễ dàng xem, lưu và in tài liệu độc lập với
nền tảng, hệ điều hành, phần cứng và phần mềm được sử dụng. Nó bao
gồm văn bản với các thành phần phương tiện như hình ảnh và liên kết.
Phần mềm Acrobat Reader có thể mở và hiển thị các tập tin PDF.
Thuận lợi:
 Các tệp PDF độc lập với thiết bị và hỗ trợ các hệ thống khác nhau
như Mac, Linux, v.v.
 Các tệp này hỗ trợ các thuật toán nén khác nhau
 Nó cũng hỗ trợ một số yếu tố đa phương tiện
 Nó cho phép bảo vệ bằng mật khẩu
Cấu trúc tệp PDF
 Header: Dòng đầu tiên của file PDF ghi rõ số phiên bản của PDF
  Ví dụ: %PDF-1.3
 Body: Nó bao gồm các đối tượng (hình ảnh, phông chữ, trường
biểu mẫu, luồng văn bản, chú thích, dấu trang, v.v.) cấu thành nội
dung của tài liệu.
Bảng tham chiếu chéo (bảng xref)
 Chứa các liên kết đến tất cả các đối tượng trong một tập tin
 Cho phép truy cập ngẫu nhiên vào các đối tượng
 Cho phép theo dõi các thay đổi được cập nhật được thực hiện đối
với tệp PDF
The Trailer
 Chứa các liên kết đến bảng xref và các đối tượng chính trong từ
điển trailer
 Kết thúc bằng %%EOF để nhận biết phần cuối của tệp
Giá trị hex cho một tệp PDF bắt đầu bằng 25 50 44 46, đây là chữ ký của
mọi tệp PDF đại diện cho các giá trị %PDF ở dạng thập lục phân. Phiên
bản tệp PDF tuân theo chữ ký này, trong khi tệp kết thúc bằng giá trị
%EOF, biểu thị phần cuối của tệp.
Word File Analysis
Cấu trúc tệp Microsoft Word (.doc/.docx)
Word Document Stream/Main Stream:
 Luồng chính chứa dữ liệu nhị phân của tài liệu Word và tiêu đề tệp
Word (được gọi là Khối thông tin tệp (FIB)) nằm ở phần bù 0
 FIB chứa thông tin về tài liệu, độ dài tệp và chỉ định con trỏ tới các
phần tử trong tệp tài liệu
Luồng thông tin tóm tắt
Thông tin tóm tắt được lưu trữ trong hai kho lưu trữ: Summary
Information and DocumentSummaryInformation
Luồng bảng
 Nó chứa dữ liệu được tham chiếu từ FIB và các phần khác của tệp
 Nó lưu trữ nhiều vị trí ký tự (PLC) và các bảng xác định cấu trúc
của tài liệu
 Nó có cấu trúc được xác định trước chỉ dành cho các tệp được mã
hóa
Luồng dữ liệu (Tùy chọn)
 Nó không có cấu trúc được xác định trước
 Nó chứa dữ liệu được tham chiếu từ FIB trong luồng chính hoặc
dữ liệu khác các phần của tập tin
Luồng đối tượng
Chúng chứa dữ liệu nhị phân cho các đối tượng OLE được nhúng trong
tệp .doc
Tóm tắt mô-đun
Trong mô-đun này, chúng ta đã thảo luận về các thiết bị lưu trữ như
HDD và SSD, cũng như các thiết bị lưu trữ của chúng. đặc điểm và cấu
trúc logic. Chúng tôi cũng đã thảo luận về quá trình khởi động và các tập
tin khác nhau. hệ điều hành Windows, Linux và Mac OS. Hơn nữa,
chúng tôi đã thảo luận về việc lưu trữ RAID và JBOD hệ thống chứa
nhiều đĩa cứng, duy trì lượng lớn dữ liệu và trợ giúpgiảm sự mất mát dữ
liệu trong trường hợp một đĩa đơn bị hỏng.
Hơn nữa, chúng tôi đã thảo luận về việc sử dụng công cụ Autopsy, là
GUI của TSK, để kiểm tra hình ảnh các tập tin. Cuối cùng, chúng ta đã
thảo luận về các công cụ soạn thảo hex, được thiết kế để phân tích và
sửa đổi các tệp của nhiều định dạng khác nhau như png, doc, doc, pdf,
zip, ppt và rar.
Những điểm nổi bật chính của mô-đun đã được trình bầy:
 Ổ đĩa là một thiết bị phần cứng đọc dữ liệu từ đĩa này và ghi lên
đĩa khác đĩa máy tính. Các loại ổ đĩa bao gồm thiết bị lưu trữ từ
tính, thiết bị lưu trữ quang thiết bị và thiết bị bộ nhớ flash.
 Ổ đĩa cứng (HDD) là thiết bị lưu trữ dữ liệu cố định được sử dụng
trong bất kỳ máy tính nào hệ thống.
 Cấu trúc logic của đĩa cứng là hệ thống tập tin và phần mềm được
sử dụng để kiểm soát truy cập vào nơi lưu trữ trên đĩa.
 Không gian trống là khu vực của cụm đĩa nằm giữa phần cuối của
tệp và cụm.
 SSD là thiết bị lưu trữ dữ liệu sử dụng bộ nhớ flash thể rắn để lưu
trữ dữ liệu và cung cấp truy cập vào dữ liệu được lưu trữ theo cách
tương tự như ổ cứng HDD; tuy nhiên, SSD có giá trị đáng kể
nhanh hơn HDD
 Bản ghi khởi động chính (MBR) là khu vực đầu tiên ("khu vực 0")
của thiết bị lưu trữ dữ liệu, hay ổ đĩa di động.
 Khởi động đề cập đến quá trình khởi động hoặc khởi động lại hệ
điều hành khi người dùng bật hệ thống. Nó có hai loại: Cold boot
(Khởi động cứng) và Warm boot (Khởi động mềm).
 Hệ thống tệp là một tập hợp các kiểu dữ liệu được sử dụng để lưu
trữ, phân loại theo cấp bậc, quản lý, điều hướng, truy cập và phục
hồi dữ liệu.
 Các công cụ như Autopsy và The Sleuth Kit có thể được sử dụng
để phân tích tệp của nhiều hệ thống tệp khác nhau.
 Hệ thống lưu trữ RAID và JBOD chứa nhiều đĩa cứng và duy trì số
lượng lớn Dữ liệu; chúng giúp giảm thiểu tình trạng mất dữ liệu
trong trường hợp một đĩa đơn bị hỏng.
 Các tệp có định dạng khác nhau có thể được phân tích bằng các
công cụ như trình soạn thảo hex để hiểu định dạng gốc của file
(trong trường hợp file bị giả mạo).