Sao chép , nhân bản bằng chứng số

Quá trình nhân bản ổ cứng bao gồm:

1. Chọn ổ đĩa đích ít nhất bằng, nếu không lớn hơn một chút so với ổ đĩa nguồn.

2. Tháo ổ nguồn khỏi máy tính và kết nối nó với thiết bị nhân bản hoặc máy tính khác.

3. Thiết lập cơ chế chặn ghi để ngăn chặn bất kỳ dữ liệu nào được ghi vào ổ nguồn trong quá

trình sao chép.

4. Làm sạch ổ đĩa đích trước khi sao chép ổ đĩa của nghi phạm vào đó.

5. Tạo tài liệu để xác minh quá trình làm sạch hồ sơ vụ án.

6. Bắt đầu quá trình nhân bản bằng cách nhấn một vài nút hoặc cú nhấp chuột, sau đó là một

báo cáo ngắn để xác nhận sự thành công của nhân bản.

7. Sao chép thành công được xác nhận khi giá trị băm (dấu vân tay kỹ thuật số) của nguồn và

bản sao khớp nhau, đảm bảo tính toàn vẹn dữ liệu.

Tại sao giá trị băm quan trọng?

Xác thực dữ liệu: Giá trị băm giúp đảm bảo rằng dữ liệu không bị thay đổi trong quá trình sao

chép.

Bảo mật: Giá trị băm là duy nhất cho mỗi bộ dữ liệu, giúp xác minh tính toàn vẹn của dữ liệu

một cách nhanh chóng và chính xác.

Minh bạch: Cung cấp bằng chứng cho quá trình sao chép dữ liệu, giúp minh bạch và tránh các

tranh chấp liên quan đến việc thay đổi dữ liệu.

Quá trình này đòi hỏi sự tỉ mỉ và tuân thủ nghiêm ngặt các quy trình để đảm bảo rằng dữ liệu

được sao chép một cách chính xác và bảo mật, giữ nguyên vẹn và có thể sử dụng làm bằng

chứng số trong các vụ án pháp lý.

Xử lý Live Systems và dead Systems

1 Hệ thống Đã Tắt (Dead System) Đây là những hệ thống đã tắt hoặc mất nguồn hoàn toàn. Các
bước pháp y thường thực hiện trên hệ thống đã tắt bao gồm: Tháo ổ cứng: Tháo ổ cứng ra khỏi
máy tính.

Chặn ghi (Write-blocker): Sử dụng thiết bị chặn ghi để đảm bảo không có dữ liệu nào được ghi
lên ổ cứng trong quá trình phân tích.

Nhân bản ổ cứng: Tạo một bản sao của ổ cứng để làm việc trên đó, giữ nguyên vẹn dữ liệu gốc

Hệ thống đang chạy là những hệ thống vẫn còn hoạt động khi bạn tiếp cận. Xử lý hệ thống đang
chạy có những thách thức và cơ hội riêng. Đây là những lý do ủng hộ và phản đối việc tắt nguồn
một hệ thống đang chạy:

Lý do ủng hộ tắt nguồn ngay lập tức:

Bảo vệ dữ liệu: Ngăn chặn mọi thay đổi dữ liệu sau khi phát hiện.

Đơn giản: Phương pháp này đơn giản và không yêu cầu kỹ năng kỹ thuật cao.

Lý do phản đối việc tắt nguồn ngay lập tức:

Dữ liệu bộ nhớ: Khi tắt nguồn, tất cả dữ liệu trong bộ nhớ RAM sẽ bị mất. Dữ liệu này có thể
chứa thông tin quan trọng như:

Mật khẩu: Mật khẩu đang được sử dụng hoặc lưu trong bộ nhớ.
Kết nối mạng: Thông tin về các kết nối mạng hiện tại, các phiên làm việc đang mở, và các hoạt
động mạng.

Mã độc: Mã độc hoặc các tiến trình đáng ngờ đang chạy mà không để lại dấu vết trên ổ cứng.

Trạng thái hệ thống: Việc tắt nguồn có thể làm mất đi trạng thái hiện tại của hệ thống, bao gồm
các tập tin đang mở, các hoạt động đang diễn ra, và cấu hình hiện tại của hệ thống.

Hệ thống đang chạy là những hệ thống vẫn còn hoạt động khi bạn tiếp cận. Xử lý hệ thống đang

chạy có những thách thức và cơ hội riêng. Đây là những lý do ủng hộ và phản đối việc tắt nguồn

một hệ thống đang chạy:

Lý do ủng hộ tắt nguồn ngay lập tức:

Bảo vệ dữ liệu: Ngăn chặn mọi thay đổi dữ liệu sau khi phát hiện.

Đơn giản: Phương pháp này đơn giản và không yêu cầu kỹ năng kỹ thuật cao.

Lý do phản đối việc tắt nguồn ngay lập tức:

Dữ liệu bộ nhớ: Khi tắt nguồn, tất cả dữ liệu trong bộ nhớ RAM sẽ bị mất. Dữ liệu này có thể

chứa thông tin quan trọng như:

Mật khẩu: Mật khẩu đang được sử dụng hoặc lưu trong bộ nhớ.

Kết nối mạng: Thông tin về các kết nối mạng hiện tại, các phiên làm việc đang mở, và các hoạt

động mạng.
Mã độc: Mã độc hoặc các tiến trình đáng ngờ đang chạy mà không để lại dấu vết trên ổ cứng.

Trạng thái hệ thống: Việc tắt nguồn có thể làm mất đi trạng thái hiện tại của hệ thống, bao gồm

các tập tin đang mở, các hoạt động đang diễn ra, và cấu hình hiện tại của hệ thống.