KIẾN THỨC CƠ BẢN

VỀ MÁY TÍNH CHO

NHÀ ĐIỀU TRA KỸ
THUẬT SỐ

Môn: An toàn và bảo mật thông tin

GV hướng dẫn: Ths. Nguyễn Đức Toàn

Nhóm thực hiện:
• Vũ Trọng Nhân - 20198252

• Nguyễn Anh Tuấn – 20198268

• Nguyễn Huy Hoàng - 20198227

Sơ lược về lịch sử máy tính

• Vào đầu những năm 1800, Jacquard đã phát triển ý tưởng của Falcon và Vaucanson
(những người có thể đã bị ảnh hưởng bởi máy dệt của Trung Quốc vào thế kỉ thứ hai ) để
tạo ra một máy dệt tự động

• Sau đó vào những năm 1800, Augusta Ada đề xuất một sử dụng hệ thống hệ nhị phân
thay vì hệ thập phân và George Boole đã phát triển logic Boolean.

• Từ năm 1940 trở đi, George Stiblitz của Phòng thí nghiệm Bell Atlantic đã phát triển một
số máy tính bao gồm cả Model 5 và trình diễn một máy tính chuyển tiếp

• Sau đó, vào năm 1941, một kỹ sư người Đức tên là Konrad Zuse dường như đã tạo ra một
máy tính nhị phân điện tử có tên là Z3 sử dụng phim cũ để lưu trữ các chương trình và dữ
liệu của mình.

• Máy tính cá nhân trở nên khả thi vào năm 1974 khi một công ty nhỏ có tên là Intel bắt
đầu bán chip máy tính rẻ tiền được gọi là bộ vi xử lý 8080. Một bộ vi xử lý 8080 duy nhất
chứa tất cả các mạch điện tử cần thiết để tạo một máy tính có thể lập trình được.
Các hoạt động cơ bản của
máy tính
Trung tâm xử lý (CPU)

Mỗi lần bật máy tính, máy tính phải tự làm quen với nội bộ ,các
thành phần của nó và thế giới ngoại vi. Quá trình khởi động này
được gọi là boot process . Các quá trình khởi động có ba giai đoạn
cơ bản: đặt lại đơn vị xử lý trung tâm (CPU), tự kiểm tra khi bật
nguồn (POST) và khởi động đĩa.
Hệ thống đầu vào và
đầu ra
BIOS xử lý chuyển động cơ bản của dữ liệu xung quanh máy
tính. Mọi chương trình chạy trên máy tính sử dụng BIOS để giao
tiếp với CPU. Một số chương trình BIOS cho phép một cá nhân
đặt mật khẩu, cho đến khi mật khẩu được nhập vào, BIOS sẽ
không chạy và máy tính sẽ không chạy.
 Công cụ cấu hình POST
và CMOS
• BIOS chứa một chương trình gọi là POST để kiểm tra các thành phần cơ bản của máy tính.
Khi CPU lần đầu tiên kích hoạt BIOS, chương trình POST được bắt đầu.

• Để an toàn, bài kiểm tra đầu tiên xác minh tính toàn vẹn của CPU và chính chương trình
POST.

• Phần còn lại của POST xác minh rằng tất cả các thành phần của máy tính đang hoạt động
bình thường, bao gồm ổ đĩa, màn hình, RAM và bàn phím.

• Máy tính sử dụng chip RAM CMOS để lưu lại ngày, giờ, ổ cứng thông số và các chi tiết
cấu hình khác trong khi nguồn chính của máy tính tắt .Một nguồn Pin nhỏ cung cấp năng
lượng cho chip CMOS — các máy tính cũ hơn có thể không khởi động được ngay cả khi
nguồn chính được bật vì pin CMOS này đã hết, khiến máy tính "quên" cài đặt phần cứng
của nó.

• Sử dụng công cụ cấu hình CMOS, có thể xác định hệ thống thời gian, xác định xem
trước tiên máy tính sẽ cố gắng tìm hệ điều hành trên ổ cứng chính hay ổ đĩa khác và
thay đổi cài đặt máy tính cơ bản như cần thiết. Khi thu thập bằng chứng kỹ thuật số từ
máy tính, thường cần làm gián đoạn quá trình khởi động và kiểm tra cài đặt CMOS
chẳng hạn như hệ thống ngày giờ, cấu hình ổ cứng và trình tự khởi động
Khởi động đĩa
• Hệ điều hành mở rộng các chức năng của BIOS và hoạt động như một giao diện
giữa máy tính và thế giới bên ngoài. Nếu không có hệ điều hành, sẽ rất khó để
tương tác với máy tính — các lệnh cơ bản sẽ không khả dụng, dữ liệu sẽ không
được sắp xếp trong các tệp và thư mục và phần mềm sẽ không chạy trên máy.

• Hầu hết các máy tính đều mong đợi một hệ điều hành được cung cấp trên đĩa
mềm, đĩa cứng, hoặc đĩa nén. Máy tính tải hệ điều hành đầu tiên mà nó tìm thấy.
Sự thật này cho phép bất kỳ ai cũng có thể thay thế hệ điều hành chính của máy
bằng cách cung cấp một hệ điều hành thay thế trên một đĩa khác. Ví dụ, một đĩa
mềm có chứa hệ điều hành có thể được chèn vào vào một máy tính dựa trên Intel
để ngăn hệ điều hành trên đĩa cứng tải lên 

• Khả năng ngăn máy tính sử dụng hệ điều hành trên đĩa cứng này rất quan trọng khi
đĩa chứa bằng chứng. Các nhà điều tra kỹ thuật số không nên cố gắng thực hiện
các hành động như vậy trên một máy tính chứa bằng chứng trừ khi họ đã quen
thuộc với loại hệ thống cụ thể
Biểu diễn dữ liệu
• Tất cả dữ liệu kỹ thuật số về cơ bản là sự kết hợp của số
một và số không, thường được gọi là bit. Các nhà điều tra
kỹ thuật số thường cần xử lý dữ liệu ở cấp độ bit, đòi hỏi sự
hiểu biết về cách các hệ thống khác nhau biểu diễn dữ liệu.

• Cho dù dữ liệu kiểu đầu to hay đầu nhỏ , thì biểu diễn dữ
liệu nhị phân này (những số một và số không) là khá cồng
kềnh. Thay vào đó, các nhà điều tra kỹ thuật số thường xem
cách biểu diễn dữ liệu theo hệ thập lục phân. Một cách biểu
diễn dữ liệu thường được sử dụng khác là ASCII. Tiêu
chuẩn ASCII quy định rằng tổ hợp của số một và số không
đại diện cho các chữ cái và số nhất định.

• Về mặt khái niệm, các chương trình hiển thị từng byte dữ
liệu trong hệ thập lục phân và định dạng ASCII giống như
kính hiển vi, cho phép các nhà điều tra kỹ thuật số xem các
đặc điểm thường không nhìn thấy được
Biểu diễn dữ
liệu
Định dạng tệp
• Nhiều loại tệp có cấu trúc đặc biệt được thiết kế
bởi các nhà phát triển phần mềm hoặc cơ quan
tiêu chuẩn và có thể hữu ích cho việc phân loại và
khôi phục các đoạn dữ liệu. .

• Ví dụ: một định dạng tệp đồ họa như JPEG có cấu

trúc hoàn toàn khác với tài liệu Microsoft Word,
bắt đầu bằng một vài byte đầu tiên ở đầu tệp
(“tiêu đề”), tiếp tục đến các vị trí lưu trữ dữ liệu
trong phần chính của tệp và kết thúc bằng một vài
byte đặc biệt ở cuối tệp (“footer”)
Định dạng tệp
Định dạng tệp • Các tiêu đề phổ biến trong tệp hình ảnh JPEG, tài
liệu Word và các loại tệp khác thường được gọi là
chữ ký tệp và có thể được sử dụng để định vị và
phục hồi các phần của tệp đã xóa

• Quá trình tìm kiếm một chữ ký tệp và cố gắng trích

xuất dữ liệu liên quan được gọi là "khắc" vì về mặt
khái niệm, nó liên quan đến việc cắt một phần dữ
liệu cụ thể ra khỏi một tập dữ liệu lớn hơn

• Khắc trong bối cảnh pháp y kỹ thuật số sử dụng các

đặc điểm của một lớp tệp nhất định để định vị các
tệp đó trong luồng dữ liệu thô, chẳng hạn như các
cụm chưa được phân bổ trên ổ cứng. Ví dụ: phần
đầu và phần cuối của trang Web (HTML) được đánh
dấu lần lượt bằng “<html>” và “</html>”
Định dạng tệp • Để làm cho quá trình này hiệu quả hơn, các công cụ đã được phát

(tiếp)
triển để tự động hóa quá trình khắc cho các loại tệp khác nhau.
Những công cụ này có thể hữu ích để khôi phục các phân đoạn video
kỹ thuật số được tạo bằng Webcam, thường ở định dạng AVI, MPEG
hoặc Quicktime và có thể bị xóa thường xuyên. Kỹ thuật khắc này
cũng hoạt động để trích xuất các tệp từ bộ nhớ vật lý của thiết bị di
động và từ lưu lượng mạng thô. Ngoài ra, thiết bị di động có thể chứa
dữ liệu đã xóa có thể khôi phục được bằng các công cụ chuyên dụng

• Có một số hạn chế đối với cách tiếp cận này để lấy dữ liệu từ phương
tiện lưu trữ:
o Đầu tiên, tên tệp và dấu ngày-giờ được liên kết với tệp khi nó
được hệ thống tệp tham chiếu không được phục hồi cùng với dữ
liệu.
o Thứ hai, kích thước của tệp gốc có thể không được biết, do đó
cần phải đoán xem cần khắc bao nhiêu dữ liệu.
o Thứ ba, khi tệp gốc bị phân mảnh, một quy trình khắc đơn giản
giả định rằng tất cả các phần của tệp được lưu trữ liền kề trên đĩa
sẽ không thành công, việc trục vớt các đoạn của nhiều tệp và kết
hợp chúng thành một vùng chứa không chính xác.
 LƯU TRỮ VÀ CHE GIẤU DỮ LIỆU
• Mặc dù phương tiện lưu trữ có nhiều dạng, nhưng đĩa cứng là nguồn cung cấp bằng
chứng kỹ thuật số phong phú nhất trên máy tính.

• Có một số công nghệ ổ cứng phổ biến. Ổ đĩa Điện tử Tích hợp (IDE) — còn gọi là ổ
Đính kèm Công nghệ Tiên tiến (ATA) — đơn giản hơn, ít tốn kém hơn và do đó phổ
biến hơn ổ SCSI hiệu suất cao hơn.

• Điều này đúng đối với các phiên bản mới hơn của những công nghệ này: Ổ đĩa
SATA phổ biến hơn ổ SCSI Đính kèm Nối tiếp hiệu suất cao hơn. Firewire là sự điều
chỉnh của tiêu chuẩn SCSI cung cấp quyền truy cập tốc độ cao vào một chuỗi các
thiết bị mà không có nhiều nhược điểm của SCSI như không ổn định và chi phí.

• Bất kể công nghệ nào được sử dụng, các loại của ổ cứng chứa các đĩa quay được
làm bằng vật liệu nhẹ, cứng như nhôm, gốm hoặc thủy tinh.
Ví dụ, Hình 5 cho thấy một đĩa có 64 cung trên mỗi cụm, dẫn đến 32 kbyte trên mỗi
cụm (64 cung x 512 byte / sector ÷ 1024 byte).
Ẩn / Làm mờ dữ liệu

• Có một số sắc thái đối với ổ cứng cho phép một cá nhân khôn ngoan che giấu
sự hiện diện của một lượng lớn dữ liệu trên chúng.

• Hình trụ đầu tiên trên đĩa (còn gọi là rãnh bảo trì) được sử dụng để lưu trữ
thông tin về ổ đĩa như hình dạng của nó và vị trí của các thành phần xấu. Bằng
cách cố ý đánh dấu các phần của đĩa là xấu, một cá nhân có thể che giấu dữ liệu
trong các khu vực này khỏi hệ điều hành.

• Trong một số tình huống, sự cố xảy ra khi sử dụng các công cụ pháp y để thu
thập dữ liệu từ phương tiện lưu trữ khiến một số khu vực bị bỏ sót. Các ví dụ
phổ biến nhất về vấn đề này là lớp phủ cấu hình ổ đĩa (DCO) và vùng được bảo
vệ trên máy chủ (HPA), giúp ẩn hiệu quả các phần của ổ cứng khỏi BIOS và hệ
điều hành (Gupta, Hoeschele, & Rogers, 2006).
Ẩn / Làm mờ dữ liệu
• Trên thực tế, sự hiện diện của DCO hoặc HPA không nhất thiết chỉ ra việc ẩn dữ
liệu vì những khu vực này được các nhà sản xuất máy tính sử dụng cho các mục
đích khác nhau. Các cách tiếp cận đơn giản hơn, phổ biến hơn để ẩn dữ liệu trên
phương tiện lưu trữ là phân vùng ẩn và đĩa mã hóa.

• Mã hóa phương tiện lưu trữ là một trong những phương pháp che giấu hiệu quả
nhất vì nội dung chỉ có thể được truy cập bằng khóa giải mã thích hợp như được
thảo luận ở phần sau của chương này.
HỆ THỐNG
TẬP TIN VÀ
LƯU TRỮ DỮ • Các hệ thống tập tin như FAT16, FAT32, NTFS, HFS( hệ
thống file nhị phân Macintosh), HFS+, Exts2(Linux) và
LIỆU UFS(Solaris) theo dõi vị trí của dữ liệu trên một ổ cứng, cung
cấp những file và tệp có cấu trúc tương tự.

• Trước khi một hệ thống file được hình thành, một phân vùng
phải được hình thành để định rõ phần ổ cứng mà nó sẽ chiếm
lĩnh. Sector đầu tiên của một ổ cứng chứa bản ghi khởi động
chính (MBR) lưu trữ một bảng phân vùng ổ cứng để thông báo
với hệ điều hành ổ cứng được chia thành các phần nào.
Mô tả đơn giản về cấu
trúc đĩa với hai phân
vùng, mỗi phân vùng
chứa một ổ đĩa được
định dạng FAT.
Bảng phân vùng định rõ sector đầu và cuối
của một phân vùng cũng như bổ sung thêm
thông tin về phân vùng đó.

Ví dụ sau đây biểu diễn đầu ra của lệnh

Linux fdisk chạy trên một máy tính Dell với
hai ổ cứng. Việc không nhận ra hệ thống
này có hai ổ cứng có thể để lại kết quả là
mất mát bằng chứng số.
• Từ góc nhìn pháp lí, việc hiểu dữ liệu được diễn tả như thế nào ở tầng thấp là
rất quan trọng.

• Một bảng phân vùng với một lối vào thể hiện trong bảng 15.5a và 15.5b là
bảng được nhìn thấy trên ổ cứng đối với được phiên dịch bằng tiện ích như
mmls từ Sleuthkit. Phân vùng bắt đàu ở sector 63 ( hệ thaaoj nhị phân 3f) và
dung lượng của nó là 1588545, được biểu diễn là 18 3D 41 theo hệ thập nhị
phân trong bảng 15.5a.
• Khi một phân vùng được tạo ra, nó có thể được format với bất kì hệ thống tập
tin nào. Ví dụ, một hệ thống tập tin FAT có thể được tạo ra bằng lệnh format
trên windows. Phần diện tích vận hành bởi hệ thống tập tin được gọi là ổ đĩa, ấn
định bằng một chữ cái như C: bởi hệ điều hành.

• Format một ổ đĩa cũng như tiêu hủy quyển danh mục trong thư viện nhưng vẫn
để sách lên trên kệ. Ta vẫn có thể tìm được quyển sách mình cần chỉ là nó tốn
thời gian hơn. Mô hình 15.7 thể hiện một ổ NTFS đã được format lại theo cấu
trúc của tệp trước đó sử dụng EnCase.

•  
• Sector đầu tiên của mỗi ổ đĩa gọi là boot sector, bao gồm những thông tin quan
trọng về hệ thống tập tin. Ví dụ, hình 15.8 thể hiện boot sector của máy
Windows 95. Nó chỉ ra rằng 2 bản sao của bản phân phối tập tin (FAT) đang sẵn
có – bảng này tương đương với quyển danh mục của thư viện mà một bản sao
sự phòng trong trường hợp bản chỉnh bị hỏng hoặc tiêu hủy. Hình trên cũng chỉ
ra rằng từng cụm dữ liệu trên đĩa cũng khá lớn (64 sector/ cụm x 512b/ sector =
32kb).
• Nhớ rằng một hệ thống tập tin có thể không sử dụng toàn bộ phân vùng, để lại
khoảng trống giữa điểm kết thúc của ổ đĩa và điểm kết thúc của phân vùng, một
vùng được gọi là khe hở ổ đĩa có thể sử dụng để giấu dữ liệu.

• Cũng nên nhớ rằng các phân vùng thường bắt đầu từ điểm mở đầu của mọt hình
trụ cho kết quả là một phần không gian không được sử dụng giữa điểm cuối của
phân vùng này và điểm mở đầu của phân vùng tiếp theo.

• Có một vài chức năng của hệ thống tập tin hữu dụng trong việc khôi phục dữ
liệu. Khi một tập tin chiếm không hết không gian của 1 cụm, những tập tin khác
sẽ không sử dụng phần không gian thừa đó. Nói ngắn gọn hơn, nếu một cụm
chứa dữ liệu, cả cụm đó là đã được đặt trước.

• Nếu một chiếc máy tính có nhét thêm dữ liệu vào phần không gian không được
sử dụng ấy, những dữ liệu mới có thể chen vào những dữ liệu cũ. Những sector
thừa ra trong một cụm gọi là không gian khe hở tập tin.
ĐỐI PHÓ VỚI BẢO VỆ MẬT KHẨU
VÀ MÃ HÓA
• Hai trong số những trở ngại lớn nhất mà các nhà điều tra đối mặt
hôm nay là bảo vệ mật khẩu và mã hóa.

• Về mặt khái niệm, mã hóa khóa dữ liệu bằng một chìa khóa và chỉ
những người có chìa khóa thích hợp mới có thể mở khóa dữ liệu. Mã
hóa đôi khi có thể bị phá vỡ hoặc bị phá vỡ bằng cách sử dụng kiến ​
thức và thiết bị chuyên dụng nhưng, trong nhiềutrường hợp, không
khả thi khi sử dụng các tài nguyên cần thiết để phá vỡ mã hóa.
Cơ bản của mã hóa

• Mã hóa là một quá trình mà một đối tượng số có thể đọc được chuyển đổi
vào một đối tượng số không đọc được (ciphertext) sử dụng một toán học
hàm. Các sơ đồ mã hóa mạnh dùng một mật khẩu, được gọi là chìa khóa.

• Ví dụ, rot13 là một mã đơn giản để thay thế mỗi chữ cái trong thông điệp
plaintext với chữ cái là 13 chữ cái xa hơn trong bảng chữ cái (a là z). Vậy,
a trở thành n, b trở thành o, v. v.

• ROT13 thường được sử dụng trong các nhóm tin tức để làm xáo trộn các
thông báo có khả năng bị phản đối, cho phép người đọc quyết định xem có
nên giải mã thông báo đó hay không. Thông báo Usenet sau thể hiện ứng
dụng này của ROT13:

 
From: AndrewB (andrewbee@my-deja.com)
Subject: Sexual differences [view thread]
Newsgroups: soc.religion.christian
Date: 2000-10-02 20:58:37 PST
[This posting asks advice on a sexually explicit topic. My first reaction is
that it’s a troll, but perhaps I’m just narrow-minded. To avoid offending
people, the body of the posting has been translated using rot13.]
Uv,
Sbetvir zr sbe orvat irel senax urer. Zl jvsr naq V unir n ceboyrz. V
nz cerggl “bhg gurer” jura vg pbzrf gb zl frkhny cersreraprf. Zl jvsr,
ubjrire, vf n irel pbafreingvir fznyy-gbja tvey jura vg pbzrf gb gung.
Fcrpvsvpnyyl, V nz irel ghearq ba zl fcnaxvat, jurernf zl jvsr frrf ab cynpr
sbe vg ng nyy va gur orqebbz.
V xabj gung gurer ner thlf nebhaq jub tvir cevingr fcnaxvatf. Ab frkhny
pbagnpg; whfg gur tengvsvpngvba vaurerag gurerva. Vs V pbhyq qb
guvf, vg jbhyq zrrg zl arrq, naq rnfr zl sehfgengvba. Bayl ceboyrzf ner:
zl jvsr rdhngrf vg gb purngvat, ba gur tebhaqf gung vg vaibyirf obqvyl
pbagnpg sbe frkhny tengvsvpngvba, naq V unir qbhogf nobhg jurgure
vg’f ernyyl BX sbe n Tbq-srnevat Puevfgvna gb qb gung. V jnag gb
yvir va chevgl orsber Tbq, ohg V nyfb unir guvf fgebat hetr naq qrfver.
­ Nalbar unq nal fvzvyne rkcrevraprf be pna bssre nal uryc?
Gunaxf
N.O.
Frag ivn Qrwn.pbz uggc://jjj.qrwn.pbz/
Orsber lbh ohl.
Mã Hóa Khóa Riêng

 Mã hóa khóa cá nhân (còn gọi là mã hóa khóa đối

xứng) về mặt khái niệm rất đơn giản — khóa tương
tự được sử dụng để mã hóa một tin nhắn cũng được
sử dụng để giải mã nó.

 Một số thuật toán mã hóa khóa đối xứng

thường được sử dụng là DES, IDEA và
Blowfish.
Mã Khóa Công Khai
• Hai thuật toán khóa công khai thường được sử
dụng là RSA và DSA.

• Một cá nhân phổ biến một phần thông tin được

gọi là khóa công khai mà bất kỳ ai cũng có thể
sử dụng để mã hóa một thông điệp và chỉ người
nhận dự định sở hữu khóa cá nhân tương ứng
mới có thể giải mã thông điệp.

• Bạn có thể tạo hàng nghìn ổ khóa giống hệt nhau

và phân phối chúng trên khắp thế giới để bất kỳ
ai muốn gửi tin nhắn riêng tư cho bạn đều có thể
lấy một trong các ổ khóa của bạn và sử dụng nó
để bảo mật tin nhắn riêng tư.
Mã Hóa Email
 Một trong những cách sử dụng phổ biến nhất của mã hóa là với e-mail. Khi e-
mail được truyền trên Internet, các thông điệp phải đi qua các máy tính trung
gian trên Internet.

 Ngoài ra, bất kỳ ai cũng có thể thay đổi một tin nhắn trên đường đi, làm ảnh
hưởng đến tính toàn vẹn của nó.

 Các chương trình mã hóa như PGP cho phép các cá nhân mã hóa và ký tin nhắn,
bảo vệ nội dung đang chuyển tiếp và cung cấp một số đảm bảo rằng tin nhắn đó
là từ một cá nhân cụ thể và không đã được thay đổi kể từ khi nó được tạo bởi
người gửi.