Chương 6

ĐIỀU TRA TỆP TIN HÌNH ẢNH

 Nội dung chính

1. Khái niệm cơ bản

2. Nhận diện tệp tin hình ảnh
3. Nén dữ liệu
4. Tìm kiếm và khôi phục tệp tin hình ảnh
5. Xác định các tệp tin không rõ ràng

2
I. Khái niệm cơ bản

3
 I. Khái niệm cơ bản
 Nhiều cuộc điều tra số liên quan đến tệp
hình ảnh, đặc biệt là chúng được tải xuống
từ Web và gửi qua e-mail.
 Điều tra viên cần hiểu biết những kiến thức
cơ bản về đồ họa máy tính, bao gồm các
đặc điểm của tệp, các định dạng tệp phổ
biến và các phương pháp nén để giảm kích
thước tệp.
 Một số trường hợp quan trọng kẻ tình nghi
giấu thông tin trong ảnh

4
II. Nhận diện tệp tin ảnh

5
 II. Nhận diện tệp tin ảnh
 Các tệp hình ảnh chứa ảnh kỹ thuật số,
nghệ thuật đặc trưng, hình ảnh ba chiều,
dữ liệu văn bản được chuyển đổi thành hình
ảnh và bản sao được quét từ máy in.
 Người dùng có thể đã sử dụng một chương
trình xử lý ảnh, chẳng hạn như Microsoft
Paint, Adobe Photoshop hoặc Gnome GIMP,
để tạo hoặc chỉnh sửa hình ảnh.
 Một chương trình xử lý ảnh có thể tạo ra
một trong ba loại tệp ảnh: bitmap, vector và
metafile

6
 II. Nhận diện tệp tin ảnh
 Ảnh bitmap là tập hợp các dấu chấm hoặc pixel trong định dạng lưới tạo
thành một ảnh..
 Ảnh vector dựa trên các hướng dẫn toán học xác định các đường thẳng,
đường cong, văn bản, hình bầu dục và các hình dạng hình học khác.
 Ảnh metafile là sự kết hợp của hình ảnh bitmap và vector

7
 II. Nhận diện tệp tin ảnh
Một số đặc điểm của ảnh Bitmap:
• Ảnh Bitmap lưu trữ thông tin ảnh dưới dạng lưới các điểm ảnh
• Chất lượng của ảnh Bitmap trên màn hình được quản lý bởi độ phân
giải
• Độ phân giải liên quan đến mật độ điểm ảnh trên màn hình và phụ
thuộc vào sự kết hợp giữa phần cứng và phần mềm.
• Màn hình có thể hiển thị nhiều độ phân giải; độ phân giải càng cao,
hình ảnh càng sắc nét.
• Máy tính cũng sử dụng card video có dung lượng bộ nhớ nhất định để
hiển thị hình ảnh.

8
 II. Nhận diện tệp tin ảnh
Một số đặc điểm của ảnh Bitmap:
Ví dụ:
• Màn hình và video card trên máy tính Windows có hỗ trợ độ phân giải
4096 x 2160
• Điều này có nghĩa 4096 điểm ảnh theo chiều ngang, và 2160 điểm
ảnh theo chiều dọc
• Ảnh có độ phân giải cao sử dụng pixel nhỏ hơn so với hình ảnh có độ
phân giải thấp

9
 II. Nhận diện tệp tin ảnh
Hiểu về định dạng tệp tin ảnh:
• Tệp ảnh được tạo và lưu trong trình chỉnh sửa đồ họa, chẳng hạn như
Microsoft Paint, Adobe Freehand MX, Adobe Photoshop hoặc Gnome
GIMP
• Hầu hết các trình chỉnh sửa đồ họa đều cho phép tạo và lưu tệp ở một
hoặc nhiều định dạng tệp ảnh tiêu chuẩn
• Định dạng tệp tin Bitmap chuẩn bảo gồm: .png, .gif, .jpg, .tif, .bmp

10
 II. Nhận diện tệp tin ảnh
Hiểu về định dạng tệp tin ảnh kỹ thuật số:
• Ảnh kỹ thuật số đã có ảnh hưởng đến điều tra kỹ thuật số
• Nhân chứng hoặc nghi phạm có thể tạo chúng dễ dàng bằng điện
thoại thông minh, máy ảnh kỹ thuật số và máy quay giám sát
• Điều tra viên cần phải kiểm tra một bức ảnh kỹ thuật số được tạo bởi
một nhân chứng cho một sự cố.
• Các tội phạm như child pornography có thể liên quan đến hàng trăm
bức ảnh kỹ thuật số của các nạn nhân
• Điều tra viên cần biết cách phân tích cấu trúc dữ liệu của các tệp ảnh
có thể cung cấp thêm bằng chứng cho một vụ án.

11
 II. Nhận diện tệp tin ảnh
Kiểm tra tệp tin ảnh có định dạng Exif:
• Hầu hết ảnh kỹ thuật số lưu trữ dưới dạng Exif (Exchangeable Image
File)
• Hiệp hội các Ngành Điện tử và Công nghệ Thông tin Nhật Bản (JEITA)
đã phát triển nó là một chuẩn để lưu trữ siêu dữ liệu trong các tệp tin
JPEG và TIF
• Khi chụp ảnh kỹ thuật số, thông tin về thiết bị (kiểu máy, nhà sản
xuất và số sê-ri) và cài đặt (tốc độ chụp, độ dài tiêu cự, độ phân giải,
ngày và giờ) được lưu trữ trong tệp đồ họa.
• Hầu hết các thiết bị kỹ thuật số lưu trữ các tệp đồ họa dưới dạng tệp
Exif JPEG

12
 II. Nhận diện tệp tin ảnh
Kiểm tra tệp tin ảnh có định dạng Exif:
• Do định dạng Exif thu thập siêu dữ liệu nên các nhà điều tra có thể
tìm hiểu thêm về loại thiết bị kỹ thuật số và môi trường chụp ảnh
• Để xem được siêu dữ liệu của các tệp tin Exif JPEG cần các chương
trình đặt biệt: Exif Reader, IrfanView, Magnet Forensics AXIOM
• Ban đầu, các định dạng JPEG và TIF được thiết kế để chỉ lưu trữ
thông tin ảnh kỹ thuật số. Exif là phần nâng cao của các định dạng
này để sửa đổi phần đầu của tệp JPEG hoặc TIF để có thể chèn siêu
dữ liệu.

13
 II. Nhận diện tệp tin ảnh
• Ví dụ 2 ảnh có định dạng Exif JPEG giống nhau:

14
 II. Nhận diện tệp tin ảnh

Khác nhau phần Header:

15
 II. Nhận diện tệp tin ảnh
 Các công cụ Autopsy và Exif
Reader Điều tra viên có thể
thu thập được siêu dữ liệu
từ tệp ảnh để làm bằng
chứng trong cuộc điều tra.
 Trong bất kỳ cuộc điều tra
kỹ thuật số nào, việc xác
định ngày và giờ cho một
tệp là rất quan trọng.

16
III. Nén dữ liệu

17
 III. Nén dữ liệu
 Hầu hết các định dạng tệp ảnh, bao gồm GIF và JPEG, nén dữ liệu để tiết kiệm dung lượng ổ
đĩa và giảm thời gian truyền tệp.
 Các định dạng khác, chẳng hạn như BMP, ít khi nén dữ liệu vì không hiệu quả.
 Trong trường hợp này, người dùng có thể sử dụng các công cụ nén để nén dữ liệu và giảm
kích thước tệp.
 Nén dữ liệu là quá trình code dữ liệu từ dạng lớn hơn sang dạng nhỏ hơn.
 Các tệp đồ họa và hầu hết các công cụ nén đều sử dụng một trong hai sơ đồ nén dữ liệu:
không mất dữ liệu hoặc có mất dữ liệu.
 Điều tra viên cần hiểu cách thức hoạt động của các sơ đồ nén để biết điều gì sẽ xảy ra khi
một hình ảnh bị thay đổi.

18
 III. Nén dữ liệu

Nén không mất dữ liệu:

 Là kỹ thuật giảm kích thước tệp mà không xóa dữ liệu.
 Khi giải nén một tệp sử dụng nén không mất dữ liệu, dữ liệu được khôi phục tất cả thông tin
của nó.
 Các định dạng tệp GIF và PNG giúp giảm kích thước tệp bằng tính năng nén không mất dữ
liệu, giúp tiết kiệm dung lượng tệp bằng cách sử dụng các thuật toán để biểu thị dữ liệu trong
một tệp.
 Thuật toán này thường sử dụng một trong hai thuật toán: mã hóa Huffman hoặc Lempel-Ziv-
Welch (LZW).
 Mỗi thuật toán sử dụng một mã để biểu diễn các bit dữ liệu dư thừa.

19
 III. Nén dữ liệu

Nén có mất dữ liệu:

 Kiểu nén này khác nhiều vì nó nén dữ liệu vĩnh viễn loại bỏ các bit thông tin trong tệp.
 Một số bit bị loại bỏ là dư thừa, nhưng một số khác thì không.
 Khi giải nén một tệp đồ họa sử dụng tính năng nén có mất dữ liệu, dữ liệu gốc có thể sẽ mất
thông tin, mặc dù hầu hết mọi người không nhận thấy sự khác biệt trừ khi họ in hình ảnh
trên máy in có độ phân giải cao hoặc tăng kích thước hình ảnh.
 Trong cả hai trường hợp, các bit thông tin bị loại bỏ sẽ làm giảm chất lượng hình ảnh. Định
dạng JPEG là định dạng sử dụng nén mất dữ liệu.
 Ví dụ: nếu mở một tệp JPEG trong một chương trình đồ họa và lưu nó dưới dạng một tệp
JPEG với một tên khác, tính năng nén mất dữ liệu sẽ tự động được áp dụng, loại bỏ nhiều bit
dữ liệu hơn và do đó làm giảm chất lượng hình ảnh.
 Tuy nhiên, nếu chỉ đổi tên một tệp bằng cách sử dụng File Explorer hoặc dòng lệnh, thì tệp
đó sẽ không mất thông tin.

20
IV. Tìm kiếm và khôi phục tệp tin ảnh

21
 IV. Tìm kiếm và khôi phục tệp ảnh

 Trong một cuộc điều tra số liên quan

đến các tệp ảnh, Điều tra viên cần xác
định vị trí và khôi phục tất cả các tệp
ảnh trên ổ đĩa nghi ngờ và xác định tệp
nào phù.
 Vì hình ảnh không phải lúc nào cũng
được lưu trữ ở định dạng tệp ảnh tiêu
chuẩn, vì vậy Điều tra viên cần kiểm tra
tất cả các tệp ảnh mà công cụ điều tra
tìm thấy, ngay cả khi chúng không
được xác định là tệp đồ họa.

22
 IV. Tìm kiếm và khôi phục tệp ảnh

 Một số hệ điều hành có các công cụ tích hợp để khôi phục các tệp đồ họa,
nhưng chúng tốn thời gian và khó xác minh kết quả.
 Thay vào đó, Điều tra viên có thể sử dụng các công cụ điều tra số chuyên
dụng cho việc phân tích các tệp đồ họa.
 Khi làm việc với các công cụ này và các công cụ OS tích hợp, hãy phát triển
các quy trình chuẩn cho tổ chức và tiếp tục tinh chỉnh chúng để các điều tra
viên khác có thể tham khảo.
 Điều tra viên cũng nên tuân theo các quy trình chuẩn cho từng trường hợp
để đảm bảo phân tích có kết quả chính xác.

23
 IV. Tìm kiếm và khôi phục tệp ảnh

 Trong quá trình điều tra Điều tra viên có thể sử dụng các công cụ điều tra số
để phân tích hình ảnh dựa trên thông tin trong tệp ảnh.
 Mỗi tệp ảnh có phần header để hướng dẫn hiển thị hình ảnh; thông tin
header này giúp xác định định dạng tệp.

24
 IV. Tìm kiếm và khôi phục tệp ảnh
 Tuy nhiên, Header phức tạp
và khó nhớ; thay vì ghi nhớ
thông tin header, có thể so
sánh header chuẩn đã biết
với header của tệp bị nghi
ngờ.
 Bảng danh sách Header
chuẩn của tệp tin

25
 IV. Tìm kiếm và khôi phục tệp ảnh

 Trước khi kiểm tra header tệp ảnh, cần xây dựng lại tệp ảnh bị phân mảnh.
 Để làm như vậy, cần xác định các mẫu dữ liệu của tệp ảnh.
 Nếu một phần của header tệp đã bị ghi đè bằng dữ liệu khác, cần chỉnh sửa
lại header bị sai. Bằng cách xây dựng lại header tệp, sau đó thực hiện phân
tích trên tệp ảnh được khôi phục.

26
 IV. Tìm kiếm và khôi phục tệp ảnh

Xác định sự phân mảnh của tệp ảnh:

 Nếu tệp đồ họa bị phân mảnh trên các vùng của ổ đĩa, cần phải khôi phục tất cả các mảnh
trước khi khôi phục tệp ảnh
 Khôi phục lại tệp tin đã bị phân mảnh gọi là “carving” hoặc “salvaging”
 Để lấy lại dữ liệu của tệp ảnh từ bộ nhớ slack và bộ nhớ trống, Điều tra viên cần biết các mẫu
dữ liệu của các loại tệp đồ họa đã biết.

27
 IV. Tìm kiếm và khôi phục tệp ảnh
Xác định sự phân mảnh của tệp ảnh:
 Nhiều chương trình điều tra số, chẳng hạn như X-Ways Forensics, OSForensics, EnCase và
FTK, có thể nhận dạng các mẫu dữ liệu này và tự động ghép lại các tệp ảnh từ bộ nhớ lưu
trữ.

28
 IV. Tìm kiếm và khôi phục tệp ảnh
Xác định sự phân mảnh của tệp ảnh:
 Sau khi ghép lại các tệp ảnh bị phân
mảnh, Điều tra viên khôi phục chúng
để tiếp tục kiểm tra.
 Sử dụng Autopsy và WinHex để sao
chép các mẫu dữ liệu đã biết từ các
tệp ảnh phân mảnh, sau đó khôi
phục thông tin này để xem tệp ảnh

29
V. Xác định các tệp tin không rõ định dạng

30
 V. Xác định các tệp tin không rõ định dạng
 Với những thay đổi liên tục trong công nghệ và đồ họa kỹ thuật số, Điều tra
viên có thể gặp phải các định dạng tệp đồ họa không quen thuộc.
 Ngoài ra, những kẻ tình nghi có thể sử dụng các chương trình cũ so với các
chương trình tạo tệp không phổ biến hoặc lỗi thời.
 Do đó, Điều tra viên phải nghiên cứu cả các loại tệp cũ và mới. Biết mục đích
của từng định dạng và cách nó lưu trữ dữ liệu là một phần của quá trình điều
tra.

31
 V. Xác định các tệp tin không rõ định dạng
 Internet là nguồn tốt nhất để tìm hiểu thêm về các định dạng tệp và phần mở
rộng của chúng.
 Trang web Webopedia thường được sử dụng để nghiên cứu định dạng tệp
TGA. Ngoài ra có thể sử dụng công cụ tìm kiếm để tìm “loại tệp” hoặc “định
dạng tệp” và tìm danh sách các trang Web mới nhất có thông tin về phần mở
rộng tệp.
 Nếu không thể tìm thấy phần mở rộng tệp cụ thể, tinh chỉnh tìm kiếm bằng
cách nhập phần mở rộng tệp cùng với từ "định dạng tệp" vào công cụ tìm
kiếm. Một định dạng phi chuẩn của tệp ảnh là XIF.

32
 V. Xác định các tệp tin không rõ định dạng
 Nuance PaperPort là một chương trình quét và lưu hình ảnh ở định dạng XIF
(còn được gọi là XIFF), được lấy từ định dạng tệp TIF.

33
 V. Xác định các tệp tin không rõ định dạng
Phân tích tiêu đề tệp ảnh:
 Điều tra viên nên phân tích các tiêu đề tệp ảnh khi tìm thấy các loại tệp mới hoặc duy nhất
mà các công cụ điêu tra không nhận ra.
 Cách đơn giản nhất để truy cập tiêu đề tệp là sử dụng trình hexa, chẳng hạn như WinHex.
 Sau đó, ghi lại các giá trị hexa trong tiêu đề và sử dụng chúng để xác định loại tệp.

34
 V. Xác định các tệp tin không rõ định dạng
Phân tích tiêu đề tệp ảnh:

35
 V. Xác định các tệp tin không rõ định dạng
Kỹ thuật giấu tin trong ảnh:
 Khi mở một số tệp đồ họa trong trình xem ảnh, chúng dường như không
chứa thông tin liên quan đến cuộc điều tra.
 Tuy nhiên, ai đó có thể giấu thông tin bên trong hình ảnh bằng cách sử
dụng kỹ thuật giấu dữ liệu có tên là steganography
 Kỹ thuật này sử dụng tệp gốc để che nội dung của một thông điệp bí mật.

36
 V. Xác định các tệp tin không rõ định dạng
Kỹ thuật giấu tin trong ảnh:
 Steganography đã được sử dụng từ thời cổ đại.
 Các nhà cai trị Hy Lạp đã sử dụng kỹ thuật này để gửi thông điệp bí mật
tới các nhà ngoại giao và quân đội thông qua sứ giả.
 Steganography đương đại có giới hạn vì một tệp đồ họa chỉ có thể ẩn một
lượng thông tin nhất định trước khi kích thước và cấu trúc của nó thay đổi.
 Tuy nhiên, nó cho phép ai đó để gửi thông tin bí mật cho người nhận, trừ
khi người khác phát hiện ra dữ liệu ẩn.

37
 V. Xác định các tệp tin không rõ định dạng
Kỹ thuật giấu tin trong ảnh:
 Hai hình thức chính của steganography là chèn và thay thế.
• Chèn đặt dữ liệu từ tệp bí mật vào tệp chủ.
• Khi xem tệp chủ trong chương trình được liên kết của nó, dữ liệu được chèn sẽ bị
ẩn trừ khi phân tích cấu trúc dữ liệu một cách cẩn thận.
• Ví dụ: nếu tạo một trang Web bằng HTML, trình duyệt sẽ hiển thị hình ảnh và
văn bản trong trình duyệt Web mà không tiết lộ mã HTML.
• Để phát hiện văn bản ẩn, cần so sánh nội dung tệp hiển thị và nội dung tệp
chứa.

38
 V. Xác định các tệp tin không rõ định dạng
Ví dụ về chèn dữ liệu:

39
 V. Xác định các tệp tin không rõ định dạng
Kỹ thuật thay thế:
 Xét ví dụ:
• Nếu sử dụng tệp đồ họa 8 bit, thì mỗi pixel được biểu thị bằng 8 bit dữ liệu chứa
thông tin về màu mà mỗi pixel hiển thị trên màn hình.
• Các bit được ưu tiên từ trái sang phải, chẳng hạn như 11101100. Bit đầu tiên bên
trái là bit quan trọng nhất (MSB) và bit cuối cùng bên phải là bit ít quan trọng
nhất (LSB).
• Việc thay đổi MSB ảnh hưởng đến hiển thị pixel nhiều hơn là thay đổi LSB. Thông
thường chỉ có thể thay đổi hai LSB cuối cùng trong một hình ảnh mà không tạo
ra sự thay đổi đáng chú ý về sắc thái màu mà pixel hiển thị.
• Để phát hiện sự thay đổi đối với hai LSB cuối cùng trong tệp đồ họa, cần sử dụng
công cụ phân tích dữ liệu ẩn, đây là phần mềm được thiết kế để xác định các kỹ
thuật steganography.

40
 V. Xác định các tệp tin không rõ định dạng
Kỹ thuật thay thế:
 Xét ví dụ:
• Nếu thông điệp bí mật được chuyển đổi thành dạng nhị phân thành 01101100 và
nhúng thông điệp bí mật này vào ảnh, thì thay đổi 2 bit cuối cùng của 4 pixel.
• Cần chia dạng nhị phân thành hai phần, như trong 01 10 11 00 và chèn các bit
vào 2 bit cuối cùng của mỗi pixel

41
 V. Xác định các tệp tin không rõ định dạng
Kỹ thuật thay thế:
 Xét ví dụ:
• Chuỗi 2 bit được thay thế cho 2 bit cuối cùng của pixel.
• Mắt người không thể phát hiện ra sự thay thế bit này, mắt người chỉ có thể nhìn
thấy khoảng 6 bit màu.
• Ví dụ sau hiển thị ảnh gốc ở bên trái và ảnh đã thay đổi ở bên phải.
• Hình ảnh đã thay đổi chứa thông báo ẩn được hiển thị trong hình.

42
 V. Xác định các tệp tin không rõ định dạng
Xét ví dụ:

43
 V. Xác định các tệp tin không rõ định dạng
 Cho dù việc chèn hay thay thế được sử dụng, Điều tra viên nên kiểm tra
các tập tin để tìm bằng chứng về việc lưu trữ dữ liệu, đặc biệt nếu nghi
phạm của bạn hiểu biết về kỹ thuật hoặc thấy các dấu hiệu cho thấy lưu
trữ dữ liệu đã được sử dụng.
 Manh mối cần tìm là các tệp giống nhau, chẳng hạn như hình ảnh, với các
giá trị băm khác nhau hoặc các chương trình lưu trữ dữ liệu được cài đặt
trên ổ đĩa của kẻ tình nghi.

44
45