Đang tải... (xem toàn văn)
Bài giảng Pháp chứng kỹ thuật số - Bài 4: Các kỹ thuật che giấu và tiêu hủy dữ liệu trên máy tính cung cấp cho người học các kiến thức: Chống điều tra kỹ thuật số, các thủ đoạn chống điều tra kỹ thuật số, mã hóa dữ liệu, mã hóa và giải mã dữ liệu,... Mời các bạn cùng tham khảo.
PHÁP CHỨNG KỸ THUẬT SỐ Bài 4: Các kỹ thuật che giấu tiêu hủy liệu máy tính Giảng viên: TS Đàm Quang Hồng Hải Chống điều tra kỹ thuật số • Anti Forensics – chống điều tra kỹ thuật số kỹ thuật sử dụng để đối phó để việc tìm kiếm thu thập chứng số điều tra • Sử dụng kỹ thuật làm ảnh hưởng đến tồn tại, số lượng chất lượng chứng số thu trường vụ án, điều làm cho việc phân tích kiểm tra chứng gặp khó khăn khơng thể thực Mục đích Anti forensics Các công cụ Anti Forensic khiến công việc truy hồi chứng trình điều tra trở nên khó khăn chí khơng thể thực Các thủ đoạn chống điều tra kỹ thuật số • Người ta chia thủ đoạn chống điều tra kỹ thuật số loại sau: • • • • Che giấu liệu có chứng số Xóa chứng số Làm sai lạc dấu vết Dùng phần mềm chống quy trình cơng cụ điều tra kỹ thuật số Che giấu liệu có chứng cớ • Ẩn liệu có chứng cớ trình làm cho liệu khó tìm với người lạ giữ dễ tiếp cận với người chủ để cịn sử dụng tương lai • • • Mã hóa liệu Kỹ thuật giấu liệu Ẩn giấu file liệu Mã hóa liệu • Mã hóa (Cryptography ) cách giấu liệu thơng dụng Khi liệu mã hóa, người ta sử dụng thuật tốn phức tạp để khiến liệu khó đọc • Mã hóa có hai q trình ngược chiều mã hóa (Encrypt) giải mã (Decrypt) dựa vào chìa khóa bí mật (key) • Các thuật tốn mã hóa phức tạp, thời gian giải mã mà khơng có mã số Các thuật tốn mã hóa bị phá phải tốn nhiều thời gian cơng sức Mã hóa giải mã liệu Kỹ thuật mã hóa liệu • Thơng thường mã hóa, người ta thiết lập mật cho tập tin thư mục, cách an tồn cho việc mã hóa và bảo vệ dữ liệu Tập tin thư mục được mã hóa mở sử dụng cách khai báo mật • • Người ta hay dùng mã hóa file phần mềm nén file (zip) có dùng mật Nếu khơng có mã số, Pháp chứng viên phải sử dụng đến chương trình chuyên dụng để bẻ khóa Mã hóa nén file zip Tạo ổ đĩa logic mã hóa • Người ta tạo ổ đĩa ảo mã hóa mã hóa tồn ổ đĩa logic (bao gồm ổ cài đặt Windows) • Dữ liệu lưu trữ ổ đĩa mã hóa (encryption volume) khơng thể đọc người dùng khơng cung cấp khóa mã • Dữ liệu tự động mã hóa giải mã ghi xuống ổ đĩa mã hóa liệu nạp lên mà khơng có can thiệp người dùng Giấu file file • • • Có thể giấu file bên file khác Executable files –là file máy tính chạy giấu file khác Những chương trình gọi packer lồng executable file vào file loại khác, cơng cụ binder gắn kết nhiều executable file lại với Xóa chứng số • Sử dụng phần mềm xóa chứng số qua loại bỏ vĩnh viễn tập tin cụ thể toàn File system • Việc xóa chứng số thực thông qua việc sử dụng phần mềm như: • • • Phần mềm xóa tập tin Phần mềm làm đĩa, Cơng nghệ khử từ, xóa ổ đĩa Phần mềm xóa tập tin • File wiping utilities – Phần mềm xóa tập tin sử dụng để xóa tập tin cá nhân từ hệ điều hành • • Ưu điểm Phần mềm xóa tập tin hồn thành cơng việc nhanh chóng Một số phần mềm: BCWipe, R-Wipe & Clean, Eraser, Aevita Wipe & Delete, PrivacySuite Phần mềm Privacy Suite Cyberscrub Phần mềm làm đĩa • Disk cleaning utilities - Phần mềm làm đĩa sử dụng nhiều phương pháp để ghi đè lên liệu có đĩa • Phần mềm làm đĩa vĩnh viễn xóa file bị xóa đảm bảo khơng thể đọc lại thơng tin • Một số phần mềm thơng dụng: TuneUp Disk Cleaner, DBAN (Darik's Boot and Nuke), BCWipe, KillDisk, PC Inspector, cyberCide TuneUp Disk Cleaner Cơng nghệ khử từ, xóa ổ đĩa Làm sai lạc dấu vết • Mục đích làm sai lạc dấu vết để gây nhầm lẫn, nghi ngờ làm chuyển hướng q trình điều tra số • Làm sai lạc dấu vết bao gồm loạt kỹ thuật công cụ làm thay đổi thông tin đăng nhập, làm giả mạo tạo thông tin sai lạc • Dùng phần mềm thay đổi Metadata (lý lịch liệu) đính kèm với file Nếu Metadata bị hủy hoại, việc chứng minh chứng trở nên khó khăn Phần mềm thay đổi Header file • • Dùng phần mềm đánh lừa cách thay đổi thông tin header file Header thường ẩn với người thực quan trọng thơng báo cho máy tính loại file mà gắn với • Pháp chứng viên tìm kiếm định dạng file cụ thể bỏ qua thông tin quan trọng Header file bị thay đổi không liên quan tới thông tin cần tìm kiếm • Phần mềm: Transmogrify File Header Metadata file • Metadata bao gồm thơng tin giống file tạo lần file thay đổi cuối Sử dụng phần mềm bảo vệ hệ thống • Nghi phạm dủng phần mềm cài máy chống quy trình cơng cụ điều tra kỹ thuật số • Sử dụng ứng dụng tự động xóa liệu có người khơng quyền truy cập hệ thống vào Phần mềm tự xóa liệu • Các phần mềm giúp người chủ máy tính, Laptop hay thiết bị di động hủy liệu khi máy bị bị thu giữ • • Chức tự xóa chức phầm mềm chống cắp thiết bị Các phần mềm dùng: Prey, LaptopLock, LoJack, McAfee Anti-Theft, Adeona Phần mềm chống cắp thiết bị Hết ...Chống điều tra kỹ thuật số • Anti Forensics – chống điều tra kỹ thuật số kỹ thuật sử dụng để đối phó để việc tìm kiếm thu thập chứng số điều tra • Sử dụng kỹ thuật làm ảnh hưởng đến... tra kỹ thuật số • Người ta chia thủ đoạn chống điều tra kỹ thuật số loại sau: • • • • Che giấu liệu có chứng số Xóa chứng số Làm sai lạc dấu vết Dùng phần mềm chống quy trình cơng cụ điều tra kỹ. .. phát message (Hiderman, JPHideand Seek, Masker, JPegX…) Kỹ thuật giấu liệu • Kỹ thuật che giấu cịn dùng cơng nghiệp giải trí phần mềm kỹ thuật đánh dấu (watermarking) hình ảnh, âm nhạc hay phần