GIỚI THIỆU CHUNG VỀ ĐIỀU TRA SỐ
Khái niệm
Điều tra số (Digital Forensics) là một lĩnh vực trong khoa học điều tra, sử dụng các phương pháp và công cụ kỹ thuật đã được chứng minh để thu thập, bảo quản, phân tích và trình bày thông tin từ dữ liệu số Mục tiêu của điều tra số là tái hiện các sự kiện nhằm phát hiện hành vi phạm tội hoặc hỗ trợ dự đoán các hoạt động trái phép như xâm nhập, tấn công hoặc gây gián đoạn hệ thống.
Mục đích và ứng dụng
Điều tra số nhằm mục đích thu thập và phân tích chứng cứ thuyết phục để làm sáng tỏ các vấn đề Nó có ứng dụng quan trọng trong khoa học điều tra, góp phần vào việc giải quyết các vụ án và nâng cao hiệu quả của quá trình điều tra.
Điều tra số có vai trò quan trọng trong việc xác định các yếu tố ảnh hưởng đến hệ thống, đồng thời phát hiện nguyên nhân xâm nhập và nguồn gốc của các hành vi vi phạm xảy ra.
Điều tra số đóng vai trò quan trọng trong việc hỗ trợ cơ quan điều tra thu thập chứng cứ số thuyết phục khi xử lý các vụ án tội phạm công nghệ cao, từ đó áp dụng các biện pháp xử phạt thích hợp cho những hành vi vi phạm pháp luật.
Các bước thực hiện điều tra
Một cuộc điều tra số thường trải qua bốn giai đoạn chính: chuẩn bị, tiếp nhận dữ liệu (hay còn gọi là ảnh hóa tang vật), phân tích và lập báo cáo.
Chuẩn bị: Giai đoạn này bao gồm việc mô tả thông tin hệ thống, các sự kiện đã xảy ra và các dấu hiệu liên quan, nhằm xác định phạm vi điều tra, mục tiêu cũng như các tài nguyên cần thiết cho toàn bộ quá trình điều tra.
Kiểm tra xác minh là bước đầu tiên trong quá trình điều tra, giúp cung cấp cái nhìn tổng quan về thông tin liên quan đến hệ thống bị tấn công Giai đoạn này bao gồm việc thu thập thông tin về hạ tầng mạng, các cơ chế bảo vệ hệ thống, ứng dụng ngăn chặn virus, cũng như các thiết bị mạng như tường lửa, IDS và router đang được triển khai.
Sau khi hoàn thành nhiệm vụ kiểm tra xác minh, chúng ta sẽ mô tả chi tiết thông tin về hệ thống, bao gồm thời gian bị tấn công, đặc điểm phần cứng, hệ điều hành, phần mềm cài đặt, danh sách người dùng và các thông tin hữu ích khác Một phần dữ liệu này sẽ được trích xuất bằng các phần mềm hỗ trợ điều tra, do việc điều tra không thể thực hiện trực tiếp trên hệ thống bị tấn công, vì có thể đã có phần mềm độc hại được cài đặt.
Quá trình thu thập dữ liệu là bước quan trọng trong việc tạo ra bản sao chính xác của các sector, hay còn gọi là nhân bản điều tra các phương tiện truyền thông Bước này giúp xác định rõ các nguồn chứng cứ và thu thập chúng một cách có hệ thống Để bảo vệ tính toàn vẹn của chứng cứ, việc sử dụng hàm băm mật mã là cần thiết, đảm bảo rằng dữ liệu không bị thay đổi trong suốt quá trình điều tra.
Giai đoạn phân tích và điều tra hệ thống máy tính bị tấn công là rất quan trọng Tất cả thông tin máy tính có sẵn cần được đưa vào một môi trường an toàn để thực hiện quá trình này hiệu quả.
NHÓM 5 điều tra an toàn để thực hiện công việc điều tra, phân tích, đây là việc làm rất quan trọng bởi vì nó phải đảm bảo được rằng những chứng cứ thu được ban đầu cần phải đảm bảo được tính toàn vẹn.Tất cả các dữ liệu thu được từ hệ thống (bộ nhớ, tiến trình, kết nối mạng, phân vùng đĩa…) phải được ghi lại và ký mã bởi các thuật toán như MD5 hoặc SHA1 để đảm bảo tính toàn vẹn chứng cứ, trước khi bắt đầu điều tra thì người thực hiện nhiệm vụ phân tích điều tra sẽ kiểm tra độ tin cậy của chứng cứ dựa vào thông tin mà các chuỗi MD5 hay SHA1 cung cấp Nhằm tránh việc gian lận và cài đặt, làm giả các chứng cứ đánh lạc hướng điều tra.
Phân tích là giai đoạn mà các chuyên gia áp dụng các phương pháp nghiệp vụ, kỹ thuật và công cụ đa dạng để thu thập, trích xuất và phân tích các bằng chứng đã được thu thập.
- Thiết lập mốc thời gian và phân tích:
Sau khi thu thập chứng cứ, tất cả dữ liệu sẽ được cách ly trong môi trường điều tra an toàn Nhiệm vụ tiếp theo là thiết lập tập tin thời gian, giúp người điều tra theo dõi các hoạt động của hệ thống Tập tin thời gian cho phép xác định thời điểm cuối cùng một tập tin thực thi được chạy, cũng như các tập tin hoặc thư mục được tạo hoặc xóa Qua đó, người điều tra có thể hình dung và phỏng đoán sự hiện diện của các kịch bản hoạt động.
Phân tích phương tiện truyền dữ liệu của hệ điều hành là bước quan trọng trong việc tìm kiếm các đầu mối liên quan đến một hệ thống bị thỏa hiệp Dựa trên các kết quả thu được từ việc phân tích thời gian, chúng ta có thể tiến hành điều tra các phương tiện truyền thông Bộ công cụ sử dụng cho việc phân tích sẽ phụ thuộc vào nhiều yếu tố khác nhau.
Nền tảng phần mềm được sử dụng trong máy tính phục vụ điều tra
Nền tảng phần mềm được sử dụng trong các hệ thống mục tiêu của việc phân tích
Trong giai đoạn này, việc phân tích các lớp phương tiện truyền thông như vật lý, dữ liệu, siêu dữ liệu, hệ thống tập tin và tên tập tin là rất quan trọng để tìm kiếm bằng chứng về việc cài đặt các tập tin nghi ngờ cũng như các thư mục đã được thêm vào hoặc gỡ bỏ.
Người phân tích có thể bắt đầu tìm kiếm các chuỗi cụ thể trong các tập tin để phát hiện thông tin hữu ích như địa chỉ IP và địa chỉ Email, từ đó hỗ trợ trong việc truy tìm dấu vết của cuộc tấn công.
Khôi phục dữ liệu là bước quan trọng sau khi phân tích các phương tiện truyền thông, cho phép chuyên viên điều tra tìm kiếm và trích xuất dữ liệu từ chứng cứ đã ghi lại Quá trình này bao gồm việc phục hồi các tập tin đã bị xóa và khám phá không gian trống hoặc chưa phân bổ dữ liệu, giúp phát hiện nhiều tập tin phân mảnh Những thông tin này có thể cung cấp manh mối về các hành động xóa tập tin và thời gian xảy ra, từ đó giúp xác định các hoạt động tấn công trên hệ thống, chẳng hạn như việc xóa các bản ghi liên quan đến quá trình thâm nhập.
Sau khi thu thập chứng cứ có giá trị, cần tài liệu hóa chi tiết và báo cáo cho bộ phận xử lý Các chuyên gia phân tích phải trình bày rõ ràng các kỹ thuật điều tra, công nghệ và phương thức đã sử dụng, cùng với các chứng cứ thu được, trong báo cáo quá trình điều tra.
Các loại hình điều tra số
- Điều tra máy tính (Computer Forensics)
- Điều tra mạng (network forensic)
- Điều tra thiết bị di động (Mobile device Forensics)
PHÂN TÍCH ĐIỀU TRA SỐ TRÊN HỆ ĐIỀU HÀNH MACINTOSH
Giới thiệu
Phân tích điều tra số máy tính là phương pháp nghiên cứu và thu thập bằng chứng kỹ thuật số, đảm bảo tính toàn vẹn của dữ liệu, thường do sĩ quan cảnh sát thực hiện để thu thập chứng cứ về tội phạm Tuy nhiên, quản trị viên hệ thống và chuyên gia bảo mật cũng có thể tham gia khi nghi ngờ về sự giả mạo hệ thống Việc thực hiện phân tích theo các phương pháp điều tra số được chấp nhận tại tòa án mở ra khả năng theo đuổi hành động pháp lý đối với thủ phạm Bài báo này nhằm mô tả các kỹ thuật điều tra số cơ bản liên quan đến Macintosh, bắt đầu từ việc hiểu các kỹ thuật áp dụng cho tất cả hệ thống máy tính, sau đó là lịch sử về các kiểu máy và hệ điều hành Macintosh, và cuối cùng là hướng dẫn thực hiện phân tích hệ thống Macintosh sử dụng MacOS.
Các kỹ thuật điều tra số máy tính cơ bản
Để bằng chứng được công nhận trong tòa án, điều quan trọng là nó phải giữ nguyên trạng thái mà không bị sửa đổi Đây là nguyên tắc cơ bản áp dụng cho mọi loại bằng chứng.
NHÓM 5 khẩu súng đã được sử dụng trong một vụ phạm tội, thì việc sửa đổi bản chất vật lý của dạng bằng chứng này tương đối khó khăn Tuy nhiên, bằng chứng máy tính rất dễ bị sửa đổi Trên thực tế, do sự phức tạp tuyệt đối của các hệ thống máy tính, người ta thường thậm chí không nhận ra rằng dữ liệu trên ổ cứng đã bị thay đổi Ví dụ: trên hệ thống windows, khi khởi động máy tính, ngày và giờ truy cập lần cuối sẽ được sửa đổi. Tương tự như vậy hệ thống Macintosh cố gắng gắn kết tất cả các thiết bị mà nó tìm thấy khi khởi động, điều này làm thay đổi ngày và giờ truy cập cuối cùng của một số tệp nhất định Cách an toàn nhất để ngăn chặn bất kỳ sự sửa đổi dữ liệu nào là tạo ra một “mirror image”(bản sao) của ổ cứng ta muốn kiểm tra, sau đó thực hiện phân tích trên bản sao Bằng cách này, ổ đĩa gốc không bao giờ bị sửa đổi Có rất nhiều cách để thực hiện việc này, nó sẽ được trình bày kỹ hơn ở phần sau của báo cáo này. Sau khi ta có được “mirror image”, ta có thể tự do bắt đầu phân tích mà không sợ thay đổi dữ liệu gốc (rõ ràng là dữ liệu gốc được giữ nguyên vẹn ở một nơi an toàn mà rất ít người có quyền truy cập Những dữ liệu đó có thể làm chứng trước tòa và chúng ta đã không sửa đổi nó theo bất kỳ cách nào) Điều quan trọng là tất cả các hành động của chúng ta phải được ghi lại rất đầy đủ.
Việc phân tích bằng chứng cần được thực hiện một cách có hệ thống và cẩn thận, vì nếu không, ta có thể không tìm thấy thông tin hữu ích Nếu phát hiện ra bằng chứng và gọi cảnh sát, nhưng bằng chứng đó đã bị nhiễm độc do kiểm soát kém, cảnh sát sẽ không thể sử dụng nó Để bằng chứng có giá trị, cần theo dõi và ghi lại mọi hoạt động liên quan đến nó Những người đã tiếp xúc với bằng chứng có thể bị yêu cầu làm chứng và mô tả hành động của họ Do đó, việc kiểm soát và ghi chép rõ ràng là rất quan trọng để đảm bảo rằng "smoking gun" có thể được sử dụng hiệu quả trong quá trình điều tra.
Khi phân tích máy tính khả nghi, việc xác định vị trí bằng chứng trên ổ cứng là rất quan trọng Có ba khu vực chính để tìm kiếm bằng chứng: các tệp đang hoạt động, không gian chưa được phân bổ và không gian chùng (slack space) Các tệp đang hoạt động là những tệp đang được sử dụng hoặc có sẵn, nhưng cần lưu ý rằng một số tệp có thể bị ẩn Không gian chưa được phân bổ là không gian không được gán cho các tệp trong hệ thống tệp Trong khi đó, không gian chùng là những phần đĩa dư thừa do các tệp không sử dụng hết dung lượng.
Khi khởi động máy tính bằng bản “mirror image” của ổ cứng, chúng ta có thể gặp phải nhiều vấn đề nghiêm trọng Đầu tiên, việc khởi động này có thể dẫn đến việc sửa đổi các tệp khác nhau, làm mất đi những bằng chứng quan trọng trong không gian chùng và không được phân bổ Thứ hai, nếu không kết nối thiết bị khác, các công cụ phân tích sẽ bị giới hạn trong khu vực ổ đĩa bị nghi ngờ Để có cái nhìn chính xác về hệ thống trong môi trường gốc của nó, việc khởi động với bản sao nên được thực hiện vào cuối quá trình phân tích Khi thực hiện điều này, cần đặt bản sao vào máy tính bị nghi ngờ (với ổ cứng nghi ngờ đã được ngắt kết nối) để đảm bảo tất cả các driver đã được cài đặt sẽ tương thích với phần cứng.
Phương pháp phân tích điều tra được khuyến nghị là sử dụng một máy tính riêng biệt với hệ điều hành tin cậy để thực hiện phân tích Đầu tiên, khởi động máy tính phân tích và kết nối với bản sao ổ cứng cần kiểm tra Máy tính này có thể là bất kỳ loại máy nào, miễn là các công cụ điều tra số tương thích với định dạng tệp của bản sao Thông thường, việc sử dụng máy phân tích với cùng hệ điều hành sẽ mang lại hiệu quả tốt hơn.
NHÓM 5 hành và hệ thống tệp (thường có thể sử dụng phiên bản hệ điều hành mới hơn để phân tích phiên bản cũ hơn vì chúng có xu hướng tương thích ngược) Có những công cụ phần mềm điều tra số được thiết kế để hoạt động trên một hệ thống, nhưng có thể phân tích nhiều hệ thống tệp Ví dụ, phần mềm điều tra số EnCase chạy trên hệ thống Windows, nhưng có thể nhận dạng hệ thống tệp “FAT12, FAT16, FAT32, NTFS, Linux, UNIX, Macintosh, CD-ROM và DVD-R” Lý tưởng nhất là ta kết nối bản sao với máy phân tích của mình, nó sẽ được kết nối thông qua một số dạng thiết bị bảo vệ ghi phần cứng như Fastbloc hoặc Fireblocker để ngăn chặn bất kỳ sửa đổi nào đối với ổ IDE (ổ SCSI được tích hợp sẵn jumper cho phép ta viết bảo vệ chúng) Nếu một thiết bị như vậy ta không có sẵn và ta đang làm việc với “image” chứ không phải bản gốc, ta có thể chọn kết nối “image” trực tiếp với máy phân tích của mình, thừa nhận rằng ta có thể mất một số bằng chứng (trong một nghiên cứu đã phát hiện ra rằng việc khởi động Windows 98 đã gây ra các thay đổi trong hơn 400 tệp Cũng có khoảng 400 tệp đã được sửa đổi để đáp ứng với việc tắt máy nhanh) Tuy nhiên, vì ta không khởi động với “image”, nguy cơ mất một số bằng chứng là rất nhỏ vì các thay đổi đối với ổ đĩa sẽ bị hạn chế Đừng quên rằng việc sửa đổi “image” là có thể chấp nhận được vì nó chỉ là bản sao của ổ đĩa bằng chứng Mối quan tâm duy nhất của ta là với bằng chứng, mà nếu nó bị ghi đè thì sẽ không bị ai phát hiện ra vì ta không bao giờ chạm vào ổ đĩa gốc Để giảm thiểu rủi ro sửa đổi , ta nên chạy một số hình thức khóa ổ cứng phần mềm ngay sau khi hệ thống được khởi động.
Khi có quyền truy cập vào bản sao trên máy phân tích, chúng ta nên khám phá từng thư mục tệp để hiểu rõ hệ thống tình nghi Việc phục hồi các tệp đã xóa là cần thiết, và các phần mềm điều tra số như ilook hoặc EnCase sẽ tự động hiển thị chúng Khoảng 95% bằng chứng thường nằm trong các tệp đang hoạt động, vì vậy việc xem xét kỹ lưỡng các thư mục là rất quan trọng.
NHÓM 5 tìm kiếm từ khóa trên toàn bộ ổ đĩa Điều này sẽ giúp ta khám phá bằng chứng trong không gian chùng và không được phân bổ Ta phải ghi lại mọi mục mà ta tìm thấy, trong trường hợp tệp đang hoạt động, hãy ghi lại đường dẫn đầy đủ và tên tệp Trong trường hợp không gian bị chùng hoặc chưa được phân bổ, ta nên ghi lại thông tin và khu vực nào trên ổ đĩa.
Đôi nét về hệ điều hành Macintosh
Nhiều kỹ thuật điều tra số cơ bản được áp dụng cho Macintosh, nhưng các kiểu máy và hệ điều hành khác nhau gặp phải nhiều trở ngại Chiếc máy tính Apple đầu tiên được tạo ra vào năm 1976 bởi Steven Jobs và Steven Wosniac, nhưng mãi đến năm 1986, Apple IIgs mới đưa ổ cứng đầu tiên vào máy Điều này rất quan trọng vì trước đó, việc phân tích máy Mac để lấy bằng chứng gặp nhiều khó khăn Hầu hết các ổ cứng Macintosh ban đầu là SCSI, làm phức tạp thêm vấn đề Vấn đề lớn nhất với các hệ thống Macintosh đời đầu là đạt được quyền truy cập vào ổ cứng, thường cần công cụ đặc biệt để mở hộp Trong những trường hợp này, phân tích điều tra số có thể thực hiện bằng cách khởi động hệ thống từ ổ đĩa SCSI Zip chứa hệ điều hành và công cụ phân tích Người dùng cần cắm ổ SCSI Zip và giữ các phím Command, Option, Shift và Delete khi bật nguồn, giúp Macintosh kiểm tra chuỗi SCSI theo thứ tự ngược lại để tìm thư mục hệ thống có thể khởi động.
Hệ thống sẽ khởi động từ ổ đĩa được chỉ định (ID 7 dành riêng cho CPU Macintosh) Ổ đĩa nghi ngờ sẽ vẫn được “mount”, cho phép áp dụng khóa ghi phần mềm nhằm giảm thiểu thay đổi Mặc dù đây không phải là giải pháp lý tưởng, nhưng khi không thể truy cập ổ cứng, đây là một trong những lựa chọn ít ỏi May mắn thay, các máy Mac hiện đại hơn hỗ trợ việc truy cập này dễ dàng hơn.
NHÓM 5 cập các thành phần bên trong trở nên cực kỳ dễ dàng G3 được giới thiệu lần đầu tiên vào năm 1997 và nó cho phép dễ dàng truy cập vào ổ cứng.
Hệ điều hành Macintosh hiện được chia thành hai loại: Classic OS và macOS (trước đây là OS X) Từ năm 2016, tên hệ điều hành đã được đổi thành macOS với phiên bản mới nhất là 10.16, hay còn gọi là macOS Big Sur OS X chỉ hoạt động trên hệ thống G3 trở lên, do đó, nếu có "image" của hệ thống trước G3, người dùng sẽ không thể khởi động nó trên các dòng máy từ G4 trở lên, mặc dù vẫn có thể gắn nó.
Chuẩn bị cho việc phân tích điều tra số trên Macintosh
Hệ điều hành Macintosh OS X là lựa chọn lý tưởng cho phân tích điều tra số, nhờ vào sức mạnh của các lệnh Unix trong Terminal Mặc dù OS X khác biệt so với OS Classic, nhưng nó vẫn đảm bảo tính tương thích ngược Để tiến hành phân tích, người dùng nên cấu hình máy phân tích, với khuyến nghị sử dụng MacBook chạy OS X 10.15 (Catalina), 10.16 (Big Sur) hoặc phiên bản OS X phù hợp Để ngăn chặn việc tự động gắn kết ổ đĩa khi khởi động, cần tắt tính năng autodiskmount và disk arbitration trong OS X, nhằm kiểm soát quá trình xử lý các đĩa gắn ngoài như Firewire và USB.
NHÓM 5 được khởi động bằng launchd Các ổ, đĩa mới được lắp vào máy tính sẽ tự động được mount, điều mà ta có thể không muốn xảy ra (ví dụ:Nếu bạn đang định hình một hệ thống, điều tra phần mềm độc hại trên thiết bị, cố gắng sửa lỗi, v.v.) Có một số cách để dừng diskarbitrationd Một trong những cách dễ dàng nhất (và ít xâm phạm nhất vì nó không yêu cầu khởi động lại) là sử dụng launchctl Để vô hiệu hóa tính năng disk arbitration, trước tiên hãy chạy lệnh sau để nhận danh sách các quy trình launchd- initiated hiện đang chạy: launchctl list
Sẽ hiện ra quá nhiều kết quả, vì vậy hãy giới hạn tìm kiếm với chuỗi
“diskarbitrationd”: launchctl list | grep diskarbitrationd
Để dừng một quá trình, trước tiên bạn cần xác định PID và tên của quá trình, ví dụ như apple.com.diskarbitrationd Sau đó, sử dụng lệnh sau để ngừng quá trình đó: launchctl stop apple.com.diskarbitrationd.
Sau khi dừng, hãy xác minh rằng diskarbitrationd không còn chạy nữa: ps aux
Khi hoàn thành nhiệm vụ và muốn kích hoạt lại tính năng diskarbitrationd, bạn có thể khởi động lại bằng lệnh startctl start apple.com.diskarbitrationd Lưu ý rằng đĩa hệ thống điều tra không nhất thiết phải là ổ cứng bên trong máy tính; bạn có thể sử dụng ổ cứng ngoài dung lượng lớn (120GB) kết nối qua firewire làm ổ đĩa điều tra số Việc này rất tiện lợi vì không có ổ đĩa nào khác được gắn vào.
NHÓM 5 việc loại bỏ tính năng autodiskmount, đây sẽ là ổ đĩa duy nhất có sẵn mà ta có thể sao chép bản sao điều tra số
Chúng ta nên tạo một tài khoản người dùng mang tên "Analysis" trên hệ thống, với quyền hạn người dùng bình thường thay vì quyền quản trị viên Việc này rất quan trọng để đảm bảo tính bảo mật và kiểm soát tốt hơn trong quá trình quản lý hệ thống.
“image” từ ổ cứng của nghi phạm, ta sẽ được đăng nhập với quyền root.
Khi tạo một "image", nó sẽ tự động được chia sẻ và có thể truy cập bởi tất cả người dùng khác Do đó, sau khi hoàn tất việc tạo image, người dùng cần đăng nhập với tư cách phù hợp.
Để đảm bảo an toàn khi làm việc với tài khoản "Analysic", cần giữ cho màn hình "desktop" hoàn toàn trống rỗng, không có liên kết, tệp hoặc thư mục nào Việc này rất quan trọng vì khi chúng ta gắn "image" của ổ đĩa đáng ngờ, mọi thứ trên màn hình của kẻ đáng nghi sẽ hiển thị trên màn hình của chúng ta Để tránh nhầm lẫn giữa hai loại, tốt nhất là không nên có bất kỳ nội dung nào trên màn hình của chúng ta.
Bước cuối cùng trong quá trình chuẩn bị máy phân tích là cài đặt phần mềm điều tra số cần thiết Mặc dù OS X đã cung cấp một số công cụ như lệnh dd và khả năng tìm kiếm tệp, nhưng việc sử dụng phần mềm bên thứ ba cũng rất hữu ích cho phân tích Cụ thể, chúng ta cần một chương trình cho phép xem và sử dụng tất cả các tệp đang hoạt động, bao gồm cả những tệp bị ẩn Sử dụng Finder kèm theo plugin Total Finder sẽ giúp mở rộng tính năng của Finder, cho phép người dùng truy cập vào các tệp ẩn dễ dàng hơn Ngoài ra, còn có một số phần mềm khác giúp hiển thị thư mục bị ẩn trên macOS.
NHÓM 5 b) Một chương trình cho phép ta tìm kiếm các từ khóa trong toàn bộ ổ cứng vật lý, bao gồm cả không gian chùng và không gian chưa được phân bổ Đối với điều này, ta nên sử dụng Spotlight có sẵn trên các máy macOS nó cho phép tìm kiếm rất nhiều loại khác nhau. c) Một chương trình có thể phục hồi các tập tin đã xóa Ta đề xuất Disk Drill dành cho Macintosh hoặc Norton Utilities, đây là một phần mềm mạnh mẽ nó cho phép ta hồi phục các tập tin đã xóa chống phân mảnh, phân tích tất cả các phần của ổ cứng theo từng khu vực. d) macOS hỗ trợ nhiều phần mềm mặc định cho phép ta xem nhiều định dạng tệp.Ví dụ để xem ảnh có Preview, nếu không muốn xem bằng các phần mềm mặc định ta có thể dùng thử Graphic Converter của Lemke Software Nó có thể nhập 160 định dạng tệp đồ họa và xuất 45.
Để dễ dàng truy cập, chúng ta nên tạo liên kết đến các công cụ này trên thanh tác vụ, giúp giữ cho màn hình luôn sạch sẽ.
Các bước phân tích điều tra số trên hệ điều hành Macintosh
Bây giờ khi máy tính phân tích đã sẵn sàng, chúng ta sẽ tập trung vào quy trình từng bước để giải thích cách thực hiện phân tích an toàn cho hệ thống máy tính Macintosh.
NHÓM 5 a) Ghi lại hành động của ta và tất cả các chi tiết thích hợp của máy tính tình nghi Điều này bao gồm lưu ý lý do tại sao ta cần thực hiện phân tích máy tính đó, loại máy tính và tất cả các thành phần của nó, tên của những người đã truy cập vào máy tính và vị trí thực tế cụ thể của nó. b) Tạo “image” của ổ cứng nghi ngờ Điều này được thực hiện bằng cách tháo ổ cứng khỏi máy tính bị nghi ngờ kết nối nó với cáp firewire Cắm cáp firewire vào máy phân tích của ta và bật nguồn. Tại màn hình đa khởi động, hãy đảm bảo rằng ta chọn phân vùng khởi động điều tra số của mình Nếu ta vô tình chọn ổ đĩa tình nghi, ta sẽ sửa đổi dữ liệu trên đó, vì vậy hãy cẩn thận ở điểm này! Khi hệ thống điều tra số của ta đã khởi động, hãy đăng nhập với quyền root Ta sẽ chỉ thấy một ổ đĩa ở góc trên bên phải của màn hình; đây sẽ là hệ thống điều tra số của ta Nhớ lại rằng ta đã tắt autodiskmount.Vì các phân vùng của ổ cứng nghi ngờ không được mount ra nên chúng không được sửa đổi theo bất kỳ cách nào Tại thời điểm này, ta sẽ muốn mở một cửa sổ terminal (MacOSX:Applications:Utilities:Terminal) Bây giờ ta đang ở một dòng lệnh kiểu Unix Gõ lệnh “pdisk”, rồi “L” Thao tác này sẽ cung cấp cho ta danh sách tất cả các ổ đĩa hiện đang kết nối với hệ thống Ta cần xác định số phân vùng đã được gán cho ổ cứng nghi ngờ Điều quan trọng là ta phải làm quen với hệ thống của chính mình để có thể phân biệt nó với hệ thống của máy tính đáng nghi (ví dụ: tên phân vùng duy nhất, số của phân vùng, kích thước của phân vùng, kích thước của ổ đĩa, v.v.) Giả sử rằng ổ đĩa nghi ngờ là “rdisk1”, sau đó ta chỉ cần ghi số này vào ghi chú của mình và thoát khỏi chương trình pdisk bằng cách gõ “q” Bây giờ ta đang ở lại dòng lệnh và chúng ta đã sẵn sàng để tạo image từ ổ cứng nghi ngờ Lệnh sử dụng để tạo image là lệnh “dd” (nếu ta gõ “man dd”, ta sẽ được giải thích chi tiết về cách sử dụng nó) Cú pháp như sau:
NHÓM 5 dd if = ”đường dẫn của tệp vào” of = ”đường dẫn của tệp ra” Có nhiều biến khác cho phép ta chỉ image các phần của ổ đĩa, nhưng chúng ta muốn toàn bộ, vì vậy chúng không liên quan đến chúng ta Điều quan trọng cần lưu ý là Unix / Linux coi các ổ đĩa là tệp.
Tệp đầu vào của chúng ta sẽ là đường dẫn đến ổ đĩa đáng ngờ: “/dev/rdisk1”, trong khi tệp đầu ra sẽ là tệp hình ảnh mà chúng ta muốn tạo Nên đặt tên cho tệp đầu ra một cách có ý nghĩa để dễ dàng kết nối với ổ đĩa nghi ngờ, có thể là tên người dùng hoặc số sê-ri của ổ cứng.
“/Users/Shared/hdr-sn1234567.dmg” Vì vậy, lệnh cuối cùng của chúng ta sẽ giống như sau: dd if =”/dev/rdisk1” of
=”/Users/Shared/ hdr- sn1234567.dmg” Sau khi hình ảnh được hoàn thành, ta nên xóa nhận xét khỏi dòng autodiskmount trong tệp
Để đảm bảo quyền truy cập vào tất cả các ổ đĩa và phân vùng khi khởi động lại, hãy tháo kết nối ổ cứng nghi ngờ và mount tệp hình ảnh vừa tạo, tránh nhận xét dòng autodiskmount Ngắt kết nối ổ cứng nghi ngờ và lưu trữ nó ở nơi an toàn, có kiểm soát quyền truy cập Sau này, bạn có thể sử dụng lệnh dd để ghi tệp hình ảnh trở lại ổ cứng khác (lớn hơn nhưng không nhỏ hơn) nhằm khởi động hệ thống nghi ngờ và kiểm tra những gì đã được xem.
Có nhiều phương pháp để sao chép image ổ cứng, trong đó có việc sử dụng thiết bị phần cứng như SoloMasster Thiết bị này cho phép nhân bản ổ cứng sang ổ cứng khác có dung lượng lớn hơn, giúp tạo bản sao nhanh chóng Tuy nhiên, trên hệ thống Macintosh, chúng ta không thể mount bản sao mà không sửa đổi dữ liệu SoloMasster là lựa chọn lý tưởng khi mục tiêu chỉ là khởi động máy tính khả nghi từ bản sao image đã tạo.
Một phương pháp khác để ghi image ổ cứng là sử dụng chương trình Safeback, cho phép tạo image drive trên băng từ hoặc các phương tiện khác Tuy nhiên, để phân tích dữ liệu, ta cần khôi phục image này vào một ổ cứng khác và thực hiện quy trình “dd” trên Mac Mặc dù có nhiều công cụ, nhưng phương pháp tốt nhất cho Macintosh là phương pháp được mô tả đầu tiên Cũng có phương pháp EnCase, nhưng image tạo ra chỉ có thể được phân tích bởi EnCase và không hoạt động trên nền tảng Macintosh Để bắt đầu phân tích, ta khởi động máy và đăng nhập vào tài khoản người dùng Analysis, đảm bảo không sửa đổi tệp image do không có quyền thích hợp Cuối cùng, ta cần điều hướng đến image vừa tạo và gắn nó bằng cách nhấp đúp vào nó.
Trên màn hình, chúng ta có thể thấy các ổ đại diện cho tất cả các phân vùng trên ổ đĩa của nghi phạm, cho phép tìm kiếm bằng chứng Bước đầu tiên là khôi phục tất cả các tệp đã xóa bằng các công cụ như Disk Drill hoặc Norton Utilities, giúp quét ổ đĩa và lấy lại các tệp đã bị xóa, đồng thời cung cấp thông tin về tiêu đề và kích thước của chúng Sau khi khôi phục, chúng ta nên lưu các tệp này vào ổ cứng để kiểm tra bằng Finder với Total Finder trên macOS.
NHÓM 5 e) Trên thanh tác vụ (taskbar), nhấp vào biểu tượng Finder vì đây sẽ là công cụ được lựa chọn để điều hướng qua ổ đĩa đáng ngờ Một trong những tính năng chính của Total Finder là nó hiển thị cho ta tất cả các tệp ẩn Khi ta sử dụng Total Finder, ta sẽ thấy tất cả các tệp đang hoạt động Sau đó, ta có thể xem chúng nhanh chóng và dễ dàng vì Finder có thể xem hầu hết các loại tệp Ta khuyên ta nên dành phần lớn thời gian của mình để xem qua các tệp người dùng vì đây là nơi có nhiều khả năng ta sẽ tìm thấy bằng chứng nhất Bằng cách này, ta cũng có được cảm giác về máy tính mà ta đang phân tích, giúp ta có được bức tranh toàn cảnh Đừng quên kiểm tra các tệp chưa xóa mà ta đã lưu trữ trên ổ cứng của mình. f) Một khi ta cảm thấy rằng ta đã nhận được tất cả những gì có thể từ việc xem các tệp đang hoạt động, đã đến lúc thực hiện một số tìm kiếm từ khóa Điều quan trọng là phải thảo luận về điều gì tạo nên một từ khóa tốt Ta muốn từ khóa của mình càng độc đáo càng tốt để không bị ngập trong các kết quả xác thực sai Ví dụ, nếu ta đang tìm kiếm tên "bob", ta có nguy cơ gặp phải rất nhiều kết quả sai. Một lý do cho điều này là vì “bob” có thể dễ dàng tồn tại trong các từ khác như “bobsled” Một lý do khác khiến ta có thể nhận được kết quả sai là vì nó chỉ dài ba chữ cái, vì vậy nó sẽ xuất hiện ngẫu nhiên trong văn bản lẫn lộn Nếu ta không có lựa chọn nào khác ngoài việc tìm kiếm “bob”, ta có thể thử đặt một khoảng trắng trước (hoặc/và) sau để giảm thiểu kết quả văn bản lẫn lộn ngẫu nhiên Một công cụ tốt có sẵn trên macOS đó là Spotlight nó cho phép bạn tìm kiếm mọi thứ trong nháy mắt ví dụ như tài liệu, email, ứng dụng, … g) Đôi khi điều quan trọng là xem những hình ảnh mà nghi phạm lưu trong ổ cứng của anh ta Tất cả hình ảnh có trong ổ cứng có thể được xem dễ dàng bằng một chương trình có tên là Graphic
Converter cho phép người dùng kéo ổ đĩa nghi ngờ vào cửa sổ chương trình Graphic Converter để truy xuất tất cả các tệp hình ảnh Một trong những ưu điểm khi gắn disk image của nghi phạm trên Macintosh là không cần phần mềm gốc để xem các tệp, người dùng có thể mở tệp bằng phần mềm của nghi phạm mà không cần cấu hình Tuy nhiên, đôi khi cần thực hiện một số thay đổi nhỏ, như nhập hộp thư e-mail của nghi phạm vào chương trình e-mail của mình.
Các trường hợp cần phân tích và điều tra số trên hệ điều hành Macintosh
- Khi hệ thống bị tấn công mà chưa xác định được nguyên nhân.
- Khi cần thiết khôi phục dữ liệu trên thiết bị, hệ thống đã bị xóa đi
- Hiểu rõ cách làm việc của hệ thống
- Khi thực hiện điều tra tội phạm có liên quan đến công nghệ cao
- Điều tra sự gian lận trong tổ chức
- Điều tra các hoạt động gián điệp công nghiệp
Một vài ví dụ nhỏ về phân tích và điều tra số trên hệ điều hành Macintosh
- Khi hệ thống bị tấn công mà chưa xác định được nguyên nhân.
- Khi cần thiết khôi phục dữ liệu trên thiết bị, hệ thống đã bị xóa đi
- Hiểu rõ cách làm việc của hệ thống
- Khi thực hiện điều tra tội phạm có liên quan đến công nghệ cao
- Điều tra sự gian lận trong tổ chức
- Điều tra các hoạt động gián điệp công nghiệp
7 Một vài ví dụ nhỏ về phân tích và điều tra số trên hệ điều hành Macintosh
Để tiến hành phân tích, trước tiên cần xác định thiết bị và công cụ, trong bài viết này sẽ sử dụng bản macOS 10.15 (Catalina) Sau đó, cần sao chép ổ cứng cần phân tích và kiểm tra, giả sử đã thực hiện sao chép, việc kiểm tra sẽ được tiến hành như sau: a) Kiểm tra phiên bản hệ thống.
Trước khi tiến hành kiểm tra ổ cứng, việc xác định phiên bản Mac là rất quan trọng Biết rõ phiên bản sẽ giúp chúng ta dễ dàng tìm kiếm vị trí của các tệp liên quan Để thực hiện điều này, ta có thể kiểm tra tệp SystemVersion.plist.
/System/Library/CoreServices/SystemVersion.plist b) Thư mục, tệp tin:
Ta sẽ kiểm tra, xem xét, tìm kiếm, duyệt toàn bộ các thư mục và tệp tin trong:
Bên trong nó sẽ chứa cac thứ mục nhỏ hơn va cac tẽp tin bi an nhứ:
- bash_history & bash_sessions c) Nhật ký ứng dụng
\Users\\Library\Application Support\
; phan này lứu trứ cau hình, nhat ký và các tẽp ứu tiên cụa ứng dụng đã đứơc cài đat trên máy.
CrashReporter là công cụ lưu trữ nhật ký sự cố và theo dõi thời điểm ứng dụng gặp sự cố, giúp phát hiện và khắc phục lỗi hiệu quả Mặc dù đôi khi các lỗi có thể khá chung chung, nhưng việc sử dụng CrashReporter vẫn rất quan trọng trong việc cải thiện hiệu suất ứng dụng.
\Users\\Library\Launch Agents\
Các ứng dụng được liệt kê trong mục này sẽ tự động khởi động khi máy tính khởi động, tương tự như các ứng dụng khởi động trên hệ điều hành Windows.
Tệp danh sách thuộc tính (plist) chứa thông tin về người dùng, tùy chọn ứng dụng và phiên bản của ứng dụng, cũng như thông tin liên quan đến nhiều phần mềm khác Đối với trình duyệt Safari, tệp plist được lưu trữ tại một vị trí cụ thể.
/Users/Mac/Library/Preferences/com.apple.Safari.plist
Trang web duyệt gần đây
Tìm kiếm trên web cung cấp thông tin về thói quen và mong muốn của nghi phạm, cùng với các từ khóa và hành vi quan trọng Tệp danh sách bao gồm nhiều thuộc tính và giá trị của chúng.
Lịch sử duyệt web lưu trữ ở định dạng cơ sở dữ liệu SQLite (hình 2) tại vị trí nhất định:
/Users/Mac/Library/Safari/History.db
Tệp History.db lưu trữ số lượng hiện vật trong các tên bảng khác nhau với tệp cơ sở dữ liệu.
5 Phục hồi lịch sử đã xóa
Safari lưu trữ lịch sử duyệt web trong tệp SQLite có tên History.db, nằm tại vị trí /Users/Mac/Library/Safari Tệp này rất quan trọng cho việc khôi phục lịch sử bị xóa, và có thể sử dụng công cụ SQLite browser để thực hiện quá trình khôi phục này.
Hình ảnh minh họa các bảng cơ sở dữ liệu đã phục hồi, bao gồm History_visits và history_items Định dạng thời gian được sử dụng cho dữ liệu lưu trữ trên OS X là định dạng thời gian Chuẩn UNIX.
Một số thành phần khác của safari
In addition to history, various other information is stored in the plist file located at /Users/Mac/Library/Safari, including bookmarks, downloads, last session data, top sites, and user notifications.
Các thành phần khác của safari
Phiên cuối cùng được lưu trữ trong tệp LastSessions.plist chứa thông tin về các liên kết đã truy cập Phân tích tệp này rất quan trọng để điều tra lịch sử các tab đã mở gần đây, giúp người dùng nắm bắt lại các hoạt động trực tuyến của mình.
Các phiên làm việc cuối cùng với các tab
Các trang web được truy cập hàng đầu
Các trang web hàng đầu, được người dùng truy cập và cố định một đường dẫn liên kết ngắn trên trang chủ, được hiển thị trong tệp TopSite.plist.
Các trang web truy cập hàng đầu e) Apple Mail
Apple Mail là ứng dụng thư mặc định trên máy tính để bàn của Mac
OS X Dưới đây là đường dẫn của một số tệp. Đường dẫn mặc định;
Hộp thư được nhìn thấy trong;
RSS cấp dữ liệu trong;
Tệp cấu hình được đặt tại;
/Library/Preferences/com.apple.mail.plist
Các thư được lưu trữ trong;
/Library/Mail/[Mail Box]/Messages
Các tin nhắn được lưu trữ với phần mở rộng tệp 'emlx', dưới dạng một tệp duy nhất. f) Tệp nhật ký
Vị trí của các tệp nhật ký là;
/private/var/log/* g) Lịch sử Bluetooth
Nếu điều tra viên nghi ngờ về việc trao đổi dữ liệu qua Bluetooth thì thông tin liên quan đến Bluetooth sẽ có sẵn từ; h) Chia sẻ file
Chi tiết về tệp được chia sẻ có sẵn trong:
The file located at /Library/Preferences/SystemConfiguration/com.apple.smb.server.plist holds recent items information, including details about recently opened files, servers, and applications.
QuickTime Các mục Gần đây được đặt tại
Các mục gần đây của TextEdit được tìm thấy trong; j) Firefox
Mozilla Firefox là một trình duyệt web phổ biến, hỗ trợ người dùng duyệt web hiệu quả và tìm kiếm các tệp liên quan đến Firefox.
Từ tệp lịch sử, điều tra viên có thể thu thập thông tin về các URL đã được truy cập Đồng thời, việc ưu tiên người sử dụng cũng được nêu rõ, bao gồm các cài đặt tùy chọn cho các tiện ích hoặc ứng dụng.
Các chi tiết iDevice được tìm thấy trong;
Các tùy chọn iCloud được nhìn thấy trong;
