Trong phần thứ hai này, giải quyết bước đầu tiên mà một điều tra viên pháp y thực hiện sau khi được đưa vào một cuộc điều tra, cụ thể là thu thập bằng chứng theo cách có vẻ pháp y và có thể được sử dụng trong tòa án. Bước này PHẢI được thực hiện chính xác nếu cuộc điều tra thành công và có bất kỳ chỗ đứng pháp lý nào. Nếu bước ban đầu này được thực hiện không chính xác, thì tuần và tháng làm việc tiếp theo sẽ có khả năng là vô ích.

Mở Kali
Hình ảnh qua Shutterstock

Nếu bạn có một nền tảng là một quản trị viên hệ thống hoặc mạng, có lẽ bạn đã thực hiện sao lưu hệ thống. Đây là những bản sao đơn giản của hệ điều hành, ứng dụng và dữ liệu vào ổ cứng, hoặc đôi khi, vào băng. Thật không may, một bản sao như vậy sẽ không làm việc cho chúng tôi, điều tra viên pháp y.

Những gì chúng ta cần là một bản sao từng bit của ổ cứng hoặc bộ nhớ không làm thay đổi một chút thông tin. Bất kỳ phần mềm nào chúng tôi có thể sử dụng để chuyển hình ảnh sẽ thay đổi hình ảnh đó và chúng tôi không thể có nó và vẫn trình bày nó trước tòa án.

Lệnh “Dd”

Trong lịch sử, gần như mọi bản phân phối Linux / UNIX đều có một lệnh được gọi là dd (đĩa-to-đĩa). Mục đích của nó là tạo một bản sao từng bit của bất kỳ tệp, ổ đĩa hoặc phân vùng nào. Cú pháp dd cơ bản trông giống như thế này:

dd if = <source> of = <Destination> bs = <kích thước byte>

Ví dụ: giả sử:

dd if = / dev / sda2 of = / dev / sdb2 bs = 512

Điều này sẽ tạo một bản sao từng bit của sda2 sang sdb2 bằng cách sử dụng kích thước byte là 512 byte.

Có nhiều lựa chọn cho dd, nhưng một trong những lựa chọn phổ biến nhất là noerror . Khi chúng tôi sử dụng tùy chọn noerror, dd sẽ không chấm dứt khi gặp lỗi, vì vậy lệnh của chúng tôi sẽ như sau:

dd if = / dev / sda2 of = / dev / sdb2 bs = 512 noerror

Mặc dù hầu hết các bản phân phối Linux bao gồm dd, một số biến thể đã được phát triển và cải tiến giúp quá trình thu thập hình ảnh pháp y của chúng tôi dễ dàng hơn. Gần như mọi công cụ thu nhận hình ảnh ngoài kia, cho dù là Windows hay Linux, là một biến thể của dd.

Trong Kali Linux , chúng tôi có một phiên bản dd được phát triển bởi Phòng thí nghiệm pháp y máy tính kỹ thuật số của Bộ Quốc phòng, đó là dcfldd (có lẽ là dd phòng thí nghiệm pháp y máy tính kỹ thuật số).

Hashing

Trong số các nhiệm vụ quan trọng nhất mà chúng ta cần làm khi có được một hình ảnh là đảm bảo tính toàn vẹn của nó. Về bản chất, chúng tôi muốn có thể chứng minh tại tòa án của pháp luật hoặc địa điểm khác rằng hình ảnh chúng tôi sử dụng để phân tích không bị giả mạo hoặc theo bất kỳ cách nào thay đổi kể từ khi chúng tôi có được nó.

Bạn chỉ có thể tưởng tượng một luật sư bào chữa hoặc đại diện khác, người sẽ lập luận rằng bất kỳ bằng chứng nào bạn tìm thấy trên máy tính được đặt ở đó bởi cơ quan thực thi pháp luật hoặc điều tra viên pháp y.

Băm là mã hóa một chiều tạo ra một đầu ra duy nhất (thông báo) cho bất kỳ đầu vào nào. Băm được sử dụng để đảm bảo rằng không có gì thay đổi trong đầu vào ban đầu. Nếu thậm chí một bit thay đổi trong đầu vào ban đầu, hàm băm sẽ thay đổi.

Bạn có thể đã nhìn thấy hoặc sử dụng băm khi bạn tải xuống phần mềm. Trên thực tế, khi bạn đã tải xuống Kali , Offensive Security cung cấp cho bạn hàm băm MD5 để bạn có thể kiểm tra xem Kali mà bạn đã tải xuống không bị hỏng hoặc bị thay đổi theo bất kỳ cách nào trước khi nó đến với bạn.

Băm đảm bảo tính toàn vẹn.

Các băm phổ biến nhất là MD5, SHA1, SHA256 và SHA512. Như chúng ta sẽ thấy, chúng ta có thể sử dụng bất kỳ thứ nào trong số này để đảm bảo tính toàn vẹn của hình ảnh pháp y khi chúng ta sử dụng dcfldd hoặc các công cụ thu nhận hình ảnh khác.

Bước 1 Mở Kali và tìm “Dcfldd”

Bây giờ, hãy bắt đầu bằng cách bắn Kali và tìm dcfldd. Truy cập Kali Linux -> Forensics -> Forensic Imaging Tools -> dcfldd . Nó sẽ là lựa chọn thứ năm trong hệ thống menu như hình dưới đây.

Mở Kali

Bước 2 Mở “Dcfldd”

Khi chúng tôi nhấp vào dcfldd, nó sẽ mở ra một màn hình trợ giúp như thế bên dưới.

Mở Kali

Cú pháp chúng tôi sử dụng cho dcfldd gần giống với dd, nhưng có nhiều tùy chọn phù hợp hơn với việc thu thập phân tích.

Bước 3 Chỉ định ổ cứng Linux

Nếu chúng tôi đang sử dụng dcfldd này trong môi trường pháp y, chúng tôi có thể sẽ sử dụng nó dưới dạng Live CD. Sau đó, chúng tôi có thể muốn chụp ảnh ổ cứng máy tính sang một thiết bị bên ngoài, có thể là một ổ cứng khác có kích thước tương đương hoặc lớn hơn.

Vì tôi đang sử dụng Kali làm VM, tôi sẽ chụp ảnh ổ cứng ảo của mình và gửi nó vào ổ cứng ngoài. Để làm như vậy, chúng ta cần biết Linux chỉ định các ổ đĩa cứng của chúng ta như thế nào.

Bạn có thể biết rằng Linux không chỉ định các ổ đĩa cứng với các chữ cái đơn lẻ như Windows (Tôi thực sự cần phải làm một hướng dẫn Linux trên các thiết bị Linux). Một ổ cứng IDE hoặc E-IDE thông thường sử dụng ký hiệu hd , vì vậy ổ cứng đầu tiên của chúng tôi là hda, thứ hai là hdb và một số trên.

Trước đây, Linux chỉ định các ổ đĩa cứng SCSI (Giao diện hệ thống máy tính nhỏ) có sd để ổ cứng SCSI đầu tiên sẽ là sda, sdb thứ hai, v.v. Trong các máy tính hiện đại của chúng tôi, các ổ đĩa cứng của chúng tôi là SATA và Linux xem chúng là các ổ đĩa SCSI (cả hai đều có kết nối nối tiếp), vì vậy các ổ đĩa SATA của chúng tôi được chỉ định bằng sda, sau đó sdb, sau đó sdc, v.v. Nếu ổ cứng đó được phân vùng, thì phân vùng đầu tiên là sda1, phân vùng thứ hai là sda2, v.v.

Bước 4 Chụp ảnh

Bây giờ, để chụp ảnh từng bit của ổ cứng và tạo MD5 của ảnh, chúng ta có thể gõ:

dcfldd if = / dev / sda hash = md5 of = / media / đĩaimage.dd bs = 512 noerror

  • if = / dev / sda là thiết bị đầu vào, trong trường hợp này là / dev / sda.
  • hash = md5 cho biết lệnh tính toán hàm băm MD5 của hình ảnh mà chúng ta có thể sử dụng để đảm bảo tính toàn vẹn của hình ảnh.
  • of = / media / đĩaimage.dd là tệp mà hình ảnh đĩa đi cùng, trong trường hợp này trên một thiết bị bên ngoài được gắn tại / media.
  • bs = 512 cho biết lệnh chúng ta muốn truyền hình ảnh 512 byte mỗi lần.
  • noerror nói với lệnh rằng trong trường hợp lỗi tiếp tục thực hiện truyền dữ liệu, nhưng hãy viết các số không xảy ra lỗi.
 

Điều này sẽ tạo ra một hình ảnh giống hệt từng bit của ổ đĩa cứng và gửi nó đến ổ đĩa ngoài của chúng tôi với tên tệp là “đĩimage.dd”, 512 byte mỗi lần và ghi các số không khi gặp lỗi thay vì chấm dứt và chấm dứt cung cấp cho chúng tôi hàm băm md5 của hình ảnh.

Đây là nhiệm vụ đầu tiên trong quá trình pháp y. Bây giờ chúng ta có hình ảnh và băm âm thanh pháp y này, chúng ta có thể bắt đầu quá trình phân tích tìm kiếm cổ vật và bằng chứng. Nếu bước này được thực hiện không đúng cách, mọi thứ tiếp theo sẽ gây lãng phí thời gian.

Bước 5 Các công cụ khác để thu nhận hình ảnh

Có nhiều công cụ khác trong Kali để thu thập hình ảnh. Tất cả hoạt động tương tự với một số tính năng khác nhau. Bên ngoài Kali, cũng có nhiều công cụ thương mại để thu thập hình ảnh, nhưng có lẽ phổ biến nhất là trong Bộ công cụ  . Access Data xuất bản Bộ công cụ FTK và những công cụ tuyệt vời này được sử dụng rộng rãi trong các cơ quan thực thi pháp luật. Trong số các bộ công cụ của họ là FTK Imager , họ tặng miễn phí .

Trong ảnh chụp màn hình bên dưới, chúng ta có thể tìm thấy GUI của FTK Imager có được hình ảnh từng chút một của ổ cứng.

FTK Imager

Bây giờ chúng tôi đã thu được thành công hình ảnh ổ cứng âm thanh của ổ cứng bằng chứng, bây giờ chúng tôi có thể tiến hành phân tích nó để tìm các vật phẩm và bằng chứng về hoạt động bất hợp pháp.

Để lại một bình luận