HTI Services

092.8765.688 htiservices@htigroup.vn

  • vi
    • en

HTI Services
  • Trang chủ
  • Giới thiệu
  • Dịch vụ
    • Khôi phục dữ liệu
      • Khôi phục dữ liệu trên HDD
      • Khôi phục dữ liệu trên SSD
      • Khôi phục dữ liệu RAID, NAS, SAN
      • Khôi phục dữ liệu trên thiết bị di động
      • Khôi phục dữ liệu USB, thẻ nhớ
      • Bảng giá khôi phục dữ liệu
    • Hủy dữ liệu an toàn
      • Khử từ xóa dữ liệu tại địa điểm khách hàng
      • Xác thực kết quả khử từ
      • Phá hủy vật lý
      • Data Wiping
      • Đánh giá khả năng thực hiện Data Wiping
    • Tư vấn điều tra nội bộ về rò rỉ dữ liệu
      • Điều tra máy tính
      • Điều tra thiết bị di động
      • Phân tích phần mềm độc hại
      • Giải pháp phần mềm Qator Series – IJB
      • Điều tra và phân tích mạng máy tính
    • Tư vấn giải mã dữ liệu bị mã hóa
      • Giải mã dữ liệu bị mã hóa bởi Ransomware
      • Giải mã dữ liệu bị mã hóa FDE
    • Tư vấn đánh giá mức độ an toàn dữ liệu
      • Kiểm tra, đánh giá, bảo trì hệ thống máy tính lưu trữ dữ liệu nhạy cảm
      • Tư vấn bảo vệ, bảo mật hệ thống lưu trữ dữ liệu
    • Đào tạo Điều tra kỹ thuật số điện tử
      • Đào tạo Điều tra kỹ thuật số điện tử – Cơ bản
      • Đào tạo Điều tra kỹ thuật số điện tử – Nâng cao
  • Sản phẩm
    • Máy chủ GPU WinFast
      • WinFast GS4850T
      • WinFast GS4855 ST
      • WinFast GS4840
      • WinFast GS4845
      • WinFast GS2040T
      • WinFast GS2045T
      • WinFast GS 2050T
    • Máy trạm GPU WinFast
      • WinFast WS2040
      • WinFast WS1050
      • WinFast WS950
      • WinFast WS2050
      • WinFast WS1040
      • WinFast WS940
      • WinFast WS945
      • WinFast WS850
      • WinFast WS750
    • Card đồ họa Leadtek
      • RTX PRO™ 5000 Blackwell
      • RTX PRO™ 6000 Blackwell
      • RTX PRO™ 6000 Blackwell Max-Q
      • RTX 4500 Ada Generation 24GB GDDR6
      • RTX 5000 Ada Generation 32GB GDDR6
      • RTX 5880 Ada Generation 48GB GDDR6
      • RTX 6000 Ada Generation 48GB GDDR6
    • Tùy biến theo nhu cầu
      • Hệ thống tạo ảnh và lưu trữ dữ liệu – Hermers Forensics
      • Hệ thống HBS
      • Hệ thống HGS
  • Tin tức
  • Bài viết
    • An toàn dữ liệu
    • Khôi phục dữ liệu
    • Điều tra dữ liệu
    • Hủy dữ liệu
  • Tuyển dụng
  • Chính sách
    • Chính sách bảo mật thông tin
    • Hướng dẫn mua hàng
    • Chính sách giao hàng
    • Hình thức thanh toán
  • Liên hệ
  • vi
    • en

Bảo vệ chứng cứ kỹ thuật số: Đừng tắt máy tính!

Bảo vệ chứng cứ kỹ thuật số: Đừng tắt máy tính!

quantri2024-10-04T10:57:09+07:00
quantri 2024-10-04 Bài viết chia sẻ thông tin, Điều tra dữ liệu

Trong kỷ nguyên số, nơi thông tin được coi là một loại hàng hóa quý giá và hầu hết chúng được lưu trữ dưới dạng dữ liệu điện tử, việc bảo quản chứng cứ kỹ thuật số đã trở thành điều bắt buộc trong thực tiễn điều tra hiện đại. Tuy nhiên, thực tế cho thấy tầm quan trọng của việc thận trọng trong khâu tiếp cận ban đầu đối với chứng cứ là dữ liệu điện tử chưa được đề cao đúng mức, có khả năng gây nguy hiểm cho việc truy xuất dữ liệu quan trọng trong quá trình điều tra. Trong bài viết này, hãy cùng nhau tìm hiểu về những nguy cơ mà ta có thể gặp phải nếu tắt thiết bị trong quá trình điều tra kỹ thuật số điện tử.

 

chứng cứ kỹ thuật số

 

Khôi phục mật khẩu không phải lúc nào cũng là lời giải bạn cần tìm

Các công cụ khôi phục mật khẩu thường được sử dụng để khôi phục quyền truy cập vào bằng chứng được mã hóa bằng cách tấn công (và khôi phục) mật khẩu văn bản thuần túy ban đầu. Điều quan trọng là hầu hết các định dạng dữ liệu được thiết kế để chống lại các cuộc tấn công brute-force. Thực tế, các cuộc tấn công như vậy sẽ tốn rất nhiều thời gian và khả năng khả năng thành công là điều không thể đảm bảo. Theo thu thập của chúng tôi, trong khoảng 53 trường hợp liên quan đến mã hóa đã được công bố thì chỉ có khoảng 10 trường hợp phá mã hóa thành công. Chúng tôi thực sự khuyên bạn nên thực hiện các loại phân tích khác (và thu thập càng nhiều thông tin bổ sung càng tốt) trước khi sử dụng các kỹ thuật khôi phục mật khẩu.

Tốc độ khôi phục mật khẩu sẽ phụ thuộc nhiều vào chức năng tạo khóa và phương pháp mã hóa được sử dụng. Ví dụ với công cụ có tốc độ dò khoảng 1000 mật khẩu/s thì ngay cả với mật khẩu đơn giản nhất chỉ gồm 6 chữ cái tiếng Anh và không có chữ số thì cũng sẽ mất 3.5 ngày để phá. Đối với mật khẩu 8 ký tự thông thường, bao gồm một hỗn hợp không xác định của các số, chữ cái viết thường, viết hoa, việc phá vỡ nó bằng biện pháp tấn công brute-force sẽ tốn gần 7000 năm. Ngay cả khi bạn tăng cường cuộc tấn công bằng cách sử dụng một mạng máy tính phân tán, mỗi máy được được trang bị một số bộ tăng tốc GPU mạnh mẽ, chúng ta vẫn sẽ phải đối mặt với một quá trình kéo dài trong nhiều năm chứ không phải vài ngày. Một mật khẩu phức tạp hơn thế sẽ gần như không có hội nào cho phương pháp tấn công brute-force.

 

Thách thức của ổ đĩa và máy ảo được mã hóa

Một trong những thách thức chính trong điều tra kỹ thuật số nằm ở việc giải mã dữ liệu được lưu trữ trên đĩa hoặc vùng chứa được mã hóa. Các ổ đĩa được mã hóa, chẳng hạn như Windows BitLocker và Apple FileVault2, được thiết kế để chống lại các cuộc tấn công “lạnh”. Phân tích phiên trực tiếp trước khi tắt máy tính có thể hỗ trợ trích xuất các khóa mã hóa, khiến các cuộc tấn công brute-force kéo dài không cần thiết. Việc trích xuất khóa BitLocker có thể được thực hiện thông qua các công cụ dòng lệnh của Windows (giả sử tài khoản được đề cập có quyền truy cập quản trị vào hệ thống), trong khi các công cụ mã hóa ổ đĩa của bên thứ ba có thể được xử lý bằng cách ghi lại toàn bộ kết xuất bộ nhớ để xác định vị trí một cách nhanh chóng. Việc tắt máy tính sẽ ngắt kết nối các ổ đĩa và bộ chứa được mã hóa cũng như xóa các khóa OTFE khỏi bộ nhớ của máy tính.

Một trong những lợi ích lớn nhất mà máy ảo (virtual machines) mang lại là sự tách biệt hoàn toàn với môi trường làm việc thông thường. Máy ảo cũng là một công cụ được sử dụng phổ biến trong thế giới tội phạm. Nhiều loại máy ảo có thể được mã hóa an toàn, giúp những tên tội phạm che đậy các hoạt động mờ ám cũng như giảm nguy cơ vô tình làm rò rỉ chứng cứ phạm tội. Việc tắt máy tính đột ngột có thể loại bỏ quyền truy cập vào thông tin quan trọng được lưu trữ trong các máy ảo được mã hóa.

 

Bảo toàn các máy ảo khả biến và các phiên trò chuyện riêng tư

Máy ảo khả biến đặt ra thách thức đặc biệt cho các nhà điều tra. Không giống như các bản cố định tương ứng, các máy ảo khả biến không thực hiện các thay đổi đối với vùng chứa, khiến tệp hình ảnh VM không bị thay đổi và có khả năng làm mất đi các chứng cứ kỹ thuật số. Bằng cách tắt máy tính lưu trữ VM khả biến, các nhà điều tra có nguy cơ mất đi những thay đổi quan trọng và lịch sử hoạt động trong VM.

Theo cách tương tự như máy ảo được mã hóa, một số ứng dụng trò chuyện sử dụng các phiên trò chuyện khả biến, trong đó tất cả dữ liệu chỉ nằm trong RAM của máy tính thay vì được lưu trữ trong cơ sở dữ liệu trên ổ đĩa. Tắt nguồn máy tính sẽ làm mọi dấu vết của những cuộc trò chuyện riêng tư này bị xóa.

 

Vấn đề về các vùng chứa ẩn

Các vùng chứa ẩn, một phần không thể thiếu của các kỹ thuật mã hóa ổ đĩa hiện đại, được thiết kế để cung cấp cho người dùng khả năng từ chối hợp lý. Nếu không biết mật khẩu chính xác và cài đặt mã hóa, việc truy cập vào các vùng chứa ẩn sẽ không thể thực hiện được, khiến nội dung và thậm chí cả sự tồn tại của chúng không thể chứng minh được.

bảo vệ chứng cứ số
Ảnh 1: Vùng chứa mã hóa tiêu chuẩn của VeraCrypt. Mật khẩu sẽ mở khóa và cài vào ổ đĩa được mã hóa. Trừ khi vùng chứa được lưu trữ trên ổ SSD có tính năng trim, nếu không thì không thể phân biệt giữa dữ liệu được mã hóa và dữ liệu ngẫu nhiên.
bảo vệ chứng cứ số
Ảnh 2: Vùng chứa ẩn của VeraCrypt. Một mật khẩu sẽ mở khóa và cài vào ổ đĩa được mã hóa tiêu chuẩn, trong khi một mật khẩu khác phải được sử dụng để mở khóa và cài vào ổ đĩa ẩn.

Bản chất của vùng chứa mã hóa ẩn nằm ở khả năng ngụy trang dữ liệu nhạy cảm trong vùng lưu trữ được mã hóa chính. Các vùng chứa chính và ẩn sử dụng các mật khẩu khác nhau và thậm chí có thể sử dụng các cài đặt mã hóa khác nhau. Đối tượng đang bị điều tra có thể cung cấp mật khẩu cho vùng chứa chính, khiến các chuyên gia pháp y rơi vào tình huống mà bằng chứng có giá trị buộc tội không những không thể truy cập được mà thậm chí sự tồn tại của chúng cũng không thể chứng minh một cách chắc chắn.

 

Kết luận

Việc đảm bảo quyền truy cập vào chứng cứ là dữ liệu điện tử là một thách thức không nhỏ. Trong thế giới pháp y kỹ thuật số, nếu được xử lý đúng cách, các chứng cứ kỹ thuật số có thể tạo nên sự khác biệt rất lớn. Điều quan trọng mà các nhà điều tra pháp y cần tuân thủ các bước bảo quản thích hợp, từ đó có thể tránh được những trường hợp đáng tiếc như bị mất bằng chứng quan trọng được lưu trữ trong ổ đĩa, máy ảo được mã hóa hay các cuộc trò chuyện riêng tư, các vùng chứa ẩn, v.v.

Từ khóa:

brute-forcechứng cứ kỹ thuật sốdigital forensicsđiều tra kỹ thuật sốđiều tra kỹ thuật số điện tửđiều tra pháp ygiải mã dữ liệukhôi phục mật khẩupháp y kỹ thuật sốpháp y kỹ thuật số điện tửtấn công brute-force

Chia sẻ:

Facebook LinkedIn

Bài viết liên quan

format-o-cung
06Aug06/08/2025

Cứu dữ liệu ổ cứng format nhầm

  1. Thao tác format (định dạng) ổ cứng sẽ tác động thế nào tới dữ liệu của bạn? Trong hầu... read more

recovery-mode-ios-forensics
04Aug04/08/2025

Mẹo trích xuất dữ liệu trên iOS: Bắt đầu với Chế độ Khôi phục (Recovery Mode)

Trong điều tra pháp y thiết bị Apple, thứ tự bạn kích hoạt các chế độ trên thiết bị... read more

che-do-edl-test-points
01Aug01/08/2025

Mobile Forensics: Tìm hiểu chế độ EDL trên thiết bị di động

Pháp y số thiết bị di động (Mobile Forensics) đã trở thành một lĩnh vực quan trọng trong điều... read more

quy_trinh_khoi_phuc_du_lieu
30Jul30/07/2025

Quy trình kiểm tra thiết bị trong Khôi phục dữ liệu

Hầu hết các nhà cung cấp dịch vụ khôi phục dữ liệu chuyên nghiệp đều tiến hành đánh giá... read more

khoi_phuc_du_lieu_o_cung_ngam_nuoc
24Jul24/07/2025

Khôi phục dữ liệu ổ cứng đã ngâm nước biển

Vào mùa mưa bão, các sự cố ngập nước, thấm ẩm hay rò rỉ chất lỏng xảy ra thường... read more

khoi_phuc_du_lieu_the_nho_may_anh
23Jul23/07/2025

Mất dữ liệu thẻ nhớ và những điều cần lưu ý

Mới đây, HTI Services đã tiếp nhận một trường hợp thẻ nhớ chứa 11.4 GB hình ảnh, video chuyến... read more

Search

Search
Generic filters
Exact matches only
Search in title
Search in content
Search in excerpt

Bài viết mới nhất

format-o-cung
Cứu dữ liệu ổ cứng format nhầm
06/08/2025
recovery-mode-ios-forensics
Mẹo trích xuất dữ liệu trên iOS: Bắt đầu với Chế độ Khôi phục (Recovery Mode)
04/08/2025
che-do-edl-test-points
Mobile Forensics: Tìm hiểu chế độ EDL trên thiết bị di động
01/08/2025
quy_trinh_khoi_phuc_du_lieu
Quy trình kiểm tra thiết bị trong Khôi phục dữ liệu
30/07/2025
khoi_phuc_du_lieu_o_cung_ngam_nuoc
Khôi phục dữ liệu ổ cứng đã ngâm nước biển
24/07/2025

Tin tuyển dụng mới nhất

Tuyển dụng kỹ sư bán hàng
Kỹ sư bán hàng
26/08/2022
Tuyển dụng chuyên viên phân tích dữ liệu (Business Analystic)
04/08/2022

HTI Services - A member of HTI Group

Trụ sở Hà Nội: Tầng 12-VP2, Tòa nhà Sun Square, số 21 Lê Đức Thọ, Phường Từ Liêm, Thành phố Hà Nội

Chi nhánh Đà Nẵng: Tầng 5, Tòa nhà Vietnam Innovation Hub, 175 Trần Hưng Đạo, Phường An Hải, Thành phố Đà Nẵng

Chi nhánh Hồ Chí Minh: 203A Võ Thị Sáu, Phường Xuân Hòa, Thành phố Hồ Chí Minh

Hotline: 092.8765.688

Email: htiservices@htigroup.vn

Giờ làm việc: 8h30 – 17h30 từ Thứ 2 – Thứ 6, Từ 8h30 – 12h Thứ 7, Chủ Nhật nghỉ

Dịch vụ của chúng tôi

Tư vấn giải mã dữ liệu bị mã hóa

Hủy dữ liệu an toàn

Tư vấn điều tra nội bộ về rò rỉ dữ liệu

Khôi phục dữ liệu

Tư vấn đánh giá mức độ an toàn dữ liệu

Rà quét thiết bị điện tử

Chính sách

Đăng ký để nhận tin

Theo dõi chúng tôi

fb
yt
lkn

HTI Services - A member of HTI Group

Hanoi Head Office: 12F-VP2, Sun Square Building, 21 Le Duc Tho street, Tu Liem ward, Hanoi, Vietnam

Da Nang Branch: 5F, Vietnam Innovation Hub Building, 175 Tran Hung Dao street, An Hai ward, Da Nang City, Vietnam

Ho Chi Minh Branch: 203A Vo Thi Sau street, Xuan Hoa ward, Ho Chi Minh City, Vietnam

Hotline: 092.8765.688

Email: htiservices@htigroup.vn

Working hour: 8h30 – 17h30 on Monday – Friday,  8h30 – 12h on Saturday

Our services

Data decryption

Data destruction

Data breaches investigation consulting

Data recovery

Network security consulting

Electronic devices scanning

Newsletter

Follow us

fb
yt
lkn
All Rights Reserved © HTI Services 2022
  • Trang chủ
  • Giới thiệu
  • Dịch vụ
    • Khôi phục dữ liệu
      • Khôi phục dữ liệu trên HDD
      • Khôi phục dữ liệu trên SSD
      • Khôi phục dữ liệu RAID, NAS, SAN
      • Khôi phục dữ liệu trên thiết bị di động
      • Khôi phục dữ liệu USB, thẻ nhớ
      • Bảng giá khôi phục dữ liệu
    • Hủy dữ liệu an toàn
      • Khử từ xóa dữ liệu tại địa điểm khách hàng
      • Xác thực kết quả khử từ
      • Phá hủy vật lý
      • Data Wiping
      • Đánh giá khả năng thực hiện Data Wiping
    • Tư vấn điều tra nội bộ về rò rỉ dữ liệu
      • Điều tra máy tính
      • Điều tra thiết bị di động
      • Phân tích phần mềm độc hại
      • Giải pháp phần mềm Qator Series – IJB
      • Điều tra và phân tích mạng máy tính
    • Tư vấn giải mã dữ liệu bị mã hóa
      • Giải mã dữ liệu bị mã hóa bởi Ransomware
      • Giải mã dữ liệu bị mã hóa FDE
    • Tư vấn đánh giá mức độ an toàn dữ liệu
      • Kiểm tra, đánh giá, bảo trì hệ thống máy tính lưu trữ dữ liệu nhạy cảm
      • Tư vấn bảo vệ, bảo mật hệ thống lưu trữ dữ liệu
    • Đào tạo Điều tra kỹ thuật số điện tử
      • Đào tạo Điều tra kỹ thuật số điện tử – Cơ bản
      • Đào tạo Điều tra kỹ thuật số điện tử – Nâng cao
  • Sản phẩm
    • Máy chủ GPU WinFast
      • WinFast GS4850T
      • WinFast GS4855 ST
      • WinFast GS4840
      • WinFast GS4845
      • WinFast GS2040T
      • WinFast GS2045T
      • WinFast GS 2050T
    • Máy trạm GPU WinFast
      • WinFast WS2040
      • WinFast WS1050
      • WinFast WS950
      • WinFast WS2050
      • WinFast WS1040
      • WinFast WS940
      • WinFast WS945
      • WinFast WS850
      • WinFast WS750
    • Card đồ họa Leadtek
      • RTX PRO™ 5000 Blackwell
      • RTX PRO™ 6000 Blackwell
      • RTX PRO™ 6000 Blackwell Max-Q
      • RTX 4500 Ada Generation 24GB GDDR6
      • RTX 5000 Ada Generation 32GB GDDR6
      • RTX 5880 Ada Generation 48GB GDDR6
      • RTX 6000 Ada Generation 48GB GDDR6
    • Tùy biến theo nhu cầu
      • Hệ thống tạo ảnh và lưu trữ dữ liệu – Hermers Forensics
      • Hệ thống HBS
      • Hệ thống HGS
  • Tin tức
  • Bài viết
    • An toàn dữ liệu
    • Khôi phục dữ liệu
    • Điều tra dữ liệu
    • Hủy dữ liệu
  • Tuyển dụng
  • Chính sách
    • Chính sách bảo mật thông tin
    • Hướng dẫn mua hàng
    • Chính sách giao hàng
    • Hình thức thanh toán
  • Liên hệ
  • vi
    • en
messenger
Zalo
Phone
0928765688

APPLICATION FORM

×
Click to select & upload your CV