Nhập môn Mobile Forensics: Tách biệt trích xuất và phân tích dữ liệu

2024-06-03 Bài viết chia sẻ thông tin, Điều tra dữ liệu

Trong bối cảnh điều tra kỹ thuật số ngày càng phát triển, pháp y di động (Mobile Forensics) đã trở thành một khía cạnh quan trọng của công việc thực thi pháp luật. Những thách thức trong việc trích xuất, xử lý và phân tích dữ liệu thu được từ nhiều nguồn khác nhau dẫn đến nhu cầu cấp thiết về các giải pháp mang tính toàn diện hơn.

Mobile-Forensics

 

Các giai đoạn trong điều tra pháp y thiết bị di động

Điều tra di động bao gồm nhiều công đoạn khác nhau, mỗi công đoạn đều đóng vai trò quan trọng không thể thiếu. Các giai đoạn này gồm các nhiệm vụ sơ bộ ban đầu như cách ly thiết bị, vận chuyển và bảo quản phù hợp. Tiếp theo đó là quá trình trích xuất, phân tích, tạo báo cáo cho mục đích điều tra hoặc lưu trữ khác.

Trong đó, trích xuất dữ liệu là một giai đoạn then chốt, quyết định sự thành công của một cuộc điều tra thiết bị di động. Lựa chọn phương pháp trích xuất phù hợp sẽ giúp các điều tra viên tránh được những rủi ro như làm hỏng thiết bị, thiếu dữ liệu quan trọng hay lãng phí thời gian. Có nhiều phương pháp trích xuất có thể áp dụng trong pháp y thiết bị di động: trích xuất logic nâng cao, trích xuất dựa trên bootloader, trích xuất agent, trích xuất đám mây. Mỗi phương pháp đều có những ưu điểm và hạn chế riêng, bài viết này sẽ mang tới những thông tin cập nhật về cách lựa chọn phương pháp trích xuất thích hợp trong bối cảnh công nghệ di động đang không ngừng phát triển.

 

Lựa chọn công cụ

Một công cụ phù hợp đóng vai trò rất lớn trong việc trích xuất dữ liệu thành công hay không. Khi lựa chọn, bạn cần xem xét các yếu tố như khả năng tương thích với các thiết bị khác nhau, độ tin cậy, tốc độ và nền tảng công nghệ mà công cụ đó sử dụng. Hãy nhớ rằng, không có bất kì một phần mềm duy nhất nào có thể đáp ứng đầy đủ mọi yêu cầu đa dạng của lĩnh vực pháp y kỹ thuật số điện tử.

 

Lựa chọn phương pháp trích xuất dữ liệu

Đối với thiết bị iOS, trích xuất truy cập cấp độ thấp là phương pháp hiệu quả nhất nhờ lượng dữ liệu trả về lớn gồm hình ảnh file system đầy đủ và bản giải mã của keychain chứa nhiều dữ liệu quan trọng như mật khẩu và khóa mã hóa. Trích xuất ở cấp độ thấp vẫn là cách duy nhất để truy cập các cuộc hội thoại được mã hóa trong các ứng dụng nhắn tin (Ví dụ: Signal). Tuy nhiên, phương pháp này bị giới hạn ở các thiết bị hoặc phiên bản iOS cũ hơn, dẫn đến sự chậm trễ trong việc hỗ trợ các bản update iOS mới. Việc các nhà cung cấp liên tục đưa ra các bản vá lỗi và cập nhật hệ điều hành là một thách thức lớn đối với các chuyên gia điều tra kỹ thuật số.

Trích xuất bootloader dựa vào các lỗ hổng tồn tại trong bộ khởi động của một số thiết bị. Đối với các thiết bị Apple 64-bit, checkm8 được khuyên dùng, phương pháp khai thác này có khả năng trích xuất lặp lại, có thể kiểm chứng và độ an toàn cao. Tuy nhiên, trích xuất ở cấp độ bootloader chỉ khả dụng cho các thiết bị cũ (từ các đời iPhone 8/8 Plus/X trở về trước và các thiết bị Apple khác dựa trên chip tương tự). Ngoài ra, phương pháp trích xuất bootloader cũng bị hạn chế nghiêm trọng đối với các phiên bản iOS gần đây do Apple đã tăng cường SEP và các biện pháp bảo mật khác.

 

Mobile-Forensics

 

Trường hợp trích xuất bootloader không khả dụng, bạn có thể sử dụng phương pháp trích xuất agent nếu thiết bị đang chạy phiên bản iOS tương thích (tại thời điểm này, phiên bản hệ điều hành cao nhất được phương pháp trích xuất agent hỗ trợ là iOS 16.4).

Nếu những phương pháp được đề cập ở trên đều không hỗ trợ phiên bản iOS của bạn, trích xuất logic nâng cao là lựa chọn khả thi duy nhất. Mặc dù nó cho phép trích xuất các bản sao lưu thiết bị, một số nhật ký hệ thống, tệp phương tiện và metadata nhưng nó có thể không truy xuất được những những dữ liệu quan trọng như tin nhắn email hoặc lịch sử hội thoại từ các ứng dụng nhắn tin.

Cuối cùng nhưng không kém phần quan trọng, trích xuất đám mây có thể là một giải pháp bạn nên cân nhắc, đặc biệt trong các tình huống mà thiết bị vật lý không thể truy cập được để trích xuất dữ liệu. Những tình huống như vậy có thể bao gồm hư hỏng vật lý do rơi vỡ, dính nước hoặc lỗi phần cứng, cũng như các trường hợp thiết bị đã được khôi phục cài đặt gốc hoặc đã bị xóa sạch nhằm cản trở nỗ lực truy xuất dữ liệu.

Các sai lầm thường gặp trong quá trình điều tra thiết bị di động và hậu quả của chúng

Nhìn chung, một số lỗi nghiêm trọng nhất mà các điều tra viên thường mắc phải trong hoặc trước công đoạn trích xuất dẫn đến mất dữ liệu bao gồm:

  • Không ngắt kêt nối mạng dẫn đến sự đồng bộ hóa không mong muốn và/hoặc thao tác xóa hoặc khóa từ xa
  • Không tạo ảnh toàn bộ file system và chỉ tạo bản sao lưu khi có sẵn tính năng trích xuất ở mức độ thấp
  • Bỏ qua việc kiểm tra các nguồn dữ liệu tiềm năng khác, chẳng hạn như bản sao lưu cục bộ cũ, bản sao lưu đám mây hoặc các thiết bị khác
  • Đặt lại mật khẩu, vô tình khóa quyền truy cập vào dữ liệu quan trọng
  • Chỉ dựa vào một công cụ phần mềm mà không cần xác minh chéo

Những sai sót kể trên có thể gây ra hậu quả nghiêm trọng và dẫn đến việc làm mất bằng chứng. Do đó, luôn luôn thận trọng và cân nhắc các phương pháp trích xuất phù hợp nhất cũng như xem xét tất cả các nguồn dữ liệu có sẵn sẽ giúp các điều tra viên đảm bảo sự chính xác và thành công cho các cuộc điều tra pháp y di động.

Giai đoạn phân tích dữ liệu

Việc phân tích dữ liệu yêu cầu một hệ thống với phần cứng mạnh mẽ để xử lý và diễn giải các thông tin trích xuất được một cách hiệu quả. Không như công đoạn trích xuất, việc phân tích thường đòi hỏi một cách tiếp cận thủ công và cẩn thận hơn. Ở giai đoạn này, việc hiểu rõ công cụ và các tùy chọn của chúng là vô cùng quan trọng. Ví dụ: việc tắt một số tùy chọn chuyên sâu về tính toán, chẳng hạn như nhận dạng hình ảnh, có thể tăng tốc đáng kể quá trình. Tốt nhất các điều tra viên nên sử dụng nhiều công cụ khác nhau để kiểm tra chéo và so sánh kết quả để có thể đưa ra những kết luận chính xác hơn.

Một giải pháp “all in one” vừa trích xuất và phân tích dữ liệu có thể nghe rất hấp dẫn nhưng nó thường không phải là cách tiếp cận hiệu quả nhất. Đối với thiết bị iOS, có một số nhà cung cấp mang tới những khả năng trích xuất vượt trội hơn, trong khi những nhà cung cấp khác lại chuyên về thiết bị Android, đôi khi thậm chí cả những chipset cụ thể (như ACELab nhắm mục tiêu đến các thiết bị Android dựa trên MTK). Trong nhiều trường hợp, sự dụng các công cụ riêng biệt để trích xuất và phân tích mang lại kết quả tốt hơn và tránh được những chi phí không cần thiết.

Kết luận

Giai đoạn trích xuất dữ liệu có ý nghĩa đặc biệt quan trọng đối với một cuộc điều tra pháp y di động. Bởi độ chính xác của dữ liệu được trích xuất ảnh hưởng trực tiếp đến tính hợp lệ của các kết luận được rút ra từ nó. Trong điều tra kỹ thuật số điện tử nói chung và pháp y thiết bị di động (Mobile Forensics) nói riêng, việc học hỏi từ kinh nghiệm của những người đi trước và sử dụng công cụ phù hợp là vô cùng cần thiết. Tuy nhiên, các điều tra viên cũng nên áp dụng tư duy phản biện và cập nhật kiến thức liên tục.

 

Tham khảo các khóa Đào tạo Điều tra kỹ thuật số điện tử

Từ khóa:

Chia sẻ:

Bài viết liên quan

khôi phục dữ liệu lỗi raw
11Nov

Ổ cứng lỗi RAW: Nguyên nhân và Cách khắc phục

Trong quá trình sử dụng máy tính, người dùng có thể gặp phải tình trạng ổ cứng bị chuyển... read more

sector phys-vs-logical
05Nov

Phân biệt sector vật lý và sector logic

Màn hình xác nhận trên có thể khiến một số người dùng PC-3000 bối rối khi bắt đầu một... read more

hủy dữ liệu
26Oct

Hủy dữ liệu an toàn: Đâu là phương pháp phù hợp?

Mọi thiết bị lưu trữ dữ liệu đều có “tuổi thọ” nhất định và sẽ đến lúc phải ngừng... read more

cách đọc ROM 1
22Oct

Hướng dẫn khôi phục dữ liệu: Cách đọc ROM khi PC-3000 không hỗ trợ

Chip ROM (Read Only Memory) trên PCB chứa firmware, cho phép ổ cứng giao tiếp với máy tính. Để... read more

Hướng dẫn giải mã dữ liệu bị mã hóa phần cứng trên ổ đĩa Western Digital bằng PC 3000 HDD
17Oct

Hướng dẫn giải mã dữ liệu bị mã hóa phần cứng trên ổ đĩa Western Digital bằng PC-3000 HDD

Tại HTI Services, chúng tôi nhận được rất nhiều câu hỏi liên quan đến việc giải mã ổ đĩa... read more

khôi phục dữ liệu hdd
15Oct

Những công cụ không thể thiếu để khôi phục dữ liệu trên ổ HDD

  1. Phòng sạch Trong khôi phục dữ liệu HDD, mở ổ để xử lý các vấn đề phần cứng như... read more

Hotline
092 876 5688