Tạo tệp tin ảnh thiết bị lưu trữ điện tử với ACCESSDATA FTK IMAGER

Trong Computer Forensics (CF), tạo tệp tin ảnh thiết bị lưu trữ là một trong những việc được các chuyên viên pháp y kĩ thuật số điện tử thực hiện thường xuyên. Công việc này tuy đơn giản nhưng lại là nền móng cho các hoạt động phân tích dữ liệu sau này. Trong bài viết này, HTI Services sẽ giới thiệu cách sử dụng công cụ AccessData FTK Imager tạo tệp tin ảnh của một thiết bị lưu trữ (USB Flash Storge).

Lưu ý:

• Mọi thiết bị lưu trữ dữ liệu điện tử cần phải được chống ghi ngược (Read-only) khi kết nối tới hệ thống tạo tệp tin ảnh.
• Có thể dử dụng phần cứng hoặc phần mềm để thiết lập chống ghi ngược cho hệ thống tạo tệp tin ảnh.

Giới thiệu AccessData FTK Imager

FTK Imager là ứng dụng được phát triển bởi công ty AccessData. Đây là một trong những công ty cung cấp những công cụ phục vụ công tác CF tốt nhất hiện này.

FTK Imager được gắn liền với sự phát triển của FTK (Forensic Toolkits) cũng được phát triển bởi AccessData. Hiểu đơn giản, FTK Imager có nhiệm vụ tạo tệp tin ảnh để phục vụ cho FTK phân tích được hiệu quả và nhanh chóng (Hiện nay FTK Imager đã bổ sung nhiều định dạng tệp tin phổ biến để tệp tin ảnh có thể được sử dụng trên nhiều ứng dụng Forensic khác).

Ứng dụng này có nhiệm vụ chính là tạo tệp tin ảnh, hay hiểu là tạo một tệp tin phản ánh chính xác từng bit (bit by bit) một phần hoặc toàn bộ bộ nhớ. Lý do phải tạo file ảnh thiết bị lưu trữ điện tử là để đảm bảo tính nguyên vẹn của chứng cứ được thu thập theo thủ tục tố tụng hình sự. Không chỉ vậy, ứng dụng này còn có khả năng trích xuất dữ liệu trực tiếp từ RAM trên các hệ thống đang hoạt động (Live).

Duyệt thiết bị cần tạo tệp tin ảnh

• Chọn File – Add Evidence Itemđể lựa chọn nguồn tạo tệp tin ảnh:

• Select Source

Tùy vào nguồn muốn tạo ảnh:

+ Physical Drive (ổ đĩa vật lý): Là các thiết bị lưu trữ dữ liệu điện tử như ổ cứng máy tính, ổ cứng thể rắn, thẻ nhớ v.v…).

+ Logical Drive (ổ đĩa logic): Là các phân vùng dữ liệu được tạo ra từ các ổ đĩa vật lý.

+ Image File (File ảnh): Là file ảnh đã được tạo sẵn thường được định dạng dưới dạng “.dd”, “.SMART”, “.E01”…

+ Contents of a Folder (nội dung trong Folder): Đây là trường hợp ta lựa chọn khi đã biết chính xác địa điểm cần phân tích. Khi sử dụng lựa chọn này, FTK Imager yêu cầu điều hướng chọn vùng cần phân tích sau đó nó sẽ tự khoanh vùng để tiến hành tạo tệp tin ảnh vùng đó.

Trong phần này, ta chọn Physical Drive để tiến hành tạo tệp tin ảnh thiết bị lưu trữ:

Chọn Finish, FTK Imager sẽ đọc và hiển thị nội dung của thiết bị lưu trữ:

Tiến hành tạo tệp tin ảnh

Chọn Export Logical image (AD1) như hình:

Chọn Add và điền các thông tin cần thiết.

Chọn Next và thiết lập tên cũng như nơi lữu trữ tệp tin ảnh.

Có thể sử dụng chức năng nén hoặc mã hóa dữ liệu nếu cần. Chọn Finish và Start để bắt đầu tiến hành tạo tệp tin ảnh.

Sau khi tệp tin ảnh được tạo xong, cần kiểm tra lại các thông tin trong hộp thoại Drive/Image Verify Results. Nếu mã MD5 và SHA1 cho kết quả Match. Tệp tin ảnh đã được tạo thành công.

Trên đây là các bước hướng dẫn cơ bản trong hoạt động Computer Forensics. Đội ngũ kỹ thuật viên của HTI Services không chỉ được đào tạo chuyên sâu trong lĩnh vực khôi phục dữ liệu, pháp y kỹ thuật số điện tử, mà còn có nhiều năm kinh nghiệm xử lý hàng trăm trường hợp thực tế. Theo dõi fanpage của HTI Services để cập nhật thêm nhiều kiến thức, tin tức mới nhất https://www.facebook.com/htiservices.vn