Pháp chứng kỹ thuật số cung cấp cho sinh viên với một cách tiếp cận có hệ thống khi tiến hành một điều tra pháp chứng máy tính (cả hai loại điều tra công quyền và điều tra công ty), các yêu cầu của một phòng thí nghiệm pháp chứng máy tính bao gồm cả thiết bị phục hồi dữ liệu, phần cứng và phần mềm cần thiết để xác nhận pháp chứng kỹ thuật số trong phòng thí nghiệm.

1. PHÁP CHỨNG KỸ THUẬT SỐ
Bài 3: Lập báo cáo Pháp chứng kỹ thuật
số
Giảng viên: TS. Đàm Quang Hồng Hải

2. Thế nào là một bản báo cáo
• Bản báo cáo là một văn bản trình bày những dữ kiện
và phân tích để chuyển tải thông tin dưới dạng kiến
thức.
• Các kỹ năng viết báo cáo cần phải được trau dồi
bằng cách học cách viết báo cáo, đặc biệt là các báo
cáo chuyên nghiệp như báo cáo Pháp chứng kỹ
thuật số.
• Hiện nay đã có những công cụ giúp cho điều tra
viên tổng hợp thông tin và giúp viết các báo cáo
pháp chứng kỹ thuật số.

3. Các bước thực hiện điều tra số
• Với điều tra viên, một cuộc điều tra số thường bao gồm 4
giai đoạn:
• Tập hợp chứng cứ điều tra (Evidence),
• Xem xét dữ liệu hay còn gọi là xem xét chứng cứ số
(Acquisition),
• Phân tích chứng cứ (Analysis)
• Lập báo cáo (Reporting)

4. Tập hợp chứng cứ chuẩn bị điều tra
• Thực hiện việc mô tả lại thông tin chứng cứ thu
thập, những gì đã xảy ra, các dấu hiệu, để xác định
phạm vi điều tra, mục đích cũng như các tài nguyên
cần thiết sẽ sử dụng trong suốt quá trình điều tra.

5. Tiếp nhận dữ liệu
• Tạo ra các bản sao chính xác các sector hay còn gọi
là nhân bản điều tra các phương tiện truyền thông,
• Xác định rõ các nguồn chứng cứ sau đó thu thập và
bảo vệ tính toàn vẹn của chứng cứ bằng việc sử
dụng hàm băm mật mã.

6. Phân tích các chứng cứ số
• Các chuyên gia sử dụng các phương pháp nghiệp
vụ, các kỹ thuật cũng như công cụ khác nhau để
trích xuất, thu thập và phân tích các bằng chứng thu
được.

7. Lập báo cáo pháp chứng kỹ thuật số
• Sau khi thu thập được những chứng cứ có giá trị và
có tính thuyết phục thì tất cả phải được tài liệu hóa
lại rõ ràng, chi tiết và viết báo cáo lại cho bộ phận
có trách nhiệm xử lý chứng cứ thu được.
• Công việc viết báo cáo bao gồm thu thập dữliệu,
phân tích và đưa ra những suy luận logic, thông
thường đây là bước cơ bản cho việc các cấp công
quyền đưa ra quyết định và hành động.

8. Ví dụ một báo cáo điều tra trên một laptop

9. Quá trình chuẩn bị viết báo cáo
• Điều tra viên cần biết cách viết báo cáo pháp chứng
kỹ thuật như thế nào cho hiệu quả hoặc sử dụng các
công cụ làm báo cáo pháp chứng kỹ thuật để có một
bản báo cáo trình bày hoặc "bán“ sản phẩm của
mình một các tốt nhất.
• Khi viết một báo cáo pháp chứng kỹ thuật số, người
điều tra viên cần suy nghĩ kỹ về nội dung báo cáo,
phương pháp và đối tượng sẽ đọc báo cáo của mình.

10. Mục đích của bản báo cáo pháp chứng số
• Người điều tra viên cần phải hãy tự hỏi mình ra lý
do để mình viết báo báo và mục đích viết bản báo
cáo là gì, đối tượng nhận báo cáo là ai, báo cáo liên
quan đến một vụ án (case) nào.
• Khi mục đích của bản báo cáo đã rõ ràng, người
điều tra viên có thể xác định được mục tiêu để viết
báo cáo.
• Mục tiêu cần được nêu rõ trong bản báo cáo và mục
tiêu xác định chính xác về những gì mà điều tra viên
cần phải đạt được trong báo cáo.

11. Các kiến thức mà người điều tra viên phải biết
• Người điều tra viên cần phải hiểu rõ các tài liệu
nghề nghiệp Pháp chứng kỹ thuật số, các quy định
của pháp luật trước khi viết các báo cáo.
• Người điều tra viên cần phải hiểu rõ các quy định về
tội phạm máy tính để có thể đề cập chính xác về
hành vi của nghi phạm.
• Người điều tra viên cần phải có các kiến thức về các
quy định biệu mẫu báo cáo nghề nghiệp.

12. Tài liệu nghề nghiệp Pháp chứng kỹ thuật số
Bộ tư pháp Hoa Kỳ (DOJ ) ban hành tài liệu nghề nghiệp
dành cho nghề Pháp chứng kỹ thuật số: "Searching and
Seizing Computers and Obtaining Electronic Evidence in
Criminal Investigations”. Nội dung bao gồm
• Tìm kiếm bằng chứng máy tính khi không có lệnh của
tòa.
• Tìm kiếm bằng chứng máy tính khi có lệnh của tòa.
• Đạo luật lưu trữ truyền thông
• Giám sát điện tử trong truyền thông mạng
• Các vấn đề bằng chứng số

14. Quy định với tội pham máy tính
• Hoa Kỳ là một nước đã có ban hành một số luật liên
quan đến an toàn thông tin
• Bộ Tư Pháp Hoa Kỳ (DOJ ) chia tội phạm máy tính
thành các loại riêng biệt, chủ yếu như sau:
• Tấn công trực tiếp vào một mạng máy tính hoặc thiết
bị di động : hacking, virus, các phần mềm độc hại …
• Giả mạo danh tính, hoạt động gián điệp đánh cấp
thông tin, dữ liệu công ty, chính phủ …
• Xâm nhập bất hợp pháp vào lưu trữ hoặc thông tin
liên lạc qua đường truyền điện tử.

15. Hồ sơ thu giữ các tang vật máy tính

16. Hồ sơ liên quan đến các thiết bị ngoại vi

17. Xác định phạm vi của báo cáo
• Phạm vi của báo cáo cần phải xác định căn cứ vào
đối tượng sử dụng báo cáo như cấp trên, tòa án …
• Cung cấp dữ liệu(các sự kiện), không phân tích hay bình
luận.
• Cung cấp thông tin (dữ liệu và phân tích) liên quan đến
vụ án cần giải quyết.
• Đề xuất quyết định dựa trên các bằng chứng số hay kiến
thức tổng hợp.
• Trình bày cách thức khởi xướng triển khai hành động
liên quan và đề xuất người thực hiện.

18. Cấu trúc bản báo cáo pháp chứng số
• Báo cáo pháp chứng số phải có các mức độ chi tiết lựa
chọn đa dạng và nên tách riêng các phần trình bầy bằng
chứng số, phân tích và các kết luận và kiến nghị.
• Các bằng chứng số có thể trình bầy như các bản phụ lục
kèm theo bản báo cáo. Trong các phụ lục, thông tin có
mức độ chi tiết cao nhất và hữu ích đối với người có
nhu cầu tham khảo hoặc các chuyên gia.
• Các kết luận và kiến nghị của điều tra viên cơ bản
thường dựa trên những nhận định mang tính chủ quan,
tuy nhiên khi đọc các phần trình bầy bằng chứng số và
phân tích thì người đọc có thể tự hình thành ý
kiến riêng của mình

19. Ví dụ một bản báo cáo pháp chứng số

20. Ví dụ một bản báo cáo pháp chứng số (tiếp)

21. Ví dụ một bản báo cáo pháp chứng số (tiếp)

22. Trình bầy các bằng chứng số trong báo cáo
• Cần có sự thống nhất trong các bằng chứng số. Các
bằng chứng số và sự kiện đưa ra phải xác thực và
được kiểm tra cẩn thận.
• Nếu có điều gì không chắc chắn về bằng chứng số
mà người điều tra viên không thể xác minh thì cần
nêu rõ trong bản báo cáo.
• Bản báo cáo của người điều tra viên sử dụng các
bằng chứng số sai sẽ không có giá trị, người điều tra
viên sẽ phải chịu trách nhiệm về pháp lý đối với
những thông tin sai lạc.

23. Thông tin bằng chứng máy tính

24. Bằng chứng số về CMOS

25. Biểu mẫu bằng chứng trong đĩa cứng

26. Bằng chứng về nội dung trong đĩa cứng

27. Phần mềm Forensic Toolkit
• Forensic Toolkit® (FTK®) là một phần mềm pháp chứng
được phát triển bởi AccessData và được chấp nhận rộng rãi
trên thế giới là một công cụ chuẩn cho pháp chứng số
• Đặc trưng của phần mềm là có thể trình bầy các thông tin
dưới dạng đồ họa và cho khả năng phân tích dữ liệu nhanh
• Có khả năng phá mã đa dạng và nhanh chóng
• Các khả năng phân tích mã độc cao

29. Bắt đầu một case trong Forensic Toolkit
• Vào thông tin case chọn New Case, điều này cho phép điều
tra viên có thể lưu trữ nhiều case khác nhau

30. Lựa chọn các tham số khi điều tra
• Điều tra viên có thể lựa chọn các tham số kcủa case và case
tự động sinh ra dữ liệu phù hợp khi thực hiện điều tra, điều
này rất cần thiết khi làm các báo cáo điều tra hay trình bầy
case trước tòa án

31. Nhập các bằng chứng số
• Điều tra viên lựa chọn nhập các bằng chứng số mà mình thu
thập như ảnh các ổ đĩa (file ISO), USB … . Forensic Toolkit
sẽ thực hiện điều tra trên các bằng chứng cung cấp

32. Xem lại thông tin và tiến hành xử lý
• Điều tra viên xem lại thông tin của case trước khi bắt đầu
cho máy tính xử lý các bằng chứng.

33. Tạo ra Bookmark và lựa chọn tools
• Điều tra viên có thể tạo ra Bookmark tương ứng với các File
và và lựa chọn tools để xử lý.

34. Lựa chọn thông tin sau xử lý
• Điều tra viên chọn các file mà mình muốn copy và xuất ra
thư mục hoặc file, điều này cần thiết khi phát hiện ra các file
nhậy cảm.

35. Lựa chọn thông tin cần tìm kiếm
• Điều tra viên có thể chọn những thông tin cần tìm kiếm
trong các file bằng chứng để tìm ra nhửng dữ liệu nhậy
cảm

36. Tạo báo cáo về case trong Forensic Toolkit
• Điều tra viên nhập những thông tin về case và các yêu cầu
in thông tin trong báo cáo cho phù hợp với yêu cầu của
mình.

37. Tạo các section trong báo cáo và các file bổ
sung

38. Tổng quát một báo cáo trên máy về File

39. Phân tích thông tin trong báo cáo
• Trong báo cáo, người điều tra viên cần phải phân tích
trình bày những thông tin liên quan đến vấn đề trong
báo cáo.
• Phân tích thông tin phản ánh mục đích rộng của bản báo
cáo, đặt ra vấn đề cần được giải quyết và nêu rõ những
đóng góp của báo cáo vào việc giải quyết những vấn đề
đó.
• Ở một số điểm khi phân tích, điều tra viên có thể cần
đến các thông tin bằng chứng đểcủng cố lập luận của
mình và cần trình bầy các thông tin bằng chứng này
trong báo cáo hoặc trong các phụ lục. .

40. Ví dụ phần phân tích trong báo cáo

41. Kết luận và kiến nghị trong báo cáo
• Sau khi phân tích trình bày những thông tin liên
quan đến vấn đề. Điều tra viên cần có các đánh giá
và đưa ra kiến nghị (nếu cần thiết) về các quyết định
và hành động tiếp theo.
• Điều tra viên có thể đưa ra các đánh giá các giải
pháp có thể và đưa ra lựa chọn các giải pháp tối ưu.
• Các kết luận và kiến nghị có thể thường dựa trên
những nhận định có tính chủquan của Điều tra viên.

42. Ví dụ phần kết luận báo cáo

43. Hết bài 3