Kinh nghiệm thu giữ, khai thác chứng cứ điện tử

(Ảnh minh hoạ - Nguồn: Hocluat.vn)

Chia sẻ nếu thấy nội dung này hữu ích

Đây là những kinh nghiệm được chia sẻ từ những đồng nghiệp là Công tố viênĐiều tra viên làm việc tại các cơ quan tố tụng của Hoa Kỳ, Hồng Kông… trong khuôn khổ Hội thảo về phòng, chống tội phạmxâm phạm sở hữu trí tuệ tổ chức vào tháng 3/2017 tại Hồng Kông.

Bộ luật Tố tụng hình sự (BLTTHS) năm 2015 bổ sung thêm nguồn chứng cứ mới là dữ liệu điện tử(điểm c khoản 1 Điều 87), đã tạo ra hành lang pháp lý thuận lợi để đấu tranh, ngăn chặn loại tội phạm công nghệ cao. Tuy nhiên, việc thu thập, bảo quản chứng cứ điện tử trong tố tụng hình sự hiện nay ở Việt Nam chưa có những quy định hướng dẫn cụ thể, rõ ràng.

Để đảm bảo việc khai thác chứng cứ điện tử có hiệu quả đòi hỏi Kiểm sát viên, Điều tra viên phải có kiến thức cơ bản về công nghệ máy tính và người thực hiện công tác thu giữ, bảo quản phải là những chuyên gia được đào tạo về việc thu thập và phục hồi chứng cứ điện tử.

Kiểm sát viên, Điều tra viên muốn có kiến thức cơ bản về công nghệ có thể tham khảo tại các trang web: http://www.gcflearnfree.org/computerbasics; http://computer.howstuffworks.com/computer-hardware-channel.htm; http://www.meganga.com. Đây là một số trang web giúp cho Kiểm sát viên, Điều tra viên nắm được các nguyên tắc cơ bản; từ đó có thể quyết định thu giữ những gì cần thiết trong một khối lượng dữ liệu lớn hoặc sẽ khai thác được gì từ những vật chứng là các thiết bị điện tử.

Căn cứ vào nguồn gốc tạo ra chứng cứ có thể chia thành 3 loại chứng cứ điện tử

Dữ liệu điện tử do người sử dụng tạo ra: Là những tài liệu, dữ liệu được tạo ra bởi hành vi của con người và được lưu lại trong bộ nhớ điện tử, như văn bản, bảng biểu, hình ảnh số, thư điện tử, các trang web, thông tin người sử dụng các dịch vụ, nội dung các cuộc trò truyện trên mạng, những phản ánh của khách hàng…

Dữ liệu điện tử do máy tính tự động tạo ra: Là kết quả được tạo ra sau khi chương trình máy tính xử lý các dữ liệu đầu vào theo một thuật toán đã được xác định. Ví dụ: Nhật ký truyền tệp tin trong máy tính (FTP tranfer logs), nhật ký giao thức mạng từ các nhà cung cấp internet (IP logs from ISPs), nhật ký hệ điều hành/các tập tin registry (Operating System Logs/Registry Files); các bản ghi định vị (GPS records), các bản ghi và nhật ký trang thư điện tử (Web mail IP logs and records)… Sự tác động của con người đối với dữ liệu do máy tính tạo ra rất hạn chế.

Đa phần các chứng cứ điện tử đều được tạo nên bởi cả con người và máy tính, như nội dung một bức thư điện tử với tiêu đề do máy tính đặt tự động. Chúng ta có thể khai thác các chứng cứ điện tử từ rất nhiều thiết bị thu giữ được như:

Thiết bị di động: Các thiết bị di động thường lưu giữ những chứng cứ quan trọng phục vụ cho công tác điều tra: Tin nhắn, các cuộc gọi… hay thậm chí một số thiết bị di động còn tự động lưu cả lịch trình đi lại của người sử dụng (ví dụ khi thu giữ được một chiếc điện thoại Iphone có thể khai thác được những vị trí của người sử dụng đã từng đến bằng cách vào phần cài đặt (settings) – Riêng tư (Privacy) – Dịch vụ định vị (Location Service) – Dịch vụ hệ thống (System Service) – Vị trí thường xuyên (Location frequence).

Đĩa CD chứa dữ liệu (CD Roms), ổ đĩa rời (External Drives), bộ định tuyến (Router).

Các nhà cung cấp dịch vụ (Thư điện tử, trang web, máy chủ…): Là nguồn cung cấp dữ liệu điện tử quan trọng. Họ sẽ cung cấp cho các cơ quan tố tụng những thông tin về người sử dụng các dịch vụ, nhật ký truyền dữ liệu, các bản sao những dữ liệu máy tính… Để truy được cung cấp các dữ liệu điện tử từ các nhà cung cấp dịch vụ mạng, các cơ quan tiến hành tố tụng có thể vào một số cổng tra cứu dữ liệu sau để yêu cầu:

– Để tìm kiếm thông tin về những nhà cung cấp dịch vụ internet có thể truy cập địa chỉ: www.search.org › Resources (trang web không chỉ cung cấp danh sách các nhà cung cấp dịch vụ mạng mà cả những thông tin về họ và hướng dẫn những thủ tục pháp lý cần thiết để thực hiện việc yêu cầu cung cấp thông tin đối với nhà cung cấp).

– Hệ thống yêu cầu trực tuyến thực thi pháp lý của facebookhttps://www.facebook.com/records (để được facebook cung cấp những thông tin cần thiết thì người yêu cầu phải là cơ quan nhà nước có thẩm quyền trong điều tra vụ án liên quan tới thông tin yêu cầu).

– Hệ thống phản hồi thực thi pháp lý của google: https://lers.google.com/signup_v2?visit_id=636866635233424042-1421550268&rd=1

– Ngoài ra, tổ chức mạng lưới G7 24/7 là một tổ chức có mục đích chính là cung cấp những dữ liệu truyền nhận thông tin qua kênh tương trợ tư pháp. Với hơn 70 quốc gia thành viên trong mạng lưới, trong đó có các nước như: Hồng Kông, Ấn Độ, Indonesia, Malaysia, Pakistan, Thái Lan và Việt Nam. Mạng lưới này hỗ trợ khẩn cấp cho các thành viên những vấn đề về tội phạm mạng 24 giờ trong ngày.

Máy tính: Đây là một trong những vật chứng quan trọng và đặc biệt trong những vụ án mà người phạm tội sử dụng công nghệ cao thì việc khai thác những dữ liệu từ máy tính là hết sức quan trọng. Để khai thác được hết các dữ liệu trong một chiếc máy tính có thể chia ra làm hai trường hợp:

Thứ nhất, đối với máy tính đang trong tình trạng mở, chúng ta phải thu giữ và sao lưu ngay bộ nhớ khả biến (RAM). RAM cho phép truy xuất đọc – ghi ngẫu nhiên đến bất kỳ vị trí nào trong bộ nhớ trên cơ sở địa chỉ bộ nhớ. Thông tin lưu trên RAM chỉ là tạm thời, sẽ mất đi khi mất nguồn điện cung cấp. Mật khẩu của các chương trình hoặc các dữ liệu mã hóa thường được tự động lưu lại trong RAM và hiếm khi được lưu trong bộ nhớ. Khi tắt máy tính, những thông tin như vậy sẽ bị xóa ngay và không còn lưu ở những nơi khác. Do vậy, việc thu giữ và sao chép ngay những thông tin trên RAM là rất quan trọng. Chúng ta có thể sử dụng tệp FTK Imager and Dumpit.exe để sao lưu những thông tin từ RAM. Thu giữ và phân tích RAM có thể giúp khai thác những thông tin không được lưu trong máy tính như: Các chương trình đang chạy hoặc mới thoát ra trên máy tính, các kết nối hệ thống, những đoạn tài liệu đang soạn dở, các trang web đã được xem, bản sao của những tin nhắn, đoạn hội thoại… Những thông tin được tìm thấy trên RAM còn giúp phát hiện những truy cập từ xa vào máy tính. Thông tin khai thác trên RAM còn có vai trò quan trọng trong việc chứng minh ý thức chủ quan của người bị tình nghi (ví dụ khi tìm ra những mật khẩu trong RAM sẽ chứng minh người bị tình nghi cố tình cất giấu những thông tin liên quan tới hành vi phạm tội trong những file đã được mã hóa) hay xác định được người sử dụng máy tính (vì khi cài đặt mã hóa thì chứng tỏ máy tính không thể truy cập bởi người khác ngoài người đã cài đặt mật khẩu); ngoài ra, còn có thể xác định được người sử dụng máy tính đã chạy những chương trình gì trên máy tính.

Xác định các mã khóa trên máy tính và bằng mọi cách sao chép lại các mã, mật khẩu hay mã khóa, cho phép xác định được mã khóa hoặc mở được những chương trình đã bị khóa. Khi phát hiện được mã hóa trên máy tính đang mở, phải sao lưu ngay tất cả các ổ đĩa trước khi tắt máy tính. Các thông tin liên quan tới mã hóa cũng cho phép chúng ta xác định được ý thức chủ quan của người bị tình nghi, người sử dụng máy tính…

Sao lưu các ổ đĩa logical đã được mã hóa: Trong trường hợp các đĩa đã bị mã hóa và không có khóa mở thì việc tạo bản sao logical của các ổ đĩa là cần thiết trước khi máy tính tắt. Vì khi hệ thống bị tắt thì không còn cơ hội để sao lưu các ổ đĩa nữa. Lưu ý là việc sao lưu chỉ có tác dụng đối với các file đang hoạt động.

Xác định xem có bất cứ kết nối không dây hay hữu tuyến giữa máy tính với hệ thống hay với máy tính khác hoặc các thiết bị khác; xác định ngay các chương trình đang chạy hoặc đang gửi/nhận thông tin; ghi lại các cổng mở. Đó là một cách để xác định có các dịch vụ lưu trữ từ xa không, các chương trình đã được dùng để thực hiện tội phạm hoặc có những người khác tham gia thực hiện tội phạm không. Các ổ đĩa được chia sẻ trên hệ thống có thể lưu trữ những chứng cứ điện tử. Những kết nối với hệ thống có thể cho thấy sự kiểm soát từ bên ngoài đối với máy tính.

Nếu phát hiện những nơi lưu trữ khác, kết nối hệ thống hoặc các ổ đĩa rời thì cần thiết phải xác định căn cứ pháp lý để có thể tiếp cận những chứng cứ này.

Kiểm tra nhanh các điểm truy cập không dây hoặc các ổ đĩa, bộ định tuyến (router) và thiết bị truy cập để xác định có máy tính nào khác đã kết nối hoặc thiết bị bên trong và bên ngoài để tìm ra vị trí (thu giữ ngay bộ định tuyến nếu như nó bị che giấu bằng quyền truy cập). Bộ định tuyến có thể chứa những thông tin quan trọng về máy tính hoặc các ổ đĩa cũng có thể lưu những đường truyền internet đã đi qua bộ định tuyến đó. Những thông tin chứa trong bộ định tuyến có thể tiết lộ máy tính còn ẩn giấu, ổ lưu trữ từ xa hoặc các ổ đĩa khác; từ đó có thể chứng minh được một máy tính hay một thiết bị từ xa đã kết nối qua internet với máy tính bị thu giữ. Bộ định tuyến cũng có thể là thiết bị lưu trữ bên ngoài, chứa các file nhật ký của tất cả các kết nối và các thiết bị đã kết nối, các ổ cứng làm nhiệm vụ như máy chủ truyền nhận file, máy chủ web…

Xác định ngay tất cả những người đã truy cập vào máy tính: Nhằm giúp xác định được trách nhiệmcủa những người đã có hành vi tác động lên máy tính, tìm ra được những tài khoản người sử dụng nào hợp pháp, tài khoản nào là bất hợp pháp. Những thông tin về người sử dụng để xác định rằng người bị tình nghi là người duy nhất đã truy cập vào máy tính hoặc có thể xác định được người đã truy cập trước đó…

Thứ hai, đối với những máy tính trong tình trạng tắt nguồn: Kiểm tra ngay ngày, giờ trên máy tính và phần cài đặt múi giờ (tiến hành ngay tại hiện trường thu giữ nếu có thể, nếu không phải làm ngay khi mang về phòng thí nghiệm) lưu trên chip máy tính được biết đến như là bộ chế tạo mạch tích hợp (CMOS) nằm trên bảng mạch chính chứ không nằm trên ổ cứng. Tại thời điểm thu giữ hoặc sao chép thì thời gian trên CMOS có thể cũng là thời gian thực tế nên bất cứ bản in nào cũng phải được ghi lại. CMOS là một loại pin năng lượng; do vậy máy tính không được khai thác ngay thì pin sẽ hết năng lượng, dẫn đến ngày, tháng và thông số cài đặt hệ thống cũng sẽ bị mất. Tùy theo định dạng file hệ điều hành máy tính sẽ tự động chuyển giờ CMOS thành giờ địa phương. Ghi lại múi giờ mà hệ thống máy tính đã được cài đặt cần thiết cho việc xác định mốc thời gian phù hợp của việc sử dụng máy tính.

Liệt kê tất cả những thiết bị lưu trữ ngoài đã và đang kết nối với máy tính, loại thiết bị, số sê ri và model, ngày, giờ kết nối cuối cùng, phân vùng ổ đĩa và người sử dụng tài khoản khi thiết bị kết nối (thực hiện ngay trước khi rời khỏi hiện trường để kịp thời xác định và thu giữ các thiết bị lưu trữ ngoài). Việc này có thể hỗ trợ việc tìm kiếm vị trí và kẻ bị tình nghi thông qua việc phát hiện sự tồn tại của ổ đĩa flash đã được che giấu. Thiết bị USB luôn có một số seri duy nhất cho phép tìm ra được một thiết bị trong số nhiều máy tính. Những thông tin từ các thiết bị rời này có thể cần thiết trong việc xác định người sử dụng.

Xác định có sự điều chỉnh ngày giờ bằng tay không: Hệ điều hành Window hoặc nhật ký các sự kiện có thể chứa một thư mục nếu như ngày, giờ của hệ thống máy tính bị thay đổi bên trong hệ điều hành Window (việc xác định ngày giờ bị thay đổi có thể giúp đánh giá được ý thức chủ quan của người sử dụng, ví dụ như nghi phạm có thể cố tình thay đổi dữ liệu ngày, giờ sai so với ngày, giờ tài liệu được tạo ra trên thực tế để đánh lạc hướng).

Lập danh sách những hoạt động trên mạng internet, bao gồm cả lịch sử truy cập và Cookies ngay tại hiện trường vì nó có thể hỗ trợ trong việc lấy lời khai ngay tại chỗ. Những thông tin này sẽ cho biết những website nào đã được truy cập, giúp ích trong việc phân loại những trang web, ngày, giờ… Những thông tin về lịch sử truy cập internet cần thiết cho việc xác định ý thức chủ quan.

Lập danh sách những từ khóa tìm kiếm mà người sử dụng đã nhập vào công cụ tìm kiếm trên internet – biểu thị cả ngày, giờ: Đây là danh sách những từ khóa mà người sử dụng đã tìm kiếm trên mạng thông qua công cụ tìm kiếm như Google.

Lập danh sách những trang web đã được đánh dấu (bookmarked) và trang web ưa thích (nên tiến hành ngay tại hiện trường vì nó có thể hỗ trợ trong việc lấy lời khai ngay tại chỗ): Ngoại trừ trường hợp cài đặt mặc định của nhà sản xuất, những trang web đã được đánh dấu và trang web ưa thích đều được tạo ra bởi người sử dụng, việc đánh dấu trang web là để người dùng dễ dàng hơn trong việc xem lại những trang web trước đó. Trang web đã được đánh dấu cần thiết trong việc xác định ý thức chủ quan cũng như người sử dụng.

Lập danh sách tất cả những địa chỉ trang web đã được nhập vào: Thông tin này cho biết một địa chỉ trang web đã được gõ vào thanh địa chỉ truy cập trang web một cách có chủ định chứ không phải do tự đổi hướng hay pop-up/pop-under từ một trang web khác.

Lập danh sách các file đã mở gần nhất: Giúp chúng ta hiểu biết được trình tự thời gian, những thông tin gì đã được xem và vị trí của file.

Lập danh sách các biểu tượng tắt (shortcut) mà người sử dụng đã tạo ra trên màn hình: Các shortcut này sẽ giúp chúng ta biết được những file hoặc chương trình được sử dụng thường xuyên nhất, giúp xác định được người sử dụng có sự hiểu biết về những ứng dụng hay những file được tạo đường dẫn.

Lập danh sách ngay khi các đường dẫn và tên của những file đã được mở thông qua các ứng dụng (media player, excel, Microsoft word, Adole…): Các file mới mở thông qua các ứng dụng có thể cần thiết trong việc tìm ra hành vi phạm tội.

Xem xét tất cả các file ảnh, file video bao gồm cả đường dẫn, tên file, ngày tạo file, ngày truy cập, ngày chỉnh sửa, nếu có thể thì xem xét cả các thông tin liên quan tới những thiết bị số hay camera đã chụp và ghi những file đó (chú ý đây là việc làm tốn rất nhiều thời gian sẽ ảnh hưởng đến thời hạn tố tụng). Những file này có thể chứa những chứng cứ cần thiết cho việc điều tra. Thời gian của file cũng rất quan trọng, giúp chứng minh được quyền sở hữu, kiểm soát mốc thời gian và ý định chủ quan của người thực hiện hành vi. Tuy nhiên, cần chú ý thời gian có thể xuất hiện không nhất quán, nó phụ thuộc vào sự ngẫu nhiên trong Windows; do đó, việc xem xét và nghiên cứu thời gian của file cần có sự tham gia của chuyên gia giám định. Thông tin thời gian xuất hiện trên những file ảnh này là thời gian được cài đặt bằng tay ở camera, giúp xác định được vị trí địa lý của người sử dụng, máy tính, thiết bị… vì ảnh chụp từ đa số các camera hay điện thoại thường chứa dữ liệu EXIF (thông tin về vị trí chụp, thời gian, thiết bị).

Lập danh sách tất cả các file (gồm tệp, chương trình, ứng dụng, văn bản…) cùng với giá trị băm (hash value) liên quan tới hành vi phạm tội đang được điều tra: Giải thuật toán có thể tạo ra một giá trị chữ số duy nhất đối với mỗi file – có thể coi như là vân tay số và được biết đến như là hàm băm (Hash). Hàm băm phổ biến nhất là MD5 hash hoặc SHA1 hash. Một giá trị băm có thể được tạo ra cho bất kỳ file nào. Hàm băm là một hàm toán học chuyển đổi một thông điệp đầu vào có độ dài bất kỳ thành một dãy bit có độ dài cố định (tuỳ thuộc vào thuật toán băm). Dãy bit này được gọi là thông điệp rút gọn (message digest) hay giá trị băm (hash value), đại diện cho thông điệp ban đầu. Hàm băm là hàm một chiều nên không thể tái tạo lại thông điệp ban đầu từ một chuỗi băm có sẵn. Mọi sự thay đổi dù là nhỏ nhất ở thông điệp đầu vào cũng cho ra kết quả là một dãy số hoàn toàn khác nhau nên đây là cách tốt nhất để kiểm tra tính toàn vẹn của một tập tin và xác định tập tin đó đã bị sửa đổi hay chưa. Trong điều tra tội phạm liên quan tới xâm nhập điện toán trái phép hay tội phạm xâm phạm sở hữu trí tuệ thì hàm băm đặc biệt hữu ích trọng việc xác định công cụ hacker hay những sản phẩm sở hữu trí tuệ bị đánh cắp thông qua việc so sánh giá trị băm của tập tin bị thu giữ với giá trị băm của tập tin gốc của nhà sản xuất.

Xác định nhà cung cấp dịch vụ thư điện tử và những địa chỉ email đã được sử dụng: Một số dịch vụ thư điện tử tự tải nội dung thư vào máy tính trong khi các dịch vụ thư điện tử khác thường lưu nội dung thư điện tử trên máy chủ của nhà cung cấp dịch vụ, trong trường hợp này phải xác định nhà cung cấp dịch vụ thư điện tử để làm thủ tục pháp lý yêu cầu được xem xét nội dung thư và những thông tin liên quan tới tài khoản thư điện tử được lưu dữ tại máy chủ. Những thông tin liên quan tới nhà cung cấp dịch vụ thư điện tử có thể cần thiết trong việc thu thập thêm chứng cứ.

Khôi phục lại tất cả các thư điện tử đã lưu trú trong máy tính, bao gồm cả những thư điện tử được cất giấu hay đã được lưu lại: Thư điện tử có thể chứa đựng rất nhiều thông tin phục vụ điều tra từ nội dung cho đến thời gian sử dụng.

Trích xuất tất cả nội dung của sổ địa chỉ, danh sách liên hệ, lịch làm việc hoặc những dữ liệu tương tự: Danh bạ và danh sách liên hệ có thể tìm thấy trong sổ địa chỉ và các chương trình thư điện tử. Những thông tin này cần thiết để so sánh tên thật và những thông tin đang điều tra với biệt danh và xác định xem có người khác nữa tham gia phạm tội không.

Lập danh sách tất cả các trang mạng xã hội, dịch vụ trực tuyến… có liên quan tới máy tính và với tài khoản đang cần xác minh có thể được dùng để đăng những thông tin cần thiết cho điều tra, hơn nữa các trang mạng xã hội chứa thông tin về những hợp tác, bức ảnh, kết nối… có ý nghĩa quan trọng trong việc xác định người phạm tội, những hành vi liên quan và có thể định vị được người đã sử dụng các trang mạng xã hội.

Khai thác tất cả các phần mềm trò chuyện, nội dung các cuộc trò chuyện, các bản ghi giao dịch, bạn thân/danh sách bạn bè và cả tên hiệu (nickname) đã sử dụng. Chat là một dạng hội thoại văn bản trên internet có thể chứa nhiều thông tin liên quan tới điều tra và có thể tiết lộ nhiều mối liên kết với tội phạm.

Khai thác tất cả các chương trình truyền giọng nói qua giao thức internet (VOIP), các bản ghi giao dịch, nội dung các văn bản hoặc trò chuyện từ chương trình truyền giọng nói qua giao thức internet. Giao thức truyền giọng nói qua mạng là một công nghệ cho phép người ta tiến hành một cuộc gọi (hội thoại tiếng và hình) thông qua internet và để gửi tin nhắn, trò truyện và gửi nhận các tập tin. Skype, Vonage, Facetime và một số chương trình VOIP thường lưu lại nhật ký các hành động trên máy tính. Thư thoại và các tập tin hình hoặc tiếng gửi qua VOIP đều có thể tìm thấy trên máy tính. Các thông tin này có thể tiết lộ những mối liên hệ với tội phạm và hữu ích cho điều tra.

Ghi lại toàn bộ những phần mềm diệt virus, phần mềm gián điệp (spyware), phần mềm phát hiện xâm nhập, thời điểm lần cuối cùng các chương trình này được dùng, ngày cập nhật gần nhất, có ích trong việc xác định thủ phạm. Trường hợp người bị tình nghi phản biện rằng máy tính của anh ta bị truy cập trái phép và hành vi phạm tội là do người khác thực hiện, thì việc xác định có sự tồn tại và sử dụng phần mềm diệt virus hay phần mềm phát hiện xâm nhập trên máy tính của anh ta sẽ bác bỏ khẳng định của anh ta.

Lập danh sách các chương trình có khả năng xóa bỏ chứng cứ bất hợp pháp ví dụ như phần mềm xóa chứng cứ. Nắm được các chương trình này đã được sử dụng hay chưa bao nhiêu lần và chạy lần cuối khi nào sẽ giúp chúng ta biết được người sử dụng đã che giấu bất hợp pháp những hành động trên máy tính.

Lập danh sách các tập tin đã bị xóa trong thùng rác gồm cả thời gian xóa, đường dẫn và tên file tại vị trí gốc có thể chỉ ra các hành vi, hành động liên quan tới cuộc điều tra giúp cho Điều tra viên đấu tranh làm rõ ý thức của người bị tình nghi khi thực hiện xóa các file liên quan.

Lập danh sách các chương trình đồng đẳng (P2P) đã được cài đặt, cài đặt cấu hình và các từ khóa đã được sử dụng, các file đã được tải về hoặc đã được chia sẻ. Một số chương trình thường lưu lại danh sách những file vừa được truy cập hoặc vừa được tải về. Sự thay đổi cấu hình từ cài đặt mặc định có thể cho thấy người sử dụng có ý định gửi hoặc tải về. Các từ khóa tìm kiếm đã được sử dụng có thể chỉ ra ý định muốn truy cập của người sử dụng đối với file được tìm kiếm.

Cung cấp các thông tin kết nối mạng, bao gồm cả địa chỉ IP được gán cho máy tính bởi các nhà cung cấp dịch internet hoặc thiết bị mạng (như là router), thời gian kết nối lần đầu với mạng và tên mạng. Khi một máy tính kết nối với internet hay với một mạng nào đó thì bao giờ cũng có địa chỉ IP. Để xác định các hành động trên internet của một máy tính thì việc xác định địa chỉ IP là việc đầu tiên phải làm. Địa chỉ IP tĩnh được gán không xác định cho một máy tính, còn địa chỉ IP động được cung cấp ngẫu nhiên cho mỗi lần máy tính truy cập vào internet hay một mạng nào đó. Việc xác định được địa chỉ IP đã được cấp cho máy tính sẽ giúp ta xác định được một địa chỉ IP nhất định của máy tính hoặc xác định người đã sử dụng máy tính trong một thời gian nhất định. Việc xác định được địa chỉ IP nội bộ có thể rất quan trọng trong việc xác định những hoạt động của một máy tính nhất định trong mạng nội bộ.

Lập danh sách tất cả các điểm truy cập mạng không dây mà máy tính đã kết nối, gồm cả địa chỉ MAC, tên mạng không dây (SSID) và tất cả ngày giờ liên quan tới việc truy cập. Địa chỉ MAC là một con số duy nhất đặc trưng cho một card mạng, SSID là tên của mạng không dây mà máy tính được kết nối. Ghi lại các địa chỉ MAC và tên mạng không dây mà máy tính đã kết nối có thể cho biết máy tính đã kết nối với điểm truy cập nhất định.

Tìm kiếm các máy ảo. Sự hiện diện của máy ảo có thể lý giải việc một số chứng cứ quan trọng mà lúc đầu không được tìm thấy trên máy tính chính. Các hoạt động đã được cất giấu trong máy ảo không dễ dàng tìm thấy bằng các quy trình bình thường trên máy tính. Khi phát hiện có máy ảo trên máy tính phải áp dụng những công nghệ đặc biệt để phân tích máy ảo. Phát hiện ra máy ảo giúp phát hiện được những chứng cứ cần thiết, ngoài ra việc sử dụng máy ảo chứng tỏ người sử dụng cố tình muốn che giấu chứng cứ trong máy ảo.

Ghi lại dữ liệu về hệ thống khởi động, chế độ ngủ đông, ngày giờ tắt máy. Những thông tin này hữu ích trong việc xác định được máy tính được bật vào một thời gian nhất định (chú ý: Một máy tính trong chế độ ngủ đông có thể không được phản ánh trong nhật ký khởi động, tắt máy). Thông tin về thời gian tắt, mở máy tính rất quan trọng, nó chứng minh thời điểm thực hiện hành vi phạm tội thì máy tính của kẻ bị tình nghi có đang chạy hay không.

Ghi lại ngày, tháng trong tính năng sao lưu tự động (volume shadow copies hoặc restore points). Hệ điều hành sẽ tự động sao chụp các dữ liệu nhất định theo một chu kỳ bao gồm cả sơ sở dữ liệu thông số kỹ thuật (registry). Tính năng sao chụp này được gọi là volume shadow copies trong hệ điều hành từ Window 7 trở lên và là restore points trong hệ điều hành Window XP. Việc phân tích những cơ sở dữ liệu thông qua những bản sao lưu trước đó có thể cung cấp các thông tin liên quan tới điều tra vụ án. Vì trong đó có thể chứa những bản sao của những thông tin như là loại URL hay các tập tin mới được mở hoặc mới lưu nhưng có thể đã bị xóa.

Thu giữ tất cả các hình ảnh, đồ họa thu nhỏ (thumbnail). Trong hệ điều hành Window, khi người sử dụng xóa file ảnh hay đồ họa thì thumbnail có thể không bị xóa đồng thời. Vì một file ảnh hay đồ họa không chỉ bao gồm phần ảnh mà gồm cả phần văn bản (text) được lưu lại dưới dạng ảnh. Khi một file ảnh hay đồ họa còn nằm trong máy tính thì người sử dụng có thể xem chúng dưới dạng thumbnail. Hầu hết các hệ điều hành đều cho phép tạo thumbnail dưới dạng bản sao có độ phân giải thấp so với bản gốc. Khi một thumbnail của một bức ảnh được tạo ra thì có ít nhất 02 bản sao của file ảnh hoặc đồ họa trên máy tính: Một bản gốc và một bản có độ phân giải thấp hơn. Bản có độ phân giải thấp được gọi là thumbs.db hoặc thumbcache###.db. Nếu người sử dụng đã xóa hoặc viết đè bản ảnh gốc thì bản thumbnail có thể vẫn còn để chúng ta xem xét. Khi phát hiện thấy có thumbnail trong tập tin thumbs.db thì có căn cứ kết luận rằng một lúc nào đó khi file ảnh, đồ họa còn trong thư mục thì người sử dụng đã từng xem nội dung thư mục trong Window Explorer dưới dạng thumbnail. Vì chỉ khi người sử dụng xem thư mục dưới dạng thumbnail thì tập tin đó mới được cập nhật vào thumbs.db.

Ghi lại tất cả những file đã được người sử dụng tìm kiếm thông qua mục “start”, “search”. Khi người sử dụng máy tính tìm kiếm file bằng cách ấn vào “start” rồi nhấn vào “search” sau đó nhập từ khóa tìm kiếm vào hộp thoại tìm kiếm thì từ khóa tìm kiếm sẽ được hệ điều hành lưu lại. Một người sử dụng có thể mở một file, khởi động một chương trình hay bắt đầu kết nối mạng bằng cách gõ lệnh vào hộp thoại “start”, “run”. Những thông tin này có thể giúp xác định người sử dụng trước đó đã mở những file hay khởi động một chương trình nhất định nào đó.

Nguyễn Thành Thủy

VKSND quận Ba Đình, Tp. Hà Nội.

Nguồn: TCKS số 21/2017