Bạn có quan tâm đến thế giới đầy bí ẩn của tội phạm công nghệ cao và bằng chứng số? Bạn muốn trang bị cho mình những kiến thức và kỹ năng cần thiết để trở thành một chuyên gia điều tra máy tính hàng đầu? Vậy thì "Nghiệp Vụ Điều Tra Máy Tính Và Truy Tìm Chứng Cứ Số" chính là cuốn sách dành cho bạn!

Trong thời đại số hóa bùng nổ, việc tìm kiếm bằng chứng kỹ thuật số và điều tra tội phạm công nghệ cao ngày càng trở nên quan trọng và thu hút sự chú ý rộng rãi. Hãy nhìn vào vụ sụp đổ của tập đoàn năng lượng Enron vào tháng 12 năm 2001, nơi hàng trăm chuyên gia đã sử dụng kỹ thuật Computer Forensic & Investigation để truy tìm bằng chứng gian lận từ hàng trăm nghìn tập tin và dữ liệu máy tính, hé lộ những hành vi sai trái. Đây chỉ là một trong vô vàn ví dụ cho thấy tầm quan trọng của lĩnh vực này.

📚 Đặt mua sách
💵 Giá: 390.000 VND
🏦 Thanh toán (CK): TPBank – STK 0914 433 338
📲 Liên hệ/Zalo: 0914 433 338

✍️ Gợi ý nội dung chuyển khoản: “ Tên sách + SĐT”

Giá 390.000 VND | CK TPBank STK 0914 433 338 | Zalo 0914 433 338

"Nghiệp Vụ Điều Tra Máy Tính Và Truy Tìm Chứng Cứ Số" không chỉ định nghĩa rõ ràng về Computer Forensic – quá trình thu thập và phân tích thông tin trên máy tính làm bằng chứng cho các cuộc điều tra tội phạm hay quản trị hệ thống – mà còn đi sâu vào những khía cạnh quan trọng nhất của nó. Bạn sẽ được hướng dẫn:

• Cách chuẩn bị cho một cuộc điều tra máy tính, hiểu rõ sự khác biệt giữa điều tra trong môi trường thực thi pháp luật và trong doanh nghiệp tư nhân.
• Nắm vững các nguyên tắc cơ bản và nâng cao trong việc thu thập, xác nhận, phân loại, khai thác, tái thiết dữ liệu và lập báo cáo, đảm bảo tính toàn vẹn và hợp lệ của bằng chứng trước tòa.
• Khám phá các công cụ và kỹ thuật chuyên dụng từ việc tạo ảnh đĩa bit-stream, sử dụng các phần mềm hàng đầu như ProDiscover, FTK, EnCase, đến việc phân tích dữ liệu trên nhiều hệ điều hành khác nhau như Windows, MS-DOS, Macintosh và Linux.
• Tìm hiểu về điều tra email, pháp lý mạng máy tính, thiết bị di động, và cả những kỹ thuật che giấu dữ liệu tinh vi như mã hóa toàn bộ ổ đĩa hay steganography.
• Được trang bị kiến thức về các yêu cầu pháp lý, án lệ, quy trình tố tụng hình sự, và các quy tắc ứng xử, trách nhiệm đạo đức của một nhân chứng chuyên môn.
• Học hỏi từ các tình huống thực tế và rút kinh nghiệm để nâng cao hiệu suất làm việc.

Cuốn sách này là tài liệu không thể thiếu cho các cơ quan thực thi pháp luật, chuyên gia bảo mật thông tin, nhân viên điều tra nội bộ doanh nghiệp, sinh viên và bất kỳ ai đam mê lĩnh vực điều tra tội phạm công nghệ cao.

Hãy cùng chúng tôi khám phá và làm chủ nghệ thuật truy tìm chứng cứ số!

---

MỤC LỤC

CHƯƠNG 1: NGHIỆP VỤ ĐIỀU TRA MÁY TÍNH VÀ TRUY TÌM CHỨNG CỨ SỐ

• Thế Nào Là Computer Forensic ?
• Điều Tra Máy Tính Và Những Nguyên Tắc Liên Quan
• Lịch Sử Của Điều Tra Máy Tính
• Hiểu Về Án Lệ
• Chuẩn Bị Nguồn Lực Cho Điều Tra Máy Tính
• Chuẩn Bị Cho Quá Trình Điều Tra Máy Tính
• Hiểu Về Vấn Đề Thực Thi Pháp Luật Của Cơ Quan Điều Tra
• Điều Tra Trong Khu Vực Doanh Nghiệp
• Duy Trì Professional Conduct

CHƯƠNG 2: TỔNG QUAN VỀ ĐIỀU TRA MÁY TÍNH

• Chuẩn Bị Cho Một Quá Trình Điều Tra Máy Tính
• Tổng Quan Về Chứng Cứ Tội Phạm Trên Máy Tính
• Những Vi Phạm Chính Sách Doanh Nghiệp
• Tiếp Cận Theo Hệ Thống
• Truy Cập Vào Bản Án
• Hoạch Định Cho Quá Trình Điều Tra
• Bảo Vệ Chứng Cứ An Toàn
• Thủ Tục Điều Tra Công Nghệ Cao Trong Môi Trường Tổ Chức
• Phân Tích Chứng Cứ Số
• Hoàn Thành Bản Án
• Rút Kinh Nghiệm Tư Công Việc Điều Tra Đã Thực Hiện

CHƯƠNG 3: VĂN PHÒNG VÀ PHÒNG THÍ NGHIỆM CỦA ĐIỀU TRA VIÊN

• Những Yêu Cầu Chứng Nhận Đối Với Computer Forensic Lab
• Hoạch Định Ngân Sách Cho Phòng Thí Nghiệm
• Hiệp Hội Quốc Tế Các Chuyên Gia Điều Tra Máy Tính (IACIS)
• High-Tech Crime Network (HTCN)
• EnCase Certified Examiner (EnCE) Certification
• AccessData Certified Examiner (ACE)
• Xác Định Các Yêu Cầu Vật Lý Cho Một Phòng Thí Nghiệm Điều Tra Tội Phạm Máy Tính
• Bảo Trì Cơ sở Hạ Tầng
• Xem Xét Các Nhu Cầu An Ninh Vật Lý
• Kiểm Tra Các Máy Tính Trong Phòng Thí Nghiệm
• Xác Định Kế Hoạch Tầng Cho Phòng Thí Nghiệm
• Lựa Chọn Một Máy Trạm Cơ Bản Cho Việc Truy Tìm Chứng Cứ
• Yêu Cầu Đối Với Thiết Bị Ngoại Vi Phần Cứng
• Có Kế Hoạch Phục Hồi Thảm Họa
• Lập Kế Hoạch Cho Nâng Cấp Thiết Bị
• Sử Dụng Máy Tính Xách Tay Làm Máy Trạm Điều Tra Chứng Cứ
• Thuyết Trình Cho Việc Phát Triển Phòng Thí Nghiệm
• Lập Kế Hoạch Kinh Doanh Cho Phòng Thí Nghiệm Điều Tra Máy Tính

CHƯƠNG 4: THU THẬP DỮ LIỆU

• Các Định Dạng Lưu Trữ Của Bằng Chứng Kỹ Thuật Số
• Xác Định Phương Pháp Thu Thập Dữ Liệu Thích Hợp Nhất
• Kế Hoạch Dự Phòng Cho Việc Thu Ảnh Đĩa Chứng Cứ
• Sử Dụng Công Cụ Thu Thập Dữ Liệu
• Xác Thực Tính Hợp Lệ Của Dữ Liệu
• Thu Thập Dữ Liệu Chứng Cứ Trên Các Ổ Đĩa RAID
• Sử dụng Công cụ Thu Thập Dữ Liệu Từ Xa
• Một Số Công Cụ Điều Tra Máy Tính Khác

CHƯƠNG 5: PROCESSING CRIME AND INCIDENT SCENES

• Xác định bằng chứng kỹ thuật số
• Hiểu Các Quy Tắt Của Chứng Cứ
• Thu thập chứng cứ trong khu vực tư nhân
• Xử Lý Hiện Trường Vụ Án
• Chuẩn Bị Tìm Kiếm
• Đảm bảo một máy tính Sự cố hoặc Crime Scene
• Tịch Thu Bằng Chứng Kỹ Thuật Số Tại Hiện Trường
• Chuẩn bị Cho Qua Trình Thu Thập Chứng Cứ Kỹ Thuật Số
• Xử Lý Một Vụ Án
• Xử Lý Các Trung tâm dữ liệu với hệ thống RAID
• Cố Vấn Kỹ Thuật
• Lập Tài Liệu Chứng Cứ Trong Phòng Thí Nghiệm
• Xử Lý Các Bằng Chứng Kỹ Thuật Số
• Lưu Trữ Bằng Chứng Kỹ Thuật Số
• Duy Trì Bằng Chứng Và Nhu Cầu Của Phương Tiện Lưu Trữ
• Lập Tài Liệu Chứng Cứ
• Xác Định Giá Trị Băm
• Xem một trường hợp

CHƯƠNG 6: LÀM VIỆC VỚI HỆ ĐIỀU HÀNH WINDOWS VÀ MS-DOS

• Hệ Thống Tập Tin
• Hiểu Về Trình Tự khởi động của hệ thống Windows
• Khám phá Cấu trúc file của hệ điều hành Windows
• Khảo Sát Ổ Đĩa FAT
• Khảo Sát Ổ Đĩa NTFS
• Thách Thức Từ Vấn Đề Mã Hóa Toàn Bộ Ổ Đĩa
• Windows Registry
• Tiến Trình Khởi Động Của Microsoft Windows
• Công Nghệ Ảo Hóa Và Máy Ảo

CHƯƠNG 7: CÁC CÔNG CỤ ĐIỀU TRA MÁY TÍNH HIỆN NAY

• Đánh giá Công cụ máy tính Forensics cần
• Các loại công cụ điều tra máy tính
• Kiểm Tra Và Xác Nhận Tính Hợp Lệ Của Phần Mềm Điều Tra Máy Tính

CHƯƠNG 8: HỆ THỐNG TẬP TIN VÀ QUÁ TRÌNH KHỞI ĐỘNG CỦA MACINTOSH VÀ LINUX

• Cấu trúc Tập tin của hệ thống Macintosh và quá trình khởi động
• Tổng Quan Về Hệ Điều Hành Mac OS 9 Volumes
• Sử dụng Phần mềm điều tra máy tính Macintosh
• Sử Dụng Công Cụ Điều Tra Máy Tính Chạy Trên UNIX / Linux
• Hiểu Biết Về Linux Loader Và GRUB
• Khảo Sát Một Tình Huống Điều Tra Với Kit Sleuth Và Autospy
• Hiểu Biết Về Cấu Trúc Của Các Loại Đĩa Khác

CHƯƠNG 9: PHÂN TÍCH VÀ XÁC THỰC CHỨNG CỨ SỐ

• Xác Định Dữ Liệu Cần Thu Thập Và Phân Tích
• Tiếp Cận Tình Huống Điều Tra Máy Tính
• Tinh Chỉnh Và Sửa Đổi Kế Hoạch Điều Tra
• Sử dụng AccessData Forensic Toolkit để phân tích dữ liệu
• Xác Nhận Dữ Liệu Pháp Lý
• Các Kỹ Thuật Ẩn Dữ Liệu
• Thu Thập Dữ Liệu Từ Xa

CHƯƠNG 10: PHÂN TÍCH HÌNH ẢNH VÀ ĐỒ HỌA

• Thế Nào Là Một Tập Tin Đồ Họa ?
• Tổng Quan Về Nén Dữ Liệu
• Xác Định Và Phục Hồi Tập Tin Đồ Họa
• Xác Định Các Phân Mảnh Của Tập Tin Đồ Họa
• Sửa Chữa Tiêu Đề Bị Hỏng
• Tìm Kiếm Và Phục Hồi Dữ Liệu Từ Vùng Không Cấp Phát Trên Đĩa Cứng
• Xây Dựng Lại Tiêu Đề Tập Tin
• Xây Dựng Lại Các Tập Tin Bị Phân Mãnh
• Xác Định Các Định Dạng Tập Tin Không Xác Định
• Phân Tích Tiêu Đề Của Tập Tin Đồ Họa
• Công Cụ Xem Hình ảnh
• Hiểu Về Các Tập Tin Đồ Họa Steganography
• Sử Dụng Công Cụ Phân Tích Steganalysis
• Vấn Đề Bản Quyền Với Đồ Họa

CHƯƠNG 11: MÁY ẢO, ĐIỀU TRA PHÁP LÝ MẠNG MÁY TÍNH VÀ THU THẬP DỮ LIỆU TRỰC TIẾP

• Tổng Quan Về Máy Ảo
• Tổng Quan Mạng Về Điều Tra Pháp Lý Mạng
• An Ninh Mạng
• Thu Thập Dữ Liệu Trực Tiếp
• Phát Triển Các Thủ Tục Chuẩn Cho Điều Tra Pháp Lý Mạng
• Sử Dụng Công Cụ Mạng
• Các Dự Án Cộng Đồng

CHƯƠNG 12: ĐIỀU TRA EMAIL

• Vai Trò Của E-Mail Trong Điều Tra
• Điều Tra Sự Vi Phạm Và Tội Phạm E-Mail
• Kiểm Tra Nội Dung E-Mail
• Xem Tiêu Đề E-Mail
• Kiểm Tra Tiêu Đề E-mail
• Kiểm Tra Bổ Sung Tập Tin E-Mail
• Truy Tìm Một Thông Điệp E-Mail
• Sử Dụng Tập Tin Nhật Kí Mạng Của E-Mail
• Hiểu Biết Về Các Máy Chủ E-Mail
• Kiểm Tra Nhật Kí Của Máy Chủ E-Mail UNIX
• Sử Dụng Công Cụ Điều Tra Email Chuyên Dụng
• Sử Dụng Trình Biên Tập Hexadecimal Để Phục Hồi E-Mail
• Phục Hồi Tập Tin Outlook

CHƯƠNG 13: ĐIỆN THOẠI DI ĐỘNG VÀ FORENSICS THIẾT BỊ DI ĐỘNG

• Tổng Quan Về Điều Tra Pháp Lý Trên Thiết Bị Di Động
• Khái Niệm Cơ Bản Về Điện Thoại Di Động
• Bên Trong Thiết Bị Di Động
• SIM Card (Subscriber identity module card)
• PDA (Personal Digital Assistant)
• Thủ Tục Thu Thập Thông Tin Cho Điện Thoại Và Thiết Bị Di Động
• Forensics Thiết bị di động
• Đầu Đọc Thẻ SIM
• Điều Tra Pháp Lý Đối Với iPhone
• Công Cụ Điều Tra Pháp Lý Dành Cho Điện Thoại Di Động

CHƯƠNG 14: VIẾT BÁO CÁO CHO ĐIỀU TRA CÔNG NGHỆ CAO

• Hiểu Rõ Tầm Quan Trọng Của Báo Cáo
• Xác Định Các Chi Tiết Chính Của Bản Bán Cáo
• Các Loại Các Báo Cáo
• Hướng Dẫn Viết Báo Cáo
• Bố Trí Và Trình Bày Các Báo Cáo
• Giải Thích Quá Trình Kiểm Tra Và Phương Pháp Thu Thập Dữ Liệu
• Cung Cấp Những Thông Tin Không Chắc Chắn Và Phân Tích Lỗi
• Giải Thích Kết Quả Và Kết Luận
• Cung Cấp Tài Liệu Tham Khảo
• Bao Gồm Cả Các Phụ Lục
• Tạo Kết quả Báo cáo với Công cụ phần mềm Forensics

CHƯƠNG 15: CHUYÊN VIÊN CHỨNG NGÔN TRONG ĐIỀU TRA KỸ THUẬT CAO

• Chuẩn Bị Cho Việc Lấy Lời Khai
• Cung Cấp Tư Liệu Và Chuẩn Bị Chứng Cứ
• Xem Lại Vai Trò Chuyên Gia Tư Vấn Hoặc Nhân Chứng Chuyên Môn Của Bạn
• Tạo Và Duy Trì CV Của Bạn
• Chuẩn Bị Các Định Nghĩa Kỹ Thuật
• Chuẩn Bị Để Đối Phó Với Truyền Thông
• Làm Chứng Tại Tòa Án
• Tìm Hiểu Tiến Trình Xét Xử
• Cung Cấp Chúng Nhận Cho Lời Khai Của Bạn
• Hướng Dẫn Chung Về Làm Chứng
• Làm chứng Trong quá trình kiểm tra trực tiếp
• Làm Chứng Trong Kiểm Tra Chéo
• Chuẩn Bị Cho Việc Cung cấp Lời Khai Bên Ngoài Tòa Án
• Hướng Dẫn Làm Chứng Trong Các Tình Huống Cung Cấp Lời Khai Bên Ngoài Tòa Án
• Hướng Dẫn Làm Chứng Tại Phiên Điều Trần
• Chuẩn Bị Các Bằng Chứng Pháp Lý Cho Lời Khai

CHƯƠNG 16: QUY TẮC ỨNG XỬ VÀ TRÁCH NHIỆM NGHIỆP VỤ CỦA NHÂN CHỨNG CHUYÊN MÔN

• Ứng Dụng Các Nguyên Tắt Xử Thế Và Điều Luật Đối Với Nhân Chứng Chuyên Gia
• Vai Trò Của Người Giám Định Pháp Lý Khi Làm Chứng
• Quan Tâm Đến Vấn Đề Bị Loại Bỏ
• Những Cái Bẫy Đối Với Các Chuyên Gia Không Thận Trọng
• Xác Định Khả Năng Được Chấp Nhận Của Chứng Cứ
• Các Tổ Chức Và Quy Chế Hành Nghề
• Những Khó Khăn Về Mặt Đạo Đức Của Nhân Chứng Chuyên Môn
• Bài Tập Phục Hồi Dữ Liệu Để Tìm Kiếm Thông Tin Quan Trọng

 

Tóm tắt chung về Điều tra Máy tính và Truy tìm Chứng cứ số

Tài liệu này cung cấp một cái nhìn toàn diện về lĩnh vực điều tra máy tính (Computer Forensic), truy tìm chứng cứ số, và các kỹ thuật liên quan. Nó bao gồm lịch sử phát triển, các định nghĩa cốt lõi, quy trình điều tra, công cụ, yêu cầu về phòng thí nghiệm, và các vấn đề pháp lý và đạo đức liên quan. Tài liệu nhấn mạnh tầm quan trọng của tính chuyên nghiệp, tính toàn vẹn của bằng chứng, và việc tuân thủ các quy định pháp luật trong suốt quá trình điều tra.

I. Khái niệm và Lịch sử phát triển Computer Forensic

A. Định nghĩa Computer Forensic

Computer Forensic là "quá trình thu thập và phân tích thông tin trên các máy tính được sử dụng như là chứng cứ phục vụ cho việc điều tra tội phạm hay dùng trong các công tác quản trị hệ thống thông tin." (Chương 1). Nó cũng được định nghĩa là "khoa học về nghiên cứu và phân tích dữ liệu từ các thiết bị lưu trữ trên máy tính được sử dụng như là chứng cứ trước tòa." (Chương 1). Quá trình này bao gồm việc thu thập và lưu giữ dữ liệu an toàn, phân tích dữ liệu nghi ngờ để xác định thông tin gốc và nội dung, sau đó trình bày thông tin này trước tòa và áp dụng các điều luật liên quan.

B. So sánh với các lĩnh vực khác

• Network Forensic (Điều tra pháp lý trên hệ thống mạng): Là quá trình truy tìm chứng cứ phạm tội trên mạng để điều tra kẻ tấn công hay xâm nhập hệ thống trái phép. Các điều tra viên mạng thường sử dụng tập tin nhật ký để xác định thời gian, địa điểm tấn công qua địa chỉ IP. (Chương 1)
• Phục hồi dữ liệu (Data Recovery): Mục tiêu chính là lấy lại thông tin quan trọng bị xóa nhầm, hỏng hóc hoặc do virus. Đây được coi là một công đoạn của quá trình Computer Forensic, nhưng không yêu cầu tạo bản sao ảnh đĩa và lưu trữ an toàn như Computer Forensic. (Chương 2)
• Khắc phục thảm họa (Disaster Recovery): Tập trung vào việc đưa hệ thống trở lại hoạt động bình thường sau sự cố. (Chương 1)

C. Lịch sử hình thành và phát triển

• Trước 1970: Các điều luật liên quan đến tội phạm công nghệ được quản lý bởi tổ chức liên bang FRE (Federal Rules of Evidence). (Chương 1)
• 1970 - 1985: Mỗi bang có điều luật riêng trong "state rule of evidence" về chứng cứ số. (Chương 1)
• 1984: Sự bùng nổ của công nghệ thông tin làm gia tăng tội phạm công nghệ cao, dẫn đến sự thành lập FBI Computer Analysis and Response Team (CART) để điều tra và thu thập chứng cứ số. (Chương 1)
• Cuối những năm 1990: CART phối hợp với Department of Defense Computer Forensics Laboratory (DCFL) để nghiên cứu và đào tạo. (Chương 1)
• Đầu những năm 1990: Các công cụ chuyên dụng cho điều tra máy tính ra đời như IACIS (International Association of Computer Investigative Specialists). Phần mềm "Expert Witness" của ASR Data cho Macintosh xuất hiện, có khả năng phục hồi tập tin bị xóa và phân mảnh. EnCase, một công cụ phổ biến, được phát triển từ đối tác của ARS Data. (Chương 1)
• Hiện nay: Các chương trình như ILook và AccessData Forensic Toolkit (FTK) trở thành công cụ thương mại thông dụng nhất. (Chương 1)

II. Các nguyên tắc và quy trình điều tra

A. Chuẩn bị nguồn lực và kỹ năng

Điều tra viên cần nắm vững kiến thức về nhiều hệ điều hành (Windows XP, DOS, MAC, Linux, Windows Server 2008), các dịch vụ lưu trữ. Do không thể am hiểu tất cả, cần có sự chia sẻ kỹ năng giữa các thành viên, trao đổi trên diễn đàn công nghệ, và tham gia các chương trình đào tạo về an toàn thông tin và kiến thức của hacker. (Chương 1)

B. Phân loại điều tra

Có hai loại điều tra chính:

• Điều tra công cộng (Public Investigation): Do các cơ quan thực thi pháp luật tiến hành, tuân thủ các quy định của pháp luật liên bang và tiểu bang, đặc biệt là Fourth Amendment của Hiến pháp Hoa Kỳ về quyền bảo vệ khỏi tìm kiếm và chiếm đoạt trái phép. Cần có lệnh khám xét (search warrant) của tòa án để thu giữ máy tính và các thành phần liên quan. (Chương 1, Chương 5)
• Điều tra riêng tư (Private Investigation): Do các công ty hoặc tổ chức tiến hành, chủ yếu áp dụng các điều luật dân sự và dựa vào chính sách nội bộ. "Đối với các vấn đề nội bộ của công ty hay tổ chức khi áp dụng các quy tắt điều tra thì cá nhân các điều tra viên không cần phải tuân thủ theo những quy định của luật pháp như Fourth Amendment mà phụ thuộc vào chính sách nội bộ của tổ chức đó." (Chương 1). Các trường hợp này có thể phát triển thành tội danh hình sự. (Chương 1)

C. Quy trình chuẩn cho điều tra máy tính

1. Xác định yêu cầu vụ án: Bao gồm bản chất vụ án (công hay tư), tên nghi phạm, hệ điều hành, loại phương tiện cần kiểm tra, cấu hình máy tính. (Chương 5)
2. Lập kế hoạch điều tra: Đánh giá các giả định, xác định những vấn đề liên quan/không liên quan. Cần linh hoạt điều chỉnh kế hoạch khi phát hiện thông tin mới. (Chương 5, Chương 9)
3. Chuẩn bị thiết bị và công cụ: Danh sách các công cụ cần thiết cho công tác tại hiện trường (laptop, công cụ điều tra, máy ảnh, đèn pin). (Chương 5)
4. Bảo vệ hiện trường: Hạn chế người không có trách nhiệm tiếp cận. Quay video, ghi âm khu vực, phác thảo hiện trường. "Không nhấn bất kì phím nào nếu không cần thiết." (Chương 5).
5. Thu thập chứng cứ số:

• Ngắt kết nối mạng: Nếu máy tính đang bật và kết nối mạng, hãy ngắt kết nối vật lý ngay lập tức để tránh thay đổi dữ liệu từ xa. (Chương 5)
• Lưu trạng thái hoạt động: Chụp ảnh màn hình, ghi lại các ứng dụng đang chạy, thông tin trong RAM (đặc biệt quan trọng với dữ liệu dễ bay hơi). (Chương 2, Chương 5, Chương 11)
• Tắt hệ thống: Nên tắt máy tính theo quy trình chuẩn để tránh hỏng hóc hoặc làm mất dữ liệu. (Chương 5)
• Tịch thu thiết bị: Đánh dấu tất cả bằng chứng thu thập được với ngày, giờ, số hiệu và chữ ký người thu thập. Bao gồm máy tính, thiết bị ngoại vi, băng từ, tài liệu, ghi chú viết tay. (Chương 5)
• Bit-stream copy: Sao chép dữ liệu chính xác theo dạng bit-by-bit (sector copy) để đảm bảo không bỏ sót thông tin, kể cả dữ liệu đã xóa hoặc ẩn. "Quy tắc đầu tiên là chúng ta không trực tiếp làm việc trên chứng cứ gốc mà chỉ làm trên những bản sao chép thông qua phương pháp bit-stream copy." (Chương 2).
• Định dạng lưu trữ: Dữ liệu có thể lưu dưới dạng thô (Raw Format), định dạng độc quyền (Proprietary Format), hoặc định dạng nâng cao (Advanced Forensic Format - AFF). (Chương 4)
• Phương pháp thu thập: Thu thập tĩnh (phổ biến) hoặc thu thập động (khi ổ đĩa mã hóa hoặc cần truy cập mạng). Các phương pháp cụ thể bao gồm disk-to-image, disk-to-disk, disk-to-data logic, và sparse copy. (Chương 4)
• Thiết bị chống ghi (Write-blocker): Quan trọng để ngăn ngừa thay đổi dữ liệu gốc trong quá trình thu thập. Có thể là phần cứng hoặc phần mềm. (Chương 2, Chương 4, Chương 7)

1. Vận chuyển và lưu trữ chứng cứ: Đảm bảo an ninh và tính toàn vẹn của chứng cứ trong quá trình vận chuyển đến phòng thí nghiệm. Lưu trữ bằng chứng trong môi trường an toàn, có kiểm soát truy cập. Chọn phương tiện lưu trữ phù hợp với thời gian lưu trữ (CD-R, DVD, băng từ, ổ cứng dung lượng lớn). Nên tạo ít nhất hai bản sao bằng các phương pháp khác nhau. (Chương 5)
2. Xác thực dữ liệu: Sử dụng thuật toán băm như MD5 và SHA để tạo giá trị băm (hash value) duy nhất cho dữ liệu. "Nếu như dữ liệu gốc này bị thay đổi dù chỉ là một bit cũng sẽ tạo ra một giá trị băm khác." (Chương 5). So sánh giá trị băm của bản gốc và bản sao để đảm bảo tính toàn vẹn. (Chương 4, Chương 5, Chương 9)
3. Phân tích chứng cứ số:

• Phục hồi dữ liệu: Bao gồm phục hồi tập tin bị xóa, bị phân mảnh, hoặc bị ẩn. (Chương 2, Chương 9)
• Phân tích hệ thống tập tin: Hiểu cấu trúc FAT, NTFS (Windows), HFS/HFS+ (Macintosh), Ext2/Ext3 (Linux) để truy cập và phục hồi dữ liệu. (Chương 6, Chương 8)
• Phân tích Registry: Tìm kiếm thông tin quan trọng như lịch sử truy cập web, phần mềm cài đặt, địa chỉ email. (Chương 6)
• Phân tích tập tin đồ họa: Xác định định dạng, khôi phục từ các phân mảnh, sửa tiêu đề bị hỏng, phát hiện Steganography. (Chương 10)
• Phân tích email: Theo dõi, phục hồi và phân tích thông điệp email, kiểm tra tiêu đề email, nhật ký máy chủ email. (Chương 12)
• Phân tích thiết bị di động: Thu thập dữ liệu từ điện thoại di động, thẻ SIM, PDA. (Chương 13)
• Phân tích máy ảo: Phát hiện máy ảo, thu thập ảnh đĩa máy ảo, và phân tích phần mềm độc hại. (Chương 11)
• Phát hiện dữ liệu ẩn: Tìm kiếm các phân vùng ẩn, bad cluster được đánh dấu, dữ liệu bị thay đổi thứ tự bit (bit-shifting), hoặc ẩn bằng Steganography. (Chương 9)
• Giải mã và phục hồi mật khẩu: Sử dụng các công cụ bẻ khóa hoặc tìm kiếm mật khẩu trong các tập tin trên đĩa. (Chương 9)

1. Viết báo cáo: Trình bày kết quả điều tra một cách rõ ràng, khách quan, có cấu trúc chặt chẽ. Bao gồm tóm tắt, mục lục, nội dung chi tiết, nhận định, và các vật liệu hỗ trợ (hình ảnh, bảng biểu). (Chương 14)
2. Làm chứng tại tòa: Chuẩn bị lời khai, đối đáp các câu hỏi từ luật sư, tuân thủ đạo đức nghề nghiệp. (Chương 15)

III. Yêu cầu về phòng thí nghiệm Computer Forensic

A. Thiết kế và cơ sở hạ tầng

• Địa điểm: Cần đặt tại văn phòng riêng để đảm bảo an toàn cho chứng cứ, tránh nghe lén hoặc trộm cắp. (Chương 3)
• An ninh vật lý: Hệ thống giám sát, chính sách bảo mật chặt chẽ, phòng ngừa thảm họa (thiên tai, động đất, hỏa hoạn). (Chương 3)
• Kiểm soát môi trường: Duy trì nhiệt độ, độ ẩm phù hợp, kiểm soát tĩnh điện (tấm đệm chống tĩnh điện, vệ sinh hàng tuần). (Chương 3)
• Phân loại thùng rác: Hai thùng rác riêng biệt: một cho vật dụng không liên quan, một cho tài liệu nhạy cảm cần hủy bỏ đặc biệt. (Chương 3)
• Cấu hình máy trạm: Lý tưởng là một máy không kết nối internet để xử lý chứng cứ, và một máy có kết nối internet cho nghiên cứu và liên lạc. Cần có đủ không gian làm việc và tính riêng tư cho từng điều tra viên. (Chương 3)
• Ngân sách: Hoạch định chi phí hoạt động hàng ngày, quý, năm, bao gồm phần cứng, phần mềm, thuê văn phòng, và đào tạo nhân viên. (Chương 3)

B. Chứng nhận và đào tạo

• Tổ chức uy tín: American Society of Crime Laboratory Directors (ASCLD) cung cấp định nghĩa và hướng dẫn thực hành tốt cho các phòng lab điều tra chứng cứ số. (Chương 3)
• Chứng nhận nghề nghiệp: Các tổ chức như IACIS (International Association of Computer Investigative Specialists), High-Tech Crime Network (HTCN), EnCase Certified Examiner (EnCE), AccessData Certified Examiner (ACE) cung cấp các chương trình đào tạo và chứng chỉ cho chuyên viên điều tra pháp lý. (Chương 3)
• Phát triển chuyên môn: Điều tra viên cần liên tục nâng cao kiến thức và kỹ năng thông qua các khóa học, chứng chỉ, và chia sẻ kinh nghiệm. (Chương 3)

C. Thiết bị và phần mềm

• Máy trạm điều tra: Cấu hình mạnh mẽ (CPU, RAM, ổ cứng), khả năng kết nối nhiều thiết bị ngoại vi (USB, FireWire, SATA, SCSI). (Chương 3, Chương 7)
• Thiết bị chống ghi (Write-blocker): Phần cứng (Logicube Talon, VOOM HardCopy) hoặc phần mềm (PDBlock) để ngăn chặn thay đổi dữ liệu gốc. (Chương 7)
• Phần mềm chuyên dụng:
• Thu thập dữ liệu: ProDiscover, FTK Imager, EnCase, SafeBack, Snapback DatArrest, ILook Investigator IXimager. (Chương 4, Chương 7)
• Phân tích dữ liệu: ProDiscover, FTK, EnCase, X-Ways Forensics, SMART, iLook, Hex Workshop, WinHex, AccessData Registry Viewer, DataLifter, Davory. (Chương 2, Chương 6, Chương 7)
• Phục hồi mật khẩu: AccessData Password Recovery Toolkit (PRTK), NTI Password Recovery, Passware Kit Enterprise. (Chương 9)
• Phục hồi email: Scanpst.exe, Advanced Outlook Recovery, Hex Workshop. (Chương 12)
• Phân tích thiết bị di động: Paraben Device Seizure, Cellebrite UFED, MOBILedit!, SIMCon. (Chương 13)
• Phân tích mạng: Tcpdump, Ethereal/WireShark, Sysinternals, Knoppix-STD, BackTrack. (Chương 11)
• Công cụ dòng lệnh: dd, dcfldd (Linux), Norton DiskEdit (DOS), PsTools (Windows). (Chương 4, Chương 7, Chương 11)
• Hệ điều hành: Nên duy trì các bản sao được cấp phép của các hệ điều hành phổ biến (Windows XP, 7, 2000/2003/2008 Server, Linux, MS-DOS) để phục vụ điều tra trên các hệ thống đa dạng. (Chương 2, Chương 6)
• Kế hoạch phục hồi thảm họa: Đảm bảo có thể khôi phục dữ liệu máy trạm/máy chủ khi có sự cố, bao gồm sao lưu toàn bộ ổ đĩa và lưu trữ bản sao dự phòng. (Chương 3)

IV. Vấn đề pháp lý và đạo đức

A. Quy tắc bằng chứng

• Tuân thủ pháp luật: Điều tra viên phải nắm vững và tuân thủ các điều luật liên quan đến tìm kiếm, thu giữ chứng cứ số của quốc gia hoặc bang sở tại. (Chương 1, Chương 5)
• Chain of Custody (Chuỗi chứng cứ tạm giữ): Duy trì một bản ghi chi tiết về việc xử lý chứng cứ từ khi thu thập đến khi trình bày tại tòa để đảm bảo tính xác thực. "Mặc dù một số tòa án mở rông phạm vi tìm kiếm và thu giữ máy tính chứa chứng cứ, tạo điều kiện thuận lợi cho các cuộc điều tra nhưng các bạn nên thu thập đủ thông tin để lệnh khám xét của mình càng rõ ràng càng tốt, nhằm trách những thách thức từ các luật sư đối lập." (Chương 5).
• Đạo luật riêng tư: Cần chú ý đến các đạo luật bảo vệ quyền riêng tư của cá nhân, đặc biệt khi thu thập dữ liệu email hoặc các thông tin nhạy cảm khác. (Chương 1, Chương 5, Chương 12)
• Attorney-Client Privilege (Quyền đặc quyền luật sư-khách hàng): Các thông tin trao đổi giữa điều tra viên và luật sư cần được bảo mật tuyệt đối. (Chương 2)

B. Đạo đức nghề nghiệp

• Tính khách quan: Duy trì tính khách quan tối đa trong tất cả các công tác kiểm tra và trình bày kết quả chính xác, trung thực. (Chương 16)
• Tính chuyên nghiệp: Luôn hành xử chuyên nghiệp, tránh các thành kiến, định kiến cá nhân. "Duy trì professional conduct nhằm bảo đảm tính riêng tư và giữ vững mục tiêu trong suốt tiến trình điều tra." (Chương 1).
• Trách nhiệm: "Bạn phải nhận thức rõ trách nhiệm của mình với những vấn đề được nêu trong bản báo cáo." (Chương 14).
• Tránh xung đột lợi ích: Không tham gia vào các hành động gây xung đột. (Chương 16)
• Bảo vệ danh tiếng: Tránh các hành vi làm mất uy tín bản thân hoặc nghề nghiệp. (Chương 16)
• Cập nhật kiến thức: Liên tục trau dồi kiến thức và kỹ năng để đáp ứng yêu cầu công việc. (Chương 16)
• Hạn chế thông tin không chắc chắn: Cần nêu rõ các giới hạn của kiến thức hoặc công nghệ trong báo cáo, ví dụ về độ tin cậy của dấu thời gian tập tin. (Chương 14)

C. Làm chứng tại tòa

• Chuẩn bị kỹ lưỡng: Nghiên cứu kỹ hồ sơ vụ án, chuẩn bị câu trả lời cho các câu hỏi tiềm năng từ cả luật sư bào chữa và luật sư đối lập. (Chương 15)
• Trình bày rõ ràng: Sử dụng ngôn ngữ đơn giản, dễ hiểu cho bồi thẩm đoàn. (Chương 15)
• Trung thực: Chỉ làm chứng cho những gì đã được xác minh và nằm trong phạm vi chuyên môn. Không suy đoán hoặc cung cấp thông tin vượt quá thẩm quyền. (Chương 15)
• Đối phó với áp lực: Giữ bình tĩnh, kiểm soát cảm xúc khi bị thẩm vấn chéo. (Chương 15)

V. Một số tình huống điều tra phổ biến

A. Lạm dụng tài sản công ty

• Các hình thức: Lạm dụng máy tính, sử dụng email không hợp lệ, sử dụng internet không thích hợp với chính sách, đánh cắp dữ liệu/công nghệ/thông tin bí mật. (Chương 1)
• Quy trình: Cần có tuyên bố chính thức của doanh nghiệp về việc sử dụng sai tài sản và cho phép điều tra bí mật, truy cập hệ thống khi cần. (Chương 5)
• Ví dụ: Nhân viên George Montgomery đăng ký domain name và xây dựng trang web kinh doanh cá nhân trên tài sản của công ty. (Chương 2)

B. Lạm dụng Internet và Email

• Mục tiêu: Xác định hành vi lạm dụng internet (truy cập web không phù hợp, tải về chương trình vi phạm bản quyền) hoặc lạm dụng email (gửi thư rác, quấy rối, thông tin ảnh hưởng doanh nghiệp). (Chương 2)
• Dữ liệu cần thiết: Tập tin nhật ký máy chủ proxy/gateway/firewall, địa chỉ IP máy nghi ngờ, ổ đĩa máy tính nghi phạm, các công cụ chuyên dụng. (Chương 2)
• Kiểm tra nội dung: Sao chép và in email, xem tiêu đề email để xác định nguồn gốc, địa chỉ IP, dấu thời gian. (Chương 12)
• Phục hồi: Phục hồi email đã xóa hoặc ẩn trên máy client hoặc máy chủ. (Chương 12)

C. Rò rỉ thông tin và Gián điệp công nghiệp

• Các hình thức: Gửi thông tin bí mật cho đối thủ, phóng viên, công bố trên internet, đánh cắp công nghệ. (Chương 2)
• Quy trình: Phỏng vấn quản lý, xác định thông tin rò rỉ, xem lại lịch sử cuộc gọi, tìm kiếm trên máy chủ email/proxy, kiểm tra máy tính nghi phạm, phân tích thư tín. (Chương 2)
• Đội ngũ điều tra: Bao gồm điều tra viên máy tính, chuyên gia công nghệ, chuyên gia mạng, và luật sư. (Chương 2)

D. Tội phạm hình sự liên quan đến máy tính

• Các hình thức: Gian lận, giả mạo chứng cứ, làm giả giấy tờ (thẻ căn cước, giấy phép lái xe, tiền giả), lừa đảo qua tin nhắn. (Chương 5)
• Quy trình: Cần có lệnh khám xét, tuân thủ các quy định của Fourth Amendment. Thu giữ toàn bộ ổ đĩa để bảo tồn tối đa thông tin. (Chương 5)

VI. Công nghệ hỗ trợ và các dự án liên quan

A. Công nghệ ảo hóa

• Vai trò: Tiết kiệm chi phí phần cứng, phần mềm, quản trị. Được tội phạm sử dụng để che giấu hoạt động. (Chương 6, Chương 11)
• Điều tra: Phát hiện máy ảo trên máy chủ (tìm kiếm tập tin .vmdk, .vmx, .vmsd, kiểm tra Registry, card mạng ảo), lấy hình ảnh của máy ảo. (Chương 11)

B. Dự án Honeynet

• Mục tiêu: Nâng cao nhận thức, thông tin, và công cụ về an toàn mạng và internet, ngăn chặn kẻ tấn công. (Chương 11)
• Thành phần: Honeypot (máy tính bẫy thu hút hacker), Honeywall (giám sát hoạt động của hacker). (Chương 11)
• Thách thức: Chứng cứ thu giữ bởi honeypot hiện chưa được chấp nhận tại tòa án. (Chương 11)

C. Công nghệ mạng 4G

• Các công nghệ: OFDM, Mobile WiMAX, Ultra Mobile Broadband (UTMS), MIMO, Long Term Evolution (LTE). (Chương 13)
• Điều tra: Điều tra viên cần cập nhật kiến thức về các công nghệ mạng mới để có thể thu thập chứng cứ hiệu quả. (Chương 13)

Tài liệu này cung cấp một nền tảng vững chắc cho những ai muốn tìm hiểu hoặc thực hành trong lĩnh vực điều tra máy tính và truy tìm chứng cứ số, nhấn mạnh cả khía cạnh kỹ thuật và pháp lý-đạo đức của nghề nghiệp.