Sử dụng PC-3000 Portable III trong pháp y kỹ thuật số

Giới thiệu

Hầu hết các chuyên gia pháp y kỹ thuật số sẽ đều phải xử lý các ổ cứng bị hư hỏng. Điều này thường xuyên xảy ra và các chuyên gia sẽ phải xử lý chúng mọi lúc. Những ổ cứng như vậy hoặc là do chúng bị hư hỏng từ trước khi bị thu giữ từ những chủ sở hữu của chúng, hoặc chúng bị hư hỏng do những sai lầm trong việc lưu trữ và chuyển giao các bằng chứng kỹ thuật số.

Theo thống kê, số lượng ổ cứng bị lỗi logic hoặc vật lý chiếm tới 40% tổng số ổ cứng được gửi đến phòng thí nghiệm pháp y để nghiên cứu.

Chúng tôi đã có kinh nghiệm trong việc điều tra các ổ cứng cố ý bị phá hủy (ví dụ như bo mạch điện tử bị phá hỏng bằng búa, v.v.), và đã tìm cách khôi phục dữ liệu được lưu trữ trong đó.

Phải làm gì với những ổ cứng như vậy và làm thế nào để điều tra chúng? Tất cả điều này sẽ được thảo luận trong bài viết này.

Đánh giá PC-3000 Portable III

Vì một số lý do, các công cụ trích xuất dữ liệu từ ổ cứng còn nhiều hạn chế và đặc thù. Một trong những công cụ tối ưu nhất cho phép các chuyên gia làm việc với các ổ cứng bị hỏng là PC3000 Portable III do ACELab sản xuất.

Những ưu điểm chính của PC-3000 Portable III là:

  • Tính năng hoạt động ngoại tuyến (tùy chọn tạo bản sao ổ cứng);
  • Có nhiều bộ điều hợp cho phép kết nối bất kỳ bộ lưu trữ nào với thiết bị (ví dụ: PCIe x16 NVMe, SSD M.2 PCIe NVMe, SD / MicroSD, USB-storages, v.v.);
  • Một tùy chọn để có quyền truy cập vào dữ liệu được lưu trữ trên ổ cứng bị khóa bằng mật khẩu ATA;
  • Giao diện thân thiện với người dùng với “Simple mode”, cho phép ngay cả người dùng bình thường chạy chẩn đoán và sửa lỗi phần mềm trên ổ cứng;
  • Trích xuất dữ liệu từ ổ SSD bị hỏng;
  • Phục hồi dữ liệu từ các cụm RAID bị hỏng;
PC-3000 Portable III trong quá trình hoạt động
PC-3000 Portable III trong quá trình hoạt động

Trình chặn ghi tích hợp (built-in write blocker) bảo vệ thông tin được lưu trữ trong ổ cứng được điều tra để tránh bị hư hỏng do ngẫu nhiên hoặc cố ý. Ngoài ra, nó cho phép các chuyên gia tuân thủ các yêu cầu về quy trình đối với bằng chứng kỹ thuật số.

Công tắc của bộ chặn ghi
Công tắc của bộ chặn ghi

Các hư hỏng thường gặp ở ổ cứng

Bad sector là những sector trên bề mặt lớp từ tính của ổ đĩa có phản ứng đọc/ghi không ổn định. Chúng có thể tìm thấy trên ổ cứng mới được sản xuất tại nhà máy (do công nghệ sản xuất ổ cứng và mật độ ghi được sử dụng trong các kho lưu trữ hiện đại) hoặc có thể xuất hiện trên ổ cứng đã qua sử dụng trong quá trình hoạt động bình thường của các thiết bị này.

Vỏ ổ cứng bị hư hỏng

Hộp đựng ổ cứng bị hư hỏng xảy ra do xử lý không đúng cách. Điều này có thể dẫn đến hư hỏng vật lý đối với các bộ phận cơ khí chính xác bên trong ổ cứng: hỏng đầu đọc/ghi, cụm đầu từ, bộ khuếch đại bị đứt hoặc đứt cuộn dây của phần tiếp xúc đế với bảng truyền động. Đầu đọc/ghi có thể bị kẹt vào bề mặt từ tính do bị hỏng và sẽ dẫn đến các vết xước trên bề mặt (có nghĩa là hỏng cơ học của lớp nam châm ổ đĩa).

Ổ đĩa phát ra âm thanh lạ

Ổ cứng khi hoạt động thường sẽ tạo ra những âm thanh nhất định. Điều này là do hoạt động của các bộ phận cơ học của đĩa cứng: mô tơ, trục quay ổ cứng, bộ phận đầu từ. Những âm thanh lạ hoặc âm thanh hoạt động sai cho thấy sự hiện diện của các lỗi về phần mềm hoặc phần cứng bên trong ổ. Tuy nhiên, việc không có bất kỳ âm thanh nào khi cấp nguồn vào bo mạch ổ cứng cũng là một dấu hiệu bất thường mà kỹ thuật viên có tay nghề cao sẽ chỉ ra ngay một số lý do khiến ổ cứng không phát ra tiếng ồn.

Motor không quay

Hư hỏng cơ học của ổ cứng có thể là một lý do khiến các ổ trục của động cơ trục chính (một trục giữ các đĩa từ) không quay. Cùng lúc đó, ổ cứng sẽ không quay trục chính với các đĩa từ hoặc phát ra tiếng kêu nhỏ.

Thanh trượt hư hỏng hoặc hư hỏng của cụm đầu từ

Một hậu quả khác của hư hỏng cơ học của ổ cứng là dẫn đến hư hỏng các thanh trượt hoặc toàn bộ cụm đầu từ. Các đầu từ có thể bị uốn cong nếu tiếp tục sử dụng, nó sẽ làm hỏng lớp từ tính hoặc có thể bị dính vào bề mặt từ tính, khiến ổ cứng không thể hoạt động. Ngoài ra, các thanh trượt hoặc cụm đầu từ có thể trở nên hoạt động kém do xuống cấp.

Nhiễm bẩn hoặc hư hỏng bề mặt từ tính

Ngay cả những hư hỏng nhỏ đối với lớp từ tính của đĩa cứng cũng khiến bạn không thể truy xuất dữ liệu trên chúng.

Mất kết nối giữa bảng điều khiển và cụm đầu từ và đĩa

Một sai sót điển hình do hư hỏng cơ học của ổ cứng hoặc vi phạm các quy định cho phép trong sản xuất ổ cứng dẫn đến mất liên lạc giữa bảng điều khiển và cụm đầu và đĩa. Sự cố này thường xuất hiện khi các bộ phận điện tử và một số bộ phận khác nằm trong cụm đầu từ và đĩa không thể nhận lệnh hoặc cung cấp dòng điện cho các hoạt động bình thường của chúng. Điều này là do không có sự kết nối giữa bảng điều khiển và sự điều khiển đầu cuối của cụm đầu từ và đĩa.

Sự cố của bảng điều khiển

Các sự cố của bảng điều khiển có thể do một số nguyên nhân sau: việc cung cấp điện áp nguồn tăng lên bất thường có thể dẫn đến cháy các đi-ốt bảo vệ và trong một số trường hợp nó sẽ làm hỏng các mạch điện của bộ tiền khuếch đại. Lỗi firmware do lỗi mã code có thể chặn hoạt động của thiết bị.

Bộ tiền khuếch đại  bị hỏng

Bộ tiền khuếch đại (bộ khuếch đại điện tử giúp chuyển đổi tín hiệu điện yếu thành tín hiệu đầu ra đủ mạnh) nằm trên khối các đầu từ, nằm trong cụm đầu và đĩa của ổ đĩa. Việc hỏng bo mạch điều khiển ổ cứng dẫn đến hư hỏng bộ tiền khuếch đại. Bộ tiền khuếch đại được thiết kế để không thể thay thế nó riêng biệt khỏi bộ phận đầu từ.

Lỗi translator

Translator là một chương trình con của ổ cứng. Nó hoạt động như một camera giám sát, giúp kết nối hệ điều hành của máy tính với firmware của ổ đĩa. Nó chuyển địa chỉ vật lý của vị trí dữ liệu mà hệ điều hành hiểu, thành địa chỉ ảo, điều này giúp ổ cứng có thể chứa một lượng lớn dữ liệu. Việc hư hỏng của translator dẫn đến việc mất dữ liệu trên thiết bị, vì ổ đĩa sẽ không biết dữ liệu thuộc về đâu.

Chẩn đoán ổ cứng

Trước khi kiểm tra hoặc nhân bản ổ cứng, việc chẩn đoán là cần thiết, quy trình chẩn đoán sẽ bao gồm một số giai đoạn.

Giai đoạn 1: Phân tích trực quan. Mục đích của giai đoạn này là phát hiện hư hỏng vật lý của thiết bị. Các hư hỏng thường gặp là: vỏ ổ đĩa, bo mạch điều khiển hoặc các giao diện kết nối. Các lỗi phát hiện cần phải được sửa chữa ngay.

Giai đoạn 2: Chẩn đoán hoạt động của thiết bị khi đưa dòng điện vào. Khi đưa dòng điện vào ổ cứng sẽ có những phản ứng/hoạt động phù hợp. Các âm thanh mà ổ cứng tạo ra sẽ được chẩn đoán cùng với hoạt động đọc dữ liệu và các mô-đun chính của ổ đĩa.

Giai đoạn 2.1: Nếu ổ cứng không hoạt động, tiến hành kiểm tra bổ sung và kiểm tra các thành phần bảng điều khiển, giao diện kết nối. Một tiện ích chuyên dụng được sử dụng để chẩn đoán biến tần ổ cứng. Nếu tiện ích có thể được khởi chạy, các quy trình chẩn đoán và khôi phục ổ đĩa sẽ được thực hiện.

Bước 2.2: Nếu ổ cứng hoạt động bình thường, chúng ta sẽ cố gắng đọc dữ liệu và lưu vào ảnh pháp y đã tạo. Nếu tìm thấy các bad sector trong quá trình đọc dữ liệu, chúng tôi sẽ cố gắng đọc dữ liệu từ chúng.

Đánh giá mức tiêu thụ hiện tại khi cấp điện áp vào ổ cứng
Đánh giá mức tiêu thụ hiện tại khi cấp điện áp vào ổ cứng

Fieldwork

Thông thường, các chuyên gia phải đến gặp khách hàng để sao chép kho lưu trữ dữ liệu. Đôi khi nó phải được hoàn thành trong một khung thời gian giới hạn. Trong trường hợp này, một ổ cứng bị hỏng có thể trở thành một vấn đề lớn vì việc sao chép bộ lưu trữ đó không chỉ mất nhiều thời gian hơn so với việc sao chép một ổ cứng thông thường mà còn phải cần thiết bị sử dụng để sao chép ổ cứng.

Sử dụng PC3000 Portable III, bạn có thể thực hiện cả sao chép ngoại tuyến (drive-to-drive) và tạo hình ảnh pháp y trên máy tính xách tay được kết nối (máy tính cá nhân) của chuyên gia. Trong trường hợp ổ đĩa cứng bị lỗi được phát hiện, phức hợp này có thể được sử dụng để thực hiện các chẩn đoán sơ bộ của ổ đĩa.

Sao chép dữ liệu từ ổ đĩa này sang ổ đĩa khác
Sao chép dữ liệu từ ổ đĩa này sang ổ đĩa khác

Nhận dạng số sê-ri ổ cứng

Có một vấn đề tuy không phổ biến nhưng thỉnh thoảng vẫn xảy ra, đó là nhận dạng số sê-ri ổ cứng.

Sự cố như vậy có thể xảy ra khi nhãn dán trên ổ cứng bị hỏng hoặc bị tháo. Số sê-ri của ổ cứng được lưu trong SMART và có thể được đọc qua PC3000 Portable III mà không gặp bất kỳ sự cố nào.

Nhận dạng số Sê-ri ổ cứng
Nhận dạng số Sê-ri ổ cứng

Sao chép ổ cứng bị hỏng

Một giai đoạn điển hình của việc điều tra ổ cứng bị hỏng là trích xuất dữ liệu từ nó và tạo bản sao pháp y.

Quy trình xử lý theo pháp y đối với ổ cứng bị hỏng khác với quy trình coping ổ cứng truyền thống. Ví dụ, một ổ cứng bị hỏng có thể cho phép đọc lượng dữ liệu khác nhau khi bạn cố đọc nó trong nỗ lực xử lý lần thứ hai, nhiều lần cố gắng đọc dữ liệu từ một phân vùng xấu có thể dữ liệu sẽ được đọc. Hoặc ngược lại, nhiều lần thử sẽ dẫn đến hỏng ổ cứng hoặc phá hủy bề mặt từ tính. Vì vậy, khi xử lý các ổ cứng như vậy, nên làm theo quy trình ghi dữ liệu, và hệ thống xử lý phù hợp.

Như có thể thấy dưới ví dụ sau, ổ cứng được kết nối với PC3000 Portable III có lỗi. Việc xử lý với ổ cứng này thông qua các công cụ pháp y chuyên nghiệp là không thể.

Ổ đĩa gặp vấn đề về quyền truy cập vào dữ liệu được lưu trữ
Ổ đĩa gặp vấn đề về quyền truy cập vào dữ liệu được lưu trữ

Tuy nhiên, sẽ không có khó khăn khi tạo hình ảnh pháp y của thiết bị như vậy thông qua phức hợp khôi phục dữ liệu.

Quá trình tạo bản sao pháp y của ổ cứng bị hỏng
Quá trình tạo bản sao pháp y của ổ cứng bị hỏng

Kết quả của quá trình sao chép như thế này là các chuyên gia sẽ nhận được một bản sao pháp y và có thể điều tra thông qua các công cụ pháp y truyền thống hoặc nó có thể được phân tích thông qua phần mềm PC-3000 Portable III: lấy thông tin về các phân vùng logic, sao chép tệp hoặc khôi phục tệp đã xóa.

Xem các tệp qua giao diện phần mềm PC3000 Portable III
Xem các tệp qua giao diện phần mềm PC3000 Portable III

Sự kết hợp của PC-3000 Portable III và công cụ pháp y

Hình ảnh pháp y được trích xuất từ ​​ổ cứng bị hỏng thông qua PC-3000 Portable III có thể được xử lý thông qua các công cụ pháp y. Đối với điều này, chúng có thể được thêm vào chương trình dưới dạng ảnh RAW (DD).

Kết quả phân tích hình ảnh pháp y được xử lý qua AXIOM
Kết quả phân tích hình ảnh pháp y được xử lý qua AXIOM

Để tải hình ảnh trong Encase, bạn cần chọn tùy chọn “Thêm hình ảnh” trong phần “Thêm bằng chứng”.

Thêm hình ảnh pháp y vào Encase
Thêm hình ảnh pháp y vào Encase

PC3000 Portable III hỗ trợ nhập hình ảnh ổ cứng đã truy xuất sang các định dạng pháp y với các hàm tính tổng (sum). Hình ảnh có thể được lưu ở các định dạng sau: Định dạng pháp y nâng cao, định dạng pháp y mã hóa, ảnh RAW, định dạng pháp y DE. Các định dạng được hỗ trợ bởi Data Extractor – một tiện ích PC-3000 Portable III được tích hợp sẵn để chuyên gia có thể tiến hành phân tích sơ bộ dữ liệu được trích xuất.

Tổng kết

Không thể mô tả tất cả các chức năng của PC-3000 Portable III trong một bài viết. Tuy nhiên, chúng ta nên đề cập đến các tính năng khôi phục kho lưu trữ SSD, cả SATA và PCIe (NVMe) đã bị hỏng phần mềm của translator, sự cố với khu vực dịch vụ hoặc firmware.

Chúng tôi tin tưởng rằng công cụ này sẽ giúp các chuyên gia mở rộng tiềm năng trong việc thu thập và phân tích dữ liệu từ các kho lưu trữ bị hỏng khác nhau (ổ cứng, ổ flash, ổ SSD, mảng RAID, v.v.), cho phép thu thập các bằng chứng cơ sở mở rộng như cơ quan thực thi pháp luật, tòa án và công ty luật.

Nguồn tham khảo: https://cyberforensicator.com/2020/12/19/pc3000-portable-iii-in-digital-forensics/

Xem thêm: Cách chọn phần mềm phù hợp để khôi phục dữ liệu hoặc lấy lại quyền truy cập vào tệp

Theo dõi chúng tôi tại Fanpage: Tathanh Data

, , , ,

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *