TẠO TỆP TIN ẢNH THIẾT BỊ LƯU TRỮ DỮ LIỆU ĐIỆN TỬ VỚI ACCESSDATA FTK IMAGER

Tạo tệp tin ảnh thiết bị lưu trữ là công việc phải làm và thường xuyên diễn ra trong Computer Forensics (CF). Công việc này tuy đơn giản nhưng lại là nền móng cho các hoạt động phân tích dữ liệu sau này. Trong bài này, ta sẽ sử dụng công cụ AccessData FTK Imager tạo tệp tin ảnh của một thiết bị lưu trữ (USB Flash Storge).

Lưu ý:

  • Mọi thiết bị lưu trữ dữ liệu điện tử cần phải được chống ghi ngược (Read-only) khi kết nối tới hệ thống tạo tệp tin ảnh.
  • Có thể dử dụng phần cứng hoặc phần mềm để thiết lập chống ghi ngược cho hệ thống tạo tệp tin ảnh. (Link: cập nhật sau)

* Bạn có thể tải xuống FTK Imager tại đây: Link

1, AccessData FTK Imager:

FTK Imager là ứng dụng được phát triển bởi công ty AccessData; Đây là một trong những công ty cung cấp những công cụ phục vụ công tác CF tốt nhất hiện này.

FTK Imager được gắn liền với sự phát triển của FTK (Forensic Toolkits) cũng được phát triển bởi AccessData. Hiểu đơn giản, FTK Imager có nhiệm vụ tạo tệp tin ảnh để phục vụ cho FTK phân tích được hiệu quả và nhanh chóng (Hiện nay FTK Imager đã bổ sung nhiều định dạng tệp tin phổ biến để tệp tin ảnh có thể được sử dụng trên nhiều ứng dụng Forensic khác).

FTK Imager có nhiệm vụ chính là tạo tệp tin ảnh, hay hiểu là tạo một tệp tin phản ánh chính xác từng bit (bit by bit) một phần hoặc toàn bộ bộ nhớ. Nguyên do phải tạo file ảnh là để đảm bảo tính nguyên vẹn của chứng cứ được thu thập theo thủ tục tố tụng hình sự. Không chỉ vậy, ứng dụng này còn có khả năng trích xuất dữ liệu trực tiếp từ RAM trên các hệ thống đang hoạt động (Live)

2. Duyệt thiết bị cần tạo tệp tin ảnh

  • Chọn File – Add Evidence Item để lựa chọn nguồn tạo tệp tin ảnh:

  • Select Source

Tùy vào nguồn muốn tạo ảnh:

+ Physical Drive (ổ đĩa vật lý): Là các thiết bị lưu trữ dữ liệu điện tử như: Ổ cứng máy tính, ổ cứng thể răn, thẻ nhớ v.v…).

+ Logical Drive (ổ đĩa logic):Là các phân vùng dữ liệu được tạo ra từ các ổ đĩa vật lý

+ Image File (File ảnh): Là file ảnh đã được tạo sẵn thường được định dạng dưới dạng “.dd”, “.SMART”, “.E01”…

+ Contents of a Folder (nội dung trong Folder): Đây là trường hợp ta lựa chọn khi ta biết chính xác địa điểm ta cần phân tích, khi sử dụng lựa chọn này, FTK Imager yêu cầu ta điều hướng chọn vùng cần phân tích sau đó nó sẽ tự khoanh vùng để tiến hành tạo tệp tin ảnh vùng đó.

Trong phần này, ta chọn Physical Drive để tiến hành tạo tệp tin ảnh thiết bị lưu trữ:

Chọn Finish, FTK Imager sẽ đọc và hiển thị nội dung của thiết bị lưu trữ:

3. Tiến hành tạo tệp tin ảnh

Chọn Export Logical image (AD1) như hình:

Chọn Add và điền các thông tin cần thiết.

Chọn Next và thiết lập tên cũng như nơi lữu trữ tệp tin ảnh.

Có thể sử dụng chức năng nén hoặc mã hóa dữ liệu nếu cần. Chọn Finish và Start để bắt đầu tiến hành tạo tệp tin ảnh.

Sau khi tệp tin ảnh được tạo xong, cần kiểm tra lại các thông tin trong hộp thoại Drive/Image Verify Results. Nếu mã MD5SHA1 cho kết quả Match. Tệp tin ảnh đã được tạo thành công.

Kết luận

Trên đây là các bước hướng dẫn cơ bản trong hoạt động CF. Hi vọng bài viết này sẽ giúp ích được cho bạn.

Cảm ơn đã đọc đến hết bài.

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *