Thu thập và phân tích chứng cứ từ nguồn khác
Quá trình thu thập và phân tích chứng cứ từ nguồn khác bao gồm các công việc như: truy tìm địa chỉ IP, chứng cứ từ Email, thiết bị mạng, điện thoại di động, tường lửa, hệ thống phát hiện xâm nhập.
1. Truy tìm địa chỉ IP
o Sử dụng các lệnh truy vấn địa chỉ: tracert, traceroute.
o Sử dụng Whois.
o Sử dụng Visual Route.
2. Chứng cứ từ Email
o Các phương pháp áp dụng:
▪ Theo dõi nguồn gốc của Email: dựa vào tiêu đề, dựa vào công cụ.
▪ Thu thập thông tin từ máy chủ Email: các email bị xóa có thể còn lưu lại trên máy chủ, các dữ liệu có thể liên quan đến bên thứ 3 – nhà cung cấp dịch vụ Internet (liên quan đến bản quyền).
17
3. Chứng cứ từ các thiết bị mạng
o Kiểm tra switch, router để tìm chứng cứ:
▪ Kết nối trực tiếp đến cổng Console của thiết bị.
▪ Thiết lập kết nối thông qua mạng: sử dụng SSH.
▪ Một số lệnh kiểm tra: show version, show running-config, show startup-config, show ip route.
4. Chứng cứ từ điện thoại di động
o Các thông tin có thể thu thập như: hình ảnh, video, tin nhắn văn bản, tin SMS, thời gian gọi, cuộc gọi đã nhận, cuộc gọi nhỡ, thời gian cuộc gọi, tên danh bạ, các số điện thoại.
o Các quy tắc cần lưu ý khi điều tra:
▪ Luôn ghi lại nơi sản xuất, model, bất kỳ chi tiết nào về tình trạng điện thoại.
▪ Chụp lại hình ảnh ban đầu của điện thoại.
▪ Xem xét thẻ sim của điện thoại.
5. Chứng cứ từ tường lửa
o Kiểm tra file log của tường lửa: nhật ký kết nối mạng ghi lại kết nối thành công hay thất bại, nhật ký ứng dụng.
o Xem xét hệ thống tường lửa đã bị thỏa hiệp bởi kẻ tấn công hay chưa, xác định phương thức kẻ tấn công sử dụng để thỏa hiệp (thực hiện bằng cách ghi lại bộ nhớ RAM, xem xét các ứng dụng, giao thức đang sử dụng, cấu hình hệ thống).
6. Chứng cứ từ hệ thống xâm nhập
o Tương tự như hệ thống tường lửa.