Bài viết sưu tầm

(tiếp theo)

Pháp y máy tính (Computer Forensics) là gì?

Có nhiều định nghĩa khác nhau về computer forensic. Sau đây là định nghĩa của Rodney Mckemmish - 1999: “Computer forensic là quá trình xác định (identifying), lưu trữ (preserving), phân tích (analyzing) và trình bày (presenting) các bằng chứng số trong cách mà nó có thể chấp nhận về mặt pháp lý”.

Như vậy, đặc tính của computer forensic là: Identifying, preserving, analyzing và presenting.

Bằng chứng số thường được tìm thấy trong các ổ đĩa của máy tính, trong các thiết bị lưu trữ và trên các phương tiện truyền dẫn khác nhau. Tất cả chúng phải được trình bày trước tòa trong một dạng thức thống nhất và có ý nghĩa về mặt pháp lý. 

Nhiệm vụ của điều tra viên computer forensic là: Phải đưa ra được các bằng chứng trước tòa, bằng chứng phải có tính pháp lý và có khả năng dẫn ra hành vi phạm tội của tôi phạm; Phải đảm bảo tính toàn vẹn của hệ thống máy tính; Phải tập trung vào việc ứng phó với các hành vi phạm tội công nghệ cao.

Nhân viên điều tra computer forensic thường thực hiện theo một tập các thủ tục chuẩn để tìm ra các bằng chứng số: Bước đầu tiên, cô lập một cách vật lý các thiết bị nghi vấn, để đảm bảo nó không thể tiếp tục bị “lây nhiễm”. Bước tiếp theo, tạo bản copy của các thiết bị liên quan, sau đó “khóa” chúng lại để đảm bảo an toàn và làm đối chứng sau này. Bước cuối, thực hiện các thao tác điều tra trên bản copy.

Các điều tra viên sử dụng các kỹ thuật, các công cụ computer forensic khác nhau để khảo sát bản copy để tìm kiếm các thông tin khả nghi từ tập tin ẩn, các thư mục ẩn, các không gian đĩa chưa cấp phát, các tập tin bị xóa, bị mã hóa, bị hỏng,… Bất kỳ thông tin nào được tìm thấy ở đây đều được ghi lại một cách cẩn thận trong báo cáo cuối cùng và sẽ được đối chứng với bản gốc để khảng định tính pháp lý của nó. Từ  những thông tin này, điều tra viên sẽ đưa ra được bằng chứng pháp lý trước tòa.  

(còn tiếp...)