Thám tử máy tính (tiếng Anh: computer forensics) là một ngành khoa học điều tra công nghệ cao dựa trên các dữ liệu được lưu trữ trên các thiết bị máy tính như ổ cứng, ổ CD, hay các dữ liệu trên mạng Internet.

Mục đích của kỹ thuật này là tìm kiếm và phân tích các dữ liệu trên máy tính, phục vụ cho công tác điều tra tội phạm công nghệ cao (tin tặc, thông tin tài chính công ty đã bị xóa,...), giúp cho tòa án có được những bằng chứng tội phạm chính xác nhất.

Mục đích

sửa

Nhằm giúp các cơ quan điều tra, công tố và tòa án có được các bằng chứng trong các vụ án như:

  • Khởi tố các tin tặc có các cuộc tấn công gây hậu quả nghiêm trọng.
  • Thu thập những bản ghi tài chính trong trường hợp công ty phá sản, trốn thuế,... mà những bản ghi, bảng thống kê này có thể bị xóa dấu vết.
  • Phục vụ cho công tác tình báo và phản gián.

Các vấn đề thường gặp phải

sửa

Cuộc điều tra có thể nhanh hoặc chậm tùy vào các yếu tố:

  • Trình độ chuyên môn của điều tra viên.
  • Số lượng máy tính cần điều tra.
  • Tổng dung lượng máy tính.
  • Tập tin bị mã hóa hay có mật khẩu bảo vệ.
  • Tập tin đã bị xóa hay chưa?

Các dạng tập tin cần xem xét:

  • Văn bản thông thường hoặc cần phần mềm chuyên dụng để đọc được, loại này hoàn toàn có thể đọc được dễ dàng.
  • Các bản ghi của hệ thống, lưu lại các thông tin như tập tin nào được lưu ở đâu, thời gian của lần chỉnh sửa cuối cùng,...
  • Tập tin đã được mã hóa hoặc được bảo vệ bằng mật khẩu, loại này cần nhiều thời gian để tìm cách đọc được nó.
  • Tập tin đã bị xóa hoàn toàn khỏi máy tính. Tuy nhiên, thực tế là máy tính chưa xóa chúng mà chỉ tạm thời "quên" chúng đi, để khi nào cần ghi tập tin mới thì ghi đè lên. Loại này phải dùng phần mềm chuyên dụng để phục hồi, ra sẽ gặp khó khăn đến tập tin đã bị ghi đè một phần.
  • Các thông tin được lưu trữ trên Internet. Loại này thường phải mất nhiều thời gian để tìm ra địa chỉ được lưu, và phải được sự cho phép của tòa án thì những thông tin đó mới được công ty lưu trữ cung cấp.

Tham khảo

sửa