Nhân viên thường sử dụng thiết bị cá nhân (laptop, netbook…) tại nơi làm việc để giao tiếp riêng tư.

     • Việc sử dụng Gmail Chat qua IE có thể gây rò rỉ tài sản vô hình của doanh nghiệp mà không hay biết.

     • Các dấu vết số (digital trails) như tin nhắn tức thời rất dễ bay hơi và khó thu thập nếu không có chuyên môn pháp y số.

   - Mục tiêu:

     • Thiết lập quy trình pháp y số để thu thập bằng chứng từ RAM của thiết bị sau phiên Gmail Chat.

     • So sánh khả năng thu thập bằng chứng trong 4 kịch bản khác nhau.

   - Thiết kế thí nghiệm:

     • Thiết bị: IBM ThinkPad T42, Windows XP, IE 8.0.

     • Công cụ: Helix 2.0 (thu RAM), ProDiscover Basic 4.8a (phân tích RAM).

     • Tài khoản Gmail: ludy099122@gmail.com (gửi tin nhắn “ntcu123456”) ↔ randy098144@gmail.com (phản hồi “mars2468”).

   - 4 kịch bản:

     • Case 1: Tắt IE sau phiên chat → không thu được bằng chứng.

     • Case 2: Không logout Gmail, IE vẫn chạy → thu được 6 cụm chứa “ntcu123456” và 4 cụm chứa “mars2468”.

     • Case 3: Logout Gmail, IE vẫn chạy → thu được 3 cụm chứa “ntcu123456” và 4 cụm chứa “mars2468”.

     • Case 4: Khởi động lại máy, không mở Gmail/IE → không thu được bằng chứng.

   - Kết luận:

     • IE đóng vai trò quan trọng trong việc giữ lại dấu vết số.

     • IRT cần thu RAM ngay tại hiện trường trước khi thiết bị bị tắt nguồn hoặc bị thu giữ.

     • Dữ liệu RAM rất dễ bay hơi, cần xử lý nhanh chóng và đúng quy trình pháp y.