BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA: AN TỒN THƠNG TIN PHỊNG CHỐNG VÀ ĐIỀU TRA TỘI PHẠM MẠNG MÁY TÍNH PHÂN TÍCH HỆ ĐIỀU HÀNH WINDOWS Giảng viên hướng dẫn: Thầy Nguyễn Mạnh Thắng Sinh viên thực hiện: Trịnh Quang Minh - AT140626 Nguyễn Minh Hiếu - AT140321 Phạm Thúy Mừng - AT140828 Đỗ Thị Diệu Yến - AT140853 Lớp: L01 Khóa: K14 Tháng 11 năm 2021 MỤC LỤC MỤC LỤC i DANH MỤC VIẾT TẮT ii DANH MỤC HÌNH ẢNH iii DANH MỤC BẢNG iv LỜI MỞ ĐẦU v CHƯƠNG I: TÌM HIỂU SƠ LƯỢC VỀ HỆ ĐIỀU HÀNH 1.1 Khái niệm, lịch sử tính hệ điều hành 1.2 Các thành phần hệ điều hành CHƯƠNG II: HỆ ĐIỀU HÀNH WINDOWS 2.1 File system Registry Windows 2.2 Thông số máy vi tính phiên hệ điều hành Windows .10 2.3 Các file thư mục mặc định Windows quan trọng 11 2.4 Các phần mềm cài đặt sẵn để phát hiện, ngăn chặn mã độc, tệp tin độc hại 16 2.5 Các công cụ thu thập phân tích log, nhật ký hành vi 22 2.5.1 Windows Registry 22 2.5.2 Window Event log 26 2.6 Vai trị hệ điều hành q trình điều tra, thu thập thơng tin tội phạm máy tính 29 CHƯƠNG III: THỰC NGHIỆM PHÂN TÍCH HĐH WINDOWS 30 3.1 Phân tích HĐH windows .30 3.2 Phân tích HĐH windows server 2012 44 KẾT LUẬN 49 TÀI LIỆU THAM KHẢO 50 i DANH MỤC VIẾT TẮT HĐH, OS ISP IXP RAM SSD IP Hệ điều hành Nhà cung cấp dịch vụ Internet Nhà cung cấp dịch vụ đường truyền Random Access Memory Solid State Drive Internet Protocol ii DANH MỤC HÌNH ẢNH Hình 1- 1: Các hệ điều hành máy tính phổ biến Hình 2- 1: Forensic Registry Editor Hình 2- 2: Kiểm tra thông số HĐH windows 10 Hình 2- 3: Set Ram ảo windows .13 Hình 2- 4: D3DSCache chứa thơng tin lưu nhớ cache .15 Hình 2- 5: Tường làm nhiệm vụ bảo vệ 16 Hình 2- 6: Windows Defender 21 Hình 2- 7: Windows Registry 23 Hình 2- 8: Lists MRU 26 Hình 2- 9: Giao diện Event Log Windows 26 Hình 2- 10: Hướng dẫn filter dựa vào Event ID 28 Hình 3- 1: Thơng tin phiên hệ điều hành 30 Hình 3- 2: Thông tin khác phiên hệ điều hành 31 Hình 3- 3: Thơng tin tài khoản nhóm hệ thống 32 Hình 3- 4: Danh sách nhóm người dùng hệ thống .33 Hình 3- 5: Danh sách người dùng thuộc nhóm 33 Hình 3- 6: Cửa sổ windows Firewall with Advanced Security .34 Hình 3- 7: Danh sách luật cấu hình tường lửa 35 Hình 3- 8: File log tường lửa .36 Hình 3- 9: Xem thời gian tắt máy gần .37 Hình 3- 10: Danh sách ứng dụng cài đặt hệ thống 37 Hình 3- 11: Danh sách mạng nội kết nối .38 Hình 3- 12: Danh sách thiết bị USB kết nối .39 Hình 3- 13: Danh sách từ khóa, đường dẫn tìm kiếm 40 Hình 3- 14: Danh sách log mục Application .41 Hình 3- 15: Chọn xem chi tiết log 42 Hình 3- 16: Danh sách log mục Security 42 Hình 3- 17: Danh sách log mục System 43 Hình 3- 18: Kiểm tra service có hệ thống 44 Hình 3- 19: Kiểm tra service có hệ thống 45 Hình 3- 20: Lấy danh sách log theo danh mục Application 46 Hình 3- 21: Lấy danh sách tiến trình chạy 47 Hình 3- 22: Kiểm tra phân vùng ổ cứng 48 iii DANH MỤC BẢNG Bảng 2- 1: Các trường Event Log 27 iv LỜI MỞ ĐẦU Hệ điều hành (OS) thành phần thiếu hệ thống máy tính Một máy tính dù đắt tiền, cấu hình cao khơng có hệ điều hành khơng thể sử dụng Hệ điều hành điều khiển hoạt động máy tính, giúp việc sử dụng máy tính trở nên đơn giản, dễ dàng hiệu nhiều Nói đến hệ điều hành cho máy tính khơng thể khơng nhắc đến Windows với giao diện thân thiện, đơn giản Trải qua nhiều biến đổi, ngày hệ điều hành Windows chiếm lĩnh thị trường khẳng định ưu Trong báo cáo chúng em phân tích hệ điều hành Windows Trong trình thực báo cáo tập lớn khơng tránh khỏi sai lầm, thiếu sót Rất mong thầy góp ý để chúng em hồn thiện kiến thức kĩ thân Chúng em xin chân thành cảm ơn! v CHƯƠNG I: TÌM HIỂU SƠ LƯỢC VỀ HỆ ĐIỀU HÀNH 1.1 Khái niệm, lịch sử tính hệ điều hành ❖ Khái niệm Hệ điều hành (operating system, viết tắt: OS), theo nghĩa chung phần mềm cho phép người dùng chạy ứng dụng khác thiết bị máy tính Thơng qua hệ điều hành, người dùng điều hành, quản lý thiết bị phần cứng tài ngun phần mềm Tồn q trình giao tiếp người máy tính thực thông qua bước đệm trung gian hệ điều hành Nhờ có hệ điều hành mà ứng dụng tận dụng common libraries mà không cần quan tâm tới thông số phần cứng cụ thể Là tập hợp chương trình tổ chức thành hệ thống với nhiệm vụ: ● Đảm bảo tương tác người dùng với máy tính ● Cung cấp phương tiện dịch vụ để điều phối thực chương trình ● Quản lý chặt chẽ tài nguyên máy, tổ chức khai thác chúng cách thuận tiện tối ưu Hệ điều hành cầu nối thiết bị với người dùng thiết bị với chương trình thực máy Hệ điều hành với thiết bị kỹ thuật (máy tính thiết bị ngoại vi) tạo thành hệ thống Một số hệ điều hành phổ biến MS-DOS, Windows 98, Windows 2000, Win XR, Hình 1- 1: Các hệ điều hành máy tính phổ biến ❖ Lịch sử phát triển hệ điều hành ● Giai đoạn (1945 – 1955): có máy tính lớn chưa có hệ điều hành ● Giai đoạn (1956 – 1965): hệ thống xử lý theo lô (Batch systems) ● Giai đoạn (1966 – 1980): hệ thống xử lý đa chương (Multiprogramming systems), hệ thống xử lý đa nhiệm (Multitasking systems) ● Giai đoạn (1981 – 2007): hệ thống đa xử lý (Multiprocessor systems), hệ thống nhúng (Embedded systems) ❖ Tính hệ điều hành ● Một hệ điều hành hoạt động giao diện phần mềm phần cứng máy tính ● Hỗ trợ quản lý tài nguyên hệ thống máy tính, đồng thời ẩn chi tiết tài nguyên phần cứng từ người dùng ● Giúp kiểm soát giám sát việc thực tất chương trình khác nằm máy tính, bao gồm chương trình ứng dụng phần mềm hệ thống khác ● Là môi trường trung gian phần cứng người dùng, giúp người dùng nhanh chóng truy cập vận hành tài nguyên khác ● Tăng hiệu chia sẻ tài nguyên, đảm bảo công người dùng máy tính với chương trình  Các chức hệ điều hành Là nơi để quản lý thông tin phần cứng, bao gồm như: Quản lý nhớ, quản lý CPU, quản lý mạng, quản lý thiết bị quản lý hệ thống tập tin Cung cấp cho người dùng giao diện phù hợp, để sử dụng phần mềm máy tính Hệ điều hành tối ưu hóa q trình hoạt động máy tính bao gồm cơng đoạn thao tác nhập liệu ❖ Hệ điều hành quản lý tài nguyên phần cứng máy tính, bao gồm: ● Các thiết bị đầu vào bàn phím chuột ● Các thiết bị đầu hình hiển thị, máy in máy quét ● Các thiết bị mạng modem, định tuyến kết nối mạng ● Các thiết bị lưu trữ ổ đĩa ngồi 1.2 Các thành phần hệ điều hành  Hệ điều hành có thành phần sau: ● Kernel: Kernel cung cấp điều khiển mức tất thiết bị phần cứng máy tính Các vai trị bao gồm: đọc liệu từ nhớ ghi liệu vào nhớ, xử lý lệnh thực hiện, xác định cách liệu nhận gửi thiết bị hình, bàn phím, chuột xác định cách diễn giải liệu nhận từ mạng ● Giao diện người dùng: User Interface cho phép việc tương tác với người dùng thông qua graphical icons desktop thông qua command line ● Giao diện lập trình ứng dụng: Application Programming Interfaces cho phép application developers viết modular code  Một số hệ điều hành phổ biến Hiện có nhiều hệ điều hành khác dùng để sử dụng cho máy tính, nhiên phổ biến window Dưới số hệ điều hành thường sử dụng nhất: ● Windows: hệ điều hành hàng đầu Microsoft, tiêu chuẩn dành cho máy tính gia đình doanh nghiệp Được giới thiệu vào năm 1985, hệ điều hành dựa GUI phát hành nhiều phiên kể từ Windows 95 thân thiện với người dùng phần lớn chịu trách nhiệm cho phát triển nhanh chóng máy tính cá nhân ● Mac OS: hệ điều hành cho dịng Macintosh Apple gồm máy tính cá nhân workstations Đây hệ điều hành dành riêng cho dịng máy tính xách tay Apple OS/ Macintosh tiếng độ mượt mà vận hành Tốc độ thao tác nhanh hơn, ổn định gần tuyệt đối, giật lag điểm khiến nhiều người yêu thích hệ điều hành Tuy nhiên, so với Windows Apple OS/ Macintosh lại khó tương thích với thiết bị ngoại vi Khơng thế, số lượng phiên hệ điều hành cịn khiến người tiêu dùng gặp nhiều khó khăn lựa chọn ● Linux: hệ điều hành giống Unix thiết kế để cung cấp cho người dùng máy tính cá nhân giải pháp miễn phí chi phí thấp Linux Hình 3- 8: File log tường lửa Chọn Monitoring -> mục logging setting mở đường dẫn file log Firewall Danh sách log Firewall ghi lại gồm trường: Ngày tháng năm, Thời gian, Hành động, Giao thức, IP nguồn (ip máy), IP đích, Cổng nguồn, Cổng đích, Kích cỡ gói tin,…  Kiểm tra cấu hình Registry Registry sở liệu dùng để lưu trữ thông số kỹ thuật Windows Một vài thơng tin cần quan tâm tiến hành phân tích, điều tra HĐH windows như: 36 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Windows: Thời gian tắt Máy gần Nhất Hình 3- 9: Xem thời gian tắt máy gần HKEY_LOCAL_MACHINE\SOFTWARE\RegisteredApplications: danh sách ứng dụng Hình 3- 10: Danh sách ứng dụng cài đặt hệ thống Name: tên ứng dụng 37 Type: kiểu liệu (REG_SZ: Kiểu chuỗi chuẩn) Data: Đường dẫn liệu ứng dụng lưu registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersio n\NetworkList\Nla\Cache\Intranet\Home: Danh sách mạng nội kết nối Hình 3- 11: Danh sách mạng nội kết nối 38 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR: Danh sách thiết bị USB kết nối Hình 3- 12: Danh sách thiết bị USB kết nối Mỗi thiết bị kết nối có mã folder riêng Mở folder lên hiển thị thông tin chi tiết thiết bị usb 39 HKEY_USERS\S-1-5-21-[User Identifier] \Software\Microsoft\Internet Explorer\TypedURLs: Các từ khoá, đường dẫn nhập vào URL tìm kiếm trình duyệt Internet Explorer theo User Identifier Mỗi user có đường dẫn thư mục HKEY_USERS\S-1-5-21-[User Identifier] riêng Hình 3- 13: Danh sách từ khóa, đường dẫn tìm kiếm Name: danh sách url Type: kiểu liệu (REG_SZ: Kiểu chuỗi chuẩn) Date: Thông tin đường dẫn, từ khóa tìm kiếm 40  Kiểm tra nhật ký kiện (event log)  Mở hộp thoại gõ lệnh eventvwr để mở hộp thoại Event Viewer Hình 3- 14: Danh sách log mục Application Mục Application: Nơi lưu nhật ký chương trình, phần mềm cài máy Level: Mức độ kiện Date and Time: Thời gian Source: hệ thống/ứng dụng sinh log Event ID: Mã kiện Task Category: Danh mục gán log sinh 41 Hình 3- 15: Chọn xem chi tiết log Chọn log để xem thông tin chi tiết bao gồm mô tả log, tên, source, user thực thi liên quan đến log ● Mục Security: Nơi lưu nhật ký liên quan đến bảo mật máy tính Như đăng nhập đăng xuất, bật tắt máy Hình 3- 16: Danh sách log mục Security 42 Một vài Event ID thường gặp: 4616: Thay đổi trạng thái cấu hình hệ thống 4634: Một tài khoản đăng xuất 4672: Đặc quyền định cho lần đăng nhập 4624: Một tài khoản đăng nhập thành công ● Mục System: Nơi lưu nhật ký dịch vụ, thay đổi cấu hình hệ thống Hình 3- 17: Danh sách log mục System 43 3.2 Phân tích HĐH windows server 2012 Trên tảng HĐH windows server 2012 Các nội dung phân tích: thơng tin phiên bản, firewall, event log, registry tương tự phiên window Các nội dung khác phân tích windows server 2012  Kiểm tra service trạng thái Mở cửa sổ PowerShell -> chạy lệnh: Powershell -ExecutionPolicy Bypass Command “& Get-Service | Select Name, DisplayName, Status, StartType” Hình 3- 18: Kiểm tra service có hệ thống Name: Tên dịch vụ Display Name: tên hiển thị hệ thống Status: Trạng thái dịch vụ 44  Lấy danh sách service chạy: Get-Service | Where {$_.Status -eq ‘Running’} | Select Name, DisplayName, StartType Hình 3- 19: Kiểm tra service có hệ thống Name: Tên dịch vụ chạy Display Name: tên hiển thị dịch vụ hệ thống 45  Lệnh Get-EventLog -Log Hình 3- 20: Lấy danh sách log theo danh mục Application Lấy danh sách log theo mục “Application, Security, Setup, System “ event log 46  Lệnh Get-Process Hình 3- 21: Lấy danh sách tiến trình chạy Hiển thị danh sách tiến trình hoạt động HANDLESS: tổng số lượng mơ tả tệp đầu vào-đầu (xử lý) mà trình mở NPM (K): Là nhớ không phân trang Đây kích thước liệu tiến trình (tính KB) trang PM (K): kích thước nhớ tiến trình phân trang (Tổng nhớ tiến trình) WS (K): kích thước nhớ vật lý (tính KB) sử dụng trình (Bộ làm việc) 47 CPU: thời gian CPU sử dụng trình (thời gian tất CPU tính); ID: Mã định danh tiến trình SI (Session ID): ID phiên trình (0 có nghĩa chạy cho tất phiên, 1- chạy cho người dùng đăng nhập đầu tiên, - chạy cho người dùng đăng nhập thứ hai); ProcessName: Tên tiến trình  Kiểm tra phân vùng ổ cứng Truy cập Server Manager -> Tool -> Computer Management Các thơng tin phân vùng ổ cứng: Hình 3- 22: Kiểm tra phân vùng ổ cứng 48 KẾT LUẬN Bài tập lớn: Phân tích HĐH windows chúng em đạt kết sau: Về lý thuyết: Bài tập lớn trình bày hiểu được:  Khái niệm Hệ Điều Hành nói chung Hệ Điều Hành windows nói riêng  Giới thiệu thông tin cần lưu ý thực phân tích Hệ điều hành windows (Cấu hình hệ thống, Các loại log, Cấu hình registry, )  Vai trị hệ điều hành trình điều tra, thu thập thơng tin tội phạm máy tính Tuy nhiên q trình thực hiện, lực cịn nhiều hạn chế, nguyên nhân khách quan khác như, sở vật chất, khả dịch hiểu tiếng Anh q trình trao đổi diễn đàn cơng nghệ nên chắn trình bày cịn nhiều sai sót Em mong nhận đóng góp ý kiến Thầy người dùng để em có thêm kiến thức kinh nghiệm tiếp tục hoàn thiện nội dung Em xin chân thành cảm ơn! 49 TÀI LIỆU THAM KHẢO [1] Giáo trình Hệ điều hành – Học viện Cơng nghệ Bưu viễn thơng sở TP.Hồ Chí Minh [2] The cosit text (volume 1) on Mathematics, Computer & Biology Edition: Second Edition 2016 Chapter 7: Microsoft Windows operating system [3] Microsoft windows documentation for developer 50 ... trình điều tra Như kỹ sư an ninh mạng kiến thức phân tích hệ điều hành nói chung hệ điều hành windows nói riêng cần thiết quan trọng 29 CHƯƠNG III: THỰC NGHIỆM PHÂN TÍCH HĐH WINDOWS 3.1 Phân tích. .. số, phân tích log, phân tích cấu hình thiết lập sẵn HĐH người dùng cài đặt sẵn HĐH windows bước khởi đầu cần thiết để tìm hiểu HĐH ứng dụng kiến thức để điều tra, thu thập chứng điều tra tội phạm. .. tin tội phạm máy tính Điều tra thơng tin số, điều tra an ninh mạng hay điều tra số trình xác định thu thập chứng số từ môi trường nào, đồng thời bảo vệ tính tồn vẹn chứng phục vụ trình kiểm tra