Đề tài : Tìm hiểu phân tích hệ điều hành Windows Môn học: Điều tra tội phạm mạng máy tính Giảng viên : Nguyễn Mạnh Thắng Sinh viên thực hiện: Trịnh Quốc An Nguyễn Trang Nhung Lê Hồng Trung Nguyễn Duy Dũng Đặng Đình Long Mục lục 1, Giới thiệu tổng quan hệ điều hành Windows 2, Phân tích Hệ điều hành Windows 3, Các cơng cụ thường sử dụng 4, Demo Thực nghiệm 1, Giới thiệu tổng quan Một hệ điều hành thành phần quan trọng hệ thống máy tính Một hệ thống máy tính chia thành bốn thành phần: phần cứng, hệ điều hành, chương trình ứng dụng người dùng Hệ điều hành Windows có tên đầy đủ Microsoft Windows, hay gọi đơn giản Windows Hệ điều hành phát triển phân phối “ông lớn” ngành công nghệ Microsoft 2, Phân tích Hệ điều hành Windows 2.1 Tổng quan Việc phân tích hệ cần tập trung vào thứ: - Phân tích sâu vào hệ thống - Phân tích tác nhân Windows Các tác nhân đối tượng chứa thông tin hoạt động thực người dùng Windows, chứa thông tin nhạy cảm thu thập phân tích thời điểm phân tích pháp y 2, Phân tích Hệ điều hành Windows 2.2 Quy trình thực Bao gồm giai đoạn phân tích Các bước hỗ trợ cho người dùng, điều tra viên dễ dàng thu thập thơng tin để xử lí cố Mỗi giai đoạn sử dụng công cụ, phương pháp thu thập riêng Phần : Collecting Volatile Information Thu thập liệu ngắn hạn liệu thường lưu trữ registry, nhớ cache, RAM nên chúng thường bị bị xóa hệ thống tắt khởi động lại - Các liệu liên tục thay đổi tùy biến nên người điề tra cần thu thập liệu theo thời gian thực tế - Việc thu thập thông tin cục giúp cho việc xác định thời gian xảy cố bảo mật Phần : Collecting Non- Volatile Information - Các liệu lưu trữ ổ lưu trữ không bị kể sau tắt máy Các liệu dễ dàng truy cập truy cập qua mạng nên điều tra viên chép điều tra liệu từ hệ thống Các phần kiểm tra Phần : Kiểm tra file hệ thống Phần 2: Kiểm tra cài đặt Registry Phần 3: Kiểm tra Microsoft Security ID Phần 4: Kiểm tra Event logs Phần : Kiểm tra file ESE CSDL Phần 6: Kiểm tra Các thiết bị kết nối Phần 7: Kiểm tra nhớ ảo hóa Phần 8: Kiểm tra File Hibernate Page Phần 9: Windows Search Index Phần 10: Thu thập thông tin phân vùng ẩn Phần 11: Hidden ADS Streams Phần 12: Kiểm tra Web Cache, Cookies File Temp Phần : Windows Memory Analysis - Bộ nhớ hệ thống liên quan đến vùng lưu trữ, nơi mà hệ thống lưu trữ liệu quan trọng phục vụ cho tiến trình, file ứng dụng, nhớ ảo, v.v Vùng bao gồm tệp metadata phục vụ cho việc hoạt động chức ứng dụng Điều tra viên phân tích vùng nhớ để tìm ứng dụng cài, kiện gần liệu liên quan Phần 1: Kiểm tra Virtual Hard Disk (VHD) Phần 2: Memory Dump Phần 3: Kiểm tra EProcess Phần 3.1: Process Creation Mechanism Phần 3.2: Parsing Memory Contents Phần 3.3 : Parsing Process Memory Phần 3.4: Extracting the Process Image Phần 4: Thu thập nhớ tiến trình ) Phần 4: Windows Registry Analysis - Windows Registry bao gồm thơng tin quan trọng, coi nguồn cung cấp chứng có giá trị cao giúp cho nhà phân tích sâu việc khám phá khía cạnh khác quy trình điều tra số Có thư mục gốc Registry Editor: • HKEY_USERS • HKEY_CLASSES_ROOT • HKEY_CURRENT_CONFIG • HKEY_LOCAL_MACHINE • HKEY_CURRENT_USER Phần 5: Điều tra, phân tích Cache, Cookie lịch sử - Hệ điều hành Windows sử dụng trình duyệt để kết nối mạng cho phép người dùng truy cập từ xa Trình duyệt lưu liệu thống dạng cache, thập thông tin phân tích để tìm cookies lịch sử Điều tra viên thu loại kết nối tới hệ thống, giao thức sử dụng, nội dung liên quan Phần 6: Windows File Analysis - Windows sử dụng tệp tin đặc biệt để lưu trữ liệu để vận hành chức in, ghi, lưu trữ, phục hồi Phân tích loại tệp giúp cho điều tra viên tìm kiếm chức mà nạn nhân kẻ công sử dụng, xác định thời gian kiện nhanh chóng System Restore Points Prefetch Files Shortcut Files ImageFiles Phần 7: Thu thập ,phân tích Metadata đến liệu đực lưu trữ hệ thống - Metadata thơng tin liên quan thiết bị, bao gồm thông tin loại files, thời gian tạo sửa Điều tra viên lấy metadata để tìm kiếm thơng tin bên file ứng dụng Metadata liệu có cấu trúc, đưa thơng tin liệu đó, bao gồm thời gian người tạo, truy cập, thay đổi liệu Không thể đọc metadata không sử dụng ứng dụng chuyên biệt Một vài ví dụ metadata như: - Organization name ( tên tổ chức ) - Author name ( tên tác giả ) - Computer name ( tên máy) - Network name (tên mạng) - Hidden text or cells ( kí tự ẩn ) - Document versions ( phiên tài liệu) - Template information ( thông tin định dạng mẫu đó) Metadata quan trọng việc thu thập liệu, cung cấp thơng tin về: - Các liệu ẩn tài liệu - Ai cố gắng giấu , xóa, ẩn liệu - Tương quan tài liệu từ phiên khác Chúng ta sử dụng Metashield Analyzer để phân tích metadata file Cơng cụ tìm thơng tin liên quan đến Phần 8: Phân tích Event Logs ghi kiện quan trọng hệ thống Tất hệ Logs điều hành có khả lưu trữ ghi Event logs trở nên hữu ích cho điều tra viên để tìm liệu liên quan đến cố Chúng ta kiểm tra Event log theo cấu hình đường dẫn sau: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\ 3, Các cơng cụ sử dụng phân tích HĐH Windows 4, Demo, Thực nghiệm Bọn em chuẩn bị máy Windows tải cơng cụ có sẵn lệnh Cmd có sẵn hệ điều hành Windows nhằm phục vụ việc phân tích xem có phải xác định bị nguy hại hay khơng Nhóm em thực bước dựa theo tài liệu để thu thập thông tin Bọn em sử dụng công cụ như: PSTools - Bộ công cụ PS windows Handle - Bộ cơng cụ tích hợp sẵn window ListDLLs ProcDump MoonSol RootkitRevealer 5, Kết Luận • Phân tích làm rõ cấu trúc hệ thống hệ điều hành, cấu trúc file hệ thống, ứng dụng quản trị hệ điều hành, nhật ký • Vai trị hệ điều hành Windows q trình điều tra, thu thập thông tin tội phạm máy tính • Tìm hiểu sử dụng cơng cụ rà sốt,kiểm tra file hệ thống Qua kiểm soát tốt thiết bị chạy hệ điều hành Windows phát kịp thời hành động bất thường hệ thống hệ điều hành  ... không bị kể sau tắt máy Các liệu dễ dàng truy cập truy cập qua mạng nên điều tra viên chép điều tra liệu từ hệ thống Các phần kiểm tra Phần : Kiểm tra file hệ thống Phần 2: Kiểm tra cài đặt Registry... thống, ứng dụng quản trị hệ điều hành, nhật ký • Vai trị hệ điều hành Windows q trình điều tra, thu thập thơng tin tội phạm máy tính • Tìm hiểu sử dụng cơng cụ rà sốt,kiểm tra file hệ thống Qua kiểm... hệ thống máy tính chia thành bốn thành phần: phần cứng, hệ điều hành, chương trình ứng dụng người dùng Hệ điều hành Windows có tên đầy đủ Microsoft Windows, hay gọi đơn giản Windows Hệ điều hành