BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỀ TÀI Tìm hiểu phân tích hệ điều hành Windows Điều tra tội phạm mạng máy tính Giảng viên hướng dẫn Thầy Nguyễn Mạnh Thắng Sinh viên thực Trịnh Quốc An Nguyễn Duy Dũng Đặng Đình Long Nguyễn Trang Nhung Lê Hồng Trung Hà Nội, tháng 12 năm 2021 MỤC LỤC DANH MỤC HÌNH VẼ MỞ ĐẦU Trong thời đại công nghệ số phát triển máy tính cá nhân trở thành phần quan thiếu phát triển Các cơgn ty cơng nghệ đua đưa thị trường dòng máy tính cá nhân với phân khúc cấu hình từ thấp tới cao, phục vụ nhiều mục đích cho nhiều nhóm người sử dụng Và hệ điều hành (Operating System) cải máy tính cá nhân dùng phổ biến giới Windows tập đồn cơng nghệ Microsoft Nhưng việc Windows sử dụng phổ biến mà trở thành mục tiêu cho tên tội phạm mạng ln tìm cách để xâm nhập trái phép vào hệ thống để đánh cắp phá hủy liệu người dùng Chính nhóm em chọn chủ đề “tìm hiểu phân tích hệ điều hành windows điều tra tội phạm máy tính” làm đề tài nghiên cứu Hệ điều hành chúng em sử dụng nghiên cứu phần báo cáo Windows Sau thời gian vài tuần thực báo cáo này, nội dung hoàn thành Tuy nhiên thời gian thực báo cáo có hạn cịn nhiều hạn chế mặt kiến thức nên chắn nhóm khơng thể tránh khỏi thiếu sót Vì chúng em mong nhận góp ý từ thầy bạn để báo cáo nhóm chúng em hồn thiện Nhóm chúng em xin chân thành cảm ơn! CHƯƠNG I: TỔNG QUAN VỀ HỆ ĐIỀU HÀNH WINDOWS 1.1 Giới thiệu hệ điều hành Windows Microsoft Windows (hoặc đơn giản Windows) tên hệ điều hành dựa giao diện người dùng đồ hoạ phát triển phân phối Microsoft Nó bao gồm vài dịng hệ điều hành, số phục vụ phần định ngành công nghiệp máy tính Phiên hệ điều hành Windows Microsoft mắt vào năm 1985, hệ điều hành có giao diện đồ hoạ hãng này, với tên gọi Windows 1.0 – tên mã nội Interface Manager Tên gọi Windows lựa chọn hệ điều hành Microsoft xoay quanh khung nội dung hình chữ nhật hiển thị hình Trải qua nhiều phiên với nhiều thay đổi, đến hệ điều hành Windows thành công việc chiếm lĩnh thị trường Cho đến nay, trải qua nhiều phiên với nhiều thay đổi, hệ điều hành Windows gặt hái nhiều thành công phải kể đến Windows XP, Windows Window Ngoài ra, phiên khác Windows như: Window 98, Windows 2000, Windows Vista, Windows Sever… gần Windows 10 Ưu điểm hạn chế hệ điều hành Windows 1.2 Vốn tảng chiếm thị phần sử dụng cao nên khơng có khó hiểu hầu hết nhà sản xuất đầu tư xây dựng phần mềm sản xuất phần cứng hỗ trợ cho hệ điều hành Windows Có thể nói rằng, Windows hỗ trợ đầy đủ ứng dụng người dùng cần nhiều nhiều, vượt trội so với hệ điều hành khác Đơn giản điều, nhà viết ứng dụng muốn nhắm đến thị trường có số người sử dụng đơng đảo Windows Nhưng việc Windows sử dụng phổ biến mà trở thành mục tiêu cho tin tặc công Các phần mềm độc hại, virus,…nhằm vào Windows trở nên phổ biến, nên việc cập nhật thường xuyên vá chương trinh chống virus phải thực CHƯƠNG II: PHÂN TÍCH HỆ ĐIỀU HÀNH WINDOWS TRONG ĐIỀU TRA TỘI PHẠM MÁY TÍNH 2.1 Quy trình điều tra hệ điều hành Windows OS Forensic liên quan tới q trình tìm kiếm, xác định phân tích chứng có hệ điều hành tất thiết bị có liên quan q trình sử dụng nạn nhân, hay máy nằm phạm vi bị tình nghi có liên quan tới cố bảo mật Hầu hết điều hành thường sử dụng Window, Linux Mac Chúng thường mục tiêu, nguồn hoạt động phạm tội Người điều tra viên cần phải hiểu toàn kiến thức liên quan đến hệ điều hành họ kiểm tra, với việc có lượng kiến thức chuyên sâu việc điều tra hành vi phạm tội Ở phần bàn luận chủ đề trình bày Window Forensics, bao gồm quy trình thực điều tra hệ thống Quy trình điều tra thực theo bước: Hình Quy trình thu thập phân tích thông tin từ hệ điều hành Windows 2.1.1 Thu thập thông tin liệu tạm thời Việc cần làm thu thập liệu cục liệu thường lưu trữ ghi, nhớ cache, RAM nên chúng thường bị bị xóa hệ thống tắt khởi động lại Các liệu liên tục thay đổi tùy biến nên người điề tra cần thu thập liệu theo thời gian thực tế Việc thu thập thông tin cục giúp cho việc xác định thời gian xảy cố bảo mật Các thông tin bao gồm: • Thời gian hệ thống (System Time) • Các tài khoản đăng nhập vào hệ thống (Logged-on Users) • Thơng tin mạng (Network Information) • Các file mở (Open Files) • • Các kết nối mạng (Network Connection) Trạng thái mạng (Network Status) • Thơng tin tiến trình hoạt động (Process Information) • Bộ nhớ tiến trình (Process Memory) • • • • Các thư mục chia sẻ (Shares) Nội dung clipboard (Clipboard Content) Thông tin dịch vụ, driver (Service/Driver Information) Lịch sử câu lệnh (Command History) Người điều tra viên tuân theo nguyên tắc thu thập nội dung RAM thời điểm điều tra, điều giảm thiểu tác động tới việc ảnh hưởng đến toàn vẹn tới nội dung RAM 2.1.1.1 System Time-Thời gian hệ thống Việc điều tra cố thu thập thông tin liên quan đến thời gian hệ thống Thời gian hệ thống đưa xác ngày , cố diễn hệ thống cung cấp thời gian hệ thống nên ứng dụng mở có thời gian xác hoạt động Nắm vững kiến thức hệ thống giúp cho việc thu thập thuận lợi có nhìn đa chiều việc triển khai bước Nó hỗ trợ việc đưa thời gian xác kiện diễn hệ thống Điều tra viên ghi lại thời gian thực, lịch sử thu thập thông tin thời gian hệ thống Cả cung cấp cho điều tra viên xác định thời gian hệ thống có xác hay khơng Một cách để lấy thơng tin chi tiết thời gian hệ thống sử dụng chức “GetSystemTime” Chức chép thông tin thời gian cấu trúc SYSTEMTIME bao gồm thông tin người dùng truy cập thời gian xác tới đơn vị mili-giây Hơn nữa, chức cịn cung cấp xác thông tin thời gian hệ thống 2.1.1.2 Logged-on Users Trong suốt trình điều tra, điều tra viên phải thu thập thông tin chi tiết tất người dùng đăng nhập vào hệ thống bị công Điều không bao gồm thông tin người dùng đăng nhập chỗ đăng nhập từ xa Thông tin cho phép điều tra viên làm giàu thơng tin ngữ cảnh điều tra, ví dụ ngữ cảnh tiến trình chạy, chủ sở hữu tệp tin, thời gian truy cập liệu Việc làm hữu ích việc tương quan thời gian hệ thống thu thập với log kiện bảo mật, cụ thể quản trị viên cho phép kiểm tra Các cơng cụ sử dụng để xác định người dùng đăng nhập như: • PsLoggedOn: Được sử dụng để hiển thị số người đăng nhập local đăng nhập từ xa Nếu người dùng xác định username thay máy sử dụng, PsLoggedOn tìm kiếm máy khu vực mạng xung quanh cho biết user đăng nhập 10 Hình 13 Registry file log Sẽ có cơng cụ hỗ trợ phân tích Registry ProDiscover RegRipper - ProDiscover thu thập phiên snapshots hoat động quan trọng việc bảo vệ liệu người dùng ProDiscover công cụ dùng để tìm chứng cứ, người dùng có thê thu thập liệu thời gian, thông tin driver, hoạt động mạng, v.v đưa định dạng báo cáo - RegRipper công cụ opensource giúp cho việc phân tích dễ dàng hơn, viết cấu trúc script Perl với mục đích lấy liệu cần thiết việc điều tra Các thơng tin tìm kiếm Registry như: SystemInformation, TimeZone, Shares, Wireless SSIDs, Startup Location, System Boot, User Login, User Activity, Mounted Devices, MRU Lists Các hoạt động người dùng ghi lại phần file NTUSER.DAT 36 Hình 14 Phân tích Windows Registry 2.1.6 Điều tra, phân tích Cache, Cookies lịch sử browser Hệ điều hành Windows sử dụng trình duyệt để kết nối mạng cho phép người dùng truy cập từ xa Trình duyệt lưu liệu thống dạng cache, cookies lịch sử Điều tra viên thu thập thơng tin phân tích để tìm loại kết nối tới hệ thống, giao thức sử dụng, nội dung liên quan Phân tích lấy liệu từ trình duyệt từ đường dẫn sau: • C:\Users\{user}\AppData\Local\Google\Chrome\UserData\Default ( Đối với Chrome) • C:\Users\{user}\AppData\Local\Google\Chrome\UserData\Cache ( Đối với Chrome) • C:\Users\ {user}\AppData\Roaming\Mozilla\FireFox\Profile\XXXX.default\coo kies.sqlite ( Cookie Đối với FireFox) 37 • C:\Users\ {user}\AppData\Roaming\Mozilla\FireFox\Profile\XXXX.default\cac he ( Cache Đối với FireFox) Đối với MozilaFirefox Chrome sử dụng: • Chrome: ChromeCacheView/ChromeCookiesView/ChromeHistoryView • MZFirefox : MZCookiesView / MZCacheView / MZHistoryView 2.1.7 Phân tích Windows File Windows sử dụng tệp tin đặc biệt để lưu trữ liệu để vận hành chức in, ghi, lưu trữ, phục hồi Phân tích loại tệp giúp cho điều tra viên tìm kiếm chức mà nạn nhân kẻ công sử dụng, xác định thời gian kiện nhanh chóng Khi điều tra, phân tích file Windows, điều tra viên phải thực phân tích file sau: • System Restore Point (RP.log): Chứa giá trị thể kiểu restore point, tên mô tả cho kiện tạo restore point, fvaf object 64-bit FILETIME sử dụng để thời điểm mà restore point tạo Mơ tả restore point hữu dụng mà khơng liên quan tới việc cài đặt hay xóa ứng dụng Các restore point tạo ứng dụng driver chưa kí cài đặt, hay cài đặt vá tự động Các thông tin kiện tạo restore point lưu rp.log, giúp cho người điều tra biết ngày mà ứng dụng cài đặt hay xóa bỏ • System Restore Point (Change.log.x): Key system file ứng dụng hệ thống giám sát để khôi phục hệ thống trạng thái Các thay đổi file lưu change.log, nằm thư mục chứa restore point Các thay đổi tới file giám sát 38 phát driver restore point system file, thông tin tên file ban đầu ghi vào change.log với sequence number, loại thay đổi,…File giám sát bảo lưu tới thư mục chứa restore point đổi tên theo dạng “Axxxxxx.ext” với x đại diện cho sequence number, ext file ban đầu • Shortcut file: Người dùng tạo shortcut tới ứng dụng, tài liệu, thư mục, thiết bị tháo rời, chia sẻ qua mạng Shortcut cung cấp thông tin file (hay chia sẻ mạng) truy cập người dùng Nó cung cấp thông tin thiết bị mà người dùng đưa vào hệ thống Các cơng cụ AccessData FTK, Windows File Analyzer EnCase có khả parse nội dung file Ink để lấy thông tin file File ink shortcut tạo người dùng • Image file: Các metadata file ảnh JPEG phụ thuộc vào ứng dụng tạo chỉnh sửa 2.1.8 Thu thập, phân tích metadata Metadata thơng tin liên quan đến liệu đực lưu trữ hệ thống thiết bị, bao gồm thơng tin loại files, thời gian tạo sửa Điều tra viên lấy metadata để tìm kiếm thơng tin bên file ứng dụng Metadata liệu có cấu trúc, đưa thơng tin liệu đó, bao gồm thời gian người tạo, truy cập, thay đổi liệu Không thể đọc metadata không sử dụng ứng dụng chuyên biệt Một vài ví dụ metadata như: • • • • • Organization name ( tên tổ chức ) Author name ( tên tác giả ) Computer name ( tên máy) Network name (tên mạng) Hidden text or cells ( kí tự ẩn ) 39 • • Document versions ( phiên tài liệu) Template information ( thông tin định dạng mẫu đó) Metadata quan trọng việc thu thập liệu, cung cấp thơng tin về: • • • Các liệu ẩn tài liệu Ai cố gắng giấu , xóa, ẩn liệu Tương quan tài liệu từ phiên khác Chúng ta sử dụng Metashield Analyzer để phân tích metadata file 2.1.9 Phân tích Event Logs Logs ghi kiện quan trọng hệ thống Tất hệ điều hành có khả lưu trữ ghi Điều tra viên dựa theo thời gian q trình xảy để tìm kiếm logs để kiểm tra Event logs trở nên hữu ích cho điều tra viên để tìm liệu liên quan đến cố Chúng ta kiểm tra Event log theo cấu hình đường dẫn sau: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\ Quy trình Event Log file: 40 Hình 15 Quy trình Event Log File Điều tra viên sử dụng Event Viewer để đọc Event Log đọc thông tin từ Registry để xem cấu hình nhận Event Log 41 CHƯƠNG III: THỰC NGHIỆM 3.1 Giới thiệu cơng cụ sử dụng Nhóm thực điều tra hệ điều hành Windows với cơng cụ có sẵn số câu lệnh cmd nhằm phục vụ việc phân tích xem phát dấu hiệu hệ thống có bị nguy hại hay khơng Nhóm chúng em thực bước dựa theo tài liệu để thu thập số thông tin hệ thống file log, thông tin hệ thống, tiến trình chạy, Nhóm chúng em sủ dụng công cụ phục vụ trình điều tra như: PSTools – Bộ công cụ PS Windows Handle – Bộ cơng cụ tích hợp sẵn Windows ListDLLs ProcDrump MoonSol RootkitRevealer Và số công cụ điều tra phổ biến khác cho hệ điều hành Windows như: Hình Các cơng cụ điều tra phổ biến 42 Hình Các cơng cụ điều tra phổ biến 3.2 Sử dụng cơng cụ • Sử dụng công cụ PsTool: o Kiểm tra port mở hệ thống: Hình 3 Kiểm tra port mở hệ thống 43 o Lấy thơng tin máy cần điều tra: Hình Lấy thông tin máy cần điều tra o Kiểm tra file mở, kiểm tra xem có file chạy từ xa hay khơng: Hình Kiểm tra file 44 o Kiểm tra có người dùng đăng nhập từ xa hay không ? Hiện khơng có người dùng đăng nhập từ xa: Hình Kiểm tra người dùng đăng nhập o Kiểm tra LogList công cụ PSTools, in file text LogListPS: Hình Kiểm tra LogList 45 Hình File LogListPS.txt o Sử dụng PsHandle để kiểm tra Handle chạy tiến trình: Hình Kiểm tra Handle chạy tiến trình 46 o Kiểm tra thư viện DLL tiến trình sử dụng để phân tích xem có thư viện nguy hại hay khơng: Hình 10 Kiểm tra thư viện DLL o ProcDump tiến trình, thực procdump tiến trình chrome.exe để xem có điều bất thường hay khơng Dựa theo Ngưỡng (Threshhold) đưa ra: Hình 11 ProcDump tiến trình chrome.exe để kiểm tra 47 • Sử dụng ProcessExplorer để kiểm tra tiến trình con, hiệu năng: Hình 12 Sử dụng ProcessExplorer để kiểm tra tiến trình con, hiệu • Sử dụng cơng cụ Event Log Explorer, có mục Application / System/ Security Ngồi kiểm tra mục khác Để nhận EventLog, ta vào Registry enable tính nhận eventlog Microsoft: Hình 13 Sử dụng Event Log Explorer 48 KẾT LUẬN Trong thời gian tìm hiểu thực làm báo cáo chúng em đạt mục tiêu đặt thu số kết quả, cụ thể như: • Nắm rõ khái niệm, đời hệ điều hành Windows • Đặc điểm bật, ưu nhược điểm hệ điều hành Windows • Phân tích làm rõ cấu trúc hệ thống hệ điều hành, cấu trúc file hệ thống, ứng dụng quản trị hệ điều hành, nhật ký • Vai trị hệ điều hành Windows q trình điều tra, thu thập thơng tin tội phạm máy tính • Tìm hiểu sử dụng cơng cụ rà sốt mã độc file hệ thống Qua kiểm soát tốt thiết bị chạy hệ điều hành Windows phát kịp thời hành động bất thường hệ thống hệ điều hành Qua báo cáo cho ta nhìn tổng quan việc điều tra tội phạm máy tính hệ điều hành Windows Do thời gian có hạn nên nhóm chúng em cịn nhiều thiếu sót kiến thức nội dung Nhóm chúng em tiếp tục nghiên cứu mở rộng thực nghiệm để báo cáo hoàn thiện Nhóm chúng em xin chân thành cảm ơn! 49 TÀI LIỆU THAM KHẢO Tiếng Anh: [1]: EC-Council, CHFIv9 Module Operating System Forensic 50 ... virus,…nhằm vào Windows trở nên phổ biến, nên việc cập nhật thường xuyên vá chương trinh chống virus phải thực CHƯƠNG II: PHÂN TÍCH HỆ ĐIỀU HÀNH WINDOWS TRONG ĐIỀU TRA TỘI PHẠM MÁY TÍNH 2.1 Quy trình điều. .. dễ dàng truy cập truy cập qua mạng nên điều tra viên chép điều tra liệu từ hệ thống Việc thu thập liêụ không mục tiêu trình điều tra điều tra viên Điều tra viên cần thơng tin chi tiết chứng thứ... nhập trái phép vào hệ thống để đánh cắp phá hủy liệu người dùng Chính nhóm em chọn chủ đề “tìm hiểu phân tích hệ điều hành windows điều tra tội phạm máy tính” làm đề tài nghiên cứu Hệ điều hành chúng