BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỀ TÀI Tìm hiểu phân tích hệ điều hành Windows Điều tra tội phạm mạng máy tính Giảng viên hướng dẫn Thầy Nguyễn Mạnh Thắng MỤC LỤC MỤC LỤC .i DANH MỤC HÌNH VẼ iii MỞ ĐẦU iv CHƯƠNG I: TỔNG QUAN VỀ HỆ ĐIỀU HÀNH WINDOWS .1 1.1 Giới thiệu hệ điều hành Windows 1.2 Ưu điểm hạn chế hệ điều hành Windows CHƯƠNG II: PHÂN TÍCH HỆ ĐIỀU HÀNH WINDOWS TRONG ĐIỀU TRA TỘI PHẠM MÁY TÍNH 2.1 Quy trình điều tra hệ điều hành Windows 2.1.1 Thu thập thông tin liệu tạm thời 2.1.1.1 System Time-Thời gian hệ thống 2.1.1.2 Logged-on Users 2.1.1.3 Open Files 2.1.1.4 Network Information 2.1.1.5 Network Connections 2.1.1.6 Process Information .9 2.1.1.7 Process memory 11 2.1.1.8 Network status 11 2.1.2 Thu thập liệu dài hạn 12 2.1.2.1 Kiểm tra file hệ thống 13 2.1.2.2 Registry settings 13 2.1.2.3 Microsoft Security ID 14 2.1.2.4 Event logs 15 2.1.2.5 ESE Database files .15 2.1.2.6 Connected Devices .16 2.1.2.7 Slack Space 16 2.1.2.8 Virtual Memory 17 2.1.2.9 Hibernate files 17 2.1.2.10 Page file 18 2.1.2.11 Windows Search Index 19 2.1.2.12 Thu thập thông tin phân vùng ẩn 19 2.1.2.13 Hidden ADS Streams .20 2.1.2.14 Các dạng liệu dài hạn khác 20 i 2.1.2.15 2.1.3 Windows Thumbcaches 21 Phân tích nhớ Windows 21 2.1.3.1 Virtual Hard Disk .21 2.1.3.2 Memory Dump 22 2.1.3.3 EProcess Structure .23 2.1.4 Thu thập nhớ tiến trình 28 2.1.5 Phân tích Windows Registry .29 2.1.6 Điều tra, phân tích Cache, Cookies lịch sử browser .33 2.1.7 Phân tích Windows File 34 2.1.8 Thu thập, phân tích metadata 35 2.1.9 Phân tích Event Logs 36 CHƯƠNG III: THỰC NGHIỆM .38 KẾT LUẬN 45 TÀI LIỆU THAM KHẢO 46 ii DANH MỤC HÌNH VẼ Hình Quy trình thu thập phân tích thơng tin từ hệ điều hành Windows Hình 2 Đường dẫn tới Microsoft Secutiry ID 14 Hình Đường dẫn tới ESE Database files 16 Hình HibernateEnable Registry Editor .18 Hình Cơng cụ Partion Find & Mount 19 Hình Quá trình tạo tiến trình 24 Hình Các cơng cụ để liệt kê danh sách tiến trình parse nội dung nhớ 26 Hình Parse nhớ tiến trình 27 Hình Trích xuất Process Image .28 Hình 10 Thu thập nhớ tiến trình 28 Hình 11 Năm thư mục gốc Windows Registry Editor 30 Hình 12 Các cell Registry 31 Hình 13 Registry file log 32 Hình 14 Phân tích Windows Registry 33 Hình 15 Quy trình Event Log File 37 Hình Các cơng cụ điều tra phổ biến 38 Hình Các cơng cụ điều tra phổ biến 39 Hình 3 Kiểm tra port mở hệ thống .39 Hình Lấy thông tin máy cần điều tra .40 Hình Kiểm tra file 40 Hình Kiểm tra người dùng đăng nhập 41 Hình Kiểm tra LogList 41 Hình File LogListPS.txt 42 Hình Kiểm tra Handle chạy tiến trình 42 Hình 10 Kiểm tra thư viện DLL 43 Hình 11 ProcDump tiến trình chrome.exe để kiểm tra 43 Hình 12 Sử dụng ProcessExplorer để kiểm tra tiến trình con, hiệu 44 Hình 13 Sử dụng Event Log Explorer .44 iii MỞ ĐẦU Trong thời đại cơng nghệ số phát triển máy tính cá nhân trở thành phần quan khơng thể thiếu phát triển Các côgn ty công nghệ đua đưa thị trường dịng máy tính cá nhân với phân khúc cấu hình từ thấp tới cao, phục vụ nhiều mục đích cho nhiều nhóm người sử dụng Và hệ điều hành (Operating System) cải máy tính cá nhân dùng phổ biến giới Windows tập đồn cơng nghệ Microsoft Nhưng việc Windows sử dụng phổ biến mà trở thành mục tiêu cho tên tội phạm mạng ln tìm cách để xâm nhập trái phép vào hệ thống để đánh cắp phá hủy liệu người dùng Chính nhóm em chọn chủ đề “tìm hiểu phân tích hệ điều hành windows điều tra tội phạm máy tính” làm đề tài nghiên cứu Hệ điều hành chúng em sử dụng nghiên cứu phần báo cáo Windows Sau thời gian vài tuần thực báo cáo này, nội dung hoàn thành Tuy nhiên thời gian thực báo cáo có hạn nhiều hạn chế mặt kiến thức nên chắn nhóm khơng thể tránh khỏi thiếu sót Vì chúng em mong nhận góp ý từ thầy bạn để báo cáo nhóm chúng em hồn thiện Nhóm chúng em xin chân thành cảm ơn! iv v CHƯƠNG I: TỔNG QUAN VỀ HỆ ĐIỀU HÀNH WINDOWS 1.1 Giới thiệu hệ điều hành Windows Microsoft Windows (hoặc đơn giản Windows) tên hệ điều hành dựa giao diện người dùng đồ hoạ phát triển phân phối Microsoft Nó bao gồm vài dòng hệ điều hành, số phục vụ phần định ngành cơng nghiệp máy tính Phiên hệ điều hành Windows Microsoft mắt vào năm 1985, hệ điều hành có giao diện đồ hoạ hãng này, với tên gọi Windows 1.0 – tên mã nội Interface Manager Tên gọi Windows lựa chọn hệ điều hành Microsoft xoay quanh khung nội dung hình chữ nhật hiển thị hình Trải qua nhiều phiên với nhiều thay đổi, đến hệ điều hành Windows thành công việc chiếm lĩnh thị trường Cho đến nay, trải qua nhiều phiên với nhiều thay đổi, hệ điều hành Windows gặt hái nhiều thành cơng phải kể đến Windows XP, Windows Window Ngoài ra, phiên khác Windows như: Window 98, Windows 2000, Windows Vista, Windows Sever… gần Windows 10 1.2 Ưu điểm hạn chế hệ điều hành Windows Vốn tảng chiếm thị phần sử dụng cao nên khơng có khó hiểu hầu hết nhà sản xuất đầu tư xây dựng phần mềm sản xuất phần cứng hỗ trợ cho hệ điều hành Windows Có thể nói rằng, Windows hỗ trợ đầy đủ ứng dụng người dùng cần nhiều nhiều, vượt trội so với hệ điều hành khác Đơn giản điều, nhà viết ứng dụng muốn nhắm đến thị trường có số người sử dụng đơng đảo Windows Nhưng việc Windows sử dụng phổ biến mà trở thành mục tiêu cho tin tặc công Các phần mềm độc hại, virus,…nhằm vào Windows trở nên phổ biến, nên việc cập nhật thường xuyên vá chương trinh chống virus phải thực CHƯƠNG II: PHÂN TÍCH HỆ ĐIỀU HÀNH WINDOWS TRONG ĐIỀU TRA TỘI PHẠM MÁY TÍNH 2.1 Quy trình điều tra hệ điều hành Windows OS Forensic liên quan tới trình tìm kiếm, xác định phân tích chứng có hệ điều hành tất thiết bị có liên quan trình sử dụng nạn nhân, hay máy nằm phạm vi bị tình nghi có liên quan tới cố bảo mật Hầu hết điều hành thường sử dụng Window, Linux Mac Chúng thường mục tiêu, nguồn hoạt động phạm tội Người điều tra viên cần phải hiểu toàn kiến thức liên quan đến hệ điều hành họ kiểm tra, với việc có lượng kiến thức chuyên sâu việc điều tra hành vi phạm tội Ở phần bàn luận chủ đề trình bày Window Forensics, bao gồm quy trình thực điều tra hệ thống Quy trình điều tra thực theo bước: Hình Quy trình thu thập phân tích thơng tin từ hệ điều hành Windows 2.1.1 Thu thập thông tin liệu tạm thời Việc cần làm thu thập liệu cục liệu thường lưu trữ ghi, nhớ cache, RAM nên chúng thường bị bị xóa hệ thống tắt khởi động lại Các liệu liên tục thay đổi tùy biến nên người điề tra cần thu thập liệu theo thời gian thực tế Việc thu thập thông tin cục giúp cho việc xác định thời gian xảy cố bảo mật Các thông tin bao gồm:  Thời gian hệ thống (System Time)  Các tài khoản đăng nhập vào hệ thống (Logged-on Users)  Thông tin mạng (Network Information)  Các file mở (Open Files)  Các kết nối mạng (Network Connection)  Trạng thái mạng (Network Status)  Thông tin tiến trình hoạt động (Process Information)  Bộ nhớ tiến trình (Process Memory)  Các thư mục chia sẻ (Shares)  Nội dung clipboard (Clipboard Content)  Thông tin dịch vụ, driver (Service/Driver Information)  Lịch sử câu lệnh (Command History) Người điều tra viên tuân theo nguyên tắc thu thập nội dung RAM thời điểm điều tra, điều giảm thiểu tác động tới việc ảnh hưởng đến toàn vẹn tới nội dung RAM 2.1.1.1 System Time-Thời gian hệ thống Việc điều tra cố thu thập thông tin liên quan đến thời gian hệ thống Thời gian hệ thống đưa xác ngày , ... II: PHÂN TÍCH HỆ ĐIỀU HÀNH WINDOWS TRONG ĐIỀU TRA TỘI PHẠM MÁY TÍNH 2.1 Quy trình điều tra hệ điều hành Windows OS Forensic liên quan tới trình tìm kiếm, xác định phân tích chứng có hệ điều hành. .. QUAN VỀ HỆ ĐIỀU HÀNH WINDOWS .1 1.1 Giới thiệu hệ điều hành Windows 1.2 Ưu điểm hạn chế hệ điều hành Windows CHƯƠNG II: PHÂN TÍCH HỆ ĐIỀU HÀNH WINDOWS TRONG ĐIỀU TRA TỘI PHẠM... phạm mạng ln tìm cách để xâm nhập trái phép vào hệ thống để đánh cắp phá hủy liệu người dùng Chính nhóm em chọn chủ đề ? ?tìm hiểu phân tích hệ điều hành windows điều tra tội phạm máy tính? ?? làm đề