PHÁP CHỨNG KỸ THUẬT SỐ Bài 3: Điều tra hệ điều hành trên máy tính Giảng viên: TS. Đàm Quang Hồng Hải Tại sao cần phải điều tra hệ điều hành của máy tính • Hệ điều hành là phần mềm chạy trên máy tính, dùng để điều hành, quản lý các thiết bị phần cứng và các tài nguyên phần mềm trên máy tính. • Các thông tin sử dụng máy tính sẽ được ghi nhận bởi hệ điều hành và điều tra viên cần phải tìm hiểu. • Điều tra viên cần có hiểu biết về các Hệ điều hành trên máy tính để khi điều tra có thể tìm kiếm các bằng chứng có liên quan. • Một số hệ điều hành thông dụng cài đặt trên máy tính như: Windows, Linux, Mac OS Hệ điều hành Windows • Windows là một họ các hệ điều hành rất thông dụng trên thế giới . • Các hệ thống Windows cung cấp một số lượng lớn các thông tin có thể cần thiết cho công tác điều tra. • Các hệ điều hành Windows thông dụng bao gồm: • Windows 3.1 • Windows 95/98/Vista/XP/7/8 • Windows NT, Server 2003,2008 … • Được sử dụng cho cả máy tính cá nhân lẫn trên máy chủ. Filesystem trong Windows • Windows hỗ trợ hai hệ thống tập tin chính: FAT và NTFS. • FAT16 là File system có t lâu, t thi MS-DOS và nhng phiên bản đầu tiên của Windows như Windows 3.1. • FAT32 xuất hiện cng với bản Windows 95 OEM Service Release 2 (OSR2), có không gian địa ch 32 bit. • NTFS (New Technology File System), là hệ thống tập tin tiêu chuẩn của Windows NT, bao gồm cả các phiên bản sau này của Windows. Registry trong Windows • Registry là một hệ thống thông tin liên quan máy tính trong hệ điều hành Windows • Registry lưu tất cả các thông tin về phần cứng, phần mềm, nhng lựa chọn của ngưi dng • Điều tra viên kiểm tra được nội dung của Registry là yêu cầu tất yếu để biết đối tượng sử dụng máy tính của mình ra sao. • Con ngưi có có thể nói dối nhưng Registry thì không nói dối. Registry là gì • Registry là một cơ sở d liệu dng để lưu tr mọi thông số kỹ thuật của Hệ điều hành Windows. • Khi một phần cứng hoặc phần mềm mới được cài đặt trong Windows, nó sẽ lưu tr cấu hình vào trong registry. • Windows đọc các cấu hình trong registry và biết được trình điều khiển nào cần được tải, cài đặt nào cần được áp dụng, và nguồn lực nào cần được phân bổ để thiết bị có thể làm việc. • Registry ghi nhận tất cả các thông tin khi có thay đổi hoặc chnh sửa trong Menu Settings, Control Panel. • Có thể sử dụng các phần mềm như Regedit, Reg, Forensic Registry EDitor Forensic Registry EDitor Forensic Registry Editor là phần mềm mã nguồn mở được viết bởi Daniel Gillen trên Linux, Windows cho phép xem và tìm kiếm chứng cớ số trên các vng ẩn chức Registry Nguồn gốc của Registry • Trước khi có Windows Registry: (DOS, Windows 3.x), thông tin Hệ điều hành chứa trong các tập tin INI. • SYSTEM.INI - Tập tin này kiểm soát tất cả các phần cứng trên hệ thống máy tính. WIN.INI - Tập tin này kiểm soát tất cả các màn hình và các ứng dụng trên hệ thống. • Các ứng dụng khác sử dụng các tập tin INI riêng được liên kết với WIN.INI. • T Windows 9x/NT 3.5 đã đưa ra hệ thống Registry quản lý trên các tập tin System.dat, và User.dat. Thông tin thu thập t Registry • Cấu hình hệ thống • Thiết bị trên hệ thống • Tên ngưi dng • Thiết lập cá nhân và Tuỳ chọn cho trình duyệt • Hoạt động duyệt web • Các file được mở • Các chương trình được thực hiện • Các mật khẩu Windows 9x Filename Location Content system.dat C:\Windows File bảo mật lưu trữ tất cả người dùng. Tất cả các chương trình cài đặt và thiết lập Thiết lập hệ thống user.dat Nếu có nhiều người dùng, mỗi người dùng có một tập tin user.dat cá nhân windows\profiles\user account C:\Windows Tập tin chứa thông tin sử dụng mới nhất Cài đặt ưu tiên của người sử dụng [...]... tin về thời gian của hệ thống • Thông tin như Timezone trên máy của đối tượng cũng là các thông tin mang lại các đầu mối hữu ích Hệ điều hành Linux • Phiên bản hệ điều hành Linux 1.0 đầu tiên do Linus Torvalds viết vào năm 1994 tại Đại học Helsinki tại Phần Lan Hệ điều hành Linux được phát triển và tung ra trên thị trường dưới bản quyền GNU General Public License • Hệ điều hành Linux hiện có các... nguồn mở trên khắp thế giới • Linux hiên sử dụng rộng rãi trên các Server và trên máy tính cá nhân với khá nhiều phần mềm hỗ trợ phong phú Hệ thống tập tin trong Linux • Các hệ thống Linux hiện nay phần lớn sử dụng hệ thống tập tin Ext3 kế thừa từ Ext2 (mới nhất Ext4) • Bên cạch Ext, còn có các hệ thống Linux khác: • ReiserFS (Namesys): không còn sử dụng phổ biến • XFS (Silicon Graphics ): hệ thống... IRIX xử lý các tập tin rất lớn và thông lượng rất cao • JFS (IBM): cho hệ điều hành AIX ,hạt nhân Linux • YAFFS2 và JFFS2 là hệ thống tập tin được thiết kế để sử dụng trên flash và lưu trữ nhúng 25 Các thành phần của hệ thống tập tin • Super Block: là một cấu trúc được tạo tại vị trí bắt đầu hệ thống tập tin Nó lưu trữ thông tin về hệ thống tập tin như: block-size, free block, thời gian gắn kết (mount)... trình điều khiển thiết bị và module hệ thống tập tin • Kernel nạp hệ thống phần cứng Sau đó, kernel nạp hệ điều hành và bắt đầu tiến trình /sbin/init • Khi init khởi động, có 2 cách khởi động để hoàn tất quá trình khởi động: System V và BSD 33 System V • Cách khởi động phổ biến nhất của Linux • Đọc file /etc/inittab để xác định run level • Run level (1,2,3,5): mô tả các nhiệm vụ/ công cụ mà máy tính. .. tin thiết bị :Hệ thống Unix và Linux xem các thiết bị như là các tập tin • Ra vào dữ liệu trên các tập tin này chính là ra vào dữ liệu cho thiết bị • Ví dụ khi chúng ta muốn chép dữ liệu ra ổ đĩa A: thì sẽ chép vào tập tin /dev/fd0 hoặc khi chúng ta thực hiện việc in thì dữ liệu vào máy in được đưa vào tập tin tương ứng cho máy in 28 Đơn vị dữ liệu - Data unit • Đơn vị dữ liệu trong hệ thống tập... Kiểu chuỗi thông thường Điều tra trong Registry • Các Registry Keys lưu thời gian biến đổi cuối cùng (modified time-stamp) • Các time-stamp phải sửa dưới dạng Binary • Thu thập các thông tin liên quan đến địa chỉ Website • Thu thập các thông tin liên quan đến người dùng – đặc biệt là các user dùng để chat trong Yahoo Messenger, ICQ, Các địa chỉ Websites Websites Điều tra trong Yahoo messenger... tính sẽ thực hiện • VD: Level 3 sẽ cung cấp một môi trường giao diện điều khiển, trong khi level 5 sẽ xuất ra một môi trường đồ họa • Kẻ xâm nhập có thể tạo một script để duy trì liên tục truy cập vào một hệ thống bị xâm nhập Ta nên xem sét cẩn thận tất cả các kịch bản tham gia vào quá trình khởi động được trong các cuộc điều tra xâm nhập 34 System V • Mỗi mục runlevel thực sự là một liên kết mềm... liệu vào file, các thông tin điều khiển truy nhập • (M)odified: Là thời gian cập nhật các nội dung của tập tin hoặc thư mục được sửa đổi • (A)ccessed: Được cập nhật khi các nội dung của tập tin hoặc thư mục được đọc • (C)hanged: Mốc thời gian khi dữ liệu được chỉnh sửa • (D)eleted: Cập nhật khi tập tin bị xóa 30 Công cụ nhật ký - Journal Tools • Là thành phần chỉ có trên Ext3 mà Ext2 không có •... Là thành phần chỉ có trên Ext3 mà Ext2 không có • Nhiệm vụ chính là ghi lại thay đổi metadata trên mỗi block được đánh thứ tự (sequence number) • Journal bắt đầu với một block mô tả, sau đó tới 1 hay nhiều block dữ liệu, cuối cùng là block xác nhận kết thúc (commit) 31 Quản lý phân vùng trên Linux • Một hệ thống Linux có 1 hoặc nhiều phân vùng được quản lý bởi LVM (Logical volume Manager), được xác... và thư mục được tạo ra trong hệ thống tập tin • Storageblock: Là vùng lưu dữ liệu thực sự của tập tin và thư mục Nó chia thành những Data Block Mỗi block thường chứa 1024 byte Ngay khi tập tin chỉ có 1 ký tự thì cũng phải cấp phát 1 block để lưu nó 26 Các loại tập tin trong Linux • Tập tin dữ liệu: Đây là tập tin theo định nghĩa truyền thống, nó là dữ liệu lưu trữ trên các thiết bị lưu trữ như . SYSTEM : system32configsystem • HKEY_LOCAL_MACHINE SAM : system32configsam • HKEY_LOCAL_MACHINE SECURITY : system32configsecurity • HKEY_LOCAL_MACHINE SOFTWARE : system32configsoftware •. Windowssystem32config Các thiết lập hệ thống chuẩn (System settings) SAM Windowssystem32config Quản lý tài khoản người dùng và thiết lập bảo mật Security Windowssystem32config Thiết. nhng phiên bản đầu tiên của Windows như Windows 3. 1. • FAT32 xuất hiện cng với bản Windows 95 OEM Service Release 2 (OSR2), có không gian địa ch 32 bit. • NTFS (New Technology File System),