Bài giảng Pháp chứng kỹ thuật số - Bài 5: Điều tra pháp chứng trên hệ điều hành máy tính cung cấp cho người học các kiến thức: Tại sao cần phải điều tra hệ điều hành của máy tính, hệ điều hành Windows, điều tra quá trình hoạt động của Windows,... Mời các bạn cùng tham khảo nội dung chi tiết.
PHÁP CHỨNG KỸ THUẬT SỐ Bài 5: Điều tra pháp chứng trên hệ điều hành máy tính Giảng viên: TS. Đàm Quang Hồng Hải Tại sao cần phải điều tra hệ điều hành của máy tính • • • • Hệ điều hành là phần mềm chạy trên máy tính, dùng để điều hành, quản lý các thiết bị phần cứng và các tài ngun phần mềm trên máy tính Các thơng tin sử dụng máy tính sẽ được ghi nhận bởi hệ điều hành và Pháp chứng viên cần phải tìm hiểu Pháp chứng viên cần có hiểu biết về các Hệ điều hành trên máy tính để khi điều tra có thể tìm kiếm các bằng chứng có liên quan Một số hệ điều hành thơng dụng cài đặt trên máy tính như: Windows, Linux, Mac OS Phân lọai dữ liệu điện tử trên máy tính • • Dữ liệu điện tử ổn định là dữ liệu điện tử sẽ khơng bị mất đi khi tắt thiết bị số chứa nó, ví dụ của dữ liệu điện tử ổn định là dữ liệu được lưu trữ trên ổ đĩa cứng của máy tính hay trên thẻ nhớ USB Dữ liệu điện tử khơng ổn định là dữ liệu điện tử sẽ bị mất đi khi tắt thiết bị số chứa nó, ví dụ như dữ liệu trong bộ nhớ RAM. Việc tắt nguồn máy tính có thể sẽ làm mất nên thực hiện memory dumb là việc cần thiết trong nhiều trường hợp Hệ điều hành Windows • • • • Windows là một họ các hệ điều hành rất thơng dụng trên thế giới Các hệ thống Windows cung cấp một số lượng lớn các thơng tin có thể cần thiết cho cơng tác điều tra Các hệ điều hành Windows thơng dụng bao gồm: • Windows 3.1 • Windows 95/98/Vista/XP/7/8 • Windows NT, Server 2003,2008 … Được sử dụng cho cả máy tính cá nhân lẫn trên máy chủ Các hệ điều hành windows Điều tra q trình hoạt động của Windows • • Nếu Pháp chứng viên có quyền truy cập vào máy tính của người bị tình nghi hoặc máy tính quan tâm, Pháp chứng viên có thể tìm thấy thơng tin hoạt động của hệ thống Trên máy tính cài Windows, Pháp chứng viên có thể chạy cơng cụ Event Viewer xem q trình hoạt động của hệ điều hành Cơng cụ Event Viewer • • Event viewer là một cơng cụ tích hợp trong Windows cho phép xem lại các sự kiện đã xảy ra trong hệ thống một cách chi tiết với nhiều tham số cụ thể như: user, time, computer, services… Mỗi khi Windows khởi chạy, hệ điều hành sẽ bắt đầu ghi lại các hoạt động (event) diễn ra bên trong hệ thống Các sự kiện rời rạc được lọc lại thành những sự kiện giống nhau giúp chúng ta lấy được những thơng tin cần thiết một cách nhanh nhất. Cơng cụ này là một phương tiện hiệu quả giúp Pháp chứng viên khám phá những gì đang xảy ra ở "hậu trường" của hệ điều hành Chọn xem Event theo phân loại Một số dữ liệu số quan trọng khi điều tra trong Microsoft Windows • • • • • • Recycle bin Internet activity INDEX.DAT files Tập tin chứa cookies Shortcut files (.LINK) Thumbnails (THUMBS.DB) Printer spooler Recycle bin • • Khi người dùng xóa một tập tin bằng cách bình thường, tập tin bị xóa sẽ được đưa vào Reclycle Bin Dữ liệu trong Recycle bin chứa trong thư mục $Recycle.Bin trong mỗi phân vùng NTFS Thư mục /tmp (temp) • • • /tmp được gọi là “bãi rác ảo” của hệ thống Linux Nó thường được dùng cho các tập tin tạm thời của một user cụ thể. Tất cả người dùng có thể ghi dữ liệu ở thư mục này => Là tiền đề cho kẻ tấn cơng đặt dữ liệu vào hệ thống trong khi hầu hết người dùng khơng bao giờ kiểm tra sự tồn tại các tập tin xấu trong thư mục này 55 Mật khẩu người dùng trong Linux • • • • Thông tin liên quan đến tài khoản người dùng nằm trong file “/etc/passwd”. Tập tin passwd chứa một danh sách người dùng và đường dẫn đầy đủ cho thư mục chứa các tập tin cá nhân của họ Nguy cơ bảo mật khá lớn từ file passwd là tất cả người dùng trên hệ thống đều có thể đọc được Tập tin /etc/passwd thường là tập tin khá dài, ngay cả trên một hệ thống sử dụng độc lập 56 Tập tin /etc/passwd • Một dòng điển hình trong file “/etc/passwd”: forensics:x:500:500::/home/forensics:/bin/bash § Username : forensics § Hash password : x § Id của người dùng : 500 § Id group của người dùng : 500 § Tên đầy đủ của người sử dụng : (để trống) § Đường dẫn chính của thư mục người dùng: /home/forensics § Chương trình chạy lúc đăng nhập ban đầu (thường là shell mặc định của người dùng) : /bin/bash 57 Tập tin /etc/shadow Hash password của các tài khoản người dùng thường được lưu trữ trong file “/etc/shadow” để giới hạn phạm vi tấn công cục bộ root:$1$gsGAI2/j$jWMnLc0zHFtlBDveRqw3i/:139:0:99999:7::: § Username : root § Mật khẩu đã được mã hóa: bơi đỏ § Số ngày mật khẩu thay đổi lần cuối: 139 § Ngày tối thiểu thay đổi mật khẩu: 0 § Slnnhpmtkhutia:9999 Đ Sngycnhbỏohthnngisdng:9 Đ Ngyhthntuyti:7 Đ Dtrdựngtrongtnglai 58 ThmcHomevLogfiles • • Trên môi trường GNOME, các thư mục mặc định của người dùng là : Desktop, Documents, Downloads, Music, Pictures, Public, Templates, Video Ngoài ra: Thư mục ssh chứa các tập tin liên quan tới việc sử dụng Secure Shell (ssh) của người dùng. Khi người dùng kết nối ssh với một máy chủ từ xa bằng tên máy hoặc địa chỉ IP và khóa cơng khai thì được ghi nhận vào file .ssh/known_hosts 59 Thư mục Home • • • • • • • • Desktop: – Các thư mục nằm trên Desktop của người dùng Documents: – Chứa các file tài liệu văn bản, bảng tính, thuyết trình và các file tương tự Downloads: – Các tập tin tải về từ máy chủ từ xa Music: – Vị trí mặc định lưu các file nhạc Pictures: – Vị trí mặc định lưu các file hình ảnh Public: –Tập tin được chia sẻ với những người khác Templates: – Giữ các mẫu tài liệu Videos: – Vị trí mặc định cho video 60 Thư mục Home • • Ngồi các thư mục “useraccessible” còn có các tập tin và các thư mục ẩn. Một số có thể chứa dữ liệu pháp lý (được tự động tạo ra hoặc là do hành động của người dùng) Khi một tài khoản người dùng bị xóa khỏi hệ thống Unix, các thư mục, tập tin lưu vết có thể còn sót lại. Khi đó tìm kiếm trong các thư mục bổ sung trong thư mục “/home” có thể còn chứa dữ liệu người dùng cũ 61 Thư mục Home • Thư mục ẩn “.gconf” chứa các tập tin cấu hình ứng dụng GNOME khác nhau theo cấu trúc thư mục • Điển hình là thư mục “.gconf/apps/nautilus/desktop metadata/,” chứa các thư mục con cho bất kỳ phương triện truyền thơng nào xử lý bởi GNOME qua các tập tin “%gconf.xml” 62 Bản ghi (Log Files) • • • Được lưu trữ tại thư mục: “/var/log” Thường được lưu trữ trong văn bản rõ ràng, với 1 dòng cho mỗi sự kiện Bao gồm 2 kiểu chính: + Các bản ghi được tạo ra bởi người sử dụng hoặc do các hoạt động theo dõi + Các bản ghi được tạo ra bởi hoạt động hệ thống 63 Bản ghi (Log Files) • Thơng tin phân tích đăng nhập của người dùng trên hệ thống Linux được lưu trữ trong 3 tập tin chính: + “/var/run/utmp,” + “/var/log/wtmp,” + “/var/log/lastlog.” • • Ngồi ra còn có Syslog, hoạt động trên mơ hình client server, cho phép sự kiện được ghi lại để điều khiển từ xa. Syslog được truyền qua giao thức UDP (các nguồn tin khơng được xác thực và khơng tin cậy), có thể giúp cho kẻ tấn cơng giả mạo tin nhắn từ xa vào Syslog 64 /var/run/wtmp /var/log/wtmp /var/log/lastlog Cơ chế lập lịch (Scheduling Tasks) Hệ thống Linux có 2 cơ chế chính để lên lịch cho một cơng việc thực thi trong tương lai: Tại một thời điểm: Chạy nhiệm vụ 1 lần, tại 1 thời điểm cụ thể trong tương lai • Định kỳ: Thực hiện lặp đi lặp lại quy trình theo chu kỳ (hàng giờ, ngày, tháng,…) • 67 Cơ chế lập lịch (Scheduling Tasks) Bất kỳ hoạt động dự kiến nào được người dùng chọn sẽ được tìm thấy trong “/var/spool/cron,”. Và có thể xem các tiến trình định kỳ qua các thư mục tương ứng như: “/etc/cron.daily,” • “/etc/cron.weekly,” “/etc/cron.monthly.” • Có thể nói đây cũng là đích nhắm của nhiều kẻ tấn cơng vì có thể lợi dụng cơ chế này để tấn công, duy trì hoạt động của hệ thống sau khi đã bị xâm nhập 68 Hết bài 5 ... Các thơng tin sử dụng máy tính sẽ được ghi nhận bởi hệ điều hành và Pháp chứng viên cần phải tìm hiểu Pháp chứng viên cần có hiểu biết về các Hệ điều hành trên máy tính để khi điều tra có thể tìm kiếm các bằng chứng có liên quan Một số hệ điều hành thơng dụng cài đặt trên máy tính ... trong các file THUMBS.DB và từ các file THUMBS.DB, Pháp chứng viên có thể biết được hình ảnh mà thường ngày của đối tượng hay truy cập và qua đó có thể tìm ra các bằng chứng kỹ thuật số có liên quan đến vụ án... Nếu Pháp chứng viên có quyền truy cập vào máy tính của người bị tình nghi hoặc máy tính quan tâm, Pháp chứng viên có thể tìm thấy thơng tin hoạt động của hệ thống Trên máy tính cài Windows, Pháp chứng viên có thể chạy cơng cụ Event Viewer xem q trình hoạt động của hệ