BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ PHÒNG CHỐNG VÀ ĐIỀU TRA TỘI PHẠM MÁY TÍNH Đề tài Tìm hiểu kỹ thuật phân tích điều tra hệ điều hành Macintosh Sinh viên thực hiện: - Nguyễn Duy Luận Lại Quốc Long Thái Xuân Phương Lê Duy Kỳ Trần Tuấn Anh Phạm Thị Yến Hà Nội, 2020 NỘI DUNG CHƯƠNG I: GIỚI THIỆU CHUNG VỀ ĐIỀU TRA SỐ Khái niệm 2 Mục đích ứng dụng 3 Các bước thực điều tra Các loại hình điều tra số CHƯƠNG II: PHÂN TÍCH ĐIỀU TRA SỐ TRÊN HỆ ĐIỀU HÀNH MACINTOSH Giới thiệu Các kỹ thuật điều tra số máy tính Đôi nét hệ điều hành Macintosh 11 Chuẩn bị cho việc phân tích điều tra số Macintosh 12 Các bước phân tích điều tra số hệ điều hành Macintosh 15 Các trường hợp cần phân tích điều tra số hệ điều hành Macintosh 20 NHÓM Một vài ví dụ nhỏ phân tích điều tra số hệ điều hành Macintosh 20 a) Phiên hệ thống 20 b) Thư mục, tệp tin: 21 c) Nhật ký ứng dụng 21 d) Trình duyệt safari 22 e) Apple Mail .26 f) Tệp nhật ký .27 g) Lịch sử Bluetooth 27 h) Chia sẻ file .27 i) Các mục gần .27 j) Firefox 28 k) Ưu tiên người sử dụng 28 Tài liệu tham khảo .29 Trang | CHƯƠNG I: GIỚI THIỆU CHUNG VỀ ĐIỀU TRA SỐ Khái niệm Digital Forensics (điều tra số) nhánh ngành khoa học điều tra đề cập đến việc sử dụng phương pháp, công cụ kỹ thuật khoa học chứng minh để thu thập, bảo quản, phân tích, lập báo cáo trình bày lại thông tin thực tế từ nguồn liệu số với mục đích tạo điều kiện thúc đẩy việc tái lại kiện nhằm tìm hành vi phạm tội hay hỗ trợ cho việc dự đoán hoạt động trái phép cố ý xâm nhập, cơng gây gián đoạn q trình làm việc hệ thống Mục đích ứng dụng NHĨM Mục đích quan trọng điều tra số thu thập, phân tích tìm chứng thuyết phục vấn đề cần sáng tỏ Điều tra số có ứng dụng quan trọng khoa học điều tra cụ thể Về mặt kỹ thuật điều tra số giúp xác định xảy làm ảnh hưởng tới hệ thống đồng thời qua phát nguyên nhân hệ thống bị xâm nhập, hành vi, nguồn gốc vi phạm xảy hệ thống Về mặt pháp lý điều tra số giúp cho quan điều tra tố giác tội phạm cơng nghệ cao có chứng số thuyết phục để áp dụng chế tài xử phạt với hành vi phạm pháp Các bước thực điều tra Trang | Một điều tra số thường bao gồm gian đoạn: Chuẩn bị (Preparation), tiếp nhận liệu hay cịn gọi ảnh hóa tang vật (Acquisition), phân tích (analysis) lập báo cáo (Reporting) Preparation: Bước thực việc mơ tả lại thơng tin hệ thống, xảy ra, dấu hiệu, để xác định phạm vi điều tra, mục đích tài nguyên cần thiết sử dụng suốt trình điều tra - Kiểm tra xác minh:  Khi bắt đầu trình điều tra nhiệm vụ đầu tiên, Ở giai đoạn việc kiểm tra xác minh cung cấp nhìn bao qt thơng tin liên quan đến hệ thống bị công, thông tin hạ tầng mạng, chế bảo vệ thệ thống đó, ứng dụng ngăn chặn virus hệ thống, thiết bị mạng (tường lửa, IDS, router…) triển khai - Mô tả hệ thống:  Sau hoàn thành nhiệm vụ kiểm tra xác minh NHĨM tiến hành mơ tả chi tiết thông tin hệ thống thời gian hệ thống bị công, đặc điểm phần cứng, hệ điều hành sử dụng, phần mềm cài hệ thống, danh sách người dùng nhiều thông tin hữu ích khác liên quan tới hệ thống Một phần liệu lấy khỏi hệ thống việc sử dụng phần mềm phục vụ cho trình điều tra, việc điều tra thực hệ thống xem mục tiêu cơng được, hệ thống cài đặt phần mềm độc hại… Acquisition: Đây bước tạo xác sector hay cịn gọi nhân điều tra phương tiện truyền thông, xác định rõ nguồn chứng sau thu thập bảo vệ tính tồn vẹn chứng việc sử dụng hàm băm mật mã - Giai đoạn quan trọng cho q trình phân tích, điều tra hệ thống máy tính bị cơng Tất thơng tin máy tính có sẵn phải đưa vào mơi trường Trang | điều tra an tồn để thực cơng việc điều tra, phân tích, việc làm quan trọng phải đảm bảo chứng thu ban đầu cần phải đảm bảo tính tồn vẹn.Tất liệu thu từ hệ thống (bộ nhớ, tiến trình, kết nối mạng, phân vùng đĩa…) phải ghi lại ký mã thuật toán MD5 SHA1 để đảm bảo tính tồn vẹn chứng cứ, trước bắt đầu điều tra người thực nhiệm vụ phân tích điều tra kiểm tra độ tin cậy chứng dựa vào thông tin mà chuỗi MD5 hay SHA1 cung cấp Nhằm tránh việc gian lận cài đặt, làm giả chứng cứ  đánh lạc hướng điều tra Analysis: Đây giai đoạn chuyên gia sử dụng phương pháp nghiệp vụ, kỹ thuật công cụ khác để trích xuất, thu thập phân tích chứng thu Thiết lập mốc thời gian phân tích: Sau thu thập xong chứng tất liệu cách ly NHĨM mơi trường điều tra an toàn nhiệm vụ q trình thực phân tích thiết lập tập tin thời gian Việc thiết lập tập tin thời gian giúp người thực công việc điều tra theo dõi lại hoạt động hệ thống (hiển thị thời gian cuối mà tập tin thực thi chạy, tập tin thư mục tạo/xóa thời gian qua qua giúp người điều tra hình dung, đốn diện kịch hoạt động) Phân tích phương tiện truyền liệu hệ điêu hành:Từ kết thu việc phân tích thời gian, tiến hành bắt đầu phân tích phương tiện truyền thơng để tìm kiếm đầu mối phía sau hệ thống bị thỏa hiêp Bộ cơng cụ có sẵn để phục vụ cho việc phân tích phụ thuộc vào số nhân  tố như:  Nền tảng phần mềm sử dụng máy tính phục vụ điều tra  Nền tảng phần mềm sử dụng hệ thống mục tiêu việc phân tích  Mơi trường phân tích Trang | Trong giai đoạn này, việc phân tích để kiểm tra kỹ lớp phương tiện truyền thông (vật lý, liệu, siêu liệu, hệ thống tập tin tên tập tin…) để tìm kiếm chứng việc cài đặt tập tin nghi ngờ, thư mục thêm vào/gỡ bỏ - Tìm kiếm chuỗi:  Với thu thập được, người phân tích bắt đầu tìm kiếm chuỗi cụ thể chứa bên tập tin để tìm kiếm thơng tin hữu ích địa IP, địa Email… để từ truy tìm dấu vết cơng - Khơi phục liệu:  Sau thực xong giai đoạn phân tích phương tiện truyền thơng, chun viên điều tra hồn tồn tìm kiếm liệu từ chứng ghi lại trích xuất liệu chưa phân bổ ngăn xếp, sau phục hồi lại tập tin bị xóa Tìm kiếm khơng gian trống (trong mơi trường windows) tìm khơng gian chưa phân bố liệu khám phá nhiều tập tin phân mảnh, đầu mối hành động xóa tập tin, thời gian xóa… Việc NHĨM nắm bắt thời gian tập tin bị xóa thông tin quan trọng liên quan đến hoạt động công xảy hệ thống (ví dụ xóa ghi liên quan đến q trình thâm nhập hệ thống) Reporting: Sau thu thập chứng có giá trị có tính thuyết phục tất phải tài liệu hóa lại rõ ràng, chi tiết báo cáo lại cho phận có trách nhiệm xử lý chứng thu được, chuyên gia phân tích phải đưa kỹ thuật điều tra, công nghệ, phương thức sử dụng, chứng thu được, tất phải giải thích rõ ràng báo cáo trình điều tra Các loại hình điều tra số - Điều tra máy tính (Computer Forensics) - Điều tra mạng (network forensic) Trang | - Điều tra thiết bị di động (Mobile device Forensics) - … NHÓM Trang | CHƯƠNG II: PHÂN TÍCH ĐIỀU TRA SỐ TRÊN HỆ ĐIỀU HÀNH MACINTOSH Giới thiệu Phân tích điều tra số máy tính phương pháp nghiên cứu thu thập chứng kỹ thuật số theo cách đảm bảo tính tồn vẹn liệu Việc thực phân tích thường thuộc sĩ quan cảnh sát với nhiệm vụ thu thập chứng có giá trị tội phạm Tuy nhiên, quản trị viên hệ thống chuyên gia bảo mật yêu cầu tham gia vào chức họ nghi ngờ giả mạo hệ thống họ Thực phân tích thích hợp cách sử dụng phương pháp điều tra số lành mạnh chấp nhận tòa án luật, mở khả theo đuổi hành động hình dân thủ phạm Mục đích báo mơ tả kỹ thuật NHÓM điều tra số liên quan đến Macintosh Để hoàn thành nhiệm vụ này, trước tiên phải hiểu kỹ thuật điều tra số áp dụng cho tất hệ thống máy tính Sau đó, ta tìm hiểu lịch sử ngắn gọn kiểu máy Macintosh hệ điều hành Macintosh khác nhau, kiểu máy có số vấn đề thú vị Sau ta tiếp tục với đại cương cụ thể cách thực phân tích cách thích hợp hệ thống Macintosh cách sử dụng hệ điều hành MacOS X làm máy phân tích Các kỹ thuật điều tra số máy tính Để chứng chấp nhận trước tòa án pháp luật, điều quan trọng khơng sửa đổi theo cách Đây quy tắc áp dụng cho tất loại chứng Nếu có Trang | súng sử dụng vụ phạm tội, việc sửa đổi chất vật lý dạng chứng tương đối khó khăn Tuy nhiên, chứng máy tính dễ bị sửa đổi Trên thực tế, phức tạp tuyệt đối hệ thống máy tính, người ta thường chí khơng nhận liệu ổ cứng bị thay đổi Ví dụ: hệ thống windows, khởi động máy tính, ngày truy cập lần cuối sửa đổi Tương tự hệ thống Macintosh cố gắng gắn kết tất thiết bị mà tìm thấy khởi động, điều làm thay đổi ngày truy cập cuối số tệp định Cách an toàn để ngăn chặn sửa đổi liệu tạo “mirror image”(bản sao) ổ cứng ta muốn kiểm tra, sau thực phân tích Bằng cách này, ổ đĩa gốc không bị sửa đổi Có nhiều cách để thực việc này, trình bày kỹ phần sau báo cáo Sau ta có “mirror image”, ta tự bắt đầu phân tích mà khơng sợ thay đổi liệu gốc (rõ ràng liệu gốc giữ nguyên vẹn nơi an tồn mà người có quyền truy cập Những liệu làm chứng trước tịa khơng sửa đổi NHĨM theo cách nào) Điều quan trọng tất hành động phải ghi lại đầy đủ Ta bắt đầu việc phân tích cách lộn xộn, lung tung ta nghĩ không tìm thấy điều Nếu ta tìm thấy thứ gọi cảnh sát, ta thông báo họ sử dụng chứng bị nhiễm độc, kiểm sốt khơng trì ghi lại Để cảnh sát sử dụng chứng, họ phải theo dõi hoạt động Tất người tiếp xúc với chứng yêu cầu làm chứng trước tòa phải mơ tả lại hành động Nếu ta khơng kiểm sốt việc tiếp cận chứng, khơng ghi lại hành động ta cách rõ ràng, việc ta phát “smoking gun”(bằng chứng hiển nhiên) vơ ích Trang | Khi ta bắt đầu phân tích máy tính khả nghi, điều quan trọng ta phải biết nơi ta tìm thấy chứng ổ cứng Có ba khu vực ổ cứng mà chứng phát hiện: tệp hoạt động, không gian chưa phân bổ khơng gian chùng(slack space) (có khu vực khác, chẳng hạn HPA- Host Protected Area, địi hỏi người dùng phải có hiểu biết nâng cao để sử dụng ngồi phạm vi báo cáo này) Các tệp hoạt động tệp hiện đang được sử dụng hoặc là có sẵn để sử dụng., cần lưu ý số tệp bị ẩn Không gian chưa phân bổ không gian không phân bổ cho tệp hệ thống tệp Không gian chùng( slack space) phần đĩa dư file không sử dụng hết dung lượng Nếu ta định khởi động máy tính “miror image” ổ cứng, ta gặp phải nhiều vấn đề Trước hết, ta khởi động, tệp khác bị sửa đổi, ta chứng có giá trị nằm khơng gian chùng không phân bổ Thứ hai, trừ ta kết NHÓM nối thiết bị khác đến hệ thống, công cụ ta bị giới hạn đâu ổ đĩa bị tình nghi Khởi động hệ thống với thực vào cuối q trình phân tích ta muốn xem xác hệ thống đối tượng trơng mơi trường gốc Nếu ta làm điều này, ta nên đặt vào máy tính tình nghi(tất nhiên ngắt kết nối với ổ cứng tình nghi) để khởi động, tất “driver” cài đặt sẵn khớp với phần cứng Phương pháp khuyến nghị để thực phân tích sử dụng máy tính khác để phân tích điều tra Về bản, ta khởi động máy tính phân tích (sử dụng hệ điều hành ta tin cậy) với từ ổ cứng kết nối Máy tính phân tích loại máy tính chạy loại hệ điều hành Yêu cầu công cụ (phần mềm) điều tra số phải tương thích với định dạng tệp Thơng thường ta nên sử dụng máy phân tích sử dụng hệ điều Trang | 10 a) Ghi lại hành động ta tất chi tiết thích hợp máy tính tình nghi Điều bao gồm lưu ý lý ta cần thực phân tích máy tính đó, loại máy tính tất thành phần nó, tên người truy cập vào máy tính vị trí thực tế cụ thể b) Tạo “image” ổ cứng nghi ngờ Điều thực cách tháo ổ cứng khỏi máy tính bị nghi ngờ kết nối với cáp firewire Cắm cáp firewire vào máy phân tích ta bật nguồn Tại hình đa khởi động, đảm bảo ta chọn phân vùng khởi động điều tra số Nếu ta vơ tình chọn ổ đĩa tình nghi, ta sửa đổi liệu đó, cẩn thận điểm này! Khi hệ thống điều tra số ta khởi động, đăng nhập với quyền root Ta thấy ổ đĩa góc bên phải hình; hệ thống điều tra số ta Nhớ lại ta tắt autodiskmount.Vì phân vùng ổ cứng nghi ngờ không NHĨM mount nên chúng khơng sửa đổi theo cách Tại thời điểm này, ta muốn mở cửa sổ terminal (MacOSX:Applications:Utilities:Terminal) Bây ta dòng lệnh kiểu Unix Gõ lệnh “pdisk”, “L” Thao tác cung cấp cho ta danh sách tất ổ đĩa kết nối với hệ thống Ta cần xác định số phân vùng gán cho ổ cứng nghi ngờ Điều quan trọng ta phải làm quen với hệ thống để phân biệt với hệ thống máy tính đáng nghi (ví dụ: tên phân vùng nhất, số phân vùng, kích thước phân vùng, kích thước ổ đĩa, v.v.) Giả sử ổ đĩa nghi ngờ “rdisk1”, sau ta cần ghi số vào ghi khỏi chương trình pdisk cách gõ “q” Bây ta lại dòng lệnh sẵn sàng để tạo image từ ổ cứng nghi ngờ Lệnh sử dụng để tạo image lệnh “dd” (nếu ta gõ “man dd”, ta giải thích chi tiết cách sử dụng nó) Cú pháp sau: Trang | 17 dd if = ”đường dẫn tệp vào” of = ”đường dẫn tệp ra” Có nhiều biến khác cho phép ta image phần ổ đĩa, muốn tồn bộ, chúng khơng liên quan đến Điều quan trọng cần lưu ý Unix / Linux coi ổ đĩa tệp Vì vậy, tệp đầu vào đường dẫn đến ổ đĩa đáng ngờ chúng ta: “/ dev / rdisk1” Tệp đầu tệp hình ảnh mà muốn tạo (ta nên đặt cho tên có ý nghĩa để kết nối với ổ đĩa nghi ngờ, tên người dùng số sê-ri ổ cứng) , chẳng hạn “/Users/Shared/hdr-sn1234567.dmg” Vì vậy, lệnh cuối giống sau: dd if =”/dev/rdisk1” of =”/Users/Shared/ hdr- sn1234567.dmg” Sau hình ảnh hồn thành, ta nên xóa nhận xét khỏi dịng autodiskmount tệp "Disk" mình, để khởi động lại, ta có quyền truy cập vào tất ổ đĩa phân vùng (điều ta tháo kết nối với ổ đĩa đáng ngờ muốn mount tệp image ta vừa tạo, điều thực ta nhận xét raNHĨM dịng autodiskmount) Tắt máy tính ngắt kết nối ổ cứng nghi ngờ Đặt ổ cứng nơi an tồn nơi kiểm sốt quyền truy cập (ví dụ: Bị khóa tủ khóa) Vào ngày sau đó, ta muốn, ta sử dụng lại lệnh dd để ghi tệp hình ảnh ta trở lại ổ cứng khác (nó lớn hơn, khơng nhỏ hơn) để ta khởi động hệ thống nghi ngờ để xem xác nghi phạm ta nhìn thấy Cần lưu ý có cách khác để chép image ổ cứng Một cách sử dụng thiết bị phần cứng SoloMasster, cho phép ta nhân ổ cứng sang ổ cứng khác có dung lượng lớn ổ cứng nghi phạm Đây phương pháp nhanh chóng để tạo nhân bản, Macintosh, khơng thể mount mà khơng sửa đổi liệu SoloMasster tốt tất ta muốn làm khởi động máy tính khả nghi image mà ta tạo Trang | 18 Một phương pháp khác để ghi image ổ cứng sử dụng chương trình có tên Safeback Safeback cho phép ta tạo image drive băng từ, số phương tiện khác Tất nhiên, vấn đề với điều ta phải khơi phục lại để phân tích liệu Và lần nữa, ta phải khôi phục vào ổ cứng khác, sau thực quy trình “dd” để nghiên cứu Mac Mỗi cơng cụ có vị trí chúng, nói đến Macintosh, phương pháp tốt phương pháp mô tả (Cũng tồn phương pháp khác gọi EnCase Tuy nhiên, image ta tạo phân tích EnCase, phương pháp khơng hoạt động tảng Macintosh nằm ngồi phạm vi báo này) c) Khởi động máy phân tích ta đăng nhập vào tài khoản người dùng Analysis ta (bằng cách làm này, ta đảm bảo ta sửa đổi tệp image mà ta vừa tạo ta khơng cóNHĨM quyền thích hợp, ta tạo với quyền root) Bây ta cần điều hướng đến image ta vừa tạo gắn cách nhấp đúp vào Ta thấy hình mình, ổ đại diện cho tất phân vùng có ổ đĩa nghi phạm Bây ta tự sử dụng ổ đĩa để tìm kiếm chứng d) Điều ta muốn làm khôi phục tất tệp xóa Một công cụ tốt cho việc Disk Drill Norton Utilities Chương trình qua ổ đĩa định lấy tất tệp bị xóa Nó cho ta biết tiêu đề tệp thư mục gì, kích thước Ta nên khơi phục tất tệp xóa mà ta lưu chúng vào ổ cứng Khi ta làm xong việc này, ta kiểm tra chúng Finder cài Total Finder macOS Trang | 19 e) Trên tác vụ (taskbar), nhấp vào biểu tượng Finder công cụ lựa chọn để điều hướng qua ổ đĩa đáng ngờ Một tính Total Finder hiển thị cho ta tất tệp ẩn Khi ta sử dụng Total Finder, ta thấy tất tệp hoạt động Sau đó, ta xem chúng nhanh chóng dễ dàng Finder xem hầu hết loại tệp Ta khuyên ta nên dành phần lớn thời gian để xem qua tệp người dùng nơi có nhiều khả ta tìm thấy chứng Bằng cách này, ta có cảm giác máy tính mà ta phân tích, giúp ta có tranh tồn cảnh Đừng qn kiểm tra tệp chưa xóa mà ta lưu trữ ổ cứng f) Một ta cảm thấy ta nhận tất từ việc xem tệp hoạt động, đến lúc thực số tìm kiếm từ khóa Điều quan trọng phải thảo luận điều tạo nên từ khóa tốt Ta muốn từ khóa độc đáo NHĨM tốt để khơng bị ngập kết xác thực sai Ví dụ, ta tìm kiếm tên "bob", ta có nguy gặp phải nhiều kết sai Một lý cho điều “bob” dễ dàng tồn từ khác “bobsled” Một lý khác khiến ta nhận kết sai dài ba chữ cái, xuất ngẫu nhiên văn lẫn lộn Nếu ta khơng có lựa chọn khác ngồi việc tìm kiếm “bob”, ta thử đặt khoảng trắng trước (hoặc/và) sau để giảm thiểu kết văn lẫn lộn ngẫu nhiên Một công cụ tốt có sẵn macOS Spotlight cho phép bạn tìm kiếm thứ nháy mắt ví dụ tài liệu, email, ứng dụng, … g) Đôi điều quan trọng xem hình ảnh mà nghi phạm lưu ổ cứng Tất hình ảnh có ổ cứng xem dễ dàng chương trình có tên Graphic Trang | 20 Converter Ta cần kéo ổ đĩa nghi ngờ vào cửa sổ chương trình Graphic Converter, kéo tất tệp hình ảnh h) Một tính việc gắn disk image nghi phạm Macintosh ta không thiết cần phần mềm gốc để xem tệp Ta mở tệp thường xuyên phần mềm nghi phạm khơng cần cấu hình Tuy nhiên, đôi khi, ta yêu cầu thực số thay đổi nhỏ, chẳng hạn nhập hộp thư e-mail nghi phạm vào chương trình e-mail ta Các trường hợp cần phân tích điều tra số hệ điều hành Macintosh - Khi hệ thống bị công mà chưa xác định nguyên nhân Khi cần thiết khôi phục liệu thiết bị, hệ thống bị NHĨM xóa Hiểu rõ cách làm việc hệ thống Khi thực điều tra tội phạm có liên quan đến cơng nghệ cao Điều tra gian lận tổ chức Điều tra hoạt động gián điệp công nghiệp Một vài ví dụ nhỏ phân tích điều tra số hệ điều hành Macintosh Trước hết ta cần xác định thiết bị cơng cụ để phân tích mình, ta dung macOS 10.15(Catalina) Tiếp theo ta cần chép lại ổ cứng mà ta cần phân tích kiểm tra, giả dụ ta chép cụ thể kiểm tra sau a) Phiên hệ thống Trang | 21 Trước bắt đầu điều tra, điều quan trọng phải biết ta làm việc với phiên Mac ổ cứng cần kiểm tra Xác định rõ phiên dễ dàng xác định vị trí tệp khác. Ta kiểm tra cách xem tệp SystemVersion.plist nằm trong; /System/Library/CoreServices/SystemVersion.plist b) Thư mục, tệp tin: Ta kiểm tra, xem xét, tìm kiếm, duyệt toàn thư mục tệp tin trong: \Users\\ Bên a cá c thư mụ c nhỏ cá c tệp tin bị ẩ n như: NHÓM - Applications Caches Desktop Documents Downloads Library Trash bash_history & bash_sessions c) Nhật ký ứng dụng \Users\\Library\Application Support\ Trang | 22  ; phầ n lưu trữ cấ u hình, nhậ t ký tệp ưu tiên củ a ứ ng dụ ng đượ c cài đặ t máy  CrashReporter; đây thư mụ c lưu trữ nhậ t ký cố theo dõi thờ i điểm ứ ng dụ ng gặ p cố tạ i lạ i gặ p (mặ c dù, đôi khi, lỗ i chung chung) \Users\\Library\Launch Agents\ Các ứ ng dụ ng đượ c liệt kê thư mụ c đượ c khở i chạ y mỗ i máy tính khở i độ ng, tương tự ứ ng dụ ng Khở i độ ng máy Windows.vb d) Trình duyệt safari NHĨM  Phân tích file plist Tệp danh sách thuộc tính (plist) lưu trữ thông tin người dùng tùy chọn ứng dụng phiên ứng dụng, thông tin người dùng nhiều phần mềm khác tùy thuộc vào loại cách sử dụng ứng dụng Trong trường hợp trình duyệt safari, tệp plist lưu trữ vị trí định: /Users/Mac/Library/Preferences/com.apple.Safari.plist  Trang web duyệt gần Trang | 23 Tìm kiếm web tiết lộ thơng tin thói quen, nghi phạm muốn gì, từ khóa hành vi quan trọng Tệp danh sách chứa số lượng thuộc tính giá trị NHÓM  Duyệt lịch sử Lịch sử duyệt web lưu trữ định dạng sở liệu SQLite (hình 2) vị trí định: /Users/Mac/Library/Safari/History.db Tệp History.db lưu trữ số lượng vật tên bảng khác với tệp sở liệu Trang | 24  Phục hồi lịch sử xóa NHĨM Safari lưu trữ lịch sử duyệt web định dạng tệp SQLite Tệp lịch sử lưu trữ vị trí /Users/Mac/Library/Safari dạng tên tệp History.db Tập tin đóng vai trị quan trọng để khơi phục lịch sử bị nghi phạm xóa Sử dụng cơng cụ SQLite browser, khơi phục lịch sử Trang | 25 Các mục lịch sử Hình cho thấy bảng sở liệu phục hồi History_visits history_items Ở đây, định dạng thời gian OS X sử dụngNHÓM cho liệu lưu trữ định dạng thời gian Chuẩn UNIX  Một số thành phần khác safari Ngoại trừ lịch sử, có khác thơng tin lưu trữ tệp plist vị trí /Users/Mac/Library/Safari chẳng hạn như: Bookmarks, Downloads, Last Session, Top sites, User notification Trang | 26 Các thành phần khác safari  Last sessions Chi tiết phiên cuối lưu trữ tệp LastSessions.plist với liên kết truy cập Tầm quan trọng việc phân tích tệp điều tra lịch sử tab mở gần NHÓM Các phiên làm việc cuối với tab  Các trang web truy cập hàng đầu Trang | 27 Các trang web hàng đầu, người dùng truy cập cố định đường dẫn liên kết ngắn trang chủ, hiển thị tệp TopSite.plist NHÓM Các trang web truy cập hàng đầu e) Apple Mail Apple Mail là ứng dụng thư mặc định máy tính để bàn Mac OS X Dưới đường dẫn số tệp Đường dẫn mặc định; /Library/Mail Hộp thư nhìn thấy trong; /Library/Mail/[Mail Box] RSS cấp liệu trong; /Library/Mail/RSS/ Trang | 28 Tệp cấu hình đặt tại; /Library/Preferences/com.apple.mail.plist Các thư lưu trữ trong; /Library/Mail/[Mail Box]/Messages Các tin nhắn lưu trữ với phần mở rộng tệp 'emlx', dạng tệp f) Tệp nhật ký Vị trí tệp nhật ký là; /Users/username/Library/Logs/* /private/var/log/* NHÓM g) Lịch sử Bluetooth Nếu điều tra viên nghi ngờ việc trao đổi liệu qua Bluetooth thơng tin liên quan đến Bluetooth có sẵn từ; h) Chia sẻ file Chi tiết tệp chia sẻ có sẵn trong: /Library/Preferences/SystemConfiguration/com.apple.smb.server.plist i) Các mục gần Điều chứa thông tin tệp, máy chủ, ứng dụng, v.v mở gần nằm trong; Trang | 29 QuickTime Các mục Gần đặt Các mục gần TextEdit tìm thấy trong; j) Firefox Mozilla Firefox là trình duyệt web khác sử dụng phổ biến, giúp duyệt web bạn tìm thấy tệp tương ứng với Firefox nằm trong; Cookie đặt tại; NHÓM Từ tệp lịch sử, điều tra viên thu thập thơng tin URL truy cập nằm đó; k) Ưu tiên người sử dụng Điều nêu chi tiết cài đặt tùy chọn người dùng cho tiện ích ứng dụng Vị trí; Các chi tiết iDevice tìm thấy trong; Trang | 30 Các tùy chọn iCloud nhìn thấy trong; Tài liệu tham khảo - MAC OS X FORENSICS by Philip Craiger and Paul Burke chapter 13 - MAC OSX FORENSICS by Dr Digvijaysinh Rathod (https://www.researchgate.net/publication/321698454_MAC_OSX _Forenscis) - Macintosh Forensic Analysis Using OS X - Peter Hawkins (https://www.sans.org/reading-room/whitepapers/apple/paper/269) - https://vi.wikipedia.org/wiki/MacOS - https://totalfinder.binaryage.com/about NHÓM - https://en.wikipedia.org/wiki/Disk_Drill_Basic - https://en.wikipedia.org/wiki/Spotlight_(software) - Trang | 31 ... kỹ thuật điều tra số máy tính Đôi nét hệ điều hành Macintosh 11 Chuẩn bị cho việc phân tích điều tra số Macintosh 12 Các bước phân tích điều tra số hệ điều hành Macintosh ... mạng (network forensic) Trang | - Điều tra thiết bị di động (Mobile device Forensics) - … NHÓM Trang | CHƯƠNG II: PHÂN TÍCH ĐIỀU TRA SỐ TRÊN HỆ ĐIỀU HÀNH MACINTOSH Giới thiệu Phân tích điều tra số máy tính... lý điều tra số giúp cho quan điều tra tố giác tội phạm cơng nghệ cao có chứng số thuyết phục để áp dụng chế tài xử phạt với hành vi phạm pháp Các bước thực điều tra Trang | Một điều tra số thường