BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ ************* BÁO CÁO BÀI TẬP LỚN MƠN: PHỊNG CHỐNG VÀ ĐIỀU TRA TỘI PHẠM MẠNG MÁY TÍNH ĐỀ TÀI: PHÂN TÍCH HỆ ĐIỀU HÀNH MACINTOSH HÀ NỘI, 2021 MỤC LỤC MỤC LỤC ii DANH MỤC HÌNH VẼ v DANH MỤC BẢNG BIỂU .vii DANH MỤC CÁC TỪ VIẾT TẮT viii LỜI NÓI ĐẦU .1 CHƯƠNG TỔNG QUAN VỀ HỆ ĐIỀU HÀNH MACOS 1.1 Giới thiệu hệ điều hành MacOS 1.2 Lịch sử hình thành phát triển 1.2.1 Mac OS X 1.2.2 MacOS .4 1.2.3 Các phiên hệ điều hành .4 1.3 Đặc điểm bật MacOS .7 1.4 So sánh hệ điều hành MacOS hệ điều hành Windows 1.5 Những thiết bị chạy hệ điều hành macOS 1.6 Tổng kết chương 10 CHƯƠNG PHÂN TÍCH HỆ ĐIỀU HÀNH MACOS 11 2.1 Kiến trúc hệ điều hành MacOS 11 2.1.1 Nhân hệ điều hành Darwin 11 2.1.2 Hệ thống đồ họa .12 2.1.3 Lớp ứng dụng 12 2.1.4 Giao diện người dùng 13 2.2 Cấu trúc hệ thống tệp tin MacOS .13 2.3 Danh sách thuộc tính 16 2.4 Tài khoản người dùng 17 ii 2.5 Mật người dùng 23 2.6 Các thư mục hệ điều hành MacOS 27 2.6.1 Cấu trúc thư mục MacOS .27 2.6.2 Các thư mục lồng MacOS .28 2.6.3 Thư mục máy tính 29 2.6.4 Thư mục ứng dụng 29 2.6.5 Các thư mục thư viện .29 2.6.6 Thư mục hệ thống 30 2.6.7 Thư mục trang chủ 31 2.7 Hệ thống .31 2.7.1 Mật mã hóa .31 2.7.2 Thiết lập mạng 32 2.7.3 Nhật ký 33 2.7.4 Hành động đăng nhập 36 2.7.5 Tệp cài đặt chương trình khung xử lý khác 38 2.8 Tổng kết chương 40 CHƯƠNG TRIỂN KHAI THỰC NGHIỆM 41 3.1 Tóm tắt nội dung 41 3.2 Chuẩn bị 41 3.3 Thực 41 3.3.1 Kiểm tra địa IP Error! Bookmark not defined 3.3.2 Kích hoạt cho phép truy cập từ xa 43 3.3.3 Thực truy cập SSH 44 iii 3.3.4 Xem thông tin nhật ký .45 3.3.5 Xem thông tin thông qua Terminal 47 3.4 Kết luận chương 57 KẾT LUẬN .58 TÀI LIỆU THAM KHẢO 59 PHỤ LỤC 60 iv DANH MỤC HÌNH VẼ Hình 1.1 Hệ điều hành macOS Sierra Hình 1.2 Hệ điều hành Mac OS X .4 Hình 2.1 Kiến trúc hệ điều hành macOS 11 Hình 2.2 Data fork and Resource fork .15 Hình 2.3 Danh sách property lists .17 Hình 2.4 Giao diện tạo tài khoản người dùng thơng thường 18 Hình 2.5 Giao diện tạo tài khoản root .19 Hình 2.6 File user1.plist macOS 10.12 22 Hình 2.7 Sử dụng tài khoản root xem file bị ẩn 22 Hình 2.8 Minh họa John the Ripper mã hóa mật thơng qua hàm băm 24 Hình 2.9 Sử dụng John the Ripper bẻ khóa pass file 24 Hình 2.10 Quyền thư mục user 26 Hình 2.11 Các quyền Mac 26 Hình 2.12 Chế độ xem trực quan thư mục máy mac 27 Hình 2.13 Thư mục lồng nhau, sâu vào bốn cấp độ 28 Hình 2.14 Các mục có thư mục người dùng 30 Hình 2.15 File system.keychain mở Keychain Access 31 Hình 2.16 File preferences.plist macOS 10.12 32 Hình 2.17 Truy cập ứng dụng Console macOS 10.12 33 Hình 2.18 Giao diện Console macOS 10.12 34 Hình 2.19 Install.log macOS 10.12 35 Hình 2.20 Xem log thơng qua truy cập ổ đĩa macOS 10.12 36 Hình 2.21 Lịch sử đăng nhập macOS 10.12 .37 Hình 2.22 Lịch sử đăng nhập macOS 10.12 file asl .38 Hình 2.23 Những khung xử lý macOS 10.12 .40 Hình 3.1 Địa IP máy macOS 41 Hình 3.2 Địa IP máy truy cập SSH .42 Hình 3.3 Kích hoạt cho phép truy cập từ xa macOS 43 Hình 3.4 Nhập thông tin PuTTY 44 Hình 3.5 Nhập thơng tin đăng nhập mật 45 v Hình 3.6 Dữ liệu file BB.2022.11.30.G80.asl 46 Hình 3.7 Thơng tin terminal đưa sử dụng lệnh “last” 47 Hình 3.8 Lần đăng nhập trước user1 48 Hình 3.9 Một số thơng tin khác 49 vi DANH MỤC BẢNG BIỂU vii DANH MỤC CÁC TỪ VIẾT TẮT MacOS Mac Operating System BSD Berkeley Software Distribution HFS Hierarchical File System MDB Master Directory Block XML eXtensible Markup Language GUI Graphical User Interface CID Catalog IDentification UID User IDentification UUID Universally Unique IDentifier HD Hard Drive CD Compact Disc DVD Digital Versatile Disc ROM Read Only Memory DMG Disk IMage SSH Secure Socket Shell PID Proportional Integral Derivative viii LỜI NÓI ĐẦU Trong thời đại 4.0 nay, kèm theo bùng nổ công nghệ số, thiết bị điện tử - máy vi tính, trở thành phần khơng thể thiếu sống người Các công ty công nghệ lớn chạy đua để đời dòng máy lĩnh vực gaming, office hay workstation… Trong có tập đồn đặc biệt, Apple Họ tự thiết kế cho dịng máy hệ điều hành riêng biệt mà dịng máy có họ sử dụng Chính lẽ đó, nhóm chúng em lựa chọn “Phân tích hệ điều hành Macintosh” làm đề tài nghiên cứu Hệ điều hành nhóm chúng em sử dụng báo cáo macOS 10.12 Sierra 2016 Báo cáo trình bày chương: Chương 1: Tổng quan hệ điều hành MacOS: phần chúng em trình bày tổng quan hệ điều hành MacOS bao gồm khái niệm, lịch sử hình thành phát triển, đặc điểm bật để từ đưa so sánh với hệ điều hành Windows Chương : Phân tích hệ điều hành MacOS: phần phân tích, làm rõ cấu trúc hệ thống, nơi lưu trữ tệp thư mục, quản lý người dùng, nhật ký, ứng dụng… Chương 3: Triển khai thực nghiệm: phần triển khai hệ điều hành macOS 10.12 Sierra 2016 Sau thời gian vài tuần thực hiện, nội dung hoàn thành Tuy nhiên thời gian thực báo cáo có hạn kiến thức cịn hạn chế nên chắn khơng tránh khỏi thiếu sót Nhóm chúng em mong góp ý thầy bạn để báo cáo hoàn thiện Chúng em xin chân thành cảm ơn CHƯƠNG TỔNG QUAN VỀ HỆ ĐIỀU HÀNH MACOS 1.1 Giới thiệu hệ điều hành MacOS MacOS (Mac Operating System) hệ điều hành độc quyền phát triển phân phối Apple dành cho máy tính Macintosh Hệ điều hành macOS biết đến tảng hệ điều hành mượt mà, tối ưu giao diện đẹp mắt Tuy không phổ biến Windows tảng sở hữu ổn định, tính bảo mật cao hệ điều hành lý tưởng cho người dùng Hình 1.1 Hệ điều hành macOS Sierra 1.2 Lịch sử hình thành phát triển Đã 20 năm trơi qua kể từ ngày Apple giới thiệu phiên thử nghiệm dành cho hệ điều hành Mac OS X, cứu cánh Apple suốt thời kỳ hãng gặp khủng hoảng Mac OS X hoàn toàn “ngoảnh mặt” với hệ cũ để tạo nên hệ điều hành hoàn toàn tốt  Xem danh sách tiến trình định dạng đầy đủ sử dụng “-e” kết hợp “f  Xem tiến trình sở hữu tùy chọn “-x” 50  Xem tiến trình theo tên người dùng “-U” Bước 5: Nếu muốn kill tiến trình, ta dùng lệnh kill [Signal_or_Option] pid Ở đây, ta thấy tiến trình sh có pid 1055, thực câu lệnh kill với tùy chọn SIGKILL(9), bị thoát khỏi chế độ root  Sử dụng Sysdianose cung cấp sẵn macOS để liệt kê phiên hệ thống, quy trình chạy, cấu hình mạng, thiết lập Bluetooth, khối lượng gắn, lịch sử cài đặt, nhật ký hệ thống – phục vụ cho mục đích đánh giá 51 Bước 1: Truy cập terminal, sử dụng lệnh “sudo sysdianose” để tạo tệp tin Bước 2: Ấn enter để khởi tạo trình chạy Quá trình kết thúc, tệp taz tạo 52 Sau giải nén ta thu thư mục: Tại ta xem thơng tin cấu hình từ file plist, vào thư mục logs để xem log  Mở file system.log thư mục logs, ta danh sách log hệ thống 53 Nhật ký hệ thống (syslog) chứa ghi kiện hệ điều hành (OS) cho biết cách hệ thống xử lý trình điều khiển tải Nhật ký hệ thống hiển thị kiện thông tin, lỗi cảnh báo liên quan đến hệ điều hành máy tính Bằng cách xem xét liệu có nhật ký, quản trị viên người dùng khắc phục cố hệ thống xác định nguyên nhân cố liệu quy trình hệ thống có tải thành cơng hay khơng  Mở install.log Tệp nhật ký chứa ghi tất hành động thực chương trình thiết lập tệp thực thi khác liên quan đến cài đặt Tệp nhật ký cài đặt đặc biệt hữu ích gặp lỗi trình cài đặt  Mở file ifconfig.txt 54 File chứa thông tin mạng macOS: interface, địa ip v4, v6  Cuối file system_log.logarchive, chứa tất message hệ thống từ trước tới 55  Phân tích thơng tin người dùng macOS Bước 1: Truy cập terminal, sử dụng lệnh “sudo cat /etc/passwd” để lấy sở liệu người dùng Kết thu được: 56 Bước 2: Tìm kiếm xem tài khoản đăng nhập hệ thống dấu hiệu có đường dẫn /bin/sh /bin/bash  Tài khoản root  Tài khoản _mbsetupuser Bước 3: Ngồi xem id user lệnh “id ”  Hiển thị danh sách group lệnh “groups”  Thu thập nhớ hệ thống macOS công cụ OSXpem phân tích chúng Volatility Bước 1: Tải file cài OSXpem câu lệnh Bước 2: Sau tải thành công ta kiểm tra thử “ls” 57 Bước 3: Tiến hành giải nén “unzip” Bước 4: Sau giải nén xong, sử dụng câu lệnh lệnh “kextload” để khởi động osxpem Tiếp tục sử dụng câu lệnh “dd if=/dev/pnem of =macdump.raw” để chụp toàn bộ nhớ macOS vào file macdump.raw Bước 5: Thực SIFT  Ta chuyển file macdump.raw sang máy SIFT kiểm tra  Xem profile macdump dùng volatility lệnh 58  Kết cho MacSiera 10.12.0.16A323x64  Sử dụng lệnh “grep” để lấy tất thơng tin cấu hình macOS Kết trả về: 59 Ta tìm thơng tin muốn từ đây, xem ip thông tin card mạng mở mac_ifconfig Xem danh sách thread mở mac_threads…  Xem danh sách tiến trình mở file mac_plist cách Kết trả danh sách tiến trình macOS: Các thơng tin offset, tên tiến trình, process ID, uID, tốc độ đọc ghi … 60  Xem thông tin file bash Kết trả về: lịch sử câu lệnh sử dụng 3.4 Kết luận chương Từ nội dung trình bày chương chương 2, chương hoàn thành mục tiêu đề Tóm lại, hệ điều hành macOS cung cấp cho người dùng khả nắm bắt tiến trình khởi động thiết bị, đăng nhập hệ thống hay truy cập từ xa Từ người dùng kiểm sốt thiết bị Mac cách dễ dàng phát hành động truy cập bất thường 61 KẾT LUẬN Kết đạt được: Trong thời gian tìm hiểu, báo cáo đạt mục tiêu đặt ra, cụ thể: Chương 1: Tìm hiểu cách tổng quan hệ điều hành MacOS:  Hiểu hệ điều hành MacOS gì?  Nắm bắt lịch sử hình thành phát triển hệ điều hành phiên macOS cũ đến  Đặc điểm bật macOS ưu nhược điểm so với Windows Chương 2: Phân tích, làm rõ cấu trúc hệ thống, nơi lưu trữ tệp thư mục, quản lý người dùng, nhật ký, ứng dụng… Chương 3: Phân tích nắm bắt tiến trình khởi động thiết bị, đăng nhập hệ thống hay truy cập từ xa Từ đó, kiểm sốt thiết bị Mac cách dễ dàng phát hành động truy cập bất thường Qua báo cáo, có nhìn tổng quan rõ ràng hệ điều hành dành riêng cho dòng máy macintosh Do thời gian eo hẹp nên nhóm chúng em có thiếu sót kiến thức nội dung Nhóm chúng em tiếp tục nghiên cứu, mở rộng phần thực nghiệm để báo cáo hoàn thiện 62 TÀI LIỆU THAM KHẢO [1] Eogan Casey, Handbook of Digital Forensics and Investigation, 2010 [2] Bob LeVitus, Macos sierra for dummies, 2017 [3] Benchmark, CIS Apple macOS 10.12, 2018 63 PHỤ LỤC Lê Minh Hoàng Nguyễn Ngọc Minh Vũ Thị Dịu Chương 2, thực demo Chương 1, làm slide Chương 2, tổng hợp word Trần Thúy Hường Chương Nguyễn Cảnh Toàn Chương 64 ... số lượng virus Từ đó, đưa so sánh ưu nhược điểm hai hệ điều hành Macintosh Windows Chương tìm hiểu phân tích rõ hệ điều hành Macintosh 10 CHƯƠNG PHÂN TÍCH HỆ ĐIỀU HÀNH MACOS 2.1 Kiến trúc hệ... Finder (hoạt động với hệ điều hành Macintosh để theo dõi tệp trì hình người dùng) sử dụng Các tệp thư mục danh mục định danh ID gọi CID Trong hệ thống tệp Macintosh (được gọi HFS, dành cho hệ... phẩm chạy macOS đắt đỏ Apple 1.6 Tổng kết chương Trong chương này, báo cáo giới thiệu hệ điều hành macintosh, lịch sử hình thành, phiên hệ điều hành Giới thiệu đặc điểm bật hệ điều hành giao diện