CHƯƠNG III: THỰC NGHIỆM
3.1. Giới thiệu về các công cụ sử dụng
Nhóm sẽ thực hiện điều tra hệ điều hành Windows 7 với các cơng cụ có sẵn và một số câu lệnh cmd nhằm phục vụ việc phân tích xem phát hiện các dấu hiệu trên hệ thống có đang bị nguy hại hay khơng.
Nhóm chúng em sẽ thực hiện các bước dựa theo tài liệu để thu thập một số thông tin về hệ thống như file log, thơng tin hệ thống, các tiến trình đang chạy,....
Nhóm chúng em sẽ sủ dụng các cơng cụ phục vụ q trình điều tra như: 1. PSTools – Bộ cơng cụ của PS trên Windows
2. Handle – Bộ cơng cụ được tích hợp sẵn trên Windows 3. ListDLLs
4. ProcDrump 5. MoonSol
6. RootkitRevealer
Và một số công cụ điều tra phổ biến khác cho hệ điều hành Windows như:
Hình 3. 2 Các cơng cụ điều tra phổ biến 2
3.2. Sử dụng các cơng cụ • Sử dụng công cụ PsTool:
o Kiểm tra các port đang mở của hệ thống:
o Lấy thơng tin về máy cần điều tra:
Hình 3. 4 Lấy thơng tin về máy cần điều tra
o Kiểm tra các file đang mở, kiểm tra xem có file nào được chạy từ xa hay không:
o Kiểm tra có người dùng nào đăng nhập từ xa hay khơng ? Hiện đang khơng có người dùng đăng nhập từ xa:
Hình 3. 6 Kiểm tra người dùng đang đăng nhập
o Kiểm tra LogList bằng công cụ PSTools, in ra file text LogListPS:
Hình 3. 8 File LogListPS.txt
o Sử dụng PsHandle để kiểm tra các Handle đang chạy tiến trình:
o Kiểm tra thư viện DLL các tiến trình sử dụng để phân tích xem có thư viện nào nguy hại hay khơng:
Hình 3. 10 Kiểm tra thư viện DLL
o ProcDump các tiến trình, ở đây đang thực hiện procdump tiến trình chrome.exe để xem có điều gì bất thường hay khơng. Dựa theo Ngưỡng (Threshhold) đưa ra:
• Sử dụng ProcessExplorer để kiểm tra tiến trình con, hiệu năng:
Hình 3. 12 Sử dụng ProcessExplorer để kiểm tra tiến trình con, hiệu năng
• Sử dụng cơng cụ Event Log Explorer, sẽ có 3 mục chính là Application / System/ Security. Ngồi ra có thể kiểm tra ở các mục khác. Để có thể nhận EventLog, ta có thể vào Registry và enable tính năng nhận eventlog của Microsoft:
KẾT LUẬN
Trong thời gian tìm hiểu và thực hiện làm báo cáo chúng em đã đạt được những mục tiêu đặt ra và thu được một số kết quả, cụ thể như:
• Nắm rõ được khái niệm, sự ra đời của hệ điều hành Windows. • Đặc điểm nổi bật, ưu nhược điểm của hệ điều hành Windows.
• Phân tích làm rõ cấu trúc hệ thống của hệ điều hành, cấu trúc file hệ thống, ứng dụng quản trị hệ điều hành, nhật ký...
• Vai trị của hệ điều hành Windows trong quá trình điều tra, thu thập thơng tin về tội phạm máy tính.
• Tìm hiểu và sử dụng cơng cụ rà sốt mã độc trên file hệ thống. Qua đó có thể kiểm sốt tốt thiết bị chạy hệ điều hành Windows và phát hiện kịp thời những hành động bất thường đối với hệ thống cũng như hệ điều hành.
Qua báo cáo đã cho ta cái nhìn tổng quan về việc điều tra tội phạm máy tính trên hệ điều hành Windows. Do thời gian có hạn nên nhóm chúng em cịn nhiều thiếu sót về kiến thức cũng như nội dung. Nhóm chúng em sẽ tiếp tục nghiên cứu và mở rộng thực nghiệm để báo cáo được hồn thiện hơn. Nhóm chúng em xin chân thành cảm ơn!