Bài 3: điều tra hệ điều hành trên máy tính

  • 53 trang
  • file .pdf
PHÁP CHỨNG KỸ THUẬT SỐ
Bài 3: Điều tra hệ điều hành trên
máy tính
Giảng viên: TS. Đàm Quang Hồng Hải
Tại sao cần phải điều tra hệ điều hành của
máy tính
• Hệ điều hành là phần mềm chạy trên máy tính, dùng
để điều hành, quản lý các thiết bị phần cứng và
các tài nguyên phần mềm trên máy tính.
• Các thông tin sử dụng máy tính sẽ được ghi nhận
bởi hệ điều hành và điều tra viên cần phải tìm hiểu.
• Điều tra viên cần có hiểu biết về các Hệ điều hành
trên máy tính để khi điều tra có thể tìm kiếm các
bằng chứng có liên quan.
• Một số hệ điều hành thông dụng cài đặt trên máy
tính như: Windows, Linux, Mac OS ..
Hệ điều hành Windows
• Windows là một họ các hệ điều hành rất thông dụng
trên thế giới .
• Các hệ thống Windows cung cấp một số lượng lớn
các thông tin có thể cần thiết cho công tác điều tra.
• Các hệ điều hành Windows thông dụng bao gồm:
• Windows 3.1
• Windows 95/98/Vista/XP/7/8
• Windows NT, Server 2003,2008 …
• Được sử dụng cho cả máy tính cá nhân lẫn trên máy
chủ.
Filesystem trong Windows
• Windows hỗ trợ hai hệ thống tập tin chính: FAT và
NTFS.
• FAT16 là File system có từ lâu, từ thời MS-DOS và
những phiên bản đầu tiên của Windows như
Windows 3.1.
• FAT32 xuất hiện cùng với bản Windows 95 OEM
Service Release 2 (OSR2), có không gian địa chỉ 32
bit.
• NTFS (New Technology File System), là hệ thống
tập tin tiêu chuẩn của Windows NT, bao gồm cả
các phiên bản sau này của Windows.
Registry trong Windows
• Registry là một hệ thống thông tin liên quan máy
tính trong hệ điều hành Windows
• Registry lưu tất cả các thông tin về phần cứng, phần
mềm, những lựa chọn của người dùng....
• Điều tra viên kiểm tra được nội dung của Registry là
yêu cầu tất yếu để biết đối tượng sử dụng máy tính
của mình ra sao.
• Con người có có thể nói dối nhưng Registry thì
không nói dối.
Registry là gì
• Registry là một cơ sở dữ liệu dùng để lưu trữ mọi thông số
kỹ thuật của Hệ điều hành Windows.
• Khi một phần cứng hoặc phần mềm mới được cài đặt trong
Windows, nó sẽ lưu trữ cấu hình vào trong registry.
• Windows đọc các cấu hình trong registry và biết được trình
điều khiển nào cần được tải, cài đặt nào cần được áp dụng,
và nguồn lực nào cần được phân bổ để thiết bị có thể làm
việc.
• Registry ghi nhận tất cả các thông tin khi có thay đổi hoặc
chỉnh sửa trong Menu Settings, Control Panel.
• Có thể sử dụng các phần mềm như Regedit, Reg,
Forensic Registry EDitor
Forensic Registry EDitor
Forensic Registry Editor là phần mềm mã nguồn mở được viết bởi
Daniel Gillen trên Linux, Windows cho phép xem và tìm kiếm chứng
cớ số trên các vùng ẩn chức Registry
Nguồn gốc của Registry
• Trước khi có Windows Registry: (DOS, Windows 3.x),
thông tin Hệ điều hành chứa trong các tập tin INI.
• SYSTEM.INI - Tập tin này kiểm soát tất cả các phần cứng
trên hệ thống máy tính.
WIN.INI - Tập tin này kiểm soát tất cả các màn hình và các
ứng dụng trên hệ thống.
• Các ứng dụng khác sử dụng các tập tin INI riêng được liên
kết với WIN.INI.
• Từ Windows 9x/NT 3.5 đã đưa ra hệ thống Registry quản lý
trên các tập tin System.dat, và User.dat.
Thông tin thu thập từ Registry
• Cấu hình hệ thống
• Thiết bị trên hệ thống
• Tên người dùng
• Thiết lập cá nhân và Tuỳ chọn cho trình duyệt
• Hoạt động duyệt web
• Các file được mở
• Các chương trình được thực hiện
• Các mật khẩu
Windows 9x
Filename Location Content
system.dat C:\Windows File bảo mật lưu trữ
tất cả người dùng.
Tất cả các chương
trình cài đặt và thiết
lập
Thiết lập hệ thống
user.dat C:\Windows Tập tin chứa thông tin
Nếu có nhiều người dùng, sử dụng mới nhất
mỗi người dùng có một tập Cài đặt ưu tiên của
tin user.dat cá nhân
người sử dụng
windows\profiles\user
account
Windows XP Registry
Filename Location Content
ntuser.dat \Documents and Tập tin bảo mật chứa
Nếu có nhiều người dùng, Settings\user account thông tin sử dụng mới
mỗi người dùng có một tập nhất
tin user.dat cá nhân Cài đặt ưu tiên của người
windows\profiles\user sử dụng
account
Default \Windows\system32\config Các thiết lập hệ thống
chuẩn (System settings)
SAM \Windows\system32\config Quản lý tài khoản người
dùng và thiết lập bảo mật
Security \Windows\system32\config Thiết lập bảo mật
(Security settings)
Software \Windows\system32\config Tất cả các chương trình
cài đặt và các thiết lập
System \Windows\system32\config Các thiết lập hệ thống
(System settings)
Windows 7/8 Registry
• Registry được ẩn trong các thư mục và hạn chế truy cập
• HKEY_LOCAL_MACHINE \SYSTEM :
\system32\config\system
• HKEY_LOCAL_MACHINE \SAM :
\system32\config\sam
• HKEY_LOCAL_MACHINE \SECURITY :
\system32\config\security
• HKEY_LOCAL_MACHINE \SOFTWARE :
\system32\config\software
• HKEY_USERS \UserProfile : \winnt\profiles\username
• HKEY_USERS.DEFAULT : \system32\config\default
Cấu trúc của Registry
• Registry có cấu trúc cây, giống cấu trúc cây thư mục trong
cửa sổ Windows Explorer.
• Thông thường có 5 nhánh chính. Mỗi nhánh được giao
nhiệm vụ lưu giữ những thông tin đặc trưng riêng biệt.
• Trong các nhánh chính bao gồm rất nhiều khoá và cũng
được phân ra để lưu giữ những thông tin đặc trưng riêng.
• Các khoá ([email protected]) chứa các giá trị (Value) là nơi trực tiếp
lưu giữ các thông tin, tương tự như tập tin là nơi trực tiếp
lưu giữ dữ liệu vậy.
Nội dung của Registry
• Root Keys
• HKEY_CLASSES_ROOT (HKCR): Lưu những thông tin dùng
chung cho toàn bộ hệ thống như kiểu tập tin, các menu, các dữ liệu về hệ
thống thường chứa những liên kết đến các file thư viện liên kết động .dll.
• HKEY_CURRENT_USER (HKCU): Lưu những thông tin về phần
mềm, các lựa chọn, các thiết lập ... của người dùng đang Logon
• HKEY_LOCAL_MACHINE (HKLM): Lưu những thông tin về hệ
thống, phần cứng, phần mềm dùng chung cho tất cả các người dùng.
• HKEY_USERS (HKU): Lưu những thông tin của tất cả các User, mỗi
user là một khoá với tên là số ID của user đó, chứa những thông tin đặc
trưng của từng User, nó bổ trợ cho nhánh HKEY_CURRENT_USER.
• HKEY_CURRENT_CONFIG (HKCC): Lưu thông tin về phần cứng,
các thiết bị ngoại vi, các trình điều khiển (drivers) đang dùng.
Các kiểu dữ liệu dùng trong Registry
• REG_BINARY: Kiểu nhị phân 32 BIT
REG_DWORD: Kiểu Double Word cho phép người dùng
nhập theo cơ số 16 (HEX) hoặc cơ số 10 (DECIMAL)
REG_EXPAND_SZ: Kiểu chuỗi mở rộng đặc biệt. VD:
"%SystemRoot%" thay cho đường dẫn Windows\System32
REG_MULTI_SZ: Một kiểu dữ liệu cho phép người dùng
nhập nhiều chuỗi, phân biệt bằng phím Enter để cách dòng.
REG_SZ: Kiểu chuỗi thông thường.
Điều tra trong Registry
• Các Registry Keys lưu thời gian biến đổi cuối cùng
(modified time-stamp)
• Các time-stamp phải sửa dưới dạng Binary
• Thu thập các thông tin liên quan đến địa chỉ Website
• Thu thập các thông tin liên quan đến người dùng –
đặc biệt là các user dùng để chat trong Yahoo
Messenger, ICQ,
Các địa chỉ Websites
Websites
Điều tra trong Yahoo messenger
• Thông tin các phòng chat
• Danh tính người dùng thay thế
• Người dùng đăng nhập cuối cùng
• Mật khẩu (có mã hóa)
• Các liên lạc gần đây
• Tên đăng ký hiện trên màn hình
Các USB Devices
Thông tin liên quan đến Mạng
• Các thông tin có thể thu thập từ Registry liên quan
đến việc sử dụng Mạng của đối tượng:
• Local groups
• Local users
• Map network drive MRU
• Network Printers