intTypePromotion=3

Bài giảng Pháp chứng kỹ thuật số: Bài 5 - TS. Đàm Hồng Hải

Chia sẻ: Vvvvv Vvvvv | Ngày: | Loại File: PPTX | Số trang:69

0
18
lượt xem
4
download

Bài giảng Pháp chứng kỹ thuật số: Bài 5 - TS. Đàm Hồng Hải

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng "Pháp chứng kỹ thuật số - Bài 5: Điều tra pháp chứng trên hệ điều hành máy tính" cung cấp cho người học các kiến thức: Tại sao cần phải điều tra hệ điều hành của máy tính, hệ điều hành Windows, điều tra quá trình hoạt động của Windows,... Mời các bạn cùng tham khảo nội dung chi tiết.

Chủ đề:
Lưu

Nội dung Text: Bài giảng Pháp chứng kỹ thuật số: Bài 5 - TS. Đàm Hồng Hải

  1. PHÁP CHỨNG KỸ THUẬT SỐ Bài 5: Điều tra pháp chứng trên hệ  điều hành máy tính Giảng viên: TS. Đàm Quang Hồng Hải
  2. Tại sao cần phải điều tra hệ điều hành  của máy tính • Hệ điều hành là phần mềm chạy trên máy tính, dùng để  điều hành, quản lý các thiết bị phần cứng và các tài  nguyên phần mềm trên máy tính. • Các thông tin sử dụng máy tính sẽ được ghi nhận bởi hệ  điều hành và Pháp chứng viên cần phải tìm hiểu. • Pháp chứng viên cần có hiểu biết về các Hệ điều hành  trên máy tính để khi điều tra có thể tìm kiếm các bằng  chứng có liên quan. • Một số hệ điều hành thông dụng cài đặt trên máy tính  như: Windows, Linux, Mac OS ..
  3. Phân lọai dữ liệu điện tử trên máy tính • Dữ liệu điện tử ổn định là dữ liệu điện tử sẽ  không bị mất đi khi tắt thiết bị số chứa nó, ví dụ  của dữ liệu điện tử ổn định là dữ liệu được lưu  trữ trên ổ đĩa cứng của máy tính hay trên thẻ nhớ  USB. • Dữ liệu điện tử không ổn định là dữ liệu điện  tử sẽ bị mất đi khi tắt thiết bị số chứa nó, ví dụ  như dữ liệu trong bộ nhớ RAM. Việc tắt nguồn  máy tính có thể sẽ làm mất nên thực hiện memory  dumb là việc cần thiết trong nhiều trường hợp.
  4. Hệ điều hành Windows  • Windows là một họ các hệ điều hành rất thông  dụng trên thế giới . • Các hệ thống Windows cung cấp một số lượng  lớn các thông tin có thể cần thiết cho công tác điều  tra. • Các hệ điều hành Windows thông dụng bao gồm: • Windows 3.1 • Windows 95/98/Vista/XP/7/8 • Windows NT, Server 2003,2008 … • Được sử dụng cho cả máy tính cá nhân lẫn trên  máy chủ.
  5. Các hệ điều hành windows
  6. Điều tra quá trình hoạt động của Windows • Nếu Pháp chứng viên có quyền truy cập vào máy tính của  người bị tình nghi hoặc máy tính quan tâm, Pháp chứng  viên có thể tìm thấy thông tin hoạt động của hệ thống  • Trên máy tính cài Windows, Pháp chứng viên có thể chạy  công cụ Event Viewer xem quá trình hoạt động của hệ  điều hành
  7. Công cụ Event Viewer  • Event viewer là một công cụ tích hợp trong Windows cho  phép xem lại các sự kiện đã xảy ra trong hệ thống một  cách chi tiết với nhiều tham số cụ thể như: user, time,  computer, services… Mỗi khi Windows khởi chạy, hệ  điều hành sẽ bắt đầu ghi lại các hoạt động (event) diễn ra  bên trong hệ thống. • Các sự kiện rời rạc được lọc lại thành những sự kiện  giống nhau giúp chúng ta lấy được những thông tin cần  thiết một cách nhanh nhất. Công cụ này là một phương  tiện hiệu quả giúp Pháp chứng viên khám phá những gì  đang xảy ra ở "hậu trường" của hệ điều hành.
  8. Chọn xem Event theo phân loại
  9. Một số dữ liệu số quan trọng khi điều tra  trong Microsoft Windows  • Recycle bin • Internet activity ­ INDEX.DAT files • Tập tin chứa cookies • Shortcut files (.LINK) • Thumbnails (THUMBS.DB) • Printer spooler
  10. Recycle bin • Khi người dùng xóa một tập tin bằng cách bình  thường, tập tin bị xóa sẽ được đưa vào Reclycle  Bin. • Dữ liệu trong Recycle bin chứa trong thư mục  $Recycle.Bin trong mỗi phân vùng NTFS.
  11. Internet activity ­ INDEX.DAT • Trong quá trình duyệt web, các trình duyệt cần lưu  các thông tin như user name, password, cookie,  temp file, lịch sử duyệt web...  • Pháp chứng viên có thể tìm kiếm các dữ liệu đã  được lưu vào file INDEX.DAT bằng phần mềm  Index.dat Scanner
  12. Tập tin chứa cookies • Thông tin cookie trong các tập tin .DAT cung cấp  các thông tin về thời gian truy cập đến trang web,  định danh máy này với trang web đó. 
  13. Shortcut files (.LINK) • Các file shortcut giúp người dùng truy cập nhanh đến một  phần mềm, file khác, đến các trang web và cả các ổ cứng  trên mạng.  • Từ các file shortcut, Pháp chứng viên có thể biết được  hoạt động thường ngày của đối tượng, các phần mềm  thường hay được dùng, các trang web thường được đối  tượng truy cập
  14. Thumbnails (THUMBS.DB) • Microsoft Windows tạo ra các bản sao thu nhỏ của  các file hình ảnh, để giúp cho người dùng có thể  xem được nội dung của các hình ảnh mà không  cần mở, tiết kiệm thời gian đọc và xử lý file với  kích thước đầy đủ. • Các bản sao thu nhỏ đó gọi là thumbnail và lưu  trong các file THUMBS.DB và từ các file  THUMBS.DB,  • Pháp chứng viên có thể biết được hình ảnh mà  thường ngày của đối tượng hay truy cập và qua đó  có thể tìm ra các bằng chứng kỹ thuật số có liên  quan đến vụ án.
  15. Thumbnails
  16. Printer spooler • Do mỗi máy in thường chỉ in được mỗi lần 1 file, nên hệ  thống cần có một hàng đợi cho việc in ấn các file, hàng  đợi này là Printer spooler.  • Khi người dùng yêu cầu in một file, thông tin in sẽ được  đưa vào hàng đợi Printer spooler. Nội dung file in được  lưu vào file spool.spl, metadata của file in cần in được lưu  vào file shadow.shd.  • Các file trên được lưu vào  C:\Windows\System32\spool\printers và khi in xong thì các  file trên sẽ bị xóa.  • Pháp chứng viên có thể kiểm tra được nội dung của hàng  đợi cho việc in ấn các file để biết đối tượng còn đang sử  dụng máy in của mình không.
  17. Filesystem trong Windows • Windows hỗ trợ hai hệ thống tập tin chính: FAT  và NTFS.  • FAT16 là File system có từ lâu, từ thời MS­DOS  và những phiên ban đâ ̉ ̉ ̀u tiên cua Windows nh ư  Windows 3.1. • ̣ FAT32 xuất hiên cu ̀ng với ban Windows 95 OEM  ̉ ̣ ̉ Service Release 2 (OSR2), có không gian đia chi 32  bit.  • NTFS (New Technology File System), là hệ thống  tập tin tiêu chuẩn của Windows NT, bao gồm cả  các phiên bản sau này của Windows.
  18. Registry trong Windows • Registry là  một hệ thống thông tin liên quan máy  tính trong hệ điều hành Windows • Registry lưu tất cả các thông tin về phần cứng,  phần mềm, những lựa chọn của người dùng.... • Pháp chứng viên kiểm tra được nội dung của  Registry là yêu cầu tất yếu để biết đối tượng sử  dụng máy tính của mình ra sao. • Con người có có thể nói dối nhưng Registry thì  không nói dối.
  19. Registry là gì • Registry là một cơ sở dữ liệu dùng để lưu trữ mọi thông  số kỹ thuật của Hệ điều hành Windows.  • Khi một phần cứng hoặc phần mềm mới được cài đặt  trong Windows, nó sẽ lưu trữ cấu hình vào trong registry. • Windows đọc các cấu hình trong registry và biết được  trình điều khiển nào cần được tải, cài đặt nào cần được  áp dụng, và nguồn lực nào cần được phân bổ để thiết bị  có thể làm việc. • Registry ghi nhận tất cả các thông tin khi có thay đổi hoặc  chỉnh sửa trong Menu Settings, Control Panel. • Có thể sử dụng các phần mềm như Regedit, Reg,  Forensic Registry EDitor
  20. Forensic Registry EDitor Forensic Registry Editor là phần mềm mã nguồn mở được viết bởi  Daniel Gillen trên Linux, Windows cho phép xem và tìm kiếm  chứng cớ số trên các vùng ẩn chức Registry

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản