Bài giảng Pháp chứng kỹ thuật số: Bài 5 - TS. Đàm Hồng Hải

Chia sẻ: Vvvvv Vvvvv | Ngày: | Loại File: PPTX | Số trang:69

Thêm vào BST

Báo xấu

72
lượt xem 9
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng "Pháp chứng kỹ thuật số - Bài 5: Điều tra pháp chứng trên hệ điều hành máy tính" cung cấp cho người học các kiến thức: Tại sao cần phải điều tra hệ điều hành của máy tính, hệ điều hành Windows, điều tra quá trình hoạt động của Windows,... Mời các bạn cùng tham khảo nội dung chi tiết.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bài giảng Pháp chứng kỹ thuật số: Bài 5 - TS. Đàm Hồng Hải

PHÁP CHỨNG KỸ THUẬT SỐ Bài 5: Điều tra pháp chứng trên hệ điều hành máy tính Giảng viên: TS. Đàm Quang Hồng Hải
Tại sao cần phải điều tra hệ điều hành của máy tính • Hệ điều hành là phần mềm chạy trên máy tính, dùng để điều hành, quản lý các thiết bị phần cứng và các tài nguyên phần mềm trên máy tính. • Các thông tin sử dụng máy tính sẽ được ghi nhận bởi hệ điều hành và Pháp chứng viên cần phải tìm hiểu. • Pháp chứng viên cần có hiểu biết về các Hệ điều hành trên máy tính để khi điều tra có thể tìm kiếm các bằng chứng có liên quan. • Một số hệ điều hành thông dụng cài đặt trên máy tính như: Windows, Linux, Mac OS ..
Phân lọai dữ liệu điện tử trên máy tính • Dữ liệu điện tử ổn định là dữ liệu điện tử sẽ không bị mất đi khi tắt thiết bị số chứa nó, ví dụ của dữ liệu điện tử ổn định là dữ liệu được lưu trữ trên ổ đĩa cứng của máy tính hay trên thẻ nhớ USB. • Dữ liệu điện tử không ổn định là dữ liệu điện tử sẽ bị mất đi khi tắt thiết bị số chứa nó, ví dụ như dữ liệu trong bộ nhớ RAM. Việc tắt nguồn máy tính có thể sẽ làm mất nên thực hiện memory dumb là việc cần thiết trong nhiều trường hợp.
Hệ điều hành Windows • Windows là một họ các hệ điều hành rất thông dụng trên thế giới . • Các hệ thống Windows cung cấp một số lượng lớn các thông tin có thể cần thiết cho công tác điều tra. • Các hệ điều hành Windows thông dụng bao gồm: • Windows 3.1 • Windows 95/98/Vista/XP/7/8 • Windows NT, Server 2003,2008 … • Được sử dụng cho cả máy tính cá nhân lẫn trên máy chủ.
Các hệ điều hành windows
Điều tra quá trình hoạt động của Windows • Nếu Pháp chứng viên có quyền truy cập vào máy tính của người bị tình nghi hoặc máy tính quan tâm, Pháp chứng viên có thể tìm thấy thông tin hoạt động của hệ thống • Trên máy tính cài Windows, Pháp chứng viên có thể chạy công cụ Event Viewer xem quá trình hoạt động của hệ điều hành
Công cụ Event Viewer • Event viewer là một công cụ tích hợp trong Windows cho phép xem lại các sự kiện đã xảy ra trong hệ thống một cách chi tiết với nhiều tham số cụ thể như: user, time, computer, services… Mỗi khi Windows khởi chạy, hệ điều hành sẽ bắt đầu ghi lại các hoạt động (event) diễn ra bên trong hệ thống. • Các sự kiện rời rạc được lọc lại thành những sự kiện giống nhau giúp chúng ta lấy được những thông tin cần thiết một cách nhanh nhất. Công cụ này là một phương tiện hiệu quả giúp Pháp chứng viên khám phá những gì đang xảy ra ở "hậu trường" của hệ điều hành.
Chọn xem Event theo phân loại
Một số dữ liệu số quan trọng khi điều tra trong Microsoft Windows • Recycle bin • Internet activity INDEX.DAT files • Tập tin chứa cookies • Shortcut files (.LINK) • Thumbnails (THUMBS.DB) • Printer spooler
Recycle bin • Khi người dùng xóa một tập tin bằng cách bình thường, tập tin bị xóa sẽ được đưa vào Reclycle Bin. • Dữ liệu trong Recycle bin chứa trong thư mục $Recycle.Bin trong mỗi phân vùng NTFS.
Internet activity INDEX.DAT • Trong quá trình duyệt web, các trình duyệt cần lưu các thông tin như user name, password, cookie, temp file, lịch sử duyệt web... • Pháp chứng viên có thể tìm kiếm các dữ liệu đã được lưu vào file INDEX.DAT bằng phần mềm Index.dat Scanner
Tập tin chứa cookies • Thông tin cookie trong các tập tin .DAT cung cấp các thông tin về thời gian truy cập đến trang web, định danh máy này với trang web đó.
Shortcut files (.LINK) • Các file shortcut giúp người dùng truy cập nhanh đến một phần mềm, file khác, đến các trang web và cả các ổ cứng trên mạng. • Từ các file shortcut, Pháp chứng viên có thể biết được hoạt động thường ngày của đối tượng, các phần mềm thường hay được dùng, các trang web thường được đối tượng truy cập
Thumbnails (THUMBS.DB) • Microsoft Windows tạo ra các bản sao thu nhỏ của các file hình ảnh, để giúp cho người dùng có thể xem được nội dung của các hình ảnh mà không cần mở, tiết kiệm thời gian đọc và xử lý file với kích thước đầy đủ. • Các bản sao thu nhỏ đó gọi là thumbnail và lưu trong các file THUMBS.DB và từ các file THUMBS.DB, • Pháp chứng viên có thể biết được hình ảnh mà thường ngày của đối tượng hay truy cập và qua đó có thể tìm ra các bằng chứng kỹ thuật số có liên quan đến vụ án.
Thumbnails
Printer spooler • Do mỗi máy in thường chỉ in được mỗi lần 1 file, nên hệ thống cần có một hàng đợi cho việc in ấn các file, hàng đợi này là Printer spooler. • Khi người dùng yêu cầu in một file, thông tin in sẽ được đưa vào hàng đợi Printer spooler. Nội dung file in được lưu vào file spool.spl, metadata của file in cần in được lưu vào file shadow.shd. • Các file trên được lưu vào C:\Windows\System32\spool\printers và khi in xong thì các file trên sẽ bị xóa. • Pháp chứng viên có thể kiểm tra được nội dung của hàng đợi cho việc in ấn các file để biết đối tượng còn đang sử dụng máy in của mình không.
Filesystem trong Windows • Windows hỗ trợ hai hệ thống tập tin chính: FAT và NTFS. • FAT16 là File system có từ lâu, từ thời MSDOS và những phiên ban đâ ̉ ̉ ̀u tiên cua Windows nh ư Windows 3.1. • ̣ FAT32 xuất hiên cu ̀ng với ban Windows 95 OEM ̉ ̣ ̉ Service Release 2 (OSR2), có không gian đia chi 32 bit. • NTFS (New Technology File System), là hệ thống tập tin tiêu chuẩn của Windows NT, bao gồm cả các phiên bản sau này của Windows.
Registry trong Windows • Registry là một hệ thống thông tin liên quan máy tính trong hệ điều hành Windows • Registry lưu tất cả các thông tin về phần cứng, phần mềm, những lựa chọn của người dùng.... • Pháp chứng viên kiểm tra được nội dung của Registry là yêu cầu tất yếu để biết đối tượng sử dụng máy tính của mình ra sao. • Con người có có thể nói dối nhưng Registry thì không nói dối.
Registry là gì • Registry là một cơ sở dữ liệu dùng để lưu trữ mọi thông số kỹ thuật của Hệ điều hành Windows. • Khi một phần cứng hoặc phần mềm mới được cài đặt trong Windows, nó sẽ lưu trữ cấu hình vào trong registry. • Windows đọc các cấu hình trong registry và biết được trình điều khiển nào cần được tải, cài đặt nào cần được áp dụng, và nguồn lực nào cần được phân bổ để thiết bị có thể làm việc. • Registry ghi nhận tất cả các thông tin khi có thay đổi hoặc chỉnh sửa trong Menu Settings, Control Panel. • Có thể sử dụng các phần mềm như Regedit, Reg, Forensic Registry EDitor
Forensic Registry EDitor Forensic Registry Editor là phần mềm mã nguồn mở được viết bởi Daniel Gillen trên Linux, Windows cho phép xem và tìm kiếm chứng cớ số trên các vùng ẩn chức Registry