Bài giảng Pháp chứng kỹ thuật số: Bài 5

Ậ Ố

Ứ

Ỹ

PHÁP CH NG K THU T S

ứ

ề

ệ ề Bài 5: Đi u tra pháp ch ng trên h đi u hành máy tính

ả

ồ

ả Gi ng viên: TS. Đàm Quang H ng H i

ả

ầ

ệ ề

ạ ầ

ả ệ ề ề

ề ạ T i sao c n ph i đi u tra h đi u hành ủ c a máy tính ể • H đi u hành là ph n m m ch y trên máy tính, dùng đ ế ị

ầ ứ t b ph n c ng và các tài

ầ

ề đi u hành, qu n lý các thi ề nguyên ph n m m trên máy tính. ử ụ • Các thông tin s d ng máy tính s đ

ứ ề

• Pháp ch ng viên c n có hi u bi ể

ở ệ ậ c ghi nh n b i h ể đi u hành và Pháp ch ng viên c n ph i tìm hi u. ệ ề ứ ầ

ế ề ằ

ẽ ượ ả ầ ế ề ể t v các H đi u hành ể trên máy tính đ khi đi u tra có th tìm ki m các b ng ch ng có liên quan.

• M t s h đi u hành thông d ng cài đ t trên máy tính

ụ ặ

ứ ộ ố ệ ề ư nh : Windows, Linux, Mac OS ..

ữ ệ

ệ ử

ọ

Phân l ai d li u đi n t

trên máy tính

ữ ệ

ệ ử ổ ị

• D li u đi n t

ệ ử ẽ ữ ệ s là d li u đi n t n đ nh ắ ị ấ ụ ế ị ố ứ t b s ch a nó, ví d t thi không b m t đi khi t ữ ệ ượ ư ị ệ ử ổ ủ ữ ệ c l u n đ nh là d li u đ c a d li u đi n t ớ ẻ ủ ứ ổ ữ đĩa c ng c a máy tính hay trên th nh tr trên USB.

ệ ử

ữ ệ

không n đ nh

ể ẽ

ự

ệ ầ

ế

ề

ợ

ữ ệ ổ ị • D li u đi n t ắ ử ẽ ị ấ ế ị ố ứ s b m t đi khi t t t thi ớ ộ ư ữ ệ nh d li u trong b nh RAM. Vi c t ấ máy tính có th s làm m t nên th c hi n memory dumb là vi c c n thi

ệ là d li u đi n ụ t b s ch a nó, ví d ồ ệ ắ t ngu n ệ ườ ng h p.

t trong nhi u tr

ệ ề

H đi u hành Windows

ệ ề

ấ

• Windows là m t h các h đi u hành r t thông

ụ

ế ớ

ộ ọ i .

d ng trên th gi ệ ố

ộ ố ượ

• Các h th ng Windows cung c p m t s l

ng

ể ầ

ề

t cho công tác đi u

ấ ế ớ l n các thông tin có th c n thi tra.

ồ

ụ

• Các h đi u hành Windows thông d ng bao g m:

ệ ề • Windows 3.1 • Windows 95/98/Vista/XP/7/8 • Windows NT, Server 2003,2008 … ượ ử ụ

ả

ẫ

• Đ c s d ng cho c máy tính cá nhân l n trên

máy ch .ủ

ệ ề

Các h đi u hành windows

ủ

ứ ậ

ặ

ứ ủ ệ ố ể ấ

ạ ộ ứ

ạ ộ

ề

ạ ộ ề Đi u tra quá trình ho t đ ng c a Windows ủ ề ế • N u Pháp ch ng viên có quy n truy c p vào máy tính c a ườ ị i b tình nghi ho c máy tính quan tâm, Pháp ch ng ng viên có th tìm th y thông tin ho t đ ng c a h th ng ể ạ • Trên máy tính cài Windows, Pháp ch ng viên có th ch y ủ ệ công c ụ Event Viewer xem quá trình ho t đ ng c a h đi u hành

ụ

Công c Event Viewer

ợ ụ • Event viewer là m t công c tích h p trong Windows cho

ệ ố

ộ ự ệ ề

ỗ ạ

ề ạ ộ ả ố ụ ể ư ở i các ho t đ ng (event) di n ra

ự ệ ờ ạ ượ ọ ạ ự ệ ộ ạ i các s ki n đã x y ra trong h th ng m t phép xem l ế ớ t v i nhi u tham s c th nh : user, time, cách chi ti ệ computer, services… M i khi Windows kh i ch y, h ễ ạ ẽ ắ ầ đi u hành s b t đ u ghi l ệ ố bên trong h th ng. • Các s ki n r i r c đ

ấ ượ ữ

ấ

ả ở ậ ườ ữ i thành nh ng s ki n c l c l ầ ố c nh ng thông tin c n gi ng nhau giúp chúng ta l y đ ộ ươ ộ ụ ế ng t m t cách nhanh nh t. Công c này là m t ph thi ữ ứ ệ ệ ti n hi u qu giúp Pháp ch ng viên khám phá nh ng gì ả đang x y ra ủ ệ ề ng" c a h đi u hành. "h u tr

ọ

ạ Ch n xem Event theo phân lo i

ộ ố ữ ệ ố

ề

ọ

M t s d li u s quan tr ng khi đi u tra trong Microsoft Windows • Recycle bin

•

Internet activity INDEX.DAT files

ậ

ứ

• T p tin ch a cookies • Shortcut files (.LINK) • Thumbnails (THUMBS.DB) • Printer spooler

ị

ằ ộ ậ ườ i dùng xóa m t t p tin b ng cách bình ẽ ượ ư ậ c đ a vào Reclycle ng, t p tin b xóa s đ

Recycle bin • Khi ng ườ th Bin.

ữ ệ

ư ụ

ứ

• D li u trong Recycle bin ch a trong th m c ỗ

$Recycle.Bin trong m i phân vùng NTFS.

Internet activity INDEX.DAT

ệ ầ ư

ệ

• Trong quá trình duy t web, các trình duy t c n l u

ị

ư các thông tin nh user name, password, cookie, ử temp file, l ch s duy t web... ế

ứ ượ ư

ữ ệ ầ

ề

ằ

ệ ể • Pháp ch ng viên có th tìm ki m các d li u đã c l u vào file INDEX.DAT b ng ph n m m

đ Index.dat Scanner

ậ

ứ T p tin ch a cookies

ậ

ấ

ề ờ

ậ

ớ

ị

• Thông tin cookie trong các t p tin .DAT cung c p ế các thông tin v th i gian truy c p đ n trang web, đ nh danh máy này v i trang web đó.

Shortcut files (.LINK)

ậ

ế ổ ứ ề ầ ả ộ i dùng truy c p nhanh đ n m t c ng

ạ ườ • Các file shortcut giúp ng ế ph n m m, file khác, đ n các trang web và c các trên m ng.

• T các file shortcut, Pháp ch ng viên có th bi

ứ t đ

ủ ố ượ

ườ ng ngày c a đ i t c dùng, các trang web th ể ế ượ c ề ầ ng, các ph n m m ượ ố c đ i ng đ

ừ ườ ạ ộ ho t đ ng th ượ ườ ng hay đ th ậ ượ ng truy c p t

ạ

ể

ỏ ủ ể i dùng có th c n i dung c a các hình nh mà không ớ

ủ ờ

ử

ệ

ọ t ki m th i gian đ c và x lý file v i

Thumbnails (THUMBS.DB) ả • Microsoft Windows t o ra các b n sao thu nh c a ườ ả các file hình nh, đ giúp cho ng ả ượ ộ xem đ ầ ở ế c n m , ti ướ ầ ủ c đ y đ . kích th ỏ ả

ư

ọ

• Các b n sao thu nh đó g i là thumbnail và l u

ừ

các file

trong các file THUMBS.DB và t THUMBS.DB, ứ

ể ế ượ

ả c hình nh mà

t đ

ườ

• Pháp ch ng viên có th bi ủ ố ượ ằ

ng ngày c a đ i t ể

ậ ng hay truy c p và qua đó ậ ố ứ

ỹ

ế ụ

th có th tìm ra các b ng ch ng k thu t s có liên quan đ n v án.

Thumbnails

ườ ượ

Printer spooler ỗ • Do m i máy in th ộ ầ

ỗ ầ ấ

ườ ầ ộ i dùng yêu c u in m t file, thông tin in s đ c

ợ ộ

ủ ầ ẽ ượ ượ c ượ ư c l u

• Các file trên đ

ỉ ệ ng ch in đ c m i l n 1 file, nên h ệ ợ ố th ng c n có m t hàng đ i cho vi c in n các file, hàng ợ đ i này là Printer spooler. • Khi ng ư đ a vào hàng đ i Printer spooler. N i dung file in đ ư l u vào file spool.spl, metadata c a file in c n in đ vào file shadow.shd. ượ ư c l u vào

ẽ ị

C:\Windows\System32\spool\printers và khi in xong thì các file trên s b xóa. ứ ể ể

• Pháp ch ng viên có th ki m tra đ ấ ợ đ i cho vi c in n các file đ bi ủ ụ d ng máy in c a mình không.

ệ ượ ộ ể ế ố ượ t đ i t ủ c n i dung c a hàng ử ng còn đang s

Filesystem trong Windows

ỗ ợ

ậ

ệ ố • Windows h tr hai h th ng t p tin chính: FAT

̀ ơ

̀ lâu, t

th i MSDOS

̉ ̉

và NTFS. ́ • FAT16 la File system co t ̀ ư ư va nh ng phiên ban đâ u tiên cua Windows nh Windows 3.1.

̣ ̉

́ • FAT32 xuâ t hiên cu ng v i ban Windows 95 OEM ơ Service Release 2 (OSR2), co không gian đia chi 32 bit.

ệ ố ồ

ả

• NTFS (New Technology File System), là h th ng ả ẩ ủ ậ t p tin tiêu chu n c a Windows NT, bao g m c ủ các phiên b n sau này c a Windows.

̣ ̉

Registry trong Windows

ộ ệ ố

• Registry là m t h th ng thông tin liên quan máy

tính trong h đi u hành Windows

ệ ề ư ấ ả

• Registry l u t

ầ

ọ ủ

ề ph n m m, nh ng l a ch n c a ng ượ ộ

ề ứ

• Pháp ch ng viên ki m tra đ

ầ ứ t c các thông tin v ph n c ng, ữ i dùng.... ủ ử ể ế ố ượ ng s

ườ c n i dung c a t đ i t

t y u đ bi

ầ ấ ế ủ

ự ể Registry là yêu c u t d ng máy tính c a mình ra sao.

ườ

ư

ể

ố

i có có th nói d i nh ng Registry thì

ụ • Con ng

không nói d i.ố

Registry là gì

• Registry là m t c s d li u dùng đ l u tr m i thông

ữ ọ

ậ ủ

ớ ượ ầ ứ ề ặ ộ c cài đ t

ầ ữ ấ trong Windows, nó s l u tr c u hình vào trong registry.

ọ ể ư ộ ơ ở ữ ệ ệ ề ố ỹ s k thu t c a H đi u hành Windows. ặ • Khi m t ph n c ng ho c ph n m m m i đ ẽ ư ấ • Windows đ c các c u hình trong registry và bi

ặ ề

ổ ể ồ ự ầ ượ ế ượ t đ c ầ ượ c i, cài đ t nào c n đ ế ị t b c phân b đ thi

ụ ể ệ

ậ ấ ả ặ ổ t c các thông tin khi có thay đ i ho c

ầ ượ ả ể trình đi u khi n nào c n đ c t áp d ng, và ngu n l c nào c n đ có th làm vi c. • Registry ghi nh n t ử ỉ

ể ử ụ ư ề

ch nh s a trong Menu Settings, Control Panel. ầ • Có th s d ng các ph n m m nh Regedit, Reg, Forensic Registry EDitor

ở ượ

ề

ồ

ế ở

t b i

ớ ố

ứ

ẩ

Forensic Registry EDitor ầ c vi Forensic Registry Editor là ph n m m mã ngu n m đ Daniel Gillen trên Linux, Windows cho phép xem và tìm ki m ế ch ng c s trên các vùng n ch c Registry

ồ

ố ủ Ngu n g c c a Registry

• Tr

ướ c khi có Windows Registry: (DOS, Windows 3.x),

ệ ề ứ thông tin H đi u hành ch a trong các t p tin INI.

ể ầ ậ • SYSTEM.INI T p tin này ki m soát t ậ ấ ả t c các ph n

ấ ả t c các màn hình và

ệ ố ứ c ng trên h th ng máy tính. ậ WIN.INI T p tin này ki m soát t các ng d ng trên h th ng.

ậ ượ ể ệ ố ử ụ • Các ng d ng khác s d ng các t p tin INI riêng đ c

ụ ứ ụ ứ ế ớ liên k t v i WIN.INI.

ừ ả ư • T Windows 9x/NT 3.5 đã đ a ra h th ng Registry qu n

ậ ệ ố lý trên các t p tin System.dat, và User.dat.

ậ ừ

Thông tin thu th p t

Registry

ế ị

ườ

ệ ố t b trên h th ng i dùng

ệ ỳ ọ t l p cá nhân và Tu ch n cho trình duy t

ượ

ự

ệ

ệ ở c mượ ng trình đ

c th c hi n

ấ • C u hình h th ng ệ ố • Thi • Tên ng ế ậ • Thi ạ ộ • Ho t đ ng duy t web • Các file đ ươ • Các ch ẩ ậ • Các m t kh u

Windows 9x

system.dat

C:\Windows

File bảo mật lưu trữ tất cả người dùng. Tất cả các chương trình cài đặt và thiết lập Thiết lập hệ thống

C:\Windows

Tập tin chứa thông tin sử dụng mới nhất Cài đặt ưu tiên của người sử dụng

user.dat Nếu có nhiều người dùng, mỗi người dùng có một tập tin user.dat cá nhân windows\profiles\user account

Filename Location Content

Windows XP Registry

Filename

Location

Content

\Documents and Settings\user account

Tập tin bảo mật chứa thông tin sử dụng mới nhất Cài đặt ưu tiên của người sử dụng

ntuser.dat Nếu có nhiều người dùng, mỗi người dùng có một tập tin user.dat cá nhân windows\profiles\user account

Default

\Windows\system32\config Các thiết lập hệ thống chuẩn (System settings)

SAM

\Windows\system32\config Quản lý tài khoản người dùng và thiết lập bảo mật

Security

\Windows\system32\config

Thiết lập bảo mật (Security settings)

Software

\Windows\system32\config

Tất cả các chương trình cài đặt và các thiết lập

System

\Windows\system32\config Các thiết lập hệ thống

(System settings)

Windows 7/8 Registry

• Registry đ

• HKEY_LOCAL_MACHINE \SYSTEM :

ượ ẩ ư ụ ế ạ ậ c n trong các th m c và h n ch truy c p

• HKEY_LOCAL_MACHINE \SAM :

\system32\config\system

• HKEY_LOCAL_MACHINE \SECURITY :

\system32\config\sam

• HKEY_LOCAL_MACHINE \SOFTWARE :

\system32\config\security

• HKEY_USERS \UserProfile : \winnt\profiles\username • HKEY_USERS.DEFAULT : \system32\config\default

\system32\config\software

ấ

ủ C u trúc c a Registry

ư ụ ấ ố • Registry có c u trúc cây, gi ng c u trúc cây th m c trong

ượ ng có 5 nhánh chính. M i nhánh đ

ấ ử ổ c a s Windows Explorer. • Thông th ệ ữ ữ ườ ụ ư c giao ệ ư ỗ ặ nh ng thông tin đ c tr ng riêng bi nhi m v l u gi

ề ấ

t. ồ • Trong các nhánh chính bao g m r t nhi u khoá và cũng ữ ữ ể ư ượ ư ặ đ

ị ự ư ậ ươ nh ng thông tin đ c tr ng riêng. ơ ự ế • Các khoá (K.@.y) ch a các giá tr (Value) là n i tr c ti p ơ ự ế nh t p tin là n i tr c ti p ng t

ữ ữ ữ ệ ậ c phân ra đ l u gi ứ các thông tin, t d li u v y. ư l u gi ư l u gi

ộ

ủ N i dung c a Registry • Root Keys

ữ

• HKEY_CLASSES_ROOT (HKCR): L u nh ng thông tin dùng ữ ệ ế

ộ ệ ố ứ

ư ệ

ườ

ữ

ng ch a nh ng liên k t đ n các file th vi n liên k t

ề ư ể ậ chung cho toàn b h th ng nh ki u t p tin, các menu, các d li u v ế ế ệ ố h th ng th ộ đ ng .dll.

ữ

ầ

• HKEY_CURRENT_USER (HKCU): L u nh ng thông tin v ph n

ế ậ

ủ

ự

ề

ọ

ư ườ t l p ... c a ng

ề i dùng đang Logon

m m, các l a ch n, các thi

ố

ầ

ầ ứ

ườ

ề

• HKEY_LOCAL_MACHINE (HKLM): L u nh ng thông tin v h ề ệ i dùng.

ữ ấ ả t c các ng th ng, ph n c ng, ph n m m dùng chung cho t • HKEY_USERS (HKU): L u nh ng thông tin c a t ủ ấ ả ứ

ữ

ủ

ỗ

ộ ủ ừ

ố ổ ợ

ặ

ữ t c các User, ớ m i user là m t khoá v i tên là s ID c a user đó, ch a nh ng thông tin đ c tr ng c a t ng User, nó b tr cho nhánh HKEY_CURRENT_USER.

ề

ầ

• HKEY_CURRENT_CONFIG (HKCC): L u thông tin v ph n

ế ị

ề

ạ

ư ể

ứ c ng, các thi

t b ngo i vi, các trình đi u khi n (drivers) đang dùng.

ể ữ ệ

Các ki u d li u dùng trong Registry

• REG_BINARY: Ki u nh phân 32 BIT

ể ể ườ i dùng

ơ ố ậ

ệ t. VD:

ở ộ ẫ ị REG_DWORD: Ki u Double Word cho phép ng nh p theo c s 16 (HEX) ho c c s 10 (DECIMAL) ể REG_EXPAND_SZ: Ki u chu i m r ng đ c bi "%SystemRoot%" thay cho đ ặ ơ ố ỗ ặ ườ ng d n Windows\System32

ộ ườ i dùng

ề ể ữ ệ ệ ằ ỗ t b ng phím Enter đ cách

ườ ể ỗ REG_MULTI_SZ: M t ki u d li u cho phép ng ể ậ nh p nhi u chu i, phân bi dòng. REG_SZ: Ki u chu i thông th ng.

ề

Đi u tra trong Registry

ế

ổ

ố

ờ • Các Registry Keys l u th i gian bi n đ i cu i cùng

ư (modified timestamp)

ả ử ướ ạ

ế

ị

i d ng Binary • Các timestamp ph i s a d ỉ • Thu th p các thông tin liên quan đ n đ a ch

ế

ườ

• Thu th p các thông tin liên quan đ n ng

i dùng –

ậ Website ậ ệ

ể t là các user dùng đ chat trong Yahoo

ặ đ c bi Messenger, ICQ,

ị

ỉ Các đ a ch Websites

Websites

ề

Đi u tra trong Yahoo messenger

ườ

ế i dùng thay th

ố

ẩ

• Thông tin các phòng chat • Danh tính ng ậ ườ • Ng i dùng đăng nh p cu i cùng ậ • M t kh u (có mã hóa) ạ ầ • Các liên l c g n đây ệ • Tên đăng ký hi n trên màn hình

Các USB Devices

ế

ạ

Thông tin liên quan đ n M ng

ể

• Các thông tin có th thu th p t

Registry liên quan

ậ ừ ủ ố ượ

ạ

ệ ử ụ

ng:

ế đ n vi c s d ng M ng c a đ i t • Local groups • Local users • Map network drive MRU • Network Printers

ế

Thông tin liên quan đ n Winzip

ố ủ ố ượ

ử ụ

Thông tin s d ng cu i c a đ i t

ng

ứ

ụ

ậ

ượ

• Danh sách các ng d ng và tên t p tin đ

ở c m

ấ

ầ

g n nh t trong Windows

ủ ệ ố

ề ờ

Thông tin v th i gian c a h th ng

• Thông tin nh Timezone trên máy c a đ i t

ng

ạ

ư cũng là các thông tin mang l

ủ ố ượ ố ữ ầ i các đ u m i h u ích

ệ ề

H đi u hành Linux

ả

ệ ề

• Phiên b n h đi u hành Linux 1.0 đ u tiên ế

ạ

ầ

ạ ọ i Đ i h c ượ c

ướ ả

ể

ầ t vào năm 1991 t ệ ề i Ph n Lan. H đi u hành Linux đ ị ườ i b n

do Linus Torvalds vi ạ Helsinki t ng d phát tri n và tung ra trên th tr quy n GNU General Public License.

ề ệ ề

ở

c phát tri n b i

ồ

ế ớ

ồ

ể i.

ử ụ

ệ • H đi u hành Linux hi n có các nhánh Ubuntu, ủ ế ượ ắ ở • Linux hiên s d ng r ng rãi trên các Server và trên

ề

ầ

ớ

ỗ ợ

Fedora, CentOS..., và ch y u đ ộ c ng đ ng mã ngu n m trên kh p th gi ộ máy tính cá nhân v i khá nhi u ph n m m h tr phong phú.

ệ ề

H đi u hành Linux

ệ ố

ậ

H th ng t p tin trong Linux

• Các h th ng Linux hi n nay ph n l n s d ng h th ng

ệ ố ệ ố

ấ ế ừ ừ ầ ớ ử ụ ệ ớ Ext2. (m i nh t Ext4) ậ t p tin Ext3 k th a t

ạ ệ ố

• Bên c ch Ext, còn có các h th ng Linux khác: ổ ế . • ReiserFS (Namesys): không còn s d ng ph bi n ử • XFS (Silicon Graphics ): h th ng HĐH IRIX x lý các

ử ụ

ấ ớ ượ ậ t p tin r t l n và thông l

ệ ố ấ ng r t cao. ạ .

ượ ệ ề • JFS (IBM): cho h đi u hành AIX ,h t nhân Linux • YAFFS2 và JFFS2 là h th ng t p tin đ c thi ế ế ể ử t k đ s

ệ ố ữ ư ậ ụ d ng trên flash và l u tr nhúng.

ầ ủ ệ ố

ậ

Các thành ph n c a h th ng t p tin

• Super Block: là m t c u trúc đ

ượ ạ ạ ị c t o t

ắ ầ ậ ộ ấ ư ữ ậ

ề ệ ố ế ắ ố

•

i v trí b t đ u ệ ố h th ng t p tin. Nó l u tr thông tin v h th ng t p tin ờ ư nh : blocksize, free block, th i gian g n k t (mount) cu i ủ ậ cùng c a t p tin.

ữ ậ

ư ư ụ ượ ạ ệ ố Inode (256 byte): L u nh ng thông tin v nh ng t p tin và th m c đ ề ữ ậ c t o ra trong h th ng t p tin.

ư ữ ệ ữ

ư ụ ườ ng ch a 1024 byte. Ngay khi t p tin ch có 1

ứ ả ấ ậ ể ư ự ự ủ ậ • Storageblock: Là vùng l u d li u th c s c a t p tin ỗ và th m c. Nó chia thành nh ng Data Block. M i ỉ block th ự ký t thì cũng ph i c p phát 1 block đ l u nó.

ạ ậ

Các lo i t p tin trong Linux

• T p tin d li u

ậ ố ị ế ị ư ữ ệ ư ậ ữ ữ ữ ệ : Đây là t p tin theo đ nh nghĩa truy n ề ư t b l u tr nh

ứ th ng, nó là d li u l u tr trên các thi đĩa c ng, CDROM,…

• T p tin th m c

ữ ệ ứ

ậ ứ ư ụ ủ

ư ụ ữ ườ ộ ậ ậ ủ ậ

ỉ ư ụ : Th m c không ch a d li u, mà ch ch a các thông tin c a nh ng t p tin và th m c con trong ứ ư ụ ng c a m t t p tin là tên t p tin nó. Th m c ch a hai tr và inode number.

ậ

Các t p tin thi

ế ị t b

ệ ố ế ế ị :H th ng Unix và Linux xem các thi t

t b ậ ậ • T p tin thi ị ư b nh là các t p tin.

• Ra vào d li u trên các t p tin này chính là ra vào d li u

ữ ệ ậ

ữ ệ ế ị t b . cho thi

• Ví d khi chúng ta mu n chép d li u ra

ố ụ ữ ệ ổ

ậ c đ a vào t p tin t

ẽ đĩa A: thì s ậ ệ ệ ự ặ chép vào t p tin /dev/fd0 ho c khi chúng ta th c hi n vi c ứ ươ ượ ư ữ ệ in thì d li u vào máy in đ ng ng cho máy in.

ị ữ ệ

ơ

Đ n v d li u Data unit

• Đ n v d li u trong h th ng t p tin Ext đ

ị ữ ệ ệ ố ậ ượ ọ c g i là

ơ ố kh i (block).

• Kích th

ướ ặ ỗ c m i block: 1, 2 ho c 4K

• M i kh i có 1 đ a ch và đ

ố ỉ ị ượ ả ả c mô t ả trong b ng mô t

ỗ kh i.ố

ẽ ấ ầ ộ ữ ố • Khi ghi d li u vào m t kh i, kernel Linux s l p đ y d

ệ ố ữ ệ li u vào các kh i “zeros”.

ữ ệ

Siêu d li u Metadata

ữ ệ

file, nó cho bi ờ ề

ữ ữ ệ

ể

ế ị ả t v trí Metadata: là d li u mô t ọ ướ ư l u tr các file, kích th c file, th i gian đ c và ghi d li u vào file, các thông tin đi u khi n truy nh p.ậ

•

ờ

ậ

ư ụ ượ ử ổ

•

ộ c s a đ i. ộ

ậ

c đ c.

•

ữ ệ

ượ

c

ỉ

•

ậ

ị

ậ (M)odified: Là th i gian c p nh t các n i dung ặ ủ ậ c a t p tin ho c th m c đ ượ ậ (A)ccessed: Đ c c p nh t khi các n i dung ư ụ ượ ọ ặ ủ ậ c a t p tin ho c th m c đ ờ ố (C)hanged: M c th i gian khi d li u đ ử ch nh s a ậ (D)eleted: C p nh t khi t p tin b xóa.

ụ ậ Công c nh t ký

Journal Tools

ỉ

•

ạ ổ ỗ ầ • Là thành ph n ch có trên Ext3 mà Ext2 không có. • Nhi m v chính là ghi l i thay đ i metadata trên m i

ụ ượ c đánh th t ắ ầ ả ớ , sau đó t

(sequence number) ộ ố ữ ệ ậ

ệ ứ ự block đ ớ Journal b t đ u v i m t block mô t i 1 hay ế ề nhi u block d li u, cu i cùng là block xác nh n k t thúc (commit).

ả

Qu n lý phân vùng trên Linux

ề ặ

ượ ượ c c xác

ộ ệ ố • M t h th ng Linux có 1 ho c nhi u phân vùng đ ở ả qu n lý b i LVM (Logical volume Manager), đ ở ệ ị đ nh b i l nh fdisk l

• S hi n di n c a 1 phân vùng LVM đ

ự ệ ượ ằ ị c xác đ nh b ng

ế ệ ủ ể cách ki m ki u phân vùng 8e

ở ộ

ế

ị

ụ

Ti n trình kh i đ ng Linux và d ch v

ể ấ

ở ộ ọ ượ c mô t

ủ ở ộ ề Hi u v quá trình kh i đ ng c a Linux r t quan tr ng trong ả ứ ệ công vi c pháp ch ng. Quá trình kh i đ ng đ ư ướ ọ c nh sau: ng n g n qua 4 b ả ở ộ ạ

ở ư ụ th m c /boot ể ề i kernel ứ ế ị ắ ộ • N p b kh i đ ng, t ạ ậ • RAM n p t p tin init.d ch a trình đi u khi n thi t b và

ệ ố module h th ng t p tin. ạ ứ ầ ạ ệ • Kernel n p h th ng ph n c ng. Sau đó, kernel n p h

ậ ệ ố ắ ầ ề đi u hành và b t đ u ti n trình /sbin/init.

ở ộ ể ấ ế • Khi init kh i đ ng, có 2 cách kh i đ ng đ hoàn t t quá

ở ộ ở ộ trình kh i đ ng: System V và BSD.

System V

• Cách kh i đ ng ph bi n nh t c a Linux.

ổ ế ở ộ ấ ủ

• Đ c file /etc/inittab đ xác đ nh run level

ể ọ ị

ả ụ ệ ụ các nhi m v / công c mà

• Run level (1,2,3,5): mô t máy tính s th c hi n.

ẽ ự ệ

ệ ẽ ấ

ườ • VD: Level 3 s cung c p m t môi tr ộ ộ ấ ườ ẽ ể khi n, trong khi level 5 s xu t ra m t môi tr ề ng giao di n đi u ồ ọ ng đ h a

ậ ẻ ụ ể

ể ạ ộ ệ ố ậ

ở ị

ề ậ ộ ộ • K xâm nh p có th t o m t script đ duy trì liên t c ậ ị truy c p vào m t h th ng b xâm nh p. Ta nên xem sét ẩ ậ ấ ả c n th n t t c các k ch b n tham gia vào quá trình kh i ượ ộ đ ng đ ả c trong các cu c đi u tra xâm nh p.

System V

ỗ ự ự ề ộ

• M i m c runlevel th c s là m t liên k t m m v i m t c b t đ u ho c d ng

ụ ả ớ ặ ừ ế ắ ầ

ộ ộ ẽ ượ ị k ch b n trong file /etc/init.d, s đ ế ạ i tùy thu c vào tên c a liên k t. l

ế ấ ở ộ kh i đ ng

ắ ầ ế ắ ầ ế ớ ủ ứ ự ằ • Liên k t tên b t đ u b ng “S” cho th y th t và các liên k t b t đ u v i “K” – kill (k t thúc).

BSD Berkeley Software Distribution

ộ

ơ ụ ệ ố ả ạ ị ứ ạ ọ • Quá trình BSD có m t chút ph c t p h n. Init BSD đ c ể ị i /etc/rc xác đ nh các d ch v h th ng có th

ị k ch b n t ch y.ạ

ấ ượ ọ ị ụ c đ c /etc/rc.conf và các d ch v

• Thông tin c u hình đ b sung đ ch y t

ể ạ ừ ổ /etc/rc.local.

• Trong m t s tr

ứ ợ ng h p đây là m c đ c u hình init,

ộ ố ườ ề ấ ể ổ ư nh ng v n đ khác cũng có th b sung ộ ấ ở /etc/rc.d.

• BSD đang đ

ượ ử ụ ở c s d ng b i Slackware và Arch Linux.

ụ

ị

Các d ch v trên linux – Service

ị ượ ụ ng đ

ươ ườ ườ • Service (d ch v ) th ị ng tác đ ng trình xác đ nh ch y ươ ng là không t daemon là m t ộ ọ c g i là ố ệ ủ ạ ở ề n n c a h th ng và ượ noninteractive). c( ch th

• Các ch

ươ ề

ng trình đó đ ồ ượ ử ụ ầ ả ứ

ụ c s d ng cho nhi u m c đích hardware), truy network access), theo dõi (monitoring), ghi log

khác nhau bao g m: qu n lý ph n c ng ( ạ ậ c p m ng ( (logging).

ộ ậ ợ ị ụ ề • T t c các h đi u hành đ u có m t t p h p các d ch v

ấ ả ể ự ộ ệ ề ự ạ ộ ề đ t đ ng th c thi nhi u ho t đ ng.

ể ế ị ạ ở ạ ở t d ch v đang ch y ch y level nào:

ụ • Đ bi Code: # /sbin/chkconfig – list

ệ ố

ấ

H th ng Filesystem phân c p trong Linux

ấ ả ậ

i d

đĩa di đ ng, máy ch t

ấ

ư ụ ố

ướ ệ ệ ố

ậ ẽ s xu t hi n phân c p và bên d

ư ụ ố i th m c g c “/”. ụ ộ ủ ừ ộ xa, đĩa c c b i h h th ng th m c g c (root).

Hierarchy Standard (FHS) ư ụ ồ ạ ướ • T t c t p tin/th m c t n t ư ổ ệ ố • Các h th ng t p tin nh ệ ấ

ề

ự ậ

ộ Quy n và thu c tính files ể ọ • T p tin có th : đ c (read), ghi (write), th c thi (exec)

• Quy n s h u t p tin, th m c d a vào UID (user id).

ở ữ ậ ư ụ ự ề

GID (group id)

ộ ề ồ

ể ậ

• Thu c tính có th quan tâm khi đi u tra g m: ậ § (A): không c p nh t § (a): ch thêmỉ ấ ế § (i): b t bi n ữ ệ (j): d li u nh t ký đ

ượ ậ ạ c kích ho t

ả ứ ụ • Khi th c hi n các công c pháp ch ng ph i đ m b o

ế ộ ưở ệ ả ả ả ị ủ ng đ n giá tr c a thu c tính. ự không làm nh h

ậ

ẩ

T p tin n (Hidden files)

ệ ố ẩ

ượ ử ụ • Trên h th ng Linux, các t p tin n đ ộ ấ ằ ầ ằ ấ

ậ c s d ng b ng ủ ậ cách thêm vào đ u tên c a t p tin b ng m t d u ch m “.”

ữ ượ ể ậ ị ị c hi n th trong

ặ • Nh ng t p tin m c đ nh s không đ ụ ứ ệ ế ệ ầ ẽ ồ ọ h u h t các ng d ng đ h a và ti n ích dòng l nh.

• Các t p tin n và th m c n là cách r t thô s đ che

ư ụ ẩ ơ ể ấ

ậ ấ ữ ệ ượ ử ụ ẩ gi u d li u và không đ c s d ng công khai.

ư ụ

Th m c /tmp (temp)

•

ượ ọ ủ ệ ố ả /tmp đ c g i là “bãi rác o” c a h th ng Linux .

• Nó th

ượ ờ ủ ạ ậ ộ c dùng cho các t p tin t m th i c a m t

ườ ng đ ụ ể user c th .

• T t c ng

ấ ả ườ ữ ệ ở ư ụ ể i dùng có th ghi d li u th m c này.

ề ề ặ ữ ệ

ờ ể ế i dùng không bao gi

ư ụ ầ ậ ệ ố => Là ti n đ cho k t n công đ t d li u vào h th ng ự ki m tra s trong khi h u h t ng ấ ồ ạ t n t ẻ ấ ườ i các t p tin x u trong th m c này.

ậ

ẩ

ườ

M t kh u ng

i dùng trong Linux

• Thông tin liên quan đ n tài kho n ng

ế ả ườ ằ i dùng n m trong

file “/etc/passwd”.

ườ ứ • T p tin passwd ch a m t danh sách ng ậ ộ ư ụ ủ ứ ẫ ầ i dùng và ng d n đ y đ cho th m c ch a các t p tin cá nhân

ậ ườ đ ủ ọ c a h .

• Nguy c b o m t khá l n t

ơ ả ớ ừ ấ ả ườ t c ng i

ề file passwd là t ể ọ ượ ậ ệ ố dùng trên h th ng đ u có th đ c đ c.

• T p tin /etc/passwd th

ườ ả

ậ ộ ệ ố ng là t p tin khá dài, ngay c trên ộ ậ ử ụ ậ m t h th ng s d ng đ c l p.

ậ

T p tin /etc/passwd

• M t dòng

ộ ể đi n hình trong file “/etc/passwd”:

forensics:x:500:500::/home/forensics:/bin/bash § Username : forensics § Hash password : x

500

500 i dùng : ườ ử ụ ủ ườ ườ ườ ủ i dùng : Id c a ng ườ ủ Id group c a ng ầ ủ ủ § Tên đ y đ c a ng ẫ § Đ ng d n chính c a ể ố i s d ng : (đ tr ng) ụ ư th m c ng i dùng:

/home/forensics

§ Ch

ươ ườ ng trình ch y lúc đăng nh p ban đ u (th ng là

ặ ị ườ ạ ủ shell m c đ nh c a ng ậ i dùng) : ầ /bin/bash

ậ

T p tin /etc/shadow

ả ng đ

ượ ấ ườ i dùng th c ạ ạ i h n ph m vi t n

ẩ

c mã hóa:

bôi đỏ

§ Username : root § M t kh u đã đ §

ượ ẩ

S ngày m t kh u thay đ i l n cu i:

ố 139

ố

ổ ầ ậ i đa :

ậ ố § Ngày t § ố ầ ố

i s d ng:

ự ữ ể

ậ ể ẩ 0 ổ i thi u thay đ i m t kh u: ẩ ố ậ ậ S l n nh p m t kh u t 9999 ừơ ử ụ ế ạ ả S ngày c nh báo h t h n ng § Ngày h t h n tuy t đ i: ệ ố 7 ế ạ § D tr đ dùng trong t ươ

ng lai

ườ ủ Hash password c a các tài kho n ng ể ớ ữ ư l u tr trong file “/etc/shadow” đ gi ụ ộ công c c b . root:$1$gsGAI2/j$jWMnLc0zHFtlBDveRqw3i/:139:0:99999:7:::

ư ụ

Th m c Home và Log files

• Trên môi tr ườ

ườ ư ụ ủ ặ ị

ng GNOME, các th m c m c đ nh c a i dùng là : Desktop, Documents, Downloads, Music,

ng Pictures, Public, Templates, Video.

• Ngoài ra: Th m c ssh ch a các t p tin liên quan t

ư ụ ứ ớ i

ệ ử ụ ườ ủ ậ vi c s d ng Secure Shell (ssh) c a ng i dùng.

• Khi ng

ườ ộ ớ i dùng k t n i ssh v i m t máy ch t

ế ố ỉ ặ ằ xa b ng ượ c ghi

ậ ủ ừ ị tên máy ho c đ a ch IP và khóa công khai thì đ nh n vào file .ssh/known_hosts

ư ụ

Th m c Home

ủ ụ ư ằ – Các th m c n m trên Desktop c a

• Desktop: i ườ • Documents:

ứ ả ả

tính,

ủ ừ ự . ng t máy ch t xa.

ạ

ị

ị ư – V trí m c đ nh l u các file hình nh. ườ ẻ ớ ậ ặ ị ượ ữ ả c chia s v i nh ng ng i dùng. ệ – Ch a các file tài li u văn b n, b ng ươ ế thuy t trình và các file t • Downloads: ả ề ừ ậ – Các t p tin t i v t • Music: – V trí m c đ nh l u các file nh c. ư ặ ị • Pictures: • Public: –T p tin đ

ệ ẫ

các m u tài li u. ặ ị ị khác. • Templates: – Gi ữ • Videos: – V trí m c đ nh cho video.

ư ụ

Th m c Home

ậ

• Ngoài các th m c “useraccessible” còn có các t p tin và các th m c n. M t s có th ch a d li u pháp lý i (đ dùng)

ể ứ ữ ệ ủ ộ ố ặ ườ ộ ư ụ ư ụ ẩ ạ đ ng t o ra ho c là do hành đ ng c a ng ượ ự ộ c t

• Khi m t tài kho n ng ậ

ộ ườ

ị ư ế ư ụ ổ ả ư ụ ế

ứ ữ ệ ườ ụ ỏ ệ ố i dùng b xóa kh i h th ng ạ ể i. Unix, các th m c, t p tin l u v t có th còn sót l ư Khi đó tìm ki m trong các th m c b sung trong th ể m c “/home” có th còn ch a d li u ng i dùng cũ.

ư ụ

Th m c Home

• Th m c n

ứ ứ ư ụ ẩ “.gconf” ch a các t p tin c u hình ng

ấ ư ụ ậ ấ ụ d ng GNOME khác nhau theo c u trúc th m c.

• Đi n hình là th m c

ể

ư ụ “.gconf/apps/nautilus/desktop ứ

ấ ỳ ươ ậ ệ ở

ư ụ metadata/,” ch a các th m c con cho b t k ph ng ử ề tri n truy n thông nào x lý b i GNOME qua các t p tin “%gconf.xml”.

ả

B n ghi (Log Files)

• Đ c l u tr t ượ ư • Th ườ

ư ụ “/var/log” i th m c: ữ ớ

ườ ử ụ ặ ở i s d ng ho c do c t o ra b i ng

ữ ạ ả ượ ư c l u tr trong văn b n rõ ràng, v i 1 dòng ng đ ỗ ự ệ cho m i s ki n. • Bao g m 2 ki u chính: ể ồ ượ ạ ả + Các b n ghi đ ạ ộ các ho t đ ng theo dõi.

ượ ạ ệ ố ở ả + Các b n ghi đ ạ ộ c t o ra b i ho t đ ng h th ng.

ả

B n ghi (Log Files)

ủ ậ ườ ệ i dùng trên h

• Thông tin phân tích đăng nh p c a ng ượ ư ố th ng Linux đ + “/var/run/utmp,”

ữ ậ c l u tr trong 3 t p tin chính:

+ “/var/log/wtmp,”

• Ngoài ra còn có Syslog, ho t đ ng trên mô hình client ạ ộ ể ừ ượ

+ “/var/log/lastlog.”

ạ ể ề ự ệ i đ đi u khi n t c ghi l

server, cho phép s ki n đ xa.

ồ

ượ ượ ậ ứ c truy n qua giao th c UDP (các ngu n tin c xác th c và không tin c y), có th giúp cho

• Syslog đ không đ ẻ ấ k t n công gi

ề ự ả ạ ắ ừ m o tin nh n t ể xa vào Syslog.

/var/run/wtmp

/var/log/wtmp

/var/log/lastlog

ơ ế ậ ị

C ch l p l ch (Scheduling Tasks)

ệ ố ể ộ ị

ệ ơ ế H th ng Linux có 2 c ch chính đ lên l ch cho m t ươ ự công vi c th c thi trong t ng lai:

• T i m t th i đi m ờ ể : ầ ụ

ệ ạ ụ ể ể ờ i 1 th i đi m c th trong

ươ ạ ộ ạ Ch y nhi m v 1 l n, t ng lai. t

ỳ:

ự ặ ạ ỳ i quy trình theo chu k (hàng

ờ

• Đ nh k ị ệ ặ Th c hi n l p đi l p l , ngày, tháng,…)

ơ ế ậ ị

C ch l p l ch (Scheduling Tasks)

• B t k ho t đ ng d ki n nào đ ự ế ạ ộ ấ c tìm th y trong

ượ ườ ọ c ng

ư ụ ươ ế ị i dùng ch n “/var/spool/cron,”. Và có th ể ứ ỳ ng ng

ấ ỳ ẽ ượ s đ xem các ti n trình đ nh k qua các th m c t nh :ư

“/etc/cron.daily,”

“/etc/cron.weekly,”

“/etc/cron.monthly.” ể ẻ ấ ắ

ề ể ấ ế

ể ợ ụ ủ ơ ệ ố ị

ủ • Có th nói đây cũng là đích nh m c a nhi u k t n i d ng c ch này đ t n công, công vì có th l ạ ộ duy trì ho t đ ng c a h th ng sau khi đã b xâm nh p.ậ