Tìm hiểu về phân tích hệ điều hành windows trong điều tra tội phạm mạng máy tính

Việc thu thập các thông tin cục bộ giúp cho việc xác định thời gian xảy ra sự cố bảo mật Các thông tin này bao gồm:  Thời gian hệ thống System Time  Các tài khoản đăng nhập vào hệ thốn

BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

ĐỀ TÀI Tìm hiểu về phân tích hệ điều hành Windows trong Điều tra

tội phạm mạng máy tính

Giảng viên hướng dẫn Thầy Nguyễn Mạnh Thắng

MỤC LỤC

MỤC LỤC i

DANH MỤC HÌNH VẼ iii

MỞ ĐẦU iv

CHƯƠNG I: TỔNG QUAN VỀ HỆ ĐIỀU HÀNH WINDOWS 1

1.1 Giới thiệu về hệ điều hành Windows 1

1.2 Ưu điểm và hạn chế của hệ điều hành Windows 1

CHƯƠNG II: PHÂN TÍCH HỆ ĐIỀU HÀNH WINDOWS TRONG ĐIỀU TRA TỘI PHẠM MÁY TÍNH 3

2.1 Quy trình điều tra hệ điều hành Windows 3

2.1.1 Thu thập các thông tin dữ liệu tạm thời 3

2.1.1.1 System Time-Thời gian hệ thống 4

2.1.1.2 Logged-on Users 5

2.1.1.3 Open Files 6

2.1.1.4 Network Information 7

2.1.1.5 Network Connections 8

2.1.1.6 Process Information 9

2.1.1.7 Process memory 11

2.1.1.8 Network status 11

2.1.2 Thu thập các dữ liệu dài hạn 12

2.1.2.1 Kiểm tra các file hệ thống 13

2.1.2.2 Registry settings 13

2.1.2.3 Microsoft Security ID 14

2.1.2.4 Event logs 15

2.1.2.5 ESE Database files 15

2.1.2.6 Connected Devices 16

2.1.2.7 Slack Space 16

2.1.2.8 Virtual Memory 17

2.1.2.9 Hibernate files 17

2.1.2.10 Page file 18

2.1.2.11 Windows Search Index 19

2.1.2.12 Thu thập thông tin về các phân vùng ẩn 19

2.1.2.13 Hidden ADS Streams 20

2.1.2.14 Các dạng dữ liệu dài hạn khác 20

2.1.2.15 Windows Thumbcaches 21

2.1.3 Phân tích bộ nhớ của Windows 21

2.1.3.1 Virtual Hard Disk 21

2.1.3.2 Memory Dump 22

2.1.3.3 EProcess Structure 23

2.1.4 Thu thập bộ nhớ tiến trình 28

2.1.5 Phân tích Windows Registry 29

2.1.6 Điều tra, phân tích Cache, Cookies và lịch sử browser 33

2.1.7 Phân tích Windows File 34

2.1.8 Thu thập, phân tích metadata 35

2.1.9 Phân tích Event Logs 36

CHƯƠNG III: THỰC NGHIỆM 38

KẾT LUẬN 45

TÀI LIỆU THAM KHẢO 46

DANH MỤC HÌNH VẼ

Hình 2 1 Quy trình thu thập và phân tích thông tin từ hệ điều hành Windows 3

Hình 2 2 Đường dẫn tới Microsoft Secutiry ID 14

Hình 2 3 Đường dẫn tới ESE Database files 16

Hình 2 4 HibernateEnable trong Registry Editor 18

Hình 2 5 Công cụ Partion Find & Mount 19

Hình 2 6 Quá trình tạo tiến trình 24

Hình 2 7 Các công cụ để liệt kê danh sách tiến trình và parse các nội dung trong bộ nhớ 26

Hình 2 8 Parse bộ nhớ tiến trình 27

Hình 2 9 Trích xuất Process Image 28

Hình 2 10 Thu thập bộ nhớ tiến trình 28

Hình 2 11 Năm thư mục gốc trong Windows Registry Editor 30

Hình 2 12 Các cell trong Registry 31

Hình 2 13 Registry như một file log 32

Hình 2 14 Phân tích Windows Registry 33

Hình 2 15 Quy trình cơ bản của Event Log File 37

Hình 3 1 Các công cụ điều tra phổ biến 1 38

Hình 3 2 Các công cụ điều tra phổ biến 2 39

Hình 3 3 Kiểm tra các port đang mở của hệ thống 39

Hình 3 4 Lấy thông tin về máy cần điều tra 40

Hình 3 5 Kiểm tra các file 40

Hình 3 6 Kiểm tra người dùng đang đăng nhập 41

Hình 3 7 Kiểm tra LogList 41

Hình 3 8 File LogListPS.txt 42

Hình 3 9 Kiểm tra các Handle chạy tiến trình 42

Hình 3 10 Kiểm tra thư viện DLL 43

Hình 3 11 ProcDump tiến trình chrome.exe để kiểm tra 43

Hình 3 12 Sử dụng ProcessExplorer để kiểm tra tiến trình con, hiệu năng 44

Hình 3 13 Sử dụng Event Log Explorer 44

MỞ ĐẦU

Trong thời đại công nghệ số phát triển như hiện nay thì máy tính cá nhânđang trở thành một phần quan trong không thể thiếu đối với sự phát triển đó Cáccôgn ty công nghệ đua nhau đưa ra thị trường các dòng máy tính cá nhân với cácphân khúc cấu hình từ thấp tới cao, phục vụ nhiều mục đích cho nhiều nhóm người

sử dụng Và hiện nay hệ điều hành (Operating System) cải trên máy tính cá nhânđược dùng phổ biến nhất trên thế giới là Windows của tập đoàn công nghệMicrosoft

Nhưng cũng chính vì việc Windows được sử dụng phổ biến mà nó cũng trởthành mục tiêu chính cho các tên tội phạm mạng luôn tìm cách để xâm nhập tráiphép vào hệ thống để đánh cắp hoặc phá hủy dữ liệu người dùng

Chính vì thế nhóm em đã chọn chủ đề “tìm hiểu và phân tích hệ điều hànhwindows trong điều tra tội phạm máy tính” làm đề tài nghiên cứu Hệ điều hànhđược chúng em sử dụng nghiên cứu trong phần báo cáo này là Windows 7

Sau thời gian vài tuần thực hiện bài báo cáo này, các nội dung cơ bản đượchoàn thành Tuy nhiên do thời gian thực hiện báo cáo có hạn và còn nhiều hạn chế

về mặt kiến thức nên chắc chắn nhóm sẽ không thể tránh khỏi những thiếu sót Vìvậy chúng em rất mong nhận được sự góp ý từ thầy và các bạn để bài báo cáo củanhóm chúng em được hoàn thiện hơn

Nhóm chúng em xin chân thành cảm ơn!

CHƯƠNG I: TỔNG QUAN VỀ HỆ ĐIỀU HÀNH WINDOWS

1.1 Giới thiệu về hệ điều hành Windows

Microsoft Windows (hoặc đơn giản là Windows) là tên của một hệ điềuhành dựa trên giao diện người dùng đồ hoạ được phát triển và được phân phối bởiMicrosoft Nó bao gồm một vài các dòng hệ điều hành, mỗi trong số đó phục vụmột phần nhất định của ngành công nghiệp máy tính

Phiên bản đầu tiên của hệ điều hành Windows được Microsoft ra mắt vàonăm 1985, là hệ điều hành đầu tiên có giao diện đồ hoạ của hãng này, với tên gọiWindows 1.0 – tên mã nội bộ là Interface Manager

Tên gọi Windows được lựa chọn bởi hệ điều hành của Microsoft xoay quanhnhững khung nội dung hình chữ nhật hiển thị trên màn hình Trải qua nhiều phiênbản với nhiều sự thay đổi, đến nay hệ điều hành Windows đã rất thành công trongviệc chiếm lĩnh thị trường

Cho đến nay, trải qua nhiều phiên bản với nhiều sự thay đổi, hệ điều hànhWindows đã gặt hái rất nhiều thành công trong đó phải kể đến Windows XP,Windows 7 và Window 8

Ngoài ra, các phiên bản khác của Windows như: Window 98, Windows

2000, Windows Vista, Windows Sever… và gần đây nhất là Windows 10

1.2 Ưu điểm và hạn chế của hệ điều hành Windows

Vốn là một nền tảng chiếm thị phần sử dụng cao nhất hiện nay nên cũngkhông có gì khó hiểu khi hầu hết các nhà sản xuất đều đầu tư xây dựng phần mềmcũng như sản xuất phần cứng hỗ trợ cho hệ điều hành Windows

Có thể nói rằng, Windows hỗ trợ đầy đủ các ứng dụng người dùng cần vànhiều hơn rất nhiều, vượt trội hơn so với các hệ điều hành khác Đơn giản mộtđiều, các nhà viết ứng dụng luôn muốn nhắm đến một thị trường có số người sửdụng đông đảo như Windows

Nhưng cũng chính vì việc Windows được sử dụng phổ biến mà nó cũng trởthành mục tiêu cho các tin tặc tấn công Các phần mềm độc hại, virus,…nhằm vàoWindows đã trở nên rất phổ biến, thế nên việc cập nhật thường xuyên các bản vá

và các chương trinh chống virus luôn phải được thực hiện

CHƯƠNG II: PHÂN TÍCH HỆ ĐIỀU HÀNH WINDOWS TRONG

ĐIỀU TRA TỘI PHẠM MÁY TÍNH

2.1.Quy trình điều tra hệ điều hành Windows

OS Forensic liên quan tới quá trình tìm kiếm, xác định và phân tích các bằngchứng hiện có trong hệ điều hành của tất cả các thiết bị có liên quan trong quá trình

sử dụng của nạn nhân, hay các máy nằm trong phạm vi bị tình nghi có liên quan tới

sự cố bảo mật Hầu hết các hê điều hành thường được sử dụng là Window, Linux

và Mac Chúng thường là các mục tiêu, nguồn của các hoạt động phạm tội

Người điều tra viên cần phải hiểu toàn bộ những kiến thức liên quan đến hệđiều hành họ kiểm tra, cùng với việc có lượng kiến thức chuyên sâu về việc điềutra về các hành vi phạm tội Ở phần này sẽ bàn luận về các chủ đề chính sẽ đượctrình bày ở trên

Window Forensics, bao gồm quy trình thực hiện điều tra hệ thống Quy trìnhđiều tra được thực hiện theo các bước:

Hình 2 1 Quy trình thu thập và phân tích thông tin từ hệ điều hành Windows

2.1.1 Thu thập các thông tin dữ liệu tạm thời

Việc đầu tiên cần làm là thu thập các dữ liệu cục bộ vì các dữ liệu nàythường được lưu trữ trong các thanh ghi, bộ nhớ cache, và RAM nên chúng thường

sẽ bị mất hoặc bị xóa khi hệ thống tắt hoặc khởi động lại

Các dữ liệu này liên tục thay đổi và tùy biến vậy nên người điề tra cần thuthập các dữ liệu theo thời gian thực tế

Việc thu thập các thông tin cục bộ giúp cho việc xác định thời gian xảy ra sự

cố bảo mật

Các thông tin này bao gồm:

 Thời gian hệ thống (System Time)

 Các tài khoản đăng nhập vào hệ thống (Logged-on Users)

 Thông tin mạng (Network Information)

 Các file đang mở (Open Files)

 Các kết nối mạng (Network Connection)

 Trạng thái mạng (Network Status)

 Thông tin các tiến trình hoạt động (Process Information)

 Bộ nhớ tiến trình (Process Memory)

 Các thư mục chia sẻ (Shares)

 Nội dung clipboard (Clipboard Content)

 Thông tin các dịch vụ, driver (Service/Driver Information)

 Lịch sử câu lệnh (Command History)Người điều tra viên tuân theo nguyên tắc và thu thập các nội dung trên RAMngay tại thời điểm điều tra, điều này có thể giảm thiểu tác động tới việc ảnh hưởngđến sự toàn vẹn tới nội dung trong RAM

2.1.1.1 System Time-Thời gian hệ thống

Việc đầu tiên trong khi điều tra về 1 sự cố là thu thập các thông tin liên quanđến thời gian hệ thống Thời gian hệ thống có thể đưa ra chính xác ngày , giờ khi

sự cố diễn ra hệ thống cung cấp thời gian hệ thống nên các ứng dụng khi được mở

ra đều có thời gian chính xác hoạt động

Nắm vững được kiến thức về hệ thống sẽ giúp cho việc thu thập được thuậnlợi hơn và có cái nhìn đa chiều hơn trong việc triển khai các bước tiếp theo Nócũng hỗ trợ việc đưa ra thời gian chính xác các sự kiện diễn ra trong hệ thống.Điều tra viên có thể ghi lại thời gian thực, lịch sử khi đang thu thập thông tin vềthời gian hệ thống Cả 2 đều cung cấp cho điều tra viên xác định được thời gian hệthống có chính xác hay không

Một cách để có thể lấy được thông tin chi tiết về thời gian hệ thống là sửdụng chức năng “GetSystemTime” Chức năng này sao chép thông tin về thời giantrong cấu trúc của SYSTEMTIME bao gồm các thông tin người dùng truy cập vàthời gian chính xác tới đơn vị mili-giây Hơn thế nữa, chức năng này còn cung cấpchính xác hơn về thông tin thời gian hệ thống

2.1.1.2 Logged-on Users

Trong suốt quá trình điều tra, điều tra viên phải thu thập thông tin chi tiết vềtất cả người dùng đăng nhập vào hệ thống bị tấn công Điều này không chỉ baogồm thông tin người dùng đăng nhập tại chỗ hoặc đăng nhập từ xa Thông tin nàycho phép điều tra viên có thể làm giàu thông tin ngữ cảnh điều tra, ví dụ như ngữcảnh về các tiến trình đang chạy, chủ sở hữu của các tệp tin, thời gian truy cập dữliệu Việc làm này cũng hữu ích trong việc tương quan thời gian hệ thống thu thậpđược với log sự kiện bảo mật, cụ thể hơn nếu quản trị viên cho phép kiểm tra

Các công cụ có thể sử dụng để xác định người dùng đăng nhập như:

 PsLoggedOn: Được sử dụng để hiển thị cả số người đăng nhập local

và đăng nhập từ xa Nếu người dùng có thể xác định được usernamethay vì máy sử dụng, PsLoggedOn sẽ tìm kiếm các máy trong khu vựcmạng xung quanh và cho biết rằng user đó đang đăng nhập

 Lệnh net session: Câu lệnh này được chạy nhằm mục đích quản lí cáckết nối của máy server đó Nó được dùng mà không cần các thông số

và hiên thị toàn bộ thông tin phiên đăng nhập của máy đó Điều nàycũng giúp cho chúng ta có thể biết dược rằng user nào sử dụng tài liệu, và thời gian người dùng đó sủ dụng trong phiên làm việc

 LogonSessions Tools: Khi sử dụng tính năng này sẽ hiển thị danhsách các phiên đăng nhập, và người dùng có thể sử dụng thêm thuộctính “ -p “ để có thể có thêm thông tin về các tiến trình (process) đanghoạt động trong các phiên hoạt động đó

2.1.1.3 Open Files

Khi đã thu thập được về thông tin thời gian, phiên đăng nhập bằngpsloggedon.exe cho các điều tra viên biết rằng người dùng nào đang đăng nhập hệthống từ xa, Sau đó điều tra viên sẽ muốn xem dữ liệu , tệp nào đã được mở, sửdụng trong quá trình đó Kẻ xâm nhập sẽ có thể muốn tìm dữ liệu quan trọng trongquá trình tìm kiếm các dữ liệu đó khi đăng nhập từ xa, vậy nên chúng ta có thể cóthông tin từ đó

Nhân viên, người dùng trong môi trường làm việc có thể sẽ chia sẻ các nộidung và cho phép người dùng khác xem các dữ liệu như ảnh, các dữ liệu được tảixuống,… Bất kì ai cũng có thể truy cập vào các hệ thống với bảo mật kém khi hệthống đó kết nối ra mạng chung, kèm với việc không có mật khẩu Admin ( vàkhông có sử dụng tính năng tường lửa), và có thể tìm kiếm các dữ liệu, và có thểtruy cập và sao chép

Các bộ công cụ và câu lệnh trên sẽ hiển thị các tệp dữ liệu được mở từ xatrên hệ thống bao gồm các câu lệnh trên

Các công cụ và câu lệnh có thể sử dụng:

 Lệnh net file: Câu lệnh này sẽ hiển thị toàn bộ các tệp dữ liệu đangđược chia sẻ trên hệ thống và số lượng các tệp đã khóa Câu lệnh này

cũng có thể đóng các tệp đang chia sẻ và bỏ phần khóa tệp đó Khi sửdụng câu lệnh mà không thêm các tính năng nào hơn , công cụ này sẽhiển thị và giúp chúng ta có thể kiểm soát các tệp đang chia sẻ trongmạng.

 Sử dụng PsFile: Là câu lệnh mà có thể lấy thông tin về các tệp được

mở từ xa Điều này cũng có thể cho phép điều tra viên đóng các tệpđang mở với tên tệp hoặc id tệp đó Tính năng cơ bản của PsFile sẽ làhiển thị danh sách các tệp trong hệ thống bị mở từ xa Bằng cách sửdụng thêm “-” có thể hiển thị thông tin cụ thể hơn

2.1.1.4 Network Information

Đôi khi kẻ xâm nhập sẽ dành quyền truy cập từ xa vào hệ thống, họ sẽ tìmcác hệ thống đang mở kết nối ra mạng bên ngoài và có thể tiếp cận tới hệ thống cầnxâm nhập Để đạt được điều này, kẻ xâm nhập sẽ tạo và chạy các file batch trong

hệ thống và chạy các câu lệnh xem kết nối mạng thông qua tấn công SQL injection(Bằng cách sử dụng trình duyệt để gửi các câu lệnh tới hệ thống qua trình duyệtweb và cơ sở dữ liệu của mạng)

Khi người dùng thiết lập 1 kết nối với hệ thống khác thông qua mạngNetBIOS, hệ thống sẽ liệt kê các hệ thống khác có thể kết nối Bằng cách xem cácnội dung có trong bảng cache, điều tra viên có thể xác định được các hệ thống bịtác động

Điều tra viên phải thu thập các dạng thông tin về mạng khác để có thể tìmđược bằng chứng về việc xâm nhập của kẻ tấn công Các thông tin về mạng hữuích cho việc điều tra bao gồm:

 Nội dung dữ liệu, như thông tin về các Header, text,…

 Thông tin về các phiên đăng nhập

 Log dữ liệu từ IDS / IPS

 Các thông tin mạng khác như việc chuyên tiếp các tệp bảo mật

 Dữ liệu mạng có thể thu thập từ các khu vực mạng khác bao gồm cácthông tin như:

 Log IDS /IPS hoặc Firewall

 Các giao thức mạng

 Log Server hoặc Log ứng dụng

 Theo dõi các gói tin mạng

 Luật rà quét port mạng

 Các dữ liệu realtime

Bảng tên cache trong NETBIOS sẽ hiển thị các kết nối đến hệ thống khácthông qua việc sủ dụng kết nối mạng NETBIOS Nó bao gồm tên các hệ thống điềukhiển từ xa và địa chỉ IP Người dùng có thể sử dụng tính năng thông qua câu lệnhtrong bộ tính năng của Nbstat để có thể xem bảng cache của NetBIOS Nbtstatgiúp giải quyết vấn đề liên quan đến tên NetBIOS Khi kết nối mạng vẫn diễn rabình thường, NetBIOS TCP/IP ( NetBT) sẽ phân giải tên NetBIOS thành các địachỉ IP

2.1.1.5 Network Connections

Điều tra viên phải thu thập các thông tin liê quan đến các kết nối mạngchuyển đến và từ hệ thống bị xâm nhập ngay lập sau khi có báo cáo về sự cố tấncông đó Nếu không làm được việc này, thông tin có thể sẽ không còn được lưu trữlại

Điều tra viên có thể giám sát hệ thống và xác định kẻ tấn công đăng xuất hayvẫn đang truy cập vào hệ thống Điều này cũng rất quan trọng để phát hiện ra kẻtấn công có cài đặt bất kì Worm hay IRCbot cho việc tạo kết nối riêng để đánh cắpthông tin từ hệ thống và ngay lập tức tìm kiếm các hệ thống bị lây nhiễm, tự độngupdate hệ thống, hay kết nối tới máy chủ kiểm soát Thông tin này có thể cung cấp

các manh mối quan trọng và thêm ngữ cảnh cho các thông tin mà điều tra viên đãthu thập trước đó.

Công cụ netstat hỗ trợ việc thu thập các thông tin về các kết nối mạng trong

hệ thống Windows công cụ CLI này sẽ hiển thị các kết nối TCP / UDP, trạng thái

và số liệu thống kê về kết nối đó Netstat.exe được phát triển ngay tại trên hệ điềuhành Windows Cách sử dụng thông tường nhất là chạy Netstat với -ano (tích hợpgồm -a , -n và -o) , khi sử dụng netstat -ano sẽ cho chúng ta biết về các kết nốiTCP/UDP , các cổng đang mở và các tiến trình đang chạy PID

Sử dụng Netstat -r sẽ hiển thị bảng định tuyến và hiển thị nếu có bất kì cácđịnh tuyết độc lập được mở trên hệ thống Điều này cung cấp thông tin hữu ích chođiều tra viên hoặc quản trị viên để nắm được hiện trạng hệ thống

2.1.1.6 Process Information

Điều tra viên phải thu thập các thông tin liên quan tiến trình đang hoạt độngtrên hệ thống Sử dụng Task Manager để có thể xem thông tin cho mỗi tiến trình.Tuy nhiên, Task Manager không hiển thị toàn bộ các thông tin yêu cầu Điều traviên có thể lấy được thông tin các tiến trình bằng cách sử dụng thêm các tham sốtrong bảng dưới đây:

 Đường dẫn chi tiết đến các tệp đang sử dụng

 Câu lệnh sử dụng để chạy các tiến trình (nếu có)

 Số lượng thời gian tiến trình đó đang chạy

 Ngữ cảnh liên quan việc bảo mật/ người dùng mà tiến trình đó đangchạy

 Các Module được nạp trong tiến trình đó

 Dữ liệu nội dung của các tiến trình đó

Vậy nên, Điều tra viên phải biết được các câu lệnh , công cụ sử dụng để cóthể thu thập đây đủ và chi tiết về các thông tin tiến trình đó Các công cụ và câulệnh dùng để thu thập chi tiêt về thông tin các tiến trình bao gồm:

 Tasklist.exe: là 1 tiện ích có sẵn trong các hệ điều hành của Window,được coi như là thay thế cho tlist.exe Sự khác nhau của 2 công cụ nàykhá là rõ, hầu hết ở tên và việc sử dụng các tính năng của chúng.Tasklist.exe cung cấp các tính năng cho việc định dạng kết quả, có thể

ở dạng bảng, CSV hoặc danh sách Điều tra viên có thể sử dụng /svc

để hiển thị danh sách các dịch vụ cho mỗi quá trình

 Pslist.exe: hiển thị các thông tin cơ bản về các tiến trình đã và đangchạy trên hệ thống, bao gồm số lượng thời gian của mỗi tiến trình đóhoạt động

 ListDLLs: là tính năng báo cáo các file DLL được nạp vào trong mỗitiến trình Người dùng có thể sử dụng để hiển thị toàn bộ DLL đượcnạp vào trong tiến trình, cụ thể tiến trình nào đó, hoặc có thể hiển thị

cụ thể các tiến trình có DLL được nạp vào ListDLLs còn có thể hiểnthị đầy đủ thông tin phiên bản cho các DLL, bao gồm cả chữ kí số, và

có thể rò quét các tiến trình có các DLLs chưa được xác thực

 Handle: là tính năng hiển thị thông tin về 1 handle cho các tiến trìnhtrong hệ thống Người dùng có thể sử dụng để nhìn các chương trình

mở tệp hoặc để tìm kiếm các loại hoặc tên của các handle của chươngtrình đó Các loại bao gồm port, registry, thread, và các tiến trình.Thông tin này hữu ích để có thể xác định được các tài nguyên đã truycập bởi các tiến trình trong khi đang chạy chương trình đó Handlegiúp tìm kiểu việc mở các dữ liệu liên quan, và tìm ra được khi ngườidùng sử dụng thêm các tham số vào câu lệnh, sau đó hệ thống sẽ hiểnthị các giá trị của các handle

2.1.1.7 Process memory

Các tiến trình đang chạy trên hệ thống có thể là các tiến trình đáng ngờ vàđộc hại Các trình Process explorer có thể được sử dụng để xem thông tin về các

tiến trình, từ đó tiến hành kiểm tra các tiến trình có phải là tiến trình độc hại haykhông Các công cụ có thể được sử dụng trong quá trình này gồm:

 PMDump: là công cụ giúp người điều tra có thể Dump nội dung bộnhớ của các tiến trình thành file mà không phải dừng tiến trình đó.Công cụ này rất hữu ích trong quá trình điều tra số

 ProcDump: là tính năng chạy cmd Mục đích chính là để giám sát ứngdụng khiến CPU tăng đột ngột và khiến hệ thống sập giúp cho quản trịviên và đội ngũ phát triển có thể xác định nguyên nhân khiến hệ thống

bị tăng đột ngột như vậy

 Process Dumper (PD): PD sẽ lưu trữ dung lượng các tiến trình đangchạy Đây là công cụ có giao diện cmd có thể dump toàn bộ dữ liệuliên quan đến dung lượng sử dụng của các tiến trình, sử dụng cácthông tin đã được quy chuẩn để mô tả sự kết nối, liên quan khácnhau, trạng thái, và lưu trữ thông tin về môi trường của các tiến trìnhđó

lượng mạng như xác thực đăng nhập người dùng, hoặc để kết nối tớidịch vụ mà các hệ thống khác đang kết nối tới ra ngoài mạng Cardmạng chỉ có thể bắt được lưu lượng mạng khi chúng ở trong chế độquảng bá Vậy nên, điều tra viên cần sử dụng các bộ công cụ đặc biệtnhư là phát hiện các sự cố và chương trình đang chạy trên hệ thống.Công cụ như PromiscDetect và Promqry có thể giúp phân tích cáctrạng thái card mạng của hệ thống.

 PromiseDetect: PromiscDetect kiểm tra nếu adapter mạng đang chạy

ở chế độ quảng bá, đây có thể là 1 dấu hiệu cho ta biết rằng đang cótiến trình ngầm chạy trong máy

 Promqry: Có thể theo dõi chế độ hoạt động của các interface cardmạng

2.1.2 Thu thập các dữ liệu dài hạn

Các dữ liệu này được lưu trữ trong các ổ lưu trữ và sẽ không bị mất đi kể cả saukhi tắt máy Các dữ liệu này có thể dễ dàng truy cập và truy cập qua mạng vậy nênđiều tra viên có thể sao chép và điều tra các dữ liệu trên từ hệ thống

Việc thu thập các dữ liêụ này không hẳn là mục tiêu duy nhất trong quá trìnhđiều tra của điều tra viên Điều tra viên cần các thông tin chi tiết vì các bằng chứng

là thứ duy nhất có thể giúp họ giải quyết được công việc dễ dàng hơn Họ cần cácbằng chứng chắc chắn dựa trên việc thu thập các dữ liệu tạm thời và lưu trữ lâu dàitrên hệ thống

Kiểu dữ liệu này sẽ không bị thay đổi sau khi tắt máy hoặc hệ thống đã tắt Mộtvài kiểu ví dụ như email, các file doc, excel,… Điều tra viên có thể quyết địnhthông tin nào cần lấy để phân tích từ các registry hoặc thông tin nào lấy từ các files

đã được thu thập cho việc điều tra thêm

Có khả năng kẻ tấn công có thể chủ động truy cập vào hê thống và lấy các dữliệu Trong trường hợp đó, điều tra viên có thể theo dõi kẻ tấn công Điều quan

trọng là điều tra viên nên giữ nguyên vẹn các thông tin quan trọng mà không bịxóa hoặc chỉnh sửa Một khi người dùng khởi động hệ thống, Sẽ có vài dữ liệuđược chỉnh sửa, ví dụ như các driver kết nối tới nhau hoặc kết nối từ hệ thống Sựthay đổi này có thể sẽ không xảy ra khi khởi động, hay cài đặt.

2.1.2.1 Kiểm tra các file hệ thống

Hiểu được các file hệ thống là các file điều khiển hệ thống để có thể truy cậpvào dữ liệu hệ thống và tạo ra các events làm việc trên đó File systems bao gồm 5thành phần như thông tin về file system, nội dung dữ liệu, các trường siêu dữ liệu(metadata), tên file và dữ liệu của các ứng dụng:

 File system data: đưa ra các thông tin về cấu trúc của file hệ thống

 Content data: chứa nhiều thông tin nhất về file đó Bao gồm cácnội dung dữ liệu của file đó

 Metadata: cung cấp thông tin về nội dung nơi lưu trữ, dung lượng

và thời gian MAC

 Application data: cho thông tin về thống kê Quota

2.1.2.2 Registry settings

Các giá trị Registry và cài đặt có các sự ảnh hưởng đến việc phân tích sâu vàđiề tra Có 1 vài bộ công cụ thu thập thông tin từ Registry Reg.exe là công cụ chạycmd cho phép truy cập và quản lí các Registry Một vài giá trị quan trọng liên quanđến Registry như:

Microsoft Security ID liên quan đến việc xác định cụ thể số thứ tự định danh

mà Microsoft đính kèm cùng với các tài khoản truy cập Windows cho việc quyềntruy cập vào các tài nguyên cụ thể Trong windows, khi người dùng đăng nhập, hệthống sẽ tổng hợp SID từ cơ sở dữ liệu và sử dụng như token truy cập để xác địnhngười dùng trong Windows Security Token này bao gồm quyền được gán vàotừng cụ thể user, dựa trên việc cho phép hay từ chối cấp quyền

Hình 2 2 Đường dẫn tới Microsoft Secutiry ID

2.1.2.4 Event logs

Event logs là dữ liệu bắt buộc có trong file hệ thống Các files này có thểđược thay đổi Thực tế, dựa trên việc cấu hình và sự kiện được chỉnh sửa, các filenày có thể thay đổi nhanh chóng Dựa trên việc thay đổi các chính sách trên hệthống của máy nạn nhân và điều tra viên sẽ truy cập đầu tiên sau đó, hệ thống sẽ

sinh ra các entries được lưu trữ vào trong Event logs Sử dụng công cụ nhưpsloglist.exe để có thể lấy được bảng lưu trữ sự kiện.

PsLogList cho phép đăng nhập tới hệ thống từ xa trong trường hợp khi cócác chứng thực bảo mật không được cấp quyền để truy cập vào Eventlog Nó sẽđưa ra các tin nhắn dạng chuỗi từ máy tính nơi mà eventlog cần kiểm tra Nó sẽhiển thị nội dung của System Event Log và cho phép đưa ra định dạng bản ghiEvent Log

2.1.2.5 ESE Database files

Windows 10 sử dụng Microsoft Edge Browser làm trình duyệt mặc định cósẵn Hệ điều hành Win10 sử dụng cơ chế hoạt động ESE ( Extensible StorageEngine ), là công nghệ lưu trữ dữ liệu từ Microsoft, được dùng để lưu trữ và quyềntruy cập dữ liệu Kho lưu trữ cơ sở dữ liệu giúp cho Server lưu trữ được nhiều hơnvới các mục đích khác nhau Các files có định dạng đuôi edb và cung cấp nhữngbằng chứng có giá trị cao trong việc điều tra số Cấu trúc CSDL này hình thànhdạng cấu trúc B-Tree và Chữ kí dữ liệu hexa

Cơ sở dữ liệu lưu các bảng, phân loại theo như FileCleanup, Folder, ReadingList, RowId, MsysObjids, MsysObjects, FolderStash, MsysLocales, vàMsysObjectsShadow Những bảng trên bao gồm các thông tin liên quan toàn bộcác ứng dụng lưu trữ và truy cập từ hệ thống Thông tin này có thể được coi như làbằng chứng cho cuộc điều tra sự cố

Hình 2 3 Đường dẫn tới ESE Database files

2.1.2.6 Connected Devices

Lập các bản ghi về các thiết bị được kết nối tới hệ thống đang cần điều tra Cácthiết bị được kết nối gần thời gian điều tra có thể được tìm một cách thủ công Mộtcách để thực hiện việc này là sử dụng Control Panel, vào mục Hardware and Sound

và chọn Device Manager ở dưới Devices and Printers Trong cửa sổ DeviceManager bấm View trên Toolbar và chọn “Show hidden device” Để có thể xemđược các thiết bị portable, chọn mục Portable Devices

Một công cụ khác có thể kể đến là DevCon hay Device Console, là công cụchạy cmd hiển thị thông tin chi tiết về các thiết bị trên máy chạy hệ điều hànhWindows DevCon còn có thể enable, disable, cài đặt , cấu hình và ngắt thiết bị.Điều này còn có thể sử dụng như quản lí các thiết bị trên máy cục bộ hoặc máyđiều khiển từ xa Các tính năng của công cụ này bao gồm: Hiển thị thông tin vềthiết bị và driver, thay đổi cài đặt của thiết bị, khởi động lại thiết bị hoặc máy tính

2.1.2.7 Slack Space

Slack space là một phần của ổ cứng có thể chứa các dữ liệu từ các file đã bịxóa từ trước hoặc chưa sử dụng bởi các file được cấp phát Việc cấp phát cho các

file không liền kề trên ổ cứng tạo ra nhiều cluster, từ đó tạo ra nhiều slack spacehơn Dữ liệu trong các slack space có thể thu được bằng cách đọc hết các dữ liệutrong cluster Công cụ DriveSpy có thể thu thập tất cả các slack space trong ổ cứngthành một file.

Quy trình thu thập slack space bao gồm 4 bước: Kết nối tới máy tính vàchọn ổ cứng cần thu thập, tạo một bản bit copy của ổ đĩa đó, tạo ra giá trị hash đểxác minh ổ đĩa, thực hiện điều tra bằng keyword searches, phân tích hash, phântích file signatures bằng công cụ Encase

2.1.2.8 Virtual Memory

Bộ nhớ ảo (hay còn gọi là bộ nhớ logic) là một khái niệm được hệ điều hành

và máy tính triển khai để giúp cho lập trình viên sử dụng một lượng lớn các địa chỉtrong bộ nhớ để chứa dữ liệu Khi dò quét bộ nhớ ảo, điều tra viên có thể tìm rađược các tiến trình đang chạy ẩn

X-Ways Forensics là công cụ điều tra máy tính được dùng để:

 Truy cập vào bộ nhớ logic của các tiến trình đang chạy

 Thu thập về Slack Space, Free Space, Inter-Partition space, và cácvăn bản kí tự từ các driver

 Có khả năng đọc phân vùng và cấu trúc dữ liệu hệ thống

 Phân tích bộ nhớ RAM hoặc bộ nhớ dump

 Có khả năng sao chép ổ cứng2.1.2.9 Hibernate files

Hệ điều hành Window có 2 chế độ quản lí nguồn thiết bị Đầu tiên là ở chế

độ Sleep, giữ cho hệ thống chạy ở chế độ tiết kiệm để người dùng có thể tiếp tụctruy cập lại sau khi kết thúc phiên làm việc trước Chế độ thứ 2 là Hibernate, sẽhoàn toàn ghi các dữ liệu ở dạng file hiberfil.sys trong HDD

Việc điều tra hiberfil.sys là nguồn cung cấp thông tin quan trọng, tổng hợp

từ các thông tin quan trọng của các chương trình, ứng dụng, files và tiến trình đangchạy trên RAM

Người điều tra viên có thể kiểm tra xem người dùng có bật chế độ hibernate bằngcách kiểm tra giá trị Registry trong Registry Editor:

Pagefile chứa thông tin về các tiến trình không hoạt động, các file dược mở gầnđây Ngoài ra còn có thể truy cập vào các ứng dụng, cũng như các dữ liệu nhạycảm như User Ids, mật khậu,… được sử dụng trong tiến trình hệ thống Hệ thốnglưu trữ pagefile.sys trong hệ thống thư mục như file ẩn

Đường dẫn tới page file trong Registry Editor:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session

Manager\Memory Management

2.1.2.11 Windows Search Index

WSI hỗ trợ đánh tiêu đề, chỉ mục cho hơn 200 loại file thông thường bằngcách lưu trữ các bản ghi về toàn bộ tài liệu Điều này cho phép người dùng nhanhchón truy cập được các loại tài liệu Một khi hệ thống đánh chỉ mục hoàn thiệnviệc quét PC, file mới và các tin nhắn email đều được chuyển thành các chỉ mục(Index) PC để có thể dễ dàng tìm kiếm.

Passware Search Index Examiner : Làm cho các dữ liệu được đánh chỉ mụctrong WSI.Các tính năng chính bao gồm: Hiển thị toàn bộ email, tài liệu , và cácthông tin khác trong Windows Desktop Search Lấy thông tin về các ứng dụngkhác

2.1.2.12 Thu thập thông tin về các phân vùng ẩn

Các phân vùng ẩn là các phân vùng logic nằm trên ổ đĩa mà hệ điều hành khôngtruy cập được Các phân vùng ẩn này có thể chứa các file, folder, dữ liệu bí mậthoặc backup của hệ thống Sử dụng công cụ như là find & mount để có thể thựchiện thu thập dữ liệu trên các phân vùng ẩn Công cụ Partion Logic có thể tạo, xóa,format, defragment hoặc thay đổi kích cỡ, copy và di chuyển các phân vùng vàchỉnh sửa các thuộc tính của chúng

Hình 2 5 Công cụ Partion Find & Mount

2.1.2.13 Hidden ADS Streams

ADS (Alternate Data Stream) là một tính năng của NTFS được sử dụng đểlưu trữ metadata liên quan tới vị trí của một file cụ thể ADS không chiếm quá

nhiều dung lượng, hơn nữa nó còn ẩn, việc này trợ giúp cho những kẻ tấn công càicác rootkit và các mã độc khác ADS có thể được tạo bằng lệnh “notepadvisable.txt:hidden.txt” trong command prompt Dữ liệu có thể được copy vào trongADS bằng cách sử dụng câu lệnh như “type a textfile > visable.txt:hidden2.txt”trong command prompt Thông tin ADS có thể được copy sang một file mói sửdụng câu lệnh như “mỏe < visable.txt:hidden.txt > newfile.txt”

Cookies là các gói dữ liệu nhỏ được sử dụng để theo dõi, xác minh và duy trìcác thông tin cụ thể về người dùng Cookies có thể có thời hạn tồn tại mà khi đếnhạn thì trình duyệt sẽ xóa cookies đó Nếu cookies không có thời hạn thì nó sẽđược xóa khi người dùng kết thúc phiên làm việc Người dùng cũng có thể thựchiện xóa cookies thủ công nhưng dữ liệu có thể vẫn được lưu tại các phân vùngchưa được cấp phát trên ổ cứng

Các file tạm thời (temporary files) là cái file được tạo bởi các chương trìnhkhi nó không được cấp phát đủ bộ nhớ để hoàn thành công việc hoặc khi chươngtrình đó đang làm việc với các khối dữ liệu lớn Khi các chương trình được tắt, cácfile tạm thời của nó sẽ bị xóa, nhưng có một số chương trình tạo ra file tạm thời vàkhông xóa nó đi khi kết thúc công việc

2.1.2.15 Windows Thumbcaches

Trong hệ điều hành Windows, các hình ảnh thu nhỏ để xem trước được lưubằng việc sử dụng thumbnail cache để người dùng có thể xem được các ảnh có