Bài giảng Pháp chứng kỹ thuật số: Bài 5 - TS. Đàm Hồng Hải

Bài giảng Pháp chứng kỹ thuật số - Bài 5: Điều tra pháp chứng trên hệ điều hành máy tính cung cấp cho người học các kiến thức: Tại sao cần phải điều tra hệ điều hành của máy tính, hệ điều hành Windows, điều tra quá trình hoạt động của Windows,... Mời các bạn cùng tham khảo nội dung chi tiết.

Bài 5: Đi u tra pháp ch ng trên h   ề ứ ệ

đi u hành máy tính ề

Gi ng viên: TS. Đàm Quang H ng H i ả ồ ả

PHÁP CH NG K  THU T S Ứ Ỹ Ậ Ố

T i sao c n ph i đi u tra h  đi u hành  ạ ầ ả ề ệ ề

c a máy tính ủ

• H  đi u hành là ph n m m ch y trên máy tính, dùng đ  ệ ề ầ ề ạ ể

đi u hành, qu n lý các thi t b  ph n c ng và các tài ề ả ế ị ầ ứ

nguyên ph n m m trên máy tính.ầ ề

• Các thông tin s  d ng máy tính s  đử ụ ẽ ược ghi nh n b i h  ậ ở ệ

đi u hành và Pháp ch ng viên c n ph i tìm hi u.ề ứ ầ ả ể

• Pháp ch ng viên c n có hi u bi t v  các H  đi u hành ứ ầ ể ế ề ệ ềtrên máy tính đ  khi đi u tra có th  tìm ki m các b ng ể ề ể ế ằ

ch ng có liên quan.ứ

• M t s  h  đi u hành thông d ng cài đ t trên máy tính ộ ố ệ ề ụ ặ

nh : Windows, Linux, Mac OS  ư

Phân l ai d  li u đi n t  trên máy tính ọ ữ ệ ệ ử

• D  li u đi n t   n đ nh  ữ ệ ệ ử ổ ị là d  li u đi n t  s   ữ ệ ệ ử ẽ

không b  m t đi khi t t thi t b  s  ch a nó, ví d   ị ấ ắ ế ị ố ứ ụ

c a d  li u đi n t   n đ nh là d  li u đ ủ ữ ệ ệ ử ổ ị ữ ệ ượ ư c l u 

tr  trên   đĩa c ng c a máy tính hay trên th  nh   ữ ổ ứ ủ ẻ ớ USB.

• D  li u đi n t  không  n đ nh  ữ ệ ệ ử ổ ị là d  li u đi n  ữ ệ ệ

t  s  b  m t đi khi t t thi t b  s  ch a nó, ví d   ử ẽ ị ấ ắ ế ị ố ứ ụ

nh  d  li u trong b  nh  RAM. Vi c t t ngu n  ư ữ ệ ộ ớ ệ ắ ồ máy tính có th  s  làm m t nên th c hi n memory  ể ẽ ấ ự ệ dumb là vi c c n thi t trong nhi u tr ệ ầ ế ề ườ ng h p ợ

H  đi u hành Windows  ệ ề

• Windows là m t h  các h  đi u hành r t thông  ộ ọ ệ ề ấ

d ng trên th  gi i  ụ ế ớ

Các h  đi u hành windows ệ ề

Đi u tra quá trình ho t đ ng c a Windows ề ạ ộ ủ

• N u Pháp ch ng viên có quy n truy c p vào máy tính c a ế ứ ề ậ ủ

ngườ ịi b  tình nghi ho c máy tính quan tâm, Pháp ch ng ặ ứ

viên có th  tìm th y thông tin ho t đ ng c a h  th ng ể ấ ạ ộ ủ ệ ố

• Trên máy tính cài Windows, Pháp ch ng viên có th  ch y ứ ể ạcông c  ụ Event Viewer xem quá trình ho t đ ng c a h  ạ ộ ủ ệ

đi u hànhề

Công c  Event Viewer  ụ

• Event viewer là m t công c  tích h p trong Windows cho ộ ụ ợphép xem l i các s  ki n đã x y ra trong h  th ng m t ạ ự ệ ả ệ ố ộ

cách chi ti t v i nhi u tham s  c  th  nh : user, time, ế ớ ề ố ụ ể ư

computer, services… M i khi Windows kh i ch y, h  ỗ ở ạ ệ

đi u hành s  b t đ u ghi l i các ho t đ ng (event) di n ra ề ẽ ắ ầ ạ ạ ộ ễbên trong h  th ng.ệ ố

• Các s  ki n r i r c đự ệ ờ ạ ượ ọ ạc l c l i thành nh ng s  ki n ữ ự ệ

gi ng nhau giúp chúng ta l y đố ấ ược nh ng thông tin c n ữ ầ

thi t m t cách nhanh nh t. Công c  này là m t phế ộ ấ ụ ộ ương 

ti n hi u qu  giúp Pháp ch ng viên khám phá nh ng gì ệ ệ ả ứ ữ

đang x y ra   "h u trả ở ậ ường" c a h  đi u hành.ủ ệ ề

Ch n xem Event theo phân lo i ọ ạ

M t s  d  li u s  quan tr ng khi đi u tra  ộ ố ữ ệ ố ọ ề trong Microsoft Windows 

• Khi ng ườ i dùng xóa m t t p tin b ng cách bình  ộ ậ ằ

th ườ ng, t p tin b  xóa s  đ ậ ị ẽ ượ c đ a vào Reclycle  ư Bin.

• D  li u trong Recycle bin ch a trong th  m c  ữ ệ ứ ư ụ

$Recycle.Bin trong m i phân vùng NTFS ỗ

• Trong quá trình duy t web, các trình duy t c n l u  ệ ệ ầ ư các thông tin nh  user name, password, cookie,  ư

temp file, l ch s  duy t web   ị ử ệ

• Pháp ch ng viên có th  tìm ki m các d  li u đã  ứ ể ế ữ ệ

đ ượ ư c l u vào file INDEX.DAT b ng ph n m m  ằ ầ ề Index.dat Scanner

T p tin ch a cookies ậ ứ

• Thông tin cookie trong các t p tin .DAT cung c p  ậ ấ các thông tin v  th i gian truy c p đ n trang web,  ề ờ ậ ế

đ nh danh máy này v i trang web đó.  ị ớ

• Các file shortcut giúp người dùng truy c p nhanh đ n m t ậ ế ộ

ph n m m, file khác, đ n các trang web và c  các   c ng ầ ề ế ả ổ ứtrên m ng. ạ

• T  các file shortcut, Pháp ch ng viên có th  bi t đừ ứ ể ế ược 

ho t đ ng thạ ộ ường ngày c a đ i tủ ố ượng, các ph n m m ầ ề

thường hay được dùng, các trang web thường được đ i ố

tượng truy c pậ

• Microsoft Windows t o ra các b n sao thu nh  c a  ạ ả ỏ ủ các file hình  nh, đ  giúp cho ng ả ể ườ i dùng có th   ể xem đ ượ c n i dung c a các hình  nh mà không  ộ ủ ả

c n m , ti t ki m th i gian đ c và x  lý file v i  ầ ở ế ệ ờ ọ ử ớ kích th ướ c đ y đ ầ ủ

• Các b n sao thu nh  đó g i là thumbnail và l u  ả ỏ ọ ư

trong các file THUMBS.DB và t  các file  ừ

THUMBS.DB, 

• Pháp ch ng viên có th  bi t đ ứ ể ế ượ c hình  nh mà  ả

th ườ ng ngày c a đ i t ủ ố ượ ng hay truy c p và qua đó  ậ

có th  tìm ra các b ng ch ng k  thu t s  có liên  ể ằ ứ ỹ ậ ố quan đ n v  án ế ụ

Thumbnails

• Do m i máy in thỗ ường ch  in đỉ ược m i l n 1 file, nên h  ỗ ầ ệ

th ng c n có m t hàng đ i cho vi c in  n các file, hàng ố ầ ộ ợ ệ ấ

đ i này là Printer spooler. ợ

• Khi người dùng yêu c u in m t file, thông tin in s  đầ ộ ẽ ược 

đ a vào hàng đ i Printer spooler. N i dung file in đư ợ ộ ược 

l u vào file spool.spl, metadata c a file in c n in đư ủ ầ ượ ưc l u vào file shadow.shd. 

• Các file trên đượ ưc l u vào 

C:\Windows\System32\spool\printers và khi in xong thì các file trên s  b  xóa. ẽ ị

• Pháp ch ng viên có th  ki m tra đứ ể ể ược n i dung c a hàng ộ ủ

đ i cho vi c in  n các file đ  bi t đ i tợ ệ ấ ể ế ố ượng còn đang s  ử

d ng máy in c a mình không.ụ ủ

• Registry là  m t h  th ng thông tin liên quan máy  ộ ệ ố tính trong h  đi u hành Windows ệ ề

• Registry l u t t c  các thông tin v  ph n c ng,  ư ấ ả ề ầ ứ

ph n m m, nh ng l a ch n c a ng ầ ề ữ ự ọ ủ ườ i dùng

• Pháp ch ng viên ki m tra đ ứ ể ượ c n i dung c a  ộ ủ

Registry là yêu c u t t y u đ  bi t đ i t ầ ấ ế ể ế ố ượ ng s   ử

d ng máy tính c a mình ra sao ụ ủ

• Con ng ườ i có có th  nói d i nh ng Registry thì  ể ố ư không nói d i ố

• Registry là m t c  s  d  li u dùng đ  l u tr  m i thông ộ ơ ở ữ ệ ể ư ữ ọ

s  k  thu t c a H  đi u hành Windows. ố ỹ ậ ủ ệ ề

• Khi m t ph n c ng ho c ph n m m m i độ ầ ứ ặ ầ ề ớ ược cài đ t ặ

trong Windows, nó s  l u tr  c u hình vào trong registry.ẽ ư ữ ấ

• Windows đ c các c u hình trong registry và bi t đọ ấ ế ược 

trình đi u khi n nào c n đề ể ầ ượ ảc t i, cài đ t nào c n đặ ầ ược 

áp d ng, và ngu n l c nào c n đụ ồ ự ầ ược phân b  đ  thi t b  ổ ể ế ị

Forensic Registry Editor là ph n m m mã ngu n m  đ ầ ề ồ ở ượ c vi t b i  ế ở Daniel Gillen trên Linux, Windows cho phép xem và tìm ki m  ế

ch ng c  s  trên các vùng  n ch c Registry ứ ớ ố ẩ ứ

Ngu n g c c a Registry ồ ố ủ

• Trước khi có Windows Registry: (DOS, Windows 3.x), 

thông tin H  đi u hành  ch a trong các t p tin INI.ệ ề ứ ậ

• SYSTEM.INI ­ T p tin này ki m soát t t c  các ph n ậ ể ấ ả ầ

Thông tin thu th p t  Registry ậ ừ

• C u hình h  th ng ấ ệ ố

• Thi t b  trên h  th ng  ế ị ệ ố

• Tên ng ườ i dùng 

• Thi t l p cá nhân và Tu  ch n cho trình duy t ế ậ ỳ ọ ệ

• Ho t đ ng duy t web  ạ ộ ệ

• Các file đ ượ c m ở

• Các ch ươ ng trình đ ượ c th c hi n ự ệ

• Các m t kh u ậ ẩ

system.dat C:\Windows File bảo mật lưu trữ

tất cả người dùng.

Tất cả các chương trình cài đặt và thiết lập

Tập tin bảo mật chứa thông tin sử dụng mới nhất

Cài đặt ưu tiên của người

sử dụng

Default \Windows\system32\config Các thiết lập hệ thống

chuẩn (System settings) SAM \Windows\system32\config Quản lý tài khoản người

dùng và thiết lập bảo mật Security \Windows\system32\config Thiết lập bảo mật

(Security settings) Software \Windows\system32\config Tất cả các chương trình

cài đặt và các thiết lập System \Windows\system32\config Các thiết lập hệ thống

(System settings)

C u trúc c a Registry ấ ủ

• Registry có c u trúc cây, gi ng c u trúc cây th  m c trong ấ ố ấ ư ụ

c a s  Windows Explorer. ử ổ

• Thông thường có 5 nhánh chính. M i nhánh đỗ ược giao 

nhi m v  l u gi  nh ng thông tin đ c tr ng riêng bi t. ệ ụ ư ữ ữ ặ ư ệ

• Trong các nhánh chính bao g m r t nhi u khoá và cũng ồ ấ ề

được phân ra đ  l u gi  nh ng thông tin đ c tr ng riêng. ể ư ữ ữ ặ ư

• Các khoá (K.@.y) ch a các giá tr  (Value) là n i tr c ti p ứ ị ơ ự ế

l u gi  các thông tin, tư ữ ương t  nh  t p tin là n i tr c ti p ự ư ậ ơ ự ế

l u gi  d  li u v y.ư ữ ữ ệ ậ

N i dung c a Registry ộ ủ

• Root Keys 

• HKEY_CLASSES_ROOT (HKCR):  L u nh ng thông tin dùng  ư ữ

chung cho toàn b  h  th ng nh  ki u t p tin, các menu, các d  li u v   ộ ệ ố ư ể ậ ữ ệ ề

h  th ng th ệ ố ườ ng ch a nh ng liên k t đ n các file th  vi n liên k t  ứ ữ ế ế ư ệ ế

đ ng .dll.  ộ

• HKEY_CURRENT_USER (HKCU):  L u nh ng thông tin v  ph n  ư ữ ề ầ

m m, các l a ch n, các thi t l p   c a ng ề ự ọ ế ậ ủ ườ i dùng đang Logon 

• HKEY_LOCAL_MACHINE (HKLM):  L u nh ng thông tin v  h   ư ữ ề ệ

th ng, ph n c ng, ph n m m dùng chung cho t t c  các ng ố ầ ứ ầ ề ấ ả ườ i dùng.

• HKEY_USERS (HKU):  L u nh ng thông tin c a t t c  các User,  ư ữ ủ ấ ả

m i user là m t khoá v i tên là s  ID c a user đó, ch a nh ng thông  ỗ ộ ớ ố ủ ứ ữ tin đ c tr ng c a t ng User, nó b  tr  cho nhánh  ặ ư ủ ừ ổ ợ

HKEY_CURRENT_USER.

• HKEY_CURRENT_CONFIG (HKCC):  L u thông tin v  ph n  ư ề ầ

c ng, các thi t b  ngo i vi, các trình đi u khi n (drivers) đang dùng.  ứ ế ị ạ ề ể

Các ki u d  li u dùng trong Registry ể ữ ệ

• REG_BINARY: Ki u nh  phân 32 BIT ể ị

REG_DWORD: Ki u Double Word cho phép ngể ười dùng 

nh p theo c  s  16 (HEX) ho c c  s  10 (DECIMAL) ậ ơ ố ặ ơ ố

REG_EXPAND_SZ: Ki u chu i m  r ng đ c bi t. VD: ể ỗ ở ộ ặ ệ

"%SystemRoot%" thay cho đường d n Windows\System32 ẫ

REG_MULTI_SZ: M t ki u d  li u cho phép ngộ ể ữ ệ ười dùng 

nh p nhi u chu i, phân bi t b ng phím Enter đ  cách ậ ề ỗ ệ ằ ể

dòng. 

REG_SZ: Ki u chu i thông thể ỗ ường

Đi u tra trong Registry ề

• Các Registry Keys l u th i gian bi n đ i cu i cùng  ư ờ ế ổ ố (modified time­stamp)

• Các time­stamp ph i s a d ả ử ướ ạ i d ng Binary

• Thu th p các thông tin liên quan đ n đ a ch   ậ ế ị ỉ

Website

• Thu th p các thông tin liên quan đ n ng ậ ế ườ i dùng – 

đ c bi t là các user dùng đ  chat trong Yahoo  ặ ệ ể

Messenger,  ICQ, 

Các đ a ch  Websites ị ỉ

Websites

Đi u tra trong Yahoo messenger ề

• Thông tin các phòng chat

• Danh tính ng ườ i dùng thay th   ế

• Ng ườ i dùng đăng nh p cu i cùng  ậ ố

• M t kh u (có mã hóa)  ậ ẩ

• Các liên l c g n đây  ạ ầ

• Tên đăng ký hi n trên màn hình ệ

Các USB Devices

Thông tin liên quan đ n M ng  ế ạ

• Các thông tin có th  thu th p t  Registry liên quan  ể ậ ừ

đ n vi c s  d ng M ng c a đ i t ế ệ ử ụ ạ ủ ố ượ ng:

• Local groups

• Local users 

• Map network drive MRU

• Network Printers

Thông tin liên quan đ n Winzip ế

Thông tin s  d ng cu i c a đ i t ử ụ ố ủ ố ượ ng 

• Danh sách các  ng d ng và tên t p tin đ ứ ụ ậ ượ c m   ở

g n nh t trong Windows ầ ấ

Thông tin v  th i gian c a h  th ng ề ờ ủ ệ ố

• Thông tin nh  Timezone trên máy c a đ i t ư ủ ố ượ ng  cũng là các thông tin mang l i các đ u m i h u ích ạ ầ ố ữ

H  đi u hành Linux ệ ề

• Phiên b n h  đi u hành Linux 1.0 đ u tiên  ả ệ ề ầ

do Linus Torvalds vi t vào năm 1991 t i Đ i h c  ế ạ ạ ọ Helsinki  t i Ph n Lan. H  đi u hành Linux đ ạ ầ ệ ề ượ c  phát tri n và tung ra trên th  tr ể ị ườ ng d ướ ả i b n 

quy n GNU General Public License.  ề

• H  đi u hành Linux hi n có các nhánh Ubuntu,  ệ ề ệ

Fedora, CentOS , và ch  y u đ ủ ế ượ c phát tri n b i  ể ở

c ng đ ng mã ngu n m  trên kh p th  gi i ộ ồ ồ ở ắ ế ớ

• Linux hiên s  d ng r ng rãi trên các Server và trên  ử ụ ộ máy tính cá nhân v i khá nhi u ph n m m  ớ ề ầ ề

h  tr  phong phú ỗ ợ

H  đi u hành Linux ệ ề

H  th ng t p tin trong Linux ệ ố ậ

• Các h  th ng Linux hi n nay ph n l n s  d ng h  th ng ệ ố ệ ầ ớ ử ụ ệ ố

t p tin Ext3 k  th a t  Ext2. (m i nh t Ext4)ậ ế ừ ừ ớ ấ

• Bên c ch Ext, còn có các h  th ng Linux khác:ạ ệ ố

• ReiserFS (Namesys): không còn s  d ng ph  bi nử ụ ổ ế

• XFS  (Silicon  Graphics  ):  h   th ng  HĐH  IRIX  x   lý  các ệ ố ử

t p tin r t l n và thông lậ ấ ớ ượng r t cao.ấ

• JFS (IBM): cho h  đi u hành AIX ,h t nhân Linuxệ ề ạ .

• YAFFS2 và JFFS2 là h  th ng t p tin đệ ố ậ ược thi t k  đ  s  ế ế ể ử

d ng trên flash và l u tr  nhúng.ụ ư ữ

39

Các thành ph n c a h  th ng t p tin  ầ ủ ệ ố ậ

• Super Block: là m t c u trúc đ c t o t i v  trí b t đ u ộ ấ ượ ạ ạ ị ắ ầ

h  th ng t p tin. Nó l u tr  thông tin v  h  th ng t p tin ệ ố ậ ư ữ ề ệ ố ậ

nh : block­size, free block, th i gian g n k t (mount) cu i ư ờ ắ ế ốcùng c a t p tin.ủ ậ

• Inode (256 byte): L u nh ng thông tin v  nh ng t p tin ư ữ ề ữ ậ

và th  m c đư ụ ượ ạc t o ra trong h  th ng t p tin.ệ ố ậ

• Storageblock: Là vùng l u d  li u th c s  c a t p tin ư ữ ệ ự ự ủ ậ

và th  m c. Nó chia thành nh ng Data Block. M i ư ụ ữ ỗ

block thường ch a 1024 byte. Ngay khi t p tin ch  có 1 ứ ậ ỉ

ký t  thì cũng ph i c p phát 1 block đ  l u nó.ự ả ấ ể ư

40

Các lo i t p tin trong Linux ạ ậ

• T p  tin  d   li uậ ữ ệ :  Đây  là  t p  tin  theo  đ nh  nghĩa  truy n ậ ị ề

th ng, nó là d  li u l u tr  trên các thi t b  l u tr  nh  ố ữ ệ ư ữ ế ị ư ữ ưđĩa c ng, CD­ROM,…ứ

• T p tin th  m cậ ư ụ : Th  m c không ch a d  li u, mà ch  ư ụ ứ ữ ệ ỉ

ch a các thông tin c a nh ng t p tin và th  m c con trong ứ ủ ữ ậ ư ụ

nó. Th  m c ch a hai trư ụ ứ ường c a m t t p tin là tên t p tin ủ ộ ậ ậ

và inode number. 

41

Siêu d  li u ­ Metadata  ữ ệ

Metadata: là d  li u mô t  file, nó cho bi t v  trí  ữ ệ ả ế ị

l u  tr   các  file,  kích  th ư ữ ướ c  file,  th i  gian  đ c  và  ờ ọ ghi d  li u vào file, các thông tin đi u khi n truy  ữ ệ ề ể

nh p ậ

• (M)odified: Là th i gian c p nh t các n i dung  ờ ậ ậ ộ

c a t p tin ho c th  m c đ ủ ậ ặ ư ụ ượ ử c s a đ i ổ

• (A)ccessed:  Đ c  c p  nh t  khi  các  n i  dung  ượ ậ ậ ộ

c a t p tin ho c th  m c đ ủ ậ ặ ư ụ ượ c đ c.  ọ

• (C)hanged:  M c  th i  gian  khi  d   li u  đ c  ố ờ ữ ệ ượ

ch nh s a ỉ ử

• (D)eleted: C p nh t khi t p tin b  xóa ậ ậ ậ ị

44

45

Qu n lý phân vùng trên Linux ả

• M t  h   th ng  Linux  có  1  ho c  nhi u  phân  vùng  độ ệ ố ặ ề ược 

qu n  lý  b i  LVM  (Logical  volume  Manager),  đả ở ược  xác 

đ nh b i l nh fdisk ­lị ở ệ

• S  hi n di n c a 1 phân vùng LVM đự ệ ệ ủ ược xác đ nh b ng ị ằcách ki m ki u phân vùng 8eế ể

46

Ti n trình kh i đ ng Linux và d ch v ế ở ộ ị ụ

Hi u v  quá trình kh i đ ng c a Linux r t quan tr ng trong ể ề ở ộ ủ ấ ọcông  vi c  pháp  ch ng.  Quá  trình  kh i  đ ng  đệ ứ ở ộ ược  mô  t  ả

ng n g n qua 4 bắ ọ ước nh  sau: ư

• N p b  kh i đ ng, t i kernel   th  m c /bootạ ộ ở ộ ả ở ư ụ

• RAM n p t p tin init.d ch a trình đi u khi n thi t b  và ạ ậ ứ ề ể ế ịmodule h  th ng t p tin.ệ ố ậ

• Kernel n p h  th ng ph n c ng. Sau đó, kernel n p h  ạ ệ ố ầ ứ ạ ệ

đi u hành và b t đ u ti n trình /sbin/init.ề ắ ầ ế

• Khi init kh i đ ng, có 2 cách kh i đ ng đ  hoàn t t quá ở ộ ở ộ ể ấtrình kh i đ ng: ở ộ System V và BSD

47

• Cách kh i đ ng ph  bi n nh t c a Linux.ở ộ ổ ế ấ ủ

• K  xâm nh p có th  t o m t script đ  duy trì liên t c ẻ ậ ể ạ ộ ể ụtruy c p vào m t h  th ng b  xâm nh p. Ta nên xem sét ậ ộ ệ ố ị ậ

c n th n t t c  các k ch b n tham gia vào quá trình kh i ẩ ậ ấ ả ị ả ở

đ ng độ ược trong các cu c đi u tra xâm nh p.ộ ề ậ

• VD: Level 3 s  cung c p m t môi tr ng giao di n đi u ẽ ấ ộ ườ ệ ềkhi n, trong khi level 5 s  xu t ra m t môi trể ẽ ấ ộ ường đ  h aồ ọ

• Run  level  (1,2,3,5):  mô  t   các  nhi m  v /  công  c   mà ả ệ ụ ụmáy tính s  th c hi n. ẽ ự ệ

• Đ c file /etc/inittab đ  xác đ nh run levelọ ể ị

48

• M i m c runlevel th c s  là m t liên k t m m v i m t ỗ ụ ự ự ộ ế ề ớ ộ

k ch b n trong file /etc/init.d, s  đị ả ẽ ược b t đ u ho c d ng ắ ầ ặ ừ

l i tùy thu c vào tên c a liên k t. ạ ộ ủ ế

• Liên k t tên b t đ u b ng “S” cho th y th  t  kh i đ ng ế ắ ầ ằ ấ ứ ự ở ộ

và các liên k t b t đ u v i “K” – kill (k t thúc).ế ắ ầ ớ ế

49